navegaseguro

Hace mucho que no aparecen noticias sobre facturas telefónicas de importe desorbitado a causa de la conexión a Internet. Hubo un tiempo, no hace tanto, que no había semana que no apereciera al menos una noticia de este tipo en los telediarios y/o la prensa. Ahora parece que ya no es noticia, lo que no significa que haya dejado de ocurrir.

Los dialers, que son los programas que hacen posible que nuestro ordenador llame a teléfonos de tarificación especial sin nuestro conocimiento o permiso, vuelven a estar de actualidad gracias a una nota de prensa de Panda Software. Esta empresa antivirus ha decidido incluir los dialers entre el software malicioso que una de sus soluciones antivirus de gama alta detectará. Otras empresas antivirus, de momento, los ignoran. Se adopta esta línea de actuación a causa de que cada vez es mayor el uso de dialers en páginas de apariencia inocente y, hasta hace poco, libres de sospecha, como páginas de juegos en flash o java, páginas que ofrecen iconos, fondos y temas de escritorio o pequeños portales de descarga de software gratuito.

Aunque el uso de este programa antivirus sea una solución, éste es uno de los casos que, en mi opinión, se solucionan mejor con sentido común, empleando herramientas ya disponibles. Lo mejor es acudir a la compañía teléfonica para que anule las llamadas a los números de tarificación especial. Esto puede arreglarse con una simple llamada y así no existe ya peligro de recibir facturas anormalmente altas. Pero en el caso de que uno de estos programas se instale nos quedaremos sin conexión a Internet hasta que reconfiguremos la conexión y eliminemos el dialer. La mayoría de estos programas usan Controles ActiveX, tecnología propietaria de Microsoft, para instalarse. Desactivando el soporte de estos controles en el navegador, impedimos de forma efectiva la instalación. Navegadores como Mozilla y Mozilla Firebird no incluyen soporte para esta tecnología, por lo que están blindados a la mayor parte de los dialers. Existe otro tipo de dialer que se descarga en forma de ejecutable, pero ya es menos peligroso, porque tiene que ser el mismo usuario el que lo ejecute, no lo hace de forma automática como los que emplean la tecnología de Microsoft. Por supuesto, el usuario puede ser engañado para ejecutarlo por sí mismo, son muchos los virus que esperan engañar al usuario para ser ejecutados y reproducirse y sus trucos funcionan con mucha gente (el rey de estos virus es ahora Mimail, en sus distintas versiones).

DOSBox es un emulador que reproduce un procesador 286/386 con DOS y una tarjeta SoundBlaster en practicamente cualquier sistema operativo (se ha portado con éxito a Windows, Linux, BeOS, Mac OS X y BSD entre otros), gracias a la librería SDL.

Es capaz de emular el modo real del DOS en que el que corrían juegos clásicos como los dos primeros títulos de Monkey Island, las primeras versiones de Might and Magic y todos los Lemmings, por citar unos pocos entre los más de 1400 juegos soportados que ya no funcionan en en las modernas versiones de Windows (o sufren el síndrome de los GigaHertzios y son injugables en las máquinas modernas sin DOSBox). La mayoría de estos juegos son abandonware y ocupan sólo unos pocos megabytes, así que no son muy complicados de conseguir. Los más famosos tienen incluso páginas dedicadas enteramente a ellos.

Si estás pensando si tu juego antiguo favorito estará soportado, puedes visitar la lista que mantienen los desarrolladores y comprobarlo.

Desde que instalé las fuentes de Windows en mi SuSE, en bastantes páginas estoy teniendo problemas para que el navegador represente algunos caracteres especiales correctamente, sobre todo apóstrofes y comillas, que son sustituidas por un feo cuadrado blanco que dificulta la lectura. Investigando un poco la razón de ésto, he descubierto que la causa es la elección de charset en los documentos HTML. El más utilizado es el ISO-8859-1, un juego de caracteres bastante amplio, pero que tiene algunas limitaciones, que son las causantes de los molestos cuadraditos blancos.

El problema se soluciona usando un juego de caracteres más amplio todavía, del tipo UCS, como UTF-8, que, de hecho, es el segundo más utilizado. La elección de este charset tiene además algunas ventajas adicionales, como que permite olvidarse de ampersands acutes y ntildes para representar eñes y vocales acentuadas, el navegador las representará siempre correctamente escritas tal cual. Además, si el tipo de letra elegido no dispone de un caracter concreto, como podrían ser algunos tipos de comillas, se obliga al navegador a usar otro tipo de letra que sí disponga de él (sólo para representar ese caracter especial, sin cambios en el resto del documento).

La única pega que he encontrado es que Netscape 4 usa un tamaño de letra anormalmente grande para representar UTF-8, lo que no es un gran problema, teniendo en cuenta que esa versión de Netscape está al borde de la extinción.

Estoy preparando un nuevo diseño que incorporará el uso del charset UTF-8. Lo pondré on-line en cuanto resuelva algunos problemas cross-browser que estoy teniendo con el menú superior, que emplea masivamente CSS 2.

Ultimamente estoy viendo muchos, así que aquí van algunas nociones sobre cómo identificarlos, para evitar la difusión de información falsa, situaciones de alarma social (me vienen a la cabeza varias de "Hotmail cierra" o "quitan MSN Messenger", nota al pie al respecto), salvar la estabilidad de algún Windows y evitar situaciones embarazosas cuando se descubre el engaño.

El término hoax (del inglés) puede traducirse por engaño, timo, bulo, etc. En el entorno informático se llama así a los mensajes de correo electrónico (aunque a veces también aparecen en entornos profesionales impresos y fotocopiados, provienen de la Red) cuyo contenido está basado en mentiras, engaños, verdades a medias o falsedades (en muchas ocasiones con relación a falsos virus) creados especialmente para su difusión masiva, bien sea con intención de causar algún perjuicio o bien para diversión del creador o creadores del mismo.

Todos ellos tienen varias características en común. La más fácilmente reconocible es que se pide el reenvío masivo, al máximo de personas posible. Ésto por sí solo debería hacer sospechar, no importa el pretexto que se utilice (solidaridad, salud, seguridad...). Hacen referencia a fuentes serias, personas, empresas o entidades reconocidas o de prestigio (CNN, Hotmail, Microsoft, Panda Antivirus, doctores, catedráticos...) pero no proporcionan enlaces a las fuentes para corroborarlo. Se suelen expresar con un sentido de urgencia o inminente catástrofe pero no incluyen fecha alguna, lo normal es que circulen durante años, gracias a este detalle. Son muchos los que incluyen faltas ortográficas o de redacción o incluyen expresiones extrañas, lo que se debe principalmente a la juventud de sus autores y a que muchas son traducciones de otros idiomas. La historia que se cuenta, analizada fríamente suele ser bastante fantástica, por no decir fantasiosa y, a menudo se incurre en contradicciones, muchas leyendas urbanas corren en este instante por Internet en forma de hoax.

Hay dos variantes de hoax (que podría llamar de tipo vírico) que se acercan más al propósito de este blog. En una de ellas, se alerta de un nuevo virus altamente destructivo contra el que no se puede hacer nada, pero (nótese la contradicción) se pide que se reenvíe masivamente anunciando el hecho de la existencia de semejante virus imparable. En la otra, se pide al receptor del hoax que busque en el disco duro la existencia de un archivo concreto y que, de encontrarlo lo elimine inmediatamente. Es la variante más peligrosa (desde el punto de vista informático) porque el archivo que se pide eliminar suele ser importante para el funcionamiento normal de un sistema operativo Windows, lo que los convierte en algo así como un "virus manual" bastante destructivo.

En el resto de variantes, puede darse una cierta amenaza a la privacidad el uso de la opción "Reenviar" (no sólo con los hoax, sino con cualquier tipo de mensaje en cadena), pues de esta forma se estará enviando también todas las direcciones de correo de los anteriores receptores del mensaje (qué bocado para un spammer). Si se va a reenviar cualquier mensaje conviene crear un mensaje nuevo y pegar el contenido, eliminando todas las direcciones anteriores.

Por último, hay varias páginas que pueden consultarse ante la duda de si un mensaje es o no un hoax. VSAntivirus mantiene una lista con el asunto y contenido de un buen número de estos correos. También Rompecadenas tiene un buen archivo. Además siempre están los buscadores comunes (Google, Alltheweb...) dónde podemos comprobar por nosotros mismos la veracidad de un mensaje a partir de cualquier dato relevante que éste incluya, como el nombre de un archivo, de una persona, de una organización...

Fin. Y ahora viene la nota al pie que mencionaba arriba. Es curioso cómo la noticia (falsa) del cierre de Hotmail o del servicio de MSN Messenger (ambas de Microsoft) provocan entre mucha gente situaciones de alarma social como si fuera a desaparecer la televisión o el teléfono. Hotmail es, probablemente, el peor servicio gratuito de correo que existe: el que menos tamaño de buzón ofrece y en el que peor funcionan la detección de virus y el filtro antispam; en cuanto a MSN Messenger existen múltiples alternativas gratuitas, tanto de otras empresas como libres y abiertas (Yahoo!, ICQ, Jabber, IRC...), por no mencionar los distintos clientes que pueden conectar con varias redes a un tiempo. Para mí serían dos buenas noticias, habría que utilizar alternativas mejores y más seguras y, sin embargo, leyendo los hoax al respecto, parece que fuera a acabarse el mundo.

...y en breve continúo dónde lo dejé ayer.

Los parches de noviembre de Microsoft ya están disponibles. Resuelven varias vulnerabilidades que permiten ejecutar cualquier código sin permiso en Internet Explorer, Windows 2000 y XP (en ambos, en todas sus versiones), Word, Excel y en las extensiones de FrontPage.

Volviendo al tema de ayer, en Hispasec, al hilo de la publicación de parches de forma mensual, que empezó el mes pasado, de momento, de forma desastrosa, como he ido comentando aquí, dicen algo que no puedo evitar reproducir:

Por otro lado, regularizar la publicación de parches, convirtiéndolo en algo cotidiano, es el camino más corto para que algo extraordinario se estabilice en la normalidad.

Un ejemplo, aunque sea como efecto colateral no buscado, lo tenemos en la normalización de las "pantallas azules" o cuelgues de Win9x. Algo extraordinario como es el que algo tenga algún defecto y falle, a fuerza de repetirse, se convirtió en algo común y aceptado. A nadie le extrañaba que de forma regular un Windows 9x se colgara, hasta los informáticos terminamos por dar la receta "es normal, reinicia, y listo". De hecho, lo extraordinario sería que un Win9x estuviera un mes seguido sin tener algún incidente de este tipo.

¿Imaginan este tipo de fallos en otro sector? ¿Aceptaría que su moto o coche, recién comprados, tuviera problemas mecánicos y le dejara tirado de vez en cuando? Así nos va con el software, la poca exigencia del mercado es en gran parte responsable de la baja calidad de los productos.

No se puede plantear mejor. Los sistemas operativos (o cualquier otro tipo de software, pero sobre todo éstos) no deberían colgarse ni autoreiniciarse. Esto no es normal y no debe aceptarse como normal. Una fama tan mala como la que han adquírido los sistemas Windows, hubiera llevado a la quiebra a cualquier compañía que fabricase cualquier tipo de producto. Sin embargo, Microsoft no sólo no se ha hundido sino que, en el segmento de ordenadores domésticos, al menos, ocupa una posición predominante. Esto ha podido ocurrir porque mucha gente ha llegado a pensar que con el software es normal. No lo es. Tampoco lo es que no pase un mes que no haya varios parches de seguridad para un programa concreto (Internet Explorer), aparte de otros fallos sin solución. Hay mucho software de buena calidad ahí fuera que funciona como es debido. Software con el que es sencillo trabajar porque no falla ni da problemas. El día que ésto llegue a la gente, estaremos más cerca de la informática fácil y al alcance de todos.

Por mucho que se venda la idea de la informática sencilla y alcance de todos, un ordenador no es un electrodoméstico. Los sistemas operativos (todos ellos en general) vienen, en cada nueva versión, con un mayor número de asistentes, tratando de poner al alcance de cualquiera todo el potencial de estos aparatos. Pero no es suficiente y, en la siguiente versión, habrá todavía más asistentes, más claros, usando un lenguaje más llano... y será mayor el número de páginas de ayuda. Y seguirá siendo mayormente un esfuerzo inútil. Los asistentes nunca terminarán de incluir todas los problemas posibles y, la ayuda, es como las licencias, casi nadie la lee.

Se vende el ordenador como un televisor o un microondas, enchufar y pulsar el botón de encendido. Puede ser suficiente con esos dos aparatos, pero, si ni siquiera es suficiente con algo un pelín más complicado como un video (¿Cuántos videos marcan la hora correcta? ¿Cuántos videos se usan para algo más que reproducir las peliculas del videoclub? Y eso que todos traen manual de instrucciones) ¿Cómo va a ser suficiente con algo que es, al mismo tiempo, un televisor, un vídeo, un teléfono, un fax, un completo equipo de oficina, un cadena de alta definición, un estudio de sonido o vídeo o diseño gráfico, una consola de videojuegos, tiene capacidades de videoconferencia... y además puede utilizar (y servir él mismo) todos los servicios de Internet (WWW, FTP, correo, IRC...)? Y esto no es todo, porque la esencia de un ordenador es ser programable. Las cosas que es capaz de hacer siempre pueden ampliarse.

Con un ordenador sin acceso a la Red, aunque un usuario no sepa lo que hace no pasará grandes apuros, utilizará lo que sepa o le interese, con más o menos problemas, pero nada más. Conectado a Internet, un usuario que no sepa lo que hace está paseando por un barrio peligroso sin darse cuenta (y si, además, utiliza Windows, ha dejado aparcado su coche sin cerrar y con las llaves en el contacto, con la cartera y las tarjetas de crédito en la guantera).

No existe un sistema operativo perfectamente seguro. Si acaso, unos más seguros que otros recién terminada la instalación inicial. En casi todos es posible alcanzar un nivel de seguridad aceptable (si no casi perfecta), por lo que, sea cual sea el sistema operativo que se utilice, habrá que dedicarle cierto tiempo a conocer que medidas se deben tomar y a adoptarlas.

Si tuviera que recomendar un sistema operativo a alguien que no quisiera complicarse la vida con éstas cosas, desde luego no le recomendaría un Windows. En cualquiera de sus distintas versiones, es el más inseguro de todos los sistemas operativos (recién instalado, luego puede mejorarse con algo de tiempo y sabiendo lo que se hace). Cualquier otro le haría un mejor papel. Distintas distribuciones del sistema operativo Linux ofrecen, gratuitamente, suficiente software recién instaladas para que un usuario corriente no eche en falta nada (¿Por otro lado, qué puede hacerse con un Windows recién instalado? Realmente muy poca cosa) y en un entorno mucho más seguro.

Aún así, no es posible distanciarse del tema de la seguridad. Todos los programas son susceptibles de tener vulnerabilidades y, de vez en cuando, habrá que instalar algún parche. Tampoco es posible el uso seguro de un sistema Linux siendo completamente ignorante. No porque sea más complicado de usar (todos son fáciles de usar, lo que es complicado, en cualquier sistema, es configurarlo y administrarlo), sino porque hay que saber, por lo menos, que la cuenta de superusuario (root o administrador) no es para navegar por internet. Con eso será suficiente. (Nota mental: Alguien debería decírselo a los usuarios de Windows XP).

Utilizar un ordenador es fácil. Resolver los problemas que puedan surgir no es fácil ni sencillo. No importa cual sea el número de asistentes que traiga el sistema operativo, ni lo amplia que sea la ayuda.

El ordenador estará más cerca de ser un electrodoméstico (y la informática realmente fácil y al alcance de todos) cuando el sistema operativo estándar sea razonablemente seguro y dé el mínimo de problemas. ¿No suena a Windows, verdad?

ActiveX es una tecnología propietaria de Microsoft con un largo historial de fallos graves de seguridad. Se han descubierto tres nuevos para los que aún no hay parche, por lo que, como suele suceder cada vez que se descubre un fallo en los controles ActiveX, el navegador de Microsoft es vulnerable incluso con todos los parches instalados. ActiveX sirve para descargar, instalar y ejecutar programas de forma autómatica, lo que da una idea del nivel de gravedad que tienen los fallos en estas aplicaciones (Siempre se les adjudica el máximo nível, crítico).

La utilidad de esta tecnología es relativa, se usa, por ejemplo, en servicios como Windows Update y las salas de chat de los grupos de MSN (también se usaba en las salas de chat normales, antes de que las cerraran). Fuera de las páginas de Microsoft y de MSN no sirve para nada, eso sí, viene muy bien para instalar dialers y spyware que es para que lo que mayormente se usa fuera de ahí. Es por tanto, la mayor parte del tiempo una tecnología peligrosa y molesta para el usuario, aún cuando no tuviera fallos cada dos por tres.

En Internet Explorer está activada por defecto, para permitir un fácil acceso a los servicios de Microsoft que la usan. Una muestra más de que lo más fácil para el usuario no es siempre lo mejor para él. Conviene desactivarla cuando no sea necesaria, para evitarse sustos. Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel personalizado, Secuencias de comandos ActiveX, señalar la opción de Desactivar. Como se ve por la secuencia de menús, no está precisamente a la vista. Lo más seguro hubiese sido ponerla a la vista e instruir a los usuarios en cuando deben conectarla y desconectarla, pero claro, eso habría dificultado su venta a todos esos webmasters maliciosos que la usan para instalarte cualquier cosa.

En blogpocket hablaban ayer de un tutorial (en inglés) que explica cómo tener instaladas las versiones 5, 5.5 y 6 de Internet Explorer al mismo tiempo en Windows XP, haciendo posible ejecutar cualquiera de ellos.

Lo apunto, principalmente, para acordarme de echarle un vistazo cuando disponga de tiempo y ver si es posible hacerlo en Windows 98, que me vendría bien, puesto que cada una de las versiones de IE incorpora diferentes versiones de los estándares en lo que a CSS se refiere, interpretándolos, además, de una forma distinta (eso sin hablar del cambio de motor gráfico que hay de por medio), lo que hace que sea necesario visualizar tu trabajo con cada uno de ellos por separado, a ver qué es lo que hacen con tu código.

Debería ser innecesario, pero todavía hay gran cantidad de gente que no quiere (o no puede) actualizar a la última versión del navegador de Microsoft (o instalarse otro).

Se ha hecho bastante común entre los usuarios de Windows XP la instalación de lo que se llama "Visual Styles", o simplemente "temas" para cambiar la apariencia de la shell de XP, bien sea a través de la aplicación de un pequeño hack con el archivo uxtheme.dll o usando programas como WindowBlinds.

Pues a partir de ahora, habrá que ser cuidadoso a la hora de instalar uno nuevo. Se ha descubierto la manera de hacer que estos temas de escritorio puedan ejecutar código, e incluso escalar privilegios, a través de un fallo en la implementación de los botones con estilo XP.

El código que permite hacerlo ya corre por la Red, es cuestión de tiempo que alguien lo aproveche para crear un nuevo código malicioso.

Ni que decir tiene que actualmente no hay parche para esto y dado que no es algo que Microsoft soporte oficialmente, es muy posible que no lo haya. Los usuarios de XP tendrán que tener un ojo puesto en las actualizaciones de sus antivirus, por si acaso.

El código puede verse, entre otros sitios, en SecuriTeam.

La CGT, en colaboración con la Universidad de Zaragoza, organiza unas jornadas sobre software libre en Zaragoza. Bajo el título Software libre, ¿para qué?, se desarrollarán del 17 al 26 de noviembre en el Salón de Actos de la Facultad de Ciencias Económicas y Empresariales (Gran Vía, 4) de 19 a 21:30 horas (entrada libre) y participarán en ellas gente como Fernando Vicente, Mariano Gistaín o David de Ugarte, entre otros.

Más información, en la página del evento.

Sólo son rumores. Pero cada vez más insistentes. Se dice que Microsoft estaría interesado en comprar un buen número de esas acciones que Google tiene previsto poner a la venta. Se dice incluso que los de Redmond han ofrecido una fusión a los responsables del buscador por excelencia.

Estoy seguro de que a muchos no nos gusta la idea. Pero entra dentro de lo probable. Google va a vender acciones, Microsoft ha dado señales de querer entrar en el mercado de los buscadores de Internet, de hecho, han anunciado que en su nuevo sistema operativo (cuando quiera que salga, 2006 al menos) las búsquedas, tanto en Internet cómo en el propio disco duro, serán más fáciles y rápidas. En el disco duro ya se sabe cómo lo harán. Han anunciado un nuevo sistema de ficheros (que en realidad no es tal, sólo una capa de XML sobre el ya conocido NTFS) que engordará el tamaño de todos nuestros ficheros, haciéndolos de paso, más complicados de leer desde otros sistemas de archivos, a cambio de la prometida rápidez.

Pero ¿y el buscador de Internet? Hasta ahora pensaba que integrarían (todavía más) su portal MSN y su buscador con su navegador Internet Explorer y el resto del sistema operativo, pero estos rumores me hacen cambiar de opinión porque ¿qué mejor y más rápido buscador que Google?

Lo que me lleva a pensar cosas más disparatadas. ¿Harían como cuando compraron Hotmail y tratarían de pasar los servidores Unix/Linux a Windows 2003/IIS? (no lo consiguieron) Porque, si alguien no lo sabía, en las máquinas de Google no hay otra cosa que Linux Red Hat.

Muchos estaríamos encantados de unirnos y apoyar en lo que fuese necesario. Plataforma No (Vía marianitu).

De momento, cómo se decía en El Tercer Hombre hace unos días, nos tendremos que conformar con ofrecernos a instalar Linux; así al menos, sólo tendríamos que instalar una vez y olvidarnos del asunto (salvo que el usuario se metiera como root a enredar con el contenido del directorio /lib claro, que nada es demasiado improbable).

Tengo que hablar una vez más (ya van tres) del parche de octubre de Microsoft y es que el primer parche mensual de seguridad de Microsoft lleva una trayectoria que roza ya el ridículo. Un problema con el archivo update.exe, que se queda con todos los recursos de la máquina, ha ocasionado cuelgues durante la instalación de la primera corrección del parche en algunos equipos con Windows 2000, XP o 2003 Server. La nueva corrección incluye una nueva versión de este archivo, que debe corregir el problema e instalar la corrección. Si no se han tenido problemas con la instalación del último parche no se debe bajar ésta última.

Hay que recordar que los parches combinados nunca le han dado buen resultado a Microsoft y, además, esperar para reunir los parches deja los equipos más tiempo desprotegidos, por lo que, en un principio, no había ninguna buena razón (al menos una razón técnica) para publicar un único parche mensual. La decisión sólo podía responder a una maniobra de marketing, como ya dije en su momento. Viendo los resultados hasta ahora, está claro que fue una decisión equivocada (siempre lo es poner las razones de mercado por encima de las técnicas), de hecho, se preveían problemas, pero no tantos como para alcanzar semejante nivel de despropósito.

Esta vez supongo que será la última vez que me toque hablar de éste parche, si el de noviembre sale parecido, más vale (más les valdría hacerlo ya) que vuelvan a publicar los parches en cuanto los tengan y de uno en uno, como hacían hasta ahora y es lo más lógico.

Puedes leer la noticia completa relacionada en Hispasec.

Como ellos mismos dicen, el CSS Zen Garden intenta motivar, inspirar, y animar la participacion pero, sobre todo, es un magnífico (y porqué no, también hermoso) ejemplo de lo que puede hacerse con CSS.

El contenido siempre es el mismo, exactamente el mismo código, sólo cambia el archivo externo .css. ¿Los resultados? Sencillamente hay que verlos.

Conviene volver a visitarlo de cuando en cuando para ver los nuevos diseños que se van añadiendo.

Hoy la cosa va de audio. Zinf es un reproductor de audio libre y gratuito estilo WinAmp 2.9x (la mejor versión de WinAmp hasta el momento). Soporta skins (hay un buen número disponibles), reproduce MP3, WAV, Ogg/Vorbis y AudioCDs. También reproduce distintos formatos de radio en stream (SHOUTcast/Icecast, unicast/multicast).

Tiene un aspecto soberbio, como puede verse en estas capturas.

Disponible para Windows y Linux.

Audacity es un editor de audio libre y gratuito. Está construido con el kit de herramientas multiplataforma wxWindows, lo que le asegura portabilidad y perfecto funcionamiento sobre cualquier sistema operativo (hay versiones para Windows, Mac OS 9 y X y Unix/Linux).

Tiene soporte para reproducir, grabar, importar y exportar archivos MP3, WAV, AIFF, entre otros. Posee algunos efectos propios (realzador de graves, wahwah, removedor de ruido...) y soporta un buen número de plug-ins VST, disponibles para descarga desde su misma página.

La versión estable 1.0.0 está en inglés. Aquellos que prefieran el idioma de Cervantes pueden usar la muy funcional beta 1.1.0.

El lenguaje Java permite crear aplicaciones que funcionarán en cualquier ordenador (ahora también teléfonos móviles que cada vez son más parecidos a PDAs), sin importar la combinación de sistema operativo y arquitectura que utilice, siempre que disponga de una Máquina Virtual Java.

La JVM a la hora de navegar no tiene mucha utilidad (los applets Java en la WWW, aunque permiten efectos muy vistosos son muy escasos a causa de su elevado tamaño). Sin embargo, debido a que muchos sitios que proporcionan servicios de chat utilizan Java para proporcionarlos, el plug-in de la máquina virtual java está instalado en la mayor parte de los navegadores. Se ha descubierto una vulnerabilidad en la JVM que, por tanto, afectará a todos aquellos que la tengan instalada y activa (algunos navegadores permiten activarla o desactivarla a voluntad).

La última versión de la Máquina Virtual Java soluciona el problema. Puede descargarse de la página de Java de Sun Microsystems.

Aunque no demasiado a menudo, aparecen de cuando en cuando agujeros de seguridad como éste en la JVM. Hay que tener en cuenta que un fallo en ella, permite atacar a todas las plataformas, por lo que es un bocado apetitoso para programadores de virus y amantes de los datos ajenos. Mi recomendación es tenerla instalada, pero inactiva (si tu navegador no te permite ésto, cambia de navegador). Activarla sólo cuando sea necesaria y si la página que nos requiere su uso es de nuestra plena confianza.

El primer parche mensual de Microsoft, que se publicó el día 15, sigue dando problemas. Primero fue noticia porque apagaba un antivirus, ahora resulta que hay casos de equipos que utilizan versiones en algunos idiomas distintos del inglés (incluidas las versiones en español) que siguen siendo vulnerables tras la instalación del parche, otros se bloquean o tienen problemas de compatibilidad con otros programas que antes del parche funcionaban correctamente. Se recomienda utilizar el servicio de Windows Update nuevamente para corregir algunos de éstos problemas (en el caso del software de terceros que deja de funcionar, habrá que esperar actualizaciones posteriores de los fabricantes de los programas afectados, como el antivirus mencionado) con un nuevo parche.

Ya anuncié aquí que la decisión de publicar los parches mensualmente no me parecía buena idea, más producto de una campaña de marketing que una decisión lógica. Desde luego no podían haber tardado menos en darme la razón. A ver que tal les va con la siguiente (suponiendo que ésta ya no cause más problemas), prevista para el segundo martes del mes que viene.

Tengo escrito por ahí algo al respecto de cómo elegir las contraseñas, pero leyendo Barrapunto me he dado cuenta de que carece de ejemplos y se me ha ocurrido sería una buena idea apuntar algunos. Una buena contraseña deberá ser robusta, es decir, tendrá que incluir mayúsculas, minúsculas, números y, si es posible, símbolos. Además tendrá que ser bastante larga (al menos, 8 caracteres). Pero claro, también tendría que ser fácil de recordar. Vamos a ver cómo conseguir ésto de distintas maneras, todas sacadas de Barrapunto:

• Elegir una frase de seis o más palabras, fácil de recordar y usar la primera letra de cada palabra (también podría ser la segunda o la última y escribirlas al derecho o al revés) y sustituir las vocales por números parecidos¹. Para alargarla añadir el año que estamos o el mes que vamos a usarla. Ejemplo: La madre que parió a Bill Gates² quedaría Lmqp4BG03


• El mismo sistema anterior puede usarse con una canción que nos guste, usando el año de publicación. Para variar, partiremos el año en dos, poniéndolo al principio y al final. Ejemplo: When Love Comes to Town de 1988 sería 19WLCtT88


• También podríamos usar cosas que tengamos a la vista, pero que no sean evidentes, como el ISBN del libro que estemos leyendo. En este caso podemos hacerlo al revés y cambiar los números por letras. Ejemplo: 84-450-7385-0 podría ser 8aaSo7e8So. Esto mismo puede hacerse con otras cosas, la entrada de un cine o un concierto que tengamos a mano, una factura, el IMEI del teléfono móvil...

¹ La A por el 4, la E por el 3, la I por el 1, la O por el 0. Es habitual también sustituir la S por el 5 o la T por el 7.

² Esto es fácil de recordar, sólo hay que acordarse de la última vez que se colgó Windows y llevabas una hora sin grabar lo que estabas haciendo.

De forma similar a como ocurría en Internet Explorer, un enlace especialmente construído puede obligar al navegador Opera a ejecutar código (borrar archivos, formatear el disco duro, etcétera). En la última versión de Opera disponible este problema ya está corregido, por lo que recomiendo a los usuarios de éste navegador actualizar lo antes posible.

Aunque el resultado de explotar ambas vulnerabilidades, la de IE y la de Opera, es muy parecido, la dificultad de aprovechar el fallo en Opera es mucho mayor (en IE era absurdamente fácil). Como Opera no está integrado con el sistema operativo, es necesario encontrar un búfer que pueda ser desbordado, en este caso el usado por ciertas etiquetas HREF, incrustando en la memoria el código que será ejecutado sobreescribiendo el que Opera había colocado allí. La ejecución del código incrustado no sería inmediata sino fuera porque, desgraciadamente, esta operación causa que Opera se cierre, lo que libera la memoria usada y dispara así el código inyectado.

Para el que no haya entendido el párrafo anterior (que no estoy seguro de haber conseguido simplificar al punto de que pueda entenderlo alguien sin conocimientos previos) añadiré que, mientras el fallo de IE podía ser aprovechado por cualquiera que fuera capaz de encontrar un archivo concreto en su propio ordenador, el de Opera necesita conocimientos mucho más avanzados (lo que debería ser evidente tras el párrafo anterior) para sacar un beneficio de él.

Gracias a la casi plena coincidencia temporal de dos errores de parecidas consecuencias en dos navegadores distintos, uno integrado en el sistema operativo y otro no, creo que puedo hacer (en este punto, ya debería estar hecho) que todo el mundo entienda una de las ventajas clave de usar un navegador que no forma parte del sistema operativo.