viernes, 30 de abril de 1999

Tiendas on-line mal configuradas pueden exponer los datos de compradores

El comercio electrónico está de moda, cada vez se ponen más tiendas
on-line, y cada vez se compra más por Internet, pero los comercios
mal configurados pueden ser peligrosos para los compradores.
Se ha descubierto una vulnerabilidad en la mayoría de sistemas de
comercio electrónico que expone los datos de tarjetas de crédito,
pedidos, e-mails, direcciones, etc. y otra información sobre los
pedidos de cualquier persona. El problema no radica en los programas
o sistemas de compra, ni en un agujero en ellos, sino en la mala
configuración o inexperiencia de los administradores de la tienda
virtual.

Si los programas no se configuran adecuadamente, siguiendo las
directivas indicadas en los manuales algunos directorios pueden
quedar expuestos, ofreciendo información confidencial y sumamente
valiosa. Estos datos son indexados por numerosos motores de
búsqueda, por lo que un usuario malicioso puede, empleando su
navegador habitual, a través de un buscador de recursos acceder
a dicha información con tan sólo efectuar una consulta adecuada.


Existen seis sistemas de "carro de compra" vulnerables ante una
mala configuración, y se han descubierto más de 300 tiendas que
exponen datos confidenciales. El problema es evidentemente una
falta de cuidado en la instalación ya que gran parte de los
programas afectados disponen además de opciones para el uso de
PGP para cifrar los datos y eliminar este problema.

Software afectado:

Selena Sol's WebStore 1.0 (http://www.extropia.com/)
Plataformas: Win32 / Nix (Perl5)
Ejecutable: web_store.cgi
Directorio expuesto: Admin_files
Información expuesta: Admin_files/order.log
Más de 100 sistemas afectados

Order Form v1.2 (http://www.io.com/~rga/scripts/cgiorder.html)
Plataformas: Win32 / Nix (Perl5)
Directorio expuesto: Varios, comunmente "Orders" "order" "orders" etc.

Información expuesta: order_log_v12.dat (también order_log.dat)
Más de 15 sistemas afectados

Seaside Enterprises EZMall 2000 (http://www.ezmall2000.com/)
Plataformas: Win32 / Nix (Perl5)
Ejecutable: mall2000.cgi
Directorio expuesto: mall_log_files
Información expuesta: order.log
Más de 20 sistemas afectados
QuikStore (http://www.quikstore.com/)
Plataformas: Win32 / Nix (Perl5)
Ejecutable: quikstore.cgi
Información expuesta: quikstore.cfg

PDGSoft's PDG Shopping Cart 1.5 (http://www.pdgsoft.com/)
Plataformas: Win32 / Nix
Executable: shopper.cgi
Directorio expuesto: PDG_Cart/ (puede variar entre instalaciones)
Información expuesta: PDG_Cart/order.log y PDG_Cart/shopper.conf

Mercantec's SoftCart (http://www.mercantec.com/)
Plataformas: Win32
Ejecutable: SoftCart.exe
Directorio expuesto: /orders y /pw
Información expuesta: ficheros /orders/*.olf" y /pw/storemgr.pw

En algunos casos el error puede ir aun más lejos ya que pueden
quedar totalmente accesibles datos acerca de la configuración,
claves, etc. lo cual puede dar una valiosa información al atacante.
Los propios fabricantes de los programas reconocen los problemas,
pero culpan a los administradores de los sitios afectados ya que
el sistema es totalmente seguro si se instala y configura
correctamente. Lógicamente los sitios afectados son las pequeñas
tiendas virtuales, los sitios de reconocido prestigio como Amazon,
cdrom, cdmusic, etc. están libre de todo peligro.

Más información:
Internet news: http://www.internetnews.com/ec-news/article/0,1087,4_102621,00.html
Noticias.com: http://www.noticias.com/noticias/1999/9904/n99042219.htm
Bugtraq: http://www.geek-girl.com/bugtraq/1999_2/0191.html
Bugtraq: http://www.geek-girl.com/bugtraq/1999_2/0207.html
Cnet: http://news.com/News/Item/0,4,35451,00.html



Antonio Ropero



jueves, 29 de abril de 1999

Spoofing de usuarios en Outlook

En Outlook, la dirección de respuesta se oculta, lo que puede
provocar que un usuario envíe información, sin su conocimiento, a
una cuenta de correo distinta al email que responde. La víctima
creerá en todo momento que se encuentra contestando a un
usuario confiable, cuando en realidad puede estar desviando
información confidencial hacia el atacante.
Cuando configuramos nuestro cliente de correo, en el caso de Outlook
en el menú Herramientas -> Cuentas -> Correo, tenemos un área donde se
introduce la información de usuario. En la pestaña General indicamos,
entre otros datos, el nombre, la dirección de correo electrónico y
la dirección de respuesta. Esta última indica la cuenta de correo a
la que el cliente software debe de dirigirse cuando se responde a
nuestro email.

Aprovechando la característica de Outlook que oculta la dirección
de respuesta cuando recibimos un email, así como cuando procedemos
a responder, se puede llegar a engañar al destinatario.

Por ejemplo, se puede configurar el cliente de correo para que cuando
emitamos un email el remitente parezca, a primera vista, un usuario
interno o confiable por parte del destinatario. Para conseguir este
objetivo es recomendable que en el apartado de dirección de respuesta
se introduzca una dirección de un servidor gratuito, como hotmail,
para evitar que se descubra nuestra identidad. En el resto de casillas,
nombre de usuario y dirección de correo, procederemos a indicar los
datos de la persona por la que nos hacemos pasar.

Cuando la víctima reciba el email, y si no realiza ninguna otra
comprobación, creerá que se trata del usuario cuyo nombre puede visualizar
en el campo "De:". Incluso si hace doble click sobre el nombre, o
lo introduce en la libreta de direcciones, podrá observar la cuenta de
correo legítima de la persona suplantada por el atacante.

Cuando proceda a responder el email se encontrará con el nombre del
usuario confiable en el campo "Para:". Si no realiza ninguna otra
operación creerá en todo momento que está enviando información a ese
destinatario. Pero en realidad, estará enviando el email a la dirección
de respuesta que Outlook esconde tras el nombre del remitente, en
nuestro ejemplo a hotmail. Esta sencilla práctica es utilizada para
provocar el envío de información confidencial haciéndose pasar por
otro usuario.

En el caso de Outlook podemos comprobar la dirección de respuesta de un
email a través del la opción Propiedades del menú Archivo. En la pestaña
de Detalles encontraremos, entre otra mucha información, una línea del
tipo: Reply-To: "Nombre usuario" . De esta forma
podemos, en todo momento, conocer la dirección a la que realmente nos
estamos dirigiendo al contestar el email.

Más información:
Bugtraq


Bernardo Quintero



miércoles, 28 de abril de 1999

RSA patenta un sistema para inteactuar entre criptosistemas de curvas elípticas

Una división de RSA ha obtenido una patente por un algoritmo para
convertir claves entre dos criptosistemas basados en curvas elípticas.
El método posibilita el trasiego de claves entre ambos sistemas con
una elevada eficiencia, tanto en consumo de memoria como de CPU.
La criptografía de curvas elípticas es un sistema de claves asimétricas,
tal y como ocurre con el popular algoritmo RSA. Tiene, además, la gran
ventaja de que es muy eficiente, tanto en el tamaño de las claves como
en la carga computacional que supone operar con ellas. Lamentablemente
es una tecnología que no ha acabado de despegar, en parte porque es un
terreno minado con patentes, de forma profusa, y en parte porque muchas
de las patentes que cubren los criptosistemas asimétricos
"tradicionales" (RSA, DH, El-Gamal) han expirado ya, o están a punto de
hacerlo.

A pesar de ello, en los últimos años se han desarrollado dos familias
de criptosistemas basados en curvas elípticas: "base normal" y "base
polinómica". Aunque ambos sistemas son equivalentes, resultan ser
incompatibles. Se conocen algoritmos para pasar de uno a otro sistema,
pero son demasiado "pesados" para entornos tales como los procesadores
integrados (teléfonos móviles, buscapersonas, tarjetas inteligentes,
etc.). La patente de RSA Data Security, Inc. permite efectuar,
precisamente, una conversión rápida y eficiente, apta para dicho tipo
de entornos.

La referencia de la patente es:

"B.S. Kalinsky Jr. and Y.L. Yin. Methods and Apparatus for Efficient
Finite Field Basis Conversion. U. S. Patent No. 5,854,759, December 29,
1998."

¿Cuál es su impacto?. Esta patente permite que un entorno con pocos
recursos (el caso clásico son los procesadores integrados, como los de
una tarjeta inteligente o un teléfono móvil) pueda interoperar con ambos
criptosistemas de forma simple, rápida y eficiente, aunque sólo uno de
ellos esté implementado de forma "nativa" en el hardware. Ello mejorará
la interoperatividad entre ambos sistemas y reducirá los costes de
producción de cualquier circuito de alta integración capaz de trabajar
con este tipo de criptografía.

El texto íntegro del algoritmo está disponible en la página web del
grupo IEEE P1363, responsable de definir un estándar mundial en el campo
de la criptografía de clave pública.

Más información:
RSA
Nota de Prensa de RSA
Nota de Prensa de Certicom
Tutorial sobre Curvas Elípticas
IEEE P1363: Standard Specifications For Public Key Cryptography
IEEE P1363: Storage-efficient finite field basis conversion



Jesús Cea Avión
jcea@argo.es
http://www.argo.es/~jcea



martes, 27 de abril de 1999

Un bug en eGroups permite moderar a cualquier usuario

eGroups es un conocido sitio web que ofrece servicios de creación y
mantenimiento de listas de correo, también conocidas como grupos. Estos
pueden ser moderados, y el moderador puede aprobar o denegar los mensajes
enviados. Pero a través de un sencillo bug, cualquier usuario puede
regular los mensajes y enviar e-mails a la lista sin necesidad de que
el auténtico moderador apruebe dicha participación.
Los grupos son foros de discusión y participación donde todos los
suscriptores de la lista, reciben los mensajes que el resto de
integrantes envían a ella. Los grupos moderados permiten la figura
de un usuario que controle la participación y los mensajes que se
publican. El moderador de un grupo tan sólo tiene que enviar mensajes
en blanco a una determinada dirección del sistema para ejercer su labor.
Esto hace que sea bastante sencillo suplantar dicha función y así
cualquier usuario podrá aprobar un mensaje sin necesidad de ser el
moderador.

Primero se debe mirar en la cabecera de un mensaje anterior enviado
al grupo, para obtener la línea siguiente:

Return-Path:
<GROUPNAME-return-XXX-USERNAME=HOST.TLD@returns.egroups.com>

el XXX indica un número de secuencia asignado a cada mensaje enviado
a la lista.

Tras ello se enviará el mensaje que se desea a la lista, siguiendo el
procedimiento normal este debe enviarse al moderador para su aprobación.
Para conseguir que el mensaje sea publicado saltando la intervención del
moderador se enviarán 256 mensajes en blanco con la dirección:

GROUPNAME-accept-ZZmYYY@egroups.com

Donde ZZ es un número hexadecimal que tomará los valores del 00 al FF e
YYY es XXX + 1. En este caso la presencia del número ZZ es un intento de
añadir un poco de seguridad a todo el sistema. Sin embargo, este número
es constante para cada grupo y no cambia de forma debida. Una vez
adivinado dicho número, se pueden enviar cuantos mensajes se deseen
a la lista con tan sólo un mensaje en blanco para su aprobación.

Tras esto, el mensaje aparecerá y se distribuirá en la lista de igual
forma que si hubiera sido aprobado por el moderador del grupo. Ni
siquiera es necesario la falsificación de la cabecera, ya que eGroups
no comprueba la dirección de origen de los mensajes entrantes.

Más información:
eGroups
BugTraq (Información original)


Antonio Ropero



lunes, 26 de abril de 1999

Windows 98 sigue afectado por el 2000

Microsoft ha identificado tres bugs menores en el sistema operativo
Windows 98 con relación al año 2000. La compañía ha asegurado que en
breve publicará los parches que cubran estas deficiencias.
Los tres parches serán publicados en una o dos semanas en el sitio
web de Actualizaciones de Windows, así como en el CD de recursos para
el año 2000 que ofrecerá la compañía a partir de junio. Los parches
también se incluirán en la segunda edición de Windows 98.

Uno de los problemas hace relación al tratamiento de Windows 98
del formato de fecha internacional, que utiliza dos dígitos para
designar el año y no identifica el 00 como año 2000. Microsoft
también está desarrollando un parche específico para versiones
internacionales de Windows 98 para cubrir las deficiencias del
sistema en relación con la problemática del nuevo milenio.

Otro de los problemas está en relación a la librería «Microsoft
Automation» que tiene un límite situado en el 2029 para leer años
en dos dígitos. Esto es, cualquier fecha posterior a dicho año,
será tratado como si fuera del siglo XX, por ejemplo el año 2030
se interpretará como 1930.

Más información:
InfoWorld:
http://www.infoworld.com/cgi-bin/displayStory.pl?990421.piwin98bugs.htm


Antonio Ropero



domingo, 25 de abril de 1999

El virus CIH se activa mañana

Mañana, lunes 26 de abril, es la fecha de activación del virus CIH,
considerado por sus efectos como uno de los virus más peligrosos de
la historia de la informática.
El virus CIH es un virus que se reproduce rápidamente infectando
ejecutables de Windows 95 y 98. Al ejecutar un archivo infectado
el virus pasa a memoria quedando residente, a partir de ese
momento infectará cualquier programa que se copie o ejecute.
Existen varias versiones del virus CIH, las versiones 1.2 y 1.3
se activan mañana día 26 de abril, mientras que la 1.4 se lo hace
los días 26 de cada mes.

El virus se oculta en huecos libres del programa infectado, por lo
que el archivo infectado no aumenta de tamaño, de esta forma oculta
su presencia. Pero lo que ha hecho famoso a este virus es su
payload (acción que realiza al activarse), el virus es capaz de
dañar la BIOS del ordenador dejándola totalmente inutilizada.

Los efectos de esta acción son desastrosos, ya que la BIOS es la
parte del PC encargada de mantener los datos vitales del sistema
y ejecutar el arranque del ordenador. Por ello, si la BIOS resulta
dañada el ordenador será incapaz de volver a arrancar, siendo la
única solución la sustitución de la BIOS por una nueva, obligando
a llevar el ordenador al servicio técnico. Desde luego, no siempre
el virus puede llegar a dañar el ordenador, los diferentes tipos
de BIOS hacen que el CIH no siempre llegue a ejercer su letal
acción.

Más información:
AVP Virus Encyclopedia


Antonio Ropero



sábado, 24 de abril de 1999

Recelos en Europa por el plan de protección de datos estadounidense

La filosofía de lo que tendría que ser un plan de unificación
sobre la protección de datos entre las dos orillas de Atlántico,
crea profundas discrepancias entre la Unión Europea y Estados
Unidos.
El plan denominado "Safe Harbor" (Puerto Seguro) en opinión de
Joel Reidenberg profesor de la escuela de derecho de Fordhan es
superficial y denota una total falta de sanciones en el caso de
incumplimiento de esta ley. Esta ley, pensada para proteger la
confidencialidad de los datos de los usuarios en el intercambio
de estos entre compañías. Fue promulgada por la UE el pasado
otoño, y observa la imposición de multas para los países europeos
que intercambien datos con países fuera de la comunidad y que no
mantengan el criterio de la UE.

Entre los diferentes puntos de discrepancias entre UE y USA está
la apuesta de los norteamericanos por la autorregulación. Otro
punto de desacuerdo, es la negación por parte de la administración
americana sobre el acceso de los usuarios a los datos que de
estos se tienen en las compañías. Este punto se ve de difícil
solución, porque es algo basado en principios de privacidad muy
distantes entre formas de pensar entre americanos y europeos,
tampoco hay acuerdo entre la fecha de entrada en vigencia de
esta ley.

Otro de los problemas con que se encuentran ambas partes a la
hora de llegar a una solución es la falta de una autoridad única
a la hora de sancionar, al contrario de Estados Unidos que posee
la Comisión de Comercio Federal que se encarga de imponer
sanciones por la substracción y tráfico de datos. La Unión
Europea tiene un organismo encargado de la vigilancia de la
ley, pero sin poder sancionador, la Dirección para la Protección
de Datos de la Unión Europea.

La administración americana también sufre las presiones de grupos
de poder como la "Online Privacy Alliance" que apoyan una
autorregulación total por parte de los sectores empresariales.
El enconamiento de las autoridades estadounidenses es tal que
comparan la defensa de las ideas europeas sobre protección de
datos como la defensa de ellos de su constitución.

En un esfuerzo por llegar a un acuerdo en ambas administraciones
se están realizando una serie de encuentros entre David Aaron,
Subsecretario para comercio internacional de USA y John Mogg como
representante de la UE. Aunque no se ve una fácil solución.

Más información:
Wired


Antonio Román



viernes, 23 de abril de 1999

Actualización de Explorer para tres vulnerabilidades

En los últimos días parece que los desarrolladores de Microsoft
Internet Explorer han estado muy ocupados, pues con tan sólo unas
horas de diferencia han publicado dos actualizaciones de su
producto para cubrir deficiencias de seguridad. En el día de ayer
nos hacíamos eco de la primera de ellas, pero Microsoft también
ofrece una versión actualizada de un componente de Internet
Explorer 4 y 5 para eliminar tres nuevas vulnerabilidades de
software.
La publicación de Microsoft consiste en una versión actualizada
de la librería mshtml.dll, en la cual reside el motor de análisis
gramatical del código html para Internet Explorer. Las
vulnerabilidades que se eliminan con la actualización no tienen
relación entre sí, salvo que todas residen dentro de este motor.
Los diferentes problemas subyacen en las versiones 4 y 5 de los
navegadores de Microsoft independientemente de la plataforma sobre
la que se ejecuten.

La primera vulnerabilidad tiene relación con un tema de privacidad
concerniente al tratamiento del tag "IMG SRC" en archivos html.
Este tag, es el que se encarga de identificar y cargar las imágenes
que se muestran como parte de una página web. La vulnerabilidad
aparece porque el tag puede ser utilizado para apuntar hacia
archivos de cualquier tipo, en vez de a sólo imágenes. Tras este
punto, se pueden modelar métodos que pueden usarse para determinar
información sobre el documento. Un webmaster malicioso puede emplear
esta vulnerabilidad para encontrar el tamaño u otra información
sobre los archivos en el ordenador de un visitante del web. La
vulnerabilidad no permite leer o modificar archivos, pero sí obtener
información sobre ellos, tampoco es necesario conocer el nombre de
cada fichero.

El segundo problema de seguridad es una nueva variante de la
vulnerabilidad de frames-cruzados previamente identificada e
incluso parcheada en su momento. Una dirección mal construida
puede dar lugar a la ejecución de scripts en el contexto de
seguridad de un dominio diferente. Esto puede permitir a un
webmaster malicioso ejecutar un script en el sitio web y ganar
privilegios en las máquinas de los usuarios visitantes que
normalmente sólo otorgan a los sitios de confianza.

La tercera vulnerabilidad afecta sólo a Internet Explorer 5.0, y
es una nueva variante de la vulnerabilidad conocida como «Untrusted
Scripted Paste» y que ya diera a conocer el infatigable Juan Carlos
García Cuartango (http://www.hispasec.com/unaaldia.asp?id=23). Esta
debilidad puede permitir a un webmaster malicioso crear un control
en una página web y pegar en él el contenido del portapapeles del
visitante.

Más información:
Boletín de seguridad Microsoft
Microsoft Knowledge Base
Parche



Antonio Ropero



jueves, 22 de abril de 1999

Parche disponible para vulnerabilidad en DHTML con IE 5

Microsoft acaba de publicar un parche para eliminar una vulnerabilidad
en un Control ActiveX, por el que un webmaster malicioso puede leer la
información que el usuario haya cargado en el control e incluso
recibir ficheros cuyo nombre se conozca del disco duro del usuario.
Una vez más, Juan Carlos García Cuartango vuelve a dar jaque al
equipo de Internet Explorer con el descubrimiento de esta nueva
vulnerabilidad. El control ActiveX afectado es el "DHTML Edit" que
se distribuye con Internet Explorer 5 y está disponible para su uso
en Explorer 4 a través de download. El control posibilita a los
usuarios editar código html y obtener una visión fiable de cómo
quedaría la página al visualizarse en el navegador. Existen dos
versiones del control, DHTML "Edit Control" y "DHTML Edit Control
Safe for Scripting". La primera de ellas, de mayor potencia pero
que no se puede activar desde un sitio web, ya que incluye acceso
a ficheros y otras características. Mientras que la segunda versión
"segura para scripts", cuenta con funcionalidades restringidas y
está pensada para su uso en servidores web.

La principal causa de la vulnerabilidad radica en el hecho de que un
sitio web que albergue la versión "segura" del control tiene la
posibilidad de enviar cualquier dato introducido en el control. Un
webmaster malicioso puede engañar a un usuario para que introduzca
datos sensibles en un control DHTML Edit hospedado en el sitio web
para después enviarse los datos introducidos. Por otra parte, Georgi
Guninsky ya se hizo eco de otra posibilidad de este bug para sustraer
archivos de un disco duro remoto. Si el operador del web conoce el
nombre de un archivo del disco duro del usuario, puede programar la
carga del fichero en el control para tras realizar el envío.

El parche que publica Microsoft funciona permitiendo a un sitio web
la carga de datos desde el control sólo si este se encuentra en el
dominio del sitio. Este parche servirá a todos aquellos usuarios de
Internet Explorer 5, y los que hayan recibido el control para la
versión 4. Hay que aclarar que Internet Explorer 4 no incuye este
control, por lo que no se ve afectado por el problema. A no ser que
el usuario haya recibido e instalado el control en su máquina, en
cuyo caso el archivo "dhtmled.ocx" estará presente en su disco duro.
Por defecto, este se guarda en el directorio "C:\Program Files\Common
Files\Microsoft Shared\Triedit\".

Microsoft recomienda que sean los propios usuarios los que evalúen
el riesgo que supone esta vulnerabilidad y en caso necesario se
instalen el parche de la dirección:

http://www.microsoft.com/windows/ie/security/dhtml_edit.asp.

Más información:
Boletín de seguridad Microsoft:
http://www.microsoft.com/security/bulletins/ms99-011.asp
Microsoft Knowledge Base:
http://support.microsoft.com/support/kb/articles/q226/3/26.asp
Parche:
http://www.microsoft.com/windows/ie/security/dhtml_edit.asp
HispaSec (In-Seguridad en IE 5):
http://www.hispasec.com/unaaldia.asp?id=159
Juan Carlos García Cuartango (agujeros en DHTML Edit):
http://pages.whowhere.com/computers/cuartangojc/dhtmle1.html
Georgi Guninsky:
http://www.nat.bg/~joro/fr.html


Antonio Ropero



miércoles, 21 de abril de 1999

Grave vulnerabilidad en servidores ColdFusion

ColdFusion es un popular software de servidor de aplicaciones web,
ampliamente utilizado en entornos empresariales, para ofrecer
soluciones Internet e Intranet. En la instalación de este producto
se configuran por defecto una serie de archivos de ejemplo y
documentación en el servidor. Como ya ocurría con otros productos
similares, es posible realizar ataques a la máquina empleando dichas
páginas de demostración.
Por defecto, al instalar la aplicación de servidor web ColdFusion se
realiza la instalación de código de ejemplo, así como de documentación
on-line. Como parte de esta colección se incluye una utilidad conocida
como "Expression Evaluator", cuyo propósito es permitir a los
desarrolladores experimentar fácilmente con las expresiones de
ColdFusion. Esta utilidad permite incluso crear un fichero de texto
en la máquina local, y subirlo al servidor para evaluarlo, aunque se
supone que está limitada al servidor.

Básicamente existen tres archivos afectados por esta vulnerabilidad a
los cuales puede acceder cualquier usuario del web por defecto,
"/cfdocs/expeval/openfile.cfm", "/cfdocs/expeval/displayopenedfile.cfm"
y "/cfdocs/expeval/exprcalc.cfm". El primero de ellos permite subir un
archivo al servidor a través de un formulario, el segundo graba el
archivo en la máquina, mientras que el último lee el archivo enviado,
muestra su contenido en una página web y después borra el fichero.

Con todo esto cualquier usuario puede ver y borrar cualquier archivo
con total libertad. Por ejemplo, para ver y borrar un archivo como
"c:\winnt\repair\setup.log" basta con introducir en el navegador
una URL como:
"http://www.servidor.com/cfdocs/expeval/ExprCalc.cfm?
OpenFilePath=c:\winnt\repair\setup.log".

Incluso se puede llegar más lejos, primero se introduce la URL
"http://www.server.com/cfdocs/expeval/openfile.cfm", que permite
seleccionar un archivo de la máquina local para enviarlo al servidor.
Tras subir un fichero, este se mostrará en la página. La URL se verá
como
"http://www.server.com/cfdocs/expeval/ExprCalc.cfm?
RequestTimeout=2000&OpenFilePath=C:\Inetpub\wwwroot\
cfdocs\expeval\.\archivo_enviado.txt".
Basta sustituir el ".\archivo_enviado.txt" por "ExprCalc.cfm", para que
se borre este último archivo del servidor web. A partir de este momento
se podrá usar "openfile.cfm" para subir ficheros al servidor sin que
estos sean borrados posteriormente. Despues de esto, un usuario con
ciertos conocimientos de programación en ColdFusion puede subir una
página que permita navegar por los directorios del servidor web y
enviar, recibir o borrar archivos. Incluso un ejecutable puede ser
situado en cualquier lugar al que el servicio ColdFusion tenga
acceso, con la posibilidad de instalar troyanos en el servidor.
Hay que destacar que los usuarios tienen acceso a todo el disco duro.

Muchos desarrolladores de ColdFusion emplean bases de datos en Access
para almacenar información para sus aplicaciones web. Si el sistema
está afectado por esta vulnerabilidad, un atacante puede recibir
dichas bases de datos, e incluso sobreescribirlas con copias
modificadas.

Lo peor de esta vulnerabilidad es la facilidad con que se puede llevar
a cabo. Basta un editor de texto y un navegador para que cualquier
usuario tenga acceso a todo el disco duro, archivos de passwords,
información confidencial, incluir troyanos en el servidor, etc.

Allaire, empresa fabricante de ColdFusion, distribuye un parche para
esta vulnerabilidad, que se encuentra disponible en
http://www.allaire.com/handlers/index.cfm?ID=8727&
Method=Full. De forma adicional es recomendable no almacenar ningún código de ejemplo
ni documentación en los servidores.

Más información:
Información en Allaire
Aviso en L0pht


Antonio Ropero



martes, 20 de abril de 1999

El Departamento de Defensa Americano transfiere la gestión del cifrado

El Departamento de Defensa americano (DOD) ha transferido la
responsabilidad de vigilancia tanto interna como externa del uso de
la tecnología de encriptación y de llaves públicas a la Agencia
Nacional de Seguridad (NSA).
Según Richard Schaeffer Jr., Director de información de la Oficina
de la Secretaría Auxiliar de Defensa para el Orden y Control de las
Comunicaciones e Inteligencia, el plan desarrollado por parte del
DOD para la utilización de las llaves públicas y de los certificados
digitales deberá finalizarla la NSA a mediados de junio. En este
ambicioso proyecto también colaborará la Agencia para la
Información de Sistemas de Defensa (DISA). La idea general del
desarrollo de la PKI es crear una estrategia global de su
utilización, en lo que se espera sea las "llaves del gobierno
del futuro". Con la combinación del cifrado y de los certificados
digitales se espera tener una absoluta confidencialidad en la
transferencia de datos por Internet.

Schaeffer, promotor directo de la PKI dentro del DOD, afirma la
necesidad de una autoridad de certificación externa para poder
afianzar las transacciones de comercio electrónico entre el
Departamento y la industria proveedora de esta agencia. Los
certificados de tipo 3 o de seguridad media se utilizarán para
información no clasificada, para el correo electrónico normal entre
dos usuarios, la autentificación de los usuarios se hará con el
modelo "cara a cara". El tipo 4 será más duro de romper, porque
basará su seguridad en técnicas mixtas de encriptación mediante
software y hardware y se utilizará para la información entre
administraciones públicas. La utilización de fichas de hardware
para la seguridad de la información secreta entre departamentos
estatales utilizando la red pública será conocida como nivel 5.

Se han establecido varias fechas limite para la implantación de
estos sistemas de seguridad fijándose en octubre del 2000 para el
nivel 3, además será obligatorio la utilización de éste para todos
los usuarios en octubre del 2001. La entrada de la certificación
del grupo 4 se espera este operativa en diciembre del 2002 después
de crear la autoridad legal encargada de certificar la firma
digital a utilizar.

Para junio del presente año se espera disponer una ficha hardware
que requerirá de un lector especial para autentificar usuarios,
correo electrónico e información cifrada. Las tarjetas para
autentificación usan un interface USB que lo hace compatible
con todas los ordenadores de última tecnología. El DOD se ha
comprometido ha compatibilizar todas las compras de los nuevos
ordenadores con esta tecnología.

Scaeffer también ha pedido al DOD una política de adquisición
ambiciosa, para incentivar la estimulación de la industria
desarrolladora de estos productos.

Más información:
Federal Computer Week:


Antonio Román



lunes, 19 de abril de 1999

Robo de cuentas en eBay

Un agujero basado en JavaScript permite que usuarios de eBay, el
famoso sitio de subastas, roben passwords de otros miembros legítimos.
Cualquier usuario del sistema que utilice un navegador con JavaScript
habilitado puede ser víctima. El problema se encuentra en el propio
sistema del servidor al permitir el uso de código adicional a la hora
de describir los items a subastar.
Fundado en 1995, eBay es el sistema pionero en subastas personales
en línea. Se trata de un sitio web a través del cual se pueden
proponer subastas y pujar durante las 24 horas del día. Los números
que se manejan a diario como promedio, 250.000 nuevos items agregados
y millón de transacciones realizadas, avalan el éxito de este
"mercadillo" en Internet.

El agujero, descubierto por Tom Cervenka, está basado en la posibilidad
de incluir código JavaScript como parte de las descripciones de los
objetos que se proponen a subasta. El uso de código malicioso en este
punto puede hacer que un usuario al pujar en una subasta esté mandando,
al mismo tiempo y sin tener conocimiento, su nombre de usuario y password
a un buzón de correo.

Una vez que el atacante conoce la cuenta de la víctima, puede asumir
la identidad de este último dentro del sistema eBay. Entre las acciones
que facilita el nombre de usuario y password se encuentran el poder
realizar ofertas, cerrar la subasta prematuramente o el crear nuevas
subastas, todo esto cargando los costes de forma automática, en caso
de que se deriven, a la cuenta de la víctima.

Desde eBay se está estudiando el caso e investigando el uso de este
agujero en sus servicios, aunque no preveen el que se vaya a
deshabilitar la posibilidad de incluir JavaScript. Según el portavoz
de eBay, Kevin Prusglove, "tenemos un sistema muy abierto que permite
a los usuarios describir lo que están vendiendo, y JavaScript está
para que la gente pueda utilizar sus capacidades para describir mejor
los items".

Una demostración de este agujero se ha introducido en el sistema de eBay
con la intención de presionar a la empresa para que tome medidas más
activas: http://cgi.ebay.com/aw-cgi/eBayISAPI.dll?ViewItem&item=93223628

Más información:
CNET
eBay
ebayla bug
Código JavaScript
Wired



Bernardo Quintero



domingo, 18 de abril de 1999

Parches para Red Hat

Red Hat se ha convertido en una de las distribuciones de Linux más
populares, en los últimos días se han puesto a disposición de todos
los usuarios diversos parches para cubrir varios tipos de
vulnerabilidades.
Red Hat ha puesto a disposición de sus usuarios un conjunto de
parches que cubren diversas vulnerabilidades descubiertas
recientemente. Estas son debidas al sistema NFS y a los paquetes
rsync, procmail y lpr. Debido al gran número de informes de
agujeros de seguridad en los sistemas Red Hat a partir del NFS,
se ha actualizado el NFS para otras versiones de RH Linux a la
más moderna, de igual forma que se ha realizado para Red Hat 5.2.
Con esto se cubren un gran número de problemas y ataques de
denegación de servicios.

