Las Cajas Negras
Las cajas negras son artilugios relativamente modernos. Sirven para simplificar el entendimiento de algo complejo y es representado por un modelo en el que le inyectamos una entrada aceptable y su salida es el resultado de la caja:
Entrada -> Caja Negra -> Salida
(o matemáticamente X -> f(x) -> Y).
Hay varios tipos de cajas negras. El descriptivo de negro, mas que siniestro, es debido a que no es posible ver lo que hay "dentro de la caja", así que se vuelve algo "oscuro" o desconocido.
Las cajas negras mas conocidas actualmente son las de los aviones, especialmente después del reciente desaparecido vuelo 370 de Malasia, pero es solo uno de los términos que no tiene nada que ver con lo que estoy describiendo aquí. Este tipo de cajas negras se dedican a registrar datos de vuelo. Si se llegase a recobrar la caja negra, sabremos mucha información de telemetría y comunicaciones del avión y sabremos realmente que sucedió en ese vuelo.
Regresando a la descripción original de una caja negra, la función f(x), puede ser un modelo matemático o función de transferencia con el que podemos predecir lo que una entrada X aplicada a un proceso f(x) produce una salida o respuesta Y. Analíticamente, también podemos aplicarla a la inversa, dada una salida Y de una f(x), que X la ocasiona.
Durante buena parte del siglo veinte, los ingenieros y científicos trabajaron con modelos de caja negra para satisfactoriamente representar sus procesos y desarrollar productos confiables a base de entender mejor esa f(x).
Las compañías que fabrican equipos electrónicos desarrollan probadores de equipo pasa/no pasa. Consisten en sistemas de pruebas automatizados que inyectan voltajes o corrientes (las X) en sus diversas combinaciones y series de señales eléctricas al nuevo equipo (f(x)) en su uso normal. Si se obtienen la respuestas esperadas (las Y) el equipo es aprobado.
Otro tipo de caja negra es el software de las computadoras. Los programadores han creado programas tan complejos que también se consideran cajas negras. Usualmente es necesario probar sus códigos y algoritmos a base de hacer programas de pruebas que alimentan datos específicos a sus programas y comparan sus salidas con lo esperado. Con esto validan que las modificaciones posteriores en sus programas mantengan la funcionalidad original o prueban la introducción de nuevas funciones sin afectar las preexistentes. La caja negra viene siendo el programa, pero ya no se puede representar con un simple modelo matemático.
Es notorio que el siglo 21 funciona en base a equipos y sistemas mucho más complejos. Las pruebas de caja negra aplicadas son insuficientes y usualmente solo aseguran la funcionalidad primaria o básica.
Con la llegada del internet, se ha vuelto costumbre recibir "actualizaciones" de software. Antes, cuando comprábamos una versión mas reciente de un programa, usualmente recibíamos beneficios en funcionalidad y productividad. Ahora, recibimos parches que corrigen problemas funcionalidad o de vulnerabilidad.
Esta vulnerabilidad radica en que el programa es tan complejo y los sistemas de hardware y software que lo ejecutan pueden operar de tantas formas en tantos niveles que es posible que se cree un agujero de seguridad. El agujero de seguridad no es mas que es una forma de que alguien ajeno a estos equipos tenga acceso a información reestringida o tomar el control de un equipo ilegalmente para utilizar sus recursos.
Un caso muy interesante es como a una sola persona se le ocurrió una forma de utilizar este tipo de vulnerabilidades y logró obtener el control de casi medio millón de dispositivos conectados al internet. Afortunadamente su ejecución fue hecha para probar un punto, más que para utilizar maliciosamente estos equipos. El intruso lo utilizó para levantar un censo de la red internet, pero en su despliegue, logró descubrir que otros ya estaban actuando maliciosamente en estos equipos. Si saben inglés la historia está aqui: Internet Census 2012.
Este tipo de noticias son solo la punta del iceberg. En el internet, hay una verdadera guerra cibernética centrada en este tipo de vulnerabilidades. Desde gobiernos, agencias de espionaje, hasta activistas y hackers mercenarios que se venden al mejor postor.
Un caso de guerra cibernética entre gobiernos muy sonado fué el "Stuxnet" y tenía el objetivo específico de sabotear las centrifugadoras de uranio del programa nuclear Iraní. Su diseño, despliegue y efectividad rebasan cualquier novela de ciencia ficción.
Actualmente tenemos muchas maneras de conectar aparatos al internet, desde cámaras web para monitorear a nuestros hijos hasta nuestros teléfonos móviles (smartphones). Cada vez que utilizamos estos aparatos, fluyen cantidades enormes de información nuestra hacia la "nube". Esa información son radiografías virtuales de nuestras vidas. Se convierten en X y Y y como tales, se puede obtener una f(x), nuestra f(x). Un modelo que nos puede emular y suplantar en diversas actividades. Estas f(x) representan nuestra identidad virtual. Desafortunadamente no tenemos ni idea de que X, Y ni f(x) existen de nosotros ni quien las tiene (salvo las que entregamos voluntariamente, pero no sabemos que tan bien resguardadas están).
Han pasado varios años desde que se propuso conectar todo dispositivo electrónico al internet. Desde refrigeradores que se autosuministran mandando órdenes de compra automatizados a los supermercados hasta medidores de agua o luz que permitan controlar mejor estos recursos y actuar en caso de fallas. Hay relojes y dispositivos que registran nuestros signos vitales durante el ejercicio, o la glucosa y otros indicadores de salud para que los médicos evalúen a sus pacientes.
Mucho de esto ya está en marcha pero estas nuevas tecnologías se están construyendo sobre infraestructura que no estaba preparada para esto. La fuga de información es enorme y asi como queremos responder adecuadamente ante el mejor suministro de bienes y servicios, también hay que desarrollar la infraestructura adecuada a estas nuevas tendencias.
César Gámez
Mayo 25, 2014
Esta vulnerabilidad radica en que el programa es tan complejo y los sistemas de hardware y software que lo ejecutan pueden operar de tantas formas en tantos niveles que es posible que se cree un agujero de seguridad. El agujero de seguridad no es mas que es una forma de que alguien ajeno a estos equipos tenga acceso a información reestringida o tomar el control de un equipo ilegalmente para utilizar sus recursos.
Un caso muy interesante es como a una sola persona se le ocurrió una forma de utilizar este tipo de vulnerabilidades y logró obtener el control de casi medio millón de dispositivos conectados al internet. Afortunadamente su ejecución fue hecha para probar un punto, más que para utilizar maliciosamente estos equipos. El intruso lo utilizó para levantar un censo de la red internet, pero en su despliegue, logró descubrir que otros ya estaban actuando maliciosamente en estos equipos. Si saben inglés la historia está aqui: Internet Census 2012.
Este tipo de noticias son solo la punta del iceberg. En el internet, hay una verdadera guerra cibernética centrada en este tipo de vulnerabilidades. Desde gobiernos, agencias de espionaje, hasta activistas y hackers mercenarios que se venden al mejor postor.
Un caso de guerra cibernética entre gobiernos muy sonado fué el "Stuxnet" y tenía el objetivo específico de sabotear las centrifugadoras de uranio del programa nuclear Iraní. Su diseño, despliegue y efectividad rebasan cualquier novela de ciencia ficción.
Actualmente tenemos muchas maneras de conectar aparatos al internet, desde cámaras web para monitorear a nuestros hijos hasta nuestros teléfonos móviles (smartphones). Cada vez que utilizamos estos aparatos, fluyen cantidades enormes de información nuestra hacia la "nube". Esa información son radiografías virtuales de nuestras vidas. Se convierten en X y Y y como tales, se puede obtener una f(x), nuestra f(x). Un modelo que nos puede emular y suplantar en diversas actividades. Estas f(x) representan nuestra identidad virtual. Desafortunadamente no tenemos ni idea de que X, Y ni f(x) existen de nosotros ni quien las tiene (salvo las que entregamos voluntariamente, pero no sabemos que tan bien resguardadas están).
Han pasado varios años desde que se propuso conectar todo dispositivo electrónico al internet. Desde refrigeradores que se autosuministran mandando órdenes de compra automatizados a los supermercados hasta medidores de agua o luz que permitan controlar mejor estos recursos y actuar en caso de fallas. Hay relojes y dispositivos que registran nuestros signos vitales durante el ejercicio, o la glucosa y otros indicadores de salud para que los médicos evalúen a sus pacientes.
Mucho de esto ya está en marcha pero estas nuevas tecnologías se están construyendo sobre infraestructura que no estaba preparada para esto. La fuga de información es enorme y asi como queremos responder adecuadamente ante el mejor suministro de bienes y servicios, también hay que desarrollar la infraestructura adecuada a estas nuevas tendencias.
César Gámez
Mayo 25, 2014
Comentarios
Publicar un comentario