lunes, 30 de noviembre de 1998

Nuevo código ético de protección de datos en Internet

A todos los usuarios les preocupa la intimidad de sus datos privados y personales cuando se navega a través de Internet o se ofrece cualquier información a una empresa en un web. Para proteger todo esto la AECE (Asociación Española de Comercio Electrónico) acaba de crear un código ético para promover la protección de datos personales en Internet.
Una de las principales preocupaciones de los consumidores al entrar en Internet es la posibilidad de que sus datos puedan ser captados y archivados en bases de datos sin su conocimiento. Para salvar este freno a la navegación y al comercio electrónico, la AECE (http://www.aece.org) ha elaborado el primer Código Ético de Protección de Datos en Internet, para ello ha contado con el apoyo y la tutela de la Agencia de Protección de Datos (APD) y las principales asociaciones de consumidores.

Este código fue presentado el por la AECE el 26 de noviembre, y es de especial importancia al tratarse del primer código de este tipo elaborado no sólo en España, sino en el conjunto de la Unión Europea. Por ello la Federación Europea de Marketing Directo (FEDMA) ha decidido adoptar este texto como modelo para la protección de datos personales en Internet para todo el Continente.

El sello de garantía elaborado para este proyecto consiste en una bonita «g» con una arroba dentro, que identifica a las empresas acogidas a la normativa. Esta marca les obliga a decir, en voz alta, qué datos toman y qué hacen con ellos. Será la propia AECE se encargada de efectuar auditorías para comprobar que se cumplen todas las premisas del código.

La FEDMA ha remitido ya el texto y el sello de garantía elaborados por AECE a todas las asociaciones nacionales europeas con el objetivo de el sello de garantía se convierta en símbolo de la protección de datos en Internet en todo el continente. Con este texto las empresas españolas se convierten en pioneras en el respeto a la protección de datos personales en Europa y se adelantan también a las norteamericanas, que aunque están estudiando un desarrollo similar aún no lo han aprobado definitivamente.

Aunque los castigos para los que no cumplan no son muy severos y la especial protección a los menores (incluida en el código) tropieza con el inconveniente de saber quién es menor, es un buen comienzo. La AECE desea que hasta las más diminutas pymes puedan acogerse al código, por ello, el software no valdrá más de 15.000 pesetas.


Antonio Ropero



domingo, 29 de noviembre de 1998

Se prueba el Service Pack 1 para Windows 98

Microsoft ya tiene preparado el conjunto de parches para Windows 98. En la actualidad los betatesters están evaluando el Service Pack que será puesto a disposición de los usuarios en breve.
Windows 98 es el sistema operativo más vendido del mundo desde que se puso a la venta este verano. Pero a pesar de ello los usuarios se han visto rodeados de problemas y errores desde un primer momento, especialmente durante las actualizaciones y el tratamiento de ciertos periféricos y hardware como modems y tarjetas de sonido.

El primer Service Pack para Windows 98 espera corregir todos esos errores y problemas con los que se han encontrado los usuarios desde su aparición. Por otra parte, Microsoft también quiere aprovechar la oportunidad para aumentar la funcionalidad de su sistema a través del nuevo Service Pack.

En esta ocasión la empresa de Bill Gates ha separado a los betatesters en dos grupos, el primero de ellos prueba el conjunto de parches para usuarios finales, y el segundo la versión para OEMs (fabricantes). Los usuarios se podrán bajar la copia del SP1 para actualizar su copia de Windows 98 comprada, mientras que los fabricantes podrán vender sus sistemas con la versión actualizada.

El SP1 para Windows 98 vendrá a ofrecer soporte de dispositivos de hardware modular y soporte adicional de controladores para modems, incrementando así mismo el soporte para modems USB. El soporte de redes de área local también se verá incrementado, posibilitando incluso la conexión a redes a través de modems ATM. También se incluirán un gran número de actualizaciones y parches relacionados con la seguridad del sistema.


Antonio Ropero



sábado, 28 de noviembre de 1998

España suspende ante el 2000

Según los datos de una encuesta de la Asociación Española de Empresas de Tecnologías de la Información (SEDISI), más de la mitad de las empresas españolas no han tomado ninguna medida ante la problemática del año 2000.
Según los datos del informe, en la actualidad y a punto de entrar en 1999 un 59% de las empresas aun no han adaptado sus sistemas informáticos para soportar el efecto del 2000. Aunque los datos no son nada alentadores, SEDISI destaca que se esperaban resultados aun peores (cercanos al 67%).

El informe revela que son las pequeñas y medianas empresas las más desvalidas ante este problema. Es lógico, generalmente estas empresas no suelen contar con un departamento informático fijo, y muchas posiblemente no puedan plantearse económicamente la realización de una auditoría de este tipo. De esta forma, un 70,4% de las empresas que cuentan con una plantilla de entre 20 y 99 trabajadores aun no han tomado ninguna medida ante el 2000. La tasa se reduce cuanto mayor es el número de empleados, siendo esta de 53,9% en aquellas cuya plantilla se sitúa entre los 100 y 499 trabajadores.

La tasa de empresas que aun no han iniciado una política de adaptación de equipos al 2000 se reduce hasta un 29,8% si nos referirnos a aquellas con más de 1000 empleados.

El sector de telecomunicaciones es el que mas ha adaptado sus sistemas ante el cambio, mientras que el sector de transportes y viajes se sitúa como el peor preparado, ya que tan sólo una cuarta parte de las empresas de este ramo han iniciado alguna política para resolver el problema. Entre los más preparados se sitúan aseguradoras y servicios públicos, mientras que entre los menos preparados están las administraciones públicas, distribución y comercio y sanidad.


Antonio Ropero



viernes, 27 de noviembre de 1998

El peligro de los troyanos

No es la primera vez que se habla del Back Oriffice, ni del NetBus, son programas ya conocidos. A través de nuestro servicio de noticias dimos a conocer un nuevo programa más de este tipo conocido como DeepThroat, realizando una toma de contacto con este troyano y describiendo sus principales características así como la forma de eliminarlo.
Pero el problema no se queda ahí, la liebre ya ha saltado, el equipo de investigación de HispaSec ha localizado numerosos programas de este tipo. Algunos de los cuales a pesar de ser poco conocidos entre los usuarios habituales cuanta ya con numerosas versiones y plugins. En total, entre diferentes programas y versiones, hemos podido ampliar el número de programas de este tipo a más de diez.
En HispaSec trataremos de ir analizando todos ellos y ofreceros los resultados que obtengamos, pero el problema va mucho más lejos. Ya se ha dado una idea, ya se sabe como llevarla a cabo, ya existen tutoriales para programar una «utilidad» de este tipo bajo VisualBasic 6, con lo cual dentro de poco el número de programas de este tipo puede llegar a rozar el centenar.
Ya no valdrán soluciones como la del Back Oriffice de controlar el puerto 31173, o el 12345 para el NetBus, hay que controlar todos los puertos que se activan en cada momento. Recordamos una vez más emplear «netstat –an» para visualizar las conexiones abiertas.
El problema es grave, una prueba de ello son aplicaciones como las que hemos encontrado «Setup Trojan», «BackDoor», «Deep Throat», «Master Paradise», «Phase-0»«NetSpy», «Control», «Sockets de Troie» y más... Cada uno empleando diferentes puertos de conexión, y trabajando de distinta forma, pero todos ellos con idénticos resultados y funciones. Entre las posibilidades de este tipo de programas se cuentan el conseguir archivos de un ordenador remoto, robar passwords, mandar mensajes, abrir o cerrar la bandeja del CD, encender o apagar el monitor, y muchas otras similares.
Una vez más aconsejamos no ejecutar ningún programa del cual no se tenga constancia de su procedencia, prestando especial atención a los envios de archivos a través del IRC. Y ante todo una vez más usar un antivirus actualizado.


Antonio Ropero



jueves, 26 de noviembre de 1998

Rusia crea un cuerpo de seguridad anti-hackers

Los gobiernos son cada vez más conscientes de la problemática que plantea la seguridad informática, continuamente surgen nuevos cuerpos policiales para luchar contra el delito informático. En esta ocasión, el gobierno ruso, a pesar de toda la problemática que le rodea ha creado una unidad especial para vigilar este tipo de delitos.
El Servicio Federal Ruso ha establecido una agencia para la seguridad de la información y de la informática. Este nuevo cuerpo será responsable de la organización e implementación de medidas para detectar y prevenir todos los crímenes relacionados con la informática y los ordenadores. El primer director del Servicio de Seguridad Federal será el diputado Viktor Cherkesov.

El mismo Cherkesov precisó que esta era la primera vez en que la seguridad de la información será considerada tan importante como la seguridad política, económica o defensiva en la estrategia nacional de seguridad rusa.

La verdad que sorprende que un país con la tradición mostrada a lo largo de los años acerca de este sentido, muestre en la actualidad una preocupación por este tipo de problemas. ¿Estudiarán tan sólo la seguridad informática del gobierno y altos niveles o los usuarios, empresas y universidades también tendrán derecho a la seguridad de su información?


Antonio Ropero



miércoles, 25 de noviembre de 1998

Service Pack para solucionar un error del año 2000 en Access

El Service Pack 2 para Microsoft Office 97 soluciona un bug sobre el año 2000 en Access 97. El problema ocurre por la forma en que Microsoft Jet Database Engine 4.5 trabaja con las fechas.
Si se trata de sincronizar dos miembros de un conjunto réplica creados anteriormente al 2000, y la fecha del ordenador es posterior al 2000, se obtendrá un mensaje de error: «Synchronization between replica ’[source replica]’ and replica ’[target replica]’ failed. Two members of the replica set cannot be synchronized because there is no common point to start the synchronization.». Es decir falla al efectuar la sincronización entre los dos miembros, por no encontrar un punto comun para iniciar la sincronización.
El problema por tanto sólo afectara al efectuar operaciones de sincronización a partir del año 2000 y en caso de trabajar con bases de datos creadas anteriormente al problemático año. El service pack se puede recibir de la siguiente direccion: http://officeupdate.microsoft.com/index.htm.. Para la instalación del SP2 para Office es necesario tener previamente el SP1. También se puede solicitar a través de la misma dirección el envío en CD ya que el tamaño del SP2 supera los 23 «megas».


Antonio Ropero



martes, 24 de noviembre de 1998

Netscape también permite leer ficheros

Al mismisimo estilo que el bug del Explorer ya conocido como «agujero de Cuartango» el Netscape Communicator también permite a un administrador malicioso el acceso a ficheros del disco duro de los usuarios.
Georgi Guninski descubridor de este nuevo bug afirma que este nuevo agujero de seguridad se encuentra presente en Netscape Communicator 4.5 para Windows 95 y 4.05 para Windown NT 4.0. El agujero permite a un webmaster malicioso acceder a los ficheros locales del disco duro de cualquier usuario.

La vulnerabilidad puede ser más grave aun que la ya mencionada del Explorer ya que en este caso ni siquiera es necesario conocer de antemano el nombre del fichero, ya que se puede navegar y buscar a través de los directorios. El contenido del archivo puede ser enviado a cualquier ordenador.

El exploit sólo funciona si se encuentra habilitado el uso del lenguaje Java y Javascript. Por lo que para solucionar este problema hasta la aparición del parche de Netscape basta con desbilitar dichas extensiones. También puede llevarse a cabo el exploit a través de un mensaje e-mail.

Se encuentra una demostración disponible en http://www.geocities.com/ResearchTriangle/1711/b6.html

El código Javascript del exploit es el siguiente:


sl=window.open("wysiwyg://1/file:///C|/");
sl2=sl.window.open();
sl2.location="javascript:s='<SCRIPT>
b=\"Here is the beginning of your file: \";
var f = new java.io.File(\"C:\\\\\\\\test.txt\");
var fis = new java.io.FileInputStream(f);
i=0;
while ( ((a=fis.read()) != -1) && (i<100) )
{
b += String.fromCharCode(a);i++;
}
alert(b);</'+'SCRIPT>>'";



Antonio Ropero



lunes, 23 de noviembre de 1998

Incompatibilidad entre K6-2 de AMD y Windows 95

ADM (http://www.amd.com) ha informado a sus clientes de una incompatibilidad en las últimas versiones de su procesador K6-2 y ciertas versiones de Windows 95, que puede provocar que el ordenador de un error al iniciar, impidiendo el arranque del sistema.
El primer aviso publicado en la web de la compañía comenta que cuando se inicia el sistema con Windows 95 OSR (OEM Service Release) 2, 2.1 ó 2.5 en un ordenador con el procesador K6-2 de AMD a 350 MHz ó superior, puede recibir los siguientes mensajes de error: «Device IOS failed to initializa. Windows Protection Error. You must reboot your computer.» «Windows Protection Error. You must reboot your computer». La nota continua comentando que «el error ha sido localizado de forma muy intermitente a 350MHz, pero ocurre también en procesadores con velocidades superiores».
Ésta es sin duda una mala noticia para AMD, que esta semana anunciaba sus nuevos procesadores K6-2 a 366Mhz, 380MHz y 400MHz que serán utilizados en los sistemas de los principales ensambladores de PC, incluido Compaq, IBM y Hewlett Packard. A este respecto un directivo de Compaq dijo que «este problema no nos afecta en gran manera, ya que la mayoría de los PCs Presario son vendidos con Windows 98».
Según AMD, el problema «es causado por un bucle en el software que es sensible a la frecuencia del procesador, en ningún caso es un error en el hardware del procesador. No ocurre con Windows 98 ó Windows NT». Un parche gratuito, que actualiza el sistema operativo, está disponible en Microsoft (http://www.microsoft.com).


Bernardo Quintero



domingo, 22 de noviembre de 1998

El IETF propone la tecnología PGP como estandar de Internet

El OpenPGP, el estandar abierto de la tecnología de encriptación PGP ha sido propuesto como estandar por el grupo oficial de estandars de Internet, la Internet Engineering Task Force (IETF).
El IETF publicó la proposición de estándar anunciandolo bajo el Request For Comment (RFC) # 2440. Los investigadores criptográficos de los laboratorios de NAI, el brazo fuerte en investigación en seguridad de Network Associates, bosquejaron el estándar en un esfuerzo de promover un mayor uso mundial en aplicaciones corporativas y comerciales de la tecnología de cifrado. Con esta promoción, Network Associates concedió el control completo para modificar los protocolos OpenPGP al IETF.
«Este es un ejemplo del compromiso de Network Associates al los estándars abiertos» dijo Jon Callas, co-autor de la especificación OpenPGP.«Como la mayoría de las tecnologías asociadas a Internet, la encriptación será más util cuanta más gente la utilice para resolver sus poroblemas. Network Associates se congratula de ofrecer OpenPGP al IETF para que cualquiera en el mundo pueda crear productos capacitados PGP independientemente de Network Associates. También nos encanta el cambio de control del protocolo al IETF, que termina la transformación de PGP's de un producto a un protocolo. "
Network Associates comenzó a promocionar y distribuir los productos PGP después de adquirir Pretty Good Privacy, Inc. en december de 1997. En la actualidad la compañía desarrolla numerosos productos comerciales y freeware basados en la tecnología PGP.
Con esta versión del protocolo OpenPGP, Network Associates construye en su propia historia una contribución a la comunidad Internet. En contraste con otros vendedores que prefieren publicar APIs propietarias, los laboratorios NAi tienen numerosos contratos para construir estándares de seguridad abiertos para la próxima generación de tecnologías Internet.
Los laboratorios NAi han gestionado o estan gestionado en la actualidad a traves del IETF el proceso de estandarización incluyendo el protocolo Open Shortest Path First, seguridad en el DNS para BIND, y SNMP v.3, en el que los Laboratorios NAI estan especialmente a la cabeza del Grupo de Trabajo de la IETF's SNMP v.3. Además el próximo mes los Laboratorios NAi participarán en la presentación del Common Intrusion Detection Framework a la IETF para su consideración como estandar.
En armonía con el compromiso de la compañía por abrir estándares, Network Associates también continuarán su política por ofrecer el código fuente del PGP disponible para la revisión para asegurarse de que todos los estándares de la seguridad se mantienen estrictamente.


Antonio Ropero



sábado, 21 de noviembre de 1998

Microsoft y la privacidad

Pasados apenas tres días de que Microsoft en el Comdex de las Vegas llamara al resto de compañías para adoptar medidas para la privacidad on-line, los guardianes de la privacidad acusan a la compañía de Bill Gates de hipocresía.
Abogados como Jason Catlett, presidente del grupo anti-spam Junkbusters (http://www.junkbusters.com/), mostró ejemplos históricos de lo que para él eran violaciones de Microsoft de la privacidad del consumidor. De las violaciones de Microsoft en el pasado, Catlett observó que WebTV (http://www.webtv.com/) recibió información sobre los hábitos de visión de la familia a través Internet; y Hotmail (http://www.hotmail.com/), compañía subsidiaria que ofrece e-mail gratuito basado en web, reveló involuntariamente los nombres de cuenta de los usuarios a otros sitios web.
Además, Catlett criticó a Microsoft por adquirir la red LinkExchange de intercambio de banners, lo que da a la compañía el acceso a millones de «cookies», etiquetas digitales que permanecen en el ordenador del usuario y siguen la pista de los sitios visitados por esa persona.
Carlett llegó a declarar que «En la actualidad Microsoft controla tanto la información personal sobre consumidores que su imperio plantea una amenaza importante a la privacidad. Debe romper su historia de prácticas invasoras y llegar a un compromiso real con los usuarios».
El portavoz de Microsoft, Tom Pilla, ha negado las acusaciones «WebTV no hace eso, y no tiene capacidad para hacerlo». El añadió que al igual que otros webs WebTV agrega información de la navegación para seguir la pista de sus usuarios dentro de su sitio web.
En la intervención de Microsoft en el Comdex la compañía también solicitó la colaboración de todas las compañías para adoptar las políticas trazadas por la Online Privacy Alliance (Alianza para la Privacidad On-line). Pero los abogados de la privacidad afirman que dichas políticas son insuficientes para proteger al consumidor.
Según dijo David Banisar (director del Electronic Privacy Information Center) en unas declaraciones «los principios de la alianza para la privacidad son más relaciones públicas que protección de la privacidad». «Bajo estos principios las compañías tienen la posibilidad casi ilimitada de divulgar la información personal a otras compañías sin el consentimiento de sus usuarios, mientras que los consumidores no tienen acceso a su propia información». «Para completar el problema, no hay mecanismos imparciales para hacer cumplir las pequeñas protecciones que prometen los principios de la alianza».
Por otra parte Microsoft mantiene que su asociación con la OPA es un ejemplo de su compromiso con la privacidad on-line. El portavoz de la compañía afirmo «Microsoft ha estado y continua estando muy comprometida con la protección de la información de la gente en el mundo on-line».


Antonio Ropero



viernes, 20 de noviembre de 1998

Vulnarabilidades en el KDE

El K Desktop Environment (KDE) proporciona un entorno gráfico con un escritorio integrado para las estaciones UNIX. Como parte de este entorno proporciona su propia implementación del PPP (kppp) y su propio bloqueo de pantalla (Klock), ambos se instalan y se ejecutan bajo SUID root. Pero estos programas tienen vulnerabilidades que pueden llegar a exponer la seguridad de la máquina llegando a comprometer la cuenta root para un usuario local.
Esta vulnerabilidad en el escritorio KDE ( http://www.kde.org) puede permitir a los usuarios locales conseguir privilegios de root, matar procesos o crear directorios ocultos en cualquier sistema de archivos local. Se ha comprobado la existencia de estos problemas con la versión 1.0 del entorno bajo FreeBSD (x86) y Linux (x86).
Hace pocos dias se anuncio la existencia de unas banderas en el programa klock del KDE en las cuales se notaba que el programa ejecutaría «blankscrn.kss» en la ruta del usuario si el fichero .kss normal no se localizaba. Un análisis más profundo reveló nuevas y más serias vulnerabilidades tanto en el klock como en el kppp.
El problema general radica en que KDE confía demasiado en las variables de entorno proporcionadas por el usuario. Esta confianza conduce a varios problemas, por ejemplo, la confianza de los contenidos del fichero «.kss.pid» permitiría que procesos arbitarios puedan ser matados por klock . Ya que KDE confía en el contendido del archivo «.kss.pid», que contiene el ID de otros procesos ejecutando klock. Si los encuentra, los matará. Un usuario puede incluir un PID arbitrario en dicho archivo, que será destruido por klock como root.
KDE confia en el valor de la variable de entorno KDEDIR. En muchas ocasiones KDE utiliza el valor devuelto por el kde_bindir para localizar sus executables. Este valor es determinado por la variable de entorno KDEDIR. En el caso del klock, KDE utiliza este directorio como el camino de búsqueda para localizar el archivo de salvapantallas que se ejecutará, lo que efectuará como root.
El kppp confía en el valor de la variable de entorno HOME. Cuando el kppp se inicializa procura crear un conjunto de directorios jerarquizados para contener ficheros log y de configuración. Para localizar estos ficheros, utiliza el valor de la variable de la entorno HOME, y la función make_directories usa esto para crear el directorio del KDE como root. Dentro de este directorio, crea varios subdirectorios cuyo propietario es el usuario. El resultado es que un usuario puede crear un directorio del KDE en una localización arbitraria (incluso sobreescribir el directorio del kde de otro usuario), con espacio libre permisos de escritura dentro.
El remedio pasa por cambiar los permisos de los archivos klock y kppp, con la instrucción «chmod a-s klock kppp». Aunque KDE ya ha publicado el parche que resuelve el problema haciendo que tanto kppp como klock no se ejecuten nunca más con SUID de root. El parche se puede bajar del servidor ftp de kde: ftp://ftp.kde.org.


