La Vulnerabilidad en los Sistemas.
Cuando un árbol cae en el bosque, aunque no haya nadie allí para escucharlo, se produce un ruido. Pero, si una red informática tiene un agujero en su seguridad y nadie lo conoce, ¿se trata de una red insegura? Una red que tenga un agujero en su seguridad será insegura para aquellos que conozcan dicha vulnerabilidad. Si nadie la conoce, la red es segura. Si una persona conoce dicha vulnerabilidad la red será insegura para él pero segura para el resto de los humanos. La inseguridad de la red aumentará a medida que se difunda la existencia de dicha vulnerabilidad.
¿O no? La vulnerabilidad existe con independencia de que alguien la conozca. Dar publicidad a una vulnerabilidad no hace que la red sea insegura. Afirmar lo contrario sería confundir el conocimiento sobre un hecho con el hecho mismo. La publicidad aumentará la probabilidad de que las personas puedan defenderse de dicha vulnerabilidad. Del mismo modo que un atacante no puede explotar una vulnerabilidad que le sea desconocida, tampoco una persona podrá protegerse contra la misma si no la conoce.
Por ello, aunque mantener en secreto las vulnerabilidades puede mejorar la seguridad, lo hace de una forma muy frágil. Mantener en secreto las vulnerabilidades sólo funcionará mientras sigan permaneciendo secretas (pero en el mundo de la información todo tiende a hacerse público, más tarde o más temprano). Cuando un secreto llega al dominio público es imposible volverlo a ocultar.
Cuanta más gente conozca la vulnerabilidad más probabilidades habrá de anularla. Esto acabará por mejorar su seguridad en lugar de disminuirla.
Esta es la filosofía que está detrás del movimiento de seguridad denominado de "pleno conocimiento" o de "plena difusión" y ha acabado por mejorar la seguridad de Internet con el paso de los años.
Hay una cita bíblica grabada en una roca que preside la entrada del edificio de la CIA: "y vosotros conoceréis la verdad y la verdad os hará libres". El conocimiento es poder porque con él podrá tomar decisiones basadas en la realidad del mundo y no en cómo uno piensa que es.
Fuente:
SCHNEIER, Bruce en "Hackers 2: Secretos y soluciones para la seguridad de redes", Prefacio, Editorial McGraw-Hill, España, 2001, 770 páginas.
Comentarios