1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2803/10/2008=29_Algunas_preguntas_frecuentes

    From noticias@hispasec.com@2:341/201.99 to All on Fri Oct 3 20:10:00 2008
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 03/10/2008
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Algunas preguntas frecuentes sobre la supuesta vulnerabilidad en el
    protocolo base de la Red
    -------------------------------------------------------------------

    Ayer publicábamos un boletín sobre la supuesta vulnerabilidad
    descubierta por Outpost24 que podría permitir la caída de cualquier
    aparato con comunicación en la Red. Disponemos ahora de más información,
    que ayer mismo publicaban fuentes oficiales, sobre el asunto. Además, aprovechamos para corregir algunos errores.

    ¿El fallo es nuevo? ¿Por qué "supuesta"?

    Probablemente no. Aunque no se conocen los detalles, todo son
    conjeturas. Quizás sea una nueva forma de aprovechar una vieja debilidad conocida del TCP/IP. "Supuesta" es simplemente porque no ha quedado
    demostrado todavía por terceras partes independientes.

    ¿Aprovechar el fallo requiere de un envío continuado de paquetes?

    Sobre esto ha habido cierta confusión. Algunos apuntan a que es
    necesario bombardear de forma continuada y con un cierto tipo de
    paquetes al servidor. Otros que con sólo unos minutos de tráfico se
    puede hacer que el sistema quede sin recursos. Según Robert E. Lee de
    Outpost 24, depende del dispositivo. Lo normal es que permanezcan caídos mientras dure el ataque (como ocurre con un DDoS, por ejemplo), pero se
    han dado casos en que se agotan sus recursos y se necesita un reinicio
    con una mínima cantidad de tráfico.

    ¿Desactivando la protección "SYN Cookies" se previene el problema?

    No. Simplemente se volvería a ser más vulnerable a ataques de tipo SYN
    Flood

    ¿Todos los dispositivos son vulnerables?

    Según los descubridores, depende mucho del tipo de ataque y del
    dispositivo. Es posible que el dispositivo tenga que ser reiniciado,
    pero no siempre se llega a ese punto.

    ¿El problema está en TCP/IP?

    Como nos han comunicado algunos lectores de una-al-día, el problema está
    en el protocolo TCP/IP, no exclusivamente en IP, como se apuntaba
    erróneamente en el boletín anterior.

    ¿Por qué ahora todas estas alarmas catastrofistas?

    Aunque dicen conocer el problema desde 2005, Outpost24 se habrá decidido
    a hacer público este asunto precisamente ahora por varias razones.
    Primero para intentar proteger y mejorar el sistema. (¿Por qué no?)
    Kaminsky lo hizo con el fallo de DNS. El problema del BGP no tuvo tanta repercusión mediática pero llamó mucho la atención. La compañía quizás
    se ha animado finalmente a hacer público sus descubrimientos tras
    comprobar la publicidad que este tipo de declaraciones puede
    reportarles. Es evidente que, como siempre ha ocurrido en la publicación
    de vulnerabilidades novedosas, la búsqueda de notoriedad y prestigio
    juegue un papel importante, aunque no resta importancia al
    descubrimiento en sí. Por cierto, también se dijo en la anterior
    una-al-día que era una empresa finlandesa cuando en realidad es sueca.

    ¿Están exagerando?

    El hecho de ofrecer un poco de información en forma de "cebo" y prometer
    el resto en conferencias posteriores asegura una buena cantidad de
    especulación y por tanto mantener a la empresa en boca de todos durante
    unas semanas. Esto no resta seriedad al potencial fallo.

    ¿Es para tanto?

    Matizan sus afirmaciones hablando siempre de "bajo circunstancias
    concretas" lo que da a entender que no es tan sencillo reproducirlo.
    Además, si se trata de una denegación de servicio a través de una
    inundación de paquetes continuados, hoy en día tenemos los DDoS más
    potentes que nunca a través de las botnets más grandes del momento.
    Miles de sistemas zombi infectados bombardean con tráfico (legítimo) las páginas para intentar echarlas abajo, y resulta bastante efectivo.
    Recurrir a este tipo de vulnerabilidades constituyen una novedad, pero
    en la práctica existen ya métodos que pueden dar iguales o mejores
    resultados a los atacantes. Si, hipotéticamente, se hicieran públicos
    los detalles de este fallo y sacaran una herramienta que permitiese a cualquiera tumbar un servidor con un solo click, protegerse sería
    sencillo: se bloquearía el acceso desde esa IP... así que para que fuese efectivo el atacante tendría que recurrir a diferentes IPs... o sea, a
    una botnet. Fyodor, creador de nmap, opina que no es para tanto, pero
    desde Outpost24, se le ha dicho que no lleva del todo razón en sus suposiciones.

    ¿Internet "se rompe"?

    Este tipo de alertas sobre problemas de base deberían servir para
    alertar sobre la gran dependencia que tiene hoy en día Internet de
    protocolos obsoletos. DNS y SMTP por ejemplo, son protocolos antiguos
    que no tienen en absoluto en cuenta la seguridad, aun así son los más
    usados en la Red. Estas alertas no deberían servir para vaticinar
    catástrofes y que cunda el pánico, sino para que todos seamos
    conscientes de que existe la posibilidad de que se vaya necesitando un
    cambio en la base de la Red para protegerla convenientemente.

    ¿Sirven de algo estas alertas catastrofistas?

    Si se toman con calma, sí. Por ejemplo, el descubrimiento de Kaminsky ha servido para retomar con fuerza el debate sobre el uso estandarizado de
    DNSSEC para proteger adecuadamente al inseguro DNS. Aunque será extraño
    que se implante a corto plazo. Requiere de una infraestructura de
    certificados y autoridades confiables que puede resultar compleja, e
    invita al control por parte de una sola gran autoridad certificadora. Es incluso probable que el debate quede en nada una vez más. Las grandes modificaciones son siempre complicadas y costosas aunque quizás cada vez
    más necesarias.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3632/comentar

    Más información:

    Robert E. Lee
    http://blog.robertlee.name/


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    03/10/2007: Actualización de múltiples paquetes para productos Suse Linux
    http://www.hispasec.com/unaaldia/3266

    03/10/2006: Múltiples vulnerabilidades en Mac OS X
    http://www.hispasec.com/unaaldia/2901

    03/10/2005: Exposición de información sensible en Bugzilla 2.x
    http://www.hispasec.com/unaaldia/2536

    03/10/2004: El nuevo código penal crea incertidumbre en la red
    http://www.hispasec.com/unaaldia/2171

    03/10/2003: Divulgación de información en Novell Netware Broker
    http://www.hispasec.com/unaaldia/1804

    03/10/2002: Vulnerabilidades en la ayuda de Windows
    http://www.hispasec.com/unaaldia/1439

    03/10/2001: Las 20 vulnerabilidades de seguridad más críticas
    http://www.hispasec.com/unaaldia/1074

    03/10/2000: Grave vulnerabilidad en Internet Explorer y Outlook
    http://www.hispasec.com/unaaldia/709

    03/10/1999: Vulnerabilidad Solaris ante rastreos con NMAP
    http://www.hispasec.com/unaaldia/341


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2008 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)