Seguridad en plataformas Java y .NET


Las plataformas Java, de SUN Microsystems y .NET de Microsoft no son más que unos lenguajes de programación basados en la potencia de las redes y en la idea de que el mismo software debe funcionar en varias plataformas. Los dos sistemas se fundamentan en la principio de ejecutar software que no esté en la máquina cliente y proporcionar así mayores funcionalidades o aumentar la velocidad de ejecución, ahorrando tiempo de conexión y mejorando la percepción del servidor al que se conecta la máquina cliente.





Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com

Cualquier tipo de código de un programa puede ser portador de
elementos maliciosos, ya sean virus, troyanos, etc. Para
evitarlo se siguen determinadas estrategias que, en
principio, parecen útiles. En el caso de Java, sus
instrucciones se ejecutan dentro de "sandboxes" que evitan
injerencias ajenas en el sistema. Así, por ejemplo, un applet
Java no puede leer, escribir, borrar o renombrar archivos del
sistema de ficheros del cliente, cargar bibliotecas de
funciones, crear gestores de seguridad ni especificar
cualquier función de control de red, entre otras. En
principio, con las limitaciones que se imponen a los applet
Java, cualquier ordenador cliente de un servicio Java debería
estar seguro.

Sin embargo, la plataforma Java no es tan perfecta como
podríamos suponer. Un cracker (ver nota) que sepa un poco de
programación o del formato de los ficheros Java o de algunas
de sus variables podría fácilmente introducir, borrar o
modificar contenidos dentro de los applets Java y saltarse
los mecanismos de seguridad que conforman el "sandbox".
Evidentemente, en cada nueva versión del navegador que
utilicemos va un nuevo soporte Java más fiable y seguro, pero
no siempre podremos estar 100% seguros.

Como respuesta al sistema Java, Microsoft desarrolló un
sistema para poder ejecutar código en las máquinas clientes
de una manera efectiva. Este sistema, llamado ActiveX, es muy
similar a Java en cuanto a sus objetivos, si bien su
seguridad es menor. El que un control ActiveX pueda hacer una
cosa u otra depende, ya no de un sistema preestablecido de
seguridad del tipo "sandbox", sino de la aceptación por parte
del usuario de la ejecución o no del control descargado.
Dejar en manos del usuario la seguridad de una conexión a un
servidor no suele ser lo más idóneo...

El siguiente paso de Microsoft ha sido el desarrollo de la
plataforma .NET. Este sistema se basa en código precompilado,
que se adapta en el momento de la conexión al sistema que lo
solicita y se ejecuta en el servidor. De esta manera, las
máquinas que se conectan al servidor no tienen que ejecutar
ni descargar código. Al contrario que en Java o ActiveX, el
código se ejecuta en la máquina servidora, no en la cliente.
Aunque esto supone un avance en términos de seguridad,
también nos podemos encontrar con problemas, tal y como
demostró en su día el virus W32/Donut. Este código malicioso
no fue más que un ensayo de laboratorio pero demuestra que
Microsoft ".NET" es susceptible de ser infectado por virus.

Este contexto confirma que nunca puede garantizarse la
seguridad de las nuevas plataformas. Con cada nuevo sistema
operativo, con cada nueva aplicación, con cada nuevo avance
en las plataformas siempre podrá encontrarse un "agujero" por
el cual se podrán efectuar ataques en los sistemas de los
usuarios finales.

Las casas desarrolladoras son conscientes de que la posible
falta de seguridad es un hecho, y de que se está luchando
contra personas cuyo objetivo no es otro que derrumbar
cualquier sistema de seguridad que pueda ponérseles delante,
por el mero afán de destruir por destruir. Los departamentos
de control de calidad son los más activos en las empresas de
software, y siempre están poniéndose en el lugar de los que
quieren destruir en vez de crear.

El problema mayor surge no ya cuando se descubre un agujero o
cuando se crea un nuevo virus, sino en la capacidad de los
usuarios para aplicar las soluciones aportadas por los
fabricantes. No todas las empresas disponen de un
departamento de informática que esté siempre pendiente de
cada actualización de software que aparezca. Además,
generalmente, cuando se dispone del departamento
correspondiente otras tareas más urgentes no dejan tiempo
para lo más importante.

