Así de contundentes eran los mensajes de los médicos que nos llegaban durante el ataque al Sistema Nacional de Salud de Reino Unido del fin de semana. Todo esto ha puesto en evidencia una de las debilidades más importantes de la 'transformación digital' de nuestro sistema de salud: ¿Qué pasa si se cae el sistema informático? ¿Qué pasa si desaparecen las historias clínicas? ¿Qué pasa si no podemos realizar ninguna prueba diagnóstica? ¿Merece la pena digitalizar la salud o estamos descubriendo que es demasiado arriesgado?
Comentarios
Es más arriesgado no digitalizarla.
Ahora bien hay que reconocer que digitizarla con sistemas cerrados, cuyo código sólo conoce el fabricante y cuyos zero-days pueden quedar en secreto a la espera de un buen momento para utilizarlos, sí que es bastante arriesgado.
#1 Estando de acuerdo con la primera parte de lo que dices, no acabo de ver como un sistema abierto va a evitar que hayan bugs 0-day que queden en secreto, por muy abierto que sea el sistema. Yo encuentro un bug, se lo vendo a una empresa de seguridad que trabaja para la NSA y ya está, no hay nada en el hecho de que sea abierto que me lo impida.
#5 cuanta más gente tenga acceso al codigo más probabilidades hay de que alguien encuentre bugs. El open source no es mejor por ser lo que es o su filosofia si no por que cualquiera puede enviar parches y su rapidez de resolución es mayor. Si te supeditas a una empresa a expensas de lo que le vaya bien (como otras veces ha ocurrido) estas vendido. Y si ese codigo es libre, se puede modificar y/o mejorar.
#6 En cuanto a la parte de encontrar bugs, a los hechos me remito, no ha sido necesario el acceso al código fuente para encontrar el bug en el smb y realizar el ataque. Aparte que el código de Windows si que está disponible para gobiernos e instituciones que lo soliciten.
En cuanto a la respuesta, me remito otra vez a los hechos, Microsoft ha tardado menos de 48 horas en distribuir parches para sistemas que ya ni tenian soporte, como XP, W2003, etc. No se si se puede contar con ese nivel de servicio cuando dependes de "voluntarios " en vez de profesionales dedicados.
En fin, que esos argumentos no me parecen muy sólidos en este caso.
#9 ¿Voluntarios? No se en que mundo vives.
Cientos de empresas pagando sueldos a trabajadores para que mejoren el kernel Linux e incluido el de BSD ¿voluntarios? empresas como Intel, Microsoft, AMD, Google AT&T, RedHat y un largo etcetera trabajando conjuntamente para crear el mayor proyecto comunitario que sustenta miles de servidores a nivel mundial. Claro, a las pruebas me remito, si mi finalidad es ganar dinero, no creo un malware para clientes, si no que me lo curro para reventar servidores y poder chantajear a grandes multinacionales. No, no se usa windows por que sea mejor, se usa por que a nivel gráfico es mucho más amigable de cualquier otro sistema y por qué tiene 3 veces más software que otros sistemas (ya no Android pero este se queda muy coro en funciones). No se usa windows en grandes empresas por que sea mejor, se usa por que hace 20 años se hizo software especifico para este SO y no han invertido en renovarlo y claro, ahora solo funciona en este. No hace falta remitirme a caso como Internet Explorer que aún a día de hoy hay aplicaciones gubernamentales con compatibilidad para sus versiones 5 y 6. Tan solo un 18% son programadores altruistas.
En cuanto a no tener acceso al código, claro, lo han descubierto sin tener acceso, ahora bien; hemos tenido que llegar esta situación para que alguien levante la mano pidiendo ayuda, ¿cuanto hace que este bug existe?
Que el código esté disponible solo permite ver backdoors, insisto, si tu sistema de salud funciona con XP (el caso de la NHS) por que no inviertes en mejorar tus sistemas, pro mucho parche que le metas no vas a solucionar nada.
Que no estés de acuerdo en como se lleva el proyecto no te da derecho a menospreciarlo.
https://www.genbeta.com/linux/quien-aporta-mas-al-kernel-de-linux
https://juncotic.com/linux-y-sus-25-anos-de-feliz-cumple/
#11 No se de donde te sacas "Que no estés de acuerdo en como se lleva el proyecto" o que lo "menosprecio". Sólo estoy intentando debatir sinceramente sobre los pros y los contras de cada caso, por favor, no lo lleves al terreno personal.
Que hayan muchas empresas trabajando en el kernel de linux no significa que si hay un bug crítico en, por ejemplo, samba, vaya a recibir soporte prioritario en 48 horas. Y la disponibilidad del código, como empresa, tampoco me aporta nada, ya que casi nadie tiene a mano programadores competentes para modificar/corregir estos paquetes.
Que el NHS funcione con XP es un problema de ellos, no de Microsoft. Si estuviesen usando una versión de RHLE descontinuada, como es el caso, les habría pasado lo mismo.
#12 Cierto, ahí me extralimité.
Sigue sin ser lo mismo tener a 40 o 100 trabajadores en un kernel que los 3000 plus minus que hay mensualmente para el de Linux, la probabilidad de encontrar bugs y tener más maniobrabilidad es mayor.
El NHS es un ejemplo como podría darte el sistema de generación de DNI en españa, u otras partes de la administración pública.
#5 Por supuesto. Pero, por una parte, encontrar zero-days auditando el código es muchísimo más sencillo que a través de ingeniería inversa o fuzzing. Y, por otra, esa auditoría puede ser llevada a cabo por personas u organismos (como EU-FOSSA) ajenos a la propia empresa.
Las probabilidades de que el exploit de un sistema crítico de código abierto pueda mantenerse oculto durante mucho tiempo, como ha hecho la NSA con Windows, son muchísimo menores.
#14 Microsoft da la posibilidad a gobiernos e instituciones de acceder a su código fuente para eso mismo que dices. Otra cosa es que los gobiernos dediquen a ello los medios necesarios.
https://www.microsoft.com/en-us/sharedsource/
#1 La digitalización también está conllevando que el médico mire la pantalla en lugar de al paciente. Esto también es un problema.
Los ciberataques no.
La mala arquitectura, falta de robustez, vulnerabilidades, pobres diseños, fragilidad, y un largo etc, de los sistemas de computación.
#3 los ciberataques si, es obvio que sin ataque no hay problema.
De acuerdo en que los sistemas pueden no estar suficientemente protegidos, sobretodo contra personas, ya que recuerdo que debe ser una persona quién ejecute el código inicialmente, pero es díficilmente salvable.
Yo en mi vida diaria tampoco estoy suficientemente protegido y aquí andamos... estaré seguro hasta que alguien me empotre a mi y a 10 más un camión en el pecho, pero no por ello voy a dejar de cruzar pasos de peatones inseguros.
También muere gente porque se gastan un pastizal en licencias totalmente innecesarias por software que podría hacerlo mejor y gratis. Dicho dinero podría haber ido a comprar quizás 4 ambulancias más, poner un DESA donde antes no había, contratar un cirujano de guardia en un pueblo perdido de la manos de dios, etc...
Hay algo llamado https://es.wikipedia.org/wiki/Crisis_del_software y se va a mantener por muchísimo tiempo porque:
1. La gente prefiere más funcionalidad que seguridad.
2. Le va mejor al software malo que llega temprano al mercado que software bueno que llega tiempo después.
3. Cuando hay una falla de seguridad mediática, se habla bastante y se prometen tomar medidas. En unas semanas, cuando esté de moda otra noticia, la seguridad pasará a ser olvidada.
4. La gente prefiere mucha facilidad a tener seguridad.
Creo que fue el lunes que de rebote me puse a ver un rato de las mañanas de la 1 donde estaban hablando del tema (el ataque informático a los hospitales de Inglaterra) y el comentarista-cuñado de turno dijo que eso a Doña Gertrudis (sic) no le iba a afectar porque ella iría al médico y el médico podría seguir usando su libreta y bolígrafo. Se le olvidó mencionar que quizás Doña Gertrudis podría estar en el médico para ver si las pruebas de la última resonancia habían determinado que el cáncer que padece es operable o no, operación que tendría que realizarse con urgencia. Entonces el médico se podría meter el boli y el cuaderno por el culo porque si no funciona el sistema informático, Doña Gertrudis lo tiene difícil.