miércoles, 31 de diciembre de 2003

Parche de actualización de Microsoft Exchange 5.5 CDO

Microsoft ha publicado un parche de actualización para corregir algunos
problemas encontrados en Exchange 5.5 desde que se publicó el SP4 para
este producto.

El problema consiste en que cuando se usa OWA (Outlook Web Access) para
acceder al contenido de un buzón de correo en una máquina con Exchange
5.5, OWA puede dejar de responder.

Otro fallo detectado se produce cuando se usa un programa de terceros
que utilice CDO (Collaborative Data Objects) para acceder a un buzón de
correo en una máquina con Exchange 5.5, ya que el programa que intenta
acceder podría dejar de responder.

En caso de que se produzca la caída del programa, se traza el siguiente
evento:
Source: MSExchangeISPriv
Event ID: 2078
Description: Unable to submit, send, or transfer out a message.
Check PR_Recipient_Number, PR_Recipient_Type, PR_Report_Type

Este problema se reproduce cuando se intenta acceder a una cuenta de
usuario que haya sido previamente utilizada por un cliente con Outlook
2003.

Este cliente añade una cuarta entrada a PR_FREEBUSY_ENTRYIDS, que es una
propiedad multi-valor de MAPI y se almacena en la carpeta Bandeja de
entrada. Sin embargo, CDO espera tres y no cuatro entradas, con lo que
la cuarta provoca una corrupción del heap que hace que el programa que
utiliza OWA deje de funcionar.

La dirección para la descarga del parche de actualización que corrige
este problema es la siguiente (requiere Exchange 5.5 SP4):
http://download.microsoft.com/download/5/2/b/52b9224d-4834-4b80-8224-ad64b172ca76/Exchange5.5-KB818709-v2-x86-enu.EXE


Antonio Román
roman@hispasec.com


Más información:

Outlook Web Access Stops Responding When You Try to Access a Mailbox on an
Exchange 5.5 Computer
http://support.microsoft.com/?kbid=818709

Exchange 5.5 CDO Patch 2657.55
http://www.microsoft.com/downloads/details.aspx?FamilyID=b106c749-71f8-44cc-86cf-ab5cda169127&DisplayLang=en

martes, 30 de diciembre de 2003

Vulnerabilidad en PlatinumFTPserver

PlatinumFTPserver se ve afectado por una vulnerabilidad que permite a un atacante la ejecución de código en el servidor afectado.

PlatinumFTPserver es un servidor FTP dirigido a simplificar la administración ftp en lo que respecta a enviar y a recibir ficheros sobre una conexión IP. El motor del servidor
corre sobre Windows 98/ME/NT/2K/XP.

Un atacante remoto puede introducir una secuencia de comandos especialmente
diseñada en PlatinumFTPserver con lo que conseguirá ejecutar código en el servidor
vulnerable.

A continuación indicamos algunos ejemplos de código con los cuales podrá
comprobar si se ve afectado por esta vulnerabilidad.

user %s%s%s%s
mkdir %s%s%s%s
rename filename %s%s%s%s


Antonio Román
roman@hispasec.com


Más información:

PlatinumFTPserver Format String Vulnerabilities
http://www.securiteam.com/windowsntfocus/6E00O0U95U.html

PlatinumFTPserver
http://www.roboshareware.com/platinumftpserver.php

lunes, 29 de diciembre de 2003

Vulnerabilidades en sistema de impresión de Solaris

Sun ha anunciado la existencia de vulnerabilidades en diversas
librerías del servicio de impresión de los sistemas Solaris, en las
versiones 2.6 a 9.

Las vulnerabilidades consistentes en un desbordamiento de búfer del
que no se han facilitado detalles adicionales se presentan en el
comando lpstat y en la librería libprint, la más seria de ellas puede
permitir a un usuario local sin privilegios conseguir acceso root al
sistema. Cualquier usuario local podrá, de igual forma, visualizar,
crear o sobreescribir cualquier archivo del sistema.

El problema se presenta en Solaris 2.6, 7, 8 y 9 en las plataformas
SPARC y x86, sin embargo solo ocurre si se encuentra alguno de los
siguientes paquetes instalados: SUNWpcr, SUNWpcu, SUNWpsr o SUNWpsu.

Para solucionar el problema Sun publica los siguientes parches para
todos los sistemas afectados:
Solaris 2.6 (SPARC)
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=106235&method=h
Solaris 7 (SPARC)
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=107115&method=h
Solaris 8 (SPARC)
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=109320&method=h
Solaris 9 (SPARC)
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=113329&method=h

Solaris 2.6 (x86)
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=106236&method=h
Solaris 7 (x86)
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=107116&method=h
Solaris 8 (x86)
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=109321&method=h
Solaris 9 (x86)
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=109321&method=h


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerabilities in Solaris Printing
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57451&zone_32=category%3Asecurity

domingo, 28 de diciembre de 2003

Windows XP: sobrevivir al primer día

Aprovechando estas festividades navideñas, seguramente muchos lectores
de "Una-al-día" tienen previsto estrenar un nuevo ordenador. Muchos de
estos usuarios posiblemente elegirán el sistema operativo Windows XP
(o éste vendrá preinstalado en su nuevo ordenador). Presentamos una
guía con los pasos a seguir para actualizar estos sistemas, de forma
segura, evitando posibles contagios mientras se procede a la
instalación de los parches y actualizaciones de seguridad.

Windows XP fue inicialmente publicado hace ya más de dos años. Desde
entonces, existen numerosas actualizaciones, para solucionar una gran
cantidad de problemas de seguridad. Algunos de estos problemas son de
una gravedad tal que pueden permitir a un virus o gusano introducirse
en un ordenador sin que el usuario del mismo tenga que realizar
ninguna operación especial.

Por otra parte, el número y tamaño de las actualizaciones necesarias
es tan grande (46 actualizaciones que ocupan 49,1 MB) que la ventana
de tiempo que transcurre entre la instalación sea muy prolongada,
incluso para aquellos usuarios que disponen de una conexión a Internet
de banda ancha.

Esta ventana de tiempo en que un sistema vulnerable debe permanecer
conectado a Internet es tan grande que, casi con toda probabilidad,
algún gusano o virus podrá infectar al ordenador antes de que se haya
podido aplicar los diversos parches y actualizaciones. A esto debe
añadirse que la configuración por defecto de Windows XP tras la
instalación del sistema operativo no es la más adecuada desde el punto
de vista de seguridad.

Con el objetivo de mostrar a los usuarios de nuevos ordenadores con
Windows XP como sobrevivir al primer día, SANS Institute ha publicado
una guía paso a paso para la instalación de las actualizaciones
necesarias de una forma segura.

La guía está dirigida a los usuarios domésticos, profesionales
liberales y pequeñas empresas que acceden a Internet de forma directa,
sin la utilización de ningún sistema cortafuegos y que descargan las
actualizaciones de la web de Microsoft. No es una guía para configurar
Windows XP de forma segura. Lo único que pretende es mostrar las
acciones mínimas a realizar durante el primer día de utilización de
Windows XP.

Hispasec Sistemas, con la autorización de SANS Institute, ha
confeccionado la versión en castellano de esta guía, que ponemos a
disposición de todos nuestros lectores de forma gratuita.


Xavier Caballé
xavi@hispasec.com


Más información:

Windows XP: sobrevivir al primer día (versión en castellano)
http://www.hispasec.com/directorio/laboratorio/articulos/GuiasupervivenciaWindowsXP/Descarga/WXP.Sobrevivir_primer_dia.pdf

Windows XP: Sobreviure al primer dia (versión en catalán)
http://www.quands.com/pdf/WindowsXPSobreviurePrimerDia.pdf

Windows XP: Surviving the First Day (versión en inglés)
http://isc.incidents.org/presentations/xpsurvivalguide.pdf

sábado, 27 de diciembre de 2003

Escalada de privilegios en tcsh de Sun Solaris 8

Sun ha publicado un parche de actualización para tcsh por una
vulnerabilidad que puede permitir a usuarios locales maliciosos
elevar sus privilegios en el sistema.

tcsh es un intérprete de comandos de los sistemas UNIX. La
vulnerabilidad anunciada está causada por un error en tcsh cuando
se emplea el comando 'ls -F. Sin embargo Sun no ha facilitado
detalles adicionales sobre este problema, que únicamente afecta
a Solaris 8.

Como contramedida, Sun recomienda evitar la utilización directa o
en scripts de tcsh ls-F así como cualquier funcionalidad de tcsh
que haga uso del comando ls-F, como por ejemplo el completado de
nombre de archivo (con "^D").

Las direcciones (según plataforma) para la descarga del parche que
corrige este problema son las siguientes:

SPARC:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=110943&rev=02

x86:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=110944&rev=02


Antonio Ropero
antonior@hispasec.com


Más información:

Security Issue Involving the tcsh(1) ls-F builtin on Solaris 8:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57455

viernes, 26 de diciembre de 2003

Actualización general de seguridad para Mac OS X

Apple pone a disposición de sus usuarios un parche para corregir
diversas vulnerabilidades que afectan a su sistema operativo Mac OS X.

El parche viene a corregir algunos problemas de seguridad de diversa
índole. Entre los que destaca la posibilidad de que un atacante se
hiciera con el control de la máquina atacada solamente con la
instalación de un teclado USB y el posterior reinicio del sistema.

Otro problema de gravedad, reside en la configuración por defecto de
DHCP, por la cual cualquier usuario de la red que instalase un servidor
DHCP malicioso podría llegar a hacerse con el control del sistema de
forma remota. De igual forma se corrigen otra serie de fallos, como un
desbordamiento de búfer y vulnerabilidades de denegación de servicio.

El parche proporcionado corrige problemas en los sistemas Mac OS X
10.2.8 Jaguar o 10.3.2 Panther.


