Buscar

Mostrando entradas con la etiqueta fallos. Mostrar todas las entradas
Mostrando entradas con la etiqueta fallos. Mostrar todas las entradas

2008/08/27

Descubren el mayor fallo de seguridad de internet conocido hasta el momento

Fuente: 20minutos.
  • Cualquiera podría aprovecharse para robar y modificar datos.
  • Se encuentra en uno de los protocolos claves de internet.
Los protocolos básicos de comunicación en internet vuelven a estar amenazados. Después del problema detectado en julio de este año por un experto en seguridad, que afectaba al sistema de direcciones de la Red, hoy la revista Wired revela que otros dos investigadores han encontrado un agujero si cabe aún mayor, que permitiría interceptar todo tráfico de datos no cifrados en cualquier parte del mundo.

El fallo afecta al protocolo BGP (Border Gateway Protocol), que cualquiera podría aprovechar para hacerse con la información no cifrada que circula por la Red, gracias al uso de una "puerta trasera", un acceso oculto creado originalmente para que las autoridades estadounidenses pudiesen intervenir las comunicaciones de internet en caso de ser necesario (también se hizo pensando en el espionaje corporativo o entre naciones).

Los informáticos que han desvelado esta vulnerabilidad, Anton Kapela y Alex Pilosov, han elegido para hacerlo una charla fuera de programa que dieron en la conferencia sobre seguridad y hacking DefCon.


Los expertos coinciden en la gravedad del fallo y explican que este agujero es una demostración de los graves problemas de seguridad que aún existen en las bases del funcionamiento de internet: para interceptar cualquier información que se enviase a una determinada dirección IP tan sólo haría falta un router BGP (muy habitual en conexiones particulares y de empresas).

El problema es que este ataque no se aprovecha de un fallo de software ni de una vulnerabilidad en concreto sino del funcionamiento mismo de uno de los protocolos clave de la Red. La operadoras podrían ayudar a evitar estos ataques mediante la utilización de filtros que garantizasen la seguridad del tránsito de datos, una tarea bastante costosa para las empresas pero que, según los expertos, deberían comenzar a plantearse seriamente.

La desaparición de Youtube

Las vulnerabilidades del protocolo BGP no son nuevas, aunque si lo parece la aplicación que les dan Kapela y Pilosov. El caso más reciente relacionado con esta tecnología fue la caída sufrida por YouTube el pasado mes de febrero.

El gobierno pakistaní intentó evitar que sus internautas accedieran a un vídeo en el que aparecían caricaturas de Mahomma, y lo hizo introduciendo instrucciones erróneas en el protocolo de comunicaciones BGP. Como consecuencia, el portal propiedad de Google desapareció del mapa durante unas horas en todo el mundo.

En lugar de para hacer desaparecer una página web o información, Kapela y Pilosov han demostrado que es posible también que cualquiera con el equipo adecuado intercepte comunicaciones ajenas, siempre que no hayan sido cifradas. En la conferencia DefCon, fueron capaces de desviar casi todo el tráfico de una web a otro servidor (desde el que podrían haber realizado el espionaje) en tan solo 80 segundos.

2007/12/20

Una nueva herramienta aumenta la capacidad de detectar fallos de software

Fuente: Tendencias Informaticas.

Un grupo de informáticos y matemáticos del Instituto Nacional de Estándares y Tecnología (NIST) de la Universidad de Texas, en Estados Unidos, están desarrollando una herramienta de código abierto que incrementa la capacidad de detectar errores de programación usando una nueva propuesta llamada “test combinatorial”. Según sus creadores, esta herramienta ahorrará a los desarrolladores mucho tiempo cuando sea finalmente presentada el próximo año. Será muy útil para los portales de comercio electrónico o en ciertos procesos de control industrial. Por Raúl Morales.Un grupo de investigadores del NIST está desarrollando una herramienta de fuente abierta, basada en combinaciones de pruebas, que permitirá a los desarrolladores de software encontrar errores más rápidamente.

Antes de empezar su desarrollo, los informáticos del NIST estudiaron con detenimiento los fallos de software en una gran variedad de aplicaciones, desde herramientas médicas hasta navegadores de Internet.

Tal como explicó al respecto en una reciente conferencia el profesor de la Facultad de Informática de la Universidad Politécnica de Madrid, Juan José Moreno Navarro, los fallos de software son tan habituales que su coste es cercano a los 60 mil millones de dólares año, lo que representa un 0.6% del PIB de Estados Unidos. Un 80% de los costes del desarrollo de software se destina a identificar y resolver fallos, según la misma fuente.

Esto es así, según Moreno Navarro, porque una gran parte del software producido sigue siendo de mala calidad. Las causas son diversas, especialmente las validaciones incorrectas y el uso de metodologías inadecuadas y no rigurosas.

Tras analizar los datos obtenidos, los informáticos del NIST obtuvieron una evidencia que apoyaba lo que casi la lógica y el conocimiento convencional ya decían: los fallos de software son resultado de los eventos simples más que de los complejos.

Por ejemplo, los navegadores de Internet, que contienen cientos de variables diferentes, suelen fallar debido a las interacciones entre sólo dos variables. De hecho, en las aplicaciones estudiadas por estos informáticos del NIST, los fallos adicionales eran resultado de interacciones de seis variables.

De dos en dos

Partiendo de este punto, los creadores de esta herramienta han intentado superar la práctica más popular para testar los fallos de un software. Ésta consiste en la “prueba por pares”, es decir, explorar las interacciones entre únicamente dos variables al mismo tiempo.

El método diseñado por los informáticos del NIST, según recoge un comunicado del NIST, permite testar eficientemente combinaciones diferentes de ajustes en, por lo menos, seis variables que estén interactuando al mismo tiempo. Esta técnica se parece a la química combinatorial, en la que los científicos investigan múltiples compuestos químicos de manera simultanea en lugar de uno cada vez.

Para explicar cómo funciona esta herramienta, sus creadores ponen el ejemplo de un procesador de textos que es capaz de proporcionar diez formatos de texto diferentes. Ciertas combinaciones de ajustes (pongamos por caso subrayar y poner el texto en itálica) podrían ocasionar un fallo del software.

Probar todas las combinaciones de fallos posibles en este ejemplo requeriría ni más ni menos que 1.024 pruebas. Sin embargo, afirman los informáticos, con la nueva herramienta probar todas las combinaciones posibles de tres efectos cualquiera del procesador de texto requeriría sólo 13 test. ¿Por qué? Gracias al hecho de que, si los test son seleccionados con cuidado, las diez variables posibles permiten explorar 120 combinaciones de “triples” al mismo tiempo. Es decir, no es necesario realmente hacer esas 1.024 pruebas, sino seleccionar bien las pruebas que se hacen.

Seleccionar las variables

El nuevo programa examina las variables del software y, dependiendo del número de variables, genera conjuntos de pruebas que se puedan ejecutar utilizando más de seis variables diferentes (en lugar de hacerlo de una en una o por pares, como hasta ahora). Es decir, que más que probar de forma exhaustiva cada variable única, el equipo cree que esta interacción entre unas pocas variables puede detectar los mismos errores que haciéndolo con la manera “tradicional”, pero en menos tiempo, evidentemente.

La herramienta lo que hace es generar pruebas que exploran las interacciones entre ajustes de múltiples variables en un programa informático. En comparación con la mayoría del software de prueba actuales este desarrollo genera rápidamente pruebas para testar seis interacciones simultáneamente.

Los investigadores tienen pensado presentar este desarrollo el próximo año. Han decidido, además, que sea de código abierto. De hecho, han invitado a varios desarrolladores a participar en las pruebas de la versión beta antes de lanzarla.

La nueva herramienta podría ser particularmente útil para incrementar la rentabilidad de los portales de comercio electrónico, ya que contienen frecuentemente muchas variables que interactuan. También podría ser muy útil en las líneas de ensamblado industrial. Éstas incluyen muchos elementos controlados por softwares que regularmente se encienden y se apagan, y que pueden fallar con cierta facilidad.

2007/08/21

La última actualización de Windows reveló el fallo que causó el reciente apagón de Skype

Fuente: Kriptopolis.


Según fuentes de la empresa, el reciente "apagón" de Skype se debió a un fallo en su propio software, que fue puesto en evidencia por la instalación en miles de equipos de los últimos parches de Microsoft y su posterior rearranque e incorporación a la red de Skype en un breve lapso de tiempo.


Skype desmiente así en un comunicado los rumores que apuntaban a una posible vulnerabilidad como la causa última de la desconexión preventiva de sus servidores en los pasados días.


No obstante no se conocen los suficientes detalles para entender por qué esta actualización concreta de Windows resultó tan intolerable para la red de Skype, cuando nunca había ocurrido nada parecido con las actualizaciones previas.


Como es sabido, Skype utiliza algoritmos y código propietarios y nunca proporciona demasiados detalles sobre cualquier tipo de incidencias.