Por otra parte, se han identificado diversos problemas de seguridad
en el paquete rsync distribuido con Red Hat Linux 5.2. Un usuario
no puede llegar a explotar estos agujeros de forma deliberada para
ganar privilegios (no se trata de un agujero de seguridad activo),
pero un administrador puede caer en el bug de forma inadvertida,
comprometiendo la seguridad de su sistema.

También se han descubierto fallos de seguridad en todos los paquetes
de procmail distribuidos con Red Hat, aunque no se tiene conciencia
de la existencia de "exploits" que hagan uso de dichas vulnerabilidades.
Por último y de igual forma, todas las versiones de lpr tienen
problemas de seguridad. En todos los casos Red Hat recomienda que
todos los usuarios se actualicen a los nuevos paquetes que se
encuentran disponibles en el ftp de Red Hat.

Más información:
Red Hat


Antonio Ropero



sábado, 17 de abril de 1999

Nuevo agujero contra la privacidad en Internet Explorer 5.0

Una característica un tanto extraña de Internet Explorer 5.0 puede
permitir a los sitios web conocer que usuarios graban su dirección
entre los favoritos.
Internet Explorer 5.0 no deja de sorprender, desde que apareció ya
acumula numerosos agujeros de seguridad y de ataques a la intimidad
de los usuarios. En esta ocasión, un sitio web puede conocer con
total exactitud que usuarios graban su dirección entre los
preferidos, para de esta forma efectuar minitorizaciones de dicha
reacción. El problema reside en que en ningún momento se avisa al
usuario de que dicha acción puede ser grabada por el sistema.

La base de agujero reside en una característica de Internet
Explorer 5.0 que permite a los desarrolladores de páginas web
identificar su dirección dentro del bookmark del usuario con un
icono identificativo. Todo el proceso se encuentra explicado en
el sitio web para desarrolladores de Microsoft
(http://msdn.microsoft.com/workshop/essentials/versions/ICPIE5.asp).
Pero es tan sencillo como incluir el archivo favicon.ico en el
directorio raiz del sitio web. De esta forma IE 5 descarga de forma
automática el icono que aparecerá junto a la dirección en la lista
de favoritos. Lógicamente esta descarga queda grabada dentro del log
del servidor web, por lo que permite identificar fácilmente los
usuarios que registran la dirección dentro de los favoritos. En
caso de no tener acceso al directorio raíz del servidor tampoco
existe problema para el desarrollador, ya se puede especificar la
localización del archivo con el icono a través del tag:


Lo peor de este cambio, y la principal queja de los defensores de la
intimidad en la Red, reside en que el usuario que visita las páginas
web, no tiene en ningún momento conocimiento de que dicha acción
queda registrada en el servidor. No han tratado en aparecer las
críticas, que protestan por lo que consideran un ataque a la
intimidad, ya que el administrador del web no tiene por que conocer
ningún dado sobre los usuarios que agregan la dirección a los
favoritos. Por otra parte se cree que este problema sea tan sólo
el primero de una lista de agujeros similares, y aunque en principio
no supone ningún riesgo para los usuarios, Microsoft se encuentra
trabajando en un medio para modificar esta opción en futuras
versiones.

Más información:
MSDN Microsoft
Wired


Antonio Ropero



viernes, 16 de abril de 1999

Bruselas estudia cómo pinchar Internet

Esta semana, Fronteras Electrónicas España iniciará una campaña
demandando más transparencia en la regulación de la intervención de
las telecomunicaciones: el llamado "plan Enfopol". Más cercanos a los
entresijos de Bruselas, donde se gesta Enfopol, el grupo alemán
Förderverein Informationstechnik und Gesellschaft ha denunciado
también este secretismo, sobre todo después de que la campaña "Stoppt
ENFOPOL" revelase, a principios de marzo, que ni el Ombudsman europeo
tiene poderes para investigar sobre ello.
El nombre clave ENFOPOL (Enforcement Police - Policía de Refuerzo) se
refiere al plan de estandarización de la interceptación de las
telecomunicaciones en Europa, Estados Unidos, Australia y otros
países. Enfopol nació en Bruselas en 1995, como una serie de
requisitos técnicos para que las operadoras de telefonía adecuasen sus
sistemas, ante eventuales demandas de "pinchazos" por parte de la
policía. Entonces, según la revista británica "Statewatch", quien
destapó el secreto, Enfopol era llamado "sistema EU-FBI" y enlazaba
"varias agencias de la ley como el Federal Bureau of Investigation,
policía, aduanas, inmigración y seguridad interna". En 1998, oficiales
de los ministerios de Interior europeos empezaron a discutir la
ampliación de este sistema a Internet, telefonía por satélite y nuevas
formas de telecomunicación.

Algunos parlamentarios de Bruselas, molestos porque ni ahora ni en
1995 se les haya informado con claridad del tema, filtraban, hace unos
meses, a dos periodistas de la revista alemana "Telepolis" parte de la
documentación clasificada sobre Enfopol. Eric Moechel, uno de los
informadores, relataba en la reciente reunión Computers, Freedom and
Privacy: "Las demandas de las "autoridades legales", como las llaman
estereotípicamente en los papeles de Enfopol, se listan en cuarenta
páginas y pueden resumirse fácilmente con la palabra: todo".

"Todo" significa, según los documentos desvelados, la garantía de un
acceso fácil y "en tiempo real" a las comunicaciones, el tráfico
-incluidos números marcados después de haberse cortado la llamada- y
los datos -dirección IP, identificador de usuario, número de cuenta,
contraseña, número PIN, dirección de correo, número de teléfono de
quien llama, del que es llamado y de los que llaman al espiado, nombre
completo y dirección, número de cuenta desde la que se paga el
servicio...- de los usuarios de servicios móviles terrestres, Internet
(correo electrónico, web, ftp, irc..), servicios de larga distancia e
internacional, de datos, correo de voz, etcétera. Siniestramente, uno
de los papeles habla también de "intercambio de resultados de análisis
de ADN". Todo, montado por los propios operadores de redes y
proveedores de servicio, quienes deben aportar la interfície de
interceptación. Según Eric Moechel, "en la última reunión, en marzo,
retiraron la criptología y el sistema Iridium de Enfopol. Quieren ir
poco a poco. Primero, sistemas GSM e Internet. La criptología e
Iridium son más difíciles". Las escuchas se centrarían en casos de
"hooligans", abuso de menores, terrorismo, tráfico de drogas o
seguridad interior en general, coordinadas por la flamante policía
europea Europol.

En España, igual que en Europa, los burócratas involucrados practican
la ley del silencio. Fuentes anónimas del ministerio francés de
Interior han sido las únicas que han querido hablar de Enfopol para
decir, a "Le Monde Diplomatique": "Es fácil: todos los operadores de
telecomunicaciones deberán tener en cuenta las necesidades policiales.
Los miembros de la Unión buscan ahora la forma de fijar las normas que
se les impondrán". En el ministerio del Interior español, aseguran que
"esto es cosa de la policía" y, según un representante del Cuerpo
Nacional de Policía, "Enfopol está bastante verde, no tenemos ninguna
información hasta que se llegue a acuerdos", aunque sí es cierto que
algunos "grupos técnicos" están trabajando en ello. Juan Rodríguez,
teniente de la Brigada de Delitos Informáticos de la Guardia Civil,
confirma que "en Telefónica ya están preparados" para cuando se les
piden intervenciones y que las fuerzas de la ley quieren que los
proveedores sigan el mismo camino, porque "se ha demostrado que la
única manera que puedes enganchar a alguien es por su proveedor".

El problema, para los críticos de Enfopol, es que, aunque la
Constitución española garantice el derecho a la intimidad y el secreto
de las comunicaciones, a no ser que haya una orden judicial, esta
norma no siempre se cumple, según el abogado Carlos Sánchez: "Hay
policías compartiendo información sensible. No dicen de donde la
sacan, pero la mayor parte de las investigaciones policiales se hacen
vulnerando la ley". Vienen a la memoria las célebres "escuchas del
CESID". Aunque no fue un caso aislado: en Alemania y según "Der
Spiegel", los servicios secretos espían unas 700 llamadas diarias sin
informar de ello con transparencia al Parlamento ni la Fiscalía. En
Suiza, "SonntagsZeitung" reportaba recientemente que la policía había
estado siguiendo secretamente a los usuarios de teléfonos móviles de
Swisscom. Esta realidad cotidiana preocupa a los Verdes europeos,
quienes han denunciado que no hay una clara definición de lo que
vigilará Enfopol ni tampoco si los oficiales de la ley deberán tener
una orden judicial antes de la interceptación.

Y es que la Convención de 1959, base de la futura Convención en
Asistencia Mutua Legal en Materia Criminal, que será el paraguas legal
de Enfopol, no se refiere sólo al crimen organizado, sino que abarca
desde delitos menores a los más serios. El "target" espiable podría
ser tanto un narcotraficante como alguien que haya publicado una
página ofensiva. Por otra parte, dice el periodista Eric Moechel,
"cuando el sistema esté montado, es muy seguro que se meterán otras
'autoridades legales' y no sólo las fuerzas policiales. Los servicios
secretos militares, por ejemplo, ya no tendrán que depender de las
agencias de vigilancia norteamericanas". En este contexto, "Sunday
Times" publicaba hace dos semanas las declaraciones de un político
alemán quien explicaba, anónimamente, que se está considerando la
formación de una Agencia de Inteligencia Europea.

Armin Medosch, en el artículo "The European Secret Service Union",
publicado en "Telépolis", se queja de la impunidad con que podrá
existir Enfopol: "Al ser tan abstracto, el mundo de las grandes
operadoras de telecomunicaciones, proveedores de backbones, de
satélites.. queda muy alejado de la gente, que ni lo entiende ni se
preocupa por ello. Y no serán las empresas las abogadas de los
derechos de los ciudadanos, a menos que les afecte el bolsillo". Pero
sí están ya preocupadas por el tema: según estimaciones del gobierno
alemán, sólo la parte de monitorizar los teléfonos móviles costaría
cuatro billones de marcos... a cargo de las empresas. Keith Mitchell,
del principal proveedor británico London Internet Exchange, resumía en
unas declaraciones a la prensa el sentir general: "Enfopol es
impracticable. Se basa en una visión anticuada de los operadores de
telecomunicaciones y provocaría una degradación del servicio".

LA "CONSPIRACIÓN"

Según el informe "An Appraisal of Technologies of Political Control"
de la oficina Scientific and Technologies Options Assessment (STOA),
presentado en 1998 al Parlamento Europeo, bajo los nombres Enfopol,
Echelon o Wassenaar se esconden "reuniones de las fuerzas operativas
de un nuevo estado global de inteligencia militar" y policial. Desde
este punto de vista, lo que se está tejiendo es el control, sin
fronteras de estados o criptológicas, del primer mundo telecomunicado,
con Estados Unidos al frente y Australia y Europa marcando el paso.

