Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Seguridad en plataformas Java y .NET
|
|
VSantivirus No. 874 - Año 7 - Jueves 28 de noviembre de 2002
Seguridad en plataformas Java y .NET
http://www.vsantivirus.com/fdc-seguridad-java-net.htm
Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com
Las plataformas Java, de SUN Microsystems y .NET de Microsoft no son más que unos lenguajes de programación basados en la potencia de las redes y en la idea de que el mismo software debe funcionar en varias plataformas. Los dos sistemas se fundamentan en la principio de ejecutar software que no esté en la máquina cliente y proporcionar así mayores funcionalidades o aumentar la velocidad de ejecución, ahorrando tiempo de conexión y mejorando la percepción del servidor al que se conecta la máquina cliente.
Cualquier tipo de código de un programa puede ser portador de elementos maliciosos, ya sean virus, troyanos, etc. Para evitarlo se siguen determinadas estrategias que, en principio, parecen útiles. En el caso de Java, sus instrucciones se ejecutan dentro de "sandboxes" que evitan injerencias ajenas en el sistema. Así, por ejemplo, un applet Java no puede leer, escribir, borrar o renombrar archivos del sistema de ficheros del cliente, cargar bibliotecas de funciones, crear gestores de seguridad ni especificar cualquier función de control de red, entre otras. En principio, con las limitaciones que se imponen a los applet Java, cualquier ordenador cliente de un servicio Java debería estar seguro.
Sin embargo, la plataforma Java no es tan perfecta como podríamos suponer. Un cracker
(ver nota) que sepa un poco de programación o del formato de los ficheros Java o de algunas de sus variables podría fácilmente introducir, borrar o modificar contenidos dentro de los applets Java y saltarse los mecanismos de seguridad que conforman el "sandbox". Evidentemente, en cada nueva versión del navegador que utilicemos va un nuevo soporte Java más fiable y seguro, pero no siempre podremos estar 100% seguros.
Como respuesta al sistema Java, Microsoft desarrolló un sistema para poder ejecutar código en las máquinas clientes de una manera efectiva. Este sistema, llamado ActiveX, es muy similar a Java en cuanto a sus objetivos, si bien su seguridad es menor. El que un control ActiveX pueda hacer una cosa u otra depende, ya no de un sistema preestablecido de seguridad del tipo "sandbox", sino de la aceptación por parte del usuario de la ejecución o no del control descargado. Dejar en manos del usuario la seguridad de una conexión a un servidor no suele ser lo más idóneo...
El siguiente paso de Microsoft ha sido el desarrollo de la plataforma .NET. Este sistema se basa en código precompilado, que se adapta en el momento de la conexión al sistema que lo solicita y se ejecuta en el servidor. De esta manera, las máquinas que se conectan al servidor no tienen que ejecutar ni descargar código. Al contrario que en Java o ActiveX, el código se ejecuta en la máquina servidora, no en la cliente. Aunque esto supone un avance en términos de seguridad, también nos podemos encontrar con problemas, tal y como demostró en su día el virus
W32/Donut. Este código malicioso no fue más que un ensayo de laboratorio pero demuestra que Microsoft ".NET" es susceptible de ser infectado por virus.
Este contexto confirma que nunca puede garantizarse la seguridad de las nuevas plataformas. Con cada nuevo sistema operativo, con cada nueva aplicación, con cada nuevo avance en las plataformas siempre podrá encontrarse un "agujero" por el cual se podrán efectuar ataques en los sistemas de los usuarios finales.
Las casas desarrolladoras son conscientes de que la posible falta de seguridad es un hecho, y de que se está luchando contra personas cuyo objetivo no es otro que derrumbar cualquier sistema de seguridad que pueda ponérseles delante, por el mero afán de destruir por destruir. Los departamentos de control de calidad son los más activos en las empresas de software, y siempre están poniéndose en el lugar de los que quieren destruir en vez de crear.
El problema mayor surge no ya cuando se descubre un agujero o cuando se crea un nuevo virus, sino en la capacidad de los usuarios para aplicar las soluciones aportadas por los fabricantes. No todas las empresas disponen de un departamento de informática que esté siempre pendiente de cada actualización de software que aparezca. Además, generalmente, cuando se dispone del departamento correspondiente otras tareas más urgentes no dejan tiempo para lo más importante.
El problema está ahí, y no va a solucionarse por volverle la espalda. Cerca de nosotros tenemos un buen número de empresas que se dedican a investigar la seguridad de los sistemas y a ofrecernos soluciones "llave en mano". Si nuestro negocio no puede pararse, nuestros sistemas no pueden pararse, y menos por un fallo en la seguridad. Lo mejor es que confiemos esos aspectos a empresas de profesionales que estén siempre al tanto de nuestras necesidades. Si nuestro antivirus está en manos de expertos que lo actualizan a diario sin que nosotros tengamos que estar pendientes de ello, ¿por qué no hacer lo mismo con el control de los sistemas de seguridad?
Si contamos con esos servicios, un problema en plataformas críticas no pasará de ser más que una mera anécdota.
(*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com)
Nota VSAntivirus:
En el texto original de Fernando de la Cuadra se utilizaba el término "Hacker" en lugar de "Cracker". Lo modificamos al publicarlo, ya que creemos importante tener en cuenta la diferencia si nos atenemos a la intención con la que se emplea el término en el artículo:
HACKER - Aficionado a la programación y, sobre todo, a entrar ilegalmente en redes de computadoras, como parte de un desafío personal en busca de nuevos conocimientos. Los verdaderos hackers no se vanaglorian de serlo, ni tampoco está en sus objetivos causar un daño o sacar provecho económico de su acción. Su conocimiento parte casi siempre de su afán de aprender en forma empírica, y de aceptar nuevos desafíos.
CRACKER - Los crackers (erróneamente confundidos con los hackers), son los que entran en sistemas o computadoras personales, para causar daños a las mismas, o sacar un provecho económico de su acción (pirateo de programas, robo de contraseñas para su uso ilegal, etc.), casi siempre aprovechándose no de su conocimiento, sino de herramientas y documentación creada por verdaderos hackers, pero que explotan como si fueran suyas.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|