Búsqueda

Páginas vistas en total

Seguir por correo electrónico

Con la tecnología de Blogger.

Follow Me

SubscribeIpsum in in.
A dolor nec.Twitter
Volutpat. Facebook
Quisque. Flickr

Seguidores

Seguir

Archivo

domingo, 3 de marzo de 2013

Miedo, asco ( y algo de aburrimiento) en el oscuro mundo de la seguridad informática

Vacuus Finium se extiende a Twitter, para comentarios espontáneos durante el día, me pueden seguir en @vacuusfinium.

Termina la semana, y todo indica que ningún gigante tecnológico,va a confesar que fue víctima de un "sofisticado" ataque cibernético. No hay que olvidar que Facebook, Apple y Microsoft, tuvieron que dar un trago amargo en público, y reconocer que habían rechazado intentos de penetrar su información corporativa.

Sin embargo esta aparente calma, solo presagia una tormenta mayor, ya que no podemos ignorar la nueva realidad: en el mundo de Internet y las comunicaciones electrónicas, estamos viviendo en una tierra sin ley, algo así como una mezcla entre el salvaje oeste y un mercado negro en zona de guerra.

Esta semana se realizó la reunión de la industria de la seguridad informática RSA Conference, en la ciudad de San Francisco, California. Reunidos en el monumental espacio del Moscone Convention Center, se encontraba un supuesto quién es quién de la industria. Muchos metros cuadrados dedicados a tratar de vender muchos productos, y he aquí una de las grandes paradojas: de acuerdo a sus cuentas, todos son líderes de industria. Traduciendo a la realidad: cuando todos son líderes, en realidad nadie es líder. Y la edición de RSA de este año tuvo una rara condición: en el piso de exhibición, y de riguroso incógnito estaba Vacuus Finium, en glorioso technicolor.

Y lo que hay que reportar en el fondo no son buenas noticias, nuestros negocios y nuestras vidas tienen una marcada dependencia de una infraestructura informática y de comunicaciones que es increíblemente frágil. Una de las primeras conclusiones que se pueden obtener, con una observación crítica de lo presentado en RSA, es que estamos en una desigual carrera en el que una amorfa colección de entes con todo tipo de intenciones, está tratando de rebasar a un orden establecido, y estos últimos no cuentan con el lujo de poder fallar en una sola ocasión.

Si bien los virus, troyanos y gusanos no han desaparecido, su mención nos refiere a días más pacíficos e inocentes. Hoy en día tenemos además de la referida fauna, tecnologías más sofisticadas para distribución de software malicioso en una actividad frenética durante veinticuatro horas al día, los siete días de la semana.  ¿Qué buscan estos delincuentes? Un catálogo largo y por desgracia no exhaustivo:

  • "Secuestrar" computadoras y generar clicks hacia sitios de su propiedad, y de esa forma beneficiarse de ingresos publicitarios ilegítimos.
  • Robar información personal y financiera, para la que existe un amplio mercado negro.
  • Robar información industrial, para la que existe un mercado todavía más amplio.
  • Simplemente fastidiar a las organizaciones de cualquier tamaño, obviamente mientras más grandes mejor.

El motor detrás de esta actividad es sin duda, la búsqueda de un beneficio económico y lejos han quedado los días en que los delincuentes cibernéticos eran adolescentes alienados, que buscaban atención y prestigio. Aunque sin duda este grupo sigue en funciones, hoy en día los ataques cibernéticos están ligados a las mafias internacionales y siempre queda la duda de la intervención de algunos gobiernos.

Una de las sesiones estelares de RSA, era un panel para discutir la nueva orden ejecutiva de la Casa Blanca, y me parece que de alguna manera fijó el tono para la semana. Ante un auditorio lleno a tope, se habló de un nuevo mundo peligroso, y un público sediento por llevarse una señal clara, se fue con las manos vacías. Durante la sesión de preguntas y respuestas, cuando empezaron las teorías de la conspiración, supe que era el momento de buscar otra sesión. El reporte de la consultora Mandiant, presente en la exhibición por supuesto, sobre las actividades organizadas de ataques cibernéticos atribuible al ejército chino, era el gran fantasma de la sesión.

La empresa china Huawei, tenía su presencia en la exposición, aunque de forma muy significativa, ocupaban un espacio en el rincón más alejado del Moscone Center, justo al final. ¿Mala suerte al comprar el espacio? ¿Reconocimiento tácito de que en realidad viven en los márgenes de la industria de la seguridad informática? De cualquier forma, en el momento en que pasé junto a su stand, estaban dando una presentación ante una numerosa audiencia. Me imagino que hay un público ansioso de comprar "puertas traseras"al menor precio posible. PT Barnum, tenía una mejor descripción, aunque políticamente incorrecta.

También había una empresa china ofreciendo servicios de "destrucción" de información corporativa de forma garantizada. Este servicio resuelve un problema práctico para las grandes corporaciones, ya que cuando hacen un reemplazo de su equipo de cómputo, tienen que tomarse la molestia de eliminar cualquier información de los discos duros. ¿Confiaría usted amable lector a una empresa china esta delicada tarea? Yo tampoco.

A medida que transcurría la semana, me fui dando cuenta que en realidad poco ha cambiado en la industria de la seguridad informática. En el glorioso año de nuestro señor de 1998, trabajaba en el glamouroso mundo de la consultoría y como parte de mi portafolio de servicios, tenía una serie de servicios ligados al mundo de la seguridad informática. Eran servicios muy novedosos en su tiempo y eran los primeros servicios de detecciones de fallas y ataques simulados. Prácticamente lo que se vendía era miedo y paranoia.

Para reforzar la tarea de promoción de estos servicios, me asignaron durante un tiempo al principal especialista en el ramo. Un individuo sin carrera universitaria, con una imponente figura de al menos 150 kilogramos de peso,  que se dedicaba a dar un discurso lleno de anécdotas y de forma curiosa todas sus anécdotas terminaban con un negocio con cuantiosas pérdidas económicas, producto del descuido de los responsables.

Hablaba de un universo oscuro, poblado por seres tomados de una película serie B, que trabajaba de forma consistente en atacar inocentes empresas. No vendimos mucho y en estricto sentido fue una vista que produjo números rojos, ya que una silla en una sala de juntas de un banco no resistió la humanidad de este consultor. Misericordiosamente no nos pasaron la factura.

La industria de la seguridad informática que recuerdo era una poblada por amenazas invisibles y reales, poblada por adolescentes tardíos en búsqueda de aceptación y dinero, y basada en el miedo. De acuerdo a lo que vi en RSA, en el fondo nada ha cambiado. Algunas notas:

  • No se pueden ignorar los riesgos que tiene la infraestructura cibernética, tanto de naciones como de corporaciones. Y la solución no es fácil, compadezco a las pobres almas que tienen esta responsabilidad y que después de visitar RSA tienen que tomar decisiones sobre inversiones y estrategia. Demasiadas empresas y demasiadas alternativas, mi primera impresión es que esta parte de la industria está pidiendo a gritos una consolidación.
  • Sin duda muchas de las mejores mentes de la industria, trabajan en esta especialidad. Muy visitada la librería del evento con títulos como "Hacker's delight" o "Assembly Language Book". También como muestra de las inseguridades en el fondo de la personalidad de los participantes, había títulos como "Dealing with People"y "Communicate with confidence".
  • En lo personal me atrajeron dos títulos: "21st Century Chinese Cyberwarfare" y "Blackhatonomics: An inside look at the economics of cybercrime". Espero pronto escribir sobre ellos.
  • Regresando a la personalidad de los asistentes, no de dejó de llamar la atención la prominencia de dos anuncios sobre centros de entretenimiento fino para caballeros y con descuento para los participantes en la conferencia. Lamentablemente por razones de una agenda repleta, desaproveché la oportunidad. 
  • Resulta evidente, aún para el observador poco experimentado, que estamos hablando de una rama industrial que vale billones de dólares.
En el tema de seguridad informática, me temo que apenas estamos iniciando la conversación y después de lo que vi durante una semana en el evento con toda la tecnología de punta sobre el tema, solo me queda concluir que vamos a tener que ceder parte de nuestra privacidad y de nuestras costumbres de uso en aras de la protección. Nada para estar de buen humor.

También no es cierto que tuvimos una semana sin ataques informáticos notables. La empresa Evernote, un gran servicio para manejar notas en la nube, sufrió un ataque y todos sus usuarios tuvimos que cambiar nuestras claves de acceso.

Algunas fotografías

El muy serio salón de exhibiciones


La librería



Los títulos que emocionan a los participantes

Otras alternativas que emocionan a los participantes (descuento prometido)

Postdata I  ¿De quién estamos hablando?

Como habrán notado algunos lectores, en esta nota estoy robando el título al genial y fallecido escritor Hunter S. Thompson, padre del periodismo gonzo, en el que el narrador se confunde con la historia. Hay una cita de Thompson, en la que describe a la industria de la televisión y su relación con el periodismo escrito, que me parece puede ser utilizada en otras situaciones. Voy a transcribir la cita, dejando en blanco el lugar de los implicados:

"El negocio de __________ es más feo que la mayoría de las cosas. Normalmente es percibido como una cruel y vacía trinchera de dinero, atravesada en el corazón de la industria de ______; un largo pasillo de plástico en el que ladrones y chulos corren libres y los hombres buenos mueren como perros sin una buena razón. Lo cual es más o menos cierto. En su mayoría son pequeños y sucios animales con grandes cerebros pero sin pulso"

Llenen los espacios en blanco con sus propuestas  y compartan los resultados en vacuusfinium@gmail.com

Postdata II Los sonidos de Vacuus Finium

La recomendación de esta semana es la grabación 2013 "Lemma" del compositor John Zorn. Zorn es un saxofonista normalmente asociado a la escena de la música improvisada de Nueva York, y ha sido una figura esencial en esta escena.  Es un músico prolífico, y además de ser un instrumentista notable, es un compositor contemporáneo digno de atención. 

Aunque "Lemma"es una grabación atribuida a Zorn, en realidad es un disco que contiene 3 composiciones para violín solista y simplemente son impresionantes. Me tocó ser testigo de la presentación de John Zorn en el Palacio de las Bellas Artes de México, ocasión memorable ya que los asistentes tuvimos la fortuna de presenciar su improvisación para saxofón solista "Classic Guide to Strategy", algo que no es muy frecuente.

Haber visitado San Francisco y no ir a Amoeba Music, es algo incomprensible para mi. Me parece evidente que hay una carrera contra el tiempo, y este modelo de tiendas está condenado a la extinción. De cualquier forma pasé un rato agradable y espero exista la oportunidad para una futura visita.









0 comments:

Publicar un comentario