domingo, 13 de noviembre de 2005

Ataques Phlooding

Leo vía The Register que la empresa Airmagnet ha acuñado un nuevo término para identificar un ataque de denegación de servicio sobre el sistema de autenticación en redes wifi.

Dadas las limitaciones físicas que supone un tipo de ataque así, realmente esta amenaza tiene un alcance local y afectaría solo a empresas en donde la red sea exclusivamente wifi.

Posteriormente pensando sobre el objetivo del ataque, la denegación de servicio sobre un sistema crítico que da acceso he caido en otro tipo de ataque mucho más grave sobre el talón de Akiles de las infraestructuras PKI.

Un certificado digital es válido mientras no se encuentra revocado. Como todo elemento de identificación, antes de poder validar al objeto que acredita, lo primero que ha de hacerse es comprobar si está o no revocado.
Para ello, las PKI disponen de listas de certificados revocados que actualmente se implementan mediante consultas a servidores on-line mediante el protocolo OSCP.

Una decisión crítica en toda infraestructura PKI es saber que se hace con un proceso o transacción si no puede comprobarse si el certificado es valido o no. El certificado sin esta validación es papel mojado dado que cualquiera puede montarse una PKI y configurarla como le apetezca.
Aunque por desgracia estamos ya mal acostumbrados a no poder consultar las listas de certificados revocados porque en general las PKI implantadas no nos dan acceso a ellas, la legislación vigente en nuestro país (LEY 59/2003, de 19 de diciembre, de firma electrónica, articulos 8, 9 y 10) así lo exige.

Un ataque sobre este servicio de consulta de validez de certificados seguramente paralizaría el funcionamiento de la PKI, o al menos, haría que las transacciones realizadas durante el tiempo en donde no se sabe realmente si los certificados son validos o no se tuvieran que volver a ser supervisadas.

También me ha resultado curioso es ver como, a colación de este nuevo término y dado que ha sido acuñado por una empresa con objetivos claramente de marketing, se ha abierto un foro "Call for PH" para definir posibles términos que describan ataques de seguridad y que empiecen por la letra PH. Es curioso la ironía e imaginación de algunos.
La lista completa puede verse en SANS Institute: Ph-atacks. Yo a continuación traduzco los más interesantes.

- Ph-ortune: lo que hacen los phishers cuando vacian las cuentas de un banco online.
- Ph-iller: las palabras extras que se incluyen en un correo de spam para conseguir que un filtro antispam lo de por válido aunque no colaría si el filtro fuera humano.
- Ph-ilter: una medida de seguridad ineficaz que no cumple con su objetivo.
- Ph-ud: lo que ha hecho AirMagnet difundiendo este nuevo término como una gran amenaza.

Para contribuir a esta lista y en relación al ataque comentado sobre PKI que creo que no ha sido bautizado, propongo llamarlo "Ph-stopking".
 
;