jueves, 25 de septiembre de 2014

La autodestructiva gestión digital de la raza humana

Mientras el tigre no puede dejar de ser tigre, no puede destigrarse, el hombre vive en riesgo permanente de deshumanizarse”.  Un peligro acechante en nuestra propia naturaleza, que Ortega y Gasset sacaba a relucir en esta cita, y que nos lleva día tras día a una autodestructiva situación de riesgo.


La noticia de la jornada, y presumiblemente, del mes, es el descubrimiento de una grave vulnerabilidad en la gestión de variables de Bash, el intérprete de comandos para sistemas operativos Unix (Linux y OS X) y que permite la ejecución de código saltándose todas las protecciones habidas y por haber. Hablamos de lo que algunos expertos empiezan a señalar como el nuevo Heartbleed, ya que afecta a prácticamente la gran mayoría de servicios, ya sean páginas web con CGI’s accesibles, servidores con SSH habilitado, clientes DHCP con shells, aplicaciones en sistemas operativos basados en Linux (como Android), cajeros, TVs inteligentes, y en definitiva a cualquier herramienta que corra por encima de un sistema con shell Unix. La mayoría de distribuciones ya se han puesto mano a la obra, y por Internet han empezado a surgir parches para los distintos servicios, pero como es habitual, requiere que uno a uno todos los administradores de estos sistemas implanten el parche, lo que llevará su tiempo.

Bajo la sombra del bug de Bash, en el día de ayer se dieron cita dos noticias que como rayos de sol alumbran positivamente el futuro nuestra civilización. La librería criptográfica NSS, básica para el buen funcionamiento de las conexiones seguras (HTTPs) en muchos servicios de internet (tales como Firefox, Thunderbird o SeaMonkey) recibía una actualización que solucionaba otra vulnerabilidad crítica, que presumiblemente ha sido explotada durante meses, permitiendo realizar ataques de phishing en conexiones supuestamente seguras.

Y Twitter, la red de microblogging del pajarito, implementaba, esta vez si, los controles necesarios para asegurarse que las peticiones a su servidor se hacían dentro de sus dominios, evitando un CSRF (Cross Site Request Forgery) de libro. Lo curioso del caso era que parte del trabajo ya estaba hecho. Las peticiones iban acompañadas de un token aleatorio (bien hecho) pero que no llegaba a validarse en ningún momento, por lo que en la práctica la medida anti-CRSF no entraba nunca en acción, permitiendo que desde otras pestañas o servicios se lanzaran peticiones maliciosas (como podría ser la publicación de tweets, el robo de credenciales de acceso a la cuenta, datos personales, follow, RTs y FAVs a terceros,...).

A esto, unirle la evolución del phishing telefónico ruso, uno de los más activos históricamente, hacia territorios menos explorados, como el de los servicios de videollamadas por internet. La cruzada de las operadoras del país para defenderse de este tipo de campañas, unido a la paulativa proliferación de los servicios de VoIP como Skype, han llevado a estas bandas de cibercriminales a migrar sus recursos al servicio de Microsoft, con chantajes y peticiones económicas de supuestos amigos de la víctima. 

¿Por qué nuestra especie actúa de esta manera? ¿Por qué tenemos a hacer daño ya no solo al resto de especies, sino a los individuos de la nuestra? Virus Bulletin 2014, uno de los eventos enfocados a AVs más importantes del año, celebrado en Seattle, deja como corolario la muerte de los virus informáticos. Y pese a que la noticia podría parecer buena, tiene un gran pero. No es que nuestra civilización haya aprendido a vivir en armonía, sino que el virus como tal, esa herramienta utilizada para causar el mal en los medios digitales, ha evolucionado y diversificado tanto su ámbito de acción que a día de hoy su definición es inexacta. Los antivirus de nuestros días no protegen contra virus, sino contra amenazas de muy diversa índole, que heredan de esta antigua arma cibernética únicamente su afán destructivo.

Por todo ello, Nico, organizado de la No CON Name española, se pregunta el sentido que tiene realmente la proliferación de eventos de seguridad ¿Qué objetivos persiguen? ¿Qué valor aportan a la sociedad? Y sobre todo, si todo este “circo” está alimentando el voyeurismo de nuestra especie, perdiendo el norte sobre lo verdaderamente importante: conocer los riesgos a los que nos enfrentamos, y otorgar al usuario las herramientas para hacerles frente.

0 comentarios:

Publicar un comentario