cisco40 40x40f oracle40 oracle40 lgo4

Joxean Koret, el español que odian las compañías de antivirus

Joxean-Koret-celebracion-congreso-Rooted EDIIMA20160825 0221 18

Con cierta frecuencia, los 'hackers' descubren y sacan a la luz fallos y vulnerabilidades que descubren en los sistemas de antivirus.

En esta cruzada contra las grandes firmas de antivirus se encuentra Joxean Koret, un programador vasco que ha expuesto a las grandes marcas al publicar un compendio con algunos de sus fallos más graves y comprometidos. ' The Antivirus Hacker's Handbook', un libro escrito mano a mano con Elias Bachaalany, es también una guía que enseña a otros 'hackers' cómo detectar los puntos débiles de estos programas, precisamente los que deberían garantizar la protección de empresas y particulares.

Koret, que lleva ocho años trabajando como investigador en seguridad, comenzó a explorar el código de los antivirus cuando trabajaba en otro proyecto. Lo que encontró le dejó sin palabras: “Vi que era un pozo sin fondo de lo mal que estaba”, explica.

Tras un par de años estudiando, decidió revelar públicamente los vacíos de seguridad que había descubierto. Lo hizo en una conferencia en el congreso SyScan de 2014, en Singapur. Un año después, la editorial Wiley publicó su libro. “Decidí sacar los datos a la luz para que las empresas de seguridad cambiaran”, cuenta Koret.

El programador decidió no contactar con la mayoría de empresas a las que estaba criticando porque su intención, afirma, era que se esforzaran para corregir sus errores. Y eso solo podía conseguirlo si sacaba a la luz sus trapos sucios. “El libro no está hecho principalmente para atacar, aunque sí que se puede utilizar para ello", reconoce. "Mi idea es que lo puedan utilizar los trabajadores de las compañías de antivirus”.

Al margen de la intención de Koret, las empresas no se tomaron demasiado bien su publicación. Muchas de ellas le tacharon de irresponsable, algo que él niega. “La gente que hace 'malware' [programas maliciosos] se dedica a investigar antivirus como una parte integral de su trabajo. No es que haya publicado algo que no se utilizara ya”, señala. Más bien lo que ha hecho es forzar la máquina, haciendo público un secreto a voces, para meter presión a los que dicen velar por la seguridad de todos.

Lo cierto es que los expertos de seguridad llevan más de una década publicando los fallos de los antivirus. La diferencia, y el problema que los responsables de estos sistemas tienen con su libro, según cuenta el español, es que lo escribió sin haber colaborado previamente con las compañías. No lo hizo de la forma que se considera “responsable”.

Lo usual es que los 'hackers' que encuentran puntos débiles en un 'software' informen a los afectados y trabajen con ellos antes de hacerlos públicos. En opinión del informático, este procedimiento hace que las empresas se beneficien gratuitamente del trabajo de los demás y, sobre todo, que con el tiempo vuelva a suceder lo mismo. “Para el año siguiente, hay otras vulnerabilidades diferentes pero del mismo tipo”.

Koret se negó a seguir estos pasos y optó por procurar que su trabajo tuviera repercusión. “Cuando sale a luz y no les has dado ventana de tiempo, lo que haces es que salga en noticias y eso les crea una publicidad que no les resulta beneficiosa y que les fuerza a tener que cambiar las cosas”.

Uno de los pocos avances que la denuncia del 'hacker' forzó en la industria de los antivirus fue la adopción de los programas de recompensas conocidos como 'bug bounty'. Si hay uno en marcha, cuando el 'hacker' encuentra una vulnerabilidad en un producto e informa al vendedor, en este caso un firma de seguridad, la empresa le abona cierta cantidad de dinero a modo de gratificación. “En el momento en el que yo investigué, solo Avast tenía 'bug bounty', y yo dije que eso era una buena idea. Ahora hay un buen número de antivirus con el sistema”.

LA RESPUESTA DE LA INDUSTRIA

Koret acabó entre ceros y unos por casualidad. Estudiaba un curso de calderería que no le apasionaba demasiado y, para escabullirse de las clases, fingió que se lesionaba. Cuando le relegaron al aula de informática, su interés por los ordenadores creció, lo que le llevaría a costearse un curso de programación. A partir de entonces seguiría estudiando por su cuenta.

El programador vasco afirma que la publicación del libro no le ha supuesto consecuencias profesionales, pero sí alude a “tácticas un poco sucias” por parte de las empresas de antivirus. Algunas escribieron en sus blogs diciendo que lo publicado era mentira y otras llegaron a acusarle de ser un ciberdelincuente y trabajar en la industria del 'malware'. “Una empresa intentó decir que el estudio que yo había hecho venía a decir que todos los antivirus estaban mal menos el suyo, y que eso indicaba que tenía que comprar todo el mundo el suyo”, relata.

Sin embargo, la respuesta más habitual fue un muro de silencio y, sobre todo, caso omiso ante las advertencias difundidas. Pero aunque externamente hayan hecho oídos sordos, parece que internamente sí ha influido el mensaje del libro. Koret cuenta que su manual se utiliza regularmente dentro de las compañías, según le han comentado algunos compañeros. “El CEO de una empresa de antivirus me dijo que es uno de los libros que regularmente se da a los nuevos que entran”.

No es algo que vayan a reconocer fácilmente. “La mayor parte de empresas hace como que esto no existe porque para ellos es mala publicidad”, sentencia el programador.

Para corregir los problemas de seguridad de los antivirus, Koret apuesta por la adopción de un enfoque defensivo, es decir, que las empresas inviertan recursos para proteger sus propios programas: “Estoy todavía por ver un solo antivirus que tenga un medio de protección para sí mismo”.

Todo programa que se instala en un ordenador, móvil o tableta aumenta el riesgo de vulnerabilidades por el mero hecho de que se convierte en un punto más donde atacar. Lo mismo sucede con los antivirus, aunque sean los encargados de monitorizar buena parte de lo que sucede en un sistema. Si no se protegen a sí mismos, las posibilidades de penetrar en una red o un equipo que lo tenga instalado se incrementan.

Sin embargo, las compañías "se preocupan más de las campañas de 'marketing', que sí que ven que revierten, que de las cosas realmente técnicas”, se lamenta Koret. “No investigan porque cuesta dinero y destinan más dinero para 'marketing' que para tecnología defensiva”.

Así las cosas, y según el investigador, ¿es recomendable instalar un antivirus? Koret sí está de acuerdo con que una persona corriente, sin conocimientos de informática, se instale un programa de protección. Eso sí, siempre que procure no relajarse al navegar por internet y no caer en una falsa sensación de seguridad. “Si estamos hablando de otro tipo de 'target', como una empresa o un gobierno, realmente es más el peligro que crea”. En otras palabras, el remedio puede ser peor que la enfermedad.

10 términos claves para entender la Virtualización

virtua

A pesar de su definición exacta sigue siendo turbia, un centro de datos definido por software es algo por lo que los profesionales de TI están empezando a luchar. Al reducir el hardware físico en un centro de datos, a favor de tecnologías como las redes definidas por software y el almacenamiento definido por software, los equipos de TI pueden aumentar la automatización, eficiencia y obtener una serie de otros beneficios.

En un mundo donde la eficiencia importa en el centro de datos –en el uso de energía y el rendimiento de las aplicaciones– condensar todo en software y desplegarlo todo de una sola vez hace atractivo a un centro de datos definido por software (SDDC). Los equipos de TI pueden ofrecer servicios SDDC través de la virtualización y otros medios, pero deben hacerlo con cuidado, y los servicios deben ser considerados en las primeras etapas de la planificación del SDDC.

 Esta lista condensada de terminología de planificación para el SDDC ofrece una mirada introductoria a lo que puede esperar cuando su centro de datos esté listo para hacer la transición.

Redes definidas por software (SDN): Con la ayuda de la virtualización, SDN tiene por objeto limitar el número de pasos manuales necesarios para gestionar y solucionar problemas de redes, y proporciona a los administradores el control sobre la red desde una única plataforma. Junto con un controlador SDN, la red inteligente gestiona el flujo de tráfico y le dice a los switches dónde enviar los paquetes.

Automatización: La gestión de tareas automatizadas y la programación de recursos impulsa un SDDC. Para los administradores de TI, uno de sus objetivos primarios con un SDDC es automatizar el cómputo, almacenamiento, seguridad, redes y otros servicios de centro de datos a través de una única plataforma. Aparte de otros beneficios, la automatización permite a los administradores centrar su energía en otras áreas del centro de datos.

VMware ha hecho avances en la automatización de SDDC, y otras herramientas, como Puppet y Chef, pueden ayudar a automatizar la gestión de configuración.

Seguridad definida por software (SDS): Con la protección de datos todavía siendo una prioridad durante la planificación y adopción de SDDC, la detección de intrusos automatizada, la segmentación de red y otras capacidades hacen de SDS otro término integral. SDS permite a las empresas supervisar innumerables aspectos del centro de datos, y ayuda a asegurar que las políticas de seguridad se aplican de forma coherente. Para las organizaciones que adoptan SDN, y, finalmente, un SDDC completo, los modelos de seguridad basados ​​en software se ajustan mejor para ayudar a soportar y asegurar protocolos abiertos, como OpenFlow.

Virtualización de red: Para hacer la transición desde hardware de alta densidad durante las etapas de planificación de SDN y SDDC, la virtualización de la red es uno de los componentes principales. Optimizar la velocidad de la red, su fiabilidad y flexibilidad está a la vanguardia de la virtualización de la red, lo que permite a los administradores de red gestionar archivos, programas y otros componentes desde una ubicación.

Para implementar la virtualización de red en el centro de datos, considere las construcciones de Capa 2 o Capa 3 o las redes sobrepuestas para la transición del flujo de trabajo a un entorno virtual. Este despliegue debe ser una opción más barata y más rápida a largo plazo que una red tradicional de centro de datos.

Almacenamiento definido por software (SDS): SDS cambia el énfasis desde el hardware de almacenamiento tradicional hacia los servicios relacionados con el almacenamiento, y mueve características tales como la deduplicación y la replicación al software. La flexibilidad de SDS atrae a los administradores, y les permite controlar y automatizar los recursos de almacenamiento a través de programación y un sistema de gestión basado en políticas. Los administradores también ven un aumento en la eficiencia debido a la falta de un sistema de almacenamiento físico.

Virtualización del almacenamiento: La virtualización del almacenamiento es la tecnología que permite a los administradores acumular una gran cantidad de recursos de almacenamiento desde múltiples piezas de hardware, para su gestión desde una sola ubicación. Los administradores pueden administrar y realizar copias de seguridad, archivo y recuperación más rápidamente de lo que podían con el almacenamiento físico.

Virtualización de servidores: Las tecnologías de virtualización de servidores permiten a los administradores enmascarar los recursos del servidor de los usuarios, y dividir los servidores físicos en un centro de datos en entornos de servidor múltiples, llamados servidores privados virtuales. En la planificación de SDDC, la virtualización de servidores es un paso hacia la computación autónoma, ya que el entorno en su mayoría se maneja a sí mismo y necesita poca participación externa. Los posibles modelos de virtualización de servidores incluyen un modelo de máquina paravirtual, un modelo de máquina virtual o una capa de sistema operativo con la virtualización.

Interfaz de Programa de Aplicación (API): Una API es el código que permite que diferentes programas de software se comuniquen entre sí, después de que un desarrollador escribe un programa para solicitar servicios de un sistema operativo. Se puede añadir middleware, si las aplicaciones están escritas en diferentes lenguajes, extendiendo el alcance de la comunicación. En un SDDC, los administradores usan APIs para gestionar la computación, el almacenamiento, las redes y otros componentes.

Si te interesa capacitarte en virtualización con la tecnología de VMware, hacé click aquí

¿Cuántas líneas de código hay en las aplicaciones de uso diario?

codigos

 

¿Qué hay detrás de servicios, aplicaciones y dispositivos que utilizas cada día? Miles, millones, miles de millones de líneas de código.

Enciendes la computadora, ejecutas tu navegador preferido y abres muchas pestañas con webs, redes sociales y todo tipo de sitios que visitas a diario. Consultas el calendario para comprobar tus citas del día y, por supuesto, echas un vistazo al email.

Todas estas acciones son cotidianas y para la inmensa mayoría de los usuarios “lo que hay detrás” no importa, porque simplemente funciona y punto, de forma invisible. ¿Sabes de cuántas líneas de código se componen todos los servicios de Google? Más de 2.000 millones.

Rachel Potvin comentó durante una charla que Google y todos sus servicios (como son GMail, Maps, Calendar y cualquier otro que esté bajo el amparo de la gran G) forman un conjunto de más de 2.000 millones de líneas de código. Dos mil millones. Y todo se guarda en un mismo repositorio, aunque la compañía ha desarrollado su propio sistema para controlar las versiones (al que se conectan todos sus desarrolladores para introducir cambios).

Ahora bien, ¿2.000 millones de líneas de código es mucho?, ¿es poco?, ¿comparado con qué?

Para hacernos una idea, para el software del primer transbordador espacial se utilizaron 400.000 líneas de código, una simple aplicación/juego para iOS puede tener entre 20.000 y 40.000 líneas (dependiendo del caso, claro). Para poner en perspectiva qué suponen esas 2.000 millones de líneas de código de Google, podemos compararla con los números de sistemas operativos completos que todos conocemos:

  • Para Windows 3.1 (en 1992) se utilizaron algo más de 2 millones de líneas de código.
  • Todo Android son casi 12 millones de líneas de código.
  • Windows XP fueron unas 40 millones de líneas.
  • Windows 10 está en torno a los 80 millones de líneas de código.

Comparado con proyectos que se alejan de programas y software popular:

  • El software del Telescopio Espacial Hubble está compuesto por unas 2 millones de líneas.
  • Un dron militar del ejército de EEUU, 3.5 millones de líneas de código.
  • Un avión Boeing 787, 6.5 millones.
  • Todos los sistemas que componen el Gran Colisionador de Hadrones (Large Hadron Collider, LHC) son unas 50 millones de líneas.

En definitiva: sí, las 2.000 millones de líneas de código que dan forma a todos los servicios de Google es mucho. Desde Informationisbeautiful, David McCandless ha elaborado una genial infografía utilizando los datos de diversas fuentes oficiales y otros reportes. 

1276 Lines of code Sep2015 FB

Cursos disponibles
Inscribite hoy mismo!
CCNA 1 v7: Introduction to Networks
Inicia: 22/03/2025
Online | Regular
CCNA 3 v7: Enterprise Networking, Security and Automation
Inicia: 22/03/2025
Online | Regular
CCNA 2 v7: Routing, Switching and Wireless Essentials
Inicia: 25/03/2025
Online | Intensiva
Cybersecurity (Cisco Certified Support Technician)
Inicia: 25/03/2025
Online | Regular
CCNA 1 v7: Introduction to Networks
Inicia: 25/03/2025
Online | Intensiva
ver todas