domingo, 31 de enero de 1999

Alianza por la seguridad

Cisco, Lucent, NAi y Sun, cuatro de los principales fabricantes y
vendedores de productos de seguridad han firmado un acuerdo para unir
sus fuerzas a favor de la protección de los usuarios.
Cisco, Lucent Technologies, Network Associates Inc. y Sun Microsystems
acaban de formar la Security Research Alliance (alianza para el
desarrollo de la seguridad) para compartir avances en sus
investigaciones, así como colaborar en el desarrollo de nuevos medios
y aplicaciones que garanticen la defensa de los sistemas informáticos.

La alianza tiene como meta proporcionar a los administradores la
información que necesitan para tomar decisiones a largo plazo. Para
conseguirlo los miembros de este acuerdo patrocinarán foros educativos
para los directivos de nuevas tecnologías de la información. Un
ejemplo será el próximo Security Research Crystal Ball Symposium, que
tendrá lugar en Los Angeles en Abril.

En la cabeza de la lista de prioridades de la Alianza se encuentra la
detección de intrusos y la respuesta ante este tipo de incidentes. El
grupo trabajará conjuntamente en el desarrollo de medios para
determinar si se ha saltado la seguridad de una red y como responder.
La mayoría de los sistemas de detección de intrusos fijan su atención
en la red o en la capa de aplicación, pero la alianza quiere llegar a
ser capaz de detectar ataques a una organización desde el nivel más
bajo de las capas IP hasta en los niveles altos de aplicación.

La alianza está abierta a nuevos miembros por lo que GTE
Internetworking e Intel se encuentran en negociaciones para entrar en
ella.

Más información:
NAi: http://www.nai.com
Sun: http://www.sun.com
Lucent: http://www.lucent.com
Cisco: http://www.cisco.com
Security Research Alliance: http://www.securityresearch.com



Antonio Ropero



sábado, 30 de enero de 1999

El Euro también crea problemas

Todo el mundo presta atención a la llegada del 2000 pero no hay que
olvidar al Euro, la nueva moneda europea ya empieza a representar
problemas a los usuarios finales.
A primeros de año un gran número de informáticos se vieron obligados a
hacer horas extras par adaptar todos los sistemas informáticos a la
nueva moneda europea. Ahora Microsoft también ha pagado por el cambio
de divisa, en Alemania ha tenido que retirar del mercado toda su serie
de programas de contabilidad doméstica Money 99 (incluyendo la versión
Money 99 Plus).

La causa de la retirada es un problema en la adaptación de la nueva
moneda con la banca online. Money 99 incluye unos scripts para la
conversión, pero estos se muestras incapaces de acceder a los
servidores bancarios alemanes a pesar de ser compatibles.

Según la propia firma de Bill Gates las versiones suizas y austríacas
también en idioma alemán no se ven afectadas. Microsoft ha prometido a
los usuarios alemanes la reprogramación de la versión que está
disponible en abril sin costo alguno.

Microsoft lleva desde primeros de año intentando limar ompatibilidades
entre su programa y el Euro, pero a pesar de dos parches en lo que va
de año, sus esfuerzos parece que no son suficientes. La línea de
soporte de la compañía recibe más de 500 llamadas diarias con relación
al Euro y el Money 99.


Antonio Ropero



viernes, 29 de enero de 1999

Vulnerabilidad en Mirc 5.5

Un nuevo fallo en el famoso mIRC, en su versión 5.5, convierte
a este programa en una entrada potencial para troyanos.
Entre las opciones de este cliente de IRC podemos encontrar,
como es normal, que soporta comandos DCC. Esta particularidad es
la que nos permite, entre otras cosas, enviar y recibir ficheros,
así como realizar chats directos a través de este protocolo.

El traspaso de ficheros a través de DCC es utilizado de manera
regular para introducir troyanos. Hasta la fecha entre los
recursos más utilizados nos encontrábamos con la Ingeniería
Social, es decir, engañar al usuario a través de la conversación
para conseguir que aceptara el troyano. La víctima aceptaba y
ejecutaba el programa creyendo que se trata de software
inofensivo.

El DCC también ha servido como vía de contagio para los
virus-scripts de mIRC, que aprovechaban que por defecto los
ficheros aceptados por DCC se almacenaban en el directorio junto
con los ficheros de scripts. Esta particularidad hacía posible
que al enviar un fichero de script adecuadamente nombrado se
suplantara el original con el script que llevaba el código
maligno al escribirse encima. Hoy día, las nuevas versiones
de mIRC, incorporan un directorio aparte donde guarda los ficheros
aceptados por DCC, protegiendo así a los scripts.

Esta nueva versión del cliente de IRC, mIRC 5.5, introduce modificaciones
en su servidor de ficheros DCC. El problema esta vez viene dado
porque esta revisión no filtra determinados caracteres, como son
"." y "\", en los nombres de los ficheros que se reciben. Esta
particularidad hace posible enviar un fichero y modificar el
directorio donde va a ser alojado en la máquina remota, evitando
la carpeta por defecto del mIRC.

Construyendo el nombre del fichero con "\..\..\..\" iríamos
subiendo directorios hasta llegar al raíz, después solo quedaría
indicar el path completo donde queremos dejar el fichero. Por
ejemplo, en el caso de un troyano, la carpeta de Inicio de
Windows95/98 sería ideal, ya que nos asegura que el programa se
ejecutará de forma automática cada vez que se inicie el sistema.

Para evitar posibles entradas de troyanos por esta vía, y hasta
que aparezca una nueva versión que lo corrija, lo más cómodo es
asegurarse de que tenemos el servidor DCC desactivado mediante
el comando "/dccserver off", con lo que cerrará el puerto 59 y
la posibilidad de un ataque.




Antonio Román



jueves, 28 de enero de 1999

Nuevos agujeros con Javascript

Se ha descubierto un nuevo error en la seguridad de Javascript en
Internet Explorer 4.x que abre nuevos agujeros al saltarse la
protección del uso malintencionado de frames cruzados.
El problema surge al añadir a una URL en el código Javascript la
dirección "%01file://c:/", consiguiendo que el explorer se crea que el
dominio desde donde esta leyendo la pagina es el propio disco duro del
usuario. Por ello, al realizar posteriormente un acceso, como por
ejemplo "about:<SCRIPT>a=window.open('file')", en vez de hacerlo del
servidor web lo hace desde el disco duro local con todos sus
privilegios.

Entre los problemas ocasionados por este bug se encuentra la
posibilidad de leer ficheros del disco duro local y enviarlos a
cualquier servidor. Para ello se debe conocer de antemano el nombre del
fichero que se quiere "robar", con la posibilidad de realizar el ataque
vía e-mail.

También se puede llegar a realizar un "window spoofing", que consiste
en suplantar el contenido original de la ventana de un sitio web. El
usuario puede llegar a creer que está visitando un sitio real, e
introducir datos sensibles en un formulario falsificado.

Más información:
http://www.geocities.com/ResearchTriangle/1711
http://www.whitehats.com/guninski



Antonio Ropero



miércoles, 27 de enero de 1999

Un nuevo gusano invade Internet

Los virus que se difunden por Internet están de moda, en los últimos
días un gusano está afectando a gran número de usuarios en Europa.
En los últimos días los servidores de news se han visto invadidos por
un programa que bajo el nombre de Happy99.exe reúne todas las
características de un gusano. El funcionamiento de este virus recuerda
al Parvo, ya comentado anteriormente en este servicio, ya que no
necesita atacar otros ficheros para reproducir sus copias, pero es
capaz de enviarse a sí mismo como un archivo enlazado en mensajes
e-mail.

Como la mayor parte de los virus, Happy99 o SKA.A como también ha sido
bautizado, llega al usuario a través de un archivo enlazado en un
e-mail o en un grupo de noticias e infecta tan sólo si el usuario lo
ejecuta. Es en ese momento cuando el programa se activa, mostrando una
pantalla en la que se ven fuegos artificiales. Pero detrás de esas
inocentes imágenes se empieza a realizar la acción maligna. El gusano
altera el archivo «winsock32.dll», la principal librería de
comunicaciones hacia Internet.

Desde entonces, cada vez que el usuario inicia una actividad con el
correo Internet, bien sea enviando o recibiendo e-mails o de grupos de
noticias, Happy99 se autoenvía al grupo de news o al receptor del
mensaje con una copia de si mismo.

Durante la instalación el gusano se copia a sí mismo en el directorio
system de Windows con el nombre «ska.exe» y deja una librería adicional
en el mismo directorio bajo el nombre «ska.dll». Tras ello, realiza una
copia de seguridad de archivo «wsock32.dll» con el nombre de
«wsock32.ska», parcheando el archivo original.

En caso de que la librería se encuentre en uso y no pueda ser abierta
para escritura, el gusano crea la siguiente clave en el registro, que
le permite ejecutarse en el siguiente encendido:
HKEY_LOCAL_MACHINE\Software\Microsoft\ \Windows\CurrentVersion\RunOnce=SKA.EXE

El parche sobre la librería «wsock32.dll» consiste en la rutina de
inicialización y dos redireccionamientos. La rutina de inicialización
es una pequeña parte del código del gusano, tan sólo 202 bytes, y se
graba al final de la sección de código de la librería. La librería
tiene espacio para ello, por lo que su tamaño no se ve modificado.

También modifica las tablas del «wsock32.dll» de tal forma que las
funciones «connect» y «send» apuntarán a la rutina de inicialización
del gusano situada al final de la sección de código de la librería.
Cuando el usuario se conecte a Internet se activa la dll parcheada y el
gusano captura dos eventos, el de enviar y el de recibir. Happy99
monitoriza desde ese momento los puertos de correo (smtp, 25) y de
noticias (nntp, 119). Cuando se detecta actividad en uno de estos
puertos, carga la librería «ska.dll» que contiene las rutinas «mail» y
«news». Dependiendo del puerto se llama a la rutina adecuada, que
creará un nuevo mensaje, insertando una copia «uuencodeada» del
lanzador «happy99.exe» y por último lo envía a la dirección
correspondiente.

En caso de vernos afectados por este gusano, podemos eliminarlo
fácilmente del sistema. En primer lugar, se deben borrar los archivos
«ska.exe» y «ska.dll», la copia de seguridad de la librería de
comunicaciones («wsock32.ska») efectuada por el propio programa ayuda a
restaurar la configuración original, pues basta con renombrar la
extensión a dll. También se debe localizar y borrar el archivo
happy99.exe original. Por último, hay que observar la existencia de un
archivo «liste.ska», que también deberá ser borrado. Este último
contiene una lista con los servidores de noticias a los que se ha
conectado para autoenviarse.

Un truco para evitar la infección es asignar atributos de solo lectura
al archivo «wsock32.dll». Aunque también hay que recordar que siempre
se debe tener precaución ante los programas que se ejecutan.


Más información:
AVP: http://www.avp.com/happy/happy.html
Data Fellows: http://www.datafellows.com/v-descs/ska.htm
http://www.geocities.com/SiliconValley/Heights/3652/SKA.HTM



Antonio Ropero



martes, 26 de enero de 1999

Problemas con la encriptación en Outlook 98

El popular cliente de correo de Microsoft cuando se usa en entornos
corporativos obliga a responder sin encriptar a los e-mails que se
reciben encriptados.
El problema ocurre cuando los usuarios de Outlook 98 responden a un
mensaje encriptado enviado a través de un servidor de correo diferente
a Microsoft Exchange. El programa muestra una advertencia errónea que
informa al emisor que el receptor no puede leer mensajes encriptados y
proporciona la posibilidad de enviar el mensaje sin encriptar o
cancelar el envío.

La razón por la que Outlook informa incorrectamente que el receptor no
podrá leer el mensaje encriptado reside en que el cliente de correo no
usa el registro de contactos que contiene el certificado del receptor
del mensaje.

Tanto Outlook 98, como el próximo Outlook 2000 pueden ser configurados
para recibir mensajes de Internet a través del proveedor habitual o de
forma corporativa, donde los usuarios emplean el programa como cliente
del servidor Exchange de la empresa.

La propia Microsoft ha confirmado que el problema afecta sólo a
aquellos usuarios que estén empleando una configuración de uso en
entornos corporativos o grupos de trabajo. Pero no se plantea la
programación de un parche para resolver el problema hasta la aparición
de Outlook 2000, versión en la cual se solucionará el bug.


Antonio Ropero



lunes, 25 de enero de 1999

El Pentium III favorecerá la encriptación

Intel está preparando su nuevo procesador Pentium III, que incluirá
importantes medidas para fortalecer la seguridad y mejorar las
condiciones del comercio electrónico.
En el nuevo Pentium III, que saldrá al mercado en breve, Intel añadirá
nuevas características destinadas a mejorar la seguridad, la
encriptación y el comercio electrónico. Uno de los aspectos que el
gigante del chip ha decidido cambiar es el generador de números
aleatorios. Estos son de gran importancia en el comercio electrónico,
criptografía y correo seguro, ya que la clave de sesión empleada para
encriptar un mensaje se basa en un número generado al azar.

Hasta ahora en todos los chips de Intel el generador de números
aleatorios estaba basado en software, pero todos los criptoanalistas
confirman las debilidades de este medio para crear números aleatorios.
Hasta tal punto, que a la larga pueden emerger patrones numéricos y en
cuyo caso podría llegar a predecirse el numero pseudoaleatorio y por lo
tanto descifrar el mensaje.

Pero Intel incluirá un generador de números aleatorios por hardware,
este tipo de generadores se basan en factores no predecibles, por lo
que son realmente aleatorios. En el Pentium III por ejemplo, el número
será generado por el ruido térmico. Es decir, la proporción a la cual
diferentes átomos en la circuitería del procesador están vibrando en un
momento aleatorio en el tiempo.

En el momento en que se aplica energía a un circuito hay una vibración
y las variaciones son virtualmente ilimitadas. El calor varía
constantemente dentro del procesador modificando la cantidad de
vibración. Materiales diferentes también vibran a diversas proporciones
e incluso partes fabricadas de idéntico material reaccionan de forma
desigual al mismo estímulo, produciendo números distintos.

El generador que se incluirá en el Pentium III determinará el número
calculando la diferencia entre el ruido térmico emitido por al menos
dos puntos del procesador. Con ello, se consigue que los números
aleatorios sean realmente lo que se pretenden, lo que sin duda
favorecerá la encriptación y por tanto el comercio electrónico.


Antonio Ropero



domingo, 24 de enero de 1999

Troyano en el TCP Wrappers

El CERT ha hecho pública la posibilidad de la inclusión de un troyano en el
código fuente de la utilidad TCP Wrappers.
Según el CERT, algunas de las copias del código fuente de esta utilidad han
sido modificadas para incluir en ellas un troyano, que daría la posibilidad
a un intruso a entrar en un sistema remoto por el puerto 421 con permisos de
root. Una vez compilado este troyano es capaz de mandar información a una
dirección de correo externa, como la identificación del lugar y de la cuenta
que lo ha compilado. En concreto el troyano manda la salida de los comandos
"whoami" and "uname -a". TCP Wrappers es una utilidad usada en sistemas Unix
que permite monitorizar y filtrar las conexiones a la red. En concreto, el
fichero retocado sería el «tcp_wrappers_7.6.tar.gz».

El troyano ha sido detectado en varios servicios FTP desde el jueves 21 de
enero. CERT recomienda a todos los usuarios de esta herramienta que
verifiquen la integridad de su distribución.

Más información en:
http://www.cert.org/advisories/CA-99-01-Trojan-TCP-Wrappers.html.



Santos Herranz



sábado, 23 de enero de 1999

Microsoft deja visible el portapapeles en Internet

El último descubrimiento de Juan Carlos García Cuartango se centra en
la visibilidad pública del contenido del portapapeles de Windows cuando
se está conectado a Internet.
Juan Carlos Garcia Cuartango ha descubierto una nueva vulnerabilidad
que va mucho más lejos de la ya conocida serie de "agujeros de
Cuartango". En esta ocasión es el portapapeles de Windows el que deja
ver su contenido a través de Internet.

Según nos explica Cuartango las reglas de seguridad de Microsoft dejan
clara la prohibición del acceso al contenido del portapapeles a los
scripts de Internet Explorer a no ser que dicho contenido sea propiedad
del propio Explorer. Es decir, si un script realiza una operación de
pegado sobre una caja de entrada de texto la operación será realizada
con éxito sólo si los datos son copiados al portapapeles desde el
Explorer.

Pero Juan Carlos ha descubierto que existe un medio para evadir esta
protección a través del uso de algunos controles ActiveX incluidos en
MS Forms 2. El objeto ActiveX TexBox de Microsoft Froms 2.0 puede
realizar una operación de pegado sin ninguna restricción de seguridad.
De esta forma, los datos del portapapeles pueden ser transferidos a una
caja de entrada de formulario y enviados a un web malicioso. La
vulnerabilidad también puede ser explotada vía e-mail.

Los controles que provocan la vulnerabilidad no se incluyen con
Microsoft Explorer, pero aun así su distribución es grande ya que sí se
produce su instalación con Office 97, Visual Basic 5.0 y un gran número
de aplicaciones, por lo que afecta a una gran mayoría de los usuarios
de Internet Explorer.

En http://pages.whowhere.com/computers/cuartangojc/clipboard2.html
Cuartango demuestra los efectos de esta vulnerabilidad.
Además el script que permite hacer público el contenido del
portapapeles es muy sencillo y tan sólo ocupa cinco líneas de código:

function GetClipBoard()
{
tb.paste(); // Pegar sobre TextBox de MS Forms 2.0
document.forms(0).S1.value=tb.text; // Mueve el texto a la caja de texto
}

Microsoft ha publicado un parche, con soporte sobre él, para cubrir
esta vulnerabilidad. Recomendando a todos los usuarios su instalación
para la protección de los equipos. El parche no hace perder ninguna
funcionalidad de los controles ActiveX afectados, por lo que los
programadores que los hayan utilizado no se verán obligados a modificar
sus programas.

Se verán afectados por el problema los usuarios que tengan instaladas
cualquiera de las siguientes aplicaciones: Microsoft Office 97,
Microsot Outlook 98, Microsoft Project 98, Microsoft Visual Basic 5.0,
y cualquier producto de terceras partes que incluya Visual Basic for
Applications 5.0.

Para determinar la necesidad de instalar el parche de Microsoft se
pueden consultar las propiedades del archivo Fm20.dll del directorio
\windows\system. En caso de que la fecha sea anterior al 11 de enero de
1999 deberá realizarse la instalación del parche, que se puede recibir
de la dirección
http://officeupdate.microsoft.com/downloaddetails/fm2paste.htm.

Más información:
http://officeupdate.microsoft.com/downloaddetails/fm2paste.htm
http://support.microsoft.com/support/kb/articles/q214/7/57.asp
http://pages.whowhere.com/computers/cuartangojc/clipboard2.html



Antonio Ropero



viernes, 22 de enero de 1999

Ejecución de macros en Word sin avisar

Microsoft ha publicado un parche para cubrir una vulnerabilidad que
permitía la ejecución de macros en Word 97 sin aviso al usuario.
Una característica de seguridad habitual por parte de Word 97 es avisar
al usuario al abrir un documento que lleve macros. Pero sin embargo, si
el documento en sí mismo no contiene código de este tipo, sino que está
unido a una plantilla que sí incluye, no se produce ninguna indicación
de ello.

Un usuario malicioso podría llegar a explotar esta vulnerabilidad para
hacer que una macro maligna se ejecutara sin avisar. También podría ser
usado para la transmisión de virus de macro sin que el usuario se
percatase de la infección. Bastaría con que la macro nociva se
incluyera en una plantilla infectada y ofrecer un documento limpio que
hiciera uso de dicha plantilla.

Por su parte la macro maligna podría ser usada para causar cualquier
tipo de daño o recibir datos del ordenador del usuario afectado.
Microsoft ha dispuesto un parche, del que ofrece soporte total,
recomendando a todos los usuarios su instalación para proteger sus
ordenadores.

Tras la instalación del parche los usuarios recibirán una alerta al
abrir un documento basado en una plantilla con macros. Hay que aclarar
que la instalación del parche no evita el uso de plantillas o macros en
las plantillas, tan sólo realiza la advertencia de la existencia de
código en la plantilla.

El parche se encuentra disponible en la dirección
http://officeupdate.microsoft.com/downloaddetails/wd97sp.htm aunque
sólo se encuentra disponible para versiones en ingles. Los usuarios de
Word en español deberán esperar a que Microsoft España publique el
parche necesario.

Más información:
http://www.microsoft.com/security/bulletins/ms99-002.asp
Parche en: http://officeupdate.microsoft.com/downloaddetails/wd97sp.htm



Antonio Ropero



jueves, 21 de enero de 1999

El FrontPage deja al descubierto el disco duro

Algunos usuarios de la herramienta de creación de páginas Web de
Microsoft, pueden tener accesible todo su disco duro sin percatarse de
ello.
El agujero de seguridad viene dado por el Personal Web Server que se
instala junto con el FrontPage. Para poder usar la herramienta de
creación de páginas web de Microsoft es necesario trabajar sobre un
servidor web operativo, en caso de no disponer de dicha herramienta el
propio software incluye una utilidad que ofrece dicho servicio.

El Servidor Web Personal de Microsoft es una sencilla utilidad que
como bien indica su nombre convierte el ordenador en un pequeño
servidor web. La potencia de esta herramienta no es mucha, tan sólo
permite unos pocos usuarios conectados al mismo tiempo, si bien es
necesaria para el trabajo con el FrontPage para las labores de
edición.

Pero como servidor web que es, si el usuario se conecta a Internet
también permite el acceso a la información publicada en el web a todos
los usuarios de la Red. Este no es el problema, ya que esa es la
función de un servidor web. Que todo lo que se publique por debajo del
directorio en que se configure el servidor pueda llegar a ser
consultado. Pero el agujero de seguridad reside en que también es
posible la consulta de información hacia directorios superiores, por lo
que todo el disco duro queda accesible a cualquier visitante.

El bug sólo afecta a la primera versión de la utilidad, conocida como
FrontPage Personal Web Server. Las siguientes versiones nombradas como
Microsoft Personal Web Server, no están afectadas.

La propia Microsoft ha confirmado el agujero de seguridad en esta
utilidad, aunque si bien no todos los usuarios de FrontPage están
afectados. Tan sólo aquellos que hayan instalado el FrontPage sobre
plataforma Windows 95/98, ya que el problema reside en el tratamiento
que dan estos sistemas operativos a determinadas cadenas en la
estructura de directorios. Por ejemplo, la cadena "...." es tratada
como "..\..\..", la cadena "......" es tratada como "..\..\..\..", el
Servidor Web no chequea estos alias y realiza la petición. Esto puede
emplearse para acceder a ficheros y directorios que se encuentren en
niveles superiores al raiz del web. Desabilitar el listado de
directorios solo soluciona el problema de forma parcial, ya que
seguiría siendo posible acceder a directorios y ficheros conociendo
la ruta y el nombre. Por ejemplo se podría efectuar:
http://webusuario/....../.

Una forma fácil de analizar personalmente si se está afectado por este
problema es desde un navegador introducir la URL:
http://127.0.0.1/....../ comprobando si se permite o no el acceso o no
a la dirección.


Antonio Ropero



miércoles, 20 de enero de 1999

Movimientos hacia el estándar de llave pública

Durante el transcurso de la Conferencia de Seguridad de Datos de la RSA
compañías como IBM o Netscape se han decantado por la implantación y el
uso del estándar PKI.
El estándar PKI (Public Key Infraestructure) desarrollado por la
Internet Engineering Task Force (IETF), pretende asegurar que tanto el
receptor como el emisor de un mensaje son realmente quienes dicen ser.
Además, PKI garantiza que la integridad de los datos no ha sido
comprometida. Este estándar se basa en el uso de tecnología de llave
pública con propósitos de seguridad.

Hasta el momento muchos desarrolladores aceptaban de forma verbal el
estándar, pero este no había recibido ningún apoyo firme por parte de
la industria para su implementación. En estos momentos, todavía hay una
gran carestía de aplicaciones que soporten y hagan uso del PKI.

En la conferencia de seguridad informática organizada por la RSA que
está teniendo lugar estos días en San José, IBM ha confirmado la
intensificación de sus esfuerzos para mover a toda la industria hacia
la adopción global del estándar. El gigante azul no sólo espera
incrementar la aceptación del PKI por toda la industria, sino que
además pretende llegar a convertirse en un líder en materia de
soluciones de seguridad. Entra las diferentes medidas adoptadas por
IBM se encuentra la migración de 30 millones de usuarios de Lotus Notes
al estándar PKIX (PKI sobre X.509).

Por su parte Netscape también ha anunciado su apoyo a la tecnología PKI
con la presentación de productos que ya hacen uso del estándar.
Netscape ha mostrado tres nuevs productos entre los que se incluye
Netscape Directory Server 4.0. Meta Directory 1.0, es una nueva
aplicación que permite a los usuarios conectar los directorios
existentes en la actualidad en un almacen de datos asentado sobre la
aplicación.

Más información:
http://www.zdnet.com/pcweek/stories/news/0,4153,385262,00.html
http://www.msnbc.com/news/233519.asp
PKI (X.509): http://www.ietf.org/html.charters/pkix-charter.html
IETF: www.iitf.org
RSA: www.rsa.com
IBM: www.ibm.com
Netscape: www.netscape.com



Antonio Ropero



martes, 19 de enero de 1999

El DES III ha caído en menos de 24 horas

En un esfuerzo conjunto de distributed.net y EFF con el mítico
Descraker, se ha conseguido romper el estándar de encriptación en menos
de un día.
En el tiempo récord de 22 horas y 15 minutos el desafío DES III ha
sucumbido ante el poder de unos 100.000 PCs y un super-ordenador
especialmente diseñado por la EFF (Electronic Frontier Foundation,
www.eff.org) conocido como "Deep Crack". En esta ocasión el ya mítico
ordenador, que gano por si solo el anterior concurso en menos de tres
días, colaboraba con distributed.net. Todo valía para demostrar que se
debe trabajar para buscar un nuevo estándar de encriptación.

El honor del premio puede recaer en distributed.net que una vez más
coordinó el esfuerzo de miles de internautas para lograr un resultado
positivo, aunque la máquina ganadora fue de nuevo el "Deep Crack", que
resultó ser el ordenador que consiguió hallar la clave correcta. Como
el desafió se ha conseguido en menos de 24 horas, el ganador ha
conseguido 10.000 dólares, tal y como rezaban las bases del concurso.

El equipo combinado de estaba comprobando más de 245.000 millones de
claves cada segundo, lo que durante aproximadamente 23 horas, consiguió
desencriptar de forma correcta el mensaje de la RSA. En esta ocasión,
el escrito tras la clave ocultaba la siguiente misiva "See you in Rome
(second AES Conference, March 22-23, 1999)". La razón por la que fue
elegido este mensaje está en la iniciativa propuesta por la RSA para
la sustitución del DES por el Advanced Encryption Standard (AES).
Este nuevo algoritmo, está basado en el RC6 y emplea una clave de al
menos 128 bits.

La RSA, promotora del concurso, anunciaba en su web la consecución
del DES III por distributed.net. A partir de ese momento todos los
usuarios que estaban tratando de conseguir la clave a través de
distributed pudieron comprobar como una vez se hizo público la
resolución del desafío, sus clientes volvieron a retomar el desafío
RC5.

La resolución en este tiempo récord viene a demostrar muchas cosas en
el mundo de la informática y la seguridad. En primer lugar la debilidad
del algoritmo DES y la necesidad de buscar un nuevo sustituto de forma
inmediata y por otro lado la efectividad del uso de la informática
distribuida para la resolución de problemas que requieran una gran
potencia de cálculo.

Más información:
RSA: www.rsa.com
Distributed.net: www.distributed.net
EFF: www.eff.org
DES-III en HispaSec: www.hispasec.com/des-3.asp




Antonio Ropero



lunes, 18 de enero de 1999

Intel incluirá capacidades de encriptación en futuros chips

Intel ha llegado a un acuerdo con la RSA a través del cual la
multinacional del chip pretende dotar a sus futuros procesadores de
capacidades para la encriptación de datos.
La decisión del gigante del microprocesador puede ser significativa
para el impulso del uso de este tipo de tecnologías en Internet. El
disponer de medios para la encriptación en el propio hardware de los
futuros ordenadores, sin duda facilitará en gran medida el uso de este
tipo de tecnologías.

La encriptación, a través de la cual se pueden manipular todo tipo de
datos para ocultarlos a la vista de cualquier curioso, es la llave para
el impulso de las comunicaciones y el comercio electrónico. Por otra
parte, la encriptación no sólo aporta privacidad sino que ofrece la
tecnología necesaria para crear el equivalente digital a las firmas y
todos los autentificadores necesarios para las transacciones online.

En la actualidad los consumidores finales sólo hemos podido tener
contacto con la encriptación a través de software. Bien programas
específicos para la encriptación, o bien a través de módulos que los
programas ofrecían a tal efecto, como los navegadores para salvaguardar
la información de transacciones electrónicas.

Pero el disponer posibilidades de encriptación por hardware posibilita
que la manipulación de los datos sea mucho más veloz, y por
consiguiente se podrán usar algoritmos más potentes y en muchas más
aplicaciones. Por otra parte a los hackers les resultará mucho más
difícil de atacar un chip que un programa.

Intel ha firmado un acuerdo de colaboración con la RSA a través del
cual ambas compañías compartirán tecnologías. Como parte de la alianza
la RSA tiene la intención de entregar a mediados de año versiones
avanzadas de los kits de desarrollo de BSAFE Crypto-C y Crypto-J que
serán sido optimizados para los planes de Intel.

Más información:
http://www.rsa.com/pressbox/html/990118-3.html
http://www.intel.com/pressroom/archive/releases/cn11899b.htm
http://www.msnbc.com/news/232855.asp




Antonio Ropero



domingo, 17 de enero de 1999

Mañana comienza el DES-III

Mañana lunes dará comienzo la tercera edición del concurso destinado a
probar la debilidad del algoritmo de encriptación DES.
Mañana, lunes 18 de enero a las 6 de la tarde hora española, y en
coincidencia con la inauguración de la Conferencia de Seguridad de
Datos 1999 de la RSA (www.rsa.com), la compañía americana lanza por
tercera vez el desafío DES. Un concurso abierto a todo el mundo en el
que se pretende demostrar que el estándar criptográfico es insuficiente.

El algoritmo DES (Data Encryption Standard), es un estándar mundial en
tecnología de encriptación. Técnicamente es un algoritmo de clave
secreta de 56 bits, lo que se puede traducir como que tanto el emisor y
el receptor del mensaje emplean una misma clave de 56 bits (7
caracteres) para cifrar y descifrar el mensaje.

Las dos anteriores ediciones del concurso ya demostraron la debilidad
de este algoritmo, y se espera que en esta edición se termine por
confirmar la necesidad de un nuevo método para la encriptación de datos.

Los premios son suficientemente interesantes por si mismos, 10.000
dólares si se consigue romper en menos de 24 horas, 5.000 dólares si la
solución se logra entre 24 y 48 horas, y 1.000 dólares si se necesitan
más de 56 horas para lograrlo.

Una vez más dstributed.net (www.distributed.net) ha puesto en marcha su
maquinaria de informática distribuida para unir a miles de usuarios de
todo el mundo para romper el DES en un tiempo récord. Por otra parte,
también se espera la participación de EFF (Electronic Frontier
Fundation, www.eff.org) que ya en la anterior edición de este concurso
sorprendió al romper la clave en menos de tres días, empleando un
ordenador especialmente construido para la ocasión.

HispaSec no puede mantenerse al margen de un evento de estas
características. Por ello, ofreceremos una cobertura especial tanto a
través de nuestro web (www.hispasec.com) como de nuestro servicio de
noticias de todo lo que transcurra en este desafío. Además HispaSec
participará dentro de distributed.net a través de la dirección de
e-mail distrib.es@hispasec.com, formando parte del equipo hispano
eÑe Power. Animamos a todos los lectores de una-al-dia
a que se unan a nuestro e-mail en este esfuerzo conjunto.

Más información:
RSA: www.rsa.com
Distributed.net: www.distributed.net
EFF: www.eff.org
Especificaciones del DES: www.itl.nist.gov/div897/pubs/fip46-2.htm
Equipo Hispano eÑe Power: www.argo.es/~jcea/artic/rc5-6401.htm
Equipo Hispano eÑe Power: www.arnal.es/rc5/




Antonio Ropero



sábado, 16 de enero de 1999

Fallos en la actualización a IIS 4

Aquellos administradores que hayan actualizado su servidor Windows NT a
la más reciente versión del Internet Information Server deberán revisar
algunos ficheros olvidados de las versiones anteriores, ya que pueden
representar un riesgo.
Microsoft Internet Information Server 4 (IIS 4) limita por defecto y
como medida de seguridad, la administración del Web a la dirección
local 127.0.0.1. Sin embargo, ism.dll es un archivo sobreviviente del
IIS 2 y 3 y puede permitir a usuarios o atacantes acceder a una
aplicación ISAPI usada para la administración remota del web desde
direcciones que no sean locales.

El usuario o atacante puede acceder a través de una URL similar a la
siguiente:

http://www.servidor_afectado.es/scripts/iisadmin/ism.dll?http/dir

Tras ello será preguntado por un nombre de usuario y una password, en
caso de realizar una autentificación correcta tendrá acceso a
información sensible del servidor.

Aunque haya que introducir un nombre de usuario y password este sistema
proporciona a un usuario malicioso llegar a conocer la contraseña del
administrador mediante un ataque de fuerza bruta. Además si se tiene
éxito en el intento, se puede conseguir una importante cantidad de
información a través del uso de esta aplicación.

Esta aplicación es redundante, y debe ser eliminada ya que además no
toma parte en ningún aspecto de la administración del servidor Web.

Por otra parte si el IIS 4 es instalado desde NT Option Pack y si se
instalan las extensiones del Servidor Frontpage se podrá encontrar la
utilidad fpcount.exe en el directorio /_vti_bin/ con la posibilidad de
llevar a cabo un desbordamiento de buffer. Se puede conseguir una
versión actualizada en las extensiones del Servidor de FrontPage 98.




Antonio Ropero



viernes, 15 de enero de 1999

Nuevo virus en Java

La plataforma Java ya no es un territorio imposible para los virus.
Tras Strange Brew, conocido como el primer virus para Java, nace un
nuevo virus que emplea este lenguaje.
El nuevo virus ha sido descubierto por la compañía austríaca Ikarus
(www.ikarus.at) y recibe el nombre de BeanHive (que podria traducirso
como «colmena de alubias»). Este virus es mucho más sotisficado que su
predecesor, el ya conocido Strage Brew.

Las diferencias entre el primer virus y éste son abismales. Strange
Brew era bloqueado por la seguridad de la propia seguridad de Java y
fue principalmente tema para los desarrolladores. Por el contrario,
BeanHive está destinado a los usuarios finales utilizando los
navegadores para conseguir acceso total a los datos de los usuarios.

El virus actúa haciendo que el navegador pregunte para que se acepte el
certificado «Landing Camel». Por ello, es imposible que se produzca una
infección invisible a los ojos del usuario, ya que BeanHive toma el
control del PC a través de este certificada. Basta con no aceptar el
certificado para no verse infectado. Pero a pesar de ello es muy
probable que los usuarios acepten este certificado sin saber la
importancia de esta decisión.

El nombre le viene dado por su forma de actuar, muy similar a la de una
colmena de abejas a la búsqueda de polen. Una vez que el certificado
alcanza el ordenador, el virus («la abeja») intenta contactar con su
«reina», que es el archivo BeanHive.class. Una vez establecido el
contacto, la abeja ha consumado su trabajo y la reina tiene pleno
acceso al PC.

El autor del virus ha dispuesto una muestra en Internet, pero con una
versión de demostración no invasiva. Pero el peligro radica en
cualquier otra versión que pueda hacerse del mismo, ya que no hay
ninguna limitación en las acciones que puede llevar a cabo una vez
activado.

Más información en:
http://www.ikarus.at/news/strngbrw.html (en alemán)
http://www.chip.de/news/ticker/public/8142.phtml(en alemán)
http://www.newsbytes.com/pubNews/124449.html
http://www.internetnews.com/wd-news/1999/01/1501-java.html




Antonio Ropero



jueves, 14 de enero de 1999

Bug el 1 abril del 2001

Se ha descubierto un nuevo bug en aplicaciones para Windows que provoca que den el tiempo de manera incorrecta durante una semana a partir del 1 de abril del 2001 en Estados Unidos y Canadá. Aunque este nuevo bug no es técnicamente un fallo del año 2000, es similar porque dará comienzo a partir de una fecha concreta el próximo milenio.
En los Estados Unidos y Canadá se produce una modificación en los horarios, para favorecer el ahorro de energía, el primer domingo de abril, y vuelve a restaurarse el último domingo de octubre. Más información sobre las reglas por las que se rigen estos cambios se puede encontrar en http://www.energy.ca.gov/daylightsaving.html

Muchos programas para Windows parecen heredar un bug que provocará que a partir del 1 de abril del 2001 ofrezcan el tiempo de manera errónea. El fallo se corregirá el 8 de abril, cuando estas aplicaciones realizarán, tras una semana de retraso, el cambio de horario. Entre los miles de paquetes de software afectados por este bug nos podemos encontrar aplicaciones como Internet Explorer 4 y Netscape Navigator 4.

El problema es causado por una librería de la herramienta de programación Microsoft Visual C++, con las que se desarrolla gran parte del software para Windows. Esta librería asume que el cambio de horario por ahorro de energía se produce el día 8, en vez del 1 de abril en el año 2001. Se ha demostrado que esto ocurre cuando el primer domingo de abril coincide con el día 1. La última vez que se dio esta coincidencia fue en 1990, ahora dará en el 2001 y se volverá a repetir en el 2007.

El bug se introdujo ya en la versión 4.1 de Visual C++, y según se ha podido demostrar se encuentra presente en las versiones 4.2, 5.0 y 6.0. El fallo se muestra al interrogar la función localtime(), aunque no se descarta que pueda encontrarse también en otras funciones definidas en "time.h".

Microsoft ya incluye en el NT Resource Kit dos utilidades, TZEDIT.EXE y TIMEZONE.EXE, para modificar las zonas y cambios de horario por parte del usuario. La corrección para el software afectado pasa por un parche para Visual C++ o una nueva versión corregida. Aunque esto suceda se estima que serán muchas las aplicaciones que presenten este bug debido al enorme número de desarrolladores que existe.


Bernardo Quintero



miércoles, 13 de enero de 1999

Una colegiala revoluciona la criptología

Nace un nuevo algoritmo de cifrado fuerte 30 veces más rápido que RSA. La solución no viene de la mano de una de las multinacionales de la seguridad y criptología, si no que ha salido del ordenador de una colegiala irlandesa.
La noticia ha causado verdadera conmoción, además de la repercusión meramente técnica, todos los ojos apuntan a su creadora, Sarah Flannery. Con tan solo 16 años esta estudiante de Blarney ha conseguido desarrollar un algoritmo de clave publica basado en matrices 2x2, con el que consigue un cifrado fuerte comparable a RSA y en un tiempo de proceso muy inferior.