Antonio Ropero



jueves, 19 de noviembre de 1998

Parche para un parche

Hace 15 días informábamos acerca de un nuevo bug descubierto en el Microsoft Internet Explorer. Bajo el nombre de «agujero de Cuartango» un administrador malicioso podría leer archivos del disco duro de un usuario. Microsoft en su continua campaña de actualizaciones ha sacado un segundo parche para subsanar dicho problema.
Microsoft ha presentado una actualización a la notificación y parche que ya hiciera en su momento. Hispasec ya informó (http://srv.hispasec.com/unaaldia/unaaldia.idc?id=3 ) del bug que se dio en llamar por la compañía de Bill Gates como «Untrusted Scripted Paste» aunque se ha extendido entre toda la comunidad a través del nombre de «agujero de cuartango», por su creador el español Carlos García Cuartango.
Esta vulnerabilidad como ya comentamos en su momento permitía a un webmaster malicioso crear páginas que permitieran leer ficheros de un usuario siempre que se conociera la localización del archivo. Según afirma Microsoft la actualización del parche publicada corrige la vulnerabilidad original así como una nueva variante descubierta.
Microsoft recomienda a todos los usuarios afectados, incluyendo aquellos que ya se bajaron y parcheron el sistema con el anterior parche, que instalen la nueva versión de éste para proteger sus ordenadores.
El «Untrusted Scripted Paste» es una vulnerabilidad del Internet Explorer que radica en la posibilidad de usar en un script la función «Document.ExecCommand» para pegar el nombre de un fichero en un control de upload de fichero. Una vez que el nombre del archivo ha sido pegado en el control una aceptación subsecuente del formulario puede enviar el fichero al un Web site malicioso. Incluso, si el usuario ha desabilitado el aviso que se muestra por defecto cuando se aceptan formularios sin encriptar el fichero podría ser enviado sin ningun aviso hacia el usuario.

Si bien el parche original arreglaba el problema original, Cuartango encontró otra vulnerabilidad basada en la anterior, que dio en llamar «el hijo del agujero de Cuartango» (se puede ver una demostración en el web de Juan Carlos http://pages.whowhere.com/computers/cuartangojc/). La actualización del parche propuesta por microsoft corrige la vulnerabilidad original y la nueva variante descubierta.
Los usuarios de Microsoft Internet Explorer 4.01 pueden bajarse el parche de http://www.microsoft.com/ie/security/paste.htm.


Antonio Ropero



miércoles, 18 de noviembre de 1998

Nuevos troyanos se hacen pasar por exploits para el SSH

Están circulando numerosos programas por el IRC, y otros lugares, que se presentan como exploits para la vulnerabilidad del SSH que RootShell ha puesto tan de moda este mes.
Los más extendidos responden al nombre de sshdwarez.c y sshdexp.c. En realidad, al ejecutar estos programas, se produce el envío de los ficheros passwd y shadow a través de email a los creadores de los troyanos.
Son muchos los rumores que el ataque a RootShell ha desatado. Hoy por hoy, y desde el incidente, solo una vulnerabilidad se ha dado a conocer en el SSH, y está localizada en el código de Kerberos. Los sistemas que no utilicen Kerberos están libres de esta vulnerabilidad.
El fallo se produce en la línea 1139 del programa sshconnect.c <> donde remotehost es de tipo caracter, get_canonical_hostname() admite hasta 255 caracteres, y es copiado en server_name, con un buffer de sólo 128 caracteres. Aprovechando este error en la programación podemos provocar un buffer overflow.
Aunque es posible provocar el desbordamiento, la tarea no es nada sencilla. La víctima debe tener el cliente compilado con kerberos5 <> y permitir el paso de tgt con la opción <>, al mismo tiempo debe conectar con un servidor que ejecute las mismas opciones. El atacante deberá hacer DNS spoofing, además de hacer que el código de ataque parezcan registros DNS válidos, cosa complicada con las nuevas versiones bind que rechazan todos los nombres de domonio con caracteres invalidos. A todo esto debemos tener en cuenta que solo podemos explorar la parte que le sigue a los primeros 128 bytes, lo que complica en gran manera la creación del código necesario.


Bernardo Quintero



martes, 17 de noviembre de 1998

Armagedon tecnológico

En todos los medios de comunicación hemos podido hoy informarnos del espectáculo que nos brinda la espectacular lluvia de estrellas que el cometa, Tempel-Tuttle, va a dejar a su paso.
Sin embargo, cunde el pánico entre los ingenieros de telecomunicaciones. Esos pequeños meteoros, que se desintegrarán al contactar con la atmosfera terrestre, son una auténtica pesadilla para los satélites. Televisión, radio ó la propia Red, podrían verse afectada por este fenómeno.
El Tempel-Tuttle cruza la trayectoría con la Tierra una vez cada 33 los años, el último paso fue en febrero, dejando una estela de partículas de polvo. Esta cola del cometa, de aproximadamente 200.000 kilómetros de ancho y 16 millónes de kilómetros de largo, dan lugar a Lenoid, una espectacular lluvia de meteoritos.
No es nada nuevo que los satélites sufran daños a causa de los meteoros. La eficacia de la mayoría de los satélites, de hecho, se reduce a través del tiempo por el polvo cósmico. Pero el Leonid se prevee que sea especialmente pesado en este aspecto. Los expertos explican que un simple grano de arena podría ocasionar graves daños a un satélite. Estas particulas pueden alcanzar una velocidad superior a 200 veces la velocidad de sonido, golpeando con la fuerza de una bala del calibre 22.
La mayoría de las compañías de telecomunicaciones han aumentado su personal para estos días, en previsión a los problemas que pueda causar la lluvia de estrellas. Cuentan con un procedimiento de urgencia que planifica los desvíos entre satélites que se deberían llevar a cabo en caso de catástrofe.
En este sentido, la Organización para la Investigación del Espacio en la India (ISRO) ha advertido de los posibles trastornos en los satélites, y sus sistemas de comunicaciones, que el meteoro Leonid puede causar.
La publicación el Expreso de la India informó que la ISRO prevee que haya interferencias sobre la Bolsa Nacional del país, advirtiendo a los inversores y comerciantes. El sistema de comercio posee 1.716 terminales en 201 ciudades que alimentan el sistema de información de la Bolsa en Bombay, y que dependen exclusivamente de un sistema por satélite para su comunicación. Se ha previsto el cambio de satelite, en cualquier momento y sin previo aviso, incluso dentro del horario comercial, con el consecuente caos que esto puede provocar.


Bernardo Quintero



lunes, 16 de noviembre de 1998

Intel soluciona los problemas de sus placas base

Intel ha comenzando a solucionar un problema con algunas de sus placas base que podían llegar a dañarse al desenchufar el ordenador.
El problema se ha encontrado con algunas de las placas base SE440BX-2 de Intel al ser usadas con determinadas fuentes de alimentación. Estas placas se utilizan en PCs con el procesador del Pentium II de Intel.
Desgraciadamente, comprobar si su máquina tiene el problema podría dejarle con un ordenador muerto: "usted sabrá que tiene una placa base con este problema si usted desenchufa [su ordenador], volviéndolo a enchufar... y no volverá a encenderse" comentó el portavoz de la compañía.
Aquellos usuarios que crean tener una placa base con el problema mencionado deberán dirigirse a la tienda donde compraron el ordenador. La placa base es el componente que alberga el resto de componentes del ordenador, incluyendo el procesador principal, su memoria, y ranuras para enchufar tarjetas de expansión.
Intel comenzó a enviar la placa base defectuosa a los fabricantes y mayoristas el 1 de octubre, y descubrió el problema el 23 de octubre. Las placas base que la compañía envía en la actualidad no sufren el problema, siempre según su portavoz. Según el cual este error “afectó a un número relativamente pequeño de tarjetas” pero evitó mencionar cuántas placas base sufrieron exactamente el problema.
Intel ha notificado el fallo a los fabricantes de ordenadores y puede enviar a dichas compañías un kit que identifica las placas base con el problema. El bug puede ser solucionado agregando una circuitería adicional a la placa base.
El problema viene de la interacción bajo ciertas condiciones de la placa base con ciertas fuentes de alimentación, algunas de las cuales emiten una señal electrónica que reprograma la «flash BIOS» de la placa base. Parqa solucionar el problema, Intel ha añadido unos condensadores nuevos que evitan que el ruido de la señal de la fuente de alimentación afecte a la BIOS.


Antonio Ropero



domingo, 15 de noviembre de 1998

Virus del MPEG.

Durante finales de Octubre de este año ha comenzado a circular por Internet
un email que advierte sobre el descubrimiento de un nuevo virus llamado
"Bloat". El email describe que es el "primer virus para ficheros
multimedia", capaz de infectar ficheros de audio MP3.
El email continúa
explicando como un reproductor MP3 que tenga el virus infectará a todos los
ficheros de audio que lea.
El virus no existe. Aunque el email continúa proporcionando supuesta
información técnica para dar credibilidad, los mecanismos reales de la
infección no son descritos de manera satisfactoria.
Existen otros factores que indican que el email es una broma. Por ejemplo,
dice que el virus fue descubierto por la compañía Internet Western
Associates, empresa que por el momento no existe. También llega a decir que
los laboratorios de McAfee son "centro de investigación afiliado a IWA",
cosa que tampoco es correcta. Parece que nos encontramos ante otro hoax.
Los virus "hoaxs", que obtienen su máxima difusión gracias a Internet, son
cuentos fabricados que provocan falsas alarmas entre los usuarios que
desconocen su origen. Otros tipos de virus falsos son los "scares", se trata
de informes que pueden tener algún grado de veracidad, pero que exageran las
funcionalidades de los virus. Por último nos encontramos con los
"misunderstandings", problemas reales que son erroneamente atribuidos a los
virus.


Bernardo Quintero



sábado, 14 de noviembre de 1998

Bugs en Novell GroupWise 5.x

Confirmados bugs importantes en al menos dos versiones de Novell GroupWise
5.x. Los analisis continúan, pues aparecen nuevos indicios de fallos en esta
plataforma.
En GroupWise 5.1, si estamos viendo un attachment de un mensaje en una
carpeta compartida y pulsamos Ctrl-M para crear un nuevo mensaje de correo,
el nuevo email aparece con la dirección de origen del nombre propietario de
la carpeta compartida en la que estábamos, en vez de nuestro propio nombre.
Este bug permite realizar spoofing a través de correo, es decir, que alguién
envie correo que parezca que venga de otro origen, con todos los problemas y
confusiones que ello acarrea.
Novell corrigió ya este bug en GroupWise 5.2, pero las pruebas realizadas
por el laboratorio independiente KeyLabs revelan que el fallo ha reaparecido
en la versión 5.5 de GroupWise con un efecto diferente. Si se siguen los
pasos anteriormente comentados lo que se consigue en esta versión en
provocar un fallo de protección general.
Por el momento no existe fix para este fallo, y Novell no se ha pronunciado
sobre él. Tras el descubrimiento de este bug que parecía haber sido
corregido en versiones anteriores, GroupWise se enfrenta ahora a una nueva
batería de pruebas, a fin de comprobar que los bugs que se creían corregidos
no han reaparecido en las nuevas versiones.


Bernardo Quintero



viernes, 13 de noviembre de 1998

Finlandia a favor de la privacidad

Según un documento nacional de política criptográfica Finlandia se opone a
imponer restricciones en el uso del cifrado fuerte y no desea formar parte
del sistema obligatorio de recuperación de claves.
Por el contrario desde el gobierno se anima a las empresas y usuarios
privados al uso de «sistemas de claves voluntarios». En la actualidad, no se
impone ninguna restricción en la exportación de productos criptográficos de
Finlandia. Mientras que el gobierno se está preparando para reevaluar su
posición, sigue siendo sensible a adoptar cualquier política que pudiera
impedir su comercio exterior.
Resulta positiva esta postura del gobierno finlandés apoyando la libertad en
el uso de la criptografía. Especialmente cuando es de sobra conocido el caso
de los Estados Unidos, donde las exportaciones de tecnología criptográfica
se regulan terminantemente, considerando que esta tecnología puede ser usada
para encubrir las comunicaciones de terroristas o de naciones hostiles. En
los EEUU esta decisión política ha resultado ser una espina para la
implantación del comercio electrónico.
En los próximos meses el gobierno finlandés también considerará una nueva
ley que permitirá a las personas utilizar cualquier medio técnico disponible
para asegurar su confidencialidad. Finlandia ha estado en la vanguardia de
la economía digital y tiene la mayor tasa de usuarios de Internet per capita
que cualquier otro país en el mundo, con 244,5 usuarios por cada 1.000
personas. Mientras que los Estados Unidos tan sólo alcanza los 203,4
usuarios por cada 1.000 personas.


Antonio Ropero



jueves, 12 de noviembre de 1998

El mundo criptográfico a la espera de PGP 6.0

La nueva versión del ya mítico PGP no está exenta de polémica dentro del mundo criptográfico, la adquisición de PGP por parte de NAi ha levantado discusiones en todos los círculos de la criptografía acerca del camino que seguirá este programa.
Podemos darnos cuenta del primer cambio en la gestión del Pretty Good Privacy, cuando al conectarnos al habitual sitio web de PGP (http://www.pgp.com) vemos que da el salto a una dirección web de Network Associates (http://www.nai.com/default_pgp.asp). Pero no por ello hemos de asustarnos, por fortuna NAi (http://www.nai.com) asegura que seguirá distribuyendo este programa en las mismas condiciones que se ha venido haciendo hasta ahora, distribuyéndolo gratuitamente y ofreciendo las fuentes de esta versión al público general.
Pero NAi además de distribuir libremente el PGP, también lo distribuye de forma comercial, mediante esta distribución NAi ofrece además un soporte técnico del producto y una posibilidad de adquirir el producto a través de un canal de distribución, cosa que muchas empresas deseaban en este producto y otros similares. La versión freeware sigue estando libre y disponible para todos los usuarios mientras que la versión comercial se deja para entornos empresariales.
La versión 6.0 de PGP ya está disponible, pero como ha venido siendo habitual hasta ahora por los problemas de exportación de software criptográfico de los EEUU no se puede bajar directamente del servidor de NAi. Los usuarios de fuera de Estados Unidos tendremos que esperar una vez más a que se escaneen las 12.000 páginas del código y se cree con ello la versión 6.0 internacional que podrá ser bajada libremente de http://www.pgpi.com.
Entre las características de la nueva versión se encuentran el nuevo PGPTray que permite la encriptación del portapapeles desde la barra del sistema (windows). En entornos Mac PGPmenú permite acceder directamente a PGP desde cualquier aplicación. También está mucho mejor integrado con Eudora y plugins para Microsoft Outlook/Exchange (Win) y Claris Emailer (Mac).
Un menú contextual en el Explorador de Windows permitirá acceder a todas las funciones de PGP, los usuarios de Macintosh encontrarán una opción similar para el sistema MacOS 8.
Otras opciones son el borrado de ficheros de forma segura, y la creación de grupos de destinatarios, para encriptación de forma rápida cuando se va a encriptar con múltiples claves o destinatarios.
En HispaSec estamos esperando la llegada de PGP 6.0i así como una versión comercial para compararlas, analizarlas y ver que se esconde realmente detrás de cada una de ellas.


Antonio Ropero



miércoles, 11 de noviembre de 1998

DeepThroat analizado por HispaSec

Hace unos días hablábamos en nuestras noticias de un nuevo troyano que se sumaba a la moda del Back Oriffice y del NetBus. DeepThroat el elemento en cuestión ha sido analizado en el laboratorio de HispaSec.
Hace unos días hablábamos en nuestras noticias de un nuevo troyano que se sumaba a la moda del Back Oriffice y del NetBus. DeepThroat el elemento en cuestión ha sido analizado en el laboratorio de HispaSec.

