Cualquiera lea este post y esté interesado en la seguridad informática, es probable que este fin de semana (18-19 de Octubre) haya buscado alguna reseña, video, resumen o cualquier tipo de información acerca de la conferencia Sec-T del 17 de Octubre donde, en principio, iba a ser el lugar y el momento elegido por Jack C. Louis y Robert E. Lee, para dar a conocer los detalles de la vulnerabilidad TCP DoS que anunciaron el pasado 11 de Septiembre.
Bueno, pues si alguien ha estado buscando esta información durante el fin de semana habrá pensado, como yo, que se ha equivocado de día, o que de pronto ha dejado de interesar a todo el mundo.
Pues no, según nos cuenta Robert E. Lee en su blog, al final han decidido retrasar la publicación de toda esta información:
"... we opted to continue to work closely with, and give more time to, the vendor and standards communities. We are not putting them under undue pressure to get poorly implemented rushed fixes out."Van a dar mas tiempo a la comunidad y a los fabricantes para encontrar una solución efectiva, lo cual, en principio, parece una decisión acertada y ser lo más sensato.
Pero además, hay algo en el último post de Robert E. Lee que resulta curioso (que en realidad es el tema principal de la entrada), que es una respuesta del propio Robert a una página de Gordon Lyon en la que éste último, habla sobre la supuesta vulnerabilidad DoS del protocolo TCP. Gordon, también conocido como "Fyodor Vaskovich" es un experto en seguridad de red y autor del famosísimo Nmap. En esta página se cuestiona la importancia del descubrimiento de Jack C. Louis y Robert E. Lee diciendo que:
- - No es más que otro nuevo ataque de Dos entre tantos otros.
- - No es una amenaza tan seria como se cree ya que, entre otras cosas, para un potencial atacante no es fácil obtener un beneficio lucrativo con ataques DoS.
- - Detectar y evitar un ataque que aprovechara esta vulnerabilidad no resultaría tan difícil como Robert insinúa.
(Traducción personal)
Pregunta: ¿Se ha descubierto realmente algo nuevo?Así que, bueno, no podemos saber cuál de los dos lleva razón realmente; si al final no es para tanto toda la expectación generada y no han descubierto nada nuevo, o si ha sido una suerte que se haya detectado este fallo del protocolo primero desde el "lado bueno".
Respuesta: Los ataques que Gordon describe en sus razonamientos no son nuevos y afectan a los sistemas de hoy en día. Los detalles de la vulnerabilidad descubierta por nosotros, se encuentran en manos de las partes implicadas y Gordon puede ayudar a solucionar el problema, o quedarse mirando y lanzar comentarios destructivos. Espero que cambie de parecer y elija trabajar con nosotros...
P:¿Cómo de serio es el problema? Si ya se conocía, ¿por qué no lo utilizan los atacantes ahora mismo?
R: No creo que nadie pueda estar seguro de si los atacantes lo están utilizando o si ya están informados de todo.
P: ¿Es cierto que no hay solución a este problema?
R: Gordon dijo que "Una vez comienza el ataque, es relativamente fácil identificar y bloquear la IP origen de los ataques" Eso está por ver, ahora mismo eso no parece posible.
Ya veremos qué pasa ...