Llegamos a ustedes gracias a:



Noticias

Peligrosa falla de seguridad probablemente sea una trampa

[09/07/2009] La afirmación de una vulnerabilidad de software en un programa utilizado para conectar en forma segura servidores en Internet es probablemente una trampa, de acuerdo a un analista de SANS Internet Storm Center.

El programa, llamado OpenSSH (Secure Shell), se encuentra instalado en decenas de millones de servidores creados por proveedores como Red Hat, Hewlett-Packard, Apple e IBM. Es utilizado por los administradores para realizar conexiones encriptadas con otras computadoras, y realizar tareas tales como la actualización remota de archivos. OpenSSH es la versión de código abierto, y hay versiones comerciales del programa.
A inicios de esta semana, SANS recibió un correo electrónico anónimo señalando una vulnerabilidad de día cero en OpenSSH, lo cual significa que una falla en el software ya estaba siendo explotada al ser pública. Es el tipo más peligroso de vulnerabilidad de software ya que significa que no hay arreglo para ella aún y que los chicos malos saben esto.
Una verdadera vulnerabilidad de día cero en OpenSSH podría ser devastadora para Internet, permitiendo a los hackers tener carta blanca para acceder a servidores y PC, hasta que esté lista una solución temporal o un parche.
Esa es la razón por la que creo que las personas están realmente creando mucho pánico, señaló Bojan Zdrnja, analista de SANS y consultor senior de Seguridad de la Información de Infigo, compañía de seguridad y evaluación de penetración de Zagreb, Croacia. Las personas no deben caer en pánico ahora. Nada hasta el momento señala de que exista un exploit que esté siendo usado.
La evidencia de una verdadera vulnerabilidad de día cero en OpenSSH es débil, indicó. Hasta el momento, los analistas no han visto que se esté trabajando un exploit, a pesar de las preocupaciones de que un grupo llamado Anti-Sec haya encontrado un día cero que les permita controlar un servidor web. Los detalles de la acción fueron publicados en Full Disclosure, que es un foro sin moderador de información sobre seguridad.
Cuando se le pidió detalles, una persona que afirma ser parte de Anti-Sec, escribió un correo electrónico a IDG News Service diciendo no se me permite discutir el exploit (o si existe o no), que fue firmado como Anónimo.
Zdrnja afirmó que el mismo grupo comprometió otro servidor recientemente, pero pareció ser un ataque de fuerza bruta contra OpenSSH. Un ataque de fuerza bruta es aquel en el que el hacker intenta muchas combinaciones de credenciales de autenticación para obtener acceso a un servidor. Si un administrador está usando un log in o contraseña sencillos, hace que el servidor sea más vulnerable a un ataque de fuerza bruta, indicó Zdrnja.
Los dos servidores comprometidos estaban administrados por la misma persona. Supongo que los que estamos viendo son dos hackers en guerra uno contra el otro, señaló Zdrnja.
Pero hay otros factores que indican que no existe un día cero para OpenSSH. Si existiera un día cero, los hackers probablemente lo usarían contra un servidor de más alto perfil que el que fue comprometido, indicó Zdrnja.
Uno de los desarrolladores de OpenSSH, Damien Miller, también desestimó la posibilidad de un día cero. Miller escribió en un foro de OpenSSH el miércoles que intercambió correos con una presunta víctima del día cero, pero los ataques parecían simple fuerza bruta.
Entonces, no estoy convencido de que exista un día cero, escribió Miller. La única evidencia hasta el momento son algunos rumores anónimos y transcripciones de intrusiones no verificables.
Parece también que hay algo de confusión entre el presunto día cero y una vulnerabilidad diferente en OpenSSH, sostuvo Zdrnja. Esa vulnerabilidad, que aún no tiene parche, podría permitir a un atacante recuperar hasta 32 bits de texto plano de un bloque arbitrario de texto cifrado de una conexión segura usando el protocolo SSH en la configuración estándar, de acuerdo a un asesor del Centro para la Protección de la Infraestructura Nacional (CPNI, por sus siglas en inglés) de Reino Unido.
La severidad de la vulnerabilidad es considerada alta, pero la posibilidad de explotarla con éxito es baja, de acuerdo al CPNI. Zdrnja señaló que los administradores pueden implementar mecanismos de autenticación más fuertes en OpenSSH, usando llaves públicas y privadas para cuidarse contra un ataque exitoso. OpenSSH también afirmó que la posibilidad de un ataque exitoso es baja.
Jeremy Kirk, IDG News Service