¿Existen programas sin fallos de seguridad?


Ante esa pregunta, a muchos se nos viene a la cabeza automáticamente el servidor de correo qmail y el servidor DNS djbdns, ambos de código abierto. En realidad, si existiese algo parecido, probablemente serían estos dos programas. Su autor D. J. Bernstein ofreció hace más de diez años 500 dólares a quien encontrara un fallo de seguridad en qmail y 1.000 a quien lo encontrara en djbdns. El día 3 de marzo Bernstein reconocía una pequeña vulnerabilidad en su servidor DNS y ha premiado con 1000 dólares a Matthew Dempsky.





D. J. Bernstein programó a mediados de los noventa, qmail y djbdns con la seguridad siempre en mente. Precisamente, estaba harto de vulnerabilidades en sus homónimos Sendmail y BIND, dos pesos pesados de Internet que sufrían de enormes agujeros de seguridad cada muy poco tiempo por aquel entonces. Como alternativa, creó estos servidores siguiendo unas premisas muy sencillas en las que se premiaba por encima de todo la seguridad y simplicidad. Estaba tan seguro de su trabajo que ofreció una recompensa económica a quien encontrara fallos en su software. Hoy en día es habitual que premien económicamente a los que encuentran fallos de seguridad, pero por entonces, era una especie de osadía. Para Bernstein se convirtió en su garantía de seguridad. Nunca se pensó que pasarían tantos años hasta que alguien pudiese hacerse con el premio.

Matthew Dempsky se ha llevado 1.000 dólares por encontrar un pequeño fallo de seguridad en djbdns. Bajo circunstancias bastante atípicas, un atacante podría controlar entradas de caché almacenadas para un domino. Dempsky demuestra así que, por pequeño que sea, es posible encontrar problemas de seguridad en cualquier programa. Más que los 1.000 dólares que se ha embolsado (hoy en día pagan mucho más por descubrir cualquier otro fallo, probablemente más sencillo de encontrar en otros programas) se lleva la satisfacción de haber sido el primero en romper la garantía de seguridad de Bernstein.

Parece que si realmente se pone empeño y se sabe lo que se está haciendo, es posible crear un software con muy pocos problemas de seguridad. Cuando en agosto de 2008 Kaminsky descubre un fallo de seguridad en la implementación del protocolo DNS que afectó a la inmensa mayoría de fabricantes y programadores de servidores DNS, djbdns no necesitó actualización. Bernstein había añadido deliberadamente una mayor entropía a sus cálculos, e implementó su servidor de forma que no se vio afectado por este problema casi "universal" mucho antes de que pillara por sorpresa al resto.

Por desgracia, no abunda el ejemplo. Aunque hay que decir que Bernstein no suele añadir funcionalidades a sus servidores ni ofrece versiones nuevas habitualmente. Su código es el que es prácticamente desde que fue escrito. No es viable trasladar este modelo ni sus circunstancias a otros programas más complejos o comerciales, donde muchas otras presiones están por encima de la de crear código a prueba de balas. Bernstein ha publicado un pequeño parche para solucionar el problema encontrado por Dempsky y ofrece de nuevo la garantía de seguridad: pagará con 1.000 dólares a quien encuentre otro fallo en su servidor DNS.

Qmail sigue imbatido hasta la fecha. El servidor djbdns no deja de ser uno de los programas más fiables y seguros por este fallo. En realidad, el hecho de que se haya encontrado una vulnerabilidad en él, demuestra sobre todo que existe gente como Bernstein verdaderamente buena programando, que existen investigadores como Dempsky capaces de encontrar fallos en cualquier código, que no hay software sin vulnerabilidades... pero sobre todo, que Bernstein es un hombre de palabra.

Más Información:

djbdns<=1.05 lets AXFRed subdomains overwrite domains
http://article.gmane.org/gmane.network.djbdns/13864

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

¡Yahoo messenger 5.x ! Vulnerabilidad de Desbordamiento buffer
¡Tri Huynh ha divulgado una vulnerabilidad en Yahoo! Messanger, permitiendo que cualquiera comprometa el sistema de un usuario....
Múltiples vulnerabilidades en MySQL
Dentro del boletín de actualizaciones de Oracle se han anunciado un total de 24 vulnerabilidades en el conocido gestor de base de datos MySQL, que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio, así como acced...
Licencia Creative Commons
Creative Commons nace como proyecto gracias a la iniciativa del profesor de derecho de la Universidad de Stanford y estudioso de los fenómenos sociales y culturales del ciberespacio Lawrence Lessig, siendo una organización sin fines de lucro que pe...
Los antivirus no protegen
Millo Hypponen, director de Investigación de la empresa de antivirus F-Secure, ha reconocido que la industria de seguridad informatica tiene serios problemas para enfrentarse a amenazas como Flame y Stuxnet....
Hacker del unicornio se introduce en servidor del ejercito estadounidense
Un fallo en el sistema operativo Windows 2000 y en Internet Information Server (el servidor de paginas Web de Microsoft) permite franquear las protecciones de seguridad a intrusos. La información fue divulgada por el sitio de noticias MSNBC. En ell...
Yahoo reconoce una vulnerabilidad en sus widgets
Una vulnerabilidad detectada en los widgets de Yahoo podría ser aprovechada para secuestrar las PC con Windows....
Intel lanza nuevos chips de alta velocidad para PCs de bajo coste
Intel Corp. reveló ayer la aparición de nuevos procesadores y chipsets diseñados para aportar cualidades hasta ahora sólo disponibles en PCs de alto precio a equipos comunes destinados al gran público. ...
IE 9, Firefox 10 cayeron en Pwn2Own
Internet Explorer 9 cayó con dos vulnerabilidades 0-day y Firefox 10 con una vulnerabilidad 0-day...
Microsoft publicará dos boletines de seguridad
Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo 10 de mayo dos boletines de seguridad, correspondientes a los boletines MS11-035 y MS11-036, con un número inde...
Android seguirá siendo irresistible para los píratas informáticos
Dos investigadores están a punto de lanzar AFE (Android Framework for Explotation), un marco de trabajo que permitirá desarrollar malware para Android más fácilmente....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • existen
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • programas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra