Menuda tonteria.

Si quieres un coche seguro a prueba de balas, flechas y lanzagranadas los hay. Y de hecho, como es logico, cuestan mucho. Diles a toda la gente que tiene un coche con inividor de frecuencias, blindaje, ruedas antipinchazos y demas, que estan tirando el dinero, que se compren un seat panda que es igual

Lo que no se puede hacer es conocer una vulnerabilidad en un software e ignorarla por que es posible que la conozca poca gente.

El problema está en que los vehiculos de coches no tienen a gente buscando vulnerabilidades en el coche para explotarlas y matar al ocupante. En informática hay más de uno y más de dos.

En cambio con los coches si que se preocupan por mejorar la seguridad antirobo.
Ese simil me parece más correcto. Las vulnerabilidades informáticas intentan evitar un robo, no un asesinato.

...la seguridad informática, y en general la seguridad electrónica, no existe, es una utopía. La muestra la tenemos en los sistemas de encriptación de la televisión de pago, por más que cambian el sistema siempre acaban rompiéndolo.

Analizar la seguridad en base a una comparación entre "informática" -en general- y "automóviles" -también en general- es como pretender analizar la vitamina C comparando naranjas con cacahuetes (y llegar a la conclusión de que, si nos conformamos con que los cacahuetes carezcan de ella, también deberíamos conformarmos si resulta que las nuevas naranjas-híbridas-de-la-China andan escasas de tal vitamina).

Yo no me preocupo si mi nuevo Porsche 911 recontraturbo no tiene protección contra minas antitanque, pero sí me preocuparía si comprase un Abrahams M1A1 sobrante del ejército useño y descubriese que me lo agujerean con un tiro de escopeta.

De la misma manera, no pretendo que una GameBoy sea invulnerable al hacking, pero sí que el firewall del datacenter resista un poquito más ante el primer script-kiddie que aparezca.

Lo dicho: Tippet compara cacahuetes con naranjas y llega a la conclusión que quería llegar. ¡Qué sorpresa! :D

¿Dejamos de parchear nuestros sistemas? ¿Que las empresas de seguridad no busquen agujeros? Total, si "solo" un 3% son explotados, dejemos el 97% restante sin tocar, no?

No se, este tio sabe mucho, y yo sere un poco tonto, pero chico, prefiero tener mi sistema lo mas bastionado posible...

Las declaraciones del Sr. Tippett, como tantas otras, no son nada descabelladas, pero tampoco parecen contener más que lo que parece su particular estrategia de diferenciación respecto a otros. Tiene toda la razón cuando habla de que no existe "seguridad global", y de que un riesgo "no puede ser crítico" cuando la probabilidad de explotación es menor del 5%, por muy alto que fuese el impacto causado por su explotación. Lo malo de esto, es que realmente no cuenta nada nuevo. Hace tiempo que el riesgo está definido como la probabilidad de explotación de una vulnerabilidad en un determinado entorno durante un periodo concreto de tiempo, es lo que se conoce como "gestión de riesgos", y la seguridad en niveles profesionales y corporativos se enfoca así.

Ahora ... ¿cual es el riesgo aceptable?. Esa es la "madre del cordero", y es lo dificil de estimar y parcelar. Hacer afirmaciones como "los profesionales de la seguridad de la información malgastan tiempo parcheando vulnerabilidades que nunca serán explotadas", es caer en una suerte de cajón de sastre donde entra todo, y lo que es peor, donde entra "de más", puesto que desde el momento que se definen los umbrales aceptables de riesgo en un entorno, no hay malgasto de nada, simplemente hay un coste derivado de mantener el nivel de seguridad necesario para movernos en umbrales de riesgo aceptable.

Está claro que la dificultad es ver qué diablos es un riesgo aceptable, y es cierto, que el sector intenta que el riesgo aceptable sea _mínimo_, y que para ello maximiza las amenazas y cuando no las hay, desgraciadamente las inventa. Pero que nadie se equivoque, y se lleve a engaño, intrusiones hay TODOS los días, en TODOS los estamentos y en todas las categorías posibles, generalmente derivados de una incorrecta gestión del riesgo ( y esa es una realidad inapelable ), y es más, los hay y no son detectados ( lo cual es mucho más grave ).

También es cierto, y hay que volver a darle toda la razón, que quizá muchos mecanismos técnicos y algunos procedimientos sean ineficaces o al menos ineficientes, y de eso sí es responsable la industria. Es evidente que los modelos de listas negras son obsoletos, lo que defenestra cualquier software antivirus desde el simple marco conceptual, más allá de las lamentables implementaciones que se estilan, e igual sucede con un amplio abanico de antispyware y firewalls configurados para proteger de lo "malicioso", cuando jústamente deberían estar configurados a la inversa, para permitir lo "beneficioso" mediante sistemas de confianza sólidos, más hoy cuando el 90% de la (in)seguridad se ha desplazado a la web, tanto en servidores, como en clientes, haciendo que precisamente el tráfico siempre permitido (http), y las aplicaciones legítimas (navegadores y servidores web) se conviertan en el foco mayoritario de problemas de seguridad informática a nivel mundial.

Por ello, se malgastan muchos recursos en áreas que no suponen un riesgo elevado ( por la baja posibilidad de explotación ), y que no tienen un impacto crítico en los sistemas IT, mientras otras áreas, como puede ser la seguridad web o la seguridad de las comunicaciones inalámbricas, son englobadas dentro del mismo paquete "SEGURIDAD", y se hace tabla rasa, movidos por una industria que alienta que toda amenza es 100% probable, cuando evidentemente no es así, y cuando evidentemente todo el esfuerzo de un equipo de seguridad debe ir focalizado a minimizar aquellas amenazas con riesgo alto de explotación en sus sistemas, no desde luego todas las amenazas del mundo.

Un saludo.

Esta comparando algo que está hecho para ser de una determinada forma, como un automóvil, con algo que está hecho para ser de una forma pero algo salió mal y resultó lleno de agujeros.

Ya hubo una polémica sobre si es posible o no escribir programas sin errores, pero creo que algo es indiscutible: un programa que no tuviera errores no sería vulnerable a ningún ataque.

No se puede considerar que un techo solar sea un error accidental de construcción, por lo tanto no tiene ni punto de comparación con un buffer overflow.

¿De que vive una empresa de seguridad?, ¿De que vive un experto en seguridad?, ¿De que viven los que crean los antivirus? ,¿De que viven los que explotan las vulnerabilidades?.

Pues eso. Viva la inseguridad mientras de dinero. No todo es así pero casi.

El concepto seguridad informática es totalmente falaz desde el momento en que se aplica a sistemas operativos y aplicaciones de código cerrado. Resulta ridículo que hablen de seguridad con sistemas y aplicaciones sobre las que se desconoce como han sido escritas.

Otra cosa es aplicar la seguridad informatica a sistemas abiertos y ponderar los riesgos no advertidos de los programas y sus posibles vulnerabilidades y como paliarlas.

El resto es discutir sobre el sexo de los ángeles y crear la falsa impresión de que las palabras seguridad y ciertos sistemas/aplicaciones pueden ir juntas.

¿Pueden ir juntas las palabras tortura piadosa? ¿maltrato benevolente?... Poder pueden, es lo que tiene el lenguaje y más en los tiempos modernos en los que se habla de misiles inteligentes e intervenciones humanitarias, lucha contra el terrorismo (en boca de los autenticos terroristas)...

El dia en el que el concepto de seguridad informatica se aplique sobre los sistemas/programas que verdaderamente puedan ser auditados la misma seguridad informática habrá dado un paso de gigante pero muchas empresas y personas se quedarán sin su actual trabajo.

La mayor parte de los expertos en seguridad informática de los que se oye hablar no dicen claramente:
deje ese sistema y utilice uno de codigo abierto y luego hablemos de como hacerlo aún más seguro.
Lo que dicen es hay que hay que hacer así, asá y de aquella manera pero la cuestión raiz de todos los males es innombrable.

Alguien que se plantee la seguridad de sus sistemas en serio no puede aplicar ese concepto a sistemas/aplicaciones cerradas otra cosa es que cada uno asuma los riesgos y sepa lo que hace.

Yo uso Opera y programas no libres en un entorno libre por ello no se me ocurre pensar que mi sistema sea seguro (ninguno puede serlo al 100%) pero eso no es lo mismo que usar todo un sistema operativo cerrado sobre el que no se tiene ningun control para parar a las aplicaciones que se pasan de listas y en las que el propio sistema está espiando al usuario de mil formas que pasan inadvertidas.

Todo esto es típico de un mundo en el que no se aspira a solucionar los problemas sino tan solo a parchearlos indefinidamente.