viernes, 25 de junio de 2004
Matar a los zombies

Leo hoy en el Diario el Mundo una infeliz idea que algunos grandes genios han pensado como una posible solución al Spam. En resumen, lo que persiguen es dejar fuera de la red a todos aquellos equipos PC que se transformen en zombies. Ya he comentado que significa ser un zombi en algún otro post. En este artículo tambien lo comentan pero de forma imprecisa. El texto del artículo indica "Así es como se conocen los ordenadores infectados por virus que, sin conocimiento del usuario, son utilizados para enviar 'spam'". En mi opinión, PC zombie es todo aquel que deja de ser gobernado por su poseedor. No tiene por que ser infectado por un virus o no tiene porque ser utilizado para enviar spam. Uno puede hacer zombie un equipo instalando rootkits o troyanos sobre el mismo, realizando una intrusión y dejando algún acceso oculto, etc... y además, el generar spam no es solo la única maldad para la que son utilizados estos equipos. También participan en ataques de denegación de servicio distribuido, son utilizado como paso intermedio en un proceso de intrusión, o son utilizados en ataques como armas de guerra...

Matizado este hecho, vamos a la esencia de la noticia. Como diría un paisano de mi tierra, "¡Manda güevos!". O sea, al final el culpable siempre es el usuario.
1.- Los fabricantes hacen software con fallos de seguridad
2.- No se informa y forma al usuario en conocimientos de seguridad informática
3.- Se permite el uso y disfrute de la tecnología informática sin ningún tipo de restricción
4.- No se proporcionan mecanismos de actualización transparentes y gratuitos ... y encima, el usuario es el culpable??

Como siempre, estas cosas se ven más claras con similes con otras áreas o realidades. Utilizaremos el tan usado ejemplo de la industria del automóvil.

Lo propuesto por estos genios de retirar los PC Zombies sería lo mismo que retirar el carnet de conducir a los conductores no preparados. Esto SI tiene sentido, pero claro, las premisas que se dan en el mundo de la ingeniería del automóvil no se dan en el mundo de la ingeniería de la informática.

1.- Los coches son diseñados con tiempo suficiente y ajustados a ciertas normas internacionales de seguridad. En informática existen estas mismas normas, como son los Common Criteria o ISO 15408.

2.- Tras las fases de construcción, los coches son probados y testeados con otras normas de calidad y seguridad que garantizan tanto la fiabilidad como la seguridad de los mismos, ANTES de ponerlos en CIRCULACIÓN.

3.- Al potencial conductor, se le forma en el uso del vehiculo, se le entrena en el desarrollo de las habilidades prácticas de la conducción y se exige el pasar un EXAMEN de conducción para demostrar tanto los conocimientos técnicos como las habilidades manuales en el dificil arte de la conducción. En informática estos hechos a día de hoy parecen impensables... Ni siquiera para los técnicos que administran equipos son requerídos estos requisitos... aqui informático es todo el mundo... sin establecer distinciones o jerarquías en base a los conocimientos en la materia.

4.- Todos los vehículos tienen garantías de fabricación, por lo que si se detectan fallos, los fabricantes están obligados a la reparación de los mismos de forma gratuíta. En el mundo del software... el tema de proporcionar los parches es libre y cada fabricante hace lo que le apetece cuando y como quiere.

En fin, más de lo mismo. O sea, interesa un usuario analfabeto técnicamente cuando el objetivo es la venta de un equipo con unas características técnicas muy superiores a las necesidades reales del mismo, pero se exige un usuario cualificado cuando ese equipo, que sale de fabrica de cualquier forma, se añade a la red de redes y se transforma en un peligro.

Está claro que los grandes genios de la seguridad ya se han dado cuenta de que el problema de la seguridad informática, debido a la globalidad, es cosa de todos. La unión es mucho más que la suma de las partes. Pero si de verdad se cree en este hecho, entonces la filosofía de trabajo debería de ser incorporar la seguridad desde el diseño o si no, facilitar seguridad embebida y transparente en los equipos, o sea, ANTIVIRUS GRATIS, FIREWALLS GRATIS y FORMACIÓN GRATIS. Si no, LOS USUARIOS SEGUIRÁN SIENDO VICTIMAS, NO CULPABLES.

La noticia original se recoge aqui:
Matar al zombie, una mala idea
 
;