jueves, 31 de mayo de 2001

Informe de la Comisión Europea sobre el cibercrimen

Cryptome.org ha publicado el texto integro del informe sobre delitos en el
ciberespacio que será presentado en la próxima sesión plenaria del comité
europeo sobre delitos, a celebrar del 18 a 22 de junio de 2001.
Este informe ha sido desarrollado por una comisión de expertos (Comité
europeo de crímenes en el ciberespacio) se compone de dos partes: por un
lado, el borrador de la convención sobre el crimen en Internet y por el
otro el borrador de un memorándum acerca los problemas originados por el
crimen en Internet

Esta convención tiene como objetivo facilitar un marco común que sirva
para la unificación de las políticas relacionadas con los delitos en el
ciberespacio de los diferentes países miembros de la Unión Europea.

Los delitos tipificados son agrupados en dos grandes marcos: medidas a
tomar a nivel nacional y medidas que requieren la cooperación
internacional.

Entre los primeros se describen los siguientes delitos:

* Acceso ilegal
* Intercepción ilegal
* Interferencia de datos
* Interferencia de sistemas
* Mala utilización de dispositivos
* Falsificación de datos
* Fraude (alteración, supresión o borrado de datos y interferencias con el
funcionamiento normal de los sistemas).
* Delitos relacionados con la pornografía infantil
* Delitos relacionados con la infracción del copyright y derechos
relacionados

Dentro del apartado de medidas que precisan de una cooperación a nivel
internacional se describen los principios generales relacionados con la
extradición, indicando que los delitos tipificados en el apartado de
medidas de carácter nacional deben ser incluidos en la relación de delitos
que permiten la extradición. Igualmente se indica la importancia de la
cooperación entre las fuerzas del orden de los diversos países miembros.

Por otra parte, la convención describe los recursos que debe aportar cada
país en vistas a garantizar la fluidez de la cooperación internacional.



Xavier Caballé
xcaballe@quands.com


Más información:

Committee of Experts on Crime in Cyber-Space
Final activity report. Draft convention on cyber-crime and explanatory
memorandum related thereto:
http://cryptome.org/cycrime-final.htm
http://conventions.coe.int/treaty/EN/projets/cybercrime27.doc

Versión original de esta noticia (en catalán):
http://www.quands.com/html/euro-informe.html



miércoles, 30 de mayo de 2001

A vueltas con Sulfnbk.exe

A primeros de mes nos hacíamos eco de un hoax que empezaba a causar la
alertarma generalizada entre muchos usuarios, a pesar de aquel aviso son
muchos los usuarios que aun nos preguntan sobre la realidad o falsedad
del aviso de Sulfnbk.exe y en otros casos sobre los pasos a seguir para
restaurarlo. Vamos a tratar de poner luz sobre todas estas cuestiones.
Son muchos los mensajes y consultas que recibimos de forma diaria acerca
de la autenticidad de sulfnbk.exe. Como ya explicamos el día 10 de mayo,
en http://www.hispasec.com/unaaldia.asp?id=928, los usuarios reciben un
mensaje por el cual se les insta a comprobar la existencia de dicho
ejecutable en su disco duro, y en caso de existir eliminarlo de forma
inmediata ya que se trata de un virus.

Pero tal archivo no es ningún virus, sino un archivo del sistema que
permite salvar y restaurar los nombres largos de los ficheros si han
sido reemplazados por el formato
corto compatible con MS-DOS (8.3). El hecho de que muchos de los
usuarios detecten este fichero en sus sistemas, cuya existencia y
utilidad no son muy conocidas, provoca que el "hoax" sea más creíble.
Alertados por el suceso reenvían el bulo a sus contactos y la cadena de
histeria colectiva sigue aumentando.

También hay que advertir las diferencias entre el hoax, es decir, el
mensaje que dice que el archivo sulfnbk.exe del disco duro es un virus y
la llegada de dicho ejecutable como adjunto en un mensaje e-mail.
Mientras que la existencia del archivo en el disco duro no debe levantar
ninguna sospecha ni es indicativo de que sea un virus, por el contrario,
la llegada de dicho archivo en un correo sí debe alertar al usuario ya
que seguramente se tratará de un archivo infectado por Magistr.

Son muchos los usuarios que han caído en el hoax y han borrado este
ejecutable, para todos los que lo eliminaron y desean recuperarlo pueden
proceder de la siguiente forma:

Localizar el archivo Precopy1.cab en el CD de Windows 98 CD en el
directorio Win98. Mediante alguna utilidad como Winzip abrir dicho
archivo para localizar en su interior el ejecutable Sulfnbk.exe y
extraerlo para copiarlo a su directorio original (C:\Windows\Command).
También se puede extraer el archivo de la polémica empleando la utilidad
Extract del sistema operativo, con la instrucción
EXTRACT /Y /L c:\windows\command PRECOPY1.CAB SULFNBK.EXE



Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (10/05/2001) Sulfnbk.exe, historia de un virus inexistente:
http://www.hispasec.com/unaaldia.asp?id=928



martes, 29 de mayo de 2001

Ataque de denegación de servicio sobre el CERT

La pasada semana, el CERT (Computer Emergency Response Team) sufrió un
ataque de denegación de servicio, durante casi 36 horas.
El CERT es una organización norteamericana fundada a raíz del caos
ocasionado por el "gusano de Morris" en 1.989, que hizo patente la
necesidad de disponer de un centro de coordinación de incidentes de
seguridad.

El ataque fue del tipo "flood", o saturación de tráfico, comparable a
los realizados sobre numerosos sitios web de gran relevancia, en Febrero
de 2.000.

Este nuevo ataque demuestra lo difícil que es protegerse de un ataque
DoS (denegación de servicio) de este tipo, con la infraestructura de red
actual.

Hispasec publicó un extenso artículo sobre el tema en Febrero de 2.000,
cuya lectura sigue siendo altamente recomendable. La URL se muestra al
final de este boletín.

Se incluye también la URL de un artículo de Mercè Molist, en la misma
línea.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT Coordination Center
http://www.cert.org/

Internet warning system attacked
http://news.cnet.com/news/0-1003-202-6016900.html

Hackers claim the ultimate scalp
http://www.guardianunlimited.co.uk/Print/0,3858,4192487,00.html

[HACK] DDoS al CERT
http://mailman.argo.es/pipermail/hacking/2001-May/000356.html

Ataques masivos. ¿Es tan fiero el león como lo pintan?
http://www.argo.es/~jcea/artic/hispasec44.htm



lunes, 28 de mayo de 2001

Parche de Microsoft para Windows Media Player

Microsft publica un parche para cubrir dos vulnerabilidades existentes
en el procesador de archivos ASX de Windows Media Player. Se ven
afectadas las versiones Windows Media Player 6.4 y 7 que permiten a un
atacante la ejecución de código en el sistema vulnerable.
La primera de las vulnerabilidades consiste en un desbordamiento de
búfer en el procesador de archivos ASX (ficheros de streaming de vídeo).
Este problema es una variante de un desbordamiento previamente
identificado y parcheado el pasado año. El tipo de archivos ASX permite
a los usuarios reproducir «streaming» de vídeo alojado en Internet (o en
una Intranet) y permite el uso de listas de reproducción. Sin embargo el
código que interpreta los archivos ASX se ve afectado por un
desbordamiento de búfer que puede ser explotado por un atacante para
ejecutas código en el sistema vulnerable.

El segundo de los problemas hace relación a la forma en que este
reproductor multimedia interpreta los atajos de Internet a la carpeta
temporal. Esta segunda vulnerabilidad posibilita a un código html
almacenado y lanzado a través de una página web o e-mail que se
ejecutará en la Zona Local del Explorer posibilitando la lectura de
archivos del sistema afectado.

Microsoft publica los parches correspondientes para paliar este
problema. Para Windows Media Player 6.4 se pueden descargar de:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29921

Mientras que para Windows Media Player 7 basta con actualizar a la
versión 7.1 que no es vulnerable:

http://download.microsoft.com/download/winmediaplayer/wmp71/7.1/W982KMe/EN-US/mp71.exe



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft (MS01-029):

http://www.microsoft.com/technet/security/bulletin/ms01-029.asp



domingo, 27 de mayo de 2001

Vulnerabilidad BGP en routers Cisco

Cisco ha hecho pública un actualización de su sistema operativo IOS que
soluciona una vulnerabilidad en la gestión del protocolo BGP.
BGP (Border Gateway Protocol - protocolo de pasarelas de frontera) es un
protocolo a través del cual las diferentes redes que componen Internet
intercambian información topológica que permite una visión homogenea y
cohesionada de la red de redes.

La vulnerabilidad, detectada a gracias a un problema de funcionamiento
de la implementación BGP de otro fabricante, ocasiona corrupción de
memoria y puede provocar el cuelgue del router. La única solución al
problema consiste en la actualización del software IOS de los routers.

Los routers Cisco que necesitan actualizar su software IOS son las
series: AGS/MGS/CGS/AGS+, IGS, RSM, 800, ubr900, 1000, 1400, 1500, 1600,
1700, 2500, 2600, 3000, 3600, 3800, 4000, 4500, 4700, AS5200, AS5300,
AS5800, 6400, 7000, 7200, ubr7200, 7500 y 12000.

En la página web de Cisco que se muestra a continuación se proporciona
información detallada de versiones de IOS y versiones de routers
afectadas.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS BGP Attribute Corruption
Vulnerability
http://www.cisco.com/warp/public/707/ios-bgp-attr-corruption-pub.shtml



sábado, 26 de mayo de 2001

Grave vulnerabilidad en la implementación x86 de Solaris

Sun ha hecho público un grave problema de seguridad que afecta a las
implementaciones Solaris para las plataformas x86.
Solaris es la implementación Unix de Sun Microsystems, conocido
fabricante de estaciones de trabajo y servidores Unix (amén del popular
lenguaje de programación Java). Aunque su plataforma nativa son los
procesadores RISC SPARC, existen versiones de Solaris disponibles
también para plataformas x86.

La versiones de Solaris posteriores a la 2.5.1, para plataformas x86,
contienen un grave problema de seguridad que permite que un atacante
malicioso pueda acceder a memoria kernel arbitraria.

El problema es debido a que la arquitectura Intel i386 soporta un
modelo de segmentación y protección que permite diferentes niveles de
privilegios. Esto puede permitir que un atacante que construya argumentos
de forma cuidadosa acceda a más privilegios de los pretendidos lo cual
puede ser empleado para controlas direcciones arbitrarias en la memoria
del kernel.

Las versiones afectadas, como ya se ha dicho son:

Solaris 2.6 (x86)
Solaris 7 (x86)
Solaris 8 (x86)

Las versiones previas de Solaris, y las versiones SPARC, no son
vulnerables.

Sun también ha publicado los parches necesarios para las versiones
vulnerables:

Solaris 2.6 105182-27 (disponible el 18 de Junio de 2.001)
Solaris 7 106542-16
Solaris 8 108529-07
TS7 109597-05 (disponible pronto)
TS8 110338-02 (disponible pronto)


Jesús Cea Avión
jcea@hispasec.com


Más información:

SunSolve
http://sunsolve.sun.com/



viernes, 25 de mayo de 2001

Vulnerabilidad en switches Cisco Catalyst 2900XL

Cisco Catalyst Switches (CCS) en su versión 2900XL se ve afectado por un
ataque de denegación de servicios, que puede dar lugar a a reiniciar el
concentrador de Cisco.
La función del conmutador de Cisco, es la de segmentar una gran red con
la finalidad de facilitar el tráfico y conseguir un menor consumo de
ancho de banda a la vez de crear y mantener VLANs (redes privadas
virtuales) en redes Ethernet.

Si el switch de Cisco tiene SNMP (Simple Network Management Protocol)
deshabilitado y un atacante envía una serie de paquetes UDP (User
Datagram Protocol) nulos contra el puerto SNMP (en este caso el 161)
podrá causar una ralentización del servicio. El problema podrá llegar a
provocar al reinicio del dispositivo afectado. La caída del switch sólo
se produce cuando este se arranca con el protocolo SNMP inhabilitado.

Cisco no ha dado ninguna información al respecto de este problema, hasta
el momento la solución pasa por habilitar SNMP, o incluso encenderlo con
el protocolo SNMP activo para luego pasar a desactivarlo. El problema
sólo se produce cuando el conmutador se enciende con el protocolo
desactivado.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Cisco Catalyst Switches allow DoS
http://www.securitywatch.com/scripts/news/list.asp?AID=7670



jueves, 24 de mayo de 2001

Problema de seguridad en la aplicación mailx de Solaris

La aplicación "mailx" de Solaris contiene un desbordamiento de búfer en
la gestión del parámetro "-F", que permite ejecutar código arbitrario en
una máquina. Dicho código se ejecutará con los privilegios con los que
se ejecuta "mailx" que, típicamente, es SETGID al grupo "mail".
"mailx" es un sencillo cliente de correo electrónico, en línea de
comandos.

La vulnerabilidad afecta a todas las versiones Solaris desde la 2.5,
inclusive, tanto en la versión SPARC como x86. Para saber si somos
vulnerables, podemos escribir algo del estilo:

mailx -F "python -c 'print "a"*1220' "

o bien

mailx -F "perl -e 'print "a"x1220' "

Si aparece un error de "bus error" o similar, somos vulnerables.

Conseguir ejecutar código SETGID "mail" permite, como mínimo, acceso
ilimitado a los buzones de correo de otros usuarios. Bajo algunas
versiones de Solaris existen directorios y ficheros adicionales
accesibles como grupo "mail", pudiendo, a través de su manipulación,
escalar privilegios hasta nivel de superusuario; por ejemplo, 2.5.1,
directorio "/etc/mail".

Mientras Sun no publica un parche oficial, la opción recomendada es
eliminar el programa "mailx" o quitarle el modo SETGID.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Solaris mailx -F Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/2610



miércoles, 23 de mayo de 2001

Vulnerabilidad en el demonio FTP de Solaris

Las versiones actuales de los demonios FTP de Solaris son vulnerables a
varios ataques.
Esta alerta contiene información complementaria a la alerta temprana
"Graves vulnerabilidades en múltiples demonios FTP", publicada el 10 de
Abril de 2.001, a través del servicio comercial de alertas de Hispasec.
La noticia en "una-al-día" se publicó el 13 de Abril de 2.001.

Esta alerta se centra en el servidor FTP distribuido con el
sistema operativo Solaris. Fue distribuida a través del servicio de
alerta temprana de Hispasec el 18 de Abril de 2.001.

El servidor FTP de Solaris puede ser utilizado para ataques DoS
(denegación de servicio), consiguiendo que una conexión FTP consuma una
gran cantidad de memoria y CPU. Lanzando varias sesiones concurrentes,
la velocidad de respuesta del sistema puede degradarse
considerablemente, debido a la carga extrema de CPU. Adicionalmente el
consumo exagerado de memoria puede ocasionar graves problemas de
rendimiento, al utilizar el "swap" y, en el caso extremo, puede bloquear
el sistema si el espacio "swap" se llena.

El problema se localiza en la expansión de máscaras con comodines, y
ante la presencia de componentes recursivos en la expansión solicitada
y/o en el sistema de archivos sobre el que se realiza la expansión.

Existe otro ataque, de desbordamiento de búfer, que podría suponer la
ejecución de código arbitrario en el servidor. El problema se localiza
en la gestión del comando "LIST". La explotación de esta vulnerabilidad
parece bastante complicada y no se tiene noticia de ningún caso hasta el
momento; la consecuencia normal es la muerte de la sesión FTP en curso,
sin otro impacto sobre el servidor u otras sesiones concurrentes.

Es posible un tercer tipo de ataque: es posible generar un "core dump"
del proceso FTP. Dicho "core dump" puede ser accesible a usuarios
locales, y puede contener información sensible, como el contenido del
fichero "/etc/shadow", normalmente no accesible a los usuarios del
sistema.

Este último ataque puede utilizarse también, por un atacante remoto,
para discernir la existencia de un usuario determinado en el sistema.

Solución:

En el momento de escribir esta alerta, SUN no ha publicado todavía una
actualización del servicio FTP. Existen, no obstante, varias
posibilidades paliativas:

a) Deshabilitar el servicio FTP por completo.

Para ello basta eliminar el servicio del macrodemonio "inet".

b) Permitir el acceso al servicio exclusivamente a usuarios de
confianza.

Esto se controla por cortafuegos, "TCP Wrappers" o prohibiendo el
acceso "anónimo" y dejando solo cuentas de confianza.

c) Limitación de los recursos disponibles al proceso.

Una posibilidad relativamente simple consiste en modificar el
macrodemonio "inet" para que no lance el servicio FTP directamente,
sino que lance un "wrapper" cuyo trabajo sería configurar la sesión
con unos límites de consumo de recursos razonables (en memoria y
en CPU) y, a continuación, invocar el servicio FTP.

De esta manera las sesiones FTP tendrían configurados unos límites
en el uso de los recursos, y cualquier proceso que intentase
sobrepasarlos sería eliminado del sistema automáticamente con un
"kill".

El dimensionamiento de estos límites depende de las condiciones de
uso del sistema, por lo que no es posible ofrecer una orientación
genérica. Una posibilidad sería estudiar el consumo de memoria
de los demonios FTP con un "uso" normal, y configurar el límite
al doble, por ejemplo.

Más información en el manual del comando "ulimit", accesible con
"man ulimit". También "man setrlimit".

En cuanto a la segunda vulnerabilidad, no existe ninguna solución hasta
que SUN publique un parche. Una solución paliativa sería la ejecución
del servicio FTP dentro de un entorno CHROOT. Más información en "man
chroot".

Hay que señalar, no obstante, que si el atacante *no* puede crear
directorios ni ficheros en el sistema, el ataque no es factible. Una
solución posible sería, por ejemplo, el usar el servicio FTP sólo para
lectura, sin posibilidad de escritura.

Por último, el tercer problema puede eliminarse configurando el "inet" o
el "FTP" para que no generen un "core dump", o para que lo hagan con
unos permisos que lo conviertan en inaccesible para los usuarios
normales del sistema. Más información en "man ulimit" y "man umask".

La determinación de usuario existente/inexistente no se puede eliminar
hasta que SUN publique una actualización de seguridad.



Jesús Cea Avión
jcea@hispasec.com


Más información:

13/04/2001 - Graves vulnerabilidades en múltiples demonios FTP
http://www.hispasec.com/unaaldia.asp?id=901

Solaris ftpd glob() Expansion LIST Heap Overflow Vulnerability
http://www.securityfocus.com/bid/2550

COVERT-2001-02: Globbing Vulnerabilities in Multiple FTP Daemons
http://www.securityfocus.com/advisories/3202

NAI:20010409 Globbing Vulnerabilities in Multiple FTP Daemons
http://www.pgp.com/research/covert/advisories/048.asp

CERT:CA-2001-07
http://www.cert.org/advisories/CA-2001-07.html



martes, 22 de mayo de 2001

Hispasec publica su comparativa de productos antivirus

Recientemente anunciábamos la realización de la tercera comparativa de
productos antivirus realizada por Hispasec. Esta comparativa que ya se
ha convertido en todo un clásico puede consultarse on-line en
http://www.hispasec.com/comparativa2001.asp.
La comparativa se divide en varias partes, en primer lugar se realiza un
repaso a todo lo ocurrido en materia vírica a lo largo del pasado año.
En este apartado recordamos la incidencia del famoso I Love You, sin
olvidar la importancia de otros gusanos como "LifeStages" o el más que
conocido "Hybris" o "Blancanieves".

Una novedad respecto a otros años es la inclusión de una serie de
entrevistas realizadas a importantes representantes del mundo vírico, en
sus dos vertientes. Por el lado de los desarrolladores contamos con las
opiniones de dos representantes de excepción que nos ayudan a repasar la
actualidad y el futuro más inmediato que nos puede deparar el mundo de
los virus informáticos. Para ello contamos con Mikel Urizarbarrena,
presidente de Panda Software y con Eugene Karspersky, presidente de AVP.
Pero para completar la serie de entrevistas no podemos olvidarnos del
"otro lado". para lo cual contamos con la opinión de "Zulu", un prolífico
creador de virus, del que entre sus creaciones podemos destacar el conocido
gusano "Life_Stages".

Estas entrevistas sirven para dar paso a la comparativa de productos, a
la que hemos titulado "Antivirus para un mundo real". En ella, el equipo
técnico de Hispasec ha realizado un total de 10 pruebas destinadas a
comprobar el comportamiento de los productos ante situaciones reales.

Como es habitual en nuestros tests, algunas de las pruebas son
totalmente novedosas y nunca realizadas por ningún sistema de evaluación
de software antivirus, y nos han permitido conocer las carencias que
presentan gran parte de los productos. Las pruebas realizadas han sido
las siguientes:

* Instalación del antivirus en un entorno hostil, es decir, instalar el
antivirus en un sistema que ya se encuentra infectado por un virus.

* Atención inmediata al usuario, en la que hemos evaluado los servicios
de atención telefónica durante las 24 horas del día y los siete días de
la semana.

* Atención al usuario por correo electrónico. En esta prueba enviamos un
mensaje a los servicios de atención al usuario y evaluamos el tiempo que
tardó en llegar la respuesta.

* En la prueba de detección de un virus modificado se creó un virus de
laboratorio Win32 a partir de un espécimen conocido con objeto de poner
a prueba los motores de detección heurística de los productos.

* La quinta prueba está destinada a evaluar el impacto que producen los
módulos residentes de los diferentes productos en el trabajo diario del
usuario.

* Para evaluar el soporte al usuario de las diferentes firmas realizamos
nuestra clásica prueba de envío de un nuevo virus desconocido a cada
unos de los laboratorios para analizar el tiempo de respuesta y las
vacunas realizadas.

* En toda comparativa de productos antivirus no puede faltar el clásico
test de detección de colecciones de virus. La séptima de nuestras
pruebas enfrentó a los productos ante diferentes series de troyanos,
virus de macro, binarios y virus de Internet.

* En nuestra comparativa se pone a prueba la detección de la llegada de
un virus en un archivo comprimido en un formato de compresión clásico,
como zip o arj. Evaluando un total de hasta 13 formatos diferentes de
compresión.

* La novena prueba podemos considerar que es la primera vez que se
realiza en cualquier comparativa y está destinada a evaluar la capacidad
del antivirus de detectar un virus comprimido por un compresor de
ejecutables (utilidades devuelven un ejecutable comprimido pero
totalmente funcional). Para esta prueba se han empleado ocho compresores
diferentes (como aspack, cexe o petite) y ha desvelado una de las
grandes carencias de los productos antivirus.

* Por último, Hispasec ha evaluado la detección de la llegada de
material vírico a través de clientes Internet como son el Internet
Explorer o el Outlook Express.

Los productos elegidos para someterse a esta completa batería de pruebas
han sido los nueve siguientes: AVP, F-Secure, InocutaleIT, Norman,
Norton, Platinum, PC-Cillin, Sophos, VirusScan.

Los resultados de estas pruebas son altamente interesantes y sin duda
permitirán a todos los lectores descubrir que producto antivirus se
adapta mejor a sus necesidades. La comparativa se puede consultar en la
dirección http://www.hispasec.com/comparativa2001.asp.



Antonio Ropero
antonior@hispasec.com


Más información:

Comparativa de antivirus del año 2000:
http://www.hispasec.com/comparativa2000.asp

Comparativa de antivirus del año 2001:
http://www.hispasec.com/comparativa2001.asp

PC Actual:
http://www.pc-actual.com


lunes, 21 de mayo de 2001

Actualización urgente de Apache, versión Windows y OS/2

La fundación Apache acaba de hacer pública la versión 1.3.20 del
servidor web Apache, que corrige varias vulnerabilidades en la versión
Windows y OS/2.
Apache es el servidor web más popular del mundo, disponible de forma
gratuita y con código fuente en una amplia variedad de plataformas
informáticas. Según la última encuesta de NetCraft (Abril 2.001), Apache
representa casi el 63% de los servidores web de Internet.

La versión 1.3.20 del servidor Apache corrige diversas vulnerabilidades
en la implementación Windows y OS/2. La más importante de ellas permite
que un atacante malicioso puede construir una URL capaz de provocar un
"error de protección general" en el servidor, matando el servicio. El
ataque no puede ser utilizado para acceder a información o ejecutar
código en el servidor, sino simplemente como ataque de denegación de
servicio (DoS).

La fundación Apache publicó un parche binario para la versión 1.3.19 de
Windows y OS/2 Warp el pasado 12 de Mayo. Poco más de una semana más
tarde, Apache publica una versión completa actualizada.

Los administradores de servidores Apache bajo Windows (95, 98, ME, NT y
2000) u OS/2 deben actualizar sus instalaciones a la versión 1.3.20. Los
administradores Apache bajo entornos Unix no necesitan actualizar con
urgencia, aunque puede ser recomendable ya que se incluyen algunas
mejoras.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Welcome to the Apache HTTP Server Project:
http://httpd.apache.org/

Changes with Apache 1.3.20:
http://httpd.apache.org/dist/httpd/CHANGES_1.3

The Netcraft Web Server Survey:
http://www.netcraft.com/survey/



domingo, 20 de mayo de 2001

Microsoft publica el Service Pack 2 para Windows 2000

Microsoft ha publicado el Service Pack 2 para Windows 2000, este
conjunto de parches proporciona las últimas actualizaciones para la
familia de sistemas operativos Windows 2000.
Los Service Pack son el conjunto de actualizaciones más conocido y
demandado por los usuarios de los sistemas operativos de Microsoft.
Estas actualizaciones consisten en una colección de parches en las áreas
de fiabilidad del sistema operativo, compatibilidad de aplicaciones,
configuración y seguridad. Este SP 2 incluye todas las versiones de los
parches para todas las vulnerabilidades de seguridad descubiertas en
Windows 2000 hasta la fecha de cierre del desarrollo del Service Pack.
Es decir, como viene a ser habitual en este tipo de actualizaciones
Windows 2000 SP2 incluye las actualizaciones contenidas en Windows 2000
Service Pack 1.

Los parches de seguridad para Internet Explorer 5.5 no están incluidos
en este SP 2. Sin embargo, sí se han incluido los parches de seguridad
contenidos en el Service Pack 2 para Internet Explorer 5.01. Otra de las
acciones que lleva a cabo este nuevo Service Pack es la ampliación del
sistema a cifrado de 128 bits. Microsoft destaca que es imposible
desinstalar o inhabilitar esta característica, incluso en el caso de que
se llegue a desinstalar el SP2 Windows 2000 seguirá empleando cifrado de
128 bits. Este cifrado se emplea en todos los servicios que hagan uso de
cifrado, como Kerberos, Encrypting File System, RAS, RPC, SSL/TLS,
CryptoAPI, Terminal Services RDP e IPSec.

Por el momento, el Service Pack 2 para Windows 2000 cuya instalación se
recomienda sólo se encuentra disponible para los idiomas inglés y alemán
en la dirección:
http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/sp2lang.
asp



Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Windows 2000 SP2 now available:
http://www.microsoft.com/technet/security/w2ksp2.asp


sábado, 19 de mayo de 2001

Encuesta de Seguridad Informática 2001

La consultora Ernst & Young ha realizado una encuesta entre diversas
empresas europeas, entre las que se incluyen algunas empresas españolas,
para conocer cuáles son sus preocupaciones en lo referente a la seguridad
informática.

La encuesta se realizó telefónicamente, entre octubre y noviembre de 2000,
entre los directores de sistemas de información y otros ejecutivos de
empresas en países de toda Europa. En total, se completaron un total de
273 entrevistas y las respuestas fueron analizadas de forma anónima por
una reputada firma de investigación de mercado. El objetivo de la encuesta
ha sido averiguar cuál es la visión empresarial sobre el riesgo
informático y la seguridad de las compañías en la economía conectada.

Algunas de las principales conclusiones de esta encuesta son:

* El 75% de las empresas manifiestan tener planes de continuidad del
negocio, pero sólo un tercio los ha puesto a prueba.

* Los miedos a la inseguridad continúan siendo el mayor inhibidor a la
expansión del comercio electrónico.

* Sólo el 33% de los encuestados están muy seguros de que podrían
detectar un ataque de hackers.

* Los sistemas críticos para el negocio continuarán fallando. Cerca del
75% de las empresas han experimentado fallos en los sistemas decisivos
para el negocio en el último año.

* Más de la mitad de las compañías que participan en la encuesta admiten
no disponer de una estrategia clara en comercio electrónico y no obstante
acometen significativas actividades en e-business.

Si nos centramos en los aspectos de seguridad, el 80% de las empresas
europeas encuestadas han manifestado no haber experimentado un ataque por
intrusión durante el pasado año, aunque sólo un 33% de las mismas se han
mostrado muy confiadas en su capacidad de detectar un ataque informático.
No obstante, la falta de presupuesto impide en muchos casos la realización
de ataques controlados ("hacking ético") por parte de empresas de
seguridad, con lo que no se dispone de medios para comprobar la posible
existencia de vulnerabilidades.

Otro aspecto que pone de manifiesto la encuesta es que la seguridad de los
sistemas de información está muy ligada al desarrollo de estrategias de
e-business. Así un 66% de los encuestados cita la seguridad y los asuntos
relacionados con la privacidad de los datos como uno de los principales
impedimentos para el desarrollo del comercio electrónico.

Los retos a los que se enfrentan las empresas europeas para poder
conseguir unos niveles de seguridad informática óptimos pasan por la
elaboración de estrategias, en las que la consideración del factor humano
es primordial. De esta forma, para el 56% de los encuestados, la
concienciación de los empleados, en materia de seguridad informática, es
el primer desafío que las compañías deben considerar. Le siguen las
herramientas o soluciones de seguridad, con el 44% de respuestas; la
disponibilidad de personal apto, con un 40%; el presupuesto, con un 37% de
respuestas y por último con un 26% al apoyo de la dirección.

Otro de los hallazgos de la encuesta se refiere a la seguridad y confianza
que las empresas europeas otorgan a proveedores externos a la hora de
subcontratar servicios en materia de seguridad informática. Así, tan sólo
el 37% de los encuestados se muestran satisfechos con su experiencia de
externalización.

Las principales fuentes de insatisfacción que las compañías tienen, una
vez que han contratado con terceros servicios en materia de seguridad, se
refieren al nivel de servicios, con un 78% de las respuestas, seguido de
la escasa capacidad de respuesta, con un 58% y por no alcanzar las
expectativas esperadas, con un 53%. En cuanto a las funciones de negocio
o los servicios que se externalizan son fundamentalmente el hospedaje
mediante fórmulas ISP o ASPs, con un 39% de respuestas, y con el mismo
porcentaje las aplicaciones de las Tecnologías de la Información.



Xavier Caballé
xcaballe@quands.com


Más información:

Informe de Ersnt & Young. Encuesta de Seguridad Informática 2001:
http://www.ey.com/global/vault.nsf/Spain/Encuesta_España_Seguridad_Informática_2001/$file/Seguridad%20Informatica.pdf

Versión original de esta noticia (en catalán):
http://www.quands.com/html/enquesta2001.html



viernes, 18 de mayo de 2001

Enfrentamiento entre los EEUU y la UE por la protección de datos

La comisión europea obligará a empresas de terceros países fuera del
ámbito de la UE a acatar un modelo de contrato, que será de obligado
cumplimiento para el buen fin de la transmisión de datos de usuarios
entre empresas.
A todo esto las instituciones norteamericanas han contestado con la
negativa de acatar cualquier tipo de contrato que haga a sus empresas
someterse a cualquier ley que no sea la norteamericana.

Este contrato venidero deberá de cumplir las normas de privacidad
comunitarias, y será de obligado cumplimiento y suscripción entre
importador y exportador. Es de recordar y a la vez de agradecer la
mayor rigidez de las leyes comunitarias en lo referente a los datos
de sus ciudadanos, frente a las más suaves y de tendencia más
liberalizadora de los EEUU.

A las 45 empresas norteamericanas que voluntariamente decidieron
someterse a las leyes de la UE, desde el pasado mes de julio hasta el
presente mes de Mayo, se le ha unido un importante amigo de viaje, el
todopoderoso Microsoft. Aún así, es insignificante el numero de
empresas que voluntariamente se han adherido a la norma europea.

Mal enemigo tenemos los europeos y mucho me temo que al final
terminaremos cediendo como siempre ante nuestros "socios"
norteamericanos.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

La UE y EE UU se enfrentan de nuevo por la protección de datos en
Internet:
http://www.cincodias.es/scripts/cincodias/noticias/articulo.asp?ntc=222202&ap=2&sec=40&pos=60&query=20

Principio de acuerdo entre Europa y Estados Unidos sobre
protección de datos:
http://www.hispasec.com/unaaldia.asp?id=507

La UE actúa para proteger los datos de sus ciudadanos:
http://www.hispasec.com/unaaldia.asp?id=707

Recelos en Europa por el plan de protección de datos estadounidense:
http://www.hispasec.com/unaaldia.asp?id=179



jueves, 17 de mayo de 2001

Gusano Mawanella, más de lo mismo

Otro gusano escrito en Visual Basic Script infecta miles de
ordenadores en pocas horas. En esta ocasión se presenta en un mensaje
con el asunto "Mawanella" y el fichero adjunto "Mawanella.vbs".
Apenas una semana después de la aparición en escena de "Homepage", nos
encontramos con un espécimen cortado por el mismo patrón, hasta el
punto de estar diseñado con el mismo kit de creación. Por ejemplo, si
el sistema de cifrado de "Homepage" consistía en sumar 2 al código
ASCII de los caracteres, "Mawanella" suma 5.

Resulta extremadamente sencillo reconocer la llegada del gusano, que
viaja en un mensaje con las siguientes características:

Asunto: Mawanella
Cuerpo: Mawanella is one of the Sri Lanka's Muslim Village
Adjunto: Mawanella.vbs

Si se ejecuta el fichero infectado, el gusano crea una copia de sí
mismo en la carpeta de sistema de Windows y activa la ya típica
rutina de propagación, que no es otra que autoenviarse a todas las
direcciones de la libreta de contactos de Outlook. Además el gusano
muestra una ventana con el título "VBScript: Mawanella", donde se
representa con caracteres una casa ardiendo, bajo la cual se puede
leer el siguiente texto:

Mawanella is one of the Sri Lanka's Muslim Village. This brutal
incident happened here 2 Muslim Mosques,100 Shops are burnt. I
hate this incident, What about you? I can destroy your computer.
I didn't do that because I am a peace-loving citizen.

El colmo del gusano es que si detecta que el sistema no tiene
instalado Microsoft Outlook, y por tanto no puede llevar a cabo su
rutina de propagación, pide directamente al usuario que reenvíe el
mensaje a través del texto:

Please Forward this to everyone

Lo más sorprendente de "Mawanella" es la propagación que ha
conseguido. Parece que son muchos los usuarios que siguen sin poder
reprimir la tentación de abrir todo aquello que les llega a través
del correo electrónico.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Gusano Homepage, ¿vuelven a fallar los antivirus?
http://www.hispasec.com/unaaldia.asp?id=927

AVP
http://www.avp.ru/news.asp?tnews=0&nview=1&id=188&page=0

CAi
http://www3.ca.com/Press/PressRelease.asp?id=1586

F-Secure
http://www3.ca.com/Press/PressRelease.asp?id=1586

NAi
http://vil.nai.com/vil/virusSummary.asp?virus_k=99090

Norman
http://www.norman.com/virus_info/vbs_vbswg_z.shtml

Sophos
http://www.sophos.com/virusinfo/analyses/vbswgz.html

Symantec
http://www.sarc.com/avcenter/venc/data/vbs.vbswg2.z@mm.html

Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_VBSWG.Z



miércoles, 16 de mayo de 2001

Microsoft no publicará más Service Packs para Windows NT

Microsoft ha anunciado que no publicará el Service Pack 7, la más
esperada de las actualizaciones para el sistema operativo Windows NT.
Microsoft planeaba publicar este Service Pack en el tercer cuatrimestre
de este año, sin embargo considera que su publicación no es necesaria.
Según Microsoft los usuarios han reportado que el Service Pack 6a, el
último publicado, tiene una gran estabilidad, por lo que consideran que
no es necesario la publicación de un nuevo Service Pack.

Microsoft confirma su intención de seguir publicando los parches y
actualizaciones necesarias para problemas puntuales siempre que sea
necesario, tal y como lo ha realizado hasta la actualidad. Sin embargo,
la ausencia de publicación del Service Pack hace más necesaria, si cabe,
la actualización periódica mediante todos los parches publicados.

Por otra parte Microsoft anuncia que seguirá proporcionando Service
Packs para Windows 2000 de forma regular.

Otro punto en el que se debe prestar atención es en las nuevas
instalaciones de Windows NT. Los Service Pack ayudan a realizar las
instalaciones de forma rápida, al bastar con instalar el último SP y
unos pocos parches, pero ahora será necesario instalar el SP 6a y una
cantidad creciente de parches, que deberán ser instalados siempre en el
orden preciso de aparición, ya que en caso contrario podrán aparecer
problemas de recesión.

Esta postura por parte de Microsoft puede considerarse como un primer
paso de abandonar el soporte a Windows NT en favor de Windows 2000.
Muchos administradores y usuarios sólo actualizan los sistemas mediante
la instalación de los Service Pack, ya que muchos de ellos confían más
en este tipo de actualizaciones que en los parches individuales o
simplemente les resulta más cómodo. Por esta decisión dichos usuarios
dejarán sus máquinas vulnerables a un gran número de ataques.

Con esta postura toma mucho más valor la última actualización publicada
por Microsoft, que presentaba todas las funcionalidades de todos los
parches de seguridad publicados hasta la fecha tanto para IIS 5.0 como
para IIS 4.0 desde el Service Pack 5 para Windows NT 4.0. Un total de 22
parches en el caso de IIS 4.0 y 16 en el caso de IIS 5.0.



Antonio Ropero
antonior@hispasec.com



martes, 15 de mayo de 2001

Importante actualización de IIS 4.0 y 5.0

Microsoft y el CERT han publicado sendos boletines para informar de la
existencia de una serie de vulnerabilidades al Internet Information Server
(IIS), el servidor web incluido en los sistemas operativos Microsoft
Windows NT 4.0 y Microsoft Windows 2000 Server.
Una de las vulnerabilidades descritas es de una especial importancia ya
que puede permitir a una atacante remoto ejecutar mandatos en el servidor
web. Por ello, Microsoft y el CERT recomiendan a todos los administradores
la aplicación urgente de las actualizaciones publicadas.

El boletín de Microsoft describe tres vulnerabilidades:

* La primera vulnerabilidad permite a un atacante remoto la ejecución de
mandatos en el servidor afectado. Esta vulnerabilidad es debida a la
existencia de un mecanismo adicional y superfluo de análisis de la URL
recibida en el paquete HTTP. Si la URL está codificada de una determinada
forma, este mecanismo adicional de análisis puede permitir a un atacante
saltarse los mecanismos de protección y ejecutar mandatos del sistema
operativo en cualquier directorio del disco. La ejecución de estos
mandatos se hace bajo el contexto de seguridad del usuario
IUSR_nombre-máquina.

* La segunda vulnerabilidad está relacionada con el servicio FTP y puede
ser utilizada por un atacante remoto para lanzar un ataque de denegación
del servicio contra el servidor.

* La tercera vulnerabilidad facilita a los atacantes la identificación
que las cuentas de usuario invitado accesibles mediante FTP.

Estas tres vulnerabilidades afectan tanto a Microsoft Internet Information
Server 4.0 como a Microsoft Internet Information Server 5.0. Las
actualizaciones están disponibles en:

Microsoft IIS 4.0

http://www.microsoft.com/Downloads/Release.asp?ID=29787

Microsoft IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ID=29764

Estas actualizaciones son especiales ya que no sólo incluyen los parches
necesarios para eliminar los problemas descritos en el boletín de
Microsoft sino que, también, incluyen otros parches publicados previamente
de forma separada.

Así, la actualización para IIS 4.0 incluye la funcionalidad de los
diversos parches publicados con posterioridad al Service Pack 5.0 de NT
4.0 que tienen relación con el IIS. Por lo que respecta a la actualización
de IIS 5.0, incluye tdos los parches que se han publicado hasta la fecha
para IIS 5.0

Esto hace que la instalación de estas actualización sea todavía mucho más
recomendable.



Xavier Caballé
xcaballe@quands.com


Más información:

Boletín de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS01-026.asp

Aviso del CERT:
http://www.cert.org/advisories/CA-2001-12.html

Aviso de los descubridores de la vulnerabilidad de IIS:
http://www.nsfocus.com/english/homepage/sa01-02.htm

Versión original de esta noticia (en catalán):
http://www.quands.com/alertes/html/ms01-026.html



lunes, 14 de mayo de 2001

Information Security Conference 2001

Del 1 al 3 de octubre de este año tendrá lugar en Málaga, España, la
cuarta edición de esta prestigiosa conferencia internacional sobre
seguridad informática. A continuación, el 3 y 4 de octubre, se
celebrará en el mismo emplazamiento el "I Simposio Español sobre
Negocio Electrónico". El plazo para la presentación de ponencias
en dichos eventos finaliza el próximo 25 de mayo.
Las primeras jornadas se celebraron en Japón durante 1997 en el
JAIST (Japan Advanced Institute of Science and Technology), en 1999
se trasladaron a Kuala Lumpur, Malasia, y la última edición tuvo
lugar el año pasado en Wollogong, Australia. En esta ocasión la
ciudad elegida ha sido la capital de la Costa del Sol, a cuyo
encanto turístico hay que sumar el Parque Tecnológico de Andalucía
y la Universidad de Málaga, principales motores que la convierten
en un marco excelente para abordar proyectos relacionados con las
nuevas tecnologías.

Aquellas personas interesadas en participar en la Information
Security Conference 2001 tienen de plazo hasta el 25 de mayo para
la presentación de las ponencias. Todos los detalles se pueden
encontrar en http://www.isconference.org/cfp.html

Simultáneamente a la celebración del ISC´01, el Departamento de
Lenguajes y Ciencias de la Computación de la Universidad de
Málaga organizará el "I Simposio Español sobre Negocio
Electrónico". El Simposio trata de cubrir unos objetivos acordes
a la realidad técnica y legal que actualmente estamos viviendo
en el mundo del Comercio y Negocio Electrónico. El despegue de
ambos será posible si se puede respaldar con un factor de
seguridad adecuado, algo que sólo se puede conseguir con el
concurso paralelo de las soluciones técnicas y legales a nivel
global.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Information Security Conference 2001
http://www.isconference.org

I Simposion Español de Negocio Electrónico (SNE´01)
http://polaris.lcc.uma.es/SNE/

Call for Papers Information Security Conference `01
http://www.isconference.org/cfp.html

Universidad de Málaga
http://www.uma.es

Parque Tecnologíco de Andalucía
http://www.pta.es

Japan Advanced Institute of Science and Technology
http://www.jaist.ac.jp



domingo, 13 de mayo de 2001

Estudio sobre la gestión del riesgo en la banca electrónica

El Bank for International Settlements, una organización de ámbito
internacional que promueve la cooperación entre los bancos centrales y
otras agencias con el objetivo de garantizar la estabilidad monetaria y
financiera, ha publicado un estudio sobre la gestión del riesgo en la
banca electrónica.
El objetivo del estudio es identificar los principales riesgos a los que
deben enfrentarse las entidades financieras que ofrecen servicios de
banca electrónica, básicamente por Internet. El informe también facilita
una serie de consejos en vistas a reducir el impacto de los diversos
riesgos identificados.

En especial, el informe señala la necesidad de que las entidades
refuercen los controles de seguridad en vistas a garantizar el correcto
desarrollo de la banca electrónica. El informe deja muy claro que esta
debe ser una de las prioridades de cualquier entidad financiera y
establece las responsabilidades dentro de la estructura organizativa.

Concretamente, los controles de seguridad que deben garantizarse en
cualquier operación son:

x Autenticación.
x El no repudio de las acciones por parte de cualquier usuario o parte
implicada en algún punto del proceso.
x Integridad de las transacciones y los datos
x Segregación de las responsabilidades
x Controles de autorización
x Mantenimiento de las pistas de auditoría
x Confidencialidad de la información sensible

Igualmente, se hace énfasis en la necesidad de utilizar mecanismos de
autenticación fuertes, como pueden ser los certificados digitales, para
la identificación de los usuarios y la firma de las acciones realizadas.



Xavier Caballé
xcaballe@quands.com


Más información:

Resumen ejecutivo del informe

http://www.bis.org/publ/bcbs82.htm

Versión completa del informe (formato PDF)

http://www.quands.com/pdf/Risk_Mngmt_Prin_e_Banking.pdf



sábado, 12 de mayo de 2001

Un gusano afecta a sistemas Solaris y Microsoft IIS

Se están reportando diversas alertas sobre un nuevo gusano, conocido
como sadmind/IIS, que emplea vulnerabilidades ya conocidas y parcheadas
para reproducirse y modificar páginas web. El gusano afecta a versiones
sin actualizar adecuadamente de Microsoft IIS y de Solaris hasta Solaris
7 (incluida).

Este gusano explota una vulnerabilidad en los sistemas Solaris para
posteriormente instalar un software capaz de atacar servidores web con
Microsoft Internet Information Server. Además, incluye un componente
para propagarse a si mismo de forma automática a otros sistemas Solaris
vulnerables. Añadirá "+ +" al archivo .rhosts para terminar por
modificar el index.html en el sistema Solaris después de haber
comprometido los sistemas IIS.

Para comprometer los sistemas Solaris el gusano toma provecho de una
vulnerabilidad de desbordamiento de búfer ya antigua, conocida y
parcheada desde hace ya dos años, en el programa Solstice sadmind.

Tras el compromiso del sistema Solaris, el gusano emplea una
vulnerabilidad en los sistemas IIS para atacar a estos otros servidores.
Por cada sistema Solaris infectado el gusano modificará 2.000 servidores
web basados en IIS. La vulnerabilidad en los ISS es la conocida por el
uso de caracteres unicode para ejecutar programas en la máquina. Se
trata de un problema con siete meses de antigüedad y también con los
parches adecuados publicados.

Las páginas modificadas por este patógene mostrarán el siguiente
mensaje:
fuck USA Government
fuck PoizonBOx
contact:sysadmcn@yahoo.com.cn

Por su parte los sistemas Solaris comprometidos muestran, entre otras
características, un rootshell escuchando en el puerto TCP 600, se habrán
creado los directorios /dev/cub con un listado de las máquinas
comprometidas y /dev/cuc con las herramientas empleadas por el gusano
para actuar y propagarse y se encontrarán en ejecución los procesos de
los scripts asociados al gusano, como:
/bin/sh /dev/cuc/sadmin.sh
/dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 111
/dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80
/bin/sh /dev/cuc/uniattack.sh
/bin/sh /dev/cuc/time.sh
/usr/sbin/inetd -s /tmp/.f
/bin/sleep 300

Los sistemas convenientemente actualizados no se verán afectados por
este gusano. En cualquier caso los parches a instalar para evitar el
ataque son los siguientes:

Para Internet Information Server 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q277873
Para Internet Information Services 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25547

Para Solaris:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso del CERT:
http://www.cert.org/advisories/CA-2001-11.html

una-al-dia (20/10/2000) Una grave vulnerabilidad afecta a todos los
servidores IIS:
http://www.hispasec.com/unaaldia.asp?id=726



viernes, 11 de mayo de 2001

Desde Rusia con bytes

Un continuo y persistente ataque desde el ciberespacio, que data de
más de tres años atrás. Mantiene a investigadores del FBI y la NSA en
jaque.
La película se repite, con distintos protagonistas. Corria el año
1963, cuando se estreno la película "Desde Rusia con Amor" con guión
basado en la novela de Ian Fleming y protagonizada por Sean Connery,
que se encargaba de dar vida al más famoso agente secreto de la
historia "James Bond,007". Enemigos irreconciliables, la guerra de
espionaje y desconfianza se extrapola en este caso al ciberespacio.

Diplomáticos norteamericanos han presentado una protesta formal ante
el gobierno ruso, por el persistente ataque recibido desde ordenadores
instalados en territorio ruso. Según han podido comprobar
investigadores norteamericanos el global de los ataques recibidos por
el Pentágono desde hace ya tres años y denominados por estos
investigadores como "Moonligtht Maze", provienen de siete direcciones
de Internet rusas. Ante esta acusación emitida, el gobierno ruso
respondió oficialmente que las direcciones mencionadas estaban
inactivas y no habían tenido constancia a lo largo de estos tres años
de ninguna actividad ilegal realizada desde las mismas.

Las investigaciones norteamericanas van encaminadas a la búsqueda de
un grupo independiente sin conexiones gubernamentales rusas, ya que de
no ser así en círculos de la inteligencia militar podría ser
considerado un acto de guerra.

Ronald L. Dick, director del FBI National Infrastructure Protection
Center, en una comparecencia ante el congreso norteamericano, informó
que se pudieron detectar por parte del Pentágono más de 1300 ataques
serios entre 1999 y 2000. Igualmente comentó que el FBI tiene pendiente
de más de 1.219 ataques a sistemas informáticos pendientes de
investigación, en las cuales se incluyen 102 intrusiones a ordenadores
gubernamentales.

La Oficina de Contabilidad General "General Accounting Office" dio a
conocer un informe el pasado mes de Marzo en el que se refería a
"Moonlight Maze" como una serie de ataques repetidos y disimulados,
que los investigadores de incidentes federales han atribuido a
entidades extranjeras y que todavía se están investigando". Oficiales
de la NSA y el Pentágono informaron que este conjunto de ataques son
muy importantes pero que no han podio llegar a redes de especial
sensibilidad y que toda la información substraída, serían documentos
sin clasificar. Como ejemplo exponen las intrusiones realizadas en
NIPRNET "Non-Classified Internet Protocol Router Network" del
Pentágono.

Este tipo de informaciones filtradas por organismos gubernamentales
norteamericanos, se deben tomar con especial delicadeza y aunque sin
dejar de dar veracidad a la información cabe la posibilidad del
inflado de los números con el fin de conseguir un mayor pellizco en los
presupuestos federales.

De igual o parecido punto de vista al emitido por mi parte, es el de
Fred Cohen, experto en seguridad informática de Sandia National
Laboratories, que en relación con esta información dice "no estoy
sorprendido de la persistencia de los ataques, pero no hay nada tan
sofisticado sobre "Moonlight Maze" como para que las redes oficiales
no hayan podido defenderse del mismo". A lo que añadió "si alguien
está en un sistema y usted quiere detenerlo, usted puede detenerlo".



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

NSA Adviser Says Cyber-Assaults On Pentagon Persist With Few Clues

http://washingtonpost.com/wp-dyn/articles/A51965-2001May6.html


jueves, 10 de mayo de 2001

Sulfnbk.exe, historia de un virus inexistente

Un bulo recorre estos días Internet alertando de un supuesto virus que
se oculta con el nombre de fichero sulfnbk.exe y que ningún antivirus
consigue detectar. En realidad el virus no existe, el fichero
sulfnbk.exe corresponde a una utilidad legítima que se distribuye con
Windows 98/Me.
Los usuarios reciben un mensaje donde se advierte de un nuevo virus
y facilita además unos sencillos pasos para poder comprobar si
estamos infectados. El método consiste en buscar el fichero
sulfnbk.exe en nuestro sistema, si lo encontramos estaremos
infectados y deberemos proceder a su eliminación.

Las víctimas de este "hoax" o bulo estarán en realidad eliminado
una utilidad de Windows que permite salvar y restaurar los nombres
largos de los ficheros si han sido reemplazados por el formato
corto compatible con MS-DOS (8.3).

El hecho de que muchos de los usuarios detecten este fichero en
sus sistemas, cuya existencia y utilidad no son muy conocidas,
provoca que el "hoax" sea más creible. Alertados por el suceso
reenvían el bulo a sus contactos y la cadena de histeria colectiva
sigue aumentando.

De momento se han detectado versiones de este "hoax" en portugués,
inglés y español. A continuación reproducimos una muestra.

HOAX:

>>>

Este reenvio lo recibí de un amigo hoy y es verdad o busqué con estas
instrucciones y lo encontré,lo tenía sin saberlo.

No lo detecta el Norton 2001 ni McAfee, los tengo instalado y pasó
igual. Un virus está llegando a través de los mails de modo oculto.

Gracias a un aviso pude detectarlo (lo tenía sin saberlo) y eliminarlo.

Buscarlo del siguiente modo:
1) Ir a Inicio
2) Luego: Buscar
3) Archivo o carpeta
4) Tipear el archivo: sulfnbk.exe
5) Eliminar (NO ABRIRLO)
6) Eliminar de la papelera de reciclaje

Gracias a estas instruciones lo eliminé..
suerte..

<<<

Los usuarios que reciban un mensaje similar deberán ignorarlo, y
como recomendación adicional podrán avisar al remitente del error
que está cometiendo al reenviar un bulo y evitar así que siga
propagando el "hoax".

Es posible que el origen de este bulo no sea intencionado, algunas
hipótesis apuntan a que alguien recibió un mensaje donde se
adjuntaba el fichero sulfnbk.exe infectado con el gusano Magistr.
El antivirus del usuario pudo alertarlo, e interpretó que existía
un gusano que se distribuía con este nombre de fichero, de ahí
que comenzara a alertar a sus contactos más próximos. Recordemos
que Magistr tiene la habilidad de poder cambiar el fichero que
envía infectado adjunto en el e-mail, ya que elige entre los
ejecutables Win32 que va infectando en el sistema.



Bernardo Quintero
bernardo@hispasec.com


Más información:

AVP-ES
http://www.avp-es.com/bulos/sulfnbk.html

NAi
http://vil.nai.com/vil/dispVirus.asp?virus_k=99084

Análisis del polifacético y peligroso Magistr
http://www.hispasec.com/unaaldia.asp?id=878



miércoles, 9 de mayo de 2001

Gusano Homepage, ¿vuelven a fallar los antivirus?

La historia se repite, una vez más nos encontramos ante un espécimen
muy simple, como vamos a poder ver en detalle, que consigue una gran
propagación. En esta ocasión se presenta en un fichero con el nombre
"homepage.HTML.vbs" y se autoenvía adjunto en un e-mail con el asunto
"Homepage".
El gusano no merece atención alguna por sus características. Similar
al archiconocido "ILoveYou", ha sido creado a partir de un kit de
desarrollo automático del mismo autor que el utilizado en el caso
del gusano "Kournikova".

La pregunta es evidente, ¿fallan los antivirus?

En esta ocasión muchas de las sofisticadas técnicas de detección y
módulos heurísticos de los antivirus no pueden con un algoritmo de
cifrado que "esconde" su código original. Gracias a esta técnica
el gusano cambia el aspecto más superficial para no ser reconocido
a primera vista como una variante más de los típicos gusanos escritos
en VBS que utilizan Outlook para autoenviarse.

¿Cómo de complicado es el algoritmo de "cifrado"?

Es de lo más simple, suma 2 al código ASCII del carácter que quiere
cifrar (una "a" se convertiría en "c"). Para volver a su estado
original le basta con ir restando 2 a los caracteres que componen
la cadena cifrada. Ante tanta simpleza, que evidencia una debilidad
de los actuales sistemas de detección, no es de extrañar que este
detalle haya pasado "desapercibido" en las descripciones que las
casas antivirus han realizado de este gusano.

¿Cualquier virus puede modificarse en apariencia y burlar las
protecciones antivirus?

Si. Una de las pruebas de la Comparativa Antivirus 2001, que en
unos días estará disponible en Hispasec, consistía en tratar un
troyano, conocido por todos los antivirus, con utilidades que
devuelven un ejecutable comprimido. El resultado era un EXE,
distinto y de menor tamaño, que llevaba a cabo las mismas
acciones. Todos los antivirus fallaron de forma generalizada al
no reconocer el ejecutable comprimido que contenía al troyano
y permitir su ejecución. Tan sólo un motor antivirus tuvo una
actuación notable, detectando 6 de los 8 formatos de compresión
ejecutables que utilizamos.

¿Algún antivirus fue capaz de reconocer a "HomePage" desde el
primer momento?

Si, las soluciones de McAfee son capaces de detectar este gusano
desde febrero, en este caso concreto sus técnicas para reconocer
virus genéricos en VBS se han mostrado efectivas. Hay que felicitar
a McAfee en esta ocasión, si bien no está libre de sufrir
problemas similares (0 de 8 en los formatos de compresión ejecutables
utilizados en la comparativa 2001).

Análisis del virus

En la primera línea del virus nos encontramos una llamada a la
función que descodifica el gusano pasando como argumento una
cadena que contiene el código cifrado:

Execute DeCode("QpGttqtTguwogPgzvUgvYU?Et [...]

La función "DeCode" es muy simple, recorre a través de un bucle
toda la cadena restando 2 al código ASCII de cada carácter,
teniendo en cuenta algunas excepciones de caracteres especiales:

Function DeCode(Coded)
For I = 1 To Len(Coded)
CurChar= Mid(Coded, I, 1)
If Asc(CurChar) = 15 Then
CurChar= Chr(10)
[...]
Else
CurChar = Chr(Asc(CurChar) - 2)
End If

DeCode = DeCode & CurChar
[...]

Si aplicamos el algoritmo de descifrado obtenemos el código original
del gusano y podemos observar cuales son sus intenciones. En primer
lugar vemos que hace uso de funciones Windows Sripting Host (WSH),
que se encuentra instalado por defecto en Windows 98 y 2000, por lo
que el gusano tal vez no funcione en otros sistemas:

On Error Resume Next
Set WS = CreateObject("WScript.Shell")
Set FSO= Createobject("scripting.filesystemobject")
[...]

Estas funciones la utiliza para leer el código del virus y escribirlo
en la carpeta temporal del sistema en el fichero homepage.HTML.vbs:

[...]
Set OutF=FSO.OpenTextFile(Folder&"\homepage.HTML.vbs",2,true)
OutF.write ScriptBuffer
[...]

Después observamos que el gusano comprueba si el valor de una variable
en el registro es distinto a 1, en tal caso lanza el procedimiento
encargado de autoenviar el fichero infectado a toda la libreta de
direcciones. Esta comprobación le permite no enviarse repetidamente
desde una misma máquina:

[...]
If WS.regread ("HKCU\software\An\mailed") <> "1" then
Mailit()
[...]

La rutina de autoenvío es prácticamente calcada a la de otros
especímenes similares, como ILoveYou, recorriendo toda la libreta
de direcciones de Outlook a cuyos contactos se envía el mensaje con
el fichero infectado "homepage.HTML.vbs", asunto "Homepage" y cuerpo
"Hi! You've got to see this page! It's really cool ;O)". Al final
de ella pone la variable del registro anteriormente comentada a 1,
marcando el sistema para que no vuelva a realizar el envío:

[...]
Set Outlook = CreateObject("Outlook.Application")
If Outlook = "Outlook" Then
Set Mapi=Outlook.GetNameSpace("MAPI")
Set Lists=Mapi.AddressLists
For Each ListIndex In Lists
[...]

Por último contiene un efecto que envía al usuario de forma
aleatoria una de las cuatro direcciones web de contenido pornográfico
que contiene en su código:

[...]
Randomize
r=Int((4*Rnd)+1)
If r=1 then
WS.Run("http://hardcore.pornbillboard.net/shannon/1.htm")
elseif r=2 Then
WS.Run("http://members.nbci.com/_XMCM/prinzje/1.htm")
elseif r=3 Then
[...]

El gusano no contiene ningún otro efecto.



Bernardo Quintero
bernardo@hispasec.com


Más información:

AnnaKournikova: ¿fracaso de la comunidad antivirus?
http://www.hispasec.com/unaaldia.asp?id=842

AVP
http://www.kav.ch/avpve/worms/email/homepage.stm

CAi
http://www3.ca.com/press/PressRelease.asp?id=1581

F-Secure
http://www.f-secure.com/news/2001/news_2001050900.shtml

McAfee
http://www.mcafeeb2b.com/other/jump/homepage-virus.asp

Norman
http://www.norman.com/virus_info/vbs_vbswg_x.shtml

Norton
http://www.sophos.com/virusinfo/analyses/vbsvbswgx.html

Panda
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=VBSWG.X

Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_HOMEPAGE.A

Sophos
http://www.sophos.com/virusinfo/analyses/vbsvbswgx.html



Gusano Homepage, ¿vuelven a fallar los antivirus?

La historia se repite, una vez más nos encontramos ante un espécimen
muy simple, como vamos a poder ver en detalle, que consigue una gran
propagación. En esta ocasión se presenta en un fichero con el nombre
"homepage.HTML.vbs" y se autoenvía adjunto en un e-mail con el asunto
"Homepage".
El gusano no merece atención alguna por sus características. Similar
al archiconocido "ILoveYou", ha sido creado a partir de un kit de
desarrollo automático del mismo autor que el utilizado en el caso
del gusano "Kournikova".

La pregunta es evidente, ¿fallan los antivirus?

En esta ocasión muchas de las sofisticadas técnicas de detección y
módulos heurísticos de los antivirus no pueden con un algoritmo de
cifrado que "esconde" su código original. Gracias a esta técnica
el gusano cambia el aspecto más superficial para no ser reconocido
a primera vista como una variante más de los típicos gusanos escritos
en VBS que utilizan Outlook para autoenviarse.

¿Cómo de complicado es el algoritmo de "cifrado"?

Es de lo más simple, suma 2 al código ASCII del carácter que quiere
cifrar (una "a" se convertiría en "c"). Para volver a su estado
original le basta con ir restando 2 a los caracteres que componen
la cadena cifrada. Ante tanta simpleza, que evidencia una debilidad
de los actuales sistemas de detección, no es de extrañar que este
detalle haya pasado "desapercibido" en las descripciones que las
casas antivirus han realizado de este gusano.

¿Cualquier virus puede modificarse en apariencia y burlar las
protecciones antivirus?

Si. Una de las pruebas de la Comparativa Antivirus 2001, que en
unos días estará disponible en Hispasec, consistía en tratar un
troyano, conocido por todos los antivirus, con utilidades que
devuelven un ejecutable comprimido. El resultado era un EXE,
distinto y de menor tamaño, que llevaba a cabo las mismas
acciones. Todos los antivirus fallaron de forma generalizada al
no reconocer el ejecutable comprimido que contenía al troyano
y permitir su ejecución. Tan sólo un motor antivirus tuvo una
actuación notable, detectando 6 de los 8 formatos de compresión
ejecutables que utilizamos.

¿Algún antivirus fue capaz de reconocer a "HomePage" desde el
primer momento?

Si, las soluciones de McAfee son capaces de detectar este gusano
desde febrero, en este caso concreto sus técnicas para reconocer
virus genéricos en VBS se han mostrado efectivas. Hay que felicitar
a McAfee en esta ocasión, si bien no está libre de sufrir
problemas similares (0 de 8 en los formatos de compresión ejecutables
utilizados en la comparativa 2001).

Análisis del virus

En la primera línea del virus nos encontramos una llamada a la
función que descodifica el gusano pasando como argumento una
cadena que contiene el código cifrado:

Execute DeCode("QpGttqtTguwogPgzvUgvYU?Et [...]

La función "DeCode" es muy simple, recorre a través de un bucle
toda la cadena restando 2 al código ASCII de cada carácter,
teniendo en cuenta algunas excepciones de caracteres especiales:

Function DeCode(Coded)
For I = 1 To Len(Coded)
CurChar= Mid(Coded, I, 1)
If Asc(CurChar) = 15 Then
CurChar= Chr(10)
[...]
Else
CurChar = Chr(Asc(CurChar) - 2)
End If

DeCode = DeCode & CurChar
[...]

Si aplicamos el algoritmo de descifrado obtenemos el código original
del gusano y podemos observar cuales son sus intenciones. En primer
lugar vemos que hace uso de funciones Windows Sripting Host (WSH),
que se encuentra instalado por defecto en Windows 98 y 2000, por lo
que el gusano tal vez no funcione en otros sistemas:

On Error Resume Next
Set WS = CreateObject("WScript.Shell")
Set FSO= Createobject("scripting.filesystemobject")
[...]

Estas funciones la utiliza para leer el código del virus y escribirlo
en la carpeta temporal del sistema en el fichero homepage.HTML.vbs:

[...]
Set OutF=FSO.OpenTextFile(Folder&"\homepage.HTML.vbs",2,true)
OutF.write ScriptBuffer
[...]

Después observamos que el gusano comprueba si el valor de una variable
en el registro es distinto a 1, en tal caso lanza el procedimiento
encargado de autoenviar el fichero infectado a toda la libreta de
direcciones. Esta comprobación le permite no enviarse repetidamente
desde una misma máquina:

[...]
If WS.regread ("HKCU\software\An\mailed") <> "1" then
Mailit()
[...]

La rutina de autoenvío es prácticamente calcada a la de otros
especímenes similares, como ILoveYou, recorriendo toda la libreta
de direcciones de Outlook a cuyos contactos se envía el mensaje con
el fichero infectado "homepage.HTML.vbs", asunto "Homepage" y cuerpo
"Hi! You've got to see this page! It's really cool ;O)". Al final
de ella pone la variable del registro anteriormente comentada a 1,
marcando el sistema para que no vuelva a realizar el envío:

[...]
Set Outlook = CreateObject("Outlook.Application")
If Outlook = "Outlook" Then
Set Mapi=Outlook.GetNameSpace("MAPI")
Set Lists=Mapi.AddressLists
For Each ListIndex In Lists
[...]

Por último contiene un efecto que envía al usuario de forma
aleatoria una de las cuatro direcciones web de contenido pornográfico
que contiene en su código:

[...]
Randomize
r=Int((4*Rnd)+1)
If r=1 then
WS.Run("http://hardcore.pornbillboard.net/shannon/1.htm")
elseif r=2 Then
WS.Run("http://members.nbci.com/_XMCM/prinzje/1.htm")
elseif r=3 Then
[...]

El gusano no contiene ningún otro efecto.



Bernardo Quintero
bernardo@hispasec.com


Más información:

AnnaKournikova: ¿fracaso de la comunidad antivirus?
http://www.hispasec.com/unaaldia.asp?id=842

AVP
http://www.kav.ch/avpve/worms/email/homepage.stm

CAi
http://www3.ca.com/press/PressRelease.asp?id=1581

F-Secure
http://www.f-secure.com/news/2001/news_2001050900.shtml

McAfee
http://www.mcafeeb2b.com/other/jump/homepage-virus.asp

Norman
http://www.norman.com/virus_info/vbs_vbswg_x.shtml

Norton
http://www.sophos.com/virusinfo/analyses/vbsvbswgx.html

Panda
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=VBSWG.X

Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_HOMEPAGE.A

Sophos
http://www.sophos.com/virusinfo/analyses/vbsvbswgx.html



martes, 8 de mayo de 2001

Graves problemas de seguridad en los modems ADSL de Alcatel

Varios investigadores de la universidad de California han identificado
diversos problemas de seguridad en varios modelos de modems ADSL de
Alcatel, que permiten a un intruso el tomar el control absoluto del
aparato.
Los modelos identificados como vulnerables son el "Alcatel Speed Touch
Home ADSL Modem" y el "Alcatel 1000 ADSL Network Termination Device".

Algunas de las acciones maliciosas posibles son:

* Modificar la configuración del aparato, en cualquier sentido. En
particular, se puede activar una configuración que lo haga inaccesible e
inoperativo.

* Instalación de herramientas para, por ejemplo, capturar el tráfico de
la red local, identificando contraseñas, etc.

* Acceso ilimitado a los sistemas de la red local.

* Desactivación completa del equipo, requiriendo su devolución al
fabricante (puede realizarse con una modificación maliciosa del
"firmware", por ejemplo).

Algunos de los problemas del equipo son distribuirse sin ninguna
contraseña por defecto, y la posibilidad de obtener la contraseña actual
sin necesidad de autentificarse (mediante TFTP). El sistema TFTP
(Trivial File Transfer Protocol), además, es accesible a cualquier
usuario de Internet.

Se ha identificado también una puerta trasera en el "firmware" del
equipo, que permite acceder al mismo pasando por encima de cualquier
protección o configuración activada por el usuario.

Por último, cualquier atacante malicioso puede reemplazar el sistema
operativo del equipo (el "firmware") sin que éste realice ningún tipo de
verificación de integridad o autenticidad, lo que permite manipular el
sistema de forma arbitraria.

Alcatel todavía no ha emitido una actualización del sistema que
solucione estos problemas. Mientras la compañía no toma cartas en el
asunto, la recomendación de Hispasec es que se reemplacen esos equipos
por modems ADSL de otros fabricantes.

Más información:

Advisory
Multiple Vulnerabilities in Alcatel ADSL-Ethernet Bridge devices:

http://security.sdsc.edu/self-help/alcatel/alcatel-bugs.html

CERT® Advisory CA-2001-08 Multiple Vulnerabilities in Alcatel ADSL
Modems:

http://www.cert.org/advisories/CA-2001-08.html

Se detectan fallos de seguridad en dos módems de la firma Alcatel:

http://ibrujula.com/news/noticia.php3?id=15781




Jesús Cea Avión
jcea@hispasec.com



lunes, 7 de mayo de 2001

Grave vulnerabilidad en Windows 2000 con IIS 5.0

Todos los sistemas Windows 2000 con Internet Information Server 5.0
instalado se ven afectadas por una grave vulnerabilidad que puede
permitir a un atacante remoto tomar el control del servidor.
Windows 2000 aporta el soporte nativo para el Internet Printing Protocol
(IPP), un estándar para enviar y controlar los trabajos de impresión
sobre HTTP. Este protocolo se implementa en Windows 2000 a través de una
extensión ISAPI que se instala por defecto en todos los servidores
Windows 2000 pero a la que sólo puede accederse desde IIS 5.0.

La existencia de un búfer sin comprobar en la sección en la que la
extensión ISAPI controla los parámetros de entrada, da lugar a una
vulnerabilidad de seguridad. Esto puede permitir a un atacante remoto
construir un ataque de desbordamiento de búfer y conseguir la ejecución
de código en el servidor. Este código podrá ejecutarse en el contexto de
seguridad Local del Sistema, por lo que el atacante podrá conseguir el
control total del servidor.

El atacante puede explotar esta vulnerabilidad contra cualquier servidor
con el que pueda conectar a través de una sesión web. No se necesita
ningún servicio adicional para explotar la vulnerabilidad, tan sólo
bastará con disponer abiertos los puertos 80 (HTTP) o 443 (HTTPS).

La vulnerabilidad se produce cuando se envía una cadena de 420 bytes de
longitud aproximadamente dentro de la cabecera HTTP Host: para una
petición ISAPI .printer.

GET /NULL.printer HTTP/1.0
Host: [buffer]

Donde [buffer] tiene aproximadamente 420 caracteres.

Para evitar este problema Microsoft ha publicado un parche cuya
instalación recomendamos a todos los usuarios de este tipo de sistemas,
el parche para Microsoft Windows 2000 Server y Advanced Server se
encuentra en http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29321.
Otra medida para evitar el problema pasa por eliminar el acceso a
la extensión ISAPI para impresión por Internet (filtro ISAPI .printer).



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de eEye:
http://www.eeye.com/html/Research/Advisories/AD20010501.html

Boletín de seguridad Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-023.asp



domingo, 6 de mayo de 2001

Mac OS X, la pérdida de la inocencia

Hasta ahora, los hackers con malas intenciones tendían a ignorar los
sistemas Macintosh. No sólo era relativamente poco, sino que acceder a
estas máquinas era una tarea muy complicada. Mac OS X puede significar,
para muchos usuarios de Mac, una difícil incursión en el "mundo
salvaje".
Los usuarios de Mac vieron pasar, no sin un cierto toque de humor, los
diversos problemas originados por el virus "I Love You" hace justamente
un año. Tampoco tuvieron que preocuparse por los ataques de denegación
De servicio ni, tan siquiera, por la existencia de caballos de Troya.
Los usuarios de Mac vivían, posiblemente sin ser del todo conscientes,
en un jardín del Edén digital donde no vivía ninguna serpiente ni
tampoco existía el pecado.

La introducción de Mac OS X puede significar para todos estos usuarios,
el aterrizaje dentro de un entorno hostil. Por debajo de la capa gráfica
tenemos el corazón del nuevo sistema operativo, en gran parte basado e
influenciado por el sistema operativo UNIX. Es decir, por primera vez
los Macintosh utilizan un software que, en esencia y en su nivel básico,
es equivalente al software utilizado en otras muchas máquinas, desde las
estaciones de trabajo Sun, los mainframes IBM o los PC con Linux. ¿Qué
significa esto? Para empezar, todos aquellos "hackers" que tienen un
gran afecto a los sistemas basados en UNIX se encontraran casi como en
casa al topar con un nuevo Mac.

Un primer análisis superficial de la configuración de Mac OS X muestra
un entorno que no parece estar muy bien protegido. Ejecutando el mandato
"netstat -a", para obtener una relación de los servicios que están a la
escucha, vemos diversos puertos abiertos (827/tcp, 830/tcp y,
finalmente, uno bastante familiar: 111/tcp, los servicios rpc). La
ejecución de "ps -aux" nos descubre procedimientos con nombres
conocidos, tales como syslogd, portmap, inetd, cron, tcsh...

Y como era de esperar, todo esto ha originado la aparición de los
primeros incidentes de seguridad con una cierta importancia. Tal como
informó hace unos días SecureMac.com, ya existe una de las primera
herramientas para obtener las contraseñas de los usuarios. También hemos
conocido que algunos programas (como sudo) tienen desbordamientos de
memoria intermedia que pueden ser utilizados para ejecutar código en la
máquina.

Tanto es el nivel de preocupación que desde Macsecurity.org se advierte
"OS X tiene el potencial de convertirse en una de las principales
irresponsabilidades de seguridad en Internet". Ahora bien, esto
contrasta con la opinión generalizada de que Mac OS X es, probablemente,
un entorno mucho más seguro que los sistemas operativos disponibles
previamente. De hecho, el sistema operativo seleccionado por Apple para
construir OS X es FreeBSD, que es un entorno relativamente seguro.
Incluso se trata del primer sistema operativo dirigido al mercado de
consumo que incluye un cortafuegos internamente.

¿Cómo se combina esto? Hasta la fecha, gran parte de la seguridad de
MacOS se debía al "oscurantismo" del producto. Era un producto cerrado
conocido por poca gente. Hoy, Mac OS X es un entorno abierto que se
mueve dentro de un entorno altamente dinámico como es la seguridad en el
mundo UNIX. Si una cosa nos indica la experiencia es que cuando se
descubre un problema en un sistema de esta familia, casi todos los otros
sistemas también se ven afectados.

Pero lo más grave es que Apple muestra un nivel de preocupación por la
seguridad más bien bajo. Así, en la web de Apple no existe ningún
apartado específico sobre seguridad y no existe ningún mecanismo oficial
para notificar a los usuarios acerca la disponibilidad de parches o
actualizaciones. Ni tan siquiera Apple informa de la disponibilidad de
un mecanismo para que los programadores o usuarios notifiquen el
descubrimiento de una posible vulnerabilidad. Como botón de muestra de
este escaso interés: el 10 de abril, el CERT publicó un aviso acerca de
una vulnerabilidad del sistema operativo FreeBSD. Hasta la fecha, Apple
no ha informado si esta vulnerabilidad también afecta a los sistemas OS
X.

Más información:

Malevolance
http://www.securemac.com/malevolence.cfm

Problemas de seguridad en sudo
http://www.securemac.com/macosxsudo.cfm

SecureMac.com
http://www.securemac.com

MacSecurity.org
http://www.macsecurity.org

Versión original de esta noticia (en catalán)
http://www.quands.com/articles/html/macosx.html




Xavier Caballe
xavi@caballe.com



sábado, 5 de mayo de 2001

Nuevo record en el cálculo de logaritmos discretos

Un equipo francés logra un nuevo record en el campo del cálculo de
logaritmos discretos en cuerpos módulo primos, logrando invertir la
exponenciación en un cuerpo sobre un primo de 120 dígitos.
El cálculo de "a^b mod p" (donde "p" es un número primo de gran
longitud) tiene un buen número de aplicaciones criptográficas en el
campo de la criptografía asimétrica o de clave pública. En particular,
constituye la base de algoritmos muy populares, como El-Gamal o
Diffie-Hellman.

La utilidad de "a^b mod p" es que su cálculo es bastante sencillo y
eficiente, pero su inversa, es decir, obtener el valor "b" tal que "a^b
mod p" sea igual a una cantidad determinada, constituye un problema
que exige grandes recursos computacionales para su resolución.

El equipo francés formado por A. Joux y R. Lercier ha conseguido
calcular una inversa (es decir, un logaritmo discreto, en terminología
matemática) para un número primo "p" de 120 dígitos, utilizando un
Digital Alpha Server 8400, con cuatro procesadores a 525Mhz, durante 10
semanas de cálculos ininterrumpidos. Se ha utilizado un algoritmo
conocido como "criba algebraica", desarrollado teóricamente por
Schirokauer en 1.993.

Un primo de 120 dígitos corresponde a una clave de, aproximadamente, 398
bits.

Este tipo de eventos permiten conocer el "estado del arte" en este campo
del criptoanálisis de la criptografía asimétrica, y dimensionar así
adecuadamente los parámetros de seguridad a utilizar en las
implementaciones prácticas de este tipo de esquemas.

Más información:

Subject: Discrete logarithms in GF(p):

http://listserv.nodak.edu/scripts/wa.exe?A2=ind0104&L=nmbrthry&F=&S=&P=2438

Théorie algorithmique des nombres:

Applications à la cryptographie:

http://www.medicis.polytechnique.fr/~lercier/




Jesús Cea Avión
jcea@hispasec.com



viernes, 4 de mayo de 2001

Novedades y nuevos contenidos en CriptoRed

Convocatorias de congresos y jornadas, tesis doctorales, informes,
artículos y comentarios de libros, son algunos de los nuevos
contenidos que ya se pueden disfrutar desde la Red Iberoamericana
de Criptografía.
1. Altas y miembros:
El número actual de miembros es 201.
http://www.criptored.upm.es/paginas/particulares.htm

2. Convocatorias de Congresos y Jornadas:
Jornadas Nacionales de Seguridad Informática en Galicia
http://www.e-gallaecia.com/
I Simposio Español de Negocio Electrónico SNE'01
http://polaris.lcc.uma.es/SNE/

3. Tesis Doctorales:
"Avances en el estudio de la complejidad lineal del filtrado no lineal"
"Esquemes per a compartir secrets"
"Secure electronic commerce of multimedia contents over open networks"
"Organización y Jerarquización de Autoridades de Certificación para la
Provisión de Servicios de Seguridad en Redes Telemáticas"
"Compartir secretos mediante esquemas basados en códigos correctores"
http://www.criptored.upm.es/paginas/investigacion.htm#tesis

4. Informes:
"CriptoRed, una comunidad virtual de expertos en seguridad informática"
http://www.criptored.upm.es/paginas/investigacion.htm#desarrollos

5. Artículos:
Conferencias de la Escuela CIMPA realizada en La Habana
http://iml.univ-mrs.fr/ati/CIMPAschool.html
Artículos de criptografía y seguridad en sitio del autor
http://delta.cs.cinvestav.mx/~gmorales/spenlinea.html#crypto
Certificados X.509
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

6. Libros:
Comentario libro "HACKERS. Secretos y soluciones para la seguridad de
las redes"
http://www.criptored.upm.es/paginas/docencia.htm#bibliografia

7. Otros:
Enlace al patrocinador Getronics Grupo CP
http://www.criptored.upm.es/patrocinadores/getronics.htm
En este mes de mayo se producirán novedades en cuanto al acuerdo de
colaboración con RedIRIS



Dr. Jorge Ramió Aguirre
jramio@eui.upm.es


Más información:

CriptoRed
http://www.criptored.upm.es

23/04/2000 CriptoRed: Red Iberoamericana de Criptografía
http://www.hispasec.com/unaaldia.asp?id=544

30/11/2000 CriptoRed cumple un año
http://www.hispasec.com/unaaldia.asp?id=767

03/02/2001 Nuevos contenidos en CriptoRed
http://www.hispasec.com/unaaldia.asp?id=832

jueves, 3 de mayo de 2001

Magistr sigue activo

Aumenta el número de infecciones por "Magistr". El poliformismo de
este virus parece que hace mella en algunas soluciones antivirus, la
ingeniería social utilizada por el autor del espécimen y el descuido
de los usuarios hace el resto.
A mediados de marzo ya alertábamos sobre este virus/gusano capaz de
infectar ejecutables Win32 y autoenviarse a través de correo
electrónico. En el apartado de daños catalogamos a Magistr como de
alto riesgo, con rutinas para borrar los discos duros, la CMOS y la
Flash BIOS.

Además de por una cuidada programación, destaca por la forma de
presentarse a las nuevas víctimas, lo que hemos denominado como la
ingeniería social utilizada por su autor. Magistr cambia de forma
continua el nombre de fichero, el asunto y el cuerpo del mensaje en
el que se autoenvía. Para darle un aspecto más real, y lograr engañar
así al destinatario, Magistr recoge el asunto y el cuerpo del mensaje
de un documento del sistema ya infectado.

El resultado en la mayoría de las ocasiones es que Magistr llega
adjunto en un mensaje cuyo cuerpo y asunto están relacionados con la
actividad del remitente, por ejemplo información sobre su trabajo.
Para confunfir aun más al destinatario el virus puede adjuntar otros
ficheros y documentos junto con el ejecutable infectado.

Cómo anécdota, entre las muestras directas que nos han llegado en las
últimas horas a los buzones de Hispasec, destaca el mensaje infectado
remitido desde una dirección de Economic Data, distribuidora del
antivirus F-Secure.

-----

De: ECONOMIC DATA
Fecha: jueves 3 de mayo de 2001 12:56
Asunto: en respuesta al

Felows interesandose por los productos de F-SECURE. ECONOMIC DATA
es la empresa que representa en exclusiva a F-SECURE en España y
Sudamérica, y por ello tendremos mucho gusto en remitirle la
información directamente desde España, donde tambien se encuentra a
su disposición nuestro equipo de profesionales técnicos. ECONOMIC
DATA es la Compañía especilizada en Seguridad Informática y Gestión
de Redes más antigua del mercado, con más de 10 años de experiencia
en la lucha contra los virus. En nuestra web, www.

Ficheros adjuntos:
ULSVC.EXE
info f-secure.doc

-----

Dejando a un lado lo anecdótico del ejemplo, ya resulta paradójico
que se infecte un distribuidor antivirus y se autoenvíe el virus
en un mensaje donde promociona las excelencias de su producto,
este correo electrónico puede ayudar a los lectores a detectar
casos similares.

Por último, recordar de nuevo la regla básica que siempre debemos
tener presente: no abrir los ficheros adjuntos en mensajes de correo
electrónico que no hayamos solicitado, en caso de duda confirmar con
el remitente antes de abrirlo.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Alerta: Magistr, un virus/gusano sofisticado y muy destructivo
http://www.hispasec.com/unaaldia.asp?id=872

Análisis del polifacético y peligroso Magistr
http://www.hispasec.com/unaaldia.asp?id=878