LUN, 13 / SEP / 2010
Ekoparty cierra con polémica: divulgará grave falla de Microsoft
Comenzó en Buenos Aires el tradicional evento sobre seguridad informática y la bomba del evento será una conferencia de cierre donde el argentino Juliano Rizzo y el vietnamita Thai Duong hablarán sobre una vulnerabilidad que descubrieron en la tecnología web de Microsoft que podría afectar al 25% de los sitios ¿están dispuestos a esperar hasta el viernes por la noticia?
Según preanunciaron, la falla en el software está exponiendo a millones de sitios de Internet a ataques, robo de datos y sabotaje. Además, pondría en peligro a los servidores de sitios web desarrollados con tecnología de Microsoft y a los millones de usuarios de esas páginas, como servicios de bancos online. Para generar aún más caos, expectativa y gancho, desde Ekoparty aseguran que la vulnerabilidad ya la podrían estar usando atacantes maliciosos.
El “agujero” fue descubierto por el argentino Juliano Rizzo junto con el vietnamita Thai Duong, quienes profundizarán este tema durante el cierre de la Ekoparty el próximo 17 de septiembre en el Centro Cultural Konex. Los organizadores destacaron que será la primera vez (suponemos que la primera vez en un Ekoparty) que se brinden detalles de la investigación que ya moviliza a Microsoft para amortiguar el impacto de la noticia.
Rizzo se dedica, desde hace más de 10 años, a la seguridad informática. Ha publicado numerosas advertencias y documentos de investigación. Es creador de herramientas de seguridad como Netífera (www.netifera.com). Por su parte, Thai Duong se desempeña como Chief Information Security Officer en uno de los bancos privados líderes de Vietnam y es investigador de seguridad de aplicaciones y criptografía.
Juliano, explicó el problema de manera que sea entendible para cualquier persona:
“Las páginas de Internet con las que interactuamos todos los días son programas, como los que usamos en nuestra computadora, pero la diferencia es que en los sitios coinciden miles de usuarios en forma simultánea. Microsoft provee una de las posibles tecnologías para desarrollar esos sitios, que incluye un lenguaje de programación y componentes pre fabricados para facilitar al máximo la tarea a los programadores. Esta tecnología se denomina ASP.net y entre las facilidades que ofrece están los mecanismos de seguridad como para permitir secciones protegidas por usuario y password y que distintos usuarios tengan distintos niveles de acceso a los sitios”.
Reflexión-conclusión del especialista: “Microsoft ofrece eso y los programadores confían en esa tecnología para hacer sus sitios seguros, pero al ser vulnerables los mecanismos ofrecidos por esa plataforma hace que todos los sitios que la usan sean vulnerables. “Hasta ahora no se conocía ese agujero y además la plataforma de Microsoft es considerada una de las más seguras. El error radicaría en el sistema criptográfico que permite a los atacantes leer información encriptada cuando no deberían poder hacerlo”
Desde acá nos preguntamos, si es tan grave el asunto ¿van a ser tan sádicos de divulgar la manera de cerrar el agujero recién el próximo viernes? ¿Qué pasará mientras? ¿Se viene el fin del mundo? Como siempre, tomemos esta información cuidadosamente, nosotros no queremos generar falsas expectativas, simplemente nos limitaremos a difundir las noticias que nos van acercando. Prevenir nunca es malo. Mientras tanto, seguiremos averiguando sobre el asunto. No nos gusta la idea de esperar hasta el viernes por la noticia.
¿Algún lector tiene alguna información al respecto? Esperamos sus comentarios
Comenzó en Buenos Aires el tradicional evento sobre seguridad informática y la bomba del evento será una conferencia de cierre donde el argentino Juliano Rizzo y el vietnamita Thai Duong hablarán sobre una vulnerabilidad que descubrieron en la tecnología web de Microsoft que podría afectar al 25% de los sitios ¿están dispuestos a esperar hasta el viernes por la noticia?
Según preanunciaron, la falla en el software está exponiendo a millones de sitios de Internet a ataques, robo de datos y sabotaje. Además, pondría en peligro a los servidores de sitios web desarrollados con tecnología de Microsoft y a los millones de usuarios de esas páginas, como servicios de bancos online. Para generar aún más caos, expectativa y gancho, desde Ekoparty aseguran que la vulnerabilidad ya la podrían estar usando atacantes maliciosos.
El “agujero” fue descubierto por el argentino Juliano Rizzo junto con el vietnamita Thai Duong, quienes profundizarán este tema durante el cierre de la Ekoparty el próximo 17 de septiembre en el Centro Cultural Konex. Los organizadores destacaron que será la primera vez (suponemos que la primera vez en un Ekoparty) que se brinden detalles de la investigación que ya moviliza a Microsoft para amortiguar el impacto de la noticia.
Rizzo se dedica, desde hace más de 10 años, a la seguridad informática. Ha publicado numerosas advertencias y documentos de investigación. Es creador de herramientas de seguridad como Netífera (www.netifera.com). Por su parte, Thai Duong se desempeña como Chief Information Security Officer en uno de los bancos privados líderes de Vietnam y es investigador de seguridad de aplicaciones y criptografía.
Juliano, explicó el problema de manera que sea entendible para cualquier persona:
“Las páginas de Internet con las que interactuamos todos los días son programas, como los que usamos en nuestra computadora, pero la diferencia es que en los sitios coinciden miles de usuarios en forma simultánea. Microsoft provee una de las posibles tecnologías para desarrollar esos sitios, que incluye un lenguaje de programación y componentes pre fabricados para facilitar al máximo la tarea a los programadores. Esta tecnología se denomina ASP.net y entre las facilidades que ofrece están los mecanismos de seguridad como para permitir secciones protegidas por usuario y password y que distintos usuarios tengan distintos niveles de acceso a los sitios”.
Reflexión-conclusión del especialista: “Microsoft ofrece eso y los programadores confían en esa tecnología para hacer sus sitios seguros, pero al ser vulnerables los mecanismos ofrecidos por esa plataforma hace que todos los sitios que la usan sean vulnerables. “Hasta ahora no se conocía ese agujero y además la plataforma de Microsoft es considerada una de las más seguras. El error radicaría en el sistema criptográfico que permite a los atacantes leer información encriptada cuando no deberían poder hacerlo”
Desde acá nos preguntamos, si es tan grave el asunto ¿van a ser tan sádicos de divulgar la manera de cerrar el agujero recién el próximo viernes? ¿Qué pasará mientras? ¿Se viene el fin del mundo? Como siempre, tomemos esta información cuidadosamente, nosotros no queremos generar falsas expectativas, simplemente nos limitaremos a difundir las noticias que nos van acercando. Prevenir nunca es malo. Mientras tanto, seguiremos averiguando sobre el asunto. No nos gusta la idea de esperar hasta el viernes por la noticia.
¿Algún lector tiene alguna información al respecto? Esperamos sus comentarios
Cualquier website (mal desarrollado) en cualquier tecnología (mal implementada) alojado en cualquier server (mal configurado) es altamente vulnerable.
La idoneidad de la mayoría de los programadores y administradores de servers en cuanto a seguridad deja mucho que desear, hay excelentes programadores en todo el mundo y sin embargo, hasta en los exelentes en general, su mayor déficit es proveer la seguridad adecuada a sus desarrollos.
Los exploits en ASP.NET sobre vulnerabilidades del ViewState (increíble que halla programadores que lo siguen usando indiscriminadamente), sobre los datos de Session en cookies, son problemas conocidos y con múltiples workarounds ya probados y conocidos por los desarrolladores que sí se preocupan por la seguridad desde el punto de partida.
Una de las maneras de evitar esto es editar la configuración de los sitios para que utilicen la Session encriptada específicamente por URL y generar tokens de validación aleatorios para las cookies. Por supuesto además, levantando firewalls con políticas estrictas y haciendo tunning iterativo de estas.
Suena super interesante, y me sorprende que se haga en Argentina el evento! :O Yo trabajo con la Web pero la verdad no tengo idea de programación ni de hakers…Admiro profundamente a estas personas!!! 🙂 Les comparto esta otra nota sobre la Ekoparty http://www.entremujeres.com/tecnologia/Reunion-hacker-Buenos-Aires_0_335966411.html
Jajajajajaja… suerte que no uso nads de Microsoft desde hace 3 años cuando me pasé a Mac 🙂
LAMP, todos de nuestro lado, alguien descubre un bug? lo corrige, no hay k estarlo pasando a una compañia k lo desarrolle, todos lo hacemos, desde usuarios, programadores, administrativos, diseñadores.
No dejes de usar C# es un lenguaje muy completo, sensillo y en Linux lo podes correr con MONO.
Che pero que raro!?!, ¿están seguros de que es sobre un producto M$?
Jaja, saludos.
Seguridad en Microsoft ha mejorado los ultimos años, no?
Pero cada vez me pregunto si hice bien en pasar los sitemas a C#.. mmm
Por las dudas voy a volver empezar algun curso Java.
No todo pasa por una ventana!!
En Microsoft decidimos auspiciar este evento desde hace años, también auspiciamos otros eventos de seguridad Nacionales e Internacionales. Es una manera de hacer llegar a más gente información sobre temas de seguridad y privacidad, donde empresas, gobiernos y entidades sin fines de lucro, trabajamos juntos (aun siendo competidores) para hacer que toda la tecnología sea más segura.
Todos los años viaja un especialista del equipo de seguridad de Redmond a Ekoparty, este año no es la excepción, y lejos está en nuestra intensión esconder información sino lo que pedimos es que si una vulnerabilidad se va a hacer pública, que primero se haga de manera privada (si es un problema en nuestra tecnología nos avisen primero a nosotros) de manera de poder tener el arreglo listo cuando sea pública. Es una manera responsable de manejar estos asuntos, de otra forma los únicos beneficiados son quienes quieren hacer daño.
Les cuento por otro lado que este evento, Ekoparty, es de mucha calidad en sus presentaciones, y es importante a nivel internacional por la calidad de los profesionales en seguridad que hay en la Argentina.
Saludos
Jorge Cella
Director de Calidad y Seguridad Informatica
Microsoft Argentina y Uruguay
MUy interesante la info… que bueno que haya sido un argentino en encontrar este error…
Saludos:-)
Si se habla de .NET y estas personas descubrieron un problema de seguridad: los pasos siguientes son conocidos (y MAS por estas personas que “deben” tener en claro el tema de programacion).
No critico lo de users de publicar la noticia.
Justamente es “este” tipo de noticia que pone MUY en duda “el tema”.
¿Se entiende?
P.D.: un parche o actualizacion y listo.
[Editado por contenido inapropiado]
Y Microsoft compra Symantec? Bueh, igual su antivirus no es muy bueno que digamos… Otra mancha más al tigre no hace nada.
Me preocupa mas todas las pre-boludeces que se puedan decir 😉
POR SEGURIDAD USO OSX 🙂
Por suerte uso LAMP.
Me preocupa más el fin del mundo ¿quizás el 2012 se adelantó al viernes? jajajajajaja
Vale por un Cerebro
Me preocupa más la DEFCON que la EkoParty
huuuuuuuu q miedo…
no tenemos más información al respecto que la publicada!! por eso tiramos la posta para que la investigación siga por otros lados!!
😐
sobre el mismo framework ?
osea System.Security.Cryptography?
o es otra libreria?
me preocupan mas las pirañas!!