Estas aquiContenido / Cortafuegos: test de fugas (II)
Cortafuegos: test de fugas (II)
Ante la buena acogida de mi artículo anterior sobre los tests de fugas (leaktests, para los más anglófilos), y ante las benéficas dudas que me consta ha logrado sembrar entre usuarios que se consideraban hasta ahora a salvo de todo mal, he decidido elaborar una segunda entrega sobre el asunto.
En primer lugar se hace necesario comentar que el test de PC Flank -aunque muy eficaz- no es el único test de fugas que existe. De hecho puede decirse que existen al menos un par de docenas de ellos, y cada uno trata de explotar algún mecanismo más o menos ingenioso de saltarse las defensas que intenta imponer el cortafuegos. De hecho, si al lector o a mí se nos ocurriese algún nuevo método aún no contemplado, lo primero que haríamos sería presentar a los demás un exploit o una prueba de concepto en forma de test de fugas (aunque por desgracia siempre podría existir alguien que pretendiera explotarlo antes... como troyano)
No obstante, y en general, hay una decena de mecanismos públicamente reconocidos a los que recurren casi todos los tests de fugas existentes:
- Sustitución: la aplicación de test se renombra a sí misma adoptando el nombre de otra aplicación que ha sido declarada fiable por el usuario.
- Lanzador: la aplicación de test lanza otro programa en el que se confía, pero modificando por ejemplo sus parámetros de arranque.
- Inyección DLL: la aplicación de test inserta una referencia a su propia DLL en el área de procesos de una aplicación declarada fiable, de forma que las llamadas a la DLL maliciosa parecen realizadas por la aplicación fiable.
- Inyección de procesos: la aplicación de test inyecta su propio código en el área de procesos de una aplicación declarada fiable.
- Explotación de reglas por defecto: se aprovecha la debilidad de aquellos cortafuegos que disponen de reglas ocultas para facilitar cierto tipo de tráfico (DNS,DHCP...)
- Condiciones de carrera: la aplicación de test intenta modificar su identificador de proceso (PID) antes de que el cortafuegos lo utilice en sus cálculos internos para decidir si da o no paso.
- Mensajes Windows, OLE y DDE: generalmente mediante una llamada a SendMessage (una función de la API Windows) se intenta modificar el mecanismo de comunicación entre procesos, de forma que alguna aplicación modifique su comportamiento. Es el sistema utilizado por el test de PC Flank que utilizamos en la primera entrega.
- Otros mecanismos: peticiones recursivas, ataques timing, inyección de datos en el registro de Windows, unhooking, etc.
Como fácilmente puede suponerse, muchas de las técnicas anteriores son también utilizadas por troyanos y similares.
En función de la técnica utilizada, existen diferentes tests de fugas. A modo de ejemplo (entre paréntesis, el número de la clasificación anterior que corresponde a la técnica utilizada), éstos son algunos:
AWFT (1, 3, 4)
http://www.atelierweb.com/awft
Breakout (2, 7)
http://www.firewallleaktester.com/leaktest16.htm
CPIL Test Suite (4)
http://personalfirewall.comodo.com/cpiltest.html
DNS tester (8)
http://www.klake.org/~jt/dnshell/
FireHole (2, 3)
http://keir.net/firehole.html
LeakTest (1)
http://www.grc.com/lt/leaktest.htm
YALTA (5)
http://www.soft4ever.com/security_test/En/
NOTA: Pueden consultarse listados más completos y con mucho mayor detalle en:
Firewall Leak Tester.
Matousec.
CONCLUSIONES
A la vista de la situación que hemos esbozado, es casi seguro que cualquiera que sea el cortafuegos que utilicemos existirá un mecanismo que permita saltárselo. Aunque esta realidad pueda sorprender a algunos lectores, y les pueda provocar cierta decepción, creo conveniente evitar tanto el pánico como el derrotismo. A poco que lo meditemos, estos datos tan sólo confirman algo que todos sabíamos: no existe la seguridad absoluta y menos la seguridad basada en un producto. Del mismo modo que no existen antivirus milagrosos, tampoco cortafuegos invencibles. Eso sí: unos son mejores que otros y podemos ahorrarnos un buen dinero eligiendo bien. Sobre todo teniendo en cuenta que algunos de los que mejor superan los tests de fugas... ¡son gratuitos!
No obstante también aquí pido prudencia: un cortafuegos puede ser imbatible -o casi- en los tests de fugas y sin embargo no destacar en absoluto cuando se consideran otros criterios. Por tanto controlemos todavía cualquier amago de euforia y procedamos a examinar la clasificación de los cortafuegos más populares en base sólo a su efectividad contra fugas, que nos sirve en bandeja el estudio (actualizado hoy mismo) que nos proporciona Matousec:
También puede ser muy interesante esta otra tabla, donde se especifican qué cortafuegos superan qué tests de fugas. Una estupenda oportunidad para conocer mejor las debilidades del cortafuegos que utilizas y quizás obrar en consecuencia.
Una vez más, os dejo a vosotros los comentarios, valoraciones, pruebas y conclusiones que queráis compartir.
>> Ver también Cortafuegos: test de fugas (I)
Felicitaciones por el articulo, es muy interesante. Y con respecto a las fugas me gustaría comentar que el en el ZoneAlarm de vez en cuando me salta un mensaje diciendo que el emule esta intentando trasmitir informacion al exterior a traves del puerto 25. Alguien me puede explicar que coño hace el emule intentando enviar mensajes a traves del puerto smtp?
la mayoria de las veces si el cortafuegos falla es por mala configuracion, politicas muy permisivas como permitir las conexiones salientes al navegador a cualquier ip siempre que se hagan al puerto 80. las tecnicas mas peligrosas son las de inyeccion, y las más difundidas en el malware profesional,todo el mundo suele tener algun programa al que le permite todo (el messenger,el emule,el navegador,cliente de correo...) y ahí es donde muchas veces se encuentra el "bujero" por donde sale la informacion.
he probado hace tiempo tanto jetico,cuando habia version gratuita, y comodo que es gratuito, ambos me parecieron muy buenos pero hay que pararse a entender como se configuran para lograr una buena proteccion.
sigo prefiriendo el kerio, en sus versiones viejas, me parece la crema de los cortafuegos personales para windows ;)
Bien, pero entonces tú ¿cómo configuras el acceso de un navegador?
Porque para que no sea permisiva sencillamente el "truco" consiste en no crear ninguna regla en el Kerio y así salta siempre.
es crear reglas especificando las ip donde se alojan las webs que más visito (en el navegador tengo activada la opción de no cargar imágenes a menos que estén en el mismo servidor alojadas). Si tengo que navegar fuera de la zona "habitual" cambio la regla y permito conexiones a cualquier ip, después elimino la regla permisiva y compruebo que el navegador no haga conexiones extrañas. De vez en cuando desactivo todas las reglas del navegador para comprobar que sigue sin hacer conexiones sin mi permiso.
Soy alguien que se ha registrado.
Te admiro, eso es dar importancia a la seguridad y lo demás son tonterías ;) Pero yo no podría andar así, no tengo paciencia... además siempre acabo en páginas desconocidas (links de slashdot, links de kriptopolis, links de todas partes xD). Esto no lo digo a malas, eh, pero no te da un poco de pereza?
Aunque supongo que una vez te has acostumbrado a hacerlo, tampoco cuesta tanto.
conocimiento = poder = energía = materia = masa ==> libros = agujeros negros --Terry Pratchett--
conocimiento = poder = energía = materia = masa ==> libros = agujeros negros --Terry Pratchett--
Digo lo mismo que tú.
Yo no tendría paciencia, porque si bien me interesa la seguridad, como decía en la noticia de fugas (I), la única forma es ponerse en plan paranóico y andar diciendo sí/no a cada petición de salida porque me pasa que los links de páginas... pues es un poco incontrolable. Además que el listado de IPs varía mucho.
Si tuviera que configurar cada IP de cada servidor de hosting de imágenes que visito (vicio que tiene uno con las imágenes), no acabaría nunca, luego sumando los de Youtube, uffff
Me rindo a tu sangre fría baudio :)
Aún así, todos tendríamos que hacerlo y sería todo más seguro :)
me bajo el comodo YAAAAA
y paso de usar uno pirateaooo
Me he bajado comodo y por el momento parece que va muy bien. El tiempo lo dirá.
Claro, con el tiempo, si descubres que alguien te ha robado un currículum y con tus datos ha solicitado un crédito en alguna parte, entonces sabrás que no era tan seguro como parecía.
Como se ha dicho ya muchas veces, no es cosa de si un antivirus o un firewall funciona o no. Simplemente es cosa de cuánto tiempo resistirá.
A ver si de una la gente entiende: windows+internet = problemas
Windows esta mal hecho pero funciona relativamente bien dentro de todo. Pero hay que entender que como sistema informático, es una buena máquina de videojuegos.
Alejandro Nestor Vargas
El articulo muy bueno, pero solo por cuestión de precaución a los lectores, en el URL:
http://www.firewallleaktester.com/leaktest16.htm
Cuando intente bajar el Tester mi antivirus (NOD32) me envió una Alerta de Virus bajo el nombre win32/Agent.OC Trojan, el cual duplico un archivo ejecutable del mozilla, este fue detectado y enviado a cuarentena. Si el Antivirus de alguno de los lectores no funciono, sugiero buscar información sobre el virus para limpiar su PC.