¿ Quieres imprimir esta página ? Volver a la página principal de Recursos iSeries AS400 ¿ Necesitas ayuda ? En pruebas
System i5 iSeries AS400 Recursos. Compartiendo generamos conocimiento
Novedades en Recursos iSeries AS400
Noticias tecnológicas
Documentos
Seguridad en plataformas JAVA y .NET


Las plataformas Java, de SUN Microsystems y .NET de Microsoft no son más que unos lenguajes de programación basados en la potencia de las redes y en la idea de que el mismo software debe funcionar en varias plataformas. Los dos sistemas se fundamentan en la principio de ejecutar software que no esté en la máquina cliente y proporcionar así mayores funcionalidades o aumentar la velocidad de ejecución, ahorrando tiempo de conexión y mejorando la percepción del servidor al que se conecta la máquina cliente.

Cualquier tipo de código de un programa puede ser portador de elementos maliciosos, ya sean virus, troyanos, etc. Para evitarlo se siguen determinadas estrategias que, en principio, parecen útiles. En el caso de Java, sus instrucciones se ejecutan dentro de "sandboxes" que evitan injerencias ajenas en el sistema. Así, por ejemplo, un applet Java no puede leer, escribir, borrar o renombrar archivos del sistema de ficheros del cliente, cargar bibliotecas de funciones, crear gestores de seguridad ni especificar cualquier función de control de red, entre otras. En principio, con las limitaciones que se imponen a los applet Java, cualquier ordenador cliente de un servicio Java debería estar seguro.

Sin embargo, la plataforma Java no es tan perfecta como podríamos suponer. Un hacker que sepa un poco de programación o del formato de los ficheros Java o de algunas de sus variables podría fácilmente introducir, borrar o modificar contenidos dentro de los applets Java y saltarse los mecanismos de seguridad que conforman el "sandbox". Evidentemente, en cada nueva versión del navegador que utilicemos va un nuevo soporte Java más fiable y seguro, pero no siempre podremos estar 100% seguros.

Como respuesta al sistema Java, Microsoft desarrolló un sistema para poder ejecutar código en las máquinas clientes de una manera efectiva. Este sistema, llamado ActiveX, es muy similar a Java en cuanto a sus objetivos, si bien su seguridad es menor. El que un control ActiveX pueda hacer una cosa u otra depende, ya no de un sistema preestablecido de seguridad del tipo "sandbox", sino de la aceptación por parte del usuario de la ejecución o no del control descargado. Dejar en manos del usuario la seguridad de una conexión a un servidor no suele ser lo más idóneo...

El siguiente paso de Microsoft ha sido el desarrollo de la plataforma .NET. Este sistema se basa en código precompilado, que se adapta en el momento de la conexión al sistema que lo solicita y se ejecuta en el servidor. De esta manera, las máquinas que se conectan al servidor no tienen que ejecutar ni descargar código. Al contrario que en Java o ActiveX, el código se ejecuta en la máquina servidora, no en la cliente. Aunque esto supone un avance en términos de seguridad, también nos podemos encontrar con problemas, tal y como demostró en su día el virus W32/Donut. Este código malicioso no fue más que un ensayo de laboratorio pero demuestra que Microsoft ".NET" es susceptible de ser infectado por virus.

Este contexto confirma que nunca puede garantizarse la seguridad de las nuevas plataformas. Con cada nuevo sistema operativo, con cada nueva aplicación, con cada nuevo avance en las plataformas siempre podrá encontrarse un "agujero" por el cual se podrán efectuar ataques en los sistemas de los usuarios finales.

Las casas desarrolladoras son conscientes de que la posible falta de seguridad es un hecho, y de que se está luchando contra personas cuyo objetivo no es otro que derrumbar cualquier sistema de seguridad que pueda ponérseles delante, por el mero afán de destruir por destruir. Los departamentos de control de calidad son los más activos en las empresas de software, y siempre están poniéndose en el lugar de los que quieren destruir en vez de crear.

El problema mayor surge no ya cuando se descubre un agujero o cuando se crea un nuevo virus, sino en la capacidad de los usuarios para aplicar las soluciones aportadas por los fabricantes. No todas las empresas disponen de un departamento de informática que esté siempre pendiente de cada actualización de software que aparezca. Además, generalmente, cuando se dispone del departamento correspondiente otras tareas más urgentes no dejan tiempo para lo más importante.

El problema está ahí, y no va a solucionarse por volverle la espalda. Cerca de nosotros tenemos un buen número de empresas que se dedican a investigar la seguridad de los sistemas y a ofrecernos soluciones "llave en mano". Si nuestro negocio no puede pararse, nuestros sistemas no pueden pararse, y menos por un fallo en la seguridad. Lo mejor es que confiemos esos aspectos a empresas de profesionales que estén siempre al tanto de nuestras necesidades. Si nuestro antivirus está en manos de expertos que lo actualizan a diario sin que nosotros tengamos que estar pendientes de ello, ¿por qué no hacer lo mismo con el control de los sistemas de seguridad?

Si contamos con esos servicios, un problema en plataformas críticas no pasará de ser más que una mera anécdota.

Fernando de la Cuadra
Editor Técnico Internacional
Panda Software (http://www.pandasoftware.com)
E-mail: Fdelacuadra@pandasoftware.com

Marzo 2003

Comentarios de usuarios

Nombre:
Mail:
Comentario:
 

Subir a la parte superior de la web

 

 

NUESTRA COMUNIDAD EN
ÚNETE Y.... ¡¡ PARTICIPA !!
Dossiers técnicos iSeries y AS400
- Seguridad
- Alta disponibilidad.
Nuestros links favoritos
- Tendencias tecnologías de la información
Expertos en tecnologías de la información, nos dan su punto de vista sobre las tendencias actuales y futuras
- Los últimos anuncios sobre hardware-software para iSeries AS400 realizados por IBM
- Freeware y shareware para el iSeries AS400
- Utilidades para el iSeries AS400 realizadas por profesionales
- Documentos. Trucos e ideas para resolver tus problemas
- Los manuales y links más interesantes del iSeries AS400

  Links patrocinados
  •  
  •  

[ Soy nuevo |   Profesionales |   AS qué |   Empresas |    Foros |   Recomiéndanos |    Productos ]
 
Recursos iSeries AS400. Es una web de: PUBLICACIONES HELP400, S.L. CIF:B-60-202827 Gran Vía de les Corts Catalanes, núm. 715, Entresuelo – 3ª - Barcelona - Tel.+34.932.310.049