Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Jaque a la seguridad: Cómo burlar a un cortafuegos
 
VSantivirus No. 487 - Año 6 - Miércoles 7 de noviembre de 2001

Jaque a la seguridad: Cómo burlar a un cortafuegos
Por Jose Luis Lopez

Según un programador llamado Bob Sundling, los cortafuegos actuales que aseguran filtrar no solo lo que entra a la PC, sino lo que sale (un troyano enviando datos por ejemplo), nos dan en realidad, una ilusoria sensación de seguridad.

Aplicaciones maliciosas, bien pueden aprovecharse de los permisos de seguridad dados por los cortafuegos a los programas más comunes, al conectarse a Internet.

El concepto no es nuevo. Ya en diciembre pasado (ver VSAntivirus No. 153), escribíamos de una herramienta creada por Steve Gibson, y llamada LeakTest. La filosofía que llevó a Gibson a crearla, es la misma de Sundling (de hecho, las investigaciones de éste último surgieron a raíz de una discusión con Gibson).

Lo que Gibson afirmaba, es que un muro de fuego o firewall, solo provee una "pseudo protección" contra los ataques, porque la mayoría ha puesto sus esfuerzos en bloquear a un atacante que pretende entrar, y han prestado poca atención a lo que él llamaba "internal extrusion", o sea un ataque desde adentro de nuestro PC.

Para demostrarlo, creó
LeakTest, un pequeño programa que intenta eludir las defensas de los cortafuegos personales y conectarse a un servidor en Internet. Con él, Gibson llegó a resultados sorprendentes.

En sus primeras pruebas, cortafuegos muy populares como BlackIce Defender de Network Ice, y otros comerciales como Norton Personal Firewall y McAfee Firewall, fallaron a la hora de atrapar esta conexión saliente y reportarla al usuario. Solo el ZoneAlarm pasó la prueba.

ZoneAlarm era el único que podía impedir a un programa malicioso hacerse pasar por una aplicación segura al intentar comunicarse con el exterior, porque utiliza una firma criptográfica (una especie de huella digital) de cada uno de los programas que permitimos conectarse a Internet, y cualquiera que lo suplante o modifique, es bloqueado.

De diciembre de 2000 a la fecha, otros productos han corregido esta falla, y muchos han aplicado técnicas muy similares a la del ZA, o creado otras soluciones.

Pero Bob Sundling ha escrito un programa que demuestra que esta protección, en casi todos los casos, sigue siendo ilusoria, incluso el Zone Alarm.

Según Bob, "si un cortafuego permite a algún programa (como Internet Explorer), enviar y recibir datos a través de Internet, y este programa luego deja a otro controlar sus acciones, no existirá en la práctica, nada realmente bloqueado allí".

Un ejemplo. Si usamos un acelerador de Internet, que se base en el IE para descargar los archivos, para el cortafuego, en las conexiones a Internet estaría actuando el IE. Si por algún medio, un cracker modifica ese acelerador para enviar o recibir datos maliciosos, el cortafuego no actuaría, porque esos datos, para él, serían parte de la acción de un programa legalmente habilitado, en este caso del Internet Explorer.

En su prueba de concepto, Sundling afirma que un programa así puede penetrar cualquier cortafuego actualmente en el mercado que asegure proteger también de los programas que se conectan desde nuestra PC hacia el exterior, sencillamente porque él mismo no envía ni recibe ningún tipo de datos. En cambio, puede usar una ventana oculta del Internet Explorer para ello.

El código que demuestra este concepto, escrito en C++, es bastante pequeño (menos de 4 Kb). Cómo anécdota, el LeakTest de Gibson ocupa unos 27 Kb.

Lo que plantea Sundling es muy sencillo. Cualquiera podría transmitir información confidencial o crítica desde nuestro PC a cualquier sitio en Internet, y la transmisión sería invisible para casi todos los productos cortafuegos actuales.

El hecho que su código ya esté disponible en Internet, podría hacer que a alguien se le ocurra llevar la idea a la práctica. Ocultar que algo así va a ocurrir en algún momento, sería como tapar el sol con un dedo.

Por lo pronto, recordemos que siempre existirá un riesgo implícito en cada una de nuestras acciones al estar conectados a Internet. La conducta de tener nuestros antivirus al día, de no descargar software de lugares poco recomendables ni abrir adjuntos no solicitados, así como la de instalar un cortafuegos a pesar de lo que aquí se dice, es parte de la poca protección (que nunca será mucha) que podamos darle a nuestro PC.

Referencias:

VSantivirus No. 153 - 8/dic/00
Cortafuegos personales, ¿solo son basura?
http://www.vsantivirus.com/08-12-00.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2001 Video Soft BBS