La Seguridad de Internet Está Condenada a Menos Que Reveamos Sus Fundamentos y Arquitecturas Claves: Informe de Expertos de USA y de los Principales Medios
La Seguridad de Internet Está Condenada a Menos Que Reveamos Sus Fundamentos y Arquitecturas Claves: Informe de Expertos de USA y de los Principales Medios
Parece ser que todos están completamente atontados por el suave y sistemático lanzamiento de parches de seguridad de Microsoft, que el nuevo mantra para sentirse OK cuando se trata de la seguridad en Internet, es simplemente "SP2 y actualizaciones automáticas, con un rociado de un buen antivirus, anti-spyware y una rodaja de software de herramientas anti-malware es todo (¡!) lo se necesita para mantener a raya las amenazas de Internet"
Desearía que fuera verdad
Pero déjenme decirles algo: odio tener un sistema operativo que necesita ser emparchado cada unos pocos días y un gran número de herramientas complementarias de seguridad corriendo en segundo plano todo el tiempo, y consumiendo cerca del 50 % de todo mi poder de procesamiento y recursos.
¿Necesito moverme dentro de mi casa con una ametralladora, armado hasta los dientes como un Rambo, mientras tres guardaespaldas cuidan mi retaguardia y mis lados mientras voy de la cama al living?
¡Vamos muchachos! ¡Despiertense!
Esta no puede ser la forma de manejar la seguridad en Internet. El tema es que las premisas y fundamentos en las cuales nuestro "falso" sentido de seguridad se construye hoy en día está flotando en el aire. Una vez más mi reclamo es : no existe una arquitectura de seguridad de Internet.
Aquí tiene una prueba si todavía piensa que no estoy bien de la cabeza:
"Más de un millón de computadoras en la red han sido secuestradas para atacar sitios web y enviar correo no deseado y virus. El enorme número fue revelado por investigadores de seguridad que emplearon meses rastreando más de 100 redes de maquinas controladas remotamente. La más grande de las llamadas "redes zombies" espiadas por el equipo estaba conformada por hasta 50.000 computadoras hogareñas secuestradas.
Los datos se recolectaban utilizando máquinas que parecían inocentes pero entraban en cualquier lugar que los hackers les ordenaban"
y también:
"Los criminales también parecen estar comenzando a usar redes de bots para robo de identidades en masa, para hospedar sitios web que parece que esos bancos de información tan confidencial pueden ser recolectados y curiosear en el tráfico online para robar datos sensibles.
Aprovechando al máximo el poder de varios miles de bots, es viable derribar casi cualquier sitio web o red instantáneamente" dicen los investigadores. "Aún en manos inexpertas, es obvio que las redes de bots son un arma cargada y poderosa"
Y ahora con la amplia adopción de wi-fi, la situación está empeorando para cualquiera que no preste atención a esto.
Los hoteles son de puertas abiertas. Las Universidades son de puertas abiertas. Su casa y wi-fi son...
Hay personas cometiendo cualquier tipo de actividades criminales en Internet utilizando conexiones inalámbricas, pero lo terrible no es esto. Es el hecho que esos crímenes pueden ser rastreados hacia alguien completamente inocente.
"Más de 10 millones de hogares en los Estados Unidos ahora tienen una estación base Wi-Fi proveyendo una conexión inalámbrica a Internet, de acuerdo a ABI, una firma de investigación tecnológica situada en Oyster Bay, N.Y. Hasta hace tan poco como 2000 no había ninguna', dice la firma.
Esas estaciones base, o ruteadores, le permiten a varias computadoras compartir una conexión a Internet de alta velocidad y les permite a los usuarios mantenerse conectados a medida que se desplazan con laptops u otros aparatos móviles. Los ruteadores también son usados para conectar computadoras con impresoras y demás artefactos.
Los expertos dicen que muchos de esos hogares nunca se han preocupado por las características , disponibles en casi todos los ruteadores Wi-Fi, que cambie las configuraciones originales, prevenir la conexión de otros y encriptar los datos que se envían a través de esta.
