Informatica Publica

InformaticaPublica
Informàtica al servei públic

03/06/2004

El guru de la seguretat Steve Bellovin demana lleis que castiguin als fabricants de programes defectuosos

En la seva visita a Barcelona Steven Bellovin fou entrevistat per Mercè Molist i Xavier Caballé:


Steven Bellovin porta vint anys treballant als laboratoris de la companyia telefònica AT&T. Actiu membre de la Internet Engineering Task Force, cofundador del sistema de notícies Usenet en els seus anys d'estudiant, fa un dècada escrivia, juntament amb Bill Cheswick, "Firewalls and Internet Security: Repelling the Wily Hacker", avui llibre de referència per als experts en seguretat. Bellovin és també assessor del govern dels Estats Units.

La seva frase preferida és "no tinc una solució màgica", malgrat que sigui d'aquelles persones amb capacitat per a identificar els autèntics problemes. No usa Windows ni Linux sinó NetBSD i diu: "Un dels principals problemes és que pràcticament tothom està usant el mateix programari. Si Microsoft comet un error, tots el pateixen. Necessitem biodiversitat als ordinadors. A més, Microsoft no fa les coses tan bé com podria, el que arriba a afectar als que no emprem els seus productes, com quan un cuc col·lapsa la xarxa".

El guru no creu que la culpa sigui dels usuaris: "Es publiquen constantment actualitzacions i pegats, fins al punt que molta gent no pot seguir el ritme. A més, els ordinadors són cada cop més complicats, és necessari instal·lar coses contínuament i usem programari que no controlem. Una lliçó que vaig aprendre fa 35 anys és no instal·lar mai la versió .0 de qualsevol producte. És precís esperar un temps, que es descobreixin els problemes que segur té".

Bellovin advoca per "una legislació que fixi la responsabilitat dels fabricants: si faig cotxes i la gent pateix accidents per una errada meva, les lleis diuen que en sóc responsable. En la indústria del programari, si els clients d'un banc perden els seus estalvis per culpa d'un producte informàtic, el fabricant no té responsabilitat. Les empreses diuen que fer més segurs els seus programes no és rendible. Aquesta percepció canviaria si tinguessin responsabilitat sobre les incidències".

L'expert somriu quan se li pregunta pel Tractat Internacional de Cibercrim, que entra en vigor al juliol: "És bo que hi hagi estipulacions generals, però l'existència de massa regulacions i la possibilitat de vigilar indiscriminadament l'activitat de la gent entren en conflicte directe amb els nostres drets. És una legislació millorable, dóna massa poder a les forces de l'ordre i és un error que prohibeixi la possessió d'eines de hacking. El professional de la seguretat necessita conèixer què s'està executant a la seva xarxa i no té un altre mètode que aquestes eines".

Bellovin tampoc espera miracles de les lleis per al correu escombraries o de les veus que proposen autentificar els missatges per a evitar-ne els no sol·licitats: "És totalment fals que això solucioni el problema. Tant tu com un "spammer" podeu enviar-me un missatge signat digitalment. Si mai ens hem comunicat abans, com sé que el teu correu és legítim? També diuen que podríem permetre només el correu procedent dels principals proveïdors, però qui decideix que aquest és un proveïdor i aquest no? D'altra banda, alguns permeten als "spammers" emprar els seus serveis, ja que són clients que paguen".

Segons l'expert, un alt percentatge de correu escombraries ve d'ordinadors personals atacats: "Els "spammers" i els hackers han format una aliança, els hackers reben una compensació econòmica per introduir-se a les màquines i convertir-les en sistemes d'enviament de "spam". Si, com proposen, el proveïdor cobra a l'usuari domèstic per enviar correu i li han "hackejat" l'ordinador, acabarà pagant ell. Els virus són el mateix problema: la principal raó dels cucs que obren portes secretes és enviar "spam" o instal·lar "spyware". Això sí que necessita legislació".

Pel que fa a l'augment de hackers mercenaris, Bellovin afirma: "La major part del hacking que es realitza actualment té objectius criminals. Ara mateix, tenim un escàndol als Estats Units perquè membres d'un partit polític han atacat els sistemes d'un altre per a espiar-lo. Fa un any, una de les principals universitats espiava les peticions de candidats a una altra universitat. Les empreses i la policia no volen comentar aquests problemes. És més, només un 3% de les intrusions són detectades, però no em sorprendria que en els propers mesos veiéssim més notícies com aquestes".

El bit insegur

Els protocols d'Internet es descriuen en els documents anomenats Request For Comments (RFC). L'1 d'abril del 2003, dia dels innocents als Estats Units, Steven Bellovin publicava un RFC on llançava la idea del "bit de seguretat": que alguns bits del tràfic malèvol portessin una marca especial per a què els tallafocs els poguessin detectar. La innocentada fou llargament comentada i, diu, "encara avui rebo missatges parlant-ne".

Steve Bellovin: http://www.research.att.com/~smb


Copyleft 2004 Mercè Molist/Xavier Caballé.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.


Més info a: www.quands.info/stories/2004/05/26/bellovin.html



Veure notícia anterior Suspesos els vols al Regne Unit per una averia informàtica    Veure notícia següent L'estatut dels treballadors avala el control d'e-mails dels empleats   
Comentar Notícia Comentaris   Enviar la notícia a algú Enviar notícia   Rebre noticies a la teva bustia d'e-mail Rebre notícies   Print Imprimir  
Home Portada   Titulars Veure titulars   Buscar notícia