Barrapunto

Veamos... qué requiere más conocimientos de informática? Hacer una contribución interesante a un sistema open-source como Linux o FreeBSD (hay infinidad de cosas por hacer, sobre todo en el terreno de interfaces de usuario) o hacer un virusillo para un sistema operativo con unas medidas de seguridad peores que las de un ZX Spectrum?

Efectivamente, para describrir nuevos problemas de seguridad (cuando digo nuevos, me refiero a originales hace falta saber de diseño de sistemas operativos, programación, alimentarse de vaca paranoica... Pero no para ser un script-kiddie o un autor de virus dirigidos a programas de correo o procesadores de texto que incorporan un intérprete de un lenguaje de programación!!

Me da mucha rabia ver cómo los medios dan cancha a este tipo de gente, que en cuanto aprende dos cositas malgasta su tiempo convirtiéndose en lo que los periódicos calificarán de "genio" en lugar de hacer algo realmente útil para ellos, y, por qué no, para los demás.

Y como éramos pocos, parió la abuela. A una empresa se le ocurrió decir que iba a contratar al autor de un virus, y consiguio salir en los "papeles" casi en primera página.

De locos...

En fin, si a alguien que lea esto se le pasa por la cabeza hacer un virus, seguro que le puedo dar alguna idea (si me lo permite) para que no sólo aprenda algo interesante de verdad, sino que más de uno se lo agradezca.

Eso cuando no se limitan a pedir copias y números de serie al amigo que tienen en una empresa sobre los programas que éste utiliza y luego presumen de haber conseguido rompiendo el código de una forma que no puede divulgar.

El mayor problema para mí es que, como le comenté a un supuesto experto que daba una conferencia, es indignante que en lugares en los que sólo puedes entrar si tienes una visita confirmada (visita que es difícil de conseguir) dónde te hacen pasar 20 controles, comprueban tu identidad 50 veces y todo paquete que lleves te lo filtran por 50 scáners, no se filtre de forma automática todo mensaje que llegue por ordenador, y luego alguien reciba un mensaje con "I love you" procedente, tal vez, de una embajada o de una empresa, y lo habrá sin sospechar.

Eso, sin entrar en que se utilicen sistemas operativos y aplicaciones famosas por su falta total de seguridad y en la responsabilidad de los diseñadores de este software que una y otra vez es atacado por la misma vulnerabilidad que la empresa diseñadora se niega a corregir. Posiblemente porque tendría que diseñar sistemas nuevos.

Me gustaría saber que harían las asociaciones de consumidores si un modelo de coche se rompiera frecuentemente siempre por el mismo sitio y por qué nadie actúa en el abuso de cierta empresa de informática.

Como se dice en mi pueblo: "¡En tóh laoh cuecen jabas!"

Una de las últimas actualizaciones, por ejemplo, era tan genial que para evitar que te mandasen virus con el vbs, sencillamente te impedía aceptar cualquier mensaje con un archivo anexo .exe, .vbs o cualquier otra extensión ejecutable.

Con soluciones tan geniales que directamente impidan el acceso del IE a internet y todos los problemas resueltos.

Pero en windows con un sencillo script puedes pedir cuáles son los agentes de correo instalados en el sistema, solicitar el servicio de agenda direcciones de correo de ese agente, crear fácilmente un mensaje de email para cada dirección de correo con el texto que quieras y enviarlo. ¿Es eso un fallo de seguridad? No, es la potencia del estandar de comunicación entre aplicaciones de Microsoft.

¿Y no te parece que es un fallo de diseño que cualquier programa pueda, sin permiso explícito, hacer lo que le de la gana con material supuestamente confidencial, así como con el disco duro, registro, etc?. ¿Que no exista una forma dentro del sistema para ocultar cierta información o ciertas áreas al resto de programas?

Aunque en linux tuviese un gusano jodi****, el sistema todavía me pediría la clave de root para conectarme a internet. Y si esas comunicaciones funcionasen tan bien me indicaría que programa es el que solicita el acceso a internet, y qué programa llama a este programa... y puestos a pedir hasta tendría un registro que se pudiese entender.

¿No es ético programar virius? Para mi siempre existirán dos clases de creadores de virus los que crean virus para APRENDER y los que los crean para FASTIDIAR. En el primer grupo es donde encajan los "primeros" creadores de virus que utilizaban sus conocimientos de programación a nivel de Sistema operativo y código máquina para crear verdaderas obras maestras en INTELIGENCIA ARTIFICIAL. Estos programas utilizan las características de los sistemas donde se alojan y reproducen para hacer precisamente eso, lo que todo organismo vivo hace, intentar sobrevivir. Ahora bien, como en los virus biologicos los informaticos también tienen variantes malignas, estas son creadas por el segundo grupo de creadores de virus, normalmente esta gente no tiene los principios éticos ni comparten la filosofía de los creadores de virus que solo intentan APRENDER.

Ocurre que muchos de estos creadores de virus malignos (algo así como los 'Crackers' que cambian las páginas de inicio de las páginas webs inseguras, mal llamados 'Hackers') utilizan los conocimientos que aprenden de los BUENOS creadores de virus para crear réplicas malignas, estas personas son las que les dan mala fama a los creadores de virus, estas y la prensa, a esa que se le presupone siempre en posesión de la verdad y que en demasiadas ocasiones se deja llevar por titulares sensacionalistas antes que hacer su trabajo, que no es otro que investigar las noticias, comprobar su veracidad y ver quien realmente es el culpable. No un chaval que quiere aprender, sino la multinacional que deja su sistema "abierto".

¿Por que entonces tienen tan mala fama? Siempre la palabra Hacker ha sido sinonimo de MALO, y la de creador de virus más todavía (!). Los creadores de virus alertan de los fallos de seguridad que tienen los SO de Microsoft así como de muchísimos programas como Outlook, uno de los programas mas inseguros y que mas perdidas ha causado en toda la historia de la informatica. Recordemos EL programa ha causado las pérdidas no los virus. Sin esos fallos los virus no existirían ya que el SO debería de echarlos, no ayudar al virus a propagarse. ¿Por que no se le echa la culpa a M$ y sus productos? Muy sencillo, es mucho mas facil hacer ver a la población que ese 'energumeno con el pelo largo y barba de 6 días que se pasa el día frente al ordenador' es el causante de la pérdida de millones de dolares que decir que 'A causa de un fallo de seguridad de un producto de M$ empresas y usuarios de todo el mundo se han visto afectados por un virus causando pérididas por valor superior a .... '

Al igual que a los hackers a la población de creadores de virus se le persigue ferozmente por parte de la policía de todos los países, sitios como Sock4ever o mas recientemente Coderz.net han dejado de ofrecer hosting gratuito a comunidades de creadores de virus devido a presiones de la justicia. En japón por ejemplo está penado con la carcel el simple echo de crear un virus (!), recordemos: Programa de inteligencia artificial que tiene capacidad de replicación y que aprovecha las vulnerabilidades del sistema para sobrevivir.

Esto es una visión un tanto personal y romántica de los virus, pero creo que los medios de comunicación y su ignorancia en estos aspectos han creado el mito y han comparado a unos chavales que lo único que pretenden es APRENDER con verdaderos CRIMINALES.

(Nota: este artículo lo escribí hace algún tiempo, lo he retocado un poco, pero aún así puede estar algo desfasado).

Pues efectivamente, decir que tienen inteligencia artificial es *aventurado*. Pero en cualquier caso, la creación de un virus como un sistema que se autorreplica aprovechando agujeros de un SO me parece algo bastante interesante; eso sí, para hacer esto no el virus no tiene por qué hacer nada "malo", y de hecho hay muchos virus por ahí que no hacen nada más que replicarse (sin sobrecargar en exceso ni el sistema ni la red), y muchos más que están en el ordenador de quien lo creo...

Incluso esta gente, la que crea virus por el mero placer de hacerlo (crear programa autorreplicantes), suelen enviar una copia a cada marca de antivirus antes de que se pueda desmadrar. Pero claro, estos son los que no salen en la foto...

Aaaaaaaaaaaaaagur.

que disponer de medidas de seguridad suficientes para impedir un problema

¿Como bind o wuftpd o Netscape o sendmail o imapd?. ¿Crees que los problemas de seguridad son exclusivo de Windows?. ¿30 años ignorados?. Merece la pena mirar un rato las listas de seguridad, y ver como los php siguen ignorando, siguen saliendo buffer overflow, siguen saliendo los fallos de siempre.

Hasta que salio el artículo en la Phrack Magazine de Aleph1 sobre buffer overflow nadie se había molestado en esos 30 años de seguridad que hablas.

• Los virus no usan ninguna técnica de lo que se conoce como inteligencia artificial. Son programas completamente convencionales en ese aspecto.
• Sobre lo de aprender, me parece que es como decir que diseñando ganzúas se aprende cerrajería. Pues sí, se aprende, pero creo que hay otros métodos menos dañinos y más efectivos como un buen libro. Si lo que quieres es aprender, lee.
• Todos los virus son dañinos por naturaleza, se reproducen infectando programas, con lo que ocupan espacio y ancho de banda, ademas pueden hacer que ciertos programas especialmente sensibles dejen de funcionar. No me vale que algunos virus no tengan efectos dañinos directos (borrar archivos,p. ej), el simple hecho de tener que usar un antivirus ya es una molestia importante.
• Los creadores de virus no se dedican a alertar de los fallos de seguridad de los SSOO, sino que se aprovechan de ellos, que no es ni parecido.
• Que un SSOO tenga mala seguridad no te da derecho a usarla para introducirte en el sistema. Es como si un ladrón se mete en tu casa y dice que el culpable es el arquitecto de la casa por no hacerla más segura y que él no iba a robar nada, sólo a mirar. Efectivamente el arquitecto podría haber diseñado una casa con control de identidad mediante huellas digitales, perros guardianes asesinos y alarmas por infrarojos, pero eso no te da derecho a entrar en la casa, independientemente de lo que hagas una vez dentro.
• La palabra Hacker ha sido prostituida hace tiempo y su significado original no tiene nada que ver con programar virus, cosa que no es nada difícil. No, no lo es, ni en ensamblador ni en macros de word ni en fortran'77 (bueno, esto tal vez sí ;-). Alan Cox es un hacker, Kevin Mitnick es un ladrón.

Tienes toda la razón, elimina el cat, el sed, el perl, el awk, el bash, el mail y el rm de tu sistema operativo porque puedes hacer un script que sin permiso explícito te borre todos tus archivos de usuario, te edite tus configuraciones personales, te cree emails y los almacene en tu outbox....

¿Que no exista una forma dentro del sistema para ocultar cierta información o ciertas áreas al resto de programas?

No si es un sistema operativo monousuario. Si quieres un sistema operativo multiusuario, usa NT o W2K. ¿Acaso tienes en linux una forma de ocultar a los programas que *tú* estás ejecutando que accedan a los ficheros creados por *ti*?

Aunque en linux tuviese un gusano jodi****, el sistema todavía me pediría la clave de root para conectarme a internet.

¿Ah, sí?, vaya, tú no has descubierto la gestión de grupos de usuarios de Unix? ¿no sabes qué es el grupo diald o dip? (según distribución).

Tienes razón, pobrecito, el comando rm no debería exisistir, te aconsejo que lo elimines de tu ordenador, usando el rm ,claro, y luego inicies una cruzada personal para advertir a la gente de la maldad e dicho comando ¡¡¡todos contra el rm!!!!

Acerca de si un creador de virus es un criminal, bueno, ¿Que pasa con aquellos desarrolladores de virus que crean el virus y publican su codigo fuente, sin propagar el virus? ¿Son culpables por publicar los bocetos de "armas en potencia"? A mi forma de entender no, aunque si podrian serlo los que lo distribuyen.

Esto forma parte del eterno dilema entre considerar el software como un producto fabricado o como una mera obra intelectual, y cuanto mas pienso en el tema mas confuso estoy.

Para mi la existencia de virus es inevitable, y de su presencia no se puede culpar a los creadores de los mismos (bueno, si se puede, pero lo que si es cierto es que no se puede impedir la creacion de nuevos virus). Por mucho esfuerzo que se haga en impedir el desarrollo y la transmision de virus nunca se podran eliminar bajo los paradigmas actuales (programas de correo, sistemas operativos, o por ejemplo el hecho de que sea mas comodo abrir un autoextraible-ejecutable que un fichero .zip, etc). Tal y como estan las cosas, para mi son como una "carga divina", como ya se ha dicho.

Acerca del merito que tiene la creacion de virus me parece una tarea de una dificultad admirable, aunque el 99% de los virus nuevos que aparecen son simples plagios de otros existentes. En españa tenemos grupos como los 29A, etc, que han sido (y son?) unos de los mejores a nivel global. Como dijo uno de ellos: "Crear un virus genial e innovador es una tarea que puede llevar meses. Convertirlo en un virus destructivo es algo que se puede hacer en 5 minutos". Espero que ellos se ahorren esos 5 minutos.

Y acerca de la inteligencia artificial, bueno, la semana pasada me examine de una asignatura de 4 de informatica llamada Inteligencia Artificial, y, la verdad, no he visto muchos elementos que se puedan calificar de i.a. en el sentido que siempre hemos imaginado, mas bien hemos estudiado algoritmos sencillos . Hemos visto algoritmos geneticos (una variante sencilla son los virus polimorficos de codigo automutable), teoria de agentes moviles(alguna relacion con los virus de plugins descargables?), etc. De esto se puede deducir:

- ¿que el temario no se actualiza desde 1970?

- ¿que el nivel docente se mantiene bajo minimos? Esa es otra historia...

- ¿que tendria que haber estudiado mas? XD

- que la llamada inteligencia artificial es un concepto mas amplio de lo que normalmente se piensa.

Conclusiones mias: - ¿Tiene Albert Einstein la culpa de que E=mc^2 sirva para hace la bomba H? No si ese no era el fin de su investigacion.

- ¿Tiene un fabricante de armas la culpa de diseñar y fabricar armas mas poderosas y mortiferas? Si, ambas culpas. Sin embargo la demanda de armas "mas poderosas y mortiferas" es algo que por ahora no va a desaparecer. Su accion, no es considerada como delito, no?.

