• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo a toda la Red.

    Una empresa finlandesa llamada Outpost 24 dice haber descubierto un fallo en el Internet Protocol (IP) que puede provocar una denegación de servicio en todo dispositivo que lo use. Teniendo en cuenta que es la ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo a toda la Red.



      Una empresa finlandesa llamada Outpost 24 dice haber descubierto un fallo en el Internet Protocol (IP) que puede provocar una denegación de servicio en todo dispositivo que lo use. Teniendo en cuenta que es la base sobre la que se sustenta toda Internet, es equivalente a decir que se puede provocar la caída de cualquier aparato con comunicación en la Red. Es la tercera "gran alerta" del año. ¿Necesita Internet una puesta a punto?

      En realidad ni siquiera se podría llamar "denegación de servicio" tal y como lo conocemos hoy en día. Más bien se trataría de una especie de (mítico) "ping de la muerte" en el que, con muy poco tráfico (10 paquetes por segundo) se podría llegar a colapsar cualquier dispositivo que implemente la especificación del protocolo base. Al parecer se trataría de uno de los mayores problemas detectados en la Red que la volvería insostenible de forma relativamente sencilla.

      No se han ofrecido por tanto muchos más detalles. Parece que el problema surgió durante el escaneo de varios millones de sitios en Internet. Alguno de estos tests (realizados con la herramienta Unicornscan) hacía que los sistemas dejaran de responder, y tras una investigación se concluyó que existía un problema en todas las implementaciones de la pila TCP/IP. Aunque afecta de distinta manera, se supone que todas son vulnerables y que todavía no han encontrado ningún dispositivo que no puedan bloquear.

      Los investigadores han conocido este problema desde 2005. Según dicen, no han podido encontrar por el momento una solución válida, pero tampoco quieren difundir los detalles por el peligro que supondría el conocimiento público. Advierten que, incluso con IPv6 el problema podría ser incluso más grave.

      Darán más detalles sobre el problema el 17 de octubre, durante una conferencia en Helsinki. Afirman tener una herramienta llamada sockstress capaz de "tumbar" cualquier dispositivo. Aunque la información es confusa (y habría que tomarla con cautela mientras no se tengan detalles), parece que el problema está directamente relacionado con la técnica de las "SYN cookies". Se utilizan precisamente para evitar que un atacante pueda realizar una inundación de paquetes SYN. Básicamente se "recuerda" con esta cookie a quien ha realizado la conexión y se evita que se falsee la dirección y se perpetre el conocido ataque (abriendo conexiones a medio realizar que consumen memoria y agotando los recursos del dispositivo).

      Es la tercera gran vulnerabilidad del año que pone en peligro a toda la Red. En primer lugar fue Kaminsky con su problema DNS. El 8 de julio todos los grandes y pequeños fabricantes parcheaban sus sistemas DNS. Kaminsky había descubierto meses antes un fallo que permitía falsificar cualquier IP asociada a un dominio. Poco después en agosto, durante la Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet, cuando Tony Kapela y Alex Pilosov demostraron una nueva técnica que permite interceptar el tráfico de Internet a una escala global. Cualquiera con un router BGP podría interceptar el tráfico de cualquier gran nodo y devolverlo (modificado o no) de forma transparente.

      Y vuelve a ocurrir, repitiendo prácticamente el mismo escenario. En los tres casos se trata de un problema de diseño de un protocolo creado muchos años antes. En los tres casos parece haber una demostración empírica de un problema conocido pero cuyas posibilidades o puesta en práctica se suponía imposible hasta la fecha... Incluso el hecho de revelar detalles en una conferencia posterior con la que se crea una gran expectación. Como le ocurrió a Kamisky, es posible que todos los detalles del problema salgan a la luz antes de lo esperado si algún investigador decide juntar todas las pistas ofrecidas por Outpost 24.

      Es más que posible que aunque los detalles fueran conocidos desde hace 3 años, haya sido precisamente lo ocurrido con el fallo DNS y con BGP lo que haya animado a los investigadores a darle publicidad precisamente ahora. Kaminsky demostró que se puede realizar una actualización masiva y coordinada entre todos los grandes fabricantes y mantener en secreto los detalles de un grave problema (siempre que no se divulgue su existencia).

