Hoy no vamos a hablar estrictamente de seguridad. Vamos a hablar del fin de la era Unix.
¿De qué hablamos cuando nos referimos al "fin de la era Unix"? Con este término tan apocalíptico nos referimos a un problema similar al del año 2000, pero que sólo afecta a los ordenadores basados en sistemas Unix.
El problema del año 2000
Me explico: a finales del siglo XX, las mentes pensantes de la informática planetaria descubrieron que había un problema referente al cambio al año 2000 en los sistemas informáticos. Muchas fechas se guardaban internamente en los ordenadores usando sólo dos dígitos para la misma. Es decir, en lugar de almacenar 20/05/1978 (que sería lo correcto), se guardaba 20/05/78. El problema es que cuando se llegara al año 2000, el sistema informático almacenaría internamente 20/05/00, que sería interpretada a todos los efectos como 20/05/1900, en lugar de la fecha correcta.
Este problema fué resuelto en su momento con los más diversos métodos (las revistas de desarrollo de la época fueron pródigas en ofrecer soluciones).
Pasó el año 2000, el planeta no se fué al carajo como muchos pensaban y aquí seguimos. ¿Todos los problemas relativos a las fechas están resueltos? Mmmmm..... pues va a ser que no.
El problema de las fechas en Unix
Los sistemas Unix tienen una forma peculiar de contar el tiempo (ojo, que hay muchas aplicaciones que en la actualidad lo cuentan de esta manera y también están afectadas por esto).
Decía que tienen una forma peculiar de contar el tiempo. Internamente tienen un contador de segundos, correspondiendo el segundo cero a 01/01/1970 00.00.00.
Fácil. Eso quiere decir que cuando ese contador tiene el valor 3600, la fecha que mostraría el sistema sería el 01/01/1970 01.00.00. Cuando tenga el valor 604800 (=7x24x3600) corresponde a la fecha 07/01/1970 00.00.00.
El contador de segundos se guarda en una variable de 32 bits. Eso quiere decir que el número más alto que puede representarse es el 4.294.967.296. ¿a qué fecha equivale ese número? Pues al 05/02/2036 06:29:00.
¿Y qué pasará ese día? Pues que el contador volverá a 1970, con lo que constituye un problema muy similar al del año 2000: hay que cambiar aquellas aplicaciones, ficheros y bases de datos que guarden las fechas en ese formato, o adaptarlas. Los sistemas operativos deberán parchearse para adaptarlos, y probablemente los sistemas de ficheros (la tecnología usada para guardar los datos) también deberán hacerlo. Las consecuencias son importantes, y por lo tanto no deben obviarse.
Soluciones
Es muy posible que, a raíz del año 2000, muchos fabricantes de software ya hayan realizado los cambios oportunos. Posiblemente el contador de segundos se haya ampliado hasta los 64 bits, con lo que la fecha límite sería alguna fecha del año 292.471.210.648 (he tenido en cuenta que con este cambio probablemente incorporarían la posibilidad de registrar fechas anteriores a 1970).
Si tenemos en cuenta que algunas estimaciones de la edad del universo hablan de 13.700.000.000 de años, vemos que se podría representar con la exactitud de un segundo cualquier instante en la historia del universo. Creo que con eso estamos servidos al menos para una buena temporada...
viernes, marzo 31, 2006
viernes, marzo 24, 2006
Concienciación en Seguridad
Muchas veces, cuando en una conversación entre amigos o compañeros surge el tema de la seguridad en los ordenadores, surge inevitablemente la misma pregunta: ¿Porqué debo preocuparme por la seguridad?.
Quien hace esta pregunta normalmente la sustenta en el hecho de que nunca ha tenido ningún incidente de seguridad, afirma que su ordenador personal -o su portátil- no tiene contraseña de entrada y que en su oficina no tiene más protección que un antivirus, y que nunca le ha pasado nada.
Basta reflexionar un poco para darse cuenta que estas afirmaciones esconden en realidad un desprecio a los riesgos que las nuevas tecnologías nos deparan. A mí nunca me han robado dinero, pero por si acaso lo guardo en un banco. Tampoco me han robado la cartera, pero por si acaso no guardo el PIN de la tarjeta al lado de la misma. La puerta de la casa la cierro con llave cuando me voy, y lo mismo hago con el coche cuando lo dejo aparcado. Y creo que igual que yo lo hace muchísima gente, sin darle la mayor importancia. Es más, nos sorprendemos cuando alguien no lo hace.
Entonces, ¿porqué somos cuidadosos con la seguridad de las cosas "reales" y no lo somos con los ordenadores?? El motivo, a mi entender, es que no hay un conocimiento claro de los riesgos.
A veces pensamos que se trata sólo de un ordenador, que no tiene nada importante. Incluso en ese caso hay que tomar precauciones. Muchas personas en la actualidad usan sus ordenadores para descargar contenidos de internet. Estos ordenadores se quedan encendidos permanentemente, expuestos a todo tipo de ataques desde Internet.
Imagine que usted es una de esas personas, y un buen día la policía se presenta en su casa, y registra su ordenador personal. Además de su correo, encuentran algo escalofriante: fotos de niños desnudos que "alguien" ha dejado en su ordenador aprovechando que estaba poco protegido. De momento tendría que dar bastantes explicaciones a los agentes de la ley...
Actualmente los delincuentes informáticos han fabricado herramientas que, una vez ejecutadas en el ordenador de la víctima -usted o yo, cualquiera que tenga un ordenador-, éste pasa estar a las órdenes del delincuente. Es decir, que será su ordenador personal -o el mío, o cualquiera- el que esté realizando un delito informático, y no el verdadero culpable.
En definitiva: al igual que en la vida real, no se trata de hacer nuestra casa un búnker, pero tampoco la casa de "tócame roque". Identificar las amenazas a nuestra seguridad informática, tomar medidas al respecto y nunca, nunca pensar que internet es un sitio seguro. ¿O acaso el mundo real lo es?
Quien hace esta pregunta normalmente la sustenta en el hecho de que nunca ha tenido ningún incidente de seguridad, afirma que su ordenador personal -o su portátil- no tiene contraseña de entrada y que en su oficina no tiene más protección que un antivirus, y que nunca le ha pasado nada.
Basta reflexionar un poco para darse cuenta que estas afirmaciones esconden en realidad un desprecio a los riesgos que las nuevas tecnologías nos deparan. A mí nunca me han robado dinero, pero por si acaso lo guardo en un banco. Tampoco me han robado la cartera, pero por si acaso no guardo el PIN de la tarjeta al lado de la misma. La puerta de la casa la cierro con llave cuando me voy, y lo mismo hago con el coche cuando lo dejo aparcado. Y creo que igual que yo lo hace muchísima gente, sin darle la mayor importancia. Es más, nos sorprendemos cuando alguien no lo hace.
Entonces, ¿porqué somos cuidadosos con la seguridad de las cosas "reales" y no lo somos con los ordenadores?? El motivo, a mi entender, es que no hay un conocimiento claro de los riesgos.
A veces pensamos que se trata sólo de un ordenador, que no tiene nada importante. Incluso en ese caso hay que tomar precauciones. Muchas personas en la actualidad usan sus ordenadores para descargar contenidos de internet. Estos ordenadores se quedan encendidos permanentemente, expuestos a todo tipo de ataques desde Internet.
Imagine que usted es una de esas personas, y un buen día la policía se presenta en su casa, y registra su ordenador personal. Además de su correo, encuentran algo escalofriante: fotos de niños desnudos que "alguien" ha dejado en su ordenador aprovechando que estaba poco protegido. De momento tendría que dar bastantes explicaciones a los agentes de la ley...
Actualmente los delincuentes informáticos han fabricado herramientas que, una vez ejecutadas en el ordenador de la víctima -usted o yo, cualquiera que tenga un ordenador-, éste pasa estar a las órdenes del delincuente. Es decir, que será su ordenador personal -o el mío, o cualquiera- el que esté realizando un delito informático, y no el verdadero culpable.
En definitiva: al igual que en la vida real, no se trata de hacer nuestra casa un búnker, pero tampoco la casa de "tócame roque". Identificar las amenazas a nuestra seguridad informática, tomar medidas al respecto y nunca, nunca pensar que internet es un sitio seguro. ¿O acaso el mundo real lo es?
viernes, marzo 17, 2006
El Phising
Esta semana haremos hincapié en un tema que, no por ser conocido, deja de ser una amenaza para nuestra seguridad: el phising.
Con este anglicismo de difícil traducción definimos un tipo de fraude electrónico que ríase usted de la estampita aquella.
Consiste básicamente en que la víctima recibe un correo electrónico de su banco (aparentemente) donde se le pide que se conecte al mismo con cualquier excusa: un cargo anormalmente alto, un premio que le ha tocado, un problema técnico que se quiere resolver...
Bueno, el caso es que se le solicita que hagamos "click" en en el enlace que se adjunta en el mensaje de correo. Al hacer "click", accedemos a la dirección del banco (aparentemente), introducimos nuestro usuario y contraseña y en la página web aparece un mensaje de error. Bueno, lo habremos escrito mal. Volvemos a intentarlo y ahora sí que funciona: accedemos al banco con normalidad.
Al cabo de unos días el amigo de lo ajeno nos habrá robado del banco todo nuestro dinero, transfiriendolo a una cuenta de su propiedad, probablemente en un paraíso fiscal.
¿Cómo lo ha hecho? Pues muy fácil: el correo el banco era una falsificación, el sitio web al que accedimos la primera vez también, y lo que hicimos fué facilitar el usuario y la contraseña al timador, que la utilizó para conectarse al banco verdadero y robarnos nuestro dinero.
¿Qué podemos hacer para evitarlo? Hay que seguir unas reglas básicas:
Las autoridades informan que esta técnica está actualmente muy en boga, así que es mejor tomar precauciones.
Con este anglicismo de difícil traducción definimos un tipo de fraude electrónico que ríase usted de la estampita aquella.
Consiste básicamente en que la víctima recibe un correo electrónico de su banco (aparentemente) donde se le pide que se conecte al mismo con cualquier excusa: un cargo anormalmente alto, un premio que le ha tocado, un problema técnico que se quiere resolver...
Bueno, el caso es que se le solicita que hagamos "click" en en el enlace que se adjunta en el mensaje de correo. Al hacer "click", accedemos a la dirección del banco (aparentemente), introducimos nuestro usuario y contraseña y en la página web aparece un mensaje de error. Bueno, lo habremos escrito mal. Volvemos a intentarlo y ahora sí que funciona: accedemos al banco con normalidad.
Al cabo de unos días el amigo de lo ajeno nos habrá robado del banco todo nuestro dinero, transfiriendolo a una cuenta de su propiedad, probablemente en un paraíso fiscal.
¿Cómo lo ha hecho? Pues muy fácil: el correo el banco era una falsificación, el sitio web al que accedimos la primera vez también, y lo que hicimos fué facilitar el usuario y la contraseña al timador, que la utilizó para conectarse al banco verdadero y robarnos nuestro dinero.
¿Qué podemos hacer para evitarlo? Hay que seguir unas reglas básicas:
- Nunca se fie de un correo electrónico: es muy fácil falsificarlos, especialmente los que recibimos en nuestro domicilio. Así que como regla general, cuando se nos comunique un asunto de trascendencia, intentaremos confirmarlo por otras fuentes.
- Si ha de acceder a su banco, acceda directamente desde el navegador: o bien tecleando directamente la dirección del banco en la barra de direcciones del navegador, o bien a traves de un enlace de nuestros "Favoritos", pero nunca haciendo click en enlaces situados en mensajes de correo.
- Si alguien le pide, por cualquier medio, que revele su contraseña de acceso al banco, probablemente se trata de un impostor. Los bancos nunca hacen eso, ya que su personal está autorizado a manipular nuestras cuentas si es necesario. No necesitan nuestra contraseña para operar.
Las autoridades informan que esta técnica está actualmente muy en boga, así que es mejor tomar precauciones.
Suscribirse a:
Comentarios (Atom)