Estamos migrando de sistemas de foros, por favor repórtanos cualquier problema a [email protected], si te llega a tu bandeja de entrada o a spam un correo que te dice que se solicitó el cambio de contraseña, no te alarmes, es un procedimiento normal de la migración, cambia tu contraseña porque no hay compatibilidad en el sistema de cifrado del viejo sistema con el sistema nuevo, por eso debes resetear tu clave con ese enlace.

Tu distribución Linux puede ser hackeada en 60 segundos

editado agosto 2016 en Noticias
[h=2]Investigadores han encontrado un fallo crítico que afecta a todas las versiones del kernel Linux 3.6 y más allá. . Si se pasa desapercibido, este defecto permite una serie de ataques TCP perjudiciales que pueden comprometer la seguridad de un usuario de Linux con una tasa de éxito del 90%.[/h]Los investigadores han propuesto ciertos cambios e implementaciones globales de TCP para prevenir la explotación de dicha falla.


Un grupo de investigadores de la Universidad de California ha descubierto una laguna en el Protocolo de Control de Transmisión (TCP) de todos los sistemas operativos Linux. Esta falla que permite a un hacker remoto secuestrar las comunicaciones de un usuario de Internet.


Esta falla en el TCP utilizado por Linux desde 2012 podría ser utilizada para desplegar ataques dirigidos, realizar un seguimiento de la actividad en línea de un usuario y poner en peligro la seguridad de las redes de anonimato como TOR. Los investigadores están programados para presentar su estudio de investigación en el Simposio USENIX Security en Austin, Texas.
tux-294571_960_720.png

Esto que los investigadores dicen sobre dicho descubrimiento:

“La falla se manifiesta como un canal lateral que afecta a todas las versiones del kernel de Linux 3.6 y más allá y, posiblemente, puede ser replicado en otros sistemas operativos si se pasa desapercibido. Se demuestra que la falla permite una variedad de potentes ataques blind off-path TCP”.


¿Qué es Off-Path TCP en Linux?
Para enviar y recibir información, Linux y otros sistemas operativos hacen uso del protocolo de control de transmisión. Para asegurarse de que la información empaquetada llegue al destino correcto, se utiliza el Protocolo de Internet (IP).



Supongamos que dos amigos se comunican a través de los medios de correo electrónico. TCP ensambla sus mensajes en una serie de paquetes de datos, identificados por los números de secuencia únicos. Puesto que hay casi 4 mil millones secuencias posibles, es imposible adivinar el número de secuencia asociado a una comunicación en particular.


Los investigadores han identificado una falla en Linux que permite a un hacker deducir el número de secuencia TCP relacionado con una determinada conexión. Para hacerlo, el atacante no necesita ninguna información que no sea la dirección IP de las computadoras de los participantes.


Por lo tanto, esta falla puede realizar un seguimiento de las actividades en línea de los usuarios, terminar sus comunicaciones, o inyectar código malicioso. Incluso las conexiones HTTPS, que son inmunes a la inyección de código, podrían terminarse. Los autores afirman que el ataque es muy rápido y tiene lugar en menos de un minuto con una tasa de éxito de alrededor del 90%.


A continuación un video que detalla cómo funciona un ataque de este tipo.

[video]

Para tener información más detallada sobre este ataque, puedes descargar el documento de lainvestigación.


¿Qué piensas sobre esta falla recién descubierta? Ayúdame a compartir el post en las redes sociales.


Fuente: Articulo escrito por Noé Cruz y obtenido de 1000tipsinformaticos.com

Comentarios

  • editado 7:52
    Primero, para no entrar en pánico:
    https://gist.github.com/jonzobrist/93f5e45c531bcda6d395154769f8fa26
    https://raw.githubusercontent.com/jonzobrist/Bash-Admin-Scripts/master/set-sysctl-challenge-ack.sh
    segundo, me gustaría que alguien armara un explicación en español porque el pdf esta en ingles. sé que el error esta en el número limite de acks que devuelve pero no termino de entender. imagino que con scapy no debe ser muy difícil de explotar
  • editado 7:52
    En el foro de wifi libre explican de forma simple el problema y una de las opciones que tenemos para resolverlo (siempre es mejor aplicar el correspondiente parche)
    https://www.wifi-libre.com/topic-544-debilidad-tcp-ip-con-kernel-superior-al-36-y-como-arreglarla.html

    En 2010 unos investigadores de Cisco y Huawei pusieron el dedo en una debilidad del protocolo TCP/IP que presentaron con todos detalles:


    Demostraron que había que modernizar el protocolo para prevenir la inyección de paquetes TCP "spoofed" (paquetes ilegítimos que parecen venir de una fuente legitima) Así que los de Linux se pusieron mano a la obra y "mejoraron" el protocolo a partir del kernel 3.6 (salido en 2012) Fueron los únicos en tomarse en serio (cómo se debía) esta vulnerabilidad; mac y windows se quedaron con su vieja implementación débil.


    Desgraciadamente, fortaleciendo el protocolo por un lado, crearon una debilidad por otro ... Lo importante es que ahora se sabe gracias a este trabajo:


    Es posible forzar la de-conexión entre un servidor y el cliente usando los bytes SYN o RST de un paquete TCP "basura" (ilegitimo que inyectamos en una comunicación)
    Hablamos de un ataque de tipo DoS nuevo que no toma mucho tiempo de poner de pie y con muy buenos resultados.

    Los investigadores hicieron pruebas con TOR y vieron que podían impedir el acceso a un nudo.
    Cuando usamos TOR, pasado un tiempo, si un nudo no funciona se pasa por otro.

    Podemos imaginar que un "intruso" tenga un nudo bajo su control.
    En este caso tendría que des-autenticar su victima hasta que llega a conectarse al servidor que tiene bajo su control.
    Podría así hacer que la red ToR no sirve de nada para el "anonimato" de su victima.

    Detrás de una DOS llevada acabo con éxito existe la posibilidad de hacer llegar el cliente sobre un pagina falsa que controla el intruso y hacer pishing.
    Los investigadores combinaron estas dos técnicas contra un móvil Android conectado al sitio de USA today y lograron hacerlo llegar a un pagina falsa para que entre los credenciales de su cuenta

    ¡Ojo!
    Hay que relativizar de inmediato esta demostración ya que el sitio de USA today no utiliza https

    ¡Increíble! big_smile.png

    Sabemos que es muy fácil engañar a alguien sobre una pagina falsa htpp porque, además de no cifrar las comunicaciones, no permite verificar la autenticidad de un sitio visitado.

    Todos los sitios correctamente administrados que manejan información personal llevan https.

    En todos casos nunca es bueno que se pueda hacer DOS y hay que mejorar esto.

    Solución

    Los investigadores han propuesto a los desarrolladores de Linux una solución muy interesante que consiste en producir ruido para impedir a un intruso de llevar acabo su ataque.

    Sino otra opción es deshabilitar el challenge basado en la cuenta de paquetes ACK.
    El punto negativo de esta solución es que este challenge tiene virtudes si no nos focalizamos solo en la debilidad que puede ocasionar,
    Con lo cuál no sería nada mal adoptar la idea de une contra-medida algo ofensiva que impide el ataque falseando los resultados sin abandonar el concepto de global challenge ACK count

    "Deshabilitar" el challenge es muy fácil y lo podemos hacer nosotros mismo con un truco simple:

    • Abrimos con un editor de texto y derechos de administrador el fichero de configuración /etc/sysctl.conf
      sudo gedit /etc/sysctl.conf
      


    • Añadimos esta linea
      net.ipv4.tcp_challenge_ack_limit = 999999999
      


    • Guardamos los cambios y activamos la nueva configuración con
      sudo sysctl -p
      

    No hemos realmente deshabilitado nada pero hemos puesto un limite tan alto al numero de paquetes ACK aceptados que nunca se activara.
    Es un parche sucio pero eficaz propuesto aquí:.



    Podemos también esperar tranquilamente que salga el arreglo en Linux y no hacer nada
    Si por mucha mala suerte somos victimas de una DOS montada en base de esta vulnerabilidad, pues, no podremos conectarnos correctamente al sitio.
    Lo del ataque DOS + pishing mediante un sitio http es un riesgo que existe sin o con esta debilidad,
    Entrar datos sensibles en un sitio http es una cosa peligrosa de por si y nunca se debería hacer.
  • editado 7:52
    que lastima que el tcp/ip este tan monopolizado desde 1972, haber si algun dia se animan a crear o desarrollar un protocolo de comunicación mas seguro
Accede o Regístrate para comentar.