Seguridad en plataformas Java y .NET


Las plataformas Java, de SUN Microsystems y .NET de Microsoft no son más que unos lenguajes de programación basados en la potencia de las redes y en la idea de que el mismo software debe funcionar en varias plataformas. Los dos sistemas se fundamentan en la principio de ejecutar software que no esté en la máquina cliente y proporcionar así mayores funcionalidades o aumentar la velocidad de ejecución, ahorrando tiempo de conexión y mejorando la percepción del servidor al que se conecta la máquina cliente.





Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com

Cualquier tipo de código de un programa puede ser portador de
elementos maliciosos, ya sean virus, troyanos, etc. Para
evitarlo se siguen determinadas estrategias que, en
principio, parecen útiles. En el caso de Java, sus
instrucciones se ejecutan dentro de "sandboxes" que evitan
injerencias ajenas en el sistema. Así, por ejemplo, un applet
Java no puede leer, escribir, borrar o renombrar archivos del
sistema de ficheros del cliente, cargar bibliotecas de
funciones, crear gestores de seguridad ni especificar
cualquier función de control de red, entre otras. En
principio, con las limitaciones que se imponen a los applet
Java, cualquier ordenador cliente de un servicio Java debería
estar seguro.

Sin embargo, la plataforma Java no es tan perfecta como
podríamos suponer. Un cracker (ver nota) que sepa un poco de
programación o del formato de los ficheros Java o de algunas
de sus variables podría fácilmente introducir, borrar o
modificar contenidos dentro de los applets Java y saltarse
los mecanismos de seguridad que conforman el "sandbox".
Evidentemente, en cada nueva versión del navegador que
utilicemos va un nuevo soporte Java más fiable y seguro, pero
no siempre podremos estar 100% seguros.

Como respuesta al sistema Java, Microsoft desarrolló un
sistema para poder ejecutar código en las máquinas clientes
de una manera efectiva. Este sistema, llamado ActiveX, es muy
similar a Java en cuanto a sus objetivos, si bien su
seguridad es menor. El que un control ActiveX pueda hacer una
cosa u otra depende, ya no de un sistema preestablecido de
seguridad del tipo "sandbox", sino de la aceptación por parte
del usuario de la ejecución o no del control descargado.
Dejar en manos del usuario la seguridad de una conexión a un
servidor no suele ser lo más idóneo...

El siguiente paso de Microsoft ha sido el desarrollo de la
plataforma .NET. Este sistema se basa en código precompilado,
que se adapta en el momento de la conexión al sistema que lo
solicita y se ejecuta en el servidor. De esta manera, las
máquinas que se conectan al servidor no tienen que ejecutar
ni descargar código. Al contrario que en Java o ActiveX, el
código se ejecuta en la máquina servidora, no en la cliente.
Aunque esto supone un avance en términos de seguridad,
también nos podemos encontrar con problemas, tal y como
demostró en su día el virus W32/Donut. Este código malicioso
no fue más que un ensayo de laboratorio pero demuestra que
Microsoft ".NET" es susceptible de ser infectado por virus.

Este contexto confirma que nunca puede garantizarse la
seguridad de las nuevas plataformas. Con cada nuevo sistema
operativo, con cada nueva aplicación, con cada nuevo avance
en las plataformas siempre podrá encontrarse un "agujero" por
el cual se podrán efectuar ataques en los sistemas de los
usuarios finales.

Las casas desarrolladoras son conscientes de que la posible
falta de seguridad es un hecho, y de que se está luchando
contra personas cuyo objetivo no es otro que derrumbar
cualquier sistema de seguridad que pueda ponérseles delante,
por el mero afán de destruir por destruir. Los departamentos
de control de calidad son los más activos en las empresas de
software, y siempre están poniéndose en el lugar de los que
quieren destruir en vez de crear.

El problema mayor surge no ya cuando se descubre un agujero o
cuando se crea un nuevo virus, sino en la capacidad de los
usuarios para aplicar las soluciones aportadas por los
fabricantes. No todas las empresas disponen de un
departamento de informática que esté siempre pendiente de
cada actualización de software que aparezca. Además,
generalmente, cuando se dispone del departamento
correspondiente otras tareas más urgentes no dejan tiempo
para lo más importante.

El problema está ahí, y no va a solucionarse por volverle la
espalda. Cerca de nosotros tenemos un buen número de empresas
que se dedican a investigar la seguridad de los sistemas y a
ofrecernos soluciones "llave en mano". Si nuestro negocio no
puede pararse, nuestros sistemas no pueden pararse, y menos
por un fallo en la seguridad. Lo mejor es que confiemos esos
aspectos a empresas de profesionales que estén siempre al
tanto de nuestras necesidades. Si nuestro antivirus está en
manos de expertos que lo actualizan a diario sin que nosotros
tengamos que estar pendientes de ello, ¿por qué no hacer lo
mismo con el control de los sistemas de seguridad?

Si contamos con esos servicios, un problema en plataformas
críticas no pasará de ser más que una mera anécdota.

(*) Fernando de la Cuadra es Editor Técnico Internacional de
Panda Software (http://www.pandasoftware.com)

Nota VSAntivirus:

En el texto original de Fernando de la Cuadra se utilizaba el
término "Hacker" en lugar de "Cracker". Lo modificamos al
publicarlo, ya que creemos importante tener en cuenta la
diferencia si nos atenemos a la intención con la que se
emplea el término en el artículo:

HACKER - Aficionado a la programación y, sobre todo, a entrar
ilegalmente en redes de computadoras, como parte de un
desafío personal en busca de nuevos conocimientos. Los
verdaderos hackers no se vanaglorian de serlo, ni tampoco
está en sus objetivos causar un daño o sacar provecho
económico de su acción. Su conocimiento parte casi siempre de
su afán de aprender en forma empírica, y de aceptar nuevos
desafíos.

CRACKER - Los crackers (erróneamente confundidos con los
hackers), son los que entran en sistemas o computadoras
personales, para causar daños a las mismas, o sacar un
provecho económico de su acción (pirateo de programas, robo
de contraseñas para su uso ilegal, etc.), casi siempre
aprovechándose no de su conocimiento, sino de herramientas y
documentación creada por verdaderos hackers, pero que
explotan como si fueran suyas.

Fuente:
(c) Video Soft - http://www.videosoft.net.uy


Nota: Excelente acotación por parte de VSantivirus

Otras noticias de interés:

Mozilla anuncia la disponibilidad de su navegador de código abierto Phoenix 0.1
El proyecto de desarrollo de Mozilla, mozilla.org, ha presentado Phoenix 0.1, una versión más rápida de su navegador web de código abierto....
Hablemos de Licencias GPL, BSD, LGPL y otros
Como están todos por aquí, hoy voy a hablar sobre algo que a mi parecer carece de la importancia que realmente merece en el mundo del software y la información, me refiero a las licencias sobre el cual son liberadas diferentes programas que solemo...
Adobe publica cinco boletines de seguridad
Adobe ha publicado cinco boletines de seguridad (del APSB11-19 al APSB11-23) para tratar problemas en Adobe Shockwave Player, Flash Media Server, Flash Player, Photoshop CS5 y RoboHelp. En total se han corregido 23 vulnerabilidades....
Operación Medre
Integrantes del Laboratorio de Análisis de Malware de ESET Latinoamérica notaron un importante incremento en las tasas de detección de un código malicioso particularmente en un país de Latinoamérica. Éste es un patrón de propagación poco fre...
Nueva versión de Perl.
Tras más de dos años con la última versión estable, los desarrolladores de Perl acaban de liberar una nueva versión la 5.8.0....
ONU declara el acceso a Internet como derecho
Un informe de La Organización de las Naciones Unidas (ONU)ha calificado la desconexión de las personas a Internet de violación de los derechos humanos y de las leyes internacionales....
Nuevo método de encriptación CUANTICA !!!
Un grupo de científicos de la Universidad Northwestern presentó un nuevo método de codificación de datos que es prácticamente a prueba de hackers. Se trata de la encriptación cuántica, un método que consiste en manipular la luz para crear pat...
Facebook se une a OpenID
El blog de desarrolladores de esta gigantesca red social ha sido el medio elegido para anunciar que Facebook se ha unido al consorcio OpenID que trata de implantar un sistema de autenticación universal que libere a los usuarios de los problemas actu...
La biometría en entredicho: falsificación de huellas dactilares
Un matemático japonés (no un ingeniero, un programador o un experto en falsificaciones, sino un matemático) ha conseguido engañar once lectores de huellas digitales invirtiendo menos de 10 dólares en material de fácil obten...
Las aplicaciones de Google interfieren con Outlook
Microsoft asegura que la herramienta de sincronización que permite compartir las aplicaciones de Google con Outlook produce errores graves....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • java
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • net
  • noticia
  • opensource
  • pgp
  • php
  • plataformas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra