Como cualquier otro líder que pueda imaginar, la academia ha estado trabajando arduamente en la seguridad de la información. Aún así, la mayoría de los campos no están tan plagados de piratas informáticos como la seguridad de la información, y sus contribuciones se sienten más en el sector privado que en la academia.
Las diferentes motivaciones y culturas ocupacionales de los dos grupos son barreras para la cooperación directa, afirmando anita nicolic En su charla «Hacking Academia» Conferencia de Criptografía Hacking Conference se llevó a cabo recientemente en Milwaukee. Nikolich concluyó recientemente su mandato como Directora del Programa de Seguridad Cibernética en la División de Infraestructura Cibernética Avanzada de la Fundación Nacional de Ciencias.
Primero, los académicos y los piratas informáticos tienen motivaciones muy diferentes.
“Los temas de interés tienden a ser los mismos, los incentivos son muy diferentes”, dijo Nikolich.
«En el mundo académico, todo se trata de obtener la titularidad, y puede hacerlo publicando en un subconjunto de revistas serias y hablando en un subconjunto de lo que llaman ‘conferencias principales'», explica. «Para hackear el mundo… podría tratarse de hacer del mundo un lugar mejor, resolver problemas, [or] Podría simplemente romper cosas por diversión. «
Estas diferencias en la motivación conducen a diferencias en la percepción, sobre todo porque la atmósfera más traviesa de la comunidad de hackers desalienta a los académicos a involucrarse con ellos.
“Todavía hay una buena cantidad de personas que piensan que si trae piratas informáticos, no podrá limitar sus actividades y eso dañará su reputación como académico”, dijo Nikolic.
Tabla de Contenidos
Hendido
El problema de la percepción es uno que otros estudiosos también han observado.
Se espera que el trabajo de los piratas informáticos apoye el trabajo en la academia, dice el profesor Massimo DiPierro Escuela DePaul de Computación y Medios Digitales.
Incluso si ese es el caso, argumenta, los descubrimientos de los piratas informáticos son esclarecedores, pero trabajar codo a codo con los piratas informáticos corre el riesgo de dañar las carreras de los académicos.
«No creo que sea un problema hacer referencia a su investigación. No veo que haga mucho [but] No creo que eso sea un problema”, dijo DiPierro. “Algún tipo de asociación con una empresa definitivamente es valiosa. Con los piratas informáticos, bueno, los piratas informáticos pueden proporcionar información, por lo que queremos eso, pero no queremos que esa persona sea etiquetada como ‘hacker’. «
Lejos de trabajar activamente con piratas informáticos, muchos académicos ni siquiera quieren aparecer con ellos, incluso en eventos como CypherCon, donde Nikolich ha hablado.
«Todo se trata de la reputación. Académicos: el 90% de las personas me dicen que no quieren ser vistos en las conferencias de hackers», dijo.
causa principal
Si bien ambos investigadores están de acuerdo en que sus colegas se beneficiarían de la incorporación de los hallazgos de los piratas informáticos en su propio trabajo, no están de acuerdo en diagnosticar la fuente de la división entre los dos campos e incluso, hasta cierto punto, en También hay desacuerdo sobre el alcance de la grieta.
Nikolich observó que los trabajos académicos eran notoriamente difíciles de acceder, y todavía lo son.
«Descubrí que los piratas informáticos definitivamente leerían y extraerían literatura académica, si tuvieran acceso a ella», dijo.
Sin embargo, según DiPierro, cada vez es más fácil para los piratas informáticos aprovechar la investigación académica.
«Un periódico en particular puede estar detrás de un muro de pago, pero se conocerán los resultados de ciertos estudios», dijo.
La academia, por otro lado, se está moviendo con demasiada lentitud y de manera demasiado conservadora para seguir el ritmo del sector privado, insiste DiPierro, o con los piratas informáticos que se han vuelto más curiosos. Este enfoque limitado se debe en parte a la tendencia de los investigadores universitarios a observar los protocolos de forma aislada en lugar de cómo se ponen en práctica.
«Creo que la mayoría de las personas que investigan lo hacen en base a la lectura de documentación, validación de protocolos, [and] Busque problemas en el acuerdo, no en la implementación real del acuerdo», dijo.
aventura
Eso no quiere decir que DiPierro esté totalmente en contra del modelo académico, todo lo contrario. Uno de sus puntos fuertes, señaló, es difundir los resultados de la investigación universitaria al público para seguir avanzando en el campo.
Aún así, en opinión de DiPierro, no hay razón por la que la academia no pueda seguir sirviendo al interés público mientras amplía el alcance de su investigación para incluir las realidades prácticas de la seguridad.
“Creo que, en general, la industria debería aprender [public-mindedness] De la academia, la academia debería aprender algunos de los métodos de la industria, que incluye la piratería», dijo DiPierro. «Deberían aprender a correr un poco más de riesgo y analizar más los problemas de la vida real. «
La academia puede correr más riesgos, dijo Nikolich, pero la búsqueda constante de la titularidad es una fuerza limitante.
“Creo que académicamente, muchos de ellos son muy curiosos, pero lo que pueden aprender, y algunos de ellos tienen esto, es tomar riesgos”, aconseja. «Con las agencias de financiación y el modelo actual, no están dispuestos a correr riesgos y probar cosas que podrían fallar».
incentivos financieros
Si bien Nicolich y DiPierro pueden no estar de acuerdo sobre la causa raíz de la ruptura entre los piratas informáticos y los investigadores académicos, están muy de acuerdo en su enfoque para resolver el problema. Una solución es permitir que cualquier persona que realice investigaciones de seguridad profundice en el sistema que se está evaluando.
Para Nikolich, eso significa no solo hacer que la academia pruebe activamente los errores, sino también pagar a los piratas informáticos lo suficiente para que se dediquen a la investigación a tiempo completo.
«La academia debería poder realizar investigaciones ofensivas», dijo. «Creo que los piratas informáticos deberían tener incentivos financieros y deberían poder obtener financiación, ya sea de la industria, el sector privado o el gobierno, para hacer lo que hacen».
En opinión de DiPierro, esto significa instituir investigadores (principalmente piratas informáticos) de la amenaza de consecuencias financieras o legales por encontrar vulnerabilidades para divulgar.
«Yo diría, en primer lugar, si algo es accesible, debería ser accesible», dijo. «Si encuentras algo y crees que no se debe acceder a lo que encontraste, [that] hacerlo accesible está mal, tú [should] debe ser reportado. Pero el concepto de sondear la disponibilidad de cierta información debería ser legítimo, ya que lo considero un servicio. «