lunes, 31 de julio de 2000

Microsoft publica el Service Pack 1 para Windows 2000

Microsoft ha publicado la primera actualización oficial para la
familia de sistemas operativos Windows 2000. El Service Pack 1 para
Windows 2000 ya está disponible y Microsoft recomienda su instalación
a todos los usuarios del nuevo sistema operativo.
Este primer Service Pack contiene un gran número de parches que se
engloban en apartados de confiabilidad, compatibilidad, configuración
y seguridad. En general cubre aspectos como el Sistema Operativo base,
el Servicio de Directorio, IIS y COM+, correo, administración, MDAC
(acceso a datos), MSMQ, red, impresión, seguridad, configuración y
shell.

Microsoft no ha incluido nuevas características en este SP1, tan sólo
ofrece mejoras de calidad o rendimiento, sólo soluciona los problemas
reportados por los usuarios durante los primeros meses de implantación
de este sistema operativo.

Entre las actualizaciones de seguridad cubiertas se cuentan la
ejecución de código en archivos de ayuda en html, las vulnerabilidades
asociadas a archivos .htr, la vulnerabilidad en las cabeceras de
e-mails falseadas, en la reagrupación de paquetes IP fragmentados,
etc.

Microsoft ofrece dos formas de instalación de este Service Pack, la
instalación rápida y la instalación de red. La primera detecta los
componentes del sistema e instala sólo aquellos componentes necesarios
para el sistema, la segunda instala el SP1 completo en la máquina. La
primera consiste en aproximadamente unos 14 Mbytes mientras que la
segunda son 87 Megas.

Más información:

Microsoft Windows 2000 Service Pack 1



Antonio Ropero
antonior@hispasec.com



domingo, 30 de julio de 2000

La plataforma Lotus Notes vulnerable

Lotus Notes, una de las mejores plataformas de trabajo en grupo y de
mayor implantación en el mundo, siempre ha tenido la consideración de
ser un entorno altamente seguro, sin embargo no es tan segura como
parece, según han anunciado en la Def Con de este año.
Según anunció el grupo independiente The Trust Factory en la Def Con 8
celebrada este pasado fin de semana en Las Vegas, existe una
vulnerabilidad que afecta a Lotus Notes desde las versiones 4.6 a R5.
La plataforma de trabajo en grupo se ha convertido en un estándar
para los procesos diarios de más de 60 millones de usuarios y 10.000
compañías y organizaciones gubernamentales.

A pesar de estar tan ampliamente difundido, había conseguido
sobrevivir a los ataques de crackers, por lo cual era considerado como
una de las plataformas más seguras. Por una parte, el sistema de
mensajería electrónica sí que se había visto afectado por ataques de
virus como Melissa o LoveLetter, pero lo que consituye el sistema
central de Notes, de gestión distribuida, sus sistemas de bases de
datos, etc. pertenecían libres de ataques serios. Sin embargo, vuelve
a demostrarse que un sistema permanezca libre de ataques no quiere
decir que sea invulnerable o de gran seguridad.

Pero después del anuncio de Trust Factory en la mayor reunión de
hackers a nivel mundial la situación puede variar en gran medida. El
anuncio de este grupo reveló una seria debilidad en el diseño de
passwords en Notes, la ausencia de Salt o semilla. Las passwords en
Notes se almacenan y verifican como «firma de un sóla dirección»
(one-way hash) en una cadena alfanumérica cifrada, que en teoría no
puede ser descifrada. Los mecanismos de firma (hash) se emplean
habitualmente para el tratamiento de passwords, pero generalmente se
añade un factor aleatorio en la codificación, llamado semilla (salt),
para dificultar que los atacantes creen un diccionario de todas las
passwords posibles en su forma cifrada.

Según explicó este grupo, Notes codifica las passwords sin semilla,
por lo que la contraseña «secret» siempre queda codificada como
06E0 A50B 579A D2CD 5FFD C485 6462 7EE7, mientras que «password»
quedará almacenada como 355E 98E7 C7B5 9BD8 10ED 845A D0FD 2FC4.
Pero siempre de la misma forma, esta predictibilidad evidencia un
gran fallo de seguridad, que podría permitir a un atacante conseguir
acceso total al sistema.

El problema va más lejos, ya que estas firmas (hashes) se almacenan
en el archivo names.nsf. Este fichero contiene la "Agenda de Nombres y
Direcciones" (Name and Address Book) y es accesible a todo usuario de
Notes en la organización. Trus Factory anunció que habían
desarrollado una herramienta, que con el nombre de Sesamo y bajo
determinadas circunstancias es capaz de acceder y descifrar las
cuentas de Notes de forma remota.

Esto es debido a que en muchos casos las organizaciones también
ofrecen acceso a los servidores Notes a través de web. Por lo que el
ataque puede realizarse sin problemas de esta forma. Por el momento,
el grupo no tiene intención de distribuir este programa, ni de
proporcionar información más específica sobre sus investigaciones.

Por su parte, Lotus ha restado importancia a este descubrimiento al
afirmar que el ataque es complejo y debe ser llevado a cabo desde el
interior de la red que se desea comprometer.

Más información:

Trust Factory

Archivo Power Point de la Presentación en la Def Con 8

Securityfocus

ZDNet

Newsbytes



Antonio Ropero
antonior@hispasec.com



sábado, 29 de julio de 2000

Nuevo fallo en el servidor Weblogic

Se han descubierto dos nuevas vulnerabilidad en el servidor BEA
Weblogic que pueden permitir a un atacante acceder al código fuente de
cualquier página alojada en él.
Anteriormente en una-al-dia ya nos hicimos eco de una vulnerabilidad
en este servidor web, muy empleado junto con un servidor de
transacciones en entornos de altas prestaciones basados en java. En
esta ocasión se trata de dos nuevas vulnerabilidades que de forma muy
similar a la anterior pueden permitir a un usuario malicioso la
visualización del código fuente de cualquier página alojada en el
servicio web, con los problemas de seguridad que puede conllevar.

Debido a un fallo en las propiedades de configuración proporcionadas
es posible que si un usuario realiza una petición precedida de
/*.shtml/ provoque que el SSIServlet (Server Side include Servlet)
muestre los documentos sin tratar.

Por ejemplo, en un servidor afectado por la vulnerabilidad, un archivo
jsp (Java Server Pages) con url http://servidor.afectado/login.jsp se
puede visualizar su código si se accede a ella mediante la dirección
http://servidor.afectado/*.shtml/login.jsp.

De forma similar se ve afectado el Fileservlet si se realiza una
petición precedida de /ConsoleHelp/. En este caso se podrá acceder al
código mediante la dirección http://servidor.afectado/ConsoleHelp/login.jsp.

Más información:

Hispasec

Securityfocus
Securityfocus



Antonio Ropero
antonior@hispasec.com



viernes, 28 de julio de 2000

Hispasec y una-al-día accesibles vía WAP

Una-al-día, el primer servicio diario de noticias de seguridad
informática en español, vuelve a convertirse en pionero al ser
accesible vía WAP.
Con la llegada del verano son muchos los administradores que toman
vacaciones y se ausentan de su lugar de trabajo habitual, para todos
aquellos que a pesar de dicha ausencia deseen seguir informados podrán
acceder a las noticias de una-al-dia vía WAP, de esta forma podrán
seguir toda la actualidad del mundo de la seguridad informática. Para
acceder a la información vía wap basta con introducir en el terminal
la dirección www.hispasec.com/wap.asp

Hispasec está en continua mejora e intentamos ofrecer nuevos servicios
y posibilidades a nuestros usuarios. Por ello, no sólo ofrecemos la
posibilidad de acceder a las noticias vía WAP, sino que además como
podrán comprobar los habituales a nuestra página web hemos añadido
nuevas opciones que sin duda serán de gran interés para todos.

Se ha añadido una opción muy demandada entre todos los lectores, que
permitirá obtener una versión para imprimir de la noticia, de esta
forma será posible obtener copias impresas de las noticias sin
elementos gráficos y sin cortes que impidan su lectura y uso de forma
cómoda.

Por otra parte y para añadir mayor dinamismo y opciones de
participación de los lectores, se ha añadido la opción de comentar
todas las noticias publicadas, desde la página web de cada información
los usuarios podrán acceder a un sencillo cuadro sobre el que podrán
insertar su opinión. Esta sección estará moderada, lo que quiere decir
que los comentarios recibidos serán revisados por un editor de
Hispasec.



Antonio Ropero
antonior@hispasec.com



jueves, 27 de julio de 2000

Vulnerabilidad "Relative Shell Path" en Windows NT y 2000

Durante el proceso de inicio de sesión de un usuario en Windows NT y
2000 se ejecuta la aplicación "Explorer.exe", que se encuentra en el
directorio de Windows. Debido a un error de Microsoft al no
especificar la trayectoria absoluta de este fichero, es posible situar
un troyano con el mismo nombre en el raíz que se ejecutará con los
privilegios del usuario que inicie la sesión.
Cada vez que un usuario inicia la sesión, Windows NT y 2000 leen
la entrada del registro:
HLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
para conocer el fichero que deben ejecutar como Shell, por defecto
"Explorer.exe", sin indicar la trayectoria absoluta.

Cuando en Windows no se especifica la trayectoria de un fichero
inicia una búsqueda en el siguiente orden:

1. Busca en el directorio actual
2. Si el fichero no ha sido localizado, busca en los directorios
especificados en:
HLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path
3. Si tampoco es localizado, busca en los directorios especificados
en: HKEY_CURRENT_USER\Environment\Path

Esto quiere decir que, durante el inicio de sesión, en primer lugar
intenta localizar a "Explorer.exe" en el raíz (ejem: C:\), a
continuación en el directorio de sistema (ejem: C:\WINNT\System32),
y por último en la carpeta de Windows (ejem: C:\WINNT), donde se
encuentra el fichero.

Por defecto todos los usuarios del sistema tienen permisos de
escritura sobre el directorio raíz, lo que facilita que un atacante
local pueda situar un troyano renombrado como "Explorer.exe" en
el raíz, que se ejecutaría cada vez que un usuario inicie la
sesión con sus privilegios de seguridad.

Microsoft argumenta que no especifica una trayectoria absoluta
porque podría causar problemas de compatibilidad con software
comercial, que interrogan también el registro de Windows para
conocer el nombre del Shell, y no están preparados para leer
una trayectoria completa. Es por esta razón que no es posible,
o al menos recomendable, corregir la vulnerabilidad mediante
la inclusión de la trayectoria absoluta en la entrada del registro.
Para solucionar el problema Microsoft ha modificado el código
de Inicio de sesión para que anteponga la trayectoria adecuada
antes del nombre del fichero.

Los parches para corregir esta vulnerabilidad, según plataforma,
puede ser descargados de las siguientes direcciones:

Microsoft Windows NT 4.0 Workstation, Windows NT 4.0 Server,
y Windows NT 4.0 Server, Enterprise Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23360

Microsoft Windows 2000 Professional, Server, y Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23359

Microsoft Windows NT 4.0 Server, Terminal Server Edition:
No disponibles aun.

