Hace un par de días te hablábamos de HeartBleed y ahora vuelve a ser noticia, esto es porque la Agencia de Seguridad Nacional (NSA) de los Estados Unidos ya sabía desde hace al menos dos años acerca de esta falla que provocaba que varios websites enviaran su información confidencial, sin confidencialidad aparente, y pues la NSA acostumbraba utilizar este "hueco de seguridad" para juntar información crítica de inteligencia.
Evidentemente que la decisión de la NSA de mantener en secreto este fallo en aras de preservar la seguridad nacional, es suficiente para volver a encender el debate acerca del papel que juegan los expertos en computación que trabajan para el gobierno.
Heartbleed parece ser uno de los más grandes fallos en la historia del internet, una fisura en la seguridad básica de casi dos terceras partes de los sitios web. Su descubrimiento y la creación de un parche por investigadores hace unos días, pedía a los consumidores que cambiaran sus contraseñas, el gobierno canadiense suspendió las declaraciones de impuestos electrónicas y compañías de computación desde Cisco Systems hasta Juniper Networks parcharon sus sistemas.
Al contar con Heartbleed en su arsenal, la NSA podía obtener contraseñas y otra información básica que les permitía construir bloques de operaciones hacker en el centro de su misión, pero a un elevado costo, ya que millones de usuarios ordinarios como tú y como yo, nos quedamos vulnerables al ataque de otras armas de inteligencia, y de otros hackers no tan bien intencionados.
Una práctica controversial
Varios expertos en seguridad computacional están totalmente en desacuerdo con estas prácticas, ya que vulneran la privacidad, y dan al traste con algunos de los postulados de la carta de derechos humanos. Sin embargo, es una práctica común para la NSA detectar las vulnerabilidades de software y hacerse con ellas para satisfacer su "neurosis terrorista".
Tanto la NSA como otras agencias élite de inteligencia dedican millones de dólares a "cazar" las fallas comunes de software que les permiten robar información de computadoras seguras. Los protocolos de código abierto como OpenSSL donde se encontró la falla, son los blancos principales.
La falla denominada Heartbleed, fue introducida a principios de 2012 en un ajuste menor al protocolo OpenSSL, y esa es una de las fallas que existen en el desarrollo de software de código abierto.
Código Gratuito
Es bien conocido que muchas compañías de internet dependen del código gratuito, y su integridad depende de un pequeño número de investigadores con pocos fondos que dedican sus energías a estos proyectos. En contraste, la NSA tiene más de mil expertos dedicados a detectar estas fallas utilizando técnicas de análisis sofisticadas y muchas de ellas incluso, clasificadas.
La agencia encontró el error poco tiempo después de su introducción, de acuerdo con una de las fuentes familiarizada con la materia, y se volvió una parte básica de la estrategia de la agencia para robar información sensible de las cuentas y también para otras tareas.
La NSA enfrenta nueve meses de daño provocado por la dura crítica a la manera en que espía, y esto se fue dando a conocer por los leaks de Snowden quien antes solía trabajar para ellos. Estas revelaciones ayudaron a crear una imagen de dos roles - a menudo contradictorios - representados por la agencia de espionaje más grande de los Estados Unidos. Así por un lado la NSA protege a las computadoras del gobierno y la industria de ciberataques, mientras por el otro lado se la pasa juntando fallas para atacar por vía de la inteligencia las computadoras de otros, incluyendo organizaciones terroristas, contrabandistas nucleares y otros gobiernos.
Fallas considerables
Los usuarios comunes de internet están bastante enfadados ya que las fallas serias no se arreglan, y por lo tanto exponen su información a organizaciones de espionaje y criminales, al menos eso dijo Johnn Pescatore, funcionario del SANS Institute en Bethesda, una organización que proporciona entrenamientos en ciberseguridad.
Cuando los investigadores descubrieron Heartbleed escondido entre el código y lo hicieran público el 7 de abril, se develó una verdad bastante incómoda: La gente está poniendo toda su confianza en los desarrolladores de hardware y software para asegurar que las transacciones más sensibles estén a salvo.
No habíamos visto nada como esto con anterioridad. No solamente una gran porción del internet se vio comprometida, sino que el daño que puede ser hecho y con relativa facilidad, es inmenso.
Protocolo lleno de fallas
La falla en el protocolo OpenSSL utilizado para encriptar las comunicaciones entre usuarios y sitios, haciéndolos "seguros", lo único que hizo fue permitir que estas transacciones se volvieran un libro abierto, y el daño podía hacerse de manera sencilla, con un simple escaneo, así que millones de máquinas podrían estar a merced de un solo atacante.
La cuestión sería saber si algún otro gobierno u organización además de los Estados Unidos hizo uso de esta falla antes de que se revelara al público. Si los criminales encontraron la falla antes de que saliera a la luz, pudieron haber obtenido millones de contraseñas de cuentas de banco, sitios de comercio electrónico y cuentas de correo de todo el mundo.
Información ordinaria
El hecho de que la vulnerabilidad existiera en la transmisión de información ordinaria - aún si es el tipo de información por la cual la gran mayoría de los usuarios se preocupan - pudo ser un factor en la decisión de los oficiales de la NSA para mantenerla en secreto, según comentó James Lewis, un funcionario senior de ciberseguridad en el Center for Strategic and International Studies.
De hecho tienen un proceso cuando encuentran este tipo de información que la hace llegar directamente al director (de la agencia). Ellos verifican qué tan probable es que otras personas lo hayan encontrado y lo estén utilizando, y tratan de pronosticar cuál es el riesgo para el país
La NSA tiene un abanico de opciones incluyendo la explotación de la vulnerabilidad ganando inteligencia en un corto periodo de tiempo y después contactando de manera discreta a los creadores del software o a los investigadores de código abierto para que lo arreglen.
Protocolo SSL
El protocolo SSL tiene una historia de problemas de seguridad y no es la forma primaria de protección que utilizan los gobiernos y otros organismos para transmitir información altamente sensible. La cuestión es que esto no alivia el malestar de los millones de jugadores que quedaron vulnerables durante tanto tiempo.
De acuerdo con los leaks del espionaje electrónico de la NSA, el presidente Barack Obama llamó a un panel para revisar las actividades de vigilancia del país y sugerir reformas. Entre las docenas de cambios que se vislumbran, hubo una recomendación para la NSA rápidamente se mueva para arreglar las fallas de software en lugar de aprovecharse de ellas, y que utilizarlas solo podría hacerse en situaciones muy específicas (y escasas) y por un cortísimo periodo de tiempo.
La NSA cuenta actualmente con un "tesoro" de miles de vulnerabilidades que podrían ser utilizadas para atacar algunas de las computadoras más sensibles del mundo, de acuerdo con lo informado por una persona muy bien versada en el tema. Los jefes de inteligencia comentaron que la habilidad del país para encontrar amenazas terroristas y entender a líderes hostiles, sería enormemente disminuida si su uso fuera prohibido.
Lo dicho, la neurosis terrorista que azota al vecino del norte, no les permite darse cuenta que al vulnerar la seguridad de los usuarios de internet, los están exponiendo también a ataques de otros organismos y países con el afán enfermizo de encontrar algo que es muy posible que ni siquiera esté ahí.
Vía | Bloomberg
