| Artículos | 01 NOV 2001

"Cuanto más complejo es el software, más inseguros son los sistemas"

Tags: Histórico
Bruce Schneier, CTO de Counterpane y experto en seguridad
Kim Zetter.
Bruce Schneier es el fundador y CTO de la firma Counterpane de seguridad en Internet. Ha escrito dos libros sobre criptografía y seguridad informática, y es un abierto crítico de Microsoft y de otros fabricantes de software cuyos productos tienen peligrosos agujeros de seguridad. PC World.com ha hablado con él sobre quién es responsable de estos fallos y qué pueden hacer los usuarios frente a este problema.

¿Hay cada vez más fallos de seguridad o es que ahora tenemos más medios para encontrarlos?
- Ambas cosas. Hay miles de fallos en el software, pero también sabemos buscarlos mejor, aunque sigue habiendo muchos que no podemos encontrar. El problema es cada vez mayor y la principal razón es la complejidad del software, que es un enemigo de la seguridad. Cuanto más complejos son los sistemas, menos seguros son.

¿Por qué no dedican más tiempo los fabricantes a probar los productos para encontrar y arreglar los fallos de seguridad antes de lanzarlos al mercado?
- Porque al mercado no le importa la seguridad. Una compañía como Microsoft podría dedicar un año más a desarrollar la próxima versión de Windows, con un equipo de 200 ó 500 personas más dedicadas a probarlo. Pero entonces el software llegaría al mercado con un año de retraso.

Scott Culp, jefe del Centro de Seguridad de Microsoft, dice que eso es lo que hizo con Windows 2000, retrasarlo para arreglar los fallos.
- Dijeron que Windows 2000 sería más seguro que cualquier otra versión del software hasta la fecha. Pero tiene más fallos de seguridad que cualquier otra versión de Windows.

¿Por qué los hackers pueden encontrar fallos que Microsoft no ha visto?
- Esto no le pasa sólo a Microsoft. Hay miles de personas buscando agujeros de seguridad, así que acaban encontrándolos. Puede llevarles días, semanas o meses, pero el caso es que hay fallos y consiguen dar con ellos. Estoy seguro de que las compañías de software hacen pruebas y encuentran fallos, pero no se esfuerzan demasiado. Le dirán que sí lo hacen, pero no es cierto.
Tiene que haber un incentivo en el mercado para proporcionar seguridad. O pierdes ventas o te ponen demandas. Pero no hay ese tipo de responsabilidades con el software: si Microsoft vende un producto inseguro y a usted le roban sus datos, la compañía no es responsable de ello.
Creo que los consumidores deberían ser conscientes de esto. Nunca consentiríamos tal inseguridad en una escalera, un automóvil o un avión, pero sin embargo sí que la aceptamos en el software.

Sí, pero nadie se muere por un fallo de seguridad...
- Pero a veces muere gente por un fallo en un software. No ocurre muy a menudo, pero ha habido víctimas debidas a fallos del software de dispositivos médicos. Lo que pasa es que sólo se publica información de los fallos de Windows. Normalmente sólo se pierde dinero... una enorme cantidad de dinero debida a fallos informáticos. ¿Ha habido alguna denuncia por esto contra compañías como Microsoft?

Pero usted afirma que cuanto más complejo es un software, más probabilidades hay de que tenga fallos.
- Sí, pero tiene que haber un equilibrio. Los fabricantes de coches han luchado por lograr este equilibrio. Cada año hay nuevos modelos con nuevas prestaciones, pero también con seguridad. Jamás le van a ofrecer un coche a sabiendas de que es inseguro, aunque fuera beneficioso para ellos. Por tanto, hay un equilibrio, y ese equilibrio se ha logrado después de muchos años a través de denuncias, leyes y políticas encaminadas a lograrlo. El problema del software es que sólo se tiene un lado de la balanza -las prestaciones- pero jamás se tiene el otro -la fiabilidad, seguridad y responsabilidad-.

Usted dice que no hay mejoras en el software, que una y otra vez surgen los mismos problemas...
- El típico desbordamiento del buffer es un claro ejemplo de por qué no se solucionan los problemas. Se descubrió en la década de los 60 y se empezó a utilizar para atacar los ordenadores en la década de los 70. El gusano Morris en 1989 hacía uso público del desbordamiento del buffer, y afectó al 10% de los ordenadores de Internet. Aquí estamos, cuarenta años después, y sigue siendo el problema de seguridad más común. Y es un problema fácil de resolver. Si eres un fabricante de software, no tienes excusas.

¿Cree que Microsoft resuelve bien los fallos de seguridad de sus productos, una vez descubiertos?
- Realmente dedican mucho más tiempo a hablar de seguridad que a “fabricar” seguridad. Cuando se encuentra un fallo en un producto de Microsoft, normalmente la compañía lo niega hasta que es evidente que existe.

¿Quiere decir que el Centro de Respuesta de Seguridad de Microsoft no responde adecuadamente?
- Si es un fallo sencillo, lo arreglarán rápidamente y anunciarán que lo han hecho para demostrar que son buenos. Si es un fallo complicado, dirán que no es problemático. Es decir, hasta que encuentren el parche que lo solucione, continuarán hablando de lo buenos que son. Lamentablemente, Microsoft se toma el problema de la seguridad como si se tratase de hacer relaciones públicas, y lo hacen siempre que pueden para tener buena imagen.

La tendencia de hacer públicos los fallos ¿es beneficiosa o perjudicial para la seguridad?
- Esa tendencia apareció porque las empresas estaban ignorando los problemas de los fallos de seguridad, o mentían acerca de ellos. Los profesionales de la seguridad -o los aficionados- encontraban un fallo, avisaban a la compañía y la compañía les amenazaba con denunciarles y no hacía nada por arreglarlo. O bien enviaban la vulnerabilidad a una organización como el CERT (Computer Emergency Response Team) de la Carnegie Mellon University, que la retenía durante cinco meses.
Así que el movimiento por la publicación de fallos surgió de la frustración. Y por dios que funciona bien. Si hace un puñado de años le decías a Microsoft que había un problema con su software, te mandaban callar. Ahora saben que tienen que arreglarlo rápido si no quieren salir en el periódico la semana que viene.
Por otra parte, también este movimiento ha ayudado de alguna manera a “los chicos malos”, pero también a los buenos. Así que son las dos caras de una misma moneda. Creo que si desapareciese esta tendencia las empresas volverían a dedicarse al marketing y no se preocuparían por los fallos. Así que hay que seguir presionándolas. Ahora lo que se suele hacer es alertar a la compañía, darles la información y anunciar la vulnerabilidad. Y parece que así funciona bien la cosa.

Muchos caza-fallos, cuando anuncian una vulnerabilidad, incluyen el código necesario para explotarla. ¿Por qué avisan al mismo tiempo a los usuarios de un fallo y a los hackers de la forma de aprovecharse de él?
- Porque, lamentablemente, muchas empresas dicen “bueno, es una vulnerabilidad teórica que realmente no funciona”... Lo hacen para demostrar que sí.

Pero podrían limitarse a enviar el código a Microsoft para demostrar que no es un fallo teórico, y no mostrarlo al mundo entero.
- Pero entonces el fabricante mentiría. Diría que nunca había recibido ese aviso, o que lo había probado y no funcionó. Usted está dando por sentado que las empresas son hone

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información