Facultad de Ciencias Fisicas y matematicas

CLCERT-ED02-003

Entrevista a Horst von Brand

por Patricia Andrade

Fecha Publicación: 5/04/2002

Resumen:

    En la medida en que Linux se masifique, será un blanco más atractivo


En el mundo de la informática, von Brand es conocido y reconocido como una de las personas que más sabe de Linux. Lleva más de una década usando este sistema operativo "multi-usuario, multi-tarea que corre en muchas plataformas" y cuyo acceso es gratuito, porque su código fuente está disponible en Internet para quién quiera bajarlo.

Nadie mejor que von Brand para hablar sobre si el hecho de que el código del sistema Linux esté disponible lo hace más o menos vulnerable en términos de seguridad.

¿Desde cuándo usa Linux y por qué lo prefiere a otros sistemas operativos?

"Desde aproximadamente el 15 de noviembre de 1991 y no es un chiste, porque 15 días después de conectar a la UTFSM a Internet, llegó alguien a mi oficina diciendo 'mire, profe, el Unix para PC que encontré en Internet'. Y comencé a usarlo...

Lo prefiero porque:

a) Es un sistema tipo Unix, y esa manera de hacer las cosas me parece muy cómoda. DOS era apenas sufrible a falta de algo mejor, Windows me va a contrapelo derechamente. Como ambiente de desarrollo de software no conozco nada mejor.

b) Es un ambiente mucho más cómodo que el común de los Unix comerciales. Alguien dijo que el tratamiento estándar para una máquina nueva partía por "GNU > /usr/local". Los paquetes GNU son más cómodos de usar que sus equivalentes "oficiales". Ese paso te lo ahorras... y el tener que "cachurear" por todo Internet para armar un sistema de desarrollo decente a un costo razonable.

c) Es muy configurable, se puede tener el mismo sistema base en configuración sumamente mínima, montar un servidor web o de bases de datos, un equipo para desarrollo en media docena de lenguajes, o lo que sea. Todo en el mismo paquete, todo seleccionado, configurado y probado para funcionar en conjunto. Además, las actualizaciones compatibles para todas esas piezas están disponibles en el mismo sitio.

d) Me encanta trastear con los sistemas y ahí Linux es insuperable.

e) Linux es GPL, vale decir, es de todos nosotros, y el trabajo que invirtamos en él no se lo puede apropiar nadie para después vendérnoslo caro. Esto ha creado una comunidad de entusiastas rica e interesante.

f) Linux es el único sistema operativo ecológico: permite recuperar computadores de la basura. Hay máquinas atendiendo servicios que de no ser por Linux estarían hace años enterradas en algún vertedero".

¿Hasta qué punto la disponibilidad del código del sistema, una de las fortalezas de Linux, constituye su "talón de aquiles" en el tema de seguridad?

"Tanto los patos malos como los patos buenos tienen acceso al código fuente. Buena parte de los problemas de seguridad se pueden determinar casi igual de fácil con o sin acceso al código fuente. Si no hay acceso al código fuente, los únicos que analizarán el programa serán los que tienen interés en el tema de seguridad exclusivamente (y para muchos productos comerciales, actividades como analizar el código objeto van en contra de las licencias, lo que tiende a desincentivar a los que no tienen malas intenciones). Con código abierto, hay gente que lee el código por querer hacer modificaciones sin relación directa con seguridad, y también ellos podrán reparar problemas de programación incorrecta que descubran en el proceso y que tengan implicancias de seguridad.

Muchos problemas de seguridad se deben a "buffer overflow", y esos errores de programación suelen reflejarse en las caídas al probar el programa con datos al azar. Los resultados de http://www.cs.wisc.edu/~bart/fuzz/ son muy decidores al respecto. Los continuos problemas de seguridad con productos cerrados que se reportan -por muchos esfuerzos que los proveedores del caso hagan para impedir que se publiquen- son una demostración clara de que los productos cerrados son más vulnerables.

¿Cuál es la relación entre linux y viruses?

"No ha habido casos de virus que ataquen a Linux más que como curiosidades de laboratorio, dado que tomar el control del sistema desde una cuenta con privilegios normales no es fácil. Además, como la inmensa mayoría del software está disponible libremente como parte de las distribuciones de Linux, hay poco incentivo para "conseguirse" archivos de terceros, lo que cierra una de las vías de infección importantes.

