martes, 29 de febrero de 2000

Rusia quiere su propio Echelon

El servicio secreto ruso, heredero de la antigua KGB, toma
posiciones dentro de los ISP´s rusos y obliga a mas de 350
servidores de Internet de este país a implantar un software para
el control de las comunicaciones.
La creación de este departamento dentro de los servicios de
seguridad rusos denominado SORM-2, nace con la misma excusa que
Echelon de controlar las comunicaciones de terroristas y grupos
organizados que utilizan Internet para comunicarse entre ellos.
Esta nueva organización ha provocado la movilización de grupos
sociales a favor de la libertad de las comunicaciones y el
derecho a la privacidad de los ciudadanos rusos.

La semana pasada, un oficial gubernamental reconoció públicamente
la existencia del proyecto, llamado Sistema de Operatorio y
Procedimientos Investigadores o por las siglas equivalentes (en
ruso) SORM-2. Alexei Rokotyan jefe de la sección de
comunicaciones electrónicas del ministerio de las Comunicaciones,
negó que SORM-2 tuviera como fin el control total de la
información transmitida a través de Internet. Con esta afirmación
deja a su libre albedrío el sistema de cribado de la información,
ya que para éste no deben de obtener ningún tipo de mandamiento
judicial, sólo seguir directivas del Ministerio del Interior.

En una serie de reuniones con los proveedores de Internet durante
1998, los oficiales del servicio de seguridad describieron un
sistema formado por una caja instalada en los ordenadores de los
proveedores, la cual se encargaría de rutar a través de una
conexión de alta velocidad todo el tráfico electrónico al cuartel
general de los servicios de seguridad y espionaje locales.

Más información:

Foxnews
http://www.foxnews.com/vtech/022100/russia.sml




Antonio Román
antonio_roman@hispasec.com



lunes, 28 de febrero de 2000

Las facturas de los abonados de Telefónica accesibles por Internet

En lo que podemos considerar un grave fallo de seguridad y un gran
error por parte de Telefónica, incluso contradiciendo toda la
normativa legal al respecto, los datos de las facturas de cualquier
abonado de Telefónica, lo que incluye nombre, dirección, NIF, e
incluso cuenta bancaria y desglose de llamadas, quedan accesibles
a la consulta de un navegador.
Con ayuda de un navegador y conociendo una dirección web concreta,
cualquier persona puede acceder vía web a las facturas de
cualquier abonado de Telefónica. Información tan sensible como
nombre, dirección, NIF, datos de la domiciliación bancaria
(incluido el número de cuenta), así como un completo desglose de
la factura en sí, están accesibles a todo el mundo a través de
Internet sin ningún tipo de restricción.

El problema proviene de un fallo de programación y configuración
del servidor web. En principio, para acceder a este servicio, que
es público y está al alcance de cualquier internauta que pase por
el web de Telefónica, es necesario un nombre de usuario y
password, tal y como se informa en las páginas web del operador.
Pero resulta relativamente sencillo saltarse esta protección, por
lo cual cualquier usuario podrá llegar a conocer la facturación
(y todos los demás datos) con tan sólo introducir el número de
teléfono sobre el que se desea obtener información.

Cuando se accede a la información "supuestamente" confidencial,
se pide un nombre de usuario y password mediante una
autenticación, pero el problema radica en que existe una página
en ese directorio accesible sin que el servicio solicite nombre
de usuario y password, a través de la cual es posible realizar
las consultas anteriormente descritas. Por otra parte, también
resulta gracioso, e incluso irónico, que estas páginas estén
bajo conexión https y se advierta de tal hecho al acceder a
ellas indicando la entrada en un servidor "seguro".

De hecho, en las páginas de la propia Telefónica se puede
encontrar la siguiente afirmación: "Además de la utilización
de identificadores de usuario y contraseña para garantizar un
acceso privado a sus datos, Telefónica proporciona niveles de
seguridad y confidencialidad adicionales en la información que
proporcionan determinados Servicios de Telefónica On-line, para
lo cual es necesario realizar la instalación de un Certificado
de Seguridad en su PC que expide A.C.E. (Agencia de
Certificación Electrónica)."

En HispaSec, tras informar a Telefónica, quedamos a la espera
de la contestación oficial ante este grave fallo que vulnera
toda la legislación vigente. Por este motivo, y dada la
gravedad y sensibilidad de los datos que quedan accesibles,
evitamos dar la URL exacta para acceder a ellos.

NOTA: Justo tras la elaboración de esta noticia, y cuando iba
a ser enviada, Telefónica procedió a modificar la
configuración del servidor que revelaba información
confidencial. Durante más de 10 horas, desde que HispaSec
tuviera conocimiento del problema, los datos de facturación
de todos los abonados estuvieron disponibles a través de
Internet.




Antonio Ropero
antonior@hispasec.com



domingo, 27 de febrero de 2000

Posible perdida de datos en máquinas con chipset Intel 840 y 820

Un problema de compatibilidad de tipos de memoria ha acarreado
que un gran número de estaciones de trabajo y servidores con
chipsets 820 y 840 de Intel presenten pérdidas de datos.
El problema no afecta directamente a los microprocesadores de
Intel, sino a unos chips auxiliares que montan las estaciones de
trabajo para compatibilizar el uso de memoria SDRAM a 100-MHz con
la más rápida Rambus (que trabaja a 133-Mhz) para la cual estaban
pensados originalmente dichos chipsets. Esta opción se les dio a
los fabricantes de ordenadores para no encarecer el producto
final al tener que instalar memoria Rambus de altas prestaciones
pero bastante mas cara, para ello se optimizaron los chipset 820
y 840.

Estos chips auxiliares se denominan centro de traducción de
memoria (Memory Translator Hub, MTH) en el caso del que acompaña
al chipset 820 y centro de repetición de memoria (Memory Repeater
Hub, MRH) para el utilizado por el 840. Ambos modelos presentan
una incompatibilidad cuando están montados con sistemas que
incorporan código de corrección de errores (Error Correction
Code, ECC), ya que no cumplen su función de emular la memoria
Rambus al traducir la información emitida por la memoria estándar
hacia el procesador. Este problema se ve reflejado en una pérdida
de datos en un gran número de estaciones de trabajo.

Entre las compañías que podrían verse afectadas por este problema
se encontrarían Intergraph e Intel ya que estas están montando
estos chips auxiliares junto a ECC.

Más información:
Cnet
Rambus
Intel



Antonio Román
antonio_roman@hispasec.com



sábado, 26 de febrero de 2000

Resumen de Bugtraq del 13-02-2000 al 21-02-2000

Vulnerabilidades en el Servidor Web Personal de Microsoft FrontPage,
en servidores de nombres, en NetBSD, en Ultimate Bulletin Board, e
incluso en el nuevo Microsoft Windows 2000.
1. Vulnerabilidad de recursividad inversa de directorios en
Microsoft FrontPage PWS
2. Vulnerabilidad de amplificación de trafico y NS Route
Discovery en servidores de nombres
3. Vulnerabilidad de SNMP Community con acceso de escritura de
múltiples vendedores
4. Vulnerabilidad en NetBSD procfs
5. Vulnerabilidad de symlink en /tmp en SCO Unixware ARCserver
6. Vulnerabilidad de falta de protección del compartido ADMIN$
durante la instalación de Microsoft Windows 2000
7. Vulnerabilidad de ejecución de comandos arbitrarios en
Ultimate Bulletin Board
8. Vulnerabilidad en autorun.inf de Microsoft Windows

Resumen de Bugtraq del 13-02-2000 al 21-02-2000
-----------------------------------------------

1. Vulnerabilidad de recursividad inversa de directorios en
Microsoft FrontPage PWS
BugTraq ID: 989
Remoto: Sí
Fecha de publicación: 16-02-2000
URL relevante: http://www.securityfocus.com/bid/989
Resumen:

El Front Page Personal Web Server de Microsoft seguirá las
cadenas '/..../' en las URLs pedidas, lo que permite a usuarios
remotos obtener acceso no autenticado de lectura a archivos y
directorios en la misma unidad lógica donde se encuentra el
contenido de la página web. Este método también permite ver los
archivos ocultos, aunque no así el directorio mismo de Front
Page. El nombre y ruta del archivo deseado debe ser conocido por
el atacante.

2. Vulnerabilidad de amplificación de trafico y NS Route
Discovery en servidores de nombres
BugTraq ID: 983
Remoto: Sí
Fecha de publicación: 14-02-2000
URL relevante: http://www.securityfocus.com/bid/983
Resumen:

Existe un potencial ataque de denegación de servicio (de aquí en
adelante DoS) en la configuración por defecto de muchos
servidores DNS populares. Si un servidor permite que hosts
remotos le pregunten por máquina que no son servidas por él mismo
causará un problema de recursividad, con lo que seria posible
causar una amplificación de trafico. Mientras que el numero de
paquetes amplificados por un solo servidor no basta normalmente
para causar una negación de servicio, al explotar la naturaleza
jerárquica del DNS se hace posible causar que gran cantidad de
tráfico se dirija a un solo sitio.

La vulnerabilidad existe en la manera en que los servidores de
nombres se comportan cuando no pueden recibir respuestas por un
dominio de un servidor de nombres que ellos consideran
autoritario. Cuando un servidor recibe una consulta, típicamente
este es redireccionado hacia arriba en la cadena de servidores de
DNS. Si la consulta no puede ser resuelta porque no existe un
servidor a la escucha en el host remoto, cada reenvío tratará de
resolver el servidor de nombres. Esto se intenta típicamente 3
veces, a los 0, 12 y 24 segundos. En este caso, el tráfico se ve
significativamente multiplicado. Al abusar de múltiples
servidores de nombres es posible enviar gran cantidad de datos a
una red dada, con paquetes de hasta 500 bytes.

3. Vulnerabilidad de SNMP Community con acceso de escritura de
múltiples vendedores
BugTraq ID: 986
Remoto: Sí
Fecha de publicación: 15-02-2000
URL relevante: http://www.securityfocus.com/bid/986
Resumen:

En varios sistemas operativos y dispositivos de red existen
comunidades por defecto con acceso de escritura para todos. Al
ser posible su escritura por parte de todos, permiten a usuarios
remotos configurar propiedades del sistema operativo o dispositivo
sin ninguna autorización más que el conocimiento del nombre de
comunidad.

Algunas de las comunidades/vendedores por defectos son:

public (ascend,cisco,bay networks (nortel),microsoft,sun,3com, aix)
private (cisco,bay networks (nortel),microsoft,3com, brocade, aix)
write (ascend, muy comun)
"all private" (sun)
monitor (3com)
manager (3com)
security (3com)
OrigEquipMfr (brocade)
"Secret C0de" (brocade)
admin
default
password
tivoli
openview
community
snmp
snmpd
system (aix, otros)
el nombre del router (ej. 'gate')

Los ataques pueden resultar en actos como la manipulación de las
tablas de rutado, corrupción de la cache de arp, que luego pueden
llevar a más compromisos. Este tipo de vulnerabilidad es conocida
desde hace ya tiempo y en la sección de créditos de la url
relevante se encuentra disponible más información al respecto.

Pueden existir más productos con comunidades que por defecto
permitan el acceso de lectura/escritura. Si tiene más información
sobre productos que puedan ser vulnerables (información más
especifica sobre versiones de firmware o correcciones) envíe un email
a y a .

4. Vulnerabilidad en NetBSD procfs
BugTraq ID: 987
Remoto: No
Fecha de publicación: 16-02-2000
URL relevante: http://www.securityfocus.com/bid/987
Resumen:

Existe una vulnerabilidad en la implementaron del procfs en
NetBSD, en versiones hasta la 1.4.1 (incluida). Un atacante
podría manipular archivos en la jerarquía /proc//,
específicamente el archivo 'mem', para hacer que un programa
setuid ejecute un shell como root.

La funcion procfs_checkioperm() protege los acceso a
proc//mem. Sin embargo, las aplicaciones que corren bajo uid
0 pueden escribir al archivo mem. Si un proceso setuid puede ser
engañado para escribir en este archivo, se hace posible
manipularlo para ejecutar un shell con privilegios de root.
Un posible método que se explica en el aviso de NetBSD logra esto
al abrir /proc//mem, y hacer un dup2() a stdout. Tras hacer
un seek (lseek() o fseek(), o cualquier otro método para cambiar
el offset en el archivo), el proceso padre ejecutará un binario
setuid. Este programa va a heredar el archivo mem como stdout.
Este archivo setuid tiene que ser engañado al escribir, por
ejemplo, un error o mensaje conteniendo el shell code. Mientras
tanto, el padre ejecutará otro programa setuid, cuya pila será
sobrescrita por el proceso setuid. Esto a su vez causara que un
shell con uid 0 sea ejecutado.

5. Vulnerabilidad de symlink en /tmp en SCO Unixware ARCserver
BugTraq ID: 988
Remoto: desconocido
Fecha de publicación: 15-02-2000
URL relevante: http://www.securityfocus.com/bid/988
Resumen:

Existe una vulnerabilidad de seguimiento de symlink en el agente
ARCserver, que viene con SCO Unixware 7. Al inicializarse, el
programa asagent crea varios archivos en /tmp. Estos se crean con
mode 777, y puede ser borrados y reemplazados por cualquier
usuario del sistema. Si son reemplazados por symlinks, es posible
crear archivos en cualquier parte del sistema de archivos con
root como propietario. Esto no se puede usar para cambiar los
permisos de archivos existentes. Sin embargo, el contenido del
nuevo archivo es /usr/CYEagent/agent.cfg. Este archivo es
escribible por todos.

6. Vulnerabilidad de falta de protección del compartido ADMIN$
durante la instalación de Microsoft Windows 2000
BugTraq ID: 990
Remoto: Sí
Fecha de publicación: 15-02-2000
URL relevante: http://www.securityfocus.com/bid/990
Resumen:

Durante el procedimiento de instalación de Windows 2000 se crea
el recurso compartido ADMIN$. Sin embargo, el password de
Administrator (Administrador) aunque sea modificado no se activa
hasta el siguiente reinicio. Por lo tanto, durante este periodo
de tiempo es posible para cualquier con acceso de red a la
maquina el conectarse al compartido como Administrator sin
password.

7. Vulnerabilidad de ejecución de comandos arbitrarios en
Ultimate Bulletin Board
BugTraq ID: 991
Remoto: Sí
Fecha de publicación: 13-02-2000
URL relevante: http://www.securityfocus.com/bid/991
Resumen:

El software Ultimate Bulletin Board de Infopop (llamado
habitualmente UBB) es un paquete escrito en perl para ofrecer
mensajería vía web. Debido a errores en expresiones regulares que
chequean los valores ingresados en formularios, es posible
ejecutar comandos arbitrarios en un servidor con UBB.
Para escribir datos al sistema de archivos del servidor web donde
corre UBB se agrega en ubb_library.pl la variable $ThreadFile al
final de un string pasado a open() (como un filepath). Se usan
expresiones regulares para asegurarse que los datos variables
están en el formato apropiado:

if ($ThreadFile =~ /\d\d\d\d\d\d\.ubb/)

y en la versión comercial:

if ($ThreadFile =~ /\d\d\.[m|n|ubb|cgi]/) {

Desafortunadamente, las expresiones regulares no requieren que
".ubb" sea el final de los strings, lo que significa que se
pueden incluir datos extra después del ".ubb" y el valor aun
coincidirá con las expresiones (if $ThreadFile esta correcto) y
se pasará a open(). El valor de $ThreadFile se obtiene
directamente de una variable (llamada 'topic') "escondida" en un
formulario html. Lo que hace de esto una vulnerabilidad posible
de ser explotada remotamente.

8. Vulnerabilidad en autorun.inf de Microsoft Windows
BugTraq ID: 993
Remoto: No
Fecha de publicación: 18-02-2000
URL relevante: http://www.securityfocus.com/bid/993
Resumen:

La opción Autorun de Windows fue diseñada para permitir que un
ejecutable y un icono sean especificados para un medio removible.
Al insertarlo, se mostrará el icono para esa unidad y se llamará
al ejecutable de forma automática. Sin embargo, esta opción
también se aplica a unidades fijas, haciendo su abuso mucho más
fácil.

Cualquier usuario con acceso de escritura al directorio raíz de
una unidad lógica puede instalar un ejecutable y especificarlo en
un archivo autorun.inf. Luego, cada vez que se acceda a la
unidad, el código será ejecutado con los privilegios del usuario
actualmente logueado. Esto se puede usar en ataques de escalada
de privilegios.

Nótese que esto también afecta a las unidades removibles. Pero el
que sea posible especificar un código que se ejecute de forma
automática en cualquier unidad local lo hace mucho mas sencillo
de explotar.




Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo - CoreLabs - Core SDI
http://www.core-sdi.com



viernes, 25 de febrero de 2000

El cortafuegos FireWall-1 deja desprotegidos los servidores FTP

Un error de implementación del cortafuegos FireWall-1, de la empresa
Check Point, permite que una máquina con servidor FTP, protegida tras
este cortafuegos, sea vulnerable a todo tipo de accesos.
FireWall-1 es lo que se denomina un "stateful packet firewall"
(cortafuegos de paquetes, con estado). Este tipo de cortafuegos abren y
cierran ventanas de comunicación observando el tráfico en tiempo real,
de forma dinámica.

Dadas las complejidades del protocolo FTP, un servidor FTP protegido
tras un cortafuegos FW-1 aceptará comandos "PASV" por parte de sus
usuarios, para permitir que estos atraviesen su propio cortafuegos, de
existir. El comando "PASV" tiene como respuesta que el servidor FTP

abra un puerto local libre y acepte conexiones del cliente en él. Ya
que existe al menos un cortafuegos intermedio que puede bloquear esa
conexión a un puerto "arbitrario", es necesario que los cortafuegos que
lo permitan "rastreen" la comunicación y admitan conexiones al puerto
especificado por el servidor FTP.

Hasta aquí todo correcto.

El problema con FW-1 es la forma que tiene de detectar la apertura de
puertos en el servidor FTP que protege: sencillamente busca la cadena
"227 " al principio de cada paquete que envía el servidor FTP, ya que
"227 " es la respuesta al comando "PASV". Lamentablemente, existen
circunstancias en las que se puede encontrar un "227 " al principio de
un paquete; por ejemplo forzando la fragmentación de una respuesta del
servidor FTP empleando técnicas de modulación de MTU (Maximun Transfer
Unit - Unidad Máxima de Transferencia) y MSS (Maximum Segment Size -
Tamaño Máximo de Segmento).

A efectos prácticos, ello supone que un atacante con las herramientas
adecuadas (que no dudamos que estén disponibles para la comunidad
UnderGround de forma inminente) puede acceder a casi cualquier puerto

de un servidor FTP protegido con FW-1.

El problema afecta tanto a la versión 3.0 como a la versión 4.0, aunque
en éste último caso las posibilidades para el ataque están más
constreñidas. En el caso de la versión 3.0, un servidor FTP tras FW-1
está absolutamente desprotegido, a todos los efectos.

Check Point ha publicado un "parche" para la última versión de su
cortafuegos. El parche, no obstante, parece no cubrir todas las
ramificaciones del ataque original, por lo que los usuarios siguen
siendo vulnerables. El problema para Check Point se complica aún más

por el hecho de que algunos de los servidores FTP más empleados no
cumplen el estándar FTP en todos sus términos.

Más Información:

Checkpoint FireWall-1 FTP Server Vulnerability
Check Point Software
Passive FTP Vulnerability
File Transfer Protocol
FTP Security Extensions
Internationalization of the File Transfer Protocol



Jesús Cea Avión
jcea@hispasec.com



jueves, 24 de febrero de 2000

El Parlamento Europeo investiga Echelon

El diario español El País ha publicado un artículo informando de que el
Parlamento Europeo investiga la red Echelon, refrendando la información
proporcionada en diversos boletines Hispasec a lo largo de las últimas
semanas.
El caballo de batalla, como se mencionaba en un boletín anterior, no es
tanto el empleo de tecnologías de espionaje global para combatir
amenazas como el terrorismo, sino que, por un lado, un miembro de la
Comunidad Europea (Reino Unido) tenga acceso a comunicaciones
confidenciales de otros estados miembros y, por otra parte, que un
miembro de la Comunidad Europea (Reino Unido, de nuevo) se preste a
espiar a sus colegas comunitarios para potencias externas económicamente
en competencia, como es el caso de los EE.UU..

Dejando al margen cuestiones tales como la legislación europea sobre
seguridad y privacidad de las comunicaciones de sus ciudadanos, el "caso
Echelon" supone unas implicaciones comerciales (espionaje industrial,
contraofertas en concursos, bolsa, etc) de primera magnitud. De hecho,
ya existen predecentes que parecen probar que Echelon ha sido utilizado
con fines comerciales (competencia desleal) por parte de empresas
norteamericanas, en detrimento de la industria europea.

Más Información:
El Parlamento Europeo investiga una red de espionaje mundial de
Washinton y Londres
18-02-2000 - Francia demandará a EE.UU. y al Reino Unido por la red
ECHELON
French to sue US and Britain over network of spies
08-02-2000 - Documentos desclasificados confirman la existencia de
"Echelon"
16-4-1999 - Bruselas estudia cómo pinchar Interneta
Zona Enfopol
Zona Enfopol-2



Jesús Cea Avión
jcea@hispasec.com



miércoles, 23 de febrero de 2000

Virus "in the wild", ¿cuál es la fórmula?

En muchas ocasiones diversos especialistas han tratado de extraer
conclusiones a partir de las llamadas "wildlists", con el fin de
poder intuír de antemano cuáles serán los virus o i-worms de mayor
prevalencia a corto plazo. Las estadísticas que revela este tipo
de listas, sin embargo, aún dejan muchas incógnitas pendientes.
Para muestra, un botón: la producción de virus de fichero para
Win32 es, desde hace meses, sensiblemente superior a la de virus
de macro, i-worms y, por supuesto, especímenes infectores del ya
vetusto DOS. Sin embargo, y de acuerdo con los datos ofrecidos a
partir de la última "wildlist" oficial, el único representante
de este grupo de cuya actividad infecciosa se tiene constancia
es el "CIH", que, eso sí, con 38 impactos, se sitúa segundo en
la lista, detrás del aparentemente imbatible "Happy99".

Esta situación viene a ser una continuación de la relación que
ya protagonizaron los virus de fichero de DOS y los prácticamente
desaparecidos infectores de "boot": a pesar de que los primeros
eran cuantitativamente superiores, los segundos siempre llevaron
la delantera en cuanto al número de infecciones producidas a
nivel mundial.

Lo cierto es que resultaría increíblemente tedioso efectuar una
valoración para dilucidar si el problema atiende a razones de
mayor o menor complejidad, si bien es cierto que, en líneas
generales, los virus de fichero suelen ofrecer aspectos de tipo
técnico más interesantes que los que podemos encontrar en los
especímenes infectores de "boot". Pero este argumento chocaría
de golpe con un hecho tan peculiar como el que representa la
presencia del virus "Form", simple y directo donde los haya, año
tras año y mes tras mes en puestos privilegiados de las listas
de prevalencia, compartiendo cartel con un clásico de fichero
como "OneHalf" -conocido por ser uno de los virus de DOS más
complejos que se recuerdan- y con "AntiCMOS" y "AntiEXE", dos
ejemplares más de "boot" cuyo estilo raya en el más puro de los
minimalismos. El testigo de "OneHalf" parece recogerlo el "CIH",
que en su momento fue un auténtico impacto técnico - poca gente
hasta entonces había sido capaz de alcanzar "ring-0" (el anillo
de privilegios máximos en Windows) desde un virus.

Entonces... ¿tienen más posibilidades de extenderse "in the
wild" los virus de "boot" simples y los virus de fichero más
complejos? ejemplos como "Marburg" -un infector de archivos de
formato PE EXE para Windows95 bastante simple- o "Zhengxi",
considerado como uno de los virus de fichero más complejos de
la historia, no son más que la punta del iceberg que desbarata
cualquier tipo de teoría al respecto.

Por si esto fuera poco, los virus de macro, relevo generacional
de los infectores de "boot", crecen en progresión geométrica
mes tras mes, y siguen siendo, con mucho, el género de virus
más extendido desde su aparición. Estadísticas oficiales hacen
eco de un dato alarmante: más del 65% de las infecciones que
tienen lugar a diario están producidas por un virus de macro,
y de hecho es posible comprobar cómo, de los diez especímenes
más extendidos de acuerdo con la "wildlist" del mes de enero,
seis pertenecen a este simple pero muy efectivo género vírico.

Sin embargo, el verdadero problema lo tenemos a la vuelta de la
esquina: el fenómeno de los gusanos (i-worms e IRC worms) está
cobrando un peligroso protagonismo, pese a su corto periodo de
vida. Especialmente en el caso de los i-worms, habría que hacer
hincapié en un hecho escalofriante: el primer espécimen de este
tipo data de enero de 1999, y, desde entonces, se han escrito
menos de quince ejemplares de este género. Sin embargo, cuatro
de ellos aparecen en los primeros puestos de la "wildlist" del
mes de enero (entre ellos, "Happy99" en el primer puesto), y
se tiene constancia que la práctica totalidad de los restantes
i-worms conocidos hasta el momento han sido encontrados en
algún momento "in the wild".

Las estadísticas que se barajan, en comparación con las de los
géneros de virus más antiguos, nos hacen augurar un futuro muy
poco esperanzador. El clavo ardiente al que debemos agarrarnos
es el hecho de que, salvo el caso de "BubbleBoy", la ejecución
de un i-worm en un ordenador no infectado es una situación de
interacción en la que se miden las fuerzas los recursos a nivel
de ingeniería social de los escritores de virus y la precaución
de los usuarios, que, en el momento de recibir un gusano pasan
automáticamente a convertirse en posibles víctimas.

A pesar de todas estas conjeturas, siempre nos quedará una duda
por resolver: ¿hasta qué punto dependen las probabilidades que
tiene un virus de cara a su ulterior expansión "in the wild" de
sus mecanismos de auto-ocultación? ¿cuándo y cómo se suele
descubrir la mayoría de las infecciones víricas? ¿tras haber
escaneado el disco duro con un antivirus actualizado, o antes
de que el propio antivirus haya tenido noticia de la existencia
del espécimen en cuestión? y, sobre todo, ¿cuántas infecciones
víricas se han producido a lo largo del mundo y siguen vigentes
hoy día sin haber sido descubiertas?

Las estadísticas son un dato fundamental de cara a la futura
prevención de males que hoy en día nos aquejan, y por desgracia
son todavía muy pocas las compañías antivirus que se preocupan
por obtener algún tipo de información adicional por parte de
sus usuarios acerca de los ataques víricos que éstos sufren día
tras día, algo que puede suscitar dos últimas preguntas: ¿hasta
qué punto interesa a este tipo de empresas erradicar de manera
definitiva las plagas víricas de la informática? ¿funcionan de
manera análoga a la medicina general, prestando más atención a
las consecuencias que a las causas reales?

Más información:
WildList Organization International
Trend Micro (Real-time Virus Tracking)



Giorgio Talvanti
talvanti@hispasec.com



martes, 22 de febrero de 2000

Cuartango demuestra que Microsoft puede instalar programas sin avisar

Juan Carlos García Cuartango, vuelve a protagonizar
nuestro servicio de noticias al descubrir una puerta
trasera en Internet Explorer por la que Microsoft
podría instalar cualquier aplicación sin permiso, ni
conocimiento, de los usuarios.
Cuartango ofrece una página web
(http://www.angelfire.com/ab/juan123/iengine.html)
en la que se puede encontrar una completa descripción
técnica y un ejemplo demostrativo de la puerta trasera
y del poder que ésta otorga a Microsoft. Como todos
los usuarios de Internet Explorer saben, cuando un
programa, un control ActiveX, o cualquier plugin similar
desea instalarse siempre se pide la autorización y
conformidad del usuario, que podrá aceptar o rechazar
dicha instalación.