El problema está ahí, y no va a solucionarse por volverle la
espalda. Cerca de nosotros tenemos un buen número de empresas
que se dedican a investigar la seguridad de los sistemas y a
ofrecernos soluciones "llave en mano". Si nuestro negocio no
puede pararse, nuestros sistemas no pueden pararse, y menos
por un fallo en la seguridad. Lo mejor es que confiemos esos
aspectos a empresas de profesionales que estén siempre al
tanto de nuestras necesidades. Si nuestro antivirus está en
manos de expertos que lo actualizan a diario sin que nosotros
tengamos que estar pendientes de ello, ¿por qué no hacer lo
mismo con el control de los sistemas de seguridad?

Si contamos con esos servicios, un problema en plataformas
críticas no pasará de ser más que una mera anécdota.

(*) Fernando de la Cuadra es Editor Técnico Internacional de
Panda Software (http://www.pandasoftware.com)

Nota VSAntivirus:

En el texto original de Fernando de la Cuadra se utilizaba el
término "Hacker" en lugar de "Cracker". Lo modificamos al
publicarlo, ya que creemos importante tener en cuenta la
diferencia si nos atenemos a la intención con la que se
emplea el término en el artículo:

HACKER - Aficionado a la programación y, sobre todo, a entrar
ilegalmente en redes de computadoras, como parte de un
desafío personal en busca de nuevos conocimientos. Los
verdaderos hackers no se vanaglorian de serlo, ni tampoco
está en sus objetivos causar un daño o sacar provecho
económico de su acción. Su conocimiento parte casi siempre de
su afán de aprender en forma empírica, y de aceptar nuevos
desafíos.

CRACKER - Los crackers (erróneamente confundidos con los
hackers), son los que entran en sistemas o computadoras
personales, para causar daños a las mismas, o sacar un
provecho económico de su acción (pirateo de programas, robo
de contraseñas para su uso ilegal, etc.), casi siempre
aprovechándose no de su conocimiento, sino de herramientas y
documentación creada por verdaderos hackers, pero que
explotan como si fueran suyas.

Fuente:
(c) Video Soft - http://www.videosoft.net.uy


Nota: Excelente acotación por parte de VSantivirus

Otras noticias de interés:

Peligrosidad del nuevo gusano Palyh
Palyh se propaga a través de correo electrónico -utilizando su propio motor SMTP- a todas las direcciones que recoge de los ficheros con extensiones .TXT, .EML, . TM*, .DBX, y .WAB, que se encuentren en el equipo afectado. ...
El cibercrimen cuesta 338.000$ al año
Cada segundo hay 14 usuarios de Internet víctimas de un ataque, lo que supone un millón de incidentes de seguridad cada día....
Cambio en kernel #Linux hace que consuma menos energía
La modificación, que en realidad es un parche, soluciona un problema aparecido en Linux 2.6.38, que ha llevado a incrementos de energía de más del 70%....
Debian Day - Valencia-Carabobo 13-08-2011
El Debian Day (Día Debian) es celebrado todos los 16 de agosto en diferentes países y ciudades. El grupo de usuarios de VaSlibre lo celebrará el 13 de agosto de 2011 en las instalaciones del INCES de los Colorados. ...
Nueva distribución del sistema operativo de Esware Linux
Esware Linux, empresa de desarrollo del sistema operativo GNU/Linux, anunció que lanzará ESware 365 Edición Servidor, un sistema operativo que incluye herramientas de administración y seguridad necesarias para servidores de Red, así como bas...
Pero, ¿quién se ha inventado lo de la nube?
Académicamente hablando parece ser que el término de cloud computing fue acuñado hace ya trece años por un profesor hindú llamado Ramnath K. Chellappa....
Windows 7 igual de lento que Vista?
Un extenso análisis de Windows 7 realizado por InfoWorld afirma que el rendimiento y velocidad es igual al de Windows Vista....
Un disfraz para los spammers
Objeto de miradas de desdén en el pasado, el negocio del correo basura hoy atrae a muchos crackers ambiciosos. Las últimas innovaciones desarrolladas por esos hackers mercenarios para beneficio de los profesionales del correo basura ...
Vulnerabilidad de divulgación de código fuente en Lotus Domino
Secunia ha anunciado la existencia de un problema de seguridad en el servidor Lotus Domino que, debido a sus posibles consecuencias, puede calificarse como grave....
Vieja vulnerabilidad reaparece en Internet Explorer
Internet Explorer se bloquea si introducimos como dirección la cadena C:AUX o visualizamos una página web que contenga etiquetas HTML con referencias a dicho nombre de archivo, lo que posibilita realizar ataques DoS de forma remota. Una vez más la...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • java
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • net
  • noticia
  • opensource
  • pgp
  • php
  • plataformas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra