De acuerdo con Gene Spafford "el único sistema que es totalmente seguro es aquel que se encuentra apagado y desconectado, guardado en una caja fuerte de titanio que está enterrada en cemento, rodeada de gas nervioso y de un grupo de guardias fuertemente armados. Aún así, no apostaría mi vida en ello".

La seguridad es un elemento crítico para todas las organizaciones en el mundo. Conforme las tecnologías de la Información (IT) han tomado más y más importancia para los procesos productivos y de negocios, así como para el servicio al público, el mantener un sistema seguro es cada vez más importante, pero paradógicamente, la apertura es necesaria y si el adminsitrador de sistemas/servidores no se mantiene al día, les puede tocar una fea sorpresa.

Son ya conocidos los casos de ataques a diferentes sitios desde las últimas semanas de junio del 2001, como el control externo de los sistemas de una empresa dedicada a servicios financieros, un sitio de noticias de los Emiratos Arabes Unidos y una empresa que controla el 75% de la distribución de energia eléctrica de California (en este último caso, tomaron el control de dos servidores que estaban "protegidos" por un firewall); eso sin contar ataques DoS al site de la Casa Blanca (http://www.whitehouse.gob). El panorama todavía se puede considerar peor si pensamos que la mayor parte de las intrusiones no son publicitadas (por eso de la confianza) o de plano, ni siquiera se enteran hasta que es tarde. Sobra comentar la "miniguerra" que tuvieron hackers norteamericanos con sus contrapartes chinos, donde cada bando se dedico a hacer "pintas" en sites del otro país hasta que declararon una tregua, más o menos 24 horas después de haber empezado y la CIA ya enfatizó la enome posibilidad que en unos años, Rusia y China tengan herraminetas de este tipo que podrían hacer un daño serioy duradero a la economía de EUA.

Esto nos implica la existencia de DOS tipos de expertos, aquellos que se dedican a proteger los sistemas y aquellos que gustan irrumpir en ellos, dos caras de la misma moneda. Y cada una tiene su propia fiesta anual, esceniicadas en Las Vegas, Nevada, EUA.

Por un lado, tenemos el Black Hat Briefings (http://www.blackhat.com/), conferencia que se realizó en el Cesar's Palace de la mencionada ciudad, los días 11 y 12 de julio del 2001, donde se reunirían empresas dedicadas a la seguridad, gurús del tema, administradores de sistemas, áreas de desarrollo, etc., para analizar casos de estudios, seminarios y algunos cursos rápidos.

El segundo evento que comenzó el viernes 13, fue el Def Con 9 (http://www.defcon.org/), donde toda la contra cultura del "hacktivismo" se despliega, denotándose el intercambio de herramientas y rutinas, conferencias y mesas redondas y hasta una competencia llamada capture the flag, donde varios grupos tienen que "conquistar" una serie de servidores antes que sus competidores.

Ambas conferencias son diametralmente opuestas y así como hay gente que fue a ambas, otros sólo atendíeron una sola. A continuación les presentamos los puntos más importanrtes de cada evento.

Black Hat Briefings

Uno de los puntos más importantes fue la existencia de un hueco de seguridad realmente importanate en Internet Information Server de Microsoft (http://www.microsoft.com), el servidor por defecto de Windows NT/2000 y que permite a un atacante obtener el control de un servidor en cosa de minutos, además del creciente uso de gusanos vía email que incrementan el tráfico y los costos de las redes, por lo que en abril MS declaró "la guerra al código hostíl", aunque los analistas recomiendan que esperemos sentados, ya que dificilmente veremos una nueva aplicación que cambie el panorama, ya que la seguridad es un elemento muy cambiante.

De hecho, son los gusanos que se despliegan vía email los que se consideran los más peligrosos a mediano plazo. De acuerdo con Jose Nazario, investigador del grupo de seguridad Crimelabs (http://www.crimelabs.net), los gusanos evolucionarán y serán más difíciles de detectar, con capacidades de encriptación y ocultamiento. Actualmente son muy fáciles de detectar por el enorme volúmen de tráfico que generan, pero es muy posible que se modifique para que sólo afecten a un conjunto determinado de equipos, a una parte de la infraestructura de telecomunicaciones o un rango de equipos con ciertas características (como lo hicieron los gusanos Love Bug, Hybris, Ramen y 1i0n), con la consideración que su velocidad de infección se mantendría, para cuando nos enteremos que estamos infectados es porque ya se propagó. y No lo tomen a la ligera, se calcula que estas variaciones podrían aparecer en un lapso de 12 a 18 meses.

