A principios de mayo, el jefe de seguridad cibernética de los militares, el mayor general Jonathan Shaw, admitió El guardián que el Ministerio de Defensa era vulnerable a los ataques en línea y que ya había habido un pequeño número de incidentes graves. Lo que fue más sorprendente fue que Shaw dijo que era una sorpresa para la gente cuán vulnerables eran..

Presumiblemente, estos no fueron simples ataques de denegación de servicio. Deben haber sido organizados, coordinados y planificados, con los crackers dirigidos a sistemas específicos y vulnerabilidades. La parte preocupante es el enfoque implícito de 'cabeza en la arena' de algunos de sus procedimientos de seguridad..

Suena como dejar la puerta de entrada abierta y confiar en la voluntad moral de sus ciudadanos para hacer lo correcto. Y eso nunca va a pasar. No por un lapso global en la moral o el deseo de traspasar o ser malvado, sino porque no se puede combatir la curiosidad de los adolescentes inteligentes con demasiado tiempo en sus manos..

La opacidad es un reto

La única forma de garantizar la seguridad es, en mi opinión, con una transparencia completa y no cegada. La ofuscación de sus procedimientos solo le da un sentido falso de su falta de seguridad. No se agrega a los sistemas que tenga y solo muestra una falta de confianza en esos sistemas y sus capacidades para frustrar un ataque.

Un cracker determinado verá la ofuscación como una invitación y un desafío. Atraerá su curiosidad adolescente. La tecnología ha cambiado, pero dudo que haya una diferencia en las motivaciones de los crackers de hoy en día y en los de hace 20 años, programando sus módems para marcar silenciosamente los números de teléfono locales durante la noche con la esperanza de ver ese 'CONECTAR' ilusorio en una sesión terminal.

Si eres un geek, hay pocas cosas tan emocionantes. Algunos pueden llegar a ser criminales, políticos y peligrosos, pero es posible que nunca hayan llegado tan lejos si no pudieron comenzar con objetivos fáciles y arrancando la fruta de baja altura. Por eso tu mejor recurso es siempre la seguridad fría y sobria..

Para hacer esto, por supuesto, necesita estar completamente al tanto de cualquier vulnerabilidad. Debe mantener los sistemas actualizados y saber dónde buscar incursiones. La seguridad no debe ser tratada como un secreto de estado y los titulares de esos secretos no pueden actuar como miembros de una logia clandestina..

Mantener las cosas en secreto no hace que las cosas sean más seguras. Leer documentos sobre cómo entrar en un sistema no lo convierte en un criminal de la misma manera que tratar de imaginar cómo un ladrón podría escalar la cerca de su jardín y cruzar el techo del garaje lo convierte en un ladrón.

Sombreros blancos son esenciales

Necesitas estar mejor preparado que las galletas. Y, para estar mejor preparado, necesita saber cómo es probable que ataquen al aprender sobre sus técnicas y la penetración probándolas con su propio hardware. Necesitas llevar un sombrero blanco..

Si está buscando una prueba de que este enfoque funciona, hay un ejemplo obvio: el software de código abierto. No fue hace tanto tiempo que los sistemas operativos y el software que se ejecutaba en ellos se estaban volviendo cada vez más reservados y propietarios. Muchos de nosotros nos metimos en Linux porque no queríamos pagar por un entorno de desarrollo simple en Windows, por ejemplo, y Red Hat, el gigante de código abierto que acaba de anunciar $ 1.13 mil millones en ingresos, ha construido su negocio en el vacío dejado por desarrollo cerrado.

Sin embargo, el modelo de código abierto ha cambiado las actitudes, no porque sea más barato (porque probablemente no lo sea), sino porque se obtiene un mejor producto. No solo funcionalmente mejor, tampoco. Es mejor porque sabes, o puedes descubrir, su procedencia..

Al igual que la seguridad abierta, el escrutinio de muchos programadores que verifican y usan el código ha ayudado a hacer que el código abierto sea innovador y seguro, desde la inmensa red de Google hasta los nuevos diseños de hardware de Facebook para su centro de datos de código abierto. La seguridad, después de todo, se trata de encontrar errores en su sistema, y ​​la mejor manera de hacerlo es utilizando la mayor cantidad de personas posible..

Red Hat tiene una lista de correo interna donde comparte casi todas las ideas de estrategia y planificación, con solo unas pocas excepciones donde no puede hacer un anuncio legalmente. Por supuesto, algunos dirían que esto les da a sus competidores demasiada información, al igual que un gurú de la seguridad que defiende los sistemas cerrados y la restricción de la investigación. Pero Red Hat no está sufriendo con esta estrategia, está prosperando con ella..

Inmediatamente tiene a su disposición un grupo de 4.000 empleados, analizando estas nuevas ideas y discutiendo sus pros y sus contras. El resultado es que surgen mejores ideas en un entorno ya preparado para su germinación, de modo que, aunque los competidores de Red Hat tomen algunas, no podrían producir tan buenos resultados..

Esto es lo que Red Hat siempre ha hecho con su software, su estrategia y su seguridad, y es la marca de un sistema en el que se puede demostrar que funciona. Hacer lo mismo en el frío y la oscuridad, con la esperanza de que nadie se dé cuenta, está esperando problemas. Y, como con la mayoría de las cosas, es mucho mejor enfrentarse a la tarea, abiertamente, sabiendo que no tiene nada que temer.