Atalaya: desde la tela de araña

Cultura en la red, reflexiones, relatos, tutoriales y paridas diversas

¿A dónde vas, Internet?

2003-12-03 01:25 Uno se siente tentado a contestar, así a bote pronto, de culo, cuesta abajo y sin frenos. No es que el correo basura haya superado al correo "normal", es que ya circula como diez veces más correo basura que correo legítimo (y cuesta ya dos mil millones de dólares al año); en la mayor parte de los casos, se trata de fraudes. Del resto, un porcentaje también considerable son gusanos que aprovechan las innovaciones introducidas por los sistemas operativos creados en la zona de Seattle (vamos, Microchof, para entendernos) para propagarse de ordenador en ordenador. Cualquiera que tenga un cortafuegos, o un sistema de detección de ataques medianamente bueno, como el Snort+MySQL+ACID, se dará cuenta que una parte considerable de los paquetes que recibe de Internet son ataques, automatizados o bien hechos personalmente por alguien usando alguna herramienta.
Así, lo mejor que puede uno pedir es aquello de virgencica, que me quede como estoy. De hecho, el Economist ha publicado recientemente un artículo sobre cómo acabar con todos los problemas de seguridad y similares (via Xavier Caballé y Slashdot). Propone, por ejemplo, un cambio en las licencias de software que haga responsable, al menos en parte, al creador de un programa de los problemas causados por errores en el mismo. Mala solución me parece: de hecho, la mayor parte del software libre dejaría simplemente de existir: nadie se atrevería a soltar ni un mal programilla que te saque un directorio de colores, ante el temor de que se pueda usar, por manos malignas, para alterar la información de algún disco duro ajeno. Pero tampoco es que haya que preocuparse: como cualquier solución de tipo legal, tendría que implantarse en todos y cada uno de los paises del mundo, incluido el principado de Sealand para que sea realmente efectivo. Sin embargo, es evidente que gran parte de los problemas existentes hoy en día se deben a esos errores, y que algún grado de responsabilidad tendrá quien crea el programa; lo mejor, sin embargo, en vez de usar medidas legales, es dejar simplemente que actúe el mercado, y que elija las opciones más seguras. Quizás la solución sea que todos los programas que se ejecuten en cualquier entorno donde haya cualquier tipo de interacción sea con el usuario, sea con ordenadores o periféricos, sea considerado mission-critical, es decir, como los programas que se ejecutan en el transbordador espacial o en una máquina de tomografía axial computerizada: programas con 0 errores. En el momento que cualquier ordenador conectado a Internet está, de hecho, conectado con cualquier otro ordenador, también, de hecho, está conectado a cualquier persona, y, de hecho, no se puede confiar en nadie.
Pasaron ya esos tiempos (si es que alguna vez existieron) en que la Internet era como la Comarca, donde cientos y miles de felices hobbits deseosos de ayudarse unos a otros prestaban servicios desinteresadamente a toda la comunidad. La Internet está llena de Urukhai, y nuestro ordenador debe ser al menos tan seguro como el abismo de Helms, si queremos sobrevivir en él.
Parte de esa protección es tener las mejores armaduras; la seguridad de un programa debe ser uno de los principales requisitos, y la seguridad incluye el tener 0 errores. Pero cero patatero. Ya hay metodologías de programación enfocadas hacia esto: por ejemplo, la programación segura usando auditorías de seguridad, propuesta por Theo de Raadt, o la metodología de programación segura.
Sin embargo, no todos los problemas se basan en los fallos de seguridad. El spam, por ejemplo, se aprovecha de fallos en la configuración usual de ciertos programas de envío y recepción de correo, como sendmail (que es el más usado en Internet), que permiten a cualquier otro ordenador, sin autentificarse, usar tu ordenador como repetidor para ocultar el origen del mensaje. Hoy en día, la mayor parte del spam usa este tipo de repetidores, burlando de esa forma los filtros basados en el ordenador origen del mensaje. En este caso, la solución teórica es más fácil todavía: que todas las configuraciones por defecto de todos los programas sean "seguras", es decir, que no permitan uso no autorizado.
¿Hay esperanza de que todo esto suceda? La verdad, no lo sé. Por lo pronto, no mucha, la verdad.

Referencias (TrackBacks)

URL de trackback de esta historia http://atalaya.blogalia.com//trackbacks/13583

Comentarios

1
De: Arkangel Fecha: 2003-12-03 09:17

Seguridad, curioso concepto. Curioso para la mediana (y pequeña) empresa (que son las que abundan en tu tierra, que es la mia), que quiere hacer un crecimiento rapido, pero seguro (ja!). Quizá me esté yendo un poco del centro de tu articulo, pero está muy relacionado...

¿Tu crees que una empresa, que no se dedica a informática, pero que tiene informaticos, dedica realmente recursos a la seguridad? Ya es complicado que las cosas salgan en tiempos, formas, maneras y circunstancias, como para coger y decirle a tu jefe: oye, que todo esto hay que pasarlo por una fase beta, que ni se te ocurra pensar que mañana... Están malacostumbrados, y es culpa nuestra (mea culpa), de informáticos aficionaillos, de todo a cien, que lo mismo programamos un asp que instalamos un IIS, que intentamos administrar una frame relay. Y hay que hacerlo, porque una empresa pequeña no tiene recursos para tanto outsourcing como se require. Y dejamos agujeros. Muchos. Mis ip's han figurado en listas negras de relays abiertos (ya no lo están, afortunadamente ;), incluso cuando yo sabía que eso iba a pasar. Pero no tenía tiempo para ponerme a estudiar como filtrar el SMTP. Bastante era haber puesto en marcha el sistema, mas o menos chapuceramente, pero también de una forma eminentemente práctica: funciona. Creo que aproximandonos al problema desde este punto de vista se comprenden mejor algunas cosas... No todo es *nix (manquenospese), por diversos motivos. Ni todos los Linux que hay están bien configurados (ni todos, ni muchos). A mi el Microleches es lo que me da para beber, y para vivir, y aunque puedo criticarlo (que lo hago), tengo que ser muy consciente de ello.

En fin, es que necesitaba desahogarme, siento el coñazo ;-)



2
De: rvr Fecha: 2003-12-03 19:08

¿Tienes algún enlace donde den las estadísticas de que el spam es ya diez veces más importante que el correo 'normal'?



3
De: XB Fecha: 2003-12-04 01:02

Bueno a falta de ver esas estadísticas, en mi caso mi spamassassin recoge en estos momentos un 80% de correo "normal" y el resto de correo esperado. Hablo de una media mínima de 100 mensajes al día.


Saludos
XB



4
De: XB Fecha: 2003-12-04 01:03

Ejem, corrijo.

.....un 80% de "spam" y el resto de correo "normal.....



5
De: Anónimo Fecha: 2003-12-04 03:13


No pongo mi nombre por no dar pistas al admitir esto.

Yo no sufro SPAM.

¿Hay premio?



6
De: enlavin Fecha: 2003-12-05 00:56

Para anónimo.

Sí que hay premio: si nos das tu email te diremos como alargar tu pene.

:P



7
De: facundo Fecha: 2006-10-03 22:46

quiero agrandarlo



Se comenta en...

  • JJ en [Libro #1] Harry Potter and the Cursed Child, de JK Rowling, John Tiffany y Jack Thorne
  • Anonima en [Libro #1] Harry Potter and the Cursed Child, de JK Rowling, John Tiffany y Jack Thorne
  • JJ en [Libro #29] El guardián invisible, de Dolores Redondo
  • Jorge en [Libro #29] El guardián invisible, de Dolores Redondo
  • JJ en [Libro #30] Code simplicity, de Max Kanat-Alexander
  • rvr en [Libro #30] Code simplicity, de Max Kanat-Alexander
  • JJ en [Libro #22] Fantasía, de Emilia Pardo Bazán
  • Palimp en [Libro #22] Fantasía, de Emilia Pardo Bazán
  • marta en [Libro #21] Birchwood, de John Banville
  • JJ en [Libro #10] The son, de Jo Nesbo
  • Sobre Atalaya

    Esta es la bitácora o blog de Juan Julián Merelo. Si quieres contactar con el autor, usa su correo electrónico jjmerelo (arroba) gmail.com, o simplemente deja un comentario. Y si quieres leer alguna cosa más de las que escribe, prueba esta novela

    Listas de deseos

    A veces leo

    Otras veces escribo en

    Blogalia Blogalia