Los sistemas de procesamiento de texto y demás son variados, y pocos de ellos tienen facilidades de ejecutar código incrustado en los documentos, y menos aún incrustado de forma "invisible", con lo que el tema macrovirus no es relevante tampoco".

Pero, si se han detectado gusanos...

" Hubo un par de gusanos que aprovechaban vulnerabilidades corregidas mucho antes. Estos gusanos no tuvieron mayor impacto por ser pocos los sistemas vulnerables, ya que atacaban una versión obsoleta del servidor DNS bind, que muy pocas máquinas instalan.

¿Influye en ello el perfil del usuario Linux?

"Sí. Linux es una enorme variedad de sistemas distintos, tiene una menor presencia en el mercado, y como su uso se da más que nada en servidores, es usual que tengan una administración más competente que el usuario de la casa. Es decir, lo manejan "computines" que muchas veces están más interesados en el sistema que en usarlo, lo que también hace que sea un blanco más difícil y mucho menos atractivo.

Sin embargo, en la medida que Linux se masifique, y aparezca más software "orientado al usuario final", posiblemente con errores de concepción similares a los que han llevado a la lamentable situación de seguridad en sistemas operativos "de sobremesa", pueden emerger problemas tan graves como los de aquellos".

El incremento en el uso de Linux como sistema operativo de servidores ¿lo hace un mejor blanco?

"Definitivamente, en la medida que se masifique es un blanco más atractivo. Además, la posibilidad de compromiso mediante mecanismos automatizados (gusanos, sistemas de "busque blancos al azar en la red" e intente atacarlos) crece más rápidamente que la proporción de máquinas vulnerables.

¿Qué tipo de errores son responsables de las principales fallas de seguridad?

No actualizar, passwords tontas, instalar sistemas sin verificar las configuraciones por omisión (dejar "cuentas de ejemplo" sin password; dejar la cuenta de "servicio técnico" que tiene acceso de root con password que todo el mundo - salvo el afectado- conocen; dejar "scripts de ejemplo" en sitios web). La tendencia de "instalación completa" por comodidad suele dejar muchas posibles puertas y ventanas abiertas en forma de paquetes que ni se usan.

En términos de desarrollo, el preocuparse por la seguridad de un producto es una tarea ingrata, que requiere tiempo y conocimientos especializados. Pocos programadores han tenido entrenamiento en el tema, en muchos casos ni siquiera se les ha sensibilizado al respecto. Con la creciente tendencia de "aplicaciones web" accesibles a todo el mundo y no sólo a un grupo reducido de usuarios, el problema se ha exacerbado".

¿Cómo se puede prevenir vulnerabilidades?

"Instalando sólo lo que se necesita y manteniendo el sistema rigurosamente al día en actualizaciones. También hay que revisar las configuraciones de lo que se instala, instalar medidas de seguridad locales como TCP wrappers y cortafuegos local con configuración cuidadosa, o al menos con la configuración mínima por omisión".

En términos generales, ¿considera usted que a la seguridad se le asigna la importancia y los recursos que necesita o debiera disponer?

La seguridad requiere de más recursos en trabajo, no en comprar "el último chiche que nos promete asegurar todo". Hace falta crear conciencia a todos los niveles (desde la gerencia hasta los usuarios finales, de los proveedores hasta los desarrolladores) de que la seguridad es importante, que no es una característica que se agrega "una vez esta listo el producto/instalada la red/...", debe formar parte de la concepción inicial del sistema.

La seguridad es un problema de gente, no es un problema técnico. Como tal, esperar encontrar una solución técnica milagrosa ("bala de plata") es una peligrosa ilusión. Ilusión que lamentablemente promueven muchos en aras de mejorar las ventas de sus intentos de solución".


Horst von Brand estudió Ingeniería Civil Química en la UTFSM y es PhD en Computer Science, Louisiana State University Baton Rouge, Lousiana, Estados Unidos (1987). En la actualidad, se desempeña como académico jornada completa del Departamento de Informática de la Universidad Técnica Federico Santa María y profesor jornada parcial en el Departamento de Ingeniería Informática de la Universidad Católica de Valparaíso.