Entrevista a Steven Bellovin (y II)

En el marco del reciente Internet Global Congress, celebrado en
Barcelona del 10 al 14 de mayo, tuvimos la oportunidad de conversar
con Steven Bellovin, un autentico pionero de Internet (es el
co-inventor de USENET, por ejemplo) y gurú de temas de seguridad
informática.

Pregunta:
¿La publicación constante de nuevas versiones de software afecta a
la estabilidad del software?

Respuesta:
No puedo decirlo de forma genérica para cada nueva versión, pero
obviamente si un producto concreto que está evolucionando y
cambiando constantemente no ayuda a que lo podamos considerar
seguro.

No obstante, hemos hecho progresos. Cuando empecé a programar,
hace ya cuarenta años, el sistema operativo era muy inestable.
Los grandes mainframes apenas podían funcionar un día seguido. En
la actualidad, no es extraño que un servidor Unix funcione
ininterrumpidamente durante años sin necesidad de reiniciarlo.
Incluso en el mundo de los ordenadores personales, Windows XP es
mucho más estable que Windows 98. Desde luego que no dispone de
una estabilidad excepcional: no puedes esperar tener una máquina
Windows XP funcionando un año, pero desde luego es mucho mejor
que hace unos pocos años.

Hay una lección que aprendí hace ya 35 años: nunca instales la
versión .0 de cualquiera producto. Hace falta esperar un tiempo,
que se descubran los problemas que a buen seguro tiene y esperar
que la primera tanda de parches sean incorporados. Y también hace
falta ser conscientes de que cada parche, cada solución a un
problema, introduce nuevos problemas. Esto es algo que aprendí
cuándo iba a la universidad y no creo que haya cambiado
significativamente en la actualidad. El software actual es mucho
mejor que el de hace unos años, pero continua sin ser lo bueno que
podría ser.

P:
¿Y qué sucede con el usuario estándar? ¿Crees que el usuario sin
especiales conocimientos de informática está realmente
preparado para todo esto? Las últimas versiones de los sistemas
operativos empiezan a incluir cortafuegos habilitados por
defecto, muestran alertas cuando algo sucede… pero creo mucha
gente en realidad no entiende exactamente que es todo esto.
¿Estamos delegando demasiada responsabilidad en el eslabón más
débil?

R:
Creo que este es un problema muy importante. El usuario final
no tiene una conciencia de seguridad. Como conductor se como
llenar el depósito de gasolina y como cambiar el aceite pero, en
realidad, lo que espero de mi coche es simplemente que funcione.

En cambio, con el ordenador es necesario instalar continuamente
nuevas cosas. Cada vez son más complicados. No podemos esperar
que el usuario responda adecuadamente a esta clase de
situaciones. La formación, no obstante, es algo que ha de ayudar
a resolver este problema.

El motivo por el cual los cortafuegos han de estar habilitados en
la configuración por defecto es la existencia de un número tan
elevado de gusanos circulando por Internet, de forma que si conectas
un ordenador desprotegido en una conexión de banda ancha cómo
puede ser el cable o DSL, no podrás ni llegar a instalar los parches:
antes estarás infectado. Esto es algo realmente terrorífico.

El auténtico problema es que la máquina está ejecutando un gran
número de servicios y cada uno es potencialmente vulnerable a
problemas de seguridad. Es más, muchos de estos servicios no
tienen ninguna razón para comunicarse con el exterior, al menos
para la mayoría de los usuarios. Muchos de estos servicios fueron
diseñados para entornos controlados o bien para entornos no
ciertamente hostiles.

No tengo ninguna solución mágica. Ciertamente la configuración de
una máquina tiene que ser revisada antes de conectarse a la red.

Los sistemas deberían tener un sistema de auto-actualización que
instale automáticamente los parches tan pronto como estos estén
disponibles.

P:
No obstante, el problema con los cortafuegos activados por
defecto lo enfocaba de otra forma. Desde luego que coincido
contigo que deben de estar activados… ¿Pero qué sucede cuando el
usuario ante un servicio o aplicación que no funciona, sin ser
consciente de que hace desactiva el cortafuegos o cambia las
reglas para permitir todo el tráfico? En este momento, el usuario
puede tener una falsa sensación de seguridad, puesto que su
sistema tiene un cortafuegos, cuando en realidad está totalmente
desprotegido, lo que incluso es peor.