      Nos encontramos posiblemente también ante una nueva era en la Red en la que, a través de estos graves errores puestos sobre la mesa, estamos cuestionando su sostenibilidad tal y como la conocemos. Usamos protocolos diseñados, cuando menos, hace 20 y 30 años. Los ingenieros estaban mucho más sorprendidos por el hecho de que la Red simplemente funcionase que preocupados por la seguridad. Hacer que un trozo concreto de información digital concreta llegase de un punto a otro del planeta era algo demasiado fantástico como para complicarlo previniendo si alguien la iba a podía modificar, alterar u obtener de forma ilegítima. Posteriormente, sobre estos débiles pilares, se ha construido algo muchísimo más complejo y unido millones de personas y dispositivos con muy distintas motivaciones. Para abarcar toda esta explosión, se ha ido parcheando sobre la marcha un monstruo gigante con pies de barro que, a la vista de estos tres recientes acontecimientos (y de otras preocupaciones de largo recorrido, como el malware ganando la batalla a los antivirus), necesita una clara revisión y puesta a punto.

      Fuente

      Algunas preguntas frecuentes sobre la supuesta vulnerabilidad en el protocolo base de la Red

      Ayer publicábamos un boletín sobre la supuesta vulnerabilidad descubierta por Outpost24 que podría permitir la caída de cualquier aparato con comunicación en la Red. Disponemos ahora de más información, que ayer mismo publicaban fuentes oficiales, sobre el asunto. Además, aprovechamos para corregir algunos errores.

      ¿El fallo es nuevo? ¿Por qué "supuesta"?

      Probablemente no. Aunque no se conocen los detalles, todo son conjeturas. Quizás sea una nueva forma de aprovechar una vieja debilidad conocida del TCP/IP. "Supuesta" es simplemente porque no ha quedado demostrado todavía por terceras partes independientes.

      ¿Aprovechar el fallo requiere de un envío continuado de paquetes?

      Sobre esto ha habido cierta confusión. Algunos apuntan a que es necesario bombardear de forma continuada y con un cierto tipo de paquetes al servidor. Otros que con sólo unos minutos de tráfico se puede hacer que el sistema quede sin recursos. Según Robert E. Lee de Outpost 24, depende del dispositivo. Lo normal es que permanezcan caídos mientras dure el ataque (como ocurre con un DDoS, por ejemplo), pero se han dado casos en que se agotan sus recursos y se necesita un reinicio con una mínima cantidad de tráfico.

      ¿Desactivando la protección "SYN Cookies" se previene el problema?

      No. Simplemente se volvería a ser más vulnerable a ataques de tipo SYN Flood

      ¿Todos los dispositivos son vulnerables?

      Según los descubridores, depende mucho del tipo de ataque y del dispositivo. Es posible que el dispositivo tenga que ser reiniciado, pero no siempre se llega a ese punto.

      ¿El problema está en TCP/IP?

      Como nos han comunicado algunos lectores de una-al-día, el problema está en el protocolo TCP/IP, no exclusivamente en IP, como se apuntaba erróneamente en el boletín anterior.

      ¿Por qué ahora todas estas alarmas catastrofistas?

      Aunque dicen conocer el problema desde 2005, Outpost24 se habrá decidido a hacer público este asunto precisamente ahora por varias razones. Primero para intentar proteger y mejorar el sistema. (¿Por qué no?) Kaminsky lo hizo con el fallo de DNS. El problema del BGP no tuvo tanta repercusión mediática pero llamó mucho la atención. La compañía quizás se ha animado finalmente a hacer público sus descubrimientos tras comprobar la publicidad que este tipo de declaraciones puede reportarles. Es evidente que, como siempre ha ocurrido en la publicación de vulnerabilidades novedosas, la búsqueda de notoriedad y prestigio juegue un papel importante, aunque no resta importancia al descubrimiento en sí. Por cierto, también se dijo en la anterior una-al-día que era una empresa finlandesa cuando en realidad es sueca.

      ¿Están exagerando?

