|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| STIK. Ataques a través de sobrecarga de falsas alarmas | ||
|---|---|---|
VSantivirus No. 255 - Año 5 - Martes 20 de marzo de 2001 NUEVA HERRAMIENTA DE ATAQUE "STICK" Por Alejandro G. Rodriguez (*) La empresa de seguridad, Internet Security System (ISS), ha anunciado la existencia de una nueva herramienta, que permitiría lanzar un ataque de negación de servicios contra muchos programas comerciales de detección de intrusos, entre ellos se contaría el de su propia empresa RealSecure Network Sensor 5.0. Los programas de detección de intrusos son software que monitorean una red y efectúan análisis en base a parámetros predefinidos, estudiarán elementos tales como encabezados de los paquetes de datos, para conocer las direcciones fuente y destino, tipo de datos y contenidos de los paquetes. En caso que se detecten un mal uso, se desatan una serie de alarmas, las cuales pueden incluir el registro del evento en un archivo log; reinicio de la conexión de datos; alarma al administrador del sistema; configuración de un router para denegar cualquier información futura desde cierto host o red, etc. Esta herramienta de crackeo que ha sido llamada "Stick" permitiría lanzar una gran cantidad de falsas alarmas de ataques desde numerosas direcciones IP al azar, lo que en muchos casos lograría consumir la capacidad de procesamiento de estos programas. Obteniendo esto, se podrían explotar otras vulnerabilidades conocidas, siempre tratando de invadir el sistema y en lo posible obtener acceso root. Esta técnica no es nueva, pero, esta herramienta utiliza una implementación mucho más exitosa que las anteriores para efectuar esta clase de ataques. Cabe mencionar que no existen fallas en el software afectado, sino que se produciría una inundación de alertas de ataque que eventualmente podrían saturar la capacidad de respuesta de los sistemas, dependiendo del ancho de banda de que disponga el atacante. ISS ha detectado que, su software RealSecure Network Sensor 5.0, es vulnerable en las versiones para Windows NT y Windows 2000. Se cree que las versiones para Solaris, no se encuentran afectadas. En algunos casos, esta técnica no permitiría lograr al atacante colgar el software, pero si, que su utilización se vuelva inefectiva. Para restablecer los servicios se deberá reiniciar el programa en forma manual. El Centro Nacional para la Protección de la Infraestructura (NIPC) también ha emitido un comunicado, sugiriendo a los administradores de redes y sistemas la utilización de routers y firewalls, a los efectos de filtrar los eventos malignos desarrollados y enviados con esta herramienta. Las sanas medidas de seguridad, como el control de los archivos de eventos log y la visita periódica a los sitios de los vendedores de los programas en busca de actualizaciones y parches es también, una práctica recomendada. Fuentes: http://www.theregister.co.uk/content/8/17660.html http://xforce.iss.net/alerts/advise74.php http://www.nipc.gov/warnings/assessments/2001/01-004.htm http://www.eurocompton.net/stick/ http://www.undersec.com/documentacion/textos/IDS.txt (*) Alejandro G. Rodriguez Peligros_en_la_red-owner@egroups.com http://es.egroups.com/group/Peligros_en_la_red ICQ #44796626 |
||
