viernes, 17 de septiembre de 1999

Máquinas con fallos archiconocidos pueblan el ciberespacio

Añadiendo una simple instrucción a la dirección de una página web, es
posible hacerse con el fichero de contraseñas del ordenador que la
contiene. El fallo, llamado del 'phf' y conocido desde hace años, aún
no ha sido reparado en al menos 7.000 máquinas conectadas a la red.
Ésta es sólo una muestra del escenario de seguridad informática que
pinta el recientemente presentado Internet Auditing Project.
"Nos sorprendió descubrir cuantas redes que esperábamos que fuesen
ultra seguras estaban totalmente abiertas al ataque. Bancos, lugares
comerciales de billones de dólares, compañías de seguridad
informática, incluso centros de investigación en armamento nuclear",
asegura Liraz Siri, portavoz del Internet Auditing Project. Las
últimas tres semanas de 1998, ocho ordenadores en Israel, México,
Rusia, Brasil y Japón escanearon entre todos 36 millones de "hosts" de
Internet, buscando en ellos 18 vulnerabilidades que permiten el acceso
máximo a sistemas Unix. Analizados los datos obtenidos, se vio que por
lo menos 450.000 máquinas presentaban fallos, debidos a malas
configuraciones o al uso de versiones demasiado antiguas de los
programas, tan viejos y documentados como el fallo del "rpc_mountd",
conocido desde 1994.

En un mensaje de 24 páginas al foro de discusión de Securityfocus, el
grupo hacía públicos parcialmente los resultados del sondeo, así como
el código fuente del Bulk Auditing Security Scanner, el programa que
escribieron para la macroauditoría. En el mensaje, fechado el 11 de
agosto, destacan haber recibido desde educadas cartas de los
administradores de sistemas escaneados hasta demandas de abogados y
algún ataque directo: "Sabíamos que mucha gente se pone nerviosa si se
la somete a una auditoría de seguridad sin avisarles. En algunos
países, eres considerado un criminal sólo por eso. La legislación
sobre "crimen informático" es absurda. Las leyes tratan de proteger
los sistemas informáticos del mal uso, cuando la única forma de
prevenir el abuso es escribir un mejor código (de los programas)".

El Internet Auditing Project no es la primera auditoría de seguridad
que se ha hecho a la red, aunque sí la más publicitada en los últimos
tiempos y de las pocas realizadas por un grupo independiente. "Hace
unos años - cuenta Hal Lockhart en el foro de Securityfocus - Dan
Farmer hizo un escaneo, no tan exhaustivo, donde se vio que el 40% de
los ordenadores de la red podían ser crackeados trivialmente y otro
20%, con poco trabajo". El grupo ha aprovechado la difusión de su
hazaña para proponer la creación de una International Digital Defense
Network con la que, al estilo de Distributed.net, ordenadores
trabajando en paralelo velarían por la seguridad de Internet.

Internet Auditing Project
-------------------------

Nodos de escaneo: 5
Trabajos Por Minuto: 250
Tiempo de escaneo: 20.24 días

Vulnerabilidades testadas: 18

Dominios: 7 dominios de tres letras, 214 dominios nacionales
Máquinas: 36.431.374
Vulnerabilidad: 730.213
Máquinas vulnerables: 450.000

Servicio Vulnerabilidad %

tooltalk 190.585 máquinas 26.1%
(servidor de bases de datos. Avisado por el CERT en 1998)

bind 132.168 máquinas 18.1%
(Berkeley Internet Name Daemon. Avisado por el CERT en 1996)

wu_imapd 113.183 máquinas 15.5%
(Internet Message Access Protocol, programa de correo. Conocido por el CERT desde 1997)

qpopper 90.546 máquinas 12.4%
(servidor de correo POP. Avisado por el CERT en 1998)

wwwcount 86.165 máquinas 11.8%
(contador de web)

rpc_mountd 78.863 máquinas 10.8%
(servidor para montar particiones de red, en SunOS. Conocidas vulnerabilidades desde 1994)

ews 9.346 máquinas 1.28%
(Excite Web Server, programa buscador. Avisado por Excite en 1998)

phf 6.790 máquinas 0.93%
(extensor de páginas web)

webdist 5.622 máquinas 0,77%
(programa cgi para IRIX. Avisado por el CERT en 1997)

innd 3.797 máquinas 0,52%
(InterNet News Daemon. Avisado por el CERT en 1997)

Otras vulnerabilidades 18.000 máquinas 2.42%

Más información:
Ciberp@ís
Internet Auditing
Netscan.org
The Internet Operating System Counter



Mercè Molist