De culpables, inocentes, responsables e irresponsables

Seba Bortnik —  27 enero 2009 — 2 comentarios

Como podrán imaginar por el solo de hecho de estar leyendo estas mismas palabras: estoy de vuelta. Las vacaciones me han sentado bien asi que ya arrancamos con la rutina de siempre: post’s, opinión, tecnologías, informática, seguridad, software libre, crítica, humor, etc.

Esta vez me interesa compartir una noticia que encontré en DiarioTi y que posteriormente fue posteadad en el blog de Segu-Info. La noticia dice algo así (fragmentos):

Los responsables del nuevo estallido de Conficker

“Sophos ha realizado una encuesta sobre quién es el responsable del nuevo estallido del virus Conficker que ha infectado a empresas de todo el mundo.”

[…] “el 30% de los encuestados piensa que los administradores de sistemas son los mayores responsables del reciente brote del gusano Conficker”

[…] “el 17% de los encuestados culpa al fabricante del sistema operativo de tener un agujero de seguridad” (N. de UMB: el fabricante es Microsoft)

[…] “Curiosamente, sólo el 53% de los participantes en esta encuesta, acusa a los creadores del virus de ser los verdaderos responsables del gusano que se aprovecha de esta vulnerabilidad.”

Las estadísticas están servidas. Para aquellos que no estén al tanto, el Conficker es un gusano que explota una grave vulnerabilidad de Microsoft aparecida en Octubre de 2008.

Me resultan interesantes las apreciaciones de la gente, y una vez más, la historia de siempre: es muy fácil culpar al malware de los problemas; sin embargo, la gran mayoría de los problemas de seguridad con alto impacto (como este caso) tienen soluciones muy simples de prevención y/o remediación. En este caso puntual, cualquier empresa con políticas de parcheo medianamente razonables está protegida y no debería haber tenido ningún inconveniente ni infección.

De todas formas, me parece que alegar responsabilidades para todos lados a veces hace que perdamos el foco de que todos los integrantes de la cadena han hecho “su aporte” a la “inseguridad”.

  • La empresa (en este caso Microsoft) es responsable por la vulnerabilidad de su producto. Sin embargo, el nivel de esta responsabilidad puede ser peor si la vulnerabilidad fuera descubierta y el fabricante no liberara un parche (o no lo haga a tiempo). En este caso, la vulnerabilidad fue publicada junto con el parche por lo que considero que, solo en este caso del ejemplo, la responsabilidad del fabricante (existente) está atenuada.
  • En segundo término (en términos de tiempo) está la clara responsabilidad del creador del malware o exploit. Estos son los claros responsables de que existan ataques a los cuáles protegerse.
  • En tercer término aparece el administrador de red que claramente puede convertirse en responsable. Como en el caso puntual, en el que el gusano solo puede distribuirse por la red si los equipos Windows no tenían el parche instalado. De todas formas, personalmente me resulta más apropiado hablar de “complicidad involuntaria” más que de responsabilidad.

Más allá de las responsabilidades compartidas (yo sería el primero en enojarme con un SysAdmin si un parche no estuviera instalado), me parece indispensable no desligar a estos muchachos malos de su responsabilidad por crear los ataques. Es más, de los tres involucrados, estos son los únicos con fines maliciosos.

En conclusión, no me parece correcta la idea de pensar quién es el responsable, ya que somos todos responsables. Lo importante es conocer cuáles son las responsabilidades de cada parte y hacernos responsables de las que nos corresponden.

Anuncios

2 comentarios para De culpables, inocentes, responsables e irresponsables

  1. 
    Brian Studer 30 enero 2009 en 0:25

    El negocio de Microsoft son las versiones, el negocio de los administradores son los fallos en el sistema y el negocio del publico es la prudencia. Tal cual lo dijo Raul, estoy de acuerdo.

  2. 

    Yo agrego algo a esto ¿cual es la utilidad de preguntarle a la gente sobre quien cree que es responsable? Eso solo nos habla de la “percepción de un grupo”. Nada más.

    De ahi en adelante se podría trabajar con este sector de gente (usuarios) en tareas de conientización para que aprendan a hacer su parte. Para que sepan cual es la verdadera responsabilidad que les cabe, que es distinto de la “percibida”.

    Cada uno debe poder ser libre de poner o no poner un Antivirus, un parche o cuidar donde navega, pero si no conoce QUE y COMO tiene que cuidar o QUE y COMO hacer las cosas, no es libre, es esclavo de su ignorancia.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s