Incluso dentro de una disciplina aparecen subdisciplinas, como el caso de la informática, que abarca tantas cosas diferentes que se hace necesario crear especialidades, cada una con su propio lenguaje técnico.
Nuestra especialidad es la seguridad de la información, y es un campo tan diverso que su lenguaje también lo es.
Sin embargo, esta especialidad ha tenido un boom en interés y complejidad en un espacio muy corto de tiempo, y esto genera un problema: se convierte en una moda, y ello afecta a una correcta evolución de la misma (donde el marketing se impone sobre el desarrollo tecnológico).
Al ser algo muy mediático (ataques informáticos, hackers, espionaje,.. son temas muy apetecibles para la prensa), se empieza a utilizar el lenguaje propio de la profesión de forma indiscriminada, y a menudo (muy a menudo) se hace de forma incorrecta, llegando incluso a inventarse términos que no existen o que son, cuanto menos, semánticamente incorrectos.
Del mismo modo, solo las técnicas más accesibles o más populares se destacan y promocionan ("conviertase en un especialista utilizando Metasploit", "aprenda a analizar malware sin esfuerzo"), relegando a un segundo plano los conocimientos fundamentales sobre computación o arquitectura de procesadores necesarios para comprender lo que se está haciendo ("la matemática no vende"). Y esto se hace incluso en cursos de formación.
Esto genera mucho ruido, y un profesional (especialmente los que empiezan) corre el riesgo de aprender conceptos de forma incorrecta o de estancarse en conocimientos superficiales si no es capaz de profundizar sin distraerse con toda esa información que está en candelero.
A esto ha contribuido el haber caído en el uso excesivo de buzzwords, o la reciente moda de poner nombre a vulnerabilidades (Shellshock, Heartbleed, o la reciente Venom) para venderlas como un gran descubrimiento o una peligrosidad excepcional, cuando la realidad es que no son más importantes que cualquier otra vulnerabilidad o amenaza (de hecho, suelen ser bastante "simples").
El caso que vamos a tratar en este artículo, como ejemplo de como el mal uso del lenguaje técnico (o el uso del mismo para hacer marketing) puede distraer nuestra atención de lo importante, es el de las vulnerabilidades 0-Day, término utilizado para referirse a vulnerabilidades para las cuales no se conocen los detalles, y por tanto no existe todavía un parche.
Debido al tirón mediático que tiene la palabra 0day, tenemos la falsa percepción de que una vulnerabilidad de este tipo es muy peligrosa. Frente a esto, da la sensación de que una vulnerabilidad "común" no lo es tanto porque no se escucha hablar de ella hasta que aparece en el changelog de un parche, especialmente cuando se ha hecho Responsible Disclosure y solo el fabricante dispone de los detalles de la misma (en muchas ocasiones parcheando en silencio y ocultando su criticidad al público general, lo cual es una práctica, cuanto menos, discutible).
La realidad, es que cualquier vulnerabilidad es peligrosa. Y en muchas ocasiones las vulnerabilidades parcheadas (llamémosles "1-day" para ilustrar lo innecesario del término) son más peligrosas incluso que las desconocidas, ya que no se les presta la misma atención por considerarlas corregidas, pero un posible atacante ya conoce los detalles de la misma.
Vía blog.segu-info.com.ar
No hay comentarios:
Publicar un comentario