Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Win 2000 y el puerto 445, una invitación a los intrusos
|
|
VSantivirus No. 415 - Año 5 - Lunes 27 de agosto de 2001
Win 2000 y el puerto 445, una invitación a los intrusos
Por Redacción VSAntivirus
En el corazón del gigante
Según publicaba ayer Newsbytes (The Washington Post), en un periodo que abarcó desde el 12 de agosto hasta el 17 de este mismo mes, un hacker apodado "Benign", estuvo ingresando sin ninguna clase de artimaña, ni tampoco resistencia alguna, a las computadoras de la red corporativa de
Microsoft; nada menos que al corazón del gigante.
Según las declaraciones de "Benign", su acción no ha sido maliciosa, ni tampoco ha utilizado ninguna herramienta de intrusión, ni mucho menos virus ni troyano alguno.
Tampoco se aprovechó de lo que pudiera ser considerado como una falla o vulnerabilidad de Windows (2000 en este caso).
El "paseo" del hacker de "sombrero-blanco" ("white-hat" como se autodenominan los hackers "buenos", por decirlo de una manera simple), incluyó numerosos servidores y estaciones de trabajo, entre ellos una tienda virtual, parte de MSN (Microsoft Network) Europe.
La lista de las máquinas vulnerables fue proporcionada por el intruso a Newsbytes.
Los voceros oficiales de Microsoft, rehusaron comentar el incidente, ni para confirmarlo, ni tampoco para negarlo.
Por otra parte, expertos consultados por la publicación, al examinar los datos aportados, están prácticamente seguros que la intrusión existió.
¿Es un agujero, es una falla, es una contraseña robada?
Nada de ello fue utilizado por "Benign" para escudriñar las computadoras de la que se supone debería ser la red más segura del mundo (o casi). Máxime cuando la empresa está siempre en el ojo de toda crítica a sus productos por temas de seguridad como estos.
Lo único que el hacker usó, es un acceso vía TCP al puerto 445 de Windows 2000 (W2K).
Lo preocupante, es que este puerto está abierto por defecto en W2K, con el objetivo de compartir archivos con sistemas remotos.
¿Cualquiera puede entrar?
Según "Benign", todas las computadoras probadas, o bien no poseían contraseña alguna, o usaban como clave la palabra "password" para acceder a las cuentas administrativas del sistema.
De acuerdo con él (que asegura no pertenecer a ningún grupo hacker), fueron dos sistemas inseguros, bajo W2K, los que le permitieron entrar a la red interna, ganando acceso más allá de cortafuegos y otras protecciones. Y aunque sus privilegios de acceso, le permitían cualquier tipo de operación maligna, en ninguno de los casos "Benign", haciendo honor a su nombre, hizo más que visualizar archivos, según afirma.
"En esos momentos yo me sentí como un niño en una tienda de dulces. He leído muchos informes de nuevas maneras de hackear Windows. ¿Pero porqué molestarme si ya tenía a mi disposición un campo lleno de máquinas con W2K, sin hacer nada más?", asegura el hacker.
La lista proporcionada a Newsbytes de las computadoras vulnerables, incluía sus direcciones IP, nombres de las mismas, grupos de trabajo, nombre de usuario y contraseñas de más de 400 sistemas de la red interna de Microsoft. Como curiosidad, en esa lista hay nombres como "NT_DEV", "Redmond",
"SouthAmerica" y "FarEast", por ejemplo.
Extraños en el puerto 445
Scott Culp, jefe del centro de respuesta de seguridad de Microsoft, aunque no hizo declaraciones sobre la "supuesta" intrusión, confirmó que W2K no exige a los administradores que apliquen una contraseña al instalar dicho software, aunque Microsoft siempre aconseja que se escoja alguna lo suficientemente segura.
Culp aclaró que el acceso al puerto 445 no es una falla en Windows 2000. El problema es la contraseña. Y tener ese puerto abierto por defecto, es apropiado para el uso de W2K en una red.
Aunque la mayoría de los proveedores de servicios de Internet, siguen recomendaciones como las del SANS Institute y otros expertos, para no habilitar fuera del cortafuego el puerto 139, usado por el servicio de compartir archivos y carpetas de Windows 9x y Me, la mayoría incluso ignora que el puerto 445 en W2K, permite prácticamente lo mismo que el anterior.
Es seguro que hasta ahora, también muchos atacantes ignoraban esto. Luego de la publicación del artículo de Newsbytes, los reportes a escaneos al puerto 445 aumentaron.
Por otra parte, el sucesor de W2K (y W9x), el XP, próximo a salir a la venta, también utiliza el puerto 445, aunque posee un mejor control ante la falta de una contraseña segura. Por ejemplo, si un administrador escoge una contraseña en blanco, Windows XP desactivará la opción de compartir archivos, según afirma Culp.
Windows XP y el futuro
Para muchos expertos, una de las razones de que el puerto 445 no haya sido tan explotado, es porque el atacante requiere también tener instalado un Windows 2000.
El nuevo Windows XP (enviado a los fabricantes para su próxima distribución, justamente el viernes pasado), puede darle a muchas más personas los medios para acceder a este puerto, ya que la nueva versión no está pensada solo para uso corporativo como en el caso del W2K.
"Benign" dijo haber descubierto esta puerta abierta mientras compartía archivos de música y videos con un amigo. Por curiosidad, utilizó más tarde una aplicación para detectar en la red otros puertos 445 abiertos. Para su sorpresa, encontró miles de sistemas en esas condiciones, de los cuáles una gran parte, por no decir la mayoría, no tenían contraseña.
Expertos como Steve Gibson, saben que es común para muchos usuarios, que utilizan sus computadoras para un uso doméstico, el no utilizar contraseñas cuando desean compartir sus recursos.
Pero por la experiencia de "Benign" con Microsoft, no solo los usuarios "domésticos" cometen esta torpeza. El hacker se ha ofrecido a encontrarse personalmente con los expertos de Microsoft para explicarles como hizo para entrar a sus computadoras, y para ayudarles a evitarlo en el futuro.
Según Newsbytes, Microsoft, que como ya dijimos, oficialmente no ha comentado sobre la intrusión, tampoco ha respondido a este ofrecimiento.
"Benign" insiste que no ha hecho nada inmoral. "Obviamente Microsoft necesita educar a sus clientes y a sus propios usuarios internos. El mundo no habría sabido sobre esto al menos que alguien lo verificara", dijo.
Información relacionada:
Artículo en Newsbytes: Windows 2000 Port Invites Intruders
www.newsbytes.com/news/01/169408.html
Información de Microsoft sobre el puerto 445
support.microsoft.com/support/kb/articles/Q204/2/79.ASP
Estadísticas sobre escaneos al puerto 445
www1.dshield.org/port_report.php?port?5
Lista de las 10 amenazas a la seguridad de SANS Institute
www.sans.org/topten.htm
(c) Video Soft - http://www.videosoft.net.uy
|
|
|