Ingresa o regístrate acá para seguir este blog.
@isitreallysafe
La semana pasada, y por primera vez, el Subcomité Judicial Sobre Crimen y Terrorismo del Senado americano sostuvo una audiencia cuyo tema central fue el combate contra las botnets. Sí, tan sorprendente como suena, este tema está empezando a ser abordado a nivel legislativo. Para quienes estamos metidos de lleno en estos asuntos, el hecho de que esta audiencia haya tenido lugar es tan importante, tan positivo, tan esperanzador, como preocupante es la situación actual.
El senador Whitehouse, presidente del Subcomité, incluyó estos párrafos en su discurso de inicio de la audiencia que, con total acierto, abrieron el camino a las demás intervenciones en una atmósfera de realismo, pragmatismo y ganas de hacer las cosas que se deben hacer:
“Botnets enable criminals to steal individuals’ personal and financial information, plunder bank accounts, and commit identify theft on a massive scale. For years, botnets have sent most of the spam we all receive; the largest botnets are capable of sending billions of spam messages per day. Botnets are used to launch distributed denial of service (or DDoS) attacks, which can shut down websites by overwhelming them with traffic – a constant danger for businesses in every sector of our economy. The only lim it to the malicious purposes for which botnets can be used may be the imaginations of the criminals who control them – and when a hacker runs out of uses for a botnet, he can simply sell it to another criminal organization to use for an entirely new purpose.
“Let’s be clear: the threat from botnets is not just to our wallets. Botnets are effective weapons not merely for those who want to steal from us, but also for those who wish to do us far more serious harm. Experts have long feared the next 9/11 may be a cyber attack. If that is the case, it is likely that a botnet will be involved. Simply put, botnets threaten the integrity of our computer networks, our personal privacy, and our national security.”
Entre los panelistas estaban Leslie Caldwell, fiscal que dirige la Sección Criminal del Departamento de Justicia, Joseph Demarest, Jr., jefe de la División Cyber del FBI, Richard Boscovich, que está al frente de los temas legales de la Digital Crimes Unit de Microsoft, Cheri McGuire, vicepresidente de asuntos de gobierno y ciber seguridad de Symantec, Craig Spiezle, director de la Online Trust Alliance y, finalmente, Paul Vixie, CEO de Farsight Security, pionero en muchos temas cyber y quien ha estado vinculado al mundo de ICANN por muchos años.
Todas las intervenciones de los panelistas fueron apropiadas. Todas resaltaron la importancia de asignar recursos, compartir información, estuvieron de acuerdo en la gravedad de la situación, etc. La intervención de Demarest fue particularmente interesante dada la cercanía de las acciones en contra de Gameover Zeus y Cryptolocker. Llamó la atención la intervención de Boscovich dada la reciente controversia relacionada con no-ip.
Quiero referirme puntualmente a la intervención de Vixie, quien se refirió de manera específica a los casos de DNS Changer y Conficker, dos botnets contra las que se adelantaron acciones penales y que involucraron la participación voluntaria, basada en la confianza, del sector privado. En estos casos, todo lo que necesitaron las agencias de policía, incluyendo al FBI junto a agencias de varios países más, fue conocer la credibilidad personal y la reputación personal de los actores del sector privado, para compartir con ellos incluso información sensitiva de planeamiento estratégico de las acciones, antes de que las mismas tuvieran lugar.
Había confianza. Fueron alianzas ad-hoc en las que lo que bastó para que el sector privado y las agencias de policía trabajaran juntas fue un apretón de manos basado en la confianza – no hubo contratos ni nada formal que se les pareciera. Hubo total coordinación y rapidez de reacción entre entidades de muchos países (en el caso de Conficker, 110 países, para ser más exactos) e incluso entre empresas competidoras que comprendieron, y así lo viven en el día a día, que frente a muchos tipos de riesgos es mejor trabajar juntos que pretender actuar solos.
Y en estos casos nadie cobró dinero a cambio de brindar su colaboración y de aportar incluso su propio tiempo personal de descanso. Solamente el Internet Systems Consortium llegó a un acuerdo con el Departamento de Justicia para cubrir los gastos de la operación de los servidores en el caso de DNS Changer, pero esto fue algo razonable que no buscaba generar una ganancia económica.
Y sí, estas palabras e ideas fueron expresadas por Vixie en su intervención en la audiencia ante el Subcomité. Pero también son mis palabras y mis ideas (para entender por qué afirmó que las ideas de Vixie también son mis ideas, lea esta nota que publiqué acá sobre la confianza y la madurez en la comunidad de cíber seguridad en América Latina). También son las palabras y las ideas de todos los que estamos en la comunidad de seguridad y cada día vemos tantas formas de actividad maliciosa. Son las palabras y las ideas de todos los que cada día hacemos algo por ayudar a proteger a los usuarios y evitar que sean victimizados con cada nueva vulnerabilidad que es descubierta.
Pronto vendrá el día en que, en América Latina, se identifique a todos los actores privados y estatales en quienes se puede confiar y se definan los procesos de colaboración que se pueden seguir con el fin de conseguir que nuestra región sea algo más segura.
Para que nuestra región no sea más un territorio usado por delincuentes de otras latitudes para hacer pruebas de efectividad del malware que desarrollan. Para que dejemos de ver tanta polución maliciosa que tiene un cierto tonito en portugués. Para que nuestra región no sea usada como cañón masivo vía DDoS, en contra de alguna víctima en otro continente. Para que nuestra región no sirva de escudo anonimizador de las actividades criminales de bandidos de cualquier continente. En fin, para que nuestra región sea más limpia en línea.
Estamos trabajando en esto.
Saludos desde California,
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe
