¿SON SEGUROS
NAPSTER Y COMPAÑÍA?
Mercè Molist
La respuesta es: de
momento sí, aunque mejor no fiarse. Por su juventud y su esencia
descentralizada, la casi mágica tecnología denominada "peer-to-peer"
(de igual a igual) o P2P es impredecible para sus propios creadores, quienes
recomiendan a l@s usuari@s no olvidar las tres reglas de la seguridad en
Internet: evitar peleas, tener funcionando un cortafuegos personal y usar
antivirus.
Cuando se pone en marcha Napster, el programa de intercambio de canciones busca, por todo el ordenador, archivos de música que pondrá a disposición de los "napster-nautas", en un directorio aparte. Un mañoso podría forzar esta función para saltar del directorio público a todo el disco duro y manipular su contenido. Lo denunciaban, ya en febrero del año pasado, expertos de la Universidad de Nueva York, una de las primeras que prohibió el uso de Napster, aduciendo el gran ancho de banda consumido y que el programa "descuida la seguridad de los ordenadores individuales de engañosas formas nunca vistas", según la jefe tecnológico del centro, Marilyn McMillan. Recientemente, la empresa de consultoría Clip2 y el servicio de noticias CNET News aseguraban haber entrado en discos duros de usuarios de Gnutella que, por desconocimiento o accidente, los tenían abiertos en la configuración. Los atacantes pudieron bajarse un diario personal e historiales de navegación, incluyendo contraseñas y "cookies" con información privada.
A pesar de todo, la fiebre del "peer-to-peer" no ha dejado de subir. En menos de dos años, han aparecido cientos de proyectos basados en redes de intercambio y colaboración entre ordenadores que actúan como clientes y servidores a la vez, redes por encima de Internet para difundir actualizaciones de programas, intercambiar archivos anónimamente, asistir a eventos en directo, hacer música o publicar colectivamente, compartir información y recursos, comercio electrónico... Algunas, patrocinadas por Siemens, Network Associates, Sun, IBM, Microsoft o el Departamento de Energía de EEUU.
Frente a tal burbuja,
los viejos del lugar recuerdan que la idea no es nueva ni segura por defecto.
El sistema telefónico es también comunicación de "igual
a igual", y la infraestructura IP de Internet, y Usenet en sus inicios,
y la red Fidonet. La revolución Napster recuerda a la que causó
el programa de mensajería instantánea ICQ, lanzado en 1996
y considerado también un sistema "peer-to-peer", como el posterior
AOL Instant Messenger (AIM) y otros. De uso masivo y probados durante un
tiempo, han demostrado estar abiertos a virus, bombardeo de mensajes, suplantación
de identidad, espionaje, programas troyanos, cuelgues provocados, ejecución
de código en el ordenador...
Virus para el alma
"El único virus que puedes coger usando Napster es el que afectará tu mente, cuerpo y alma", puede leerse en el manual para Windows de este sistema. También es optimista el estudio realizado por un equipo de Key Technologies and Security, "Security Concerns for Peer-to-Peer Software", donde aseguran "no haber encontrado debilidades en el protocolo de los programas P2P".
De todas formas, el informe recuerda que puede haber agujeros en los programas cliente de los usuarios, "algunos de código abierto, que puede ser manipulado para fines maliciosos: Napster y Gnutella dan a sus clientes acceso directo a archivos del disco duro, almacenados en directorios que no son compartidos por defecto, pero existe la posibilidad de que lo sean". Para contrarrestarlo, se recomienda usar antivirus y un cortafuegos personal, deshabilitar el intercambio de archivos del disco duro y utilizar programas P2P con precaución. En cuanto a las empresas, bloquear totalmente estos servicios.
La ley y el orden han
llegado al "peer-to-peer" y tanto la seguridad como la privacidad serán
temas relevantes de la próxima "O'Reilly Peer-to-Peer Conference",
a mediados de febrero en California. El prestigioso editor Tim O'Reilly,
convencido de estar en "terreno fértil", ha apostado fuerte por
el P2P y ya en septiembre del año pasado reunía a los que
más confían en el invento (Gene Kan, de Gnutella; Bob Knighten,
de Intel; Ray Ozzie, desarrollador de Lotus Notes; Scott Miller, de Freenet..)
para discutir lo bueno, lo malo y lo malo susceptible de ser bueno, como
la incertidumbre de estas redes de anárquico movimiento, donde entran
y salen ordenadores continuamente, donde no se sabe si se encontrará
lo que se busca.. aunque se sepa que está allí.
Hablan los expertos
La confianza, la autenticación, cómo saber que quien manda un documento es quien dice ser, cómo mandar dinero por una red "peer-to-peer", son otras pegas. Y hay más: "Napster tiene el problema de los servidores centrales, Gnutella no escala -crea gran cantidad de información no útil que sobrecarga la red-, en cuanto a FreeNet, ¿cómo localizas la información y quien estás dispuesto que haga disparates con tu ordenador?", se pregunta Drizzt Do'Urden, experto en seguridad.
Gnutella y Freenet son la evolución de Napster. En Gnutella se intercambian todo tipo de archivos y no sólo musicales. En Freenet, además, la operación se hace anónimamente. Mientras Gnutella es horizontal, Freenet se basa en una estructura de nodos, máquinas de voluntarios donde se almacena la información y a las que se conecta el usuario o usuaria.
Ambos proyectos han liberado su código fuente, para que la gente pueda personalizarse el programa o hacer otro. Esta apertura, denostada por algunos expertos en seguridad, no preocupa al conocido desarrollador de Gnutella, Gene Kan: "Si hay diferentes tipos de clientes hay más riesgo de fallos, pero estos fallos serán diferentes en cada programa. Esto hace a la red más robusta porque un sólo fallo no estará presente en toda la red".
Esteve Fernández, desarrollador también de Gnutella, añade: "La red no es vulnerable porque sólo compartes lo que quieres, yo no puedo descargar un archivo si no quieres compartirlo, ni escribir en tu ordenador, porque los protocolos no lo permiten". Esto significa que, como máximo, alguien podría ver el contenido del disco duro, pero no tocarlo, al estilo de un viejo error del navegador Netscape. Pero, avisa Fernández, "no se puede confiar plenamente. Este tipo de programas, con un fallo, podrían suponer un grave error de seguridad, si permiten acceder a los archivos directamente".
Por ahora, hay pocos
agujeros conocidos y los desarrolladores tienen problemas más urgentes
que la seguridad. Como dicen en Freenet: "Primero hay que construir la
casa, para después poner las puertas". Alguien que quiere mantenerse
anónimo da otra explicación a la aparente invulnerabilidad
de los programas P2P: "Este movimiento es un verdadero enfrentamiento a
la industria y los 'crackers' lo saben y están, por decirlo de alguna
manera, en nuestra orilla. Tememos más a otras manos, digamos "oficiales",
que a estos tipos".
Pero, entonces, ¿son seguros?
Napster afirma en su manual ser un sistema seguro, por donde sólo entran y salen archivos .mp3 y .wma. Aunque deje al descubierto la dirección IP (Internet Protocol) de sus usuarios, exponiéndolos a la identificación, no lo considera un fallo. Los navegadores de web, el correo o el chat también la muestran. "Por supuesto, un cracker con un programa adecuado se introduciría en tu sistema si realmente lo deseara, pero de igual manera que con cualquier otra conexión y, francamente, tienen mayor interés otros lugares para ellos que tu pc particular", afirman desde el proyecto Gnutella.es, formado por voluntarios que clonan Gnutella al español.
Este programa, que también permite conocer la dirección IP, tiene el honor de ser el primero de su clase al que ha salido un virus, llamado Gnutella Worm Victim, que permite obtener información del disco duro: "El juego de un programador aburrido", explican en Gnutella.es. Lo mejor para algunos y lo peor para las empresas es que, al funcionar sobre el protocolo de web (HTTP), Gnutella puede entrar y salir por una de las pocas entradas que dejan abiertas los cortafuegos corporativos. De momento, no ha tenido problemas legales, aunque sí un mal comienzo: nació en una división, Nullsoft, de America Online, pero cerraron el proyecto por miedo a su potencial uso para saltarse el "copyright".
Resucitado y ofrecido al mundo bajo la licencia libre GNU (GNU's Not Unix), Gnutella tiene el problema de no ser exhaustivo en las búsquedas y de saturarse, pudiendo ser víctima de ataques de denegación de servicio (bombardeo de demandas). A la espera de que se demuestre lo contrario, en Gnutella.es afirman: "El sistema es cien por cien seguro. No usa servidores estáticos sino la IP de otros navegantes, de modo que es im-po-si-ble cerrarlo o intervenirlo judicialmente. Al ser navegantes que se conectan y desconectan contínuamente, es muy difícil de intervenir y espiar"
La lucha contra la censura, por la privacidad y el anonimato son también las banderas que enarbola Freenet, la que quiere ser una de las más seguras redes P2P. Presentado en sociedad en junio de 1999, el proyecto va creciendo lentamente y no ha llegado aún a la primera versión. Freenet es una red de intercambio anónimo de archivos, no tan horizontal como Gnutella pero más que Napster.
Todo lo que se haga en Freenet (publicar, bajarse archivos, buscar..) es privado, no se puede identificar al autor. Los archivos se guardan encriptados en los nodos, para que el propietario no tenga porqué conocer su contenido. Los nodos desconfían por protocolo los unos de los otros. 'Toda precaución es poca', es la sensación que queda al visitar las listas de correo de sus desarrolladores: "Imaginemos que estamos en China y está prohibido usar Freenet, ¿cómo saltarse los controles? ¿Cómo evitar que la policía secreta se infiltre en la red y pueda identificar a los nodos? ¿Hasta quién debe estar abierto el sistema?"
Scott Gregory Miller, responsable de seguridad del proyecto, afirma: "Freenet intenta harmonizar seguridad y anonimato con acción. Si tienes un sistema cien por cien seguro, pero es demasiado lento, nadie lo usará. Por otra parte, un sistema muy rápido, como Napster, que no ofrece protección, es también peligroso. Freenet es probablemente el sistema P2P más seguro, desde un punto de vista criptológico. Si hablamos de anonimato, Gnutella no es seguro. Otros sistemas lo son más, como los remailers anónimos MixMaster. Nosotros estamos en el medio".
Una de las buenas cosas
de Freenet es su escalabilidad, que lo hace poco saturable, y la mala,
su pésima forma de buscar la información. En cuanto al sempiterno
miedo por los posibles accesos al disco duro personal, asegura Miller:
"Freenet es un protocolo muy simple que sólo permite poner y sacar
datos. No es posible ejecutar código. De todas formas, tampoco da
seguridad adicional. Si alguien puede coger el control de tu ordenador
sin Freenet, podrá hacerlo también con Freenet. Pero, si
tu máquina es segura, Freenet no abrirá ningún agujero,
que nosotros sepamos".
Napster
http://www.napster.com
Gnutella
http://gnutella.wego.com
Gnutella.es
http://www.gnutellaes.com
Freenet.
http://freenet.sourceforge.net
Key Technologies and
Security
http://www.ktsi.net/
The O'Reilly Peer-to-Peer
Conference
http://conferences.oreilly.com/p2p/overview.html
P2P Directory
http://www.oreillynet.com/pub/q/p2p_category