Antonio Román
roman@hispasec.com


Más información:

Obtaining Mac OS X
http://docs.info.apple.com/article.html?artnum=61798

Apple issues patch for Mac OS X hole
http://news.com.com/2100-7355_3-5130853.html?tag=nefd_top

Apple issues Panther update; security fixes to follow
http://news.com.com/2100-1016-5129020.html?tag=nl

Apple distribuye un parche para un agujero de Mac OS X
http://www.elmundo.es/navegante/2003/12/23/seguridad/1072177417.html

jueves, 25 de diciembre de 2003

Check Point compra Zone Labs por 205 millones de dólares

Check Point Software Technologies ha anunciado que han firmado un
acuerdo de fusión definitivo para la adquisición de Zone Labs por 205
millones de dólares (165 millones de euros).

Check Point pagará aproximadamente 113 millones de dólares en efectivo
y aproximadamente otros 92 millones en acciones, y también asumirá las
opciones sobre compra de acciones (stock options) de empleado de Zone
Labs, que podrían convertirse en aproximadamente 2,9 millones en
acciones de Check Point. Zone Labs es conocido por el popular
cortafuegos Zona Alarm, mientras que CheckPoint ofrece soluciones
empresariales de seguridad entre las que destaca el popular
cortafuegos Firewall-1.

El acuerdo de fusión ha sido aprobado por las juntas directivas de
ambas compañías. Además, Check Point suma una plantilla más de 200
empleados de la Zone Labs y a más de 25 millones de clientes por todo
el mundo. Se espera que la transacción es sujeta las condiciones de
cierre acostumbradas, lo que incluyen la aprobación de la junta de
accionistas de Zone labs y aprobaciones reguladoras, y se espera que
se tramite todo el cierre en el primer trimestre de 2004. Tras el
cierre de la transacción, Zone Labs operará como una división de Check
Point.

Tras la noticia de esta adquisición, solo queda esperar que no
signifique el final de un cortafuegos destinado al cliente final, como
es Zone Alarm, lo que sin duda representará una gran pérdida para la
seguridad de todos los usuarios. Sino que simplemente sirva para la
mejora de todos los productos que ofrecen ambas compañías.


Antonio Ropero
antonior@hispasec.com


Más información:

Check Point Software Technologies to Acquire Zone Labs
http://money.excite.com/jsp/nw/nwdt_ge.jsp?news_id=cmt-349b3469&feed=cmt&date=20031215
http://www.zonelabs.com/store/content/company/aboutUs/pressroom/pressReleases/2003/pr_50.jsp

Check Point buys Zone Labs
http://www.haaretzdaily.com/hasen/spages/372350.html

CheckPoint
http://www.checkpoint.com/

Zone Labs
http://www.zonelabs.com/

miércoles, 24 de diciembre de 2003

Respuestas a la política de actualizaciones de Microsoft

El pasado día 15 publicamos en "una-al-día" las explicaciones de
Microsoft sobre su nueva política de actualizaciones. Hoy damos la
palabra a nuestros lectores, que en gran número nos hicieron llegar
sus comentarios y razonamientos al respecto.

Debido al gran volumen de mensajes, y lo extenso de algunos, vamos
a intentar resumir en cinco puntos los argumentos que más se
repitieron por parte de los lectores.

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

En las explicaciones de Microsoft podíamos leer "Las vulnerabilidades
representan un aumento exponencial del riesgo a partir de su
descubrimiento y anuncio, no antes. [...] no perdemos en materia de
seguridad desde el momento que asumimos que el riesgo es casi
inexistente antes de cualquier tipo de anuncio".

Respecto a esta afirmación, son muchos los lectores que recuerdan
que no todas las vulnerabilidades se publican cuando son
descubiertas, no todo los hackers son "whitehats". De hecho existen
grupos de investigación dedicados a descubrir vulnerabilidades y
a explotarlas en beneficio propio.

Que una vulnerabilidad no se publique, no quiere decir que no
existan ataques basadas en ellas que estén pasando desapercibidos.
El sistema debe ser seguro por diseño, no porque no se publiquen
o se oculten sus fallos. No a la seguridad por oscuridad.


2) Microsoft no descubre las vulnerabilidades

Según Microsoft "en ese 0.1% de casos donde el orden de sucesos no
ocurra de esta forma, como por ejemplo el conocimiento de una
vulnerabilidad de forma previa a la creación del update".

Para muchos lectores ese porcentaje tal vez sería válido a la inversa,
es decir, la inmensa mayoría de los descubrimientos de agujeros en
el software de Microsoft son autoría de terceras personas ajenas a
la compañía. Por lo tanto las vulnerabilidades suelen conocerse antes
de la creación y distribución de la actualización.

Microsoft no puede, ni debe, controlar el descubrimiento y
publicación de vulnerabilidades.


3) Las empresas planifican sus propias políticas de actualizaciones

"La medida está pensada fundamentalmente para minimizar situaciones
de actualización de software no planificadas, y permitir que una
corporación pueda planificar sus recursos adecuada y ordenadamente
ante una actualización de seguridad."

Muchos administradores de sistemas y responsables de seguridad
indican que cuentan con sus propias políticas corporativas de
actualizaciones, y que la planificación de éstas no deben estar
condicionadas (ni se van a ver mejoradas) porque las actualizaciones
se encuentren disponibles un día determinado.

En la mayoría de los casos, en ambientes críticos, los parches y
actualizaciones deben pasar unos tests y controles de calidad en
sistemas de pruebas, antes de distribuirlos en los sistemas en
producción. No en vano, la instalación directa e inmediata de los
parches puede ocasionar problemas de incompatibilidad,
mal funcionamiento, o regresión de vulnerabilidades.

Este tipo de comprobaciones, que hasta ahora se hacía de forma
escalonada y puntual según publicación de parches concretos, ahora
resulta más complicada al acumularse todo en una fecha, y puede
dar lugar a retrasos en el despliegue final. No es lo mismo, ni
se tarda el mismo tiempo, en comprobar que una actualización para
Internet Explorer es correcta, que en comprobar 6 o 7 parches para
diferentes componentes del sistema.

En definitiva, en muchos casos la acumulación de parches supone un
retraso en la distribución final de los mismos en ambientes
corporativos. Los administradores piden que la actualización se
encuentre disponible tan pronto sea posible, ya serán ellos los que
decidan como les afecta, la prioridad, y el día en que se procederá
a su instalación.


4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

Algunos usuarios, que conectan a Internet a través de módems
analógicos conectados a la red telefónica básica, muestran su
preocupación por la acumulación y distribución de los parches
en un mismo día.

Si algunas actualizaciones individuales pueden ocupar megas, la
actualización del paquete mensual puede llegar a ser todo un
inconveniente para ellos.

Como anécdota, recordar que fueron muchos los usuarios domésticos que
tuvieron problemas con la actualización de la vulnerabilidad que
explotaba el gusano Blaster, ya que en el tiempo que tardaban en
descargarse la actualización desde Internet el gusano volvía a
infectarles y/o a reiniciar sus equipos.


5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

Con respecto a los números barajados por Microsoft, a la hora de
comparar vulnerabilidades entre sus sistemas y algunas distribuciones
de Linux, los lectores hacen hincapié en que es necesario distinguir
entre vulnerabilidades de aplicaciones y del propio sistema operativo.

Las distribuciones cuentan con un gran número de aplicaciones, de
instalación opcional, que no forman parte del sistema operativo.
Además, no basta con dar números absolutos, debería analizarse
cuantas de esas vulnerabilidades son explotables remotamente, y el
impacto real en la seguridad de los usuarios.

La propia política de Microsoft, de integración de aplicaciones y
funcionalidades extras en el propio sistema operativo, supone un
aumento en el número de vulnerabilidades que afectan a todos sus
sistemas. Un ejemplo claro lo tenemos en Internet Explorer.

Con respecto a la resolución, muchos lectores recuerdan que en
algunos casos la comunidad Open Source, tras el descubrimiento de
una vulnerabilidad, facilita parches en cuestión de horas. En
última instancia, el usuario tiene el control sobre el sistema,
y no depende exclusivamente de la resolución de una empresa.


La clave

A título personal, aunque comparto de forma genérica las opiniones
de los lectores, creo que la clave en la explicación de Microsoft
está en la afirmación "en ese 0.1% de casos donde el orden de
sucesos no ocurra de esta forma, como por ejemplo el conocimiento
de una vulnerabilidad de forma previa a la creación del update, NO
SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en
cuanto la actualización esté preparada."

El caso es que desde hace semanas tenemos varios de esos casos, en
concreto hay varias vulnerabilidades de Internet Explorer que se
han hecho públicas (algunas desde finales de noviembre), han sido
catalogadas como críticas (tanto por su impacto como por la
facilidad de explotación), y están siendo aprovechadas en ataques.

A día de hoy, finales de diciembre, aun no hay parches para corregir
esas vulnerabilidades. De entrada queda patente los tiempos de
respuesta de Microsoft ante vulnerabilidades críticas. Si bien aun
queda pendiente conocer cuando se publicarán finalmente estos
parches.

Si los parches de Internet Explorer se publican en su paquete de
actualizaciones mensuales, el segundo martes de enero, en vez de
hacerlo de forma puntual en cuanto tengan la solución (dada la
importancia), Microsoft habrá tirado por tierra gran parte de sus
propias argumentaciones.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Explicaciones de Microsoft sobre su nueva política de actualizaciones
http://www.hispasec.com/unaaldia/1877

Parches y actualizaciones, un problema común
http://www.hispasec.com/unaaldia/1884

martes, 23 de diciembre de 2003

Monográfico de seguridad en Boletic

La revista Boletic, editada por la Asociación profesional del Cuerpo
Superior de Sistemas y Tecnologías de la Información de la
Administración del Estado (ASTIC), dedicó su último número a un
monográfico sobre seguridad de las tecnologías de la información. Los
artículos, disponibles en versión PDF, tratan diversos temas de forma
generalista, y cuenta entre otras con las firmas de Microsoft, IBM,
ISS, o la propia Hispasec.

* Seguridad

Rafael Chamorro Marín y Jesús Rodríguez Ortega
Socios de ASTIC
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-01.pdf


* Normas para la eAdministración. Criterios de seguridad,
normalización y conservación.

Francisco López Crespo y Miguel Ángel Amutio Gómez
Socios de ASTIC
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-02.pdf


* Una falsa sensación de seguridad

Bernardo Quintero
Director de Desarrollo de Hispasec Sistemas
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-03.pdf


* Trustworthy computing {informática de confianza}. Avances, retos y
resultados.

Héctor Sánchez Montenegro
Responsable de Seguridad de Microsoft Ibérica
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-04.pdf


* En el mundo de los negocios lo único seguro es el cambio

Moisés Navarro
Responsable de la práctica de seguridad para la región sur de
Europa, Oriente Medio y África
Área de Servicios de Integración de Tecnologías de IBM Global
Services
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-05.pdf


* Internet Security Systems {ISS}. Historia, estrategia y soluciones.

Manuel Arrevola
Director General de Internet Security Systems Iberia
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-06.pdf


* !!click !! Elementos necesarios para la teletramitación

Miguel Solano
Steria
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-07.pdf


* Securización de la infraestructura de comunicaciones del Consell
Insular de Mallorca.

Mónica Trujillo
Responsable de Marketing de Telindus
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-08.pdf


* Copias más seguras. Los nuevos desafíos de la copia de seguridad
de datos.

Jane Walker
Directora Internacional de Marketing del Grupo DLTtape de Quantum
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-09.pdf


* Planificación de redes seguras

Francisco García
Director Técnico del Sur de EMEA
http://www.astic.es/nr/astic/Boletic-todos/Boletic27/monografico/mono27-10.pdf


Bernardo Quintero
bernardo@hispasec.com


Más información:

ASTIC
http://www.astic.es

Boletic
http://www.astic.es/astic/Boleweb/Boletic/

lunes, 22 de diciembre de 2003

Parches y actualizaciones, un problema común

En una-al-día no es la primera vez que hacemos referencia a los
parches, actualizaciones, Services Packs y similares publicados por
Microsoft, los problemas que estos pueden ocasionar, los problemas de
regresión, fallos que contienen, etc. Sin embargo este es un problema
común a todos los fabricantes, diferentes distribuciones Linux, Sun,
IBM, HP y en general todos los fabricantes se ven afectados por
problemas similares.

La experiencia que nos brinda nuestro servicio de alertas SANA, nos
ofrece la oportunidad de conocer de primera mano todos y cada uno de
los parches publicados para otros sistemas operativos no tan populares
como los de Microsoft, pero no por ello menos importantes, en algunos
casos al estar destinados a labores de gran importancia.

Sistemas como HP-UX destacan por llegar a publicar más de 15 parches y
actualizaciones a la semana, otros incluso más populares como Sun
Solaris también rondan el mismo número. Por no mencionar el número de
actualizaciones que pueden llegar a publicarse para aplicaciones de
estos sistemas, algunas como HP OpenView, Sun ONE, Sun Cluster, etc.
con números que aun pueden superar a los anteriores. IBM y su sistema
profesional más extendido como es AIX, también destaca por el número
de parches publicados que semanalmente puede llegar a superar los 30.

Una muestra de estos resultados se puede comprobar a través del una al
día del pasado 3 de diciembre, en la que se desvelaban los resultados
de nuestro servicio SANA. En un mes se publicaron un total de 202
alertas en torno a los sistemas y aplicaciones de IBM, mientras que de
los sistemas Sun recibieron 117 informaciones, HP llegó a un total de
109 publicaciones mientras que por su parte Microsoft contó con 41
alertas.

Otro problema destacable que se presenta en estos sistemas es la
tardanza en la publicación de parches para evitar problemas hechos
públicos con anterioridad. Un ejemplo, las vulnerabilidades de
desbordamiento de búfer anunciadas en junio del 2002, en torno a las
librerías de resolución de DNS (aviso del CERT CA-2002-19), fue
corregido de forma inmediata en la mayoría de los sistemas Linux,
mientras que HP en septiembre de este año aun publicaba parches para
corregir el problema en algunos de sus sistemas HP-UX. No deja de ser
cierto que no es habitual que los sistemas HP-UX cuenten con sistemas
DNS, pero es un ejemplo que se repite habitualmente en este tipo de
sistemas. Microsoft al no hacer uso de las librerías afectadas (libc,
libbind o glibc) no se vio atacada por este problema.

La revisión de boletines, parches, etc. también es algo habitual en
todos los fabricantes, recientemente Microsoft publicó la revisión
número 12 del boletín de seguridad MS02-050 debido a un problema de
regresión. La actualización que comentamos anteriormente para la
vulnerabilidad en el DNS de HP-UX, publicada en el boletín
HPSBUX0208-209, cuenta con 15 revisiones. Los problemas de regresión
también son habituales en todo tipo de sistemas y de igual forma
podríamos citar múltiples ejemplos.

En Julio de 2001 se detectaron diversos problemas de seguridad en
múltiples implementaciones del protocolo LDAP de múltiples productos
que permitían ataques de denegación de servicio y accesos no
autorizados. Lotus Domino R5.0.7 y anteriores estaban afectados por
estos problemas. Lotus corrigió estas graves vulnerabilidades en
Domino R5.0.7a publicado el 18 de Mayo de 2001. Sin embargo,
curiosamente en las versiones pre-release y beta de Lotus Domino R6 se
volvió a detectar estos mismos problemas en el protocolo LDAP, que
quedaron definitivamente corregidos en la versión R6.0 Gold o
superiores.

Por otra parte y como punto a favor hay que destacar a los sistemas
Linux en velocidad de reacción de resolución de las vulnerabilidades.
Además de disponer de diversos medios para corregir los problemas, en
este sentido las ideas Open Source ayudan mucho para la resolución de
problemas. En ocasiones disponemos de la solución en forma de código
fuente que será necesario compilar de forma inmediata a la publicación
del problema o disponer de los paquetes específicos publicados por el
creador del software afectado. Pero si el usuario lo prefiere, bastará
con esperar unos pocos días, para tener los paquetes específicos para
distribución que se tenga instalada.

También hay que destacar la compatibilidad como una de las grandes
ventajas del sistema de actualizaciones de los sistemas Solaris, es
decir se garantiza que no existen incompatibilidades. Si un programa
funciona, tras la actualización del sistema también funcionará. Aunque
también se producen múltiples casos en los que el parche no realiza
su cometido adecuadamente.

Otro punto a considerar son las diferentes formas en que cada
fabricante actualiza o parchea sus sistemas. Mientras que Microsoft
tiende a realizar parches por producto además de, en ocasiones,
acumularlos para que formen un solo parche (tanto para el sistema
operativo como para otros como su famosa suite ofimática), otras
compañías utilizan otros sistemas, como el de paquetes (clásico en las
diferentes variantes de los sistema Unix), más pormenorizado y que
puede dar una sensación mayor de volumen.

La conveniencia o no de las diferentes filosofías de presentar
correcciones no es algo que queramos discutir. Si se observa el
panorama de una forma lo más global posible al final se descubre que,
como dice el refrán "en todas partes cuecen habas" y nadie está libre
de problemas. Aunque en teoría los modelos de desarrollo formales
definen unos pasos a seguir para asegurar en lo posible la calidad de
los programas realizados, la aplicación estricta de estos - a todos
los niveles, no sólo pensando en modelizar un sistema a grandes
rasgos - haría que el tiempo de desarrollo de un producto complejo se
extendiese de forma dramática.

No se pretende disculpar la existencia de fallos en los sistemas.
Debemos evitar caer en el conformismo que comentaba Bernardo Quintero
en su boletín del 12/11/2003 ("Microsoft distribuye los parches de
noviembre"), parece que todos asumimos que los fallos existen y debemos
convivir con ellos. Hasta llegar al punto de que a nadie le sorprende
ver un pantallazo azul en un sistema Windows 9x. Lo importante en el
fondo es que ciertas compañías adquieran un verdadero compromiso sobre
los productos que desarrollan, y que realicen un esfuerzo a la hora de
realizar los cambios necesarios en ellos cuando se detecten errores.
Este es quizá el factor determinante: la agilidad de respuesta ante
los errores que día a día aparecen en el mundo de la informática.

Respecto a los boletines que publica cada fabricante también se pueden
realizar diferentes análisis. En este punto cabe decir que los mejores
en todos los aspectos son, sin lugar a dudas, los publicados por
Microsoft. Posiblemente al tener que dirigirse a niveles tan
heterogéneos de público, desde los usuarios más noveles hasta los
administradores más avanzados, nos encontramos con boletines claros,
sencillos de asimilar, con toda la información necesaria para entender
los problemas claramente analizada y con facilidad para encontrar el
parche necesario.

Sin embargo, los boletines publicados por otros fabricantes, como IBM
o Sun, resultan complejos de asimilar, sin duda debido a que se
dirigen a un público mucho más experto por lo que se entiende que no
son necesarios grandes detalles, aunque ello impide que se facilite
una descripción completa de los problemas y no un mero telegrama
acerca de estos.

También es lamentable la actuación de algunos fabricantes al
dificultar el acceso a la información publicada, restringen los
accesos a la información únicamente a los usuarios registrados de sus
productos y obligan a los usuarios a acudir su web al no emitir
ninguna alerta por e-mail. Es totalmente lícito el ofrecer la
información solo a los usuarios de sus productos, pero todos los
usuarios también deberían poder conocer los problemas de los que
adolece cada producto antes de adquirirlo.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (05/07/2002) Desbordamiento de búfer en varias librerías de
resolución de DNS
http://www.hispasec.com/unaaldia/1349

CERT® Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver
Libraries
http://www.cert.org/advisories/CA-2002-19.html

SSRT2316 Potential Security Vulnerability in DNS and resolver lib's (rev.15)
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0208-209
http://www.securityfocus.com/advisories/5768

Microsoft Security Bulletin MS02-050
Certificate Validation Flaw Could Enable Identity Spoofing
http://www.microsoft.com/technet/security/bulletin/MS02-050.asp

una-al-dia (24/10/2003) Fallos en los parches de Microsoft
http://www.hispasec.com/unaaldia/1825

una-al-dia (12/11/2003) Microsoft distribuye los parches de noviembre
http://www.hispasec.com/unaaldia/1844

Lotus Notes/Domino R6-beta PROTOS LDAP Denial of Service Regression
http://www.rapid7.com/advisories/R7-0012.html

una-al-dia (03/12/2003) Informe SANA de noviembre: 762 alertas en un mes
http://www.hispasec.com/unaaldia/1865

Servicio SANA de Hispasec Sistemas:
http://www.hispasec.com/directorio/servicios/sana

domingo, 21 de diciembre de 2003

CheckDialer 1.0, software solidario contra las estafas telefónicas en Internet

CheckDialer es un programa para Windows que monitoriza las conexiones
que se realizan a través de los módems, con el fin de prevenir la
acción de los "dialers" o marcadores que realizan llamadas a números
de tarificación adicional. Hispasec distribuye CheckDialer como
Software Solidario, su descarga es gratuita, y los usuarios que lo
consideren de utilidad podrán registrarse de forma voluntaria mediante
donaciones que, íntegramente, serán destinadas a programas de ayuda
infantil.

La amenaza

Cada día aumentan los sitios web que anuncian el acceso a contenidos
exclusivos de forma gratuita, sin necesidad de realizar pagos con
tarjeta de crédito. Muchas de estas ofertas sólo piden al usuario que
descargue e instale un programa gratuito que le permitirá disfrutar de
los contenidos. La mayoría de los usuarios, bien arrastrados por
publicidad engañosa, bien por no leer la letra pequeña que se esconde
en estos programas, desconocen que en realidad utilizan "dialers" o
marcadores que, en España, han venido conectando a través de los
famosos prefijos de tarificación especial 906, con el consiguiente
aumento en la factura del teléfono.

El problema se ha agravado en los últimos tiempos, ya que estas
prácticas ya no son exclusivas de sitios erótico/pornográficos, por
lo que el usuario puede sufrirlas en páginas de todo tipo de contenidos
de carácter general. El efecto se agrava si tenemos en cuenta ciertas
prácticas agresivas utilizadas por algunos de estos "dialers". En
muchos casos llegan a cambiar la configuración del sistema, con
el objetivo de que siempre que el usuario se conecte a Internet lo
haga por la conexión con tarificación especial, con la consiguiente
subida en sus facturas de teléfono.

También han proliferado los sitios webs que instalan estos "dialers"
a través de controles ActiveX, con lo que se dificulta al usuario la
detección de estos programas. En algunos casos las instalaciones se
hacen de forma transparente al usuario, sin que éste descargue e
instale el programa de forma consciente, a través de vulnerabilidades
de los navegadores web, especialmente Internet Explorer.


La solución

CheckDialer 1.0 viene configurado por defecto con una lista negra, de
forma que previene la marcación de números con prefijo 903, 906, 803,
806, 807 y 907, este último sustituirá al 906 a partir del 1 de enero
de 2004 para los servicios de tarificación adicional sobre sistemas de
datos (el utilizado por los "dialers" de Internet). Los prefijos 80X
también están siendo utilizados en la actualidad por estafas que
solicitan envíos de fax, de forma que CheckDialer previene a los
sistemas con módem/fax de estos fraudes.

Conocedores de que el problema de los "dialers" es internacional,
CheckDialer permite configurar la lista negra mediante plantillas
que permiten ajustarse a los prefijos de tarificación adicional de
cualquier país. Adicionalmente se está traduciendo a varios idiomas,
de forma que la actual versión ya permite elegir entre catalán,
euskera, español, inglés, italiano y ruso.

Hispasec recomienda utilizar la lista blanca, opción mucho más
restrictiva y segura, que consiste en configurar una lista de números
permitidos, de modo que CheckDialer sólo permitirá la conexión con
alguno de esos números y rechazará el resto. Por ejemplo, incluyendo
el número con el que realizamos la conexión a Internet a través de
nuestro ISP (proveedor de servicios Internet). Esta configuración
protegería además contra aquellos "dialers" y estafas que realizan
llamadas al extranjero.


Software Solidario

Hispasec desarrolló una primera versión Beta de CheckDialer,
únicamente a modo de prueba de concepto y evaluación, para la
I Campaña de seguridad en la red organizada por la Asociación de
Internautas. Sin bien esperábamos que en breve surgirían soluciones
similares basadas en la idea original de CheckDialer, como ha sido
el caso de algunos productos comerciales, son muchos los usuarios
que continuaron demandando una versión 1.0 de CheckDialer que
pudieran usar de forma continuada, y no menos fueron aquellos que
se mostraron agradecidos y dispuestos a pagar por este software.

En respuesta a la demanda de todos los usuarios, sin renunciar a la
idea original de ofrecer una solución totalmente gratuita, pero al
mismo tiempo intentando canalizar las muestras de gratitud de
muchos usuarios, Hispasec Sistemas distribuye CheckDialer 1.0 como
"Software Solidario". Esta iniciativa, inédita en España, permite
el registro voluntario (no obligatorio) de aquellos usuarios que
estimen que CheckDialer les es de utilidad, quieran seguir
utilizándolo, y acceder a nuevas versiones mejoradas y
actualizadas.

Hispasec Sistemas donará el 100% de lo que recaude CheckDialer a
programas de ayuda dedicados a la infancia más necesitada en Sierra
Leona, en colaboración con la ONG Plan España. La gestión de las
donaciones es totalmente transparente a través de un listado
público en el web de Hispasec, donde aparecen de forma inmediata
los nombres de los usuarios que se registran y sus aportaciones.

El apoyo demostrado por los usuarios registrados será un indicador
del interés mostrado por CheckDialer y el Software Solidario,
principal motivación para la aparición de futuras versiones de
CheckDialer y el desarrollo de otras herramientas de seguridad que
se distribuyan de forma gratuita bajo este mismo esquema, con la
única recompensa de la satisfacción de saber que entre todos
contribuimos en la ayuda de los más desfavorecidos.


Detalles, requisitos, soporte y descarga

CheckDialer se activa de forma automática cuando detecta que
cualquier programa intenta realizar una llamada, interceptando la
comunicación entre Windows y el puerto serie (COMx) que se comunica
a su vez con el módem, de forma que es capaz de identificar el
número que va a marcar y detenerlo antes de que llegue al módem y
se produzca la llamada.

El programa ha sido testado en Windows 9x/2000/XP, junto a variedad
de módems internos y externos, si bien dada la cantidad ilimitada de
configuraciones, modelos, y todas sus posibles combinaciones, resulta
imposible garantizar que no se presente algún problema de
funcionamiento dependiendo de las particularidades de un sistema
concreto.

CheckDialer ha sido desarrollado para trabajar con sistemas Windows
con módems analógicos, los más expuestos a los "dialers". Aquellos
usuarios que conecten a Internet exclusivamente a través de ADSL,
no teniendo un módem adicional conectado a la red telefónica
básica, no necesitan instalar CheckDialer.

Hispasec proporciona una dirección de soporte, checkdialer@hispasec.com
donde enviar dudas y comentarios, si bien, en función del volumen, no
podemos garantizar respuesta personalizada a todos los e-mails de
forma puntual, a excepción de los usuarios registrados que hayan
demostrado su apoyo al proyecto.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Plan - Informe Sierra Leona (destino donaciones)
http://www.hispasec.com/software/checkdialer/Informe_Sierra_Leona.pdf

V Campaña de seguridad en la Red - Asociación de Internautas
http://www.seguridadenlared.org/es/checkdialer.php

CheckDialer 1.0
http://www.hispasec.com/software/checkdialer

sábado, 20 de diciembre de 2003

Llamada a ponencias para FIRST'04

El FIRST ha publicado su llamada a ponencias para su congreso de 2004, a
celebrar en Budapest (Hungría) del 13 al 18 de Junio de 2004.

FIRST (foro de respuesta a incidencias y equipos de seguridad, Forum of
Incident Response and Security Teams) es una organización mundial que
agrupa a numerosos organismos e individuos involucrados en seguridad
informática.

El congreso, que será el decimosexto, tendrá lugar los próximos 13 a 18
de Junio de 2004, en Budapest (Hungría). La fecha límite para presentar
borradores de ponencias, tutoriales y paneles será el próximo 15 de
Enero.

Las temáticas son bastante libres, siempre que tengan relación con la
seguridad informática: respuesta ante incidentes, cuestiones legales,
herramientas, procedimientos, coordinación, etc.


Jesús Cea Avión
jcea@hispasec.com


Más información:

FIRST - Llamada a ponencias
http://www.first.org/conference/2004/cfp.html

FIRST
http://www.first.org/

viernes, 19 de diciembre de 2003

Nueva versión de Macromedia Flash Player

Recientemente se ha descubierto una vulnerabilidad en los navegadores Internet Explorer y Opera que pueden permitir el acceso no autorizado a ciertos archivos locales. Este error de los navegadores puede ser explotado por usuarios maliciosos utilizando un problema detectado en el reproductor Flash de la compañía Macromedia.

Dicha compañía ha publicado una versión actualizada del Macromedia Flash Player (versión 7.0.19.0, de 476 KB de peso) que puede descargarse de la siguiente dirección:
http://www.macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

Esta nueva versión almacena su información local de tal manera que un usuario malicioso no puede acceder a ella de otra manera que mediante el reproductor de Flash. El problema con las versiones anteriores residía en que el lugar en el que se almacenaban los datos a la hora de reproducir una animación era predecible, lo que podía ser utilizado en combinación con las vulnerabilidades antes nombradas de los navegadores para ejecutar código. El problema principal era, básicamente, que si los datos almacenados por el reproductor Flash en el sistema de archivos locales eran un script, era posible lograr la ejecución de éste a través de los navegadores vulnerables.

La compañía ha calificado esta actualización como importante, por lo que se recomienda la actualización a la mayor brevedad posible (aunque la vulnerabilidad de los navegadores aún no ha sido corregida).


Julio Canto
jcanto@hispasec.com


Más información:

MPSB03-08 Update to Flash Player Addressing Local Shared Object Security
http://www.macromedia.com/devnet/security/security_zone/mpsb03-08.html

Tres nuevas vulnerabilidades en Internet Explorer
http://www.hispasec.com/unaaldia/1842

jueves, 18 de diciembre de 2003

Vulnerabilidad en Cisco Firewall Services Module (FWSM)

Cisco ha anunciado dos vulnerabilidades en los módulos de servicio
firewall Cisco (Cisco Firewall Services Module, FWSM) para los
dispositivos Catalyst de las series 6500 y 7600, que puede ser
explotado por usuarios maliciosos para provocar denegaciones de
servicio.

El primero de los problemas está causado por un error al procesar
mensajes SNMPv3. La segunda vulnerabilidad consiste en un error de
límite en la autenticación al procesar peticiones de tráfico HTTP
usando TACACS+ o RADIUS.

Cisco FWSM (Firewall Services Module) puede sufrir un problema de
desbordamiento de buffer mientras procesa las peticiones de
autenticación HTTP que hagan uso de TACACS+ o RADIUS. El problema se
inicia cuando se le pide a un usuario que se identifique al comenzar
una conexión vía ftp, telnet, o World Wide Web (HTTP) solicitando el
nombre de usuario y contraseña. Si el nombre y la contraseña del
usuario se verifican por el servidor con el método de autenticación
TACACS+ o RADIUS, el módulo FWSM permitirá que el tráfico adicional
entre el servidor sin ningún tipo de control.

El otro problema que afecta a FWSM permite un ataque por Denegación de
Servicio al procesar un mensaje recibido SNMPv3 cuando el servidor
está configurado del modo "".

Como medida correctora Cisco recomienda la siguiente configuración:

Restringir el acceso sólo con sitios de confianza:
snmp-server host poll

Desabilitar SNMP server en Cisco FWSM:
clear snmp-server
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps

La versión 1.1.3 y superiores no se ven afectadas por este problema
por lo que, con el fin de evitar este problema, Cisco recomienda
actualizarse a dichas versiones.


Antonio Román
roman@hispasec.com


Más información:

Cisco Security Advisory: Cisco FWSM Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20031215-fwsm.shtml

Administering the Firewall Module
http://www.cisco.com/en/US/products/hw/switches/ps708/products_installation_and_configuration_guide_chapter09186a0080159caa.html

miércoles, 17 de diciembre de 2003

Nueva estafa telefónica a través del prefijo 803

Hispasec ha detectado en los últimos días la proliferación de una
nueva técnica de estafa basada en los prefijos telefónicos 803 de
tarificación adicional en España.

A diferencia de los dialers 906 que abundan por Internet, el
fraude en esta ocasión consiste en enviar e-mails que, a base de
diferentes tretas, intentan convencer a los destinatarios para
que envíen un fax a un número de tarificación adicional con
prefijo 803.

A continuación reproducimos uno de estos e-mails:



De: robert
Para: [e-mail destinatario]
Asunto: ruego avise urgentemente

Cuerpo del mensaje:

ruego avisen con urgencia, ya que nos urge
enormemente. el texto se abre con acrobat reader
de adobe y está averiguado no contiene virus.
gracias por su respuesta urgentísima por fax.

un abrazo,

Adjunto: spain.pdf



El archivo spain.pdf, que viene adjunto al e-mail, contiene el
siguiente mensaje:



Estimados Señores:

He buscado su teléfono, pero información me ha dado un número
equivocado, por lo que ruego me avisen lo antes posible del mismo
correcto.

Dado que estoy viajando no puedo recibir correo electrónico, y ruego
me mande su teléfono y también su dirección completa al fax número
80 35 23 357 cuanto antes para poder encontrarlo y poder llamarle
directamente. Además estamos teniendo problemas con el correo
electrónico entrante.

Agradecería me avise también de sus horas que están para no llamar
en vano. Espero poder leerle cuanto antes, y le agradezco mucho la
amable atención que tienen a mi respecto.

Muy atentamente le saluda,
Gerald Brenning
Director RR.PP.



Aparte del argumento que utiliza como excusa, ya de por si bastante
sospechoso (está viajando, pero en vez de una llamada, solicita un
fax), se puede observar como utiliza los espacios para formatear los
primeros números del teléfono en grupo de dos (80 35 23 ...), en
vez de utilizar grupos de 3 dígitos que sería lo habitual, en un
intento de que a primera vista pase desapercibido de que se trata
de un prefijo 803.

Otra versión similar que también ha circulado es la siguiente:



Andrés Segovia
fax 803523630

4 de Noviembre 2003

Estimados Sres:

He intentado llamarles pero me dieron en Información sólo y
únicamente su número de fax.

Ruego me avisen cuanto antes su número de teléfono. Ya que
tengo que salir a la calle prefiero me lo manden por fax al
número de la empresa.

En cuanto vuelvo intento volver a llamarles esta semana.

Muy atentamente le saluda,




Desde el pasado 1 de octubre los nuevos prefijos 803, 806, y 807 de
tarificación adicional han sustituido a los 903 y 906 para servicios
de voz. Si bien el 906 para servicios de transmisión de datos, el
mismo utilizado por los dialers de Internet, sigue vigente hasta el
31 de diciembre, momento en el cual será sustituido por el nuevo
prefijo 907.

Según se establece en el BOE nº 186, de 5 de agosto de 2002, los
servicios para adultos quedan recogidos en los prefijos 803, los de
ocio y entretenimiento en los 806, y los de carácter profesional
ocuparán las líneas 807. El cuarto dígito en el número indica la
tarifa, que va desde el 0 como la tarifa más baja, 0,35 euros por
minuto, mientras que el 9 implica el coste más alto para el usuario,
superior a 3,15 euros por minuto desde red fija.

En el caso de la estafa que nos ocupa, podemos observar como el
número de fax que indican pertenecería a un servicio de adultos
(prefijo 803), y como cuarta cifra aparece el dígito 5, que establece
la tarifa entre 0,75 y 1 euros por minuto desde telefonía fija, y
entre 1,05 y 1,30 euros por minuto si se accede desde la red móvil.

El coste final del fax que se solicita podría ser aumentado si en
el número de destino se establece un mecanismo para que provoque el
corte de la llamada e impedir así la recepción completa del mismo,
provocando que muchos sistemas de fax intentarán en repetidas
ocasiones la rellamada para completar la operación.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Prefijos 803, 806 y 807
BOE nº 186, de 5 de agosto de 2002
http://www.boe.es/boe/dias/2002-08-05/pdfs/A28904-28905.pdf

Prefijo 907
BOE nº 268, de 8 de noviembre de 2003
http://www.boe.es/boe/dias/2003-11-08/pdfs/A39684-39686.pdf

martes, 16 de diciembre de 2003

OpenAntivirus, crónica de una muerte anunciada

OpenAntivirus es un proyecto de código abierto que intenta
proporcionar soluciones antivirus libres y gratuitas. Aunque la
comunidad open source demuestra día a día su capacidad en muchos
frentes, en este caso nos encontramos con una herramienta muy
primitiva que no ofrece garantía alguna a los usuarios.

De entrada destaca el uso de Java como lenguaje de desarrollo,
suponemos que con la idea de proporcionar una herramienta
multiplataforma, si bien no parece el más adecuado para abordar tareas
propias de un antivirus (trabajo a bajo nivel donde además el
rendimiento se presenta crítico).

Por otro lado, el método de detección utilizado por OpenAntivirus
resulta de lo más arcaico, se basa en buscar determinadas cadenas fijas
en los archivos, su sistema no es mucho más avanzado que la utilidad
grep. Personalmente me ha recordado a las primeras versiones de SCAN
para MSDos, que también incluía en un archivo de texto claro las cadenas
en hexadecimal correspondientes a los diferentes virus que reconocía.

Por ejemplo, esta son algunas líneas del archivo de firmas de
OpenAntivirus, con el formato [nombre_de_virus]=[cadena_hexadecimal]

Micro-Dot=010000c706d9010800c606db0102b904
Pixel #3=0100012e8c1e02018bc32eff2e00
Grune #1=010026c60600004d5e5681c6d50483c36053078bfefdb9
AIDS-II (A)=01007509c47e0426c60500eb0fbf3f04
Icelandic #4=010081fa180c75062ec606200101e919
Jerusalem #1=03f72e8b8d1100cd218cc80510008ed0

Con este tipo de sistema de detección OpenAntivirus anula de entrada
sus posibilidades, ya que le impide detectar por definición algunos
tipos de virus. Por ejemplo, fallaría al intentar identificar las
series de un virus polimórfico, capaz de modificar su código en cada
infección.

Las sospechas se confirman cuando probamos VirusHammer, el detector
antivirus para escritorio que OpenAntivirus ha desarrollado para
usuarios finales. El espacio que ocupa en memoria supera a los
principales motores antivirus comerciales, el rendimiento es menor,
y los porcentajes de detección en todos los apartados son
extremadamente bajos. Como indicador más claro, OpenAntivirus no
reconoce ninguno de los archivos de la colección de virus de macro
que Hispasec utiliza en sus comparativas, compuesta por miles de
muestras infectadas.

En definitiva, nos encontramos con una herramienta no apta para su uso
final como sistema antivirus, debido a sus debilidades intrínsecas y
escaso índice de detección real. Esperamos que en un futuro no muy
lejano aumente sus prestaciones, no sin antes pasar por una revisión
a fondo del proyecto.

¿Por que no han aflorado iniciativas antivirus de código abierto más
competitivas? Mi opinión es que hasta la fecha el movimiento open
source ha estado íntimamente ligado a plataformas como Linux, donde
los virus no han representado una amenaza real, de modo que no existe
una motivación clara.

En cambio, sí podemos encontrar una buena cantidad de
soluciones open source para integrar motores antivirus a los MTA, para
detectar virus en los servidores de correo, un terreno más dominado por
el mundo Unix. Si ir más lejos, uno de los miembros de OpenAntivirus
es desarrollador de AMaViS.

Todo parece indicar que los precursores de OpenAntivirus han pecado
de falta de conocimiento y experiencia sobre el mundo de los virus y
tecnología antivirus en plataformas Microsoft, prácticamente la inmensa
mayoría. No en vano parece que han desarrollado el proyecto sin tener
en cuenta todos los avances que en esta materia se han producido en los
últimos 10 años, y han proporcionado una herramienta que tal vez hubiera
sido útil a principios de los 90, no en la actualidad.


Bernardo Quintero
bernardo@hispasec.com


Más información:

OpenAntivirus
http://www.openantivirus.org/

Project: The OpenAntivirus Project: Summary
http://sourceforge.net/projects/openantivirus/

lunes, 15 de diciembre de 2003

Explicaciones de Microsoft sobre su nueva política de actualizaciones

En diversas ocasiones, desde una-al-día hemos analizado y criticado la
nueva política de actualizaciones de Microsoft. En respuesta a
Hispasec, Héctor Sánchez, responsable de Seguridad Corporativa de
Microsoft Ibérica, nos ofrece el punto de vista oficial de Microsoft
al respecto, que a continuación reproducimos de forma íntegra.



Estimados amigos de Hispasec:

A la vista de las noticias publicadas el 12/11/2003 y el 9/12/2003 al
respecto de la política de Microsoft sobre los anuncios de
actualizaciones de seguridad, me doy cuenta del esfuerzo que desde
Microsoft tenemos que continuar haciendo en comunicar más claramente
los motivos por los que se toman determinadas decisiones.

Con ese objetivo, y por si lo consideráis de interés para los lectores
de una-al-día, os doy la explicación a la que aludís en la noticia:

1.- ¿Que ha anunciado Microsoft exactamente?

Microsoft ha anunciado un cambio en la política de la comunicación de
actualizaciones de seguridad, de forma que estas se producirán de
forma predecible en el segundo martes de cada mes. Es decir, que ese
mes en el que se produzca una alerta de seguridad con su respectiva
actualización, el anuncio se hará ese día concreto. Y si durante ese
mes no ha habido ninguna alerta, como el caso del mes de Noviembre, no
se anunciará nada hasta el siguiente mes. Existirán excepciones cuando
la situación lo requiera como explicaré en el punto 3.

2.- ¿Que se persigue con esta política ?

Exclusivamente un solo objetivo: Permitir la PLANIFICACIÓN. Sabemos
del esfuerzo que representa para una compañía un proceso de
actualización de software ante la aparición de un problema de
seguridad.

La medida está pensada fundamentalmente para minimizar situaciones de
actualización de software no planificadas, y permitir que una
corporación pueda planificar sus recursos adecuada y ordenadamente
ante una actualización de seguridad. No existe ningún otro objetivo.

3.- Bien, ganamos en planificación, pero ¿Cómo afecta esta medida a la
seguridad de nuestros sistemas?

El primer pensamiento que surge es del estilo: "Pero como voy a
mantener mi sistema vulnerable durante un mes hasta que llegue ese día
de actualización?" Esta es la preocupación que mayoritariamente se nos
ha transmitido tras el anuncio de esta medida. Si pensamos en ello
detenidamente, veremos lo siguiente:

Las vulnerabilidades representan un aumento exponencial del riesgo a
partir de su descubrimiento y anuncio, no antes. Para ilustrar esto,
algunos ejemplos:

- La distribución del MIT de Kerberos ha tenido una vulnerabilidad
latente durante años (9, 10 ?? ) Sin embargo, esta solo ha supuesto un
riesgo elevado, cuando ha sido descubierta, no antes.

- El mismo ejemplo lo tenemos en el protocolo de gestión de red SNMP:
Un protocolo que tras 15 o 20 años de existencia, apareció en el año
2002 de la noche a la mañana vulnerable y es a partir de ese momento
del descubrimiento cuando supone un riesgo, no antes.

- Si nos vamos a los Sistemas Operativos, podemos poner ejemplos en
todo tipo de sistemas, dado que el problema de las vulnerabilidades
afecta a toda la Industria IT. A modo de ejemplo, alguna de las
distribuciones de Linux mas extendidas (debian, Redhat), barajan
exactamente 187 y 100 vulnerabilidades de seguridad en lo que llevamos
de año 2003 (http://www.debian.org/security/2003/;
http://rhn.redhat.com/errata/rh73-errata-security.html ).Suponen
igualmente un mayor riesgo para dichos sistemas a partir del momento
de su publicación, no antes.

- Si particularizamos en Microsoft, podemos poner un ejemplo reciente
con el virus Blaster: La vulnerabilidad que utilizó Blaster (026) ha
estado latente. El riesgo que ha supuesto durante esos años es mínimo,
prácticamente inexistente. ¿Cuando aumenta el riesgo? Cuando se
descubre y anuncia su existencia. De hecho, es solo 27 días después
cuando Blaster entra en escena. Técnicas de Ingeniería inversa sobre
el update publicado son en parte responsables de esta celeridad.


Si volvemos a pensar en el anuncio que hace Microsoft, tendremos mas
claro que no perdemos en materia de seguridad desde el momento que
asumimos que el riesgo es casi inexistente antes de cualquier tipo de
anuncio, y solo a partir de entonces, el riesgo es elevado.

En el entorno de una política de gestión de riesgos, esta medida
contribuye a minimizarlo, desde el momento en que se incrementa el
control sobre la planificación en el despliegue de la actualización de
seguridad.

Insisto en matizar que hablamos de retrasar unos días el anuncio, para
permitir la planificación.

Pero aun así, en ese 0.1% de casos donde el orden de sucesos no ocurra
de esta forma, como por ejemplo el conocimiento de una vulnerabilidad
de forma previa a la creación del update, NO SE SEGUIRÁ ESTA NORMA DE
PUBLICACIÓN MENSUAL y se publicará en cuanto la actualización esté
preparada.

Por tanto, reitero que el objetivo de esta iniciativa es exclusivamente
permitir la PLANIFICACIÓN, a cambio de ninguna perdida en seguridad.

Con la esperanza de contribuir a una información mas completa para los
lectores de una-al-dia, recibid un cordial saludo

Héctor Sánchez Montenegro
Responsable de Seguridad Corporativa
Microsoft Ibérica






Más información:

una-al-dia (12/11/2003) Microsoft distribuye los parches de noviembre
http://www.hispasec.com/unaaldia/1844

una-al-dia (09/12/2003) Microsoft no distribuye los parches de diciembre
http://www.hispasec.com/unaaldia/1871

domingo, 14 de diciembre de 2003

Problemas en la BIOS de algunas máquinas de DELL

Un usuario que desconozca este problema podría causar una potencial denegación de servicio al utilizar determinados caracteres en el control de acceso de la BIOS de algunos ordenadores DELL.

Se tiene constancia que el Dell Inspiron 2650 System BIOS A11 se ve afectado por un problema, por el cual, cuando un usuario establece una clave para el acceso a la BIOS se le permite la utilización de algunos caracteres especiales (" < >.' []{} ") pero cuando posteriormente intente acceder a la mencionada BIOS no se permite la identificación. El problema viene dado porque al introducir los caracteres no permitidos, no se avisa de la incorrección de los mismos, siendo a posteriori cuando el usuario se lleva la triste sorpresa.

El A11 es la BIOS que en la actualidad utiliza DELL en algunas de sus máquinas y fue puesta en circulación el pasado mes de septiembre del año actual.

La solución pasa por telefonear al servicio de asistencia de DELL, y tras identificarse como dueño del ordenador se le proporciona una contraseña maestra que le solucionaría el problema.


Antonio Román
roman@hispasec.com


Más información:

Dell BIOS DoS (Invalid Characters in BIOS Password)
http://www.securiteam.com/securitynews/6T0022K95M.html

Soporte técnico DELL
http://support.dell.com/

sábado, 13 de diciembre de 2003

Claves de firma digital inseguras en GnuPG

Las claves de firma digital "ElGamal" generadas con versiones recientes
de GnuPG son inseguras, lo que puede filtrar información suficiente como
para regenerar la clave secreta de firma y permitir la falsificación
de firmas digitales.

GnuPG es un software "Open Source" (GPL) y gratuito, que permite la
firma y cifrado de documentos mediante criptografía simétrica y
asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good
Privacy), y nació como respuesta a la introducción de las variantes
PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es
una herramienta fundamentalmente UNIX y línea de comando, existen
implementaciones también para plataformas Windows, y frontales
gráficos para un uso más simple.

Las claves de firmado digital "ElGamal" generadas con las últimas
versiones de GnuPG (a partir de 1.0.2, inclusive) resultan inseguras,
de forma que un atacante puede obtener información suficiente como
para obtener la clave secreta de firma y conseguir la falsificación
de firmas digitales.

Los usuarios que empleen claves ElGamal para firma digital deberían
revocarlas y regenerar claves de firma nuevas.

La vulnerabilidad afecta exclusivamente a las claves de firma ElGamal.
Las claves de cifrado RSA y ElGamal, y firma DSA y RSA no se ven
afectadas.

Es de señalar que para generar ese tipo de claves se requiere activar un
modo especial en el programa, al ser consideradas ineficientes, por lo
que es de esperar que el número de personas afectadas por esta grave
vulnerabilidad sea reducido. Las primeras estimaciones indican unas 1200
claves vulnerables en los servidores de claves públicos o,
aproximadamente, el 0'04% del total disponible de forma pública.

La vulnerabilidad introducida en GnuPG 1.0.2 consiste en intentar
generar claves de firma ElGamal con parámetros que permitan su procesado
más eficiente. Lamentablemente los parámetros seleccionados hacen que
las claves generadas sean inseguras, de forma que a partir de una firma
digital se puede descubrir la clave secreta.

Es de destacar que una clave ElGamal generada por una versión previa de
GnuPG será segura mientras no se utilice dicha clave para generar nuevas
firmas en versiones modernas de GnuPG. Por ello, lo más recomendable es
revocar y regenerar las claves ElGamal de firma, independientemente de
su fecha de generación original.

Para identificar claves vulnerables, basta con listar sus parámetros y
comprobar si se trata de una clave de firma ElGamal (letra "G" mayúscula),
en cuyo caso será vulnerable. Cualquier otro tipo, como cifrado Elgamal
(letra "g" minúscula), RSA o DSA, no presentan ningún problema.


Jesús Cea Avión
jcea@hispasec.com


Más información:

[Announce] GnuPG's ElGamal signing keys compromised
http://lists.gnupg.org/pipermail/gnupg-users/2003-November/020772.html

GnuPG
http://www.gnupg.org/

GnuPG's ElGamal Signing Keys Compromised
http://slashdot.org/article.pl?sid=03/11/27/138242

Vulnerabilidad en GPG
http://barrapunto.com/article.pl?sid=03/12/01/0958241

Comprometidas las claves de firma ElGamal
http://barrapunto.com/article.pl?sid=03/12/07/0324207

[Announce] GnuPG 1.2.3 patch to remove ElGamal signing keys
http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000277.html

[Full-Disclosure] GnuPG's ElGamal signing keys compromised
http://archives.neohapsis.com/archives/fulldisclosure/2003-q4/2998.html

viernes, 12 de diciembre de 2003

Conferencias virtuales gratuitas UMEET 2003 sobre Unix

El próximo lunes día 15 de Diciembre se inicia el ciclo de conferencias
virtuales UMEET 2003, organizadas por UniNet. Se trata del cuarto año
de vida de la iniciativa, y cuenta con una gran aceptación entre los
usuarios.

Este cuarto congreso sobre Unix en UniNet, UMEET'2003, se celebrará
del 15 al 23 de Diciembre de 2003, inclusive, y la asistencia "virtual"
al mismo es libre y gratuita.

Las conferencias del congreso pueden seguirse en directo a través de IRC
(Internet Relay Chat), en el canal "#umeet" en el nodo "irc.uninet.edu".
Los idiomas de las conferencias son español e inglés, con traducción
simultanea.

Las conferencias tratan temas tan diversos e interesantes como el análisis
del spam, patentes de software en Europa o memoria virtual y NUMA. Los
"logs" de las sesiones estarán disponibles online en breve plazo.

A continuación adjuntamos la notificación remitida por la organización
del evento:



Un año mas tenemos el placer de anunciarles la celebración del UMEET 2003.
Se trata de un congreso celebrado íntegramente a través de la red, usando
WWW e IRC. Al igual que otros años, tenemos confirmada la participación de
destacados ponentes y, como siempre, estamos abiertos a recibir nuevas
propuestas y colaboraciones. El congreso empezará el día 15 de diciembre,
y ya está abierta la inscripción gratuita. Les esperamos.

La web:
http://umeet.uninet.edu/

Para inscribirse:
http://compendium.ar.uninet.edu/cgi-bin/umeet2003/register?lang=es





Jesús Cea Avión
jcea@hispasec.com


Más información:

UMEET
http://umeet.uninet.edu/

jueves, 11 de diciembre de 2003

Falsificación de URL y ataque DoS recursivo en Internet Explorer

Dos nuevas vulnerabilidades en el navegador de Microsoft han saltado a
la luz, la más crítica permite falsificar la dirección que aparece en
el navegador para hacer creer al usuario que se encuentra en otro
sitio web. La banca electrónica y servicios que solicitan datos
sensibles al usuario pueden ser principales objetivos de los
atacantes.

Falsificación de URL

Esta vulnerabilidad permite construir un enlace de forma que al
seleccionarlo el usuario visualice una URL concreta en la barra de
direcciones de Internet Explorer, cuando en realidad está visitando
un sitio web diferente.

Las posibilidades de aprovechar este problema son muy diversas, entre
las más críticas podemos encontrar la falsificación de sitios con
servicios críticos, como la banca electrónica.

Un atacante podría copiar en su propio servidor web las páginas de
un banco, incluido el formulario de usuario y contraseña para acceder
al servicio de banca electrónica. A continuación podría distribuir un
enlace que aproveche la vulnerabilidad, de forma que al seleccionarlo
el usuario visualiza la dirección del banco en Internet Explorer y
accede a sus páginas. Al tratarse de una copia, no encontrará nada
irregular a primera vista, el aspecto de la página web y sus
contenidos serán idénticos al original.

En realidad la dirección es falsa, y las páginas que visualiza el
usuario son una copia que se encuentra en el servidor del atacante,
de forma que si introduce sus datos para acceder a su cuenta estaría
proporcionando su nombre de usuario y contraseña a un tercero.

Una vez el atacante dispone de los datos puede dirigirse al sitio
web auténtico del banco y suplantar la identidad de la víctima para
acceder a su cuenta.

Para prevenir éste y otros ataques similares, como los basados en
Cross Site Scripting (XSS), la recomendación pasa por que los usuarios
no accedan a sitios webs sensibles (como por ejemplo a la banca
electrónica) pinchando en enlaces. Sobre todo debemos desconfiar si
éstos nos llegan a través de e-mail o se encuentra en páginas de
dudosa confianza.


Demostración

En la siguiente dirección encontrará una página web con varios enlaces
que aprovechan la vulnerabilidad. Pinche en cualquiera de ellos y
observará que aparece la URL de los sitios a los que aparentemente se
dirige en la barra de direcciones de Internet Explorer (Microsoft,
BBVA, The New York Times), sin embargo en realidad está accediendo a
páginas webs del servidor de Hispasec.

El último enlace, que aparentemente enlaza con la edición web de
The New York Times, nos llevará a una copia de su portada que hemos
editado y copiado en el servidor web de Hispasec. Evidentemente la
noticia de la llegada de extraterrestres es una broma que hemos
incrustado como prueba de concepto.

http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html


DoS recursivo en Internet Explorer

La segunda de las vulnerabilidades que ha saltado a la palestra
consiste en un ataque DoS (denegación de servicio) al sistema cliente
a base de abrir recursivamente ventanas de Internet Explorer, lo que
provocará un aumento en los recursos consumidos (CPU, memoria,...)
que puede dar lugar a diferentes efectos, como el bloqueo del
navegador o del propio sistema.

El ataque, también muy sencillo de reproducir, se basa en una función
recursiva. La velocidad con la que las nuevas ventanas aparecen
supera a las posibilidades de que el usuario las cierre manualmente,
lo que puede provocar el colapso. Una vez el ataque se produce, el
usuario puede detenerlo desde el administrador de tareas finalizando
el proceso del iexplorer.

Demostración

En la siguiente dirección encontrará un enlace a una página web que
reproduce el problema. Aconsejamos que antes de probar esta
demostración guarde toda la información relevante, ya que su
navegador o sistema podría dejar de responder.

http://www.hispasec.com/directorio/laboratorio/Software/tests/dosie.html


La vulnerabilidades, tanto la de falsificación de URL como el intento
de DoS recursivo, son muy básicas y fáciles de aprovechar, basta
con una línea para reproducirlas (puede comprobarlo examinando el
código de las páginas de demostración), lo que sin duda aumenta las
posibilidades de sufrir el ataque.

Estos dos problemas vienen a sumarse a las cinco vulnerabilidades de
Internet Explorer que han sido publicadas recientemente y que aun se
encuentran esperando un parche, coincidiendo en el mes que Microsoft
ha anunciado que no distribuirá el conjunto de actualizaciones de
seguridad que periódicamente publica.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft no distribuye los parches de diciembre
http://www.hispasec.com/unaaldia/1871

Múltiples vulnerabilidades en Microsoft Internet Explorer
http://www.hispasec.com/unaaldia/1862

miércoles, 10 de diciembre de 2003

Parche para ColdFusion MX y JRun 4.0 por denegación de servicio

Macromedia informa de la existencia de vulnerabilidades de denegación
de servicio en ColdFusion MX y JRun 4.

El problema se debe al uso por defecto del analizador Apache Crimson
XML para procesar las peticiones SOAP al servidor web. Las versiones
de ColdFusion 5 y anteriores no incluyen servicios web por lo que no
resultan vulnerables. De igual forma, el parche no será necesario si
ColdFusion MX o JRun 4.0 se emplea únicamente con un servidor web
proporcionados por otros fabricantes.

El parche incluye un sustituto del analizador Crimson XML en
crimson.jar y debe ser aplicado en todas las ediciones de JRun 4.0, en
ColdFusionMX 6.0 y 6.1 y en ColdFusionMX 6.0 J2EE y 6.1 J2EE.

Macromedia ha publicado los parches necesarios para evitar este
problema en la siguiente dirección:
Para ColdFusion MX 6.0,6.1 y JRun 4
http://download.macromedia.com/pub/security/mpsb03-07.zip
Para ColdFusion MX J2EE IBM WebSphere
http://download.macromedia.com/pub/security/mpsb03_07_was5.zip


Antonio Ropero
antonior@hispasec.com


Más información:

MPSB03-07 Security Patch available for ColdFusion MX and JRun 4.0 Web
Services DoS
http://www.macromedia.com/devnet/security/security_zone/mpsb03-07.html

martes, 9 de diciembre de 2003

Microsoft no distribuye los parches de diciembre

Microsoft anuncia que no distribuirá el conjunto de parches
correspondiente al mes de diciembre, que tenía planificado publicar
el día 9 del presente mes.

Como ya hemos comentado en varias ocasiones en "una-al-día",
Microsoft decidió en octubre modificar su política de publicación
de actualizaciones, distribuyendo los parches de forma conjunta una
vez al més, en vez de hacerlo puntualmente de forma individual. Según
esta nueva estrategia, los parches se publicarán el segundo martes de
cada mes.

Microsoft ha mantenido hasta último momento el 9 de diciembre como
fecha prevista para las nuevas actualizaciones, incluyendo la
planificación de un webcast para explicar detalles sobre las
vulnerabilidades y aplicación de las correcciones. Cuando todos
esperábamos la publicación de los parches, en su lugar, el mismo 9
de diciembre, Microsoft anuncia que no dispone de ningún parche para
su distribución.

No dejaría de ser un hecho insólito la no publicación de parches
durante este mes, no en vano, durante los 5 últimos años no ha
existido un sólo mes, sin excepción, en que Microsoft no haya
distribuido parches de seguridad.

¿Podría ser un indicador de que la seguridad de Microsoft ha mejorado?,
tal vez no tenga pendiente problemas críticos que corregir. Sin
embargo la realidad es bien distinta, ya que existen vulnerabilidades
reconocidas en su software, cuyos detalles se han hecho públicos en
Internet y están siendo explotados.

Sin ir más lejos, existen múltiples vulnerabilidades que afectan a
Internet Explorer, algunas de las cuales son consideradas críticas al
permitir la ejecución de código de forma remota, de las que dimos
buena cuenta en Hispasec (http://www.hispasec.com/unaaldia/1862).

Microsoft asegura estar investigando estas vulnerabilidades y trabajar
en los correspondientes parches, si bien todo indica que no ha podido
terminar el ciclo de desarrollo y control de calidad para su
publicación final en la fecha prevista.

Dada la complejidad y dependencia del software de Microsoft, no se
puede criticar en esta caso concreto el tiempo transcurrido en la
resolución, si bien plantea una duda: ¿esperará Microsoft al segundo
martes de enero para distribuir estos parches críticos?, o bien,
tal y como recoge su política de actualizaciones, ¿los publicará
antes, en cuanto estén disponibles, ya que se considera urgente la
corrección de estos problemas?

La duda quedará resuelta en cuestión de semanas, desde Hispasec
confíamos en poder informarles a la mayor brevedad de la
disponibilidad de los parches.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletins
http://www.microsoft.com/security/bulletins

Múltiples vulnerabilidades en Microsoft Internet Explorer
http://www.hispasec.com/unaaldia/1862

lunes, 8 de diciembre de 2003

Distribuciones de Linux especializadas en seguridad

Durante los últimos meses han aparecido varias distribuciones del
sistema operativo Linux especializadas, con herramientas de interés
para los profesionales de la seguridad informática.

Knoppix STD 0.1b
http://www.knoppix-std.org/

STD (Security Tools Distribution) es una versión personalizada de
Knoppix, una distribución de Linux pensada para ser ejecutada
directamente desde el CD-ROM ("Live CD"). Utiliza el núcleo 2.4.20 y
KDE 3.1, da soporte a una gran cantidad de dispositivos de hardware
(que son detectados y configurados automáticamente). Cuando se arranca
la máquina con Knoppix STD, no se realiza ningún tipo de modificación
en la configuración del ordenador.

Knoppix STD incluye un gran número de herramientas de interés para la
seguridad, todas ellas preparadas para ser ejecutadas directamente
desde el CD. Las herramientas se dividen en varias categorías:
autenticación, identificación de contraseñas, cifrado; herramientas
para el análisis forense, cortafuegos, honeypots, sistemas de
detección de intrusiones; herramientas para la gestión de redes; un
gran número de herramientas para la realización de pruebas de
penetración, sniffers; herramientas para la realización de
valoraciones de seguridad y herramientas para la realización de
pruebas de redes sin fines.

LocalAreaSecurity 0.4
http://www.localareasecurity.com/

Esta es otra distribución "LiveCD", de pequeño tamaño (185 MB, pensada
para instalarse en un CD pequeño, de la medida de una tarjeta de
crédito). También está basada en Knoppix y utiliza el núcleo 2.4.20.

LocalAreaSecurity está especializada en la realización de pruebas de
verificación de la seguridad y en las pruebas de penetración,
incluyendo un gran número de herramientas especializadas: sniffers,
cifrado, monitorización de redes, detección de información oculta,
obtención de información, etc...

Phlax (Profesional Hacker's Linux Assault Kit) 0.1
http://www.phlak.org/

Otra distribución "Live CD" que se ejecuta directamente desde el
CD-ROM. Está especializada en la realización de análisis de seguridad,
pruebas de penetración, análisis forense y auditorios de seguridad.
Entre las herramientas incluidas encontramos: sniffers y herramientas
para el análisis del tráfico capturado, herramientas para el análisis
de protocolos y del funcionamiento del sistema, extracción de datos de
sistemas de ficheros, cifrado de ficheros, etc...

R.I.P. (Recovery Is Posible) Linux
http://www.tux.org/pub/people/kent-robotti/looplinux/rip/

Se trata de una distribución de Linux pensada por recuperar datos de
sistemas de ficheros defectuosos. Merced a esta distribución, el autor
de este boletín pudo recuperar los datos de una máquina con un disco
duro defectuoso que Windows XP se negaba a reconocer ni tampoco sabía
como reparar. Con R.I.P. Linux fue posible no tan solo montar y
acceder a la información, sino transferirla por la red a otro sistema.

R.I.P. Linux funciona directamente desde el CD-ROM y da soporte a
diversos sistemas de archivos: ext2, ext3, reiser, jfs, xfs, ufs,
NTFS, FAT16 y FAT32

WARLINUX 0.5
http://sourceforge.limpio/projects/warlinux/

Esta distribución de Linux, en modo texto, está especialmente pensada
para la verificación de la seguridad de las redes inalámbricas.
Funciona directamente desde el CD y permito identificar las redes
inalámbricas que están al alcance del ordenador y la realización de
auditorios de seguridad y valoración de su nivel de seguridad.

FIRE
http://biatchux.dmzs.como/

Esta versión de Linux incluye las herramientas necesarias para la
realización de valoraciones de seguridad, respuesta a incidentes de
seguridad, pruebas de penetración y análisis forense de sistemas y
recuperación de datos en sistemas Windows, Solaris (SPARC) y Linux
(x86). Adicionalmente, FERIO incluye un programa para la detección de
virus (F-Prot).


Otras distribuciones similares a estas que hemos comentado son Penguin
Sleuth Kit, @stake Pocket Security Toolkit v3.0, ThePacketMaster Linux
Security Server y Trinux.


Xavier Caballé
xavi@hispasec.com


Más información:

Knoppix-STD
http://www.knoppix-std.org/

LocalAreaSecurity Linux
http://www.localareasecurity.com/

PHLAX
http://www.phlak.org/

RIP Linux
http://www.tux.org/pub/people/kent-robotti/looplinux/rip/

WARLINUX
http://sourceforge.net/projects/warlinux/

FIRE
http://biatchux.dmzs.com/

Penguin Sleuth Kit
http://www.linux-forensics.com/downloads.html

@stake Pocket Security Toolkit v3.0
http://www.atstake.com/research/tools/pst/

ThePacketMaster Linux Security Server
http://freshmeat.net/projects/tpmsecurityserver/

Trinux
http://trinux.sourceforge.net/

domingo, 7 de diciembre de 2003

Informe trimestral del CERT

Regularmente el centro coordinador del CERT presenta un informe con
las vulnerabilidades e incidentes reportados mas notables del último
periodo.

En su última edición se documentan como problemas más frecuentes:

* Gusano W32/Mimail y sus variantes.

* Desbordamiento de buffer en Windows Workstation Service.

* Múltiples vulnerabilidades en Microsoft Windows y Exchange.

* Vulnerabilidades en las implementaciones de SSL/TLS.

* Uso de las vulnerabilidades de Internet Explorer.

* Gusano W32/Swen.A.

* Desbordamiento de buffer en Sendmail.

* Vulnerabilidad de buffer en OpenSSH.

* Vulnerabilidades en el servicio RPCSS de Microsoft Windows.

Todas estas vulnerabilidades han sido publicadas por Hispasec a través
de este mismo boletín y el servicio de alertas SANA, por lo que los
administradores de sistemas que mantienen sus equipos actualizados no
serán susceptibles a ninguno de los ataques descritos que, como se
refleja en el informe del CERT, constituyen el grueso de ataques en
Internet, en este momento.


Francisco Santos
fsantos@hispasec.com


Más información:

CERT® Summary CS-2003-04
http://www.cert.org/summaries/CS-2003-04.html

Clave Pública del CERT
https://www.cert.org/pgp/cert_pgp_key.asc

"Mimail", gusano de propagación masiva llega como "message.zip"
http://www.hispasec.com/unaaldia/1741

Nuevas versiones del gusano "Mimail" roban números de tarjetas de crédito
http://www.hispasec.com/unaaldia/1850

Desbordamiento de búfer en servicio Estación de Trabajo
http://www.hispasec.com/unaaldia/1847

Ejecución de código por vulnerabilidad en Exchange Server
http://www.hispasec.com/unaaldia/1821

sábado, 6 de diciembre de 2003

Problema en los núcleos 2.4 compromete también a Savannah

Recientemente conocíamos que varios servidores del Proyecto Debian
habían resultado comprometidos. Esta semana se hizo público el resultado
del estudio forense de tales máquinas, alertando de la explotación
local de los núcleos Linux. Esta misma vulnerabilidad se usó para
comprometer hace cerca de un mes Savannah.

Savannah es el centro de desarrollo y mantenimiento de los paquetes de
software y otros proyectos relacionados con GNU y el software libre, a
su vez Debian es una distribución gratuita de GNU/Linux. Ambos proyectos
usaban núcleos Linux en sus sistemas de desarrollo.

Concretamente la vulnerabilidad en los núcleos Linux iguales o inferiores
a la versión 2.4.22 se debe a un problema en la comprobación de los
limites de la funcion do_brk() esto puede permitir a un usuario local
escalar privilegios y obtener permisos de administrador.

Las investigaciones en las máquinas del Proyecto Debian comprometidas
sacaron a la luz un exploit que hacía uso de la vulnerabilidad
explicada, el compromiso se habría llevado a cabo tras haber obtenido
la clave de un usuario sin privilegios (al que se le habían espiado las
comunicaciones) tras lo cual se utilizó dicho exploit y se instaló un
rootkit en la máquina.

Esta vulnerabilidad era conocida desde septiembre justo después de que
se liberara la versión 2.4.22, versión que usaban dichos servidores.

A raíz de esta información la FSF (Fundación de Software Libre)
descubrió que sus servidores también habían sido comprometidos del mismo
modo, tras lo cual, al igual que en el caso de Debian, los servidores
están siendo reemplazados y las fuentes verificadas.


Francisco Javier Santos
fsantos@hispasec.com


Más información:

More details on the recent compromise of debian.org machines
http://lists.debian.org/debian-devel-announce/2003/debian-devel-announce-200311/msg00012.html

Varias máquinas del Proyecto Debian comprometidas
http://www.hispasec.com/unaaldia/1854

Userland can access Linux kernel memory
http://lists.debian.org/debian-security-announce/debian-security-announce-2003/msg00212.html

Vulnerabilidad de los núcleos 2.4 descubierta
http://barrapunto.com/article.pl?sid=03/12/02/127247

Kernel Exploit Cause Of Debian Compromise
http://developers.slashdot.org/article.pl?sid=03/12/01/2133249

Savannah y Gentoo también comprometidos
http://barrapunto.com/articles/03/12/04/0942215.shtml

Anuncio original de Savannah
http://savannah.gnu.org/statement.html