Ya en los 50, la National Security Agency norteamericana montaba redes
de espionaje, como Echelon, compartida con los servicios de
inteligencia de Gran Bretaña, Australia y Nueva Zelanda y descubierta
en los 70 por un grupo de investigadores británicos. Echelon es un
sistema militar de espionaje de ondas radioeléctricas, "con capacidad
para interceptar teléfono, comunicaciones por Internet, fax y telex,
que coge indiscriminadamente grandes cantidades de información y las
filtra, utilizando inteligencia artificial", según el informe de la
STOA.

El descubrimiento de esta trama -a la que España aporta también datos
desde una base militar cercana a Girona, confirman fuentes próximas al
Ejército- muestra un cambio en el camino de los servicios secretos: de
los "targets" puntuales (gobiernos, militares, disidentes, activistas,
periodistas..) la vigilancia se amplía a las empresas y toda la
ciudadanía, como también hacían entonces el KGB, la Gestapo o la
Stasi. En este contexto y mientras Echelon se hace vieja por ser
analógica, nacerá, también bajo presión norteamericana, el proyecto
Enfopol, en 1991 y por encargo de la reunión de ministros europeos de
Trevi. Mientras, en Quantico (EEUU), el FBI invita a representantes de
Europa, Canadá, Suecia, Noruega, Finlandia, Hong Kong, Australia y
Nueva Zelanda para hablar de "nuevas tecnologías". Un año antes, en
1992, el congreso de los EEUU ha rechazado una ley auspiciada por el
FBI, que marcaba los "Requerimientos legales para la vigilancia de las
comunicaciones electrónicas", esencialmente por teléfono. En 1994, la
propuesta es aprobada, con el nombre de Communications Assistance for
Law Enforcement Act (CALEA).

Aquel mismo año, el auténtico artífice de Enfopol, el Comité K4
(creado bajo el Tratado de Maastricht y formado por oficiales
superiores de los ministerios de Interior) sugiere al Consejo de la
Unión que adopte su "Borrador de Resolución en la Interceptación Legal
de Telecomunicaciones", como un documento de clase A, sin necesidad de
debate público y por "procedimiento escrito". La Resolución, aprobada
en secreto el 17 de enero de 1995, contiene una serie de "requisitos"
para que las operadoras telefónicas adapten sus equipos. Unos
"requisitos" idénticos, según Statewatch, a los que había presentado
el FBI en su país y muy parecidos a los "Requirements for Trusted
Third Party Services", que aprueba también por aquellas fechas el
Instituto Europeo de Estándares en las Telecomunicaciones y que se
concreta en el programa INFOSEC, al que actualmente están adheridas
dos autoridades de certificación españolas, FESTE (a través del
proyecto Aequitas) y la Fábrica Nacional de Moneda y Timbre.

ENFOPOL 112, el primer documento con este nombre, nace en noviembre de
1995, dentro de un "Memorándum de Entendimiento con Terceros Países",
aún no hecho público, por el que la Unión Europea invita a otros
estados a adoptar sus Requisitos, para crear un estándar internacional
de interceptación dirigido a la policía y la industria. Los primeros
en firmar serán los asistentes a la reunión de Quantico. Los mismos
que están bajo la influencia de Echelon y que, a finales de 1998,
firmarán la revisión del Tratado de Wassenaar, el cual, siguiendo el
modelo estadounidense, estandariza en todo el primer mundo una
restrictiva legislación sobre cifrado, a la que en España se puede
añadir el famoso artículo 52 de la nueva Ley de Telecomunicaciones,
favorable a las puertas traseras.

Será también en 1998 cuando el FBI pide la revisión de CALEA para
adaptarla a Internet y el teléfono por satélite y, en Bruselas, un
grupo de oficiales alemanes y austríacos recibe el encargo de ampliar
igualmente Enfopol. Se especula con que podría aprobarse finalmente el
27 de mayo y, a partir de aquí, los requisitos técnicos se
difuminarían en los nuevos artículos sobre interceptación de las
telecomunicaciones que engrosarán la futura Convención en Asistencia
Mutua Legal en Materia Criminal de la Unión Europea. Esta Convención,
a diferencia de la Resolución, sí deberá ser pública y ratificada por
los estados miembros. Algunos de ellos, como Alemania o Austria, han
propuesto ya en sus países nuevas leyes para la interceptación sin
orden judicial de Internet, segun Eric Moechel. Los servicios secretos
rusos (el FSB, antiguo KGB) han propuesto lo mismo a sus proveedores,
sin pasar siquiera por el parlamento. Australia, actor también de la
trama, acaba de dar poder legal a sus servicios secretos para entrar
remotamente en ordenadores sospechosos. ¿Y después? Como profetizaba
el informe de la STOA sobre las técnicas de control político,
"implementar ‘bugs’ ilegales es la tecnología del futuro".

CÓMO SE INTERCEPTAN MÓVILES

Desde hace algunos años, los delincuentes saben que no deben hacerse
llamadas "sensibles" desde teléfonos móviles analógicos: cualquier
estudiante de una carrera politécnica o radioaficionado, armado con
una radio multibanda (se puede conseguir en cualquier tienda de
electrónica o bazar de electrodomésticos bien surtido) puede captar
las comunicaciones entre teléfonos, estaciones de policía, radiotaxis
y un sinfín de bandas teóricamente privadas.

Con los teléfonos GSM y los llamados "fijos" es un poco más difícil.
Ya no esta al alcance de todo el mundo y es necesario tener un
ordenador. A diferencia de los analógicos, los GSM convierten la
información de voz en datos binarios. Una vez tenemos esta
información, cuesta muy poco modificarlos para añadir cierta
privacidad y seguridad mediante encriptación. El problema radica en
que no se usa la máxima codificación posible: si analizamos la
normativa vemos que tanto los algoritmos de encriptación como el uso
del procesador son flojos.

El ejemplo más claro son los algoritmos de cifrado de GSM A3/A8. El
algoritmo esta diseñado para usar 128 bits, pero solo usa 54 y rellena
con ceros el resto, reduciendo la seguridad más de mil veces. En una
máquina con procesador G3 o Pentium II a 300MHz, puede descifrarse
parte de una conversación mediante GSM en once horas. Con máquinas
diez veces más potentes, es posible hacerlo en tiempo real,
localizando a la vez origen y destino. De hecho, cada día es más
frecuente la clonación de móviles, para hacer llamadas a cuenta del
auténtico propietario.

El teléfono puede servir también de sistema de control, mediante el
llamado "Automatic Mobile Trace". Las operadoras de telefonía móvil
crean una telaraña de células GSM para asegurar una buena cálida de
servicio. Más o menos cada diez minutos, el teléfono se pone en
contacto con la célula mas cercana, para ver si existe suficiente
cobertura y el estado del servicio. Cada conexión queda registrada en
las bases de datos del sistema de telefonía y se sabe así en qué
célula se ha realizado la conexión, el día, la hora y el identificador
del teléfono. Con estos datos, se pueden reconstruir todos los
movimientos de la persona que llevaba el teléfono, con gran precisión,
además de saber el número de teléfonos extranjeros presentes en la
red, las zonas de mayor concentración, los puntos de entrada, etc.

Cuando realizamos una llamada, el sistema registra los siguientes
datos: código del país, tipo de móvil, número de origen de la llamada,
país de destino, estación de base, zona, fecha y hora, duración,
tarifa, numero de destino y varios datos de comprobación. Todos son
intrínsecos a la red GSM y no deberían ocasionar ningún problema a los
usuarios. El riesgo está en que se utilicen de forma incorrecta o para
fines diferentes de los que fueron recogidos. Las operadoras de
telefonía móvil están ya preparadas para cuando se les piden estos
datos en procesos criminales, según afirma un representante de Airtel:
"La empresa tiene unos procedimientos establecidos para la petición de
este tipo de información". Telefónica no contesta.


Mercè Molist/Marck Collado
Texto original del resumen ofrecido en el CiberPais



jueves, 15 de abril de 1999

Agujeros en los sistemas de navegación anónima

Se han detectado importantes fallos en los sistemas que ofrecen a los
usuarios navegar de forma anónima. Estos agujeros permiten a un sitio
web obtener información acerca de los usuarios que utilizan dichos
servicios, con lo que su función queda anulada.
El estudio se ha concentrado en cuatro servicios: Anonymizer, Aixs,
Bell Labs y Naval Research Laboratory. A grandes rasgos todos
trabajan de la misma forma, intentan ocultar a los servidores web
información acerca de los visitantes. Previenen de que sea accesible
la dirección IP del usuario, el nombre de la máquina y el uso de
cookies. Están basados en el uso de servidores proxys que hacen de
intermediarios entre el web visitado y el usuario.

Richard M. Smith, presidente de Phar Lap Software, ha encontrado la
forma de saltarse estos servicios. El sistema que utiliza está basado
en JavaScript, y se ha podido confirmar utilizando Netscape 4.5. En
el caso de Anonymizer y Aixs, una pequeña porción de código en una
página web permite redirigir la navegación de forma directa al
servidor web original, de esta manera se salta y anula al servidor
intermediario que facilitaba el anonimato.

En los sistemas Bell Labs y Naval Research se ha detectado un fallo
diferente. En esta ocasión, basta una simple función JavaScript para
obtener la dirección IP y el nombre de la máquina del usuario. Esto
puede lograrse a través de una llamada a la clase Java InetAddress
utilizando LiveConnect en Netscape Navigator.

El uso de la expresión java.net.InetAddress.getLocalHost().getHostAddress(),
y java.net.InetAddress.getLocalHost().getHostName(), podría suministrar
dirección IP y nombre de la máquina del usuario de una forma directa
en Netscape. El navegador de Microsoft, Internet Explorer, no posee
la característica LiveConnect, lo que impide que se puedan realizar
llamadas directa a clases Java desde Javascript.

Aunque en principio pudiera parecer que los usuarios de Internet Explorer
están a salvo de este agujero, a través de applets de Java o controles
Active-X se podrían hacer uso del fallo salvando la falta de LiveConnect.

La solución para los usuarios que utilicen estos servicios pasa por
desactivar JavaScript, Java y Active-X en sus navegadores. De esta forma
previenen ambos fallos y podrán disfrutar de una navegación anónima.

Más información:
Bugtraq
CNet
Anonymizer
Bell-Labs
Naval Research Laboratory
Aixs


Bernardo Quintero



miércoles, 14 de abril de 1999

Error en multiprocesadores con Windows 2000

Intel descubre un fallo en sus sistemas multiprocesador cuando
corren bajo Windows 2000, el próximo sistema operativo de
Microsoft.
El error se debe al puenteado del PIIX4E en la base del chipset
lógico 450NX de Intel. Microsoft ha comenzado a notificar a OEMs
que en los sistemas multiprocesador que usen la plataforma 450NX
los comandos para poner los microprocesadores en el modo de baja
potencia (sleep mode) puede producir errores. De acuerdo a la
documentación de soporte de Microsoft, por el momento, la compañía
no sabe si se podrá solucionar el problema mediante un parche por
software.

Sin embargo, los OEMs deben disponer de una solución para el
momento en que Microsoft comience el proceso de certificación de
productos con el logo de Windows a partir del 1 de julio. El
sistema operativo Windows 2000 de Microsoft todavía se encuentra
en fase beta, aunque se espera contar con la versión final en la
segunda mitad de 1999.

El bug se da en las plataformas 450NX de Intel, cuando el sistema
operativo pregunta al microprocesador para entrar en modo de
ahorro de energía, el procesador entiende el comando y el sistema
operativo ordena al chip que entre en dicho modo. Este proceso es
realizado de forma correcta en sistemas de un sólo procesador. Por
contra, en un ordenador multiprocesador, Microsoft teme que el
sistema operativo pueda ordenar al chip el cambio de modo antes de
que el procesador reconozca el comando. De forma que al solicitar
la vuelta a la potencia normal, el microprocesador puede producir
errores.

Más información:
Techweb
Intel
Microsoft


Antonio Ropero



martes, 13 de abril de 1999

Virus y troyanos indescifrables, a la búsqueda de objetivos desconocidos

Aunque hasta el momento la mayoría de los virus y troyanos que hacen uso
de técnicas criptográficas lo hacen con fines exclusivamente de "prueba
de concepto" o demostración, en el futuro es previsible que esas mismas
técnicas sean empleadas para ocultar el objetivo de esos programas, ya
no de los investigadores que intentan analizarlos, ¡¡sino también de sí
mismos!!.
Efectivamente, las claves necesarias para descifrar el virus, en la
actualidad, están accesibles en el propio código del programa, ya que
éste las necesita para descifrarse a sí mismo antes de ejecutar el
"payload". Aunque esas claves pueden estar protegidas mediante
intrincadas rutinas cuyo único fin es mantener alejados los ojos
curiosos, no pueden ocultarse indefinidamente contra un investigador
con medios y tiempo para afrontar la tediosa la tarea de analizar el
funcionamiento del espécimen.

No obstante el estado del arte, en el ámbito criptográfico, permitiría
desarrollar programas víricos, caballos de troya, gusanos, etc.,
protegidos mediante cifrado, pero cuya clave de apertura no aparece en
el código, sino en el entorno de ejecución del programa. Ello hace que
el código no sólo esté protegido contra miradas indiscretas, sino que ni
él mismo "sepa" cuál es su objetivo o qué está buscando... hasta que lo
encuentre.

Supongamos un gusano polimórfico. Una vez descifrado el polimorfismo
(algo que se puede hacer con conocimientos y experiencia) comprobamos
que el programa se dedica a recorrer el disco duro, leer los ficheros
que no haya chequeado en la ejecución anterior, dividirlos en porciones
de 21 bytes "solapados", y calcular una función HASH sobre ellos.

El resultado de ese HASH se usa como clave para descifra un segmento del
gusano. Para verificar si el descifrado es correcto, basta con mantener
algún tipo de control de integridad.

21 bytes nos dan 168 bits de entropía. ¡¡Eso es un número de 56
cifras!!.

¿Qué puede estar buscando?. Nunca lo sabremos... ¡¡hasta que lo
encuentre!!. Eso es así porque el descifrado solo será correcto cuando
dé con lo que busca.

Y como el gusano revisa todos los ficheros del disco duro,
independientemente de en qué directorio estén o qué extensión tengan, no
tenemos ninguna pista de por dónde empezar. ¿Qué busca?. ¿Un email?. ¿Un
programa concreto?. ¿Un número de licencia determinado?. No lo sabemos.

Y lo que es peor... Tampoco sabemos qué acciones hará cuando lo
encuentre.

Más información:
Counterpane



Jesús Cea Avión
jcea@argo.es
http://www.argo.es/~jcea



lunes, 12 de abril de 1999

Más sobre el cuelgue de Windows 95/98 tras 49.7 días

El cuelgue de los sistemas operativos Windows 95/98 tras 49.7 días
podría ser debido al desbordamiento de un registro de 32 bits.
El pasado 4 de Marzo, Hispasec envió un boletín en el que advertía que
Windows 95/98 podía colgarse tras 49.7 días de uso continuado. Dejando
al margen la dificultad de que algún usuario de dichos sistemas
operativos consiga mantener su ordenador el tiempo necesario para
poder verificar el problema, no hay ninguna explicación oficial
del mismo.

Numerosas personas, no obstante, se han dado cuenta de que en 49.7 días
hay 4294080000 milisegundos. Esa cifra es muy semejante a 2^32 =
4294967296. En otras palabras, un registro de 32 bits podría contar
4294967296 milisegundos o, lo que es lo mismo, 49'7103 días
(exactamente, 49 días, 17 horas, 2 minutos y 47'296 segundos).

El problema, por tanto, es semejante al que ocasionará en el 2000 el
desbordamiento de registros capaces de almacenar exclusivamente años
con dos dígitos.

Aunque resulta imposible ofrecer una explicación completa y segura sin
disponer del código fuente de Windows 95/98, podemos aventurar algunos
de los problemas que ocasiona un contador de milisegundos de sólo 32
bits, y que pueden provocar el cuelgue publicado.

Veamos un ejemplo:

En un sistema operativo existen multitud de procesos periódicos y
"timeouts". El funcionamiento general de los mismos es coger el tiempo
actual, sumarle el lapso que hay que dejar pasar, y esperar a que
transcurra dicho período. Por otro lado tenemos un proceso que se ejecuta
cada milisegundo, por ejemplo, y que incrementa en uno el contador de
"milisegundos transcurridos desde el arranque".

El proceso que se ejecuta cada milisegundo va incrementando el contador
y comprueba si se ha superado el tiempo de espera de alguno de los
procesos bloqueados en la cola de espera. Si es así, marca ese proceso
como "activo" para entregarle la ejecución.

Veamos ahora lo que ocurre:

Si un proceso dice al sistema que quiere esperar 50 milisegundos, por
ejemplo, y coincide que justo se desborda al contador de milisegundos,
tenemos la curiosa circunstancia de que:
tiempo actual + 50 milisegundos ES MENOR que tiempo actual.

Por tanto, el proceso que debía despertarse al cabo de 50 milisegundos
es invocado innmediatamente. Si lo primero que hace es planificar otra
temporización de 50 milisegundos (o se trata de una temporización
periódica automática), esa segunda instancia será ejecutada
instantaneamente. A su vez, dicha instancia planificará otra ejecución
en 50 milisegundos, que será ejecutada de inmediato y así sucesivamente.

En el caso de Windows las cosas no tienen que ser necesariamente así;
sencillamente ofrecemos una posible explicación al problema.

Por ejemplo, si el proceso en cuestión es un controlador que deshabilita
interrupciones (por ejemplo, el gestor de ratón), el sistema se quedará
bloqueado.

Lo que no es de ninguna forma justificable es que Windows tenga este
fallo.

Más información:
HispaSec
Microsoft
CNET
The Risks Digest



Jesús Cea Avión
jcea@argo.es
http://www.argo.es/~jcea



domingo, 11 de abril de 1999

Avances hacia el nuevo estándar de cifrado

El AES (Avanced Encryption Standard) será el algoritmo que sustituya
al ya difunto DES. El NIST (National Institute of Standards and
Technology) es el encargado de la elección de la elección del
futuro método de cifrado destinado a convertirse en un estándar
internacional.
Los expertos del NIST presentaron y analizaron en su última reunión
en Roma más de 28 algoritmos criptográficos que formarán las bases
del AES. El nuevo algoritmo tendrá una clave de mayor longitud
(entre 128, 192 o incluso 256 bits), una mayor longitud de bloque
(128 bits) y será mucho más rápido que el DES. Después del verano,
el NIST seleccionará a cinco de los algoritmos como finalistas, de
los cuales elegirá el estándar definitivo, posiblemente ya a
mediados del 2000. Los mejores criptógrafos creen que el AES durará
como estándar unos 50 años.

Entre los algoritmos que se analizaron en Roma y candidatos a
convertirse en el AES se encuentran CAST-256 de Entrust Technologies,
Crypton de Future Systems, MARS de IBM, RC6 de RSA o TWOFISH de
Bruce Schneier.

La reunión también se convirtió en un foro de diálogo sobre la
ausencia de participación de proveedores y vendedores de seguridad
en el proceso de selección del AES. El AES será un estándar usado
por vendedores y usuarios durante un largo periodo de tiempo, por
lo que sería deseable que se involucraran en el proceso.

Más información:
NIST
Techweb


Antonio Ropero



sábado, 10 de abril de 1999

Vulnerabilidades en Internet Explorer 5.0

Cuando acaba de aparecer la versión final de Internet Explorer 5.0, ya
empieza a coleccionar vulnerabilidades. En esta ocasión, Geogi Guninsky
ha encontrado un bug en el nuevo navegador de Microsoft por el cual es
posible saltarse la seguridad de frames cruzados y abre múltiples
agujeros.
Se trata de una modificación del «bug de seguridad del %01», que el
propio Guninski descubrió en enero y que ya reflejamos en nuestro
servicio de noticias (http://www.hispasec.com/unaaldia.asp?id=93). El
problema parece recaer en el «Microsoft Scriptlet Component», si se
añade «%01cualquierURL» tras la url Explorer cree que el documento
se carga desde el dominio de «alguna URL».

Algunas de las vulnerabilidades asociadas a este problema son la
posibilidad de leer ficheros locales y enviarlos a cualquier servidor.
Para llevar esto a cabo el nombre del archivo debe de ser conocido
previamente y también puede realizarse a través de un mensaje e-mail.
Existe una demostración disponible en: http://www.nat.bg/~joro/scriptlet.html

El problema también da lugar a que Internet Explorer 5.0 permita
realizar «window spoofing» o falsificación de ventanas. Tras visitar
una página hostil, o pulsar un link dañino, se abre una ventana con
la localización de un sitio fiable. Sin embargo, el contenido de la
página no es el del sitio original, sino que es suplantado por el
propietario de la página. De esta forma, se engaña al usuario
haciéndole pensar que está navegando en un sitio fiable, cuando en
realidad está en una página falsa en la cual puede proporcionar in
formación sensible, como el número de una tarjeta de crédito. Al igual
que el anterior, también puede llevarse a cabo a través de un mensaje
e-mail. Se encuentra una demostración disponible en: http://www.nat.bg/~joro/scrspoof.html

A la espera de un parche para estos problemas la solución pasa por
deshabilitar JavaScript.

Más información:
Bugtraq (información original)
Demostración 1
Demostración 2


Antonio Ropero



viernes, 9 de abril de 1999

Agujero en el servidor web de ICQ

Descubierto un nuevo agujero en el conocido cliente ICQ que afecta
a su servidor web. Mediante la utilización de un navegador, un atacante
puede obtener cualquier fichero del sistema de un usuario que posea
el web habilitado.
Si la víctima tiene activada la opción de servidor web, un atacante
podría acceder a su disco duro desde un simple navegador. Cuando la
opción de web está habilitada, y nos encontramos en Internet, la
dirección "http://members.icq.com/[número ICQ víctima]" nos
redireccionará al servidor web de la víctima. El visitante podrá a
partir de entonces conocer su dirección IP.

En este punto, el atacante solo accederá a los ficheros que tengamos
en la carpeta "/ICQ99/Homepage/[número ICQ víctima]/personal". Sin
embargo, podría ir subiendo de carpeta mediante el uso de puntos, por
ejemplo, con el uso de "http://[IP víctima]/...../prueba.html" el
navegador intentaría acceder a el fichero "prueba.html" en el
directorio "ICQ99". Mediante el uso de más puntos podría ir subiendo
carpetas y llegar hasta el raíz del disco duro.

Aun entonces, existe para el atacante un último escollo por salvar.
El servidor web de ICQ sólo deja visualizar los ficheros con extensión
".html". Para evitar esta limitación se puede añadir la cadena ".html/"
a la URL, con lo que el atacante podrá acceder ahora a cualquier
fichero del disco duro. Con la dirección
"http://[IP víctima]/.html/............./config.sys" se obtendría
el fichero "config.sys" del sistema.

Mediante este sistema cualquier fichero puede ser leído. Esto implica
que son accesibles los archivos que contienen las passwords, así como
la posibilidad de obtención de documentos confidenciales.

Existe otro ataque al servidor web de ICQ basado en provocar la
denegación del servicio. Para llevarlo a cabo bastará con realizar
un telnet al puerto 80 en el sistema de la víctima y teclear
"quit"+.

Más información:
Bugtraq
ICQ


Bernardo Quintero



jueves, 8 de abril de 1999

Miles de IBM Aptiva pueden estar infectados por el virus CIH

Los ordenadores PCs Aptiva de la serie 240, 301, 520 y 580 fabricados
por IBM entre los días 5 y 17 de marzo de 1999 pueden estar infectados
por el virus CIH.
IBM ha confirmado que los modelos de Aptiva con números de serie 240,
301, 520 y 580 vendidos entre el 5 y el 17 de marzo de este año en
los Estados Unidos pueden estar expuestos al virus CIH. Para verificar
si su ordenador esta afectado por este problema, deberán comprobar
que la CPU tiene una pegatina en la parte posterior en la cual tiene
alguno de estos códigos "MFG DATE:" y a continuación AM909, AM910 o
AM911.

El archifamoso virus Melissa es un juego de niños en comparación con
el efecto destructivo que causa el CIH a un ordenador. Este virus
ataca la BIOS de la máquina en el momento que el reloj de la máquina
coincide con el 26 de abril de cualquier año. Aunque hay versiones
que afectan todos los días 26, independientemente del mes. El CIH es
un virus que se propaga en entornos Windows 95 y 98 pero no afecta a
Windows NT.

Este virus infecta sólo archivos .exe buscando un hueco en el cuerpo
del archivo, estos huecos son normales en la estructura de archivos
tipo PE (Portable Ejecutable) en estos archivos las secciones se
alinean mediante un valor definido en el encabezado y ya que no hay
bloques de datos entre el final y principio de la siguiente sección
deja espacio disponible para el código malicioso.

Si el virus encuentra un hueco de un tamaño suficiente escribirá su
código de una sola vez, también buscará un lugar en el encabezado del
PE de al menos 184 bytes y si lo encuentra escribirá su rutina de
arranque para que apunte al propio virus. Una vez realizadas estas
tareas, utilizará las rutinas de control IFS y API para devolver el
control al programa anfitrión. La mayor cualidad de este virus es
saltar del anillo 3, que es la capa de software por la que corren
los antivirus, al anillo 0, nivel en el cual se puede interceptar
las llamadas al sistema para acceso de archivos con el fin de evitar
el control de Windows.

El tamaño del CIH apenas excede de 1 Kbyte y los archivos atacados
son sobre escritos por este. El archivo infectado se instala en
memoria y se propaga a todos los demás programas, el modo como
inutiliza nuestro disco duro es rellenando con ceros la mayor parte
del espacio y atacando la BIOS de nuestra máquina sobreescribiendola
con código basura. Si consiguiera conseguir esto, nos impediría poder
utilizar el ordenador a no ser que se reemplace la BIOS.

La BIOS es un chip que se encuentra en la placa madre del PC y se
encarga de ejecutar el arranque del ordenador y almacenar ciertos
datos de vital importancia para el funcionamiento del hardware de
todo el sistema. De tal forma que la destrucción de los datos de
almacenados en este chip puede llegar a impedir que el ordenador
vuelva a arrancar. Muchas de las nuevas BIOS, incorporan memoria
flash lo cual permite efectuar actualizaciones mediante un programa
sin necesidad de cambiar todo el chip. La rutina de flash BIOS a la
que ataca el CIH corre en la mayoría de los Pentium actuales. Los
usuarios que han actualizado su software antivirus para protección
contra el virus Melissa estarán también protegidos para el CIH.
Existen varias mutaciones del CIH que se activan en fechas diferentes.

La v.1.2 se activa los días 26 de abril
La v.1.3 se activa los días 26 de junio
La v.1.4 se activa el día 26 de cada mes

Más información:
Foxnews
ZDNet


Antonio Román



miércoles, 7 de abril de 1999

Multiples vulnerabilidades en WinGate 3.0

Se han descubierto tres vulnerabilidades para WinGate 3.0, el popular
software para servidor de proxy con tecnología de firewall.
WinGate es un software muy conocido, por su distribución shareware y
por tratarse de una excelente solución para ofrecer servicios de
proxy y firewall para redes. Es muy usado en pequeñas redes y
entornos domésticos por sus capacidades de servidor proxy, es decir,
ofrece conexión a Internet a todos los equipos de una red con tan
sólo la conexión del equipo que hace las funciones de servidor.

Las vulnerabilidades encontradas hacen referencia a la posibilidad
de leer cualquier fichero de la máquina remota, desactivar o provocar
una denegación del servicio de WinGate y la posibilidad de descifrar
las passwords del programa.

La posibilidad de acceder a ficheros del sistema afectado proviene
del servicio de log del programa, que se sitúa a través del puerto
8010. A través de peticiones de la forma:
http://www.server.com:8010/c:/ para NT/Win9x
http://www.server.com:8010// para NT/Win9x
http://www.server.com:8010/..../ para Win9x
se puede acceder al listado de ficheros de la máquina remota.

El ataque por denegación de servicio se realiza a través del servicio
redirector de winsock (Winsock Redirector Service) que se sitúa en el
puerto 2080. Si se realiza una conexión a este puerto y se envían
2000 caracteres, al cerrar la conexión dejarán de funcionar todos
los servicios de WinGate.

Por último, WinGate almacena sus passwords en el registro, pero estas
quedan de forma insegura al alcance de cualquiera, de tal forma que
se pueden coger y descifrar de forma sencilla.

A pesar de que los desarrolladores de WinGate fueron alertados hace
más de un mes de estas vulnerabilidades, por el momento no han
publicado ningún parche ni ninguna información para cubrir estos
defectos.

Más información:
Bugtraq
WinGate


Antonio Ropero



martes, 6 de abril de 1999

Grave vulnerabilidad en JAVA

Karsten Sohr, de la universidad de Marburg, en Alemania, ha descubierto
un defecto de seguridad muy grave en varias versiones actuales de
las máquinas virtuales de Java, incluyendo JDK 1.1, Java 2, y Netscape
Navigator 4.x. El defecto permitiría a un atacante, a través de páginas
webs con applets, controlar la máquina de los visitantes hasta el punto
de poder leer o borrar ficheros.
La seguridad en Java se divide en dos grandes bloques. Por un lado
tenemos al compilador, que tiene como tarea convertir el código fuente
de Java a los ficheros de clases. En el otro lado tenemos a la máquina
virtual de Java, que es la encargada de leer esas clases y asegurar que
se ejecute en un entorno cerrado de la memoria donde no afecte a la
seguridad del sistema.

Los compiladores de Java tienen como principal misión la no utilización
de tipos o métodos ilegales en el código. Otro elemento que incluye el
compilador es un byte de comprobación o verificación. Las máquinas
virtuales de Java, al cargar un applet en memoria, comprueban mediante
este byte que se cumplen las reglas de seguridad. Esta medida previene
de parámetros no válidos, conversiones ilegales de datos, desbordamientos
de pilas, etc.

El defecto, causa de esta vulnerabilidad, se encuentra precisamente en
el componente de la máquina virtual de Java que verifica el byte de
comprobación. Bajo algunas circunstancias el verificador no puede controlar
todo el código que se carga en la máquina virtual. Explotar este defecto
permite que el atacante ejecute código que no se ha verificado.

En este punto se puede aplicar un ataque conocido como "confusión de tipos",
que consiste en crear dos punteros al mismo objeto con etiquetas de tipo
incompatibles. Cuando esto ocurre, el applet puede escribir en esa dirección
a través de un puntero y leerlo a través del otro, con lo que evita las
reglas y la seguridad de la máquina es violada.

El ataque ha sido llevado con éxito contra las siguientes plataformas:

JDK 1.1.5 (Solaris)
JDK 1.2beta4 (Solaris)
JDK 1.1.6 (Solaris)
JDK 1.1.7 (FreeBSD)
JDK 1.2 (NT)
JDK 1.1.6 (NT)
Symantec Visual Cafe Version 3
Netscape 4.5 (FreeBSD)
Netscape 4.5 (NT)
Netscape 4.05 (NT)
Netscape 4.02 (Solaris)
Netscape 4.07 (Linux)

Microsoft Visual J++ 6.0, así como Internet Explorer, no están afectados.

Más información:
Bugtraq
Sun


Bernardo Quintero



lunes, 5 de abril de 1999

Microsoft ofrece una solución para el número de identificación

Microsoft soluciona el polémico problema de la generación de números
de identificación de las aplicaciones Office de los clientes que
registran Windows 98.
Microsoft proporciona una herramienta que permite anular el número que
se genera al realizar el registro de su producto Windows 98, y por el
que identificaban los documentos generados por Word y Excel. Este número
de registro fue causa de un fuerte debate por ser enviado al servidor
de Microsoft, con lo que el usuario registrado quedaba controlado por
medio de dicha identificación. Además se demostró que dicho envío podía
llevarse a cabo sin la autorización del usuario, lo que agravó aun más
toda la polémica.

La compañía prometió el pasado 8 de Marzo (www.hispasec.com/unaaldia.asp?id=132)
generar una herramienta con el que se subsanaría este problema, también
prometió que los siguientes Windows 98 vendrían con el fallo resuelto.

Los usuarios del popular sistema operativo deberán acceder a la página
web de Microsoft, a continuación "actualización de Windows" siguiente
"actualización del producto" y Actualización "Registration Wizard". Esta
herramienta será accesible por navegadores Internet Explorer 4 y 5 pero
no por los usuarios de Netscape que tendrán que bajarse previamente
una de las versiones antes mencionadas.

Más información:
Microsoft
HispaSec


Antonio Román



domingo, 4 de abril de 1999

In-Seguridad en Internet Explorer 5

Apenas unos días después del lanzamiento del nuevo navegador de
Microsoft, no cesan las alarmas sobre nuevas vulnerabilidades en
su seguridad. Desde los agujeros de Cuartango, que reaparecen en
esta versión, hasta un nuevo fallo descubierto por Guninski que
permite leer y enviar ficheros locales a un servidor remoto. Por
último, hemos podido comprobar que durante la instalación se
modifican las propiedades en el salvapantallas, lo que podría
acarrear problemas en la seguridad a nivel local en determinadas
configuraciones.
Después de lanzar el asistente de instalación del Internet
Explorer 5, tanto en su versión Windows 95/98 y NT, el salvapantallas
queda desactivado. En la pestaña de protector dentro de las
propiedades de pantalla queda seleccionado "ninguno". Junto con
la deshabilitación del protector de pantalla IE5 también paraliza
el servicio de Planificador de Tareas.

Este hecho puede suponer un problema local cuando el salvapantallas
se utiliza como defensa con password para restringir el acceso al
escritorio. En estos casos el sistema de contraseña desaparece junto
con el protector al iniciarse la instalación, y no se restaura hasta
que se reinicia el sistema.

Todo parece indicar que IE5 realiza estas operaciones para que el
sistema no consuma recursos que pudieran enlentecer la instalación.
Podrían haberse evitado estos riesgos en la seguridad informando al
usuario de las acciones que lleva a cabo el programa de instalación,
de forma que se pudieran tomar las precauciones oportunas.

Otros problemas al instalar IE5 vienen dados porque en algunas
opciones no se guarda la configuración que pudiéramos tener en la
antigua versión del Explorador de Microsoft. Así ocurre con las
cookies, donde tendremos activada la opción de permitir que las
cookies se almacenen en el equipo, de manera independiente de que
en la configuración que tuviéramos anteriormente estuviera
desactivada.

Georgi Guninski, famoso por sus bugs en Communicator, se ha pasado
esta vez al navegador de Microsoft, como demuestra su último
descubrimiento. Guninski ha encontrado un fallo en el Internet
Explorer 5.0 que permite leer y enviar ficheros locales a un
servidor remoto. El problema viene por un fallo de funcionamiento
en el control de edición en DHTML, que permite pegar un nombre de
fichero en el objeto FILE. Puede encontrarse una demostración en
línea de este bug en: http://www.nat.bg/~joro/fr.html

Más información:
HispaSec: Problemas en los nuevos navegadores
Guninski
Cuartango


Bernardo Quintero



sábado, 3 de abril de 1999

Ataque DoS a WebRamp

WebRamp es un dispositivo hardware de Ramp Networks que permite
el acceso a Internet de multiples ordenadores compartiendo una
única conexión. Se han encontrado dos vulnerabilidades que permiten
a un atacante provocar que el sistema deje de funcionar.
La familia de dispositivos de acceso a Internet de WebRamp están
diseñados para pequeños entornos donde se requieres un sistema
económico y versatil para poder conectar a Internet a varios
ordenadores. Podemos catalogarlo como un proxy vía hardware.

Se ha demostrado que WebRamp es vulnerable a dos ataques de
denegación de servicio (DoS). El primero de ellos provoca de
forma directa que el sistema se bloquee, mediante el segundo se
puede cambiar la IP del dispositivo.

El ataque DoS directo se realiza mediante una cadena de caracteres
especialmente formateada y enviada al puerto HTTP de WebRamp, lo
que causa que el dispositivo se bloquee. Para poder restaurarlo, y
ofrecer de nuevo servicio, se necesita que se resetee manualmente.

El segundo ataque parte de un paquete UDP, también con un formato
definido, que se envía al puerto 5353 y que provoca el cambio de
IP de WebRamp. Esta modificación "esconde" el dispositivo al resto
de máquinas que estuvieran conectadas a él, por lo que provoca
también una denegación del servicio. Para restaurar la IP original
después de este ataque deberemos usar la aplicación WRFINDER.EXE que
se puede encontrar en el disco de instalación del WebRamp.

Para estar libres de estos ataques se debe actualizar el firmware
del dispositivo que podemos encontrar en http://www.rampnet.com/upgrades

Más información:

Ramp Networks: http://www.rampnet.com




Bernardo Quintero



viernes, 2 de abril de 1999

Vulnerabilidad en XFree86

Una vulnerabilidad en el entorno XFree86 X11 versión 3.3.3
permite elevados privilegios mediante un ataque local. Un
defecto del paquete, a la hora de manejar los directorios
temporales, facilita que un atacante manipule el programa
para cambiar los permisos en directorios arbitrarios de
manera que se pueda escribir en ellos.
XFree86 es un entorno gráfico basado en las X Windows
distribuible gratuitamente y que se ejecuta en sistemas
operativos Unix, derivados (Linux) y OS/2. Su nombre deriva
porque tradicionalmente se ha basado en las plataformas
x86 de Intel, aunque en estos momentos se encuentra
también disponible en otras plataformas.



En entornos Unix, como Linux, existen permisos para
controlar quién puede leer (r), escribir (w) y ejecutar
ó acceder (x) a un determinado fichero o directorio. Para
controlar los permisos existen 9 bits agrupados de
tres en tres. Estos grupos determina los permisos
del propietario, del grupo y del resto de usuarios
respectivamente.



Así por ejemplo, si el propietario de un directorio tiene
todos los permisos habilitados (rwx), el grupo permiso r-x, y
el resto de usuarios --x, el grupo de bits para esa configuración
sería 111 101 001, que equivale a 751 en octal.



A estos tres grupos de bits debemos de sumar otro grupo
compuesto por los bits SUID, SGID y sticky. Cuando se
activa el bit sticky (1000 en octal), sobre un directorio,
ningún usuario puede borrar o renombrar en ese directorio
ficheros que pertenecen a otros usuarios. Este bit es
especialmente útil en directorios temporales de escritura
pública (/tmp), ya que evita que se pisen entre usuarios.



Con todo lo anteriormente expuesto podremos comprobar que
los ficheros temporales suelen tener establecidos los permisos
con el modo 1777. Como último elemento participante en esta
vulnerabilidad, y a modo de repaso, nos encontramos con el
comando symlink, que crea una conexión simbólica, es decir,
permite dar un nuevo nombre a una trayectoria ó fichero.



La vulnerabilidad en sí viene establecida porque XFree86 crea
un directorio en /tmp con el nombre .X11-unix para los sockets
X y fija los permisos del directorio al modo 1777. Si un
atacante crea un symlink con ese nombre y apunta a otro directorio,
como por ejemplo /root, el permiso del directorio apuntado pasa a
ser también 1777.



Aprovechando esta vulnerabilidad un atacante local podría crear
ficheros en cualquier directorio, lo que supondría la posibilidad
de conseguir privilegios de root. Este hecho ha sido dado a conocer
en la distribución Linux de SuSE, pudiendo estar otras distribuciones
afectadas por el mismo problema.



Parches:
http://www.suse.de/patches/index.html

Más información:

SuSE:
http://www.suse.de/security/announcements/suse-security-announce-3.txt


Bernardo Quintero



jueves, 1 de abril de 1999

"Papa", la resaca de Melissa

Papa es un nuevo virus de macro basado en el código del
popular Melissa. En esta ocasión la infección se produce
a través de un archivo de Excel, cada vez que es abierto
se autoenvía a los 60 primeros destinatarios de la libreta
de direcciones del sistema infectado.
Melissa sigue acaparando la atención, las últimas cifras
apuntan a más de 100.000 máquinas afectadas por este virus.
Parece ser que este acontecimiento ha disparado la voz de
alarma, hasta el FBI se ha interesado en el tema con la
apertura urgente de una investigación.

Todos los indicios apuntan a que el creador de Melissa es
un popular autor de virus conocido como "VicodinES". Así
se desprende del estudio de "LIST.DOC", el documento con
el que se originó la infección de Melissa. Dicho documento
contendría un número identificativo del sistema donde
se originó que concuerda con el de otros documentos infectados
por virus de macro puestos a disposición por "VicodinEs".

Mientras tanto, en los foros de los creadores de virus se
desatan numerosos rumores sobre las medidas que se están
llevando a cabo por parte de las autoridades. En apenas unos
días ya son varios los sitios webs de contenidos pro-virus
los que han dejado de estar accesibles.

Bajo esta tormenta, el lunes hacía su aparición "Papa", que
ha sido considerado por muchos medios de comunicación como
"un virus mucho más peligroso que Melissa". Para realizar
esta afirmación se basan en que el virus se envía cada vez
que el fichero infectado se abre, al contrario que Melissa,
que solo se enviaba la primera vez que afectaba al sistema.

Parece ser que este hecho, ó que se autoenvíe a 60 usuarios
en vez de los 50 de Melissa, no son suficientes para poder
hablar en términos de "peligrosidad" ó de gran difusión, ya
los casos de infección reportados por "Papa" son mucho menos
significativos. A todo esto debemos de unir que "Papa" no
es un virus, ya que no infecta otros ficheros de Excel, por
lo que se encuentra más cercano a los "gusanos" que a los
virus de macro ordinarios.

El modo de proceder de "Papa" es muy similar al de Melissa.
El código del virus se activa al abrirse el libro de Excel
infectado a través del procedimiento "Workbook_Open". A
continuación, mediante código en Visual Basic se autoenvía
por email, aprovechando la aplicación Outlook, a los primeros
60 destinatarios de la libreta de direcciones.

El email enviado contiene el asunto "Fwd: Workbook from
all.net and Fred Cohen" y el mensaje "Urgent info inside.
Disregard macro warning." En el email viajará adjunto el
libro de Excel infectado con el nombre de "PASS.XLS", que
corresponde con el fichero original con el que se difundió
el virus, aunque cabe la posibilidad de que se distribuya
con otro nombre.

Como único efecto conocido, además de la infección, "Papa"
lleva a cabo PINGs contra dos sitios en Internet en lo que
se supone un intento de ataque DoS. Este payload se activa
e forma aleatoria dependiendo de un contador interno.

Más información:
HispaSec analiza a Melissa
GUID, número de serie en productos Microsoft

"VicodinEs" autor de Melissa
Network Associates


Bernardo Quintero