| Borja | Hay un tema interesante en todo esto de los virus y gusanos. ¿Son una amenaza real, o solamente un juego? |
|---|
| Borja | Creo que hay opiniones para todos los gustos. Y, desde luego, a mi me parecen al menos un signo de que la situación de la seguridad está rematadamente mal. |
|---|
| Borja | No tengo nada preparado, pero podríamos improvisar un debate sobre este tema, que creo que es interesante. |
|---|
| Borja | Pues podemos empezar ya :-) |
|---|
| athkhz | los fallos de seguridad ya existen los gusanos simplemente los aprovechan |
|---|
| NerioMDK | es cierto |
|---|
| Borja | Exacto. Pero lo preocupante de los virus y gusanos es que la mayor parte de los usuarios se quedan tan tranquilos con un antivirus. |
|---|
| Borja | La respuesta estándar suele ser: "tengo un antivirus instalado, no hay problema". |
|---|
| athkhz | yo no creo que la solucion sean los antivirus |
|---|
| athkhz | seguramente el antivirus sea la peor de las defensas |
|---|
| Borja | Y la realidad es que un usuario en esa situación está mucho peor que desprotegido: la falsa sensación de seguridad es algo mucho más peligroso que la falta de seguridad. |
|---|
| gloval | la solucion es tener acrtualziado todo, y bajarse lso parches |
|---|
| gloval | al momemto de salir |
|---|
| athkhz | pero ahi tienes otro problema |
|---|
| Borja | Efectivamente, el antivirus se ha convertido en parte del problema más que de la solución. |
|---|
| athkhz | tal como esta la cosa quien mete un service pack de ms |
|---|
| NerioMDK | es posible que esos parches tengan un problema |
|---|
| athkhz | sin que pase un tiempo para que otros lo prueben |
|---|
| Borja | Supongamos (y ya empieza a haber casos) que quiero robar algún tipo de información. Por poner un ejemplo, historias clínicas en un hospital |
|---|
| Arador | athkhz: yo metere el SP2 del XP en cuanto salga muy a gusto |
|---|
| Borja | Bueno, puedo hacer una introducción y luego abrimos el debate más o menos ordenado. |
|---|
| Borja | Bien. |
|---|
| Borja | Como decía, creo que los virus son algo más serio de lo que la mayor parte de los usuarios cree. |
|---|
| Borja | Por una parte, creo que la mayoría de los usuarios no acaba de entender bien lo que significa que alguien pueda hacer que se ejecute un programa en su máquina contra su voluntad o al menos sin su conocimiento. |
|---|
| Borja | Parece una especie de fenómeno natural. Se acepta como si fuera un resfriado. |
|---|
| Borja | Y los usuarios se quedan tan tranquilos cuando aseguran que tienen un antivirus actualizado y un cortafuegos. |
|---|
| Borja | La realidad, sin embargo, es que no se está atacando el problema de fondo: el del software |
|---|
| Borja | mal diseñado. |
|---|
| Borja | Un ejemplo: parece una idea prometedora poner un lenguaje de programación a un procesador de textos. |
|---|
| Borja | Al menos _a alguien_ se lo pareció hace unos años. En realidad, eso fue el inicio de una peligrosa tendencia: la desaparición de la frontera entre programas y datos. |
|---|
| Borja | Y esta frontera sigue difusa hoy día. Es muy difícil dar marcha atrás. |
|---|
| Borja | Esto es solamente el ejemplo más evidente. Un día tras otro vemos cómo en un programa de correo electrónico y un navegador aparece un agujero de seguridad tras otro. Y en la mayor parte de los casos no se trata de simples despistes, como un buffer overflow: se trata de errores graves de diseño. |
|---|
| Borja | El caso es que se ha conseguido desviar la atención de los usuarios, y la mayoría se consideran protegidos con un antivirus, que no es más que un "fgrep" glorificado. Pero, ¿qué pasa cuando un usuario recibe un virus antes de actualizar su antivirus? |
|---|
| Borja | Desde la primera aparición hasta que los fabricantes tienen tiempo de reaccionar, hay una ventana de tiempo durante la cual los antivirus no detectarán nada. ¿Qué pasa si la estrategia de propagación tiene éxito? |
|---|
| Borja | El resultado lo hemos visto, por ejemplo, con el Sobig.F, que batió unos cuantos records de número de mensajes infectados y solamente dejó de ser una pesadilla cuando se desactivó gracias a la fecha de caducidad incorporada por el autor. |
|---|
| Borja | Lo realmente preocupante de esto, de todas formas, no es el ancho de banda desperdiciado, ni las horas invertidas en limpiar, etc. |
|---|
| Borja | Volvamos a lo que comentaba antes (lo siento si doy alguna vuelta) sobre el robo de historias clínicas. |
|---|
| Borja | ¿Sería difícil hacer un troyano que utilizara vulnerabilidades de seguridad de las que emplean los virus, preparado para localizar historias clínicas en el disco de la víctima (no hay más que hacer búsquedas por palabra clave) y enviarlas por correo electrónico a una cuenta? |
|---|
| Borja | No, ¿verdad? |
|---|
| Borja | ¿Qué harían en este caso los antivirus? |
|---|
| Borja | Absolutamente nada. Al no tratarse de un virus conocido es muy probable que no lo detectaran. |
|---|
| Borja | ¿Y los "firewalls corporativos", expresión tan de moda? |
|---|
| Borja | En la mayor parte de los casos, nada. Al fin y al cabo, el correo electrónico es algo normal. |
|---|
| Borja | Ésta es la situación, en mi opinión, y creo que es extremadamente grave. |
|---|
| Borja | Lo que me preocupa especialmente, además, es que esto está dejando de ser un juego, una gamberrada, y parece estar empezando a participar el crimen organizado. |
|---|
| Borja | Hace poco se ha propagdo un troyano que examinaba las páginas web que visitaba el usuario, y si localizaba una palabra clave estilo "bank", "banco", etc, activaba un registro de tecleo para enviar a un sitio. |
|---|
| Borja | Es decir, se trataba de un intento claro de robar datos de cuentas bancarias. Además, instalaba un proxy en el ordenador de la víctima; de esta forma, una orden de transferencia hecha por los responsables del troyano aparecería en los logs del banco con la dirección IP de la víctima. |
|---|
| Borja | Esto es algo real, y no se trata de ninguna exageración. |
|---|
| Borja | Y ya no estamos hablando de críos jugando a ver quién infecta más ordenadores, o buscando zombies para lanzar ataques de denegación de servicio a un usuario de un juego en red. |
|---|
| Borja | Hablamos de algo extremadamente serio. |
|---|
| Borja | Y, hace poco, he visto cómo unas 1100 máquinas, todas de conexiones de banda ancha en varios países ¡incluída una en Togo! mandaban de forma coordinada miles de spams contra un servidor de correo. |
|---|
| Borja | Evidentemente, estas 1100 máquinas habían sido atacadas de alguna forma, y lo más probable es que hubiera sido de forma automática; eran demasiadas como para haber sido atacadas "a mano". |
|---|
| Borja | Lo realmente preocupante de todo esto es que probablemente veamos cada vez ataques más destructivos y mejor coordinados. |
|---|
| Borja | Y, teniendo en cuenta que uno de los vectores de infección más peligrosos es el correo, y que, como bien dice Feistel, para abril de 2004 se dice que el 70% del correo será spam... |
|---|
| Borja | La verdad es para preocuparse. ¿no? |
|---|
| Borja | En fin, creo que la situación es realmente pesimista. |
|---|
| Borja | Lo malo es que no se ve que las defensas se pongan a la altura del problema. |
|---|
| Borja | Y, teniendo en cuenta que uno de los vectores de infección más peligrosos es el correo, y que, como bien dice Feistel, para abril de 2004 se dice que el 70% del correo será spam... |
|---|
| Borja | La verdad es para preocuparse. ¿no? |
|---|
| Borja | En fin, creo que la situación es realmente pesimista. |
|---|
| Borja | Lo malo es que no se ve que las defensas se pongan a la altura del problema. |
|---|
| Borja | Seguimos recitando cosas como "antivirus" "firewall", etc. Y leyendo consejos estúpidos y surrealistas como "filtra el ping, que es muy peligroso", mientras se deja de lado el problema real: |
|---|
| Borja | No se puede escalar una montaña con un casco sensacional si en vez de una cuerda en condiciones se usa un hilo de coser. |
|---|
| Borja | Sobre este tema hay varios mitos que me gustaría comentar, y sobre los que seguro hay opiniones. Dentro de nada abrimos el debate libre :-) |
|---|
| Borja | Creo que es importante verlos con detenimiento, porque de entender bien esto depende nuestro futuro :-) |
|---|
| Borja | MITO Nº 1: EL SOFTWARE LIBRE ES INHERENTEMENTE MÁS SEGURO QUE EL MAL LLAMADO "PROPIETARIO" |
|---|
| Borja | Es bien cierto que el software libre, gratuito, open source, o como queramos llamarlo, que utilizamos ahora, es mucho más seguro (mientras no se demuestre lo contrario) que el software "propietario" que están utilizando la mayoría de los usuarios. |
|---|
| Borja | Pero este nivel de seguridad superior no es una consecuencia directa de ser libre. De hecho, ha habido clamorosos fallos de seguridad en FreeBSD o Linux, por ejemplo. |
|---|
| Borja | Y también los ha habido en otros sistemas Unix "propietarios" como Solaris, AIX, etc. |
|---|
| Borja | La diferencia fundamental entre estos sistemas *IX, sean open-source o no, y Windows es el diseño. |
|---|
| Borja | Al fin y al cabo, tanto Linux como los BSD heredan la tradición de un sistema operativo que aunque se diseñó en un primer momento sin tener demasiado en cuenta la seguridad (Unix) ha demostrado estar muy bien pensado dentro de sus limitaciones. |
|---|
| Borja | Y el administrador de Unix está mucho mejor equipado que el de Windows para afrontar posibles problemas. Basta recordar una cosa: los fenómenos paranormales NO EXISTEN en Unix. |
|---|
| Borja | ¿Que arranco este programa y se niega? O falta un archivo, o existe un archivo que debería haber desaparecido, o lo que sea. No hay nada oculto. |
|---|
| Borja | ¿Qué hacen los administradores de Windows más experimentados? Rearrancar el sistema e incluso reinstalar todo. |
|---|
| Borja | Pero esto no depende de que sea libre o no. Si liberaran el código de Windows, la situación no mejoraría mucho con semejante chapuza. Sería muy largo hablar ahora de por qué lo califico de chapuza y no acepto opiniones en contra. |
|---|
| Borja | Respecto al software libre, en el canal de preguntas apuntan que al haber más gente desarrollando el sistema será mejor. |
|---|
| Borja | Y eso es un error de concepto, en mi opinión. |
|---|
| Borja | Para empezar, ¿cuál es el grado de experiencia de esas personas? |
|---|
| Borja | Parte del problema que está padeciendo Microsoft ahora mismo es precisamente el resultado de una de las metas de la ingeniería de software, en mi opinión: el convertir el softwre en una especie de cadena de montaje. |
|---|
| Borja | Resulta que último programador del escalafón, el peor pagado y el más inexperto, puede cometer un error que provoque un "buffer-overflow". |
|---|
| Borja | Y eso es muy difícil prevenirlo. Es también difícil detectarlo. |
|---|
| Borja | En los proyectos de software libre, sin embargo, el perfil de las personas que trabajan en las partes críticas es mucho mejor. No hay tanta división entre "arquitectos" y "peones"; el mismo diseñador de un sistema de memoria virtual escribe la mayor parte del código. |
|---|
| Borja | Y, debido a su experiencia, es más probable que preste atención a los puntos clave. |
|---|
| Borja | Pero la cantidad no es la respuesta, sino la calidad. Por eso no creo que el software de código abierto sea la respuesta. |
|---|
| Borja | Es decir, no digo que por el hecho de ser de código abierto sea más seguri. |
|---|
| Borja | Es mucho más importante la existencia de una buena documentación de diseño accesible. El código fuente tiene demasiado nivel de detalle, y es frecuente que las ramas no dejen ver el bosque. Sobre todo, teniendoen cuenta la creciente complejidad del software. |
|---|
| Borja | Afortunadamente, proyectos como FreeBSD, el kernel de Linux, etc, están coordinados por un buen equipo de gente que además incluye la seguridad en los primeros lugares de su lista de prioridades. |
|---|
| Borja | MITO 2: Los sistemas Unix sufren menos ataques por utilizarse menos. |
|---|
| Borja | Esto es una sandez que solamente puede aceptar alguien que no tenga ni la más remota idea de lo que es un sistema operativo. |
|---|
| Borja | Es posible (supongo que todos los aquí presentes lo saben) diseñar un sistema operativo con un buen nivel de seguridad. Por supuesto que todos pueden tener más o menos problemas, pero hay una diferencia importante entre ellos. |
|---|
| Borja | Y no olvidemos que el primer buffer overflow conocido se explotó en sistemas Unix en noviembre de 1988. |
|---|
| Borja | En esa época, hasta la aparición de NT, Internet estaba gestionada por sistemas Unix. Incluso hoy día los sistemas Windows hacen pocas cosas serias. ¿Qué objetivo sería más sexy para un intruso, por ejemplo, que un router Juniper (utilizan FreeBSD) moviendo gigabits/s de tráfico en un troncal? |
|---|
| Borja | Aunque haya menos sistemas Unix en número, la inmensa mayoría del correo y el tráfico lo mueven sistemas Unix. No es, por tanto, un objetivo tan "minoritario". Además, teniendo en cuenta que está disponible el código (y la información de diseño) de muchas versiones de Unix, y de casi todas las herramientas importantes, debería ser mucho más fácil proocar un "Armaggedonix". Sin embargo, esto aún no ha ocurrido. |
|---|
| Borja | ¿Cuál es la explicación? |
|---|
| Borja | Apunta feistel que Microsoft tiene muchos enemigos y está claro que los ataques van dirigidos contra ellos. |
|---|
| Borja | En parte creo que es cierto, pero no es menos cierto que los intrusos están atacando los sistemas más fáciles |
|---|
| Borja | Y la única diferencia entre Unix y Windows no está en la existencia de usuarios con permisos restringidos. Evidentemente, eso es importante. |
|---|
| Borja | Recuerdo una discusión en el año 89 en un canal dedicado a virus en Fidonet. Por esa época me dedicaba a meterme con OS/2, porque los de IBM habían hecho un sistema operativo monousuario pero multitarea, que iba a permitir escribir virus enormes en Basic, con ejecutables de varios cientos de KB, y los usuarios no se iban a enterar. Iban a _facilitar_ la tarea a los autores de virus. |
|---|
| Borja | Recuerdo que defendía la existencia de un mecanismo que solicitara (por ejemplo) un password al usuario antes de instalar algo. |
|---|
| Borja | Y, claro, todo el mundo lo consideraba "incómodo". |
|---|
