¿Existen programas sin fallos de seguridad?


Ante esa pregunta, a muchos se nos viene a la cabeza automáticamente el servidor de correo qmail y el servidor DNS djbdns, ambos de código abierto. En realidad, si existiese algo parecido, probablemente serían estos dos programas. Su autor D. J. Bernstein ofreció hace más de diez años 500 dólares a quien encontrara un fallo de seguridad en qmail y 1.000 a quien lo encontrara en djbdns. El día 3 de marzo Bernstein reconocía una pequeña vulnerabilidad en su servidor DNS y ha premiado con 1000 dólares a Matthew Dempsky.





D. J. Bernstein programó a mediados de los noventa, qmail y djbdns con la seguridad siempre en mente. Precisamente, estaba harto de vulnerabilidades en sus homónimos Sendmail y BIND, dos pesos pesados de Internet que sufrían de enormes agujeros de seguridad cada muy poco tiempo por aquel entonces. Como alternativa, creó estos servidores siguiendo unas premisas muy sencillas en las que se premiaba por encima de todo la seguridad y simplicidad. Estaba tan seguro de su trabajo que ofreció una recompensa económica a quien encontrara fallos en su software. Hoy en día es habitual que premien económicamente a los que encuentran fallos de seguridad, pero por entonces, era una especie de osadía. Para Bernstein se convirtió en su garantía de seguridad. Nunca se pensó que pasarían tantos años hasta que alguien pudiese hacerse con el premio.

Matthew Dempsky se ha llevado 1.000 dólares por encontrar un pequeño fallo de seguridad en djbdns. Bajo circunstancias bastante atípicas, un atacante podría controlar entradas de caché almacenadas para un domino. Dempsky demuestra así que, por pequeño que sea, es posible encontrar problemas de seguridad en cualquier programa. Más que los 1.000 dólares que se ha embolsado (hoy en día pagan mucho más por descubrir cualquier otro fallo, probablemente más sencillo de encontrar en otros programas) se lleva la satisfacción de haber sido el primero en romper la garantía de seguridad de Bernstein.

Parece que si realmente se pone empeño y se sabe lo que se está haciendo, es posible crear un software con muy pocos problemas de seguridad. Cuando en agosto de 2008 Kaminsky descubre un fallo de seguridad en la implementación del protocolo DNS que afectó a la inmensa mayoría de fabricantes y programadores de servidores DNS, djbdns no necesitó actualización. Bernstein había añadido deliberadamente una mayor entropía a sus cálculos, e implementó su servidor de forma que no se vio afectado por este problema casi "universal" mucho antes de que pillara por sorpresa al resto.

Por desgracia, no abunda el ejemplo. Aunque hay que decir que Bernstein no suele añadir funcionalidades a sus servidores ni ofrece versiones nuevas habitualmente. Su código es el que es prácticamente desde que fue escrito. No es viable trasladar este modelo ni sus circunstancias a otros programas más complejos o comerciales, donde muchas otras presiones están por encima de la de crear código a prueba de balas. Bernstein ha publicado un pequeño parche para solucionar el problema encontrado por Dempsky y ofrece de nuevo la garantía de seguridad: pagará con 1.000 dólares a quien encuentre otro fallo en su servidor DNS.

Qmail sigue imbatido hasta la fecha. El servidor djbdns no deja de ser uno de los programas más fiables y seguros por este fallo. En realidad, el hecho de que se haya encontrado una vulnerabilidad en él, demuestra sobre todo que existe gente como Bernstein verdaderamente buena programando, que existen investigadores como Dempsky capaces de encontrar fallos en cualquier código, que no hay software sin vulnerabilidades... pero sobre todo, que Bernstein es un hombre de palabra.

Más Información:

djbdns<=1.05 lets AXFRed subdomains overwrite domains
http://article.gmane.org/gmane.network.djbdns/13864

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

< CUIDADO > - HACKER TRAIDOR!
El hombre responsable de transmitir el virus Melissa -un virus informático que provocó daños por más de 80 millones de dólares en 1999- ayudó al FBI a capturar a varios hackers internacionales de primer nivel. Documentos judicial...
Facebook.com bajo ataque de typosquatting
Los atacantes siempre ponen su cuota de originalidad para propagar amenazas y uno de estos casos es la técnica conocida como Typosquatting. Esta, consiste en registrar nombres de dominios similares a otros conocidos o populares, para así obtener tr...
Google HTTPS en todos sus servicios
Desde hace hace aproximadamente 1 mes Google ha ido incorporando a nivel mundial el uso de HTTPS en todos sus servicios, incluidos el de búsqueda....
Vulnerabilidades en PHP 4
Se han descubierto tres nuevos fallos de seguridad en php4, que podrían permitir a un atacante elevar sus privilegios o comprometer de forma remota el sistema afectado....
Malware que estudia los clicks de ratón para no ser detectado
La situación se vuelve cada vez más complicada para las empresas de seguridad. La empresa FireEye asegura haber detectado un nuevo ATP, o amenaza persistente avanzada, que utiliza múltiples técnicas para evitar ser detectado, incluida la monitori...
RIM lanzó una actualización para PlayBook
Se trata de una nueva versión de OS 2.0.1 que agregará algunas funcionalidades y corregirá algunos errores del funcionamiento que presentaba el dispositivo. Entre los cambios se destacan avances en el navegador de internet y el soporte para aplica...
Papirux Número 3 publicado.
La gente de papirux.org ha lanzado una nueva edición de la excelente revista eletronica Papirux. De lectura recomendada....
El navegador Vivaldi, rapido y ligero
Vivaldi esta bajo la tutela de Jon von Tetzchner (Technical Preview), antiguo CEO de Opera. El navegador Vivaldi ya está disponible, aunque algunas de sus funciones y características son similares a a otros navegadores. Una de las cosas geniales es...
Los mejores 50 artículos de Seguridad0.com
Esta breve colección de artículos es para nuevos lectores de esta web (seguridad0.com) que quieran conocer parte de nuestra trayectoria. O para veteranos que quieran repasar conceptos. Además, por estas fechas, siempre hay ...
XOMBRA Estrena foro!!!
He instalado una nueva área, la de Foros. Solo podrás accesar si eres usuario registrado ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • existen
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • programas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra