[HACK] seguridad en P2P

merce at grn.es merce at grn.es
Thu Feb 22 16:42:45 CET 2001 

esto sale en el mensual del ciberpais.

M&M


---------------------------------------------------------


¿SON SEGUROS NAPSTER Y COMPAÑÍA?


Mercè Molist
La  respuesta  es:  de  momento  sí, aunque mejor no confiarse. Por su
juventud  y  su  esencia  descentralizada,  la  casi mágica tecnología
denominada  "peer-to-peer"  (de  igual  a igual) o P2P es impredecible
para  sus  propios  creadores,  quienes  recomiendan a l at s usuari at s no
olvidar  las  tres  reglas de la seguridad en Internet: evitar peleas,
tener funcionando un cortafuegos personal y usar antivirus.

Cuando  se  pone  en  marcha  Napster,  el  programa de intercambio de
canciones  busca, por todo el ordenador, archivos de música que pondrá
a  disposición  de  los  "napster-nautas", en un directorio aparte. Un
mañoso podría forzar esta función para saltar del directorio público a
todo  el  disco  duro  y manipular su contenido. Lo denunciaban, ya en
febrero  del año pasado, expertos de la Universidad de Nueva York, una
de  las  primeras  que  prohibió  el uso de Napster, aduciendo el gran
ancho  de  banda consumido y que el programa "descuida la seguridad de
los  ordenadores individuales de engañosas formas nunca vistas", según
la  jefe  tecnológico  del centro, Marilyn McMillan.

Recientemente,  la  empresa  de  consultoría  Clip2  y  el servicio de
noticias  CNET  News  aseguraban  haber  entrado  en  discos  duros de
usuarios  de Gnutella que, por desconocimiento o accidente, los tenían
abiertos en la configuración. Los atacantes pudieron bajarse un diario
personal  e  historiales  de  navegación,  incluyendo  contraseñas   y
"cookies" con información privada.

A  pesar  de todo, la fiebre del "peer-to-peer" no ha dejado de subir.
En  menos  de  dos años, han aparecido cientos de proyectos basados en
redes  de intercambio y colaboración entre ordenadores que actúan como
clientes  y  servidores  a  la  vez, redes por encima de Internet para
difundir   actualizaciones   de   programas,   intercambiar   archivos
anónimamente,  asistir  a  eventos en directo, hacer música o publicar
colectivamente,    compartir    información   y   recursos,   comercio
electrónico...  Algunas, patrocinadas por Siemens, Network Associates,
Sun, IBM, Microsoft o el Departamento de Energía de EEUU.

Frente a tal burbuja, los viejos del lugar recuerdan que la idea no es
nueva  ni  segura  por  defecto.  El  sistema  telefónico  es  también
comunicación  de "igual a igual", y la infraestructura IP de Internet,
y  Usenet  en  sus  inicios,  y  la red Fidonet. La revolución Napster
recuerda  a  la  que  causó el programa de mensajería instantánea ICQ,
lanzado  en 1996 y considerado también un sistema "peer-to-peer", como
el  posterior  AOL  Instant  Messenger  (AIM) y otros. De uso masivo y
probados  durante  un  tiempo,  han demostrado estar abiertos a virus,
bombardeo de mensajes, suplantación de identidad, espionaje, programas
troyanos, cuelgues provocados, ejecución de código en el ordenador...

Virus para el alma

"El  único virus que puedes coger usando Napster es el que afectará tu
mente,  cuerpo y alma", puede leerse en el manual para Windows de este
sistema.  También  es  optimista el estudio realizado por un equipo de
Key  Technologies  and  Security,  "Security Concerns for Peer-to-Peer
Software",  donde  aseguran  "no  haber  encontrado  debilidades en el
protocolo de los programas P2P".

De  todas  formas, el informe recuerda que puede haber agujeros en los
programas  cliente  de  los  usuarios, "algunos de código abierto, que
puede  ser  manipulado para fines maliciosos: Napster y Gnutella dan a
sus  clientes acceso directo a archivos del disco duro, almacenados en
directorios  que  no  son  compartidos  por  defecto,  pero  existe la
posibilidad  de que lo sean". Para contrarrestarlo, se recomienda usar
antivirus  y  un  cortafuegos personal, deshabilitar el intercambio de
archivos  del  disco  duro y utilizar programas P2P con precaución. En
cuanto a las empresas, bloquear totalmente estos servicios.