Otro factor donde debemos empezar a tomar en cuenta es el de las redes inalámbricas, Tim Newsham, un investigador de @STAKE (http://www.atstake.com/) presentó los detalles de las fallas en los sistemas de passwords del Wired Equivalent Privacy (WEP), protocolo que se suponía es para asegurar este tipo de redes pero que es una auténtica coladera. "Todo lo que hace es poner una barrera más ante el atacante", dijo, "una muy pequeña", de hecho; demostró como es posible romper la seguridad en cosa de segundos (desde 30 hasta sólo 5). Las tarjetas de red a 128-bit presentan una mejor defensa que las de 64-bit, sin embargo, un password sencillo tiene el mismo efecto que una mala tarjeta, es cosa de paciencia y un diccionario el poder descubrir la clave de acceso. En conclusión, es mejor utilizar tecnologías de encriptación para poder mejorar la seguridad en este tipo de comunicaciones.

Un elemento interesante es el que representa The Honeynet Project (http://project.honeynet.org/), grupo de investigadores que ha desarrollado un sistema llamado honeypot, cuyo objetivo es el análisis de la forma como los hackers realizan los ataques; la idea consiste en dejar un servidor aparentemente desprotegido, pero estrechamente vigilado, en el momento en que un atacante intenta obtener acceso se le ponen algunas barreras, para ver como las evita y una vez adentro, analizar que es lo que se hace, que se busca, etc. Al mismo tiempo, un programa comienza a monitorear su equipo, vieno las teclas que presiona, los comandos que ejecuta e incluso, el email que manda y sesiones de chat que inicia; ellos no están interesados en atrapar a los atacantes (cosa que podrían hacer las fuerzas de seguridad que monten un honeynet), sólo en el análisis de la conducta humana.

Def Con 9

Este evento, que comezó por ser sólo una curiosidad donde unos cuantos hackers se reunian, hasta convertirse en un evento donde se reunen miles de personas (4,500 este año) y donde el FBI manda agentes dizque disfrazados para poder localizar a vandalos de la Red, pero siempre termina en un conocido juego llamado "spot de fed" (localiza al federal), donde los asistentes advinan quienes son agentes y los expulsan de las reuniones. Un punto interesante es que, aunque la mayor parte continuan siendo script kiddies con pocos conocimientos reales, también se notó que varios de los asistentes son veteranos y que se busca más crear conciencia sobre las implicaciones y los compromisos que sobre la forma de crackear un servidor, aunque no faltaron los juegos y algunas presentaciones interesantes.

Buscando hacer algo más constructivo, algunos representantes de organizaciones de los Derechos Humanos apoyaron y solicitaron la colaboración de los asistentes para el Proyecto Hacktivismo, que fue anunciado publicamente en julio del 2000 y que busca compartir información anónimamente sobre la Internet para reportar casos de abuso a los derechos humanos. Este es un proyecto iniciado por Oxblood Ruffin, Ministro del Extranjero del Cult of Dead Cow o cDc (http://www.cultdeadcow.com/). Para esto está en desarrollo una aplicación denominada Peekabooty, que combina la transferencia de datos tipo Napster pero protegiendo la fuente del envío, se había programado su presentación durante la conferencia, pero debido a problemas técnicos se aplazó para mejor ocasión. Pueden ver un interesante FAQ en http://www.cultdeadcow.com/cDc_files/HacktivismoFAQ.html.

En un hecho sin precedente, se abrió un panel denominado Conoce a los federales (Meet the Fed), donde siete representantes del gobierno norteamericano dijeron en pocas palabras "somos del gobierno y necesitamos que nos ayuden". Upps. La idea es muy sencilla, llegar a las mentes jovenes y que todavía no cruzan la línea de la ilegalidad para hacerlos más responsables y evitar tener que vigilar su espalda de sus propios consiudadanos; además que se ofreció la posibilidad de reclutar a algunos de ellos como expertos en diferentes instituciones de seguridad. Y seamos francos, hubo muchas solicitudes al respecto.

Un hecho que también levantó polémica fue el arresto, por parte del FBI, de Dmitry Sklyarov, un experto en encriptación que acababa de dar una conferencia sobre los problemas en los formatos PDF y e-book de Adobe, por los cargos de haber publicado una herramienta que desencripta el formato de los e-books y los pasa al formato PDF, lo que se considera una violación a la Digital Millennium Copyright Act, cuya pena podría alcanzar los $500,000 doláres de multa y hasta cinco años de prisión. Sklyarov es un programador líder de la empresa rusa ElcomSoft (http://www.ElcomSoft.com/). Ya las protestas se dejan sentir y todavía no hay nada claro al respecto.

Tal vez lo más inquietante de ambos eventos lo sintetizó Jay Beale, director del equipo de seguridad de MandrakeSoft (distribución de Linux), que enfatizó el hecho que ya es demasiada gente la que sabe sobre el tema. "Sólo los paranoicos sobreviven", diría Bill Gates.