Como os comentamos anteriormente el laboratorio de HispaSec se encontraba analizando el nuevo troyano conocido como DeepThroat. Tras un estudio preliminar podemos adelantaros nuestras primeras conclusiones sobre este troyano. El programa servidor utiliza los puertos 2140 y 3150, mientras que el cliente abre el puerto 60000.
Curiosamente y al contrario que ocurre con el popular BO el programa servidor se queda tal cual una vez instalado en una máquina. Es decir, no crea nuevos archivos, ni se renombra, ni nada similar, funcionando desde el directorio en que se ejecute por primera vez. Recordamos que por defecto el nombre del servidor es «systempatch.exe».
Lo que sí ha podido comprobar nuestro Laboratorio de Investigación de HispaSec es que al instalar el servidor se crea una nueva clave en el registro.
La ruta en el registro para la nueva clave es: HKEY_LOCAL_MACHINE/SOFTWARE/WINDOWS/CURRENTVERSION/RUN
Tomando como nombre: SystemDLL32 y el valor: [path]systempatch.exe
Donde [path] es la ruta completa en donde se ha ejecutado y se encuentra el programa.
En caso de sospecha de tener instalado este programa bastará comprobar si los puertos 2140 y 3150 se encuentran activados. Para ello se puede emplear el comando «netstat –an», con ello se listan todos los puertos que se encuentran activos en la máquina local, si aparecen los puertos mencionados se puede tener la seguridad de tener instalado DeepThroat. En cuyo caso podemos proceder a borrar su presencia eliminando la clave del registro anteriormente mencionada. También se puede borrar el programa para anular su efecto, pera poder borrarlo se ha de arrancar la máquina desde MS-DOS o bien borrar antes la clave del registro y arrancando Windows de nuevo.


Bernardo Quintero/Antonio Ropero
Laboratorio Investigación HispaSec



martes, 10 de noviembre de 1998

La Unión Europea contra la pitarería criptográfica

La directiva hace ilegal fabricar, vender, importar, instalar ó substituir
los dispositivos ilícitos tales como decodificadores piratas, tarjetas
inteligentes, y cualquier otro elemento que permita el acceso desautorizado
a los servicios cifrados.
También se expresa en la medida introducir fuertes
sanciones para castigar las violaciones y asegurar la remuneración a las
empresas afectadas. La CEE espera que la legislación tome efecto antes de
fin del año próximo.
Ha sido diseñada para combatir la piratería comercial, sin embargo sigue
dejando un vacio legal en cuanto al uso particular de los decodificadores
piratas. Así mismo, solo cubre los servicios que utilizan el cifrado para
asegurar el pago de un honorario y no cubre servicios tales como los
financieros y telecomunicaciones, donde el cifrado se utiliza para asegurar
la integridad y el secreto de un mensaje.


Bernardo Quintero



lunes, 9 de noviembre de 1998

DirectDraw, otro bug para el Explorer

Este nuevo bug, descubierto en Italia por el programador Fabio Ciucci, se basa en las clases Java DirecDraw, y afecta, además del Explorer, a cualquier otra implementación que haga uso de ellas.
El bug permite un ataque DoS (Denial of Service) que provoca el bloqueo total del sistema, obligando a resetearlo.
Este bug no es aplicable en entornos que cumplan estrictamente las especificaciones Java, tales como Netscape Comunicator ó Sun's HotJava. Las DirectDraw son unas clases (conjuto de código Java) que podremos encontrar en los sistemas que posean el Internet Explorer 4, IE 4.1, IE 5.0 beta, en Windows 95, 98, NT4 y en el paquete de Microsoft para desarrolladores de Java.
Microsoft, que ha reconocido la importancia de este bug, aun no ha facilitado el correspondiente parche para solucionar el problema. Joe Herman, Product Manager de Microsoft, intentaba restarle transcendencia declarando que "El hecho es que no hay muchos applets que se construyen con DirectDraw, no va a tropezar mucha gente con este caso. Estas clases han estado durante tres años y medio y nunca nos habiamos encontrado con este problema".
Por el momento, y hasta que Microsoft lo remedie, debemos evitar encontrarnos con las páginas webs donde ya circulan estos applets, de apenas 1kb, que utilizan este bug para provocar el bloqueo total de los sistemas que las visiten.


Bernardo Quintero



domingo, 8 de noviembre de 1998

Virus infector de html

Ha nacido una nueva generación de virus, HTML.Internal es el primer virus conocido capaz de infectar archivos html.
HTML.Internal busca ficheros html en los discos infectándolos. Para difundirse a sí mismo el virus usa rutinas de script escritas en Visual Basic que incluye dentro del código html. El virus sólo es capaz de replicarse en caso de que los niveles de seguridad del navegador permitan la ejecución de rutinas de script con capacidad de acceder a los archivos del disco. Por defecto ésta opción viene desactivada y al acceder a un archivo infectado se muestra un mensjae de error.
La cabecera de los archivos html infectados contienen la referencia a un script (rutina principal del virus) que es ejecutada automáticamente cuando el navegador accede al archivo infectado. Cuando la rutina principal del virus toma el control está llama a la rutina de infección con una probabilidad de 1/6 dependiendo de un contador aleatorio, en caso contrario se devuelve el control.
Usando instrucciones Visual Basic el virus busca todos los archivos *.htm y *.html en el directorio actual y superior infectándolos. Cuando el el virus infecta un archivo se escribe asimismo al comienzo del fichero sin ningún daño para los datos de los ficheros.
La cabecera del virus contiene la siguiente línea que lo identifica:

Después de infectar el virus muestra «HTML.Prepend /1nternal» en la barra de estado de Windows.


Antonio Ropero



sábado, 7 de noviembre de 1998

DeepThoat se suma a la moda de los troyanos

Tras los ya conocidos BackOriffice y NetBus aparece un nuevo troyano con características de administración remota, DeepThroat.
Al igual que con BO y NetBus la herramienta se compone de dos partes claramente diferenciadas, el cliente y el servidor. El cliente que aparce bajo el nombre de RemoteControl, se usa para controlar los ordenadores afectados mientras que el programa Systempatch es el servidor.
DeepThroat (http://hax0r.to/deept/) es una herramienta de administración remota para 95/98. Básicamente es una herramienta freeware con capacidades similares a las que ya disponían NetBus y BO.
El cliente permite acceso a la unidad de CD, abriendo y cerrando la unidad de forma remota, también permite el envío de cajas de mensjaes, ocultar y mostrar la barra de inicio. Al instalar el servidor también se procede a la instalación de un servidor de ftp a través del puerto 21, gracias al que se puede subir y bajar ficheros del ordenador afectado sin ningún problema.
Se puede ver la pantalla del ordenador infectado gracias a la posibilidad de efectuar una captura de pantalla, en formato jpg y de unos 80kb que será enviada de forma automática al cliente. No permite ver la pantalla del ordenador remoto en tiempo real, pero si puede dar una buena idea de que hay "en el otro lado".
Algo que puede llegar a resultar muy molesto es la posibilidad de encender y apagar el monitor remoto. Esta función hace que el monitor pase al estado de ahorro de energía y sólo puede ser restaurada de nuevo de forma remota. Igual de molesta puede resultar la opción de rebotar el ordenador.
Por último DeepThroat incluye un scanner que permite buscar ordenadores con el servidor instalado.
El equipo de I+D de HispaSec investigará y comprobará más a fondo el funcionamiento de DeepThoat esperando seguir informandoos sobre esta nueva herramienta


