Wannacry, els espies digitals i les conseqüències globals

Imatge via EMSISOFTblog

Sabrem mai l’abast de l’atac del passat divendres 12 de març?

Mentre d’alguns afectats coneguts (el NHS, per exemple) pot ser que tinguem dades públiques i fiables, d’altres (Telefónica i un munt d’empreses privades) segurament mai sabrem l’afectació real, donat que la seva imatge de proveïdor tecnològic pot quedar tocada; ens haurem de conformar amb els números d’afectats globals donats per empreses que es dediquen a lluitar contra els virus.

Sigui com sigui, la història de com ha anat tot plegat, des de revelació de la debilitat i l’ús per part de la NSA fins la casual aturada inicial de l’atac registrant un domini, no té pèrdua. El comunicat de Microsoft, explicant que cal tenir el software al dia, i carregant també contra la NSA, li posa la cirereta al pastís (jo he fet el que havia de fer, i si la gent no està al dia i aquells se n’aprofiten i no m’ho diuen…)

El problema, així, no és un tema únicament tecnològic: la dependència massiva en un sol proveïdor segurament no ajuda, el fet que les empreses i administracions no tinguin el seu software al dia tampoc i, sobretot, la nefasta actuació de la NSA en aquest cas, guardant-se informació per al seu propi ús, ha estat clau: la solució és compartir la informació amb fabricants i comunitat per trobar una ràpida solució.

Segurament podem carregar-nos al missatger i dir que el problema ve de la massiva filtració d’informació per part de WikiLeaks i de com gent sense escrúpols i amb molts coneixements n’han fet ús, i potser hi ha ajudat, és clar, però el fet és que els forats de seguretat, o potser fins i tot les portes de darrere, hi són. I si hi són, els descobriran i els usaran, malgrat tot l’obscurantisme que hi vulguis posar a sobre.

Cal deixar a jugar a espies analògics en el món digital, perquè les regles i les afectacions son lleugerament diferents que al mon real: si descobreixes quelcom, no t’ho guardis, cal compartir-ho per què ho arregli sigui qui sigui, perquè no saps si algú més ja ho sap també. Això, o les agències de seguretat que juguin així a aquest joc, es converteixen en vectors d’inseguretat, elles mateixes. I ara, mentre imaginem una combinació de Wannacry i Stuxnet, anem parxejant sistemes (o passant a Linux).