Ayer, mientras desayunaba viendo las noticias en TV, en
relación con la celebración del #diadelatierra hubo una que me llamó
mucho la atención, y que me dio mucho (más malo que bueno) en lo que
pensar. Se está haciendo un experimento piloto en Holanda, por la que
hay empresas que incorporan en las casas ordenadores de su propiedad,
obviamente que están haciendo algo (computando o almacenando datos) para
aprovechar el calor que generan como calefacción. Las empresas pagan el
consumo de luz que hacen sus máquinas, y las familias no pagan nada por
calefactar sus casas, eso sí, tienen como radiadores unos elementos que
meten más o menos ruido.
Hasta aquí dices: “Como medida de aprovechamiento de la
energía es una muy buena idea”. En mi experiencia personal, la
habitación donde he tenido un par de servidores funcionando 24x7,
siempre ha tenido una temperatura de un par de grados más que el resto
de las habitaciones, así que como elemento de ahorro y aprovechamiento
de un calor que se va a perder sí o sí, o a extraer mediante caros
equipos de aire acondicionado, es maravilloso.
Ahora bien, desde el punto de vista de la seguridad,
esos ordenadores o servidores que instalarán en casa de las familias,
¿qué interfaces de entrada/salida tendrán? ¿VGA, USB, puerto serie,
RJ-45?
Si algo no funciona en una máquina, tendrá que ir un
técnico de la empresa responsable de dicho equipo y acceder a ella de
alguna manera para ver qué pasa, ¿no?
Respecto a los datos que se guardan y/o procesan ¿Estará cifrada la información almacenada?
¿Qué medidas de seguridad se tomarán para evitar que alguien dentro de
esa casa, no se acerque demasiado al “radiador” y vea si puede “radiar”
los datos que hay dentro? ¿Será suficiente barrera el contrato que firma
la familia en el que no va a intentar acceder ni manipular la máquina,
ni el contenido, ni "esnifar" el tráfico que entra y sale de la máquina?
No tiene pinta, ¿verdad?
Si para lo que se están usando esas máquinas
para colaborar en el proyecto SETI aún
tiene un pase, pero la noticia que ví decía que eran empresas las que
cederían esas máquinas de su propiedad, es decir, servidores que
procesan datos, como máquinas. Si de lo que hablamos es que son datos de
personas, de clientes, correos electrónicos, en fin… lo que sea, el
distribuir en cajas con cables y un ventilador en casas de desconocidos,
es una patada bastante grande a lo que dictarían las
buenas prácticas de seguridad en entornos corporativos, en cuanto a seguridad física se refiere.
¿Y el tráfico que entra y sale de la máquina? ¿Irá cifrado por VPN hasta
el destino? Si logro ver el sistema operativo de la máquina, puedo
extraer certificados y configuraciones VPN y sustituir rápidamente un
cable por otro, forzando una reconexión VPN, esta vez desde una máquina
mía hasta dentro de la empresa en concreto.
Imagino que además, las máquinas se conectarán a la red
de casa y harán uso de la conexión a Internet que tenga el domicilio.
¿Se aislará esa máquina-radiador de la red normal de la casa o será un
CTF? ¿Y si alguna de esas máquinas es comprometida y empieza a descargar
imágenes con pornografía infantil o a compartir contenidos con derechos de autor a través de la conexión a Internet de la familia?
Como se puede ver, aunque la idea inicial es buena para
el planeta, tiene sus riesgos tanto para los clientes de las empresas
que “se ahorran" espacio en el Datacenter y distribuyen su
infraestructura por ahí, como para los propietarios de las casas, cuya
conexión a Internet puede ser aprovechada para vete tu a saber qué
oscuros objetivos, ya sea voluntaria o involuntariamente.
A lo mejor sería interesante promover una ley que
obligara a las empresas que forman parte de esta iniciativa, que lo
notificasen a sus clientes, para que éstos pudieran decidir si confiar
en "la nube" o no.
Buscando enlaces para incluir en la entrada, aunque no
he encontrado la fuente actualizada de la noticia, he visto varias
noticias de hace ya tiempo en el que se pensó en esto mismo en países
nórdicos.
Autor:
Lorenzo Martínez
