Thursday, June 17, 2010

“GUERRA CIBERNéTICA: MICROSOFT, ES UN ESLABóN DéBIL DE LA SEGURIDAD NACIONAL...

Guerra cibernética: Microsoft, un eslabón débil de la seguridad nacional

16 JUNIO 2010

http://www.cubadebate.cu/wp-content/uploads/2009/06/cibercomando-590x357.jpg
Matthew Lasar

ars technica

Traducido para Rebelión por Ricardo García Pérez


«Microsoft dispone de unos recursos inmensos; literalmente, de miles de millones de dólares en efectivo o en reservas de activos disponibles. Microsoft es un imperio increíblemente exitoso cimentado sobre la premisa de la preeminencia en el mercado con artículos de baja calidad»

¿Quién ha escrito estas líneas? ¿Steve Jobs? ¿Linus Torvalds, el creador de Linux? ¿Ralph Nader? No, el autor es Richard A. Clarke , antiguo asesor de la Casa Blanca, y se encuentran en su nuevo libro, Cyber War: The Next Threat to National Security and What to Do About It .

Han pasado algunos meses desde la aparición de esta última obra de Clarke, pero todavía sigue causando cierto revuelo. Al fin y al cabo, Clarke fue el tipo que en reiteradas ocasiones advirtió sobre al-Qaida a la Casa Blanca antes del 11 de septiembre de 2001. En consecuencia, se ha convertido muy deprisa en la persona pública más fácil de identificar con este asunto.

Cyber War advierte que «aunque pueda parecer que la guerra cibernética concede cierta ventaja a Estados Unidos, en realidad sitúa a este país en un riesgo mayor que al que se expone cualquier otra nación». La tremenda dependencia de Internet que padecen nuestras redes financieras y energéticas nos expone a sufrir ataques on line potencialmente devastadores. «En una guerra cibernética, es la opinión pública, la población civil de Estados Unidos y las empresas de propiedad pública que gestionan nuestras redes nacionales estratégicas las que tienen más probabilidades de sufrir daños».

Un movimiento a gran escala

Clarke conduce a los lectores a través de diversos incidentes célebres de guerra cibernética, el más llamativo de los cuales es el ataque distribuido de denegación de servicio (DDoS, Distributed Denial of Service) sufrido por Estonia allá por 2007, ¿pero qué grado de gravedad podrían alcanzar realmente este tipo de acontecimientos?
La respuesta hipotética se encuentra en la página 64. Allí Clarke nos nombra asesores de Seguridad Nacional del Presidente y nos transporta a un escenario de fatalidad. La Agencia de Seguridad Nacional (NSA, National Security Agency) acaba de enviar a nuestra BlackBerry un mensaje de alerta máxima: «En Estados Unidos se extiende a través de Internet una marea masiva de programas malintencionados para fijar días de colapsos de software que afecta a infraestructuras esenciales».

Cuando llegamos a nuestro despacho, una de las principales redes de Departamento de Defensa ya se ha venido abajo; los fallos del sistema informático han provocado incendios descontrolados en refinerías de todo el país; el centro de control de tráfico aéreo de la Administración Federal de Aviación (FAA, Federal Aviation Administration) en Virginia está sufriendo un colapso, y no dejan de producirse impactos en otros ámbitos.

«Acaba de llamar el Presidente de la Reserva Federal», nos dice el Secretario del Tesoro. «Sus centros de información y los datos que almacenan han sufrido alguna clase de catástrofe monumental. Han perdido toda la información.» Los apagones ensombrecen el país. Ya han muerto miles de personas. «También pasan otras cosas», relata Clarke, «pero la gente que debería estar informándonos no puede hacerlo».

Interprétese como ficción

El libro de Clarke contiene toneladas de simulaciones con este tipo de material; compruébese, por ejemplo, la escalofriante entrevista que hizo a Terry Gross en el programa Fresh Airde la emisora NPR. Pero muy poco de lo que se decía impresiona a sus críticos.

«Interprétese como ficción», empieza diciendo la reseña que hace Ryan Siegel en Wired. «Como sucede en la guerra convencional, la verdad es la primera baja.» Siegel advierte que ese grueso tomo se basa en escenarios hipotéticos (véase más arriba) o de refritos alarmistas e inexactos cocinados a base de emergencias cibernéticas de diverso tipo. Además, percibimos que el libro no tiene bibliografía ni índice onomástico.

En The Wall Street Journal , Evgeny Morozov dice tres cuartos de los mismo. «No debemos caminar a ciegas hacia un ciber-Katrina», escribe, «pero tampoco queremos convertir a nuestras políticas en rehenes de los ardides retóricos de los contratistas del gobierno más espabilados.» Clarke es uno de los cuatro socios de la empresa de seguridad Good Harbor Consulting.

Pero hasta sus detractores reconocen que parte de los argumentos más generales de Clarke tienen sentido; sobre todo, la advertencia de que el Pentágono no puede presuponer que los sectores energético y financiero podrán defenderse eficazmente y por sí solos de los ataques cibernéticos.

Clarke comenta arrepentido: «En los albores de la era de la guerra cibernética, el Gobierno estadounidense está diciendo a la población y a la industria que se defiendan por su cuenta».

El dinero es lo primero

¿Por qué ha sido tan lenta la respuesta nacional a este problema? Clarke sostiene que han sido la falta de consenso respecto a las medidas a adoptar y el miedo a esa palabra que empieza por «R»: Regulación por parte del gobierno. Luego aparece en su lista la Razón Número 5, que en esencia se reduce a «Microsoft».

«A algunas personas les parece que las cosas están bien como están», señala Clarke de forma tangencial. «Algunos de ellos han pagado para ingresar». Señala que Microsoft es un miembro destacado de la lista de donantes políticos «Heavy Hitters» [«Grandes Impulsores»] de OpenSecrets.org. La mayoría de las estrellas de la lista son sociedades comerciales. «Microsoft es una de las tan solo siete empresas que dan la talla al respecto.»

La generosidad del gigante del software, prosigue, se ha desplazado desde los republicanos en la época antimonopolio de Clinton hacia Obama en la actualidad, pero el programa siempre está claro. «No regulemos la seguridad en la industria del software, que el Pentágono no deje de utilizar nuestro software por muchos defectos de seguridad que tenga, y no digamos una palabra sobre la producción de software en el exterior o sobre los acuerdos con China».

Clarke trata de ser honesto. Apunta que en un principio Microsoft no pretendía que su software se destinara a redes estratégicas. Pero hasta su esfuerzo de honestidad resulta poco halagüeño. El objetivo original de Microsoft «era poner el producto en la calle y con un coste de producción bajo», expone. «Inicialmente no veía ningún sentido a invertir en ese tipo de garantías de calidad y rigor, ni procesos de control de calidad a los que la NASA insistía que se debía someter al software empleado en los sistemas de los vuelos espaciales tripulados».

Pero, de todos modos, la gente incorporó los programas de Microsoft a sistemas esenciales. «Al fin y al cabo, eran mucho más baratos que las aplicaciones hechas a medida». Y cuando para reducir gastos el gobierno presentó su programa de adquisición de software comercial listo para la venta (COTS, Commercial Off-the-Shelf), el software de Microsoft migró a las redes militares. Este tipo de reformas para reducir gastos «introdujo en el Pentágono el mismo tipo de defectos y vulnerabilidades informáticos presentes en nuestros ordenadores», escribe Clarke.

Un tronco electrónico a la deriva

El ex asesor de la Casa Blanca recoge el incidente de 1997 del buque «USS Yorktown» como una consecuencia. La totalidad de la red operativa del buque de clase Ticonderoga se remozó con Windows NT. «Cuando Windows se vino abajo, como suele suceder tan a menudo, el buque de guerra se convirtió en un tronco electrónico a la deriva, inerte en las aguas».

La reacción del gobierno a ésta «y otra legión de fallos» empezó por asomarse al sistema operativo de Linux. El Pentágono podía «destripar y montar de otra forma» este softwarede código abierto, seleccionar y escoger los componentes que necesitaba y eliminar los defectos informáticos con mayor facilidad.

A ello responde Clarke:

[Microsoft], Bill Gates incluido, se puso a buscar pelea con Linux para retrasar la decisión de adoptarlo por parte de los comités oficiales. Sin embargo, como había organismos gubernamentales que utilizaban Linux, le pedí a la NSA que hiciera una valoración del sistema. En un gesto que dejó boquiabierto a la comunidad de código abierto, la NSA se unió a la misma ofreciendo públicamente para el sistema operativo de Linux parches y mejoras que contribuyeran a mejorar su seguridad. Microsoft me dejó una impresión muy nítida de que si el gobierno estadounidense fomentaba Linux, ellos dejarían de cooperar con el gobierno estadounidense. Aunque aquello no me preocupaba, pudo haber tenido repercusiones sobre otros. La mayoría de las agencias federales sigue comprando el software de Microsoft, aun cuando Linux sea gratis.

Según se dice en Cyber War, “la empresa adoptó una línea similarmente dura hacia la industria bancaria y financiera rechazando las solicitudes que los especialistas en seguridad presentaban para poder acceder al código de Microsoft. Cuando los bancos amenazaron con utilizar Linux, Microsoft les rogó encarecidamente que esperaran a su siguiente sistema operativo: Vista.

«Algunos informantes de Microsoft me han reconocido que la empresa no se tomó realmente en serio la cuestión de la seguridad, aun cuando les avergonzaran los ataques frecuentes y muy publicitados que sufrían», confiesa Clarke. Sin duda, en los últimos años, cuando Apple y Linux han empezado a presentar una alternativa importante, Microsoft ha mejorado la calidad. Pero lo primero que hizo la empresa fue presionar y oponerse al endurecimiento de los criterios oficiales de seguridad.

