cianoacrilato (comercialmente distribuido con marcas tan conocidas como “Super Glue”) y fotografiando el resultado con una cámara digital. La imagen resultante se mejoró mediante Photoshop y se imprimió en una hoja de papel transparente. Matsumoto utilizó la hoja como máscara para generar un circuito impreso con la imagen de la huella digital (para proporcionar “relieve”). Seguidamente obtuvo un dedo de “gelatina” empleando el circuito impreso para proporcionarle el relieve que emula la huella digital original. El resultado: un “dedo” que pasa la prueba de un escáner digital con una efectividad del 80%. Se cree que la biometría es el futuro de la informática. Incidentes como este harían que, muchos años después, siga sin llegar con éxito rotundo a la informática de consumo. __ Las tres ramas de BIND sufren constantes problemas de seguridad durante todo el año. Todavía se mantienen activas la 4, la 8 y la 9. __ Apache es el servidor web más popular del mundo, con más del 60% de cuota de mercado. Se descubre que las versiones de Apache previas a la 1.3.26 y 2.0.39 son susceptibles a un ataque realizado a través de cabeceras incorrectas en los “chunked data”. Los “chunked data” (datos troceados) permiten enviar segmentos de datos de forma paulatina, por ejemplo, si no se conoce el tamaño final de los datos pero se quiere realizar la transmisión a medida que se van obteniendo, en vez de esperar a tenerlos todos. Se trata de una modalidad de protocolo HTTP poco utilizada. Las versiones de Apache vulnerables no gestionan adecuadamente la presencia de valores ilegales en la cabeceras “chunked data” y esto puede permitir la ejecución de código. No tardan en aparecer exploits y se convierte en una grave vulnerabilidad. __ La Agencia Federal de comunicación e Información del gobierno ruso declara a bombo y platillo que el nuevo sitio web del presidente www.president.kremlin.ru está blindado contra ataques. Recuerda a la sonada campaña de Oracle cuando presentó su versión 9i con el nombre de “Unbreakable”, (irrompible). A finales de 2001 Internet se llenó de anuncios y banners que prometían que la nueva versión de Oracle era irrompible. Entre la comunidad, este mensaje perteneciente a una agresiva campaña de marketing no pudo más que tomarse a broma. No tardaron en aparecer todo tipo de desbordamiento de memorias intermedias, fallos remotos, locales, internos, exploits... algunos incluso obvios y triviales. El software de Oracle seguía siendo vulnerable a todo tipo de fallos de seguridad, tanto o más que sus predecesores y, con el tiempo se sabría, menos que sus sucesores. La campaña todavía se recuerda por lo pretenciosa y popular que resultó. Nunca más Oracle usaría esa campaña. __ En junio de 2002 se encuentra un grave fallo de seguridad en OpenSSH que permite a un atacante remoto obtener total control del sistema. __ Ross Anderson publica un estudio analizando la iniciativa de Intel, HP, IBM y Microsoft denominada “Trusted Computing Platform Alliance” (TCPA, que en 2003 se convertiría en la Trusted Computing Group). Se supone que su objetivo es que la nueva generación de ordenadores personales sean más seguros, pero según Anderson, el objetivo real es aumentar la seguridad en aquello que interesa a los fabricantes de ordenadores y de software, en contra de los intereses reales de los usuarios de los mismos en materia de seguridad. Además Anderson afirma que la TCPA , si prospera, puede ser una amenaza directa a la comunidad de software de código abierto, por motivos más directamente relacionados con la economía que no con la tecnología. __ Bernardo Quintero y Jesús Cea acuden de invitados a e-Gallaecia. Hablan de los problemas de las detecciones basadas en firmas y crean en directo un gusano para la ocasión en apenas unas líneas de VBS, para comprobar cómo con simples modificaciones se hacía invisible a los motores antivirus. Era una prueba
98
Una al día. Once años de seguridad informática - 2002 -