2003-12-03 01:25
Uno se siente tentado a contestar, así a bote pronto, de culo, cuesta abajo y sin frenos. No es que el correo basura haya superado al correo "normal", es que ya circula como diez veces más correo basura que correo legítimo (y cuesta ya
dos mil millones de dólares al año); en la mayor parte de los casos, se trata de fraudes. Del resto, un porcentaje también considerable son gusanos que aprovechan las innovaciones introducidas por los sistemas operativos creados en la zona de Seattle (vamos, Microchof, para entendernos) para propagarse de ordenador en ordenador. Cualquiera que tenga un cortafuegos, o un sistema de detección de ataques medianamente bueno, como el
Snort+MySQL+ACID, se dará cuenta que una parte considerable de los paquetes que recibe de Internet son ataques, automatizados o bien hechos personalmente por alguien usando alguna herramienta.
Así, lo mejor que puede uno pedir es aquello de
virgencica, que me quede como estoy. De hecho, el
Economist ha publicado recientemente un artículo sobre cómo acabar con todos los problemas de seguridad y similares (via
Xavier Caballé y
Slashdot). Propone, por ejemplo, un cambio en las licencias de software que haga responsable, al menos en parte, al creador de un programa de los problemas causados por errores en el mismo. Mala solución me parece: de hecho, la mayor parte del software libre dejaría simplemente de existir: nadie se atrevería a soltar ni un mal programilla que te saque un directorio de colores, ante el temor de que se pueda usar, por manos malignas, para alterar la información de algún disco duro ajeno. Pero tampoco es que haya que preocuparse: como cualquier solución de tipo legal, tendría que implantarse en todos y cada uno de los paises del mundo, incluido
el principado de Sealand para que sea realmente efectivo. Sin embargo, es evidente que gran parte de los problemas existentes hoy en día se deben a esos errores, y que algún grado de responsabilidad tendrá quien crea el programa; lo mejor, sin embargo, en vez de usar medidas legales, es dejar simplemente que actúe el mercado, y que elija las opciones más seguras. Quizás la solución sea que todos los programas que se ejecuten en cualquier entorno donde haya cualquier tipo de interacción sea con el usuario, sea con ordenadores o periféricos, sea considerado
mission-critical, es decir, como los programas que se ejecutan en el transbordador espacial o en una máquina de tomografía axial computerizada: programas con 0 errores. En el momento que cualquier ordenador conectado a Internet está, de hecho, conectado con cualquier otro ordenador, también, de hecho, está conectado a cualquier persona, y, de hecho, no se puede confiar en nadie.
Pasaron ya esos tiempos (si es que alguna vez existieron) en que la Internet era como
la Comarca, donde cientos y miles de felices hobbits deseosos de ayudarse unos a otros prestaban servicios desinteresadamente a toda la comunidad. La Internet está llena de
Urukhai, y nuestro ordenador debe ser al menos tan seguro como el
abismo de Helms, si queremos sobrevivir en él.
Parte de esa protección es tener las mejores armaduras; la seguridad de un programa debe ser uno de los principales requisitos, y la seguridad incluye el tener 0 errores. Pero cero patatero. Ya hay metodologías de programación enfocadas hacia esto: por ejemplo, la
programación segura usando auditorías de seguridad, propuesta por Theo de Raadt, o la
metodología de programación segura.
Sin embargo, no todos los problemas se basan en los fallos de seguridad. El spam, por ejemplo, se aprovecha de fallos en la configuración usual de ciertos programas de envío y recepción de correo, como
sendmail (que es el más usado en Internet), que permiten a cualquier otro ordenador, sin autentificarse, usar tu ordenador como
repetidor para ocultar el origen del mensaje. Hoy en día, la mayor parte del spam usa este tipo de repetidores, burlando de esa forma los filtros basados en el ordenador origen del mensaje. En este caso, la solución teórica es más fácil todavía: que todas las configuraciones por defecto de todos los programas sean "seguras", es decir, que no permitan uso no autorizado.
¿Hay esperanza de que todo esto suceda? La verdad, no lo sé. Por lo pronto, no mucha, la verdad.