[LACNIC/Seguridad] Una opinion sobre el estado actual de las entidades certificadoras comerciales

Fernando Gont fernando en gont.com.ar
Vie Nov 26 13:00:15 BRST 2010


Hola, Arturo,

>> El problema aca (y siempre) es que cuando uno apunta a algo
>> correcto, la cuestion se vuelve engorrosa, y entonces se abandona.
>> --  y ni hablar cuando a lo técnico se le agrega el factor
>> economico.
> 
> El facto económico es el que lo empina todo, el problema original de
> CAs del que surgió este thread estaba basado en el conflicto de
> interés entre verificación rigurosa y economía.

"There's no such a thing as a 'free lunch'", dijo alguno. :-)


[....]
> El problema es cuando queremos llegar a la masa inexperta de
> seguridad. Trata de enseñarle GnuPG con Thunderbird al usuario
> corporativo o casero que usa Outlook Express. Creo que ahí es donde
> esta el reto y problema, en masificar y simplificar la seguridad.

Esto es bastante dificil. Y hay muchisimos factores.

Por un lado, para algunas generaciones, y resulta un reto suficiente el
utilizar computadoras. -- ni hablar de usarlas de "manera segura".

Por otro lado, la seguridad a veces se basa en cambiar el modo de
funcionamiento personal. Pasar del modo "no me va a pasar nada", a la
paranoia de "alguien podria estar espiandome" y similares. Y en
determinado punto, no se si este "modo de funcionamiento" :-) es sano
para la masa en gral (tal vez no lo es ni para uno, siquiera). Yo, por
ej., tapo el teclado cuando ingreso un pin en un negocio, y hago
muchisimas cosas de ese estilo (ni lo pienso... simplemente lo tengo
incorporado). Pero en ocasiones, por ej. he tenido q hacer aclaraciones,
ya que lo usual es que quien tenes al lado o enfrente piense que "tapas
el teclado por ellos". No se... no se me ocurre imaginar a mi madre
tapando el teclado al comprar con una tarjeta de debito, y luego
explicandole a "Doña Rosa" que eso lo hace porque "podria haber una
camara filmando el ingreso del pin", o algo asi. :-))

Por otro lado, la cuestion de seguridad se vuelve un tanto compleja.
Entre otras cosas, porque se la subestima. La gran mayoria de la gente
(desde "amas de casa", a gente del rubro) supone que la seguridad
informatica se soluciona con "algun software que se puede comprar por
ahi" [FOOTNOTE1]. Entonces la primer cuestion a solucionar es que no
está en claro el problema.... por ende, mucho menos la posible solucion.

Incluso en ambientes universitarios, esta cuestion es terrible. Es
virtualmente imposible tener una discusion sensata sobre estos temas,
porque todo el mundo pretende acotar algo y tener la razon, por mas que
se dediquen a campos que no tienen nada que ver con el de la seguridad
ni el informatico. -- esto tal vez radique en la concepcion humana de
que "tener una opinon" (con comillas), es mas valedero que admitir que
uno no tiene idea de algo.

Sin ir mas lejos, incluso en nuestro campo se da algo asi. Se asume que
porque uno trabaja en el campo, necesariamente conoce "TODO" el campo. A
veces uno escucha frases del estilo "especialista en seguridad
informatica". -- Y honestamente, a mi criterio tal rotulo se acerca
bastante/demasiado a "Dios". Para mi la seguridad implica tantas cosas,
que es imposible ser especialista en ella, asi de manera tan general. Y
la complejidad de todo va incrementandose de tal manera, que hasta algo
mas acotado como "especialista en seguridad en redes" tambien es
demasiado grande. La mayoria de los mortales solamente podemos hablar
con verdadero (o "cierto") criterio solamente de cosas un tanto
especificas...

[FOOTNOTE1]: Una anecdota graciosa: años atras trabajaba para un
organismo argentino en el area de seguridad. Mi compañero de trabajo
vino con su super-ultra-tool de seguridad. Cuando llegue a la oficina,
ya se habia encargado de "usar" el CD correspondiente en casi todos los
puestos de trabajo. Se me ocurrio preguntarle de donde habia conseguido
esa herramienta... a lo que respondio, con astucia, "La baje de una
pagina pirata de Internet" -- O sea... Game Over. :-)

Saludos,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1







Más información sobre la lista de distribución Seguridad