Se trata del tercer problema de seguridad grave del que se alerta en lo que va de año.
(El Mundo, 8/10/2008) La compañía de seguridad Outpost24 publicó un boletín en el que advertía de una vulnerabilidad grave que podría afectar a la totalidad de la Red. Se trata del tercer agujero de seguridad grave del que se alerta en lo que va de año.
Esta vulnerabilidad, según Outpost24, afecta a los servicios basados en protocolos TCP/IP, y podría ser utilizada para lanzar ataques de denegación de servicio (DoS).
La alerta, publicada el pasado fin de semana, fue lanzada por uno de los investigadores de la compañía, Jack C. Louis, quien junto al jefe de seguridad de la empresa, Robert E. Lee, proporcionará más detalles a mediados de este mes, concretamente en una conferencia que tendrá lugar en Helsinki el 17 de octubre.
En palabras de Robert E. Lee, "este error permitiría a un atacante consumir más recursos de los que debería con una cantidad relativamente baja de uso de banda ancha. Otros ya se habían dado cuenta de problemas similares en el pasado, pero la investigación de Jack C. Louis ha puesto de manifiesto que el problema es mucho peor de lo que se suponía al principio".
El sitio especializado en seguridad informática Hispasec se hizo eco de esta nueva vulnerabilidad, y explica que la consecuencia de la misma es, básicamente, la posibilidad de "colapsar cualquier dispositivo que implemente la especificación del protocolo base" con relativamente poco tráfico.
En declaraciones a elmundo.es, Robert E. Lee afirmó que "en estos momentos no hay herramientas que aprovechen esta vulnerabilidad, para aprovecharse de ella tienes que ser un experto, algo que podría cambiar si más gente descubre estos problemas".
Este último agujero no es nuevo, en realidad. Se detectaron un par de problemas similares ya en 2000 que, además, aún permanecen sin solucionar en la mayoría de las implementaciones de TCP, según Lee. "Esto indica que, aunque aún no lo sabemos con seguridad, este problema será complicado de arreglar", comentó el responsable de Outpost24, quien apuntó no obstante que también es una señal de que son problemas en general que no preocupan tanto.
"Internet no se está viniendo abajo, y la realidad es que los protocolos son tan seguros (o vulnerables, según se mire) como hace tres semanas. Creemos que la atención prestada a la investigación de Jack C. Louis será beneficiosa para solucionar problemas a largo plazo", afirmó Lee.
Se trata de la tercer gran problema detectado en Internet en lo que va de año. Hace meses, el descubrimiento de un problema en el sistema de nombres de Internet (DNS), que permitía falsificar cualquier IP asociada a un dominio, provocó una respuesta conjunta sin precedentes en la Red para parchear el problema.
Poco después se publicó otra importante vulnerabilidad, un problema descrito entonces como 'mayor' que el problema del sistema DNS.
Este agujero explota el protocolo de enrutamiento de Internet BGP (Border Gateway Protocol), y puede permitir a un 'cracker' cualquiera controlar sin encriptar el tráfico de Internet, e incluso modificarlo antes de que llegue a su destino.