Ataques por denegación de servicios

...

La ventaja de ejecutar código interpretado en lugar de compilado es que cada instrucción es examinada por el intérprete antes de ser ejecutada. Esto da al intérprete la oportunidad de verificar si la dirección de la instrucción es válida.

ActiveX

Los controles ActiveX son programas binarios Pentium que pueden incrustarse en páginas Web. Cuando se encuentra alguno de ellos, se realiza una verificación para ver si se debe ejecutar, y si pasa la prueba, se ejecuta. No está interpretado o puesto en una caja de arena de ninguna manera, por lo que tiene tanto poder que cualquier otro programa de usuario, y puede hacer mucho daño. Por lo tanto, toda la seguridad recae en la decisión de si se ejecuta o no el control ActiveX. Microsoft Eligio una forma de tratar de mitigar la inseguridad fue incluir firma digital en un hash del código que está firmado por el creador de dicho código encriptado con una clave pública.

JavaScript

JavaScript no tiene ningún modelo de seguridad formal, pero tiene una larga historia de implementaciones defectuosas. Cada fabricante maneja la seguridad de forma diferente.

Por ejemplo:

- La versión 2 de Netscape Navigator utilizó algo semejante al modelo de Java

- pero en la versión 4 se abandonó por un modelo de firma de código.

Cabe destacar que si se desea tener una seguridad confiable lo dudoso permitir la ejecución de código extraño en su máquina es abrir la puerta a los problemas. Para ejemplificar, es como invitar a un ladrón a entrar a una casa y después tratar de vigilarlo cuidadosamente de manera que no pueda ir de la cocina a la sala. Si algo inesperado sucede y se pierde por un momento la atención en ese ladrón por un momento, pueden suceder cosas extrañas.

Ejemplo 1:

Cuando se intenta descargar archivo de una página que se dedica a ofrecer películas “gratis”, generalmente te dan la opción de instalar plugins y demás para que la descargas sea más rápida. En la descarga que se realiza vienen incluidos unos archivos que se denominan virus, que se dedican descargar de forma masiva paginas promocionales haciendo con ello que estos consuman muchos recursos y la seguridad de filtrado de información personal se vea comprometida.

Ejemplo 2.

Una nueva vulnerabilidad descubierta hasta 27 de julio del 2015 por la firma Zimperium .El funcionamiento es relativamente sencillo: el atacante puede obtener control remoto del sistema enviando un vídeo a través de MMS. En este vídeo iría incluido un código malicioso que, al ejecutarse. Si utilizamos programas como Hangouts, que automáticamente descargan y ejecutan parte del código del vídeo adjunto.

Referencias:

Mirkovic, J., Dietrich, S., Dittrich, D., and Reiher, P.. (2004). Internet Denial of ervice. Attack and Defense Mechanisms. NJ, USA: Prentice Hall.

5 datos sobre el ataque a Dyn que colapsó Internet recuperado [fecha de consulta 19 de enero del 2017].Disponible en: http://eleconomista.com.mx/tecnociencia/2016/10/21/5-datos-sobre-ataque-dyn-que-colapso-internet>

ANDREW S. TANENBAUM. (2003). Redes de computadoras. México: PEARSON EDUCACIÓN