Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social Digg  Bookmarking social Delicious  Bookmarking social Reddit  Bookmarking social Stumbleupon  Bookmarking social Slashdot  Bookmarking social Yahoo  Bookmarking social Google  Bookmarking social Blinklist  Bookmarking social Blogmarks  Bookmarking social Technorati  

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


ALERTA: Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo a toda la Red

Ver el tema anterior Ver el tema siguiente Ir abajo

ALERTA: Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo a toda la Red

Mensaje por Gaillimh el Jue Oct 02, 2008 8:33 pm

Es un asunto bastante serio, para el que de momento no hay solución... a cruzar los dedos y a esperar lo mejor.

Jordi


Hispasec - una-al-día 02/10/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo
a toda la Red
--------------------------------------------------------------------

Una empresa finlandesa llamada Outpost 24 dice haber descubierto un
fallo en el Internet Protocol (IP) que puede provocar una denegación de
servicio en todo dispositivo que lo use. Teniendo en cuenta que es la
base sobre la que se sustenta toda Internet, es equivalente a decir que
se puede provocar la caída de cualquier aparato con comunicación en la
Red. Es la tercera "gran alerta" del año. ¿Necesita Internet una puesta
a punto?

En realidad ni siquiera se podría llamar "denegación de servicio" tal y
como lo conocemos hoy en día. Más bien se trataría de una especie de
(mítico) "ping de la muerte" en el que, con muy poco tráfico (10
paquetes por segundo) se podría llegar a colapsar cualquier dispositivo
que implemente la especificación del protocolo base. Al parecer se
trataría de uno de los mayores problemas detectados en la Red que la
volvería insostenible de forma relativamente sencilla.

No se han ofrecido por tanto muchos más detalles. Parece que el problema
surgió durante el escaneo de varios millones de sitios en Internet.
Alguno de estos tests (realizados con la herramienta Unicornscan) hacía
que los sistemas dejaran de responder, y tras una investigación se
concluyó que existía un problema en todas las implementaciones de la
pila TCP/IP. Aunque afecta de distinta manera, se supone que todas son
vulnerables y que todavía no han encontrado ningún dispositivo que no
puedan bloquear.

Los investigadores han conocido este problema desde 2005. Según dicen,
no han podido encontrar por el momento una solución válida, pero tampoco
quieren difundir los detalles por el peligro que supondría el
conocimiento público. Advierten que, incluso con IPv6 el problema podría
ser incluso más grave.

Darán más detalles sobre el problema el 17 de octubre, durante una
conferencia en Helsinki. Afirman tener una herramienta llamada
sockstress capaz de "tumbar" cualquier dispositivo. Aunque la
información es confusa (y habría que tomarla con cautela mientras no se
tengan detalles), parece que el problema está directamente relacionado
con la técnica de las "SYN cookies". Se utilizan precisamente para
evitar que un atacante pueda realizar una inundación de paquetes SYN.
Básicamente se "recuerda" con esta cookie a quien ha realizado la
conexión y se evita que se falsee la dirección y se perpetre el conocido
ataque (abriendo conexiones a medio realizar que consumen memoria y
agotando los recursos del dispositivo).

Es la tercera gran vulnerabilidad del año que pone en peligro a toda la
Red. En primer lugar fue Kaminsky con su problema DNS. El 8 de julio
todos los grandes y pequeños fabricantes parcheaban sus sistemas DNS.
Kaminsky había descubierto meses antes un fallo que permitía falsificar
cualquier IP asociada a un dominio. Poco después en agosto, durante la
Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet,
cuando Tony Kapela y Alex Pilosov demostraron una nueva técnica que
permite interceptar el tráfico de Internet a una escala global.
Cualquiera con un router BGP podría interceptar el tráfico de cualquier
gran nodo y devolverlo (modificado o no) de forma transparente.

Y vuelve a ocurrir, repitiendo prácticamente el mismo escenario. En los
tres casos se trata de un problema de diseño de un protocolo creado
muchos años antes. En los tres casos parece haber una demostración
empírica de un problema conocido pero cuyas posibilidades o puesta en
práctica se suponía imposible hasta la fecha... Incluso el hecho de
revelar detalles en una conferencia posterior con la que se crea una
gran expectación. Como le ocurrió a Kamisky, es posible que todos los
detalles del problema salgan a la luz antes de lo esperado si algún
investigador decide juntar todas las pistas ofrecidas por Outpost 24.

Es más que posible que aunque los detalles fueran conocidos desde hace 3
años, haya sido precisamente lo ocurrido con el fallo DNS y con BGP lo
que haya animado a los investigadores a darle publicidad precisamente
ahora. Kaminsky demostró que se puede realizar una actualización masiva
y coordinada entre todos los grandes fabricantes y mantener en secreto
los detalles de un grave problema (siempre que no se divulgue su
existencia).

Nos encontramos posiblemente también ante una nueva era en la Red en la
que, a través de estos graves errores puestos sobre la mesa, estamos
cuestionando su sostenibilidad tal y como la conocemos. Usamos
protocolos diseñados, cuando menos, hace 20 y 30 años. Los ingenieros
estaban mucho más sorprendidos por el hecho de que la Red simplemente
funcionase que preocupados por la seguridad. Hacer que un trozo concreto
de información digital concreta llegase de un punto a otro del planeta
era algo demasiado fantástico como para complicarlo previniendo si
alguien la iba a podía modificar, alterar u obtener de forma ilegítima.
Posteriormente, sobre estos débiles pilares, se ha construido algo
muchísimo más complejo y unido millones de personas y dispositivos con
muy distintas motivaciones. Para abarcar toda esta explosión, se ha ido
parcheando sobre la marcha un monstruo gigante con pies de barro que, a
la vista de estos tres recientes acontecimientos (y de otras
preocupaciones de largo recorrido, como el malware ganando la batalla a
los antivirus), necesita una clara revisión y puesta a punto.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3631/comentar

Más información:

New attacks reveal fundamental problems with TCP
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1332898,00.html


Sergio de los Santos
ssantos@hispasec.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Algunas preguntas frecuentes sobre la supuesta vulnerabilidad en el protocolo base de la Red

Mensaje por Gaillimh el Sáb Oct 04, 2008 10:55 am

Hispasec - una-al-día 03/10/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Algunas preguntas frecuentes sobre la supuesta vulnerabilidad en el
protocolo base de la Red
-------------------------------------------------------------------

Ayer publicábamos un boletín sobre la supuesta vulnerabilidad
descubierta por Outpost24 que podría permitir la caída de cualquier
aparato con comunicación en la Red. Disponemos ahora de más información,
que ayer mismo publicaban fuentes oficiales, sobre el asunto. Además,
aprovechamos para corregir algunos errores.

¿El fallo es nuevo? ¿Por qué "supuesta"?

Probablemente no. Aunque no se conocen los detalles, todo son
conjeturas. Quizás sea una nueva forma de aprovechar una vieja debilidad
conocida del TCP/IP. "Supuesta" es simplemente porque no ha quedado
demostrado todavía por terceras partes independientes.

¿Aprovechar el fallo requiere de un envío continuado de paquetes?

Sobre esto ha habido cierta confusión. Algunos apuntan a que es
necesario bombardear de forma continuada y con un cierto tipo de
paquetes al servidor. Otros que con sólo unos minutos de tráfico se
puede hacer que el sistema quede sin recursos. Según Robert E. Lee de
Outpost 24, depende del dispositivo. Lo normal es que permanezcan caídos
mientras dure el ataque (como ocurre con un DDoS, por ejemplo), pero se
han dado casos en que se agotan sus recursos y se necesita un reinicio
con una mínima cantidad de tráfico.

¿Desactivando la protección "SYN Cookies" se previene el problema?

No. Simplemente se volvería a ser más vulnerable a ataques de tipo SYN
Flood

¿Todos los dispositivos son vulnerables?

Según los descubridores, depende mucho del tipo de ataque y del
dispositivo. Es posible que el dispositivo tenga que ser reiniciado,
pero no siempre se llega a ese punto.

¿El problema está en TCP/IP?

Como nos han comunicado algunos lectores de una-al-día, el problema está
en el protocolo TCP/IP, no exclusivamente en IP, como se apuntaba
erróneamente en el boletín anterior.

¿Por qué ahora todas estas alarmas catastrofistas?

Aunque dicen conocer el problema desde 2005, Outpost24 se habrá decidido
a hacer público este asunto precisamente ahora por varias razones.
Primero para intentar proteger y mejorar el sistema. (¿Por qué no?)
Kaminsky lo hizo con el fallo de DNS. El problema del BGP no tuvo tanta
repercusión mediática pero llamó mucho la atención. La compañía quizás
se ha animado finalmente a hacer público sus descubrimientos tras
comprobar la publicidad que este tipo de declaraciones puede
reportarles. Es evidente que, como siempre ha ocurrido en la publicación
de vulnerabilidades novedosas, la búsqueda de notoriedad y prestigio
juegue un papel importante, aunque no resta importancia al
descubrimiento en sí. Por cierto, también se dijo en la anterior
una-al-día que era una empresa finlandesa cuando en realidad es sueca.

¿Están exagerando?

El hecho de ofrecer un poco de información en forma de "cebo" y prometer
el resto en conferencias posteriores asegura una buena cantidad de
especulación y por tanto mantener a la empresa en boca de todos durante
unas semanas. Esto no resta seriedad al potencial fallo.

¿Es para tanto?

Matizan sus afirmaciones hablando siempre de "bajo circunstancias
concretas" lo que da a entender que no es tan sencillo reproducirlo.
Además, si se trata de una denegación de servicio a través de una
inundación de paquetes continuados, hoy en día tenemos los DDoS más
potentes que nunca a través de las botnets más grandes del momento.
Miles de sistemas zombi infectados bombardean con tráfico (legítimo) las
páginas para intentar echarlas abajo, y resulta bastante efectivo.
Recurrir a este tipo de vulnerabilidades constituyen una novedad, pero
en la práctica existen ya métodos que pueden dar iguales o mejores
resultados a los atacantes. Si, hipotéticamente, se hicieran públicos
los detalles de este fallo y sacaran una herramienta que permitiese a
cualquiera tumbar un servidor con un solo click, protegerse sería
sencillo: se bloquearía el acceso desde esa IP... así que para que fuese
efectivo el atacante tendría que recurrir a diferentes IPs... o sea, a
una botnet. Fyodor, creador de nmap, opina que no es para tanto, pero
desde Outpost24, se le ha dicho que no lleva del todo razón en sus
suposiciones.

¿Internet "se rompe"?

Este tipo de alertas sobre problemas de base deberían servir para
alertar sobre la gran dependencia que tiene hoy en día Internet de
protocolos obsoletos. DNS y SMTP por ejemplo, son protocolos antiguos
que no tienen en absoluto en cuenta la seguridad, aun así son los más
usados en la Red. Estas alertas no deberían servir para vaticinar
catástrofes y que cunda el pánico, sino para que todos seamos
conscientes de que existe la posibilidad de que se vaya necesitando un
cambio en la base de la Red para protegerla convenientemente.

¿Sirven de algo estas alertas catastrofistas?

Si se toman con calma, sí. Por ejemplo, el descubrimiento de Kaminsky ha
servido para retomar con fuerza el debate sobre el uso estandarizado de
DNSSEC para proteger adecuadamente al inseguro DNS. Aunque será extraño
que se implante a corto plazo. Requiere de una infraestructura de
certificados y autoridades confiables que puede resultar compleja, e
invita al control por parte de una sola gran autoridad certificadora. Es
incluso probable que el debate quede en nada una vez más. Las grandes
modificaciones son siempre complicadas y costosas aunque quizás cada vez
más necesarias.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3632/comentar

Más información:

Robert E. Lee
http://blog.robertlee.name/


Sergio de los Santos
ssantos@hispasec.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.