Antonio Ropero



viernes, 6 de noviembre de 1998

Netscape guarda todas las contraseñas

Netscape Communicator 4.5 almacena de forma cifrada todas las password de correo empleadas por el usuario (tanto en protocolo imap como pop3), incluso si el usuario ha activado entre las preferecias la opción de "no guardar contraseña".
Esto quiere decir que cualquier otro usuario que pueda leer el archivo de preferecias "preferences.js" o "prefs.js" (en entornos MS) también podrá acceder a la lectura del correo e incluso obtener la password real.
Para explotar esta inseguridad hay que iniciar Communicator, asegurarnos de que la opción "recordar contraseñas" está desactivada en el cuadro de preferencias (preferencias/correo y grupos/servidor de correo/Más opciones). Tras ello intentamos recoger correo, ante lo que nos pedirá la password momento en que cerraremos el Communicator.
Ahora solo queda editar el archivo "preferences.js" en $HOME/.netscape (para entronos linux) o "prefs.js" en el path de perfiles del usuario dentro de la carpeta netscape/users). Buscar algo parecido a las siguientes líneas:
user_pref("mail.imap.server.mail.password", "cRYpTPaSswD=");
user_pref("mail.imap.server.mail.remember_password", false);
Donde pone false se debe cambiar por true grabando el archivo. Ahora podemos abrir el Communicator y leer y recoger el correo sin que nos pida ninguna password.
En entornos Windows el archivo "prefs.js" no es el único lugar elegido para mantener la password, Netscape también crea una entrada en el registro para almacenar este dato de tal forma que cualquier administardor de la red (o un usuario malicioso a través de Internet) puede acceder de forma remota al registro y obtener dicha clave, que se encuentra en la ruta:
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\biff\users\\servers\\password
Esta clave del registro se encuentra igualmente aunque se haya activado la opción de "no guardar password". Es posible copiar esta clave del registro en otro ordenador, cambiando de forma adecuada los valores del servidor de correo y recoger el correo de la persona afectada (incluso con un sniffer se podría leer la clave en texto plano).
Parece que todas las versiones de Communicator 4.5 bajo todas las plataformas están afectadas por este problema.


Antonio Ropero



jueves, 5 de noviembre de 1998

Un paseo por el SIMO

La redacción de una-al-dia ha tenido la ocasión de darse un paseo por el SIMO, la feria de informática más importante de nuestro país, y que permanecera con sus puertas abiertas hasta el domingo 8 de noviembre.
Como era de esperar las principales empresas de seguridad informática del mercado están presentes en la feria, y los miembros de redacción de HispaSec aprovechamos la ocasión para visitar los diferentes stands de estas empresas.

Centramos nuestra visita en el pabellón 4, punto en el que se encuentran empresas como SC2, Norman, ADD, Panda, NAI y Economic Data.
Entre las diferentes compañías con presencia en la feria, se encuentran SC2, distribuidora en nuestro país de toda la gama de productos Norman. Entre los programas de Norman encontramos un antivirus de prestigio, como es el ThunderByte y el programa de control de acceso Norman Access Control. Esta compañía sorprende a los visitantes de la feria con una oferta diaria diferente de los productos de su gama.
Panda Software presenta en la feria su nuevo antivirus Panda Platinum, un antivirus definido según sus propios creadores como el "antivirus vivo", ya que es capaz de actualizar cualquier módulo, lista de virus, etc a través de internet. El programa incluye actualizaciones de forma diaria y un atractivo interfaz especialmente diseñado para aprovechar las nuevas características de Windows 98.

Network Associates (NAI) se ha convertido tras la compra de importantes compañías como Dr Solomon´s, McAfee o Anyware en la empresa de seguridad más importante del mercado, aprovechando la feria para presentar toda su nueva gama de productos que incluyen escanners de vulnerabilidades, sniffers, antivirus, encriptación y mucho más. En nuestra conversación con ellos, nos informaron que ya está disponible el PGP 6.0, del cual dispondremos una versión para su evaluación. Queremos comprovar la diferencia que tiene este producto entre sus versiones comerciales y freeware.

ADD también dispone de una amplia gama de productos de seguridad como su conocido firewall-1, uno de los firewalls más difundidos del mercado. También distribuyen Esafe, un antivirus pensado especialmente para controlar todo el trafico a través de Internet y evistar la entrada de virus empleando esta vía de comunicación.




Antonio Ropero



miércoles, 4 de noviembre de 1998

Problemas en routers Cisco

Parece ser que nadie está libre de los problemas por desbordamiento de buffer (buffer overflow en version internacional), ahora los afectados son los routers de la prestigiosa firma Cisco (http://www.cisco.com).
Según informa la propia compañía todos aquellos dispositivos en los cuales la versión instalada de su sistema operativo sea superior a la 9.1 están afectados por este problema. De tal forma que un usuario malicioso podría conseguir aprovechar el error para hacer que el router desvelara la password de administrador y de esta forma hacerse con el control de toda la red.

El problema parece radicar en la posibilidad de que cualquier intruso que consiga acceso al login del dispositivo IOS Cisco obtenga fragmentos de texto introducidos por el usuario anterior del router. Este texto puede contener información sensible, incluyendo la posibilidad de incluir la password. Esta vulnerabilidad solo expone el texto introducido en los prompts del propio dispositivo, los contenidos de los paquetes de datos transmitidos por el router no estan expuestos.

La mejor forma de comprobar si el sistema está afectado por el problema es usar el comando «show version». Si la versión del sistema es la 9.1 o superior, será conveniente ponerse en contacto con Cisco para obtener el parche que soluciona el problema. Aunque según la propia compañía el problema afecta a la gran mayoría de los sistemas Cisco IOS.

La vulnerabilidad puede ser explotada directamente desde la consola, conexión asíncrona (incluyendo conexión por módem), conexiones telnet, X.29, o de cualquier otro tipo.

Curiosamente serán aquellos sitios con una política de passwords más fuerte los que están más expuestos al problema. Si un sitio cambia su password cada semana o cada quince días, será mucho más fácil para un atacante conseguir datos del momento en que se cambió la password, obteniendo de esta forma la nueva contraseña.

Cisco ofrece actualizaciones gratuitas del software para remediar esta vulnerabilidad a todos sus clientes (independientemente de sus contratos con la compañía).

Más información:http://www.cisco.com/warp/public/770/ioshist-pub.shtml


Antonio Ropero



martes, 3 de noviembre de 1998

El Gusano de Morris, 10 años despues

El 3 de noviembre de 1988, tal día como hoy, miles de ordenadores sucumbieron ante el engendro de Robert Tappan Morris, un estudiante de 23 años de la Universidad de Cornnel
Al llegar a sus puestos de trabajo, los administradores no daban crédito al ver como sus VAXs y SUNs se bloqueaban en cadena, víctimas de una sobrecarga de tareas invisibles. Ninguno era consciente de que estaba siendo testigo de excepción de lo que ha llegado a ser un mito en la informática y las comunicaciones, aquellas 99 líneas de código, causas del desastre, han dado lugar a lo que hoy se conoce como: el Gusano de Morris.

No son pocas las discusiones que siempre se han mantenido sobre si el término "gusano" es o no apropiado para describirlo, o si por el contrario deberíamos hablar del primer "virus" de red. La principal diferencia entre un "gusano" y un "virus" tradicional la podemos encontrar en el método de operar a la hora de reproducirse. Cuando un "virus" estándar entra en un ordenador el suele alterar un fichero al que se adjunta. Cualquier uso posterior del fichero infectado hará que éste se active, siempre de forma transparente al usuario. El "virus" se encontrará en el sistema sin dar señales de vida aparentes, hasta que ejecute su efecto (payload) en una fecha determinada ó por otra condición que el programador del "virus" haya elegido. Además, para lograr pasar de un ordenador a otro necesita que un fichero infectado sea traspasado por la acción de un usuario.

En el otro lado, cuando un "gusano" entra en un ordenador, normalmente a través de Internet, comienza una busqueda de otros sistemas conectados a la Red que puedan ser victimas de su infección. Al contrario que los "virus", no existe un estado de latencia, el se activa nada más infectar el ordenador, y no necesita adjuntarse a ningún fichero. Para lograr su cometido se basa en los "agujeros" de otros sistemas que le permita introducirse en ellos, y continuar su infección. Es una especie de "virus hacker" que explota los fallos de seguridad de los sistemas para reproducirse. En el caso del Gusano de Morris, explotaba vulnerabilidades bien conocidas del s.o. Unix. Por ejemplo, la versión del sendmail de aquella época permitía conocer los usuarios de forma remota. Simplemente probando cuentas cuyos nombres de usuarios y passwords coincidieran, el Gusano consiguió gran cantidad de accesos.

El origen de los "gusanos" deriva de los años 60, cuando en los laboratorios AT&T Bell se originó el juego "Core Wars" ó guerra de núcleos de ferrita. La memoria de nucleo de ferrita contenia tanto conjunto de instrucciones como de datos. El juego consistía en crear un programa que al reproducirse fuera ocupando toda la memoria, al tiempo que borraba de ella al programa del contrincante. El jugador cuyo programa conseguía hacerse con toda la memoria, o que tras transcurrido un tiempo tenía mayor número de reproducciones, ganaba la partida.

Parece clara la relación entre estos juegos de los años 60 y el Gusano de Morris. Sin embargo, un estudio más detallado nos llevará a comprender hasta que punto se estrechan los lazos entre estas historias. Los tres estudiantes que dieron origen, en los laboratorios AT&T Bell, a "Core Wars" respondían a los nombres de H.Douglas McIlroy, Victor Vysottsky y Robert Morris. No, no se trata de una equivocación, Robert Morris de los laboratorios AT&T de los años 60 es, ni mas ni menos, que el padre de Robert Morris creador del Gusano.

Pero aun hay más, un estudio detallado del código del Gusano de Morris viene a demostrar la existencia de dos programadores. Todo parece indicar que Robert Morris hijo utilizó parte de los programas creados por el padre en "Core Wars", junto con documentación reservada de los laboratorios Bell, donde su padre fue uno de los desarrolladores del UNIX. Al fin y al cabo, de tal palo, tal astilla.


Bernardo Quintero



lunes, 2 de noviembre de 1998

SHH y rootshell

El 28 de octubre rootshell sufrió un ataque de hackers que modificaron su página principal, la entrada según los afectados fue realizada a través de SSH (secure shell) esta afirmación está ocasionando movimientos entre todos los expertos en seguridad.
Rootshell (www.rootshell.com) es un conocido sitio entre hackers y expertos de seguridad por su amplia base de datos con exploits y vulnerabilidades de todos tipo de sistemas. Por ello, lógicamente el ataque sufrido no ha pasado por alto y mucho menos la información proporcionada asegurnado que la entrada fue realizada a través de SSH.
El SSH (Secure Shell) es un software que permite a los usuarios acceder a otros ordenadores a través de una red, ejecutar comandos en sistemas remotos y mover ficheros de una máquiina a otra. Todo ello a través de un fuerte sistema de autentificación y comunicaciones encriptadas sobre canales inseguros.
Este software está producido por SSH Communications Security, Ltd., Finland (www.ssh.fi). Distribuido para usos no comerciales desde ftp://ftp.cs.hut.fi/pub/ssh; y distribuido de forma comercial por Data Fellows, Ltd. (www.datafellows.com).
La propia SSH se dio prisa en realizar un estudio del problema y en asegurar que no han encontrado ninguna vulnerabilidad en su software (http://www.ssh.fi/sshprotocols2/rootshell.html) por otra parte, el Laboratorio de Análisis de Seguridad Global de la no menos conocida IBM ha identificado una vulnerabilidad en el servidor del SSH. (sshd).
IBM tan sólo ha anunciado la posibilidad de buffer overflows en el código del SSH
1.2.26 aun no existe el código de ningún exploit que haga uso de estas vulnerabilidades. Uanque Rootshell afirma que ya empiezan a circular algunos exploits en determinados círculos.
Todo el problema proviene de la función «log_msg», a la que se hacen llamadas en multiples puntos del servidor para enviar información al log del sistema. Esta función hace copias de los datos que introduce el usuario en un buffer local sin chequear el contenido de estos datos. Cuando se dan grandes cantidades de datos puede ocurrir un error de buffer overflow.
De esta forma, si un usuario puede provocar un buffer overflow explotando esta vulnerabilidad, podrá ser posible la entrada de instrucciones en código máquina que podrán ser ejecutadas con los privilegios del usuario que ejecutó el «sshd» usualmente el root. Esta vulnerabilidad puede ser explotada de forma local o remota, ni siquiera es necesario disponer de una cuenta en el sistema para llevar a cabo este exploit..
Este problema afecta a las versiones 1.2.x del servidor SSH, por lo que se recomienda actualizar todos los servidores que empleen este sistema a la versión 2.0.x.


Antonio Ropero



domingo, 1 de noviembre de 1998

WinScript.Rabbit, una nueva generación de virus dirigidos a Internet.

Se presenta dentro de la nueva ola de virus dirigidos a Internet, WinScript.Rabbit es capaz de infectar ficheros script de Windows sobreescribiéndolos con sí mismo.
Lo más peligroso de este virus es que es capaz de propagarse a través de Internet, ya que las últimas versiones de los navegadores ejecutan los ficheros scripts de forma local aunque se encuentren alojados en servidores remotos.

La idea de este virus es muy antigua, tenemos que remontarnos a los orígenes de los virus en los sistemas UNIX. En los años 80 los virus escritos en lenguajes scripts clónicos para UNIX se convirtieron en autenticas plagas para las redes de ordenadores de por aquel entonces. Conocidos como "gusanos" son de destacar el "Christmas Tree," HI.COM y "Wank Worm". Ahora WinScript.Rabbit se presenta como la nueva generación de "gusanos" en la era Windows/Internet.

Es el primer virus identificado que afecta a los ficheros scripts de Windows. Su código es extremadamente simple, apenas contiene 10 comandos, y todo parece indicar que su origen proviene del grupo "CodeBreakers". El virus contiene algunos fallos que provocan que se detecte fácilmente cuando infecta un sistema. Cuando un navegador lo ejecuta el virus infecta todos los ficheros de la caché del navegador, y los copia al escritorio de Windows, que es el directorio por defecto de los navegadores. Cuando esto ocurre, el escritorio se inunda de iconos correspondiente a los ficheros infectados. El nombre de Rabbit proviene de su facilidad para la reproducción similar a la de los conejos.

Pese a los graves fallos de funcionamiento y su simplicidad, este virus representa una amenaza potencial para todos los usuarios de Internet, ya que puede servir de base para virus más sofisticados que utilicen el mismo principio de propagación. Es probable que en el fúturo surgan nuevos virus que aprovechando las características de los navegadores y de los sistemas Windows infecten otros tipos de ficheros además de los scripts.

El virus trabaja bajo todas las versiones de Windows 32bits (Windows 95/98/NT) si se encuentra instalado el Microsoft Scripting Host, el cual viene por defecto activado en las versiones 98 y NT 5.0 (Windows 2000). En el resto de sistemas windows puede encontrarse si se han actualizado determinados componentes.

Para protegerse de este nuevo tipo de virus debemos de activar la siguiente protección:

Internet Explorer Windows 98:

View/Folder
Options/File
Types/VBScript
File/Edit/Confirm open after download

En Netscape no existe una opción para la ejecución de ficheros scripts. Por el momento no se ha detectado propagación de este virus en Netscape.


Bernardo Quintero