MÁQUINAS CON
FALLOS ARCHICONOCIDOS PUEBLAN EL CIBERESPACIO
Mercè Molist
Añadiendo una simple instrucción
a la dirección de una página web, es posible hacerse con
el fichero de contraseñas del ordenador que la contiene. El fallo,
llamado del 'phf' y conocido desde hace años, aún no ha sido
reparado en al menos 7.000 máquinas conectadas a la red. Ésta
es sólo una muestra del escenario de seguridad informática
que pinta el recientemente presentado Internet Auditing Project.
"Nos sorprendió descubrir cuantas redes que esperábamos que fuesen ultra seguras estaban totalmente abiertas al ataque. Bancos, lugares comerciales de billones de dólares, compañías de seguridad informática, incluso centros de investigación en armamento nuclear", asegura Liraz Siri, portavoz del Internet Auditing Project. Las últimas tres semanas de 1998, ocho ordenadores en Israel, México, Rusia, Brasil y Japón escanearon entre todos 36 millones de "hosts" de Internet, buscando en ellos 18 vulnerabilidades que permiten el acceso máximo a sistemas Unix. Analizados los datos obtenidos, se vio que por lo menos 450.000 máquinas presentaban fallos, debidos a malas configuraciones o al uso de versiones demasiado antiguas de los programas, tan viejos y documentados como el fallo del "rpc_mountd", conocido desde 1994.
En un mensaje de 24 páginas al foro de discusión de Securityfocus, el grupo hacía públicos parcialmente los resultados del sondeo, así como el código fuente del Bulk Auditing Security Scanner, el programa que escribieron para la macroauditoría. En el mensaje, fechado el 11 de agosto, destacan haber recibido desde educadas cartas de los administradores de sistemas escaneados hasta demandas de abogados y algún ataque directo: "Sabíamos que mucha gente se pone nerviosa si se la somete a una auditoría de seguridad sin avisarles. En algunos países, eres considerado un criminal sólo por eso. La legislación sobre "crimen informático" es absurda. Las leyes tratan de proteger los sistemas informáticos del mal uso, cuando la única forma de prevenir el abuso es escribir un mejor código (de los programas)".
El Internet Auditing Project no es
la primera auditoría de seguridad que se ha hecho a la red, aunque
sí la más publicitada en los últimos tiempos y de
las pocas realizadas por un grupo independiente. "Hace unos años
- cuenta Hal Lockhart en el foro de Securityfocus - Dan Farmer hizo un
escaneo, no tan exhaustivo, donde se vio que el 40% de los ordenadores
de la red podían ser crackeados trivialmente y otro 20%, con poco
trabajo". El grupo ha aprovechado la difusión de su hazaña
para proponer la creación de una International Digital Defense Network
con la que, al estilo de Distributed.net, ordenadores trabajando en paralelo
velarían por la seguridad de Internet.
The Internet Auditing Project. http://www.securityfocus.com/templates/forum-latest.html?forum=2
Otros esfuerzos parecidos:
Netscan.org. http://www.netscan.org
The Internet Operating System Counter.
http://leb.net/hzo/ioscount
-----------------------------------------------------------------------
ESQUEMA
Nodos de escaneo: 5
Trabajos Por Minuto: 250
Tiempo de escaneo: 20.24 días
Vulnerabilidades testadas: 18
Dominios: 7 dominios de tres letras,
214 dominios nacionales
Máquinas: 36.431.374
Vulnerabilidad: 730.213
Máquinas vulnerables: 450.000
Servicio Vulnerabilidad %
tooltalk 190.585 máquinas
26.1%
(servidor de bases de datos. Avisado
por el CERT en 1998)
bind 132.168 máquinas
18.1%
(Berkeley Internet Name Daemon. Avisado
por el CERT en 1996)
wu_imapd 113.183 máquinas
15.5%
(Internet Message Access Protocol,
programa de correo. Conocido por el CERT desde 1997)
qpopper 90.546 máquinas
12.4%
(servidor de correo POP. Avisado por
el CERT en 1998)
wwwcount 86.165 máquinas
11.8%
(contador de web)
rpc_mountd 78.863 máquinas
10.8%
(servidor para montar particiones
de red, en SunOS. Conocidas vulnerabilidades desde 1994)
ews 9.346 máquinas
1.28%
(Excite Web Server, programa buscador.
Avisado por Excite en 1998)
phf 6.790 máquinas
0.93%
(extensor de páginas web)
webdist 5.622 máquinas
0,77%
(programa cgi para IRIX. Avisado por
el CERT en 1997)
innd 3.797 máquinas
0,52%
(InterNet News Daemon. Avisado por
el CERT en 1997)
Otras vulnerabilidades 18.000 máquinas
2.42%