lunes, 31 de enero de 2000

Protección Legal de una Base de Datos

La pregunta es ¿cómo asegurar legalmente una Base de Datos
de posibles ataques o copias?. Tendremos en cuenta para
contestar a la pregunta dos líneas:
A) La práctica (está al final, los curiosos pueden saltarse
la parte de legislación, aunque no deberían).
B) La teoría. La Ley.
Como los últimos serán los primeros, comenzaremos por la Ley,
la que hay que tener en cuenta aquí es la Ley de Protección
Jurídica de Bases de Datos, (que incorporó al derecho español
la Directiva 96/9/CE sobre la protección jurídica de las
bases de datos, se intenta con ella armonizar la legislación
en esta materia para Europa Comunitaria). Es curiosa,
modifica/actualiza la Ley de Propiedad Intelectual y se
incorpora a ella, esto se suele hacer por motivos de economía
y/o eficacia legislativa, al menos eso dice la propia
exposición de motivos de dicha ley.

La ley diferencia entre Derecho de Autor y lo que llama
Derecho Suigeneris (ahora vemos que es esto), además y más
importante desde el punto de vista técnico jurídico define la
base de datos como "Las colecciones de obras, datos o de otros
elementos independientes dispuestos de manera sistemática o
metódica y accesibles individualmente por medio electrónicos
o de otra forma.", así pues la define de una forma amplia sin
meterse en el contenido para nada, es decir, que
independientemente del contenido puede ser una base de datos y
por tanto susceptible de protección jurídica para su autor.

La protección que ofrece la ley en este sentido abarca sólo a
la forma de organizar la información o a su selección o forma
de presentarla, pero no a la propia información, (esta
diferenciación técnica es importante) y tampoco será protegible
por esta vía el programa de ordenador que hace funcionar la
base de datos (las aplicaciones informáticas tienen su propia
protección por otra vía, dentro de la Ley de Propiedad
Intelectual, y diferente a las Bases de Datos).

El Derecho de autor aquí tiene el siguiente contenido:

a).-El derecho moral del autor.
Es un derecho íntimamente ligado a la persona. Es
irrenunciable, inalienable, imprescriptible, inembargable y
no discrecional.

b).- El derecho de explotación.
El autor puede ejercitar libremente el derecho de explotación,
y así tendrá el derecho a la reproducción, distribución,
comunicación pública o a la transformación. Estos derechos se
pueden ejercitar independientemente, es decir, permite
diferentes contratos para cada una de la modalidad de
explotación. Por supuesto se pueden vender y transmitir de
cualquier otra forma, -donación, sucesión etc...

Y ahora por ultimo dentro de este apartado de la ley,
entramos en lo que denomina -creo que con bastante poco
acierto técnico- Derecho SuiGeneris. En realidad estamos ante
la parte económica del asunto, así el llamado derecho sui
genereis asegura la inversión que se realiza para construir
dicha Base de Datos, inversión en dinero, medios, tiempo o de
cualquier otra índole para conseguir dicha base de datos.
Este derecho "sui generis" se llena con el siguiente
contenido, por. Ej. El derecho a prohibir la extracción del
total o parte del contenido de la Base de datos, pero por
ejemplo no puede prohibir al "legítimo usuario" la extracción
y o reutilización de partes no sustanciales del contenido de
la base de datos con independencia del fin a que se destine,
tampoco la extracción total para fines privados, educativos
(ojo con esto, hay que justificarlo) o fines de seguridad
pública. El fabricante de la base de datos tiene ese
"derecho suigeneris" por un plazo de 15 años.

Y ahora, la parte práctica prometida, para ello acudimos a
los Juzgados, concretamente al de Primera Instancia nº 3
Elda (Alicante), que dictó una sentencia por infracción de
los derechos de propiedad intelectual sobre bases de datos.
Se trata de un caso sobre copia no autorizada y distribución
pública de bases de datos a través de la Red.

La Editorial Aranzadi (muy conocida en el mundo jurídico,
publica libros jurídicos y últimamente bases de jurisprudencia
y legislación en CD-ROM) demandó, a un servidor que ofrecía a
través de su web-site acceso a unas bases de datos sobre
legislación y jurisprudencia, tras comprobar que eran las
mismas leyes y sentencias que la editorial había recopilado,
sistematizado, trabajado, y que además vende en el mercado.

La sentencia no tiene desperdicio, se basa en hechos
definitivos.

A) La editorial había introducido errores intencionados en
sus bases de datos marcas de identificación ocultas. Para
mayor seguridad la editorial protocolizó ante notario tales
errores y tales marcas de identificación.

B) La segunda, prueba que usó el juez para convencerse y
pronunciar su sentencia fue que el servidor demandado había
cambiado la numeración que la editorial había dado a las
sentencias y leyes, pero en vez de asignarle un orden
distinto, aplicó un algoritmo que multiplicaba el número del
documento por 3 y después le sumaba 5. Es decir, la sentencia
8 de la editorial era la 16 del "pirata", la 10 la 18 y así
sucesivamente.

Esta sentencia ya se basa en la Ley de Protección de Bases de
Datos (es del 98) y utiliza los conceptos de derecho de autor
y derecho sui generis para pronunciarse.

El cómo la editorial aseguró sus bases con errores
intencionados y marcas demuestra ingenio, pero protocolizarlas
ante Notario demuestra previsión, ni que decir tiene que todos
los errores se repetían en la base de datos demandada.

(La ley estará próximamente en la sección de legislación de
www.hispasec.com, pero si mientras tanto a alguien le
interesa, se la puedo hacer llegar vía e-mail)




Eusebio del Valle
evalle@hispasec.com



domingo, 30 de enero de 2000

Vulnerabilidades en múltiples sistemas de carrito de compras

En un gran número de aplicaciones de carro de compras, empleadas
para comercio electrónico, existen vulnerabilidades de sabotaje
de formularios que pueden permitir a un usuario adquirir
productos a menor precio del real.
Se han identificado hasta un total de once aplicaciones de carro
de compras que son vulnerables a un cambio de los precios
mediante sabotaje de formularios. Es posible para un atacante
aprovecharse de estas vulnerabilidades y realizar pedidos en un
sitio de comercio electrónico a un precio menor del real. El
operador del sitio web deberá verificar el precio de cada
artículo adquirido en la base de datos de la aplicación o en el
mensaje de pedido.

Un gran número de aplicaciones de carro de compra usan campos
ocultos en los formularios html para mantener parámetros de los
artículos de la tienda electrónica. Estos parámetros pueden
incluir el nombre de los productos, peso, cantidad, identificador
del producto y precio. Una aplicación que base el precio en un
campo oculto de un formulario html puede comprometerse por esta
vulnerabilidad.

Un atacante puede modificar el formulario html en su propia
máquina local para cambiar el precio del producto y tras eso
cargar la página en el navegador. Tras aceptar el formulario el
artículo se añade en el carro de compra del usuario malicioso,
pero con el precio modificado.

Las aplicaciones vulnerables emplean un campo oculto que contiene
el precio del producto. Cuando el valor de este campo oculto se
modifica, la aplicación almacena el valor modificado en la base
de datos de pedidos. Esta vulnerabilidad también afecta a los
campos ocultos de descuento, es decir un atacante podrá modificar
el descuento de un artículo para conseguir un precio menor. Si un
sitio web vulnerable procesa las órdenes por tarjeta de crédito
en tiempo real, no existe posibilidad de verificar el precio de
cada artículo antes de que se cargue la tarjeta.

Otra situación que puede conducir a la modificación de precios
ocurre cuando el coste de un producto se enumera en una URL.
Cuando se pulsa un enlace, un programa cgi añade el artículo al
carro de compra con el precio marcado en la url. Bastará con
modificar el precio de la url para que el producto se añada al
carro de compra con el precio modificado. El software de carro de
compra no debe confiar en el navegador para asignar el precio de
un artículo.

Muchas de las aplicaciones de comercio electrónico basan la
seguridad en la cabecera http para verificar que la petición
proviene del sitio adecuado. Pero las aplicaciones vulnerables no
verifican el remitente en la cabecera http, por lo que la
transacción continuará si el formulario se envía desde un disco
duro. MS Internet Explorer 5.0 no incluye un campo de emisor en
la cabecera http si el formulario se remite desde una página
almacenada en un disco duro.

La inclusión de un campo de emisor hace mucho más difícil de
explotar este tipo de vulnerabilidades, aunque sin embargo el
campo emisor también puede modificarse, lo que permitiría a un
atacante tomar ventaja de la vulnerabilidad en cualquier caso. La
medida más recomendable pasa por no emplear campos ocultos para
obtener los datos del pedido.

Los fabricantes de aplicaciones vulnerables han reaccionado de
diferente forma ante el aviso del problema:Check It Out (de
http://ssl.adgrafix.com) realizó una revisión total del software
para evitar el problema. Otras siete firmas modificaron la
aplicación para proporcionar mayor grado de seguridad: @Retail
(de http://www.atretail.com), Cart32 2.6 (de
http://www.cart32.com), CartIt 3.0 (de http://www.cartit.com),
Make-a-Store OrderPage (de http://www.make-a-store.com),
SalesCart (de http://www.salescart.com), SmartCart (de
http://www.smartcart.com) y Shoptron 1.2 (de
http://www.shoptron.com). Por último tres firmas no
proporcionaron ninguna información ni parche del problema:
EasyCart (de http://www.easycart.com), Intellivend (de
http://www.intellivend.com) y WebSiteTool (de
http://www.websitetool.com).

Más información:
ISS X-Force



Antonio Ropero
antonior@hispasec.com



sábado, 29 de enero de 2000

Privilegios de administración a través de SMS

SMS 2.0, la herramienta de control remoto de Microsoft introduce
un elemento de riesgo en los sistemas, ya que permite a un
atacante la ejecución de programas en el contexto del sistema.
El peligro se debe al hecho de que el ejecutable empleado para el
servicio de control remoto se copia en la estación de trabajo sin
ningún tipo especial de configuración de permisos. Lo cual puede
permitir que un usuario reemplace el ejecutable por otro.
Evidentemente, esto sólo ocurre bajo entorno con permisos NTFS.

Una forma sencilla de comprobar el problema es en primer lugar
renombrar el archivo
%SMS_LOCAL_DIR%\MS\SMS\CLICOMP\REMCTRL\WUSER32.EXE a *.OLD. Tras
lo cual se copiará el archivo %SystemRoot%\System32\musrmgr.exe a
%SMS_LOCAL_DIR%\MS\SMS\CLICOMP\REMCTRL\WUSER32.EXE. Por último se
reinicia el ordenador. Las instrucciones son las siguientes:

Después de reiniciar la máquina se ejecutará el administrador de
usuarios (por permisos del sistema). En este punto el usuario
malicioso puede conceder privilegios de administración a
cualquiera que desee.

Para solventar este grave problema de seguridad, antes de la
instalación de SMS se puede crear el directorio
\ms\sms\clicomp\remctrl y asignarle los permisos adecuados. Si
SMS ya se encuentra instalado en el sistema bastará con cambiar
los permisos al directorio y todos sus componentes.

Más información:
Packetstorm
Microsoft



Antonio Ropero
antonior@hispasec.com



viernes, 28 de enero de 2000

Diez riesgos sobre la "Infraestructura de Clave Pública"

Bruce Schneier y Carl Ellison publican un ensayo de ocho páginas sobre
los riesgos de la "Infraestructura de Clave Pública", tal y como se
define en la actualidad. El documento fue publicado originalmente en el
primer número del año 2.000 de la revista "Computer Security Journal".
El documento, disponible en formatos ASCII y HTML, analiza en
profundidad diez riesgos de las estructuras PKI actuales. Las PKI
constituyen, entre otras cosas, las bases actuales de las entidades de
certificación, por ejemplo.

1. ¿En quien debo confiar?.

Hoy en día existen multitud de entidades de certificación pero, ¿quien
te garantiza que los datos que certifican son correctos (por ejemplo, un
email o un nombre?. ¿Quien las ha situado en el contexto comercial en el
que se encuentran?.

2. ¿Quien tiene acceso a mi clave?.

La criptografía de clave pública o asimétrica supone la existencia de
dos claves: una pública y disponible de forma universal, y otra privada
y bajo el control exclusivo del usuario.

Pero, hoy en día, la clave secreta o privada no está segura. Los
sistemas operativos y los navegadores adolecen de multitud de problemas
de seguridad, además de existir virus y troyanos. Por tanto, no se puede
garantizar que un documento firmado con una clave secreta constituya una
firma confiable.

3. ¿Cómo de seguro es el ordenador verificador?.

Como ocurre con el caso anterior, el ordenador que realiza la
verificación del certificado puede haber sido manipulado. Puede, por
ejemplo, haberse instalado una entidad de certificación espúrea en el
navegador, algo absolutamente trivial.

4. ¿Qué "Jesús Cea" es el correcto?

Habitualmente los certificados se expiden a un nombre determinado, sin
tener en cuenta que pueden existir diferentes personas con dicho nombre.
En caso de disponer de información adicional, como su dirección de
correo electrónico, tenemos que saber también si ésta es correcta o no,
amén de vincular al usuario con datos que pueden quedar anticuados en un
plazo breve.

5. ¿La entidad de certificación es realmente una autoridad?.

Por lo general, una entidad de certificación tradicional emite un
certificado cubriendo datos sobre los que no tiene control. Por ejemplo,
un certificado fusionando el nombre y la dirección de correo electrónico
de un usuario no tiene en cuenta si el usuario se llama real y
legalmente así, ni considera la posibilidad de que el email cambie o el
ISP dé de baja la cuenta y la reasigne a otro usuario (o que todo el ISP
desaparezca, por ejemplo).

6. ¿El diseño de seguridad considera al usuario?.

Son muy pocos los usuarios, por ejemplo, que verifican los certificados
del servidor remoto cuando establecen una conexión SSL con su navegador.

7. ¿Autoridades de certificación o autoridades de certificación con
autoridades de registro?.

8. ¿Cómo identifica la autoridad de certificación al usuario?

Antes de emitir un certificado, la autoridad de certificación debe tener
la certeza de que los datos que certifica son correctos.

9. ¿Los certificados son seguros?.

El uso de certificados no garantiza la seguridad. Una cadena es tan
fuerte como su eslabón más débil.

10. ¿Por qué existen entidades de certificación?.
La conclusión más clara que se puede extraer de la lectura de este
ensayo, elaborado por dos expertos de gran prestigio, es doble: los
certificados deben ser expedidos por organismos oficiales con control
sobre la información que están certificando (por ejemplo, el ministerio
de hacienda y el Número de Identificación Fiscal) y, por otra parte, es
necesario almacenar los certificados personales en medios seguros tales
como tarjetas Chip.

En este contexto, iniciativas oficiales tales como el proyecto CERES
español, por ejemplo, pueden ser la respuesta.

Más Información:
Ten Risks of PKI: What You're Not Being Told About Public Key
Infrastructure



Jesús Cea Avión
jcea@hispasec.com



jueves, 27 de enero de 2000

SubSeven 2.1 Gold, un nuevo troyano entra en escena

BackOrifice y NetBus son sin duda los troyanos más conocidos pero
hay muchos más, cada día aparece alguno nuevo por eso hay que
estar prevenido y tener cuidado. En esta ocasión nos hacemos eco
de SubSeven 2.1 Gold, un nuevo troyano de altas capacidades y
gran peligro que ha aparecido recientemente.
Realmente no se trata de un nuevo troyano, como bien indica su
número de versión. En esta ocasión nos encontramos ante un
troyano ya clásico pero que incluye una gran cantidad de nuevas
características que lo hacen distinguirse de los demás.

Como otros troyanos similares consta de dos partes, trabajando
como una aplicación cliente-servidor la parte que se instala en
el ordenador atacado hace las veces de servidor, mientras que la
parte que emplea el atacante es el cliente.

Esta nueva versión de SubSeven incluye nuevas características
como libro de direcciones, visor de procesos, explorador de Ips
remotas. webcam, texto a voz, grabador de teclado, ICQ takeover,
espías de ICQ, Microsoft Messenger y Yahoo Messenger, visor de
portapapeles, información del ordenador atacado, movimiento del
ratón remoto, abrir y cerrar la unidad del CD-ROM, control del
sistema de archivos (creación, borrado y edición de archivos y
directorios) y un largo etcétera de posibilidades.

Subseven 2.1 Gold ocupa varios puertos por defecto dependiendo de
su función, como el 27374 TCP para sus acciones normales, el
54283 TCP para espiar el ICQ mientras que la grabación del
teclado se realiza a través del 2773 TCP. Aunque todos estos
puertos pueden cambiarse a gusto del atacante.

La forma de eliminación de este troyano dependerá de la forma en
que el atacante lo haya configurado. Si el usuario malicioso
empleó la versión por defecto, se deberá emplear cualquier editor
de texto para abrir el system.ini (generalmente en
c:\windows\system.ini) y modificar la entrada shell=Explore
MSREXE bajo [boot] a shell=explore.exe. Tras ello, se debe
reiniciar el ordenador. Por último se puede eliminar el archivo
troyano MSREXE.exe del directorio Windows.

Si el atacante configuró el servidor para iniciarse con un método
desconocido se deberá proceder de otra forma para su eliminación,
en primer lugar se cambiará el valor de la llave del registo
HKEY_CLASSES_ROOT\exefile\shell\open\command a "". Tras ello, se
reiniciará el ordenador y se borrará el archivo troyano
MSREXE.exe del directorio Windows.

Si el atacante configuró el troyano para iniciarse con el win.ini
se deberá emplear un editor de texto para modificar el archivo
win.ini (generalmente en c:\windows\win.ini) y eliminar la línea
run=MSREXE.exe bajo [Windows]. Tras lo que ya sólo resta
reiniciar y eliminar el archivo troyano MSREXE.exe.

Por último, también se puede configurar SubSeven para iniciarse a
través del registro, en cuyo caso se debe ejecutar regedit.exe y
eliminar la clave winloader del registro localizada en
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
o en
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunS
ervices. Como anteriormente basta reiniciar el ordenador y
eliminar MSREXE.exe.

Más información:
SubSeven




Antonio Ropero
antonior@hispasec.com



miércoles, 26 de enero de 2000

Marcas de agua

Esta semana contamos, gracias a Criptonomicón
(http://www.iec.csic.es/criptonomicon), con la colaboración en
exclusiva de José M. Martinez (www.gti.ssr.upm.es/~jms/), doctor
ingeniero de telecomunicación, del Grupo de Tratamiento de
Imágenes del Dpto. de Señales, Sistemas y Radiocomunicaciones de
la E.T.S. Ing. Telecomunicación de la Universidad Politécnica de
Madrid, que nos hablará en profundidad en su artículo sobre las
marcas de agua. Este completo artículo constituye una excelente
introducción para adentrarse en el conocimiento de qué son, cómo
funcionan, qué tecnologías utilizan y qué problemas resuelven.
Al final se proporcionan una serie de enlaces para que los
lectores interesados puedan ampliar información.
Marcas de agua

El Propietario de Derechos de Autor de un documento digital necesita,
para obtener una justa remuneración por la información que produce,
de medios técnicos adecuados que permitan la autenticación de dicha
información (esto también es exigido por el usuario que disfruta de
la misma), así como el seguimiento de copias ilegalmente
distribuidas.

El uso de marcas de agua ("watermarks") como sistema de protección es
casi tan antiguo como la fabricación de papel. Durante cientos de
años, cualquiera que poseyera o fabricase un documento u obra de arte
valioso/a lo marcaba con un sello de identificación o marca de agua
(visible o no), no sólo para establecer su propiedad, origen o
autenticidad, sino para desalentar a aquellos que pudieran intentar
robarlo.

La posibilidad de digitalización de cualquier tipo de información
(imágenes, vídeo, audio, texto, etc.) junto a la interconectividad
global permite realizar copias perfectas de la información
digitalizada. Los procesos criptográficos permiten proteger la
adquisición legal de la información, pero una vez obtenida la
información se puede revender copias exactas. Por lo tanto, surge la
necesidad de un sistema de seguimiento de las copias para la
protección de los Derechos de Autor, que también se utilice en el
caso de adquisición legal para distribución fraudulenta (copias
ilegales). La no disponibilidad de dichos sistemas ha frenado (y
sigue frenando) la implantación de servicios multimedia donde la
información "tiene un precio".

Las propias características de la información digital (facilidad de
réplica, facilidad de transmisión y uso múltiple, facilidad de
tratamiento y modificación, equivalencia de las copias digitales,
etc.) facilitan la agresión contra los Derechos de Autor del
propietario de dicha información, lo que hace necesaria la existencia
de un sistema de protección potente. Por todo esto se ha expandido el
concepto de marcas de aguas al mundo digital, incluyendo impresiones
digitales inmateriales utilizadas para autentificar la propiedad de
una información digital y servir en la defensa de los intereses de
dicha propiedad.

Las técnicas de marcas de agua son utilizadas para la autenticación
(tanto del distribuidor o propietario legal, como de que el original
no ha sido falsificado) de la información, así como para el
seguimiento de copias, ya que permiten la identificación del autor,
propietario, distribuidor y/o consumidor autorizado de un documento
digital.

Esta técnica de protección requiere básicamente dos herramientas:
- - introducción de la firma o marca en la información a proteger.
- - extracción e identificación de la marca.

Una marca de agua es un código de identificación, perceptible
(visible y/o audible) o preferiblemente imperceptible, que se
encuentra permanentemente "incrustado" en la información (no
desaparece después del descifrado) y que puede contener información
acerca del propietario, de los derechos de autor, el creador, el
usuario autorizado, el número de copias o reproducciones autorizadas,
el terminal autorizado, etc.

El desarrollo de un sistema de marcas de aguas digitales requiere la
particularización a un tipo de señal determinado (imagen, audio,
etc.), pues el diseño de un sistema de estas características logra
mucho mejores resultados si se realiza en función de la respuesta
humana al medio a percibir. En orden de efectividad, una marca de
agua debe ser robusta, no ambigua e imperceptible:

- - La robustez se refiere a que debe ser difícil de eliminar o de ser
distorsionada hasta el punto de hacerse indetectable. En particular,
una marca de agua debe ser robusta frente a: Análisis estadísticos
como, por ejemplo, un filtro de Kalman (para imágenes);
Procesamientos comunes de la señal, como por ejemplo conversiones
A/D, D/A, remuestreo, recuantificación, compresión, etc.;
Distorsiones geométricas: rotación, traslación, recortes y cambios de
escala (para imágenes); y colusión y falsificación, esto es, ante la
combinación de copias de un mismo documento. La clave fundamental
para hacer que una "marca de agua" sea robusta es introducirla en las
componentes perceptiblemente más significativas de la señal o de su
espectro.

- - La ambigüedad se refiere a que la probabilidad de un falso positivo
en la detección de la marca ha de ser muy baja.

- - La imperceptibilidad dependerá del sentido receptor (vista, oído),
y se referirá siempre a la comparación con la original (no se trata
de medir la calidad).

La mayoría de los actuales sistemas de marcas de aguas digitales para
imágenes se basan en introducir la marca en las componentes
espectrales perceptiblemente significativas de una imagen, que son
las bajas frecuencias. Ahora bien, la modificación de dichas
componentes ha de ser lo suficientemente pequeña como para que no se
pueda percibir a simple vista (característica de invisibilidad de la
"marca de agua"). Lo mismo ocurre para señales de audio, si bien la
respuesta perceptual sigue otros patrones.

La introducción de marcas de agua en documentos digitales se puede
abordar también como un problema de comunicaciones digitales. En
paralelo con la creciente sofisticación en el modelado y explotación
de las propiedades de los sistemas visual y auditivo humanos, se ha
impulsado el desarrollo correspondiente en técnicas de comunicación
de banda ancha.

Un sistema de marcas de agua estándar está compuesto por dos módulos
principales, que realizan los procesos de codificación (o inserción)
de la marca y decodificación (o extracción e identificación) de la
misma.

El módulo codificador realiza la inserción de la marca de agua X en
la información original I para crear la información marcada I', que
debe ser visualmente y/o auditivamente similar a I.

Las técnicas de inserción existentes se pueden clasificar en dos
grupos, en función del tipo de elemento de la imagen al que la marca
de agua afecta de manera directa:

- - Técnicas en el dominio del espacio: la marca modifica directamente
el valor de luminancia y/o crominancia de los pixeles.
- - Técnicas en el dominio de la frecuencia: la marca modifica
directamente el valor de los coeficientes espectrales de la imagen.
La mayor parte de las técnicas desarrolladas en este dominio están
inspiradas en métodos de codificación y compresión.

El módulo decodificador realiza en primer lugar la extracción de la
marca X* de una información, cuyos derechos de propiedad se desean
probar, I*, posiblemente manipulada o distorsionada, haciendo uso o
no (esto depende de la técnica de extracción) de la información
original I. A continuación establece el parecido entre la marca
extraída X* y la marca original X, calculando el valor de un índice
de similitud entre ambas. Finalmente utiliza una función de
comparación (e.g., un umbral T, un valor de relación señal a ruido)
para determinar si la información test I* es una versión marcada de
la información original I.

También las técnicas de decodificación de la marca de agua se pueden
clasificar en dos grupos, según necesiten o no a la información
original I para extraer la marca. Los sistemas de marcas de aguas en
que se utilizan la información original para la detección de la marca
se denominan sistemas privados, en caso contrario reciben el nombre
de sistemas públicos. Para aplicaciones concretas puede resultar
crucial el hecho de que la información original no esté directamente
implicada en el proceso de detección. Así, puede resultar interesante
poder demostrar ante un tribunal que una determinada marca de agua
está presente en una información sin mostrar públicamente el
documento original.

Una vez que la marca de agua ha sido introducida en un documento
digital, es susceptible de un amplio abanico de ataques que la
distorsionarán, así como al documento en el que está inserta. Según
la causa y objetivo que los origina, éstos se pueden agrupar en
ataques no intencionados e intencionados.

Los ataques no intencionados son aquellos a los que la marca de agua
está sometida de manera casi inevitable. Ejemplos claros son:

- - El propio proceso de recuantificación del documento marcado antes
de ser expedido.
- - El ruido introducido por el canal de transmisión por el que se
envía dicho documento marcado.

Los ataques intencionados son las manipulaciones que realiza un
pirata o "hacker" sobre el documento marcado con el fin de eliminar
las protecciones de Derechos de Autor. Los objetivos fundamentales
son dos:

- - Manejar información libre de cualquier firma. Estos ataques
consisten en la manipulación del documento marcado con la finalidad
de distorsionar la marca embebida en él, de forma que ésta se haga
indetectable. Como se ha comentado, la marca de agua ha de ser más
resistente que la información en sí, es decir, la degradación
perceptible de dicha información ha de ocurrir antes de que el nivel
de distorsión sufrido por la marca como consecuencia de las
manipulaciones sea tal, que la marca deje de ser detectable. Algunos
de estos procesos, como conversiones A/D, D/A, procesos de
compresión, rotación, traslación, etc., podrían aparecer de igual
modo como ataques no intencionados, pues pueden resultar necesarios
para la transmisión o almacenamiento de la imagen o bien el usuario
puede desear realizarlos, sin tener como objetivo la eliminación de
los Derechos de Autor. Por lo tanto, una marca robusta es aquella que
resiste a distorsiones como las descritas hasta ahora, sean o no
intencionadas.

- - Poner su propia firma. Estos ataques pueden dar lugar a confusión
en la determinación de la propiedad de dichos derechos. El objetivo
del agresor en este caso es introducir su firma en la imagen para
reclamar que él es el propietario de la imagen original. Por lo tanto
la robustez de una marca no es suficiente para garantizar una
adecuada protección de los Derechos de Autor.

Las técnicas de marcas de agua actuales suelen resultar robustas
frente a la mayoría de los ataques descritos hasta ahora. El
verdadero "cuello de botella" de la robustez de las marcas de aguas
son los ataques que dan lugar a una interpolación de la señal digital
que representa la información. En el caso de imágenes estos ataques
pueden realizarse mediante rotación, traslación de un número no
entero de pixeles y cambios de escala.

Más información:
Watermarking Mailing List
Search the Watermarking Archives
Watermarking Webring
Information hiding & digital watermarking : an annotated bibliography
Steganography & watermarking - Research Groups



José M. Martinez
jms@gti.upm.es
Boletín Criptonomicón #64
http://www.iec.csic.es/criptonomicon



martes, 25 de enero de 2000

Grave vulnerabilidad en servidores NT con IIS 4

Los servidores Web de Microsoft se ven afectados por una
vulnerabilidad que puede permitir a un atacante obtener acceso a
otros archivos fuera del directorio web, como bases de datos de
clientes, logs, código asp, o cualquier archivo del que se
conozca la ruta.
Internet Information Server 4.0 incluye la aplicación webhits.dll
que proporciona a Index Server funcionalidad "hit-highlighting"
(para resaltar términos en una búsqueda). Webhits.dll produce sus
resultados a través de archivos con extensión .htw. Precisamente
es en esta aplicación (webhits.dll) donde reside la
vulnerabilidad que puede permitir a un usuario malicioso saltar
el sistema de archivos virual del web y ganar acceso no
autorizado a otros archivos de la misma unidad de disco lógica.

Es decir el atacante tan sólo podrá conseguir acceso sobre
determinados archivos de la misma unidad en la que se encuentre
el directorio Web. La misma vulnerabilidad puede usarse para
obtener el código de cualquier página asp o script de ejecución
en el servidor, las cuales pueden contener identificadores de
usuario, passwords o cualquier otra información sensible.

Según el aviso, incluso si no se tienen páginas htw en el sistema
se puede seguir vulnerable. La mejor forma para averiguarlo es
introducir la siguiente url en un navegador
http://direccion_del_servidor/paginainexistente.htw. Si se recibe
el mensaje "The format of QUERY_STRING is invalid." el sistema es
vulnerable. Microsoft ha actuado de forma rápida y a las pocas
horas de la difusión de la vulnerabilidad en la lista Bugtraq
publicó un parche que corrige el problema.

La vulnerabilidad puede ser explotada de dos formas. En primer
lugar si el sistema tiene archivos .htw, la funcionalidad
"hit-highlighting" de Index Server permite que cuando un usuario
realiza una búsqueda, el documento de respuesta tenga los
términos de la búsqueda resaltados.

El nombre del documento se pasa al archivo .htw mediante el
argumento CiWebHitsFile. webhits.dll, es la aplicación ISAPI que
trata con la petición, abre el archivo y resalta las palabras
consecuentemente y devuelve la página resultante. Como el usuario
tiene control sobre el argumento CiWebHitsFile puede solicitar
cualquier cosa que desee. Un problema secundario a esto es que se
puede llegar a visualizar el código de las páginas asp y de
cualquier otro lenguaje script. El problema radica en que
webhits.dll interpreta los ../ por lo que un atacante puede
conseguir acceso a archivos externos al directorio web.

Por ejemplo para ver los logs de acceso a un servidor en un día
el atacante puede construir la siguiente url:

http://servidor_vulnerable/iissamples/issamples/oop/qfullhit.htw?
CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1/in000102.log&
CiRestriction=none&CiHiliteType=Full

Si no se tienen archivos .htw el problema reside en que
webhits.dll llama a un archivo inexistente en el sistema y por
tanto da un error, pero esto también puede saltarse si se hace
que sea getinfo.exe quien llame a webhits.dll y se construye una
url especial. Primero se necesita un recurso válido. Este puede
ser un archivo estático como un .htm, .html, .gif o .jpg que
será el que abra webhits.dll como plantilla.

http://servidor_vulnerable/default.htm.htw?CiWebHitsFile=/../../w
innt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiH
iliteType=Full

Obviamente esta url producirá un error, ya que no existe dicho
archivo en el sistema. En esta petición hemos llamado a webhits,
sin embargo situando un número específico de espacios (%20s)
entre el recurso existente y el .htw es posible "engañar" al
servidor web. El baffer que mantiene el nombre del archivo htw a
abrir se trunca, lo que hace que la parte .htw sea eliminada y
entonces cuando llega a webhits.dll presenta los contenidos del
archivo sin necesidad de tener un archivo htw real en el sistema.

Microsoft ya dispone de un parche para solucionar este problema.
Debido a la gravedad de la vulnerabilidad recomendamos a todos
los administradores de Windows NT con IIS 4 instalen dichos
parches en sus sistemas.

Más información:
Bugtraq
Boletin de seguridad Microsoft
Preguntas y respuestas de Microsoft sobre la vulnerabilidad
Parches
Index Server 2.0
Intel
Alpha
Indexing Services for Windows 2000
Intel



Antonio Ropero
antonior@hispasec.com



lunes, 24 de enero de 2000

Protección de Datos, Teléfonos y código 067

La famosa LORTAD ha sido derogada por la nueva Ley de Protección
de Datos de Carácter Personal, (esta nueva ley no es objeto de
este artículo), sino que en este artículo se recuerda que a pesar
de que la LORTAD ya no se aplique (como me recordó un
suscriptor), siguen vigentes las normas de desarrollo de la misma
(Reglamentos que se aprobaron, salvo que el Gobierno desarrolle
otros).
Así pues, siguen en vigor el Reglamento de Medidas de Seguridad
de los Ficheros Automatizados (Hispasec 13/01/00), así como las
Directivas (normas de la Comunidad Europea) 95/46 CE y la 97/66
CE. Sobre estas, vamos a hablar un poco:

DIRECTIVA 95/46 CE del Parlamento Europeo de 24 de Octubre
relativa a la protección de las personas jurídicas en lo que
respecta al tratamiento de datos personales y a la circulación de
esos datos. DOCE nº L 281 de 23 de Nov. De 1995, pag. 51.

Trata diferentes temas.

-Seguridad de la información transmitida a través de las redes
publicas de comunicación.

-Confidencialidad de las comunicaciones.

-Limitación a la capacidad de proceso de datos sobre el tráfico y
los recibos por los proveedores de los servicios.

-Opciones del usuario sobre identificación de línea entrante (el
usuario tiene derecho al anonimato, se ha de permitir la
posibilidad de prohibir tal identificación).

-Llamadas maliciosas.- pueden ser almacenadas y puestas a
disposición del proveedor del servicio.

-Llamadas automáticas.- con fines de venta, solo para abonados
que hayan dado su consentimiento.

-Derecho de abonados a no aparecer en listas publicas o guías
telefónicas (de forma gratuita).

La Directiva establece que los proveedores de servicios deben
tomar las medidas para salvaguardar la seguridad de los servicios
e INFORMAR A LOS ABONADOS AL SERVICIO DE TODO RIESGO CONCRETO DE
VIOLACION DE LA SEGURIDAD DE LA RED. (Y esto es así aunque sea
negativo para los intereses empresariales del prestador del
servicio).

Se establece que los estados miembros destinatarios de la
Directiva deberán garantizar la confidencialidad de las
comunicaciones realizadas a través de las redes públicas de
comunicación (según esto el mismo Estado sería responsable en
caso de violación de la comunicación, ¿o no?). Deberá prohibir la
escucha, la grabación, el almacenamiento u otros tipos de
interceptación o vigilancia de las comunicaciones por personas
distintas de los usuarios, salvo autorización judicial. Es decir
la monitorización debe ser autorizada previamente o además de no
servir como prueba en un juicio se convierte en una infracción
legal.

Por otra parte, la DIRECTIVA 97/66/CE del Parlamento Europeo y
del Consejo, de 15 de diciembre, relativa al tratamiento de datos
personales y a la protección de la intimidad en el sector de las
telecomunicaciones. fue incorporada al derecho español mediante
Real Decreto 1736/1998, de 31 de julio, conocido como Reglamento
de Servicio Público, que en realidad desarrolla el Titulo III de
la Ley General de Telecomunicaciones.

Conforme a estas normas (muy interesantes para phreakers y
admiradores), los datos sobre el tráfico relacionados con
usuarios deben ser destruidos en cuanto termine la comunicación,
con excepción de los datos que enumera el Reglamento cuando sean
necesarios para realizar la facturación y los pagos de
interconexiones. Esta información únicamente podrá ser conservada
durante el plazo en el que pueda impugnarse la factura o exigirse
el pago.

Se establece la obligación de elaborar guías de abonados
unificadas, y para evitar el tráfico de datos entre los distintos
operadores del mercado, establece que dichos operadores faciliten
a la Comisión del Mercado de las Telecomunicaciones (CMT) los
datos personales de sus abonados. Será por tanto la CMT la
encargada de suministrar estos datos a quienes deseen elaborar
guías telefónicas, y esto de forma gratuita.

Las compañías que intervengan en el establecimiento de
comunicaciones con identificación de la línea llamante (ya sea
mediante la opción llamada a llamada o mediante preselección de
operador), deberán ofrecer, en su tramo de red correspondiente,
la posibilidad de que el usuario que origine las llamadas pueda
suprimir la identificación de la línea llamante.

Esto se puede hacer marcando del código 067, asignado por la
Secretearía General de Comunicaciones el 2 de Diciembre de 1998.
Ejemplo de marcado para evitar la identificación: 067 + código de
selección de operador (Retevisión o al que te hayas apuntado, si
tu operador es Telefónica no hay que marcar ningún numero de
acceso) + número deseado. Yo he probado el uso de tal código de
fijo a móvil y efectivamente el móvil no puede identificar la
llamada, lo he probado con líneas RDSI y si la localiza, si
alguien hace más pruebas se agradecen comentarios.

En teoría sobre esto deberían informar las propias compañías, eso
dice la ley, pero yo me compré un móvil y nadie me dijo nada.

En las redes de telefonía móvil modalidad GSM y en las redes
RDSI, la supresión de la identificación de la línea llamante,
deberá realizarse mediante la marcación de códigos que se ajusten
a la normativa técnica europea (no conozco estos códigos), a los
acuerdos internacionales de operadores y subsidiariamente, a las
especificaciones nacionales de cada país miembro.

El anonimato en destino debe abarcar no sólo al número entrante,
sino también al operador desde el que se está llamando. Los
operadores deben eliminar el anonimato cuando se llama a un
servicio de urgencias (bomberos, ambulancias, etc..), y ello por
motivos obvios, ya que puede haber en peligro vidas humanas, es
decir si se llama a la policía no sirve de nada marcar ningún
código previo de ocultación, el mismo operador lo desbloquea.

Cuando los operadores usan redes interconectadas, el operador
desde donde se origina la llamada será responsable de la entrega
de datos en el punto de interconexión, de la identidad de la
línea llamante y del respeto a la posible marca de supresión
(anonimato) que haya sido marcada por el usuario.

El operador cuya red realice exclusivamente servicios de tránsito
de las llamadas, deberá transmitir de manera transparente, la
identidad de la línea llamante y sus marcas (de anonimato)
asociadas. Es decir que si se interceptan estas líneas se tiene
acceso a toda la información.

En las llamadas internacionales, el envío de información sobre la
identidad de línea llamante sólo se permite para aquellos países
cuya normativa garantice el adecuado tratamiento de los datos de
carácter personal. Tras un informe administrativo es la Agencia
de Protección de Datos, la que determina la relación de países a
los que puede ser enviada información sobre la identidad de la
línea llamante.

Recordar, por último, (a las compañías principalmente) que sigue
en vigor el Real Decreto 994/1999, de 11 de junio, que obliga a
los operadores a adoptar medidas de índole técnico y
organizativo, para garantizar la seguridad de los datos de
carácter personal y evitar su manipulación, pérdida, o acceso no
autorizado.




Eusebio del Valle
evalle@hispasec.com



domingo, 23 de enero de 2000

Fallo de seguridad en PHP

Las versiones de PHP3 inferiores a la 3.0.14 permiten la
ejecución de comandos arbitrarios con los privilegios del
servidor web que ejecute el script, aún cuando se haya
configurado con "safe-mode".
Aunque en "safe-mode" PHP3 sólo permite ejecutar los comandos
nativos que se encuentren en un directorio determinado, un
defecto de implementación en la función "popen()" permite
insertar comandos adicionales no sujetos a esa restricción.

Para ello basta con que los comandos adicionales estén
separados del primero por un ";" (punto y coma). Por ejemplo,
si el comando "ls" está en el directorio de comandos nativos
permitidos, una invocación PHP3 como
"popen(ls; /bin/comando", "r");" ejecutaría el comando
"/bin/comando" sin restricciones.

Apenas una semana después de hacerse pública la vulnerabilidad,
los autores del PHP3 han publicado una nueva versión del
lenguaje, la 3.0.14, que corrige éste y otros problemas. La
actualización debería ser urgente.

Aquellos administradores que no puedan actualizar su sistema
de forma inmediata, y gracias a que PHP3 es un proyecto Open
Source, pueden aplicar el siguiente parche como solución
temporal:



--- /tmp/php-3.0.13/functions/file.c Sat Jan 1 05:31:15 2000
+++ functions/file.c Tue Jan 4 23:35:16 2000
@@ -51,6 +51,7 @@
#include "safe_mode.h"
#include "php3_list.h"
#include "php3_string.h"
+#include "exec.h"
#include "file.h"
#if HAVE_PWD_H
#if MSVC5
@@ -575,7 +576,7 @@
pval *arg1, *arg2;
FILE *fp;
int id;
- char *p;
+ char *p, *tmp=NULL;
char *b, buf[1024];
TLS_VARS;


@@ -601,6 +602,11 @@


snprintf(buf,sizeof(buf),"%s/%s",php3_ini.safe_mode_exec_dir,arg1->value.str.val);
}
- fp = popen(buf,p);
+

+ tmp = _php3_escapeshellcmd(buf);
+ fp = popen(tmp,p);
+ efree(tmp); /* temporary copy, no longer necessary */
+

if (!fp) {
php3_error(E_WARNING,"popen(\"%s\",\"%s\") -
%s",buf,p,strerror(errno));
RETURN_FALSE;




PHP3 es un lenguaje de "script" con una sintaxis híbrida entre
el C y el Perl, utilizado para la generación dinámica de páginas
web, fundamentalmente. Su funcionalidad es comparable al ASP
(aunque el ASP está basado en el lenguaje BASIC), pero su gran
ventaja es que no está vinculado a ningún sistema operativo ni
a ningún servidor web concreto. Aunque fue diseñado para
funcionar bajo Unix y bajo el servidor Apache, también funciona
en Windows y bajo Internet Information Server, Netscape Server,
etc. Y, lo mejor de todo, es que se trata de un proyecto Open
Source.

Más información:
PHP
Web Programming - Introduction to PHP
PHPBuilder.com - The Resource for PHP Developers
PHP/MySQL Tutorial



Jesús Cea Avión
jcea@hispasec.com



sábado, 22 de enero de 2000

Resumen de Bugtraq del 16-01-2000 al 24-01-2000

Vulnerabilidades en W3C httpd, VCasel, Nortel Contivity, Netopia
Timbuktu y múltiples vendedores de BSD. Parches de Microsoft
para un buffer overflow a través de ficheros RTF y conversión
erronea de datos.
1. Vulnerabilidad de race condition en /tmp en el make de múltiples
vendedores de BSD
2. Vulnerabilidad de username/password en texto claro en Netopia
Timbuktu
3. Vulnerabilidad de revelación de ruta en W3C httpd (Formalmente
'CERN httpd')
4. Vulnerabilidad de "trusted filenames" en VCasel
5. Vulnerabilidades de negación de servicio y vista de archivos
en Nortel Contivity

Actualización de parchers del 16-01-2000 al 24-01-2000
-----------------------------------------------------
1. Vulnerabilidad parcheada: Conversión errónea de datos
2. Vulnerabilidad parcheada: Malformed RTF Control Word

Resumen de Bugtraq del 16-01-2000 al 24-01-2000
-----------------------------------------------

1. Vulnerabilidad de race condition en /tmp en el make de
múltiples vendedores de BSD
BugTraq ID: 939
Remoto: No
Fecha de publicación: 19-01-2000
URL Relevante: http://www.securityfocus.com/bid/939
Resumen:

Existe una race condition explotable en versiones de make
derivadas del BSD. El problema se encuentra en la manera en
que make se comunica con sus procesos hijos cuando se le pasa
el parámetro -j. "make" se comunica a través de escribir
comandos de shell a archivos temporales en /tmp. Estos,
pueden ser leídos por los procesos hijos (y luego
ejecutados...). En el proceso de llevar esto a cabo, "make"
crea y reusa archivos temporales con nombres de archivos
conocidos. Si el nombre de archivo a usar es observado por
un atacante, es posible escribir comandos arbitrarios a
estos archivos inmediatamente después de los legítimos, y
luego estos serán ejecutados por los procesos hijos si la
race condition es exitosa por parte del atacante.

2. Vulnerabilidad de username/password en texto claro en
Netopia Timbuktu
BugTraq ID: 935
Remoto: Sí
Fecha de publicación: 18-01-2000
URL Relevante: http://www.securityfocus.com/bid/935
Resumen:

Timbuktu Pro de Netopia es un paquete de software de
administración remota que corre bajo Windows NT (entre otras
plataformas). Cuando un usuario de un host Windows NT se
loguea a su maquina remotamente usando Timbuktu Pro, el
nombre de usuario y su password son enviadas en texto claro
(sin cifrar) al host para su autenticación. Esto permite que
cualquiera que este espiando el tráfico de red obtenga el
username y password, exactamente como fueron escritos por el
usuario. De esta forma podrá acceder al host al cual éste se
está logueando impersonándolo (y posiblemente pueda llegar
a comprometer la maquina).

3. Vulnerabilidad de revelación de ruta en W3C httpd
(Formalmente 'CERN httpd')
BugTraq ID: 936
Remoto: Sí
Fecha de publicación: 18-01-2000
URL Relevante: http://www.securityfocus.com/bid/936
Resumen:

Cuando se pide un documento cgi-bin inexistente al servidor de
web W3C (también conocido como CERN), el mensaje de error
revelara el path absoluto de los documentos web en el sistema
de archivos del host destino. El siguiente ejemplo fue tomado
de un mensaje que Niklas Schiffler envió
a Bugtraq sobre este tema:

http://www.victim.com/cgi-bin/ls

resulta en:

Bad script request -- neither '/usr/local/etc/ls'
nor'/usr/local/etc/ls.pp' is executable

http://www.victim.com/cgi-bin/cat

resulta en:

Bad script request -- neither '/usr/local/etc/cat' nor
'/usr/local/etc/cat.pp' is executable

4. Vulnerabilidad de "trusted filenames" en VCasel
BugTraq ID: 937
Remoto: No
Fecha de publicación: 18-01-2000
URL Relevante: http://www.securityfocus.com/bid/937
Resumen:

Visual CASEL de Computer Power Solutions es un producto de
seguridad para redes Novell y Windows NT. Entre otras cosas,
provee la capacidad de limitar lo que un usuario puede
ejecutar en una red basándose en "trusted filenames"
(nombre de archivos confiables). Desafortunadamente, Visual
CASEL deposita toda su confianza en el nombre del archivo
solamente, en vez de tener en cuenta el path absoluto y el
nombre de los archivos confiables (que el usuario puede
ejecutar). Debido a esto, es posible ejecutar un archivo
malicioso que normalmente no debería poder ser ejecutado
si su nombre es el de un "archivo confiable". Por ejemplo
(ejemplo resumido obtenido de un mensaje de XDeath en
Bugtraq):

Un usuario copia pong.exe a su directorio home y trata de
ejecutarlo (y la ejecución es negada). El usuario renombra
el archivo pong.exe a write.exe y lo ejecuta. ("write.exe"
es un nombre de archivo confiable, mientras que
c:\windows\write.exe no lo es).

5. Vulnerabilidades de negación de servicio y vista de
archivos en Nortel Contivity
BugTraq ID: 938
Remoto: Sí
Fecha de publicación: 18-01-2000
URL Relevante: http://www.securityfocus.com/bid/938
Resumen:

La serie Contivity de dispositivos de red (switches para
extranets) recién lanzada por Nortel incluye un demonio
http (para proporcionar una interfaz para administración
remota) que corre encima de VxWorks. Puede caerse
totalmente el sistema como resultado de explotar una
vulnerabilidad en un programa cgi-bin llamado "cgiproc"
que se incluye con el servidor de web. Si metacaracteres
como "!", o "$" se pasan a cgiproc, el sistema se caerá.

foo proporcionó el
siguiente ejemplo:

http://x.x.x.x/manage/cgi/cgiproc?$

[el sistema se cae]

No queda ninguna evidencia de este exploit grabada en los
logs.

Otra vulnerabilidad en cgiproc es la falta de
autenticación cuando se le piden páginas web de
administración. La consecuencia de esto es que un
atacante puede ver cualquier archivo en el servidor
web.

foo tambien facilitó un
ejemplo de esta vulnerabilidad:

http://x.x.x.x/manage/cgi/cgiproc?Nocfile=/name/and/path/of/file.

(lugares interesantes para mirar: /system/filelist.dat,
/system/version.dat, /system/keys, /system/core, etc.)

Cuando sucede el exploit sólo se escribe en los logs
lo que se indica a continuación.

09:44:23 tEvtLgMgr 0 : Security [12] Management:
Request for cgiproc denied. requires login

Para poder realizar las operaciones detalladas en este
reporte, los "atacantes" deben ser usuarios internos,
del lado privado o usuarios autenticados del tunel y el
administrador del sitio debe permitirles el uso del
protocolo HTTP para el manejo de acceso.

Actualización de parches del 16-01-2000 al 24-01-2000
-----------------------------------------------------
1. Vulnerabilidad parcheada: Conversión errónea de datos
Vendedor: Microsoft
Producto:
- Microsoft Converter Pack 2000 para Windows
- Microsoft Office 2000 para Windows con Multilanguage Pack
- Versiones en Japonés, Coreano, Chino (Simplificado y
Tradicional).
- Microsoft Word 97, 98 y 2000 para Windows, disponible
como un producto aparte o como parte de:
- Office 97, Office 97 Powered by Word 98, Office 2000 para
Windows
- Works Suite 2000 para Windows
- Microsoft PowerPoint 97 y 2000 para Windows, Disponible
como un producto aparte o como parte de:
- Office 97, Office 97 Powered by Word 98, Office 2000 para
Windows

Ubicación del Patch:

- Word 97 o 98, PowerPoint 98:
- US:
http://officeupdate.microsoft.com/downloaddetails/ww5pkg.htm
- Japón:
http://officeupdate.microsoft.com/japan/downloaddetails/MalformedData-97.htm
- Corea:
http://officeupdate.microsoft.com/korea/downloaddetails/MalformedData-97.htm
- China:
http://officeupdate.microsoft.com/china/downloaddetails/MalformedData-97.htm
- Taiwan:
http://officeupdate.microsoft.com/taiwan/downloaddetails/MalformedData-97.htm
- Hong Kong:
http://officeupdate.microsoft.com/hk/downloaddetails/MalformedData-97.htm

- Converter Pack 2000; Office 2000 con el Multilanguage Pack; Word 2000, PowerPoint 2000:
- US:
http://officeupdate.microsoft.com/2000/downloaddetails/ww5pkg.htm
- Japon:
http://officeupdate.microsoft.com/japan/downloaddetails/2000/MalformedData-2K.htm
- Corea:
http://officeupdate.microsoft.com/korea/downloaddetails/2000/MalformedData-2K.htm
- China:
http://officeupdate.microsoft.com/china/downloaddetails/2000/MalformedData-2K.htm
- Taiwan:
http://officeupdate.microsoft.com/taiwan/downloaddetails/2000/MalformedData-2K.htm
- Hong Kong:
http://officeupdate.microsoft.com/hk/downloaddetails/2000/MalformedData-2K.htm

2. Vulnerabilidad parcheada: Malformed RTF Control Word
Vendedor: Microsoft
Producto:
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows 98 Segunda Edicion
- Microsoft Windows NT 4.0 Workstation
- Microsoft Windows NT 4.0 Server
- Microsoft Windows NT 4.0 Server, Enterprise Edition
- Microsoft Windows NT 4.0 Server, Terminal Server Edition
Ubicacion del Patch:
- Windows 95:
http://www.microsoft.com/windows95/downloads/contents/WUCritical/rtfcontrol/default.asp
- Window 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/rtfcontrol/default.asp
- Windows NT 4.0 Workstation, Windows NT 4.0 Server, y Windows NT 4.0
Server, Enterprise
Edition:
Intel:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=17510
Alpha:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=17511
- Windows NT 4.0 Server, Terminal Server Edition:
A ser lanzado próximamente.



Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo - CoreLabs - Core SDI
http://www.core-sdi.com



viernes, 21 de enero de 2000

El gobierno reformará la ley para evitar el delito informático

Según expuso el Ministro de Interior Jaime Mayor Oreja el
gobierno tiene intención de adaptar la ley para luchar contra
la proliferación del delito informático. El Ministro de Economía
Rodrigo Rato también confirmó este dato en las jornadas sobre
seguridad en la economía digital organizadas por la Guardia Civil.
Según el ministro de Interior la evolución que manifiesta Internet
así como el mayor de volumen de transacciones electrónicas a
través de la Red obligará al Gobierno del PP, caso de ganar las
próximas Elecciones Generales, a legislar con agilidad y a su vez
esas leyes deberán estar sujetas a continuos cambios. Todo ello
debido a la evolución continua de la Red y el modo de cometer
delitos dentro de ella.

Entre los asistentes a estas jornadas se ha hecho especial
hincapié a la protección de la propiedad intelectual y garantizar
la seguridad en las transacciones electrónicas. Algunos de los
datos fueron aportados por destacados nombres dentro de la
sociedad informática española, como Francisco Román, director
general de Microsoft, que afirmó que España es uno de los países
europeos con mayor índice de piratería.

El Coronel de la Guardia Civil Manuel Nieto dio a conocer el
dato que de los 125 casos investigados por la G.C. en estos tres
últimos años se han resuelto el 90%. También destaco que el
delito que está tomando mayor auge es el de la utilización
fraudulenta de tarjetas de crédito a través de Internet. Para
esto se utilizan diversos medios, como la obtención de recibos
tirados por los usuarios en papeleras, la difusión de listas de
números a través de la Red, generadores de números válidos, etc.

Más información:
Guardia Civil



Antonio Román
antonio_roman@hispasec.com



jueves, 20 de enero de 2000

Completado con éxito el reto CS-Cypher

El 16 de Enero de 2.000, a las 06:26:52 UTC, Distributed.Net recibió la
clave correcta al reto CS-Cypher, de la empresa CS Communication &
Systems. La máquina que encontró la clave fue una estación SUN Sparc,
bajo Solaris. El texto cifrado era "CS-Cipher a ete presente en mars 97
a 'Fast Software Encryption' (PARIS). Congratulations to the winner!", y
la clave era "00438EF36FE3FC21".
La empresa CS Communications & Systems propuso un reto criptográfico que
debía resolverse antes del 17 de Marzo de 2.000, para poder así obtener
un premio de 10.000 Euros. El reto, por tanto (búsqueda exhaustiva en un
espacio de claves de 56 bits), ha sido completado con éxito.

Los 10.000 Euros se han distribuido de la forma siguiente:

6.000 Euros para Distributed.Net, por proporcionar el software, la
infraestructura y la organización.

1.000 Euros para Paul Ilardi, el estudiante de la universidad de
Rochester cuyo ordenador encontró la clave.

1.000 Euros para el equipo al que pertenece Paul Ilardi.

2.000 Euros para la Free Software Foundation, por el trabajo de dicha
organización en beneficio de la comunidad "Open Source" (entre otras
cosas, la licencia GNU e infinidad de utilidades UNIX).

La clave fue encontrada tras 62 días de búsqueda, y tras analizar el 98%
de todas las claves posibles. Ello viene a probar, nuevamente, que
incluso organizaciones con recursos limitados pueden atacar claves de 56
bits con grandes probabilidades de éxito. Éste y otros hechos
semejantes, además de presiones comerciales, es lo que ha obligado al
gobierno de EE.UU. a relajar su legislación sobre la exportación de
tecnología criptográfica.

Más información:
Distributed.Net
Nota de prensa inicial
Distributed.Net: Project CSC
stats.distributed.net - CSC Dispotition of Price Money
Paul Illardi's URCS Home Page
CS-Cipher
DCypher.Net - Welcome to the future of supercomputing
56 a Bit Short of Secure



Jesús Cea Avión
jcea@hispasec.com



miércoles, 19 de enero de 2000

Compromiso de seguridad en la versión 1.94.4 de "majordomo"

La versión 1.94.4 de "majordomo" tiene un fallo de seguridad que
permite que cualquier usuario local pueda ejecutar código arbitrario con
los privilegios bajo los que se ejecuta "majordomo". Este fallo sólo es
atacable por parte de usuarios locales a la máquina en la que se ejecuta
"majordomo", y está corregido en la reciente versión 1.94.5 de este
programa.
Majordomo es un programa de gestión de listas de correo usado en
multitud de servidores UNIX de todo el mundo. Automatiza la gestión de
altas y bajas de usuarios, y permite controlar los parámetros de
distribución de los mensajes de las listas de correo (por ejemplo, quien
puede escribir o cual es el tamaño máximo de los mensajes).

Normalmente las utilidades "majordomo" son invocadas a través de un
"wrapper", cuya misión es que la ejecución de dichas utilidades se
realice con los permisos concedidos a "majordomo", en vez de utilizar
los permisos del usuario que invoca la utilidad. Por otra parte, el
módulo "resend", que es el empleado para la distribución de los
mensajes, tiene una vulnerabilidad que permite que se ejecuten comandos
arbitrarios si se invoca con una determinada línea de comandos.

Si se toman estos dos hechos de forma conjunta, un usuario local puede
ejecutar comandos arbitrarios con los privilegios concedidos a
"majordomo".

Se recomienda, por tanto, que todas aquellas instalaciones que estén
empleando la versión 1.94.4 de "majordomo" actualicen cuanto antes a la
versión 1.94.5.

Como solución temporal mientras no se actualiza el sistema, los
administradores pueden realizar el siguiente cambio en "resend":

--- resend Thu Aug 19 10:12:03 1999
+++ resend+ Tue Dec 28 23:55:39 1999
@@ -58,7 +58,7 @@
if ($ARGV[0] =~ /^\@/) {
$fn = shift(@ARGV);
$fn =~ s/^@//;
- open(AV, $fn) || die("open(AV, \"$fn\"): $!\nStopped");
+ open(AV, "< $fn") || die("open(AV, \"< $fn\"): $!\nStopped");
undef($/); # set input field separator
$av = ; # read whole file into string
close(AV);

Otra posibilidad consiste en cambiar los permisos de ejecución del
"wrapper" para que sólo pueda ser utilizado por un grupo selecto de
usuarios o procesos (por ejemplo, el grupo "mail").

Se recomienda una instalación fresca de 1.94.5, ya que se han corregido
otros problemas adicionales.

Más información:
Majordomo
http://www.greatcircle.com/majordomo/
ftp://ftp.greatcircle.com/pub/majordomo



Jesús Cea Avión
jcea@hispasec.com



martes, 18 de enero de 2000

Comunicado de la GILC sobre la demanda de la DVD Copy Control

Hace algo más de un mes HispaSec publicó un boletín sobre
el descifrado de los discos DVD, lo que posibilitaba su
visionado bajo el sistema operativo Linux (para el cual no
existen soluciones DVD comerciales, a fecha de escribir este
texto). Una semanas más tarde, la DVD-CC (Digital Versatile
Disc Copy Control) presentaba una demanda contra los autores
del programa y contra aquellos usuarios de Internet con
enlaces en sus páginas hacia el programa DeCCS.
A continuación adjuntamos el comunicado de la GILC (Campaña
Global para la Libertad en Internet), difundido a través de
su representante es España (FrEE -FRonteras Electrónicas
España), el pasado Miércoles, 19 de Enero de 2000, respecto
a esta demanda.

Nosotros, los abajo firmantes de la Campaña Global para la Libertad
en Internet (GILC son sus siglas en inglés) una coalición formada por
más de 50 grupos defensores de las libertades civiles en Internet en el
mundo entero, creemos que la demanda legal de la Digital Versatile
Disc Copy Control [DVD-CCA] contra decenas de personas en todo el
mundo podría tener un impacto muy nocivo y severo en la libertad de
expressión.

Creemos que a aquellos que detentan la propiedad intelectual no se
les debería permitir expandir sus derechos de propiedad intelectual a
expensas de la libertad de expresión, la ingeniería en reverso legal de
los programas de ordenador utilizada por razones de interoperabilidad
y las discusiones acerca de cuestiones técnicas y científicas en la Red.

La demanda legal de DVD-CCA entra en conflicto directo con los
acuerdos sobre de los derechos humanos de las Naciones Unidas y con
la Primera Enmienda de la Constitución de los Estados Unidos de
América.

EL CASO

Pocos después delas navidades la Digital Versatile Disc Copy Control
Association (DVD-CCA) presentó una demanda en California contra
diversas personas en el mundo entero que habían publicado
información acerca de un sistema de codificación de DVD conocido
como DVD Content Scrambling System (CSS) o bien habían puesto
enlaces a esa información en Internet.

La raíz del caso es la alegación de que la ingeniería en reverso del
sistema DVS CSS era "inapropiada" (párrafo 18), "no autorizada"
(párrafo 20) "apropiación indebida de secretos industriales" (párrafo 21)
"uso no autorizado de información propietaria del CSS, que fue
hackeada ilegalmente" (párrafo 22). DVD-CCA aún ha de presentar
alguna prueba substancial de tales alegaciones, y es muy improbable
que se demuestre que son verdaderas ante un tribunal.

En la demanda se afirma que los acusados están violando secretos
industriales y otros derechos de la propiedad intelectual al publicar y
discutir el código fuente (o simplemente poner enlaces a otros sitios
web que lo publican o discuten) de un sistema para decodificar discos
DVD basado en ingeniería en reverso que es perfectamente legal.

Sin embargo, los individuos que son blanco de la DVD-CCA lo que han
hecho en realidad es participar en debates legítimos y protegidos por
la libertad de expresión, lo cual incluye software, descripciones
textuales, y discusiones en relación al DVD CSS. Este tipo de debate
no se ha generado ni es copia de documentos industriales secretos que
pertenezcan a la DVD-CCA.

El copyright no ofrece a nadie ningún derecho a poseer las "ideas";
sólo a proteger la forma exacta en la que están expresadas. De la
misma forma, la ley para la protección de los secretos industriales sólo
controla aquellas personas que han aceptado mantener el secreto y se
les ha informado de tal secreto; el resto de la gente es libre para
descubrir el secreto de forma independiente.

Las ideas que se discuten e implementan fueron obtenidas cuando un
ingeniero estudió un producto de DVD ("ingenería en reverso") que es
legal en la mayoría de los países. De hecho, el Decreto de 1998 de los
Estados Unidos sobre el Copyright Digital del Milenio afirma en su
sección 1201(f) que la ingeniería en reverso de un sistema de cifrado
para la protección de copias es legal por razones de
"interoperabilidad" entre sistemas computacionales.

El código fuente decodificador que constituye el nucleo del caso,
llamado "DeCSS", fue creado por terceras personas, no por los
acusados, para permitir que los ordenadores Linux puedan utilizar
drivers para DVD y acceder a su contenido, puesto que la propia
industria no ha podido producir los drivers necesarios para este sistema
operativo.

Entre las afirmaciones de la DVD-CCA se hace una sugerencia
altamente cuestionable de que el objetivo real del código fuente es
permitir la duplicación ilegal de los discos DVD.

Algunos expertos (como Eric S. Raymond) han afirmado que el CSS no
evita para nada la piratería. De hecho, los DVDs ya pueden copiarse
utilizando otros medios, así que nadie necesita el DeCSS para duplicar
DVDs, y la DVD-CCA sabe esto muy bien. La noción de que el DeCSS
podría tener una función en la distribución de películas pirateadas vía
internet es un absurdo. Costaría una semana bajarse una película con
el mejor modem que uno pueda conseguir en la actualidad.

EL TRANSFONDO REAL

El objetivo real tras la tecnología CSS y esta demanda legal es evitar
que las películas vendidas en una zona del mundo se puedan visionar
en reproductores DVD de otra zona. La industria cinematográfica teme
que pueda perder dividendos si una película lanzada en los Estados
Unidos pueda verse en Europa, Asia o Sudamérica antes de que pueda
verse en los cines de esos países. (Recientemente, la industria del cine
ha exigido que los fabricantes dejen de fabricar reproductores de zona
"mundial" que sean capaces de reproducir películas en cualquier
zona).

DVD-CCA también ofrece licencias a fabricantes y distribuidores de
programas de ordenador que han producido software reproductor de
DVD para usarse en sistemas Mac y Windows. DeCSS y otro software
similar permite la creación de nuevos reproductores DVD que son
freeware, y que compiten por tanto con productos comerciales
controlados. Así pues, el temor de la DVD-CCA es perder beneficios a
la hora de manufacturar y vender licencias.

NUESTRA POSICION

Nosotros los miembros abajo firmantes de la Campaña Global para la
Libertad en Internet creemos que esta demanda podría tener un
impacto nocivo en la libertad de expresión. En nuestra opinión, las
acciones de la DVD CCA entran en conflicto directo con los acuerdos
sobre derechos humanos de las Naciones Unidas y la Primera
Enmienda de la Constitución de los Estados Unidos, ya que la
información que los programadores han puesto en la red es legal.

También somos contrarios al intento de la DVD-CCA de convertir en
borrosa la distinción entre poner uno mismo material en la web y
simplemente poner un enlace a este material. Si lo obtenido
originalmente por ingenería en reverso era legal, tal y como nosotros
creemos, entonces la subsiguiente re-publicación de la información
también es legal.

Las tácticas de la DVD-CCA han conseguido crear la percepción de
que la DVD-CCA cree en la coacción, al usar grandes fajos de billetes
de banco para enviar abogados contra ciudadanos de a pie.

Consideramos que a los que detentan propiedad intelectual no se les
debería permitir expandir sus derechos de propiedad a expensas de la
libertad de expresión, especialmente cuando la expresión en cuestión
sirve para explicar cómo las compañías han impedido la diseminación
de nuevas ideas científicas.

Consideramos que la DVD CCA está usando las leyes de la propiedad
intelectual para subvertir la libertad de expresión en el ciberespacio.

Firmas:

American Civil Liberties Union
Canadian Journalists for Free Expression
Computer Professionals for Social Responsibility
Cyber-Rights & Cyber-Liberties (UK)
Derechos Human Rights
Electronic Frontier Foundation
Electronic Frontiers Australia
Electronic Frontier Canada (EFC)
Electronic Privacy Information Center
Equipo Nizkor
FITUG e.V.
Fronteras Electronicas España (FrEE)
Index on Censorship
Internet Freedom
IRIS (Imaginons un reseau Internet solidaire, France)
NaST (Networkers against Surveillance Taskforce, JAPAN)
NetAction
Peacefire
Privacy International
quintessenz
VIBE

PARA MAS INFORMACION
The Global Internet Liberty Campaign
Declaración de prensa de la Opendvd.org (en inglés)
Facsimil de la demanda de daños inflingidos por apropiación indebida
de secretos industriales de la DVD-CCA (en inglés)
Artículo en Wired (en inglés)
San Jose Mercury (en inglés)
Eric S. Raymond sobre el caso (en inglés)
Análisis en alemán
-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-


Más información:
Fronteras Electronicas España (FrEE)
Cae la protección criptográfica de los DVDs
http://www.hispasec.com/unaaldia.asp?id=398
http://www.argo.es/~jcea/artic/



Jesús Cea Avión
jcea@hispasec.com



lunes, 17 de enero de 2000

Operación "Millenium": las dos caras de la moneda

Durante todo el día se han sucedido las noticias en los
distintos medios de comunicación sobre la detención,
por parte de la Guardia Civil, de decenas de personas
supuestamente vinculadas a una red que utilizaba líneas
900 gratuitas de forma fraudulenta para conectarse a
Internet. Si bien es cierto que la utilización de
líneas 900 para conectar a Internet, cargando el coste
a terceras empresas, es un hecho conocido desde hace
años, son muchos los que opinan que estas detenciones,
y su difusión, tiene más que ver con una operación de
imagen para dotar de mayor atención a la IV Jornada
sobre Delitos Cibernéticos que se celebraba este mismo
día.
Según datos proporcionados por la Guardia Civil, la
operación "Millenium" se inició a principios de año, y
tiene su origen en la detención de una persona por
comprar con una tarjeta de crédito ajena. A raíz de
este hecho, y gracias a la información proporcionada
por el detenido, arranca la operación con el fin de
desmantelar al grupo "COM 30", quienes supuestamente
facilitaban los números de tarjetas de crédito, de
líneas 900 para conectar a Internet, y se dedicaban
también a la clonación de tarjetas de móviles.

Las investigaciones por parte del Grupo de Delitos de
Alta Tecnología de la Guardia Civil apuntan a que este
grupo estaba dirigido por dos personas, conocidas con
los nicks de "_X_" y "Danko", que fueron localizadas
en Alicante y Córdoba.

Entre las empresas afectadas por el uso de sus líneas
900 para conectarse a Internet se encuentran Microsoft,
Novartis y Toshiba, que presuntamente han podido
interponer denuncia y/o colaborar en el seguimiento de
las llamadas a dichas líneas. A partir de los datos
obtenidos de estos seguimientos, la Guardia Civil ha
dibujado una compleja red de estafadores que recorre
16 provincias españolas y a la que pertenecerían más
de 50 acusados, pudiendo llegar a superar la centena,
ya que aun no se ha dado por terminada la operación
bautizada por la Guardia Civil como "el descubrimiento
de una de las redes más importantes de las que
pretendía defraudar dentro del sector de las nuevas
tecnologías".

HispaSec ha podido contactar con algunos de los
acusados de utilizar las líneas 900 de forma
fraudulenta para conectar a Internet, quienes eran
detenidos a primera hora de la mañana del día 18
para prestar declaración. Entre las cuestiones
planteadas han surgido el nombre del grupo "COM 30"
y un tercer nick, ademásde los dos citados
anteriormente. Así mismo, hemos podido constatar que
los números 900 motivos de la investigación estaban
al alcance en diversos foros, sin necesidad de
pertenecer a un grupo determinado para acceder a
ellos. Parece claro que no existía un grupo
organizado tan voluminoso y que este y otros aspectos
sobre la operación se han podido sobredimensionar
en los diferentes comunicados.

Para muchos es, cuanto menos, sospechoso que la
noticia se de a conocer durante las Jornadas sobre
Delitos Cibernéticos, y prefieren hablar de
operación de imagen. Este es el caso del abogado
Carlos Sánchez Almeida, abogado defensor de gran
parte de los detenidos, quién nos ha declarado:

"Todos mis defendidos han negado los hechos que se
les imputan. Se trata de una operación de imagen,
orquestada para dar mayor relieve a la Jornada
sobre Delitos Cibernéticos a la que han acudido dos
ministros y el director general de Microsoft
Ibérica, parte implicada en el caso. Ninguna
crítica he de hacer a las fuerzas de seguridad
implicadas, que me consta han actuado con total
corrección en el cumplimiento de su deber. Debo
denunciar, sin embargo, la utilización de los
derechos de las personas como arma electoral: no
es lícito organizar una redada para conseguir
votos, máxime cuando el delito que se imputa a los
detenidos sólo lleva aparejada multa."

En definitiva, la utilización de líneas 900 ajenas,
cargando el coste a las empresas propietarias, es un
hecho bien conocido y cuyo origen se remonta años
atrás. No se ha descubierto nada nuevo en este campo.
Así mismo, las empresas propietarias de estas líneas
son claramente perjudicadas por este tipo de acciones,
al tener que soportar el coste de las llamadas, y
tienen todo el derecho a interponer denuncias para
salvarguardar sus intereses. En cualquier caso, y en
última instancia, será la justicia la que deba poner
punto y final a "Millenium".

Más información:
IT|NEWS
iBrujula
El Pais
El Mundo



Bernardo Quintero
bernardo@hispasec.com



domingo, 16 de enero de 2000

El 99 pasó y ‘Milenium’ llegó

La Guardia Civil y La Policía Nacional siguen su lucha
contra la piratería, no sólo la audiovisual (cintas de
vídeo, cd´s, etc.), sino también la informática.
Se dice que en el sector audiovisual hay en torno a un
70 por ciento de piratería, según la BSA, en el 98 se
estimaba un 65% y la media europea es el 43%. Según la
misma fuente, estas cifras suponen unas perdidas de
22.000 millones de pesetas/año (me pregunto si el que
compra una copia pirata la compraría a su precio, así
que la pérdida que estiman me parece más virtual que
real). La Federación para la Protección de la Propiedad
Intelectual, (la mayoría de los actos de piratería se
supone que van en contra de dicha Ley), colabora con
dichos cuerpos de seguridad y parece ser que están
obteniendo resultados.

Cataluña continúa siendo el lugar donde se dan tasas
mas altas de piratería (tal vez es donde hay más
ordenadores o usuarios). Pero por ejemplo, en junio
se actuó en Madrid (en Getafe, se intervino en la
tienda ByB más de 200 videojuegos para la Play,
consolas piratas, y software para PC), en Sevilla
(en el mercadillo de "Su eminencia" sobre todo CDs
de música y vídeo), Málaga, Alicante (juegos para
la Play) y Zaragoza, en total 6 detenidos.

A finales del año 99, los cuerpos de seguridad habían
intervenido en 230 ocasiones, la mayoría videojuegos
(29.557) y cintas de vídeo (5.633).

En octubre, Andalucía fue bastante afectada, así en
Ronda (Málaga) fueron detenidas dos personas, y varias
tiendas intervenidas; en Granada se actuó contra los
comercios "El escondite", "Neptuno", "Mega Digital".
En Sevilla se detuvo al dueño de un laboratorio de
duplicación de vídeo, por lo visto estaba replicando
la película "El Príncipe de Egipto" en cantidades
industriales. En Barcelona en Ciutat Vella se actuó
en el mercadillo de San Antonio, zona de reunión de
piratas del lugar. A principios de año ya se detuvo
a 100 personas en un redada en este mismo sitio.

Las penas no son ninguna broma, entre 6 meses de multa
(que fácilmente puede superar las 100.000 pts) y 5 años
de prisión. El año que comienza parece que viene con
dureza, hoy 19 de Enero, conocemos la llamada operación
"Milenium". Se anuncia como la mayor redada a nivel
europeo y está siendo llevada a cabo por la Guardia
Civil, según últimas versiones 55 detenidos en 16
provincias españolas, acusados principalmente de
"estafa continuada" en telefonía fija y móvil,
(Phreaking). Aunque en un primer momento, y en Radio
Nacional, se habló también de tarjetas robadas y compra
de productos por Internet.

La información es confusa por el momento, y bastante
espectacular, por no decir demasiado agrandada por
altavoces mediáticos, coincide con la organización
por parte de la Guardia Civil de la IV Jornada sobre
Derecho Cibernético, en el Hotel Ritz de Madrid,
gratuito con invitación previa -invitación que era ya
imposible de conseguir hace unos días-. La clausura
del mismo corrió a cargo del propio Ministro del
Interior -Mayor Oreja- que como nota más importante
anuncia cambios en la legislación sobre seguridad,
veremos en que consisten.

En definitiva, en la operación "Milenium" estamos ante
estafas a diversas compañías, aunque no se ha determinado
la cantidad, la información gubernamental habla de
bandas en Internet, (entiendo que tal afirmación es más
producto del momento y de la necesidad de un titular
que de una realidad específica, ya que para conseguir
lugares con información sobre phreaking no es necesario
ser muy espabilado, están por toda la red, hay webs
que proporcionan números "con facilidades"), recuerdo
que la prueba compete a quien acusa y difícil les será
probar la existencia de una banda (por definición
organizada). Otros medios hablan de estudiantes de
informática y de ingeniería de telecomunicaciones.

