Salta el menú de navegació i ves al contingut

EROSKI CONSUMER, el diari del consumidor

Cercador

logotip de fundació

Canals d’EROSKI CONSUMER


Estàs en la següent localització: Portada > Noves tecnologies > Internet i telecomunicacions

Aquest text ha estat traduït per un sistema de traducció automàtica. Més informació, aquí.

Jorge Ortiz, expert en seguretat d’Internet

Alguns sistemes anticopia empenyen als usuaris a les xarxes P2P

  • Autor: Per
  • Data de publicació: Divendres, 03deMarçde2006

Les credencials de Jorge Ortiz a l’hora de parlar de seguretat dels sistemes informàtics són les més altes que un professional del seu àmbit pugui tenir. De fet, solament hi ha tres persones més al món tan acreditades com ell. Ortiz és un GSE (‘GIAC Security Expert’), una certificació atorgada pel Sans Institute, l’organisme que assessora al Govern d’Estats Units i que periòdicament publica les 20 vulnerabilitats més crítiques d’Internet. Ortiz, que també treballa com a assessor en Hewlett Packard, opina que “no es pot protegir un de la còpia de la seva obra intel·lectual a força de profanar la propietat dels altres”, referint-se a certs sistemes anitcopia engegats recentment per algunes companyies de la indústria de l’entreteniment.

És la Xarxa tan insegura com diuen alguns?

Internet és un mitjà insegur si no es prenen les precaucions adequades. Si s’usen els mitjans que estan a l’abast de l’usuari per dificultar les accions de persones o programes nocius, el nivell de seguretat pot ser bastant alt i es redueix considerablement el risc.

I estadísticament?

El ‘Phishing’ és més un cas d’enginyeria social que informàticaEstadísticament sí ho és, perquè es produeixen nombrosos atacs diàriament, tant a particulars com a empreses. El que passa és que no es té notícia de molts d’ells tret que, per la seva dimensió, siguin rellevants per als mitjans de comunicació, o bé es produeixin sobre empreses importants i afectin a un gran nombre d’usuaris.

La preocupació per la seguretat en Internet ha estat gairebé una constant des que la Xarxa es va fer pública. Hi ha hagut millores significatives durant la primera ‘dècada online’?

Hi ha hagut canvis de filosofia quant a la seguretat: al principi la Xarxa es concebia com alguna cosa publico, on no s’intercanviaven tantes dades ni diners; era més aviat un mostrari de pàgines amb informació d’institucions o publicitat d’empreses. Per tant no es concebien els atacs que avui es donen. A mesura que es va desenvolupar el comerç i els serveis virtuals, els nivells de seguretat han pujat, doncs els atacs a ordinadors o a dades privades s’han multiplicat. Això ha generat una sofisticació tant dels mètodes de protecció de les dades sensibles com de les estratègies per robar-los. Així, s’ha arribat al ‘Phishing’, que és més un cas d’enginyeria social que informàtica.

Ha variat el tipus de pirata informàtic durant aquest temps? Com ho ha fet?

Sí ha variat, i molt. Ha passat per tres fases: al principi el pirata informàtic era una persona que sabia moltíssim i cap a meravelles amb l’ordinador; la seva acció, llavors, consistia a explotar els seus coneixements per demostrar la seva perícia i adquirir notorietat. Més tard han aparegut programes que faciliten enormement les accions de pirateria informàtica, amb el que usuaris avançats, però en absolut experts, han pogut incorporar-se al grup dels pirates o ‘crackers’, sempre amb un afany més o menys subversiu i d’adquirir notorietat; són els coneguts com ‘scriptkiddies’, generalment joves. Més recentment s’ha produït l’entrada del crim organitzat en la pirateria, que és la responsable dels atacs de ‘Phishing’. Aquestes màfies igual tracten amb blanques, amb drogues o estafen en Internet, simplement perquè és un negoci molt lucratiu.

Internet ha globalitzat moltes coses que abans eren regionals o tenien un abast molt més reduït. També s’ha globalitzat la inseguretat a la Xarxa?

Les màfies igual tracten amb blanques, amb drogues o estafen en Internet simplement perquè és un negoci molt lucratiuParcialment sí. La naturalesa d’Internet, que és deslocalizada, la fa ideal per a persones que vulguin operar de manera il·legal, doncs gràcies a la seva globalització, la Xarxa ha entrat en països amb legislacions laxes respecte a determinats temes. Així, les persones que podrien infringir la Llei en determinats països, traslladen els seus servidors a uns altres on no es regulen les seves accions. Això propicia la pervivència de subjectes i bandes amb intencions agressives cap als altres usuaris. Per exemple, en alguns països no existeix un control de dades històriques sobre els usuaris, amb el que és difícil localitzar a un delinqüent informàtic en ells. En aquest sentit, i per als casos clarament delictius, els governs haurien d’arribar a un acord, encara que és alguna cosa que portarà bastant temps.

Com jutjaria el nivell de seguretat de les empreses espanyoles: mitjans de premsa online, financeres, tendes i tot tipus de serveis on l’ordinador s’exposi a atacs o s’ofereixin dades privades d’interès?

Avui dia existeixen garanties bastant raonables que s’està en un entorn segur si es fa un ús degut Internet, però l’usuari ha de conèixer ben el que és el procés de compra a la Xarxa per no cometre errors que de vegades s’atribueixen a la inseguretat i realment no ho són. Jo recomanaria estudiar bé el procés abans d’operar per després realitzar-ho amb eficàcia. Per a la tranquil·litat de l’usuari, haig de dir que les empreses estan treballant també en mecanismes que suavitzin la complexitat dels processos de transferència de dades per fer-los més comprensibles i eficaces. Alhora, reforcen bastant bé la seguretat amb nous sistemes que evitin a l’usuari exposar cap tipus de dades. Per exemple, en les operacions online de molts bancs ja no s’escriuen els codis, sinó que l’usuari selecciona nombres de caselles. Cal pensar que la seguretat en el comerç online és tan important pel qual presta el servei com para el que ho rep.

Haurien d’establir-se per llei uns nivells de seguretat mínims per a les pàgines que ofereixen serveis online?

No tinc una opinió feta sobre aquest tema; d’una banda crec que la gent ha de ser conscient que posar un servei requereix seguretat. Però d’altra banda, altres pàgines que realitzen serveis sense afany econòmic poden ser utilitzades com a punt d’atac. És un pas intermedi, tal vegada no legislatiu, però sí de pressió sobre els fabricants de programari perquè incloguin protocols de seguretat, si bé cal reconèixer que aquests tenen avui dia molt més en compte la seguretat que fa cinc anys.

Es pot pagar online amb targeta de crèdit amb la mateixa tranquil·litat amb que ho faríem en una tenda física?

No és el mateix pagar en Amazon que fer-ho en un comerç del que mai abans havíem sentit parlarJo la uso amb la mateixa tranquil·litat, però igual que al món físic no li dono a qualsevol tenda les dades de la meva targeta, a la Xarxa també hi ha paràmetres que ens indiquen les cauteles que hem de tenir a l’hora de deixar les nostres dades. No és el mateix pagar en Amazon que fer-ho en un comerç del que mai abans havíem sentit parlar.

Què pensa de la polèmica sorgida entorn del ‘rootkit’ (programa que s’oculta en l’ordinador) que Sony va implantar en els seus discos CD amb protecció anticopia i que va propiciar la propagació de virus per alguns ordinadors que intentaven reproduir els CD?

Primer cal dir que Sony va retirar els CD que contenien aquest sistema i va compensar als usuaris. Ara bé, al meu entendre no es pot protegir un de la còpia de la seva obra intel·lectual a força de profanar la propietat dels altres. Crec que aquests sistemes no només són incorrectes, sinó que van en contra dels propis interessos de les empreses que els apliquen, doncs d’alguna manera empenyen al consumidor a les xarxes d’intercanvi P2P, on no se li posen tantes traves per aconseguir el que desitja.

Els virus, el correu brossa, alguns tipus de publicitat molests i fins i tot intrusius…, són mals crònics amb els quals hem d’aprendre a conviure o es remeiaran amb el temps?

No és convenient que l’usuari incorpori sistemes de seguretat superiors a les seves necessitatsHem de partir que no hi ha remeis màgics. Sempre, qualsevol sistema protegit contra una determinada intromissió és susceptible de ser atacat de qualsevol altra forma. Això és així tant per a usuaris com per a sistemes professionals. La panacea no existeix; és més aviat és un tema dels nivells de risc als quals ens exposem. Cal prendre les mesures que es corresponguin amb el risc que correm. Si s’assumeixen alts riscos, s’han de prendre altes mesures de seguretat. Cal avaluar què riscos s’assumeixen; no és el mateix perdre les fotos de la família que la comptabilitat d’un any. D’altra banda, tampoc és convenient que l’usuari incorpori sistemes de seguretat superiors a les seves necessitats. Per exemple, les versions professionals d’alguns antivirus són complexes de configurar; si no es fa bé la instal·lació el resultat és un ordinador pràcticament immobilitzat.

Un dels principals problemes de Kazaa quant a seguretat era que pel seu canal d’intercanvi es podia infectar un ordinador amb facilitat. Amb Emuli la seguretat ha millorat molt, però existeix risc. Són les xarxes P2P un taló d’Aquil·les de l’ordinador? Cal prendre precaucions extra quan les hi utilitza?

De nou aquí els perills van relacionats amb el desconeixement, perquè amb un P2P s’obre un port al món que augmenta la vulnerabilitat del sistema; però hi ha mètodes de prevenció. És convenient invertir en seguretat. En general, les xarxes d’intercanvi estan lluny de la seguretat ideal, però van millorant. Una solució eficaç són els programes de ‘virtualització d’entorns’, que aïllen la part de l’ordinador dedicada a les xarxes d’intercanvi de la resta del sistema; els hi ha tant de pagament com a gratuïts en Internet.

Quin balanç entre inversió i protecció creu que és l’adequat per a un usuari normal? Quant hauria de gastar-se per assegurar-se un nivell de protecció eficient?

La gent sol ser conscient de quins són els mínims, però no significa que els usi. Jo crec que per a un usuari n’hi ha prou amb un ‘parcheador’ [actualizador de las innovaciones en seguridad que las empresas ofrecen a través de Internet] al dia, un ‘tallafocs’ [monitorizador de páginas y programas en descarga] actualitzat, un antivirus al dia i una còpia de seguretat que sigui actualitzada amb freqüència. La gent no dona importància a la còpia de seguretat, però tal vegada sigui el més eficaç.


Et pot interessar:

Infografies | Fotografies | Investigacions