R:
Totalmente cierto. Es realmente una situación complicada. Cuándo
mi hijo compró un nuevo ordenador hace más o menos un año, lo que
me hubiera gustado hacer es no instalar ningún programa excepto
un cortafuegos durante un periodo de dos semanas para así poder
entender el funcionamiento normal del sistema. Mi hijo no estaba
en absoluto de acuerdo. Él quería instalar muchas cosas de forma
inmediata.

Necesitamos saber que se supone que debe de ejecutarse en cada
máquina. Y esto requiere mucho tiempo, incluso años. Nos
sorprendería identificar el elevado número de programas que
intentan comunicarse a través de la red en una instalación por
defecto de una máquina con Windows. Y la mayoría de estas
cosas no son en absoluto necesarias ni es preciso que se
comuniquen por la red.

Esto es muy malo, un diseño muy malo. Lo único que hace es
causar problemas.

Es importante indicar que el mejor cortafuegos del mercado no
puede realmente proteger los servicios que deseamos ejecutar.
Esto demuestra la necesidad de disponer de más de un nivel de
protección: volvemos a la seguridad en profundidad. Por ejemplo,
un servidor web no puede ser protegido por el cortafuegos. Este
tiene que permitir el tráfico o de lo contrario, los clientes no
podrán acceder.

¿Como protejo un servidor web? Cómo he indicado antes con el
ejemplo de las compañías telefónicas, la mejor forma es aislando
cada uno de los servicios. De esta forma, cualquier problema en
el servidor web tendrá como único efecto que éste deja de
funcionar pero no permitirá al atacante modificar la base de
datos u obtener la relación de tarjetas de crédito de los
clientes. De acuerdo, no es bueno que el servidor deje de
funcionar, pero desde luego es mucho peor que nos roben las
tarjetas de nuestros clientes.

P:
Uno de los últimos RFC en los cuales has participado trata sobre
la necesidad de integrar la seguridad de los protocolos de
Internet. La mayoría de los protocolos no disponen de ningún
sistema de seguridad.

R:
Creo que es bueno añadir la seguridad allí donde es necesario,
pero esta no es la solución a los problemas. La mayoría de los
problemas son debidos a errores de configuración o programas que
no funcionan correctamente.

P:
Cuando hablo de mecanismos de seguridad, por ejemplo me refiero a
la ausencia de mecanismos de autenticación en la mayoría de
protocolos…

R:
De hecho, la mayoría de protocolos no los necesitan en absoluto.
Hace unos años, analicé todos los avisos de seguridad publicados
por el CERT. El 85% de los problemas descritos podían ser
solucionados con los protocolos actuales, no eran ocasionados por
la ausencia de mecanismos de autenticación. En algunos de los
protocolos utilizados para los nuevos servicios, la autenticación
si es un factor importante.

Un problema más importante que la autenticación es el de la
autorización: quien tiene permiso para enviar correo. Hay gente
que dice que si sólo se admite el correo autenticado, esto
solucionará el problema del SPAM, pero esto es totalmente falso.
Tanto tú como un spammer puede enviarme un mensaje y en ambos
casos el mensaje puede estar firmado digitalmente. Desde luego
quiero recibir tu correo pero no el del spammer. Si nunca nos
hemos comunicado antes, estás en la misma situación que el
spammer. Como se que tu correo es legítimo?

Así pues la autorización es un problema mucho más importante. La
autenticación únicamente soluciona el problema de la gente que
desea hacer cosas sin necesidad de utilizar contraseñas; no
soluciona ningún otro problema.

P:
Hablando del SPAM, este es un de los problemas que más preocupa
a la mayoría de la gente. Crees que todavía podamos ganar la
batalla contra lo SPAM o tal vez podamos considerar que el correo
electrónico, tal y como lo conocemos hoy, ya se puede dar por
perdido y por lo tanto es necesario inventar una cosa nueva?

R:
No lo se. El problema de plantearnos una alternativa al email
es el que ya he comentado antes sobre autenticación. Puedo
utilizar criptografía en el proceso del correo, pero esto no
responde a la pregunta de quien puede enviar email. Alguien ha
dicho que lo que podamos hacer es permitir únicamente el email
procedente de los principales ISP, que seguro no envían SPAM.
Pero, ¿quien es un ISP? Yo tengo un ordenador alojado a una
empresa de hospedaje de máquinas. ¿Esto me convierte en un ISP?
¿Puedo utilizar esta máquina para enviar email? ¿Quien tiene la
responsabilidad de decir este es un ISP y este otro no? Por otro
lado, algunos ISP permiten a los spammer utilizar sus servicios,
puesto que son clientes que pagan.

Un porcentaje significativo del SPAM que circula actualmente
proviene de ordenadores personales. Los spammers y los intrusos
han formado una alianza. Los spammers han creado una motivación
económica para que los intrusos se introduzcan en las máquinas,
recibiendo una compensación económica para convertirlas en
sistemas de envío de SPAM.

¿Como luchamos contra el SPAM? Lo que sucederá es que cualquier
mecanismo que intentamos utilizar para enviar email será
automáticamente incorporado dentro de los mensajes de SPAM. Si la
solución la planteamos a nivel de ISP, que este ente cobre por
enviar correo, el usuario doméstico será el que acabará pagando,
puesto que su ordenador ha estado violado y se ha convertido en
una fuente de SPAM.

No conozco ninguna solución mágica para este problema. Lo que si
se que ninguna solución que no tenga en cuenta lo que acabo de
comentar no funcionará.

Otro peligro importante es el hecho que el correo electrónico es
algo descentralizado. Me preocupa la centralización de la red.
Una de las mejores cosas de Internet es que está totalmente
descentralizada. El WWW no fue inventado por ningún ISP ni por
ningún comité: fue inventado por una persona que trabajaba en el
CERN. Y pudo inventarlo precisamente por que cualquiera puede
hacerlo en Internet.

Si empezamos a centralizar algunos servicios lo que conseguiremos
es que unos pocos ISP controlen demasiadas cosas.

P:
Hablando de problemas en Internet, ¿Cuál es tu opinión sobre la
convención sobre el cibercrimen que entrará en vigor el próximo
julio?

R:
Creo que es bueno que existan algunas estipulaciones generales,
pero la existencia de demasiadas regulaciones y la posibilidad de
vigilar indiscriminadamente la actividad… todo esto entra en
conflicto directo con el derecho a la privacidad. Creo que esta
legislación es francamente mejorable.

Hace dos o tres semanas participé en una conferencia en
California dónde se analizaron los aspectos negativos de esta
convención. En muchos aspectos da demasiado poder a las fuerzas
del orden. Algunas de las quejas que se formulan son relativas a
contradicciones con la legislación norteamericana que en
ocasiones son diferentes a las normas europeas.

P:
Uno de los aspectos más controvertidos es la imposibilidad de
utilizar herramientas de hacking… por ejemplo, Francia aprobó
hace pocas semanas una ley muy restrictiva. No soy un abogado,
pero por lo que he leído se puede interpretar que incluso la
utilización de nmap será algo ilegal, incluso para tareas propias
de administración de red.

R:
Yo utilizo nmap habitualmente. Hay un error de comprensión: se
confunde la herramienta con el problema. Esto es un error muy
importante. Para nosotros la utilización de herramientas de
seguridad es fundamental. En nuestro libro hemos dedicado un
capítulo entero sobre las utilidades que cualquier administrador
debe de utilizar habitualmente.

Los delincuentes no tienen este problema: ellos ya están fuera de
la ley y por lo tanto no tienen ninguna restricción a utilizar
éstas (y otras herramientas). El profesional de la seguridad
necesita conocer que se está ejecutando en cada máquina y en toda
la red y no tiene ningún otro método que utilizar una de estas
utilidades.

Hay algunas herramientas para las cuales se puede decir que si,
no hay ningún uso legítimo de las mismas, pero muchas otras como
nmap son imprescindibles.

P:
¿Y qué podemos hacer sobre esto?

