Últimos Cambios |
||
Blog personal: El hilo del laberinto |
Última Actualización: 31 de Julio de 1.998 - Viernes
Artículo escrito el 08/Jun/98 y publicado en
Linux Actual, Julio 98, número 3, página 70
El servidor de DNS está dándonos bastante guerra últimamente. Si primero fue el DNS Spoof, ahora nos enfrentamos a tres problemas combinados que, entre otras cosas, permiten ejecutar código arbitrario en nuestro servidor... como superusuario. El aviso se puede ver en http://www.cert.org/advisories/CA-97.22.bind.html. Los fallos se están explotando activamente en el mundo Linux, así que resulta más que recomendable actualizarse a BIND 8.1.2, disponible en http://www.isc.org/bind.html.
Ya está disponible el largamente esperado SENDMAIL 8.9, que incorpora, entre otras cosas, reglas anti relay "de serie". Cualquier administrador serio las habrá instalado ya en su fichero de configuración, pero así ya no tendremos que preocuparnos nunca más del asunto (optimista que es uno :-). Hay otras muchas mejoras en el ámbito de la seguridad, incluyendo una que puede dar bastante guerra: El ignorar ficheros ".forward", "include", etc., contenidos en directorios "inseguros". Para el nuevo SENDMAIL un directorio inseguro es aquel en el que puede escribir el grupo (o todo el mundo). Es decir, se obliga a que esos directorios se configuren para que pueda escribir exclusivamente su propietario. Ni que decir que ello va a dar dolores de cabeza a más de uno. En particular, el "majordomo" instala sus listas en un directorio escribible por su grupo. Hala, a quedarse un par de noches sin dormir :-).
La nueva versión del sendmail se puede encontrar en http://www.sendmail.org/.
Por cierto, resulta interesante echar un vistazo a http://www.sendmail.com/. Ojo, es "com", y no "org". Como valor añadido ofrecen soporte, entre otras cosas. ¿SENDMAIL seguirá siendo público y gratuito?. Más información en los próximos meses.
Desde el pasado mes de Noviembre se está desarrollando un concurso mundial con el objetivo de demostrar al Gobierno de EE.UU., que su legislación sobre exportación criptográfica impone restricciones excesivas y que no garantiza en absoluto la seguridad de la información transmitida y almacenada. El premio son 10.000 dólares. Se puede encontrar más información en la página de la empresa RSA, promotora del reto.
Hay un esfuerzo coordinado, denominado "bovine", en el que diferentes equipos compiten entre sí. Puede encontrarse más información en http://www.distributed.net/rc5/.
Uno de estos equipos es el llamado "Equipo Hispano RC5-64 (eÑe Power)", en el puesto 150 mundial (a fecha 8 de Junio). Podéis encontrar más información sobre él en:
http://www.arnal.es/rc5/
http://www.argo.es/~jcea/artic/rc5-6401.htm
http://www.argo.es/~jcea/artic/rc5-64sts.htm
http://www.arnal.es/rc5/nota.jpg
Toda ayuda es poca, así que si tienes ciclos de CPU libres, ya sabes dónde invertirlos :-)
A primeros de Mayo se publicaron los detalles de un nuevo tipo de ataque de fragmentación TCP/IP, llamado "Nestea", aunque esta vez parece que solo son vulnerables las máquinas con Linux. En menos de 48 horas del anuncio, Alan Cox distribuyó un sencillo parche para 2.0.33 que solucionaba el problema. Si tienes una versión 2.0.33 puedes encontrar el parche en ftp://ftp.uk.linux.org/pub/linux/alan/2.0.34pre/. En cualquier caso lo más recomendable es actualizar al nuevo Kernel 2.0.34, recién salido del horno.
El pasado 4 de Junio se hizo público el nuevo Kernel 2.0, la versión 2.0.34, y es de esperar que para cuando leais este artículo ya esté disponible en los "mirrors" habituales. Entre otras muchas cosas, esta versión corrige el ataque "nestea" descrito en el párrafo anterior.
Como siempre, puedes encontrar el código en ftp://ftp.uk.linux.org/pub/linux/linux-2.0/. Si lo que quieres son los "diffs" respecto a 2.0.33 o más información sobre el nuevo Kernel, lo encontrarás en http://www.linuxhq.com/.
Aparte de corregir el ataque "nestea", este Kernel soluciona algunos problemas de gestión de memoria bajo situaciones de elevada carga, incorpora nuevos y numerosos "drivers", etc. Su instalación es realmente recomendable.
Por cierto, hay que compilarlo con GCC 2.7.2., no se puede utilizar el nuevo GCC 2.8. Misterios insondables de la informática...
PPTP es un protocolo para encapsular, entre otras cosas, conexiones PPP en una red con tecnología internet. Ello permite crear redes privadas virtuales distribuidas por internet. En la implementación de Microsoft existen varios puntos negros, como el uso del "hashes" Lan Manager si estamos trabajando con máquinas Windows 95 (y NT si no se configura bien). Pero la joya de la corona, sin duda, es el empleo inseguro del algoritmo de cifrado RC4, tal y como se indica en http://www.counterpane.com/pptp.html. Esto, en la práctica, implica que cualquier red privada virtual que utilice la implementación PPTP de Microsoft está sujeta a filtrado de información a la competencia, denegación de servicio, etc.
La moraleja, como siempre, consiste en huir siempre que sea posible de soluciones propietarias no sujetas al escrutinio público, sobre todo cuando estamos hablando de seguridad. Un sistema que pretende ser seguro no debe basarse para ello en la confidencialidad de ninguno de sus detalles de funcionamiento porque, se haga lo que se haga, siempre acaban por hacerse públicos y, entonces, estamos perdidos.
Llevábamos meses discutiendo sobre el tema en las listas de cypherpunks; me alegro que se haya llegado a un resultado tan rotundo.
¿Alternativas?. Dejando al margen que PPTP dejará pronto paso al L2TP, actualmente en fase borrador (aunque muy avanzado), lo más conveniente es utilizar sistemas basados en el estándar IPsec, como puede ser el SKIP (http://skip.incog.com/). Para Linux existe una implementación cuyos resultados de interoperatividad se pueden comprobar en la siguiente página RSA: http://www.rsa.com/rsa/SWAN/swan_test.htm. Los fuentes están en ftp://ftp.tik.ee.ethz.ch/pub/packages/skip/.
Más información sobre los OpenBadges
Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS