Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en

Anuncio
Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo a toda la Red
Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en riesgo a toda la Red
Una empresa finlandesa llamada Outpost 24 dice haber descubierto un fallo en el Internet Protocol (IP) que puede
provocar una denegación de servicio en todo dispositivo que lo use.
Una empresa finlandesa llamada Outpost 24 dice haber descubierto un fallo en el Internet Protocol (IP) que puede
provocar una denegación de servicio en todo dispositivo que lo use. Teniendo en cuenta que es la base sobre la que se
sustenta toda Internet, es equivalente a decir que se puede provocar la caída de cualquier aparato con comunicación en la
Red. Es la tercera "gran alerta" del año. ¿Necesita Internet una puesta a punto?
En realidad ni siquiera se podría llamar "denegación de servicio" tal y como lo conocemos hoy en día. Más bien se trataría
de una especie de (mítico) "ping de la muerte" en el que, con muy poco tráfico (10 paquetes por segundo) se podría
llegar a colapsar cualquier dispositivo que implemente la especificación del protocolo base. Al parecer se trataría de uno
de los mayores problemas detectados en la Red que la volvería insostenible de forma relativamente sencilla.
No se han ofrecido por tanto muchos más detalles. Parece que el problema surgió durante el escaneo de varios millones
de sitios en Internet. Alguno de estos tests (realizados con la herramienta Unicornscan) hacía que los sistemas dejaran
de responder, y tras una investigación se concluyó que existía un problema en todas las implementaciones de la pila
TCP/IP. Aunque afecta de distinta manera, se supone que todas son vulnerables y que todavía no han encontrado
ningún dispositivo que no puedan bloquear.
Los investigadores han conocido este problema desde 2005. Según dicen, no han podido encontrar por el momento
una solución válida, pero tampoco quieren difundir los detalles por el peligro que supondría el conocimiento público.
Advierten que, incluso con IPv6 el problema podría ser incluso más grave.
Darán más detalles sobre el problema el 17 de octubre, durante una conferencia en Helsinki. Afirman tener una
herramienta llamada sockstress capaz de "tumbar" cualquier dispositivo. Aunque la información es confusa (y habría que
tomarla con cautela mientras no se tengan detalles), parece que el problema está directamente relacionado con la
técnica de las "SYN cookies". Se utilizan precisamente para evitar que un atacante pueda realizar una inundación de
paquetes SYN. Básicamente se "recuerda" con esta cookie a quien ha realizado la conexión y se evita que se falsee la
dirección y se perpetre el conocido ataque (abriendo conexiones a medio realizar que consumen memoria y agotando los
recursos del dispositivo).
Es la tercera gran vulnerabilidad del año que pone en peligro a toda la Red. En primer lugar fue Kaminsky con su
problema DNS. El 8 de julio todos los grandes y pequeños fabricantes parcheaban sus sistemas DNS. Kaminsky había
descubierto meses antes un fallo que permitía falsificar cualquier IP asociada a un dominio. Poco después en agosto,
durante la Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet, cuando Tony Kapela y Alex Pilosov
demostraron una nueva técnica que permite interceptar el tráfico de Internet a una escala global. Cualquiera con un
router BGP podría interceptar el tráfico de cualquier gran nodo y devolverlo (modificado o no) de forma transparente.
Y vuelve a ocurrir, repitiendo prácticamente el mismo escenario. En los tres casos se trata de un problema de diseño
de un protocolo creado muchos años antes. En los tres casos parece haber una demostración empírica de un problema
conocido pero cuyas posibilidades o puesta en práctica se suponía imposible hasta la fecha... Incluso el hecho de
revelar detalles en una conferencia posterior con la que se crea una gran expectación. Como le ocurrió a Kamisky, es
posible que todos los detalles del problema salgan a la luz antes de lo esperado si algún investigador decide juntar
todas las pistas ofrecidas por Outpost 24.
Es más que posible que aunque los detalles fueran conocidos desde hace 3 años, haya sido precisamente lo ocurrido
con el fallo DNS y con BGP lo que haya animado a los investigadores a darle publicidad precisamente ahora. Kaminsky
demostró que se puede realizar una actualización masiva y coordinada entre todos los grandes fabricantes y mantener en
secreto los detalles de un grave problema (siempre que no se divulgue su existencia).
Nos encontramos posiblemente también ante una nueva era en la Red en la que, a través de estos graves errores
puestos sobre la mesa, estamos cuestionando su sostenibilidad tal y como la conocemos. Usamos protocolos
diseñados, cuando menos, hace 20 y 30 años. Los ingenieros estaban mucho más sorprendidos por el hecho de que
la Red simplemente funcionase que preocupados por la seguridad. Hacer que un trozo concreto de información digital
http://www.rosenblueth.mx/sitio - Fundación Arturo Rosenblueth
Powered by Mambo
Generated:24 November, 2016, 13:52
concreta llegase de un punto a otro del planeta era algo demasiado fantástico como para complicarlo previniendo si
alguien la iba a podía modificar, alterar u obtener de forma ilegítima.
Posteriormente, sobre estos débiles pilares, se ha construido algo muchísimo más complejo y unido millones de
personas y dispositivos con muy distintas motivaciones. Para abarcar toda esta explosión, se ha ido parcheando sobre la
marcha un monstruo gigante con pies de barro que, a la vista de estos tres recientes acontecimientos (y de otras
preocupaciones de largo recorrido, como el malware ganando la batalla a los antivirus), necesita una clara revisión y
puesta a punto.
http://www.rosenblueth.mx/sitio - Fundación Arturo Rosenblueth
Powered by Mambo
Generated:24 November, 2016, 13:52
Descargar