2 jun 2005

Kevin Mitnick: "Las empresas tienen que ser más responsables en seguridad"

Fuente: Infobae Profesional



“Las empresas tienen que asumir su responsabilidad en seguridad informática”. La advertencia fue formulada por Kevin Mitnick, el ex hacker más famoso del mundo, y estuvo dirigida a las compañías que no tienen políticas integrales para proteger sus redes, sistemas y computadoras de ataques de intrusos.



En una conferencia de prensa realizada en el marco del Security Management Regional Congress, realizado en el hotel Four Seasons de Buenos Aires, Mitnick alertó sobre los peligros de los programas espías (spyware), los agujeros de seguridad de las redes inalámbricas, y el uso de la ingeniería social como técnica empleada por los intrusos de los sistemas informáticos.



Con más de 15 años de experiencia en seguridad informática, Mitnick es un especialista en exponer las vulnerabilidades de sistemas operativos y de dispositivos de telecomunicaciones. Hoy lidera su propia consultora corporativa, Mitnick Security Consulting LLC.



Mitnick cobró fama al acceder sin autorización a los sistemas informáticos de importantes corporaciones y vulnerar los sistemas informáticos más seguros del mundo. Luego de estas intrusiones, se transformó en un fenómeno de discusión en numerosos artículos de prensa y programas de televisión de EEUU y del resto del mundo.



“Empresas muy irresponsables”

El especialista en seguridad de redes y sistemas señaló que “las empresas son muy irresponsables cuando ejercen la política de parches”, y afirmó que los firewalls “deberían ser instalados por default en Windows y en Unix”.



“Si las empresas no tienen debido cuidado, están perjudicando a los accionistas, quienes pueden sufrir pérdidas”, dijo el ex hacker. Mitnick apuntó en especial a “los presidentes y directivos de las empresas” para quienes “la seguridad informática es un pasivo, y le dan un presupuesto mínimo, hasta que sufren un incidente y ahí la toman en serio”.



Seguridad como proceso

Para Mitnick, la mejor política de seguridad debe partir de entender al tema como “un proceso continuo”, que no se reduce a la instalación de algún software específico. “Hay que tener una vigilancia constante” de las redes y de los sistemas, recomendó. “Mucha gente compra un software, lo instala y piensa que ya está todo”, alertó.



Ante el crecimiento de estafas virtuales y de técnicas como el phishing, afirmó que la mejor prevención pasa por “educar a la población”. Al respecto, opinó que “en las escuelas de hoy no se enseña lo que está bien y lo que está mal en la computación”, por lo cual “es posible” que los estudiantes “vayan al hacking”.



Sin embargo, se mostró de acuerdo en implementar sistemas como la lectura de huellas dactilares como mecanismo para validar el ingreso a una red privada. “Otra solución es usar un ID (dirección de Internet) seguro, pero las pérdidas no justifican el costo” de implementar esta tecnología.

Mitnick, quien aseguró que en su carrera de hacker “nunca” se metió en alguna computadora o red de la Argentina, consideró que la empresa Microsoft “está haciendo un buen esfuerzo” para responder a las demandas del mercado por mayor seguridad en sus programas.



Errores humanos



“El error humano es una de las principales vulnerabilidades” de los sistemas informáticos, señaló Mitnick, quien criticó “el manejo de las contraseñas: son muy previsibles, la gente las escribe, las comparten”. “Si se tratara la contraseña como el código o la clave de los cajeros automáticos, sería todo muy diferente”, apuntó.



Otro aspecto de “los errores humanos” señalados por el ex hacker fue el desconocimiento que tienen los usuarios sobre los softwares que descargan desde la red, que pueden contener códigos maliciosos.



Mitnick dijo que “hay más ataques externos” a los sistemas de las empresas que aquellos que provengan de los propios empleados. Sin embargo, alertó que los ataques internos “es la amenaza más difícil” de controlar. Al respecto, recomendó implementar políticas de control del personal, en especial de sus antecedentes y en recrear “una buena atmósfera de trabajo”.



Spyware, wireless y hackers



“Hay mucho spyware, y es muy difícil de detectar”, dijo el ex pirata informático, en referencia a los códigos maliciosos que infectan la mayoría de las computadoras personales del mundo. “Es muy difícil protegerse contra esto”, admitió, “a menos que se trabaje en un sistema paranoico”.



Mitnick admitió que las redes inalámbricas de acceso a Internet sobre WiFi “ya son un problema”, debido a su amplia difusión y vulnerabilidad. Recordó que “hay muchos negocios” y comercios que ofrecen a sus clientes conectarse a la red a través de WiFi, al que calificó de “muy inseguro”. “Yo recomiendo a mis clientes que seun VPN” (redes privadas virtuales).



”Cualquier spammer (difusor de correo masivo no solicitado) puede ir a un local de Starbucks (la popular cadena de cafetería estadounidense) que tenga WiFi, carga la tarjeta de acceso con 10 dólares y manda todo el spam que quiere”, ejemplificó.



Reconoció que “hay muchísima gente” involucrada en el hacking pero reparó que apenas “un 20 por ciento” pueden ser considerados como hackers que desarrollan técnicas y sistemas propios de intrusión, mientras que el resto se limita a “usar programas enlatados” para tomar control remoto de las computadoras afectadas.



“No hace falta ser un genio para ser un hacker”, dijo Mitnick, quien pidió no caer en los “esterotipos” tradicionales que existen sobre estos personajes. “Hay que tener mentalidad de hacker para hacer buena seguridad informática”, sostuvo.



“Hoy es más fácil hacer hacking pero en las empresas hay más conciencia” sobre sus riesgos, dijo. “La tecnología es más compleja, y el área de ataque” gracias a Internet “es más grande”. Para Mitnick, los hackers “van a atacar en los servicios permitidos” en las redes y en los sistemas.





Ingeniería social



En el evento Mitnick disertó sobre “La ingeniería social como riesgo informático para las empresas”, un tema que desarrolló en su libro The art of deception (El arte del engaño).



El término “ingeniería social” es utilizado por la comunidad de seguridad informática para describir las técnicas que los hackers utilizan para engañar a los usuarios “confiados” dentro de las empresas para revelar información sensible o engañar a las personas con el objeto de ejecutar acciones que crean un problema de seguridad.



Mitnick ilustró por qué depositar a ciegas la confianza en los dispositivos de autentificación, cifrado y sistemas de detección de intrusos es ineficaz contra un atacante que usa estas técnicas de ingeniería social.



"Security Management Regional Congress" fue una jornada orientada a brindar conocimiento para la toma de las mejores decisiones en torno a la seguridad de la tecnología de la información organizada por el Centro de Capacitación en Alta Tecnología.



Especialistas en seguridad informática expusieron en el encuentro sobre las últimas tendencias en diversos temas como Infrastructure Security (ITIL), Políticas de Seguridad, Sistemas Antivirus, Ambientes seguros “Open Source”, Continuidad del Negocio, Seguridad en Sistemas Operativos, Estándares y Legislaciones y Desarrollo de aplicaciones seguras.



Un autodidacta



Mitnick es un experto, en gran parte autodidacta, en exponer las vulnerabilidades de sistemas operativos y de dispositivos complejos de las telecomunicaciones. Su extravagancia como un adolescente consistió en estudiar métodos, tácticas y estrategias usadas para violar la seguridad de sistemas de cómputo y aprender más sobre cómo los sistemas informáticos trabajan.



Mitnick utilizó métodos técnicos y no técnicos para obtener el código de fuente de varios sistemas operativos y de dispositivos de telecomunicaciones para estudiar sus vulnerabilidades y su funcionamiento interno.



Detención por hacking



El 21 de enero de 2000, Mitnick recuperó la libertad después de casi cinco años de prisión por numerosos delitos informáticos. Había sido detenido en febrero de 1995 y condenado a 68 meses de cárcel por 25 delitos relacionados con la piratería informática, especialmente el robo de archivos electrónicos en grandes compañías del sector, como Sun, Motorola o Nokia, y la irrupción en varios sistemas del Pentágono y empresas telefónicas.



Mitnick había sido detenido a comienzos de la década del `90 por piratería informática. En 1992 violando los términos de su libertad condicional, pasó dos años y medio en la clandestinidad, desde la que continuó sus actividades. Fue detenido después de entrar en la computadora de un científico informático para robar información.



La víctima empleó entonces sus conocimientos para seguir la pista del intruso y dirigió a los agentes del FBI (policía federal) hasta el apartamento donde Miltnick vivía y operaba.

Los términos de la puesta en liberad de Mitnick fueron excepcionalmente duros: durante tres años tuvo prohibido manejar cualquier aparato electrónico (como una computadora, un teléfono móvil, un módem, o una televisión con conexión a Internet) que le permita volver a las andadas.



"Hannibal Lecter”



Convertido en un ícono en el ambiente informático por su trayectoria como hacker, Mitnick aseguró que cuanto estuvo en prisión se sentía como “Hannibal Lecter”, el asesino antropófago de la película El silencio de los inocentes. Es que las comunicaciones telefónicas con sus parientes eran realizadas a distancia y con un cable prolongado por los guardias penitenciarios.



Había un fiscal que le dijo al juez que si podía hablar por teléfono, llamaría al Pentágono y con "solo silbar podía desatar la Tercera Guerra Mundial”, recordó Mitnick.



Hoy se muestra arrepentido de sus ataques. “Lamento mucho mis acciones que han perjudicado a usuarios y consumidores, me lamento por las pérdidas y problemas causados”, aseguró el consultor de empresas, quien dijo que ayuda a la agencia federal de investigaciones de los Estados Unidos (FBI) sin cobrarles “nada”. Y aguarda a febrero de 2007 para escribir su autiobiografía, algo que lo tiene vedado por la Justicia estadounidense.

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!