Más información:
Boletín de seguridad (MS00-052) "Relative Shell Path




Bernardo Quintero
bernardo@hispasec.com



miércoles, 26 de julio de 2000

Service Pack para Firewall-1

El conocido software de cortafuegos Firewall-1 de Check Point Software
estaba viéndose afectado por algunas vulnerabilidades, ante estos
problemas la compañía ha publicado un Service Pack cuya instalación se
recomienda a todos los usuarios de este software.
El aviso de una vulnerabilidad de alto riesgo en Firewall-1 estaba
causando cierta inquietud. El problema se había anunciado en las
reuniones Black Hat Briefings celebradas en las Vegas y aunque aun no
se dispone de todos los detalles técnicos, se sabe que combina al
menos dos fallos conocidos (y parcheados) en Firewall-1 para conseguir
privilegios administrativos.

El Service Pack publicado no sólo soluciona este problema sino que
además añade nuevas prestaciones y características, de ahí que se
recomiende su instalación a todos los usuarios. Entre las nuevas
prestaciones añadidas se pueden destacar las soluciones de acceso
remoto a la red privada virtual, que posibilitan el acceso a la red
corporativa a través de un gateway que realice NAT, como por ejemplo
un firewall en otra compañía.

También se ha mejorado el soporte y rendimiento para las últimas
versiones de aplicaciones Oracle 8i y las últimas características del
protocolo H.323 Voice sobre IP (VoIP). Se crea una nueva interfaz para
permitir que se analicen las aplicaciones de comercio electrónico en
el firewall o VPN para evitar los datos erróneos o maliciosos y se ha
mejorado la escalabilidad para redes privadas virtuales y entornos de
alta disponibilidad.

Más información:

Nota de prensa de Check Point:
http://www.securitywatch.com/scripts/news/list.asp?AID=3432

Check Point Service Pack:
http://www.checkpoint.com/sp

Securitywatch:
http://www.securitywatch.com/scripts/news/list.asp?AID=3400




Antonio Ropero
antonior@hispasec.com



martes, 25 de julio de 2000

Vulnerabilidad en Winamp

Existe una vulnerabilidad de desbordamiento de búfer en Winamp, el
conocido programa reproductor de música en formato mp3. Esta fallo de
seguridad puede llegar a causar la ejecución de código malicioso en el
ordenador atacado.
Winamp dispone del tipo de archivos M3U, que permiten facilitar la
tarea de creación de listas de reproducción, de forma que pueden
clasificarse temas para reproducir según su autor, disco o temática.
Sin embargo, el analizador de este formato de ficheros de Winamp no
realiza una correcta comprobación de los parámetros que en él se
adjuntan, por lo que un atacante puede provocar un desbordamiento de
búfer que puede ser aprovechado para la inclusión (y ejecución) de
código malicioso.

El desbordamiento se produce cuando se trata el parámetro "#EXTINF:",
bastará introducir una cadena de más de 280 caracteres tras dicha
opción para provocar el error. Un ejemplo de archivo malicioso
quedaría así:

#EXTM3U
#EXTINF:AAAAAA...(cadena de 280 caracteres)....AAAAA

El ataque puede realizarse de múltiples maneras, como mediante la
inclusión del archivo malicioso en una recopilación de música, o
incluso en una página web:

<a href="ataque.m3u">
<bgsound src="ataque.m3u">
<embed src="ataque.m3u">

Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1496

Winamp:
http://www.winamp.com/




Antonio Ropero
antonior@hispasec.com



lunes, 24 de julio de 2000

Problema de seguridad en los documentos PDF

El visualizador de documentos PDF de la compañía Adobe Systems es
sensible a un ataque por desbordamiento de búfer en algunas de sus
versiones para Windows 95/98/NT/2000. Este problema da lugar a la
caída del Sistema Operativo de Microsoft, y puede llegar a permitir la
ejecución de código malicioso.
El problema aparece cuando al generar un documento PDF (Portable
Document Format), el atacante inserta un numero indeterminado de
caracteres en la cabecera destinada a ofrecer la información del
lenguaje en el que está generado el documento. Exactamente el problema
surge en el tratamiento de las cadenas /Registry y /Ordering. El campo
/Ordering se emplea para expresar el nombre del país en el que se
generó el documento, por ejemplo:

/Ordering(Japan1)

Bastará incluir una cadena de gran tamaño en el nombre del país, para
provocar el desbordamiento.

/Ordering(AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA....)

Al ejecutar el Adobe Acrobat Reader con el fin de visualizar el
documento, éste nos producirá una ralentización del servidor llegando
a la posterior caída del sistema y producirá la sobrescritura del EIP.

Llegado a este punto, si el archivo pdf incluyera código malévolo éste
podría llegar a ejecutarse y permitiría al atacante hacerse con el
control de la máquina.

Las versiones afectadas por esta vulnerabilidad son:
Acrobat Reader 3.0J para Windows95/98/NT/2000
Acrobat Reader 4.0J para Windows95/98/NT/2000
Acrobat Reader 4.05J para Windows95/98/NT/2000
Acrobat 3.0J para Windows95/98/NT/2000
Acrobat 4.0J para Windows95/98/NT/2000
Acrobat 4.05J para Windows95/98/NT/2000
Adobe Acrobat Business Tools para Windows95/98/NT/2000
Adobe Acrobat FillIn para Windows95/98/NT/2000

Adobe ha publicado un parche para remediar el problema:
ftp://ftp.adobe.com/pub/adobe/acrobat/win/4.x/ac405up2.exe

Más información:

Adobe:
http://www.adobe.com/misc/pdfsecurity.html

Parche:
ftp://ftp.adobe.com/pub/adobe/acrobat/win/4.x/ac405up2.exe

Securityfocus:
http://www.securityfocus.com/bid/1509

Bugtraq




Antonio Román Arrebola - Málaga

antonio_roman@hispasec.com



domingo, 23 de julio de 2000

Primeras negaciones a la instalación de Carnívoro

Como ya tratamos anteriormente Carnívoro es un software creado y
diseñado por el FBI para el rastreo y vigilancia del correo
electrónico. En la actualidad ya empiezan a surgir los ISPs que se
niegan a la instalación de dicho software en sus servidores.
La compañía EarthLink Inc. se niega a que el FBI mantenga instalado en
sus máquinas el software para vigilancia, sustracción y análisis de
redes Carnívoro. Este proveedor, es uno de los más importantes de los
Estados Unidos y a la vez uno de los primeros en los que se probó este
software dedicado al espionaje, con la finalidad de desenmascarar una
trama delictiva.

La citada compañía intenta evitar el mantenimiento de Carnívoro dentro
de sus sistemas, ya que en un principio se toparon con el problema de
tener que reinstalar un software más antiguo al que estaban utilizando
en sus sistemas para que fuera compatible con el del FBI. Pero tras
pruebas realizadas pudieron comprobar que este remedio no era efectivo
y sufrían continuos accesos y caídas de sus ordenadores. Otra de las
causas que alega esta compañía para rechazar a Carnívoro, es que
durante el periodo que el FBI ha realizado sus investigaciones, estos
pudieron haber recopilado información de sus usuarios que nada tuviera
que ver con la investigación que llevaban a cabo. Los directivos de
esta compañía se muestran receptivos a colaborar con la justicia
siempre que sean requeridos, pero se niegan tajantemente a instalar
Carnívoro en sus sistemas.

En la actualidad el FBI recibe presiones de una gran mayoría de
usuarios para que desvele el código fuente de Carnívoro, si bien los
federales rechazan rotundamente tal posibilidad. Este software actúa
de forma que ingiere toda la información que pasa por un punto de la
red del proveedor de Internet y según asegura el FBI sólo extrae los
datos relevantes a una investigación. Por este motivo, recibe críticas
para que se muestren más detalles sobre su forma de actuación.

Más información:

Newsbytes:
http://www.newsbytes.com/pubNews/00/152122.html

Earthlink:
http://www.earthlink.com/

Hispasec:
http://www.hispasec.com/unaaldia.asp?id=625




Antonio Román Arrebola - Málaga
antonio_roman@hispasec.com



sábado, 22 de julio de 2000

Vulnerabilidad en IBM WebSphere

El servidor de aplicaciones web de IBM posee una vulnerabilidad que
puede permitir a un atacante la obtención del código fuetne de
cualquier archivo alojado en el servidor web.
IBM WebSphere emplea Servlets de Java para analizar los distintos
tipos de páginas que pueden encontrarse alojadas (HTML, JSP, JHTML,
etc). Además incluye diferentes tipo de servlets para el tratamiento
de cada uno de los diferentes tipos de páginas. Por otra parte, existe
un servlet por defecto que se llama en caso de que el archivo
solicitado no tenga un analizador registrado.

El problema radica en la posibilidad de forzar la funcionalidad del
servlet por defecto si a la ruta de la URL se le añade el prefijo
"/servlet/file/", lo que causa que las páginas se muestren sin ser
tratadas o compiladas.

El mayor problema de esta vulnerabilidad, y de otras similares que han
aparecido en las últimas fechas, es la facilidad con la que un
atacante puede explotarlas y hacer uso de la información obtenida. Es
sencillo comprobar si un sistema está afectado, basta añadir el
directorio "/servlet/file/" a la URL para provocar el fallo. Por
ejemplo si se tiene la página http://servidor_afectado/acceso.jsp
bastará con introducir la URL
http://servidor_afectado/servlet/file/acceso.jsp para visualizar el
código fuente de la página acceso.jsp.

Para evitar el problema se debe eliminar InvokerServlet de la
aplicación web. IBM proporcionará un parche (APAR PQ39857) que está
disponible en breve en la dirección
http://www-4.ibm.com/software/webservers/appserv/efix.html

Más información:

Security Focus:
http://www.securityfocus.com/vdb/?id=1500

Foundstone:
http://www.foundstone.com/FS-072400-6-IBM.txt




Antonio Ropero

antonior@hispasec.com



viernes, 21 de julio de 2000

Parche obligado para los usuarios de Outlook

Una importante vulnerabilidad en Outlook y Outlook Express permite
enviar un mensaje que causa la ejecución de código arbitrario durante
su recepción en dichos clientes de correo. Microsoft ha facilitado un
parche que recomendamos instalar a todos los usuarios afectados.
La vulnerabilidad se encuentra en Inetcomm.dll, un componente
compartido por los clientes de correo Oulook y Outlook Express. Esta
librería contiene un búfer que puede ser desbordado al recibir un
correo electrónico vía POP3 o IMAP4, sin necesidad de que el
destinatario abra o previsualice el mensaje. Explotar esta
vulnerabilidad puede provocar un error y el reinicio de la aplicación
o la ejecución de código arbitrario.

Para llevar a cabo el ataque basta conectar a un servidor SMTP a
través de telnet y enviar un mensaje con un argumento excesivamente
largo en la sección GMT del campo fecha. Por ejemplo:

HELO
MAIL FROM: remitente@servidor.com
RCPT TO: victima@servidor.com
DATA
Date: Thu,13 Jun 2000 12:33:16 +1111111111111111111111111111111111111111111111111111111111111
.
QUIT

Este mensaje provocará un error y el reinicio de los clientes de
correo Outlook y Outlook Express durante la operación de descarga
desde el servidor de correo al sistema de la víctima. Hay que
destacar que no es necesario abrir o previsualizar el mensaje para
que se provoque el desbordamiento de búfer. El correo electrónico
no llega a recibirse en el buzón del cliente, ni se borra del
servidor de correo, por lo que el ataque se puede repetir de forma
continua cada vez que se intente descargar el correo, hasta que el
administrador borre el mensaje que explota la vulnerabilidad o que
la víctima instale el parche correspondiente.

Todas las versiones de Inetcomm.dll se encuentran afectadas, a
excepción de las que se distribuyen junto con Internet Explorer
5.01 Service Pack 1 y Outlook Express 5.5. También se encuentran
libres del problema los usuarios que tengan configurado en Outlook
el protocolo MAPI para comunicarse con el servidor de correo, como
ocurre por defecto cuando el servidor es Microsoft Exchange. Sin
embargo, se recomienda a estos últimos la instalación del parche,
ya que corrige otras vulnerabilidades además de la que nos ocupa.

Versiones afectadas:

-Microsoft Outlook Express 4.0
-Microsoft Outlook Express 4.01
-Microsoft Outlook Express 5.0
-Microsoft Outlook Express 5.01
-Microsoft Outlook 97
-Microsoft Outlook 98
-Microsoft Outlook 2000

Los usuarios afectados deben instalar el parche específico o
algunas de las versiones de Outlook no afectadas.

Parche "Malformed E-mail Header" (disponible de momento sólo para IE5.01):
http://www.microsoft.com/windows/ie/download/critical/patch9.htm

Area de descarga y actualizaciones en versión Español:
http://www.microsoft.com/windows/ie_intl/es/download/

Más información:

SecurityFocus
http://www.securityfocus.com/vdb/?id=1481

Patch Available for "Malformed E-mail Header" Vulnerability
Microsoft Security Bulletin (MS00-043)
http://www.microsoft.com/technet/security/bulletin/MS00-043.asp




Bernardo Quintero
bernardo@hispasec.com



jueves, 20 de julio de 2000

Los ficheros del servidor web al descubierto con IIS

Una vez más los archivos del servidor web de Microsoft pueden ver su
código descubierto mediante una sencilla modificación de la url. Según
ha comprobado Hispasec a lo largo del día son múltiples los servidores
afectados que dejan al descubierto la seguridad de su sitio web.
Este problema puede poner al descubierto las passwords de las bases de
datos, passwords administrativas, y detalles del funcionamiento del
servidor web o de la lógica de negocio del sitio. Para explotar la
vulnerabilidad bastará con solicitar un nombre de archivo existente,
por ejemplo global.asa seguido de el carácter + y la extensión «.htr».

De esta forma, cuando se encuentra un "+" en el nombre de archivo,
ISM.DLL truncará el "+.htr" y abre el archivo solicitado. Si dicho
archivo no es un .htr parte del código fuente quedará expuesto al
atacante. Por ello, el intruso podrá recuperar el contenido de
archivos como el global.asa que contienen a menudo información
sensible como el nombre de usuario y password del servidor SQL.

El ataque es tan sencillo como construir la url de la siguiente forma:

http://www.servidor.afectado.com/global.asa+.htr

El ataque no permitirá modificar datos de las páginas, pero sí acceder
a información sensible que permita desarrollar otro tipo de ataques.
Microsoft ha publicado los parches necesarios para cubrir esta
vulnerabilidad, cuya instalación recomendamos a todos los
administradores de Internet Information Server 4 o 5. Otra solución
posible es desactivar el soporte de archivos .htr.

Más información:

Boletín de seguridad de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS00-044.asp

Preguntas y Respuestas de Microsoft sobre la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-044.asp

Parches para IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22709

Parches para IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22708




Antonio Ropero - Madrid
antonior@hispasec.com



miércoles, 19 de julio de 2000

Hispasec descubre el primer virus para AutoCAD 2000

Hispasec descubre a "Autocad2k\Star", el primer virus desarrollado
para el popular programa de diseño AutoCAD 2000. Por sus
características no se prevé consiga infecciones significativas, parece
que el único propósito del autor es demostrar la viabilidad, sin
embargo puede ser la semilla de una nueva familia de macro virus para
esta plataforma.
Diseñar virus que infecten documentos AutoCAD es factible desde que
Autodesk, la casa desarrolladora del producto, añadió la
compatibilidad con el lenguaje de Microsoft VBA ('Visual Basic for
Aplications') en la versión 14. De esta forma hoy es posible incluir
macros dentro de un dibujo de AutoCAD, extensión DWG, o scripts
externos en archivos con extensión DVB.

Toda la protección que ofrece el programa es la opción de habilitar
un aviso de macros, que informaría al usuario de la existencia de
código adicional al abrir un documento, pero sin diferenciar si
forman parte del proyecto original o se trata de un programa dañino
introducido a posteriori.

"Autocad2k\Star" es un pequeño módulo escrito en VBA que aprovecha
las facilidades que ofrece Autodesk en su programa. Simple y poco
optimizado, el virus se limita a infectar documentos de la aplicación,
sin realizar ninguna acción dañina adicional.

El código del virus se encuentra en un módulo
"AcadDocument_Deactivate", donde "AcadDocument" es el objeto que
representa el documento activo y "Deactivate" es el evento. De esta
forma el código del virus se ejecutará cuando la ventana o foco del
documento que lo contiene deje de estar activada.

A continuación, el virus inicia un bucle donde recorre todos los
documentos cargados en memoria en busca de la cadena
"Set VBEModel = VBE" en la segunda línea de código, identificación
que utiliza para saber si un módulo se encuentra infectado. El
propósito de esta búsqueda es leer el código vírico y almacenarlo
en una variable para poder insertarlo en otros documentos.

Una vez se ha encontrado a sí mismo reiniciará el bucle, aunque en
esta ocasión buscará los módulos que no contengan la cadena de
identificación para insertar en ellos el código vírico almacenado
en la variable y guardarlos, finalizando así la fase de infección.

El virus contiene al final de su código los siguientes comentarios:

[Autocad2k\Star]
[A.s.T]
Big Greetz to some0ne really special
"You`ll always be a star in my sky"

En definitiva, nos encontramos con un virus de macro en su mínima
expresión, tan simple que puede fallar en determinadas circunstancias,
que parece tener como único fin ser el primer virus diseñado para
AutoCAD. A sus limitaciones por diseño, hay que sumar que, aunque
AutoCAD 2000 es un programa ampliamente utilizado en el entorno
profesional, no está tan difundido como las aplicaciones de Office,
por ejemplo, por lo que el campo de acción del virus disminuye
drásticamente.

En cuanto a posibles sucesores del virus, es probable que surjan
algunas variantes más sofisticadas, cosa no muy difícil, aunque
Autocad no se presenta como una plataforma atractiva para los
creadores de virus, quienes suelen programar sobre entornos
mayoritarios para no ver limitadas las posibilidades de infección y
difusión de sus creaciones.




Bernardo Quintero
bernardo@hispasec.com



martes, 18 de julio de 2000

Importante agujero de seguridad en Windows

El pasado mes nos hicimos eco de una nueva vulnerabilidad,
decubierta por Guninski, que permitía la ejecución de comandos
de forma remota a través de Internet Explorer y Office 2000
aprovechando objetos Active-X. El SANS Institute demuestra
cómo es posible explotar el problema con tan sólo visualizar
una página o mensaje HTML, sin necesidad de abrir o ejecutar
ningún archivo adjunto, aun cuando está desactivada la opción
de Controles y Complementos Active-X.
Los detalles de la vulnerabilidad ya fueron comentados en
"IE5 y Office 2000 permiten ejecutar comandos de forma remota"
el 27 del pasado mes (http://www.hispasec.com/unaaldia.asp?id=609).

El problema se agrava cuando el objeto Active-X hace referencia
a una base de datos Access. Aun estando desactivada la opción
de Controles y Complementos Active-X, Internet Explorer procede
en primer lugar a la descarga de la base de datos (.MDB), ejecuta
Access y la abre, a continuación informa al usuario de que el
contenido de la página HTML es inseguro.

Es decir, al abrir la base de datos posibilita la ejecución de
cualquier comando, a través del lenguaje VBA ('Visual Basic for
Applications'), antes de que determine que el contenido no es
seguro y pueda preguntar al usuario si desea continuar o
niegue su ejecución por configuración. Una secuencia sin sentido
alguno.

La buena noticia, o el consuelo, para los usuarios de Windows
es que Microsoft ha facilitado unos pasos a seguir para evitar
la vulnerabilidad, mientras desarrolla el parche definitivo.
La solución, algo espartana pero efectiva, es configurar una
contraseña en Access para impedir su inicio automático:

-Ejecutar Access (sin abrir ninguna base de datos).
-Desde el menú Herramientas, elegir Seguridad.
-Seleccionar Cuentas de Usuarios y Grupo...
-Seleccionar el usuario Administrador (por defecto).
-Seleccionar la pestaña Cambiar Contraseña...
-Asignar una contraseña y Aceptar.

Para las otras variantes del agujero de Guninski, donde se
utilizaban Excel y Powerpoint, ya existen parches, disponibles
en:

Microsoft Excel 2000 y PowerPoint 2000:
http://officeupdate.microsoft.com/2000/downloaddetails/Addinsec.htm

Microsoft PowerPoint 97:
http://officeupdate.microsoft.com/downloaddetails/PPt97sec.htm

Más información:

IE5 y Office 2000 permiten ejecutar comandos de forma remota
http://www.hispasec.com/unaaldia.asp?id=609

Dangerous Windows Flaw
SANS Flash Advisory
http://www.sans.org/newlook/resources/win_flaw.htm

"The Office HTML Script" Vulnerability and a
Workaround for "The IE Script" Vulnerability
Microsoft Security Bulletin (MS00-049)
http://www.microsoft.com/technet/security/bulletin/MS00-049.asp




Bernardo Quintero
bernardo@hispasec.com



lunes, 17 de julio de 2000

Primeros artículos en "Búfer abierto"

La nueva sección de Hispasec, que anunciábamos la semana pasada, ya
cuenta con las primeras colaboraciones. Artículos sobre Linux, Windows
y Legislación conforman esta entrega que será ampliada en breve con
las nuevas aportaciones que nos envían. Pueden acceder a "Búfer
abierto" en la dirección http://www.hispasec.com/bufer.asp


Cómo configurar el TCP-Wrapper, detección de troyanos en Windows, o el
Proyecto de Ley en Argentina sobre Propiedad Intelectual de las obras
de informática y Régimen Penal, son los primeros artículos que dan
forma a esta nueva sección. Tal y cómo cabía esperar, "Búfer abierto"
destaca por su diversidad tanto en el enfoque, profundidad y temática,
en lo que se ha convertido en una tribuna pública donde todos los
lectores de Hispasec pueden colaborar y compartir con el resto de la
comunidad sus aportaciones.

* Como configurar el TCP-Wrapper
Ariel Pereira
Buenos Aires - Argentina
http://www.hispasec.com/bufer_articulo.asp?id=1

* Proyecto de Ley sobre Propiedad Intelectual y Régimen Penal
Esteban Falcionelli
Presidente Fundación Diké-Justicia
http://www.hispasec.com/bufer_articulo.asp?id=5

* Detección de troyanos
Juan Ignacio Jiménez Cuesta
Guadalajara - España
http://www.hispasec.com/bufer_articulo.asp?id=23

Recordamos a todos nuestros lectores que pueden hacer llegar sus
colaboraciones a través de la dirección bufer@hispasec.com

Por último, en representación de los miembros de Hispasec, aprovecho
para felicitar a todo el equipo que hace posible el sitio web
Kriptópolis (http://www.kriptopolis.com), recién galardonado con
el premio iBest 2000.




Bernardo Quintero
bernardo@hispasec.com



domingo, 16 de julio de 2000

Campaña Nacional Anti Virus

Con el objetivo de detectar y eliminar el máximo número de virus de
los ordenadores españoles, y promover medidas de prevención, da
comienzo la 1ª Campaña Nacional Anti Virus. Los usuarios de Hispasec
pueden acceder a los recursos, herramientas y servicios gratuitos a
través de la dirección http://sinvirus.hispasec.com
Promovida desde el Ministerio de Ciencia y Tecnología junto con Panda
Software, y la colaboración destacada de las asociaciones SEDISI, AUI
y AI, la campaña cuenta con un amplio grupo de patrocinadores
compuesto por los principales medios de comunicación, empresas
informáticas y portales de Internet. Esta amplia cobertura asegura la
máxima difusión de esta iniciativa en nuestro país, sin precedentes a
escala mundial.

Del 17 al 31 de julio, la campaña emitirá consejos diarios de cara a
promover la educación e información para mantener los sistemas libres
de virus. En el apartado de utilidades, los usuarios podrán descargar
Panda Antivirus Lite, un antivirus desarrollado específicamente para
esta campaña. Durante estas dos semanas, los usuarios también contarán
con soporte técnico gratuito a través de correo electrónico, y el
servicio SOS Virus para el envío de ficheros sospechosos de
infección.

Dejando a un lado el factor marketing, que conlleva toda campaña de
este tipo, sin duda se trata de una iniciativa que puede despertar
el interés del gran público y sentar unas bases importantes en
materia de educación preventiva de cara a minimizar futuras
infecciones.

Más información:

Campaña Nacional Antivirus en Hispasec
http://sinvirus.hispasec.com
http://www.hispasec.com/sinvirus/

Campaña Nacional Antivirus
http://www.sinvirus.com




Bernardo Quintero
bernardo@hispasec.com



sábado, 15 de julio de 2000

Contraseñas al descubierto en Visible Systems Razor 4.1

Un algoritmo de cifrado muy simple para las contraseñas, y la
posibilidad de que cualquier usuario pueda acceder al fichero
donde se almacenan, permiten descubrir a un usuario local todas
las cuentas de acceso de esta herramienta de administración y
desarrollo.
Las herramientas CM (Configuration Management), facilitan a los
equipos de desarrollo el seguimiento, relación y control de las
diferentes versiones y porciones de su código, convitiéndose en
una utilidad imprescindible para el trabajo y colaboración entre
equipos de programadores. Mientras que las herramientas PT
(Problem Tracking) ayudan a manejar la informacion sobre
problemas, fallos y defectos en el código, para lo que establecen
informes y registros de control sobre los errores y medidas de
corrección. Razor, de Visible Systems, es una software que
integra ambas herramientas, CM y PT, en una única solución.

Entre los organismos que utilizan Razor podemos encontrar a la
NSA (National Security Agency), la NASA, el MIT, el Centro de
Investigación Nacional del Genoma Humano (USA), la Agencia
Espacial Canadiense, o la Fuerza de Defensa Australiana.

El fichero rz_passwd, utiliado por Razor Configuration Management
para almacenar las contraseñas, se encuentra en el directorio
Razor_License en la máquina que actúa como servidor de licencias.

El primer problema lo encontramos en los permisos por defecto de
rz_passwd, que permiten su lectura a todos los usuarios. Podemos
impedir la lectura a terceros modificando sus atributos, pero
Razor volverá a restaurar los permisos del fichero cuando realice
alguna operación que haga uso de él, cómo puede ser añadir un
usuario, borrarlo o modificar una contraseña. Otro intento de
solucionar este problema pasa por modificar los permisos del
directorio que contiene a rz_passwd, pero en tal caso Razor tiene
problemas de funcionamiento, por lo que la solución definitiva
pasa por un parche o nueva versión de Razor que corrija este
problema.

El fichero donde Razor almacena las contraseñas contiene registros
de 51 bytes, formados por tres campos de 17 bytes cada uno, que
corresponden a nombre de usuario, contraseña cifrada y grupo. Los
campos de nombre de usuario y grupo pueden interpretarse de forma
directa, ya que se encuentran almacenados en texto claro.

El algoritmo de cifrado de la contraseña es muy simple, consiste en
rotar cada byte, de la contraseña en texto plano, 2 bits a la derecha.
El descifrado, como es obvio, consiste en la realizar la operación
inversa.

Más información:

SecurityFocus
http://www.securityfocus.com/bid/1424

Razor
http://www.razor.visible.com

Visible Systems Corporation
http://www.visible.com




Redacción Hispasec
redaccion@hispasec.com



viernes, 14 de julio de 2000

Identificación biométrica

Esta semana contamos con la colaboración, por cortesía de Criptonomicón (www.iec.csic.es/criptonomicon), del Dr. Joaquín González Rodríguez
(jgonzalz@diac.upm.es), Profesor Titular del Área de Tratamiento de Voz
y Señales (www.atvs.diac.upm.es) del Dpto. Ing. Audiovisual y
Comunicaciones de la EUIT Telecomunicación de la Universidad
Politécnica de Madrid. En su artículo nos brindará una introducción a
la biometría, las técnicas más utilizadas y su fiabilidad y costes.
En el ámbito de las tecnologías de la seguridad, uno de los problemas
fundamentales a solventar es la necesidad de autenticar de forma
segura la identidad de las personas que pretenden acceder a un
determinado servicio o recinto físico. De este modo, surge la
biometría, también conocida como técnicas de identificación
biométrica, con el objetivo de resolver este problema a partir de
características que son propias de cada individuo, como voz, huella
dactilar, rostro, etc.

Éstas técnicas de identificación biométrica, frente a otras formas de
autenticación personal como el uso de tarjetas o PINes (Personal
Identification Number, o número de identificación personal, como el
usado en cajeros automáticos), tienen la ventaja de que los patrones
no pueden perderse o ser sustraídos, ni pueden ser usados por otros
individuos en el caso de que lleguen a tener accesible nuestra
tarjeta personal y/o PIN. Debemos tener en cuenta que gran parte de
los sistemas de autenticación actuales están basados únicamente en el
uso de una tarjeta personal y/o un PIN. Así, por ejemplo, es habitual
que en el caso de pérdida o sustracción de una cartera, cualquiera
pueda hacerse pasar por uno mismo, ya que es extremadamente frecuente
tener junto a las tarjetas personales, el/los número/s secreto/s
(PINes) apuntado/s en la misma. Éste problema de suplantación de
identidad quedaría totalmente resuelto con el uso de patrones
biométricos como medio de autenticación personal.

A continuación vamos a describir de forma breve las técnicas de
autenticación biométrica más extendidas y aplicables, y cuáles son
sus características fundamentales en términos de precisión (P), coste
(C), aceptación por parte del usuario (A), y grado de intrusión de la
técnica (I). Obviamente, la técnica ideal tendría precisión y
aceptación máximas, y coste e intrusión mínimas (P++++, C+, A++++,
I+). De este modo, podemos enumerar:

- - Reconocimiento de huella dactilar: el usuario sólo tiene que situar
la yema de un dedo (normalmente el índice) sobre un escáner de
huella. Evaluación: P++++, C++, A+++, I++.

- - Reconocimiento facial: el sistema dispone de una cámara que graba
al usuario, analizando el rostro del individuo. Evaluación: P++,
C+++, A++, I+.

- - Reconocimiento de voz: la persona pronuncia un código de acceso
prefijado (nombre y/o apellidos, DNI, número de teléfono, PIN, etc.),
o una frase diferente cada vez por invitación del sistema (diga usted
...), siendo reconocido por el sistema a partir de las
características de la voz grabada en el momento del acceso.
Evaluación: P+++, C+, A++, I+.

- - Reconocimiento de la forma de la mano: la persona sitúa su mano
abierta sobre un escáner específico, siendo reconocido a partir de la
forma y geometría de la misma. Evaluación: P++, C+++, A++, I++.

- - Reconocimiento de iris: el sistema obtiene una imagen precisa del
patrón de iris del individuo, y lo compara con el patrón previamente
guardado del usuario. Evaluación: P++++, C++++, A+++, I+++.

- - Reconocimiento de firma: el individuo firma sobre una superficie
predeterminada, y la misma es verificada frente a un patrón
previamente obtenido de la misma persona.

Sin embargo, sea cual sea la técnica seleccionada para una
determinada aplicación, tendremos que ponderar en cada caso las
restricciones o peculiaridades que pueden tener cada una de las
técnicas, frente al grado de seguridad añadido que conseguimos y del
que anteriormente no disponíamos. Estas características a ponderar
vienen dadas básicamente por los siguientes aspectos:

- - Necesidad de un dispositivo de adquisición específico (lector de
huella dactilar, micrófono, cámara, etc.) allí donde esté el usuario.

- - Posible variabilidad con el tiempo del patrón a identificar
(afonías ó catarros en voz, uso de gafas/bigote/barba/etc. en rostro,
etc.).

- - Probabilidad de error individual de cada una de las técnicas (entre
uno por cien y uno entre varios millones, en función de la técnica
elegida).

- - Aceptación por parte del usuario de cada una de las técnicas, en
función de si son o no técnicas intrusivas, cómodas, que mantengan (o
al menos lo parezca) la privacidad, sencillas de usar, etc.

De este modo, en función de la situación en que necesitemos realizar
autenticación segura del usuario, buscaremos cuál es la técnica (ó
combinación de técnicas) biométrica más adecuada en función de los
cuatro parámetros fundamentales anteriormente mencionados.

Muchas de estas técnicas ya están siendo utilizadas en sistemas
reales, como la tarjeta de la Seguridad Social en Andalucía, basada
en huella digital, cajeros automáticos con autenticación por iris, o
sistemas de compra por teléfono con autenticación por voz, por citar
algunos ejemplos. Sin embargo, será el futuro inmediato el que nos
sorprenderá nuevamente con desafiantes y atractivas aplicaciones
basadas en identificación biométrica.




Joaquín González Rodríguez
jgonzalz@diac.upm.es
Boletín Criptonomicón #73
http://www.iec.csic.es/criptonomicon



jueves, 13 de julio de 2000

Ponga un cortafuegos personal en su vida

Si su red u ordenador están conectados permanentemente (o durante
largos períodos de tiempo) a Internet, si ofrece servicios accesibles
desde el exterior (acceso remoto a ficheros, servidor web o FTP,
etc.), si utiliza software de conexión remota (como Telnet, Laplink,
PC Anywhere, etc.) y desea protegerse de ataques de intrusos y de
troyanos, entonces necesita un cortafuegos.
Si bien es verdad que para los que se conectan con un módem de 56
Kbps, los hackers no representan un problema serio, cada vez más
ordenadores domésticos o ubicados en pymes utilizan conexiones de
alta velocidad por RDSI, ADSL o cable con tarifa plana para
permanecer en línea 24 horas al día. ¿Conveniente? Puede apostar a
que sí, ya que permite poner en Internet una página personal o
empresarial, sin necesitar de los servicios de un ISP externo, y
puede olvidarse de mirar el reloj mientras navega. Pero cuanto mayor
es el tiempo que un usuario pasa conectado, mayor es el riesgo de
intrusión. Estar permanentemente en línea le vuelve vulnerable ante
programas automáticos de escaneo de puertos que sondean direcciones
IP en busca de un punto de entrada en su PC o red doméstica.
Posiblemente recibirá una docena o más de "pings" no solicitados al
día (intentos de determinar si su dirección IP está activa) y
traceroutes procedentes de programas de hackers y otras fuentes. La
mayoría son intentos aleatorios de scripts automáticos de hackers en
busca de puertos abiertos en su PC.

Cualquier sistema, desde el momento en que se encuentra conectado a
Internet, puede convertirse en blanco. Los cortafuegos, sin ser la
panacea de la seguridad informática, representan un poderoso muro de
protección entre su ordenador o su red interna e Internet, barrera
que conviene instalar en todo sistema que esté conectado a Internet
24 horas al día, por modesto que sea. El software de cortafuegos
personal aísla su ordenador de su conexión a Internet filtrando
información, bloqueando puertos abiertos y deteniendo programas con
controles ActiveX o rutinas en JavaScript. Entre los servicios que
cabe esperar de un buen cortafuegos, se encuentran los siguientes:

- - Aislamiento de Internet: la misión fundamental de un cortafuegos
consiste en aislar su red privada de Internet, restringiendo el
acceso hacia/desde su red sólo a ciertos servicios, a la vez que
analiza todo el tráfico que pasa a través de él.

- - Detección de intrusos: dado que todo intento de conexión debe pasar
por él, un cortafuegos adecuadamente configurado puede alertarle
cuando detecta actividades sospechosas que pueden corresponder a
intentos de penetración en su red o tentativas de enviar información
desde ella, como los que realizarían troyanos que se hubieran colado
dentro.

- - Auditoría y registro de uso: el cortafuegos constituye un buen
lugar donde recopilar información sobre el uso de la red. En su
calidad de punto único de acceso, el cortafuegos permite registrar
toda la actividad entre la red exterior y la interior.

- - Autenticación: algunos cortafuegos permiten autenticarse utilizando
métodos más sofisticados que la humilde y hoy desprestigiada
contraseña, basados en tarjetas inteligentes, contraseñas de un solo
uso, llaves hardware, etc.

- - Traducción de direcciones de red (NAT): otra función adicional que
puede realizar el cortafuegos es la de ocultar el rango de
direccionamientos internos de la red empresarial o doméstica,
realizando una traducción de direcciones o NAT (Network Address
Translation).

A pesar de todas sus virtudes y ventajas, los cortafuegos no
proporcionan la solución definitiva a todos los problemas de
seguridad. Existen amenazas fuera del alcance del cortafuegos, contra
las cuales deben buscarse otros caminos de protección:

- - Ataques desde el interior: evidentemente, el cortafuegos no puede
protegerle de empleados desleales que roban un disco duro con
información confidencial y salen con él bajo el brazo (recordad Los
Alamos).

- - Ataques que no pasan por el cortafuegos: el cortafuegos se
encuentra impotente ante accesos directos a ordenadores de la red
protegida a través de módem o a través de redes privadas virtuales.

- - Ataques basados en datos: si los programas que son accedidos a
través del cortafuegos, como el servidor web, ocultan errores graves,
un hacker podría explotarlos haciendo uso exclusivamente de tráfico
HTTP (véase "Sobre puertas y ratoneras" en
www.iec.csic.es/criptonomicon/susurros/susurros09.html para una
descripción en detalle de estos ataques). Los virus constituyen una
amenaza difícil de rechazar incluso para los cortafuegos más
sofisticados.

- - Ataques completamente nuevos: los buenos cortafuegos pueden
proteger ante muchos ataques desconocidos aún por llegar, pero no
frente a todos. Los hackers siempre corren un paso por delante de los
fabricantes de productos de seguridad.

Hasta hace bien poco, todos los productos comerciales de cortafuegos
quedaban restringidos para su uso empresarial, debido a su elevado
precio, su dificultad de configuración y la exigencia de
conocimientos especializados para operarlos. Sin embargo, a medida
que crece el número de usuarios domésticos y pequeñas empresas
conectados a Internet las 24 horas del día, aumenta de forma pareja
la necesidad de protección del sistema informático, desde
instalaciones modestas con un solo ordenador a otras algo más
completas con menos de una docena de ordenadores. En la mayoría de
estos casos resultaría descabellado plantearse la compra de un
potente cortafuegos, porque ni las economías lo permitirían ni las
circunstancias lo exigen. Sin embargo, este gran mercado de pequeño
poder adquisitivo está de enhorabuena, porque están saliendo a la luz
nuevos productos de cortafuegos personales, con grandes prestaciones
y seguridad notable.

El cortafuegos personal, escaneador de virus y filtro de contenidos
web/correo de ESafe Desktop 2.2 de Aladdin Knowledge Systems (gratis
para uso personal, en www.aks.com) coloca a las páginas web,
descargas de correo electrónico y discos flexibles que entran en su
sistema en un "patio de juegos" (sandbox) hasta que pasan la
cuarentena. Aunque ralentiza un poco las cosas, la paz de espíritu
que proporciona vale su precio. BlackICE Defender (por unas 7.000
pesetas en www.networkice.com) monitoriza y protege el acceso a red
de su PC. Otros sistemas de seguridad y cortafuegos personal incluyen
Internet Security 2000 de Norton (7.000 pesetas, www.symantec.com) y
ZoneAlarm 2.1 de ZoneLabs (totalmente gratuito para uso personal,
disponible en www.zonelabs.com). La red @Home ha establecido un
"Centro de Seguridad En Línea" promocionando el software de
cortafuegos personal de McAfee (un servicio de suscripción por 5.400
pesetas al año en www.mcafee.com), basado en el software Conseal
Private Desktop de Signal9.

En definitiva, si su red u ordenador están conectados permanentemente
(o durante largos períodos de tiempo) a Internet, si ofrece servicios
accesibles desde el exterior (acceso remoto a ficheros, servidor web
o FTP, etc.), si utiliza software de conexión remota (como Telnet,
Laplink, PC Anywhere, etc.) y desea protegerse de ataques de intrusos
y de troyanos, entonces necesita un cortafuegos. Su sofisticación
dependerá ya de sus necesidades concretas de seguridad y de su
precio. Pero eso sí, no lo olvide, sin un cortafuegos está expuesto a
todo tipo de peligros.

Más información:

Cortafuegos
http://www.iec.csic.es/criptonomicon/articulos/expertos35.html

Sobre puertas y ratoneras
http://www.iec.csic.es/criptonomicon/susurros/susurros09.html

LINUX como cortafuegos gratuito
http://www.iec.csic.es/criptonomicon/consejos/cortafuegoslinux.html




Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #73
http://www.iec.csic.es/criptonomicon



miércoles, 12 de julio de 2000

Carnívoro

Carnívoro es el nombre del nuevo invento del FBI. Resulta un poco
'gore', asusta sólo el nombrecito y, lo que puede hacer también.
Vigila, intercepta y analiza grandes cantidades de correo electrónico,
va más allá de lo que imaginó la propia ley sobre Privacidad en
Comunicaciones Electrónicas (ECPA).
Esta semana he recibido varias cartas interesantes, una de ellas me
habla de Carnívoro y me adjuntan la misiva enviada por Laura W. Murphy,
Barry Steinhardt, y Gregory T. Nojeim, cúpula directiva de ACLU,
(American Civil Liberties Union), a varios representantes del pueblo
norteamericano, los honorables Charles T. Canady, y Melvin L. Watt.
Carta que deja clara la protesta por la existencia misma de dicho
Carnívoro que segun los autores de la carta podría incluso violar
la Cuarta Enmienda.

Al parecer de la existencia de Carnívoro ya se sabía desde el 6 de
abril, básicamente un software muy especializado instalado
directamente en los propios ISPs, (Internet Service Provider's), o
proveedores de servicios, que intercepta en tiempo real los contenidos
de las comunicaciones individuales,permite el acceso a todo el correo
de todos los clientes del ISP, y de todas personas que comuniquen con
dicho proveedor, las copia, tracea y registra, basta con darle una o
varias palabras a buscar en cada correo.

Carnívoro accede a todo el trafico del ISP, y no sólo a las
comunicaciones. Según los autores de la carta, Carnívoro analiza
millones de mensajes por segundo, reteniendo sólo los que tengan
determinadas palabras buscadas, hace su trabajo sin informar, después
al ISP (antes sí, ya que puede ser obligado a instalar el programa).
Y lo peor de todo, sin informar antes al Juzgado. Aunque no lo sepan
algunos, también en Estados Unidos es necesaria una orden judicial
para tal tipo de comportamiento.

El FBI asegura que sólo graban lo que tiene un perfil determinado, y
sobre la necesidad de orden judicial para ello, vienen a contestar,
algo así como "creed en nosotros, somos lo buenos, los chicos del
gobierno". Como principio general en las legislaciones occidentales la
interceptación de comunicaciones debe ser algo excepcional, no
habitual, debe minimizarse, para un tiempo, persona y conducta
determinada, y por supuesto debe estar autorizada por el Juez,
Carnívoro obviamente hace todo lo contrario.

En España se pueden ver como derecho material los art. 197 y 536 del
Código Penal, o en jurisprudencia las sentencias del Tribunal
Constitucional 107/85, la 64/86, la 49/96 de 26 de marzo, la 34/96 del
11 de marzo; el auto del Tribunal Supremo 18/6/92, o la sentencia del
mismo órgano de 23/11/95, la de 28/3/96. Y ello sólo para empezar.

Para los miembros de ACLU sería ilegal, (legislación norteamericana),
que el gobierno pueda obtener de un ISP las entradas y salidas de
correo de un cliente, dirección de correo, IP, etc., consideran
también ilegal que los ISPs puedan ser obligados a instalar semejante
'trampa' en sus máquinas. Para el ACLU la cuarta enmienda prohibiría
tal cosa, ya que prohibe el acceso a los contenidos, incluida la
'subject' del mensaje, el cual es ya contenido.

El FBI ya no necesita ni a Kevin Mitnick, que aunque salió de prisión
en enero, sólo desde el día 10 de Julio la Juez Federal Marianne
Pfaelzer le permite contestar a algunas de las ofertas de trabajo
recibidas, alguna de ellas en el campo de la seguridad informática; e
incluso, ya puede escribir sobre materia tecnológica y hablar en
público, ya lo ha hecho en la KFI, radio de Los Angeles.

Lástima no le preguntaran su opinión sobre Carnívoro. Total, por cosas
similares él fue a la cárcel, en cambio otros, ni siquiera dimiten.


Eusebio del Valle - Madrid
evalle@hispasec.com



martes, 11 de julio de 2000

Los datos de "Gran Hermano" al descubierto

El concurso televisivo Gran Hermano ha conseguido superar todos los
récords de audiencia en España, pero desgraciadamente en esta ocasión
toma protagonismo al verse publicados en una página web todos los
datos de las personas que se presentaron a las pruebas de selección.
Además según ha podido comprobar Hispasec, Zeppelin TV, la productora
del concurso presentaba un gran número de vulnerabilidades en su
servidor.
Desde el fin de semana datos personales de los concursantes de Gran
Hermano y de todos los que se presentaron a las pruebas de selección
del conocido programa de Tele 5 han quedado al descubierto en una
página web alojada en Alemania con un mirror en otro dominio
portugués. Ambas máquinas , servidores NT Server con múltiples
vulnerabilidades, fueron empleadas como meros discos duros donde
alojar la información.

El uso de las máquinas para almacenar estas bases de datos,
distribuidas en formato Access, hacía que fuera necesario acceder a la
página empleando únicamente la dirección IP, (195.145.2.69). En la
página se podía visualizar el siguiente mensaje: "Gran Timo! Los
secretos del Gran Hermano, al descubierto!!! Mostramos que algunos de
los personajillos estos están haciendo lo que les dice que hagan desde
la plataforma Zeppelin. Para los fans!!!! Aquí tienen algunos datos de
los que han entrado en la casa!!!" (...) ". La página aparecía firmada
por un grupo que se hacen llamar "The evil hackers from the hell".

Estos sistemas aun siguen con las vulnerabilidades comentadas, a
través de las cuales se puede: provocar la parada del servidor,
utilizarlo como pasarela/proxy para atacar otras máquinas, visualizar
el fuente de las paginas ASP, descargar y crear ficheros en cualquier
directorio del sistema, leer y modificar los parámetros de las bases
de datos, y ejecutar código arbitrario, en resumen, control total de
la maquina.

Pero éstos no son los únicos problemas que se han encontrado en
relación al polémico concurso. El problema puede ir mucho más lejos,
pues según ha podido comprobar Hispasec el servidor corporativo de
Zeppelin TV, la productora del programa y auténtica responsable de
todo lo referente a él, es toda una fuente de problemas de seguridad.

Este servidor, una máquina con Windows NT 4.0 Server con Internet
Information Server, dispone de un servidor de correo a través del cual
los empleados envían los mensajes y en los cuales consta la IP de
dicho servidor. La gravedad del problema radica en que sobre dicha
intranet no existe ningún firewall o medida de seguridad que garantice
la protección de los datos que en él se alojan.

También parece que el servidor se vió sometido durante todo el
transcurso del programa a diferentes tipos de ataques. En una ocasión
llegaron a modificar el registro del DNS en network-solutions, hecho
que pudo ser solucionado convenientemente antes de que causará mayores
problemas gracias al envío del mensaje de confirmación al contacto
administrativo. A partir de este hecho, la productora decidió alojar
el servidor web del popular concurso (http://www.granhermano.com) al
servidor de Terra.

Según ha podido confirmar Hispasec, Zeppelin TV ya está informada de
todos estos problemas, y junto con Secuware está tratando de
solucionar en el menor plazo posible todos los problemas de su
servidor. En la actualidad, para evitar nuevos problemas, el servidor
está desconectado y no responde ninguna petición.

Los supuestos intrusos parecen tener predilección por las plataformas
de Microsoft, ya que tanto los dos servidores donde hospedaron la base
de datos sustraída como el servidor de Zeppelin TV eran Windows NT. Lo
cual indica que conocen perfectamente las vulnerabilidades que pueden
presentar este tipo de sistemas y han sabido explotarlas tanto para la
sustracción como para el alojamiento de dicha información.

También resulta reprochable el comportamiento de los sitios donde se
alojó la base de datos. A día de hoy, aunque restaurada la página y
borrada la base de datos, siguen con las mismas vulnerabilidades y
cualquiera puede atacarlas con éxito de nuevo.

Más información:

Secuware:
http://www.secuware.com

Gran Hermano:
http://www.granhermano.com

Zeppelin TV:
http://www.zeppelintv.com




Antonio Ropero
antonior@hispasec.com



lunes, 10 de julio de 2000

Vulnerabilidad en "Big Brother"

Con un simple navegador es posible acceder, de forma remota, a
cualquier fichero de los servidores que tengan instalado el
sistema de monitorización "Big Brother", en sus versiones 1.4h
y anteriores.
"Big Brother" es un sistema para monitorizar la disponibilidad de los
servicios de red en entornos Unix/Linux, Windows NT, Novell y MacOS.
Una serie de clientes locales chequean los distintos servicios y
permiten visualizar los resultados a través de una página web o
lanzar avisos a los administradores en caso de alarmas.

Todas las versiones 1.4h y anteriores de "Big Brother" son vulnerables
a un ataque remoto aprovechando la conocida vulnerabilidad basada en
"/../" para escalar directorios y acceder a trayectorias fuera del
ámbito del servidor web público. Mediante esta vulnerabilidad es
factible visualizar, con un simple navegador, cualquier directorio o
fichero del sistema, incluyendo los que almacenan las contraseñas.

Ejemplo:
http://www.server.com/cgi-bin/bb-hostsvc.sh?HOSTSVC=/../../../../../../../../etc/passwd

BB4 ha facilitado una nueva versión, 1.4h2, que evita este problema,
disponible en:

http://www.bb4.com/download.html

Más información:

Big Brother System and Network Monitor
http://www.bb4.com/

SecurityFocus
http://www.securityfocus.com/vdb/?id=1455




Bernardo Quintero
bernardo@hispasec.com



domingo, 9 de julio de 2000

"Búfer abierto", nueva sección en Hispasec

En esta sección tendrán cabida las contribuciones que los lectores
de Hispasec hagan llegar, a través de la dirección bufer@hispasec.com,
a modo de noticias y artículos.
Siempre con el tema de la seguridad informática como telón de fondo,
"Búfer abierto" brinda la oportunidad a los usuarios de Hispasec de
publicar cualquier contenido que quieran compartir con el resto de la
comunidad.

Noticias de actualidad, artículos en profundidad, investigación,
proyectos universitarios, desarrollos, opinión, teóricos, prácticos,
todo tiene cabida, siempre y cuando cumpla con unos requisitos
mínimos, de forma que su redacción permita interpretarlos
adecuadamente y su contenido, dentro del ámbito de la seguridad
informática, sea considerado de interés.

El formato utilizado por defecto en las entregas será texto sin
enriquecer, si bien se aceptará cualquier otro formato reconocible.
No existe limitación en la longitud, y en los casos que lo requiera
podrá acompañarse de ficheros adjuntos, como gráficos, códigos
fuentes, u otros elementos adicionales que considere oportuno el
autor. Así mismo, se recomienda la inclusión de un apartado final con
enlaces a modo de referencias y/o bibliografía, para facilitar a los
lectores profundizar en los temas tratados.

Los artículos deberán estar firmados con nombre y apellido, dirección
electrónica, ciudad, y pueden contener cargo y organización a la que
pertenece el autor. En cualquier caso, no se aceptarán contenidos
basados en productos o servicios comerciales con un fin puramente
publicitario.

Para hacer llegar sus contribuciones, dudas, o comentarios sobre
"Búfer abierto", deberán dirigirse a:

bufer@hispasec.com




Redacción Hispasec
redaccion@hispasec.com



Ataques de denegación de servicio contra Windows 2000

Múltiples puertos y servicios de Windows 2000 presentan
vulnerabilidades de denegación de servicio que pueden permitir a un
usuario malicioso lograr un sencillo ataque que por el cual la CPU
alcanzará el 100% de utilización.
Mediante el envío de ceros a determinados puertos de Windows 2000 un
atacante podrá lograr el 100% de la utilización de la CPU. Los puertos
que se han encontrado vulnerables al ataque incluyen los puertos TCP
7, 9, 21, 23, 7778 y los UDP 53, 67, 68, 135, 137, 500, 1812, 1813,
2535, 3456.

Lo que agrava aun más el problema es la extrema sencillez con la que
es posible reproducir la vulnerabilidad. Desde un sistema Linux
mediante el uso de la utilidad netcat con una entrada de /dev/zero,
por ejemplo con un comando como «nc maquina.objetivo 21 < /dev/zero»
si se ataca uno de los puertos TCP o bien «nc -u maquina.objetivo 53
< /dev/zero» para un puerto UDP.

Un ataque similar se puede producir si un atacante lo emplea contra el
puerto de telnet. Windows 2000 Server incluye un servidor de telnet
para proporcionar acceso remoto a la consola. Si un usuairo malicioso
reproduce el anterior ataque, el servicio fallará, auqnue si se
encuentra activada la opción de reinicio automático el servicio
arrancará de nuevo. El ataque se puede reproducir de forma continuada
hasta que el número máximo de fallos/reinicios se produzca, momento en
el cual el servicio se desactivará.

Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1414
http://www.securityfocus.com/vdb/bottom.html?vid=1415




Antonio Ropero - Madrid
antonior@hispasec.com



sábado, 8 de julio de 2000

Vulnerabilidades con Extensiones de Servidor de FrontPage 2000

Todos los sitios web que tengan instaladas las Extensiones de Servidor
de FrontPage 2000 exponen la información de la ruta física real en que
se encuentra instalado el servidor web. Si bien esto no puede
calificarse como vulnerabilidad grave si puede permitir la
construcción de ataques más elaborados.
Las extensiones de servidor exponen la información de la ruta cuando
se producen errores al acceder a determinadas dlls relacionadas con
las extensiones. Por ejemplo, se conseguirá la ruta al acceder a un
archivo inexistente a través de «_vti_bin/shtml.dll».

Si se introduce la URL:
http://sistema_vulnerable/_vti_bin/shtml.dll/noexiste.htm
se obtendrá el mensaje de error:
"Cannot open D:\Inetpub\virtuals\servidor\noexiste.htm: no such file
or folder."

Por otra parte, si de forma repetida se establecen un gran número de
conexiones a la librería shtml.dll, las Extensiones de Servidor de
FrontPage utilizarán el 100% de los recursos disponibles. Para
recuperar la actividad normal será necesario reiniciar la aplicación.

Para corregir el problema Microsoft publicará la Version 1.2 de las
Extensiones de Servidor de FrontPage 2000.

Más información:

Securityfocus:
http://www.securityfocus.com/vdb/?id=1435

NTSecurity:
http://www.ntsecurity.net/go/loader.asp?iD=/security/fp2000-2.htm

Extensiones de Servidor FrontPage:
http://officeupdate.microsoft.com/downloadCatalog/dldfrontpage.asp




Antonio Ropero
antonior@hispasec.com



viernes, 7 de julio de 2000

El Parlamento Europeo votó por la investigación de Echelon

Lo hizo el miércoles 5, en Estrasburgo, bajo la presidencia francesa y
respaldada por la mayoría de los miembros de la UE. Se formará un
grupo de trabajo (comité) que investigará la conducta de Estados
Unidos y su aliado Británico por el uso de satélites para el espionaje
industrial en y contra la industria europea.
Los cargos siempre han sido negados tanto por Estados Unidos (George
Tenet, director de la CIA lo hizo en el congreso de su país) como por
Reino Unido (país que ahora deberá resolver a quien es leal, si a sus
vecinos o a sus primos norteamericanos, australianos, canadienses y
neozelandeses ya que al parecer todos están implicados); la existencia
del propio Echelon también ha sido siempre negada.

Pero para periodistas como Duncan Campbell el uso de Echelon para
interceptar la información que corre por teléfonos, faxes y correo
electrónico, de las compañías europeas y ser puesta posteriormente a
disposición de compañías norteamericanas, es un hecho; y algún miembro
del grupo X-Ploits manifiesta públicamente y sin complejos conocer a
gente que ha trabajado para Echelon. Se dice, incluso, que tanto
Airbus (en favor de McDonnell-Douglas), como el consorcio francés
Thomson-CSF (Thomson es una empresa de armamento y estrategia) han
perdido algún que otro contrato importante en favor de sus rivales
norteamericanos como consecuencia de la existencia de Echelon.

A partir de ahora el comité del Parlamente Europeo creado a tal fin
tendrá un año para demostrarlo y recoger todo tipo de pruebas, el
problema es que no va a tener poder vinculante para forzar
comparecencia de testigos, ya que se argumenta, por parte de la UE, no
entrar en el fondo por estar abierta la vía judicial en Francia, y
parece que le seguirá Alemania . A disposición de ello estará,
también, el servicio de contraespionaje francés (DST).

Así pues parece que Francia, desde que asumió la presidencia de la UE
promete luchar por la privacidad de los ciudadanos.

Dije parece?, dije bien, sólo parece.

Ya que dos días antes de asumir la responsabilidad de la presidencia,
Francia aprobaba una ley "pro filtro" que prohibe también el
anonimato, es la "Ley de libertad audiovisual", votada el 28 de junio,
y en vigor en breve en este país, cargará de responsabilidades a los
proveedores de servicios y webmasters, criminaliza determinados
comportamientos en la red, y restringe la libertad de expresión, por
ejemplo:
En su art. 46.7, 46.8, 46.9 obliga a los proveedores a guardar la
información de sus usuarios, identificarlos, y lo peor en el 46.10 ya
que se deduce que esos datos no están explícitamente protegidos contra
el uso comercial. Las personas tienen la obligación de identificarse
antes de publicar cualquier cosa, se permite el seudónimo si se han
registrado en su proveedor.

Los ingleses, en este caso, siguen la misma línea con su Regulation of
Investigatory Powers Bill (RIP), legislación que ha levantado ya a
casi todos los grupos en la red en contra de ella, como a Amnistía
Internacional, the Broadcasting Union (BECTU), Cyber Rights & Cyber
Liberties, Feministas contra la censura, El colegio de abogados de
Londres, Liberty, the Library Association, MSF, UNISON, y alguno más
que se me olvida; por supuesto lo propios proveedores los primeros ya
que adecuarse a la ley les va a costar unos 20 millones de libras.

Así pues, si franceses e ingleses están bastante de acuerdo en
controlar la red, ¿será que todo esto de Echelon no tiene mucho que
ver con la privacidad sino con el bussines?, c´est la vie.

Más información:

Sobre el voto del parlamento, Echelon (inglés):
http://www.guardianunlimited.co.uk/uk_news/story/0,3604,339897,00.html

El País(español):
http://www.elpais.es/p/d/20000706/internac/echelon.htm

Texto completo de la "Ley de libertad audiovisual" francesa (francés) PDF:
http://www.assemblee-nationale.fr/2/2textes-a.html

Sobre el RIP (inglés):
http://www.silicon.com/a38414






Eusebio del Valle - Madrid
evalle@hispasec.com



jueves, 6 de julio de 2000

Problemas con la DRAM en los Palm IIIc, IIIxe y Vx

Los Palm IIIc, IIIxe y Vx fabricados entre octubre de 1999 y mayo de
2000 pueden verse afectados por una pérdida generalizada de datos
debido a que incorporan unos chips de memoria defectuosos.
Los PDAs (Asistentes Personales Digitales) de la marca Palm en sus
modelos IIIc, IIIxe y Vx, con fechas de fabricación entre octubre de
1999 y mayo de 2000, pueden verse afectado por una perdida de datos
generalizada. La causa del problema se debe a la instalación en estos
dispositivos de unos chips de memoria DRAM (Dynamic Random Access
Memory) de 8 MB fabricados por la empresa Micron, y que venían
defectuosos.

Con el fin de dar una solución rápida y efectiva a todos sus clientes,
la citada firma ofrece una página web donde, mediante la introducción
del número de serie de la unidad, podrán averiguar de forma inmediata
si se encuentran afectados por el problema. En cuyo caso podrán
bajarse un parche que lo elimina por completo. En la actualidad se
pueden encontrar parches para los modelos Palm IIIc y Palm Vx, se
espera que en breve se pueda acceder al parche para el modelo IIIxe.

A pesar de todo, la compañía afirma que más del 97% de las unidades
distribuidas, lo que incluye modelos de 2 y 4 Mbytes, no presentan
este error, y todos los componentes con este problema han sido
retirados del proceso de fabricación. Los fallos se presentarán en la
agenda telefónica, lista de trabajos pendientes, calendario y entrada
de datos.

Mas Información:

Test y parches:
http://www.palm.com/support/dram

Test y parches (español):
http://palmsupport.conxion.com/spanish/

Nota de prensa:
http://www.palm.com/europe/es_spanish/newspromo/pressreleases/000628_palmpatch.html




Antonio Román - Málaga
antonio_roman@hispasec.com



miércoles, 5 de julio de 2000

BEA WebLogic expone el código fuente de los archivos

El servidor WebLogic contiene un grave fallo de seguridad que ofrece a
cualquier atacante la posibilidad de conseguir el código fuente de las
páginas alojadas en él.
WebLogic es un servidor web comúnmente empleado junto con un servidor
de transacciones en entornos de altas prestaciones basados en java.
Este servidor se ve afectado por una vulnerabilidad por la que un
atacante puede conseguir la visualización del código fuente de
cualquier página alojada en el servicio web, con los problemas de
seguridad que puede conllevar.

Por ejemplo, en un servidor afectado por la vulnerabilidad, un archivo
jsp (Java Server Pages) con url http://servidor.afectado/login.jsp
puede ver su código expuesto si se accede a ella mediante la dirección
http://servidor.afectado/file/login.jsp.

Entre las medidas recomendadas para tratar de evitar el problema se
recomienda no emplear la configuración de demostración en servidores
de explotación, ya que el problema se produce por un servlet incluido
con la distribución y que permite la posibilidad de mostrar cualquier
archivo que se le indique.

En la configuración por defecto, en el archivo weblogic.propierties
existe una entrada que registra el servlet con el nombre virtual
«file».

weblogic.httpd.register.file=weblogic.servlet.FileServlet
weblogic.httpd.initArgs.file=defaultFilename=index.html
weblogic.httpd.defaultServlet=file

Para evitarlo es conveniente editar dicho archivo y registrar el
servlet con un nombre aleatorio, que no pueda ser conocido por un
atacante. Por ejemplo, se puede registrar el servlet como «serv12ej»
de la siguiente forma:

weblogic.httpd.register.serv12ej=weblogic.servlet.FileServlet
weblogic.httpd.initArgs. serv12ej =defaultFilename=index.html
weblogic.httpd.defaultServlet= serv12ej

También se puede registrar el servlet mediante caracteres comodín para
que únicamente muestre las extensiones que se desee. Por ejemplo, de
la siguiente forma se ofrecerán los archivos de extensión html.

weblogic.httpd.register.*.html=weblogic.servlet.FileServlet
weblogic.httpd.initArgs.*.html=defaultFilename=index.html
weblogic.httpd.defaultServlet=*.html

Más información:

FoundStone:
http://www.foundstone.com/FS-062100-4-BEA.txt

Weblogic:
http://www.weblogic.com/docs51/admindocs/lockdown.html
http://www.weblogic.com/docs51/admindocs/http.html#file

NT Security:
http://www.ntsecurity.net/go/loader.asp?iD=/security/weblogic1.htm




Antonio Ropero
antonior@hispasec.com



martes, 4 de julio de 2000

Múltiples ataques de denegación de servicios

Se han detectado vulnerabilidades de denegación de servicios que
afectan a distintos servicios y servidores, en concreto se resultan
vulnerables Winproxy en sus versiones 2.0.0/2.0.1, Dragon Server 1.0 y
2.0, Small HTTP Server versión 1.212 y AnalogX SimpleServer v1.05.
En primer lugar Winproxy, un software de proxy gratuito para sistemas
Windows 95/98/2000/NT,. resulta vulnerable ante ataques DoS en sus
versiones japonesas 2.0.0/2.0.1. Una vez más este tipo de ataques por
desbordamiento de buffer puede llegar a causar la caída del sistema e
incluso dar lugar a una posterior ejecución de código malicioso en la
máquina atacada.

El desbordamiento ocurre cuando un usuario remoto realiza una petición
al WinProxy superior a 312 bytes. Por ejemplo USER+username(315 byte),
producirá la caida del sistema y el borrado de la EIP.

Otro de los sistemas vulnerables a ataques de denegación de servicios
es Dragon Server 1.0 y 2.0. Si un atacante abre una sesión de telnet o
ftp en un servidor afectado y durante el proceso de autentificación
envía como nombre de usuario una cadena de 16.500 caracteres puede
conseguir hacer caer el sistema.

Por otra parte, el servidor web Small HTTP Server en su versión 1.212
también se ve afectado por un ataque por denegación de servicios.
Cuando un atacante solicita una url de 65.000 caracteres (a través del
comando GET) puede causar la caída del servidor.

Por último, AnalogX SimpleServer se ve afectado por un ataque por
denegación de servicio en su versión 1.05 cuando recibe una url
compuesta por una gran cantidad de caracteres, lo que de igual forma
puede hacer caer el servicio.

Mas información:

LAC:
http://www.lac.co.jp/security/foreign/index.html

Shadow Penguin Security:
http://shadowpenguin.backsection.net/

NTSecurity:
http://www.ntsecurity.net/go/load.asp?iD=/security/dragon1.htm
http://www.ntsecurity.net/go/load.asp?iD=/security/smallhttp1.htm
http://www.ntsecurity.net/go/load.asp?iD=/security/analogx1.htm



Antonio Román
antonio_roman@hispasec.com



lunes, 3 de julio de 2000

El Proyecto P3P y la privacidad de datos (y II)

Ahora, en Junio de este año la polémica continúa. Los grupos de defensa de
la privacidad se preguntan, al aprender de la historia, que si los
navegadores permitían/permiten por defecto el traceado del usuario,
opinan/temen que con P3P ocurrirá más de lo mismo. Los navegadores por
defecto traerán un bajo nivel de privacidad y pasará algún tiempo hasta que
los usuarios se den cuenta.
De hecho, no es sólo una opinión, y ello está fundada en los resultados de
los diferentes estudios que se realizan sobre hábitos de usuarios. Estos
estudios revelan no ya que el usuario es poco consciente de su privacidad,
sino, también, hablan de la dificultad que tienen, la mayoría de usuarios,
para cambiar las configuraciones de sus navegadores. Es decir, campo abonado
para el P3P.

Para los de Junkbusters el P3P es un auténtico fracaso (informe de 21 de
Junio de 2000), ya que no establece un estándar de privacidad, ni se adecua
a la legislación norteamericana en esta materia.

*Críticas

La industria, que lo avala, dice que el P3P solventa problemas de
privacidad; pero para los grupos defensores de la misma, el problema no está
en elegir sino en no abandonar parcelas de privacidad.

Se critica también que el P3P excluye de los navegadores algunos sites que
por no recibir su protocolo no son accesibles a los usuarios, incluso aunque
y normalmente sus medidas de protección de datos, sean mayores y más
respetuosas con el usuario.

El P3P aboga por una autorregulación en materia de privacidad y protección
de datos. Sobre las mieles de la autorregulación queda poco que opinar, casi
todo se ha dicho ya, sólo cabe posicionarse.

Para los autores del informe el P3P no ahonda ni avanza en el campo de la
privacidad o protección de datos, para estos los desarrolladores de tal
tecnología no tienen "conciencia del problema". Es decir, insinúan, que la
creación y desarrollo de tal tecnología va dirigida a otros fines, (tal vez
comerciales).

Se preguntan también que ocurrirá con dicho protocolo en aquellas
jurisdicciones donde no exista una ley de protección de datos.

P3P, para estos grupos, lo que hace realmente es retrasar otros esfuerzos
destinados a una real protección de la privacidad. Microsoft, Netscape/AOL
trabajan en su implementación, y según estos grupos, el interés es muy
claro, dichas compañías gastan una buena cantidad de dinero anualmente para
obtener datos, que luego les pueden ser útiles a la hora de vender sus
productos; así pues, según algunos autores, dichas empresas, son las más
interesadas en un bajo nivel de privacidad, ya que ahorrarían costes.

El P3P no satisface a las jurisdicciones donde la protección de datos es
algo más que una materia legal, siendo algo cultural. Así, la Unión Europea
rechazó enérgicamente dicho protocolo ya en 1998 (Enero), y como directiva a
tener en cuenta recordemos la 95/46/EC, para toda la Unión Europea, además
de legislaciones nacionales. Y por tanto la adopción de tal protocolo en la
nueva generación de navegadores podría traer serios problemas a las webs
europeas y a su comercio online.

Lo cierto es que después de tres años de desarrollo, las pruebas y
cancelaciones han sido numerosas, los gobiernos son remisos (Europa a la
cabeza), y peor aún, los consumidores no lo demandan, tal vez por que ya
tienen experiencia con las cookies, (de hecho configurar el navegador para
que no las acepte convierte el paseo por la web en un auténtico tormento de
mensajes continuos, sobre si se permite o no se permite la pesada cookie),
con P3P la situación promete empeorar.

Y lo cierto es que, además de las leyes, existen otras muchas maneras de
preservar nuestra privacidad, velar por nuestros datos, viajar anónimamente,
o pseudoanónimamente, pero si limitando lo que mostramos de nosotros mismos,
hay maneras de inhabilitar las cookies con poco o nada de esfuerzo, webs que
facilitan dicho trabajo, filtros de HTML, etc, etc.

Más información:

Visión Oficial de P3P, con numerosos enlaces incluso opuestos al protocolo,
y acceso al informe de Junkbusters, todo en inglés:
http://www.w3.org/P3P/

Herramientas y prácticas de anonimato, y privacidad:
http://www.epic.org/privacy/tools.html




Eusebio del Valle
evalle@hispasec.com



domingo, 2 de julio de 2000

El Proyecto P3P y la privacidad de datos (I)

El proyecto P3P (Platform for Privacy Preferences Project), está siendo
desarrollado por el World Wide Web Consortium, (conocido también como W3C),
y en principio se presenta como una ayuda para mejorar la privacidad de los
usuarios en la WWW, pretende estandarizar la industria del sector y
automatizar la vía para que los usuarios tengan el control sobre sus datos
personales o la información que recogen las webs visitadas. El problema es
que no todos piensan que el P3P es una solución efectiva. Es más, las
críticas sobre tan confuso protocolo arrecian; así, por ejemplo, acaba de
salir, en esa línea, el informe de Junkbusters, avalado por el mismísimo
EPIC (Electronic Privacy Information Center).
*Introducción e Historia

P3P se presenta a sí mismo como una manera para que el usuario pueda
controlar la información que las webs pueden obtener de él, y ello se
realizaría mediante un formulario, que será a la vez fuente de información y
límite para las web-sites visitadas. Se supone que las web-sites no podrán
almacenar dicha información en formato legible (se omite la palabra
cifrado), y se supone que otros navegadores y usuarios no podrán acceder a
esa información personal que llevaríamos adherida en nuestros paseos por la
web. Para defensores de tal proyecto P3P, este método impulsaría a los
usuarios a controlar sus propias políticas de privacidad de datos, mediante
un formulario sencillo de entender. Para los demás, se eluden los principios
de la OCDE, que eran simples y uniformes para la privacidad online, y
elabora un indice de "elecciones" que el usuario deberá hacer sobre la
recolección y uso de sus datos personales.

Para ello, (W3C), está desarrollando un lenguaje específico para uso
inter-webs, que permitirá, por ejemplo, saber si el usuario accede a sus
propios datos, recogerá datos físicos, datos sobre compras, que
organizaciones tendrán/tienen acceso a esos datos, y en definitiva lo que
algunos ya comienzan a denominar como "la madre de todas las cookies".

El informe pone el siguiente ejemplo para que se entienda mejor el
funcionamiento de P3P. Imaginemos a "Joe Surfer que configura su P3P, de
manera que no revele la dirección de su vivienda a ninguna web, a menos que
desee comprar un producto y quiera que se lo lleven a casa. Cuando Joe
Surfer quiera conectar con una web (de esas tan populares y magnificas) que
requiera la apertura de la dirección de su vivienda, el P3P de Joe bloqueará
el acceso de su navegador a dicha web. Cuando llegue a otra de esas
estupendas web a las que todo el mundo va y también requiera la dirección de
su casa, Joe, de nuevo, no podrá visitarla. Y al final o abandona o permite
que todos sepan la dirección de su casa."

El problema de la privacidad y protección de datos, no es nuevo, ni el
proyecto P3P tampoco, de hecho ha habido ya varios proyectos y borradores
rechazados. Recordemos, por ejemplo, que en 1998 en la 23 reunión del IWG
en Hong-Kong, el 15 de abril, en las actas de dicha reunión se podía
observar como el proyecto P3P producía recelos fundados, argumentándose que
"existen aspectos que deben ser clarificados en relación con la seguridad,
calidad de datos, períodos de retención de información...acceso y
rectificación", y se añadía que:

1) La tecnología por si misma nunca podrá ser solución para garantizar la
privacidad en la Web, se necesita,a demás un marco legal, código de
conducta, auditorías independientes y recursos legales para el individuo.

2) "Cualquier usuario debería tener la opción de visitar una Web de forma
anónima".

3) Necesidad del "consentimiento previo e informado del afectado como paso
previo al tratamiento de sus datos".

4) Se consideraba de vital importancia realizar seguimiento del proyecto
P3P.

Esta fue, la posición común del IWG, ya en 1998, sobre Tecnologías Avanzadas
de Privacidad (PET). En el fondo, no hacían sino adaptarse a las guías de la
OCDE (Organización para la Cooperación y Desarrollo Económico) de 1980,
sobre privacidad, motores de búsqueda como herramientas susceptibles de ser
usadas en la explotación masiva de datos (data-mining), robots en webs, y
asuntos relacionados.

Para grupos como Junkbusters, o el mismo EPIC, antes de obtener un protocolo
técnico para la protección de la privacidad sería necesario comprender la
naturaleza legal y ética de dicha privacidad, lo que para el derecho
norteamericano supondría el control, y uso de la información personal que
otros tienen sobre nosotros. Pero también la OCDE, en sus ya mencionadas,
Guidelines on the Protection of Privacy and Transborder Flows of Personal
Data, mantiene una postura similar, buscando una transparencia y lealtad en
el uso de tales datos.

Se mantiene que la privacidad es de tal importancia que no se debería dejar
al individuo regular, elegir o negociar tal tema, sobre todo por que estaría
en clara desventaja en dicha negociación, al menos la gran mayoría de los
usuarios de Internet.

Como precursor del P3P están las famosas cookies, que diga lo que se diga,
además, también son una forma de obtener perfiles de usuarios, una forma de
relacionar una IP con determinadas webs, o una forma de relacionar
determinados enlaces con el lugar de donde se viene, o a donde se va. Con la
decisión de Netscape de permitir marcar el navegador con información de
interés para la web visitada, desde luego el usuario perdió algo de libertad
a la hora de navegar, y lo cierto es que aún hoy día, no está muy claro las
medidas de control sobre las cookies, y se asume, por quien está interesado
en asumir tal cosa, que el usuario medio es consciente de ellas y de lo que
significan.

Más evolucionado que el sistema de las cookies se presentó el sistema de
banners, que permitía saber de donde, a donde y que querías. DoubleClick es
la exponente máxima de este sistema, y en este caso si que afronta un
procedimiento legal, además por otros asuntos, por su conducta invasiva.

Lejos de afrontar una solución se dio como respuesta la pasividad, o la
interesada indolencia y en contra de lo que el Internet Engineering Task
Force, (RFC 2109 ), proponía, Netscape, Microsoft (que le siguió) y la
mayoría de constructores de navegadores continuaron en esa línea.
Curiosamente son las mismas empresas que avalan al P3P.

(Continúa).




Eusebio del Valle
evalle@hispasec.com