Un asesor de Bush anima a los 'hackers' a buscar agujeros

Richard Shaeffer, director de la Agencia de Seguridad Nacional (NSA) estadounidense, y el llamado Zar de la Ciberseguridad, Richard Clarke, asesor del presidente de Estados Unidos, George W. Bush, coincidieron la semana pasada en Las Vegas, durante las reuniones de hackers Black Hat y DefCon.

Ambos mostraron su preocupación por la poca seguridad de los programas informáticos y la necesidad de descubrir sus fallos, así como hacerlos públicos de forma 'discreta'.

Richard Clarke fue el primero en hablar, durante la reunión Black Hat, que precede a la legendaria y más festiva DefCon, este año en su décimo aniversario.

El Zar de la Ciberseguridad, Richard Clarke, calificó como 'terrible' el nivel de seguridad de los programas informáticos y pidió a los expertos que no hagan públicos los fallos hasta dar tiempo a las compañías a crear 'parches' para taparlos. Su discurso se enmarcaba en un debate dentro del mundo de la seguridad informática, sobre la conveniencia o no de dar a conocer los agujeros.

Clarke se mostró a favor e incluso animó a los hackers a buscar los fallos, ya que reconoció que la mayoría se descubren por la intermediación de terceros y no por la propia compañía que ha creado el programa: 'Tenemos la obligación de encontrar las vulnerabilidades'. Pero, a la vez, avisó a la audiencia de su responsabilidad a la hora de hacer públicos los agujeros, primero contactando con la empresa y después con el Gobierno, si aquella no responde.

El asesor presidencial recordó que algunas empresas denuncian a quien les avisa de un fallo, situación que calificó de 'muy desagradable cuando el hacker actúa de buena fe'. 'Necesitamos protecciones legales para estos casos', añadió. El discurso de Richard Shaeffer, tres días después en DefCon, siguió el mismo estilo, aunque contó con más audiencia: 5.000 personas.

Entre las ponencias presentadas, destacó la de Aaron Higbee, de Foundstone, y Chris Davis, de RedSiren Technologies, durante el congreso Black Hat, el primero en celebrarse y el más serio. Ambos demostraron cómo atacar máquinas con la consola de videojuegos Sega Dreamcast, usando un programa creado por ellos, bajo GNU/Linux.

Tres días después, en la DefCon, empezaba la fiesta, con conferencias de grupos y empresas de seguridad norteamericanas y europeas y concursos, como el tradicional Captura la bandera, donde se enfrentan diversos equipos para introducirse en los ordenadores de sus oponentes. Hubo también demostraciones de la inseguridad del Mac OS X y de la plataforma .NET de Microsoft.Las recientes leyes en Estados Unidos que comparan a los hackers con terroristas y las intrusiones en la privacidad a cargo de corporaciones y gobiernos impregnaron el ambiente, con el recuerdo aún vivo del arresto, en 2001, tras asistir a DefCon, de Dmitry Sklyarov, por descubrir agujeros en un programa de Adobe. Un asistente afirmaba a Wired: 'El año pasado estuve aquí, vendiendo CD con herramientas de hacking. Este año no vendo más que camisetas. No quiero arriesgarme a pasar 20 años en un Campo para Chicos Malos del Tío Sam'.

El Zar de la Ciberseguridad, Richard Clarke, calificó como 'terrible' el nivel de seguridad de los programas informáticos y pidió a los expertos que no hagan públicos los fallos hasta dar tiempo a las compañías a crear 'parches' para taparlos. Su discurso se enmarcaba en un debate dentro del mundo de la seguridad informática, sobre la conveniencia o no de dar a conocer los agujeros.

Clarke se mostró a favor e incluso animó a los hackers a buscar los fallos, ya que reconoció que la mayoría se descubren por la intermediación de terceros y no por la propia compañía que ha creado el programa: 'Tenemos la obligación de encontrar las vulnerabilidades'. Pero, a la vez, avisó a la audiencia de su responsabilidad a la hora de hacer públicos los agujeros, primero contactando con la empresa y después con el Gobierno, si aquella no responde.

El asesor presidencial recordó que algunas empresas denuncian a quien les avisa de un fallo, situación que calificó de 'muy desagradable cuando el hacker actúa de buena fe'. 'Necesitamos protecciones legales para estos casos', añadió. El discurso de Richard Shaeffer, tres días después en DefCon, siguió el mismo estilo, aunque contó con más audiencia: 5.000 personas.

Entre las ponencias presentadas, destacó la de Aaron Higbee, de Foundstone, y Chris Davis, de RedSiren Technologies, durante el congreso Black Hat, el primero en celebrarse y el más serio. Ambos demostraron cómo atacar máquinas con la consola de videojuegos Sega Dreamcast, usando un programa creado por ellos, bajo GNU/Linux.

Tres días después, en la DefCon, empezaba la fiesta, con conferencias de grupos y empresas de seguridad norteamericanas y europeas y concursos, como el tradicional Captura la bandera, donde se enfrentan diversos equipos para introducirse en los ordenadores de sus oponentes. Hubo también demostraciones de la inseguridad del Mac OS X y de la plataforma .NET de Microsoft.Las recientes leyes en Estados Unidos que comparan a los hackers con terroristas y las intrusiones en la privacidad a cargo de corporaciones y gobiernos impregnaron el ambiente, con el recuerdo aún vivo del arresto, en 2001, tras asistir a DefCon, de Dmitry Sklyarov, por descubrir agujeros en un programa de Adobe. Un asistente afirmaba a Wired: 'El año pasado estuve aquí, vendiendo CD con herramientas de hacking. Este año no vendo más que camisetas. No quiero arriesgarme a pasar 20 años en un Campo para Chicos Malos del Tío Sam'.