lunes, 8 de marzo de 2010

Los infectados a Cuarentena.


¿Cómo lograr un nivel aceptable de seguridad en Internet? A Scott Charney se le ocurrió una idea: poner en cuarentena a los equipos infectados con malware hasta su recuperación. Scott es vicepresidente de Cómputo Confiable (Trustworthy Computing) en Microsoft.

La propuesta gira en torno a que los ISP (Internet Service Provdier) bloqueen el acceso a Internet de las computadoras que se conectan a Internet a través de ellos. Scott indica que los gobiernos deberían obligar a los ISP a llevar a cabo estas cuarentenas.

Yo no comparto la idea.

Decir que hay que poner en cuarentena a los equipos infectados es trasladar el problema hacia un tercero (ISP/gobiernos) y evadir una responsabilidad; recordemos que muchos de los equipos infectados tienen un sabor de Windows.

Elaborando la idea de Charney, todos los gobiernos deberían de crear leyes para que los ISP pongan en cuarentena a los infectados…todos los gobiernos lo van a hacer? ¿La mayoría? De otro modo no será una medida eficaz. ¿Quién va a pagar la infraestructura de soporte técnico para responder las llamadas pidiendo explicaciones del bloqueo y luego asesoría para limpiar los equipos? ¿De quién es la responsabilidad de limpiar un equipo y mantenerlo seguro: de los ISP o –por ejemplo- de los fabricantes de los sistemas operativos?

En los corporativos, se tiene la opción de usar NAC: Network Access Control. La idea detrás de NAC es que un equipo deba de cumplir con ciertos requisitos antes de establecer comunicación con el resto de los sistemas en la red. Estos equipos deben de tener por ejemplo un nivel de parches aceptable (ej: al menos los del mes pasado), un antivirus actualizado (ej: al menos la firma de hace dos días) y un firewall personal activado; también pueden verificar que el AV de un equipo reporte que está limpio para finalmente dejarlo “entrar” a la red. Las características de cada producto de NAC varían, pero esa es la idea que al parecer el vicepresidente de Cómputo Confiable desea instaurar para los clientes de los ISP.

Bien, pero en los corporativos hay por lo general un área de sistemas que implementa el NAC y que lo administra para los equipos de la red informática empresarial; esta misma área y/o la de soporte técnico se encarga de los casos de soporte que lleguen a surgir debido al NAC. Es diferente llevar este esquema corporativo a una escala mundial donde los diversos ISP implementen una especie de NAC con –potencialmente- miles de usuarios que pedirán ayuda porque “de repente” no tienen “salida” a Internet.

Alrededor del mundo son millones los sistemas que están infectados, llámese botnet Conficker, botnet Mariposa, botnet ZeuS, troyano X y gusano W. Limpiar esos equipos y mantenerlos limpios es una tarea de grandes proporciones. Por otro lado pensemos que el negocio de los ISP es recibir dinero por permitir que sus clientes se conecten a Internet y es poco probable que por su voluntad impidan el acceso a sus clientes; muchos de ellos estarán furiosos: “¿Qué mi equipo está infectado de qué?”, “Páseme con su supervisor”, “Estoy pagando por Internet y quiero Internet”, “Entonces buscaré otro proveedor de Internet”, “Mi equipo no está infectado, cometieron un error”.

El malware es un problema. Afecta a usuarios en sus casas y a corporativos de todos los sectores y de todos tamaños. La solución no es trivial. Abro paréntesis: por ahí leí que se deberían de eliminar a los sistemas Windows y con eso se eliminaba el problema –esta solución no le gustaría al vicepresidente de Cómputo Confiable de Microsoft-, sin embargo por más tentador que la propuesta de eliminar Windows pueda resultar a los fans de Linux/Mac, esta no es una solución real y práctica; sin mencionar que –si se lo proponen- los creadores de malware también podrían infestarlos. Cierro paréntesis.

¿Qué se puede hacer para eliminar el problema del malware? Cada cabeza tendrá soluciones diversas, algunas prácticas y efectivas y otras no tanto. Yo empezaría por atacar donde les duele más a los creadores de malware actuales: sus ganancias. ¿Cómo? Con autenticación robusta en donde se involucren transacciones financieras. Autenticación para el usuario y por cada transacción/pago (o al menos las que involucren terceros). En vez de obligar a los ISP a bloquear a los equipos de sus clientes, se puede obligar a las entidades que tengan que ver algo con transacciones y pagos a que lleven a cabo autenticación robusta.

No es “La Solución”, y de hecho sería sólo una de las medidas por donde se podría iniciar. ¿A usted se le ocurren otras ideas?