- ¿ Y el tio americano, padre de familia, que se dedica a vender libros con instrucciones para fabricar armas en uso como: gas mostaza, bombas, etc., asegurando que "es para hacer presion sobre los senadores que aprueban el uso de esas armas. Asi saben que lo que aprueban esta en la calle y cualquier loco puede usarlo."?. Me parece algo descabellado. Sin embargo, ¿no es cierto, que cualquiera puede tener acceso a esa informacion si sabe buscarla? En ese caso, la informacion existe pero el solo la acerca a las masas (que miedo!).

- ¿Tiene un programador de virus la culpa de diseñar armas? Si, pero mero hecho de programar un virus, en si, no creo que deba ser considerado un delito, yo creo que forma parte de sus libertades de pensamiento y expresion. En realidad todo depende de la intencionalidad con que se hace el virus, y, generalmente la mera creacion de un virus no tiene intencion de hacer daño.

- ¿ Y un niñato que esparce un virus con fotos de kournikova jugando al tenis? Pos tiene culpa si, pero ¿ debe su castigo ser proporcional al daño causado (numero de ordenadores afectados) o debe ser castigado como el pobre que hizo un virus con fotos de Azna

En mi opinión el creador de virus BENINGOS es aquel que después de crearlo lo envía a la empresa antivirus y publica su código fuente.

Esta persona está AYUDANDO a que se "corte" la posibilidad de hacer un virus con un payload maligno. De eso se encargan las empresas antivirus, gracias a su código fuente pueden ampliar la heurística de sus motores.

Sin la figura del creador de virus BENIGNOS (insisto en que yo creo en esa figura) los virus podrían llegar a ser mucho mas destructivos ya que los fallos de seguridad serían más fáciles de explotar. De este modo se cierran muchos de estos fallos y no es sino gacias a estas personas. A las que cada vez se les persigue más y se trata como verdaderos criminales.

Lo que quiero trasmitir es que no todos los creadores de virus son criminales. Pienso que tenemos mucho que agradecerles, aunque solo sea su labor de investigación.

Como decía en mi anterior post creo que es mucho mas maligno un spam de PowerPoint que un triste virus que se replica sin a penas consumir recursos ni ancho de banda. ¿No es el creador de ese spam un criminal? ;-)

Ejemplo: el virus Melissa , que segun el CERT "This virus can not send mail on systems running MacOS; however, the virus can be stored on MacOS." No funcionaba en MacOS aún con el Outlook de Microsoft, ¿Fallo de Windows?¿O de MacOS?.

Bien, creo que un usuario tendría que dar unos cuantos pasos mas que un doble click para que un Kournikova para Linux se propagase o incluso para que que sin permiso explícito le borre todos sus archivos de usuario, le edite sus configuraciones personales, le cree emails y los almacene en su outbox...

Por cierto, ¿Para quitar mi usuario del grupo de acceso al interfaz PPP en Windows 95?¿Y los permisos de escritura mis archivos?, ¿en que HOWTO me lo puedo leer?.

Parece que aún no os habéis enterado de cómo funcionan estos virus. NO es outlook el que los ejecuta, estos virus se ejecutan previa petición del usuario mediante el Windows Scripting Host, que es el sistema de shell script nativo de windows, de igual manera que se ejecuta un .exe o un .bat cuando haces doble click desde el explorer. Outlook no hace más que acceder a los recursos que le facilita el Windows Shell para solicitar cuál es la aplicación asociada a este archivo y ejecutar el archivo con dicha aplicación.

Desde ese sistema de scripting, cualquier script tiene acceso a los objetos que expone cualquier servidor COM, he ahí la gran potencia de comunicación entre aplicaciones de windows. En este caso, lo que hacen los scripts es crear una instancia de outlook (o bien acceder a la instancia que ya está abierta, según esté programado el script) y hacer las mil perrerías con ella, pero podrían acceder a cualquier otra aplicación que exponga sus objetos COM (el Visual Studio, el Internet Explorer, etc), al igual que si ejecutas un exe, podrá hacer las mil perrerías que sea con tu ordenador.

Por lo tanto, al carecer Mac OS de WSH, es evidente que no se van a ejecutar estos virus: es como si te mando un script en perl e intentas ejecutarlo sin tener instalado el perl, obviamente no se ejecutará, pero no porque tu sistema sea más o menos seguro, sino porque tú no tienes instalado el perl.

Insisto, en que si me envias un script con un rm -rf ~/ para ejecutarlo primero tengo que darle permiso de ejecución.

En windows con un doble click me cepillo el sistema.

¿Aún insistes en que no es un fallo de seguridad de windows?.
Quizás no fallo sino falta.