Historias
Slashboxes
Comentarios
Búsqueda

Descubierto un grave fallo de seguridad en el protocolo BGP

editada por Yonderboy el Miércoles, 27 Agosto de 2008, 12:40h   Printer-friendly   Email story
desde el dept. fallos-en-cadena
Bug (errata) Internet
chonago nos cuenta: «[Vía Slashdot] La vulnerabilidad crítica que afectaba al DNS y que de la que se habló mucho en Barrapunto (1, 2 y 3) no está sola. Dos expertos en seguridad han revelado en las conferencias de seguridad DefCon en las Vegas la existencia de graves fallos de concepto en el protocolo BGP (Border Gateway Protocol), que es uno de los pilares de Internet. Tony Kapela y Alex Pilosov demostraron que podían capturar cualquier transmisión para luego redirigirla a donde quisiesen antes de que llegase a su destino. El fallo no se basa en ningún exploit de BGP, sino que simplemente es fruto del propio funcionamiento de este protocolo básico para el funcionamiento de la red de redes.» En Wired aseguran que este es "el mayor fallo detectado jamás en Internet". La prensa generalista en castellano también lo recoge.

«  OpenStomp Coyote-1, pedal de guitarra 'open source' | Los Manuscritos del Mar Muerto estarán disponibles en Internet  »

Historias relacionadas

[+] Publicada vulnerabilidad secreta de DNS 32 comentarios
Manuel Benet nos cuenta: «Según parece, a pesar de los intentos de Dan Kaminsky porque el último problema de seguridad del DNS quedase en secreto hasta la conferencia de Black Hat en agosto, se han publicado detalles más que suficientes sobre el problema. El título de Kaminsky en su blog DoxPara Research, "13>0", hace referencia al parecer a los 13 días que todavía tendrían los administradores para parchear sus sistemas si la vulnerabilidad no hubiese sido descubierta (disclosed). Matasano se adelantó, a pesar del acuerdo que habían alcanzado con Kaminsky, y eliminando posteriormente la entrada, aunque ésta se encuentra en Google, en Slashdot y en muchos otros sitios. Digamos que hay una salsa rosa nada despreciable detrás del ataque.» Más detalles en la página ampliada.
[+] Cómo parchear BIND9 contra el 'DNS Cache Poisoning' 9 comentarios
Falko Timme nos cuenta: «Dan Kaminsky anunció a principios de este mes un problema de 'envenenamiento' de las cachés de DNS que podría permitir a atacantes comprometer cualquier servidor de nombres e incluso extenderlo a sus clientes. He publicado dos artículos que explican cómo arreglar un servidor de nombres BIND9 en Debian etch y en Fedora/CentOS, de modo que ya no sean vulnerables a ataques de "DNS cache poisoning".»
[+] Dan Kaminsky habla en la Black Hat 2008 sobre el ataque al DNS 4 comentarios
Dan Kaminsky, el especialista en seguridad de IO Active que hace unos meses encontró uno de los mayores fallos recientes de seguridad de la Red y mediante el que se puede realizar DNS poisoning sobre los servidores que sean vulnerables, ha hablado por fin de ello en la Black Hat. A pesar de que a estas alturas casi todos los detalles del ataque son ya conocidos, las 104 transparencias que acompañaron su charla son igualmente interesantes. Dan tiene asimismo disponible en su blog un sistema de comprobación de DNS para poder averiguar si tu servidor es vulnerable o no.
Descubierto un grave fallo de seguridad en el protocolo BGP | Log in/Crear cuenta | Top | 33 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • ¿Lo habrá usado alguien?

    (Puntos:2)
    por slim (27013) el Miércoles, 27 Agosto de 2008, 12:44h (#1076572)
    ( http://barrapunto.com/ | Última bitácora: Viernes, 21 Diciembre de 2007, 13:49h )
    Es lo que yo me pregunto... y, si alguien ha usado este bug, ¿quedan trazas de ello?
    [ Responder ]

  • Creo que no es nuevo

    (Puntos:3, Informativo)
    por pobrecito hablador el Miércoles, 27 Agosto de 2008, 13:00h (#1076584)
    He leído la noticia y he rebuscado un poco. Parece que es una característica conocida de antiguo y bien descrita (http://www.saulo.net/pub/inv/BGP-art.htm [saulo.net]). Además hay propuestas de solución. Diría que hay una sensibilidad excesiva a estos temas y los expertos deberían acotarla.
    [ Responder ]

  • El enlace de Wired

    (Puntos:2)
    por Scarbrow (31251) el Miércoles, 27 Agosto de 2008, 13:02h (#1076585)
    ( Última bitácora: Miércoles, 23 Enero de 2008, 18:43h )
    Yo iba a enviarlo, pero me lo he encontrado ya publicado: Revealed: The Internet's Biggest Security Hole [wired.com]

    No, si al final lo que más me jode es que los conspiranoicos van a tener razón, y hemos tenido una puerta trasera abierta todo este tiempo. ¿Hay tiempo aún para encriptar Internet [newteevee.com]?
    --
    V.V.V.V.V. Vi Veri Vniversum Vivus Vici "Por el poder de la verdad, mientras viva habre conquistado el Universo"
    [ Responder ]

  • alto secreto

    (Puntos:2, Inspirado)
    por pobrecito hablador el Miércoles, 27 Agosto de 2008, 13:17h (#1076590)

    El Pais:

    ... reservado a tareas de espionaje ...

    Que digo yo que consultar la Wiki tampoco les habia costado tanto:

    http://es.wikipedia.org/wiki/Border_Gateway_Prot ocol

    [ Responder ]

  • ¿soluciones?

    (Puntos:1)
    por Rarok (18050) el Miércoles, 27 Agosto de 2008, 13:17h (#1076591)
    ( Última bitácora: Miércoles, 28 Mayo de 2008, 12:55h )
    Teniendo en cuenta el fallo de DNS que al parecer ni con los parches se arregla y con este nuevo error ¿está equivocado el propio diseño de internet o se ha quedado desfasado? ¿qué soluciones hay?
    [ Responder ]

  • El gorbierno conocía el fallo desde hace ~10

    (Puntos:5, Interesante)
    por Edulix (7155) el Miércoles, 27 Agosto de 2008, 13:28h (#1076596)
    ( http://barrapunto.com/ | Última bitácora: Jueves, 09 Febrero de 2006, 19:13h )
    En la noticia de slashdot dicen:

    "'It's at least as big an issue as the DNS issue, if not bigger,' said Peiter 'Mudge' Zatko, noted computer security expert and former member of the L0pht hacking group, who testified to Congress in 1998 that he could bring down the internet in 30 minutes using a similar BGP attack, and disclosed privately to government agents how BGP could also be exploited to eavesdrop. 'I went around screaming my head about this about ten or twelve years ago... We described this to intelligence agencies and to the National Security Council, in detail.'
    Es decir, que según parece agentes del gobierno de Estados Unidos conocen el fallo desde hace 10-12 años. Ahora lo único que han hecho es hacerlo público. ¿Qué otras cosas sabrán ahora que no se harán públicas hasta dentro una década? Da qué pensar. Para que luego digan de los paranoicos.
    --
    --- "Fracasar es la oportunidad de comenzar de nuevo con más inteligencia." - Groucho Marx
    [ Responder ]

  • El País manipula a su antojo

    (Puntos:3, Informativo)
    por melon.diesel (19241) el Miércoles, 27 Agosto de 2008, 17:09h (#1076693)
    ( Última bitácora: Martes, 29 Mayo de 2007, 15:40h )
    Si lees las fuentes en inglés, y luego el artículo de El País, y supones que hacen lo mismo con el resto de noticias, llegas a la conclusión de que.... no se. Da asco, simplemente.
    --
    Siempre que pasa lo mismo, sucede igual.
    [ Responder ]

  • Nada nuevo

    (Puntos:3, Inspirado)
    por metoo (26019) el Jueves, 28 Agosto de 2008, 07:25h (#1076831)

    A mi desde siempre me han enseñado que todo lo que circula por internet es visible por terceras personas. Resulta que ahora dicen que esto es debido a un bug en el protocolo BGP, pues vaya, qué novedad.

    Si quieres privacidad: encripta, que internet es una red pública y hay miles de ojos que ven todo lo que haces y dices.

    [ Responder ]

  • A cifrar se ha dicho

    (Puntos:1, Inspirado)
    por pobrecito hablador el Jueves, 28 Agosto de 2008, 11:21h (#1076923)
    Si cifras la información, aunque la capturen deberán destinar muchos recursos para "romper" el cifrado.

    Así pues propongo la creación de una campaña "Cifrado por defecto". Nótese el doble sentido de la palabra defecto.
    [ Responder ]

  • Re:¿Lo arregla IPV6?

    (Puntos:1)
    por Rarok (18050) el Miércoles, 27 Agosto de 2008, 15:24h (#1076636)
    ( Última bitácora: Miércoles, 28 Mayo de 2008, 12:55h )
    Justamente creo que es al revés, piensa que si el IPV6 aún dista mucho de ser una realidad es justo por no querer meter routers nuevos, así que imagínte los costes de diseñar, implementar y estandarizar un nuevo protocolo así como cambiar todo el hardware en cada nodo de la red. (La verdad que ni idea de a cuanto puede subir globalmente la cifra pero tiene que ser absurdamente grande).
  • 2 respuestas por debajo de tu umbral de lectura actual.