|
Encubrimiento del exploit del Wi-Fi en Black Hat
|
|
VSantivirus No. 2214 Año 10, viernes 11 de agosto de 2006
Encubrimiento del exploit del Wi-Fi en Black Hat
http://www.vsantivirus.com/na-11-08-06.htm
Por Nela Adans
nela@videosoft.net.uy
Probablemente usted ha escuchado o leído del full-disclosure o acceso completo a la información, la filosofía de la seguridad que habla de hacer público todos los detalles de vulnerabilidades.
Ha sido el tema de discusiones entre investigadores, vendedores y firmas de seguridad. Pero la historia que capturó la mayor parte de los títulos en los informes sobre el Black Hat de Las Vegas la pasada semana, estuvo basada en un tipo diferente de revelación. Por la carencia de un nombre mejor, lo llamaremos "falso descubrimiento"
(NOTA VSA: en el original, juego de palabras francés/inglés: "faux disclosure").
Los investigadores de la seguridad, Dave Maynor de Internet Security Systems (ISS) y Jon Ellch, demostraron que un exploit les permitió instalar un rootkit en una computadora portátil de Apple en menos de un minuto.
Es cierto que ellos mostraron un video de la demostración, y también destacaron que habían preferido utilizar una tarjeta Wi-Fi de terceros en la demo del rootkit, antes que la tarjeta Wi-Fi interna del MacBook (Wi-Fi es un protocolo de comunicación inalámbrica).
Pero dijeron que el exploit funcionaría si la misma tarjeta de terceros --que ellos rehusaron identificar--, fuera insertada en una computadora portátil de Mac, de Windows, o de Linux.
Un lector de NewsForge.com, ha precisado que ISS recientemente ha dejado de lado a Maynor y él ahora está en SecureWorks. De hecho, SecureWorks está anunciando el "descubrimiento" como el acontecimiento más mencionado en las noticias, enumerando al menos 29 sitios diferentes que informan sobre él. Es posible inclusive ver el video en su sitio
(http://secureworks.com/newsandevents/blackhatcoverage.html).
¿Porqué ésta oscuridad sobre el tema?, ¿Porque nadie aclara nada?
Si el exploit es real, el mundo entero está en riesgo cada vez que se utilice la tarjeta no identificada. Pero no dicen cuál tarjeta, aunque muchas fuentes suponen se basen en el chipset de Atheros, que Apple emplea.
Peor lo pone Brian Krebs del Washington Post, que fue el primero que informó sobre el exploit y actualizó su historia original divulgando que Maynor le habría dicho que "Apple les habría pedido a ellos", de no hacer de esto, "un tema sobre los drivers del Mac" --principalmente porque Apple no ha solucionado aún al problema--. Y como este fallo de seguridad afecta a varios sistemas operativos, ellos estuvieron de acuerdo.
Actualmente, éste parece ser el significado de "revelación completa" (full disclosure), dando al vendedor una posibilidad de solucionar la vulnerabilidad antes que el mundo entero conozca sobre la misma.
De esa manera, ellos piensan que los únicos dañados son las personas directamente afectadas por el exploit, y que al no hacerlo público, el daño a la imagen del vendedor responsable se atenúa algo. Y muchos en el negocio de la seguridad parecen pensar que controlar los daños de imagen es más importante que cualquier cosa que puedo suceder a los clientes de estos vendedores.
Muchas grandes empresas parecen no tener en cuenta cualquier consideración de correcto o incorrecto, o de cualquier cosa que pudiera desviarlos de su meta final: maximizar beneficios.
Debido a esto, algunas corporaciones dicen solamente la verdad cuando ésta conviene a sus intereses. Si no es así, mienten o mantienen silencio.
Le fueron hechas a Lynn Fox, director de relaciones públicas de Apple, dos preguntas muy directas.
1. ¿Los usuarios de Apple MacBook están en riesgo utilizando su capacidad incorporada Wi-Fi?
2. ¿El informe de Krebs del Washington Post sobre que Apple está ejerciendo presión sobre los investigadores, para no revelar una vulnerabilidad/exploit de Wi-Fi en MacBook, es exacto?
No hubo respuestas.
¿Pero por qué los investigadores no divulgan lo que saben? No son empleados de Apple ni del vendedor de hardware que hace el componente Wi-Fi.
Una razón posible podría ser la dada por "dead addict", uno de los organizadores originales de DEFCON, recordando la exagerada cobertura que se hizo en el Black Hat del año pasado, cuando Cisco amenazaba con derribar la conferencia en su totalidad, si la presentación de un exploit que los afectaba, no era quitada del programa.
Y por una coincidencia extraña, el ISS y uno de sus empleados también fueron implicados en esa situación. En esa oportunidad el investigador Michael Lynn, renunció a ISS y dio la presentación de todos modos.
Así que las razones podrían ser que algunos investigadores pueden perder sus trabajos, o se "quemen", o sean arrestados. Y esas son razones bastante buenas para no hablar públicamente. Son también un testimonio de cómo está corrupto y putrefacto el sistema, como triunfa la avaricia y la glotonería corporativa.
Le fue preguntado a Maynor, si era cierto lo escrito por Krebs sobre que la presión ejercida por Apple, lo guardó de identificar el hardware de MacBook como el vulnerable al exploit que él demostró en Black Hat.
Él tampoco contestó --no todos pueden permitirse actuar como Michael Lynn--.
El tiempo apremia, millones de usuarios finales pueden utilizar el Wi-Fi, tan inseguro que un atacante podría instalar un rootkit en su sistema en menos de un minuto. Los que saben, o por lo menos dicen saber --los investigadores, Apple, y quizás ISS--, están guardando silencio. De esta manera, la actual campaña publicitaria de Apple sobre ser más seguro que Windows, se está manteniendo "segura" de daño.
¿Pero qué sobre los usuarios? ¿Quién habla por ellos? Recordemos que no estamos hablando de una cuestión de pocos días. Este exploit se ha anunciado en la prensa por lo menos desde el 22 de junio, cuando Roberto McMillan informó algo sobre él y anunció que sería divulgado en el Black Hat. Probablemente, los investigadores, o el ISS, habrán notificado, antes de la publicación de esa historia, a los vendedores responsables.
Si alguna computadora portátil es puesta en peligro como resultado del "cono de silencio" creado, sería un golpe bajo a este asunto, sus abogados pueden escoger llamarlo de cualquier manera diferente a la de "falso descubrimiento". Quizá algo como depravada indiferencia.
NOTA: Basado en artículo original de Joe Barr de NewsForge
Relacionados:
Vulnerable a ataques, aún sin conexión a Internet
http://www.vsantivirus.com/04-08-06.htm
Más información:
The Black Hat Wi-Fi exploit coverup
http://software.newsforge.com/software/06/08/08/1351256.shtml
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|