Fuente: Libertad Digital.
Madrid acogió durante este fin de semana el Rooted Con, un congreso de seguridad informática que reúne a los hackers más importantes del país. Entre ellos, Sergi Álvarez Capilla, programador autodidacta que ha trabajado de administrador, desarrollador y analista forense.
Especializado en software libre y atraído por el mundo de la seguridad informática "desde muy pequeño", considera necesario una mayor educación e información por parte de los profesionales, las empresas y los ciudadanos en general. Para Álvarez, los estudiantes recién salidos de las carrera "no están suficientemente preparados" para comprender como funciona la seguridad informática. Considera que es un sector donde el interés personal es un factor clave.
"Tiene que gustarte y engancharte para poder aprenderlo, el componente lectivo que te pueden dar las universidades o las escuelas es una parte pero es bastante básica hasta el punto que si realmente no te interesa no te servirá para mucho. Hay un buen nivel lectivo en algunos cursos y charlas, pero es algo muy estándar y no profundizan demasiado", explica.
El software libre, más seguro
Esta no es, ni mucho menos, la primera conferencia de este tipo a la que acude. Álvarez atendió durante tres años a la DEF CON de Las Vegas, la conferencia de hackers más grande y longeva del planeta. Aunque reconoce que comenzó con sistemas operativos de pago, como MS-DOS y Windows, en seguida se pasó al código libre que considera más "cómodo e interesante" de estudiar.
En un sector donde el descubrimiento de un fallo en un programa conocido puede llegar a pagarse, en los casos más extraordinarios, hasta un millón de dólares, Álvarez se ha decantado por el software libre, aplicaciones que permiten el uso y la modificación libre de sus códigos fuente. Aplicaciones que le dan una mayor libertad según su "manera de entender la seguridad".
Durante el pasado año, el software más atacado del planeta, con un porcentaje de más del 90% según datos de ScanSafe –empresa de seguridad propiedad de Cisco– fue el de las propiedades de Adobe, compañía propietaria de Flash, Acrobat Reader o Photoshop. Para Álvarez, estas aplicaciones privativas siempre serán más vulnerables que las de código abierto.
"Los ataques se centran en software privativo porque es más vulnerable. Una aplicación para Windows se utiliza para diferentes versiones del sistema operativo, en los programas de código libre puede haber una versión para cada distribución, es más difícil cubrir todo el entorno con un sólo ataque", explica.
Álvarez considera a Flash como un ejemplo paradigmático ya que es una aplicación masivamente usada en la web hasta el punto que "casi existe la obligación de usarla" si se quiere navegar por internet. El hecho de no tener un código accesible, en el caso de un ataque masivo, "es muy difícil" validarla y ver con claridad si existe un problema y corregirlo.
"Hay cierta burocracia que lastra la corrección de un fallo de seguridad, en software libre se puede corregir en una hora y en software privativo el mínimo es una semana y se puede alargar durante meses. También hay, por supuesto, intereses económicos por detrás que hacen que no interese que se sepa que las aplicaciones son inseguras. Windows siempre ha tenido la mala fama de ser inseguro pero la gente sigue usándolo, el mercado lo pide", comenta Álvarez durante la conferencia.
Estos problemas en complementos masivamente usados en los navegadores, sin embargo, pueden llegar a su fin con la llegada de un nuevo estándar web: HTML 5. Al ser un estándar que se utilizará en todos los navegadores, el programador considera que estará revisado "por mucha más gente" y tendrá unas implementaciones distintas en cada navegador lo que hará que sea "mucho más complicado" que un sólo ataque afecte a todos los navegadores, como ocurre actualmente con las fallas del motor de Flash.
Los internautas no tienen suficiente cuidado
A pesar de todos estos avances, el autor de Radare –un conjunto de herramientas orientadas a facilitar las tareas de ingeniería inversa– considera que aún hace falta mayor concienciación y formación por parte de la ciudadanía. "La gente se prepara muy bien para el mundo real y no coge caramelos de un extraño pero si llega un correo de un banco hablándole de usted la gente responde, son objetivos muy fáciles para mafias", explica Álvarez.
La democratización de Internet no sólo ha afectado al ciudadano de a pie, que tiene que estar más alertas de estos ataques informáticos, las empresas se han convertido en un gran objetivo para los delincuentes que actúan en la red, que en muchos casos puede tratarse de competidores directos.
"Esto no es nuevo. Hace años que se sabe que existen intereses por parte de los gobiernos o de las empresas. El espionaje industrial va en alza, cada vez será un tema que nos afecte más en nuestro día a día y es algo muy importante a tener en cuenta", aclara el desarrollador.
Sin embargo, este interés no se traduce en mejores medidas de seguridad para las empresas que, según Álvarez, están más pendientes "de que no caiga el negocio que de la seguridad". La mala prensa, las pérdidas económicas y la confianza de los clientes muchas veces pueden más que una buena inversión en seguridad y responsabilidad.
"El problema es que un problema en un 'software' que necesite ser "parcheado" o actualizado, implica parar el servicio, gastar dinero y, muchas veces, se prefiere seguir funcionando sabiendo que es inseguro, esperando que no lo descubra nadie. Simplemente tienen otras prioridades, no se valora mucho la seguridad", afirma Álvarez.
Jordi Álvarez es autor de múltiples aplicaciones de código abierto: 0xFFFF (un flasher libre para los Nokia basadas en Maemo), acr (un sustituto de autoconf), valaswig (traductor de vapi a interfaces swig) y radare; un conjunto de herramientas orientadas a facilitar las tareas de ingeniería inversa.
Ha publicado artículos en diversas distribuciones electrónicas, el último, en phrack #66, sobre cómo proteger binarios usando radare. Actualmente trabaja en el sector de multimedia optimizando códecs y realizando otras tareas de bajo nivel sobre Solaris y GNU/Linux.
No hay comentarios:
Publicar un comentario