Las fallas para asegurar la red de esas formas le pueden permitir a cualquiera con una computadora con caracteristicas Wi-Fi dentro de un radio de 60 metros contactar la estación base de la conexión a Internet, tipicamente una linea de suscripción digital o un cable modem.
Sumado a eso, muchas universidades ahora están cubriendo sus campus con redes abiertas de Wi-Fi y docenas de ciudades y pueblos están creando mallas inalámbricas. Mientras que algunas ubicaciones están cobrando un derecho u otra manera de forzar a los usuarios a registrarse, otras dejan la red abierta.
Todo lo que se necesita para hacer contacto es una tarjeta Wi-Fi, costando generalmente 30 dólares o menos , para el usuario de PC o laptop (Las tarjetas Wi-Fi contienen un código de identificación que es potencialmente rastreable, pero esa información no es retenida por la mayoría de los ruteadores de los consumidores, y las tarjetas pueden en cualquier caso ser fácilmente removidas y tiradas a la basura.)"
Está tambien en las noticias de hoy (de nuevo vía Slashdot) que "El Comité Consejero de Tecnologías de la Información del Presidente, en su informe de Febrero de 2005 al GW escribe "... la infraestructura de los Estados Unidos, la cual ahora es vital para la comunicación, el comercio y control de nuestra infraestructura física, es altamente vulnerable a ataques terroristas y criminales."
El informe continua diciendo que "fundamentalmente nuevos enfoques son necesarios encarar la seria debilidad estructural de la infraestructura de la TI".
"PITAC encontró que la infraestructura de la TI de la Nación - integral a la seguridad nacional y hogareña y a la vida cotidiana - es altamente vulnerable a los ataques.
Mientras que las tecnologías existentes pueden abordar algunas vulnerabilidades, se necesitan tecnologías y arquitecturas fundamentalmente nuevas para encarar las mayores inseguridades estructurales de una infraestructura desarrollada en un tiempo más confiable cuando los ciberataques masivos no se habían previsto.
Del informe:
"Hoy, es posible para un agente malicioso penetrar millones de computadores alrededor del mundo en cuestión de minutos, explotando esas máquinas para atacar la infraestructura crítica de la Nación, penetrar sistemas sensibles o robar datos valiosos. El crecimiento en el número de ataques equivale al tremendo aumento en la conectividad, y lidiar con esos ataques ahora le cuesta a la Nación miles de millones anualmente.
Más aun, rápidamente estamos perdiendo terreno frente a esos que hacen daño, tal como lo indica el numero constantemente en aumento de redes comprometidas y resultando en perdidas financieras"
Lo que el informe dice en términos absolutamente transparentes es que no hay un futuro brillante al seguir el camino de Microsoft de parches interminables.
Lo que necesitamos es una manera fundamentalmente nueva de mirar la seguridad y un examen profundo de cómo diseñamos y construimos la seguridad alrededor de sistemas de TI interconectados
El reporte afirma en su sección Conclusión:
"El Comité analizó más de 30 reportes sobre I&D de ciberseguridad para identificar 10 áreas prioritarias para poner el énfasis. Estas áreas son de fundamental importancia. Sin avances significativos en investigación en esas áreas, la Nación no será capaz de asegurar su infraestructura de TI"
Entre los 10 listados, los dos que considero esenciales para las transformaciones que necesitamos hacer para poder vadear este río barroso son:
1) Mejor autenticación
"Los esquemas de autenticación para entidades en red tales como hardware, software, datos y usuarios son necesarios par una variedad de propósitos, incluyendo identificación, autentificación, y verificación de integridad.
Esos esquemas deben ser probadamente seguros, fáciles de verificar, capaces de usar miles de millones de componentes, y ejecutables rápidamente. Los métodos en la criptografía tradicional se han concentrado en la seguridad pero no son lo suficientemente eficientes para la utilización amplia en un entorno donde, por ejemplo, millones de paquetes de datos por segundo deben ser autenticados por un solo ruteador de red. Mucho trabajo útil se ha estado haciendo en protocolos criptográficos
Pero los requerimientos para que los protocolos sean utilizables en un entorno como Internet demanda el desarrollo de nuevos protocolos
Los subtopicos de investigación incluyen:
Investigación en infraestructura y protocolos para distribución y administración de clave publicas a gran escala y otras posibles aproximaciones
Certificación y revocación de administración
Integración con identificadores biométricos y físicos.