Cuartango denuncia (y demuestra) que Microsoft se ha
dejado una puerta trasera por la cual puede realizar
cualquier instalación sin necesidad de solicitar la
conformidad del usuario. Basta con que el software se
encuentre firmado por Microsoft. Como explica el
ingeniero español en su página, la puerta trasera
también puede emplearse a través de mensajes html.
Exactamente el componente afectado es Install Engine
Control (Active Setup), un componente ActiveX pobremente
documentado según explica Cuartango.

Como el propio Juan Carlos nos comenta, "El componente
Active Setup requiere software firmado para actuar, el
truco de Microsoft es que el software firmado por ellos
se instala sin ningún tipo de aviso al usuario, al
contrario de lo que ocurre con el de restos de casas,
y sin necesidad de que se encuentre en la lista de
certificados y compañías en los que se confía".

La demostración a la que hace referencia Cuartango
explica perfectamente la naturaleza del problema, y
puede ser reproducido sin ningún problema (ni peligro)
por cualquier usuario. En la demostración, en primer
lugar se puede instalar un certificado creado por el
propio Juan Carlos, tras lo cual se puede proceder a
ejecutar un programa firmado por dicho software, que
mostrará un aviso de instalación. Sin embargo, tras
ello, se puede comprobar como una llamada al instalador
de Explorer (software firmado por Microsoft), se
ejecuta sin preguntar de ninguna forma al usuario. En
este punto Juan Carlos apunta con una nota de humor
que podría instalar cualquier componente de Explorer,
pero que prefiere dejar nuestro sistema como está.

Más información:
Página demostración de Cuartango
Cinco Días




Antonio Ropero
antonior@hispasec.com



lunes, 21 de febrero de 2000

"Unicle" y "WinExt", las segundas oleadas

No hace demasiado tiempo analizábamos en esta misma sección las
características de dos innovadores i-worms: "BubbleBoy", de origen
argentino, y, más recientemente, el español "Plage2000". Ahora ha
llegado el turno de "Unicle" y "WinExt", las respectivas segundas
generaciones de sus predecesores, esperando que, por una vez, no
sea bueno el dicho de que "no hay dos sin tres".
Desde China nos ha llegado el primero, "Unicle", que, por suerte,
no es capaz de funcionar en versiones de Windows distintas a las
de su país de origen. Este dato, unido al bajo porcentaje de
usuarios chinos con acceso a Internet debido a las restricciones
gubernamentales, nos hace vaticinar que, afortunadamente, este
i-worm, a pesar de la intrinsecidad de su peligro, tiene pocos
argumentos a su favor para acabar apareciendo "in the wild".

Parece tratarse de un i-worm en fase experimental que, de un modo
u otro, ha caído en manos de las compañías antivirus. Al menos
eso es lo que se puede deducir a partir de una serie de rutinas
que parecen haber sido implementadas para llevar a cabo una serie
de funciones que finalmente no es posible encontrar en "Unicle".

Aspectualmente podríamos decir que se trata de un calco del ya
célebre "BubbleBoy": busca la carpeta "Inicio" y crea en la
misma una copia de su código en formato HTA, con el fin de ser
ejecutado automáticamente en los siguientes arranques de la
máquina infectada. La parte aparentemente experimental empieza
en el momento en que este i-worm busca un servidor SMTP en el
registro de configuraciones del usuario, para luego no usarlo
en ningún momento, y, sobre todo, cuando se conecta a un FTP,
del que intenta descargar un fichero autoextraíble, MSIE.EXE,
del que extrae sus contenidos y ejecuta precisamente uno de los
archivos resultantes, EXPLORER.EXE, sin ulteriores consecuencias
de cara a la integridad de los datos del usuario infectado.

Por su parte, le toca esta vez a Francia ser el país de origen
de un curioso i-worm que inevitablemente nos recuerda a otro
espécimen ya comentado por medio de este servicio, "Plage2000",
que desde hace unas semanas ha sido declarado "in the wild" por
diversas compañías antivirus. Se trata de "WinExt", un gusano
que se instala en los ordenadores infectados en el directorio
de sistema de Windows con el nombre WINEXT.EXE, y que es capaz
de responder los mensajes no leídos del usuario por medio de
rutinas MAPI. Todas las respuestas incluyen el prefijo "Re: "
delante del asunto de cada e-mail, y llevan como texto una de
cuatro posibles alternativas:

1) Hi, (destinatario)

[...Mensaje original...]

See You Soon



2) Salut (destinatario),

[...Mensaje original...]

A+.



3) [...Mensaje original...]

A bientot.



4) [...Mensaje original...]

J'ai bien re u ton message,
je m'en occupe rapidement.
En attendant, regardes le fichier joint.



Todas ellas, por supuesto, aparecen siempre acompañadas de una
copia del i-worm, que "viaja" con el nombre TRYIT.EXE. Por si
esto fuese poco, "WinExt" tiene ciertas capacidades de "puerta
trasera", por medio de las cuales admite comandos remotos que
permiten borrar mensajes o desinstalar el i-worm del sistema,
hecho que, en cualquier caso, tiene lugar de manera puntual en
el mes de agosto. Vemos así cómo un i-worm más se sube al carro
de los especímenes que, como "Cholera" o "Haiku", se desinstalan
de las máquinas infectadas tras haber concluído su trabajo.

Como nota anecdótica, quedaría por comentar la activación de
"WinExt", que tiene lugar aproximadamente veinte días antes de
autodestruírse: el gusano envía, entre una serie de posibles
textos, una felicitación de cumpleaños a la dirección de correo
electrónico "nathalie.paget@francetelecom.fr", firmada por el
presunto nombre real del autor del i-worm, "Loutine".

Más información:
"Unicle" (AVP)
"WinExt" (AVP)




Giorgio Talvanti
talvanti@hispasec.com



domingo, 20 de febrero de 2000

Parches, actualizaciones y comparativas legales

Erase una vez allá por el 29 de Octubre de 1992, que
unos señores (y tal vez alguna señora), decidieron
proteger los datos íntimos de las personas que
estuvieren informatizados a través de una ley, se
publicó la LORTAD. Lamentablemente no consiguieron
que fuese muy conocida por los ciudadanos de aquel
reino lejano, éstos últimos sólo aprendían con "el
garrote y la mano dura", así que, sólo, empezaron a
tomarse en serio dicha ley cuando comenzaron las
multas y sanciones (en 1998 ya hubo unas 500
denuncias, que provocaron más de 100 procedimientos,
que provocaron multas por valor de mas de 900 millones
de pts -unos 600.000 dolares-, la última ha sido de
10.000.001 pts por envío de correo no deseado). Se
escribió sobre la ley, se comentó sus aciertos y
errores, se le criticó, en ámbitos legales, por ser
tardía y no del todo acorde con la Directiva europea
sobre la cuestión, pero cuando empezaba a ser más
popular fue sustituida. ¿Por qué me acuerdo yo ahora
de "ventanas"?.
La sustituyó la Ley Orgánica 15/99 de 13 de diciembre,
que entró en vigor un més después, (14 de enero de
2000), se llama Ley Orgánica de Protección de Datos
(LOPD, o también empieza a conocerse como LPD). ¿Qué
novedades ha traido esta ley con respecto a la
anterior?.

1.- Objeto de la Ley.- Se ha borrado una simple
palabra, "automatizado", y el cambio conseguido es
importante. Es decir, la nueva ley se aplica ahora a
todos los ficheros de datos, estén o no informatizados.
Antes se protegían sólo los informatizados por
considerar que corrían más riesgo, (cosa que
personalmente opino cierta). Pongamos un ejemplo para
que se entienda, con la ley antigua una organización
podía almacenar los datos sobre salud de sus empleados,
(en papel), y si lo quería informatizar debía tener el
consentimiento de sus empleados, uno a uno; con la
nueva ley podrá tenerlo en el soporte que considere
mejor sin necesidad de consentimiento pero GUARDANDO
las medidas de seguridad establecidas por la normativa
legal para esos ficheros.

2.- El consentimiento.- El consentimiento del ciudadano
toma una papel mayor en todo el procedimiento, se exige
legalmente que el consentimiento "sea libre, inequívoco,
específico e informado". art. 5 de la nueva ley, además
exige que la información llegue a diferenciar entre
recogida de datos obligatoria o facultativa. La
información abarca también a poner en conocimiento del
ciudadano la identidad y dirección del responsable del
tratamiento (art.5.e).

3.- Derechos del ciudadano.- Una novedad muy interesante.
Antes se tenía sobre los ficheros (del ámbito de la ley),
libertad de acceso (derecho que es gratuito), derecho de
rectificación y de cancelación (se tiene un plazo de 10
días). Pero ahora, además de los anteriores, (como ya
obligaba la UE desde 1995), se tiene el derecho a la
oposición, es decir a que no llegue nunca a producirse
la tramitación de sus datos, (mediante solicitud y de
forma gratuita para el interesado), aunque se requiere
que existan motivos fundados y legítimos y se refieran a
una concreta situación personal.

4.- El encargado del tratamiento de datos.- Persona
física o jurídica, con la nueva ley el encargado de dicho
tratamiento debe adoptar las medidas de seguridad, pero
además es responsable directo en caso de infracción. El
art. 3 de la nueva ley habla de titular del fichero,
responsable del tratamiento y responsable del fichero,
para mi escaso entender me parece que causa una
confusión de conceptos cuando menos algo peligrosa, así
que habrá que esperar a que se defina en un nuevo
reglamento. Por ahora el art. 10 de la LPD obliga al
responsable del fichero, administradores de sistemas, de
redes, de bases de datos y personal de desarrollo
-programadores- con acceso a tales datos "al secreto
profesional... y a guardar tal secreto después de
terminar su relación..."

5.- Novedad absoluta.- Se crea "El Censo Promocional",
art. 31 de la LPD. Dice "Quienes pretendan realizar
permanentemente o esporádicamente la actividad de
recopilación de direcciones, reparto de documentos,
publicidad, venta a distancia, prospección comercial,
u otras actividades análogas, podrán solicitar al
Instituto Nacional de Estadística o de los órganos
equivalentes de las Comunidades Autónomas una copia del
censo promocional, formado con los datos del nombre,
apellidos y domicilio que constan en el censo
electoral". Parece que se intenta favorecer al
comercio, para envío de publicidad y promociones
comerciales. Si alguien no desea estar dentro de ese
censo promocional, cuando se den los datos para el
censo electoral deberá manifestarlo, y se supone que
será informado al respecto.

6.- Datos especialmente protegidos.- En la antigua
LORTAD ya se protegían los datos sobre solvencia
patrimonial y crédito, son más o menos los mismos de
antes, pero ahora se añaden los sindicales como datos
sensibles.

7.- En cuanto a movimientos de datos internacionales,
se prevé la actuación de la propia Agencia de
Protección de Datos (http://www.ag-protecciondatos.es/)
para la comprobación del nivel de seguridad que tiene
el país en cuestión.

8.- ¿Qué sigue en vigor de la antigua legislación?.-
Según la Disposición transitoria tercera de la ley,
los reglamentos tales como "RD 428/93 de 26 de marzo,
el RD 1332/94 de 20 de junio y el 994/99 de 11 de
junio, están en vigor, en tanto no se opongan a la
presente ley". Se prevé un nuevo reglamento propio, de
desarrollo de la nueva ley (LPD) en breve. Mientras
tanto, como queda recogido, esos reglamentos están en
vigor en lo no contrario a la ley, tal vez el más
importante sea el 994/99 de 11 de junio (se puede ver
en el BOE nº 151, de 25 de junio). Sobre ese
reglamento y los niveles de seguridad (fundamental),
y responsabilidad de los informáticos en la seguridad
de la información y los datos de carácter personal,
ver noticia HispaSec "una-al-día" de 05/01/2000.

Más información:
05-01-2000 - Seguridad en datos personales




Eusebio del Valle
evalle@hispasec.com



sábado, 19 de febrero de 2000

Ataques a través del autorun

Existe una vulnerabilidad con relación al archivo autorun.inf,
por lo que afecta a todas las versiones de Windows, aunque con
mayor gravedad a Windows NT.
Como ya sabrán muchos de nuestros lectores el archivo autorun.inf
se usa principalmente en los CDs para guardar la información de
lo que debe de hacer el sistema cuando se introduzca un nuevo
disco en la unidad. Este archivo puede contener información sobre
el icono que debe mostrar para identificar la unidad y los
programas a ejecutar.

La vulnerabilidad existe porque el archivo autorun.inf no sólo se
aplica a unidades de CD, sino que puede ser situado en cualquier
otra unidad con los mismos resultados. Si se sitúa un ejecutable
en la raíz de cualquier unidad, de forma que compruebe el usuario
y los permisos, de forma que si el usuario no posee ningún
privilegio abra el Explorador de forma normal. Pero si el usuario
tiene privilegios de administración, se puede realizar cualquier
otra acción como instalar un troyano o subir los privilegios del
atacante.

El exploit requiere que el atacante tenga permisos de escritura
en el directorio raíz de una unidad local para poder grabar el
archivo autorun.inf malicioso. No es raro que se posea este tipo
de permisos, especialmente en unidades diferentes a C:. Esta
vulnerabilidad puede emplearse conjuntamente con cualquier otra
que permita subir archivos al directorio raíz, con la
particularidad de que no es necesario conocer ninguna ruta en
concreto, el directorio raíz de cualquier unidad es más que
suficiente.

Para evitar este problema debe deshabilitarse la opción de
autorun, para lo cual se puede localizar en el registro la ruta
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom
y cambiar el valor de la clave Autorun de 1 a 0. Tras cerrar el
registro se debe reiniciar el ordenador para que los cambios
surjan efecto.

Más información:
Bugtraq




Antonio Ropero
antonior@hispasec.com



viernes, 18 de febrero de 2000

Francia demandará a EE.UU. y al Reino Unido por la red ECHELON

El gobierno francés demandará a los gobiernos de Estados
Unidos y Reino Unido, tras hacer público que han estado
espiando las comunicaciones francesas durante décadas.
Los seguidores de "una-al-día" y foros de debate de
ciberderechos conocen de sobra qué es Echelon; los nuevos
lectores pueden conseguir más información en la lista de
enlaces al final de este boletín.

La novedad, en esta ocasión, sobre este "secreto a voces",
es que Francia va a querellarse contra los principales
gobiernos responsables de esta red de espionaje por
atentar contra la seguridad en las comunicaciones de la
población y las empresas francesas.

Dicen, por ejemplo, poseer pruebas de que la pérdida de un
contrato de 3.5 miles de millones de libras esterlinas del
consorcio europeo Airbus, en 1995, en favor de la compañía
norteamericana Boeing, fue debido al espionaje de su oferta.

Se plantean, también, los riesgos de que un miembro de la
comunidad europea sirva de nodo de espionaje a países con
intereses comerciales en clara competencia, como es el
caso de Estados Unidos.

Más información:
French to sue US and Britain over network of spies
08-02-2000 - Documentos desclasificados confirman la existencia de "Echelon"
16-4-1999 - Bruselas estudia cómo pinchar Internet
Zona Enfopol
Zona Enfopol-2



Jesús Cea Avión
jcea@hispasec.com



jueves, 17 de febrero de 2000

Ingeniería social convierte a simples usuarios en ladrones

Un reciente artículo en un popular informativo online
informa de un inteligente truco o timo por el que un
simple usuario haciendo una compra online se convierte
en un usuario de tarjetas de crédito robadas.
Típicamente la dinámica es la siguiente:

1. Un usuario entra en un sitio de mercadillo o subastas
"online", donde puede observar una auténtica ganga por
un precio muy inferior al del mercado, con manuales,
embalajes originales, etc.

2. El usuario se muestra interesado por semejante oferta
y se pone en contacto con el propietario.

3. El propietario le dá todas las facilidades del mundo.
Incluso se ofrece a enviar la mercancía al domicilio del
incauto cliente, sin una señal monetaria previa. Sólo
exige un compromiso de devolución del producto, si no se
está satisfecho, o la transferencia de la cantidad
acordada si la mercancia le satisface.

4. Dado semejante "chollo", el cliente no duda en
proporcionar su dirección postal, nombre, etc.

5. Con esa información, el "pretendido" propietario de
la mercancía realiza una compra online del producto en
cuestión, naturalmente a precios de mercado. Para ello
emplea una tarjeta de crédito robada. Como dirección de
envío, pone los datos del usuario inicial.

6. Tras unos días, el usuario recibe la mercancía en su
casa y, con casi total seguridad, realizará la
transferencia bancaria.

El efecto neto es que al propietario de la tarjeta de
crédito se le efectúa al cargo, el usuario final tendrá
en su propiedad mercancía robada y el verdadero criminal
recibirá un jugoso ingreso en una cuenta de difícil
seguimiento, típicamente en el extranjero.

Más información:
Scam tricks users into 'stealing'




Jesús Cea Avión
jcea@hispasec.com



miércoles, 16 de febrero de 2000

Problema de gestión de claves en MySQL

Cualquier usuario con acceso a un servidor MySQL y privilegios "GRANT"
para cualquier base de datos o tabla en él, puede cambiar cualquier
clave MySQL que desee, incluyendo la clave del propio administrador.
MySQL es una de las bases de datos SQL más populares en el mundo UNIX,
por sus gran velocidad y por su licencia OpenSource. Gracias a esta
apertura, ha sido posible encontrar el problema y solucionarlo de forma
casi inmediata.

El problema afecta a las versiones 3.22.30 e inferiores, y ya se está
distribuyendo la versión 3.22.32, que soluciona éste y otros problemas.
Se recomienda una actualización inmediata.

Aquellos administradores que no puedan instalar la versión 3.22.32 en
sus sistemas, pueden instalar el parche que sigue (una de las virtudes
del software OpenSource):



*** /my/monty/master/mysql-3.23.8-alpha/sql/sql_parse.cc Fri Dec
31 13:53:03 1999
--- ./sql_parse.cc Mon Jan 10 21:53:59 2000
***************
*** 1222,1227 ****
--- 1222,1246 ----
tables ? &tables->grant.privilege : 0,
tables ? 0 : 1))
goto error;
+
+ /* Check that the user isn't trying to change a password for
another
+ user if he doesn't have UPDATE privilege to the MySQL database
*/
+
+ List_iterator user_list(lex->users_list);
+ LEX_USER *user;
+ while ((user=user_list++))
+ {
+ if (user->password.str &&
+ (strcmp(thd->user,user->user.str) ||
+ user->host.str && my_strcasecmp(user->host.str,
+ thd->host ? thd->host :
thd->ip)))
+ {
+ if (check_access(thd, UPDATE_ACL, "mysql",0,1))
+ goto error;
+ break; // We are allowed to
do changes
+ }
+ }
+
if (tables)
{
if (grant_option && check_grant(thd,



Como hemos dicho, se recomienda una actualización inmediata a 3.22.32.

Debido a que esta versión es pública desde hace muy pocos días, es
posible que muchos de los "mirrors" de MySQL todavía no se hayan
actualizado. En ese caso se recomienda descargar dicha versión desde el
web de sus propios autores, que es el último enlace que se indica.

Más información:

MySQL
http://www.mysql.com
http://www.mysql.net

http://www.tcx.se/



Jesús Cea Avión
jcea@hispasec.com



martes, 15 de febrero de 2000

Un agujero en Windows 2000 permite acceder a información sensible

Novell ha descubierto una vulnerabilidad en el Directorio Activo
(Active Directory) de Windows 2000, por la cual se puede llegar a
acceder a información dentro del sistema corporativo a la que
supuestamente debería estar restringido.
El problema hace relación a una nueva capacidad de Windows 2000,
el nuevo sistema operativo de Microsoft, conocida como Directorio
Activo. Esta posibilidad viene a ayudar a las organizaciones y a
los administradores, como forma de reducir los múltiples dominios
que pueda tener una red corporativa.

En la actualidad, con Windows NT las redes Microsoft proporcionan
capacidades de seguridad en la administración al establecer áreas
sensibles dentro del propio dominio y bloquear su acceso. Sin
embargo, dominios individuales incrementan significativamente la
carga de administración y reducen la productividad. Windows 2000
con Directorio Activo aspira a reducir la carga del trabajo de
administración.

El Directorio Activo añade una nueva funcionalidad por la cual se
pueden heredar permisos dentro de un único dominio. Así, el
dominio se puede dividir en "Unidades Organizativas" (OU,
Organizational Units) y la información o servicios situarse
dentro de las subsecciones del dominio. El sistema, permite a un
administrador de dominio delegar permisos administrativos que se
ejecuten bajo la estructura de herencia del directorio.

El uso de esta característica incluida en el Directorio Activo
puede reducir la administración requerida en un entorno con
múltiples dominios, pero permite acceso a todas las partes de la
red. Para prevenir los accesos sin autorizar se necesita cierto
tipo de bloqueo, que se proporciona mediante al ocultar objetos y
bloquear permisos padres a todos los objetos de una unidad
organizativa especificada. El proceso para llevar esto a cabo
queda documentado en el Windows 2000 Resource Kit Deployment
Planning Guide.

El problema

Mientras el Directorio Activo soporte la capacidad de bloquear
derechos de accesos heredados existirá un agujero de seguridad,
por el cual, un administrador podrá eliminar dicho bloqueo, y
así, habilitarse el acceso a la información corporativa más
sensibles (p.ej. nóminas).

Si un administrador usa la utilidad de adminstración "Active
Directory Users and Computers" para intentar acceder a la
información en una unidad organizativa oculta, la información,
como es de esperar no está disponible. Sin embargo, si selecciona
otra unidad organizativa primero y selecciona su lengüeta de
seguridad y tras ello, va a la unidad organizativa oculta, no
sólo cerá la configuración de seguridad sino que también
administrará los derechos de seguridad. En este momento el
administrador puede cambiar los derechos de los objetos de dicha
sección, con lo que se podrá garantizar un método para futuros
accesos y esconder su acceso inautorizado.

Este fallo no está causado por derechos relacionados con los
grupos del dominio, como el del grupo Administradores de Dominio.
Ya que el problema sigue reproduciendose aunque dicho grupo se
añada específicamente en el departamento con permisos de DENEGAR
(DENY).

Este problema sale a la luz pocos días después de que se hiciera
público el contenido de un mensaje en el que uno de los
directivos del grupo de desarrollo de Windows 2000 declaraba que
el nuevo sistema operativo de Microsoft tenía 63.000 bugs o
defectos.

Más información:
Novell
Silicon.com



Antonio Ropero
antonior@hispasec.com



lunes, 14 de febrero de 2000

¿Está Ud. cómodo?

Casi siempre que se piensa en seguridad informática se
piensa en la máquina, en los programas, en passwords,
etc... pero ¿que es la máquina sin el hombre que la
controla y/o usa?, ¿quien piensa en su seguridad?,
sobre este tema escribo hoy. Seguridad, pero, para
quien trabaja con ordenadores.
Estas son algunas de las patologías que empiezan ya a
darse, en la realidad, y en algún Juzgado de lo Social
en relación con "las tecnologías", así: trastornos
visuales y vista cansada, dolores de hombro cuello y
espalda, síndrome de túnel carpiano, inflamación de
nervios de la mano, tendinitis, y patologías
psicológicas como la despersonalización, y el stress.
Entre las desconocidas figura la influencia de las
radiaciones de los monitores, en Estados Unidos,
algunos estados, están empezando a restringir el uso a
mujeres embarazadas.

Sobre este punto comentar que en el Ayuntamiento de
XXX (ciudad española de mas de 3,5 millones de
habitantes) existen actualmente unas 3.500 Pantallas
de Visualización de Datos (PVD) por lo que se estima
que un 20% de la plantilla municipal trabaja de forma
habitual con equipos informáticos. Una encuesta
realizada, en dicho ayuntamiento, para evaluar
condiciones de trabajo de los puestos de PVD, y su
adaptación a la normativa vigente y los criterios de
ergonomía recomendados por el Instituto Nacional de
Seguridad e Higiene en el Trabajo, según las Normas
ISO 9241 y EN 29241, desveló que: " un elevado número
de trabajadores considera inadecuado su entorno de
trabajo tanto por deficiencias en la iluminación
(deslumbramientos: 48,7%; reflejos: 58,1%) como por
falta de ventilación (45,6%). En cuanto al mobiliario,
un 49,6% considera inadecuada su mesa de trabajo por
falta de espacio, un 31,5% no puede apoyar las manos
delante del teclado, más del 80% carecen de
portadocumentos y de reposapiés y un 35% no disponen
de silla con respaldo ergonómico. Un 58,1% refieren
molestias en la visión y el 70,2% molestias
musculo-esqueléticas, principalmente en cervicales y
espalda".

El problema es que estas enfermedades deberían ya
tener su corrección y tratamiento legislativo como
"enfermedad profesional", recordar que la calificación
como "enfermedad profesional o enfermedad habitual"
determina una muy diferente cantidad a cobrar por
pensión o incapacidad del trabajador en caso de baja
temporal o permanente.

Pero si el problema puede ser grande para quien trabaja
en empresas privadas u organismos oficiales, aumenta
considerablemente para los teletrabajadores. Se empieza
a considerar a una persona teletrabajador, cuando se
cumplen estos requisitos:

1) Que los instrumentos de trabajo sean del empresario.

2) Que el trabajo no sea esporádico.

3) Que exista una coordinación del empresario, que
normalmente tiene dos formas de exteriorizarse: mediante
instrucciones previas y control posterior; o mediante un
control mas continuado a través del propio cable que les
une.

4) Se trate de una prestación personal.

5) El pago suele ser por trabajo hecho, a no ser que el
control del empresario sea tan constante que se pueda
cuantificar por el tiempo dedicado.
Para estos casos el contrato suele tener la forma de
"Contrato de Trabajo a Domicilio", y esto es importante,
ya que ha de ser realizado por escrito, con visado de la
Oficina de Empleo, indicando el lugar donde se desempeña
el trabajo, según dice la ley, para "que puedan
comprobarse las medidas de seguridad que se
determinen...".

Me pregunto: si en un Ayuntamiento de "primer nivel" no
se cumplen en su totalidad las normas sobre seguridad,
¿ha visto alguien a algún funcionario de Inspección de
Trabajo visitando domicilios de teletrabajadores para
comprobar su seguridad y lo adecuado o no de su lugar
de trabajo?. ¿A alguien le extraña pues, que se
inviertan, por empresas y organismos oficiales, grandes
cantidades de dinero en la seguridad de maquinas,
portales, webs, programas..., y se olvide lo principal?.
La seguridad en el trabajo no es sólo para el sector de
la construcción.

Normativa de interés:

Art. 43 de la Constitución, "se reconoce el derecho a
la protección de la Salud", a ello hay que añadir el
propio Estatuto de los Trabajadores, por ejemplo,
art. 4.2.d), "el trabajador tiene derecho a una
política de seguridad...", estas son las normas básicas
pero hay que tener en cuenta el Convenio del Sector, y
sobre todo la Ley de Prevención de Riesgos Laborales de
1995.

La Ley 31/95 de 8 de Noviembre de Prevención de
Riesgos Laborales, se puede encontrar en el BOE nº 269
de 10 de Noviembre de 1995 o a través de la dirección
http://www.ccoo.es/legislacion/ (Sindicato Comisiones
Obreras).




Eusebio del Valle
evalle@hispasec.com



domingo, 13 de febrero de 2000

Ataques masivos. ¿Es tan fiero el león como lo pintan?

En los últimos días, los medios de comunicación se han hecho eco de ataques masivos a lugares tan emblemáticos en el universo Internet como Yahoo!, Amazon, CNN, eBay, Buy, ZDNet, etc. Se habla de ataques de "hackers", de peligro para la seguridad de Internet, de estado de guerra... ¿Qué hay realmente detrás de las noticias sensacionalistas?. ¿Está justificado el alarmismo?.

En realidad, el tipo de ataques del que hablamos, denominado de "denegación de servicio" ("DoS" en sus siglas inglesas), no supone un compromiso para la seguridad de las máquinas. No modifica páginas web ni obtiene listados de claves o de números de tarjetas de crédito. Se trata, sencillamente, de entorpecer el acceso de los usuarios a los servicios de la máquina, pero sin comprometer estos directamente.

En ese sentido, estos ataques acostumbran a ser poco sofisticados y se basan en fallos de diseño inherentes a Internet o a la aplicación. En cuanto el ataque finaliza, todos los servicios vuelven a estar disponibles de nuevo, como si nada hubiera pasado.

Aunque los ataques de denegación de servicio son una constante en Internet desde sus comienzos (sin ir más lejos, el célebre gusano de Morris desencadenó un ataque DoS por un error de programación), generalmente se han desarrollado a pequeña escala. No obstante, en la segunda mitad de 1.999 se tuvo constancia de la existencia de varias herramientas para realizar ataques de denegación de servicio de forma coordinada, a gran escala.

¿Implica esto que estamos ante una conspiración mundial de "hackers"?. En absoluto. Dejando al margen el hecho de que un "hacker" que se precie de serlo nunca respaldaría estas prácticas, las herramientas comentadas en el párrafo anterior posibilitan que una sola persona controle un ataque DoS desarrollado desde centenares de máquinas repartidas por todo el mundo.


¿Cómo es esto posible?


Como bien saben los seguidores de "una-al-día", se descubren fallos de seguridad todos los días, en aplicaciones y en sistemas operativos. Algunos de esos fallos permiten que atacantes remotos ejecuten código arbitrario en las máquinas vulnerables, con privilegios elevados. En un contexto así, desplegar un ataque DoS es trivial.

Todo lo que tiene que realizar el atacante es localizar máquinas vulnerables e instalar un "demonio" en cada una de ellas. Ese programa "demonio" aceptará comandos provenientes del atacante como, por ejemplo, realizar un ataque DoS contra una máquina determinada.

Por lo tanto, cuando los medios hablan de ataques desde "50 sitios", no significa necesariamente que 50 personas u organizaciones se hayan puesto de acuerdo. Es perfectamente posible que esos 50 lugares estén bajo el control de una única persona.

Dicha persona ni siquiera necesita ser un usuario experto, un "hacker". Este tipo de herramientas prácticamente funcionan solas. En muchos casos, sencillamente hay que especificar un objetivo, y ellas se encargarán de analizarlo buscando una serie de vulnerabilidades. Si el ataque de "infección" tiene éxito, la herramienta se copia y se instala de forma automática. Incluso puede tener la capacidad de sondear Internet de forma automática.

Una vez que se controla una máquina, ésta informa al atacante de su disponibilidad para aceptar sus órdenes. Aunque el ataque "de infección" sólo tuviera éxito en el 0.01% de los casos, con decenas de máquinas conectadas a Internet, las posibilidades de reunir recursos dispersos bajo el control de una única persona son inmensas.


¿Cómo funciona un ataque de denegación de servicio?

Ataque DoS es un concepto genérico. Hay multitud de ataques de denegación de servicio, y se descubrirán más. Algunos de los más habituales son:

* Net Flood:

Este ataque simplemente aspira a degradar la conectividad Internet de una red mediante la saturación de sus enlaces de comunicación.

Si, por ejemplo, la organización atacada tiene un enlace Internet de 2Mbps (Megabits por segundo) y el atacante suma 34Mbps, está claro que la línea de menor capacidad prácticamente estará monopolizada por "tramas" atacantes, dejando muy poco sitio para que se curse tráfico útil.

¿Cómo consigue el atacante contar con grandes anchos de banda?

Una posibilidad es coordinar ataques simultaneos desde varias localizaciones, utilizando las herramientas descritas más arriba. Por otra parte, existen multitud de redes de gran capacidad con máquinas mal administradas y completamente inseguras, como la mayoría de las universidades.

Al igual que ocurre con los ataques DoS, "net flood" es también un concepto genérico, que engloba diversos tipos de ataques. Uno de los más interesantes es el "smurf".

El ataque "smurf" utiliza una característica de Internet: broadcast. Toda red tiene lo que se denomina una dirección de "broadcast". Los datagramas enviados a esa dirección son recibidos por todas las máquinas en la red local. Ello permite, por ejemplo, que una máquina localice un servidor proporcionando un servicio haciendo una pregunta a la red, no preguntando máquina por máquina.

El problema de la dirección "broadcast" es que suele estar disponible también para usuarios de fuera de la red local, en particular para todo Internet. Ello permite, por ejemplo, que un atacante envíe un pequeño datagrama a toda una red remota, y que las máquinas de dicha red respondan todas a la vez, posiblemente con un datagrama de mayor tamaño. Si la red sondeada tiene 150 máquinas activas, la respuesta es 150 veces más intensa. Es decir, se consigue un efecto "multiplicador".

¿Qué ocurre ahora si el atacante utiliza la dirección IP de otro sistema? (lo que se denomina "IP Spoofing"). ¡¡Que las respuestas de la red a la que se hace "broadcast" serán enviadas a la dirección IP del tercer sistema!!. Es decir, el atacante está atacando una red empleando otra red intermedia para multiplicar sus recursos.

Si, por ejemplo, el atacante dispone de una RDSI, y utiliza como multiplicadores cinco redes con 10 máquinas en cada una de ellas, por poner un ejemplo, la red final recibirá datagramas a una tasa de 3.2Mbps, al menos. El atacante ha multiplicado sus recursos por 50, como mínimo.

Lo peor de todo es que este ataque ni siquiera implica controlar las redes que se emplean como multiplicadoras.


* Syn Flood:


El protocolo TCP de Internet, sobre el que se basa la mayoría de los servicios (incluyendo el correo electrónico, el web y el IRC) implica una conexión entre dos máquinas. El establecimiento de dicha conexión se realiza mediante lo que se llama "conexión en tres pasos", precisamente porque requiere la realización de tres pasos iniciales antes de que la conexión se pueda considerar establecida. Si el paso final no llega a establecerse, la conexión permanece en un estado denominado "semiabierto".

El problema es que muchos sistemas operativos tienen un límite muy bajo en el número de conexiones "semiabiertas" que pueden manejar en un momento determinado. Si se supera ese límite, el servidor sencillamente dejará de responder a las nuevas peticiones de conexión que le vayan llegando. Las conexiones "semiabiertas" van caducando tras un tiempo, liberando "huecos" para nuevas conexiones, pero mientras el atacante mantenga el "syn flood", la probabilidad de que una conexión recién liberada sea capturada por un nuevo "syn" malicioso es muy alta.

Para hacernos una idea de la potencia de este ataque baste decir que muchos sistemas operativos fijan un límite del orden de 5-30 conexiones "semiabiertas", y que éstas caducan al cabo de un par de minutos. Para mantener el servidor fuera de servicio, un atacante sólo necesita enviar un paquete "syn" cada 4 segundos. Algo al alcance de, incluso, un módem de 300 baudios.

Este ataque suele combinarse también con "ip spoofing" (enviar los paquetes con la dirección de una tercera red) de forma que la red atacada "ve" un ataque proveniente de esa tercera red, no proveniente del atacante real.

En la actualidad, la mayoría de los sistemas operativos son inmunes a este ataque, siempre y cuando el administrador de las máquinas se haya preocupado de instalar la última versión del sistema o haya aplicado a las versiones antiguas el parche correspondiente.


* Connection Flood:


Todo servicio de Internet orientado a conexión (la mayoría) tiene un límite máximo en el número de conexiones simultaneas que puede tolerar. Una vez que se alcanza ese límite, no se admitirán conexiones nuevas.

Así, por ejemplo, un servidor Web puede tener capacidad para atender a mil usuarios simultáneos. Si un atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, pero el atacante sólo necesita intentar conexiones nuevas constantemente, como ocurre con el caso del "syn flood".

Afortunadamente este ataque implica que la conexión tiene lugar o, lo que es lo mismo, que se completa la negociación en tres pasos que comentábamos en la sección anterior. Debido a ello la máquina atacada tiene constancia de la identidad real del atacante. Al menos, si sus administradores merecen su sueldo y saben qué comandos utilizar...


¿Cómo defenderse de este tipo de ataques?

La respuesta sencilla es "no puedes". Muchos de estos ataques de denegación de servicio se basan en fallos de diseño inherentes a Internet, por lo que no son "solucionables" en un plazo breve de tiempo.

Los ataques de "syn flood" ya no son un problema, si se instala un sistema operativo actualizado.

Los ataques de "connection flood" pueden ser detectados por un administrador de sistemas eficiente, y se pueden filtrar en el cortafuegos corporativo, siempre que los sitios atacantes sean pocos.


Por último, tenemos el caballo de batalla real: "net flood".

En estos casos, la red víctima no puede hacer nada. Aunque filtre el tráfico en sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolas para cursar tráfico útil. Un ejemplo habitual es el de un teléfono: si alguien nos quiere incordiar, sólo tiene que llamarnos por teléfono, de forma continua. Y si descolgamos el teléfono para que deje de molestar, nos encontramos con que tampoco podemos recibir llamadas de otras personas. Este problema es habitual, por ejemplo, cuando alguien intenta mandarnos un fax empleando nuestro número de voz, y el fax insiste durante horas y horas... sin que el usuario llamado pueda hacer nada al respecto.

En el caso de "net flooding" ocurre algo similar. Aunque filtremos el ataque en nuestro cortafuegos, nos encontramos con que nuestras líneas estarán tan saturadas de tráfico que las conexiones auténticas simplemente no pueden competir. En casos así el primer paso a realizar es el ponerse en contacto con nuestro "carrier" (el operador de "backbone") para que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en su extremo de la línea (normalmente de bastante mayor capacidad que nuestro extremo).

El siguiente paso consiste en localizar las fuentes del ataque e informar a sus administradores, ya que seguramente se estarán usando sus recursos sin su conocimiento y consentimiento. Si el atacante emplea "ip spoofing", esto puede ser casi imposible.

En muchos casos, la fuente del ataque es, a su vez, víctima. El origen último puede ser prácticamente imposible de determinar.

Este paso puede ser bastante lento y requerir la ayuda del personal técnico del "carrier" o "backbone". Si el ataque dura poco tiempo, un par de horas, puede resultar imposible movilizar los recursos necesarios para localizar su fuente.

¿No hay esperanza entonces?

Sí, pero se trata de medidas preventivas. Medidas que toda red y operador serio debe desplegar cuanto antes:

- Mantener las máquinas actualizadas y seguras:

Ello implica tener personal especializado en cuestiones de seguridad (o subcontratarlo).

Aunque una máquina no contenga información valiosa, hay que tener en cuenta que puede resultar útil para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera dirección.

- No permitir el tráfico "broadcast" desde fuera de nuestra red:

De esta forma evitamos ser empleados como "multiplicadores" durante un ataque "smurf".

- Filtrar el tráfico "ip spoof":

Esto es algo que todo "carrier" o "backbone" debería hacer, y que permitiría localizar y solucionar el problema con una gran rapidez. En pocas palabras, estos filtros evitan que un atacante se pueda hacer pasar por otro usuario.

- No tener proxies abiertos a todo Internet:

Algunos administradores tienen sus proxies, wingates, open sesame, SOCKS, SQUIDs, etc. abiertos a todo el mundo, sin ser conscientes de ello. Esto permite que cualquier usuario de Internet pueda atacar cualquier sistema responsabilizando a esa red intermedia mal administrada.

- Auditorias de seguridad y sistemas de detección:

Las herramientas DoS que posibilitan ataques coordinados tienen una serie de huellas en la red local cuando, por ejemplo, se comunican con su "dueño". Existen herramientas de seguridad que permiten reconocer estas huellas, con lo que el administrador sabrá que ha sido contaminado antes de que su sistema haya sido empleado en un ataque masivo.


Como colofón:

* Los ataques DoS pueden prevenirse, pero requieren de la cooperación de todo Internet (por ejemplo, para evitar "IP Spoofing"). La seguridad de la red depende de la seguridad de cada uno de sus componentes.

* En la mayor parte de los casos, un ataque DoS distribuido implica una red de máquinas cuya seguridad se ha vulnerado, no la existencia de una conspiración mundial.

* Un ataque DoS no ocasiona un "colapso del sistema informático" o "importantes daños informáticos", como ha salido publicado en diferentes medios. Si los sistemas están bien administrados, todo vuelve a la normalidad una vez finalizado el ataque.

* Estamos ante un nuevo paradigma de ataque, en el que se ha sustituido el ataque sistemático y elaborado a un sistema en concreto, por ataques mucho más sencillos pero masivos. Con el número de máquinas que hay conectadas a Internet que existen en la actualidad, una vulnerabilidad explotable en el 0.01% de los casos supone millones de máquinas a merced de cualquiera.

* Un ataque DoS no es obra de "hackers".

Como nota curiosa, el 7 de Febrero se organizaba un encuentro "birds of a feather" (¿alguien me ofrece una traducción aceptable al castellano?) para discutir los peligros de las nuevas herramientas de ataque DoS distribuido. Una cronología, cuando menos, sospechosa.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Dada la longitud de las referencias, en este boletín, las incluímos
separadas por categorías.

Artículos periodísticos en castellano

¿Quién, cómo y por qué?

Bloqueados los principales servicios de Internet por un ataque
informático masivo

Oleada de ataques en Internet... ¿quién será el siguiente?

EE.UU. le declara la guerra al sabotaje cibernético

Vándalos informáticos atacan nuevas páginas en la red; Wall Street está
nerviosa

Una oleada de ataques hacker deja sin funcionamiento a los principales
webs

Más sitios bajo fuego en el segundo día de ataques en Internet

Internet Frágil

Cualquier ordenador pudo participar en el bloqueo de la Red sin saberlo,
según el FBI

La Red, tan libre como vulnerable

El grupo '2600' defiende la inocencia de los hackers en los ataques a
webs

Artículos periodísticos en inglés

Yahoo Attributes a Lengthy Service Failure to an Attack

Hackers attack, overwhelm Yahoo!

Yahoo brought to standstill

Yahoo Unplugged by Hackers

Attack forces shutdown of Yahoo

Vandals hit more top Internet sites

As New Year nears, threat of Net attack program mounts

Routers Blamed for Yahoo Outage

Misconfigured routers blamed for spate of Internet attacks

HACKERS TO BLAME? DOUBTFUL

Información técnica

CERT® Incident Note IN-99-07 Distributed Denial of Service Tools

CERT® Advisory CA-99-17 Denial-of-Service Tools

CERT® Advisory CA-2000-01 Denial-of-Service Developments

BRINGING DOWN THE WEB

Jan 10, 2000 - Alert: Distributed Denial of Service (DDoS)

CERT Distributed Intruder Tools Workshop

Results of the Distributed-Systems Intruder Tools Workshop

The "stacheldraht" distributed denial of service attack tool

The DoS Project's "trinoo" distributed denial of service attack tool

The "Tribe Flood Network" distributed denial of service attack tool

Distributed Denial of Service Attacks

NATIONAL INFRASTRUCTURE PROTECTION CENTER; TRINOO/Tribal Flood Net/tfn2k

A Note On Distributed Coordinated Attacks

Managing Network Security: Countering DCAs

Changing the Default for Directed Broadcasts in Routers

Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source Address
Spoofing

Denial of Service Attack using the trin00 and Tribe Flood Network
programs

Characterizing and Tracing Packet Floods Using Cisco Routers

Improving Security on Cisco Routers

THE LATEST IN DENIAL OF SERVICE ATTACKS: "SMURFING"
DESCRIPTION AND INFORMATION TO MINIMIZE EFFECTS

Global Incident Analysis Center

DDOS Attack Mitigation

F-Secure Virus Information Pages

TFN2K

sábado, 12 de febrero de 2000

Páginas asp con errores pueden revelar el código fuente

Las páginas asp que presentan errores en tiempo de ejecución
se ven expuestas a un agujero de seguridad que revela parte
de su código fuente.
El lenguaje asp surge como una extensión al código html para
permitir un mayor dinamismo en la presentación de contenidos y
obtener una mayor potencia del servidor web. Pero si la
programación de estas páginas no se realiza de forma correcta
puede producir graves problemas que pueden permitir a un atacante
la posibilidad de acceder a datos, robar información e incluso
llegar a tomar el control de la maquina.

Si existen errores en una página asp o en sus componentes se
pueden producir mensajes de error que incluyan la ruta de los
archivos include que se usan para la creación del archivo asp.
Estos archivos archivos include pueden por tanto recibirse y
pueden incluir información sensible como localización de
recursos, estructura del sitio web y de la red y modelos de
negocios.

El problema es más grave aun, ya que en determinadas ocasiones
estas páginas asp fallidas son indexadas por los motores de
búsqueda lo cual permite a un potencial atacante realizar
consultas en estos motores para localizar sitios web con este
problema.

Por ejemplo, basta acudir al motor de búsqueda Altavista
(www.altavista.com) y realizar una consulta como +"Microsoft
VBScript runtime error" +".inc, ". Tras ello, se debe buscar en
los resultados la ruta y el nombre del fichero include, a lo cual
se añadirá la dirección web del servicio vulnerable. Sólo queda
cargar dicha página en el navegador.

Por ejemplo, tras realizar la búsqueda especificada se puede
producir una respuesta como la siguiente:

Microsoft VBScript runtime error '800a0005' Invalid procedure
call or argument: 'mid' /include/browser.inc, line 4 ...
URL: www.maquina_atacada.com/

Bastará con añadir la ruta del archivo include al nombre de la
url, para formar www.maquina_atacada.com/include/browser.inc

Para solucionar este problema se pueden tomar varias acciones, en
primer lugar es misión de los programadores realizar una
depuración completa y adecuada del contenido asp antes de su
publicación. También se puede obligar al servidor IIS a no
mostrar los mensajes de error al navegador. Para ello, en IIS
4.0, en el Administrador de Servicios Internet (Internet Service
Manager) abrir las propiedades del sitio web que se desea
tratar. Seleccionar la lengüeta Directorio ('Directory' o 'Home
Directory') y bajo Aplicaciones ('Applications' ) pulsar
Configuración ('Configuration'). Seleccionar Depurado App ('App
Debugging') y seleccionar Enviar mensaje de error al cliente
('send text error message to client') y por último introducir el
texto deseado. También se puede hacer uso de ACLs para restringir
el acceso a todos los archivos que no deban ser enviados al
navegador.

El problema radica en que si el servidor se ve afectado por este
problema, aunque se trate y se consiga solucionar mediante los
medios anteriormente indicados, aun podrá existir la posibilidad
de que algún atacante visualice dichos archivos, debido a la
información almacenada en los motores de búsqueda, por lo cual
también será recomendable renombrar todos los archivos .inc,
incluso es recomendable pasar dichos archivos a código asp.

Más información:
Packetstorm
Securityfocus



Antonio Ropero
antonior@hispasec.com