Últimos Cambios |
||
Blog personal: El hilo del laberinto |
Última Actualización: 3 de Noviembre de 1.999 - Miércoles
Artículo escrito el 30/Jul/98 y publicado en Linux Actual, Número 4.
El artículo original fue considerablemente recortado.
Lo que aquí se publica es la versión íntegra, tal y como la escribí.
Apenas unas semanas después de la aparición oficial de la versión 8.9 del Sendmail, tenemos a nuestra disposición la nueva 8.9.1. Afortunadamente no tenemos que preocuparnos, ya que en esta ocasión las modificaciones son más cosméticas que de seguridad. En todo caso siempre es buena idea estar actualizado en este mundillo, y resulta recomendable visitar http://www.sendmail.org/.
Para quien no lo sepa, PKCS #1 es un estándar RSA para criptografía de clave pública. Entre otras cosas se utiliza en el cifrado utilizado en el SSL (Secure Socket Layer), base del HTTPS alrededor del cual se articula todo lo que son los servidores web seguros. El ataque, descubierto por un investigador de los Laboratorios Bell, permite descifrar un paquete PKCS #1 en base a mandarle al servidor mensajes convenientemente construidos y manipulados, y de observar sus respuestas.
El ataque no es muy práctico, ya que requiere un número de envíos al servidor muy elevado (en torno al millón, concretamente dos elevado al número de bits de la clave secreta del servidor), por lo que muchos dormirán tranquilos. Los paranoicos tenemos la suerte de que la vulnerabilidad se ha tomado en serio, y casi todos los suministradores de servidores web han tomado cartas en el asunto. RSA, por su parte, ha publicado una revisión del PKCS #1 (llamado, sorprendentemente :-), PKCS #1 v2) que soluciona el problema. Todavía no es oficial, a la espera que la comunidad científica lo revise y lo estudie con detenimiento.
El ataque sólo permite leer los datos de una sesión (o añadir datos a la misma, o nuevas conexiones bajo ella), no recuperar la clave asimétrica secreta del servidor.
Para más información:
Bell Labs: Bell Labs Researcher Finds a Flaw in Widely Used Encryption Standard
RSA Laboratories - New Threat Discovered and Fixed
RSA Laboratories - Bulletin #7
RSA Laboratories - Public Key Cryptography Standards
SSLeay Announcement - PKCS#1 padding attack
Bajo Windows NT un fichero puede contener varios "recursos" asociados (en este sentido se parece el sistema de ficheros de Macintosh). Recursos que, hasta el momento, no son mostrados ni auditados por ninguna de las herramientas tradicionales, lo que permite el uso de los mismos como ocultos "NTFS Alternate Data Streams". Las posibilidades son interesantes, aunque es necesario poder escribir en el disco, lo que no es inmediato desde una máquina remota.
Más útil aún resulta el hecho de que los diversos recursos asociados a un fichero NTFS pueden leerse desde Internet sin más que indicar el selector "::$recurso" al final de la URL. En particular puede indicarse el recurso "::$DATA", lo que devuelve el propio fichero.
En principio esto no parece tener implicaciones prácticas, ya que los ficheros presentes en un servidor web no acostumbran a contener recursos adicionales al propio contenido del fichero. ¿Fin de la historia?. Pues no. Cuando la página que se está solicitando es una "página activa" (una página ejecutada por el propio servidor), el servidor no la reconoce como tal y, en vez de ejecutarla localmente, nos la manda como si fuera un vulgar fichero de texto. Lo que ello implica está bastante claro cuando se piensa que muchos ASP (Active Server Pages) contienen accesos a bases de datos, construcción de formularios y demás información, ahora a disposición de cualquiera.
¿Cómo solucionar el problema?. La solución inicial propuesta es bastante simple: quitar el acceso de lectura a esos ficheros, dejándoles -eso sí- el de ejecución. Otra posible alternativa es asegurarse de añadir esas extensiones en los "Appplication Maps" del servidor web.
Microsoft ha sacado parches oficiales para la familia IIS (Internet Information Server), aunque es vulnerable casi cualquier servidor Web sobre NT.
Microsoft Security Advisor Program
File Access issue with Internet Information Server
Cumpliendo su ciclo de seis meses, el pasado 13 de Julio RSA hizo público su segundo reto DES II. Para sorpresa de algunos y satisfacción de muchos, se encontró la clave al cabo de apenas ¡¡56 horas!!. Los vencedores no han sido distributed.net, sino una máquina especialmente diseñada para la tarea por EFF (Electronic Frontier Foundation). Se han ganado un premio de 10.000 dólares, han demostrado (una vez) más que el DES no es seguro y han puesto el listón muy alto para el DES II-3, a celebrar en Enero de 1.999.
Se ha editado incluso un libro sobre el particular, cuya compra puedes hacer online. Al menos puedes hacerlo si eres ciudadano estadounidense, ya que el libro está sujeto a restricciones de exportación debido a su contenido. Ya existen proyectos para escanear el libro y hacerlo público en internet, en alguna máquina externa a los Estados Unidos, como en su día se hizo con el PGP 5.X.
La clave DES II-2 a buscar era 3E CD A1 5E 70 4F B3 1C. El texto cifrado decía: "The unknown message is: It's time for those 128-, 192-, and 256-bit keys".
Podéis encontrar más información en:
Electronic Frontier Foundation
Desde el pasado mes de Noviembre se está desarrollando un concurso mundial, cuyo objetivo de demostrar al Gobierno de EE.UU. que su legislación sobre exportación criptográfica impone restricciones excesivas, y que no garantiza en absoluto la seguridad de la información transmitida y almacenada. El premio son 10.000 dólares. Se puede encontrar más información en la página de la empresa RSA, promotora del reto.
Hay un esfuerzo coordinado, denominado "bovine", en el que diferentes equipos compiten entre sí. Puede encontrarse más información en http://www.distributed.net/rc5/.
Uno de estos equipos es el llamado "Equipo Hispano RC5-64 (eÑe Power)", en el puesto 150 mundial (a fecha 8 de Junio). Podéis encontrar más información sobre él en:
http://www.argo.es/~jcea/artic/rc5-6401.htm
http://www.argo.es/~jcea/artic/rc5-64sts.htm
http://www.arnal.es/rc5/nota.jpg
Toda ayuda es poca, así que si tienes ciclos de CPU libres, ya sabes dónde invertirlos :-).
Existe una lista de correo electrónico de coordinación del grupo, de acceso libre, a la que podéis suscribiros enviando un mensaje a "majordomo@arnal.es", con el cuerpo "subscribe rc5". Su tráfico es muy reducido.
Aunque ésta sea una revista consagrada el mundo Linux, muchos de nosotros tenemos que padecer el ser administradores de sistemas híbridos Linux/Unix/Windows. Ello nos obliga, entre otras cosas, a estar permanentemente al día en cuestiones de seguridad. En ese sentido es de agradecer la iniciativa de Microsoft de crear una lista de correo de boletines de seguridad, como fuente adicional (y "oficial") de información.
Para saber más:
http://www.microsoft.com/security/
http://www.microsoft.com/security/bulletin.htm
El pasado 13 de Julio se hizo público el nuevo Kernel 2.0, la versión 2.0.35, cinco semanas después de distribuirse la 2.0.34.
Como siempre, podéis encontrar el código en ftp://ftp.uk..linux.org/pub/linux/linux-2.0/. Si lo que quieres son los "diffs" respecto a 2.0.34 o más información sobre el nuevo Kernel, la encontrarás en http://www.linuxhq.com/.
Este Kernel corrige varios problemas con dispositivos SCSI, RDSI y determinadas impresoras, amén de media docena de pequeños fallos de seguridad. Entre las mejoras destacan el soporte RAID en el propio Kernel, la significativa mejora del módulo AX.25 (radiopaquete), soporte IDE por el puerto paralelo, mejora en los algoritmos de "swapping" y el "backporting" de un par de mejoras desarrolladas para los Kernels 2.1.x. Todo eso y mucho más con un parche de 461Kbytes (comprimido).
Por cierto, hay que compilarlo con GCC 2.7.2., no se puede utilizar el nuevo GCC 2.8. Misterios insondables de la informática...
Se pueden encontrar referencias al problema en:
http://lwn.net/980212/a/alan-gcc.html
http://lwn.net/980212/a/linus-gcc.html
Lamentablemente este Kernel tiene una buena cantidad de problemas, como en su día el 2.0.34, lo que da pie al punto siguiente:
Apenas 10 días después de aparecer el Kernel 2.0.35 se empiezan a publicar parches para él, orientados al futuro 2.0.36. Lo cierto es que desde la 2.0.33 las cosas no han sido lo mismo. Personalmente, sigo considerando ese Kernel bastante estable, sobre todo una vez que instalas el parche contra el ataque "Nestea" que describí en el último número.
De momento se ha publicado un pequeño gran parche. Pequeño porque mide solo 4kbytes comprimido, y grande porque corrige un buen número de problemas importantes, entre ellos una incomprensible inestabilidad con las tarjetas de red 3Com. Y digo incomprensible porque bajo 2.0.33 la misma tarjeta funciona perfectamente.
Dado su pequeño tamaño y el alcance de los problemas que soluciona, recomiendo que se instale cuanto antes si ya se está utilizando 2.0.35. Como todos los parches no oficialmente incorporados a la distribución del Kernel, éste se puede encontrar en ftp://ftp.uk.linux.org/pub/linux/alan/2.0.36pre/.
Por otra parte otras personas están publicando también parches para 2.0.35, algunos de los cuales corrigen fallos bastante molestos. Podeis encontrar algunos de ellos en http://www.altern.org/andrebalsa/linux/.
Hace unos meses el demonio IMAP nos dio un buen susto, permitiendo ejecutar comandos arbitrarios como "root" gracias a un fallo de overflow en el "parsing" de los comandos. Lamentablemente, las cosas no quedaron ahí. A mediados de Julio se han descubierto un buen número de vulnerabilidades en la implementación IMAP más difundida, la de la universidad de Washington. El 20 de Julio se hizo público un aviso CERT (CERT Advisory CA-98.09), en el que podéis encontrar las indicaciones de cómo y dónde actualizar vuestra versión.
Es imprescindible actualizarse lo antes posible. Este ataque está siendo explotado de forma masiva mediante scripts automáticos
Tras una larga discursión en la lista de correo "bugtraq", el pasado 27 de Julio se hizo público un aviso de seguridad en el paquete NCURSES. El problema, como siempre, es que se trata de un programa SETUID que no suelta sus privilegios ni a tiros. Actualizaros cuanto antes y podréis dormir más tranquilos.
De momento el aviso se refiera a las versiones incluidas en la distribución Red-Hat.
Por fin (desgraciadamente) se ha hecho realidad la peor de nuestras pesadillas: la ejecución de código arbitrario por el simple hecho de recibir un correo electrónico.
Efectivamente, el 27 de Julio se hizo público una vulnerabilidad en los programas de correo y news de Microsoft y Netscape, en la gestión de los separadores en los mensajes MIME multiparte. Según el aviso, si los separadores y/o nombres de fichero tienen una longitud exagerada o un formato especial, se produce un desbordamiento, con la consecuencia del cuelgue o "crash" del programa lector. Si el remitente es lo suficientemente hábil y malicioso, el desbordamiento puede ocasionar la ejecución de código arbitrario en la máquina del usuario.
Las implicaciones son espeluznantes. Dada la extrema difusión de ambos sistemas en Internet y el creciente uso del correo electrónico y news entre los usuarios particulares y las empresas, las consecuencias pueden ser, realmente, inconmensurables.
La actitud de Microsoft ha sido, en esta ocasión, envidiable: Su tiempo de reacción permite disponer de parches al mismo tiempo que se hace público el aviso de seguridad (aunque no para toda su gama de productos). Claro que han tenido que sacar dos parches, con un par de días de diferencia, para solucionar el problema. Netscape, en cambio, suspende. Saca su aviso de seguridad tres días más tarde que Microsoft y no proporciona ningún parche, la promesa de uno en unas semanas. Afortunadamente proporcionan consejos para localizar posibles mensajes maliciosos y la forma de reducir el riesgos de vulnerabilidad. Algo es algo...
De momento el único programa de correo que se salva, entre los más difundidos, es el Pegasus Mail. Habrá que plantearse el instalarlo :). En cuanto al Eudora, aunque parece no vulnerable a este problema exactamente, durante las pruebas sí mostró inestabilidades.
No obstante, como hace notar Russ Cooper, este problema no se soluciona simplemente editando versiones nuevas de los programas y sacando parches para las antiguas. La mayoría de los usuarios de Internet no actualizarán su software, ya sea por desconocer el problema, por falta de interés o comodidad, o por falta de recursos en sus máquinas. Ello me hace coincidir con Russ en la visión apocalíptica del problema, en sus tremendas e imparables repercusiones. Cualquier día el problema nos reventará en las narices y se producirá el colapso.
Piensa en lo que significa poder ejecutar código arbitrario en un ordenador ajeno por el simple hecho de enviarle un mensaje. Piensa en lo que puede implicar que ese código envíe, por ejemplo, copia de sí mismo a todo el bloc de direcciones del usuario. El resultado es un virus cuya propagación es prácticamente imparable y cuyas consecuencias son, sencillamente, imprevisibles. Un virus que puede acceder o destruir cualquier información en nuestros discos duros, y tomar el control de nuestras máquinas para hacer lo que le plazca.
Supón también que ese mensaje malicioso se publica en las news, sistema de foros accedido diariamente por millones de personas.
Sencillamente, para echarse a temblar.
Sospecho que la solución viene de la mano de instalar software de filtrado y control en los servidores. Dado que es imposible asegurarse de que siquiera una pequeña parte de los usuarios se actualicen, la única forma de evitar una (o muchas) crisis va a ser que los propios demonios de envío y recepción de correo entre nodos vigilen lo que circula por ellos. Tiempo al tiempo. Por lo pronto, el autor del célebre programa "Procmail" ya lo ha actualizado para procesar automáticamente los mensajes maliciosos, creando una versión inocua.
También son vulnerables algunas pasarelas de correo. Por ejemplo, por lo que parece, el Lotus Notes Server 4.5x. Las versiones 4.6x parecen más estables.
Microsoft Security Advisor Program
Microsoft Security Bulletin (MS98-008)
Los parches para Outlook98 y Outlook Express
Long Filename Mail Vulnerability
Pues sí, otro más. Y de buen calibre, por cierto, ya que permite que cualquier usuario con privilegios para ejecutar código (osea, cualquiera con acceso a la máquina) puede elevar sus privilegios a "administrador". Al parecer el fallo afecta a todas las versiones de Windows NT, incluyendo las betas del 5.0. Casi nada, vaya...
Más información sobre los OpenBadges
Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS