miércoles, 1 de octubre de 2014

El incentivo de la sociedad de la información

”Incentivo, aliciente, acicate, reclamo, atractivo, estímulo, prima, premio,...” Todos sinónimos de uno de los principales motores que mantienen en funcionamiento los engranajes de nuestra sociedad. Engranajes que trabajan juntos por el bien común, o separados, enfrentando la maquinaria interna entre sí, poniendo a prueba el material del que está hecha.


Una lección que tiene muy bien aprendida Google, ese gigante tecnológico capaz de posicionarse como una de las empresas más valiosas de la actualidad con menos de dos décadas de historia. Y lo demuestra una vez más aumentando las recompensas de su programa de incentivos para todos aquellos auditores que encuentren bugs en alguna de sus herramientas. Una manera de mantenerse al pie del cañón en un mercado que evoluciona a cada segundo, y que ofrece más garantías de éxito a mucho menor precio.

Porque muy señor mío, el dinero mueve mundos. Es el estímulo perfecto para corromper a ese reducido grupo de expertos en seguridad para que acaben en las filas de la industria del crimen. Los ataques a terminales de tarjetas de crédito, esos ordenadores expuestos en plena calle que nos permiten consultar nuestro saldo y alimentar nuestros caprichos, representan El Dorado de estas bandas. Y para comprometerlos, ni se mueven de sus sillas, escaneando Internet en busca de sistemas operativos que estén manejando cadenas reconocibles, y buscando exploits en ellos hasta que acceden a su interior.

El dinero es atractivo, atesora la atención de todos. Buenos y malos libran cada día una intensa batalla alrededor de este bien preciado ¿Cómo reducir el fraude bancario? ¿Cómo prevenir el robo de tarjetas de crédito y su uso para transacciones ilegales? Por CA Technologies apuntan a la aplicación de técnicas de machine learning. Una suerte de sistema que aprende de nuestros hábitos, y que es capaz de alertar e incluso bloquear la cuenta cuando el patrón habitual no coincide con las peticiones del supuesto cliente.

Y seguimos con Shellshock, esa vulnerabilidad en la gestión de variables de entorno en bash que como ya vimos en anteriores artículos afecta a la práctica totalidad de sistemas online. Buenas y malas noticias. La buena, que desde ayer todos los usuarios de sistemas operativos OS X (versión Mavericks, Mountain Lion y Lion) cuentan ya con un parche (esta vez ya completo) que pone fin al exploit. Bastaría con acceder a Actualización de Software o descargarlo directamente de los servidores de Apple, en caso de que todavía no haya llegado al terminal.

La mala, que entre los múltiples servicios afectados por la vulnerabilidad, se encuentran todos los servidores basados en tecnología OpenVPN, usada para la comunicación entre clientes y servicios o entre servicios y servicios mediante un túnel privado virtual. El propio sistema permite la ejecución de código por bash, lo que pone en peligro la supuesta seguridad de una VPN basada en este protocolo.

¿Qué mejor premio hay para un hacker que el conocimiento? Eso debió pensar Alessandro Tanasi, harto de volverse loco buscando documentación, papers, podcasts y charlas sobre seguridad informática. Tanto, que ha decidido crear un directorio llamado SecDocs donde espera recopilar toda esa valiosa información. La figura de una BBS (Bulletin Board System) que tanto ayudó a aquellas primeras generaciones de hackers a compartir información, y que con el paso del tiempo y la evolución de la web, han quedado prácticamente en desuso.

Incentivos para levantarnos cada día y reclamos para mantener alimentada nuestra ansia de aprendizaje. No hay mejor arma que el conocimiento, y en nuestra mano está la capacidad de compartirlo ¡Muchas gracias!

0 comentarios:

Publicar un comentario