Un lugar en el mundo...

Este fin de semana nos fuimos a casa con una nueva vulnerabilidad crítica en el Internet Explorer que permite ejecutar código de forma remota en la máquina del usuario afectado. O sea en aproximadamente el 80% de los ordenadores de este planeta. Una alegría, vamos.

La vulnerabilidad fue remitida por la gente de Computer Terrorism y, como decían en Kriptópolis, casi no merece la pena hablar de ello por acostumbrado... yo creo que a estas alturas lo que deberíamos de publicitar como noticia son los periodos en que no existiera ninguna vulnerabiliad conocida y no parcheada sobre este infame navegador...

No obstante, viendo las listas de configuraciones vulnerables publicadas por la propia Microsoft y por Computer Terrorism y comparando ambas yo creo que si que merece la pena comentar al menos un par de cosas al respecto:

Ocurre tan pocas veces que, cuando un programa se lanza antes para plataformas GNU/Linux y MAC OSX dándoles preferencia frente a los entornos de Microsoft merece la pena hacerle toda la propaganda posible a la iniciativa.
Mucho más en este caso en el que la herramienta viene de la mano de Zimmermann (creador del PGP) y se trata de una interesante implementación que posibilita cifrado sobre VoIP.

Interesados aquí.

Visto en Error500.

Una de las vulnerabilidades publicadas ayer día 14 por Microsoft hace referencia a un problema en Excell que afecta a las tres últimas suites de la empresa de Redmon (2000, XP, y 2003) y que, explotada a través del plugin del navegador, podría proporcionar acceso remoto al ordenador de la víctima. El código asignado por Microsoft a esta vulnerabilidad ha sido el MS06-012 y ha sido reportado, entre otros por la Zero Day Initiative de 3COM.

ZDI es un programa de recompensas a investigadores de fallos de seguridad lanzado por 3COM a mediados del año pasado y cuyo planteamiento parece bastante correcto. O al menos así es sobre el papel porque en la práctica no parece haber tenido demasiado éxito. El funcionamiento de ZDI es muy sencillo. Cuando un investigador descubre un fallo de vulnerabilidad lo envía a ZDI para su evaluación. Los técnicos de este programa comprueban la vulnerabilidad, valoran el alcance de la misma y le hacen una oferta económica a su descubridor. Si este la acepta, 3COM se hace con la exclusiva de la información (que no con el crédito de la misma a no ser que el descubridor prefiera permanecer en el anonimato). A partir de este momento ZDI se pone en contacto con el fabricante del producto afectado para notificarle la incidencia y respeta el public-disclosure hasta que el fabricante elabora un parche de seguridad, momento en el que hace público el descubrimiento a través de las listas de correo usuales (full-disclosure@lists.grok.org.uk y bugtraq@securityfocus.com).

Las ventajas para el descubridor son dos: la recompensa económica, evidentemente, y evitar la engorrosa labor de tener que tratar con los fabricantes. A 3COM le proporciona la iniciativa para, antes de que la incidencia sea pública, crear los filtros pertinentes en los IPS de su divisiòn Tipping Point. Además, aunque 3COM notifica a otros fabricantes de IPS los detalles de la vulnerabilidad (según publicita en el modus opernadi del programa) lo hace con un cierto decalaje para contar con un valor preferencial. Esto puede apreciarse en el Timeline que publican acerca de esta última incidencia:

DISCLOSURE TIMELINE

Llevamos años oyéndolo: Microsoft apuesta por la seguridad. Yo creo que la primera vez que lo escuché fue tras aquel famoso comunicado interno que Bill Gates, allá por el año 2002, envió a toda su plantilla y que se difundió a lo largo y ancho de este mundo. Desde entonces los medios afines a la empresa de Redmon nos repiten lo mismo una y otra vez a ver si a fuerza de escucharlo nos lo creemos. Pero nada ha llovido mucho desde aquel momento y se ve que no hay manera. Las recientes vulnerabilidades descubiertas en torno a las betas de sus "productos estrella" para este año (Internet Explorer 7. OneCare y Windows Vista) demuestrán, además, que o bien no tienen ninguna intención de cambiar o el éxito les ha convertido en una empresa tan 'pesada' que no son capaces de hacerlo.

Parémonos en primer lugar en la reciente vulnerabilidad en torno a los archivos WMF y que, aunque Microsoft no ha tratado de airearlo mucho ocultándolo en el boletín oficial que emitió, lo cierto es que esta vulnerabilidad afectaba también a la beta de Windows Vista. Independientemente de toda la polémica surgida en torno a ella, hay algo de lo que no se ha hablado y que a mi me parece muy significativo: Microsoft declaró que conocía la existencia de esa vulnerabilidad desde hacía años. Entonces ¿cómo es posible que fuese portada a la beta de su nuevo sistema? Desde luego es difícil creer que una empresa que actúa así esté especialmente motivada por la seguridad de sus productos.

Después de esto y en apenas un mes hemos tenido un par de nuevos 'problemillas': uno de ellos afecta a la beta de Microsoft OneCare, una suite de seguridad que pretenden lanzar durante este año. Los expertos que han analizado dicha beta (e imagino que lo habrán hecho a conciencia puesto que aquí Microsoft arremete contra un floreciente negocio que ha crecido a su sombra y les ha dado mucho dinero) han advertido que el cortafuegos de dicha suite permite en su configuración por defecto que cualquier aplicación firmada digitalmente o que use la máquina virtual java tenga acceso a Internet. En este caso se trata claramente de un error de diseño gravísimo: "cualquier cortafuegos, cualquier dispositivo de seguridad, debería de denegar el acceso por defecto" ha declarado Mark Curphey, vicepresidente de Foundstone. Se trata de algo tan evidente para cualquiera que trabaje o conozca el mundo de la seguridad que casi parece estúpido tener que decirlo.

Por último, tenemos un fallo que podría posibilitar la ejecución de código de forma remota y que afecta nada más y nada menos que a la beta de Internet Explorer 7, un producto que, se supone, debería de estar especialmente mimado por los de Redmon debido a la sangrante pérdida de mercado que está sufriendo a manos de Firefox. Microsoft contesta con lo de siempre: que se preocupan mucho por la seguridad, que ya sabían que ese error existía (¿cómo diablos sacas la beta entonces sin advertirlo?), que no está tan claro que se pueda ejecutar código remoto y que no es correcto que la gente vaya por ahí aireando sus trapos sucios sin enseñárselos a ellos antes para que puedan enterrarlos convenientmente.

Tenemos, pues, tres errores, tres, en torno a los futuros nuevos lanzamientos de los de Redmon. Uno debido a la reutilización de código mal diseñado, otro debido a un error conceptual de diseño y un tercero que repite los mismos fallos de siempre en un desarrollo nuevo... ¿es esta la forma de actuar de una empresa que se preocupa por la seguridad?

Y no me canso de repetirlo: a todos, incluso a los que tratamos de no usarlo, nos interesa que Microsoft desarrolle productos seguros porque por culpa de estas meteduras de pata tenemos que convivir con el spam, con gusanos que saturan el tráfico de redes completas, y con decenas de problemas en el trabajo que no nos dejan ocuparnos de lo que realmente nos interesa. Repito: no me gusta el software de Microsoft pero quiero que, de una vez por todas, se tomen en serio la seguridad de sus productos.

(Espero que Juanjo Millás no se moleste por haber tomado prestado para este post el título de su excelente trabajo sobre el caso de Nevenka Fernández).

El 28 de diciembre (curioso día) el CERT publicó un boletín extraordinario informando de una importante vulnerabilidad que afectaba al formato de los populares windows metafile (wmf), que permitía ejecutar código de forma remota en un equipo con windows y para la que no existía parche alguno. En realidad el aviso del CERT, como suele ser habitual, no coincidía con el descubrimiento de la vulnerabilidad (que llevaba ya varios días dando que hablar en las listas especializadas) sino con la aparición de los primeros exploits 'in the wild'.

A día de hoy, y como era de esperar, se han multiplicado los exploits que se aprovechan de este agujero, incluyendo un gusano que se está propagando por Messenger y las casas antivirus, imagino que influenciadas por las fiestas, están reaccionando en general con demasiada lentitud para incluir la detección en sus firmas.

Hasta el momento Microsoft sigue sin dar una solución definitiva y oficial a este problema que afecta a la práctica totalidad de sus sistemas y se ha limitado a publicar un boletín con sugerencias y 'workarounds'.

Las primeras soluciones efectivas han venido de la mano de la comunidad de usuarios de Snort donde ya se ha publicado una firma para detectar el exploit a través de este popular IDS y de Ilfak Guilfanov, un reputado desarrollador que nada tiene que ver con los de Redmon y que ha publicado recientemente una herramienta para detectar los sistemas vulnerables (casi todos los windows, como ya he dicho) y un parche no oficial que soluciona la vulnerabilidad de forma efectiva y para el cual incluye el código fuente. Bernardo Quintero de Hispasec hace eco de esta solución en el blog de esta empresa y apuntan que el parche parece adecuado hasta el punto de que el Internet Storm Centre de SANS está recomendando su uso.

Mal empezamos el año Bill.

Hace sólo unas horas que Renaud Deraison nos anunció la disponibilidad de la esperada nueva versión de Nessus con este mensaje:

From: "Renaud Deraison"
To: "Nessus List"
Sent: Monday, December 12, 2005 12:59 PM
Subject: Nessus 3.0.0 available !

I'm thrilled to announce the availability of Nessus 3.0.0 !

Nessus 3 is a complete rewrite of the Nessus engine, designed for speed and efficency -- as a result Nessus 3 is on average twice as fast as Nessus 2 (with spikes as high as five times faster) and is less resource intensive.

The Nessus 3 major enhancements are the following :

• New NASL3 engine
• Improved plugin storage for faster startup time
• Improved networking functions
• New scanner architecture to be both efficient and robust
• The Nessus daemon fetches the plugins automatically when registered (this can be disabled in nessusd.conf)
• Improved error handling

Nessus 3 is available on the following platforms :

• Red Hat ES3 and ES4
• SuSE 9.3 and 10.0
• FreeBSD 5 and 6
• Fedora Core 4
• Debian 3.1

The following platforms will be supported in early 2006 :

• Mac OS X 10.3 and 10.4
• Microsoft Windows 2000/XP Pro/2003
• Solaris 9 and 10

I'm also happy to announce that we're extending the service we offer to our direct feed customers to include full email support, with access to our customer portal which gives users the ability to reset their activation codes, track their support tickets, and have access to the Nessus Support Knowledge base.
We have also changed our plugins license agreement so that consultants do not have to fax us to ask permission to use the plugin feed any more.
Nessus 3 can be downloaded at http://www.nessus.org/download/

Thanks,

-- Renaud

Nessus es, con distancia, el mejor scanner de vulnerabilidades existente en la actualidad. Hasta la versión anterior a esta (la 2.2.5) se distribuía bajo licencia GPL pero hace tan sólo un par de meses que Renaud anunció en la lista asociada al proyecto la polémica decisión de abandonar este modelo de licencia para la futura versión 3.0.0. Las explicaciones que dio para este cambio de actitud fueron claras: hasta ahora había recibido poca o ninguna ayuda para desarrollar el motor de nessus y, sin embargo, las empresas privadas del sector se estaban beneficiando claramente de la inspección de su código. La noticia fue recogida pero, al menos en nuestro entorno, no con la polémica que cabía esperar. En castellano tenemos, entre otros, esta nota en el blog de Hispasec y este hilo con muy poco eco en barrapunto

La respuesta final de la comunidad ha sido crear un fork del proyecto a partir de la última versión GPL que en principio se pensó en llamar GNessus y finalmente parece que se llamará OpenVAS

Puedo comprender las razones de Renaud y también las reticencias de los usuarios y no me voy a meter en discutirlas pero lo que habría que esperar, para bien de todos, es un mínimo entendimiento entre ambos proyectos: uno de los mayores éxitos de Nessus ha sido, aparte de la indudable calidad de su motor, los centenares de plugins desarrollados por la gran cantidad de incondicionales que tiene el proyecto. Mantener la compatibilidad entre ambos a este nivel debería de ser del todo imprescindible para perpetuar el éxito de ambos.

Conseguir esto no debería de ser difícil con un mínimo de cooperación y entendimiento por ambas partes. Los plugins de Nessus se realizan mediante NASL (Nessus Attack Scripting Language, un potente lenguaje de scripts creado por el propio Renaud. En la lista de correo del proyecto ya se anunciaba la intención de no alejarse de esta especificación en la nueva versión de Nessus, entre otras cosas, imagino, porque Nessus no sería lo mismo sin esa importante colaboración externa:

I think a lot of people do not understand what the Nessus engine is it's a platform to run plugins effectively. When we improve a NASL plugin, the improvement works both on Nessus 2.x and on 3.x. So sticking to Nessus 2.x is fine if you don't want to upgrade.

Lo que pasará en realidad está aún por ver: la sana competencia entre ambos proyectos manteniendo la compatibilidad con el uso de un lenguaje común para el desarrollo de los plugins sería, creo, beneficioso para todos. Crucemos los dedos.