Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Vulnerabilidades detectadas en ZoneAlarm 2.1.44
 
VSantivirus No. 167 - Año 4 - Viernes 22 de diciembre de 2000

¿Es realmente vulnerable el ZoneAlarm?
Por José Luis López

Según un boletín de The WolfPak, alerts@wolfpak.dynip.com, fechado el 20 de diciembre, la utilidad ZoneAlarm 2.1.44, conocido cortafuego de uso gratuito para Windows 9x, Me, NT y 2000, no informa sobre algunos tipos de escaneos, como los realizados por la utilidad NMAP (ver más detalles sobre el Zone Alarm en "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red.").

NMAP es un escaneador furtivo de puertos, usado para múltiples propósitos, generalmente por administradores de redes o por hackers, y que permite, por ejemplo, identificar el sistema operativo en uso por un servidor, entre muchas otras cosas.

Es una de las herramientas más versátiles y extensamente empleadas para examinar puertos abiertos, informar quien controla cada proceso, que servicio se asigna a un puerto determinado, etc.(http://www.insecure.org/nmap/index.html).

Según WolfPak, esto haría posible a un atacante remoto, bajo ciertas condiciones, llegar a tomar el control de los archivos del sistema, y deshabilitar el ZoneAlarm (ZA) sin el conocimiento del usuario (a propósito, existe algún virus/troyano por ahí, que intenta lo mismo, por lo que siempre es muy recomendable compartir el uso del cortafuegos con algún antivirus residente).

En el reporte de esta vulnerabilidad, se hace notar que el ZA no informa correctamente al usuario, cuando este es escaneado por esta herramienta. Mientras estos escaneos no reenvíen la lista de puertos abiertos a un atacante, el usuario del ZA no es advertido del mismo, ni de la posibilidad del ataque que se dirige hacia ellos, asegura el informe.

También se menciona que esto abre la posibilidad de que durante el proceso de reinicio de Windows, el asaltante pueda acceder a los recursos compartidos de la computadora protegida por el ZoneAlarm.

Si los archivos compartidos se habilitan a través del cliente para redes de Microsoft, y dependiendo como se tengan configurados los permisos de acceso, se podría llegar a obtener el control de los recursos a través de NetBIOS. De hecho, existen herramientas que permiten hacer esto, "Legion" por ejemplo (no lo olvide, además del cortafuegos, mantenga siempre un antivirus al día).

De este modo, un atacante podría acceder a la carpeta donde se instala el ZA por defecto, C:\Archivos de programa\Zone Labs\ZoneAlarm, y anularlo, borrando sus archivos o sobreescribiéndolos.

También se podría acceder al registro, modificando la clave creada por el Zone Alarm, HKLM\Software\Zone Labs. Aunque en algunos casos se mostraría al usuario una ventana pidiendo la confirmación de alguna de estas acciones, esto sería algo muy confuso para muchos.

Por supuesto, si el ZA es deshabilitado, el atacante podría llegar a tomar el control de todos los recursos de la computadora.

Pero, ¿es realmente peligrosa esta vulnerabilidad?

Existen varias temas a tener en cuenta aquí. Primero, debemos recordar que ZA es un cortafuego de uso personal. Ningún administrador de una gran red lo usaría para la misma.

Y por supuesto, para el usuario común, el tener conocimiento de cierta información, no es algo que pueda hacer una gran diferencia en la acción a tomar, al menos no dentro de los parámetros del uso normal de su sistema.

Además, no es un secreto, que ZA solo muestra aquellos mensajes de advertencia que podrían considerarse una amenaza directa o futura al sistema. E incluso bajo ciertas condiciones, este tipo de mensajes suele confundir al usuario común.

¿Falla entonces ZA en advertir al usuario?

Tal vez la única falla aquí del ZA, sea la de no reconocer que no bloquea todos los tipos de escaneos posibles. Pero digámoslo de este otro modo, la advertencia no es importante en este punto, porque el escaneo en si, no abre una puerta al sistema, solo permite que se espíe en él en todo caso.

Veamos otro detalle en el texto de la vulnerabilidad reportada. Se dice que el ZA no informa correctamente al usuario, cuando este es escaneado por NMAP, y que mientras estos escaneos no reenvíen la lista de puertos abiertos a un atacante, el usuario del ZA no es advertido de este escaneo.

Dicho de otro modo, cuando se envía la lista de puertos, es cuando el ZA avisa al usuario. Entonces, ¿qué riesgo puede existir en este punto?. Ninguno, el ZA hace lo que se supone debe hacer.

Para los usuarios inexpertos, es bueno aclarar que un escaneo, en si mismo, no causa daños a su sistema, ni involucra el que se pueda llegar a tomar el control de su computadora.

¿Y porqué ZA no informa de todos los escaneos posibles?

Nos atrevemos a afirmar que esto está pensado así, para no confundir innecesariamente al usuario, como ya dijimos. Recordemos, es un cortafuego de uso personal, no para proteger una gran red corporativa.

Y sobre el peligro de que se pueda llegar a tomar el control en el arranque de Windows, hay que hacer ciertas salvedades.

Primero, esto no es posible bajo una configuración estándar, donde el usuario tiene acceso a Internet a través de la línea telefónica.

Podría existir cierto riesgo en una conexión permanente (cable módem, DSL, etc.). Aunque el atacante debería de cualquier modo insertar alguna utilidad en la máquina atacada (un trojan tal vez) que le permitiera establecer la conexión en el momento justo, ya que la oportunidad de conectarse sería muy efímera.

Por otra parte, el reporte tiene algo "retorcido" en este punto, al afirmar como muy riesgoso, algo que es evidente.

No se inventa la rueda cuando se dice que nuestro sistema es vulnerable si se puede tomar el control antes que cualquier sistema de protección lo haga. Esto incluye no solo a los cortafuegos, sino también a los antivirus. Y no se trata de una falla en si misma.

En lo único que falla el ZA (y no lo consideramos necesariamente como un error), es en no avisarnos de todas las acciones de escaneo que estemos sufriendo.

Y notemos (lo reitero porque es importante), que en el momento que cualquier escaneo solicitara la información de algún puerto, el ZoneAlarm nos avisaría, y por supuesto --lo que es más importante--, impediría cualquier acceso al mismo.

En concreto, creemos que esta vulnerabilidad no es tal, al menos como está planteada, y no involucra ningún riesgo para un usuario común (hogareño). Sin embargo, es casi seguro la prensa no especializada, lo difundirá como un fallo. Un mal año para los cortafuegos personales según parece, (ver "VSantivirus No. 153 - Año 4 - Viernes 8 de diciembre de 2000, Cortafuegos personales, ¿solo son basura?").

Y si realmente se les hace caso a aquellos que solicitan que el ZA les informe de TODOS los tipos de escaneos, es probable una futura versión del producto lo incluya.

Por mi parte, seguiré confiando en el ZA como mi cortafuegos personal.

Nota: ZoneAlarm (http://www.zonelabs.com) es un firewall de uso personal y gratuito, que funciona como herramienta de detección y prevención de ataques externos e internos a nuestra computadora, avisando al usuario de cualquier intento de conexión de y hacia la red (Internet). Puede ver más detalles sobre el mismo, y como configurarlo en nuestro sitio.


Ver también:
02/nov/00 - Zone Alarm - El botón rojo que desconecta su PC de la red
08/dic/00 - Cortafuegos personales, ¿solo son basura?
 		 

Copyright 1996-2000 Video Soft BBS