2008 el año de las grandes fallas en Internet

Este 2008 fue el año de las grandes catástrofes en Internet segun Hispasec, término que me parece muy interesante y cierto pues ha habido una serie de problemas que afectan a Internet en general como en ningún otro año hubo.

  • El descuido del OpenSSL en Debian : Debian ha sido una de las distribuciones más estables y seguras, con la premisa de mantener solamente versiones estables de software, aunque viejas. En 2006 un desarrollador comentó una línea de código del paquete open-ssl para evitar algunas molestas alertas del compilador, aunque antes se asesoró con los desarrolladores de open-ssl para tener la certeza de que no estaba haciendo nada mal. El problema de comentar esa línea es que se redujo drásticamente el rango de valores para escoger llaves publicas, provocando que la “aleatoriedad” al escoger llaves ya no sirviera como medida de seguridad, y se pudieron calcular muchísimas listas que contenían todas las posibles llaves. Esta falla ya esta solucionada.
  • Kaminsky y los DNS : En julio Dan Kaminsky descubre una vulnerabilidad en el protocolo, lo que permitiría falsificar las respuestas de un DNS, y así un atacante podría apoderarse de una zona o dominio entero; y, por consiguiente el atacante podría enviar páginas falsas pareciendo correctas a miles de personas. Esta falla ya esta solucionada
  • La falla en la arquitectura del BGP : Tony Kapela y Alex Pilosov demostraron una ataque que permite interceptar el tráfico de Internet en una forma casi idetectable. Es una falla en la arquitectura del protocolo BGP (Border Gateway Protocol), que permite interceptar y hasta modificar el tráfico de Internet que no esté cifrado y sin que ninguna persona pueda darse cuenta. Esta vulnerabilidad no se basa en algún error de software, es una falla en la arquitectura del protocolo BGP, ya que este protocolo que se basa en la confianza mutua. La falla no esta solucionada, y la solución que proponen es que los routers en su comunicación usen certificados de seguridad que eviten la confianza mutua.
  • La supuesta denegación de servicio del TCP : Outpost24 presume haber descubierto una vulnerabilidad en el protocolo TCP, que podría causar una denegación de servicio a cualquier implementación del mismo. Cabe destacar que el protocolo TCP es el más importante para la comunicación en todo Internet. No se han dado detalles del problema.
  • Los avances en la inseguridad de Wireless : Este año se caracterizó entre otras cosas por empezar a sacar provecho de los GPU. Hay que señalar que un GPU es el procesador de las tarjetas gráficas. Algunas compañías aseguran poder crackear una clave WPA mucho más rapidamente mediante el uso combinado de GPU y CPU. Poco después se descubren vulnerabilidades en el algoritmo TKIP (un cifrado muy utilizado en WPA). Todo el mundo comentaba que la seguridad en redes wireless está por los suelos, pero la verdad es que el problema con TKIP ni siquiera facilita la obtención de la clave, sólo permite descifrar parcialmente los paquetes; y, para realmente obtener una aceleración impresionante en el crackeo por GPU necesitaríamos una tarjeta gráfica realmente cara, no una convencional como anunciaban esas empresas de software.
  • El clickjacking : Jeremiah Grossman y Robert Hansen, dos expertos en seguridad Web, se reunen para demostrar una vulnerabilidad basada principalmente en las etiquetas iframe. La vulnerabilidad permite a un atacante forzar a que un usuario, sin saberlo, “haga click” en un vínculo que el atacante quiera. Lo peor es que todos los navegadores son vulnerables y la única forma en la que se puede evitar es deshabilitando las etiquetas iframe en el navegador.

¡ Esperemos un mejor año !