14-07-2008, 03:39
Un grave fallo de seguridad en internet pone en guardia a los gigantes del sector
Cuando empresas tan enfrentadas como Microsoft, Sun Microsystems o Cisco trabajan codo con codo es señal inequívoca de que algo serio le sucede a la industria. En este caso, negativo. Ha sido Dan Kaminsky, experto en seguridad de IOActive, el que ha levantado la liebre: «Hay un error en las DNS. Funcionan mal, todas las páginas web funcionan mal, todos los email van... a algún sitio, pero quizá no a donde se suponía.»
El sistema de nombres de dominios (DNS, por sus siglas en inglés) es el protocolo por el cual un programa traduce una dirección textual (como ABC.es) en otra numérica (como 212.81.129.38), capaz de ser interpretada por la World Wide Web. Hace seis meses, Kaminsky descubrió por casualidad un fallo de seguridad que permitía relacionar cualquier dirección textual con otra numérica a espaldas de los gestores de la página web. Algo semejante a reordenar los datos de un hipotético listín telefónico mundial; al marcar el número de un vecino podría establecer, sin saberlo, una conferencia internacional.
Sin parangón
Un error sin precedentes en la Red por su tremenda difusión, casi universal. «No sólo afecta a Microsoft y Cisco -subraya Kaminsky-, sino a todo el mundo. Y exactamente de la misma manera». El principal riesgo para el usuario lo supone el «phising» o suplantación de personalidad en internet.
Con un sistema de DNS vulnerable, el navegante no tiene modo alguno de saber quién está al otro lado del monitor cuando completa una gestión bancaria o recurre al comercio electrónico. Números de tarjetas de crédito, datos personales o claves de «email» pueden haber caído en manos de desconocidos si éstos han reparado antes que Kaminsky en el error del sistema. En el pasado, el «phising» ya había hecho de la barra de direcciones del navegador su campo de batalla. Lejos quedaron aquellas pantallas que informaban al internauta de que la dirección que había introducido no existía, o no la había tecleado correctamente. En su lugar surgieron múltiples clones, sitios como «Gogle» o «YooTube», creados ex profeso a imagen y semejanza de sus emulados con el fin de atrapar al usuario despistado. Lo novedoso de esta variante de «phising» es la desprotección absoluta del navegante: escribir correctamente la dirección ya no supone una garantía. En virtud de la proporción, el mayor problema de seguridad que ha sufrido internet requería de unas medidas de la misma naturaleza. Una vez que el experto de IOActive dio el aviso a las grandes empresas informáticas del mundo, éstas se pusieron manos a la obra. Durante medio año han colaborado intensamente, y en completo secreto, para tapar el agujero en la alambrada que separa al usuario del delincuente informático. Ayer, Kaminsky se puso bajo el foco para tranquilizar a la sociedad: «Ya tenemos una solución para la mayoría de las plataformas. Todo está bajo control». Durante esta semana y la próxima, los principales distribuidores de «software» comenzarán a parchear los sistemas domésticos.
La gestión que Kamisky ha hecho de la crisis podría calificarse de utópica. Para un experto en seguridad, hallar un «bug» de esta envergadura equivale a descubrir un galeón hundido lleno de doblones.
La primera opción que pudo contemplar el programador es la de utilizar la información para su provecho personal. Sólo con haber redireccionado una mínima parte de las búsquedas de Google hacia sus empresas hubiese obtenido unos beneficios colosales. Con algo de suerte y cuidado, nadie habría reparado en la trampa, pues nadie conocía la vulnerabilidad del sistema. También desechó la posibilidad de hacerse pasar por un banco o un portal de apuestas, sitios con un intenso tráfico económico.
Sin separarse de la senda legal, Kaminsky también podría haber hecho caja con su revelación, pues normalmente este tipo de informaciones exclusivas se venden al mejor postor, que paga en función del rango de incidencia del problema. No existen registros, ni estimaciones, de cuánto dinero hubiese ofrecido una gran empresa del sector por conocer los pormenores de un problema que afecta a todos los usuarios de internet del mundo.
Estrecha colaboración
Nada más lejos de la realidad. En cuanto reparó en la vulnerabilidad, Dan hizo pública la información y compartió desinteresadamente los detalles técnicos con los gigantes del mundo informático. Es más, ha colaborado estrechamente con ellos durante estos seis meses.
Mientras, el norteamericano ha trabajado en silencio, en el más profundo anonimato, sin revelar ningún dato técnico por temor «a que lo aprovechasen los «hackers»». Ni está arrepentido, ni se atribuye todo el mérito: «Hemos hecho algo importante. Entre todos. Sin colaboración no lo hubiese conseguido». Al fin y al cabo, su único objetivo siempre fue «que mi familia pueda utilizar internet en paz». Dentro de un mes, cuando todos los parches estén instalados en los ordenadores, hará públicos los detalles de la amenaza que él mismo conjuró.
Fuente: http://www.abc.es/20080710/tecnologia-i ... 00304.html
Acá esta el anuncio oficial del CERT: http://www.kb.cert.org/vuls/id/800113
Este es el blog del pibe que descubrió todo hace 6 meses y coordinó el comité para solucionarlo: http://www.doxpara.com/?p=1162
A la derecha de ese blog tienen una herramienta para revisar los DNS que tiene configurado cada uno.
Cuando empresas tan enfrentadas como Microsoft, Sun Microsystems o Cisco trabajan codo con codo es señal inequívoca de que algo serio le sucede a la industria. En este caso, negativo. Ha sido Dan Kaminsky, experto en seguridad de IOActive, el que ha levantado la liebre: «Hay un error en las DNS. Funcionan mal, todas las páginas web funcionan mal, todos los email van... a algún sitio, pero quizá no a donde se suponía.»
El sistema de nombres de dominios (DNS, por sus siglas en inglés) es el protocolo por el cual un programa traduce una dirección textual (como ABC.es) en otra numérica (como 212.81.129.38), capaz de ser interpretada por la World Wide Web. Hace seis meses, Kaminsky descubrió por casualidad un fallo de seguridad que permitía relacionar cualquier dirección textual con otra numérica a espaldas de los gestores de la página web. Algo semejante a reordenar los datos de un hipotético listín telefónico mundial; al marcar el número de un vecino podría establecer, sin saberlo, una conferencia internacional.
Sin parangón
Un error sin precedentes en la Red por su tremenda difusión, casi universal. «No sólo afecta a Microsoft y Cisco -subraya Kaminsky-, sino a todo el mundo. Y exactamente de la misma manera». El principal riesgo para el usuario lo supone el «phising» o suplantación de personalidad en internet.
Con un sistema de DNS vulnerable, el navegante no tiene modo alguno de saber quién está al otro lado del monitor cuando completa una gestión bancaria o recurre al comercio electrónico. Números de tarjetas de crédito, datos personales o claves de «email» pueden haber caído en manos de desconocidos si éstos han reparado antes que Kaminsky en el error del sistema. En el pasado, el «phising» ya había hecho de la barra de direcciones del navegador su campo de batalla. Lejos quedaron aquellas pantallas que informaban al internauta de que la dirección que había introducido no existía, o no la había tecleado correctamente. En su lugar surgieron múltiples clones, sitios como «Gogle» o «YooTube», creados ex profeso a imagen y semejanza de sus emulados con el fin de atrapar al usuario despistado. Lo novedoso de esta variante de «phising» es la desprotección absoluta del navegante: escribir correctamente la dirección ya no supone una garantía. En virtud de la proporción, el mayor problema de seguridad que ha sufrido internet requería de unas medidas de la misma naturaleza. Una vez que el experto de IOActive dio el aviso a las grandes empresas informáticas del mundo, éstas se pusieron manos a la obra. Durante medio año han colaborado intensamente, y en completo secreto, para tapar el agujero en la alambrada que separa al usuario del delincuente informático. Ayer, Kaminsky se puso bajo el foco para tranquilizar a la sociedad: «Ya tenemos una solución para la mayoría de las plataformas. Todo está bajo control». Durante esta semana y la próxima, los principales distribuidores de «software» comenzarán a parchear los sistemas domésticos.
La gestión que Kamisky ha hecho de la crisis podría calificarse de utópica. Para un experto en seguridad, hallar un «bug» de esta envergadura equivale a descubrir un galeón hundido lleno de doblones.
La primera opción que pudo contemplar el programador es la de utilizar la información para su provecho personal. Sólo con haber redireccionado una mínima parte de las búsquedas de Google hacia sus empresas hubiese obtenido unos beneficios colosales. Con algo de suerte y cuidado, nadie habría reparado en la trampa, pues nadie conocía la vulnerabilidad del sistema. También desechó la posibilidad de hacerse pasar por un banco o un portal de apuestas, sitios con un intenso tráfico económico.
Sin separarse de la senda legal, Kaminsky también podría haber hecho caja con su revelación, pues normalmente este tipo de informaciones exclusivas se venden al mejor postor, que paga en función del rango de incidencia del problema. No existen registros, ni estimaciones, de cuánto dinero hubiese ofrecido una gran empresa del sector por conocer los pormenores de un problema que afecta a todos los usuarios de internet del mundo.
Estrecha colaboración
Nada más lejos de la realidad. En cuanto reparó en la vulnerabilidad, Dan hizo pública la información y compartió desinteresadamente los detalles técnicos con los gigantes del mundo informático. Es más, ha colaborado estrechamente con ellos durante estos seis meses.
Mientras, el norteamericano ha trabajado en silencio, en el más profundo anonimato, sin revelar ningún dato técnico por temor «a que lo aprovechasen los «hackers»». Ni está arrepentido, ni se atribuye todo el mérito: «Hemos hecho algo importante. Entre todos. Sin colaboración no lo hubiese conseguido». Al fin y al cabo, su único objetivo siempre fue «que mi familia pueda utilizar internet en paz». Dentro de un mes, cuando todos los parches estén instalados en los ordenadores, hará públicos los detalles de la amenaza que él mismo conjuró.
Fuente: http://www.abc.es/20080710/tecnologia-i ... 00304.html
Acá esta el anuncio oficial del CERT: http://www.kb.cert.org/vuls/id/800113
Este es el blog del pibe que descubrió todo hace 6 meses y coordinó el comité para solucionarlo: http://www.doxpara.com/?p=1162
A la derecha de ese blog tienen una herramienta para revisar los DNS que tiene configurado cada uno.
