Make your own free website on Tripod.com
NO USE M$IE
¡MICRO$OFT INTERNET EXPLORER
TIENE HUEVO!

Cuídese de ActiveX






Si necesita más información acerca de ActiveX, hay excelente información (en inglés, claro) en un artículo de la Revista BYTE.


Reportaje de CNet del 17 de febrero de 1997, 4:45 pm, hora del Pacífico de EUA y Canadá
Véalo en inglés haciendo clic aquí.

Intuit probablemente desea no haber oído jamás de ActiveX.

La compañía se actualiza en el control de daños hoy luego de que continuaron saliendo reportes acerca de hackers alemanes que usaron un control ActiveX para realizar transferencias bancarias no autorizadas con el software de negocios Quicken (de la firma ya mencionada). Intuit emitió recomendaciones sobre una "simple y sensata aproximación" para la navegación segura de la Red, yendo tan lejos como sugerir que los usuarios nerviosos dejen de usar controles ActiveX definitivamente.

"Los clientes que quieren saber acerca de la seguridad de los controles ActiveX deben considerar desactivar las propiedades de ActiveX en su navegador, o usar un browser como Netscape Navigator, el cual no soporta ActiveX," dijo Intuit en un comunicado.

Como se reportó previamente, un grupo de hackers alemanes, conocido como el Chaos Computer Club, creó un control ActiveX capaz de robar dinero de una cuenta bancaria y depositarlo en otra sin tener que escribir el número de identificación personal. Chaos demostró el control ActiveX en la televisión nacional alemana a finales de enero.

La versión para Estados Unidos de Quicken no es susceptible a ataques de hackers que involucren robo de dinero de una cuenta y depósito no autorizado en otra --como el ataque simulado por Chaos--. Los clientes estadounidenses pueden usar Quicken únicamente para transferir dinero entre cuentas "previamente autorizadas", como cuentas de ahorros.

Intuit dijo hoy que presentará una nueva versión alemana de Quicken, que codifique los archivos de datos del programa, cambio que lo hará menos susceptible a los hackers.

No obstante, el incidente subraya algo que el creador de ActiveX, Micro$oft, y la mayoría de los expertos en seguridad computarizada sabían hace algún tiempo: ActiveX NO es seguro.

Mientras los applets de Java son prevenidos de realizar ciertas tareas como eliminar archivos del disco duro de un usuario, los controles ActiveX --pequeños programas Internet que trabajan principalmente bajo el browser Internet Explorer-- son capaces de hacer virtualmente cualquier cosa que un programador pueda imaginar en el computador de un usuario, incluyendo la instalación de un virus destructor.

En lugar del modelo "caja de arena" que desata los applets de Java de otras aplicaciones, Micro$oft ha creado un sistema de seguridad "de contabilidad" llamado Authenticode. Dicho sistema le permite a los publicadores de software estampar sus controles con un certificado digital.

Si un control le hace algo malo al computador de un usuario, quien publica la página o el software puede ser localizado y perseguido. En otras palabras, el sistema Authenticode NO protege de código malicioso; simplemente hace más sencillo encontrar a quien lo escribió.

Pero si el programador quiere esconderse, Authenticode ofrece poca protección. Y es fácil que un usuario acepte inconscientemente un control ActiveX no certificado si se cansa o se frustra por la ventana de advertencia del Authenticode. El control ActiveX del club Chaos, por ejemplo, no está certificado. Una vez es aceptado por un usuario de Internet Explorer, el programa está libre para hacer su trabajo.

"Lo que este incidente nos dice es que uno no puede aceptar cosas de los extraños," dijo Cornelius Willis, gerente del grupo de productos de Micro$oft. "Lo que espero de los usuarios que salgan de esto es que no ejecuten ningún código ejecutable que sea anónimo."

Intuit entregó hoy su propia advertencia de que los usuarios pongan atención a sus browsers cuando les advierten acerca de controles ActiveX y cualquier otra clase de software que no esté certificado. "Intuit toma grandes precauciones para ayudar a preservar la seguridad de la información financiera de los clientes en Quicken," dijo el primer vicepresidente de Intuit, Eric Dunn, en un comunicado. "Esto estima las precauciones sensatas de los usuarios contra el uso de controles ActiveX desconocidos o de cualquier otro software descargado, suministrando un alto nivel de seguridad."







Reportaje de The Seattle Times del 5 de mayo de 1997.
Véalo en inglés haciendo clic aquí.

Los sistemas de seguridad de Internet pueden ser pasados por alto.

por Paul Andrews
Reportero del equipo del Seattle Times


Suena como la peor pesadilla para un usuario de computadora:

Alguien obtiene acceso a su computador personal via Internet y borra archivos. Altera cuentas monetarias. Destruye información almacenada en el disco duro. Y sólo tarda un minuto o dos.

¿Imposible? Hace unas pocas semanas, un programador de Bothell llamado Fred McLain hizo lo anterior durante una demostración en San Francisco, reabriendo el candente debate acerca de una crítica preocupación de los usuarios de computadora hoy: la seguridad en Internet.

Usando una tecnología de Micro$oft llamada ActiveX y el navegador Micro$oft Internet Explorer, McLain invadió una computadora remota en la World Wide Web y movió archivos, alteró una cuenta bancaria, llamó expedientes de impuestos y cometió estragos digitales en el disco duro del PC.

La demostración puso a la luz un espinoso dilema de la explosión de la Internet. La habilidad de la Red para conectar computadoras en todo el mundo ha abierto nuevas puertas en comunicaciones y en la compartición de información. Con dicha capacidad, sin embargo, viene también el potencial para fuerzas malintencionadas de tener acceso a computadoras conectadas en red en cualquier parte.

El resultado es que, tal como quienes conducen por una autopista deben estar alerta de los peligros de otros automóviles, los usuarios de computadora tendrán que acostumbrarse a tener cuidado al ejecutar programas transmitidos por la Red, dicen los expertos.

Las corporaciones en busca de hacer negocios por Internet y adaptando sus propias PCs y redes a intranets, o redes internas que usan conexiones a Internet, están particularmente alerta del problema.

Un estudio realizado por el Instituto de Seguridad de Computadoras y el FBI el año pasado (1996) reveló que el 47% de 563 organizaciones han sido atacadas via Internet, un incremento del 10% con respecto al año 95. Otro estudio de la consultora Arthur Andersen encontró que la mitad de los ejecutivos de mantenimiento piensan que los sistemas de seguridad de Internet son inadecuados en sus compañías.

La hazaña de McLain se convirtió en el tema de JavaOne, la conferencia donde él puso la demostración y donde cerca de 10,000 desarrolladores que usan el lenguaje de programación llamado Java asistieron. Luego, a McLain le pidieron autógrafos, fue contratado por IBM como asesor de seguridad y apareció en televisión nacional. "Siento como si empezara a convertirme en héroe entre cabezas de héroe," dijo.

Micro$oft lo tomó de otro modo. "Lo que Fred McLain hizo fue parecido a lo que hizo la United Airlines cuando mostró cómo estrellar un avión de la American Airlines," dijo Tod Nielsen, gerente general de relaciones de desarrollo de Micro$oft. En lugar de concentrarse en los abusos que "destruyen la confianza del consumidor" en la industria de las computadoras personales, "deberíamos estar trabajando juntos para decir que es seguro volar," dijo Nielsen.

McLain debió haber venido a Micro$oft privadamente con sus preocupaciones, posibilitando a la compañía de manejar el asunto sin "tácticas de susto," continuó Nielsen. McLain dijo que así lo hizo inicialmente, pero que el remedio de Micro$oft - incrementar el nivel de seguridad predeterminado de su navegador de "medio" a "alto" - era inadecuado.

McLain aceptó US$6,000 para hacer la demostración, lo cual, según Nielsen, le dio el aire de un pistolero a sueldo. Sin embargo, McLain afirmó que el pago cubrió en su mayoría gastos. La patrocinadora de la conferencia, el rival de Micro$oft Sun Microsystems, asistió.

Micro$oft también protestó que los hackers serán capaces de hacer lo mismo usando tecnologías en competencia de Sun y Netscape. "Este es realmente un asunto que involucra a toda la industria," dijo Nielsen.

Otras tecnologías con capacidades similares están en el horizonte. El riesgo se corre con la habilidad de obtener acceso al disco duro de un usuario de la Web desde una computadora remota. Java, que hasta ahora se ha protegido contra accesos a discos duros, está siendo alterada (por Micro$oft*) para hacer exactamente lo mismo.

Los que apoyan a Java dicen que están construyendo capas de seguridad extra para protegerla contra incursiones estilo ActiveX. Pero los expertos en seguridad dicen que cualquier tecnología de acceso a discos posee riesgos.

En cualquier caso, dijo McLain, "estaré ahí para mostrar" riesgos potenciales para los usuarios de computadores "de cualquier tecnología."

Hasta cierto punto, la preocupación está en los programas compactos y rápidos transmitidos por Internet llamados applets, los cuales necesitan acceso al disco duro de una computadora para trabajar. Los beneficios de usar applets son considerables, y muchos observadores creen que son la gran fase siguiente de avance para la Internet.

Estas pequeñas aplicaciones (little applications) - de ahí el término "applets" - pueden manejar cualquier cosa desde texto y números hasta juegos, animaciones, finanzas, consultas médicas y avisos de compras. Las compañías de software también pueden usarlos para suministrar un mejor servicio y dar soporte via telefónica sobre la Web.

El acceso al disco duro es también clave para la actual ola de nueva tecnología Web, llamada "push." Publicistas, vendedores y directores de sistemas de información corporativos esperan usar la tecnología push para "transmitir" automáticamente una variedad de aplicaciones y servicios por toda la Web a usuarios que han indicado intereses y necesidades específicas. El potencial comercial del push se estima en el rango de los miles de millones de dólares. Sin embargo, para que el push trabaje la puerta a su computadora tendrá que dejarse abierta. Y eso trae riesgos.

"Push es un problema de seguridad a punto de estallar," dijo Jonathan Littman, autor de un nuevo libro, "The Watchman: The Twisted Life and Crimes of Serial Hacker Kevin Poulsen" (El Guardián: La vida torcida y los crímenes del hacker en serie Kevin Poulsen). "Para el que diariamente alguien alcance y toque su computadora, crea la posibilidad obvia de que un malévolo hacker pueda ingresar en dicha interacción. O puede haber un accidente sólo por una mala programación (en push)."

No todos los problemas de seguridad están contenidos en la malicia, anotó Mark Estep, uno de los gerentes de la sección de manejo de riesgos computacionales de Arthur Andersen. "La gente habla de las exóticas incursiones de los hackers, pero la mayoría son de lejos más mundanas, donde alguien accidentalmente destruya un archivo o haga algo indebido," dijo. Estep ve un choque cultural al corazón de la ética del hacker.

Hablando en general, el ve a la gente que ejecuta redes de computadores y diseñan sus programas queriendo un ambiente abierto que posibilite un libre intercambio de archivos, programas e información. Los gerentes corporativos, sin embargo, se preocupan del robo o abuso de propiedad de información.

Los hackers pueden verse ejecutando una función de alarma para el público usuario, afirman sus defensores. "La seguridad siempre es más importante para las corporaciones y los consumidores que para las compañías que venden software," dijo Littman. "Los hackers le prestan un servicio al público. Puede que a la industria no les gusten, pero al final es para su beneficio."

El cofundador de Netscape Marc Andreessen recuerda cuando su navegador líder en el mercado fue víctima de los hackers. "Me alegra que los hackers se concentren en intentar romper nuestros productos," dijo. "Como resultado, los mejoramos."

La demostración de McLain y un programa ActiveX similar que publicó el pasado otoño en la Web llamado "Internet Exploder" lo ha metido en aguas calientes con un certificado de seguridad líder en la Web. "Exploder" tomó control de un PC remoto en la Web y apagó la computadora después de asegurarse de que ningún programa o datos fueran dañados. El esfuerzo le dio a McLain la distinción de ser la única persona en habérsele revocado su licencia en VeriSign, una compañía de Silicon Valley que autentica la identidad digital de la fuente de un programa.

Con VeriSign, los programadores - quienes pagan para ser certificados - deben prometer no "dañar, desapropiar o interferir" en las operaciones de una computadora. VeriSign hace un chequeo de seguridad, similar al que un banco debe hacer para dar un crédito, en cada persona u organización antes de emitir la certificación. El sistema trabaja notificándole al usuario que descarga (o baja) un programa del creador de dicho programa. Greg Smirin, gerente de mercadeo del grupo de productos de VeriSign, usa el ejemplo de IBM vs. "Ted's Software Shack." Si usted no conoce a Ted, "probablemente no va a querer bajar su software."

Los nuevos browsers en desarrollo por Micro$oft y Netscape revisarán la autenticación de VeriSign al bajar applets y les enviará a los usuarios una advertencia si no hay certificación. Si los mensajes de alerta son atendidos, dice Micro$oft, incidentes como la demostración de McLain no podrán suceder. "Decimos 'Practiquen el sexo seguro,' " dijo Cornelius Willis, gerente de grupo de productos de Micro$oft. "No acepten dulces de los extraños."**

Los que apoyan a McLain, notando que el conocido programador independiente ha escrito software para Boeing y otras firmas comerciales, dicen que él y los diseñadores de software comparten el logro de informar mejor al público acerca de los riesgos de seguridad. "Lo que Fred está haciendo es totalmente legítimo," dijo Ben Thorsteinson. "Sun, IBM (and) Micro$oft conocen a Fred, y saben que Fred sabe de qué está hablando."


Notas:
* Colocamos intencionalmente esta anotación... porque es cierta.
** Esta frase debería cambiarse por algo como "No acepten dulces de los extraños y de Micro$oft".

Observación: A Bill Gay y su compañía del demonio les duele tanto que los hayan descubierto, que ahora dan "pataletas de ahogado" los muy infelices.


En este Web Site
¿Por qué M$ Internet Explorer TIENE HUEVO?
¿Por qué M$ Internet Explorer TIENE HUEVO? II
Se hizo justicia: Sun vence a Micro$oft en los tribunales
¿Qué otros navegadores o browsers para Internet existen?
Micro$oft cree que somos estúpidos / Apple Vs. Micro$oft
Los usuarios reportan a CNet las fallas del M$IE
Cómo sabotear a M$IE
Microsoft Internet Sucks
La Primera Página Anti-Micro$oft en español
Más Vínculos


Miembro orgulloso de:
The International Anti-Micro$oft Network
[ Anterior ] [ Unirse ] [ Lista ] [ Al Azar ] [ Siguiente ] [ Próximos 5 ]
 
Esta página SÓLO se ve bien con: