viernes, 31 de marzo de 2000

Extraña vulnerabilidad en IIS envía código fuente de páginas asp

Microsoft publica un parche para evitar un problema en Internet
Information Server por el que bajo condiciones muy raras podía
provocar que el servidor enviara el código fuente de páginas ASP.
El problema se da en condiciones muy poco habituales. Si un directorio
virtual en un servidor IIS está mapeado sobre una unidad compartida, y
una petición de un archivo en ese directorio termina con uno o varios
caracteres particulares, el procesamiento de la extensión ISAPI no se
lleva a cabo. Lo que provoca que se envíe el código fuente del archivo
solicitado al navegador.

Como explica Microsoft existen significantes restricciones que
incrementan la dificultad de explotar esta vulnerabilidad. Por diseño,
los directorios virtuales esconden la localización actual de los
archivos, en la mayoría de ocasiones un atacante no puede determinar
los archivos de un servidor que residen en una unidad compartida.

Por otra parte, muchos navegadores corrigen las peticiones que
contienen los caracteres que causan el problema, bien eliminando
dichos caracteres o modificándolos.

Las prácticas de seguridad recomiendan que los programadores no
incluyan ninguna información relevante en el código fuente de las
páginas web (html, asp o similares). Pero, en ocasiones se incluye
información como passwords en los archivos con el objeto de
personalizar o proteger el contenido que generan las páginas. Por este
motivo, si el código fuente de la página, se envia al navegador este
puede proporcionar a un atacante valiosa información para comprometer
la seguridad del sitio web.

La vulnerabilidad sólo ocurre cuando se realiza una petición a un
archivo en una unidad compartida empleando la nomenclatura UNC
(Universal Naming Convention), es decir, de la forma
\\Maquina1\directorio. Esto es, la vulnerabilidad sólo existe si el
archivo solicitado no reside en el servidor web, sino que se aloja en
otra máquina de la red a la cual tiene acceso el servidor. Esto quiere
deicr que los servidores que sólo sirven archivos almacenados
localmente no se ven afectados por esta vulnerabilidad.

Más información:
Boletín de seguridad de Microsoft
Preguntas y respuestas de Microsoft sobre la vulnerabilidad
Parche para Internet Information Server 4.0
Parche para Internet Information Server 5.0
Securityfocus



Antonio Ropero
antonior@hispasec.com



jueves, 30 de marzo de 2000

Denegación de servicios de impresión en Windows NT

Microsoft anuncia la publicación de un parche para eliminar una
vulnerabilidad en Windows NT y Windows 2000, por la cual un atacante
podría realizar ataques de denegación de servicios contra el servidor
de impresión en red.
El servicio afectado en este caso es el servicio de impresión TCP/IP
(TCP/IP Printing Service). Si este servicio se encuentra instalado la
vulnerabilidad podrá permitir a un usuario malicioso desestabilizar la
posibilidad de impresión en red. La gravedad del problema es mayor, ya
que el ataque de denegación puede afectar también a otros servicios
como el DHCP.

Estos servicios también se conocen en Windows 2000 como Servicios de
impresión para Unix, ya que son el soporte necesario para la
integración de la impresión en red con entornos Unix. Por este motivo,
los Servicios de Impresión TCP/IP cumplen la RFC 1179 diseñada para
los entornos que hacen uso de los protocolos de impresión remota de
Berkeley (también conocidos como LPD y LPR).

Una petición TCP/IP especialmente mal construida puede hacer fallar al
tcpsvc.exe, lo que no sólo impedirá al servidor proporcionar los
servicios de impresión de forma debida, sino que además detendrá otros
servicios (si cabe más importantes) como el DHCP. Todos los servicios
afectados deberán ser iniciados de nuevo, si bien no será necesario
reiniciar la máquina para ello.

El servicio de impresión afectado depende del puerto 515 para la
transmisión de datos. Al efectuar la petición maliciosa sobre este
puerto se puede provocar que todos los servicios dependientes de este
puerto se vean afectados, como son SimpTCP, DHCPServer, FTPSvc,
LPDSvc, and BinlSvc.

El servicio de impresión TCP/IP no se instala por defecto en Windows
NT ni en Windows 2000, debe ser instalado en entornos Unix-Windows
para facilitar la impresión, por lo que el parche de Microsoft sólo
deberá instalarse en caso de que este hubiera sido instalado.

Más información:
Boletín de Microsoft
Preguntas y respuestas sobre el problema (Microsoft)
Securityfocus



Antonio Ropero
antonior@hispasec.com



miércoles, 29 de marzo de 2000

Resumen de Bugtraq del 06-03-2000 al 12-03-2000

Una semana más el resumen de Bugtraq nos trae un gran número de
vulnerabilidades de todo tipo de sistemas, Windows 95/98, NT,
Microsoft SQL, Unix, Linux, Firewalls, etc.
1. Vulnerabilidad en Telnet de POC32
2. Vulnerabilidad en accesos directos de ayuda de MS IE
3. Vulnerabilidad de tipo buffer overflow en Microsoft Clip Art
4. Vulnerabilidad en el instalador de Oracle para Linux
5. Vulnerabilidad en CGI rpm_query en Caldera OpenLinux 2.3
6. Vulnerabilidad de compromiso del password del share de la
impresora en Printtool
7. Vulnerabilidad en mtr de múltiples vendedores
8. Vulnerabilidad de Buffer Overflow Remoto en StarOffice
StarScheduler
9. Vulnerabilidad de lectura de archivos arbitrarios en
StarOffice StarScheduler
10. Vulnerabilidad de Query no validado en Microsoft SQL Server
11. Vulnerabilidad en carpetas de usuarios del shell de NT
12. Vulnerabilidad de DoS en nombre de dispositivos MS-DOS en
Microsoft Windows 95/98
13. Vulnerabilidad en la llave del registro AEDEBUG en Microsoft
Windows
14. Vulnerabilidad de FTP "ALG" en el cliente de múltiples
Vendedores de Firewalls
15. Vulnerabilidad en IrcII DCC Chat de tipo buffer overflow
16. Vulnerabilidad en wmcdplay de tipo buffer overflow

Resumen de Bugtraq del 06-03-2000 al 12-03-2000
-----------------------------------------------

1. Vulnerabilidad en Telnet de POC32
BugTraq ID: 1032
Remoto: Sí
Fecha de publicación: 07-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1032
Resumen:

POC32 es un programa designado para decodificar los mensajes
POCSAG capturados vía el escaneo de las frecuencias de los
buscapersonas. Estos mensajes codificados son transferidos a la
computadora a través de señales audibles, y decodificadas y
mostradas por el programa POC32. Esta utilidad permite su
utilización de forma remota vía TCP/IP. Existe una opción para
inhabilitar esta función, sin embargo aun con esta función
desactivada sigue siendo posible efectuar un telnet al puerto del
POC32.

El programa permite múltiples intentos, por eso el password es
susceptible a ataques de fuerza bruta. Una conexión exitosa puede
permitir al atacante ver mensajes de buscapersonas decodificados.

El port por defecto es 8000 y el password por defecto es
'password'.

2. Vulnerabilidad en accesos directos de ayuda de MS IE
BugTraq ID: 1033
Remoto: Sí
Fecha de publicación: 01-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1033
Resumen:

El método window.showHelp() en el Internet Explorer permite al IE
abrir archivos de ayuda HTML (.chm). Estos archivos pueden
contener accesos directos a archivos ejecutables que pueden
correr con nivel privilegiado del usuario actual. Los archivos
.chm no se pueden abrir vía http, pero un archivo .chm remoto
puede ser visualizado si está en un servidor con Microsoft
Networking (incluyendo Samba) instalado.

Por esto, un atacante puede configurar una página web con un
enlace apuntando a un archivo .chm en cualquier host con NetBios
activado. Ese archivo .chm puede estar construido para ejecutar
cualquier programa que esté en la maquina víctima o en cualquier
servidor con NetBios activado.

3. Vulnerabilidad de tipo buffer overflow en Microsoft Clip Art
BugTraq ID: 1034
Remoto: Sí
Fecha de publicación: 06-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1034
Resumen:

Existe una vulnerabilidad en Microsoft Clip Art Gallery, donde un
usuario remoto puede colgar la aplicacion Clip Art o posiblemente
ejecutar código arbitrario. Clip art puede descargarse desde
cualquier sitio web e incorporarse en la galería local. Se usa un
formato particular de archivo (llamado .CIL) para transportar
nuevos archivos de Clip art a los usuarios. La vulnerabilidad
reside en que un usuario puede abrir un .CLI malformado que
contenga un campo largo descargado de algún website malicioso o
en la forma de un adjunto contenido en un email.

4. Vulnerabilidad en el instalador de Oracle para Linux
BugTraq ID: 1035
Remoto: No
Fecha de publicación: 05-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1035
Resumen:

Exsiste una vulnerabilidad en el programa de instalación de
Oracle 8.1.5i. El script de instalación de Oracle crea un
directorio llamado /tmp/orainstall, perteneciente a oracle:dba,
con modo 711. Dentro de este directorio se creará otro script
llamado orainstRoot.sh, con modo 777. El script de instalación
parará su ejecucion y preguntará a la persona que lo está
instalando si desea ejecutar el otro script, pero en ningún
momento intenta determinar si el directorio o el script ya
existen. Esto hace posible crear un enlace simbólico desde
orainstRoot.sh a cualquier lugar del sistema de archivos. Esto se
puede usar para crear un archivo .rhost y ganar acceso a la
cuenta root.

Además de esto, desde que el archivo orainstRoot.sh se encuentra
en modo 777, es posible para cualquier usuario en la maquina
editar el script para ejecutar comandos arbitrarios que corren
como root. Nuevamente esto puede comprometer la cuenta root. No
se tiene conocimiento exacto de que versiones de Oracle están
afectadas, aunque está confirmado en Oracle 8.1.5i bajo
plataformas Linux/Intel. Es posible que esta vulnerabilidad
exista en otras versiones y otras plataformas.

5. Vulnerabilidad en CGI rpm_query en Caldera OpenLinux 2.3
BugTraq ID: 1036
Remoto: Sí
Fecha de publicación: 05-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1036
Resumen:

Existe una vulnerabilidad en la instalación por defecto del
caldera OpenLinux 2.3. Se instala un CGI llamado rpm_query en
/home/httpd/cgi-bin/ de forma que cualquier usuario puede
ejecutar este CGI y obtener un listado de los paquetes (y sus
respectivas versiones) instalados en el sistema. Esto puede
usarse para determinar vulnerabilidades en la maquina de forma
remota.

6. Vulnerabilidad de compromiso del password del share de la
impresora en Printtool
BugTraq ID: 1037
Remoto: No
Fecha de publicación: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1037
Resumen:

printtool es una herramienta para la configuración de la
impresora para X11 que se vende con RedHat Linux y posiblemente
con otras distribuciones de Linux. Cuando se configura una
impresora con printtool, los permisos del archivo de
configuración son puestos para que cualquiera los pueda leer.
Esto se muestra en un ejemplo enviado a bugtraq en el que se
advierte sobre esta vulnerabilidad:

[dubhe@duat dubhe]$ ls -lsa /var/spool/lpd/lp/.config
1 -rw-r--r-- 1 root root 96 Mar 6 13:21 /var/spool/lpd/lp/.config

Es posible obtener el password para compartir la impresora desde
el momento en que se guarda en el archivo de configuración, ya
que permite lectura para todos los usuarios:

[dubhe@duat dubhe]$ cat /var/spool/lpd/lp/.config
share='\\xxxxx\HP'
hostip=xxx.xxx.xxx.xxx
user='username'
password='1111'
workgroup='xxxxxxxx'

7. Vulnerabilidad en mtr de múltiples vendedores
BugTraq ID: 1038
Remoto: No
Fecha de publicación: 03-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1038
Resumen:

Existe una vulnerabilidad potencial en el programa 'mtr' de Matt
Kimball y Roger Wolff. Las versiones anteriores a la 0.42 asignan
privilegios de forma incorrecta en todas las variantes de Unix
excepto en HPUX. Mediante una llamada a setuid(getuid()) los
autores esperan asignar permisos para prevenir la obtención de
privilegios root, ahí debería haber una potencial vulnerabilidad
en el mtr o en una librería que depende de este.

Sin embargo, debido a semántica del uid guardado, el uid de 0 se
puede recobrar de forma simple al hacer un setuid(0). Un atacante
solo necesita encontrar un desbordamiento en una de las librerías
que usa mtr, como por ejemplo gtk o curses. En las versiones
parcheadas, las llamadas a seteuid() se han cambiado a setuid().
Esto elimina este potencial problema.

Se ha sugerido que las distribuciones de Linux que incluyen mtr
usan la versión 0.28. Esta versión es vulnerable. Por favor
consulte en el sitio web de su distribución para mas información.

8. Vulnerabilidad de buffer overflow remoto en StarOffice
StarScheduler
BugTraq ID: 1039
Remoto: Sí
Fecha de publicación: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1039
Resumen:

StarOffice es una suite de utilidades para escritorio de Sun
Microsystems. StarScheduler es un servidor de groupware que se
vende con StarOffice y que incluye un servidor web vulnerable a
ataques remotos de tipo buffer overflow. Por defecto, el
webserver corre como root y queda escuchando el port 801. Cuando
se realiza un pedido de GET con un parámetro mas largo que el
predefinido, la pila se desborda y se altera la secuencia de
ejecución. Es posible sobreescribir la dirección de retorno en
la pila y poder ejecutar código arbitrario corriendo como root.

La consecuencia de esta vulnerabilidad compromete la cuenta root
de forma remota.

9. Vulnerabilidad de lectura de archivos arbitrarios en StarOffice
StarScheduler
BugTraq ID: 1040
Remoto: Sí
Fecha de publicación: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1040
Resumen:

StarOffice es una suite de utilidades para escritorio de Sun
Microsystems. StarScheduler es un servidor de groupware que se
vende con StarOffice e incluye un servidor web que corre como
root por defecto. Cuando se envía un pedido de un documento al
webserver, el demonio httpd del StarScheduler va a seguir el path
¨../¨. Como resultado, el explotar esto permite a el atacante ver
cualquier archivo en la maquina atacada, inclusive ficheros como
/etc/shadow.

10. Vulnerabilidad de Query no validado en Microsoft SQL Server
BugTraq ID: 1041
Remoto: Sí
Fecha de publicación: 03-08-2000
URL Relevante:
http://www.securityfocus.com/bid/1041
Resumen:

Microsoft SQL Server 7.0 y Data Engine (un add-on compatible con
SQL para Access 2000 y Visual Studio 6.0) acepta peticiones de
SQL que pueden usarse para comprometer la base de datos o el
sistema operativo.

Cualquier usuario con privilegios para ejecutar comandos SQL
tiene la posibilidad de pasar comandos a través de la sentencia
SELECT del SQL que va a correr en un nivel privilegiado del
usuario propietario de la base de datos o del administrador.

11. Vulnerabilidad en carpetas de usuarios del shell de NT
BugTraq ID: 1042
Remoto: No
Fecha de publicación: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1042
Resumen:

El valor del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\UserShell Folders\Common Startup

Especifica compartir la carpeta de inicio para todos los usuarios
del sistema. Esta entrada esta configurada con permisos de
escritura para cualquier usuario autentificado. Así, cualquier
usuario puede especificar una carpeta con un acceso directo a un
programa a elección, que va a correr (con su nivel de
privilegios) cada vez que un usuario se conecte.

12. Vulnerabilidad de DoS en nombre de dispositivos MS-DOS en
Microsoft Windows 95/98
BugTraq ID: 1043
Remoto: Sí
Fecha de publicación: 04-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1043
Resumen:

Debido a un error en los sistemas operativos Microsoft Windows 95
y Microsoft Windows 98, los usuarios locales y remotos tienen la
capacidad de colgar el sistema simplemente pidiendo un path y un
archivo que estén referidos a un nombre de un dispositivo
reservado de la forma dispositivo\dispositivo.

Los siguientes nombres de dispositivo son los conocidos para
hacer el sistema inestable: CON, NUL, AUX, PRN, CLOCK$, COMx,
LPT1, y CONFIG$.

Esta vulnerabilidad puede ser explotada en una montón de formas
Los usuarios locales son capaces de colgar el sistema operativo
con solo intentar abrir un archivo de tipo
dispositivo\dispositivo, ej. con Microsoft Word o el con el
símbolo del sistema. Se puede obtener el mismo resultado al
visitar un sitio web y consultar una página HTML con una
referencia local a un dispositivo\dispositivo como <img
src="c:\con\con">.

Es posible colgar de forma remota una maquina con Windows 95/98.
Este bug se puede explotar remotamente a través de cualquier
servicio que involucre al usuario remoto a especificar en la
maquina víctima ej. ftp o servicios web, netbios shares, etc.

FTP: ftp> ls nul/nul
WWW: http ://target/con/con
\\target\prn\prn
etc.

13. Vulnerabilidad en la llave del registro AEDEBUG en Microsoft
Windows
BugTraq ID: 1044
Remoto: Sí
Fecha de publicación: 22-06-1998
URL Relevante:
http://www.securityfocus.com/bid/1044
Resumen:

En algunas instalaciones de Windows NT los permisos por defecto
permiten a los miembros del grupo 'Everyone' escribir en el valor
del registro que controla el debugger (depurador) que se ejecuta
ante una caída del sistema. El valor del registry en cuestion
es:

\HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger

También, existe un valor que controla si se le presenta alguna
pregunta al usuario antes de que se ejecute el debugger seleccionado.

\HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\auto

Por lo tanto, un atacante puede especificar que programa se
ejecutará ante el evento de que un proceso se caiga. Notese que
el código a ejecutar ya debe estar presente en la maquina atacada.

14. Vulnerablidad de FTP "ALG" en el cliente de múltiples
vendedores de firewalls
BugTraq ID: 1045
Remoto: Sí
Fecha de publicación: 10-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1045
Resumen:

Existe un vulnerabilidad en el manejo de ciertas reglas de
algunos firewalls, que puede permitir a los usuarios exteriores
al cortafuegos ganar acceso limitado a áreas protegidas por el
firewall. También es posible usar clientes basados en esta
vulnerabilidad para explotar estos problemas.

Mandando un email que contenga un tag de HTML como el siguiente:
"><img src="ftp://ftp.rooted.com/aaaa[muchas A]aaaPORT 1,2,3,4,0,139">

Al balancear el numero de letras A el comando PORT comienza en un
nuevo límite, el firewall va a pasar incorrectamente el resultado
del RETR /aaaaaaaa[....]aaaaaPORT 1,2,3,4,0,139 como primero un
RETR y después un comando PORT, y abrirá el puerto 139 a la
dirección de origen. Esto permitirá al sitio donde esta el
servidor conectarse al puerto 139 del cliente. Puede usarse
cualquier puerto en lugar del 139, salvo cuando el firewall lo
bloquee específicamente.

15. Vulnerabilidad en IrcII DCC Chat de tipo buffer overflow
BugTraq ID: 1046
Remoto: Sí
Fecha de publicación: 10-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1046
Resumen:

IrcII es un conocido Cliente de IRC para unix. Es sabido que la
version 4.4-7 y posiblemente versiones previas son vulnerables a
condiciones de buffer overflow en el DCC chat. Puede ser posible
ejecutar código arbitrario en un cliente intentando iniciar un
dcc chat. Explotar esta vulnerabilidad puede resultar en un
compromiso remoto con los privilegios del usuario que este
corriendo el cliente de ircII.

16. Vulnerabilidad en wmcdplay de tipo buffer overflow
BugTraq ID: 1047
Remoto: No
Fecha de publicación: 11-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1047
Resumen:

wmcdplay es un cdplayer usado generalmente con el sistema de
ventanas WindowMaker X11 en sistemas unix. Cuando wmcdplay se
instala por defecto cambia setuid a root. wmcdplay es vulnerable
a ataques de buffer overflow debido a la ausencia del chequeo de
los límites de un argumento se le pasa. Como resultado, un
usuario local puede elevar sus privilegios hasta root, al
sobreescribir la pila y ejecutar código arbitrario con la
identificación de usuario efectiva (euid) del proceso (root).


Hernan M. Gips
chipi@core-sdi.com
Investigacion y Desarrollo - CoreLabs - Core SDI
http://www.core-sdi.com



martes, 28 de marzo de 2000

Kerberos y Microsoft Windows 2000

La implementación Kerberos del reciente Microsoft Windows 2000 es
incompatible con el estándar Kerberos. En la práctica ello implica
que una máquina Windows 2000 no puede integrarse correctamente en
un entorno Kerberos a menos que el servidor de autentificación
Kerberos sea otra máquina Windows 2000.
Kerberos es un protocolo de autentificación que permite centralizar
en un servidor la gestión de accesos a toda una red de grandes
proporciones. Básicamente, un cliente se autentifica ante el
servidor de autentificación, y éste le proporciona "tickets" para
que pueda acceder a los servicios de red como impresoras o discos
compartidos.

Kerberos en un protocolo estándar y documentado, del cual existen
numerosas implementaciones, tanto comerciales como gratuitas. Sus
primeras versiones vieron la luz en 1.988, y su versión actual es
la cinco.

Aunque los problemas de interoperatividad han sido analizados por
la comunidad Kerberos, y se ha localizado el campo problemático
concreto, Microsoft se ha negado a proporcionar ningún tipo de
información sobre el uso del mismo, por lo que resulta imposible
desarrollar productos compatibles.

En este sentido, Microsoft sigue siendo fiel a su política "embrace
and extend" (adoptar un estándar extendido y modificarlo para que la
implementación sea incompatible, forzando a que los usuarios tengan
que emplear herramientas Windows), tal y como se describe en detalle
en los "documentos halloween".

Más información:
Kerberos and Windows 2000
Crypto-Gram Newsletter
The Open Source Page
The Halloween Documents
The Kerberos Network Authentication Service
The Kerberos Network Authentication Service (V5)
Kerberos Authentication and Authorization System
Windows 2000 Kerberos Authentication
Introduction to Microsoft Windows 2000 Security Services

Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability
Exploring Kerberos, the Protocol for Distributed Security in Windows 2000
Kerberos made to heel to Windows 2000
Microsoft and CyberSafe Extend Windows 2000
Security Across the Enterprise
Collaboration Delivers First Ever Windows
2000-Kerberos Interoperability To Enterprise
Customers Managing Heterogeneous Environments
IETF - Common Authentication Tecnology (cat) Charter



Jesús Cea Avión
jcea@hispasec.com



lunes, 27 de marzo de 2000

El cortafuegos PIX de Cisco es vulnerable al ataque FTP-Pasv

A finales de Febrero informábamos a nuestros lectores que el
cortafuegos Firewall-1 de CheckPoint era vulnerable a un ataque
que deja desprotegidos los servidores FTP situados detrás del
mismo. En esta ocasión anunciamos la existencia de un defecto
comparable en el cortafuegos PIX de Cisco.
PIX es un entorno cerrado y propietario de Cisco, una máquina dedicada
a servir de cortafuegos. Esta es una diferencia importante cuando se
compara con otros cortafuegos, que son aplicaciones informáticas que
se instalan en un ordenador normal. No obstante esta diferencia no
garantiza necesariamente una mayor seguridad; sencillamente evita la
administración de una máquina adicional en la red.

PIX adolece de un fallo similar al publicado hace algo más de un mes
para el cortafuegos Firewall-1.

Más información:
El cortafuegos FireWall-1 deja desprotegidos los servidores FTP (HispaSec)
El cortafuegos FireWall-1 deja desprotegidos los servidores FTP (Argo)
Multiple Firewall Vendor FTP Server Vulnerability
Cisco Secure PIX Firewall FTP Vulnerabilities



Jesús Cea Avión
jcea@hispasec.com



domingo, 26 de marzo de 2000

Menores y Privacidad

El programa Cyber Patrol Hack (cphack) afronta un procedimiento
legal estos días, se inició el 17 de marzo en Boston (USA), iniciado
ante el Juez Federal de Distrito Edward F. Harrington, el cual ha
ordenado, por el momento, la retirada del programa "cphack", y ha
prohibido su uso, y también la publicación de su código fuente y
binario en cualquier lugar o web-site.
Existe un programa llamado Cyber Patrol (la patrulla cyber), en
realidad un filtro que puede ser usado por los padres o educadores
con el fin de que determinadas páginas web no sean accesibles para
los menores, (aunque algún sector ya lo califica de censura en
Internet). El programa por defecto instala un listado de lugares
prohibidos (unas 100.000 web-sites), en su mayoría son de contenido
violento o sexual, pero también prohibe, por ejemplo, el acceso a
paginas de contenido feminista o incluso considera como "juego
violento", y por tanto prohibe el acceso, a algunas páginas sobre
ajedrez.

El programa Cyber Patrol Hack (La patrulla cyber-hack) creado por los
especialistas en criptografía Matthew Skala de Canada y Eddy Jansson
de Suecia, lo que hace es mostrar las passwords que usan los padres o
educadores para configurar el programa Cyber Patrol, haciendo inútil,
por tanto, el filtro para los menores, es decir, Cyber Patrol Hack es,
entre otras, un decodificador. El problema legal ha venido no ya por
mostrar las passwords usadas por los padres, y hacer inútil los
controles de seguridad de Cyber Patrol, si no porque además estos
informáticos ofrecían el código fuente, y código binario de su
programa, así como metodología, detallada descripción de su
ingeniería inversa, mostrando al público, en definitiva, no sólo el
funcionamiento de su programa Cyber Patrol Hack, si no también, y por
extensión el de Cyber Patrol.

Por esto último Mattel y su filial, Microsystems Software Inc., que
venden Cyber Patrol, demandaron a Skala y Jansson el 15 de Marzo,
-Cyber Patrol Hack salió el 11 del mismo mes-, ya que según
MicroSystems se ha violado la ley del Copyright norteamericana y la
ingeniería inversa, lo cual está prohibido por la licencia de Cyber
Patrol, según los abogados de Mattel, ya que se está distribuyendo
el código fuente y binario que posibilita a los usuarios vulnerar
todo el sistema criptográfico del programa Cyber Patrol.

La demanda es muy curiosa, (seguiremos su curso), ya que bajo la
excusa del Copyright (derechos de autor), se pone encima de la mesa
el poder dar, o no, información sobre criptografía, formas de evitar
o vulnerar passwords, y, la posibilidad o no de hacer público el
cógido de un programa propio cuando hay uno similar en el mercado,
(competencia desleal?? del código abierto). Es decir, se abren tres
frentes de una sola vez.

Si en el mercado hay un programa, y aparece un segundo que lo hace
inútil, en vez de perseguir a ese segundo ¿no sería mejor
desarrollar el primero?, ¿no está el segundo mostrando las
vulnerabilidades a mejorar por el primero?.

Sobre protección de menores, también en Estados Unidos, la Federal
Trade Commission está solicitando comentarios a su propuesta
Children's Online Privacy Protection Act (COPPA), -Norma sobre la
Protección de la Privacidad de los Menores- a través de
PrivacyBot.com, intentando con ello llegar a lo que ya se conoce
como Safe Harbor (o autorregulación), afectaría esta norma a datos
personales obtenidos a los menores de 13 años. Recordemos que en
Estados Unidos no es raro la obtención de datos de carácter personal
a través de páginas web, siendo las páginas destinadas al mundo
infantil en donde más abundan sistemas para esta recolección de
datos, bien del niño o de su familia.

Sobre el tema de la privacidad parece que los Estados Unidos de
Norteamérica están cambiando su perspectiva con respecto a años
anteriores, así la encuesta realizada por Harris Interactive arroja
como resultado que el 57% de los entrevistados piensa que "el
gobierno debería establecer leyes sobre recogida y uso de datos
personales en Internet", sólo el 15% opina que es algo que debe
hacerse por la propia industria, es decir, la autorregulación, que
actualmente es la que domina el país en esta materia. La conciencia
sobre la propia privacidad es algo que aumenta, según la propia
encuesta subiendo del 31% de 1998 al actual 41%.

Más información:

Encuesta realizada por Harris Interactive (Business Week)
http://www.businessweek.com/2000/00_12/b3673010.htm

Información sobre filtros de seguridad y caso Cyber Patrol
http://www.ifea.net

Información sobre la Children´s Online Privacy Protection Act.
http://www.ftc.gov/os/2000/02/safeharborfr.htm

Children´s Online Privacy Protection Act. (formato PDF)
http://www.ftc.gov/os/1999/9910/childrensprivacy.pdf




Eusebio del Valle
evalle@hispasec.com



sábado, 25 de marzo de 2000

Listado de directorios bajo Netscape Enterprise Server

Netscape Enterprese Server 3.0 incluye una característica que
puede permitir a un usuario remoto obtener un listado de
archivos, directorios y subdirectorios del servidor.
En la actualidad, la mayoría de los sitios webs se configuran
para evitar el listado de directorios, es decir prevenir que al
introducir un directorio sin expresar una página web en concreto
se muestre la lista de los archivos y directorios de dicha ruta.
Dicho listado puede proporcionar a un atacante una valiosa
información e incluso el acceso a archivos ocultos a los ojos de
los usuarios habituales.

Netscape Enterprese Server 3.0 incluye una característica que
podrá permitir a un usuario conseguir la información de dicho
listado con sólo añadir varias etiquetas a la url. Aunque esta
propiedad puede desactivarse, el servidor web de Netscape se
ofrece con la característica "Directory Indexing" habilitada por
defecto.

Obtener el listado de archivos y directorios es tan sencillo como
introducir la siguiente url: http://objetivo/?wp-cs-dump. El
parámetro ?wp-cs-dump puede sustituirse por cualquiera de los
siguientes, a fin de lograr similares resultados:

?wp-ver-info
?wp-html-rend
?wp-usr-prop
?wp-ver-diff
?wp-verify-link
?wp-start-ver
?wp-stop-ver
?wp-uncheckout

El mismo web de Netscape adolece de este error:
http://home.netscape.com/?wp-cs-dump

Para evitar el problema debe desactivarse el listado de
directorios (directory indexing), para ello a través del interfaz
de administración seleccionar Content Management/ Document
Preferences y cambiar Directory Indexing a "none". También puede
hacerse de forma manual si se edita el archivo obj.conf, para lo
que se debe buscar la cadena

Service method="(GET|HEAD)" type="magnus-internal/directory"
fn="index-common"

y reemplazar fn="index-common" por fn="send-error".

Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1063
Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=1&msg=38
D2173D.24E39DD0@relaygroup.com



Antonio Ropero
antonior@hispasec.com



viernes, 24 de marzo de 2000

Resumen de Bugtraq del 28-02-2000 al 05-03-2000

HispaSec trae una vez más el resumen semanal de la prestigiosa
lista BugTraq. En esta ocasión se hace referencia a cerca de
30 vulnerabilidades de todo tipo.
1. Vulnerabilidad de passwords en texto claro durante la
instalación de Sun Internet Mail Server
2. Vulnerabilidad en la autenticación del Single User Mode de
RedHat
3. Vulnerabilidad en SSH xauth
4. Vulnerabilidades en Corel Linux buildxconfig
5. Vulnerabilidad en Corel Linux setxconf
6. Vulnerabilidad de DoS en Bay/Nortel Networks Nautica
Marlin
7. Vulnerabilidades de negación de servicio en Nortel Netgear
ISDN RH348 y RT328
8. Vulnerabilidad de buffer overflow en RedHat man
9. Vulnerabilidades de buffer overflow por URLs largos en
Lynx
10. Vulnerabilidades de DoS en Trend Micro OfficeScan
11. Vulnerabilidad de ejecución remota de comandos en
EZShopper
12. Vulnerabilidad de DoS en HP OpenView OmniBack
13. Vulnerabilidad de descubrimiento de path en el servidor
Serv-U FTP
14. Vulnerabilidad de predicción de secuencia TCP/IP en Foundry
Networks ServerIron
15. Vulnerabilidad de buffer overflow en nmh
16. Vulnerabilidad en SCO cu
17. Vulnerabilidad de Buffer Overflow en Linux "dump"
18. Vulnerabilidad de descubrimiento de path en Allaire
ColdFusion
19. Vulnerabilidad de DoS no detectado en Realsecure
20. Vulnerabilidad de ataques CGI no detectados por
Realsecure
21. Vulnerabilidad en pedido GET en Netscape Enterprise
Server
22. Vulnerabilidad de autenticación en Axis StorPoint CD
23. Vulnerabilidad de inclusión arbitraria de archivos en
ht://dig
24. Vulnerabilidad de campo de password vacío en HP-UX
Ignite-UX
25. Vulnerabilidad en validación de datos en DNSTools
26. Vulnerabilidades de X-BAT-FILES en Rit Research Labs "The
Bat!"
27. Vulnerabilidad en la configuración de Dosemu en Corel
Linux
28. Vulnerabilidad en fname de SGI InfoSearch
29. Parches Adicionales

Resumen de Bugtraq del 28-02-2000 al 05-03-2000
-----------------------------------------------

1. Vulnerabilidad de passwords en texto claro durante la
instalación de Sun Internet Mail Server
BugTraq ID: 1004
Remoto: No
Fecha de publicación: 19-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1004
Resumen:

Existe una vulnerabilidad en Sun Internet Mail Server, que se
distribuye como parte del paquete Solaris ISP Server 2.0. Durante
la instalación, se crea un archivo llamado /tmp/sims_setup.dat.
Este archivo contiene todos los passwords relevantes a SIMS en
texto claro, y puede ser leído por todo el mundo.

2. Vulnerabilidad en la autenticación del Single User Mode de
RedHat
BugTraq ID: 1005
Remoto: No se sabe
Fecha de publicación: 23-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1005
Resumen:

Existe una vulnerabilidad en la forma en que RedHat Linux 6.0
protege la obtención de un shell al iniciar en modo de usuario
único. RedHat pregunta el password de root al entrar en dicho
modo pero si se presiona ^C (lo que causa el envío de un SIGINT)
se consigue de forma inmediata un shell con permisos de root.

3. Vulnerabilidad en SSH xauth
BugTraq ID: 1006
Remoto: Sí
Fecha de publicación: 24-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1006
Resumen:

Existe una vulnerabilidad en la configuración por defecto de SSH
que podría ser usada para comprometer la seguridad de una maquina
cliente. Por defecto, ssh negociará el enviar conexiones X. Esto
se realiza mediante el uso del programa xauth para poner cookies
en la cache de autorización de la maquina remota. Si se
compromete el programa xauth en la maquina remota, o el
superusuario en el host remoto no puede ser confiado, se puede
comprometer el xauth key, y usarse para conectarse a la maquina
cliente. Esto puede resultar en un amplio rango de compromisos en
el host cliente.

4. Vulnerabilidades en Corel Linux buildxconfig
BugTraq ID: 1007
Remoto: No
Fecha de publicación: 24-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1007
Resumen:

Existen varias vulnerabilidades en el programa buildxconfig,
incluido con Corel Linux 1.0. Mediante este programa, es posible
que un usuario local pueda elevar sus privilegios. Debido a la
existencia de fallos en la entrada de datos de los parámetros -f
y -x, un atacante podría agregar datos a archivos existentes, o
crear archivos nuevos. A través del argumento -f, y suministrando
un nombre de archivo que exista, es posible agregar información a
un archivo. Si se usa el argumento -x, y un archivo existente, es
posible reemplazar la primer línea de cualquier archivo con el
path del servidor X seleccionado. Finalmente, si con cualquiera
de los parámetros se pasa el nombre de un archivo que no existe,
este creará con permisos de lectura, escritura y ejecución para
todos los usuarios del sistema.

5. Vulnerabilidad en Corel Linux setxconf
BugTraq ID: 1008
Remoto: No
Fecha de publicación: 24-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1008
Resumen:

Existe una vulnerabilidad en la utilidad setxconf, incluida en
Corel Linux 1.0. La opción -T de setxconf ejecutará xinit, cuyo
euid es root. Cuando se ejecute xinit invocará el contenido de
~/.xserverrc. De esta manera un usuario malicioso podría ejecutar
comandos como root.

6. Vulnerabilidad de DoS en Bay/Nortel Networks Nautica
Marlin
BugTraq ID: 1009
Remoto: Sí
Fecha de publicación: 25-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1009
Resumen:

Existe una vulnerabilidad en el router Nortel/Bay Networks
Nautica Marlin router. Si se envía un paquete UDP de 0 bytes al
puerto 161 (SNMP) de uno de estos routers dejará de prestar
servicio. Este ataque puede ser llevado a cabo usando NMAP o
cualquier otro explorador de puertos UDP.

7. Vulnerabilidades de negación de Servicio en Nortel Netgear
ISDN RH348 y RT328
BugTraq ID: 1010
Remoto: Sí
Fecha de publicación: 25-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1010
Resumen:

Existen vulnerabilidades en los routers Netgear ISDN RH348 y
RT328, fabricados por Nortel networks. Estas vulnerabilidades
pueden resultar en la negación de trafico a través del router, o
no permitir la administración efectiva del router.

Denegación de servicio 1: Haciendo un SYN scan al router,
mediante el uso de una utilidad como NMAP, hará que la
conectividad mediante telnet a estos routers deje de existir.

Denegación de servicio 2: Si se estable una conexión telnet al
router provocará que no sea posible ninguna otra conexión, sin
importar si el usuario conectado se haya autenticado o no.

Denegación de servicio 3: Si se envía un flood de ICMP redirects
el router dejará de rutar paquetes. Una vez que el flood haya
cesado, al router le tomara 30 segundos recuperarse.

Denegación de servicio 4: El router aceptará y usará paquetes RIP
originados en las dos interfaces. Esto puede permitir a un
atacante que los paquetes no sean rutados correctamente, o
posiblemente haga rutar paquetes a través de otra maquina.

Denegación de servicio 5: Si se3 envía un único paquete UDP de
entre 63000 y 65000 bytes el router dejará de rutar paquetes por
hasta 30 segundos.

Denegación de servicio 6: Ciertos tipos de trafico legítimo se
comportan de manera pobre cuando se esta corriendo NAT. Entre
estos servicios se incluyen IRC DCC y Real Audio/Video.

Denegación de servicio 7: Cuando el router ha estado conectado
por mas de 12 horas en modo NAT el tráfico se descarta. Las
conexiones activas no serán desconectadas, pero no será posible
establecer nuevas conexiones.

8. Vulnerabilidad de Buffer Overflow en RedHat man
BugTraq ID: 1011
Remoto: No
Fecha de publicación: 26-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1011
Resumen:

Existe un buffer overflow en la implementación del programa 'man'
que viene con Redhat Linux. Si se construye un buffer largo con
código ejecutable, y poniéndolo en la variable de ambiente
MANPATH, es posible que un atacante obtenga privilegios egid
man.

Mediante el uso de ataques previamente señalados por Pawel Wil, y
disponibles en la parte de referencia de la sección de créditos,
es posible para un atacante alterar manpages de tal manera que
código sea ejecutado. Al consultar la manpage modificada, el
código será ejecutado con los privilegios de la persona corriendo
man. Si esta persona es el usuario root, será posible obtener
privilegios de root.

9. Vulnerabilidades de Buffer Overflow por URLs largas en
Lynx
BugTraq ID: 1012
Remoto: Sí
Fecha de publicación: 27-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1012
Resumen:

Existen varios buffer overflows en versiones de Lynx que pueden
permitir a un usuario remoto obtener acceso a la máquina en la
que Lynx está corriendo. Esta condición surge debido a que en
ciertas situaciones Lynx maneja de forma inadecuada las URLs
largas. Por ejemplo, URLs largas de http y ftp pueden provocar
buffer overflows cuando Lynx esta corriendo usando un proxy.
Adicionalmente, también se pueden provocar desbordamientos de
buffer al ver el código fuente de paginas que contengan URLs
largos.

10. Vulnerabilidades de DoS en Trend Micro OfficeScan
BugTraq ID: 1013
Remoto: Sí
Fecha de publicación: 26-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1013
Resumen:

Trend Micro OfficeScan es un software antivirus que se pueda
instalar a lo largo de una red entera. Durante la instalación del
software de administración, se le pregunta al administrador que
elija entre manejar el sistema desde un servidor web o un
servidor de archivos. Si se selecciona la opción de servidor web,
los clientes que corran OfficeScan son configurados para escuchar
en el puerto 12345 para recibir actualizaciones periódicas de la
base de datos y otros comandos administrativos provenientes del
OfficeScan manager.

Existen varias maneras mediante las cuales un atacante puede
causar varias negaciones de servicio.

Si se envía información al azar al puerto 12345 es posible hacer
que tmlisten.exe consuma el 100% de la CPU o causar un error de
Visual C++ y colgar la maquina.

Además, si se abren mas de 5 conexiones simultaneas al puerto
12345 mientras se envían datos al azar el servicio dejará de
responder pedidos. El servicio tendrá que ser detenido y vuelto a
arrancar en cada maquina cliente.

También es posible para un usuario local capturar un comando
administrativo mediante el uso de un sniffer. Posteriormente este
comando puede ser modificado y enviado a otros clientes para que
estos ejecuten una variedad de acciones. Si se modifican los dos
últimos bytes del pedido se cambia el comportamiento de respuesta
del cliente, lo que incluye:

04: Desinstalación completa del cliente OfficeScan
06: Comenzar a escanear
07: Detener la exploración
El cliente hace pedidos a unos pocos programas CGI en el
servidor, que responden con información de configuración. Uno de
estos CGIs es cgiRqCfg.exe, que provee detalles de configuración
para el comportamiento de la exploración.

Si un atacante configura un servidor web con la misma dirección
IP que el servidor valido, duplica la estructura de archivos del
servidor OfficeScan, y inhabilita el servidor valido, será
posible lleva a cabo un DoS mas sutil. Ya que podrá dejar el
cliente instalado pero con los archivos de configuración
modificados para restringir los tipos de archivos a explorar,
(por ejemplo explorar sólo archivos .txt) o restringir los tipos
de unidades exploradas (por ejemplo inhabilitando la exploración
de discos removibles, fijos y cdroms). También es posible hacer
que el cliente mueva cualquier archivo infectado a otra ubicación
dentro de la maquina local.

11. Vulnerabilidad de ejecución remota de comandos en
EZShopper
BugTraq ID: 1014
Remoto: Sí
Fecha de publicación: 27-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1014
Resumen:

EZShopper es un paquete de E-Commerce programado en perl y
distribuido por Alex Heiphetz Group, Inc. Es posible comprometer
de forma remota un host debido a la falta de comprobaciones en la
información que introduce el usuario y que se pasa directamente
a la llamada open(). Esta vulnerabilidad existe en los dos
scripts que vienen con EZShopper, loadpage.cgi y search.cgi.

En la primera vulnerabilidad, la variable que se pasa a open() se
llama "file" y se envía a un script llamado loadpage.cgi. No se
realiza ninguna verificación sobre "file", lo que significa que
si "../" precede a un nombre de archivo o ruta arbitrario usado
en la variable, esos "../" serán seguidos lo que hará que se
muestre el archivo deseado independientemente del lugar del
sistema de archivos en que se encuentre (siempre que el uid del
webserer tiene acceso a este). Si se incluyen pipes en la
variable, es posible ejecutar comandos arbitrarios en el host
atacado posiblemente dando acceso remoto al atacante con el uid
del webserver (usualmente 'nobody').

La segunda vulnerabilidad es idéntica en naturaleza a la primera
pero está en el script "search.cgi". En search.cgi, no se
realizan verificaciones en las variables ingresadas por el
usuario 'template' y 'database' (pasadas a open()). Como
resultado, es posible ver archivos o ejecutar comandos en el host
utilizando también search.cgi.

12. Vulnerabilidad de DoS en HP OpenView OmniBack
BugTraq ID: 1015
Remoto: Sí
Fecha de publicación: 28-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1015
Resumen:

Si se abren múltiples conexiones al puerto 5555 se puede provocar
que el programa HP OpenView OmniBack se cuelgue al consumir el
100% de la CPU. El problema no se soluciona cerrando las
conexiones abiertas, sino que es necesario arrancar nuevamente el
servidor de forma manual.

13. Vulnerabilidad de descubrimiento de ruta en el servidor
Serv-U FTP
BugTraq ID: 1016
Remoto: Sí
Fecha de publicación: 29-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1016
Resumen:

La configuración por defecto de Serv-U hace que el servidor de a
conocer la información completa de la ubicación física de una
ruta en las siguientes circunstancias:

Un usuario que intente obtener un archivo no existente o entrar
en un directorio que no exista verá:

550 /d:/ftproot/nonexist: No such file or directory.

Un usuario cambiando a un directorio existente verá:

250 Directory changed to /d:/ftproot/exist

Esta información podría ser usada para simplificar otros
ataques.

14. Vulnerabilidad de predicción de secuencia TCP/IP en Foundry
Networks ServerIron
BugTraq ID: 1017
Remoto: Sí
Fecha de publicación: 28-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1017
Resumen:

El switch ServerIron, de Foundry networks, posee una
implementación de TCP con números de secuencia predecibles. Esto
lo puede dejar abierto a una variedad de ataques de secuestro de
sesión (session hijacking), y blind session spoofing, que puede
resultar en la manipulación de estos switches.

El ServerIron expone en su dirección de administración telnet,
snmp y en nuevas versiones de servidores web. Debido a la
predictibilidad de los números de secuencia es posible falsear
conexiones a los servicios TCP (telnet y web) como si se
estuvieran originando desde otras maquinas. Además, esto expone a
estos switches a otros ataques basados en hijacking.

El problema yace en el hecho de que el número de secuencia
inicial (initial sequence number, ISN) se incrementa por uno en
cada conexión. Esto significa que para determinar el "próximo"
número de secuencia sólo es necesario establecer una conexión.

15. Vulnerabilidad de buffer overflow en nmh
BugTraq ID: 1018
Remoto: Sí
Fecha de publicación: 28-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1018
Resumen:

Se ha reportado que existe un buffer overflow en las versiones
1.0.2 y anteriores del mailer nmh. Es posible para un atacante
crear un mensaje MIME de tal manera que cause que el comando
mhshow ejecute código arbitrario al leerse el mismo. Esto puede
potencialmente dar acceso remoto a un atacante a la máquina donde
el correo se está leyendo.

No se hicieron públicos los detalles exactos de esta
vulnerabilidad.

16. Vulnerabilidad en SCO cu
BugTraq ID: 1019
Remoto: No
Fecha de publicación: 28-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1019
Resumen:

Se ha reportado una vulnerabilidad en el programa 'cu' creado por
SCO en Unixware versiones 7.0 hasta 7.1.1. Esta vulnerabilidad
podría permitir que usuarios locales elevaran sus privilegios.

SCO no dio mas detalles sobre esta vulnerabilidad.

17. Vulnerabilidad de Buffer Overflow en Linux "dump"
BugTraq ID: 1020
Remoto: No
Fecha de publicación: 28-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1020
Resumen:

RedHat Linux (y posiblemente otras distribuciones) incluyen una
utilidad para hacer backup de archivos llamada 'dump'. Dump se
instala en /sbin y es setuid y setgid root. Cuando se le pasa un
argumento demasiado largo al parámetro "-f a" se produce un
buffer overflow, y dump termina su ejecución. Si este argumento
es construido apropiadamente, es posible reemplazar el EIP (el
instruction pointer o dirección de retorno) en la pila y ejecutar
código arbitrario con los permisos del proceso (gid of root).
Dump se deshace de los privilegios setuid, pero no de los setgid.
A causa de esto, puede ser posible explotar esta vulnerabilidad y
obtener privilegios setgid root, lo que puede llevar al
compromiso total del sistema.

18. Vulnerabilidad de descubrimiento de ruta en Allaire
ColdFusion
BugTraq ID: 1021
Remoto: Sí
Fecha de publicación: 01-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1021
Resumen:

Si se hace un pedido http directamente a un archivo
APPLICATION.CFM o ONREQUESTEND.CFM retornará un mensaje de error
en el que se encuentra el path físico completo del archivo.

19. Vulnerabilidad de DoS no detectado en Realsecure
BugTraq ID: 1022
Remoto: Sí
Fecha de publicación: 01-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1022
Resumen:

Bajo ciertas versiones del software Internet Security Systems
RealSecure Network Intrusion Detection un atacante podrá lanzar
una serie de ataques de DoS basados en fragmentación IP sin que
el software detecte esto como debería.

Esto se debe a que el software utiliza firmas de paquetes que si
se modifican mínimamente ya no son detectados como ataques. El
ataque en cuestión es el Teardrop DoS y modificaciones de este
como SynDrop, NewTear y Targa.

El ataque de negación de servicio Teardrop explota un fallo
inherente a las pilas TCP/IP de varios vendedores. Este problema
esta relacionado con la forma en la que la pila TCP/IP maneja la
reagrupación de paquetes IP fragmentados.

Este ataque puede llevarse a cabo enviando dos o mas datagramas
IP especialmente fragmentados. El primero es el fragmento de
offset 0 con un payload de tamaño N, con el bit MF prendido (el
contenido de los datos es irrelevante). El segundo es el ultimo
fragmento (MF == 0) con un offset positivo < N y con un payload <
N.

Esto hace que la pila TCP/IP asigne demasiados recursos para
rearmar el/los paquete/s. Dependiendo de la cantidad de memoria
de la maquina atacada esto puede causar que el sistema detenga su
funcionamiento por falta de memoria o que la maquina haga un
reboot.

20. Vulnerabilidad de ataques CGI no detectados por
Realsecure
BugTraq ID: 1023
Remoto: Sí
Fecha de publicación: 01-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1023
Resumen:

Bajo ciertas versiones del RealSecure Network Intrusion Detection
Software (NIDS) de Internet Security Systems es posible realizar
ataques CGI contra servidores web sin que NIDS detecte los mismos
como debería.

Esto es posible cuando los intrusos utilizan el explorador
Whisker, una herramienta diseñada para escanear y explotar
vulnerabilidades basadas en CGI mediante técnicas creadas para
engañar al sistema de identificación basado en firmas
(signatures) de NID.

Los métodos usados por Whisker son demasiado específicos para que
este reporte los cubra, por tal motivo se incluye una URL en la
sección de 'Créditos' de esta vulnerabilidad que apunta a la home
page de Whisker.

21. Vulnerabilidad en pedido GET en Netscape Enterprise
Server
BugTraq ID: 1024
Remoto: Sí
Fecha de publicación: 01-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1024
Resumen:

Un pedido GET que contenga mas de 4080 caracteres causará que el
proceso httpd.exe de Netscape Enterprise Server 3.6 se caiga,
resultando en un error de Dr. Watson. En este punto es posible la
ejecución remota de código arbitrario.

No se conoce si Netscape Enterprise Server 3.5 corriendo en
Netware o Solaris es susceptible a este problema.

22. Vulnerabilidad de autenticación en Axis StorPoint CD
BugTraq ID: 1025
Remoto: Sí
Fecha de publicación: 01-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1025
Resumen:

Axis StorPoint CD y Axis StorPoint CD/T son servidores de CD ROM
(unidades de hardware) vendidas por Axis Communications. Estos
dos artefactos soportan administración remota mediante SNMP
MIB-II y también MIB privados de la empresa como también desde la
web a través de un servidor web suministrado por el sistema. Con
respecto a la administración vía web, los usuarios pueden pasar
por alto la autenticación (nombre de usuario y password) si se
usa una URL especifica. La página real de login se encuentra
en:

http://server/config/html/cnf_gi.htm

sin embargo, si se usa:

http://server/cd/../config/html/cnf_gi.htm

El usuario se salta la pagina de login y obtiene acceso
administrativo a la unidad.

23. Vulnerabilidad de inclusión arbitraria de archivos en
ht://dig
BugTraq ID: 1026
Remoto: Sí
Fecha de publicación: 29-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1026
Resumen:

ht://dig es un motor de búsqueda de contenido web para
plataformas Unix. El software permite incluir archivos desde los
de configuración. Cualquier cadena rodeada por el carácter
comilla simple ( ` ) se toma como una ruta a un archivo
incluirse, por ejemplo: algun_parametro:
`var/htdig/algun_archivo`

htdig también permite que se especifiquen archivos incluirse a
través de formularios. Por lo tanto, cualquier archivo puede
especificarse para ser incluido en una variable por cualquier
usuario web.

24. Vulnerabilidad de campo de password vacío en HP-UX
Ignite-UX
BugTraq ID: 1027
Remoto: Sí
Fecha de publicación: 17-02-2000
URL Relevante:
http://www.securityfocus.com/bid/1027
Resumen:

En sistemas corriendo HP-UX, el campo del password en /etc/passwd
contiene un '*'. Bajo ciertas circunstancias, este campo puede
dejarse vacío dejando al sistema HP-UX vulnerable a ser
comprometido. Una de esas circunstancias se da cuando se crea una
imagen de un sistema con Ignite-UX, que normalmente no incluye el
archivo /etc/passwd. Cuando la imagen se cargue en el sistema, el
archivo de passwords se dejará con entradas en blanco.

25. Vulnerabilidad en validación de datos en DNSTools
BugTraq ID: 1028
Remoto: Sí
Fecha de publicación: 02-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1028
Resumen:

Existe una vulnerabilidad en la versión 1.0.8 de DNSTools
(llamada en algunos lugares de su site 1.08), de DNSTools
Sofware. Es posible ejecutar comandos arbitrarios, si se manipula
el contenido de ciertas variables post:

El problema surge del siguiente código:

$host_name = $CGI->param("host_name");
$domain_name = $CGI->param("domain_name");
$error_description = "";
my $error_code = system("/usr/local/dnstools/delete_mx -d
\"$domain_name\" -n \"$host_name\"");

No se escapa ni valida la información entrante. Esto facilita que
un atacante pueda llegar a ejecutar comandos arbitrarios, como el
usuario bajo el que esta corriendo el webserver o el cgi-bin.

26. Vulnerabilidades de X-BAT-FILES en Rit Research Labs "The
Bat!"
BugTraq ID: 1029
Remoto: Sí
Fecha de publicación: 05-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1029
Resumen:

"The Bat!" es a MUA para Windows de Rit Research labs. Cuando se
envía un attachment a un usuario de "The Bat!", el sofware guarda
el adjunto en una carpeta especifica en el sistema. La ruta a esa
carpeta se agrega posteriormente al mensaje entrante como una
pseudo-cabecera llamado X-BAT-FILES.

Si posteriormente el mensaje es reenviado a otro destinatario,
"The Bat!" deja la línea con la pseudo-cabecera intacta, lo que
permite al que recibe el mensaje ver la ubicación por defecto de
todos los archivos adjuntos en emails guardados por ese
usuario.

También es posible falsear esta cabecera, de manera que si se
envía un email a un usuario "The Bat!" que contenga ya una línea
X-BAT-FILES en las cabeceras, el software va a adjuntar el
archivo especificado si el email se reenvía. Por ejemplo, si se
envía un email de A a B con X-BAT-FILES: C:\autoexec.bat y luego
el mensaje se reenvía a C, C recibirá el mensaje junto con una
copia del autoexec.bat de B.

27. Vulnerabilidad en la configuración de Dosemu en Corel
Linux
BugTraq ID: 1030
Remoto: No
Fecha de publicación: 02-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1030
Resumen:

Existe una vulnerabilidad en la configuración del Dosemu, el
emulador de DOS incluido con Corel Linux 1.0. La documentación de
Dosemu previene que al binario system.com no debe permitírsele el
acceso por los usuarios, ya que implementa la llamada system() de
la libc. Los usuarios pueden usar este comando para ejecutar
comandos como root, y obtener acceso elevado en el sistema.

Esta "vulnerabilidad" ha estado documentada en la documentación
de Dosemu por varios años.

28. Vulnerabilidad en fname de SGI InfoSearch
BugTraq ID: 1031
Remoto: Sí
Fecha de publicación: 05-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1031
Resumen:

El paquete InfoSearch convierte las man pages y otra
documentación a contenido web HTML. El formulario de búsqueda
utiliza el infosrch.cgi que no analiza apropiadamente los datos
introducidos por el usuario en la variable 'fname'. Lo que
permite que usuarios de la web ejecuten comandos con el nivel de
privilegio del servidor web.

29. Parches adicionales
Los siguientes problemas fueron comentados en avisos publicados
la última semana:

Nombre de la Vulnerabilidad: Vulnerabilidad de acceso remoto no
autenticado en MySQL
Bugtraq ID: 975
Publicado originalmente: 08-02-2000
Parche lanzado el: 28-02-2000
Origen del parche: FreeBSD
FreeBSD ha lanzado una versión parcheada del puerto del paquete
mysql322-server para FreeBSD.
Para mas información ver http://www.securityfocus.com/bid/975

Nombre de la Vulnerabilidad: Vulnerabilidad en el servicio fam de
IRIX
Bugtraq ID: 353
Publicado originalmente: 14-07-1997
Parche lanzado el: 01-03-2000
Origen del parche: SGI
SGI ha lanzado una versión parcheada del demonio fam para Irix.
Para mas información ver http://www.securityfocus.com/bid/353



Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo - CoreLabs - Core SDI
http://www.core-sdi.com



jueves, 23 de marzo de 2000

¿Qué son los "hypes" y cómo nos afectan?

Un simple diccionario bidireccional de bolsillo "Collins" es más que
suficiente para obtener una precisa aunque, en este caso particular,
descontextualizada respuesta a la primera pregunta: "bombardeo
publicitario". Y es que, en plena era de las comunicaciones, parece
ser que quienes manejan la información disponen de patente de corso
para manipularla y adulterarla a su gusto y conveniencia.
Como no podría ser de otra manera, el que suscribe se centra una
vez más en su especialidad, el campo de los virus informáticos y
demás especímenes agrupables bajo el hiperónimo de "malware". Sin
ánimo narcisista alguno, en honor a la verdad es justo anticipar
que, a juicio de los profesionales que integramos Hispasec, así
como de un amplio colectivo de suscriptores, una de nuestras más
valoradas virtudes es la independencia y, casi por consiguiente, la
transparencia de la información que ofrecemos día a día.

Siguiendo en esta línea de trabajo, y llegados a estas alturas, es
casi una obligación hacer eco de una vez por todas de una serie de
hechos moralmente abyectos que no dejan de salpicar centrípetamente
la aparición de nuevos virus informáticos. Si se me permite una
heterodoxia tal como plantear un símil que compara al mercado del
"malware" (software de naturaleza maligna) con una sartén, a las
compañías antivirus con un cocinero que maneja dicha sartén, a los
virus con, pongamos, las patatas que se están friendo, y a los
clientes de las compañías antivirus con la encimera o la placa
vitrocerámica, que en todo momento temen ser salpicadas por gotas
de aceite hirviendo o, lo que es peor, por patatas que se salen
de la sartén, la coyuntura que estamos viviendo queda plasmada de
un modo mucho más fácil de entender para todos los que estén
leyendo este artículo de corte ensayístico con importante moraleja
de trasfondo, para así evitar suspicacias.

Los "hypes" son, por antonomasia y como los entendemos en la, por
llamarla de alguna manera, "cibersociedad" actual, exageraciones.
Noticias comunes hiperbolizadas, de modo generalmente voluntario
y consciente, hasta la notación exponencial. En el caso que hoy
nos atañe, en la mayor parte de los casos se trata de virus con
alguna particularidad muy concreta que los hace especiales de uno
u otro modo, sin llegar a alterar por ello, ni para bien ni para
mal, la mayor o menor peligrosidad intrínseca del espécimen del
que forma parte. Las compañías antivirus y, de paso, un nutrido
grupo de medios de comunicación, tratan de sacar el mayor partido
posible a dicha particularidad a base de dar las vueltas que sean
necesarias para conseguir el golpe de efecto deseado: una buena
dosis de publicidad gratuita en lo que podríamos denominar la
"temporada baja" del sector, que suele coincidir con los periodos
vacacionales más destacados de nuestro calendario. ¿Confuso? no
es tan difícil como parece. Y si no, para muestra, dos botones:

El caso "HPS"
-------------
Corrían los últimos días del mes de junio de 1998, poco tiempo
antes de la salida a la calle de Windows98, cuando los medios de
comunicación más importantes a nivel internacional, a raíz de un
incomprensible comunicado de prensa emitido por la compañía
antivirus de origen español "Panda", organizaban uno de los más
significativos "hypes" de los últimos tiempos a partir de "HPS",
un virus escrito por el conocido programador "GriYo", del grupo
29A. Se trataba de un simple espécimen compatible con Windows95
y, según se ha podido comprobar, Windows98, incapaz sin embargo
de funcionar en NT (debido a que la principal característica de
este agente infeccioso estaba basada en su capacidad de alcanzar
residencia global por medio de llamadas a una API indocumentada,
de nombre "VxDCall", cuya implementación bajo WindowsNT es
imposible). En resumidas cuentas, uno de tantos virus de un nivel
técnico bastante elevado, representando a un colectivo vírico que
precisamente suele destacar por pasar más desapercibido que
cualquier otro, ya que los medios de comunicación son incapaces
de "vender" a un público inexperto, a usuarios finales, noticias
sobre "malware" cuyo funcionamiento casi nadie acierta a entender.

La pregunta que muchos se estarán haciendo: entonces, ¿qué fue lo
que llegó a convertir a "HPS" en un "hype"? la respuesta la tuvo
en su momento la astucia del autor de este espécimen, que aprovechó
la inminente distribución oficial del nuevo sistema operativo de
Microsoft para proclamar a su creación como "el primer virus capaz
de funcionar en Windows98", una afirmación carente de sentido
alguno, dado que cualquier virus compatible con Windows95 y/o
con WindowsNT mínimamente bien programado en fechas anteriores a
la distribución de "HPS" se posicionaría por delante de éste en
la cola para la obtención de tan dudoso galardón o reconocimiento.

Pero la sinrazón trae siempre más sinrazón, y el efecto "bola de
nieve" acabó deparándonos titulares de medios de prestigio y
renombre como, por ejemplo, la propia CNN, tales como "Un virus
es capaz de infectar Windows98 antes de la salida oficial de este
producto al mercado". Como es posible comprobar, una compañía
antivirus, en este caso Panda, que con toda probabilidad cuenta
con unas cuantas decenas de técnicos conscientes de que casi
cualquier virus que funcione en Windows95 lo hará en Windows98
(y viceversa), hace caso deliberadamente de un ridículo "bulo"
extendido por el propio autor de "HPS", y la falsa noticia, cual
mecha de un cartucho de dinamita, cruza el Atlántico en apenas
unas horas y acaba causando un pantomímico estupor entre aquellos
usuarios que, sin conocimientos suficientes en la materia, creen
que la seguridad de sus datos está en serio peligro tras la
difusión de un comunicado acerca de una amenaza que nunca llegó a
infectar más ordenadores que, quizás, el de su autor.

Paradójicamente, a la vez que esto sucedía, "Marburg", un virus
del propio "GriYo", campaba desde hacía meses a sus anchas a través
de Internet, sin que ninguna compañía antivirus, aparentemente
debido a la falta de recursos necesarios para llegar a programar
una vacuna de detección y desinfección para un virus polimórfico
de Win32, se molestase en prestar atención a un espécimen que ya
reclamaba su atención mucho tiempo antes de la salida de "HPS".
Las consecuencias de este negligente comportamiento las pagan aún
hoy en día miles de usuarios de todo el mundo, que ven cómo su
ordenador sufre la infección de un virus que, entre otros, llegó
a ser distribuido inconscientemente en un CD de la conocida
publicación "PC Gamer", una revista sobre videojuegos que se
vende en la mayor parte de los países de la Unión Europea.

El caso "Install"
-----------------
El hombre es el único animal que tropieza dos (¿o tres?) veces en
la misma piedra. La historia se repite, pero los protagonistas ya
no son los mismos, al menos por una de las partes. Este caso es
mucho más reciente: tenemos que remontarnos hasta hace menos de
un mes para presenciar un "déjà-vu" en toda regla; esta vez, con
otro de los sistemas operativos de Microsoft, Windows2000. Y el
virus en cuestión, llamado "Install" y programado por Darkman y
Benny (dos activos miembros de, de nuevo, el grupo 29A), de un modo
similar pero, si cabe, mejor urdido que el de "HPS", muestra -para
colmo- lo que en términos jurídicos podría llegar a describirse
como premeditación y alevosía.

La diferencia más notable es que en esta ocasión estamos hablando
de un virus específico, nativo, de Windows2000, que sólo funciona
en esta plataforma y, por tanto, es incompatible con las demás.
Éste es el clavo ardiente al que se aferraron AVP y DataFellows
(actualmente conocida como "F-Secure") para dar lugar al último
gran "hype" del que se ha tenido constancia: una vez más, el lado
"oscuro" se adelanta a Microsoft y pone en el mercado un virus
específico para el sistema operativo a estrenar. Y también una
vez más, el departamento de la CNN encargado de cubrir noticias
relacionadas con el mundo de la informática y, en particular, con
el "underground", encuentra un privilegiado lugar entre su
apretado índice de contenidos para dar cabida a eso a lo que los
americanos tan bien se refieren, por medio de una curiosa y más
que plástica alegoría, con el calificativo "will-o'-the-wisp".

Sea como sea, debemos volver a centrar nuestra atención en los
verdaderos responsables del "hype", los que entre sus manos
atraparon, torpemente moldearon e hicieron rodar por la ladera del
Everest un puñado de nieve. Una vez más, las compañías antivirus
no quisieron ver que, en este caso, lo único que hace de "Install"
un virus nativo de Windows2000 es algo tan sencillo como:

call [ebp + a_GetVersion - gdelta]
cmp al, 5
jne end_host

O lo que es lo mismo, una simple comprobación del número de la
versión del sistema operativo en el que está siendo ejecutado el
virus, y que, en caso de no ser igual a "5" (que corresponde a
Windows2000), devuelve automáticamente el control al programa
original infectado por "Install", evitando por completo cualquier
tipo de actividad vírica. Diez bytes en total, diez bytes que
corresponden a tres líneas de código que han hecho de este simple
espécimen uno de los más populares y temidos en los últimos meses,
sin que, al igual que "HPS", haya llegado a infectar ni un solo
ordenador. Tres líneas de código que, en caso de no haber sido
incluidas en la versión definitiva del virus, lo habrían relegado
a ser un nombre más entre decenas en las listas de actualizaciones
mensuales de las mismas compañías que causaron todo el revuelo.

Dos ejemplos que hablan por sí solos.

Resulta paradójico, aunque afortunadamente menos sangrante, leer
algunos de los argumentos con los que se respaldan estas firmas,
generalmente multinacionales, para justificar parte de sus más
notables "hypes". No es necesario hacer mucha memoria para llegar
a recordar cómo la compañía IBM, tras comprobar cómo uno de sus
empleados infectaba una red de ordenadores por accidente con el
virus "Toadie" (programado en ASIC) afirmaba que se trataba de un
virus extremadamente peligroso al ser capaz de permanecer en estado
latente durante la madrugada, aunque existía la posibilidad de que,
de manera aleatoria, se "despertase" e infectase ficheros EXE sin
previo aviso. Casi tan ridículo como la explicación de peso que
arguyó Computer Associates International en alusión a "Haiku" (un
i-worm analizado muy recientemente para todos los sucriptores de
"una-al-día"), alegando que se trataba de un peligroso espécimen
que generaba tráfico extra en la Red, que podía llegar a colapsar
el funcionamiento de servidores de "e-Commerce"... un comentario
cuando menos curioso, dado que dicho "tráfico extra", en el caso
excepcional de este i-worm, alcanza como cota máxima y, de manera
aproximada, los 70kb, tras lo cual procede a desinstalarse del
sistema "huésped", o, lo que es lo mismo, el ordenador infectado.

Uno no puede evitar recordar, al hilo de las congestiones de
tráfico en la Red, el boletín de Kriptópolis del 5 de abril de
1999, en el que, autoloores egotísticos de dudosa contrastabilidad
aparte -en relación al "caso Melissa"- era posible leer una
afirmación tal como que este sencillo espécimen, un simple virus
de macro programado en pocas líneas de código Visual Basic cuyo
propósito consistía en enviar un documento infectado a las
cincuenta primeras entradas (en caso de haberlas) de la libreta de
direcciones del usuario contagiado, "traspasaba los límites de los
virus tradicionales. Su objetivo no era dañar ordenadores aislados,
trastear con la tabla de particiones o hacer aparecer en pantalla
un mensajito más o menos gracioso. Melissa buscaba el colapso de
la red en su conjunto". ¿Acaso no era a la sazón asaz conocido el
caso de "Happy99", el verdadero pionero del género? ¿cómo puede
alguien llegar a plantearse algo tan descabellado como que el autor
de un virus que se reproduce por medio de Internet a base de
autoenviarse a cincuenta destinatarios tenga como objetivo real el
colapso de la Red en su conjunto?

El hecho de que Microsoft hubiese desconectado su servidor de
correo temporalmente con el fin de frenar la expansión de este
virus entre sus clientes no fue más que una medida preventiva
tomada a consecuencia de la rápida difusión de "Melissa", que
cogió desprevenidos a miles de usuarios, pero en ningún momento
hay que llegar a interpretar que David Smith, el autor del virus,
se hubiese planteado la creación de este espécimen tras haber
estudiado con antelación la posibilidad de que algo así llegase
a suceder. Estamos ante la clásica falacia de la no reciprocidad,
que se explica con un razonamiento tan simple como que si llueve
la calle está mojada, pero si la calle está mojada no tiene por
qué haber llovido necesariamente. ¿Intencionalidad? en estos casos
nunca se puede llegar a saber si se trata de la típica imprecisión
pseudoeufórica del zapatero metido a panadero por una noche al
contemplar cómo se cuece en el horno su primer bollito de pan, o
si, por el contrario, estamos ante una historia similar a la del
soldado que, habiendo sobrevivido a base de no asomar su cabeza
por la trinchera durante la guerra, premeditadamente inventa
una historia fantástica para contar a sus futuros nietos, y, de
paso, intentar que sus superiores le cuelguen alguna medalla.

Desafortunadamente, la única consecuencia que acarrea este tipo
de "hypes" a corto plazo es lo que cuando éramos pequeños se nos
explicaba como el cuento del "pastorcillo mentiroso": hemos
alcanzado un término a partir del cual los usuarios desconfían
por sistema o desconectan automáticamente, cuando ninguna de las
dos alternativas resulta, cuando menos, aconsejable. Cuando hay
un negocio y pocos escrúpulos por medio, cualquier ocurrencia
para salir del paso y descontingentizar el producto que se nos
intenta vender es buena, por mezquina que pueda llegar a ser, y
en estos momentos, por desgracia, el único discriminador posible
con el que cuentan los usuarios finales es el reducido criterio
del que cada uno de ellos disponga al respecto del mundo del
"malware" o, en otros casos, la credibilidad que una serie de
medios independientes involucrados en el sector les puedan ofrecer.

Y es que no podemos dejarnos en el tintero uno de los asuntos de
más rabiosa actualidad: dejando a un lado cualquier suerte de
consideración al respecto de la incoherencia que supone, según
muchos, la existencia de virus nativos para Linux, es curioso
comprobar cómo, desde la distribución oficial de la versión del
conocido antivirus "AVP" para esta plataforma, el responsable de
este producto, el ruso Eugene Kaspersky, centra un considerable
porcentaje de su atención a los todavía escasísimos especímenes
que son capaces de afectar a este sistema operativo, y se empeña
en intercalar, entre análisis y análisis, declaraciones en las que
asegura que "el futuro de los virus está en Linux". Casi con toda
probabilidad, si dispusiésemos de un "deseufemizador", la frase
resultante sería poco menos que una invocación descarada a los
escritores de virus a desviar su atención de Windows a Linux,
para así comenzar a nivelar el mercado y ofrecer una excelente
coartada a un producto cuyo único sentido, actualmente, consiste
en detectar menos de diez virus, ninguno de ellos "in the wild",
que en ningún caso representan una amenaza para la comunidad de
usuarios del conocido sistema operativo de Linus Torvalds. Para
entendernos: alguien ha puesto una nueva sartén en otro hornillo
y le faltan patatas que freír entre tanto aceite.

Las preguntas quedan en el aire: ¿quiénes mueven realmente este,
permítaseme la expresión, "cotarro"? ¿los lobos? ¿los pastorcillos
mentirosos que siembran el pánico sin que haya lobo siquiera? ¿les
interesa realmente a las compañías antivirus erradicar de manera
definitiva la existencia de virus informáticos? ¿o son quienes
instan precisamente a los autores de éstos a aumentar cada día
su producción?

Más información:

Install - CNN
http://www.cnn.com/2000/TECH/computing/01/14/win2k.virus.idg/index.html

Install - F-Secure
http://www.f-secure.com/news/2000/20000112.html

Install - AVPVE
http://www.avp.ch/avpve/NewExe/win2k/INTA.stm

HPS - CNN
http://cnn.com/TECH/computing/9806/22/win98.virus.idg/index.html

HPS - AVPVE
http://www.avp.ch/avpve/NewExe/win95/HPS.stm

Melissa - Kriptópolis
http://www.kriptopolis.com/boletin/0105.html

Haiku - Computer Associates Int.
http://biz.yahoo.com/prnews/000209/ny_ca_warn_1.html




Giorgio Talvanti
talvanti@hispasec.com



miércoles, 22 de marzo de 2000

¿Sociedad de la Información o Sociedad de la Vigilancia?

Desde que las cookies hicieran su aparición en la arena de Internet,
se han visto permanentemente envueltas en la polémica, atrayendo un
interés anormalmente desmesurado en los medios. Se las asocia
comúnmente con amenazas a la intimidad, violación de la privacidad y
peligros a veces más terribles.
A pesar de que los grupos de anunciantes y de marketing mantienen una
guerra particular con ciertas organizaciones, que por su parte
promueven campañas de protección de la intimidad en la Red, lo cierto
es que las cookies continúan utilizándose extensivamente en todo tipo
de sitios web y la tendencia apunta a que su uso crecerá con el
tiempo.

Las cookies constituyen una potente herramienta empleada por los
servidores web para almacenar y recuperar información acerca de sus
visitantes: conservan información entre páginas sucesivas que visita
el usuario, extendiendo significativamente las capacidades de las
aplicaciones cliente/servidor basadas en la Web. Mediante el uso de
cookies se permite al servidor recordar algunos datos concernientes
al usuario, como sus preferencias para la visualización de las
páginas de ese servidor, nombre y contraseña, productos que más le
interesan o, simplemente, un identificador único.

¿Pero qué es exactamente una cookie? Una cookie no es más que un
fichero de texto simple que algunos servidores piden a nuestro
navegador que escriba en nuestro disco duro. El contenido de la
cookie lo dicta el servidor y normalmente consistirá en un número
para identificar unívocamente al visitante. Este número se utiliza
como índice en una gran base de datos, en la que se va almacenando la
mayor cantidad posible de información acerca de lo que el visitante
ha estado haciendo por sus páginas: qué enlaces sigue, qué páginas
lee, qué fotos mira, qué documentos o programas descarga, etc. De
esta forma, si el usuario apaga el ordenador y se conecta de nuevo al
día siguiente, la cookie permitirá identificarle, reconociéndole como
el mismo usuario del día anterior, con lo que se puede continuar
recabando información acerca de él. La cookie actúa como esos anillos
que se pone a los pájaros en la patita, para poder seguir sus
movimientos y migraciones.

En sí, esta técnica no parece muy preocupante. De hecho, cuando
visitemos sitios que nos han enviado cookies, recibiremos propaganda
cada vez más personanalizada, ya que el anunciante va conociendo con
gran precisión nuestros hábitos y gustos, lo cual puede resultar
deseable. Y al fin y al cabo, sólo nos conocen por un número, no por
nombre y apellidos. Desgraciadamente, a menudo se rellenan
formularios con el nombre, apellidos, dirección, teléfono y a veces
incluso datos aún más privados y sensibles. A partir de ese momento,
si el formulario se envía a un sitio del que hemos recibido una
cookie, la asociación entre el identificador anónimo de la cookie y
nuestros datos personales, introducidos en el formulario, resulta
inmediata. De ahí en adelante ya no es un número el que navega, sino
un ciudadano con su nombre y domicilio.

El reciente anuncio de Kevin O'Connor, fundador y presidente de
DoubleClick (www.doubleclick.com), la mayor red de anunciantes y
envío de cookies para marketing personalizado, ha provocado un gran
revuelo en los círculos defensores de la intimidad en Internet: según
sus palabras, DoubleClick planea cruzar la información recopilada en
Internet (on-line), a través de cookies y formularios, con la
información recopilada por otras compañías al margen de la Red
(off-line).

Ahora el panorama sí que empieza a perfilarse como un escenario
Orwelliano, en el que se siguen a conciencia todos los movimientos de
los ciudadanos en un mundo que camina hacia la informatización y
automatización progresiva de todos los procesos. Cada día se hace un
mayor uso de tarjetas, de crédito y de todo tipo: la tarjeta Caprabo
para ganar puntos para descuentos mensuales en las compras del
supermercado, la tarjeta VIPS para ahorrar dinero VIPS y obtener
descuentos en comidas y cenas, la tarjeta del Corte Inglés, la
tarjeta de Repsol, la tarjeta de MasterCard gratuita que distribuye
la compañía eléctrica entre sus clientes, las tarjetas de crédito y
débito habituales con las que se compra en cualquier tienda o se
reservan entradas para el próximo concierto o se paga la habitación
del hotel. Hay tarjetas para todo y las tarjetas Visa, AMEX y
MasterCard cada vez se usan en más y más pagos. El peaje electrónico
está a la vuelta de la esquina, funcionando ya en muchos países; se
registran todas las llamadas desde móvil y fijo: a qué número se
llamó, cuánto tiempo duró la llamada.

¿Nunca ha pensado que queda un registro electrónico de todas sus
compras y servicios pagados con esa multitud de tarjetas? La
facilidad de tratamiento masivo de la información que ofrecen los
modernos sistemas informáticos, unida a la fácil movilidad de los
datos, gracias a las redes de comunicaciones cada día más extendidas,
posibilitan la compilación de gigantescos historiales sobre la vida
personal de los ciudadanos: hábitos de compra, gustos musicales,
destinos de viaje preferidos, lecturas favoritas, alimentación,
tantas cosas que pueden llegar a conocerse a partir del uso que hace
de sus tarjetas.

Nuestra vida moderna deja una profunda huella digital, de la que
creíamos que podíamos escapar en Internet, donde no nos vemos las
caras, por donde navegamos desde la comodidad y aparente anonimato de
nuestros hogares. El anuncio de O'Connor derriba incluso esta
quimera. Ambos rastros, el de Internet y el del mundo cotidiano,
pueden combinarse y DoubleClick, la mayor red de marketing en
Internet, que incluye más de 1500 sitios, entre los que se cuentan
Altavista, The Wall Street Journal o The New York Times, ha anunciado
sus planes de hacerlo realidad. Los mundos on-line y off-line, una
vez relacionados, pueden ofrecer tal cantidad de información acerca
del usuario, que será necesario revisar los conceptos actuales de
privacidad y anonimato. Internet y el rápido avance de las
tecnologías de la información y comunicaciones claman por una
reestructaración de nuestra ética en el ámbito del ciberespacio,
sacudida ya por la conducta escandalosa de los nuevos ciber-ricos.

Como sostiene Lawrence Lessig en su pesimista libro "Code and Other
Laws of Cyberspace", pronto una combinación de contraseñas, filtros,
cookies, identificadores digitales, libros y materiales de pago
mientras se contemplan ("pay as you view downloadable books") pueden
transformar Internet en un lugar oscuro, donde los instrumentos
actuales de libertad y privacidad pueden ser borrados por una
emergente arquitectura de ojos que todo lo ven.

Como siempre, la última palabra la tiene el usuario, que debe exigir
a los sitios web que visite una clara política de privacidad, que se
le explique llanamente qué se hace con sus datos personales y se le
ofrezca siempre la posibilidad de entregarlos solamente si quiere. En
vez de seguir el esquema actual de obtener datos y ofrecer luego al
usuario la posibilidad de darse de baja (opt-out), tiene más sentido
el proporcionarle la posibilidad de suministrar sus datos personales
sólo si así lo desea, cuando se le haya explicado por qué se
solicitan y qué ventajas le reportará entregarlos (opt-in).

Un enfoque racional y flexible del uso y recogida de datos personales
en Internet puede conducir a una Sociedad de la Información en la que
todos ganamos. El usuario debe gozar del control sobre sus datos y
decidir a quién se los entrega. Si las empresas de marketing y de
venta de servicios y mercancías en la Red se niegan sistemáticamente
a ceder el control a los ciudadanos, no queda más remedio que
recurrir a herramientas para asegurar la privacidad y el anonimato.
Afortunadamente, existen numerosas herramientas para restringir el
uso de las cookies y el rastreo de los navegantes y para ocultar la
identidad.

En cualquier caso, el primer paso hacia una sociedad digital
responsable y no controlada por el poder económico o social es que
los ciudadanos tomen conciencia de que sus datos son recopilados y
comprendan los procesos por los que esta acumulación de información
tienen lugar. ¿Cómo va a reaccionar un ciudadano desinformado que ni
siquiera sabe que sus datos personales son almacenados con fines
desconocidos? La información representa la delgada línea entre
manipulación y libertad.

Más información:

Todo sobre las cookies
http://www.iec.csic.es/criptonomicon/cookies

Listas Robinson
http://www.fecemd.org

Centro para la Democracia y Tecnología
http://www.cdt.org




Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #67
http://www.iec.csic.es/criptonomicon



martes, 21 de marzo de 2000

Groupement des Cartes Bancaires contra Humpich

En el Juzgado nº 13 del TC de París se Juzga a Serge Humpich,
Ingeniero Electrónico de 35 años. Él ha sido el primero que ha
tenido, que se sepa, éxito en romper el sistema de seguridad de
las conocidas tarjetas monederos electrónicos, consiguió la clave
RSA de 640 bits almacenada en el chip de tarjetas inteligentes.
El problema surgió cuando este apasionado de la informática pensó
que podría beneficiarse de su descubrimiento.
"En julio 99 Serge Humpich entró por lo mismo en relación con
"GIE Tarjetas Bancarias" por mediación de un abogado para
ofrecerles la venta de sus conocimientos (descubrimiento). Tras
múltiples contactos el grupo GIE le pidieron que aportara pruebas
de su capacidad para burlar las tarjetas de pago. Serge Humpich
compró diez billetes de metro con tarjetas falsas enviando a la
GIE los tickets sin usar y las facturas de pago. Fue arrestado,
ya que en agosto 98 GIE le demandó por intrusión fraudulenta en
el sistema automático de datos y por falsificación de tarjetas
bancarias.

El 17 sept. se entró en la casa de Humpich, y en el despacho de
su abogado, poniendo a Humpich en prisión preventiva. Para GIE
representada por el letrado Michel Beaussier , el asunto está
claro, Humpich no es sino un pequeño desfalcador apoyado por una
prensa que no ha entendido nada sobre el asunto en juego en este
caso. Según el letrado lo que esta amenazado por el
descubrimiento de Humpich es la integridad de todo el sistema
bancario de tarjetas. Calificando el hecho de extorsión mafiosa.

Para la defensa no ha habido introducción fraudulenta en la red
de cajeros, todas las investigaciones de Humpich han sido
realizadas sobre un terminal de pago no conectado, es decir
inactivo, por tanto no puede haber entrada fraudulenta a ningún
sistema.

Humpich por otra parte, alegó a la audiencia que en ningún
momento se ha beneficiado con su conocimientos para defraudar a
terceros. Estaba animado por un espíritu de curiosidad frente a
los "desafios" del sistema. Las únicas compras que ha realizado
son los billetes de metro no utilizados y enviados a la GIE:
¿donde se encuentra la intención de delinquir y por lo tanto
donde el elemento moral de la infracción?

Por lo que respecta a la falsificación de las tarjetas, para los
abogados de la defensa, no eran tarjetas bancarias propiamente si
no tarjetas monedero programadas (se crearon 5 replicas de
tarjetas). Para que hubiese habido una contravención, hubiese
sido menester que las susodichas tarjetas tuviesen incorporadas
todas las funciones de servicio de una Tarjeta Bancaria, lo que
no era el caso.

Como ha señalado la defensa, lo que se plantea en efecto en este
caso es establecer en donde se encuentra la frontera entre el
cracker y el científico. De su conocimiento se puede aprovechar
la sociedad, y, la defensa se pregunta ¿no se esta poniendo en
causa el derecho de patente?

El tribunal estuvo compuesto por: Mme Anny Dauvilaire-Allal
(président), Mme Jelena Kojic et De Keating Hart (juges), Mme
Isabelle Nouhaud (substitut).

Avocats : Mes François Cornette de Saint-Cyr, Benoît Louvet et
Michel Beaussier".

Lo hasta aquí redactado, y escrito entre comillas ,"", es una
traducción de la fuente mencionada abajo.
(En francés):
Fuente traducida:
http://www.legalis.net/legalnet/actualite/affairehumpish/pagehumpish.htm

Más información:

Método empleado, y formas de acceso, etc.
En Francés: http://humpich.com
Varios Idiomas:
http://humpich.com/LCguillou_AnnTelecom_No43_1988.jpg
Inglés: http://humpich.com/SmartCard19900810-2.jpg



Eusebio del Valle
evalle@hispasec.com