Según su padre, David Flannery, "Sarah ha demostrado tener muy buenos conocimientos de los principios matemáticos implicados, pero llamarla genio ó prodigio es exagerado, y a ella le molesta que se le denomine así". Tras esta lección de modestia termina diciendo "Ella es una chica normal, le encanta el baloncesto y salir con sus amigos".

Su sistema puede ser aplicado de manera global a todo tipo de cifrados, y en particular puede acarrear grandes beneficios en el terreno del comercio electrónico, donde su velocidad de proceso lo convierten en un algoritmo muy recomendado.

Frente a los miles de millones que mueve uno de los grandes beneficiarios, el comercio electrónico, destaca la actitud de Sarah que por el momento no piensa patentar el código. Su padre comenta que "a ella no le importa el ser rica, lo que realmente desea es hacer participe a todo el mundo de la felicidad que le ha proporcionado su descubrimiento". Por el momento todo parece indicar que Sarah publicará su trabajo para ponerlo a disposición de todo el mundo de manera libre y gratuita.

Su sistema lo ha denominado Cayley-Purser en honor a Arthur Cayley, un experto en matrices de Cambridge del siglo XIX, y a Michael Purser, un criptógrafo del Trinity College, en Dublín, quienes inspiraron a Sarah en su desarrollo.


Bernardo Quintero



martes, 12 de enero de 1999

Ataque DoS para el IIS 3 y 4.0

Siguen los ataques DoS basados en peticiones GET al protocolo HTTP del servidor web de Microsoft, causando bloqueos y reinicios de los sistemas afectados.
Según nos hacíamos eco (www.hispasec.com/unaaldia.asp?id=56) Microsoft afirmaba que el problema estaba solucionado con un parche que arreglaba la vulnerabilidad «antes de que ningún usuario fuera afectado». Se ha demostrado que esta vulnerabilidad sigue afectando a los sistemas Windows con IIS 3.0 ó 4.0 tanto en plataformas x86 como Alpha.

Si accedemos a un sistema Windows mediante TELNET a través del puerto que da servicios HTTP, normalmente el 80, nos dejará introducir el comando GET y al pulsar el retorno de carro la conexión se terminará. El mensaje que nos muestre por pantalla es similar a:

HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/4.0
Date: Tue, 12 Jan 1999 23:52:35 GMT
Conten-Type: text/html
Content-Length: 87

El problema viene cuando realizamos un "GET /AAAAAAAAAAA&", IIS irá aceptando toda la secuencia de "A"s, utilizando como buffer la memoria RAM. Y seguirá almacenándolas siempre y cuando las peticiones de "A"s no lleven ningún espacio en blanco ó retorno de carro. Cuando la capacidad de la RAM no le permite albergar más datos el sistema NT comienza a copiar las páginas de memoria que contienen el buffer y se produce un gran traspaso de datos al disco, que termina por colapsar el sistema.

El parche de Microsoft permite que el servidor acepte este tipo de peticiones hasta que lleguen a 2MB, entonces la velocidad del upload baja considerablemente, y termina por desconectar el ataque. Sin embargo, el problema puede darse en los sistemas parcheados a través de un ataque paralelo, que terminan con la denegación del servicio y/o reinicio del sistema.




Bernardo Quintero



lunes, 11 de enero de 1999

Troyanos con ICQ

Se ha encontrado un bug en la interfaz del ICQ para Windows 32bits versión 1.30 que, aunque muy simple, puede ser utilizado para introducir troyanos haciéndose pasar por ficheros normales.
Cuando una persona esta enviando un fichero a otro usuario con ICQ, a quien recibe se le abre una ventana que indica el nombre del fichero y una descripción del emisor, junto con las opciones de abrir o guardar. Un error en el programa ICQ al no chequear la longitud del nombre del fichero permite que si el nombre es muy largo el final de este no sea mostrado. Esto es debido a que la etiqueta que contiene el nombre del fichero no tiene la suficiente amplitud, con lo que el final del fichero queda fuera del campo de visualización.

Ejemplo: el fichero ejecutable nombrado como "migranfotoxxx.jpg.exe" podría quedar de la siguiente forma en el ICQ:
Parte visible: "migranfotoxxx.jpg,
Parte no visible, fuera de la etiqueta: .exe"

El usuario que va a recibir el fichero solo visualiza la parte de "migranfotoxxx.jpg", creyendo que el fichero enviado es un archivo gráfico sin posibilidad de que contenga código dañino. El peligro se agrava si en vez de guardar el fichero le hemos indicado a ICQ que lo abra directamente.

Aun guardando el fichero, cabe la posibilidad de que la gente sea engañada. En esta ocasión la picaresca continúa hasta el extremo de cambiar el icono del programa dañino a un icono de una aplicación gráfica. Como los ficheros gráficos están asociados a aplicaciones de este tipo, es más probable que con esta modificación pasemos por alto de que se trata de una aplicación, y la ejecutemos con un doble click como si de un gráfico se tratara.


Bernardo Quintero



domingo, 10 de enero de 1999

Todos los navegadores afectados por una vulnerabilidad

Se ha dado a conocer un nuevo problema de seguridad, una versión de la vulnerabilidad conocida como Frame Spoofing afecta a todos los navegadores.
Este nuevo “agujero” ha sido dado a conocer por un analista de SecureXpert (www.securexpert.com) en el transcurso de una rutinaria auditoría de seguridad en el web. La vulnerabilidad permite al autor de un web site corrupto o un mensaje e-mail falsear la información presentada por otro sitio web.

Por ejemplo, el web site malicioso puede hacer que la información presentada en otro web sea falsa, o incluso, que las páginas afectadas muestren un formulario que al ser rellenado devuelva los datos al atacante.

El problema es común a Microsoft Internet Explorer y a Netscape Communicator, y es debido a que ambos navegadores no pueden evitar correctamente que un sitio web puedan reemplazar un frame mostrado por otro sitio web con contenido que está bajo el control del atacante.

Microsoft ya público el parche para cubrir esta vulnerabilidad (www.hispasec.com/unaaldia.asp?id=57), pero ahora se ha probado que otros navegadores pueden verse también afectados por el problema.
Netscape se encuentra trabajando en solucionar el problema, mientras que Opera Software también ha reconocido algunos problemas con su implementación del soporte de frames.

Cualquier página web creada haciendo uso de frames puede verse afectada, aunque hay que tener en cuenta que no se trata de una vulnerabilidad del sitio web falseado, sino del navegador empleado por el usuario.


Antonio Ropero



sábado, 9 de enero de 1999

Un nuevo troyano roba información

Bajo el nombre de “picture.exe” un nuevo troyano roba ficheros de texto y hasta datos de la cuentas de usuario de los clientes de America Online.
Al ejecutarse el troyano se descomprime en otros dos ejecutables (“note.exe” y “manager.exe”) dentro del subdirectorio Windows. Tras ello, añade la línea “run=note.exe” dentro del archivo "win.ini". De esta forma puede ejecutarse la próxima vez que se inicia el ordenador.

Seguidamente el troyano construye un fichero .dat con todos los archivos con extensión .txt y .html. Este es posteriormente encriptado y si el usuario tiene software de America Online instalado el troyano también recoge sus logins y passwords. La encriptación empleada es sencilla, tan sólo realiza una rotación de cinco caracteres atendiendo a la tabla ASCII (donde a=f, b=g, etc.).

Una vez que la información esta recopilada se compila y es enviado a una dirección e-mail en china. AOL ha advertido ha todos sus usuarios que no cojan ningún archivo de direcciones que no sean conocidas. "Esta es siempre la eterna solución".

Se estima que una gran cantidad de diferentes troyanos están rondando AOL con el objetivo de obtener nombres y contraseñas de los usuarios.


Antonio Román



viernes, 8 de enero de 1999

Bug en la Maquina Virtual Java de Microsoft

Fabio Ciucci, el conocido desarrollador italiano de Java ha reportado un agujero de seguridad en la última edición de la Máquina Virtual Java de Microsoft.
El programador, lider del equipo Anfy Java (www.anfyjava.com/), anunció que los usuarios de la ultima versión de la Máquina Virtual Java de Microsft estaban indefensos ante la entrada de un virus en applet de Java, que ya está difundiéndose a través de la Red.

Cuicci ya detalló el agujero de seguridad en la MVJ hace un año, que fue seguido por un parche de Microsoft para solucionarlo. Sin embargo, el programador ha anunciado que las nuevas versiones no incluían una solución permanente y los nuevos usuarios posiblemente no conocieran la existencia del parche, ya que Microsoft no lo anunciaba en el producto.

El applet malicioso causa un cuelgue del ordenador del usuario sin ningún aviso, cuando sin saberlo se contagia de forma inconsciente a través de páginas web de Internet o e-mail.

El fallo reside en un applet de Java que hace uso de las “extensiones” de Microsoft a las especificaciones oficiales de Java. El applet no sólo produce el cuelgue de Internet Explorer 4.0, 4.1 y 5.0 Beta, sino que también provoca el bloqueo de todo el sistema operativo Windows 95 o 98 sobre el que se ejecuta la aplicación, con la consiguiente pérdida de datos no salvados. Bajo Windows NT, se cuelga Internet Explorer, pero el sistema operativo es capaz de recuperarse y continuar funcionando.

La actualización realizada por Microsoft puede ser recibido de http://www.microsoft.com/java/vm/dl_vm31.htm o http://www.microsoft.com/windows/ie/download/jvm.htm .


Antonio Ropero



jueves, 7 de enero de 1999

RSA evita la regulación criptográfica de EE.UU.

RSA Data Security ha abierto una filial en Australia, de esta manera consigue liberarse de las regulaciones comerciales impuestas por los EE.UU. en materia de exportación criptográfica.
La RSA fue fundada en 1982 por los inventores del criptosistema de llave publica (RSA PKC), River, Shamir y Adleman. Hoy día la RSA se ha convertido en sinónimo de criptografía, con más de 300 millones de copias de sus sistemas de cifrado y autentificación.

Hasta el momento, la RSA tenía que regular su software teniendo en cuenta la política de la administración Clinton, que impide exportar productos cuyos algoritmos criptográficos superen la barrera de los 56-bit. Según el gobierno de los EE.UU., longitudes más largas hacen los cifrados más difíciles de romper, y en consecuencia podría ayudar a encubrir información a los criminales.

El resultado final es que los que soportan estas restricciones son los usuarios y empresas que se ajustan a la ley. Con respecto a los criminales, parece claro que harán caso omiso de estas restricciones, y por descontado no van a utilizar los algoritmos fáciles de romper para que el gobierno de los EE.UU. pueda tener acceso a su información.

Para evitar estas restricciones la RSA ha instalado en Australia una sucursal, dentro de un ambiente regulador mucho menos riguroso, donde podrán desarrollar y comercializar software de cifrado fuerte. Los analistas dicen que con este movimiento la RSA consigue un gran avance al poder competir en igualdad de condiciones con sus rivales.

La RSA (www.rsa.com) llevaba varios meses negociando con el Departamento de Comercio de los EE.UU. para cerciorarse de que la nueva empresa australiana no violara el código comercial. Tras estos encuentros, el departamento accedió con la condición de que no se utilizara a ningún empleado ó tecnología de los EE.UU. en la filial australiana.

Para cumplir el acuerdo, la RSA compró una compañía australiana que reconstruyó los algoritmos basándose en especificaciones disponibles públicamente. Con esta medida, la RSA se ahorra el coste que suponía el obtener una licencia comercial para cada producto suyo que superara el cifrado de 56-bit.

SUN Microsystems había intentado, con anterioridad, la misma estrategia a través de la empresa rusa Elvis-Plus, de la que poseía el 10%. En aquella ocasión el Departamento de Comercio de los EE.UU. junto con la Agencia de Seguridad Nacional (NSA) decidieron paralizar el intento de SUN. La NSA requirió y analizó el código fuente de los algoritmos de SUN y Elvis-Plus, determinando que había indicios de la tecnología de SUN en los fuentes de la compañía rusa.


Bernardo Quintero



miércoles, 6 de enero de 1999

Problema de seguridad Web a través de Excel

Una vulnerabilidad en Microsoft Excel puede hacer que los usuarios de Internet estén vulnerables ante cualquier ataque, como robo de ficheros, instalación de troyanos, borrado de datos o similares, con sólo visitar una página web.
Recientemente publicamos el aviso de una vulnerabilidad en Excel y su correspondiente parche creado por Microsoft (http://www.hispasec.com/unaaldia.idc?id=46). Ahora sale a luz una forma de explotar el problema que permitiría realizar el ataque con sólo visitar una página web.

El problema ha sido dado en llamar como “Ataque ruso del Nuevo Año”, pues se descubrió por primera vez en Rusia. Aunque fue dado a conocer públicamente por la compañía de seguridad Finjan, quien anunció la manera de llevar a cabo el ataque. El cual se lleva a cabo haciendo uso de la función CALL de Excel y otras funciones html para copiar datos del usuario sin su conocimiento. También puede llevarse a cabo cualquier otra acción en el ordenador del usuario sin que llegue siquiera a darse cuenta de ello, y si se usa adecuadamente, sin dejar ninguna huella.


El problema puede ser más grave que otros reportados, la gran distribución de Excel y el poco conocimiento del bug y el parche de Microsoft para él, agravan el problema. El problema se extiende también a los usuarios de lectores de correo con capacidades html, como Outlook98. Para verse afectado y atacado, ni siquiera es necesario que Excel se encuentre ejecutándose, Microsoft ha respondido al aviso remitiéndose al parche que evitaba el uso de la función CALL.




Antonio Ropero



martes, 5 de enero de 1999

Vulnerabilidad en redes Windows 95/98

El uso de recursos compartidos en Windows 95/98 reutiliza el desafío criptográfico empleado en el proceso de autentificación SMB. El volver a utilizar este sistema permite a un atacante, que haya capturado una sesión de autentificación legítima, repetir el proceso y establecer una conexión como si de un usuario válido se tratara.
Tras nuestra noticia de ayer en la que eran protagonistas los descubrimientos del grupo l0pht, debemos hacernos eco un día más de un nuevo descubrimiento de este grupo. Durante la fase de pruebas de la herramienta de captura de paquetes SMB incluida en L0phtCrack 2.5 se dieron cuenta que durante un periodo de unos 15 minutos tanto Windows 95 como 98 usan exactamente la misma cadena para cada autentificación.

Durante este periodo un atacante puede conectar con los recursos compartidos de red de un usuario cuyo proceso de autentificación haya sido capturado, y hacerse pasar por él. Aunque le no es posible averiguar la password del usuario, puede llevar a cabo el ataque simplemente copiando las cadenas de desafío y respuesta capturadas, que aunque encriptadas, le serán válidas durante esos 15 minutos aproximadamente en que el sistema tarda en cambiar el desafío.

La vulnerabilidad solo afecta a los sistemas Windows95/98 que actúan como servidores compartiendo recursos. En el documento de L0pth (http://www.l0pht.com/advisories/95replay.txt) se demuestra como es posible realizar el ataque desde un NT a un Windows 95. En realidad el Windows 95/98 al que se realiza el ataque aceptará cualquier cadena que cumpla el desafío, de manera independiente del sistema operativo que se esté utilizando. Esta vulnerabilidad no afecta directamente a NT, aunque sea posible hacerse pasar por un usuario de NT frente a un Windows 95/98 el problema radica en éste último.

Una vez realizada la conexión el atacante tendrá acceso a los recursos compartidos, con todo lo que esto conlleva. Desde lectura y escritura directa de ficheros sensibles utilizando esta técnica ó la introducción de troyanos, hasta la construcción de un virus/gusano que utilizara esta vulnerabilidad durante su infección para pasar de una máquina a otra.


Bernardo Quintero



lunes, 4 de enero de 1999

Clonación de tarjetas de red

Ya no sólo se clonan animales en los laboratorios, sino también dispositivos informáticos. Un grupo de expertos en seguridad conocido como l0pht ha conseguido duplicar el número identificativo de las tarjetas de red, más conocido como dirección MAC, considerado hasta ahora como único para cada dispositivo.
Las implicaciones en materia de seguridad que esto puede llegar a acarrear son muchas. Esta dirección de 48 bits, determina de forma única cada dispositivo de hardware de red en el mundo por lo que muchos programas y dispositivos de seguridad se basan en dicha dirección MAC (Media Access Control) para realizar su configuración. Por otra parte, los propios protocolos se basan en esta dirección para enviar los paquetes de un dispositivo a otro.

No sólo las tarjetas de red disponen de esta dirección, routers, gateways y en general todo dispositivo de red dispone de este identificador. La dirección se ha considerado única para cada dispositivo, pues el mismo IEEE (Institute for Electrical and Electronic Engineers) se encargaba de asignar rangos a los diferentes fabricantes para mantener un control sobre esta acreditación.

En un extenso y completo documento l0pht (http://www.l0pht.com) explica como acceder a esta información en la memoria EPROM del dispositivo, leerla, y entenderla. De tal forma, que mediante un dispositivo programador, de fácil adquisición, se puede llegar a modificarlos de forma correcta (los datos grabados deben verificar un checksum). Con todo ello es posible crear un duplicado idéntico de otra tarjeta, con todas las consecuencias que ello implica.

Por otra parte este mismo grupo ha puesto en su web la versión 2.5 del programa L0phtCrack. Este programa demuestra, una vez más, la fragilidad del sistema de encriptación de passwords empleado por NT, pues permite descubrir, mediante diccionario o por fuerza bruta, las claves de los usuarios de un servidor NT. Esta nueva versión destaca por ser capaz de trabajar un 450% más veloz y por incluir un capturador de paquetes de red que permite conseguir las passwords codificadas que viajan a través de la red.


Antonio Ropero



domingo, 3 de enero de 1999

La Seguridad Social Americana preparada para el año 2.000

La Seguridad Social de los Estados Unidos esta preparada al cien por cien para el año 2.000. Esto es fruto de una previsión no seguida por la mayoría de los países llamados desarrollados.
Tras 10 años de trabajo, para adecuar todos los sistemas informáticos de la S.S de U.S.A. un grupo de expertos informáticos ha validado la tarea realizada por la administración. Este desarrollo ha sido seguido muy de cerca por el Subcomite de Dirección Gubernamental, que es el que se encarga de evaluar los esfuerzos de las agencias federales frente al Y2K, este subcomite también se encarga de concienciar a las empresas privadas.

No sólo la administración de la Seguridad Social ha pasado con un sobresaliente todos los tests sobre el 2000, sino que otros departamentos y agencias asociados también han conseguido la certificación sobre el 2000. El servicio de administración financiera del departamento del tesoro, el departamento de veteranos o el impuesto de la renta americano han ganado, no sin trabajo, esta garantía de compatibilidad.

Este esfuerzo fue reseñado por el presidente americano como ejemplo de lo que deberían estar haciendo los Gobiernos federales y estatales así como por los locales, ya que todos estamos interconectados.

Los ciudadanos americanos podrán dormir tranquilos en cuanto a lo que a la Seguridad Social les afecta pero... ¿ y todo lo demás?.


Antonio Román



sábado, 2 de enero de 1999

Nueva beta de los parches para Windows 98

Microsoft ha liberado la segunda beta del Service Pack para Windows 98 a los fabricantes de ordenadores, a pesar de ello aun queda un largo camino para que los usuarios finales disfruten de la versión definitiva del conjunto de parches.
El Service Pack intenta eliminar una larga colección de molestos fallos y errores que se han ido encontrando en Windows 98. A pesar del récord de ventas conseguido por Windows 98 desde que se puso a la venta el pasado verano, los usuarios han tenido múltiples problemas relativos a la actualización y a la compatibilidad.

El primer Service Pack para Windows 98, en el que curiosamente Microsoft lleva trabajando desde antes de la aparición en el mercado del sistema operativo, conseguirá solucionar gran parte de los errores así como añadir nuevas funcionalidades.

Microsoft ha liberado recientemente el Service Pack para Windows 98 para los fabricantes de ordenadores, a pesar de ello, el portavoz de la firma de Bill Gates ha afirmado que la versión definitiva no estará disponible hasta finales de este primer cuatrimestre del año.

Rompiendo con la tradición en esta ocasión Microsoft ha preparado dos versiones diferentes del Service Pack para Windows 98. El primero, bajo el nombre de OSR está dirigido a los vendedores de ordenadores, mientras que el segundo llamado SP1 estará dirigido a los consumidores finales. La versión que se ofrece ahora es una beta de la OSR, para que los fabricantes puedan vender sus sistemas con la versión actualizada.

El SP1 para Windows 98 vendrá a ofrecer soporte de dispositivos de hardware modular y soporte adicional de controladores para modems, incrementando así mismo el soporte para modems USB. Se actualizará el WebTV para Windows. El soporte de redes de área local también se verá incrementado, posibilitando incluso la conexión a redes a través de modems ATM. También se incluirán un gran número de actualizaciones y parches relacionados con la seguridad del sistema.


Antonio Ropero



viernes, 1 de enero de 1999

Grave problema de seguridad en NT

Un nuevo descubrimiento que atañe a la seguridad de Windows NT ha salido a la luz. El problema en esta ocasión puede ser grave ya que el sistema operativo de Microsoft expone sin ninguna codificación los nombres de usuario y sus passwords en la memoria del sistema.
"El sistema operativo más seguro de Microsoft, Windows NT, salva la palabra de paso en texto llano". Esta frase alarmante ha sido la desencadenante, durante el último mes de 1998, de acaloradas discusiones en listas de seguridad informática de toda Internet. Profundizando un poco más, podemos observar que para que la información sea completa se deben incorporar importantes matices.

Una vez introducimos nuestro nombre de usuario y contraseña en el inicio de sesión de NT, en teoría, la contraseña no debe exponerse ni almacenarse en ningún proceso posterior. Al igual que los sistemas Unix, NT utiliza un método de encriptación de vía única. En el fichero "winnt\system32\config\sam" se almacena en forma de base de datos los valores ya encriptados, de manera que cuando un usuario se quiere autentificar, una vez introducida la contraseña ésta se encripta y se compara con la base de datos de contraseñas ya encriptadas de los usuarios.

Microsoft ha querido utilizar un método de encriptación que no fuera reversible, ni siquiera, por su propio sistema operativo. De este modo evita que alguien pueda escribir un programa "troyano" para leer las contraseñas utilizando las propias APIs. Ahora un nuevo descubrimiento revela que en realidad tanto el nombre de usuario como la contraseña son almacenados en texto llano en la memoria del sistema.

Se ha podido comprobar que en el espacio de memoria asociado con la aplicación WINLOGON.EXE contiene los valores "lMprNotifyUserName=xxxx" and "lMprNotifyPassword=yyyy", donde "xxxx" es el nombre de usuario y "yyyy" la contraseña introducida. Aunque este espacio de memoria está restringido a los Administradores y al propio sistema, la idea de un "troyano" que haciendo uso de este descubrimiento robara las contraseñas se convierte en algo totalmente factible.

Para poder llevar a cabo el ataque se debe en primer lugar localizar el id del proceso correspondiente a WINLOGON.EXE, abrir ese proceso interrogando por PROCESS_QUERY_INFORMATION y PROCESS_VM_READ, por último realizar un ReadProcessMemory de una página en la dirección 0x00010000 y buscar las cadenas "lMprNotifyPassword" y "lMprNotifyUserName", con lo que nos encontraremos con la contraseña y el nombre de usuario.

El problema del almacenamiento de las contraseñas es ya antiguo. En ocasiones se hace mucho hincapié en utilizar sistemas de encriptación locales ó protocolos de comunicaciones seguros para manejar nuestra información. Sin embargo, aun siendo éstos bastantes eficientes, el sistema es vulnerado continuamente por una mala política en el uso y administración de las contraseñas.


Bernardo Quintero