Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Jaqueo de Hackers. AOL Instant Messenger (AIM) arreglado
 
VSantivirus No. 545 - Año 6 - Viernes 4 de enero de 2002

Jaqueo de Hackers. AOL Instant Messenger (AIM) arreglado
Por Jose Luis Lopez
videosoft@videosoft.net.uy


Ya ha sido reparada la falla del conocido mensajero instantáneo de America On Line (AIM), noticia que dábamos ayer, y cuya explotación podría poner en riesgo a más de 100 millones de usuarios en el mundo.

Pero este hecho, pone en el tapete una tendencia que va en aumento.

Jaqueo de Hackers

Jaque, en el Ajedrez, es cuando se produce un lance en que el rey está amenazado por una pieza contraria. También se le dice así a una amenaza o acción inquietante. Jaqueo es la acción de dar jaques en el Ajedrez, y también significa acosar u hostigar.

El término hacker, lo solemos definir como aquel aficionado a la programación y, sobre todo, a entrar ilegalmente en redes de computadoras, como parte de un desafío personal en busca de nuevos conocimientos. Los verdaderos hackers no se vanaglorian de serlo, ni tampoco está en sus objetivos causar un daño o sacar provecho económico de su acción. Su conocimiento parte casi siempre de su afán de aprender en forma empírica, y de aceptar nuevos desafíos.

Quienes descubrieron la falla del AIM, se autodenominan hackers (¿no era que un hacker verdadero no suele vanagloriarse de serlo?). Es un grupo fundado por Matt Conover, un joven estudiante de la universidad de Utah (Estados Unidos), de 19 años. Actualmente el grupo (llamado w00w00) cuenta con miembros en varios países.

Y en este caso, no solo revelaron la falla, sino que liberaron un programa capaz de convertir al AIM en una llave con la capacidad de abrir innumerables computadoras hogareñas.

Esta acción ha recibido diversas opiniones y críticas. Más allá de las obvias, es interesante examinar ciertas actitudes.

Una de las críticas más unánimes para el grupo, fue a raíz del hecho de que revelaran la falla muy pronto, dándole muy poco tiempo para reaccionar a AOL.

El agujero descubierto permitía la toma del control de una computadora, a través de Internet, por parte de cualquier intruso, en cualquier parte del mundo.

La falla fue revelada el miércoles. El jueves, America On Line arregló el problema en su propia red (no es necesario que el usuario baje ningún parche ni actualización para estar protegido).

Un portavoz oficial de AOL, confirmó que la falla está solucionada, y que la misma se manejó totalmente desde el lado del servidor, "así que los usuarios no tienen que bajar nada o tomar alguna otra acción", dijo Andrew Weinstein, de AOL, y confirmó que "a nuestro conocimiento, ningún usuario fue afectado por la falla antes que ésta fuera reparada".

El grupo que descubrió la misma, confirmó haberlo hecho varias semanas antes, pero no lo reveló públicamente (ni avisó a America On Line), hasta después de Navidad. Primero enviaron un mail a AOL, pero por la fecha, no recibieron respuesta durante toda la semana, por lo que decidieron anunciarlo, para que las personas tomaran sus precauciones.

Yo revelo, tu revelas

Quienes están de un lado u otro de esta controversia, tienen argumentos muy válidos. Un hecho que influye en todo esto, es que después de la actitud de Microsoft, solicitando no se revelaran datos críticos de las vulnerabilidades encontradas, hasta que estas fueran solucionadas, parecen haber aumentado la cantidad de avisos de seguridad dados por numerosos grupos que han ido apareciendo.

La opinión de gente como Conover, es que revelar el problema, "impedirá que por lo menos alguien sea tomado por sorpresa". Un programa liberado por el grupo, si bien cerraba la falla, también habilitaba la posibilidad que alguien lo modificara para un uso totalmente opuesto.

Algunos investigadores independientes, defienden esta política de revelar las fallas, y la mayoría asegura que los vendedores de software están intentando esconder sus errores. Y si estos no se revelaran, no tendrían intención de arreglarlos, mientras los mismos no fueran demasiados evidentes.

Muchas compañías en cambio, dicen que si se les da más tiempo para corregir los errores antes de hacer públicas las fallas, más seguros estarán los usuarios.

Lo que suele ser más criticado, de uno y otro lado, es que al hacer pública una vulnerabilidad, se den detalles minuciosos para explotarla.

En este caso, lo que AOL lamenta, es que se le haya dado tan poco tiempo para reaccionar. A pesar de ello, ya lo ha hecho, cerrando la falla.

Referencias:

VSantivirus No. 544 - 3/ene/02
Peligro de gusanos en AOL Instant Messenger (AIM)
http://www.vsantivirus.com/vul-aim3.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS