JOANNA RUTKOWSKA: “NO PODEMOS PROTEGER A LA GENTE DE SU ESTUPIDEZ”

Mercè Molist
A los 14 años escribió su primer virus. A los 27, estudia cómo detenerlos. Joanna Rutkowska es polaca, experta en código malicioso y musa de la comunidad de seguridad informática. La intriga saber si en España todos hacen la siesta: “Yo sí, cuando investigo algo complicado, y al despertar sé cómo resolverlo”.

-¿Cuál es el estado del arte en el código malicioso?
-Desgraciadamente, es más fácil crearlo que detectarlo. Las técnicas de los chicos malos están por delante de las nuestras.

-¿Los chicos malos le han pedido alguna vez sus conocimientos?
-Acabo de crear mi propia empresa, Invisible Things, y entre otras cosas hacemos cursos. No sé si mis clientes son criminales o no.

-Cada vez hay más complejidad y delincuencia en el código malicioso. ¿Qué podemos hacer?
-Por una parte está el factor humano y, por otra, el tecnológico. La mayoría de ataques explotan el factor humano, la estupidez de los usuarios. No podemos proteger totalmente a usuarios estúpidos.

-¿Y el tecnológico?
-La tecnología suele tener fallos y hay ataques que no precisan de la intervención del usuario. Un ejemplo, que da miedo, es que sólo con tener la tarjeta inalámbrica de tu portátil funcionando, sin conectarte, alguien puede aprovechar un agujero del controlador y tomar el control de tu máquina.

-¿Cómo defendernos?
-Escribiendo programas sin fallos, con mejores controles de calidad y educando a los desarrolladores para que hagan programas seguros.

-¿Es posible?
-El sistema BSD tiene muchos entusiastas auditando manualmente el código. Pero, aún así, de vez en cuando se encuentran agujeros, a veces después de unos años. Por tanto, no es posible crear código 100% seguro.

-¿Y entonces?
-Otra propuesta es diseñar el sistema operativo de tal forma que, aunque alguien pueda explotar un fallo, el sistema limite el alcance del ataque. Por ejemplo, con arquitecturas de micronúcleo.

-¿Lo qué?
-Windows, Linux o Mac OS tienen grandes núcleos monolíticos, con millones de líneas de código donde no es raro que haya agujeros, y todo está allí. El micronúcleo es un núcleo diminuto que hace unas pocas funciones básicas y el resto funciona en procesos aislados.
Así, un ataque al núcleo no afecta a todo el sistema. El problema es que es un cambio drástico, pero el futuro va por aquí.

-¿Y mientras tanto?
-Se están añadiendo herramientas especiales. Por ejemplo hacer que, cada vez que se pone en marcha el ordenador, los procesos estén en sitios diferentes. Así, el atacante no sabe dónde están las cosas.

-¿Y los antivirus?
-No son más que parches. Se basan en bases de datos con miles de “firmas” de código malicioso y, por cada archivo que entra, comprueban si coincide con alguna “firma”. ¡Es un enfoque tan
equivocado! No funciona contra nuevos ataques.

-¿Cómo deberían funcionar?
-Con un diseño seguro de los sistemas operativos y tecnologías anti-ataques, los antivirus desaparecerían. Pero, en realidad, no se dirigen al factor tecnológico sino al humano, avisando al usuario para que no abra tal adjunto. En la siguiente generación, cuando el humano esté educado, será diferente.

Invisible Things
http://invisiblethings.org

Copyright 2007 Mercè Molist. Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium, provide this notice is preserved.

[N.A: La entrevista es bastante mas larga. Intentare ver si la publico entera. Estuvimos mas de una hora hablando y porque la cortaba, que si no estamos 3 tranquilamente. Hablamos bastante rato de bluepill, que precisamente ahora vuelve a ser noticia: http://www.kriptopolis.org/rutkowska-jaqueada. Entonces yo no conocia esta informacion, por lo que no la comentamos, pero si hablamos sobre si era o no posible detectarlo:

"Por definición bluepill no modifica la memoria, por tanto es 100% indetectable si consideras la detección por escaneo de la memoria. ¿Cómo lo detectaríamos? Por ejemplo con un análisis de tiempo, porque cuando tienes un sistema funcionando en una máquina virtual,
algunos eventos tardan más. Pero sería difícil aplicar esta forma de deteccion a un antivirus comercial, porque primero necesita una fuente temporal confiable. Si sólo usas el reloj del ordenador, bluepill puede engañar al reloj. Por tanto necesitarías una red
especial, cifrada, que se comunicase con un servidor de Internet y le diese el tiempo. Y esto no es muy práctico."
"Algunos fallos en el procesador podrían permitirnos detectar que se está ejecutando una máquina virtual. Pero no podemos crear productos de seguridad basados en fallos. La detección debe basarse en tecnología documentada. Por tanto, en algunos casos podemos detectarlo, pero en la practica y hoy por hoy no podemos crear ninguna herramienta practica para ello." ]

Más información:
- http://es.wikipedia.org/wiki/Chaos_Computer_Club
- Conferencia 21C3 Passive covert channels in the Linux Kernel
- Conferencia 22C3 Covert channels in TCP/IP: attack and defence donde Steven J. Murdoch explicaba como detectar las covert channels de Rutkowska de la conferencia del 21C3.
- Conferencia 23C3
-http://invisiblethings.org (Empresa de Rutkowska)
-Blog de Rutkowska

Todo el mundo habrá leido sobre la censura en España (este enlace sobre la censura en España es bastante interesante).

Pero hoy en día sigue pasando. Esta foto es actual, de una revista de Irán. Se puede ver que censuran el anuncio sobre turismo en Portugal:

O esta en que censuran una rodilla!

Si queréis ver todas las fotos censuradas, aquí está el artículo original donde podéis ver todas las fotos.

Pero ¿en España en el Siglo XXI sigue existiendo la censura? Si se aprueba esta ley sí. Tal como dice:

El Gobierno podrá impedir el acceso desde España a servicios o contenidos internacionales cuya interrupción o retirada haya decidido un órgano competente.

Aunque realmente no será nada comparada con la censura de China, que llega a puntos como de prohibir el juego Hearts of Iron (De estrategia de la 2ª Guerra Mundial) ya que Tibet y Manchuria salen como nación independiente (que lo eran) en 1936 y eso pone en peligro la “unidad nacional”.

Existe una comunidad de “geeks” cuya “geekness” consiste en como ligar de forma efectiva.

Como llegar en cualquier lugar (un bar) a cualquier chica (Jennah Jameson) y hacer que ella se quiera acostar contigo. Yo conocí esta comunidad a través de un amigo que conoció el libro de “Misterio” y poco a poco he ido investigando hasta que ha llegado a mis manos el libro de Neil Strauss aka Style (el libro, llamado The Game ha sido traducido como El Método)

Internet está lleno de gente que se reune para compartir trucos, tacticas, openers y negs.. youtube también esta plagado de videos. Os pongo unos cuantos (si alguien sabe como embeber videos en el puto wordpress que me lo explique porfavor)

Mistery, Being Interesting
Mistery, Comfort Building
Mistery, Levels of Pickup
Mistery, Last minute resistance

Rogeman

La Electronic Entertainment Expo o E3 (http://www.e3expo.com/) como comúnmente se le denomina es una de las ferias más importantes de ocio interactivo (menudo nombre para hablar de los videojuegos xD) a nivel mundial. Si últimamente ya no íbamos al SIMO más que a ver a las chatis que por allí circulaban embutidas en ceñidas mallas, los autores de la página E3 girls (http://www.e3girls.com/) han hecho para las personas que no podemos ir a la feria, un deleite para la vista. En esta página se recogen fotos de cientos de azafatas de los diversos stands que conforman la exposición también aparecen un montón de heroínas de personajes de videojuegos que pululaban por allí para animar el cotarro. En cuatro palabras: IN-CRE-I-BLE. Y para muestra un botón.

A must have one!
Shivan