211service.com
Sondeo de todo Internet en busca de puntos débiles
Cuando se reveló una falla importante en el cifrado que protege los sitios web en marzo, Zakir durumérico , un investigador de la Universidad de Michigan, fue la primera persona en saber qué tan grave era. Al realizar un escaneo de cada dispositivo en Internet, se dio cuenta de todo su potencial incluso antes de que los investigadores identificaran por primera vez la falla, conocida como FENÓMENO .
Hubo preguntas sobre la forma correcta de responder antes de que hiciéramos el escaneo, dice Durumeric.
El escaneo mostró que más de cinco millones de sitios se vieron afectados, incluidos los operados por el FBI, Apple y Google. El botón Me gusta de Facebook, un accesorio en muchos sitios populares, también era vulnerable. Los resultados impulsaron un esfuerzo cuidadoso y urgente para informar a las empresas y organizaciones clave antes de que el problema se anunciara públicamente.
La falla FREAK le permite a un atacante romper una conexión segura entre un navegador web y un sitio vulnerable, obteniendo acceso a los datos encriptados enviados entre los dos. El ataque funciona al obligar a un sitio a recurrir a una forma débil de encriptación ordenada por el gobierno de los EE. UU. en la década de 1990.
Durumeric lidera un equipo de investigadores de la Universidad de Michigan que ha desarrollado un software de escaneo llamado ZMapa . Esta herramienta puede sondear todo el Internet público en menos de una hora y revelar información sobre los aproximadamente cuatro mil millones de dispositivos en línea. Los resultados del escaneo pueden mostrar qué sitios son vulnerables a fallas de seguridad particulares. En el caso de FREAK, se utilizó un escaneo para medir la escala de la amenaza antes de que se anunciara públicamente el error.
El equipo de ZMap fue contactado por mateo verde , un profesor asistente de la Universidad Johns Hopkins que había sido alertado sobre FREAK por sus descubridores, un equipo de investigadores de Microsoft, el Instituto Francés de Investigación en Informática y Automatización y el Instituto IMDEA Software de Madrid.
Green dice que los resultados del escaneo lo ayudaron a decidir quién necesitaba ser informado, asegurando que el anuncio no pondría en riesgo grandes franjas de Internet. No hemos tenido datos realmente buenos como este antes, dice Green. Puede averiguar exactamente quién está roto y decirle a la gente exactamente qué tan malo es algo. Fue cuando Zakir hizo ese escaneo que supe que esto era malo.
Durumeric y sus colegas desarrollaron ZMap a finales de 2013. Antes de eso, el software utilizado para escanear Internet tardaba semanas o meses en terminar el trabajo. Las herramientas existentes eran mil veces demasiado lentas, dice Durumeric.
El primer proyecto de alto perfil para ZMap fue rastrear el impacto del error Heartbleed, una falla en una pieza de software de encriptación web ampliamente utilizada encontrada en abril de 2014 (ver Muchos dispositivos nunca serán parcheados para arreglar Heartbleed). Los investigadores escanearon regularmente en busca de sistemas vulnerables al error, y publicó un sitio enumera los sitios web sin parches más populares junto con información sobre cómo solucionar el problema.
Durumeric dice que este esfuerzo ayudó a presionar a las empresas para que repararan sus sistemas. El grupo incluso envió correos electrónicos automatizados informando a las empresas que tenían una infraestructura vulnerable y ofreció orientación sobre lo que debían hacer. Los experimentos controlados mostraron que las notificaciones hicieron una diferencia medible, dice miguel bailey , profesor de la Universidad de Illinois en Urbana-Champaign que también trabaja en el proyecto.
El equipo planea emitir notificaciones similares para FREAK pronto. También está utilizando escaneos para rastrear cuánto tiempo se tarda en eliminar FREAK y fallas importantes similares. Casi un año después de la divulgación de Heartbleed, dice Durumeric, alrededor del 1 por ciento del millón de sitios web principales aún son vulnerables.
Una de las razones por las que persisten los errores conocidos es que las empresas no se dan cuenta de la magnitud del problema, dice hd moore , director de investigación de una empresa de seguridad rápido7 . Moore usa ZMap para sus propios escaneos. La mayoría de las empresas desconocen por completo que al menos el 10 por ciento de sus activos están en la Internet pública, dice. Los escaneos de ZMap pueden ayudar a las empresas a encontrar infraestructura vulnerable.
Moore comenzó a escanear Internet utilizando un software de su propio diseño en 2012 (ver Qué sucedió cuando un hombre hizo ping en todo Internet). Ahora corre más proyecto de escaneo formal en Rapid7 , usando ZMap así como herramientas desarrolladas dentro de la empresa.
Green dice que Google también ha comenzado a realizar sus propios escaneos de Internet. Los resultados se usan para programar el navegador Chrome para que se conecte con más cautela a sitios que presentan riesgos potenciales para la seguridad, dice.
Sin embargo, herramientas como ZMap no pueden encontrar todo. El software funciona contactando sistemáticamente todas las direcciones numéricas posibles para los dispositivos de Internet utilizando el protocolo más utilizado, llamado IPv4. Eso pasa por alto la pequeña pero creciente fracción de dispositivos que usan direcciones bajo un sistema más nuevo llamado IPv6, que tiene demasiadas direcciones posibles para escanear exhaustivamente. Los escaneos de ZMap tampoco pueden llegar al interior de redes privadas, como sitios de intranet corporativos o dispositivos en redes móviles.
Aún así, dice Green, ZMap y otro software de escaneo brindan una imagen muy necesaria, aunque a veces sombría, del estado de la infraestructura de Internet. Estamos mejorando todo el tiempo, pero desde un lugar muy malo, dice.