"Malditos ladrones"

Es el argumento que usa Nokia y el FBI para atacar a los "Warchalkers"; pero dejan de lado el principal problema: la falta de políticas de seguridad en las empresas.

O sea, ataquen a todos pero no arreglen la seguridad.

Que es el Warchalking
Es el intento de un grupo de geeks; de usar un set estándar de símbolos para para marcar la existencia de redes inalámbricas que cualquiera puede usar para navegar.

Y es la evolución del Wardriving; que era el término usado para denominar "excursiones" de hackers en lugares públicos para buscar accesos gratuitos a internet mediante redes inalámbricas.

El nombre viene de "WarDialing" que era la denominación que se le daba a la práctica de los hackers (antiguos) cuando programaban sus computadoras para que escanearan las líneas de teléfonos que devolvían señales de transmisión de datos.

Avisos y posiciones.
Hace un mes, más o menos, el FBI hizo publico un aviso, diciendo que "si los warchalkers pueden navegar dentro de un VPN tambíén pueden acceder a datos privados o confidenciales".

En realidad si tenés una VPN bien configurada cuando la accede alguien sin privilegios, no puede ver ningún dato, o sea que volvemos al tema de los sys-admin y su responsabilidad.

Pero el FBI, al menos no hizo de esa advertencia algo Oficial; sino que lo comunicó como un info relevante sobre seguridad.

Nokia por su parte; acaba de salir con todo diciendo: "Esto es robo, lisa y llanamente". Su lógica se basa en que:

1- Si se conectan muchos usuarios "externos" con aplicaciones de altos requerimientos de banda, las redes se congestionan y perjudican a los "dueños" de la WLan. Pero si los administradores de la red no se dan cuenta de la sobrecarga de tráfico que proviene de un usuario no identificado... que busquen otro trabajo.

2- Un spammer, puede conectarse y enviar 10 millones de emails, manteniéndose anónimo y evitando pagar el ancho de banda. Pero para esto además de encontrar una red sin protección; el spammer debe encontrar un port SMTP abierto... y el administrador de la red debería buscar otro trabajo tambien :)

Ilógicos
Lo más ilógico de estos avisos es que los "Warchalkers" si tuviesen intenciones de romper una red o de utilizar los recursos para acciones ilegales, no lo harían público.

O sea, ningún ladrón marca la casa de su próxima victima, no?. Y agregaría que, si un ladrón marcó la puerta de tu casa como "sin cerradura", yo haría algo como "poner una cerradura".

Se olvidan...
que el problema son los administradores de redes y la falta de políticas de seguridad en las empresas.

Técnicamente hablando el uso de redes inalámbricas por alguien no autorizado es un robo; porque consume ancho de banda por el que no paga. Pero si queremos usar tecnicismos, el Warchalking no es un robo, sino una simple comunicación de falla en la seguridad de una red.

Y las empresas; además de mejorar su seguridad, podrían darse cuenta de que si existe un símbolo de "Public Access" en su área de influencia; hay un problema de seguridad que debe ser resuelto.

| Corporate IT Opinión Seguridad

6 thoughts on “"Malditos ladrones"

  1. Yo creo que aquí habría que diferenciar claramente entre la propiedad privada y la pública. Considero que por muy innovadora y práctica que sea la iniciativa hay que respetar las propiedades ajenas. Es decir, si yo tengo mi propia red wireless y me está costando un dinero mantenerla y es para mi empresa, por ejemplo, no me da la gana que venga alguien con un portátil y me coma recursos o entre en mi red desde el parque de enfrente.

    Desde luego que si yo viera la señal cerca de mi oficina al administrador se le caería el pelo por no saber controlarlo, pero vamos, que no creo que pudiera hacer mucho. Si mi vecino realmente se quiere conectar a través de mi red y sabe mucho no va a tener ningún problema. No hay nada 100% efectivo para detener esto. ¿No consiguieron eliminar el anticopy de los CD’s de Sony con un rotulador? ¿O interceptar las transferencias de Citibank? ¿O tantas otras cosas…? Esto me da que pensar que en el mundo de la informática todo es posible, no?

  2. Totalmente de acuerdo; como digo arriba. Si, técnicamente el Warchalking es robo de ancho de bando.

    Pero si lo ves bien; no intentan solucionar los problemas de seguridad sino evitar que esto exista. Es como cuando las empresas amenazan con un juicio a las personas que dan alertas de vulnerabilidades; pero lo peor es que en este caso no hay vulnerabilidades… directamente si pasas por un lugar marcado con una portátil con WLAN se conecta.

  3. Está interesante el ejemplo que ponés sobre la casa “sin cerradura”. Me da una idea para interpretar esto que contás “económicamente” :).

    En realidad, robar está mal, y a nadie se le ocurriría decir que un tipo se merecía que lo roben, sólo porque no puso una cerradura.

    Claro que en el mundo real, el costo de robar en una casa que ni cerradura tiene, es muy bajo, y por lo tanto la gente intenta aumentarlo poniendo cerraduras y otros sistemas de protección (alarma, rejas, etc).

    Otra forma de aumentar ese costo es no invertir en prevención, pero contar con un sistema legal que persigue fuertemente a los ladrones.

    Y se plantea la discusión: la gente va a estar dispuesta a invertir en cerraduras, pero menos en seguridad privada, esperando que el estado se encargue de eso.

    Me parece que esto tal vez se pueda comparar con lo que pasa con estas empresas: las empresas como Nokia están tratando de bajar el costo propio de prevención de ataques (mejorar las políticas de seguridad) (ah, y costo en todo sentido, no sólo monetario), tratando de pasárselo a las autoridades, cuyas acciones son un costo para todos los contribuyentes. Porque el decir y repetir que es un robo implica que su solución pasa por el sistema legal, por el cual ellos no tienen responsabilidad alguna.

  4. En realidad aca hay dos problemas en uno:
    Por un lado, Nokia es uno de los proveedores del equipo que se utiliza para proveer un servicio de WLAn dentro de una empresa.

    La respuesta de nokia a este problema busca acotar uno de los principales problemas por los que la gente no se “sube” a estas tecnologías: La seguridad.

    Una empresa no va a invertir en una tecnología que no es segura y aca empieza el conflicto.

    Por un lado, la tecnología en si no es insegura 100%; sino los responsables del manejo de la red quienes de una u otra manera no aplican politicas de seguridad competentes.

    Por otro lado, los vendors(Nokia, etc.) ven que la gente habla de los Warchalkers y dudan de la confiabilidad de la tecnología.

    Y entonces en vez de decir “Señores, si ustedes no aplican políticas de seguridad en sus redes, es culpa suya y no de la tecnología”

    Porque de esa manera estarían diciendo a las empresas (sus clientes) que los responsables de redes (los que compran sus productos) son unos irresponsables… o sea, estarían tratando de vender algo atacando a los decisores.

    Entonces en vez de decir eso, atacan a los warchalkers… es como si yo dijera: “mirá no me robes… porque es malo”. Pero al mismo tiempo dejara todo sin claves; sin seguridad ni nada dejando de lado las responsabilidades propias.

    Y eso es, tal vez, un acercamiento mas pragmático desde lo económico; porque acá en realidad estás hablando de una empresa que por un intangible no puede vender productos… y siempre la percepción del cliente es la realidad ;)

    P.D.: Tal vez el ejemplo de una casa fue de un bien tangible propio 100% y no era el mejor ejemplo :s

  5. Eso es un uso continuado,Euge, el eterno problema de: a ver si cuela, por un lado y el Poncio Pilatos por el otro.
    Y terminamos pagando todos,pero se dá en todos los campos. Ej.: Las adicciones tanto legales como ilegales sobrecargan los sistemas sanitarios,el mundo laboral,la siniestralidad(encareciendo los seguros) y sin embargo no se les pide cuentas económicas a los adictos. Se asume esa cuota-parte de irresponsabilidad con normalidad.
    Siempre se habla del fracaso de la ley seca en USA para promover la legalización de las drogas, lo que nunca se cuenta es que sanitariamente hablando fue un exitazo.No estoy promoviendo una ley seca, pero sí que paguen ellos sus adicciones
    y las consecuencias.
    Bah, estoy con Euge, Sigo pensando que debería exigirsele mas responsabilidad de sus actos a los gobernados, en la libertad está asumir las consecuencias de tus decisiones.
    ¿Es que no teneis la impresión de estar tratando con niños de guardería?

Comments are closed.