Cómo la ciencia ficción nos muestra vulnerabilidades antes de que existan
El contexto de las vulnerabilidades es dinámico y requiere de la constante atención de los investigadores y expertos en seguridad informática. Distintos enfoques contribuyen a atender esta problemática, uno de ellos considera la ciencia ficción y la imaginación para idear escenarios adversos que podrían afectar los sistemas en el futuro –y de esta forma, saber qué posibles vulnerabilidades enfrentar antes de que existan.
Durante la pasada edición del Congreso de Seguridad en Cómputo de la UNAM, el jefe técnico del Equipo de Vulnerabilidades CERT del Instituto de Ingeniería de Software (SEI), realizó una presentación con el tema “Systemic Vulnerabilities: Steampunk Science Fiction and Computing Today”, donde destacó la aparición de nuevas vulnerabilidades a partir de los cambios en el entorno de los sistemas, y señaló recomendaciones para atenderlas.
Con la idea de incorporar la seguridad en el desarrollo de los sistemas y teniendo como punto de partida la observación de aviones que vuelan cerca de las edificaciones, Joji Montelibano llega a la reflexión sobre la necesidad de diseñar sistemas adaptables, contra amenazas que actualmente no existen y que podrían afectarlos en el futuro. A continuación revisamos la relación de estos principios con la seguridad informática.
Aparición de nuevas amenazas y nuevas vulnerabilidades
¿CÓMO PODRÍAN HABER CONSTRUIDO UN EDIFICIO QUE SOPORTARA EL IMPACTO DE UNA AERONAVE SI AL EDIFICARLO TODAVÍA NO EXISTÍAN LOS AVIONES?La idea surge como resultado de observar el riesgo que representan los aviones que vuelan cerca de los edificios, lo que queda de manifiesto con la conocida tragedia del 11 de septiembre de 2001 en el World Trade Center de Nueva York. La preocupación tiene su origen con la construcción del edificioFlat-Iron situado en Manhattan, el cual se terminó de construir en 1902, un año antes de que se registrara el primer vuelo realizado por los hermanos Wright.
Pero, ¿qué relación existe entre estos sucesos? La respuesta es sencilla: con la aparición de los aviones, éstos se convirtieron en una nueva amenaza para las edificaciones, luego de que ni siquiera existían en el momento en que se terminó de construir el rascacielos de principios del siglo XX. Por lo tanto, ¿cómo podrían los arquitectos e ingenieros haber construido un edificio que pudiese soportar el impacto de una aeronave, si al concluir la edificación todavía no existían los aviones?
Los primeros accidentes aéreos que involucraron impactos contra los edificios no causaron grandes repercusiones debido al tamaño y características de las aeronaves, que tenían una estructura relativamente débil; sin embargo, con su desarrollo y evolución, la amenaza fue creciendo. En otras palabras, este tipo de accidentes aéreos se convirtieron en una vulnerabilidad sistémica para los edificios.
Contexto de las vulnerabilidades sistémicas y cuándo aparecen
Una definición de sistema nos dice que se trata de un conjunto de elementos que, relacionadosordenadamente entre sí, contribuyen a un determinado objetivo, por lo tanto el término puede aplicarse a una gran cantidad de áreas -donde la informática no es la excepción.
En este contexto y de acuerdo con la teoría de sistemas, las vulnerabilidades conocidas como sistémicas, son aquellas que se descubren y afectan a los elementos que componen un sistema, mismas que también pueden presentarse debido a las relaciones recíprocas entre los subsistemas que conforman dicho sistema de referencia o como resultado de las interacciones de éste último con un sistema mayor (el entorno).
LEER CIENCIA FICCIÓN PERMITE IDEAR ESCENARIOS ACTUALMENTE DESCONOCIDOS Y NO CONSIDERADOS QUE PODRÍAN CONVERTIRSE EN UNA AMENAZA FUTURAPor lo tanto, observamos que es posible encontrar una infinidad de amenazas que no fueron consideradas inicialmente, y que pueden presentarse debido a la interacción del sistema con el ambiente o los cambios de este último. Además, nuevas vulnerabilidades pueden ser encontradas donde nunca se hubieran imaginado, tal como sucedió con la debilidad de las edificaciones asociadas a las aeronaves.
Llevando estas ideas al ámbito de la seguridad de la información, Montelibano propone como una tarea para los equipos de desarrollo, el diseño y construcción de sistemas flexibles que puedan adaptarse a ambientes cambiantes. De esta forma, se plantea la tarea deevitar futuras amenazas que actualmente son desconocidas, ya que las vulnerabilidades pueden aparecer debido a los cambios en el entorno del sistema, aunque éste último permanezca inalterado.
¿En qué momento se debieron considerar amenazas que no existían?
Luego de la analogía se lanzaron las siguientes preguntas:
- ¿Cuándo debieron los arquitectos, diseñadores y constructores del Flat-Iron Building incorporar defensas contra aviones volando a 500 MPH llenos de combustible?
- ¿Cómo juzgar a aquellos que no pudieron idear medidas para defenderse contra amenazas que la ciencia ficción apenas había comenzado a explorar cuando los sistemas se implementaron?
La dificultad para contestar a estas interrogantes nos hace pensar en el presente, para intentar responder las siguientes cuestiones: ¿qué sucede con la tecnología que actualmente utilizamos o que se encuentra en desarrollo, y que es susceptible a padecer riesgos relacionados con amenazas no conocidas en este momento? Y sobre todo, ¿qué mecanismos de defensa tenemos actualmente a nuestro alcance para enfrentar a las nuevas amenazas que no fueron consideradas previamente?
Pautas a seguir para la protección de los sistemas y la información
La respuesta a las preguntas anteriores está determinada por los siguientes elementos que fueron enlistados por el conferencista. El primero está relacionado con la aplicación de actualizaciones y parches (algo que continuamente se recomienda para los desarrollos de software y aplicaciones susceptibles a fallas de código).
Otra alternativa explorada se relaciona con la implementación de la defensa en profundidad, es decir, la aplicación de controles de seguridad a diferentes niveles, que permite aumentar la protección de un sistema de referencia en distintas capas.
Un elemento más es la consideración de la obsolescencia programada, misma que impide el funcionamiento de un sistema a partir de un período de funcionalidad establecido por el fabricante; es decir, determina la vida útil durante un lapso de tiempo calculado desde la fase de diseño, para que el sistema se torne obsoleto o no funcional.
Como último punto enlistado (mismo que contribuye al título de la presentación), se tiene como recomendación la lectura de ciencia ficción, actividad que permite idear escenarios actualmente desconocidos (por lo tanto no considerados) y que podrían convertirse en una amenaza futura.
Finalmente, otra posible solución a los problemas que se enfrentan en la actualidad y en los años venideros para el mundo de la seguridad, es el desarrollo en diseños que permitan la adaptabilidad a ambientes que se hacen más hostiles con el tiempo, pero sobre todo contar con una actitud de colaboración entre todos los involucrados en el desarrollo de los sistemas y de la tecnología, concluye Joji.
Créditos imagen: ©JD Hancock/Flickr
Autor Miguel Ángel Mendoza, ESET
Fuente: http://www.welivesecurity.com/la-es/2015/
Fecha de consulta: 05 Junio 2015