|
SIRCAM,
¡CAOS ABSOLUTO!
|
|
2001
|
Primero fue un mensaje de amor,
ahora el peligro se esconde tras una aparente muestra de amistad y cortesía.
Las peores intenciones se encubren en los mejores sentimientos. Un primer
balance de los daños ocasionados por este nuevo gusano lo coloca en la lista de
los más difundidos.
Desde que el martes de la semana
pasada se detectase la existencia de SirCam, un gusano que puede borrar toda la
información del disco duro del PC, muchos y variados han sido los efectos
negativos que ha provocado este novedoso virus. El que ya se ha tachado como el
virus de mayor propagación y más alta velocidad de difusión de todos los que
han circulado por la Red, ha dejado tras de sí una situación caótica que se
sigue expandiendo por todo el mundo. Finalmente, no sólo los países de habla
hispana han sido los más afectados, SirCam se extiende por todo el globo. Entre
los casos que más destacan en los últimos días se encuentra el del FBI que ha
visto infectado al menos uno de sus PC´s al parecer por negligencia de un
agente. En definitiva, la situación parece que lejos de acabarse no ha hecho
más que empezar. No en vano, VIRUSPROT.COM ha recibido miles de visitas y
cientos de llamadas reclamando todo tipo de información sobre Sircam, sus
efectos y cómo combatirlo.
Los desarrolladores de software
anti-virus no han dejado ni un momento de analizar este nuevo gusano, que ya se
ha convertido en el que más infecciones ha causado sobrepasando el número de
casos de infección desencadenado por el conocido y temido "Iloveyou",
y han publicado sus estudios pormenorizados aconsejando las mejores soluciones
para los equipos infectados.
Por su parte Mikko
Hypponen, director de investigación de F-Secure, ya ha alertado de
infecciones en ciudades y continentes como EEUU, Asia, Sudamérica, India y
Europa y recuerda que el archivo que llega vía e-mail puede tener las
extensiones .doc, .xls o .zip, algo que da confianza al usuario. También ha
hecho hincapié en que una vez infectado un PC, el virus se auto-reenvía a
todas las direcciones de correo electrónico (no sólo del Outlook).
Mientras, expertos investigadores
de Panda Software han reconocido que SirCam se propaga con mayor peligro que
IloveYou y Melissa juntos. De momento, haciendo uso de las técnicas de
ingeniería social, según fuentes de la compañía la infección ya ha afectado
a países repartidos por toda la geografía mundial hasta el punto de que ya se
le puede considerar como una auténtica plaga mundial.
Desde Sophos, una vez más, el
mensaje que se quiere enviar a los usuarios es muy sencillo: mantener los anti-virus
actualizados y tener precaución a la hora de abrir mensajes no solicitados.
"Si no lo necesitas ni lo estás esperando, no lo lances ni lo abras",
aconseja Graham Cluley, reconocido
experto de la compañía.
Mientras, Kaspersky Labs confirma
que su equipo de soporte técnico ha recibido miles de llamadas desde muchos
lugares del mundo. China, Turquía, Alemania, Argentina, India, Italia, Rusia,
Canadá,... y un largo etcétera han visto como sus usuarios eran infectados por
Sircam. Desde esta compañía se critica la actitud de los usuarios de PC´s
pues no se entiende cómo si SirCam era tan parecido a Melissa o a IloveYou se
ha podido caer otra vez en la trampa. Se ha demostrado que los usuarios de PC´s
no aprenden la lección: ni mantienen actualizadas sus soluciones anti-virus ni
se cuidan de revisar los mensajes de correo antes de abrirlos.
La peligrosidad de este parásito
no reside sólo en la increíble velocidad de difusión sino en los daños que
puede causar:
- Envío indiscriminado de
archivos privados y muchas veces confidenciales.
- Destrucción de la información
almacenada en nuestro PC (fecha de la destrucción fijada para el 16 de octubre
y que será efectiva en el 5% de los casos)
- En el 2% de las infecciones el
virus puede rellenar todo el espacio libre del disco duro añadiendo texto al
archivo sircam.sys
Desde está página hemos
repetido insistentemente las precauciones que todo internauta debe tomar DE
MODO PERMANENTE:
a) Desconfiar
de todo "attachment" no solicitado, aunque provenga
"aparentemente" de alguien conocido.
b) NUNCA
abrir estos "attachments" si no están revisados con un anti-virus muy
actualizado y si es posible con MÁS DE UNO.
Estamos convencidos de que estos
sencillos consejos son conocidos por muchos de los "infectados".
Evidentemente la curiosidad del ser humano es muy fuerte... y es difícil
resistirse a abrir estos e-mails aún cuando parezcan "algo
sospechosos". No cabe duda: la confianza mata...
Índice
Profesionales
|
|
¡CUIDADO
CON LAS COMPARATIVAS!
|
|
2000
|
Antes que nada, aclararemos que este artículo está dirigido principalmente a
USUARIOS "REALES" y que actúan en ambientes "profesionales".
La mayoría de
los usuarios suelen prestar bastante atención a la hora de elegir un Anti-Virus,
a las comparativas publicadas por distintas revistas.
Sin embargo, según
nuestra experiencia profesional de mas de una década en el tema de los Anti-Virus, nos asombran los criterios (o falta de criterio?!) con que se suelen
realizar estos "estudios" Y SU TOTAL DESCONEXION DE LA REALIDAD de los
informáticos.
Analizaremos a continuación las "carencias" y errores en
que las COMPARATIVAS suelen incurrir masivamente:
1)
SUPERFICIALIDAD
a) En un 99% de los casos las comparativas
se basan en pruebas de "escaneo" de una "muestra de virus", y según el
porcentaje de detección DEL ESCÁNER, se determina la "calidad" de cada
producto.
Como todos podemos comprender (ver...) un Anti-Virus es un producto
complejo que incluye MUCHAS OTRAS HERRAMIENTAS, AÚN MÁS IMPORTANTES QUE EL
ESCÁNER.
Hoy en día todos los Anti-Virus de última generación cuentan con un
VxD (driver virtual) que funciona en background y ES LA PRINCIPAL HERRAMIENTA DE
PROTECCIÓN de nuestros sistemas DÍA A DÍA Y SEGUNDO A SEGUNDO.
¿Cuántas veces
al día puede un usuario profesional lanzar el escáner? ¿Cada hora? ¿Cada cuarto
de hora?...¿Y si se nos "cuela" un virus entre escaneo y escaneo? (En
realidad... esto es lo que suele suceder).
Por lo tanto, lo que EN REALIDAD
deberíamos evaluar a la hora de "elegir" una solución Anti-Virus es la EFICACIA
DE LA PROTECCIÓN EN BACKGROUND, pues de ella Y SÓLO de ella depende nuestra
seguridad.
Es fácil comprender que esta evaluación ES MUCHÍSIMO MÁS COMPLEJA
Y TRABAJOSA que la de un escáner, por lo tanto casi NO EXISTE LITERATURA AL
RESPECTO.
b) ¿Porqué las comparativas no analizan la capacidad de
eliminación de los Anti-Virus? Se trata de una cualidad FUNDAMENTAL que
influye de manera determinante, según nuestro criterio, en la calidad del
producto.
¿De qué nos sirve un Anti-Virus que detecte el 99% o aún el 100% de
los virus, si a la hora de corregir los archivos infectados los destruye o
repara incorrectamente? ¿No será "mejor producto", "más seguro" otro software
que detecte el 98% o incluso el 95% de los virus, pero que repare correctamente
los archivos infectados?
De más está decir nuevamente, que este análisis TAN
IMPORTANTE para la EFICACIA
de un Anti-Virus CASI NADIE LO HACE.
Evidentemente, requiere mucho trabajo, pues
se debería infectar una cantidad
importante de archivos con muchos virus ya DIFUNDIDOS, luego eliminarlos y
finalmente comprobar su perfecto funcionamiento.
Según nuestra información,
casi los únicos que realizan estas pruebas periódicamente y otorgan una
certificación al respecto, son los laboratorios de WEST COAST. La certificación
concedida es la de CHECK
MARK-LEVEL II..
c) Hoy en día existen cerca de 50.000 virus. Aparecen
500 o más todos los meses.
En consecuencia, a la hora de determinar la
eficacia de un Anti-Virus es fundamental aclarar CUAL ES LA MUESTRA DE
VIRUS QUE SE UTILIZÓ. Cuanto más reducida es la muestra y cuanto menos
"profesional" es su "fórmula" más "caprichosos" serán los resultados y MENOS
APROXIMADOS A LA REALIDAD. No es lo mismo una muestra de 10 virus de muy poca
difusión en el mundo, que una muestra muy grande incluyendo TODOS LOS VIRUS DE
ALTA DIFUSION en el planeta. Para ello existe WILD
LIST.
2) FALTA DE CRITERIO
a) Una prueba muy
difundida, que no puede faltar en casi ninguna comparativa es "la de Fórmula
I"... El Anti-Virus MÁS VELOZ.
Esa "demostración" era necesaria...hace muchos
años, cuando el ambiente de trabajo estaba basado en DOS y la mayoría de la
información que recibíamos nos llegaba a través de disquetes. Pero hoy en día la
situación ha cambiado de modo significativo. Antes, era muy útil ESCANEAR los
disquetes, y si tenían virus, repararlos o descartarlos. A veces la cantidad de
disquetes era muy grande, sobre todo en las organizaciones, y la velocidad de
escaneo podía suponer algún tipo de "ventaja". En la actualidad la situación es
distinta. Casi toda la información llega por Internet y generalmente los
archivos se chequean al pasar por el servidor de correo o por el Firewall "muy
lejos de los ojos del usuario". Para esto son necesarias versiones Anti-Virus,
distintas de las de W95 o W98 que son las analizadas en las comparativas.Como
dijimos, la función principal de estas versiones para W95/98 es estar en
background y vigilar permanentemente los puestos de trabajo. Otro error
importante de algunos "analistas" es testear la velocidad del producto con un
disco REPLETO de archivos infectados: 500, 1000, 3000, etc.. Es fácil comprender
que esta situación en una empresa es MUY POCO FRECUENTE y si ya se da el caso de
"escanear", generalmente los discos o están libres de virus o tienen sólo unos
cuantos archivos infectados.
Conclusión: Toda prueba de velocidad, nos parece bastante
"superflúa" a la hora de determinar la calidad de una solución
Anti-Virus para
una empresa.
b) Otro porcentaje importante de la "calificación" que otorgan las
comparativas se atribuye a "la interface y a la presentación de la caja". ¿Es
esto un "concurso de belleza"? Se está seleccionando un producto para un
ambiente de empresa donde NADIE VERA LA CAJA, NI EL MANUAL, NI LA INTERFACE. Hoy
en día, como ya comentamos los productos se instalan de manera centralizada y
son transparentes para el 99% de los usuarios. Generalmente el administrador de
la red "toca" muy poco al software una vez instalado y configurado, siendo por
lo tanto "casi despreciable" el "valor" que debe otorgarse a una interface más
"agradable".
c) Otro elemento que aparece destacadamente en casi todas las comparativas es
el precio. Veamos, a continuación, el verdadero "valor" del precio en las
comparativas.
En primer lugar, hoy en día no existen precios fijos para
ningún producto. Todos se pueden conseguir por distintas vías (Internet,
importación, etc.) y por supuesto a distintos precios.
En segundo lugar,
generalmente los precios que figuran en las comparativas son los de "una caja"
para versiones W95/98...y claro, otra vez nos surge la pregunta: ¿Es esto lo que
paga una empresa? ¿Es esto lo que paga una universidad? ¿un Ministerio?
NO. Además, si la comparativa no pretende quedarse en el ámbito local,
sino ser una referencia "internacional", todos sabemos que un producto “A” puede
ser más caro que “B” en USA, y en nuestro país puede ocurrir lo contrario. El
usuario corporativo tiene distintos precios. Puede ser que algún Anti-Virus sea
más caro que otros en el punto de venta para el usuario "individual" y más
barato que muchos otros para el usuario corporativo. Esto cambia en los
distintos rangos de licencias corporativas, por lo tanto, introducir esta
variable en el análisis de "cual es el mejor Anti-Virus" es "adulterar" los
resultados, es aconsejar MUY MAL al lector desprevenido, que se deja
"influenciar" por los "EDITOR CHOICE", sin analizar cómo se llegó a ese
"veredicto".
Para finalizar, todo profesional que tiene que evaluar un
Anti-Virus para su
implantación en la empresa, debe aprender a tomar en consideración y a preguntar
"LO QUE NO DICEN LAS COMPARATIVAS":
-
Contra que "muestrario" de virus se han calculado LOS PORCENTAJES DE
DETECCION.
-
Qué pruebas de ELIMINACIÓN ha pasado el producto. -EFICACIA del módulo en
BACKGROUND (VxD).
-
CERTIFICACIONES: SIGNIFICADO de cada una de ellas y CUAL es el organismo
que ha otorgado esa certificación.
-
¿Se ha dado "importancia" a "la belleza" o a la "velocidad" del producto?.
Índice
Profesionales
|
|
"CRACKERS"
HASTA EN LA LUNA
|
|
2000
|
No es que uno sea un paranoico, ni que ponga en duda, ni mucho menos, las
incuestionables ventajas que nos ofrece hoy en día la Sociedad de la
Información... Pero cuando se profundiza, y uno se detiene a pensar en los
riesgos que representan los ataques a la seguridad de las redes informáticas, a
veces, y solo a veces, le dan ganas de emigrar a algún remoto lugar donde nadie
haya oído hablar jamás de redes, computadoras o bases de datos. Pero no, que es
inútil: hasta en el espacio exterior, hasta en la Luna estamos expuestos a los
ataques de los 'piratas informáticos'.
Y si no, que se lo digan a los
astronautas de la NASA... Anteayer VIRUSPROT, haciéndose eco de las últimas
noticias llegadas a nuestra redacción, publicaba la noticia: un 'hacker' (aunque
sería mejor llamarle 'cracker') había penetrado hace la friolera de 3 años en
los sistemas informáticos de la Agencia Espacial norteamericana, haciendo
peligrar la vida de los tripulantes de la nave 'Atlantis', en misión especial
alrededor de la Tierra.
La noticia, cuando menos, le pone los pelos
de punta al más sereno. Sin tener en cuenta el hecho de la cantidad insospechada
de aparatos que pueden estarnos sobrevolando en estos momentos, sin las
condiciones de seguridad debidas, el hecho de que cada año se registren unos
500.000 ataques a la seguridad de los sistemas informáticos de la NASA produce
escalofríos... Se supone que estamos hablando de un organismo que debe ser
modelo de fiabilidad y seguridad, precisamente por la naturaleza de su
actividad. Si esto ocurre con la NASA, en la que el control, en cuanto a materia
de seguridad se refiere, se presupone riguroso, ¿qué ocurrirá con los bancos,
las empresas o la Bolsa, con todas las innumerables bases de datos que ahora,
mientras usted lee esto, reciben el flujo de miríadas de datos en forma de
códigos informáticos?.
La semana pasada, Ikenna Iffith, estudiante de 20
años de la norteamericana Northeastern University, fue descubierto 'hackeando'
en el Centro de Vuelo Espacial de la NASA, en Greenbelt, instalando software
para escanear el tráfico de red, en busca de 'passwords'. Iffith ya había
perpetrado ataques en varias redes del Ejército de los Estados Unidos. En marzo
de este mismo año, la policía brasileña arrestó a un miembro del grupo 'hacker'
Inferno.br, que había conseguido penetrar en el sitio web de la Agencia
Espacial. Y en noviembre del pasado año, un estudiante de secundaria de sólo 17
años de Colorado fue descubierto entrando en la web de la NASA. Éste último
declaró que su intención no era mala, que estaba preocupado por la facilidad de
acceso a estos organismos y que le parecía un problema de seguridad nacional que
había que denunciar.
"Muchos países pueden estar planeando una guerra
cibernética contra EE.UU... ¿Cómo podremos los ciudadanos sentirnos
seguros?.
A todo esto, la NASA negó ayer que ningún 'hacker' haya
arriesgado la vida de los tripulantes de la lanzadera espacial 'Atlantis'.
Desmienten a la BBC cuando ésta asegura que perdieron comunicación con los
astronautas, y el portavoz de la Agencia, Bob Jacobs, ha afirmado que sus
hombres jamás tuvieron que pedir ayuda a la estación espacial rusa MIR para
salir del atoyadero.
Jacobs nos da otra versión de los hechos: efectivamente,
se produjo el ataque, pero los sistemas de backup funcionaron perfectamente,
corrigiendo la situación.
No obstante, la Agencia Espacial ha abierto una
investigación para desvelar qué es lo que realmente ocurrió en aquella misión...
Pero no me consuela saber que los 'backups' resolvieran el problema. Ya ni en la
Luna se puede olvidar uno de los 'crackers'.
Índice
Profesionales
|
|
LA FIEBRE "HACKER"
CONQUISTA EL MUNDO
|
|
2000
|
De un tiempo a esta parte, la extensa comunidad de los
'hacker' está siempre
en el punto de mira de la noticia. Fue significativa la celebración de la
tercera edición de Hackit00, que tuvo lugar el pasado mes de junio en Roma
(Italia); el éxito del dicho encuentro está fuera de toda duda.
Unas 1.500
personas se dieron cita en Hackit00, un evento que levantó reacciones contrarias
en la opinión pública mundial. ¿Son los 'hackers' tan malos como los pintan?
¿Pertenecen a algún tipo de raza aparte, la de los ciberpiratas informáticos, o
se trata más bien de un colectivo no muy bien definido de locos de la
informática, jóvenes con curiosidad extrema que se mantienen al margen de la
'tecnología oficial' por algún motivo? Desde luego, sus detractores deberían
meditar sobre la presencia en Hackit00 de numerosos "cazatalentos" de empresas
de reconocido prestigio.
Quizá no sea el león tan fiero como lo
pintan...
Evidentemente, en Hackit00 pudimos asistir a un fenómeno de
difícil clasificación. Estamos ante una cultura propia y una forma de entender
la vida diferente. El encuentro no tenía nada que envidiar a aquellas ferias
medievales donde se concentraban gentes de diversos orígenes y procedencias:
comunidades 'underground', gurús de la informática, 'hacktivistas',
'ciberpunks', gente de Linux y otros grupos, que se empeñaban
no obstante en defender la ética 'hacker' y la necesidad de facilitar la
seguridad en Internet. Como en una especie de reducto de los elegidos, estos
apasionados de la informática reivindicaron de continuo la imaginación y la
creatividad de sus actividades, que ellos consideran completamente
legítimas.
Estamos ante una comunidad desprovista de territorio, como no
sea el inmenso e inexplorado de la Red... Lo aterrador (para algunos) es que
esta gente sabe, controla lo que hace, y por lo tanto, representan algo más que
una pandilla de incomprendidos. El problema es que el fenómeno de Internet, que
tiene mucho que ver con la mayor publicidad que desde hace tiempo está
obteniendo el movimiento 'hacker', es tan nuevo que nadie sabe exactamente cómo
va a evolucionar. Es como si la tecnología hubiera cobrado vida propia: algo que
se escapa por momentos del control de las instituciones.
¿Cómo va a
terminar todo esto? ¿La fiebre 'hacker' será cosa de un día, una epidemia de
juventud, como sucede con todo lo que está en sus comienzos? Una cosa es segura:
estamos a las puertas de un gran cambio social, y pronto podremos responder a
estas preguntas por nosotros mismos.
Índice
Profesionales
|
|
A VUELTA CON LAS
"COOKIES"
|
|
2000
|
Las conocidas 'cookies' están representando ya un papel primordial en todo lo
que rodea al fenómeno de Internet. Se trata de archivos de texto que el
navegador, a instancias de algunos servidores, escribe en nuestro propio disco
duro, con el objeto de enseñar todos nuestros movimientos en Internet.
Realmente, son una potente herramienta para almacenar y recuperar información
empleada por los servidores web, gracias al HTTP (Protocolo de Transferencia de
Ficheros), un protocolo que no almacena el estado de la sesión entre
peticiones sucesivas. El servidor de envío de ficheros puede recopilar
perfectamente, de esta forma, los datos referentes al perfil del usuario. En
general, las asociaciones de anunciantes de la Web están a favor de las 'cookies', ya que les dan una información valiosísima sobre los hábitos y gustos
de los consumidores; esta práctica, en cambio, es rechazada por la mayoría de
organizaciones de usuarios, defensores de la privacidad online. En su origen,
las 'cookies' fueron creadas para personalizar la navegación de cualquier
usuario, ya que al permitir que el servidor 'recordase' a los usuarios, se puede
ofrecer un servicio individualizado, avisando automáticamente de las novedades
en cada uno de los web sites.
Aunque la mayoría de los usuarios tienen
actualmente la posibilidad de rechazar las 'cookies' desde sus navegadores, o
mediante algún programa o extensiones del navegador que las bloquean, lo cierto
es que, en parte muchas veces por desconocimiento (no todos los internautas son
expertos en seguridad informática), no se efectúa este bloqueo. En todo caso,
las 'cookies' extienden las capacidades de las aplicaciones cliente/servidor
basadas en Web. Es, cuando menos, curioso el hecho de que la información sobre
el usuario sea almacenada por el usuario mismo, para ser recuperada por el
servidor cuando sea necesario. Por otra parte, las 'cookies' tienen, por decirlo
así, una 'fecha de caducidad determinada', a partir de la cual los 'monstruos de
las galletas' pierden su operatividad. La fecha de caducidad opcional se
añade al fichero original con el siguiente formato: nombre = valor;
expires=fechaCaducidad. En esta expresión, 'nombre' es el valor del dato
almacenado y 'valor' representa su valor. La fecha de caducidad es, por tanto,
un parámetro opcional que indica el tiempo que se conservará la cookie.
Realmente, las
'cookies' tienen, como todo, ventajas e
inconvenientes... De cara al servidor, indudablemente la gran ventaja es que, al
ser almacenados en el disco duro del usuario, se libera al servidor de una
importante carga. Los inconvenientes, claro está, son la disminución de espacio
en nuestro disco duro, el flujo continuo de ficheros claramente editables y la
posible manipulación de estos datos por parte de algún
experto.
Todos tenemos la posibilidad de ver las 'cookies' en
nuestro disco. Si el usuario posee todavía el antiguo Win 3.x, se debe dirigir
al Administrador de Archivos, seleccionar Buscar en Archivo, y en la ventana
correspondiente escribir cookies.txt. Con las últimas versiones de Windows, o
Windows NT, se debe pulsar Inicio, Buscar Archivos o Carpetas, y escribir
cookies.txt.
En Internet Explorer, podemos acceder a ellas a través de los
directorios o carpetas Cookies, y ditar los archivos que hay dentro; si usamos
Netscape, hay que localizar los archivos <cookies.txt>, y editarlos
también. Tienen el siguiente aspecto: : identificador de usuario@dominio.txt,
dónde dominio es la dirección de la máquina o bien el directorio desde donde se
envió la cookie. Para saber qué hay dentro de la caja de la cookie, tan sólo
debemos editarlas con cualquier editor ASCII. El proceso completo para dejar de
recibirlas es el siguiente: con Netscape, entramos en el Menú
opciones/Preferencias de red/Protocolos/Casilla 'mostrar advertencia antes de
descargar una cookie' (esto no desactiva la cookie, sino que se obliga al
navegador a mandar un aviso cada vez que le envían una cookie). Si usa
Comunicator la ruta es Edición/Preferencias/Avanzadas/Opción 'Desactivar
cookies'.
En Microsoft Internet Explorer, la ruta es: Menú Ver/Opciones de
Internet/Opciones Avanzadas/ Seguridad/Cookies/'Avisar antes de recibir cookie'
ó 'Desactivar'.
Por supuesto que las 'cookies' tienen sus
limitaciones: sólo caben en total 300 'cookies' en el archivo de Cookies; cada
una de ellas solo puede ocupar, como máximo, 4 Kbytes; sólo caben 20 'cookies'
por servidor y dominio; y ninguna máquina que no encaje en el dominio de la 'cookie' puede leerla.
Hay que desterrar, no obstante, algunos mitos y
miedos sobre la presencia de estos archivos de texto. Las 'cookies' son
elementos pasivos, que sólo pueden ser leídos o escritos, pero que no pueden
ejecutarse ni dar orden de ejecución a ningún programa. Por otra parte, no
pueden contener ni transmitir virus, ni son capaces de extraer archivos de
nuestro disco duro.
Índice
Profesionales
|
|
LA LLEGADA DE LA ERA
"HANDHELD"
|
|
21/07/2000
|
Se avecina un cambio, y un cambio drástico, por cierto.
Probablemente, ustedes se habrán dado cuenta de que el futuro está en aquellos
dispositivos portátiles que permiten el acceso a Internet desde cualquier lugar.
Estamos hablando, cómo no, de los populares 'handheld'. Se prevé una auténtica
revolución con el auge de estos aparatos de mano, de los cuales, los más
populares son los Palm. Los distribuidores no dan a basto con la demanda de
estos aparatitos.
Y por supuesto, también se prevé que los requerimientos de seguridad de estos dispositivos disparen todas las previsiones
de los fabricantes de software. Sin ir más lejos, ya antes de que los 'handheld'
estén en el mercado, se producen fugas de información. La empresa Palm, que
tenía previsto anunciar para el próximo agosto un nuevo modelo con un
programa de reconocimiento de escritura, ha visto cómo un usuario 'destapaba'
las características del mismo.
Conscientes de que muy pronto los
requirimientos de software de seguridad se dispararán (en algunos sectores,
quizá un poco alarmistas, se hacen predicciones del tipo 'ataques masivos contra
los dispositivos de mano y los teléfonos WAP'), las empresas como Palm se han
visto abocados a una carrera frenética por desarrollar aplicaciones para
contrarrestar los futuros ataques a los sistemas. Y recientemente hemos tenido
noticia de que la empresa Symantec ha anunciado el desarrollo del primer
software anti-virus para Palm OS, por medio de un micro-motor que permite a los
investigadores del Centro de Búsqueda detectar ataques potenciales a la
plataforma.
Vamos a reseñar algunas de estas aplicaciones que hemos
podido encontrar en la web de Palm.
TopSecret Desktop: esta aplicación
permite la protección de datos sensibles como las 'passwords', números de
tarjetas de crédito, información sobre cuentas, etc. Usa una encriptación de 128
bits y trabaja en conjunción con TopSecret Mobile, para proporcionar dos formas
de sincronización entre el Palm y el PC. La versión Desktop ofrece todas las
características de la versión Mobile, añadiendo la posibilidad de visualizar y
editar datos tanto desde el PC como desde el Palm.
4T NOX: se trata
de una aplicación que gestiona todas las características de las 'password' y de
las cuentas. Desde 4T NOX se puede acceder a información relativa a cuentas
bancarias, tarjetas de crédito, e-mails, tarjetas telefónicas, etc. Los menús
que contiene son tan intuitivos que facilitan las entradas de datos. Está
protegida por una encriptación BlowFish de 448 bits.
Otras de sus
características son: categorías de cliente personalizables, generador de 'password' personalizadas, icono de bloqueo rápido y múltiples opciones. Es una
aplicación muy útil para todos aquellos que olvidan a menudo 'passwords'
importantes.
SafeinHand: es una aplicación simple para el almacenamiento
de 'passwords'. Elimina la necesidad de recordar múltiples contraseñas,
almacenándolas en una sola aplicación protegida. De esta forma, sólo es preciso
memorizar una única contraseña para acceder a toda la lista. Para aumentar la
seguridad, esta aplicación finaliza automáticamente siempre que la Palm se
apaga.
Sign-On: nos hemos encontrado con esta excelente aplicación
que asegura los recursos del dispositivo Palm con una única firma. Para poder
operar con el dispositivo, la aplicación requiere la entrada de esta firma tres
veces. Todos los datos de seguridad son encriptados para un almacenaje seguro
usando un algoritmo Triple DES.
En cuanto a la incidencia de la que
tuvimos noticia a principios de este mes de julio, que afectaba a los
dispositivos Palm IIIc, IIIxe y Vx (07/07/2000), y que podía provocar una
pérdida de datos en estos equipos, pueden encontrar más información en nuestra
sección 'Otras noticias...' y en la web de Palm (www.palm.com/support/dram).
Índice
Profesionales
|
|
NAPSTER: ¿VIOLACIÓN DE
DERECHOS DE AUTOR O DE LIBERTAD DE EXPRESIÓN? La polémica está servida, mientras la comunidad Napster se siente "ultrajada"
|
|
28/07/2000
|
Esta noche, a la hora bruja, la magia de los tribunales de Norteamérica surtirá efecto y dejará inhabilitada la web
Napster, la que se proclama como la página de Internet donde deben darse cita todos los amantes de la música.
La juez de distrito de San Francisco Marilyn Hall Patel (¿la verdadera bruja de la historia?) ha ordenado el cierre temporal del servicio de Napster que permite intercambiar de forma gratuita archivos musicales en formato MP3.
Tras dos horas de audiencia, llegó la esperada sentencia, que resultó inesperada y sorprendente: la juez Patel falló en contra de Napster ordenando a la compañía "no copiar, no ayudar, no facilitar, y no contribuir a la copia o duplicación de todas las canciones con derechos de autor y de aquellas composiciones musicales, cuyos derechos sean propiedad de los demandantes".
Algún medio esta mañana, haciéndose eco del cierre temporal de este servicio de intercambio de música, apuntaba que podrían acabar con el
site, pero nunca con la comunidad Napster. Así lo sienten los internautas, que por otro parte, no tienen más que dirigirse a otras páginas web como Scour o Gnutella para seguir descargando canciones en MP3 completamente gratis de la red.
El chat de Napster está que hecha humo y su site colapsado por internautas que quieren aprovechar al máximo las últimas horas en las que aún es posible conseguir gratis sus canciones.
El proceso judicial contra Napster se inició el pasado mes de Diciembre, cuando la RIAA
(Recording Industry Association of America) presentó una demanda judicial acusando a la compañía de que su servicio de compartición de canciones violaba los derechos de autor. Esto ocurría tan sólo cinco meses después de que Napster abriera su sitio en Internet.
El juicio que decidirá la resolución de esta denuncia ha sido fijado para finales de año, pero mientras tanto la juez Marilyn Patel ha dejado claro hacia dónde dirige sus simpatías, tratando de impedir desde la medianoche de hoy toda posibilidad de intercambio que no tenga en cuenta la propiedad intelectual. De hecho, ha denegado la moción presentada por el abogado de
Napster, David Boies, que solicitaba un aplazamiento del mandato de cierre del servicio.
En la orden, Patel especifica que el intercambio de canciones en Napster no estaba protegido por la Audio Home Recording Act y que está convencida de que "la mayoría de la gente utilizaba este servicio principalmente para descargar material con derechos de autor".
El abogado representante de la industria discográfica, Rusell Frackman, declaró que con el servicio de Napster "se descargaban cerca de 20 de millones de canciones cada día, de las cuales un 90% poseen derechos de autor".
Boies, como era de esperar, ha prometido una apelación, y ha afirmado que la orden "es imposible de implementar hasta que Napster no reciba un listado con las canciones que no debe publicar".
El consejero general de la RIAA, Cary Sherman, aplaude la orden, y seguro espera que el resto de las demandas presentadas por la RIAA para proteger derechos de autor, recientemente contra
Scour, se resuelvan en similares términos.
¿Conseguirán los autores proteger sus derechos? ¿No son las discográficas las únicas que se protegen? ¿Y dónde queda la libertad de expresión? ¿Quizá a la sombra de la ley?
La polémica está servida, y para la redacción de Virusprot lo único que se demuestra una vez más es el modo en que este nuevo medio, Internet, nos ha desbordado y ha crecido desmesuradamente sin orden ni concierto. Tal vez sea por esa falta de "concierto" que la música ya no podrá difundirse tan libremente por la red.
Índice
Profesionales
|
|
EL
"COLOSO" MICROSOFT SE DESPEREZA: MIRA HACIA LA SEGURIDAD EN
INTERNET
|
|
30/11/2000
|
Aunque es una máxima reconocida aquella de que cualquier tiempo pasado fue mejor, no sucede lo
mismo en el caso del gigante Microsoft. A pesar de sus problemas legales, los beneficios de la
compañía siguen creciendo de forma exuberante. Su nuevo sistema operativo, Windows 2000, ha
alcanzado la cifra de 3 millones de unidades vendidas en los primeros 135 días de su
comercialización. Ahora, Microsoft se enfrenta al gran reto, el mismo que tienen pendiente todas
las empresas especializadas en tecnología informática: la seguridad.
No sólo los adversarios de Microsoft están prestos a detectar y dar publicidad a cualquier fallo
que aparezca en el S.O: los expertos en seguridad informática, y en muchos de los casos, los
propios usuarios, cada vez elevan más sus niveles de exigencia, y los 'bugs' van apareciendo
lenta, pero inexorablemente. La capacidad de respuesta de la compañía se mantiene dentro de unos
cauces muy aceptables. Por la cuenta que les trae: es un hecho reconocido que muchos usuarios
esperan a que un nuevo sistema operativo solucione los problemas de infraestructura inherentes a
cualquier producto que empieza, antes de lanzarse a la adquisición del mismo. Con la publicación
de los primeros parches para Windows 2000, y la aparición de la versión Data Center, la empresa
espera que las ventas se incrementen de forma espectacular antes de que termine el año.
Pero el gran problema de Microsoft sigue siendo Internet. Por ello, tanto el propio Microsoft como
otras compañías están embarcadas en el desarrollo de diversas herramientas software, basadas en la
especificación de intimidad en Internet propuesta por el 'World Wide Web Consortium' (W3C), con el
objeto de ganarse la confianza de los compradores potenciales, al asegurar los datos personales de
los consumidores on line.
Entre estas herramientas, se encuentra el soporte para la especificación P3P ('Plataform for
Privacy Preferences'), que permite a las web comunicar sus políticas de intimidad en un formato
estándar, que estará incluido en la próxima versión de Windows, disponible para el año próximo.
Muchas de las principales compañías presentes en la Red han afirmado que sus páginas estarán
construidas para soportar esta especificación, y la Casa Blanca ha emitido un comunicado en el
que respalda la iniciativa del W3C.
La especificación P3P proporciona un camino estándar y automatizado para comparar las preferencias
de intimidad de los navegantes con las políticas que llevan a cabo las páginas web que visitan.
La idea es que cualquier usuario tenga la capacidad de controlar, por sus propios medios, la
información personal que circula a través de la Web. Pero esta iniciativa también ha provocado
la incertidumbre de aquellos que desconfían de su eficacia, ya que, según afirman algunos expertos,
los usuarios se verán obligados, con este estándar, a determinar cuántos de sus datos privados
desea hacer públicos, antes de acceder a determinado tipo de información.
Además de todo ello, Microsoft acaba de hacer públicas nuevas soluciones para la seguridad informática
que ofrece Windows 2000, que previenen una posible denegación del servicio (DOS), a la vez que
permiten a los usuarios actualizar sus privilegios de seguridad en la administración. Aunque los
expertos de la compañía aseguran que el riesgo de que suceda un ataque 'Dennial of Service' es
pequeño, los problemas suceden en la red cuando los administradores instalan los parches y reinician
los sistemas. Si un usuario malicioso envía un RPC ('Remote Procedure Call') deformado en una red
hacia un servidor que se emplee como dispositivo primario de dominio, puede impedir la entrada de
los usuarios y neutralizar las conexiones. Debido a esta vulnerabilidad de DOS, los administradores
tienen, o bien que instalar el parche, o bien que confiar en sus usuarios al cien por cien.
Los esfuerzos de Microsoft por dotar a sus sistemas de un nivel de seguridad óptimo no han hecho
más que empezar. Son muchos los usuarios que se quejan de que la compañía les ha 'engañado' con
Windows 2000, ya que el anunciado 'destierro' del viejo sistema operativo Dos, con todos sus
problemas de seguridad, no se ha hecho efectivo, sino que simplemente se ha 'camuflado'. Microsoft,
ajeno a las críticas que ha calificado, en repetidas ocasiones, de 'ataques desmesurados', lucha
mientras tanto en varios frentes: es el caso de la presentación del nuevo sistema operativo
'Windows Millenium Edition' en España, el que se ha considerado la pieza fundamental de su estrategia
a gran escala en Internet, al estar destinado a los usuarios domésticos, que utilizan el PC
básicamente para la navegación por Internet. En Windows Me, Microsoft ha reforzado de forma
espectacular las herramientas de seguridad de los datos, incluyendo algunas que impiden el borrado
y la reescritura de archivos del sistema, así como una utilidad de Restauración del Sistema desde
un punto temporal.
Aún así, la polémica continúa. El gigante afirma que ha puesto en pondrá en marcha una nueva política de seguridad, gracias a la cual estará en condiciones de identificar
a todos los visitantes de sus sitios web. Esta práctica ya se está llevando a cabo, según Microsoft
"como parte de una experiencia piloto', que consiste en redireccionar a los visitantes de un site
hacia un servidor que les asigna un identificador único. Éste permite a la compañía saber quién
está visitando sus webs, y cómo navega a través de ellas. Los expertos en el tema no se han
puesto todavía de acuerdo en si esta práctica constituye una violación de la privacidad, o si es
completamente lícita. Microsoft se defiende argumentando que está proporcionando a sus usuarios
un parche para el 'browser' de Internet Explorer, que otorga la posibilidad de controlar los
diferentes tipos de 'cookies' que se introducen en sus PC's, e incluso de eliminar aquellas que
correspondan a agencias de publicidad on line. El coloso, así, se despereza y muestra sus mejores
armas en su lucha por la primacía informática, ahora también en Internet.
Índice Profesionales
|
|
EMPRESAS
DE SEGURIDAD INFORMÁTICA: AFIANZANDO EL FUTURO
|
|
2/1/2001
|
Las exigencias del mercado de Internet están
marcando la evolución de la mayoría de las áreas de negocio convencionales.
Por supuesto, también influyen sobre las compañías dedicadas a la seguridad
informática: éstas ya se han dado cuenta de que es preciso encontrar una
solución robusta, un estándar para el e-business. Y por tanto, las pequeñas
empresas como las grandes compañías saben que esta vez se juegan no sólo sus
beneficios presentes y futuros, sino su propia permanencia en el mercado.
Además, el afortunado que logre que imponer su estándar sobre el resto
controlará al menos la mitad de ese mercado. Por ello, los especialistas en
seguridad informática se han lanzado a una carrera para afianzar sus posiciones
con respecto a la competencia.
Hasta que el mercado vuelva a consolidarse, la
mayoría de las empresas del sector están esforzándose por expandir su área
de negocio hacia los servicios de seguridad on-line. Muchas pequeñas y medianas
empresas están emergiendo en estos momentos, junto a las grandes corporaciones,
que en muchas ocasiones se ven obligadas a copiar estrategias de sus
"hermanos menores".
En todo el mundo, hay cientos de empresas
especialistas en seguridad informática. Además, hay que contar también con
los grandes gigantes de la informática y sus departamentos especializados en
seguridad informática (léase Cisco, Novell o IBM). Además, las consultoras
también se han apuntado a la fiebre de los proveedores de servicios de
seguridad informática: Andersen Consulting, por ejemplo, es uno de los líderes
del sector, con su oferta de consultoría e integración de sistemas.
Así que el universo de las compañías que
apuestan por los servicios de seguridad on-line se torna cada vez más denso y
complejo. En muchos de los casos, estos servicios son complementarios al negocio
principal y precisan de acuerdos especiales con "partners" de
altura. No es necesario indicar que en esta contrarreloj, los ganadores serán
los que ofrezcan mayor número de soluciones especializadas. Por otra parte, la
cosa se complica si tenemos en cuenta que, en la mayoría de los casos, las
empresas están luchando contra un adversario de comportamiento impredecible:
los "hackers", cuya habilidad para atacar las redes informáticas de
empresas y corporaciones evoluciona a una velocidad mucho mayor de lo que hacen
los desarrolladores de software de seguridad.
Otros expertos prevén que las compañías se
pondrán de acuerdo para respetar sus diferentes nichos de mercado, por lo que
probablemente establecerán un estándar en diferentes plataformas. Actualmente,
la empresa Verisign es la compañía dominante en el mercado de la seguridad
informática: cuenta con un capital de 37 billones de dólares, que sobrepasa
ampliamente los activos de sus competidores más directos, Baltimore Tecnologies
y Entrust. Esta empresa ofrece una gran diversidad de productos y servicios de
seguridad informática, lo cual la coloca en una ventaja incuestionable con
respecto a las pequeñas empresas del sector. Su estrategia incluye la oferta de
soluciones para el comercio electrónico: la reciente adquisición de Signio,
una plataforma de pago para Internet, y de Network Solutions, un proveedor de
infraestructura de nombres de dominio y servicios de registro, han situado a
Verisign entre los grandes del e-business a nivel mundial.
Sin embargo, la clave del éxito de Verisign
son sus servicios de autenticación, que incluyen los certificados digitales y
los servicios de control de las infraestructuras de clave pública (PKI).
Durante el ejercicio correspondiente al segundo tercio del año 2000, Verisign
ha confirmado la venta de 64.000 certificados digitales, con un incremento del
137 por ciento respecto al mismo periodo durante el año anterior, y 200 nuevos
clientes asociados, incluyendo algunos tan importantes como la agencia de
noticias Reuters.
Un dato fundamental a la hora de entender la
evolución de las nuevas empresas de seguridad informática (o antiguas empresas
en proceso de remodelación), es su grado de internacionalización. en el marco
de la economía global, se precisa una política agresiva, en la que la empresa
pueda expandir sus redes en cinco o seis puntos estratégicos, como mínimo.
Cualquier empresa de estar características tiene que poseer la infraestructura
suficiente como para operar en varios países. Otro punto importante a tener en
cuenta es la interoperabilidad en la Red: está demostrado que las empresas
especializadas en seguridad informática que están obteniendo mayor éxito son
aquellas que son capaces de proporcionar a sus clientes acceso a información
privada y ejecutar transacciones seguras desde cualquier dispositivo de acceso a
Internet.
Índice
Profesionales
|
|
NAPSTER
AGONIZA, NACE EL NUEVO "NAPSTER PARA DVD"
|
|
26/2/2001
|
La industria del cine tiembla ante la más que
probable popularización del intercambio y copia de éxitos cinematográficos a
través de la Red.
El cierre definitivo de Napster está
pendiente de un hilo, aunque no se conoce la fecha de tan triste momento para
los millones de usuarios del servicio gratuito de intercambio de archivos
musicales en la Red. Pero aunque el mismo servicio pase a ser de pago, como
puede suceder en breve, quizá los imitadores del sistema (Gnutella o Filetopia,
por ejemplo) nunca lleguen a conocer las cuotas de popularidad que ha disfrutado
Naspster.
Esta sentencia de muerte para el disfrute de
música gratis deja paso a nuevas inquietudes, pero esta vez no para las
compañías discográficas, porque el futuro del intercambio de archivos ha
puesto sus miras en el siguiente escalón multimedia: las películas. Son los
grandes estudios de Hollywood los que tiemblan ante la posibilidad muy, muy
probable de que el nuevo programa DivX:-, que permite comprimir la información
de un DVD y transmitirla fácilmente por Internet se popularice no a mucho
tardar de igual forma que Napster.
La piratería de películas en formato VHS ha
sido una preocupación constante para la industria del cine, que se creía a
salvo en el caso del DVD, al contar éste con un sistema de protección contra
copias. Pero la cosa se complica, porque siempre hay algún pirata avispado que
rompe lo irrompible, como sucedió en este caso, cuando apareció el programa
DeCCS, capaz de desproteger las películas en DVD.
La reproducción de este programa ha sido ya
prohibida por un juez estadounidense, alegando que el cifrado DVD-CSS es un
secreto industrial y que este programa vulnera su protección, permitiendo ver
las películas en reproductores no oficiales o con el sistema operativo GNU/Linux,
es ilegal. Esta prohibición ha levantado una gran polvareda en el país, con la
manifestación de científicos del MIT, de Princenton, Stanford o Carnegie
Mellon, a favor de la libertad de escribir y publicar programas, como otra forma
de expresión sujeta a la primera enmienda.
Para terminar de dibujar el panorama, el
creador del DivX:-, Jerome Rota y sus socios, los también franceses Joe Bezdek
y Eldon Hylton han fundado la sociedad Project Mayo, que se dispone a explotar
comercialmente su invento, a la vez que han anunciado que la nueva versión de
su programa, el DivXDeux, disminuirá el tiempo de descarga de una película en
DVD hasta los 45 minutos (lo que antes se demoraba más de un día).
Todas las piezas están dispuestas para que la
polémica comience tan rápido como los internautas empiecen a bajarse
películas de la Red de forma masiva, en la que ya están disponibles "Matrix"
o "Los Ángeles de Charlie". En este punto de la historia, cuando
todavía no se ha popularizado el sistema, es en el que la industria del cine
podría aliarse con su potencial enemigo, ya que el ejemplo de Napster
"versus" industria discográfica es de lo más aleccionador. La
tecnología y los avances son siempre buenos, si se sabe enfocar su uso y lo que
puede producir serio temor a las productoras, también se puede transformar en
un firme aliado, si el sistema de distribución pasa "por taquilla" de
forma ordenada.
En realidad Project Mayo quizá espere poder
establecer "relaciones amigables" con la industria Hollywoodiense y
convertirse en su más cotizado distribuidor y no en su enemigo, cosa que
llenaría los bolsillos de ambos. Sin embargo, el miedo y la desconfianza pueden
frustar este "matrimonio", volviendo a repetirse la polémica Napster
pero en cine. Todo está por ver, pero lo cierto es que ya se han descargado de
la Red 12 millones de copias del programa para compresión de DVD DivX:-.
Índice
Profesionales
|
|
ESPAÑA
NECESITA CONEXIONES SEGURAS PARA SU E-COMMERCE
|
|
9/3/2001
|
Un estudio realizado por la empresa NetValue,
especializada en la medición de audiencias en la Red, ha hecho público que el
número de conexiones seguras realizadas en sitios de comercio electrónico en
España ha aumentado un 87.4 por ciento de septiembre a diciembre de 2000. El
análisis sobre el mes diciembre de 2000 refleja que el 45.5 por ciento del
tiempo pasado en sitios de comercio electrónico se pasó bajo conexión segura.
Los datos han sido extraídos de un panel de internautas representativos de la
población española en el hogar, lo que aporta también que el 15.6 por ciento
de los hogares cuentan con conexión a Internet.
En España, el porcentaje de visitas a sitios
de e-commerce permite analizar la capacidad de estos sitios de generar tráfico
de internautas, aunque no muestre propiamente una evolución del sector. Un
indicador de la evolución sí es el incremento del porcentaje de conexiones
seguras y el incremento de la proporción de tiempo pasado bajo estas
conexiones, con respecto al total de tiempo en sitios de comercio electrónico.
Con estos datos sí podemos augurar una mejora para el sector, sobre todo si
éste incrementa su inversión en seguridad.
El puntal del e-commerce es ese: la seguridad,
tema sobre el que ha opinado en unas declaraciones recogidas por el diario
abc.es Zane Ryan, máximo representante en España y Portugal de la firma de
seguridad RSA Security, señalando que "la seguridad informática no es una
prioridad en España". El directivo ha resaltado que "las empresas
españolas se mueven por parámetros opuestos a la norma común en el resto de
países europeos en el campo de la seguridad, que no consideran una prioridad
para sus negocios on-line. He visto casos en España que no he presenciado en el
resto del mundo, como empresas muy solventes y con gran prestigio que se han
lanzado a hacer negocios en Internet sin contar con un simple cortafuegos".
Demoledoras palabras.
Lo que sí podemos tener claro es que aunque
la preocupación por la seguridad crezca, queda mucho por andar y es la
seguridad la clave del éxito del e-commerce Al fin y al cabo es el miedo a ver
comprometidos sus datos lo que frena a muchos internautas a la hora de realizar
transacciones o compras en la Red. Sólo con una preocupación seria en materia
de seguridad por parte de los comerciantes de la Red se podrá abordar un
desarrollo estable y prolongado de este sector. Esta tendencia es confirmada por
un informe de Cisco Systems, que señala que el mercado europeo de la seguridad
electrónica espera triplicarse hasta el 2004, alcanzando la cantidad de 4
billones de dólares en el mercado.
Por otro lado, la Asociación de Usuarios de
Internet (AUI), ha puesto de manifiesto un resumen sobre las quejas y consultas
de los usuarios, gestionadas por la asociación durante el año 2000. Fueron un
total de 3.120 quejas y consultas, de las que el 36.9 por ciento solicitaban
información y el 31 por ciento estaban relacionadas con el acceso; muy por
detrás se situaron los problemas de carácter legal (8 por ciento), de
contenidos ( 5.9 por ciento), comercio electrónico ( 3 por ciento) y seguridad,
con tan sólo un 2 por ciento.
No sabemos si las pocas quejas y consultas en
materia de seguridad se deben a una especial satisfacción de los internautas o
a una falta de información sobre los peligros reales que pueden sufrir. De
todos modos, es la seguridad en la Red la que probablemente determinará si su
desarrollo será factible o no, tanto en materia de comercio electrónico, como
en otros muchos usos (voto electrónico, sanidad, impuestos...) diarios que el
ciudadano podrá dentro de poco disfrutar... o no.
Índice
Profesionales
|
