10 de Agosto y la inseguridad

Digo yo: Un ingeniero no es el que toma una caja negra y la opera, esa es labor de otro tipo de especialistas. La labor de un ingeniero es el comprender en qué consiste un sistema, conocerlo, estudiarlo y hacer un uso extensivo y completo del sistema en cuestión.

Ahora: Es increíble pero todavía hay muchos ingenieros que han sido entrenados para, y no pueden hacer otra cosa que, usar cajas negras sin saber su funcionamiento.

Ok, siendo claros: Todos podemos tener problemas u olvidos, no es uno perfecto pero está siendo bastante claro que estamos recayendo en la compra continua de Hardware para suplir las falencias en el conocimiento y eso no es correcto en lo absoluto.

Los eventos ocurridos este 10 de Agosto del 2012 lo hicieron un grupo de personas descontentas con un reglamento dictado por el gobierno que contiene partes con las que muchas personas no están de acuerdo y consideran que deben ser eliminadas del reglamento, modificadas, e incluso algunos piensan que el reglamento debe ser quitado totalmente.

No podemos puntualizarlo ni pensar que eventos como este no van a ocurrir. Estos eventos seguirán ocurriendo no solamente en fechas puntuales y reconocidas, sino de forma continua contra nuestras redes, ya sea ataques que se publiquen como los ataques que ocurren y no nos enteramos pues no hay un sistema simple y obligatorio de reporte de ataque. Por ejemplo, me pregunto yo: ¿por qué en el reglamento no se dictó algo referente a esto que acabo de hablar? Porque quizá no fue consensuado, no fue consultado con la comunidad de personas que conocen o creen conocer del tema.

Ahora no me digan que ya se está trabajando en esto, no por favor, el año pasado oí justificaciones parecidas y hasta ahora no he visto avances.

A propósito, no nos sintamos tan mal esto del desconocimiento del manejo de las redes no sucede solamente en Ecuador, sino en instituciones privadas y públicas alrededor del mundo. Es un problema general el tema de los problemas a nivel de Capa 8 y TENEMOS que actuar para mejorar la Capa 8 y creo que la Capa 10 tiene que ponerse para eso.

A mí sí me apena que en este caso está ocurriendo por temas triviales de arreglar, si fueran los ataques por temas grandes o que te requieran de tener una mente ágil para realizarlo, sería bueno

¿No habrán directivas o reglamentos a seguir? Aquí vuelvo a insistir: por qué no se dictó un reglamento que incluyera estos temas? ¿Por qué no se plantea una ley completa, estudiada, analizada y consensuada? Recuerdas que en los proyectos se maneja algo llamado “interesados” a los interesados, incluso a los que están en desacuerdo, se les consulta sobre lo que se realizará en el proyecto y se les trata de involucrar para lograr no solamente una mejora en el conocimiento sino que además se sientan parte de lo que se propondrá. Vamos, recuerdo que el gobierno al inicio se guiaba mucho por la realización de proyectos, ¿por qué ahora no retomamos esto de ir realizando proyectos para ir avanzando consensuadamente?

Sobre los ataques: algunos consideran de poca importancia o increíblemente raro que en esta protesta virtual se atacaran sitios de los Gobiernos Autónomos Descentralizados (GAD), los municipios vaya… por qué lo hicieron si los GAD no tienen relación directa con el gobierno como para que el gobierno les pueda dictar pautas? Pero a mi no me parece que es totalmente cierto esto y además podemos obtener mucha información de lo ocurrido y algunas conclusiones con las que se podría trabajar:

  1. Los GAD usan ccTLD de ecuador, con el segundo nivel gob, para verlo de otra forma, son .gob.ec y a los ojos de los que no conocen mucho, esto suma.. es decir el que no conoce pensará “atacaron dominios .gob.ec por tanto atacaron dominios del gobierno”
  2. Los GAD sí siguen ciertas normas y reglas del gobierno central, y leyes. Por ejemplo tienen que participar en las elecciones, tienen que pagar impuestos (y cobrar), tienen que atender solicitudes de la contraloría, tienen que respetar las leyes. Incluso reciben asesoría de instituciones del gobierno central en temas de interés que podrían ser muchos o pocos. Ellos deben contratar personas que tengan un determinado nivel de instrucción, nivel que garantiza y publica el gobierno central, ellas deben y pueden revisar los antecedentes penales que publica el gobierno central, pagan salarios de acuerdo a tablas salariales establecidas por el gobierno central. Entonces no me digan que el gobierno central no puede promover una ley relacionada con la seguridad de las redes o propuestas o reglamentos a cumplir que de alguna forma tengan que ser cumplidos por los GAD. Se puede hacer algo ahí, y tiene que haber el interés. Ya esto de la falta de interés en ayudarles, pedirles, exigirles, colaborarles, como quiera verse.. esto de no actuar se está volviendo en algo muy malo que les afecta.
  3. A la final los técnicos de los GAD en sentido general han estudiado donde y tienen los mismos conocimientos que los técnicos del gobierno central. Son ingenieros graduados en las universidades del país, estudiados en sus colegios, maestrías en sus universidades, etc. Por tanto también podemos asumir que tienen el mismo nivel de conocimientos
  4. A la final los técnicos de los GAD hoy están ahí, pero mañana pueden estar en el gobierno central (y al revés puede suceder igualmente).

Me centro en la idea de que el problema no es decir por ejemplo: “ah esto no me afecta pues estos son los GAD” (es un ejemplo) la idea es tratar de tener un plan de nivelación de conocimientos para con ellos.

Por ejemplo como mismo se ha hecho para los maestros, los médicos, los servidores judiciales. Hay que tener planes para que se capaciten, se nivelen, conozcan y luego evaluarles. Si se fijan el tema de sistemas ya no es algo como quien dice de tercera categoría sin mucha importancia para el funcionamiento en sentido general del estado. Es básico, todo lo están llevando a internet y hay que prestar  mucha atención a este tema.

Quiero dejar claro: no todos los gads ni instituciones del gobierno fueron atacados. De hecho fue un numero limitado (alrededor de 30 quizá un poco más) y de este valor unas 2/3 partes estaban en un par de servidores que merecían mayor atención.

Podemos ver una lista quizá incompleta con una descripción de los sitios atacados en este post que publiqué ayer.

Definitivamente este ataque demuestra falencias incluso en temas muy simples de seguridad en las redes a todo nivel, pues si se fijan no sólo los GAD fueron atacados

Y lo peor es que esto ya sucedió con anterioridad y sucede frecuentemente. El anterior 10 de Agosto también ocurrió algo así y vamos, yo sé que el ser humano es el único que tropieza dos veces con la misma piedra. Pero hagamos algo porque no suceda lo más trivial al menos.

También ocurre frecuentemente, lo podemos ver analizando la lista de sitios .gob.ec en el sitio http://zone-h.org ok, la verdad es que en zone-h.org no salen todos los ataques (los de este 10 de agosto no salieron por ejemplo) pero eso no significa que no sea llamativa la cantidad de sitios atacados.

Y esto no es un problema solamente de ahora controlar o asesorar a diversas instancias del estado, no.. y tampoco es tema de ahora correr a llamar expertos del exterior (que no dudo que sean buenos) porque no hacemos nada con actuar puntualmente en estos hechos, hace falta más: hace falta una labor más profunda, que llegue de forma integral a la raíz de los problemas, con atacar solamente las consecuencias no hacemos mucho.

Tampoco es una solución el llevarles a todos hacia una misma red, al contrario esto podría ser contraproducente, porque los ataques entonces sí se podrían orientar fácilmente a una sola infraestructura de red, y al no estar diversificados los sitios, se podrían tumbar todos o muchos de ellos fácilmente.

En sentido general se puede trabajar para evitar estas vergüenzas públicas: el derecho a la protesta siempre existirá, o lo que creen que es su derecho a la protesta, inconformes igualmente habrán y eso es inevitable y tratar de resolver estos problemas yendo a actuar contra estos atacantes del 10 de Agosto poco resolverá porque luego surgirán más y más.

Por qué mejor no comenzar a atacar desde diversos puntos el problema?

  • Fijando lineamientos a seguir para el manejo de las redes y sitios
  • Planificar una correcta disposición de la red y servidores en ciertos sitios de importancia crucial?
  • Crear un plan para brindar educación a las personas que trabajan en el tema y puedan obtener y acceder a un verdadero nivel de adquisición conocimientos
  • Tener verdaderos peritos y expertos para determinar cómo ocurrieron estos tipos de hechos y tratar de evitar que vuelvan a suceder? Esto no es una labor de una vez, es continua. La mayoría de las instituciones no tienen peritos expertos en este tema.

Por otra parte, ahora que hablo de peritos: Tampoco hay una regulación o le que apoye a los entes de la justicia y a los afectados a reportar a los que deba ser sobre la ocurrencia de estos delitos. Todo se sigue haciendo a la antigua: Con calma se hace todo: Abogados, órdenes de allanamiento, policía, todos serios sacando copias de los discos, etc, etc.. .pero no hay elementos investigativos para finalizar de forma rápida y a buen término la detección de delitos informáticos. Y aclaro: El ahora poder tener acceso al que tiene asignada una IP no resolverá nada. Total, cuando actúan ya han pasado días, o meses desde ocurrido un evento y las trazas son casi imposibles de seguir por más experiencia que se tenga.

¿Por qué aquí no se hace más esfuerzo en realizar una verdadera, consensuada, debatida, analizada ley que permita mejorar estos parámetros en vez de dedicarnos a escribir regulaciones que desde mi punto de vista les falta mucho para llegar a ser efectivas? ¿Qué logramos con hacer guardar a los ISP locales las IPs si los ataques provienen normalmente del exterior? ¿se estará buscando el guardar la IP por otras razones más locales y no tan relacionadas con ataques a redes y equipamientos? Hablaré en otro momento más de esto, pues no es un tema que me parece directamente relacionado con el objetivo de este artículo.

Si te fijas en ningún momento he hablado de la adquisición de nuevo hardware. Que es lo que típicamente se tiende a hacer cuando hay estos problemas… los vendedores de HW deben comenzar la fiesta hoy… vendiendo mejores equipos, mejores firewalls, mejores más mejores de los más mejores…

Pero no: no me parece la opción, en el sector público hay suficiente hardware nuevo como para que si esa hubiera sido la solución, ya estuviera todo ok.

¿Qué pasa con todo ese hw nuevo si todavía siguen siendo atacados ? no me digan que es que faltaba precisamente ESE hardware.. no, porque dentro de poco verán que falta otro.. ya párese la compra compulsiva de hardware… aquí es un tema que trabajar… estamos hablando de Tecnología de la Información (IT) información es algo intangible.. el Hardware no es más que el medio para almacenar y/o distribuir la información.

¿Qué falta? falta algo que no se puede comprar en forma tangible, falta una política de transmisión de experiencias, capacitación para adquisición de nuevo conocimiento.

He hablado con algunos amigos y de una forma u otra resumo lo que he visto: En el sector público lamentablemente hay mucha orientación a adquirir hardware, y la parte intangible (el conocimiento) es visto colateralmente en forma de capacitación por parte del mismo proveedor del hardware que puede o no impartir una rápida capacitación sobre el uso de un determinado hardware e incluso puede que alguien logre verdaderamente hacer buen uso del hardware, pero falta una política integral pra que no sea tan colateral la impartición del conocimiento, que no sea tan orientado a un hw vendido, sino que sea en forma de conocimientos y temas que permitan razonar a un nivel independiente del hw que pueda ser vendido.

El hardware no soluciona los problemas. En lo absoluto. A veces tirarle dinero en forma de Hardware a un problema ayuda a mitigar nuestra falta de conocimientos en aprovechar el actual hardware, pero nunca nada valdrá tanto como el poder de razonamiento que nos permita con las capacidades que tenemos crear soluciones propias.

Casualmente el Presidente Correa hablaba este 10 de Agosto algo así dijo: éramos (somos?) “consumidores y no generadores de conocimiento”

La adquisición de conocimientos y poder de razonamiento: es el tema más importante y en el que insistimos continuamente. Mira, no es incorrecto: Algunos organismos del estado han fijado, producido y publicado cursos en línea, dictan capacitaciones sobre aspectos de interés a sus áreas de trabajo y sí rinden sus frutos.

Es bastante evidente que los administradores de sistemas informáticos (del sector público pero igual del privado) necesitan capacitación en áreas claves , por qué no producir contenidos para esta capacitación? no  hablo ya de quizá llevarles la capacitación hasta su ciudad o provincia pero podría ser una buena razón.

Fíjate, una historia: el otro día consulté a un jefe de sistemas de un ministerio sobre cómo estaban sus planes para migración a IPv6.. él me respondió que de momento no podía porque su red (física) todavía no estaba en Categoría 6. Para los desconocedores de esta parte: la categoría física de una red (6 en este caso que se habla) no tiene nada que ver con el protocolo usado para la transmisión de la información (IPv6).. simplemente él asumía que como era el mismo número (Categoría 6, IPv6) entonces alguna relación habría. Y esto incluso puede conducir a que ahora todos se cambien a Categoría 6 (físicamente hablando, hardware de nuevo) pensando que es imprescindible cuando no lo es.

Hacen muchas pruebas al personal médico, a los profesores, al personal judicial.. cuándo harán pruebas de aptitud al personal informático? Cuándo nos desprenderemos de la idea de que el personal informático de una empresa está para adquirir equipamiento y comenzaremos a pensar en que el personal informático está ahi para ofrecer soluciones on site, para hacer correcto uso de los sistemas y comprenderlos completamente y mejor que los proveedores? Yo creo que no podemos seguir recayendo en proveedores externos para solucionarnos los problemas. Y esto es cierto: conozco un caso de alguien que se le fue la luz y se le desarmaron todas las VLANS (porque no habían sido grabadas lamentablemente) y tuvieron que esperar a que el proveedor regresara a armarle las VLANS..La idea no es ahora comprender lo que es una VLAN sino el hecho de que si te fijas se había adquirido tecnología pero no el conocimiento para manejarla no hablemos ya de correctamente… sino que de forma básica tampoco.

Por otro lado: Se siguen utilizando herramientas o sistemas producidos en el exterior, que no es que sean buenos o malos, pero pienso que una política más adecuada fuera la de producción de software e ideas a nivel nacional, por qué? porque el autor de los sistemas estaría localmente disponible para consultas, modificaciones,etc, porque el sistema se podría utilizar de forma global, masiva en el país y se podrían dedicar esfuerzos a aprender a utilizar y utilizar bien un sistema. Y porque el dinero dejaría de salir del país por esa vía.

Son mis breves opiniones.. espero no sean ignoradas y que todo sea para mejorar.

One thought on “10 de Agosto y la inseguridad”

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.