Últimos Cambios
Blog personal: El hilo del laberinto
|
|
|
Últimos Cambios |
|
Blog personal: El hilo del laberinto
|
|
|
Última Actualización: 27 de Octubre de 1.999 - Miércoles
Artículo escrito el 21/Oct/98 y publicado en
Linux Actual, número 5, páginas 68 y 69
Desde Noviembre de 1.997 se está desarrollando un concurso mundial, cuyo objetivo de demostrar al Gobierno de EE.UU. que su legislación sobre exportación criptográfica impone restricciones excesivas, y que no garantiza en absoluto la seguridad de la información transmitida y almacenada. El premio son 10.000 dólares. Se puede encontrar más información en la página de la empresa RSA, promotora del reto.
Hay un esfuerzo coordinado, denominado "bovine", en el que diferentes equipos compiten entre sí. Puede encontrarse más información en http://www.distributed.net/rc5/.
Uno de estos equipos es el llamado "Equipo Hispano RC5-64 (eÑe Power)", en el puesto 166 mundial (a fecha 21 de Octubre). Podéis encontrar más información sobre él en:
http://www.arnal.es/rc5/
http://www.argo.es/~jcea/artic/rc5-6401.htm
http://www.argo.es/~jcea/artic/rc5-6403.htm
http://www.argo.es/~jcea/artic/rc5-64sts.htm
http://www.arnal.es/rc5/nota.jpg
Toda ayuda es poca, así que si tienes ciclos de CPU libres, ya sabes dónde invertirlos :).
Existe una lista de correo electrónico de coordinación del grupo, de acceso libre, a la que podéis suscribiros enviando un mensaje a "majordomo@arnal.es", con el cuerpo "subscribe rc5". Su tráfico es muy reducido.
Apenas 10 días después de aparecer el Kernel 2.0.35 se empiezan a publicar parches para él, orientados al futuro 2.0.36. Lo cierto es que desde la 2.0.33 las cosas no han sido lo mismo. Personalmente, sigo considerando ese Kernel bastante estable, sobre todo una vez que instalas el parche contra el ataque "Nestea" que describí en el número de Julio.
De momento se han publicado catorce parches. Pequeños porque miden muy poco, y grandes porque corrigen un buen número de problemas importantes, entre ellos una incomprensible inestabilidad con las tarjetas de red 3COM. Y digo incomprensible porque bajo 2.0.33 la misma tarjeta funciona perfectamente.
En el segundo parche se han corregido numerosos bugs, se ha añadido soporte para más de 64Mbytes de memoria, y se incluye el "Traffic Shapper". Hay otras muchas mejoras, sobre todo en RDSI y SCSI. Una de las novedades del tercer parche es la adición al Kernel de un módulo de sonido. Eso, por cierto, ha sido algo que se ha eliminado con el cuarto parche que, además, corrige más bugs (los bugs nunca se terminan) e incluye nuevos y necesitados drivers para las tarjetas de red Tulip y 3c509. El séptimo parche incorpora, entre otras codas, soporte para Cyclades.
El parche 11 corrige una deficiencia de gestión de los paquetes ARP cuando la interfaz Ethernet está en modo promiscuo. Como nota curiosa, esa "deficiencia" es lo que permitía al programa "NePED" hacer su trabajo a la hora de detectar "sniffers" en una red. Ese programa se puede encontrar en http://savage.apostols.org/projects.html.
Hasta el momento se han publicado catorce parches "Pre 2.0.36". Dado sus pequeños tamaños y el alcance de los problemas que solucionan, recomiendo que se instalen cuanto antes si ya se está utilizando 2.0.35. Como todos los parches no oficialmente incorporados a la distribución del Kernel, estos se pueden encontrar en ftp://ftp.uk.linux.org/pub/linux/alan/2.0.36pre/.
Por otra parte otras personas están publicando también parches para 2.0.35, algunos de los cuales corrigen fallos bastante molestos. Podeis encontrar algunos de ellos en http://www.altern.org/andrebalsa/linux/.
En el número anterior advertimos sobre la grave posibilidad de ejecutar código arbitrario si se leen los mensajes electrónicos con los módulos de e-mail de Netscape y Microsoft Explorer. Comentábamos, también, que Eudora parecía no ser vulnerable a dicho ataque, aunque se mostraba inestable al procesar mensajes con modificaciones maliciosas. En esta ocasión, no obstante, el problema es real y sencillo de explotar.
El problema parece derivado del uso del navegador web por parte del Eudora (nueva funcionalidad del Internet Explorer 4.x), ya que ello permite alimentarle ficheros locales que, por definición, se consideran "confiables". Esos ficheros parecen inocuos gracias al uso de Java o JavaScript para ocultarlos. Por ejemplo, la invocación de un ejecutable local puede parecer inocua si el enlace es una URL "normal", pero se invoca el ejecutable mediante, por ejemplo, el evento JavaScript "onclick".
La solución, mientras no se instala una versión actualizada, pasa por deshabilitar la opción de usar el visor Microsoft (el navegador web) desde el Eudora. Son vulnerables los usuarios de Eudora Pro Email 4.0 y 4.0.1, así como Eudora Pro CommCenter 4.0 y 4.0.1. Los usuarios de Eudora Lite o de versiones anteriores del Eudora Pro no son vulnerables. Es muy posible que otros programas, que utilicen las nuevas características de "browsing" del Internet Explores 4.x y/o Windows 98, sean también vulnerables, lo que plantea serias dudas sobre la fiabilidad de un entorno con confluencias Web-Desktop, como ocurre con el reciente Windows 98.
Más información en:
Por otra parte, el pasado 11 de Agosto Microsoft distribuyó la tercera versión de sus parches para Outlook Express y Outlook 98. Sí, ¡¡la tercera versión de ese parche tan necesario para evitar que cualquiera que nos mande un mensaje electrónico ejecute lo que quiera en nuestra máquina!!. Más información en http://www.microsoft.com/security/bulletins/ms98-008.htm.
En cuanto a Netscape, ha hecho pública la versión 4.06 de su Communicator, que corrige éste y otros problemas. Puede encontrarse en http://home.netscape.com/download/index.html.
Estos fallos de seguridad en los lectores de correo son muy graves y no deben ser tomados a la ligera. Tal y como comentaba en el número anterior, al ser imposible que todos los usuarios actualicen sus sistemas, la solución pasa por instalar filtros en los servidores de correo de los ISPs (Internet Service Provider). En su momento ya mencionamos las nuevas reglas Procmail.
Enhancing E-Main Security With Procmail
El propio Sendmail tiene disponibles ya parches para convertir los mensajes problemáticos en tránsito, de forma transparente:
A finales de Julio un grupo que se hace llamar "Cult of the Dead Cow" distribuyó un programa llamado "Back Orifice". Ese programa es un caballo de troya que hace que la máquina en la que lo instalemos se pueda administrar desde un servidor remoto, incluyendo la manipulación de ficheros y la ejecución de software. Este programa funciona en Windows 95/98. Naturalmente no debemos instalarlo ni ejecutarlo. Como nota curiosa, se está distribuyendo un ejecutable llamado "toilet paper", que presuntamente desinstala el "back orifice". Se están distribuyendo también una buena cantidad de "presuntos" desinstaladores de "back orifice" que son, en realidad, el propio "back orifice" camuflado...
Otro programa similar, aunque más sencillo de detectar, es el NetBUS.
Para más información:
http://www.cultdeadcow.com/news/back_orifice.txt
http://members.spree.com/netbus
http://www.iss.net/xforce/alerts/advise8.html
http://www.nwi.net/~pchelp/bo/findingBO.htm
Lo último descubierto sobre el "Back Orifice", que no tiene desperdicio, es que el propio troyano... ¡contiene un troyano!. Es decir, cualquiera que esté utilizando el "Back Orifice" para gestionaro espiar máquinas remotas, está sujeto a que los autores originales le hagan lo mismo a él. Más información en:
Con los problemas de desbordamiento MIME que no acaban de solucionar (ya han sacado unos tres parches consecutivos), siguen publicitándose más problemas. Uno de ellos permite que un atacante malicioso mate los servicios SMTP (correo) y NNTP (news) del Microsoft Exchange 5.0 y 5.5. El otro es parecido a la vulnerabilidad "::$DATA" que publicamos en el último número: cualquier página ASP en cuya URL local aparezca un "punto", se mostrará como "fuente" al usuario, en vez de ejecutarse en el servidor Internet Information Server:
http://support.microsoft.com (base de conocimientos Q188369 y Q188341)
http://www.microsoft.com/security/
http://ciac.llnl.gov/ciac/bulletins/i-080.shtml
Hace un par de números publicamos un aviso de diversas vulnerabilidades en la implementación PPTP de Microsoft. Tras unas semanas, L0PHT ha publicado un "sniffer" para atacarlo. Pocos días después Aleph One publicó su propia versión, más transportable al usar la librería libpcap. Además dicha versión tiene diversas posibilidades de ataque:
http://www.l0pht.com/l0phtcrack/dist/pptp-sniff.tar.gz
http://www.l0pht.com/l0phtcrack/dist/anger.tar.gz
Microsoft, por su parte, ha publicado un parche para su PPTP, incluyendo modificaciones al cliente Windows 95. Todavía es demasiado pronto para analizar si la nueva implementación corrige todos los problemas documentados:
http://www.microsoft.com/security/bulletins/ms98-012.htm
http://www.microsoft.com/communications/pptpfinal.htm
Por último, Microsoft a publicado un parche para sus librerías RPC, que hacían que un atacante malicioso pudiese crear un bucle de paquetes entre dos servidores Windows NT, disparando en consumo de ancho de banda y el consumo de CPU:
http://support.microsoft.com/support/kb/articles/q193/2/33.asp
http://www.microsoft.com/security/bulletins/ms98-014.htm
El 12 de Agosto Cisco difundió un aviso de seguridad para sus dispositivos con IOS 9.1 o superior. El problema es que cualquier atacante con acceso al "login prompt" puede colgar la máquina. No es necesario conocer ninguna clave. La solución consiste en utilizar las ACLs para para limitar el acceso exclusivamente desde puestos o redes confiables. Cisco ha publicado, también, una revisión de sus IOS.
http://www.cisco.com/warp/public/770/ioslogin-pub.shtml
http://www.ciac.org/ciac/bulletins/i-084.shtml
Existe una grave vulnerabilidad en diversos demonios "mountd" y "nfsd", que permite ejecutar código arbitrario en el servidor, normalmente con privilegios de "root". Están afectadas versiones como "knfsd" anterior a 0.4.22, "nfs-server" anterior a 2.2beta37.
http://www.redhat.com/support/docs/rhl/rh51-errata-general.html#nfs
ftp://linux.mathematik.tu-darmstadt.de/pub/linux/people/okir/
El pasado 16 de Agosto se presentó un ataque criptoanalítico a una de las propuestas AES, conocida como "frog". AES es la abreviatura de "Advanced Encryption Standard", llamado a sustituir al popular pero vapuleado DES (Data Encryption Standard). AES es un concurso público y abierto, al que han presentado candidatos numerosas empresas y desarrolladores de todo el mundo. Los autores del ataque han sido los miembros de Counterpane, entre ellos el célebre Bruce Schneier, empresa responsable también de documentar y publicitar las numerosas deficiencias criptográficas de la implementación PPTP de Microsoft, tal y como comentamos en el número de Julio.
Unos días más tarde, el 20 de Agosto, el mismo equipo presentó el criptoanálisis de otra propuesta AES: "Magenta". Dicho algoritmo fue presentado por "Deutsche Telekom AG", la compañía telefónica alemana.
THE "FROG" ENCRYPTION ALGORITHM
Más información sobre los OpenBadges
Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS
