El gato y el ratón y el perro, y el dueño y el inspector de animales.
El gato y el raton, el perro, el dueño y el inspector de animales.
Desde los orígenes de la informática siempre existieron los "bugs", primero como bichos físicos que hacían fallar los equipos electromecánicos, luego como errores de programación o simplemente condiciones no testeadas.
Pasamos a un mundo digital, pero el nombre de "bug" (Bicho) se siguió usando hasta hoy en dia.
Históricamente existía el concepto de cliente cautivo, donde las empresas usaban un Sistema Operativo o un programa y no podían cambiarlo, porque "venía" con un hardware que habían comprado.
Si un cliente encontraba un "bug" debía convivir con él hasta que la empresa vendedora quizás lo arreglaba, o le vendía una actualización, y aún en ese caso podía seguir el mismo problema.
Con el tiempo las cosas fueron cambiando y hoy en día no existe una relación tan estable, casi cualquier hardware acepta casi cualquier S.Operativo.
Por otro lado, cerca del 2000 y años siguientes lograron que la masificación de internet y servicios conectados a Internet, sumado a las grandes redes privadas de empresas lograra que un "bug/error/vulnerabilidad/descuido" esté ahora mucho mas visible a todo el mundo.
La secuencia que ocurre es, un investigador ubicado en cualquier parte del mundo descubre que un foro en otra parte tiene un "problema", lo verifica/explota/usa y en ese momento se acaba de descubrir "un nuevo bug".
Existen dos caminos a seguir muy distintos.
Si el investigador es "malo" puede usarlo en cientos de miles de servidores en el mundo y lograr un "HIT" mostrando a todo el mundo su habilidad, en muchos casos luego son contratados por empresas oficiales como expertos en seguridad o calidad de software.
Basta ver Zone-h
http://www.zone-h.org/archive/special=1
donde el dia 15-03 hubo 15 sitios que sufieron algun tipo de ataque.
(20150315.png)
El segundo camino era avisar a la empresa desarrolladora del software para que lo arregle, a veces demoraban meses, años y en algunos casos nunca lo arreglaban correctamente. A veces las empresas pagaban a esos investigadores como recompensa o compensación del tiempo invertido.
Históricamente "el ser malo" era mucho mas rentable económicamente, para los buenos solo un reconocimiento de "bondad" mínima.
Durante el primer dia del descubrimiento, ese bug se llama "Zero Day", porque es tan nuevo que se cree que nadie lo conoce, ni siquiera la empresa fabricante. es como Pan Caliente recién salido del horno.
A partir de ese momento, comienza una guerra entre los "malos" que intentarán usar ese problema en todos los servidores del mundo que lo tengan y los buenos (desarrolladores) que intentarán arreglarlo lo antes posible, y además distribuirlo para que su "buen nombre" como empresa no se vea afectado.
Algo como el Gato y el Ratón, quien es mas rápido, quien logra una ganancia o evita una pérdida a toda velocidad. Los roles se van cambiando y a veces los investigadores, se transforman en los malos por mostrar el problema de empresas.
Cerca del 2000 comienzan a aparecer iniciativas para regular los errores nuevos, con ética y profesionalidad se puede reportar un bug y dar un tiempo para que la empresa que fabricó el Sistema Operativo lo arregle, después de todo, hay millones de equipos con ese producto y publicar el error podría generar un caos global (por cierto, ya pasó varias veces)
Si usas Windows, Linux, OSX, Android, Symbian... todos los sistemas operativos tuvieron (y tienen) fallos, solo es cuestión de tiempo y dedicación para descubrirlo.
Hay dos posturas opuestas, en el mundo GNU los programadores asumen el error mas felizmente y tratan de arreglarlo lo mas rápido que se pueda (como ejemplo el caso de BASH), al no haber un contrato comercial no hay demandas por el incidente.
Sin embargo en el mundo "Propietario" y con grandes corporaciones detras suelen intentar ocultar el problema, demoran bastante tiempo en arreglarlo y económicamente el problema es mucho mas grave por los daños económicos causados.
Los programas de Zero Days definieron un standard para mantener la paz y la tranquilidad global de los usuarios, con un sistema acordado entre todas las partes.
Un investigador descubre un BUG,
lo informa a Zero Day Initiative
se verifica y se registra.
se informa a la empresa desarrolladora (pongamos Microsoft como ejemplo)
y esta empresa tendrá 90 dias para resolverlo y publicar un patch, el parche que tapa la fuga.
en algunos casos se premia con dinero al investigador
Richard Stallman nos hablaba de la Catedral y el Bazaar, para la Catedral encontrar una fisura en una columna implica un daño estructural, cientos de ingenieros metidos, ideas diversas, soluciones que generarán nuevos problemas.
Para el mundo del Bazaar, el fabricante de una jarra, ajusta rápidamente el diseño y en muy poco tiempo comienza a fabricar jarras mejores.
En esta guerra de Gato y Ratón, aparece ahora el perro, supongamos que es un gobierno del primer mundo o agencia de seguridad importante, que curiosamente viene utilizando ese bug para entrar en todos los equipos que deseaba en el pasado, y que si lo arreglan se le cerrarán las puertas que tiene abiertas. Como ejemplo Stuxnet aunque seguramente hay otros.
Para las empresas que proveen de sistemas operativos y que ya tienen problemas con los investigadores que encuentran fallos, se le suma que además deben arreglarlos en menos de 90 dias y eso no es tan fácil.... ahora aparece el perro que "insiste en que el problema se mantenga".
Si eso se arregla pierde poder de control.
Al final de la cadena aparece un ente mayor, como organismos de control, agencias de seguridad globales, servicios de inteligencia del otro lado y peleas por ver quien puede controlar mas equipos.
Uno de los últimos casos es el
descubierto en 2010 como Stuxnet
supuestamente arreglado por Microsoft
vuelto a reportar en enero del 2015
arreglado estos dias definitivamente (correctamente)
Curiosamente lo que descubrieron hace 3 meses es "Muy parecido" al bug del 2010, pero con pequeñas diferencias.
Microsoft dice que "era un nuevo bug"
y los investigadores dicen que "era lo mismo".
Si yo pensara mal, diría que Microsoft arregló sutilmente el problema pero dejó abiertas otras puertas del mismo problema para que los que manejaban Stuxnet (probablemente U.S.A. e Isral) pudieron seguir explotando su red de "chivatos".
Cuando aparecerá el Inspector de Animales que ponga reglas claras, mantenga al gato, al ratón y al perro en sus sitios ?
Aunque el dueño (todos nosotros) que creemos que controlamos todo no podamos mantener a nuestros animales bajo control.
Comentarios
Publicar un comentario