La  ley  y el orden han llegado al "peer-to-peer" y tanto la seguridad
como  la  privacidad  serán  temas  relevantes de la próxima "O'Reilly
Peer-to-Peer  Conference",  a  mediados  de  febrero en California. El
prestigioso  editor  Tim  O'Reilly,  convencido  de  estar en "terreno
fértil",  ha  apostado  fuerte  por  el P2P y ya en septiembre del año
pasado  reunía  a  los  que  más  confían  en el invento (Gene Kan, de
Gnutella;  Bob  Knighten,  de Intel; Ray Ozzie, desarrollador de Lotus
Notes;  Scott  Miller, de Freenet..) para discutir lo bueno, lo malo y
lo malo susceptible de ser bueno, como la incertidumbre de estas redes
de   anárquico   movimiento,   donde   entran   y   salen  ordenadores
continuamente,  donde  no  se  sabe si se encontrará lo que se busca..
aunque se sepa que está allí.


Hablan los expertos

La  confianza,  la  autenticación,  cómo  saber  que  quien  manda  un
documento   es  quien  dice  ser,  cómo  mandar  dinero  por  una  red
"peer-to-peer", son otras pegas. Y hay más: "Napster tiene el problema
de los servidores centrales, Gnutella no escala -crea gran cantidad de
información no útil que sobrecarga la red-, en cuanto a FreeNet, ¿cómo
localizas  la  información y quien estás dispuesto que haga disparates
con tu ordenador?", se pregunta Drizzt Do'Urden, experto en seguridad.

Gnutella  y  Freenet  son  la  evolución  de  Napster.  En Gnutella se
intercambian  todo  tipo  de archivos y no sólo musicales. En Freenet,
además,  la  operación  se  hace  anónimamente.  Mientras  Gnutella es
horizontal,  Freenet  se  basa en una estructura de nodos, máquinas de
voluntarios donde se almacena la información y a las que se conecta el
usuario o usuaria.

Ambos proyectos han liberado su código fuente, para que la gente pueda
personalizarse  el programa o hacer otro. Esta apertura, denostada por
algunos  expertos  en seguridad, no preocupa al conocido desarrollador
de  Gnutella,  Gene  Kan: "Si hay diferentes tipos de clientes hay más
riesgo de fallos, pero estos fallos serán diferentes en cada programa.
Esto hace a la red más robusta porque un sólo fallo no estará presente
en toda la red".

Esteve Fernández, desarrollador también de Gnutella, añade: "La red no
es  vulnerable  porque  sólo  compartes  lo  que  quieres, yo no puedo
descargar  un  archivo  si  no  quieres compartirlo, ni escribir en tu
ordenador,  porque los protocolos no lo permiten". Esto significa que,
como  máximo,  alguien podría ver el contenido del disco duro, pero no
tocarlo,  al  estilo  de  un viejo error del navegador Netscape. Pero,
avisa  Fernández,  "no  se  puede  confiar  plenamente.  Este  tipo de
programas,  con un fallo, podrían suponer un grave error de seguridad,
si permiten acceder a los archivos directamente".

Por  ahora,  hay pocos agujeros conocidos y los desarrolladores tienen
problemas  más  urgentes  que  la  seguridad.  Como  dicen en Freenet:
"Primero  hay  que construir la casa, para después poner las puertas".
Alguien  que  quiere  mantenerse  anónimo  da  otra  explicación  a la
aparente invulnerabilidad de los programas P2P: "Este movimiento es un
verdadero  enfrentamiento  a  la industria y los 'crackers' lo saben y
están,  por decirlo de alguna manera, en nuestra orilla. Tememos más a
otras manos, digamos "oficiales", que a estos tipos".


Pero, entonces, ¿son seguros?

Napster  afirma  en  su  manual  ser un sistema seguro, por donde sólo
entran  y  salen  archivos  .mp3 y .wma. Aunque deje al descubierto la
dirección  IP  (Internet Protocol) de sus usuarios, exponiéndolos a la
identificación,  no  lo considera un fallo. Los navegadores de web, el
correo o el chat también la muestran. "Por supuesto, un cracker con un
programa  adecuado  se  introduciría  en  tu  sistema  si realmente lo
deseara,  pero  de  igual  manera  que  con cualquier otra conexión y,
francamente,  tienen  mayor interés otros lugares para ellos que tu pc
particular",  afirman  desde  el  proyecto  Gnutella.es,  formado  por
voluntarios que clonan Gnutella al español.

Este  programa,  que también permite conocer la dirección IP, tiene el
honor de ser el primero de su clase al que ha salido un virus, llamado
Gnutella  Worm Victim, que permite obtener información del disco duro:
"El  juego  de  un  programador aburrido", explican en Gnutella.es. Lo
mejor  para  algunos  y lo peor para las empresas es que, al funcionar
sobre  el  protocolo  de web (HTTP), Gnutella puede entrar y salir por
una   de  las  pocas  entradas  que  dejan  abiertas  los  cortafuegos
corporativos. De momento, no ha tenido problemas legales, aunque sí un
mal comienzo: nació en una división, Nullsoft, de America Online, pero
cerraron  el  proyecto  por  miedo a su potencial uso para saltarse el
"copyright".

Resucitado  y  ofrecido al mundo bajo la licencia libre GNU (GNU's Not
Unix),  Gnutella  tiene  el  problema  de  no  ser  exhaustivo  en las
búsquedas   y  de  saturarse,  pudiendo  ser  víctima  de  ataques  de
denegación  de servicio (bombardeo de demandas). A la espera de que se
demuestre  lo  contrario,  en Gnutella.es afirman: "El sistema es cien
por  cien  seguro.  No  usa  servidores  estáticos sino la IP de otros
navegantes,  de  modo  que  es  im-po-si-ble  cerrarlo  o intervenirlo
judicialmente.  Al  ser  navegantes  que  se  conectan  y  desconectan
contínuamente, es muy difícil de intervenir y espiar"
 
La  lucha  contra  la  censura,  por  la privacidad y el anonimato son
también  las  banderas  que enarbola Freenet, la que quiere ser una de
las más seguras redes P2P. Presentado en sociedad en junio de 1999, el
proyecto  va  creciendo  lentamente  y  no ha llegado aún a la primera
versión. Freenet es una red de intercambio anónimo de archivos, no tan
horizontal como Gnutella pero más que Napster.

Todo  lo que se haga en Freenet (publicar, bajarse archivos, buscar..)
es  privado, no se puede identificar al autor. Los archivos se guardan
encriptados  en  los  nodos,  para  que el propietario no tenga porqué
conocer  su  contenido. Los nodos desconfían por protocolo los unos de
los  otros.  'Toda  precaución  es poca', es la sensación que queda al
visitar  las  listas de correo de sus desarrolladores: "Imaginemos que
estamos  en  China  y  está prohibido usar Freenet, ¿cómo saltarse los
controles? ¿Cómo evitar que la policía secreta se infiltre en la red y
pueda  identificar  a  los  nodos?  ¿Hasta quién debe estar abierto el
sistema?"

Scott  Gregory  Miller, responsable de seguridad del proyecto, afirma:
"Freenet  intenta  harmonizar  seguridad  y  anonimato  con acción. Si
tienes un sistema cien por cien seguro, pero es demasiado lento, nadie
lo  usará. Por otra parte, un sistema muy rápido, como Napster, que no
ofrece  protección,  es también peligroso. Freenet es probablemente el
sistema  P2P  más  seguro,  desde  un  punto de vista criptológico. Si
hablamos  de  anonimato,  Gnutella no es seguro. Otros sistemas lo son
más,  como  los  remailers  anónimos MixMaster. Nosotros estamos en el
medio".

Una  de  las  buenas cosas de Freenet es su escalabilidad, que lo hace
poco  saturable,  y la mala, su pésima forma de buscar la información.
En  cuanto  al sempiterno miedo por los posibles accesos al disco duro
personal, asegura Miller: "Freenet es un protocolo muy simple que sólo
permite  poner  y sacar datos. No es posible ejecutar código. De todas
formas,  tampoco  da  seguridad  adicional.  Si alguien puede coger el
control  de  tu  ordenador  sin  Freenet,  podrá  hacerlo  también con
Freenet.  Pero,  si  tu  máquina  es  segura, Freenet no abrirá ningún
agujero, que nosotros sepamos".


Napster
http://www.napster.com
Gnutella
http://gnutella.wego.com
Gnutella.es
http://www.gnutellaes.com
Freenet.
http://freenet.sourceforge.net
Key Technologies and Security
http://www.ktsi.net/
The O'Reilly Peer-to-Peer Conference
http://conferences.oreilly.com/p2p/overview.html
P2P Directory
http://www.oreillynet.com/pub/q/p2p_category

More information about the hacking mailing list