Separación entre la autentificación y la identificación para encarar temas de seguridad
y
2) Sistema Holístico de Seguridad
"La Seguridad efectiva en una infraestructura global compleja y de múltiples capas como es la Internet y sus nodos, requiere más que la seguridad de sus partes componentes.
Establecer métodos inteligentes de autenticación, protocolos seguros para operaciones básicas de la Web e ingenieria del software mejorada, indudablemente se convertirá en parte de una solución evolucionada a este problema.
Pero más importante, los investigadores deben reconocer desde el inicio que una aproximación de arquitectura de punta a punta a la seguridad del todo, necesariamente trasciende la seguridad de las partes individuales.
Por ejemplo, los clientes asumen que sus transacciones bancarias online, basadas en el protocolo SSL, son realmente seguras. Pero imitando los protocolos asociados subyacentes o software del usuario final, un agente malicioso puede hacer que la transacción del usuario parezca asegurada mediante SSL, mientras que en realidad permite el robo de datos confidenciales
También es posible comprometer la seguridad de los sistemas de computación finales, obteniendo los datos aun mientras estén seguros durante el tránsito.
La usabilidad del software en si misma es un tópico de investigación legitimo e importante respecto del tema de la ciber seguridad. Programas incorrectamente utilizados u hostiles o con interfaces de usuario confusas pueden conducir a frustraciones del usuario y rodeos no autorizados que pueden comprometer aún los esquemas de seguridad más robustos. También se necesita investigación para hacer sistemas grandes y complejos, donde los componentes puedan interactuar de manera inesperada, de forma segura.
Por ultimo, la investigación fundamental se debe ocupar del desarrollo de arquitecturas de seguridad enteramente nuevas, holisticas , que incluya el hardware, los sistemas operativos, las redes y las aplicaciones.
Los subtopicos de investigación incluyen:
Construccion de sistemas seguros de componentes confiables y no confiables, e integrando nuevos sistemas con componentes heredados.
Reducir vulnerabilidades proactivamente
Asegurar un sistema que sea co-operado y/o compartido con un adversario
Abordar de manera amplia el creciente problema de las amenazas internas
Modelar y analizar las fallas emergentes en sistemas complejos
Tener en cuenta a los factores humanos, tales como interfaces que promueven la seguridad y toma de conciencia de parte del usuario de su importancia
Apoyar la privacidad de manera conjunta con una seguridad mejorada"
Si, esto es realmente lo que necesitamos. Sin el especto de necesitar ser monitoreados e identificados en todo lo que hacemos electrónicamente, sin la necesidad de renunciar a nuestra privacidad personal, realmente hay maneras novedosas de examinar la arquitectura de seguridad, autenticación y administración de la identidad que puede transformar radicalmente y prevenir el futuro de condena que los espacios de comunicación e Internet enfrentan en el futuro cercano.
P.D. Lea de nuevo, si todavía no lo hizo, lo que el futurista de la seguridad e identidad Wes Kussmaul escribió hace apenas tres días en su articulo como invitado aquí.
[vía Slashdot] leer más
Enviado por Robin Good el Lunes 21 de Marzo, 2005
Articulos relacionados
Haga que su IP sea invisible a todos
Como Proteger Su Privacidad (y Su IP) Mientras Navega http://www.stayinvisible.com/ Junio 19, 2003 StayInvisible.com está destinado a evitar que revele su dirección IP a usuarios no autorizados o cualquiera que pudiera estar interesado (y tome nota que puede haber hackers entre ellos).. Privacidad en Línea Hay ciertas piezas de información que usted provee a los servidores de Internet que puede estar disponible a otras personas sin su consentimiento y aun...