      El hecho de ofrecer un poco de información en forma de "cebo" y prometer el resto en conferencias posteriores asegura una buena cantidad de especulación y por tanto mantener a la empresa en boca de todos durante unas semanas. Esto no resta seriedad al potencial fallo.

      ¿Es para tanto?

      Matizan sus afirmaciones hablando siempre de "bajo circunstancias concretas" lo que da a entender que no es tan sencillo reproducirlo. Además, si se trata de una denegación de servicio a través de una inundación de paquetes continuados, hoy en día tenemos los DDoS más potentes que nunca a través de las botnets más grandes del momento. Miles de sistemas zombi infectados bombardean con tráfico (legítimo) las páginas para intentar echarlas abajo, y resulta bastante efectivo. Recurrir a este tipo de vulnerabilidades constituyen una novedad, pero en la práctica existen ya métodos que pueden dar iguales o mejores resultados a los atacantes. Si, hipotéticamente, se hicieran públicos los detalles de este fallo y sacaran una herramienta que permitiese a cualquiera tumbar un servidor con un solo click, protegerse sería sencillo: se bloquearía el acceso desde esa IP... así que para que fuese efectivo el atacante tendría que recurrir a diferentes IPs... o sea, a una botnet. Fyodor, creador de nmap, opina que no es para tanto, pero desde Outpost24, se le ha dicho que no lleva del todo razón en sus suposiciones.

      ¿Internet "se rompe"?

      Este tipo de alertas sobre problemas de base deberían servir para alertar sobre la gran dependencia que tiene hoy en día Internet de protocolos obsoletos. DNS y SMTP por ejemplo, son protocolos antiguos que no tienen en absoluto en cuenta la seguridad, aun así son los más usados en la Red. Estas alertas no deberían servir para vaticinar catástrofes y que cunda el pánico, sino para que todos seamos conscientes de que existe la posibilidad de que se vaya necesitando un cambio en la base de la Red para protegerla convenientemente. En cualquier caso el problema se solucionará, de hecho los principales fabricantes ya están trabajando en ello.

      ¿Sirven de algo estas alertas catastrofistas?

      Si se toman con calma, sí. Por ejemplo, el descubrimiento de Kaminsky ha servido para retomar con fuerza el debate sobre el uso estandarizado de DNSSEC para proteger adecuadamente al inseguro DNS. Aunque será extraño que se implante a corto plazo. Requiere de una infraestructura de certificados y autoridades confiables que puede resultar compleja, e invita al control por parte de una sola gran autoridad certificadora. Es incluso probable que el debate quede en nada una vez más. Las grandes modificaciones son siempre complicadas y costosas aunque quizás cada vez más necesarias.

      Fuente
      Última edición por Velcro fecha: 03/10/08 a las 20:10:57

    2. #2
      Usuario Avatar de Agrevio
      Registrado
      oct 2007
      Ubicación
      Peru
      Mensajes
      1.560

      Re: Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo a toda la Re

      Hola Velcro,

      Gracias por la Info....

      Cita Originalmente publicado por Velcro Ver Mensaje
      Los ingenieros estaban mucho más sorprendidos por el hecho de que la Red simplemente funcionase que preocupados por la seguridad.
      Pues como dice esta parte, al parecer eso es lo que mas les importaba a estos ingenieros, y bueno creo que yo hubiese pensado lo mismo en ese entonces, mas me hubiese preocupado en hacer que la Red funcione, quien de esos ingenieros se hiba a imaginar que hoy en dia hay muchos mas ciberdelincuentes que estan tras cualquier falla....!!

      Saludos...!!

    3. #3
      Ex-Colaborador Avatar de @Fabian_Dres
      Registrado
      ago 2008
      Ubicación
      Chile
      Mensajes
      15.103

      Re: Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo a toda la Re

      ola amigo exelente tu aporte y como dise nuestro forero yo tambie me ubiese preocupado de que funcione en ves de preocuparme por la seguridad, pero creo que en esos año
      s no avian tantos vagos preocupadospor hacer daño como hoy
      e fin la" vagancia es la madre de todos los vicios" solo abra que estar mas atento a las ultimas noticias como tu.

      maestro

    4. #4
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Re: Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo a toda la Re

      Informacion actualizada y agregada al articulo original en el dia de hoy.

      SALUDOS