miércoles, 31 de mayo de 2000

Microsoft anuncia una vulnerabilidad en SQL Server

Microsoft acaba de publicar un parche para paliar una vulnerabilidad
en la rutina de instalación de SQL Server 7, por la cual, bajo
determinadas circunstancias la password de administración queda
grabada en el servidor en un archivo en texto plano.
El problema sólo se da cuando Microsoft SQL Server 7.0,
independientemente de la instalación del Service Packs 1 o 2, se
instala en una máquina configurada para realizar autenticación en Modo
Mixto. En este caso, la password de administrados del sistema de la
base de datos (sa) se grabará en textgo plano en el archivo
\%TEMP%\sqlsp.log. Los permisos asignados por defecto a este archivo
permiten a cualquier usuario con acceso al servidor leer su contenido
y por tanto conseguir la password de administración de la base de
datos.

La password sólo se graba en el archivo de texto cuando se emplea el
modo mixto y además de ello, si el administrador decide emplear SQL
Server Authentication al instalar el service pack. Microsoft siempre
ha recomendado a los usuarios el uso de la Autenticación Windows NT,
método mucho más seguro. Por lo que todos los administradores que
hayan seguido este consejo no se ven afectados por el problema.
Incluso, en aquellos servidores afectados no deberían verse
comprometidos si se siguen las normas habituales de seguridad, entre
las que se destaca la de evitar el acceso físico a los servidores por
parte de los usuarios normales.

Más información:

Localización del parche:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=21546

Boletín de seguridad:
http://www.microsoft.com/technet/security/bulletin/ms00-035.asp

Preguntas y respuestas acerca de la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-035.asp




Antonio Ropero
antonior@hispasec.com



martes, 30 de mayo de 2000

Disney distribuye un virus informático

Un juego de Disney Interactive, distribuido en España por Infogrames,
lleva en su interior el virus CIH activado, uno de los más dañinos
de toda la historia. Una "sorpresa" que ambas compañías han tratado
de silenciar.
Tanto Disney como la distribuidora, conocedoras del problema tiempo
atrás, omitieron cualquier comunicado alertando públicamente de este
grave incidente que, a día de hoy, los usuarios siguen sufriendo en
forma de pérdidas irrecuperables de información a base de discos
duros formateados y, en algunos casos, daños en el hardware de sus
equipos.

La sospecha se originó a finales de Abril cuando dos lectores
tuvieron que reinstalar el sistema del ordenador personal de un
compañero de trabajo cuyo disco duro apareció totalmente
irreconocible, al parecer por la acción de un virus. El compañero
volvió al segundo día con el PC, ya que por un descuido no habían
configurado correctamente el vídeo, fue entonces cuando descubrieron
que el sistema se encontraba de nuevo infectado, concretamente el
archivo "RT4.EXE", perteneciente al juego "El Reino de las
Matemáticas con Aladdin". El desconcierto surge cuando ningún
antivirus detecta presencia alguna del virus en el CD original de
instalación.

En ese punto, y ante la duda, deciden ponerse en contacto con
Hispasec adjuntando el CD motivo de la sospecha. En una rápida
mirada al contenido del CD pudimos confirmar la existencia del
virus CIH, el motivo por el que ningún producto detectaba su
presencia era porque éste se encontraba en un fichero renombrado
y comprimido en un formato no soportado por los antivirus.

Durante el proceso de instalación el archivo infectado se renombra
como ejecutable y es copiado en el disco duro. Cualquier ejecución
del juego a posteriori pasa por el archivo infectado, por defecto
en "C:DISNEY\ELREINO\RT4.EXE", lo que provoca que el virus CIH se
quede residente en memoria y comience la infección de todo el
sistema. Cuando un usuario, en el mejor de los casos, detecta la
presencia del virus antes de que éste lleve su a cabo su acción
dañina, es muy probable que el virus haya infectado una gran
cantidad de ficheros por lo que se presenta difícil relacionar al
juego de Disney como origen de la infección. Es mucho más fácil
echar la culpa a los programas "pirata" o al comodín de Internet.

En contacto con Infogrames, distribuidora en España de los juegos
de Disney Interactive, y tras una serie de mensajes, llegan a
admitir la existencia del virus en el CD. Preguntados por las
acciones que pensaban tomar al respecto, nos indican que
procedieron en su día a la retirada de este software del mercado,
y desde entonces se ha dejado de comercializar. ¿Qué ocurre con
los usuarios que compraron el software? ¿Por qué no se ha emitido
un comunicado público avisando de un CD que sigue causando
infecciones? Preguntas que se quedaron sin contestar. Mientras
tanto "Aladdin" sigue su particular siembra del virus CIH.

En un último escrito Infogrames nos comunica que creen haber
tomado todas las medidas oportunas, y que, en cualquier caso,
al CD acompaña información sobre como contactar con su servicio
técnico para tratar los problemas de forma individualizada. Vista
la buena disposición, desde aquí animo a todos los usuarios
afectados a contactar con el servicio técnico de Infogrames, a
la espera de conocer cómo restaurará los daños directos y
colaterales, ya que es difícil establecer cuántos sistemas se
han visto afectados de forma indirecta, por haber compartido red
local o ficheros con los sistemas infectados. De todas formas,
me sigue pareciendo mucho más rentable para todos, y un ejercicio
de responsabilidad, el que hubieran hecho público en su día un
sencillo comunicado avisando de la existencia del virus. Más
vale prevenir que curar.

El virus CIH

Win95.CIH es un virus para Windows 95/98 que lleva a cabo su
"payload", o acción dañina, el 26 de Abril, día al que debe su
alias "Chernobyl", al coincidir con el desastre nuclear de 1986.
Su origen se remonta a junio de 1998, cuando Chen Ing-Hau, cuyas
iniciales dan lugar al nombre del virus, desarrolló el programa
mientras cursaba sus estudios de ingeniería informática en el
Instituto de Tecnología Tatung de Taiwan.

En el apartado técnico, CIH infecta archivos ejecutables en
formato Windows PE (Portable Executable). Al ejecutar un archivo
infectado el virus pasa a memoria quedando residente, a partir
de ese momento infectará cualquier programa que usemos. Además
de ocupar apenas 1 Kb, el virus utiliza una técnica que busca
hospedarse en huecos libres en el programa que va a infectar
por lo que el archivo una vez modificado no aumenta
necesariamente de tamaño. De esta forma oculta su presencia.
Otros de los detalles técnicos que más impactó en su momento
consisten en su capacidad para saltar desde "Ring-3" a "Ring-0",
el anillo de privilegios máximos en Windows.

Pero lo que ha hecho famoso a este virus son las acciones
dañinas que lleva a cabo al activarse, además de borrar la
información de todos los discos duros, sobrescribiendo la MBR
y los sectores de arranque. CIH es capaz de dañar determinados
tipos de BIOS, siendo la única solución la sustitución de la
pieza de hardware por una nueva, obligando a llevar el
ordenador al servicio técnico.




Bernardo Quintero
bernardo@hispasec.com



lunes, 29 de mayo de 2000

Hispasec publica su comparativa antivirus 2000

La comparativa del pasado año revolucionó toda la metodología de
pruebas antivirus a nivel mundial hasta el momento. Este año seguimos
innovando y presentamos la mayor comparativa antivirus de la historia,
analizamos un total de 30 productos seleccionados entre los mejores
de todo el mundo.
Esta comparativa, publicada el pasado mes en la edición de mayo de la
revista PC Actual, analiza un total de 30 productos sobre los que se
realizan pruebas de detección, eliminación, e incluso de respuesta de
los departamentos técnicos. En un antivirus no sólo es importante la
calidad de su motor de detección, sino también la velocidad con que es
capaz de desarrollar una actualización para detectar nuevos virus. Las
pruebas realizadas por Hispasec están destinadas a valorar todos y
cada uno de los factores determinantes en la calidad de un antivirus.

Las pruebas de atención de los servicios técnicos fueron la que más
ampollas levantaron en la pasada edición, y este año también
desvelan grandes sorpresas. Esta prueba hasta ahora sólo realizada por
nuestro laboratorio de análisis consiste en el envío de una muestra de
virus real, pero no detectado por ningún antivirus, para comprobar la
velocidad de respuesta y efectividad de los servicios técnicos de cada
firma.

Por otra parte las pruebas de detección son sumamente completas con un
número de muestras elevado y una colección cuidada y revisada. El
equipo técnico de Hispasec ha realizado pruebas de detección de virus
binarios, macros, troyanos, boot, backdoors, scripts, HTML infectors,
etc. además de comprobar la efectividad de cada software a la hora
de eliminar los virus, su capacidad para manejar diferentes formatos
de compresión, el módulo residente o la protección en Internet. Para
la realización de la comparativa Hispasec ha desarrollado su propia
tecnología en las distintas pruebas, en especial la de eliminación
para comprobar la correcta limpieza de los archivos infectados.

Esta completa comparativa, la más amplia conocida, está disponible
para todos los lectores de Hispasec en nuestra web. Puede ser
consultada a partir de la dirección:

http://www.hispasec.com/comparativa2000.asp


Antonio Ropero
antonior@hispasec.com



domingo, 28 de mayo de 2000

Vulnerabilidades FTP en Cisco Secure PIX Firewall

Otra dos nuevas vulnerabilidades afectan a un producto de Cisco, en
este caso el producto afectado es el "Cisco Secure PIX Firewall", el
cual interpreta ordenes FTP fuera de contexto al abrir temporalmente
un acceso a través del cortafuegos. Esto se da si se tiene habilitado
el comando fixup protocol ftp en el firewall, el cual se activa por
defecto.
La primera vulnerabilidad se da cuando el cortafuegos recibe un
mensaje de error de un servidor FTP interno. El problema se da por que
interpreta la orden de forma errónea y puede ser explotada con la
finalidad de abrir una segunda conexión independiente a través del
mismo.

La segunda vulnerabilidad se da cuando un cliente dentro del
cortafuegos visualiza un servidor externo y selecciona un link que
interpreta erróneamente como si recibiera más de una orden FTP. Lo que
da lugar a la apertura de una conexión FTP independiente a la
solicitada en el cortafuegos.

Todos los "Cisco Secure PIX Firewall" con versiones de software,
4.2(5), 4.4(4), y 5.0(3) que proporcionen acceso a servidores FTP se
ven afectados por ambos problemas. La versión 5.1(1) sólo está
afectada por la segunda vulnerabilidad. Cisco Secure Integrated
Software no se ve afectado por ninguna de las vulnerabilidades antes
mencionadas.

Son vulnerables aquellos Cisco Secure PIX Firewall que protejan algún
servidor ftp, ya que para realizar el ataque el usuario malicioso debe
efectuar alguna conexión a dicho servidor. Se puede comprobar la
vulnerabilidad del firewall si este posee su configuración unas líneas
similares a las siguientes.

fixup protocol ftp 21
and either
conduit permit tcp host 192.168.0.1 eq 21 any
or
conduit permit tcp 192.168.0.1 255.255.255.0 eq 21 any

Más Información:

Cisco:
http://www.cisco.com/warp/public/707/pixftp-pub.shtml

Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-08&msg=38C8C8EE.544524B1@enternet.se



Antonio Román
antonio_roman@hispasec.com



sábado, 27 de mayo de 2000

W97M.RESUME, un curriculum vitae muy peligroso

A última hora de ayer, viernes 26, se detectó la propagación de esta
peligrosa variante de Melissa, también denominada W97M.Melissa.bg,
que borra el directorio raíz de todas las unidades, los archivos de
sistema de Windows 9x/NT y la carpeta "My Documents". Viaja en un
documento de Word 97 adjunto en un mensaje de correo con el asunto:
"Resume - Janet Simons", simulando el envío de un curriculum vitae.
El correo electrónico llega con el remitente de un usuario infectado,
dirigido a el usuario que recibe el gusano, el asunto "Resume -Janet
Simons", comentado anteriormente, y el siguiente texto en el cuerpo
del mensaje:

---

To: Director of Sales/Marketing,

Attached is my resume with a list of references contained within.
Please feel free to call or email me if you have any further
questions regarding my experience.
I am looking forward to hearing from you.

Sincerely,
Janet Simons.

---

Adjunto al correo viaja el documento de Word 97 infectado,
originalmente como RESUME1.DOC, también se han detectado casos con los
nombres de fichero EXPLORER.DOC y NORMAL.DOT. Hay que tener en cuenta
que tanto la nomenclatura, como el asunto y cuerpo del mensaje,
podrían ser fácilmente modificadas, cosa muy probable que ocurra
durante la semana a medida que vayan surgiendo variantes del gusano.

El documento de Word infectado contiene dos macros. La primera,
Document_Open, que se ejecuta cuando se abre el documento, tiene como
misión conectar con Microsoft Outlook para leer la libreta de
direcciones y enviar un mensaje para cada uno de los contactos con el
mismo contenido -asunto, cuerpo, documento adjunto- que ya hemos
comentado.

La otra macro, Document_Close, se ejecuta cuando se cierra el
documento, y su fin consiste en crear dos copias del archivo
infectado, una en:
"C:\WINDOWS\Start Menu\Programs\StartUp\Explorer.doc", que provocaría
que el documento se abra cada vez que se inicie una sesión en Windows,
y otra como "C:\Data\Normal.dot".

Por último, el gusano lleva a cabo su acción dañina, que consiste en
borrar todos los ficheros del directorio raíz de todas las unidades
existentes, desde la "A:" a la "Z:, los ficheros de Windows:

"C:\WINDOWS\*.*"
"C:\WINDOWS\SYSTEM\*.*"
"C:\WINNT\*.*"
"C:\WINNT\SYSTEM32\*.*"

y la carpeta de documentos de Office por defecto

"C:\My Documents\*.*"

Todas las trayectorias de los subdirectorios a las que el gusano
apunta para realizar las copias de si mismo, y durante la rutina de
eliminación de ficheros, vienen fijas en el código del gusano, por lo
que sólo tendrán efecto si existen en el sistema infectado. Una
muestra más de que el nivel técnico del gusano, como ocurre en estos
casos, es muy bajo, y su poder de expansión se basa más en la
Ingeniería Social, en el factor humano, que se deja engañar por el
texto del mensaje.

De momento "W97M.RESUME.A", alias "W97.Melissa.bg" ha conseguido
expandirse entre cientos de sistemas, su incidencia es baja, sobre
todo debido a que su propagación ha comenzado durante el fin de
semana y muchos usuarios no recogerán su correo corporativo hasta el
lunes. Esperamos que para entonces todos los antivirus hayan
suministrado las actualizaciones correspondientes que, junto con la
información dada, evite una mayor incidencia.

Por último recordar, para aquellos que lleguen a sufrir los efectos
del virus, como paso fundamental antes de proceder a la reinstalación
de Windows, la necesidad de eliminar los archivos infectados.
Especialmente el archivo Explorer.doc de la carpeta
"C:\WINDOWS\Start Menu\Programs\StartUp\". Ya que de otra forma,
volverán a sufrir los efectos del virus, tras el primer arranque del
sistema una vez reinstalado.

Más información:
Symantec
AVP
DataFellows
Computer Associates



Bernardo Quintero
bernardo@hispasec.com



viernes, 26 de mayo de 2000

Grave vulnerabilidad en varias implementaciones Kerberos

Encontrados diversos desbordamientos de búfer en la implementación
de varias versiones del protocolo de autentificación Kerberos. Las
vulnerabilidades pueden ser explotadas para conseguir acceso "root".
Varias implementaciones Kerberos son vulnerables a varios ataques de
desbordamiento de búffer, que permiten:

* Que un usuario remoto consiga acceso "root" en cualquier máquina que
ejecute servicios autentificados con Kerberos 4.

* Que un usuario remoto consiga acceso "root" en cualquier máquina que
ejecute el demonio "krshd", aunque esté configurado para que no
acepte autentificación con Kerberos 4.

* Que un usuario local consiga acceso "root" en cualquier máquina,
a través de los servicios "v4rcp" y "ksu".

Kerberos es un protocolo de autentificación que permite centralizar en
un servidor la gestión de accesos a toda una red de grandes
proporciones. Básicamente, un cliente se autentifica ante el servidor de
autentificación, y éste le proporciona "tickets" para que pueda
acceder a los servicios de red como impresoras o discos compartidos.

El problema más grave de desbordamiento de búfer se sitúa en la función
"krb_rd_req()", en la versión 4 del protocolo (la versión actual es la
5, pero incluye código de compatibilidad con la versión 4 que también es
vulnerable). Existen al menos otras tres vulnerabilidades de
desbordamiento adicionales.

Las versiones vulnerables son, al menos, las siguientes:

* MIT Kerberos 5, versiones krb5-1.0.x, krb5-1.1, krb5-1.1.1

* MIT Kerberos 4 revisión 10, y probablemente las versiones anteriores.

* KerbNet

* Cygnus Network Security

Parecen no ser vulnerables:

* KTH krb4

* KTH Heimdal

* Windows 2000

Toda red gestionada a través de Kerberos debe ponerse en contacto con el
fabricante de su implementación. El MIT ha publicado la versión 1.2 de
la versión 5 del protocolo Kerberos, que soluciona este problema. Los
usuarios con versiones más antiguas sin posibilidad de actualizarse,
deben aplicar varios parches disponibles a través de los enlaces de
abajo, o bien desactivar la compatibilidad con la versión 4 del
protocolo Kerberos, si la red en cuestión puede funcionar con la versión
5.

La distribución NetBSD ha sido actualizada ya, y todo sus usuarios
deberían actualizar sus sistemas. La distribución OpenBSD emplea código
Kerberos que no parece vulnerable.

Más información:
BUFFER OVERRUN VULNERABILITIES IN KERBEROS
CERT® Advisory CA-2000-06 Multiple Buffer Overflows in Kerberos
Multiple Vendor Kerberos 5/Kerberos 4 Compatibility krb_rd_req() Buffer
Overflow Vulnerability



Jesús Cea Avión
jcea@hispasec.com



jueves, 25 de mayo de 2000

Vulnerabilidades en KNAPSTER y GNAPSTER

Los programas KNapster y Gnapster tienen una vulnerabilidad que permite
que cualquier usuario pueda acceder y copiar cualquier fichero contenido
en el disco duro de un usuario que ejecute "KNapster" o "Gnapster", y
sobre el que dicho usuario tenga permisos de lectura.
KNapster y Gnapster son dos programas para Linux (el primero para el
entorno KDE y el segundo para el entorno Gnome), similares al Napster de
Windows. Estos programas permiten utilizar la arquitectura Napster desde
sistemas Linux, como si de otro Napster se tratase.

Napster, como todos nuestros lectores sabrán, es un programa que permite
que un usuario comparta e intercambie ficheros MP3 con otros miles de
usuarios repartidos por todo el planeta.

Tanto KNapster (versión 0.9 y anteriores) como Gnapster (versión 1.3.8 y
anteriores) tienen el mismo BUG: aceptan peticiones "GET" conteniendo
PATHs completos, lo que permite referenciar cualquier fichero del disco
duro del usuario atacado.

Ambos programas han corregido ya el problema, y se recomienda instalar
la última versión de los mismos, disponibles en

http://knapster.netpedia.net/#DOWNLOAD
http://download.sourceforge.net/gnapster/

Más información:
KNAPSTER
GNAPSTER
NAPSTER
Gnapster and Knapster File Access Vulnerability



Jesús Cea Avión
jcea@hispasec.com



miércoles, 24 de mayo de 2000

PGP 5.0 genera claves inseguras

PGP (Pretty Good Privacy) versión 5.0 puede generar claves de muy baja
calidad (es decir, predecibles por un atacante), dependiendo de las
circunstancias y el sistema operativo empleado.
PGP es un popular programa de cifrado y firma digital, que emplea
tecnología de clave pública. El usuario genera sus propias claves una
vez, empleando el propio programa. La clave pública puede ser
distribuida libremente, y la clave privada debe ser poseída
exclusivamente por su propietario.

Existe un fallo en la versión 5.0 de PGP, que se manifiesta cuando el
usuario genera una clave asimétrica en un entorno Unix que proporcione
un dispositivo "/dev/random" (por ejemplo, Linux o *BSD). La rutina de
lectura de dicho fichero contiene un fallo de programación que provoca
que no se recoja NINGUNA entropía a través suya. Ello hará que el
programa "piense" que cuenta con valores aleatorios de suficiente
calidad como para generar una clave segura, cuando en realidad esto no
es así. Las claves resultantes, por tanto, serán predecibles e
inseguras.

Las versiones 2.* y 6.5 de PGP no están afectadas por este problema.
Se recomienda a los usuarios que hayan generado su clave con la
versión 5.0 que generen una revocación de la misma y que creen una
clave nueva con una versión inmune.

Los usuarios que no quieran instalar una versión inmune en su sistema,
pueden continuar usando la versión 5.0, corrigiendo el bug ellos mismos.
Ello es tan fácil como editar el fichero "src/lib/ttyui/pgpUserIO.c" y
modificar la línea 1324. Esa línea pone

RandBuf = read(fd, &RandBuf, count);

cuando debería poner

read(fd, &RandBuf, count);

Luego sólo queda compilar y reinstalar.

Más información:
Security flaw in PGP 5.0
The International PGP Home Page



Jesús Cea Avión
jcea@hispasec.com



martes, 23 de mayo de 2000

Restricciones a la criptografía y el Informe EPIC

Cuando todos los periódicos ya daban por hecho el voto positivo de la
Unión Europea a la exportación de tecnología criptográfica. El lunes
pasado, 22 de Mayo, los Ministros de Exteriores de la UE retiraron la
propuesta de sus agendas. No se votó.
La nuevas medidas hubieran derogado las impuestas desde 1994 por la
llamada "normas de doble uso", normas que prohibían, y, después de lo
visto, todavía prohiben, la exportación a países fuera de la UE, sin
una licencia especial.

Sobre el asunto no ha habido ningún comunicado oficial, aunque se
rumorea la existencia de presiones por parte de Francia, UK y, sobre
todo, Estados Unidos. Y ello para grave disgusto de la industria
europea del sector, que piensa se le está limitando sus oportunidades
en el mercado mundial.

Coincidiendo con ello, también esto días, ha salido el como siempre
interesante informe anual del EPIC sobre la situación de la
criptografía en más de 150 países, "Cryptography & Liberty 2000: An
International Survey of Encryption Policy":

Según el nivel de restricciones, califica a los países como Red,
Yellow, Green. A España la califica con un aprobado alto en la
materia, Yellow-Green.

Recordemos que la normativa existente en España se centra en la Ley
General de Telecomunicaciones, articulo 52.2 -(regulación de la
criptografía); el Real Decreto 491/1998 de 27 de Marzo; y en el
acuerdo Wassenaar. Estas normas suponen que en España, como en la
mayoría de la UE, no se prohibe la importación, pero si hay
restricciones a la exportación, siendo, en España, necesario licencia
para ello por parte de la Junta Interministerial Reguladora del
Comercio de Material de Defensa y Doble Uso, compuesta por miembros de
Defensa, Exteriores y Ministerio de Economía.

Más información:
Sobre el Informe EPIC, (En inglés):
**Una versión electrónica, (Gratuita), reducida, con un análisis del
tema, y de la situación de la criptografia a nivel mundial (país por
país, más 150 países) . En:

http://www2.epic.org/reports/crypto2000/
**El libro "Cryptography & Liberty 2000: An International Survey of
Encryption Policy" se puede conseguir, (a través de Amazon, por unos
20 Dolares), en:
http://www.epic.org/bookstore/crypto&/




Eusebio del Valle
evalle@hispasec.com



lunes, 22 de mayo de 2000

Parche para los routers y switches de Cisco

Cisco publica un parche para reparar una vulnerabilidad que afecta a sus
switches y routers con el servidor http habilitado sin proteger contra
conexiones no autorizadas.
Este problema que afecta a los routers y switches administrados via web a
través de Internet, se da desde la versión 11.1 y posteriores de IOS
(Internet Operating System) y puede dar lugar a la detención de los
dispositivos antes mencionado por un periodo de dos minutos. Si se repite el
ataque de forma continuada se puede provocar una Denegación de Servicios
(ataque DoS).

El problema también puede solucionarse si se inhabilita el servidor http
IOS, o si se aplica una política de restricción de acceso al servidor http.
Este último problema se une en la actualidad, a un cúmulo de
vulnerabilidades que en los últimos tiempos azotan los productos de esta
compañía.

Más información:
Cisco
VNUnet


Antonio Román
antonio_roman@hispasec.com



domingo, 21 de mayo de 2000

Acceso a las cuentas de correo en Emurl

Emurl es un servidor de correo electrónico con interfaz Web
para Windows NT. Una vulnerabilidad permite a cualquiera
leer los mensajes, capturar contraseñas y configurar
cualquier cuenta con tan sólo conocer el nombre de usuario.
Para acceder a cualquier recurso de una cuenta toda la
seguridad, inexistente, de este sistema se basa en un
número de identificación (ID) para cada usuario. El
algoritmo es pésimo, para calcularlo sólo se basa en el
nombre de usuario, en vez de hacerlo en la contraseña,
por ejemplo.

Para hallar el ID de una cuenta basta con calcular el
código ASCII de cada uno de los caracteres que forman el
nombre y sumarles la posición. Por ejemplo, en el caso
de que el nombre de usuario es "webmaster":

w = 119 + 1 = 120
e = 101 + 2 = 103
b = 98 + 3 = 101
m = 109 + 4 = 113
a = 97 + 5 = 102
s = 115 + 6 = 121
t = 116 + 7 = 123
e = 101 + 8 = 109
r = 114 + 9 = 123

ID=120103101113102121123109123

Para acceder al buzón de entrada y ver los mensajes:
http://www.algunwebmail.com/scripts/emurl/recman.dll?
TYPE=RECIEVEMAIL&USER=120103101113102121123109123

Para acceder a la configuración de la cuenta:

http://www.algunwebmail.com/scripts/emurl/MAKEHTML_M.dll?
TYPE=USER&USER=USER=120103101113102121123109123

Más información:
Emurl




Bernardo Quintero
bernardo@hispasec.com



sábado, 20 de mayo de 2000

Vulnerabilidad en herramienta "anti-hackers"

Network ICE anuncia una tecnología "anti-hackers" revolucionaria, con
productos que combinan firewalls y detección de intrusos para ofrecer
una protección global. Esta presentación contrasta con la existencia
de una cuenta por defecto sin contraseña que permite acceder a
información sensible, enviar falsas alertas a los administradores y,
lo más grave, ejecutar comandos de forma remota.
ICEcap Manager permite el control y administración de los BlackICE
Agents, que son los componentes que Networt ICE instala en los
sistemas para actuar como firewalls, analizar el tráfico de la red,
e identificar y avisar de situaciones anómalas. El módulo ICECap
puede ser consultado por un navegador, por lo que existe un servidor
web accesible a través del puerto 8081, así mismo posee abierto el
puerto 8082 donde escucha y recoge las alertas que envían los
agentes BlackICE.

El problema es que Network ICE introduce una cuenta por defecto
con el nombre de usuario "iceman" sin contraseña que permite, a
cualquiera que conozca su existencia, visualizar toda la información
de seguridad del sistema a través del puerto 8081, así como enviar
falsas alarmas a través del puerto 8082.

La vulnerabilidad se agrava debido al método utilizado por Network
ICE para almacenar las alertas, usando bases de datos Access (.mdb)
con el controlador Microsoft Jet 3.5, que permite introducir
registros que contengan comandos y forzar su ejecución aprovechando
una vulnerabilidad en el shell de Visual Basic para Aplicaciones.

Network ICE ofrece una actualización de su software donde corrige
estos problemas: http://update.networkice.com/cgi/ic2023a.exe?

Más información:
Network ICE
Security vulnerability in ICEcap
Security vulnerability in ICEcap with Jet engine
Rain Forest Puppy



Bernardo Quintero
bernardo@hispasec.com



viernes, 19 de mayo de 2000

Ataque DoS a Lotus Domino Server 5.0.1

Un desbordamiento de búfer en el servicio ESMTP de Lotus Domino
Server permite un ataque DoS que bloquea el sistema, por lo que
se hace necesario reiniciar para que vuelva a ser operativo.
Para provocar el desbordamiento de búfer basta con intentar
enviar un mensaje de correo, a través del ESMTP de Lotus
Domino, donde el argumento de MAIL FROM exceda los 4 kb de
tamaño.

El problema afecta a los productos Enterprise y Mail de Lotus
Domino Server versión 5.0.1 para las plataformas:

- Sun Solaris 7.0
- Microsoft Windows NT 4.0
- Linux kernel 2.2.x
+ RedHat Linux 6.2 sparc
+ RedHat Linux 6.2 i386
+ RedHat Linux 6.2 alpha
- IBM AIX 4.3.2
- HP HP-UX 11.4

Más información:
Lotus Domino
SecurityFocus



Bernardo Quintero



jueves, 18 de mayo de 2000

Vulnerabilidad en Offline Explorer

Offline Explorer, de MetraProducts, es un programa para entornos
Windows 9x/NT que permite descargar sitios Web y FTP al disco
duro local para su posterior visualización y edición. Para poder
mostrar las páginas, Offline Explorer instala un servidor Web que
es accesible de forma remota y permite acceder a cualquier fichero
del sistema fuera incluso del ámbito de los directorios caché
donde se almacenan las páginas Web.
El servidor Web, que debería estar accesible sólo en local, puede
ser visualizado de forma remota por cualquiera interrogando el
puerto 800. Esta funcionalidad cobra aun mayor importancia debido
a que es posible subir directorios a través de peticiones GET con
"../..\" y leer cualquier fichero del sistema.

De momento MetaProducts no ha facilitado actualización alguna
para paliar el problema, hasta entonces la solución pasa por
permitir tan sólo al localhost el acceso al puerto 800 a través
del firewall, impidiendo así cualquier acceso remoto.

Más información:
MetaProducts
SecurityFocus



Bernardo Quintero



miércoles, 17 de mayo de 2000

Un nuevo gusano vuelve a causar la alerta

Todas las firmas antivirus están alertando de la propagación y
difusión de un nuevo gusano programado en VBSCript conocido bajo el
nombre de VBS.NewLove.A.
El nuevo gusano representa un alto riesgo, mayor que el anterior
LoveLetter debido a su gran capacidad de reproducción y porque su
acción es mucho más peligrosa al eliminar todos los archivos del disco
duro del ordenador afectado.

NewLove, también conocido como VBS.Spammer, llega en un mensaje con un
asunto siempre diferente lo cual puede hacer más difícil su
identificación para usuarios inexpertos. Aun así, presenta un gran
número de características que pueden permitir detectarlo y evitar el
contagio.

VBS.NewLove.A llega a los usuarios en un mensaje de correo electrónico
con el asunto FW: y un nombre de fichero elegido de forma aleatoria y
el cuerpo del mensaje permanece vacío, sin ningún texto. Por supuesto,
incluye un archivo adjunto de extensión vbs, que es el gusano en sí, y
que bajo ningún concepto debe ejecutarse. El nombre del archivo
adjunto se genera de forma aleatoria, por lo cual no se puede
determinar, simplemente hay que tener cuidado de no ejecutar ningún
vbs.

Aunque el nombre del archivo adjunto que aparece se genera de forma
aleatoria, la extensión del archivo puede ser doc, xls, mdb, bmp, mp3,
txt, jpg, gif, mov, url o htm, seguido siempre de la extensión
autentica del fichero, es decir vbs.

Cuando el usuario ejecuta el archivo adjunto, el código maligno entra
en acción y en primer lugar se crean sendas copias de si mismo en el
directorio de instalación de Windows y en el directorio system. Ambas
con nombre elegidos de forma aleatoria, todo para tratar de dificultar
su localización. Para asegurarse su ejecución cuando en el próximo
arranque del ordenador crea dos entradas en el registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

El valor de estas entradas serán los nombres de las copias que generó
anteriormente. Tras esto, el gusano se enviará de forma automática a
todas las entradas de la libreta de direcciones de Outlook, tal y como
actuaba el conocido "iloveyou". Tras ello, el gusano realizará su
acción más dañina, recorriendo uno por uno todos los directorios de
todas las unidades del sistema atacado. De esta forma busca todos los
archivos del sistema infectado y crea un nuevo fichero con el mismo
nombre, copia su código sobre él y le pone la extensión vbs. Tras ello
borra el archivo original, de tal forma que al acabar esta acción el
usuario habrá perdido todos los datos de su ordenador.

Como ya hemos comentado este gusano es polimórfico, lo que quiere
decir que el código variará de generación en generación. Si bien el
nivel de polimorfismo puede distar mucho de ser calificado como tal,
siendo de muy baja calidad. Las variaciones que efectúa consisten en
insertar un número aleatorio de líneas de comentario a lo largo del
código. La inclusión de estas líneas que tienen hasta 300 caracteres
aleatorios (letras mayúsculas) hace que el gusano vaya engordando de
generación en generación. No creemos que sea adecuado calificar esta
acción de polimorfismo, ni que esta acción pueda dificultar la
detección por parte de los antivirus.

Parece mentira como después de todo lo que se ha hablado y escrito
sobre LoveLetter un gusano de este tipo haya podido llegar a tener la
repercusión que ha tenido, si bien no tenemos conocimiento de que haya
llegado a España. Una vez más recordar que no se deben ejecutar
aquellos archivos que lleguen adjuntos en mensajes de correo no
solicitados, y en cualquier caso, preguntar al remitente si el envío
es real o ha sido producido por algún agente externo.

Más información:
AVP
Sophos
NAI
F-Secure

Panda Software
Trend Micro
CNet
Wired

ZDNet



Antonio Ropero



martes, 16 de mayo de 2000

Microsoft desarrolla un parche para Outlook

Tras los problemas causados por el gusano LoveLetter, y las críticas
recibidas por Microsoft acerca de la facilidad con que sus programas y
sistemas operativos se ven afectados por los virus, Microsoft ha
anunciado la próxima publicación de un parche para que virus y gusanos
no empleen Outlook como medio de transmisión.
La rápida difusión de LoveLetter y la facilidad con que este gusano se
reproducía al emplear Outlook y la agenda de direcciones de este
programa, provoco las críticas de un sector de usuarios y técnicos
acerca de este problema. Microsoft se ha hecho eco, y anuncia la
elaboración de un parche para Outlook 98 y 2000 para que el usuario
posea mayor control sobre la ejecución de las aplicaciones que llegan
como archivos adjuntos en un mensaje.

La actualización que se conoce como Outlook 98/2000 e-mail security
update aporta varias características. En primer lugar la aplicación
impide la ejecución directa de un buen número de extensiones entre las
que se encuentran los polémicos Visual Basic Script (como loveLetter),
exe o bat. Esta característica que se implementa bajo el nombre de
Email Attachment Security incorporará dos zonas de seguridad a
Outlook, bajo la zona 1 se incluirán 28 tipos de archivos con las
siguientes extensiones:

ADE Microsoft Access Project Extension
ADP Microsoft Access Project
ASX Streaming Audio/Video Shortcut
BAS Visual Basic Class Module
BAT Batch Files
CHM Compiled HTML Help File
CMD Windows NT Command Script
COM MS-DOS Application
CPL Control Panel Extension
CRT Security Certificate
EXE Application
HLP Help File
HTA HTML Applications
INF Setup Information
INS Internet Communication Settings
ISP Internet Communication Settings
JS Jscript File
JSE Jscript Encoded Script File
Ink Shortcut
MDB Microsoft Access Application
MDE Microsoft Access MDE Database
MSC Microsoft Common Console Document
MSI Windows Installer Package
MSP Windows Installer Patch
MST Visual Test Source Files
PCD Photo CD Image
PIF Shortcut to MS-DOS Program
REG Registration Entries
SCR Screen Saver
SCT Windows Script Component
SHS Shell Scrap Object
URL Internet Shortcut
VB VBScript File
VBE VBScript Encoded Script File
VBS VBScript Script File
WSC Windows Script Component
WSF Windows Script File
WSH Windows Scripting Host Settings File

La limitación en esta zona 1 supone impedir el acceso de forma total a
este tipo de archivos, es decir, Outlook mostrará un icono de un clip
y un aviso en el que se advierte que el mensaje incluía un archivo
adjunto pero el programa ha eliminado cualquier tipo de acceso a dicho
archivo. Es decir el usuario no podrá ni abrirlo, ni grabarlo, ni
visualizar su contenido, sólo sabrá que se le ha enviado un archivo.

En la zona 2 de seguridad, sólo se encuentran los archivos comprimidos
con extensión zip, los cuales sólo podrán ser guardados al disco duro,
en ningún caso se permitirá la ejecución directa desde el propio
programa de correo. Los tipos de archivos incluidos en cada una de las
zonas de seguridad no pueden modificarse, aunque sí pueden añadirse
nuevas extensiones a cada una de las zonas.

Desde luego como medida para prevenir la difusión de virus a través de
Outlook se puede considerar eficiente, pero ¿era necesario llegar tan
lejos?, ¿Es necesario limitar al usuario cualquier tipo de acceso a
determinados tipos de archivos? ¿Por qué no se incluyen los archivos
doc de Word y xls de Excel, que como nuestros lectores sabrán también
acarrean un grave peligro, dentro de esta lista?

Por otra parte, la actualización o parche bloqueará el acceso a la
agenda de direcciones de Outlook. Para ello el programa se detendrá y
solicitará el permiso del usuario para continuar. Esta característica
se presenta con el nombre de Object Model Guard y deja al usuario la
responsabilidad del acceso a la agenda por parte de los programas
ejecutados.

Más información:
Microsoft
Kriptopolis
ZDNet
Gartner Interactive
Charleston.net



Antonio Ropero
antonior@hispasec.com



lunes, 15 de mayo de 2000

El G8 contra el delito en la red

Durante los días 15, 16 y 17 de Mayo el G-8, ( grupo formado por
Canadá, Estados Unidos, Rusia, Japón, Francia, Reino Unido, Italia y
Alemania), se reunieron en París, bajo la copresidencia Japonesa y
Francesa, para tratar de armonizar sus leyes y la lucha contra el
delito en Internet.
En la noticia de Hispasec de 2 de Mayo ya se mencionaron las nuevas
ideas del Consejo de Europa sobre privacidad en la red, control de
ISPs, y policía global. Janet Reno (Fiscal General de Estado Unidos)
ya advertía que el G-8 sería otro vehículo para un acuerdo similar, y
el mismo Chirac habla de obtener definiciones comunes haciendo clara
alusión al borrador del tratado del Consejo de Europa. Estos días
tendremos noticias de ello, aunque por ahora la reunión del día 15 fue
a puerta cerrada, cuando en un principio estaba prevista la publicidad
de la misma.

El Ministro del Interior francés, Jean-Pierre Chevenement, en su
discurso de apertura ya insta a todo el G-8, la industria privada, y
demás naciones a consensuar y armonizar las leyes contra crackers,
hackers, escritores de virus, y demás defraudadores de Internet,
además de tomar medidas contra el blanqueo de dinero a través de la
red, así pues van todos en el mismo saco, sin distinción ninguna, raro
es que no se haya también incluido en el lote a los pederastas. En su
discurso Chevenement menciona el tratado del Consejo de Europa como
meta a conseguir y habla ya de la 'ciberpolicia' internacional,
apoyada, principalmente, en y por los Estados Unidos. La postura
francesa es muy clara en cuanto al control estatal y no a la
autorregulación.

Todo ello, ya comenzó en Moscú los días 19 y 20 de Octubre pasados,
donde los ministros de interior y justicia, conocidos como 'Lyon
Group', ya llegaron a acuerdos para combatir el crimen internacional
organizado, y por extensión el crimen en la red. En su anterior
reunión en Washington DC (1997), ya habían llegado al compromiso de
dar una respuesta rápida a los incidentes delictivos en Internet,
armonizar legislaciones, y hacer posible la persecución de los delitos
cometidos en sus territorios por parte de los estados miembros. En el
97,(Washington), el problema fue la coordinación legal para la
transmisión de datos entre los miembros, esto se solucionó en Moscú
con la adopción de 'Principios para el Intercambio, Acceso y
Almacenamiento de Datos Informáticos', estos principios suponían
asistencia legal entre los miembros del G-8 para su lucha contra el
'ciberdelito', pero además y casi lo mas importante, el acceso y el
intercambio de datos.

¿Pero donde están esos datos?, no todos en manos de los Estados, sino
también en las empresas privadas; por ejemplo en los ISPs, así pues, y
siguiendo esa lógica de pensamiento, se necesita legislación para
poder acceder a ellos. Uno de los principios firmados, ya en el 97,
fue el principio 'freeze and preserve' algo así como congela y
conserva, que suponía el armonizar legislaciones para poder auditar
los archivos de los ISPs, si bien es cierto que la mayoría de ellos
guardan sus archivos, no todos los guardan por el mismo periodo de
tiempo, ni con las mismas garantías de seguridad, ni en los mismos
formatos, el G-8 pretende regular este tema, aunque por ahora no hay
todavía acuerdo sobre el tiempo que deben ser guardados los archivos,
y así para los países europeos del G-8 sería necesario un año de
espera, mientras que para Estados Unidos, tal vez más presionados por
su industria, esto es demasiado tiempo y hablan de tres meses. En uno
y otro caso, lo cierto es que las empresas si el acuerdo toma forma, y
parece muy probable, deberán afrontar nuevos gastos en seguridad y
almacenamiento de datos.

No sólo los estados miembros del G-8 están representados o implicados
en el evento, también más de 200 expertos del sector público y privado
del campo de la seguridad informática comparten, estos días, sus
visiones y soluciones sobre la materia, así el martes 16, David
Aucsmith de la todopoderosa Intel Corp en representación de la
industria estadounidense apoyó sus tesis sobre redes, seguridad y
delito, al igual que representando a Francia estuvo la empresa
Gemplus, que se esforzó en alabar la 'smart card', que es el actual
orgullo francés en cuanto a tecnología de seguridad en redes.
Microsoft Corp, Deutsche Telekom, y en general toda la Internet
Alliance critican los propósitos del Consejo de Europa y del mismo
G-8, ya que consideran como trabas a la industria de Internet los
nuevos requerimientos legales, y apoyan la tesis de la
autorregulación. Incluso personal de la empresa francesa de seguridad
CF6, presente también en París, se preguntaba si los firmantes del
tratado del Consejo de Europa habían pensado que prohibir software
para probar fallas en la seguridad iba precisamente en contra de la
misma seguridad que se pretendía lograr, preguntando con una lógica
aplastante lo siguiente: ¿como saber si algo es seguro si está
prohibido usar la herramienta para probar tal seguridad?. Recordemos
que en el borrador del tratado, el Consejo de Europa, prohibía
herramientas como el nmap o el crack de Linux.

El 'ciberdelito' preocupa cada día más, pero además en las reuniones
también se prevén acuerdos sobre monitorización y criptografía; un
mayor control parece que será la tónica general para un futuro
próximo, habrá que ver si ello redunda en una mayor seguridad,
esperemos que las palabras del discurso para la reunión del Primer
Ministro Francés Lionel Jospin sean tenidas en cuenta: "...la libertad
es el regalo más precioso que Internet nos ha traído...", ya que los
acuerdos y políticas de seguridad en la red que se tomen por el G8
afectarán a todos. La continuación, de todo esto, será en Julio, en la
convención anual del G-8, en Okinawa.

Más información:

La BBC -sobre la reunión de estos días:
http://news.bbc.co.uk/low/english/world/europe/newsid_748000/748597.stm

Dailynews:
http://dailynews.yahoo.com/h/nm/20000515/ts/crime_cyberspace_2.html

CBCnews:
http://www.cbcnews.cbc.ca/

CNN:
http://www.cnn.com/2000/TECH/computing/05/15/g8.internetcrimes.ap/index.html

Hispasec (2/5/2000), Delito Informático y/o Control Global:
http://www.hispasec.com/unaaldia.asp?id=553




Eusebio del Valle
evalle@hispasec.com



domingo, 14 de mayo de 2000

La Administración crea nuevos departamentos para luchar contra la inseguridad digital

La creación de una Red de Alerta Temprana con el fin de dar una
respuesta rapida y efectiva ante los posibles incidentes informáticos,
junto con la reciente creación por parte de la Policía Nacional de un
servicio de denuncia para delitos informáticos, son algunos de los
movimientos que se están observando en la actualidad relacionados con
la seguridad informática.
Jesús Posada ministro de Administraciones Públicas, anunció en rueda
de prensa la creación de la futura Red de Alerta Temprana, la cual se
dedicará a informar de incidencias y dar el pertinente comunicado a
través del correo electrónico y los medios de comunicación. El anhelo
de la administración, y a lo que aspira, sería la transmisión en
tiempo real de toda la información relacionada con incidentes
informáticos que puedan resultar del "interés" de empresas y usuarios.

Otro de los movimientos que se están dando cita en estas semanas es la
creación por parte del cuerpo Nacional de Policía de un servicio de
denuncia ante posibles delitos relacionados con la tecnología, con el
fin de dar una respuesta mas agil para prevenir e investigar los
delitos. Como núcleo en el cual se amparará la Unidad de Delincuencia
Informática se encuentra el Centro de Comunicaciones de la Policía
Nacional, el cual está encargado de recopilar información procedente
de fuentes tales como EUROPOL, FBI e INTERPOL.

Este servicio de la Policía Dicho servicio tiene su sede en el Centro
de Comunicaciones de la Policía Judicial (CENCI) situado en Madrid.
Este departamento informará a la Unidad de Delincuencia Informática de
la Policía Nacional. El servicio, disponible para todos los ciudadanos,
se prestará durante las 24 horas en el teléfono 91 582 29 00, en horario
de oficina se puede llamar a los teléfonos 91 582 27 51/52. Con el mismo
fin se ha creado la dirección de correo delitos.tecnologicos@policia.es.

Más información:
El correo digital
El Mundo
Consejo Superior de Informática



Antonio Román
antonio_roman@hispasec.com



sábado, 13 de mayo de 2000

Las cookies se hacen públicas con Internet Explorer

Se ha encontrado un medio por el cual cualquier sitio web puede
visualizar la información almacenadas en las cookies por Internet
Explorer.
Las cookies representan un medio para que los servidores Internet
puedan "recordar" la información entre las diferentes visitas que
realice al sitio. Son pequeños archivos de texto almacenados en el
disco duro de los usuarios y contienen diversos datos con preferencias
del usuario e incluso passwords. Para proteger la información las
cookies sólo permiten la lectura de su contenido a direcciones del
dominio que creo la cookie.

Pero si el navegador empleado por el usuario es Internet Explorer la
protección asociada a las cookies puede ser evitada de forma que
cualquier sitio web puede leer el contenido de las cookies aunque no
pertenezcan a su dominio.

Un ejemplo del problema queda demostrado en la siguiente dirección:
http://www.hispasec.com%2fleecookie.htm%3f.amazon.com

que lee la cookie procedente de amazon.com, basta con sustituir
.amazon.com por cualquier otro dominio La extraña dirección se forma
a partir de reemplazar las / por %2f y la interrogación (?) por %3f en
la dirección http://www.hispasec.com/leecookie.htm?.amazon.com. De
esta forma se consigue evitar la protección, IE cree que la página
se localiza realmente en el dominio amazon.com y permite la lectura
de la cookie.

Para leer la cookie basta con emplear la función javascript
document.cookie, de forma que la página html que lee la cookie
simplemente contiene las instrucciones:
document.write(document.cookie). Pero como se puede observar todo el
secreto reside en la sustitución de los caracteres en la URL, ya que
al introducir la url correctamente construida la cookie no se
visualiza.

Como es habitual en estos casos la única solución para evitar el
problema pasa por desactivar JavaScript en Internet Explorer, por
otra parte los navegadores de Netscape no se ven afectados por este
fallo.Microsoft ha comunicado que ya trabaja en un parche para
solucionar la vulnerabilidad.

Más información:

Peacefire.org (demostración)
ZdNet
Cnet
MSNBC
Newsbytes
Computerworld




Antonio Ropero
antonior@hispasec.com



viernes, 12 de mayo de 2000

Microsoft publica los detalles de su implementación Kerberos, o casi

Tras recibir innumerables críticas de todos los individuos y
organizaciones involucradas en el estándar Kerberos, debido a
"extensiones no documentadas" por parte de Microsoft, la compañía hace
públicas sus modificaciones al estándar. No obstante la licencia
incluida en la documentación hace que ésta sea completamente inutil.
Kerberos es un estándar de autentificación que posibilita que un
cliente acceda a recursos de red gracias a "tickets" proporcionados
por un servidor de autentificación centralizado. Kerberos es un
estándar del mundo UNIX, en servicio desde 1.988, pero la
implementación Kerberos de Windows 2000 introducía cambios no
documentados. Los lectores interesados en los detalles pueden consultar
el boletín Hispasec publicado el pasado 28 de Marzo.

Debido a las fuertes críticas recibidas, Microsoft ha terminado por
publicar en su web la especificación técnica de las modificaciones.
Ello sería encomiable si no fuera por la licencia que Microsoft incluye
en la documentación que, básicamente, no permite utilizar la
información contenida en dicho documento para desarrollar ningún
servicio compatible.

En otras palabras, aunque la especificación esté disponible, es ilegal
utilizarla para crear software compatible con la misma. Mi pregunta
entonces es, ¿para qué sirve publicar una norma si el cumplirla es
ilegal?.

La lógica de este movimiento de la compañía se me escapa. Sinceramente,
mi opinión es que Microsoft no ha cambiado las tácticas que han
provocado su juicio antimonopolio.

Por si fuera poco el agravio, el documento PDF se descomprime a través
de un ejecutable Windows. Es decir, Microsoft fuerza a toda persona
interesada en su documentación no ya a cumplir un acuerdo de
confidencialidad absolutamente fuera de lugar, sino a leer la
documentación desde una máquina con sistema operativo Windows.

Cuando se ejecuta el programa, imprime en pantalla en acuerdo de
confidencialidad, que el usuario debe aceptar para poder visualizar la
documentación. Lo curioso del caso es que si se abre el ejecutable
desde el programa WinZIP, es posible descomprimir la documentación sin
que se visualice ningún contrato en pantalla. Me pregunto si ello será
ilegal o no :-).

Claro que no sirve de mucho, ya que Micosoft se ha encargado de añadir
una nota al pié de todas las páginas del documento, indicando que si
no se ha aceptado el acuerdo de confidencialidad, no estoy "autorizado"
a leerlo.

Bill Gates ataca de nuevo.

Más información:
Microsoft To Publish Details of Kerberos Authorization Data in Windows
2000
http://www.microsoft.com/technet/security/kerberos/default.asp

Jeremy Allison: Microsoft document kerberos PAC format - with a catch...
http://linuxtoday.com/stories/21066.html

28-03-2000 - Kerberos y Microsoft Windows 2000
http://www.hispasec.com/unaaldia.asp?id=518
http://www.argo.es/~jcea/artic/hispasec57.htm

LinuxWorld: The Gates of Hades - Microsoft attempts to co-opt Kerberos
http://linuxtoday.com/news_story.php3?ltsn=2000-04-20-005-04-NW

Slashdot: Jeremy Allison Answers Samba Questions
http://linuxtoday.com/news_story.php3?ltsn=2000-03-24-005-04-OS

Microsoft finally publishes secret Kerberos format
http://www.infoworld.com/articles/en/xml/00/04/28/000428enkerpub.xml

The Economist: Microsoft: Deadly Embrace [& Extend of Kerberos]
http://linuxtoday.com/news_story.php3?ltsn=2000-04-04-029-06-SC

Inter@ctive Week: Kerberos Made To Heel To Windows 2000
http://linuxtoday.com/news_story.php3?ltsn=2000-02-28-016-06-SC




Jesús Cea Avión
jcea@hispasec.com



jueves, 11 de mayo de 2000

Ataque físico a Aladdin eToken 3.3.3.x

Cualquier usuario con acceso a una llave Aladdin eToken, versión
3.3.3.x, puede acceder a buena parte de la información que almacena en
su interior, a pesar de que -teoricamente- ésta está protegida por un
PIN. Adicionalmente, puede hacerse pasar por el usuario legítimo y
conseguir que "eToken" realice operaciones criptográficos para, por
ejemplo, autorizar su acceso a una máquina o firmar un email.
Aladdin eToken es un pequeño dispositivo conectable a un ordenador a
través de USB. En él se almacenan claves, certificados y otros tipos de
información confidencial. Para acceder a dicha información es necesario
disponer del "eToken" (ya que los datos se almacenan en su interior) y
de una clave personal PIN. Teóricamente, por tanto, si se pierde el
"eToken", los datos en su interior siguen a salvo.

La realidad es distinta, ya que cualquiera con acceso físico al "eToken"
puede programar un PIN arbitrario y, por tanto, acceder a los datos
contenidos en el dispositivo. El acceso al interior del dispositivo, por
cierto, no está protegido de ninguna manera. Es más, todos los datos
contenidos en él se almacenan en una memoria serie perfectamente
accesible sin ningún tipo de protección. Se encuentran, no obstante,
cifrados en su mayor parte.

Cada llave "eToken" tiene dos PINs: usuario y administrador. El PIN de
usuario da acceso a los datos, mientras que el PIN del administrador
permite asignar un PIN de usuario nuevo. Aunque las claves se almacenan
cifradas, es posible leerlas y escribir sobre ellas. Escribiendo un
patrón contenido en la propia memoria, un atacante puede fijar el PIN de
usuario o de administrador a su valor por defecto: "0xFFFFFFFFFFFF".

Además de todo tipo de información (incluídos gráficos), el grupo L0pht
ha publicado un programa para volcar el contenido de un "eToken", usando
la clave por defecto.

Más información:
Aladdin Knowledge Systems eToken PIN Extraction Vulnerability
Página con gráficos explicando los pasos uno a uno
"eToken"
Aladdin Knowledge Systems



Jesús Cea Avión
jcea@hispasec.com



miércoles, 10 de mayo de 2000

Intel y la seguridad en ordenadores portátiles

Después de tantos portátiles robados a agentes secretos despistados,
o a importantes ejecutivos de grandes compañías, (ver noticias de los
dos últimos meses en cualquier diario), Intel propone remedios.
Se trata de PAS, (Pre-boot Authentication Service), una tecnología
para protección de datos en ordenadores portátiles y PCs. Se presenta
como arquitectura pre-sistema operativo, verifica al usuario en el
proceso previo a la carga del sistema (boot process).

Con este sistema o tecnología PAS el usuario debe pasar un primer
control de autenticidad en la BIOS, y sin tal paso será imposible
cargar el sistema operativo. Actualmente cualquier PC y/o portátil se
puede configurar por el usuario para que el ordenador requiera una
password, en la BIOS, antes de iniciar sistema operativo alguno (SO),
además también, de poder configurar una password en el propio sistema
operativo.

Pero PAS es algo más complicado que esto, y se presenta con 4
componentes:

1)Verifica al usuario escaneando la huella digital o con lector de
tarjetas, es decir, soporta distintos tipos de verificaciones, bien
utilizando factores biométricos o hardware específico.

2)La verificación del usuario o información personal del mismo se
guardará en memoria 'no-volatil'.

3)Existen APIs para la verificación del usuario.

4)Estas APIs son almacenadas y protegidas para leer la memoria
'no-volatil'.

La verificación consiste en comparar la información del paso primero,
con la registrada en el paso segundo, y los datos de la memoria
'no-volatil' estarán codificados.

Se anuncia, por la propia compañía, que con PAS será imposible
obtener datos del disco duro de un ordenador robado, no propio o sin
autorización del usuario, además de avisar de los intentos de acceso
no autorizado. Aunque tal vez sea demasiado pronto para tal anuncio
ya que de hecho la compañía Intel Corp, está obteniendo datos,
comentarios y resultados de fabricantes y otras compañías del sector.
Se prevé alcanzar resultados veraces a partir del mes próximo.

Más información:

Datos técnicos del sistema PAS, se pueden observar en el documento
siguiente, (pags 28 y ss), esquemas incluidos, también se reproduce
información sobre seguridad y encriptado. (En inglés y en PDF)
http://developer.intel.com/design/security/rsa2000/trust_in_PCs.pdf




Eusebio del Valle
evalle@hispasec.com



martes, 9 de mayo de 2000

Solaris Fingerprint Database

Sun pone a disposición de todos los usuarios de su sistema operativo
Solaris, una base de datos para verificar la identidad e integridad de
buena parte de los ficheros instalados.
La base de datos asocia un HASH (resultado de una función criptográfica
llamada "hash", semejante a una suma de control pero infinitamente más
segura) de un fichero a su nombre y path.

Por ejemplo, calculando el HASH MD5 sobre el fichero "/kernel/genunix",
obtenemos un resultado de "e93e366ff6522021d4ddb84b577ff14c".
Introduciendo dicha cadena en la base de datos, obtengo:

e93e366ff6522021d4ddb84b577ff14c - - 1 match(es)

canonical-path: /kernel/genunix
package: SUNWcsr
version: 11.5.1,REV=96.05.02.21.09
architecture: sparc

source: Solaris 2.5.1/SPARC

patch: 103640-32

Esta base de datos permite:

- Validar que un fichero del sistema no ha sido modificado o corrompido.
- Identificar la versión de un fichero.
- Identificar un fichero y su path (por ejemplo, porque el disco haya
sido dañado y la recuperación nos haya creado entradas en el
directorio "lost+found".
- Identificar el paquete al que pertenece un fichero.

Lamentablemente este sistema no impide que un atacante reemplace un
archivo del sistema por una versión más antigua del mismo, con fallos
conocidos y explotables.

En cualquier caso, se trata de una interesante iniciativa a seguir.

Más información:
The SolarisTM Fingerprint Database
An Identification Tool for Solaris Software and Files
Solaris Fingerprints Database



Jesús Cea Avión
jcea@hispasec.com



lunes, 8 de mayo de 2000

Nuevo ataque de denegación de servicio contra pcAnyware

Un nuevo ataque contra Symantec pcAnyware permite que cualquier usuario
elimine la capacidad de acceso y administración remota de la máquina,
requiriendo un acceso físico para reiniciar el servicio.
El ataque se puede lograr de forma simple sin más que emplear una
herramienta de rastreo de puertos como "nmap", muy popular y ampliamente
difundida.

El ataque es efectivo, al menos, con las siguientes versiones de
pcAnyware:

8.0.2
9.0.0
9.0.2
9.2.0

En el momento de escribir este boletín, no se dispone aún de ninguna
solución al problema. Dado que pcAnyware es utilizado para controlar
máquinas de forma remota, típicamente en entornos hostiles, las
implicaciones de este fallo son graves.

Últimamente Symantec no da abasto...

Más información:
Symantec pcAnywhere Port Scan DoS Vulnerability
Symantec pcAnyware Product Info
19-04-2000 - El cifrado de pcAnywhere es inseguro



Jesús Cea Avión
jcea@hispasec.com



domingo, 7 de mayo de 2000

Nuevo agujero de seguridad en Hotmail

Hotmail, la compañía de Microsoft de correo Web gratuito y con más de
50 millones de usuarios en todo el mundo, constituye un apetitoso
bocado para las hackers.
Un cazaagujeros llamado Bennett Haselton descubrió una vulnerabilidad
que permitía a un asaltante entrar en una cuenta de correo usando un
mensaje de correo con un fichero adjunto en HTML. Cuando el usuario
ve el fichero adjunto (lo cual sucede automáticamente en la mayoría
de lectores de correo actuales, incluidos los correos Web), se
interceptan sus cookies de autenticación de Hotmail y se envían al
sitio web del atacante, de manera que en adelante este puede entrar
en la cuenta de la víctima haciendo uso de las cookies robadas. El
fichero HTML adjunto incorpora código en JavaScript para robar las
cookies, que no es filtrado por Hotmail, ya que JavaScript sólo se
filtra en los mensajes de correo, pero no en los ficheros adjuntos.

Hotmail reaccionó con rapidez y solucionó el problema ayer mismo al
poco tiempo de ser informado.

Más información:
HotMail JavaScript-in-attachment attack



Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #71
http://www.iec.csic.es/criptonomicon



sábado, 6 de mayo de 2000

Ataque DoS contra routers Cisco

Un bug en el sistema operativo IOS de Cisco permite que un atacante
reinicie un router Cisco. Si se realiza el ataque de forma continua,
se logra mantener el router fuera de servicio.
Versiones de IOS afectadas:

* 11.3AA
* 12.0: desde la 12.0(2) hasta la 12.0(6) inclusive
* 12.0(7), excepto la 12.0(7)S, 12.0(7)T, y 12.0(7)XE

Las versiones 11.3, 11.3T, 11.2 o inferiores, 12.0(8) y
12.1 o superiores, no se encuentran afectadas.

Consulte la URL proporcionada más abajo, donde se detalla
el hardware de Cisco que puede estar afectado, para comprobar
si su sistema es vulnerable y, en ese caso, obtener su
actualización.

Más Información:
Cisco IOS Software TELNET Option Handling Vulnerability



Jesús Cea Avión
jcea@hispasec.com



viernes, 5 de mayo de 2000

Los usuarios de Quake III Arena expuestos a su servidor

Se ha encontrado una vulnerabilidad en el conocido juego Quake III que
deja vulnerables a todos los jugadores conectados a un servidor a un
posible ataque del administrador.
Id Software, desarrolladora del conocido juego, anunció la existencia
del problema por el cual un administrador malicioso de un servidor de
Quake III puede leer y escribir cualquier archivo en el disco duro de
los clientes. El entorno para Quake3Arena permite modificaciones en el
lado del cliente para leer y escribir archivos con propósitos de
configuración.

Las modificaciones se ejecutan sobre un entorno protegido similar a la
máquina virtual Java pero propietario de Id Software. Las rutinas de
acceso a archivos en este entorno están limitadas a los archivos
instalados en el directorio donde se instalan las modificaciones. Los
cambios se localizan en subdirectorios bajo el directorio de
instalación de Quake3Arena, es posible abrir archivos en directorios
superiores al directorio de modificaciones lo que permite a un
atacante abrir cualquier archivo de esa unidad.

La combinación de la posibilidad de acceder a archivos con la
característica de recepción automática que se añadió a Quake3Arena en
la versión 1.16 del 15 de marzo puede permitir a un atacante ejecutar
código malicioso en cualquier sistema que se conecte a un servidor de
Quake III.

Id Software ha reparado el problema en la versión 1.17, que es
totalmente incompatible con las versiones anteriores del juego, de
esta forma la compañía pretende obligar a los usuarios a actualizarse
a la nueva, y más segura, versión.

Más información:
Securityfocus
Aviso de ISS
Developer.com
Quake3Arena



Antonio Ropero
antonior@hispasec.com



jueves, 4 de mayo de 2000

Consideraciones sobre VBS.LoveLetter, un gusano muy simple

Pese a la fiebre mediática que ha desatado, merecida sólo en parte
por la propagación que ha conseguido, a la postre la mayor de toda
la historia, debemos de tener en cuenta que en realidad se trata
de un script que ha de interpretarse, un gusano muy simple, con su
código al descubierto, que analizaremos al detalle en una próxima
entrega.
No hay un antes y un después de este gusano, al menos en el apartado
técnico, aunque la eficacia conseguida a la hora de propagarse,
gracias en gran parte al factor humano, tal vez sea utilizada como
excusa para implantar nuevas medidas y restricciones en las políticas
de seguridad y control.

En cuanto a las casas antivirus, por un lado sólo cabe felicitarlas
por su rápida actuación, apenas unas horas después los clientes
contaban con actualizaciones para detectar y eliminar el gusano, y
hasta se han facilitado utilidades gratuitas para los usuarios no
registrados.

Por otro lado, mientras las casas de software hacen su particular
agosto, más de uno se preguntará como es posible que un gusano tan
simple, con técnicas conocidas, ha podido atacar por igual a los que
disponían de un antivirus actualizado como a los que iban a "pecho
descubierto". El modelo actual de los antivirus es eficaz contra
virus conocidos, promesas de anuncios y heurísticas al margen, hoy
día sigue siendo muy fácil saltarse esta barrera de protección que
casos como el de VBS.LoveLetter ponen en entredicho.

Internet se ha convertido en todo un handicap para los antivirus,
si bien es cierto que han ganado en capacidad de actualización,
los virus tampoco dejan de aprovechar las ventajas de la Red,
pudiendo propagarse por miles de sistemas antes que los
laboratorios hayan terminado de analizar el espécimen. El modelo
de detección de virus conocidos, resolutivo en épocas pasadas
cuando la infección entre sistemas aislados se producía, por
ejemplo, al intercambiar disquetes, pierde eficacia cuando
el ciclo de propagación entre millones de máquinas vía Internet
se reduce a unas pocas horas. La realidad es que existen soluciones
de seguridad más efectivas, basta que las empresas de software se
planteen las necesidad de una pequeña revolución.

Dejando al margen los antivirus, necesarios y recomendables, así
como a Internet, de cuyo beneficio nadie duda, VBS.LoveLetter
pone de nuevo el dedo en la llaga: la inseguridad de Microsoft.
Una vez más los usuarios de Linux se han convertido en meros
espectadores, protegidos por un modelo de seguridad mucho más
robusto que el de Windows, y donde los virus, hasta la fecha,
son simples anécdotas.

En el último escalón nos encontramos con el factor humano, que
es sin duda el gran protagonista en el caso de VBS.LoveLetter,
donde la Ingeniería Social de este simple gusano ha obtenido
mejores resultados a la hora de propagarse que las complicadas
técnicas desarrolladas bajo ensamblador de otros virus mucho
más sofisticados. Una vez más, es en última instancia el usuario
quién tiene en su mano la seguridad de los sistemas, y quién
debe ser consciente y responsable del peligro que entrañan
sus acciones en determinadas situaciones.




Bernardo Quintero
bernardo@hispasec.com



miércoles, 3 de mayo de 2000

Variantes de VBS.LoveLetter

Tal y como vaticinábamos en el aviso preliminar de "una-al-día",
las variantes de este gusano no han tardado en aparecer, debido
en gran medida a que se trata de un espécimen muy fácil de
interpretar y modificar. A continuación ofrecemos una breve
pincelada de las diferentes versiones conocidas hasta el momento
según información proporcionada por Symantec.
VBS.LoveLetter.A (original)
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming

from
me.

VBS.LoveLetter.B (alias "Lithuania")
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: Susitikim shi vakara kavos puodukui...
Cuerpo del mensaje: kindly check the attached LOVELETTER coming

from
me.

VBS.LoveLetter.C (alias "Very Funny")
Fichero adjunto: Very Funny.vbs
Asunto: fwd: Joke
Cuerpo del mensaje: [vacio]

VBS.LoveLetter.D (alias "BugFix")
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming

from
me.
Nota: en el registro de Windows: WIN- -BUGSFIX.exe en vez de
WIN-BUGSFIX.exe

VBS.LoveLetter.E (alias "Mother's Day")
Fichero adjunto: mothersday.vbs
Asunto: Mothers Day Order Confirmation
Cuerpo del mensaje: We have proceeded to charge your credit card

for
the amount of $326.92 for the mothers day diamond special. We have
attached a detailed invoice to this email. Please print out the
attachment and keep it in a safe place.Thanks Again and Have a

Happy
Mothers Day! mothersday@subdimension.com
Nota: mothersday.HTM enviado por IRC. Comentario en el código: rem
hackers.com, & start up page to hackes.com, l0pht.com, or 2600.com

VBS.LoveLetter.F (alias "Virus Warning")
Fichero adjunto: virus_warning.jpg.vbs
Asunto: Dangerous Virus Warning
Cuerpo del mensaje: There is a dangerous virus circulating. Please
click attached picture to view it and learn to avoid it.
Nota: Urgent_virus_warning.htm

VBS.LoveLetter.G (alias "Virus ALERT!!!")
Fichero adjunto: protect.vbs
Asunto: Virus ALERT!!!
Cuerpo del mensaje: a long message regarding VBS.LoveLetter.A
Nota: FROM support@symantec.com. Esta variante también sobrescribe
ficheros con extensión .bat y .com

VBS.LoveLetter.H (alias "No Comments")
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming

from
me.
Nota: las líneas de comentario han sido eliminadas.

VBS.LoveLetter.I (alias "Important! Read carefully!!")
Fichero adjunto: Important.TXT.vbs
Asunto: Important! Read carefully!!
Cuerpo del mensaje: Check the attached IMPORTANT coming from me!
Notas: línea de comentario: by: BrainStorm / @ElectronicSouls.
También copia los ficheros ESKernel32.vbs y ES32DLL.vbs, y
añade comentarios al script.ini de mIRC referentes a BrainStorm
y ElectronicSouls, así como envía el archivo IMPORTANT.HTM a
través de DCC.

Más información:

Anti-Love, utilidad gratuita de Panda Software:
http://www.pandasoftware.es/main.asp?id=185&idioma=1

Symantec:
http://www.symantec.com/

NAi:
http://www.mcafeeb2b.com/asp_set/anti_virus/alerts/intro.asp

Especial LoveLetter:
http://ibrujula.com/especiales/2000/indepth_virus.htm




Bernardo Quintero
bernardo@hispasec.com



martes, 2 de mayo de 2000

Delito Informático y/o Control Global

Programas y conductas propias del más puro hack se criminalizan con la
nueva legislación.
Después de tres años de trabajo realizado con bastante secreto, se ha
hecho público por el Consejo de Europa, a finales del mes de abril, un
borrador para un primer Tratado Internacional sobre el delito
informático, tratado que pretende aglutinar a mas de 40 países, y que
otorgará mayores poderes a las policías de los estados firmantes para
la persecución e investigación de tales delitos.

Destaca, en el borrador del tratado la prohibición, o mejor dicho,
criminalización de conductas como:

1) Bajar desde una web, también publicar en ella, o enviar por correo,
cualquier programa "diseñado o adaptado para obtener acceso a un
sistema informático" o que "interfiera las funciones del sistema".

2) El tratado permite a las autoridades el obligar al ciudadano a
revelar sus passwords y/o acceder información cifrada. La pregunta es
evidente: ¿puede esta actitud ir contra el derecho, que todo ciudadano
tiene, a no declararse culpable?. En el ordenamiento español sigue
vigente, por ahora, el art. 520 de la Ley se Enjuiciamiento Criminal,
es decir, el derecho a no declararse culpable, a no declarar contra sí
mismo, y en definitiva el derecho a no declarar nada de nada si así se
estima conveniente.

3) Si desde hace tiempo es ya difícil encontrar algún remailer
verdaderamente anónimo, ahora ya será casi imposible -al menos dentro
de la legalidad-, aunque el nombre lo conserven muchos de ellos, ya
que se van a limitar los mismos y se obligará por ley a los ISP -o
PSI- , (no ya por mandamiento judicial), a guardar información sobre
sus usuarios. No sólo eso, si no que los estados podrán acceder a
dicha información de los Proveedores de Servicios, (Reino Unido ya ha
dado un gran paso en esta materia, recientemente).

Y aún más, se permitirá incluso el acceso a dichos proveedores por
parte de estados extranjeros en el curso de sus investigaciones. Así
vemos un ejemplo más de cómo Internet cambia el viejo concepto de
soberanía y jurisdicción nacional, pero tal vez tenga implicaciones
graves en la protección de datos personales, ya que no todos los
países van a tener los mismos niveles de seguridad. De hecho en España
la Agencia de Protección de datos no permite el tráfico de
determinados datos con determinados países no considerados seguros,
¿qué ocurrirá si alguno de ellos firma el tratado y por tanto tuviera
acceso a determinados ISPs?.

4) Se pretende dotar a la policía de una nueva herramienta legal con
la que hacer frente a los ataques y delitos transnacionales, delitos
que hasta el día de hoy son de difícil persecución, entre otras cosas,
por la falta de armonización de las diferentes legislaciones
implicadas.

5) El tratado también incluye un procedimiento para la extradición, y
el establecimiento de grupos de apoyo entre las policías de los
estados firmantes.

El borrador del tratado que se viene elaborando desde el 97, se hace
público ahora, recordemos que un tratado es norma internacional, que
una vez firmada y ratificada se convierte en derecho interno y por
tanto aplicable a los ciudadanos. Dicho tratado internacional viene
auspiciado por el mismísimo Consejo de Europa, (no es la Unión
Europea, si no que es un organismo internacional mucho más amplio,
incluye a más de 40 países, y no sólo de la Unión Europea), y viene
avalado también por el Departamento de Justicia de Estados Unidos. Así
pues, el tratado, una vez terminado firmado y ratificado afectará a la
mayoría de la población mundial, así los 41 miembros del Consejo de
Europa (Rusia incluida desde 1996), y USA, Canadá, Australia, Japón, y
Sudáfrica. Además de los estados que deseen adherirse posteriormente
al tratado, que serán, por una u otra razón, bastante numerosos.

En Europa todavía no han sido muchas las voces en contra de tal norma,
no así en Estados Unidos; el problema para muchas de las organizaciones
pro-derechos civiles, de ese país, está en que el texto del tratado,
tal cual está actualmente, puede violar, y para algunos de hecho viola,
los derechos sobre privacidad de los ciudadanos. Se piensa que se está
dando a los gobiernos demasiado poder, bajo la excusa de evitar el
delito.

Así Dave Banisar de "The Electronic Pryvaci Papers", dice que lo que
se pretende es "lavar la cara de la policía americana a través del
respaldo de organizaciones internacionales", para Dave Banisar el
tratado podría prohibir herramientas como "crack o nmap" que se
incluyen en algunas distribuciones Linux, y "las empresas podrían
criminalizar a la gente que revela agujeros sobre sus productos". (De
su articulo "Illegal Devices").

En la misma línea se manifiestan personas como Barry Steinhardt , de
la American Civil Liberties Union, que dice en declaraciones a la
revista Wired: "se está interfiriendo con el derecho a hablar de forma
anónima en Internet", o personas del Instituto Cato, que rompen una
lanza en favor de los hackers (usando el término en su vertiente
positiva), ya que con este tratado en la mano se podría prohibir a los
"hackers" estudiar y probar sobre su seguridad y velar por la de los
demás.

En el lado opuesto se presentan determinados grupos de la Casa Blanca,
del Departamento de Jusiticia, FBI y Servicios Secretos, que abogan
por la restricción del anonimato en Internet. Así la misma fiscal
general Janet Reno (famosa también por su reciente decisión sobre el
caso Elian), manifestaba ante el Senado " ...el daño que alguien puede
realizar sentado al otro lado del planeta es inmenso. Tenemos derecho
a perseguirle, y sobre ello hemos progresado con nuestros colegas del
G-8 y del Consejo de Europa", estás eran palabras, publicadas también
en la revista Wired, en relación a los últimos ataques DoS, del pasado
febrero. Y parece que van tomando cuerpo.

Para finales de este año 2000 está prevista la finalización de dicho
tratado, una vez finalizado por el Consejo de Europa se remitirá a los
países para su firma, si procediera.

Texto del Tratado completo ( en inglés):
http://conventions.coe.int/treaty/en/projets/cybercrime.htm

Más Información:
politechbot.com
Consejo de Europa
American Civil Liberties Union
Instituto Cato
Electronic Privacy Information Center
Manifestaciones del articulo "Cybercrime Solution Has Bugs"
Hispasec



Eusebio del Valle
evalle@hispasec.com



lunes, 1 de mayo de 2000

Alerta: VBS.LoveLetter infecta miles de sistemas

Un gusano escrito en Visual Basic Script está infectando a miles de
ordenadores a través del correo electrónico y el IRC. Si recibe un
mensaje con el asunto "ILOVEYOU" y el fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs, bórrelo directamente. Así mismo, los
usuarios de IRC deberán tener precaución ya que el gusano también
se propaga a través del cliente mIRC enviando vía DCC el fichero
"LOVE-LETTER-FOR-YOU.HTM".
El gusano llega en forma de mensaje, con el asunto "ILOVEYOU" y un
archivo adjunto con el nombre de "LOVE-LETTER-FOR-YOU.TXT.vbs",
aunque la extensión VBS (Visual Basic Script) puede permanecer
oculta en las configuraciones por defecto de Windows, lo cual puede
hacer pensar que se trate de un inocente archivo de texto.

Cuando se abre el archivo infectado el gusano procede a infectar el
sistema, y expandirse rápidamente enviándose a todos aquellos
contactos que tengamos en la agenda del Outlook, incluidas las
agendas globales corporativas. Es importante no ejecutar ningún
archivo adjunto que venga con dicho mensaje y avisar de forma
inmediata a los administradores de la red de la llegada de dicho
email.

Según las primeras líneas de código el gusano procede de Manila,
Filipinas, y el autor se apoda "spyder":

rem barok -loveletter(vbe)
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

El virus crea las siguientes claves en el registro, que deberán ser
borradas para evitar que el virus se ejecute de forma automática
nada más iniciar el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

También será necesario borrar los archivos:

WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto \WINDOWS)

MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)

El gusano modifica la página de inicio de Internet Explorer con una de
las 4 direcciones, que elige según un número aleatorio, bajo el
dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows
para que este ejecutable también sea lanzado en cada inicio del sistema
y modifica de nuevo la configuración de Internet Explorer situando en
esta ocasión una página en blanco como inicio.

Si el gusano ha conseguido realizar el paso anterior también deberemos
borrar el archivo:

WIN-BUGSFIX.EXE
ubicado en el directorio de descarga de Internet Explorer

y la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX

El gusano también detecta la presencia del programa mIRC, buscando
algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe",
"mirc.ini" y "script.ini". En caso de que se encuentren en el sistema
el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI
donde podemos encontrar, entre otras líneas, las siguientes
instrucciones:

n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}

Las cuales provocan que el gusano se autoenvíe vía DCC, a través del
archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que
entren en el mismo canal de conversación donde se encuentre el
usuario infectado.

En este caso debemos de borrar los archivos:

LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)

SCRIPT.INI (si contiene las instrucciones comentadas)
ubicado en el directorio de mIRC

El virus sobrescribe con su código los archivos con extensiones .VBS
y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH,
.SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el
que introduce su código. También localiza los archivos con extensión
.JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo
nombre está formado por el nombre y la extensión anterior más VBS como
nueva extensión real.

Por último, recordar a todos nuestros lectores la posibilidad de que
este mismo gusano pueda presentarse bajo otros nombres de fichero con
tan sólo unas simples modificaciones en su código. Recordamos una vez
más que no debemos abrir o ejecutar archivos no solicitados, aunque
estos provengan de fuentes confiables. En caso de duda, cuando la
fuente es confiable, siempre deberemos pedir confirmación al remitente
para comprobar que el envío ha sido intencionado y no se trata de
un gusano que se envía de forma automática.




Antonio Ropero
antonior@hispasec.com
Bernardo Quintero
bernardo@hispasec.com