Seguridad en plataformas Java y .NET


Las plataformas Java, de SUN Microsystems y .NET de Microsoft no son más que unos lenguajes de programación basados en la potencia de las redes y en la idea de que el mismo software debe funcionar en varias plataformas. Los dos sistemas se fundamentan en la principio de ejecutar software que no esté en la máquina cliente y proporcionar así mayores funcionalidades o aumentar la velocidad de ejecución, ahorrando tiempo de conexión y mejorando la percepción del servidor al que se conecta la máquina cliente.





Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com

Cualquier tipo de código de un programa puede ser portador de
elementos maliciosos, ya sean virus, troyanos, etc. Para
evitarlo se siguen determinadas estrategias que, en
principio, parecen útiles. En el caso de Java, sus
instrucciones se ejecutan dentro de "sandboxes" que evitan
injerencias ajenas en el sistema. Así, por ejemplo, un applet
Java no puede leer, escribir, borrar o renombrar archivos del
sistema de ficheros del cliente, cargar bibliotecas de
funciones, crear gestores de seguridad ni especificar
cualquier función de control de red, entre otras. En
principio, con las limitaciones que se imponen a los applet
Java, cualquier ordenador cliente de un servicio Java debería
estar seguro.

Sin embargo, la plataforma Java no es tan perfecta como
podríamos suponer. Un cracker (ver nota) que sepa un poco de
programación o del formato de los ficheros Java o de algunas
de sus variables podría fácilmente introducir, borrar o
modificar contenidos dentro de los applets Java y saltarse
los mecanismos de seguridad que conforman el "sandbox".
Evidentemente, en cada nueva versión del navegador que
utilicemos va un nuevo soporte Java más fiable y seguro, pero
no siempre podremos estar 100% seguros.

Como respuesta al sistema Java, Microsoft desarrolló un
sistema para poder ejecutar código en las máquinas clientes
de una manera efectiva. Este sistema, llamado ActiveX, es muy
similar a Java en cuanto a sus objetivos, si bien su
seguridad es menor. El que un control ActiveX pueda hacer una
cosa u otra depende, ya no de un sistema preestablecido de
seguridad del tipo "sandbox", sino de la aceptación por parte
del usuario de la ejecución o no del control descargado.
Dejar en manos del usuario la seguridad de una conexión a un
servidor no suele ser lo más idóneo...

El siguiente paso de Microsoft ha sido el desarrollo de la
plataforma .NET. Este sistema se basa en código precompilado,
que se adapta en el momento de la conexión al sistema que lo
solicita y se ejecuta en el servidor. De esta manera, las
máquinas que se conectan al servidor no tienen que ejecutar
ni descargar código. Al contrario que en Java o ActiveX, el
código se ejecuta en la máquina servidora, no en la cliente.
Aunque esto supone un avance en términos de seguridad,
también nos podemos encontrar con problemas, tal y como
demostró en su día el virus W32/Donut. Este código malicioso
no fue más que un ensayo de laboratorio pero demuestra que
Microsoft ".NET" es susceptible de ser infectado por virus.

Este contexto confirma que nunca puede garantizarse la
seguridad de las nuevas plataformas. Con cada nuevo sistema
operativo, con cada nueva aplicación, con cada nuevo avance
en las plataformas siempre podrá encontrarse un "agujero" por
el cual se podrán efectuar ataques en los sistemas de los
usuarios finales.

Las casas desarrolladoras son conscientes de que la posible
falta de seguridad es un hecho, y de que se está luchando
contra personas cuyo objetivo no es otro que derrumbar
cualquier sistema de seguridad que pueda ponérseles delante,
por el mero afán de destruir por destruir. Los departamentos
de control de calidad son los más activos en las empresas de
software, y siempre están poniéndose en el lugar de los que
quieren destruir en vez de crear.

El problema mayor surge no ya cuando se descubre un agujero o
cuando se crea un nuevo virus, sino en la capacidad de los
usuarios para aplicar las soluciones aportadas por los
fabricantes. No todas las empresas disponen de un
departamento de informática que esté siempre pendiente de
cada actualización de software que aparezca. Además,
generalmente, cuando se dispone del departamento
correspondiente otras tareas más urgentes no dejan tiempo
para lo más importante.

El problema está ahí, y no va a solucionarse por volverle la
espalda. Cerca de nosotros tenemos un buen número de empresas
que se dedican a investigar la seguridad de los sistemas y a
ofrecernos soluciones "llave en mano". Si nuestro negocio no
puede pararse, nuestros sistemas no pueden pararse, y menos
por un fallo en la seguridad. Lo mejor es que confiemos esos
aspectos a empresas de profesionales que estén siempre al
tanto de nuestras necesidades. Si nuestro antivirus está en
manos de expertos que lo actualizan a diario sin que nosotros
tengamos que estar pendientes de ello, ¿por qué no hacer lo
mismo con el control de los sistemas de seguridad?

Si contamos con esos servicios, un problema en plataformas
críticas no pasará de ser más que una mera anécdota.

(*) Fernando de la Cuadra es Editor Técnico Internacional de
Panda Software (http://www.pandasoftware.com)

Nota VSAntivirus:

En el texto original de Fernando de la Cuadra se utilizaba el
término "Hacker" en lugar de "Cracker". Lo modificamos al
publicarlo, ya que creemos importante tener en cuenta la
diferencia si nos atenemos a la intención con la que se
emplea el término en el artículo:

HACKER - Aficionado a la programación y, sobre todo, a entrar
ilegalmente en redes de computadoras, como parte de un
desafío personal en busca de nuevos conocimientos. Los
verdaderos hackers no se vanaglorian de serlo, ni tampoco
está en sus objetivos causar un daño o sacar provecho
económico de su acción. Su conocimiento parte casi siempre de
su afán de aprender en forma empírica, y de aceptar nuevos
desafíos.

CRACKER - Los crackers (erróneamente confundidos con los
hackers), son los que entran en sistemas o computadoras
personales, para causar daños a las mismas, o sacar un
provecho económico de su acción (pirateo de programas, robo
de contraseñas para su uso ilegal, etc.), casi siempre
aprovechándose no de su conocimiento, sino de herramientas y
documentación creada por verdaderos hackers, pero que
explotan como si fueran suyas.

Fuente:
(c) Video Soft - http://www.videosoft.net.uy


Nota: Excelente acotación por parte de VSantivirus

Otras noticias de interés:

Atacar la Wifi es más rápido que beberse un café
Un informático especialista en seguridad ha descubierto una sencilla técnica para flanquear la encriptación WEP y registrarse en redes inalámbricas protegidas....
Detalles sobre la vulnerabilidad de Microsoft Excel
Microsoft ha publicado nuevos detalles sobre la vulnerabilidad que afecta a Microsoft Excel, junto con algunas técnicas para mitigar el posible impacto. El fallo se debe a una validación errónea de memoria que puede derivar en la ejecución de có...
La semana de los fallos en Oracle
Siguiendo la estela del mes de los fallos en navegadores y del mes de los errores en el núcleo, Cesar Cerrudo emprende una nueva campaña centrada en un solo producto: La semana de los bugs en Oracle (Week of Oracle Database Bugs) ha sido anu...
!!! ALERTA ¡¡¡ Aparece el virus World Cup, una variante de VBS/Chick.F !!!
Panda Software, ha informado sobre la aparición del gusano VBS/Chick.F (alias WorldCup). Esta nueva variante de Chick hace uso de la Ingeniería Social para engañar al usuario, ya que el contenido del mensaje de correo electrónico en el que llega ...
Crypt4you cursos gratuitos online de criptografía y seguridad
De la mano del Dr. Jorge Ramió y del Dr. Alfonso Muñoz, quienes ya nos presentaron hace año y medio el proyecto de Enciclopedia de la Seguridad de la Información Intypedia y cuya última lección se publicará en abril de 2012, nace un nuevo form...
El DNS cumple 25 años
El Domain Name System (Sistema de nombre de Dominios), la base de datos jerárquica que almacena la información asociada a nombres de dominio y asigna nombres a las direcciones IP, cumple esta semana 25 años. ...
Aumentan los gusanos que aprovechan el MSN Messenger
En los últimos meses han aparecido varios miembros de una familia de virus que aprovechan el mensajero instantáneo de Microsoft para reproducirse. Hace pocas horas, un nuevo ejemplo comenzó a ser reportado por los usuarios de Internet....
Dick Costolo: es una estupidez apagar por la SOPA
Leo con incredulidad que el CEO de Twitter Dick Costolo haya dicho: es una estupidez cerrar una plataforma global en reacción a una legislación nacional....
Dinamarca y Noruega se suman contra el OOXML
Estos países han votado NO a la propuesta de aceptar el formato de Microsoft Open Office XML como estándar ISO, aunque en todos los casos se ofrece la posibilidad de que ese voto cambie en el futuro si se resuelven los problemas técnicos y prácti...
Actualización de seguridad para Apple iTunes
Apple ha publicado una actualización de iTunes para corregir una vulnerabilidad en iTunes (versiones anteriores a la 9.2.1) que un atacante remoto podría aprovechar para causar una denegación de servicio o ejecutar código arbitrario....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • java
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • net
  • noticia
  • opensource
  • pgp
  • php
  • plataformas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra