---------------------------SPOT-------------------------
AUDITORIAS DE SEGURIDAD INFORMATICA DE HISPASEC
Hispasec Sistemas ofrece sus servicios de auditoría de seguridad
informática, destinados a determinar y evaluar las vulnerabilidades
que puedan presentarse en sus sistemas.
Auditoría perimetral. Auditoría interna. Tests de intrusión.
Análisis forense. Auditoría de aplicaciones Web. Auditoría de código
Más información en:
http://www.hispasec.com/corporate/auditoria.html ---------------------------SPOT-------------------------
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 02/10/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo
a toda la Red
--------------------------------------------------------------------
Una empresa finlandesa llamada Outpost 24 dice haber descubierto un
fallo en el Internet Protocol (IP) que puede provocar una denegación de servicio en todo dispositivo que lo use. Teniendo en cuenta que es la
base sobre la que se sustenta toda Internet, es equivalente a decir que
se puede provocar la caída de cualquier aparato con comunicación en la
Red. Es la tercera "gran alerta" del año. ¿Necesita Internet una puesta
a punto?
En realidad ni siquiera se podría llamar "denegación de servicio" tal y
como lo conocemos hoy en día. Más bien se trataría de una especie de
(mítico) "ping de la muerte" en el que, con muy poco tráfico (10
paquetes por segundo) se podría llegar a colapsar cualquier dispositivo
que implemente la especificación del protocolo base. Al parecer se
trataría de uno de los mayores problemas detectados en la Red que la
volvería insostenible de forma relativamente sencilla.
No se han ofrecido por tanto muchos más detalles. Parece que el problema
surgió durante el escaneo de varios millones de sitios en Internet.
Alguno de estos tests (realizados con la herramienta Unicornscan) hacía
que los sistemas dejaran de responder, y tras una investigación se
concluyó que existía un problema en todas las implementaciones de la
pila TCP/IP. Aunque afecta de distinta manera, se supone que todas son vulnerables y que todavía no han encontrado ningún dispositivo que no
puedan bloquear.
Los investigadores han conocido este problema desde 2005. Según dicen,
no han podido encontrar por el momento una solución válida, pero tampoco quieren difundir los detalles por el peligro que supondría el
conocimiento público. Advierten que, incluso con IPv6 el problema podría
ser incluso más grave.
Darán más detalles sobre el problema el 17 de octubre, durante una
conferencia en Helsinki. Afirman tener una herramienta llamada
sockstress capaz de "tumbar" cualquier dispositivo. Aunque la
información es confusa (y habría que tomarla con cautela mientras no se
tengan detalles), parece que el problema está directamente relacionado
con la técnica de las "SYN cookies". Se utilizan precisamente para
evitar que un atacante pueda realizar una inundación de paquetes SYN. Básicamente se "recuerda" con esta cookie a quien ha realizado la
conexión y se evita que se falsee la dirección y se perpetre el conocido
ataque (abriendo conexiones a medio realizar que consumen memoria y
agotando los recursos del dispositivo).
Es la tercera gran vulnerabilidad del año que pone en peligro a toda la
Red. En primer lugar fue Kaminsky con su problema DNS. El 8 de julio
todos los grandes y pequeños fabricantes parcheaban sus sistemas DNS.
Kaminsky había descubierto meses antes un fallo que permitía falsificar cualquier IP asociada a un dominio. Poco después en agosto, durante la
Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet,
cuando Tony Kapela y Alex Pilosov demostraron una nueva técnica que
permite interceptar el tráfico de Internet a una escala global.
Cualquiera con un router BGP podría interceptar el tráfico de cualquier
gran nodo y devolverlo (modificado o no) de forma transparente.
Y vuelve a ocurrir, repitiendo prácticamente el mismo escenario. En los
tres casos se trata de un problema de diseño de un protocolo creado
muchos años antes. En los tres casos parece haber una demostración
empírica de un problema conocido pero cuyas posibilidades o puesta en
práctica se suponía imposible hasta la fecha... Incluso el hecho de
revelar detalles en una conferencia posterior con la que se crea una
gran expectación. Como le ocurrió a Kamisky, es posible que todos los
detalles del problema salgan a la luz antes de lo esperado si algún investigador decide juntar todas las pistas ofrecidas por Outpost 24.
Es más que posible que aunque los detalles fueran conocidos desde hace 3
años, haya sido precisamente lo ocurrido con el fallo DNS y con BGP lo
que haya animado a los investigadores a darle publicidad precisamente
ahora. Kaminsky demostró que se puede realizar una actualización masiva
y coordinada entre todos los grandes fabricantes y mantener en secreto
los detalles de un grave problema (siempre que no se divulgue su
existencia).
Nos encontramos posiblemente también ante una nueva era en la Red en la
que, a través de estos graves errores puestos sobre la mesa, estamos cuestionando su sostenibilidad tal y como la conocemos. Usamos
protocolos diseñados, cuando menos, hace 20 y 30 años. Los ingenieros
estaban mucho más sorprendidos por el hecho de que la Red simplemente funcionase que preocupados por la seguridad. Hacer que un trozo concreto
de información digital concreta llegase de un punto a otro del planeta
era algo demasiado fantástico como para complicarlo previniendo si
alguien la iba a podía modificar, alterar u obtener de forma ilegítima. Posteriormente, sobre estos débiles pilares, se ha construido algo
muchísimo más complejo y unido millones de personas y dispositivos con
muy distintas motivaciones. Para abarcar toda esta explosión, se ha ido parcheando sobre la marcha un monstruo gigante con pies de barro que, a
la vista de estos tres recientes acontecimientos (y de otras
preocupaciones de largo recorrido, como el malware ganando la batalla a
los antivirus), necesita una clara revisión y puesta a punto.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3631/comentar
Más información:
New attacks reveal fundamental problems with TCP
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1332898,00.html
Sergio de los Santos
ssantos@hispasec.com
Tal día como hoy:
-----------------
02/10/2007: Nuevos contenidos en CriptoRed (septiembre de 2007)
http://www.hispasec.com/unaaldia/3265
02/10/2006: 0 day en Mozilla Firefox
http://www.hispasec.com/unaaldia/2900
02/10/2005: Actualización de Sun Solaris 7, 8, 9 y 10 por problemas con Xsun y Xprt
http://www.hispasec.com/unaaldia/2535
02/10/2004: Modificación de precios de productos en Yahoo! Store
http://www.hispasec.com/unaaldia/2170
02/10/2003: QHosts/Delude, el troyano secuestrador
http://www.hispasec.com/unaaldia/1803
02/10/2002: Noche temática "hacker" en la 2
http://www.hispasec.com/unaaldia/1438
02/10/2001: Vulnerabilidad en Exchange 2000 Outlook Web Access (OWA)
http://www.hispasec.com/unaaldia/1073
02/10/2000: El criptosistema AES acaba de nacer
http://www.hispasec.com/unaaldia/708
02/10/1999: Nuevo parche de Microsoft para Windows NT
http://www.hispasec.com/unaaldia/340
-------------------------------------------------------------------
Claves PGP en
http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:
unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:
unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec
http://www.hispasec.com/copyright
-------------------------------------------------------------------
--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet
telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)