(Por El Microsaurio) La puerta de entrada de cualquier vulnerabilidad es el usuario. Aún en el caso de las instalaciones nucleares iraníes cuyas carísimas centrífugas fueron dejadas fuera de combate (dicen que dicen…) por el ingenio de los programadores de la Unidad 8200, el programita atacante (stuxnet) no podría haber entrado sin permiso. ¿Descuido de un científico desprolijo? ¿Un administrador de sistemas con la paranoia baja? ¿Unos centenares de miles de dólares a cambio de “descuidarse”?¿La suma terrible de un USB o un email y la compu que justo esa tarde quedó solita por media hora? Algún día se sabrá.
Hablemos de comunicaciones corporativas inseguras…
¿Qué puede perder la empresa si te roban el celu?
Depende de lo que contenga tu celu, si es un fierro anticuado solamente obtendrán todos los contactos comerciales, más los teléfonos de toda tu familia y amigos (y los que no te gustaría que viera tu esposa/o); si es posta posta, tenés ahí dentro todo lo que te mandan desde la oficina.
¿Qué puede perder la empresa si hay un troyano en la compu del Gerente Financiero?
Depende… ¿ahí se guardaban los datos de las cuentas bancarias?
¿Qué puede perder la empresa si se “extravía” una notebook del departamento de Personal?
Y… desde los listados de sueldos Blancos y No Blancos, más los Gastos de Representación, hasta los teléfonos particulares, domicilios y datos de la prepaga del directorio en pleno… Ejem, vos sabés lo que es un secuestro express, ¿cierto?
Para no aburrirte, pensá en toda la información que está en las compus de la empresa. Y pensá que es posible “chupar” esa información sin entrar el edificio. Cien años atrás, un delincuente tenía que correr el riesgo de abrir cerraduras por la noche, descolgarse con sogas por el pozo del ascensor, y todo eso que se ve en las pelis.
En el 2011 bastará con un empleado distraído. ¿O un empleado mal pago, celoso, con ascensos postergados, tal vez?
(Y no te imaginás si esos empleados trabajan en Sistemas…) Tarea para el hogar: buscar en el gúgle “disgruntled employee security incident”. Esta tarde me dio 25.000 resultados. Digo, como para que te orientes…
Y conste que no te quise hacer perder tiempo analizando los cortes de comunicaciones, como el que le aconteció a Skype durante la semana pasada.
Ahora… La empresa esa dijo que “no creemos que haya sido causado por un ataque malicioso”, y lo atribuyó a un error en el software cliente para Windows, en la versión 5.0.0152 (que no es la más reciente; revisá qué estás usando). Pero en julio de este año un programador llamado Sean O’Neill dijo que había quebrado claves criptográficas de Skype mediante ingeniería inversa y las publicaría en el próximo Chaos Computer Club de Berlín.
Curiosamente, O’Neill no figura entre los expositores del CCC que se inició… este lunes 27 de diciembre (una semana después del “incidente” de Skype) . Nunca más se supo de él.
Moraleja: el ciberdelito es delito a la antigua (ese que aparece en los Códigos) con herramientas modernas. El motivo es simple: casi siempre ganancia económica, motivos “particulares” cada vez menos.
La mitigación es complicada, pero puede hacerse. Es cuestión de agregarle capas a la cebolla que te protege, y dejar la elección del tipo de cebolla a quienes se pasan la vida estudiando el tema.
Y atenti que estamos tratando el tema “ataques a corporaciones” pero ya habíamos dejado el tema del espionaje y todo eso… bajemos desde las misteriosas alturas del monte Avital y dejemos a los programadores de shmone matayim trabajar tranquilos. Ojito. Yo no dije que fueron ellos. En octubre pasado la United Press publicó esto ¿Estamos?
Te puse el tema como ejemplo de un trabajo paciente (parece que se preparó desde el 2009) destinado a obtener un propósito específico (causar grave daño a una instalación industrial, paralizar una producción). Desde tu cargo en la empresa, que tal vez tenga que ver con la tecnología y no con la seguridad, poné las inseguras barbas en remojo. Y si sabés cómo principia la frase esa de las barbas, actuá en consecuencia.
No, no son predicciones… uno lee los datos, nomás. Hasta el año que viene.