lunes, 28 de noviembre de 2011

Charla de inseguridad de las vías telemáticas por Chema Alonso




Cuando desarrollamos una aplicación está claro que debemos estar atentos a posibles fallos. Pero cuando esta aplicación la exponemos de cara a Internet debemos estar aún más atentos pues no solo corremos el riesgo de que deje de funcionar, sino de que información confidencial salga de la empresa.

De estos temas habla Chema Alonso, un informático especializado en seguridad informática que ha conseguido en varias ocasiones el premio MVP de Microsoft. Escuchando sus ponencias se puede descubrir el secreto para que no se fuguen datos por Internet que es: “no conectarse a Internet” ;).

Quizá el ejemplo más claro de ello es que tapa la Webcam con un papel con celo: “Oye, ¿Pero tu no eres un experto en seguridad?“. Por eso mismo”. Una de la problemática que tiene la seguridad es que lo que ocurre no es algo físico que se vea fácilmente. Por ello, un hacker puede acceder mediante cualquier bug o troyano y quizá nunca lo llegues a saber. También puede ocurrir que lo monitorices pero simplemente sea un ordenador zombie.

Desde el punto de vista de la programación, otro punto que comenta es la importancia de utilizar un protoloco HTTPS con cifrado SSL ... sobre todo si trabajas para Tuenti. También muestra algún ejemplo de una inyección de SQL, no para hacer un Delete que es lo primero que se muestra en las demos, sino para deducir el usuario/password comprobando los valores ASCII. Viendo el ejemplo, nos viene a la cabeza dos fallos de seguridad: SQL Inyection y el password está guardado sin cifrar.

Pero la parte más interesante de todo, es la profesionalización del trabajo de hacker. Como bien dice, hay en países donde personas altamente cualificadas con conocimientos informáticos solo aspiran a cobrar 200€ al mes en un trabajo corriente. Esto hace de este tipo de mercados algo muy suculento cuando se encuentran en esta situación.

En la actualidad ya se puede ver una guerra sin armas ni disparos. Esta guerra es la del conocimiento, datos confidenciales y robos a cuentas. Casos como Wikileaks son seguramente el principio de un sistema que cada vez más depende de ordenadores. En esta batalla no ganará el que mayor material armamentístico tenga, sino quien tenga el personal más cualificado.

En conclusión, la inseguridad de los sistemas se basa en el desconocimiento de las tecnologías. Cuanto mayor es el desconocimiento, mayor probabilidad de que ser cazado. Sin embargo, el problema que existe es que por mucho que estudiemos acerca de este tema, nunca podremos llegar a conocer todas las capas, algoritmos o servicios que ejecutamos en su plenitud para afirmar que algo conectado a Internet es totalmente seguro. Conociendo el tema las probabilidades bajarán, pero nunca llegaremos al 0%.

Finalmente aquí tienes otra conferencia más larga y con más contenido de Chema.

0 comentarios:

Publicar un comentario