Noticias |
|
|
|
|
Tecnología |
|
|
|
Soporte |
|
|
Webmaster |

|
|
|
DefCon 9 (o Hacking, el lado obscuro de la fuerza)
De acuerdo con Gene Spafford "el único sistema que es totalmente
seguro es aquel que se encuentra apagado y desconectado, guardado en
una caja fuerte de titanio que está enterrada en cemento, rodeada de
gas nervioso y de un grupo de guardias fuertemente armados. Aún así, no
apostaría mi vida en ello".
La seguridad es un elemento crítico para todas las organizaciones en
el mundo. Conforme las tecnologías de la Información (IT) han tomado
más y más importancia para los procesos productivos y de negocios, así
como para el servicio al público, el mantener un sistema seguro es cada
vez más importante, pero paradógicamente, la apertura es necesaria y si
el adminsitrador de sistemas/servidores no se mantiene al día, les
puede tocar una fea sorpresa.
Son ya conocidos los casos de ataques a diferentes sitios desde las
últimas semanas de junio del 2001, como el control externo de los
sistemas de una empresa dedicada a servicios financieros, un sitio de
noticias de los Emiratos Arabes Unidos y una empresa que controla el
75% de la distribución de energia eléctrica de California (en este
último caso, tomaron el control de dos servidores que estaban
"protegidos" por un firewall); eso sin contar ataques DoS al site de la
Casa Blanca (http://www.whitehouse.gob).
El panorama todavía se puede considerar peor si pensamos que la mayor
parte de las intrusiones no son publicitadas (por eso de la confianza)
o de plano, ni siquiera se enteran hasta que es tarde. Sobra comentar
la "miniguerra" que tuvieron hackers norteamericanos con sus
contrapartes chinos, donde cada bando se dedico a hacer "pintas" en
sites del otro país hasta que declararon una tregua, más o menos 24
horas después de haber empezado y la CIA ya enfatizó la enome
posibilidad que en unos años, Rusia y China tengan herraminetas de este
tipo que podrían hacer un daño serioy duradero a la economía de EUA.
Esto nos implica la existencia de DOS tipos de expertos, aquellos
que se dedican a proteger los sistemas y aquellos que gustan irrumpir
en ellos, dos caras de la misma moneda. Y cada una tiene su propia
fiesta anual, esceniicadas en Las Vegas, Nevada, EUA.
Por un lado, tenemos el Black Hat Briefings (http://www.blackhat.com/),
conferencia que se realizó en el Cesar's Palace de la mencionada
ciudad, los días 11 y 12 de julio del 2001, donde se reunirían empresas
dedicadas a la seguridad, gurús del tema, administradores de sistemas,
áreas de desarrollo, etc., para analizar casos de estudios, seminarios
y algunos cursos rápidos.
El segundo evento que comenzó el viernes 13, fue el Def Con 9 (http://www.defcon.org/),
donde toda la contra cultura del "hacktivismo" se despliega,
denotándose el intercambio de herramientas y rutinas, conferencias y
mesas redondas y hasta una competencia llamada capture the flag, donde varios grupos tienen que "conquistar" una serie de servidores antes que sus competidores.
Ambas conferencias son diametralmente opuestas y así como hay gente
que fue a ambas, otros sólo atendíeron una sola. A continuación les
presentamos los puntos más importanrtes de cada evento.
Black Hat Briefings
Uno de los puntos más importantes fue la existencia de un hueco de
seguridad realmente importanate en Internet Information Server de Microsoft (http://www.microsoft.com),
el servidor por defecto de Windows NT/2000 y que permite a un atacante
obtener el control de un servidor en cosa de minutos, además del
creciente uso de gusanos vía email que incrementan el tráfico y los
costos de las redes, por lo que en abril MS declaró "la guerra al
código hostíl", aunque los analistas recomiendan que esperemos
sentados, ya que dificilmente veremos una nueva aplicación que cambie
el panorama, ya que la seguridad es un elemento muy cambiante.
De hecho, son los gusanos que se despliegan vía
email los que se consideran los más peligrosos a mediano plazo. De
acuerdo con Jose Nazario, investigador del grupo de seguridad Crimelabs (http://www.crimelabs.net),
los gusanos evolucionarán y serán más difíciles de detectar, con
capacidades de encriptación y ocultamiento. Actualmente son muy fáciles
de detectar por el enorme volúmen de tráfico que generan, pero es muy
posible que se modifique para que sólo afecten a un conjunto
determinado de equipos, a una parte de la infraestructura de
telecomunicaciones o un rango de equipos con ciertas características
(como lo hicieron los gusanos Love Bug, Hybris, Ramen y 1i0n), con la
consideración que su velocidad de infección se mantendría, para cuando
nos enteremos que estamos infectados es porque ya se propagó. y No lo
tomen a la ligera, se calcula que estas variaciones podrían aparecer en
un lapso de 12 a 18 meses.
Otro factor donde debemos empezar a tomar en cuenta es el de las redes inalámbricas, Tim Newsham, un investigador de @STAKE (http://www.atstake.com/) presentó los detalles de las fallas en los sistemas de passwords del Wired Equivalent Privacy
(WEP), protocolo que se suponía es para asegurar este tipo de redes
pero que es una auténtica coladera. "Todo lo que hace es poner una
barrera más ante el atacante", dijo, "una muy pequeña", de hecho;
demostró como es posible romper la seguridad en cosa de segundos (desde
30 hasta sólo 5). Las tarjetas de red a 128-bit presentan una mejor
defensa que las de 64-bit, sin embargo, un password sencillo tiene el
mismo efecto que una mala tarjeta, es cosa de paciencia y un
diccionario el poder descubrir la clave de acceso. En conclusión, es
mejor utilizar tecnologías de encriptación para poder mejorar la
seguridad en este tipo de comunicaciones.
Un elemento interesante es el que representa The Honeynet Project (http://project.honeynet.org/), grupo de investigadores que ha desarrollado un sistema llamado honeypot,
cuyo objetivo es el análisis de la forma como los hackers realizan los
ataques; la idea consiste en dejar un servidor aparentemente
desprotegido, pero estrechamente vigilado, en el momento en que un
atacante intenta obtener acceso se le ponen algunas barreras, para ver
como las evita y una vez adentro, analizar que es lo que se hace, que
se busca, etc. Al mismo tiempo, un programa comienza a monitorear su
equipo, vieno las teclas que presiona, los comandos que ejecuta e
incluso, el email que manda y sesiones de chat que inicia; ellos no
están interesados en atrapar a los atacantes (cosa que podrían hacer
las fuerzas de seguridad que monten un honeynet), sólo en el análisis
de la conducta humana.
Def Con 9
Este evento, que comezó por ser sólo una curiosidad donde unos
cuantos hackers se reunian, hasta convertirse en un evento donde se
reunen miles de personas (4,500 este año) y donde el FBI manda agentes
dizque disfrazados para poder localizar a vandalos de la Red, pero
siempre termina en un conocido juego llamado "spot de fed" (localiza al
federal), donde los asistentes advinan quienes son agentes y los
expulsan de las reuniones. Un punto interesante es que, aunque la mayor
parte continuan siendo script kiddies
con pocos conocimientos reales, también se notó que varios de los
asistentes son veteranos y que se busca más crear conciencia sobre las
implicaciones y los compromisos que sobre la forma de crackear un
servidor, aunque no faltaron los juegos y algunas presentaciones
interesantes.
Buscando hacer algo más constructivo, algunos representantes de
organizaciones de los Derechos Humanos apoyaron y solicitaron la
colaboración de los asistentes para el Proyecto Hacktivismo, que fue anunciado publicamente en julio del 2000
y que busca compartir información anónimamente sobre la Internet para
reportar casos de abuso a los derechos humanos. Este es un proyecto
iniciado por Oxblood Ruffin, Ministro del Extranjero del Cult of Dead Cow o cDc (http://www.cultdeadcow.com/). Para esto está en desarrollo una aplicación denominada Peekabooty,
que combina la transferencia de datos tipo Napster pero protegiendo la
fuente del envío, se había programado su presentación durante la
conferencia, pero debido a problemas técnicos se aplazó para mejor
ocasión. Pueden ver un interesante FAQ en http://www.cultdeadcow.com/cDc_files/HacktivismoFAQ.html.
En un hecho sin precedente, se abrió un panel denominado Conoce a los federales
(Meet the Fed), donde siete representantes del gobierno norteamericano
dijeron en pocas palabras "somos del gobierno y necesitamos que nos
ayuden". Upps. La idea es muy sencilla, llegar a las mentes jovenes y
que todavía no cruzan la línea de la ilegalidad para hacerlos más
responsables y evitar tener que vigilar su espalda de sus propios
consiudadanos; además que se ofreció la posibilidad de reclutar a
algunos de ellos como expertos en diferentes instituciones de
seguridad. Y seamos francos, hubo muchas solicitudes al respecto.
Un hecho que también levantó polémica fue el arresto,
por parte del FBI, de Dmitry Sklyarov, un experto en encriptación que
acababa de dar una conferencia sobre los problemas en los formatos PDF
y e-book de Adobe, por los cargos de haber publicado una herramienta
que desencripta el formato de los e-books y los pasa al formato PDF, lo
que se considera una violación a la Digital Millennium Copyright Act,
cuya pena podría alcanzar los $500,000 doláres de multa y hasta cinco
años de prisión. Sklyarov es un programador líder de la empresa rusa ElcomSoft (http://www.ElcomSoft.com/). Ya las protestas se dejan sentir y todavía no hay nada claro al respecto.
Tal vez lo más inquietante de ambos eventos lo sintetizó Jay Beale,
director del equipo de seguridad de MandrakeSoft (distribución de
Linux), que enfatizó el hecho que ya es demasiada gente la que sabe
sobre el tema. "Sólo los paranoicos sobreviven", diría Bill Gates.
|
Hoy es 26-08-2004. |
Linux MX |
|
 |
Foros de Discusión |
|
 |
------------- |
|
------------- |
|
|
|
|