sábado, 31 de octubre de 1998

La genética aplicada a las intrusiones hackers

Un programa usado por cientificos para la investigación de complicadas cadenas de ADN puede tener en breve un nuevo papel: detectar las intrusiones de hackers en redes informáticas.
Desarrollado en el laboratorio de investigación Watson que IBM mantiene en Nueva York, el algoritmo busca modelos repetidos en un conjunto de datos, tales como los registros de un servidor de red. "Teiresias", derivado de los adivinos ocultos de la mitología griega, es el nombre de este programa que detectará cualquier modelo nuevo de intrusión, incluso los que sean muy debiles.

Teiresias ha venido descubriendo nuevos modelos para los biologos, en comparación con módelos ya reconocidos, esto es lo que lo hace especialmente util para localizar actuaciones totalmente nuevas en un sistema. Este nuevo enfoque difiere totalmente del existente hoy día, que se basa en comparaciones en las concordancias con un modelo en concreto, como puede ser los programas antivirus, o los escaneadores de vulnerabilidades conocidas.

Este software ha permitido a los genetistas, por ejemplo, descubrir nuevos modelos repetidores que ayudan a explicar porqué los seres humanos desarrollan enfermedades y adquieren características o defectos específicos del nacimiento. En décadas anteriores, cuando los ordenadores eran más lentos, analizar la construcción detallada de la ADN habría sido una perdida de tiempo. Pero los saltos recientes en la velocidad y potencia analítica de ordenadores la hacen factible para buscar trazos de datos para modelos.

Ahora, IBM dice que el mismo concepto se puede aplicar en los ordenadores. Consecuentemente, dice a Philippe Janson, encargado de la investigación para el laboratorio de investigación de IBM en Zurich, "Teiresias puede ser utilizado detectar la presencia de hackers en redes".

Teiresias analiza las tramas de datos producidos por un ordenador corriente para revelar lo que hace al funcionar normalmente. Todos los ordenadores funcionan con las instrucciones dadas por un programa del software lógico de una manera fiable, determinada por los diseñadores originales del sistema informático. Mientras que se ejecuta, un ordenador produce "bitstreams", o cadenas de 0s y de 1s, que son el lenguaje más primitivo de ordenadores.

Teiresias examina los "bitstreams" producidos de centenares de horas de la operación por un ordenador dado y busca las cadenas que guardan al relanzarse. Esos "bitstreams" definen el funcionamiento normal del ordenador. "Esos centenares de cadenas son como un pequeño diccionario para ese sistema", dice Janson. "Un intento de penetración interrumpiría el flujo de modelos normales. si usted enseña al sistema cuales son los buenos modelos, el sabrá alarmarle cuando algo extraño está sucediendo en su sistema".

Para probar si tal aplicación trabajaría realmente, los investigadores utilizaron la base de datos de IBM de todos los ataques de sistemas reconocidos hoy día. Dicen Janson: "Bombardeamos una red con los ataques que conocemos, y Teiresias detectó con éxito todos los casos". Ahora, una vez parece probada la eficacia de Teiresias en los límites artificiales de un laboratorio, se ha puesto en marcha una prueba en una red real para comprobar la eficacia del software. Si todo sale como espera Janson "el nuevo software se convertirá en la herramienta definitiva en tres o cuatro años para la detección de intrusiones".

Desde aquí vemos, cuanto menos, muy interesante este nuevo enfoque en lo que al software de seguridad se refiere, aunque tomamos estas declaraciones con muchas reservas. Al fin y al cabo, Teiresias aun no se ha enfrentado directamente a un hacker.


Bernardo Quintero



viernes, 30 de octubre de 1998

Navegadores inseguros

En el último mes los navegadores han sido el centro de noticias sobre
recientes fallos encontrados en ellos, tanto Communicator como Explorer han
sido cebo de las noticias sobre nuevas vulnerabilidades.
Los agujeros relacionados con el explorador de Microsoft son realmente
graves, hay que señalar que han sido descubiertas por un español. Juan
Carlos García Cuartango, que a través de las páginas
http://pages.whowhere.com/computers/cuartangojc/ ofrece toda la información
y ejemplos de cómo explotar cada una de las vulnerabilidades.


Son tres los problemas descubiertos, Mailto-hack, afecta a los usuarios que
que utilizan Outlook 98 como cliente de correo vinculado a MS Internet
Explorer 4.0. Él problema surge cuando al navegar se pulsa sobre un
hipervínculo a una dirección de correo, momento en que se inicia el Outlook
98. Hasta aquí todo normal, todo es como igual que siempre pero puede pasar
desapercibido que junto al mensaje también se envía un fichero enlazado
solicitado por el atacante.

La página debe estar diseñada para solicitar ficheros con un nombre estandar
o conocido por el atacante, ya que el bug no permite «robar» ficheros sin
conocer su nombre. Obviamente es una forma un tanto «absurda» de intentar
robar archivos, puesto que no se oculta la existencia del archivo enlazado
en el mensaje, pero, el problema existe. Microsoft a pesar de ello, no cree
que se trate de un problema de seguridad.

El problema denominado «Agujero de Cuartango» es similar a otros problemas
ya denunciados hace tiempo, y supuestamente corregidos. En esta ocasión y de
nuevo gracias a un código JavaScript malicioso insertado dentro de una
página web permitiría enciar archivos del disco duro a úna direccion web con
total desconocimiento del usuario. También se requiere un nombre de archivo
estandar o previamente conocido. Microsoft ha confirmado la existencia de
este problema, que ha dado en llamar "untrusted scripted paste" ofreciendo
un parche para el problema en
http://www.microsoft.com/security/bulletins/ms98-015.htm.

Por último, bajo el nombre de «Ventana de Cuartango» se esconde sin duda el
que puede considerarse mayor problema, ya que aprovechando está
vulnerabilidad se puede saltar el aviso que muestra MS Explorer cada vez que
un control Active-X intenta entrar en el sistema. Se trata de esconder el
mensaje original con otra ventana con información aparentemente inocente y
que nos obliga a pulsar el boton de «Aceptar» para continuar. Pero al
aceptar esa inocente ventana realmente estamos confirmando que deseamos
instalar el Active-X malicioso, lo que puede tener consecuencias
desastrosas, como pérdida de archivos, instalación de virus, control total
del disco duro por el hacker malicioso, etc. A pesar de ser reportado a
Microsoft el 9 de octubre la responsable del navegador todavía no ha dado
ninguna notificación acerca de este problema.

Detrás de este problema Juan Carlos ofrece una moraleja, «cuando estemos
navegando y vayamos a aceptar algún cuadro de diálogo pensar antes sobre la
«ventana de Cuartango. ¿Estamos respondiendo la pregunta original?¿Qué hay
detrás de la ventana?»

Otro nuevo problema relativo a la seguridad del Explorer hace referencia a
la posibilidad de acceder a las direcciones a través de un único número de
32 bits.

Por ejemplo www.bpe.es tiene la dirección IP 194.179.52.102, pero si ponemos
http://3266524262 también accedemos a la misma dirección. Si tenemos la
dirección IP x,y,z,w podemos calcular la dirección correspondiente a partir
de x*256^3+y*256^2+z*256+w, es decir,
194*256^3+179*256^2+52*256+102=3266524262.

Esta forma de tratar las direcciones puede comprobarse y utilizarse en
cualquier aplicación y para sustituir cualquier url, pero el problema surje
en el tratamiento que da Microsoft Explorer a éste direccionamiento. Ya que
las asigna el nivel de seguridad más bajo al tratarlas como si fueran
direcciones de una intranet. El uso malintencionado de este bug es claro, un
administrador malicioso puede crear una página web en la cual se haga
referencia a las páginas en este formato, incluyendo controles Active-X,
JavaScripts, etc. malignos.

Por una vez, Microsoft actuó con rapidez ante este problema y rápidamente se
podía encontrar el parche necesario en la dirección:
http://www.microsoft.com/ie/security/dotless.htm. Una vez más recomendamos
actualizar el navegador lo antes posible para evitar cualquier tipo de
problema y navegar con tranquilidad.


Antonio Ropero



jueves, 29 de octubre de 1998

"Snork", ataque DoS (Denial of Service) contra Windows NT.

Este ataque DoS va dirigido contra el servicio RPC (Remote Procedure Call) de Windows NT. Permite que un atacante, de forma remota, produzca un uso del 100% de la CPU en el sistema de la víctima por un periodo de tiempo indefinido.
Son vulnerables todos los sistemas NTs con los hotfixes anteriores al 9/10/98.

El ataque se puede provocar desde cualquier direccion mandando un datagrama RPC dirigido al puerto 135 de la víctima, y con una direccion de retorno "spoofeada" que haga creer que el datagrama contiene datos no validos provinientes de otro servidor RPC. El sistema de la víctima devolvera un paquete REJECT a la dirección de retorno "spoofeada", una vez recibido este nuevo sistema emitirá su vez otro paquete REJECT a la víctima, produciendose un bucle. El mensaje de error provocado por un solo paquete UDP puede elevar la utilización de la CPU hasta el 100% por un período de 5 a 120 segundos. Un ataque continuo con una anchura de banda baja, similar a la una conexion vía RTB, provocaría la utilización 100% de la CPU por un período de tiempo ilimitado.

Este mismo ataque puede provocar el bloqueo de una red local al provocar el consumo de todo su ancho de banda. Este efecto es debido al "bouncing" de paquetes, es decir, el sistema atacado da lugar a una despedida constantes de paquetes a otros NTs, y estos a su vez entran en la misma dinámica, con lo que nos encontramos con circuito recursivo que consume todo el ancho de banda. En una red Ethernet 10Mbps dos ordenadores implicados en un "bouncing" alcanzan aproximadamente 3.4Mbps de tráfico. Al incrementar el número de sistemas involucrados se llega al límite del ancho de banda, comenzando en ese momento las colisiones y las perdidas de paquetes.

Los administradores de red pueden proteger sus sistemas internos contra este ataque externo a través del filtrado de paquetes vía un cortafuegos. Sería necesario negar todos los paquetes UDP entrantes con destino al puerto 135 y como origen los puertos 7, 19 o 135.

Podremos detectar si estamos siendo atacados por este DoS mediante un analizador de redes buscando paquetes RPC corruptos, o examinando el administrados de tareas, donde el servicio RPCSS.EXE consumira el 100% de CPU. En tal caso podremos desconectar momentaneamente de la red uno de los sistemas implicados para acabar con el bucle.

Recomendamos actualizar el sistema con el parche de Microsoft, que modifica el servicio RPC de manera que detecta los paquetes spoofeados y no responde a ellos.

Windows NT 4.0 Intel
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3/snk-fix/snk-fixi.exe

Windows NT 4.0 Alpha
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3/snk-fix/snk-fixa.exe


Bernardo Quintero



miércoles, 28 de octubre de 1998

Service Pack 4, los problemas de la solución.

Por fin ha salido el tan esperado Service Pack 4, y no es para menos si tenemos en cuenta que con este parche podremos corregir alrededor de 600 bugs del NT 4.0.

La solución de Microsoft nos hará olvidar desde pequeños defectos hasta los tan usuales ataques DoS (Denial of Service) y sus pantallas azules.

Además de poner fin a los agujeros conocidos, incluye nuevas aplicaciones y herramientas destinadas a aumentar la seguridad del sistema. Así nos podremos encontrar el Security Configuration Manager que nos facilitará, a golpe de ratón, la configuración de los parametros de seguridad de las aplicaciones y usuarios, hacer un seguimiento de los permisos ó programar auditorias.

Hasta aquí las buenas noticias, no han tardado en hacerse públicas pequeñas incompatibilidades con determinadas configuraciones hardware que están empañando su salida:

  • Problemas con la tarjeta gráfica Number Nine Visual Technologies Imagine 2, que no puede superar la barrera de 256 colores al instalarse el SP4. Lo peor es que no podremos regresar a resoluciones altas aunque volvamos al SP3.
       
  • Perdida de los servicios sockets si tenemos instalado SystemSoft Card Wizard 3.x. Para volver a restaurarlos es necesario resintalar el Card Wizard 3.x despues del SP 4.
        
  • En los portatiles Dell Latitude con el Softex Advanced Power Managent versión 1.0 necesitaremos actualizar a la version 2.19 ó superior si no queremos que el SP4 anule sus servicios.
        
  • Incompatibilidad con las estaciones Silicon Graphics, tendremos que bajarnos software adicional de http://support.sgi.com/nt antes de proceder a la instalación del SP 4.
        
  • Problemas con el software Microsoft IntelliPoint Productivity Tips. Necesitaremos bajar la última versión del software en http://www.microsoft.com/products/hardware/mouse.
        
  • Incompatibilidad con los drivers ATIRage.


Para los afortunados en cuya configuración no se encuentren ninguno de los elementos anteriores les aconsejamos cuanto antes la instalación del SP 4, que podrán bajar en la direccion:


Bernardo Quintero