Etiquetes

L’atac informàtic al Sindicat de Mossos d’Esquadra té, per mi, un punt especialment controvertit més enllà del què en sabem o en deixem de saber, i és el mateix que en qualsevol atac amb filtració de dades personals sensibles: qui en té la culpa? És el “hacker” (o script kiddie) que ha accedit i ha fet la filtració? L’informàtic -o el cunyat de torn que ha muntat el WordPress- també hauria de garantir la seguretat, si ha acceptat l’encàrrec de preparar un web. I la mateixa entitat que ha contractat el desenvolupament, sabent quines dades contindria, s’hauria d’haver preocupat d’aquest tema: les auditories de seguretat sempre són una bona idea.

Ja fa més de 20 anys que accedeixo assíduament a Internet -i quan dic assíduament em refereixo a cada dia. He tingut oportunitat i temps -sobretot abans- de llegir moltíssim, de conèixer hackers, d’aprendre’n, de debatre-hi sobre això de la “ètica hacker” i de fer moltes proves. Això va fer que m’interessés especialment l’àmbit de la seguretat informàtica, que és part de la meva feina quan actuo d’administrador de sistemes o de programador. Així que m’he trobat en dues d’aquestes posicions: la del qui detecta una vulnerabilitat o problema de seguretat en web, i la del qui ha de vetllar perquè els webs siguin segurs -malgrat que cada dia apareixen nous problemes que poden afectar retroactivament, així que és un repte força complex de dur a terme.

Imagineu-vos que entreu en un web. Que no us agrada el què diu i sabeu com trobar la manera d’esborrar-ho i deixar-los en ridícul. Estic segur que molts de vosaltres, amb 16 anys i l’oportunitat ho hauríeu fet sense pensar-hi massa. I molts, potser amb 30 i amb 40, si mai heu treballat d’administradors de sistemes i heu hagut de passar-vos alguna nit en blanc per culpa de nois de 16 anys sense feina ni son. Jo sempre he estat partidari de posar-me el repte de trobar vulnerabilitats per després reportar-les: avisar, si puc, els responsables del web o del servidor i indicar-los què haurien de fer. Això si: si voleu fer això assegureu-vos de fer-ho de forma anònima, ja que el sol fet de provar d’accedir ja pot ser il·legal. En tot cas, el què em sap greu és deixar enrere un servidor que sé que no s’actualitzarà per solventar els problemes, perquè això acaba posant en perill a tercers (empreses que l’utilitzin sense saber que no és segur). I si el què arribés a trobar a un servidor fos un reguitzell de dades personals, l’últim que se m’ocorreria -siguin mossos d’esquadra o usuaris d’Ashley Madison- és publicar-ho. Perquè tots aquests que ho publiquen, algun dia poden trobar-se tota la seva informació personal publicada a Internet. No seria el primer cop que un hacker publica dades d’usuaris d’altres forums del tema.

Imagineu-vos que sou informàtics. Programadors o administradors de sistemes. Que us han encarregat fer un web. Sabríeu que hi ha dades que heu de desar encriptades, com la contrasenya, perquè ni vosaltres mateixos hi heu de poder tenir accés a veure-les directament. Hauríeu de saber, també, una mica del què treballeu. Us imagineu un mecànic que es dediqui a deixar airbags desconnectats perquè no sap com activar-los? O un arquitecte que s’inventés les lleis de la Física i provés de construir un edifici que, mesos després, s’ensorrés? Potser falten estudis específics, o potser falten estudiants als estudis que ho ensenyen. Però falten competències i habilitats en l’àmbit de la seguretat informàtica, perquè si bé és gairebé segur que sempre hi haurà algun forat, en casos com la recent filtració de dades de Mossos, qualsevol -literalment, qualsevol- hauria pogut fer-ho, perquè els coneixements necessaris són a dues cerques bàsiques a Google i unes quantes lectures de no més de mitja hora, si fem cas del què n’havien dit.

Imagineu-vos que voleu crear un web on hi guardareu informació personal i el cobrament de la gent. Segurament posareu per davant de tot el pressupost i el timing. “Obrim ràpid, que no podem perdre temps” i “no tinc pas tants diners, això és només una idea!”. Amb el temps he deixat de parar atenció a aquestes dues frases. A la primera, perquè ja ho diuen: “Molta pressa i poca endreça”. El més important de qualsevol projecte és el què en definirem sobre el paper abans de posar-nos a fer res. Perquè els canvis després de començar seran llargs, faran el projecte inacabable i l’encariran. A la segona, perquè si volem un bon producte, haurem d’esmerçar-hi temps, nostre i dels altres. I a no ser que tinguem amistats que no necessitin treballar i tinguin els coneixements necessaris, el producte serà com la majoria de webs que es veuen pel món: una façana ben dissenyada i un desastre al darrere. I un altre problema és el de confiar cegament en allò que ens han fet ràpid i barat -o lent i car. Si sabem que tindrem informació personal, fer una auditoria de seguretat externa hauria d’obligar-ho alguna llei.

Per tant, la culpa per mi és compartida. Una manca de responsabilitat i de coneixements flagrant per part de qui fos l’encarregat de contractar el web. Qui la va desenvolupar o configurar és una altra vergonya per tots els que ens dediquem a treballar en aquest sector, farts d’aficionats -com en tants d’altres camps. I qui va poder accedir a aquestes dades, perquè per molt Robin Hood que el vulguin pintar no deixa de ser un delinqüent irresponsable.

 

Anuncis