jueves, 10 de abril de 2008

Dentro de la Mente Torcida del Profesional de Seguridad, por Bruce Schneier

Una reflexión interesante que justifica como debe ser un buen consultor de seguridad. La traducción es de Pedro Verdín, miembro del Grupo Google Forosi.

"Uncle Milton Industries ha vendido granjas de hormigas a los niños desde 1956. Hace algunos años, recuerdo que un amigo abrió una. No se incluían hormigas en la caja. En vez de ello, había una tarjeta que debías llenar con tu dirección, y la compañía te enviaría por correo algunas hormigas. Mi amigo se sorprendió de que pudieras obtener las hormigas por correo. Yo repliqué: "Lo que realmente es interesante es que éstas personas enviarán un tubo de hormigas vivas a quien quiera que les digas".

La seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar.

SmartWater es un líquido con un identificador único vinculado a un propietario específico. "La idea es pintar esta cosa en mis bienes como prueba de propiedad", escribí cuando leí por primera vez acerca de esta idea. "Creo que una mejor idea podría ser poner mi pintura bienes ajenos, y luego llamar a la policía".
Simplemente, no podemos evitarlo.

Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad.
Muchas veces he especulado sobre cuánto de esto es innato, y cuánto es enseñable. En general, creo que es una forma particular de ver el mundo, y que es más fácil enseñar alguna experiencia en un dominio -criptografía o seguridad de software o ataque seguro o falsificación de documentos- que enseñar algo sobre mentalidad en seguridad.
Esto es por lo que CSE484 , un curso en seguridad computacional para pre-graduados que se imparte este trimestre en la Universidad de Washington, es muy interesante observar. El profesor Tadayoshi Kohno está tratando de enseñar una mentalidad en seguridad.
Se pueden ver los resultados en el blog que los estudiantes están generando. Se les invita a colocar revisiones de seguridad sobre cosas al azar: cajas de píldoras inteligentes, monitores para el cuidado de ancianos, Cápsulas del tiempo de Apple, el sistema de seguridad OnStar de GM, semáforos, cajas fuertes, y seguridad en dormitorios.
El más reciente es sobre un concesionario de automóviles. La persona que posteaba, describía cómo ella fue capaz de recuperar su coche después de un servicio con sólo dar a quien la atendía su apellido. Ahora cualquier propietario común podría estar feliz sobre cuán fácil es tener su coche de regreso, pero alguien con una mentalidad en seguridad inmediatamente piensa: "¿De veras puedo tener un automóviles con sólo saber el apellido de alguien que tenga el auto en el servicio?"
El resto de las ponencias en el blog especulan sobre cómo alguien podría robar un coche explotanto esta vulnerabilidad de la seguridad, y si tiene sentido para el concesionario tener esta seguridad laxa. Se puede evadir el punto con el análisis -tengo curiosidad sobre la responsabilidad que tiene el concesionario, y si su seguro cubriría cualquier pérdida- pero esa es toda la experiencia del dominio. El punto importante es notar, y entonces cuestionar, la seguridad en primer lugar.
La falta de mentalidad en seguridad explica un poco la mala seguridad que está por ahí: máquinas para votar, tarjetas de pago electrónico, dispositivos médicos, tárjetas ID, protocolos de Internet. Los diseñadores están tan ocupados haciendo que estos sistemas funcionen que no se detienen a identificar cómo podrían fallar o hacerlos que fallen, y entonces cúantas de dichas fallas podrían ser explotadas. Enseñar a los diseñadores una mentalidad en seguridad contribuirá en gran medida a hacer los sistemas tecnológicos del futuro más seguros.
Esta parte es obvia, pero creo que la mentalidad en seguridad es benéfica de muchas otras maneras.
Si la gente puede aprender como pensar fuera de su enfoque limitado y ver una imagen mayor, ya sea en tecnología o en política o en su vida diaria, ellos serían unos consumidores más sofisticados, ciudadanos más escépticos, menos gente crédula.
Si mas gente tuviera una mentalidad en seguridad, los servicios que comprometen la privacidad podrían no tener tal nicho de mercado -y Facebook podría ser totalmente diferente. Las computadoras portátiles podrían no perderse con millones de números de seguridad social sin cifrar en ellas, y no tedríamos que aprender algunas cuantas lecciones de seguridad por la vía difícil. La red de suministro eléctrico podría ser más segura. El robo de identidad podría ir a la baja. Los registros médicos podrían ser más privados. Si la gente tuviera una mentalidad en seguridad, no hubieran tratado de ver los registros médicos de Britney Spears, pues podrían darse cuenta que podrían ser atrapados.
No hay nada mágico en estas clases de la universidad; cualquiera puede ejercitar su mentalidad en seguridad simplemente tratanto de ver el mundo desde la perspectiva del atacante. Si yo quiero evadir este dispositivo de seguridad en particular, ¿cómo podría hacerlo? ¿podría seguir lo que dice esta ley, pero evadiendo el espíritu? Si la persona que escribió esta publicidad, ensayo, artículo o documental de televisión no tuvo escrúpulos, ¿qué podría haber hecho? Y entonces, ¿cómo podría protegerme yo mismo de estos ataques?
La mentalidad en seguridad es una habilidad valiosa de la que se puede beneficiar cualquiera, sin importar la trayectoria profesional."

Texto original en Schneier on Security: The Security Mindset

6 comentarios:

Edu dijo...

Hola! :)
"Simplemente no pueden ayudar." deberia traducirse como "Simplemente, no lo pueden evitar"..

Can't Help en inglés significa "no poder evitar" (alguna cosa... etc..)

un saludo dsd dublin! :-)

Edu dijo...

Hola otra vez:

"El póster describía cómo ella fue capaz de recuperar su coche"... deberia traducirse como "La persona que posteaba, describía cómo ella fue capaz de recuperar su coche..."

un saludo (otra vez!) ;-)

Edu dijo...

Vuelvo a ser yo...

"...y si hace sentido para el concesionario.." deberia ser "y si tiene sentido para el concesionario"

(to) "make sense" significa "tener sentido"... ;-)

otro saludo...

Edu dijo...

Es muy bueno que hagas traducciones de articulos, asi llegan a mas gente! Felicidades por el esfuerzo! Un saludo! (el ultimo, de momento!) heheh
:-D

Javier Cao Avellaneda dijo...

El mérito es de Pedro Verdín, miembro del Grupo Google Forosi que a través de la lista de correo ha suministrado la traducción libre.

des dijo...

Estoy de acuerdo en que la mentalidad de aquellos metidos en el mundo de la seguridad es vista casi como perversa... y además es tremendamente difícil de transmitir. Quizás es un tanto exagerado intentar aplicarla a la vida diaria (podríamos volvernos locos), pero me parece una gran iniciativa la idea de este profesor. Estoy seguro de que no hay muchas así. Me ha encantado este post :)

 
;