Si bien la suma defraudada puede ser grande en conjunto
o al menos eso anuncian, de forma individual puede que no
sea tan grave. En otras palabras, tal vez mucho ruido
para tan poco delito, de hecho el Código Penal sólo
prevé multas. Aunque si existen culpables, la cantidades
pueden ser muy importantes para éstos, ya que habrá que
pagar una multa -que engrosará las arcas del Estado-,
habrá que pagar unas defensas -abogados y Procuradores,
recordar aquí que el Turno de Oficio es gratuito- y tal
vez habrá que pagar unas responsabilidades civiles a las
empresas afectadas.

De todas formas hay que recordar que todo el mundo es
inocente hasta que se demuestre lo contrario, que el
acusado tiene derecho a no declarar o cambiar su
declaración, a declararse inocente en todo momento y que
quien acusa debe probarlo. Y que a buen entendedor,
pocas palabras.....




Eusebio del Valle
evalle@hispasec.com



sábado, 15 de enero de 2000

Resumen de Bugtraq del 10-01-2000 al 16-01-2000

Ataque DoS en MsgCore/NT, vulnerabilidad en el reprocutor
MP3 Winamp, en MySQL, en el lpd de Linux, Corel para
Linux y buffer overflow remoto en ICQ.
1. Vulnerabilidad de negación de servicio en MsgCore/NT
2. Vulnerabilidad en Playlist de Winamp
3. Vulnerabilidad de cambio global de passwords usando permisos
GRANT en MySQL
4. Vulnerabilidad en el lpd de Linux
5. Vulnerabilidad get_it PATH en Corel Linux
6. Vulnerabilidad de buffer overflow remoto en URL en ICQ

Actualización de parches del 10-01-2000 al 16-01-2000
-----------------------------------------------------
1. Vulnerabilidad parcheada: Negación de servicio en MsgCore SMTP
2. Vulnerabilidad parcheada: Cambio global de passwords en MySQL
con GRANT
3. Vulnerabilidad parcheada: Vulnerabilidades en Linux lpd

Resumen de Bugtraq del 10-01-2000 al 16-01-2000
-----------------------------------------------

1. Vulnerabilidad de negacion de servicio en MsgCore/NT
BugTraq ID: 930
Remoto: Sí
Fecha publicación: 13-01-2000
URL relevante: http://www.securityfocus.com/bid/930
Resumen:

Existe una condición de negación de servicio en el servidor SMTP
MsgCore de Nosque Workshop. El problema reside en que la memoria
usada para almacenar la información entrante en el servidor no se
libera, por lo que eventualmente se agota y causa que la máquina
NT atacada se cuelgue y necesite ser reiniciado.

Si un cliente smtp (o un usuario que envíe los datos de forma
manual) transmite múltiples secuencias de comandos "HELO/ MAIL
FROM / RCPT TO / DATA" en una misma conexión, la memoria empleada
para guardar todos esos valores no será liberada. Por lo que el
servidor atacado dejara de funcionar una vez que se quede sin
memoria.

2. Vulnerabilidad en Playlist de Winamp
BugTraq ID: 925
Remoto: No
Fecha publicación: 10-01-2000
URL relevante: http://www.securityfocus.com/bid/925
Resumen:

Winamp, un programa para escuchar música en formato mp3s y otros
tipos de archivos de audio, usa archivos playlist (*.pls, lista
de temas) para guardar la lista de archivos a reproducir. Se
puede causar un desbordamiento de buffer y lograr la ejecución de
código arbitrario debido a que el código que lee estos archivos
tiene un buffer sin chequear. Si se especifica una entrada mayor
de 580 bytes en el archivo, el EIP se sobreescribe.

Esta vulnerabilidad sólo se puede explotar de forma remota,
convenciendo al usuario atacado para que se baje el playlist
malicioso y lo cargue en Winamp. Si Winamp está instalado
Internet Explorer bajará archivos .pls sin pedir la confirmación
del usuario

3. Vulnerabilidad de cambio global de passwords usando permisos
GRANT en MySQL
BugTraq ID: 926
Remoto: Sí
Fecha publicación: 11-01-2000
URL relevante: http://www.securityfocus.com/bid/926
Resumen:

MySQL es un RDBMS popular, usado por muchos sitios como back-end.
Es posible que los usuarios con permisos de GRANT cambien los
passwords de todos los usuarios en la base de datos (lo que
incluye al superusuario de mysql). MySQL por defecto incluye una
cuenta "test" con privilegios de GRANT y sin password, lo que
significa que cualquiera se puede conectar a la base de datos.
Estos dos problemas combinados pueden resultar en un compromiso
remoto total de la base de datos (y probablemente también
anónimo).

La base de datos se puede ver comprometida aun si la cuenta test
está deshabilitada (si se tiene una cuenta de usuario local con
privilegios de GRANT).

4. Vulnerabilidad en el lpd de Linux
BugTraq ID: 927
Remoto: Sí
Fecha publicación: 11-01-2000
URL relevante: http://www.securityfocus.com/bid/927
Resumen:

La versión de lpd incluida con la mayoría de las distribuciones
de Linux es vulnerable a diversos problemas de seguridad de gran
seriedad. El mas significativo es la falta de autenticación
correcta. Esto se basa en el nombre del host, y se realiza
comparando el hostname reverse-resolved del IP que se conecta con
el hostname local.

Si el atacante cambia el reverse-resolved hostname de su
dirección IP para que concuerde con el hostname de la maquina
atacada, obtendrá acceso a lpd sin ningún tipo de problemas.

Luego se podría hacer lo siguiente:

- el atacante puede enviar tantos archivos como quiera al
directorio de spool de la impresora

- se puede especificar cualquier cosa en el archivo de control

- es posible enviar argumentos arbitrarios al sendmail (porque
existe una opción para enviar mail a alguien cuando un trabajo
de impresión se finaliza, pero se puede usar cualquier cosa
como argumento en vez de una dirección de e-mail). Esto puede
llevar a un compromiso del root si se envía a imprimir un
archivo cf de sendmail disfrazado y se usa cuando el argumento
"-C" se pasa al sendmail.

Existían problemas similares descubiertos por SNI (adquirida por
Network Associates) en versiones anteriores de lpd de los *BSD,
que fueren subsanados prontamente.

5. Vulnerabilidad get_it PATH en Corel Linux
BugTraq ID: 928
Remoto: No
Fecha publicación: 12-01-2000
URL relevante: http://www.securityfocus.com/bid/928
Resumen:

Un componente de la utilidad "Corel Update" distribuida con Corel
Linux OS posee una vulnerabilidad de PATH local. El binario
"get_it" que se almacena en /usr/X11R6/bin se instala por defecto
con setuid root en todos los sistemas Corel Linux OS (esto es
parte de su paquete .deb de utilidades de instalación y
actualización). get_it confía en PATH cuando este hace llamadas
'cp' (sin la ruta completa), lo que hace posible soltar un
programa arbitrario (llamado 'cp') que heredará privilegios de
root mediante el cambio del primer path buscado por otro en el
que reside el 'cp' malicioso. La consecuencia es el inmediato
compromiso de root.

6. Vulnerabilidad de buffer overflow remoto en URL en ICQ
BugTraq ID: 929
Remoto: Sí
Fecha publicación: 12-01-2000
URL relevante: http://www.securityfocus.com/bid/929
Resumen:

ICQ es un programa de chats entre dos personas a través de la
red. Puede presumir de tener clientes instalados en millones de
computadoras alrededor del mundo. Es, de lejos, el mas usado pero
es vulnerable a un buffer overflow remoto. Cuando el cliente
Mirabilis ICQ interpreta una URL recibida de otro usuario _dentro
de un mensaje_, no realiza chequeos de limites en la longitud de
la url. Debido a esto, es posible sobreescribir el EIP y con ello
ejecutar código arbitrario en la maquina destino una vez que se
pulse la URL sobredimensionada.

Esta cadena de ejemplo fue tomada del mensaje de Drew Copley en
Bugtraq:

http://www.yahoo.com/sites.asp?^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð!!!!·P!^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð

(sin retornos de carro en la url) !!!! es donde se sobreescribe
el EBP, y los 4 caracteres que le siguen es donde se sobreescribe
el EIP.

Las consecuencias de explotar esto pueden ser el compromiso de la
maquina atacada, por ejemplo, lograr instalar el bo2k o netcat
para permitir el acceso y/o control remoto. Se sospecha que del
cliente de ICQ existen más vulnerabilidades similares sin
publicar. Se comprobó que esto hace caer al cliente ICQ versión
.99b Beta v.3.19.

Actualización de parches del 10-01-2000 al 16-01-2000
-----------------------------------------------------
1. Vendedor: Nosque Workshop
Producto: servidor SMTP MsgCore
Vulnerabilidad parcheada: Negación de servicio en MsgCore SMTP
BugTraq ID: 930
URL relevante: http://www.securityfocus.com/bid/930
Ubicación del Parche: http://www.web-net.com/supermail/

2. Vendedor: T.C.X DataKonsult
Producto: MySQL
Vulnerabilidad parcheada: Cambio global de passwords en MySQL con
GRANT
BugTraq ID: 926
URL relevante: http://www.securityfocus.com/bid/926
Ubicación del Parche:
http://www.securityfocus.com/vdb/bottom.html?section=solution&vid=926

3. Vendedor: Redhat
Producto: Redhat Linux
Vulnerabilidad parcheada: Vulnerabilidades en Linux lpd
BugTraq ID: 927
URL relevante: http://www.securityfocus.com/bid/927
Ubicación del Parche:

Red Hat Linux 6.x:

Intel:
ftp://updates.redhat.com/6.1/i386/lpr-0.48-1.i386.rpm

Alpha:
ftp://updates.redhat.com/6.1/alpha/lpr-0.48-1.alpha.rpm

Sparc:
ftp://updates.redhat.com/6.1/sparc/lpr-0.48-1.sparc.rpm

Paquetes con el código fuente:
ftp://updates.redhat.com/6.1/SRPMS/lpr-0.48-1.src.rpm

Red Hat Linux 5.x:

Intel:
ftp://updates.redhat.com/5.2/i386/lpr-0.48-0.5.2.i386.rpm

Alpha:
ftp://updates.redhat.com/5.2/alpha/lpr-0.48-0.5.2.alpha.rpm

Sparc:
ftp://updates.redhat.com/5.2/sparc/lpr-0.48-0.5.2.sparc.rpm

Paquetes con el código fuente:
ftp://updates.redhat.com/5.2/SRPMS/lpr-0.48-0.5.2.src.rpm

Red Hat Linux 4.x:

Intel:
ftp://updates.redhat.com/4.2/i386/lpr-0.48-0.4.2.i386.rpm

Alpha:
ftp://updates.redhat.com/4.2/alpha/lpr-0.48-0.4.2.alpha.rpm

Sparc:
ftp://updates.redhat.com/4.2/sparc/lpr-0.48-0.4.2.sparc.rpm

Paquetes con el código fuente:
ftp://updates.redhat.com/4.2/SRPMS/lpr-0.48-0.4.2.src.rpm




Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo - CoreLabs - Core SDI
http://www.core-sdi.com