«Microsoft puede pagar a un montón de portavoces y expertos que presionen por una mínima parte del coste que representa crear más sistemas de seguridad», concluye el capítulo que dedica Clarke a la empresa de software . «Son una del puñado de empresas dominantes de la industria informática para quienes la vida va bien ahora mismo y los cambios podrían ser malos».

Obligados a hacerlo

Dada la considerable cantidad de críticas de las que ha sido objeto Cyber War, no venimos a suscribir la espeluznante versión que ofrece Clarke de la historia de Microsoft. Y estamos bastante más que nerviosos ante algunas de sus recetas para el «cambio». Entre ellas se encuentra la promulgación de normas oficiales que exijan a los grandes proveedores de servicios de Internet «tener que dedicar un dineral a buscar software malintencionado».

Aunque esas estipulaciones incluyeran criterios rigurosos de respeto a la intimidad, «se debe dar a los proveedores de servicios de Internet la protección jurídica necesaria» para que no teman ser demandados por bloquear software malintencionado, virus, ataques DDoS y gusanos. «De hecho», insiste Clarke, «la nueva normativa les debe exigir que lo hagan».

Pero muchas de las críticas y reseñas de Cyber War restan importancia a uno de los comentarios principales que hace el libro: quizá se haya ahorrado dinero con la privatización llevada a cabo por el gobierno en las dos últimas décadas, pero ha comprometido la capacidad del gobierno de defender segmentos cruciales de Estados Unidos de los grandes y pequeños ataques a través de Internet. Con independencia de cuál sea la opinión de cada uno acerca de las ciberhistorias tenebrosas de Clarke, se trata de una preocupación que requiere un debate más amplio.”

http://www.cubadebate.cu/especiales/2010/06/16/guerra-cibernetica-microsoft-un-eslabon-debil-de-la-seguridad-nacional/

http://arstechnica.com/security/news/2010/06/cyber-war-microsoft-a-weak-link-in-national-security.ars

http://www.richardaclarke.net/

http://arstechnica.com/security/news/2007/05/massive-ddos-attacks-target-estonia-russia-accused.ars

http://castroller.com/podcasts/NprFreshAir/1588885-Richard%20Clarke%20On%20The%20Growing%20Cyberwar%20Threat

http://www.wired.com/threatlevel/2010/04/cyberwar-richard-clarke/

http://online.wsj.com/article/SB10001424052748704370704575228653351323986.html

http://www.goodharbor.net/team/clarke.html

http://www.opensecrets.org/orgs/list.php?order=A
---

“EEUU carece de poder para proteger redes informáticas

Por: Agencias
Fecha de publicación: 17/06/10

17 junio 2010 - La agencia federal a cargo de garantizar la seguridad de los sistemas informáticos del gobierno es incapaz de vigilar las redes o analizar las amenazas en tiempo real, y carece de la autoridad y del personal necesario para su cometido, de acuerdo con un informe interno.

El Equipo Federal de Preparación ante Emergencias Informáticas (CERT, por sus siglas en inglés) debe compartir información, a más velocidad y mayor detalle, sobre amenazas y tendencias con otros departamentos federales para que puedan protegerse mejor, según el documento.

El informe que emitió el miércoles el inspector general del Departamento de Seguridad Nacional expone las críticas manifestadas desde hace tiempo por autoridades y expertos externos de que los sistemas informáticos del gobierno estadounidense son vulnerables a ataques, son persistentemente observados y carecen de la administración y normas de seguridad necesarios.

El documento destaca muchas de las deficiencias que el Congreso ha intentado corregir mediante un número de iniciativas para crear una estructura de gobierno más eficaz para mejorar y reforzar las normas de seguridad.

La ciberseguridad se ha convertido en una máxima prioridad para el gobierno, tras el impulso que le dio el presidente Barack Obama cuando en 2009 la describió como "uno de los desafíos económicos y de seguridad nacional más serios que afrontamos".

Las autoridades afirman que las redes federales son escudriñadas y examinadas millones de veces al día y en algunos casos son penetradas por piratas y criminales cibernéticos así como por otras naciones.

Según el informe de 35 páginas, el CERT, que pertenece al Departamento de Seguridad Nacional, ha logrado avances en la asistencia a las agencias para que se protejan frente a amenazas informáticas, incluida la creación de un centro cibernético.

De acuerdo con el texto, el equipo carece de la autoridad que necesita para obligar a que otras entidades federales adopten las medidas necesarias para garantizar la seguridad de sus sistemas informáticos.”

http://www.aporrea.org/tiburon/n159508.html

http://www.amazon.com/Aguila-Biblioteca-Carlos-Fuentes-Spanish/dp/9681912020

---
"El resistirse a lo irresistible no siempre fortalece a quienes se creen irresistibles, sí, a aquell@s que ‘no mandan obedeciendo a sus mandantes’… Fideiius.

No comments:

Post a Comment