R:
Esto es algo que hago cuando actúo como consejero para
gobiernos: trato de informarlos. Dedico mucho tiempo tratando
sobre temas como este, intentando corregir las ideas equivocadas
que la gente puede tener, en Washington, Bruselas, Berlín, Pares,
Madrid, Londres…

Los gobiernos se encuentran en una situación totalmente nueva
para ellos. En los Estados Unidos existe una gran controversia,
no se cual es la situación en España, sobre el control de armas.
Para mucha gente en los Estados Unidos la posibilidad de tener
armas es vista como un derecho fundamental. Otros dicen que las
armas sirven para matar personas. Personalmente soy partidario de
la prohibición de la posesión de armas, pero esto es algo muy
controvertido en mi país.

Nmap, y otras muchas herramientas, no pueden considerarse como
armas. Las utilizo para proteger mis sistemas, pero en ningún
caso para atacar a otros. Me permiten identificar el nivel de
seguridad de mis sistemas. Es por lo tanto una situación muy
diferente.

Internet no fue diseñada pensando en las fronteras de los países.
Esto hace que para los gobiernos sea realmente muy difícil poder
legislar. Hace 200 años, la noción de aguas territoriales era
originalmente de unos 5 km. Poco después fue ampliada a 20 km.
¿Sabes de dónde salen estas distancias? Era el alcance de un
cañón: todo aquello que estaba al alcance de mi cañón era parte
de mi territorio. No era una solución efectiva, puesto que creaba
conflictos entre países como por ejemplo entre Rusia y Turquía
por el mar Negro. Pero lo importante es que, una vez fijado el
principio general se podían solucionar los problemas puntuales.

No tenemos una analogía obvia similar en Internet al rango de un
cañón. ¿Qué es responsabilidad de un país y que no lo es?
Mientras estoy sentado aquí en Barcelona puedo controlar el
ordenador que tengo en casa, en New Jersey.

P:
Sobre spyware. En la actualidad para los usuarios, el principal
problema son los virus y seguramente el SPAM. Nadie parece
prestar una atención especial al spyware, incluso cuando este
puede entrar en los ordenadores de forma automática sin ninguna
intervención del usuario

R:
Creo que es más de lo mismo. El spyware y los virus son creados por
gente con los mismos objetivos. La principal razón de los gusanos
que instalan puertas secretas es permitir su utilización como
sistemas para el envío de SPAM.

Este creo que es un área dónde es necesario aplicar legislación.
Se han utilizado un buen número de tácticas para engañar al
usuario, como la instalación de programas incluso cuando el
usuario no acepta las condiciones de uso o bien sin informar al
usuario de lo que se está haciendo.

El gobierno norteamericano organizó un workshop sobre spyware
hace unas tres semanas, centrando su preocupación en la
protección del consumidor. Actualmente se está desarrollando una
licencia estándar de usuario que pretende proteger ante esta
clase de situaciones.

La mayor parte del spyware se instala a través de gusanos o
bien de máquinas atacadas, lo que es claramente ilegal. Pero
también se consigue mediante el engaño para que el usuario
descargue un programa. En este caso está menos claro hasta que
punto la legislación protege al usuario.

Básicamente es lo que ya he comentado en varias ocasiones.
Instalar algo al ordenador de un usuario es bastante fácil, ya
sea con un virus, comprometiendo la máquina… Es necesario
encontrar mejores mecanismos para proteger las máquinas… y
evitar los problemas que ya he comentado de programas con bugs,
la monocultura…

P:
En la actualidad todavía tenemos la visión de un intruso que
ataca máquinas básicamente para distraerse o por curiosidad.
¿Crees que esto está cambiando y cada vez más, detrás de los
incidentes, veremos a la mafia y al crimen organizado?

R:
La mayoría del hacking que se realiza en la actualidad tiene
objetivos criminales, básicamente por spammers que pagan a
intrusos pora instalen sistemas de envío de spam en los
sistemas atacados.

Actualmente hay un escándalo a los Estados Unidos sobre miembros
de un partido político que han atacado los sistemas del otro
partido para espiarlos. Y hace un año, una de las principales
universidades espiaba las peticiones que realizaban los
candidatos que desean entrar en otra universidad.

Mucha de esta actividad no es conocida. Las empresas y la policía
no desean comentar sobre estos problemas. Es más, muchas
intrusiones nunca son detectadas. Sólo un 3% de las intrusiones son
detectadas.

La verdad es que me sorprendería si en los próximos meses no
vemos cada vez noticias como estas.