Criminalizando la transparencia

Criminalizando la transparencia

Yo cada vez entiendo menos este mundo… En serio.Hace unas semanas hablaba en profundidad de la crisis reputacional de Kaspersky. Una empresa de antivirus que había sido denunciada públicamente por servir al gobierno ruso para espionaje de varios órganos de gobierno americano (entre otros, se supone).

Mi tesis giraba a en torno a que lo mismo en vez de ver una conspiración entre grandes corporaciones y países con regímenes poco democráticos, deberíamos caer en la consideración de que podríamos estar ante una vulnerabilidad en sus sistemas que el gobierno ruso (o quien fuera) ha conseguido aprovechar.

Que Kaspersky, como cualquier otra multinacional que se dedica a la seguridad de sus clientes, es ante todo una compañía tecnológica, y sus productos están sujetos a un margen de error. No sería ni el primer antivirus ni el último que es utilizado por la industria del cibercrimen para bypasear los controles de seguridad del propio sistema operativo, atacando con ello a la víctima.

Pero no quita que su negocio sea minimizar al máximo este riesgo, y que al igual que esta vez les ha tocado a ellos, mañana podría tocarles a otros.

Aún así, en vista a que el tema del espionaje gubernamental vende más, la compañía ha presentado en estos días varias pruebas en su defensa (ES), y también ha decidido lanzar una Iniciativa de Transparencia Global (ES), que incluye, entre sus puntos fuertes, el ofrecer una revisión independiente a su código fuente y procedimientos internos.

Es decir, en aplicar mecánicas de transparencia que tanto tiempo llevamos demandando a la industria. El permitir que sean terceros los que puedan auditar el cómo funcionan sus suites de seguridad, localizando quizás con ello esos supuestos backdoors que al parecer estaban dejando para Putin y compañía.

Hasta aquí todo perfecto. Una compañía forzada a volverse más transparente después de una crisis reputacional que hace peligrar su negocio en occidente. No hay mal que por bien no venga.

Pero entonces me entero que McAfee, en vista de la situación vivida, decide cerrar su sistema de transparencia argumentando (EN), y cito textualmente:

McAfee ha definido todos sus propios procesos nuevos, que reflejan escenarios competitivos y de amenazas exclusivos para nuestro entorno empresarial. Esta decisión es el resultado de un esfuerzo de transición. (Abrir el código fuente) representa un riesgo para la integridad de nuestros productos que no estamos dispuestos a aceptar.
¿Estamos locos?

En un momento en el que la poca credibilidad y confianza de las suites de antivirus está en voz de todos, va McAfee y, para aumentar la credibilidad y confianza de sus herramientas, decide dejar de ofrecer acceso a su código fuente en Rusia, argumentando de que con ello éstos podrían encontrar 0-days que explotar para futuros malwares.

Y no es la única. Symantec llegó a la misma conclusión hace ya unos meses (EN).

Bienvenidos a 2010
En apenas medio año dos grandes multinacionales tecnológicas deciden cerrar el grifo ofuscando su código a ese gran enemigo que es Rusia. Y con ello, se recurre a mecánicas de oscurantismo que son las que, a fin de cuentas, han sido causantes de algunos de los mayores ataques vividos en nuestros días.

Empezando por Stuxnet, ese gusano que puso en jaque la carrera armamentística de Irán a principios de década, y siguiendo por todos los grandes incidentes recientes, como es el caso de la botnet Mirai.

En ninguno de todos estos ataques el desconocimiento (al menos, de manera pública) del funcionamiento interno de los sistemas SCADA o el IoT supuso un problema para que el arma hiciera su cometido.

Pensar que en pleno siglo XXI una mecánica basada en ocultar nuestro código fuente puede servir de algo, es pecar de ingenuo. Los malos (sean cibercriminales, o sea el propio Kremlin) tienen herramientas más que suficientes para causar el mal tengan o no acceso directo a las tripas de un software.

Sin embargo, el ofrecer un sistema de transparencia evita precisamente que alguien con los suficientes recursos acabe encontrando la manera de comprometer la seguridad y/o privacidad de estos sistemas. Sencilla y llanamente porque varios miles de ojos ven más que unos pocos cientos.

¿De qué sirven entonces las Iniciativas de Transparencia llevadas a cabo por algunas de estas compañías? Para dotar de confianza al software, y para que, con suerte, los buenos encuentren antes fallos de implementación y/o seguridad que pudieran ser utilizados por terceros.

¿Que eso rema en contra de nuestro negocio? Si la competencia tiene que estar copiándonos, es un buen síntoma, ya que demuestra que estamos haciendo bien las cosas. Por contra, recurrir al oscurantismo no asegura mayor seguridad, sino menor confianza y más riesgo. Que ahora nos lo quieran vender como una estrategia de credibilidad es para mear y no echar gota.

¿Qué tendrían que hacer todos? Abrirse lo máximo posible. Ofrecer a las agencias de inteligencia de todos los países, a las tecnológicas, y en definitiva a todos los interesados, la posibilidad de auditar su código, que ya verá cómo esa presión por saber que lo mismo “el enemigo” o “la competencia” ha encontrado la misma vulnerabilidad fuerza a unos y a otros a estar al día e informar de ellas.

Intentar crear entre todos un ecosistema lo más abierto y participativo posible. Uno en el que quien lidere, si es que es necesario que haya uno en la cúspide, lo haga en base a su buen quehacer, con la innovación y el buen olfato como ejes principales del negocio.

WannaCry fue una crisis que duró apenas un fin de semana precisamente gracias a la colaboración y apertura de todos. Hace ya unos cuantos años, una crisis semejante como fue la del gusano Sasser (ES) nos duró varios meses.
Sobra decir que a un servidor las estrategias seguidas por Rusia no son santo de mi devoción, pero escudarse en ello para ofuscar el funcionamiento de herramientas de uso masivo, como es el caso de las suites de seguridad de McAfee, tampoco debería serlo de usted.

Ya veremos cómo acaba todo esto…

Fuente: https://www.pabloyglesias.com/criminalizando-la-transparencia/

Deja un comentario