| Borja | Hoy día, el usuario de Windows debe ejecutar periódicamente un programa que elimina "spyware" indeseable que se ha instalado como por arte de magia, sin su intervención. ¿Cómo es esto posible?? |
|---|
| Borja | Hace falta más que unos permisos, pero desde luego es una parte importante |
|---|
| Borja | Y eso mismo hace Mac OS X. |
|---|
| Borja | Por ejemplo: hace poco (tengo un Mac) descargué para probar un editor de vídeo gratuito de Avid. |
|---|
| Borja | Al ir a instalarlo, el soft me pidió el password de administrador. |
|---|
| Borja | Algo que me sorprendió enormemente, ya que se trata de un programa de usuario, y Mac OS X tiene todo lo necesario para acceder a dispositivos firewire, vídeo, etc. |
|---|
| Borja | ¿Para qué lo quería? Para cambiarme varios drivers del sistema (entre ellos el de Firewire!!) por sus propias versiones. |
|---|
| Borja | Esto podría haber sido un desastre con otros programas, y no di el password. Aborté la instalación y borré el programa. |
|---|
| Borja | ¿A alguien le suena familiar eso del infierno de las DLLs en Windows? |
|---|
| Borja | No se trata solamente de incomodidades, se trata de verdaderos problemas de seguridad. |
|---|
| Borja | Por el canal de preguntas me preguntan si creo que OpenBSD es más o menos seguro que Linux. |
|---|
| Borja | Para esto tengo una respuesta: Es de locos lo que están haciendo la mayoría de las distribuciones. |
|---|
| Borja | (de Linux, se entiende) |
|---|
| Borja | No hay una distinción clara entre lo que es el sistema operativo y lo que son los programas adicionales. El "make" o el "diff" tienen el mismo trato que el Quake, por ejemplo. Y esto es un gigantesco error. La confusión es uno de los peores enemigos de la seguridad. |
|---|
| Borja | Eso fue lo que en el año 95 me hizo desechar Linux y decidirme por FreeBSD, por ejemplo. |
|---|
| Borja | Y no me arrepiento en absoluto. |
|---|
| Borja | En fin... mi intención es fomentar un debate. Si os parece, abrimos la moderación del canal y podemos discutir estos puntos. |
|---|
| Borja | Sobre todo es interesante hablar de estos mitos. La seguridad inherente del software libre, y el que se ataque menos a sistemas como Unix o Mac OS X por ser más minoritarios. Esto, por supuesto, junto con el creciente problema de seguridad de virus y gusanos y el previsible empeoramiento. |
|---|
| Borja | Hagan juego, señores :-) |
|---|
| Arador | ¿Que diferencias hay entre make y quake y como gestiona esas diferencias Freebsd? |
|---|
| Borja | Make forma parte del sistema operativo, una unidad indivisible. Quake es un paquete adicional. |
|---|
| Borja | El sistema operativo se mantiene en un árbol CVS con un cuidadoso control de versiones. |
|---|
| Borja | http://cvsweb.freebsd.org |
|---|
| Armadillo | Hay un documento de diseño del kernel??? |
|---|
| Armadillo | o no se han usado tecnicas de ingenieria del software?? |
|---|
| pepita | borja: he pillado la charla a medias, pero pq piensas q va a haber un "previsible empeoramiento"? |
|---|
| Borja | Pienso que va a haber un empeoramiento porque hay quien esta haciendo negocio con los fallos de seguridad. |
|---|
| Borja | Cada vez circulan mas mensajes intentando estafar a los usuarios, y hemos visto ya gusanos que, por ejemplo, convierten las maquinas de los usuarios en repetidores de spam. |
|---|
| DvsT | y crees q es posible q en vez de evitarlos, los atenderan? |
|---|
| EkInOxIo | Sin duda los principales afectados en materia de seguridad son los usuarios corporativo, ahora, |
|---|
| EkInOxIo | a que nivel afecta a un usuario domestico, estan los usuarios domesticos inseguros ?? , que se puede hacer ?? |
|---|
| Fix | yo creo que la pregunta es que no puede hacer :) |
|---|
| Borja | Armadillo, hay algo de confusion sobre lo que es "ingenieria de software". De momento parece que se ha orientado mas a mejorar cosas como las previsiones de tiempo y el control de costes que a producir mejor software- |
|---|
| Borja | S. |
|---|
| Borja | Se ha concentrado mas en abaratar el desarrollo de software. |
|---|
| Borja | En este momento, los usuarios domesticos son autenticas bombas andantes. |
|---|
| runlevel0 | Borja: Y no hay que perder de vista el que los Kiddies que usarán SSOO libres y se dedicarán a lo que se dedican ahora en Win: putearse uno a otros :P |
|---|
| athkhz | los domesticos y los no domesticos, practicamente cualquier persona que coja un ordenador sin algunos conocimientos es un peligro en potencia |
|---|
| Fix | pero alguien que quiere hacer daño runlevel0, lo hara siempre... use windows, linux, macos X :) |
|---|
| andres | borja: esa politica de microsft de realizar las entregas de sus parches el primer martes de cada mes me parece absurdo, ademas de explicar que una falla no es falla hasta que se descubre y que esto no es un problema de seguridad, que hace un usuario con una falla de este tipo un mes? |
|---|
| athkhz | andres esa es la teoria del codigo propietario, puede haber un SO con un bug latente y oculto y no se arregla ni revisa porque nadie lo ha arreglado |
|---|
| athkhz | lo ha encontrado |
|---|
| athkhz | el tema es que alguien puede haberlo encontrado y en vez de comunicarlo lo explota con cuidado |
|---|
| athkhz | y no lo hace publico |
|---|
| athkhz | asi puede tirarse años con un agujero en un SO |
|---|
| runlevel0 | athkhz: recuerdo vágamente una noticia en securityfocus en ese sentido, sobre un bug de los NT que permitía correr código sin que el taskmanager lo reflejara |
|---|
| runlevel0 | athkhz: el bug salió a la luz precísamente pq estaban cambiando de SO... |
|---|
| Arador | eso tambien se puede hacer en linux ocn un modulo en el kernel |
|---|
| Borja | :-) |
|---|
| Borja | Lo de los parches es una locura, tambien. |
|---|
| athkhz | Arador la diferencia es que si alguien experimenta un resultado extraño en un linux |
|---|
| athkhz | en vez de reiniciar pues rebusca a ver que ha pasado |
|---|
| Borja | Es posible parar un sistema en produccion una vez por semana? |
|---|
| Borja | 100? |
|---|
| Borja | Y que pasa si el parche introduce nuevos problemas, como ha ocurrido tantas vveces? |
|---|
| athkhz | a ver quien es el guapo que lo borra que tambien te la juegas |
|---|
| Borja | Se tiende a culpar a los ddministradores nmegligentes|Se tiende a culpar siempre a los "administradores negligentes" sin tene en cuenta que no siempre es posible hacer una parada y arriesgarse a dejar el servicio parado. |
|---|
| Armadillo | los aplausos |
|---|
| Borja | Pero se esta dejando de lado la responsabilidad del fabricante. |
|---|
| Borja | En fin, por todo esto creo que la situacion solamente puede ir a peor. |
|---|
| FoxMem | Y BUENO, QUE ES LO QUE SE PUEDE HACER ANTE ESTA AMENAZA DE VIRUS? Y ANTE UNA MALA INGENIERIA DE SOFTWARE?, SEGUIR USANDO ANTIVIRUS? O UN CORTAFUEGO? |
|---|
| Armadillo | clap clap clap clap clap clap |
|---|
| Borja | Bueno, lo que suelo recomendar es no utilizar software disenado por irresponsables. |
|---|
| athkhz | buen consejo :) |
|---|
| MJesus | clap clap clap clap clap clap clap clap clap clap |
|---|
| EMPE[log] | clap clap clap clap clap clap clap clap clap clap |
|---|
