lunes, 31 de mayo de 2004

Vulnerabilidades en router ADSL 3Com OfficeConnect Remote 812

Se han detectado dos vulnerabilidades en el router ADSL 3Com
OfficeConnect Remote 812 que permitirían a usuarios maliciosos provocar
una denegación de servicio o esquivar los mecanismos de autenticación
del dispositivo.

El primer problema se debe a un desbordamiento de búfer en el firmware
versión 1.1.9.4. Dicho desbordamiento puede provocarse enviando al
puerto telnet una cadena larga especialmente formada a tal efecto. La
cadena, que contendrá ciertas secuencias de escape propias del servicio,
puede provocar la reinicialización del dispositivo o que éste
simplemente deje de procesar paquetes. Si el router no se reinicia de
forma espontánea, se deberá proceder a hacerlo de forma manual para
recobrar su funcionamiento normal.

El segundo problema consiste en que al intentar múltiples intentos
sucesivos de autenticación contra el router es posible conseguir el
acceso con una combinación de nombre de usuario y clave aleatoria.
Aunque no se conoce la razón de este fallo del dispositivo, el problema
es especialmente grave por la sencillez del procedimiento para realizar
el ataque.

Ante la falta de una corrección oficial para estos problemas, se
recomienda limitar el acceso a los puertos de las interfaces
administrativas. La propia compañía tiene una pequeña guía que muestra
como filtrar el acceso al puerto 80, que puede aplicarse también para el
del servicio telnet. La dirección para descargar dicho documento es la
siguiente:
http://support.3com.com/infodeli/tools/remote/ocradsl/http_filtering.pdf


Julio Canto
jcanto@hispasec.com


Más información:

3Com OfficeConnect Remote 812 ADSL Router Telnet Protocol DoS Vulnerability
http://www.idefense.com/application/poi/display?id=105&type=vulnerabilities

3Com OfficeConnect Remote 812 ADSL Router Authentication Bypass
Vulnerability
http://www.idefense.com/application/poi/display?id=106&type=vulnerabilities

domingo, 30 de mayo de 2004

Desbordamiento de búfer en mod_ssl 2.x para Apache 1 y 2

Se ha descubierto una vulnerabilidad en mod_ssl que potencialmente
podría ser utilizada para provocar una denegación de servicio o
incluso comprometer la seguridad de un sistema afectado.

La vulnerabilidad, descubierta por Georgi Guninski, se debe a un error
de límites en la función "ssl_util_uuencode_binary()" cuando se
encarga de tratar certificados de clientes. Esto podría ser explotado
para provocar un desbordamiento de búfer basado en stack con tan solo
enviar un certificado con un asunto DN especialmente largo (de más de
6 KB).

La explotación con éxito de esta técnica requiere que la opción
"FakeBasicAuth" esté activada y que el certificado malicioso esté
emitido por una CA (Autoridad Certificadora) de confianza.

Se recomienda actualizar a la versión 2.8.18 en caso de utilizar
Apache 1.3.31. Esta actualización puede descargarse de la siguiente
URL:
http://www.modssl.org/source/mod_ssl-2.8.18-1.3.31.tar.gz

El parche corrector para Apache 2.0 está disponible vía CVS:
http://cvs.apache.org/viewcvs.cgi/httpd-2.0/modules/ssl/ssl_engine_kernel.c?r1=1.105&r2=1.106


Julio Canto
jcanto@hispasec.com


Más información:

[Full-Disclosure] mod_ssl ssl_util_uuencode_binary potential problem
http://lists.netsys.com/pipermail/full-disclosure/2004-May/021610.html

sábado, 29 de mayo de 2004

Entrevista a Steven Bellovin (y II)

En el marco del reciente Internet Global Congress, celebrado en
Barcelona del 10 al 14 de mayo, tuvimos la oportunidad de conversar
con Steven Bellovin, un autentico pionero de Internet (es el
co-inventor de USENET, por ejemplo) y gurú de temas de seguridad
informática.

Pregunta:
¿La publicación constante de nuevas versiones de software afecta a
la estabilidad del software?

Respuesta:
No puedo decirlo de forma genérica para cada nueva versión, pero
obviamente si un producto concreto que está evolucionando y
cambiando constantemente no ayuda a que lo podamos considerar
seguro.

No obstante, hemos hecho progresos. Cuando empecé a programar,
hace ya cuarenta años, el sistema operativo era muy inestable.
Los grandes mainframes apenas podían funcionar un día seguido. En
la actualidad, no es extraño que un servidor Unix funcione
ininterrumpidamente durante años sin necesidad de reiniciarlo.
Incluso en el mundo de los ordenadores personales, Windows XP es
mucho más estable que Windows 98. Desde luego que no dispone de
una estabilidad excepcional: no puedes esperar tener una máquina
Windows XP funcionando un año, pero desde luego es mucho mejor
que hace unos pocos años.

Hay una lección que aprendí hace ya 35 años: nunca instales la
versión .0 de cualquiera producto. Hace falta esperar un tiempo,
que se descubran los problemas que a buen seguro tiene y esperar
que la primera tanda de parches sean incorporados. Y también hace
falta ser conscientes de que cada parche, cada solución a un
problema, introduce nuevos problemas. Esto es algo que aprendí
cuándo iba a la universidad y no creo que haya cambiado
significativamente en la actualidad. El software actual es mucho
mejor que el de hace unos años, pero continua sin ser lo bueno que
podría ser.


P:
¿Y qué sucede con el usuario estándar? ¿Crees que el usuario sin
especiales conocimientos de informática está realmente
preparado para todo esto? Las últimas versiones de los sistemas
operativos empiezan a incluir cortafuegos habilitados por
defecto, muestran alertas cuando algo sucede... pero creo mucha
gente en realidad no entiende exactamente que es todo esto.
¿Estamos delegando demasiada responsabilidad en el eslabón más
débil?

R:
Creo que este es un problema muy importante. El usuario final
no tiene una conciencia de seguridad. Como conductor se como
llenar el depósito de gasolina y como cambiar el aceite pero, en
realidad, lo que espero de mi coche es simplemente que funcione.

En cambio, con el ordenador es necesario instalar continuamente
nuevas cosas. Cada vez son más complicados. No podemos esperar
que el usuario responda adecuadamente a esta clase de
situaciones. La formación, no obstante, es algo que ha de ayudar
a resolver este problema.

El motivo por el cual los cortafuegos han de estar habilitados en
la configuración por defecto es la existencia de un número tan
elevado de gusanos circulando por Internet, de forma que si conectas
un ordenador desprotegido en una conexión de banda ancha cómo
puede ser el cable o DSL, no podrás ni llegar a instalar los parches:
antes estarás infectado. Esto es algo realmente terrorífico.

El auténtico problema es que la máquina está ejecutando un gran
número de servicios y cada uno es potencialmente vulnerable a
problemas de seguridad. Es más, muchos de estos servicios no
tienen ninguna razón para comunicarse con el exterior, al menos
para la mayoría de los usuarios. Muchos de estos servicios fueron
diseñados para entornos controlados o bien para entornos no
ciertamente hostiles.

No tengo ninguna solución mágica. Ciertamente la configuración de
una máquina tiene que ser revisada antes de conectarse a la red.

Los sistemas deberían tener un sistema de auto-actualización que
instale automáticamente los parches tan pronto como estos estén
disponibles.

P:
No obstante, el problema con los cortafuegos activados por
defecto lo enfocaba de otra forma. Desde luego que coincido
contigo que deben de estar activados... ¿Pero qué sucede cuando el
usuario ante un servicio o aplicación que no funciona, sin ser
consciente de que hace desactiva el cortafuegos o cambia las
reglas para permitir todo el tráfico? En este momento, el usuario
puede tener una falsa sensación de seguridad, puesto que su
sistema tiene un cortafuegos, cuando en realidad está totalmente
desprotegido, lo que incluso es peor.

R:
Totalmente cierto. Es realmente una situación complicada. Cuándo
mi hijo compró un nuevo ordenador hace más o menos un año, lo que
me hubiera gustado hacer es no instalar ningún programa excepto
un cortafuegos durante un periodo de dos semanas para así poder
entender el funcionamiento normal del sistema. Mi hijo no estaba
en absoluto de acuerdo. Él quería instalar muchas cosas de forma
inmediata.

Necesitamos saber que se supone que debe de ejecutarse en cada
máquina. Y esto requiere mucho tiempo, incluso años. Nos
sorprendería identificar el elevado número de programas que
intentan comunicarse a través de la red en una instalación por
defecto de una máquina con Windows. Y la mayoría de estas
cosas no son en absoluto necesarias ni es preciso que se
comuniquen por la red.

Esto es muy malo, un diseño muy malo. Lo único que hace es
causar problemas.

Es importante indicar que el mejor cortafuegos del mercado no
puede realmente proteger los servicios que deseamos ejecutar.
Esto demuestra la necesidad de disponer de más de un nivel de
protección: volvemos a la seguridad en profundidad. Por ejemplo,
un servidor web no puede ser protegido por el cortafuegos. Este
tiene que permitir el tráfico o de lo contrario, los clientes no
podrán acceder.

¿Como protejo un servidor web? Cómo he indicado antes con el
ejemplo de las compañías telefónicas, la mejor forma es aislando
cada uno de los servicios. De esta forma, cualquier problema en
el servidor web tendrá como único efecto que éste deja de
funcionar pero no permitirá al atacante modificar la base de
datos u obtener la relación de tarjetas de crédito de los
clientes. De acuerdo, no es bueno que el servidor deje de
funcionar, pero desde luego es mucho peor que nos roben las
tarjetas de nuestros clientes.


P:
Uno de los últimos RFC en los cuales has participado trata sobre
la necesidad de integrar la seguridad de los protocolos de
Internet. La mayoría de los protocolos no disponen de ningún
sistema de seguridad.

R:
Creo que es bueno añadir la seguridad allí donde es necesario,
pero esta no es la solución a los problemas. La mayoría de los
problemas son debidos a errores de configuración o programas que
no funcionan correctamente.


P:
Cuando hablo de mecanismos de seguridad, por ejemplo me refiero a
la ausencia de mecanismos de autenticación en la mayoría de
protocolos...

R:
De hecho, la mayoría de protocolos no los necesitan en absoluto.
Hace unos años, analicé todos los avisos de seguridad publicados
por el CERT. El 85% de los problemas descritos podían ser
solucionados con los protocolos actuales, no eran ocasionados por
la ausencia de mecanismos de autenticación. En algunos de los
protocolos utilizados para los nuevos servicios, la autenticación
si es un factor importante.

Un problema más importante que la autenticación es el de la
autorización: quien tiene permiso para enviar correo. Hay gente
que dice que si sólo se admite el correo autenticado, esto
solucionará el problema del SPAM, pero esto es totalmente falso.
Tanto tú como un spammer puede enviarme un mensaje y en ambos
casos el mensaje puede estar firmado digitalmente. Desde luego
quiero recibir tu correo pero no el del spammer. Si nunca nos
hemos comunicado antes, estás en la misma situación que el
spammer. Como se que tu correo es legítimo?

Así pues la autorización es un problema mucho más importante. La
autenticación únicamente soluciona el problema de la gente que
desea hacer cosas sin necesidad de utilizar contraseñas; no
soluciona ningún otro problema.


P:
Hablando del SPAM, este es un de los problemas que más preocupa
a la mayoría de la gente. Crees que todavía podamos ganar la
batalla contra lo SPAM o tal vez podamos considerar que el correo
electrónico, tal y como lo conocemos hoy, ya se puede dar por
perdido y por lo tanto es necesario inventar una cosa nueva?

R:
No lo se. El problema de plantearnos una alternativa al email
es el que ya he comentado antes sobre autenticación. Puedo
utilizar criptografía en el proceso del correo, pero esto no
responde a la pregunta de quien puede enviar email. Alguien ha
dicho que lo que podamos hacer es permitir únicamente el email
procedente de los principales ISP, que seguro no envían SPAM.
Pero, ¿quien es un ISP? Yo tengo un ordenador alojado a una
empresa de hospedaje de máquinas. ¿Esto me convierte en un ISP?
¿Puedo utilizar esta máquina para enviar email? ¿Quien tiene la
responsabilidad de decir este es un ISP y este otro no? Por otro
lado, algunos ISP permiten a los spammer utilizar sus servicios,
puesto que son clientes que pagan.

Un porcentaje significativo del SPAM que circula actualmente
proviene de ordenadores personales. Los spammers y los intrusos
han formado una alianza. Los spammers han creado una motivación
económica para que los intrusos se introduzcan en las máquinas,
recibiendo una compensación económica para convertirlas en
sistemas de envío de SPAM.

¿Como luchamos contra el SPAM? Lo que sucederá es que cualquier
mecanismo que intentamos utilizar para enviar email será
automáticamente incorporado dentro de los mensajes de SPAM. Si la
solución la planteamos a nivel de ISP, que este ente cobre por
enviar correo, el usuario doméstico será el que acabará pagando,
puesto que su ordenador ha estado violado y se ha convertido en
una fuente de SPAM.

No conozco ninguna solución mágica para este problema. Lo que si
se que ninguna solución que no tenga en cuenta lo que acabo de
comentar no funcionará.

Otro peligro importante es el hecho que el correo electrónico es
algo descentralizado. Me preocupa la centralización de la red.
Una de las mejores cosas de Internet es que está totalmente
descentralizada. El WWW no fue inventado por ningún ISP ni por
ningún comité: fue inventado por una persona que trabajaba en el
CERN. Y pudo inventarlo precisamente por que cualquiera puede
hacerlo en Internet.

Si empezamos a centralizar algunos servicios lo que conseguiremos
es que unos pocos ISP controlen demasiadas cosas.


P:
Hablando de problemas en Internet, ¿Cuál es tu opinión sobre la
convención sobre el cibercrimen que entrará en vigor el próximo
julio?

R:
Creo que es bueno que existan algunas estipulaciones generales,
pero la existencia de demasiadas regulaciones y la posibilidad de
vigilar indiscriminadamente la actividad... todo esto entra en
conflicto directo con el derecho a la privacidad. Creo que esta
legislación es francamente mejorable.

Hace dos o tres semanas participé en una conferencia en
California dónde se analizaron los aspectos negativos de esta
convención. En muchos aspectos da demasiado poder a las fuerzas
del orden. Algunas de las quejas que se formulan son relativas a
contradicciones con la legislación norteamericana que en
ocasiones son diferentes a las normas europeas.


P:
Uno de los aspectos más controvertidos es la imposibilidad de
utilizar herramientas de hacking... por ejemplo, Francia aprobó
hace pocas semanas una ley muy restrictiva. No soy un abogado,
pero por lo que he leído se puede interpretar que incluso la
utilización de nmap será algo ilegal, incluso para tareas propias
de administración de red.

R:
Yo utilizo nmap habitualmente. Hay un error de comprensión: se
confunde la herramienta con el problema. Esto es un error muy
importante. Para nosotros la utilización de herramientas de
seguridad es fundamental. En nuestro libro hemos dedicado un
capítulo entero sobre las utilidades que cualquier administrador
debe de utilizar habitualmente.

Los delincuentes no tienen este problema: ellos ya están fuera de
la ley y por lo tanto no tienen ninguna restricción a utilizar
éstas (y otras herramientas). El profesional de la seguridad
necesita conocer que se está ejecutando en cada máquina y en toda
la red y no tiene ningún otro método que utilizar una de estas
utilidades.

Hay algunas herramientas para las cuales se puede decir que si,
no hay ningún uso legítimo de las mismas, pero muchas otras como
nmap son imprescindibles.


P:
¿Y qué podemos hacer sobre esto?

R:
Esto es algo que hago cuando actúo como consejero para
gobiernos: trato de informarlos. Dedico mucho tiempo tratando
sobre temas como este, intentando corregir las ideas equivocadas
que la gente puede tener, en Washington, Bruselas, Berlín, Pares,
Madrid, Londres...

Los gobiernos se encuentran en una situación totalmente nueva
para ellos. En los Estados Unidos existe una gran controversia,
no se cual es la situación en España, sobre el control de armas.
Para mucha gente en los Estados Unidos la posibilidad de tener
armas es vista como un derecho fundamental. Otros dicen que las
armas sirven para matar personas. Personalmente soy partidario de
la prohibición de la posesión de armas, pero esto es algo muy
controvertido en mi país.

Nmap, y otras muchas herramientas, no pueden considerarse como
armas. Las utilizo para proteger mis sistemas, pero en ningún
caso para atacar a otros. Me permiten identificar el nivel de
seguridad de mis sistemas. Es por lo tanto una situación muy
diferente.

Internet no fue diseñada pensando en las fronteras de los países.
Esto hace que para los gobiernos sea realmente muy difícil poder
legislar. Hace 200 años, la noción de aguas territoriales era
originalmente de unos 5 km. Poco después fue ampliada a 20 km.
¿Sabes de dónde salen estas distancias? Era el alcance de un
cañón: todo aquello que estaba al alcance de mi cañón era parte
de mi territorio. No era una solución efectiva, puesto que creaba
conflictos entre países como por ejemplo entre Rusia y Turquía
por el mar Negro. Pero lo importante es que, una vez fijado el
principio general se podían solucionar los problemas puntuales.

No tenemos una analogía obvia similar en Internet al rango de un
cañón. ¿Qué es responsabilidad de un país y que no lo es?
Mientras estoy sentado aquí en Barcelona puedo controlar el
ordenador que tengo en casa, en New Jersey.


P:
Sobre spyware. En la actualidad para los usuarios, el principal
problema son los virus y seguramente el SPAM. Nadie parece
prestar una atención especial al spyware, incluso cuando este
puede entrar en los ordenadores de forma automática sin ninguna
intervención del usuario

R:
Creo que es más de lo mismo. El spyware y los virus son creados por
gente con los mismos objetivos. La principal razón de los gusanos
que instalan puertas secretas es permitir su utilización como
sistemas para el envío de SPAM.

Este creo que es un área dónde es necesario aplicar legislación.
Se han utilizado un buen número de tácticas para engañar al
usuario, como la instalación de programas incluso cuando el
usuario no acepta las condiciones de uso o bien sin informar al
usuario de lo que se está haciendo.

El gobierno norteamericano organizó un workshop sobre spyware
hace unas tres semanas, centrando su preocupación en la
protección del consumidor. Actualmente se está desarrollando una
licencia estándar de usuario que pretende proteger ante esta
clase de situaciones.

La mayor parte del spyware se instala a través de gusanos o
bien de máquinas atacadas, lo que es claramente ilegal. Pero
también se consigue mediante el engaño para que el usuario
descargue un programa. En este caso está menos claro hasta que
punto la legislación protege al usuario.

Básicamente es lo que ya he comentado en varias ocasiones.
Instalar algo al ordenador de un usuario es bastante fácil, ya
sea con un virus, comprometiendo la máquina... Es necesario
encontrar mejores mecanismos para proteger las máquinas... y
evitar los problemas que ya he comentado de programas con bugs,
la monocultura...


P:
En la actualidad todavía tenemos la visión de un intruso que
ataca máquinas básicamente para distraerse o por curiosidad.
¿Crees que esto está cambiando y cada vez más, detrás de los
incidentes, veremos a la mafia y al crimen organizado?

R:
La mayoría del hacking que se realiza en la actualidad tiene
objetivos criminales, básicamente por spammers que pagan a
intrusos pora instalen sistemas de envío de spam en los
sistemas atacados.

Actualmente hay un escándalo a los Estados Unidos sobre miembros
de un partido político que han atacado los sistemas del otro
partido para espiarlos. Y hace un año, una de las principales
universidades espiaba las peticiones que realizaban los
candidatos que desean entrar en otra universidad.

Mucha de esta actividad no es conocida. Las empresas y la policía
no desean comentar sobre estos problemas. Es más, muchas
intrusiones nunca son detectadas. Sólo un 3% de las intrusiones son
detectadas.

La verdad es que me sorprendería si en los próximos meses no
vemos cada vez noticias como estas.


Mercè Molist
http://ww2.grn.es/merce

Xavier Caballé
xcaballe@quands.com



viernes, 28 de mayo de 2004

Entrevista a Steven Bellovin (I)

En el marco del recientemente celebrado Internet Global Congress,
celebrado en Barcelona del 10 al 14 de mayo, tuvimos la
oportunidad de conversar con Steven Bellovin, un autentico
pionero de Internet (es el co-inventor de USENET, por ejemplo) y
gurú de temas de seguridad informática.

Pregunta:
¿Puedes explicarnos que consiste tu trabajo en AT&T?

Respuesta:
Me dedico totalmente a la investigación y básicamente hago el que
quiero, lo que está muy bueno. Me centro en temas relacionados
con las redes y su seguridad. No obstante también toco de otros
temas sobre redes que no están directamente relacionados con la
seguridad y otros temas relacionados con la seguridad, como
criptografía y privacidad. Asimismo también mantengo contactos
con varias agencias gubernamentales relacionadas con Internet y
la seguridad.

P:
Tu libro, "Firewalls and Internet Security" se ha convertido en
un auténtico libro de referencia, frecuentemente utilizado en la
formación de los nuevos profesionales. La primera edición fue
publicada hace ya muchos años. Durante este tiempo, qué son los
principales cambios a Internet y las redes por lo general y qué
son sus efectos en la seguridad?

R:
La segunda edición del libro, publicada el año pasado, es muy
diferente a la primera edición que se publicó ahora hace diez
años. Estas diferencias son un reflejo de los cambios de
Internet: el mayor error que cometimos hace diez años fue no
darnos cuenta de la rapidez con la que Internet iba a crecer.

Pongamos por ejemplo los cortafuegos. Hoy en día es muy difícil
tener un único cortafuegos, que no deja de ser un medida de
defensa perimetral. Hoy en día ya no tenemos unos perímetros y
fronteras tan definidos como los que teníamos ahora hace unos
años, cuando publicamos la primera versión del libro. Uno de los
autores del libro, Bill Cheswick, trabaja en una nueva empresa,
Lumeta, que desarrolla sistemas que permiten identificar
exactamente los diversos puntos de acceso de una red corporativa.
Hoy en día es habitual que las empresas no tengan únicamente uno
o dos puntos de conexión de su red con "el exterior". Las grandes
empresas pueden tener centenares o incluso miles conexiones. En
este entorno, un único firewall en la conexión a Internet se
puede decir que no sirve para nada.

El segundo cambio que hemos apreciado es que, cuando escribimos
la primera edición del libro, dedicamos mucho espacio a explicar
como construir un firewall. Hoy en día prácticamente nadie diseña
su propio cortafuegos. Es más, si pretendes diseñar tu propio
cortafuegos lo más probable es que no necesites leer este libro.
Lo que hace la mayoría de la gente es comprar un firewall
comercial. Esto es un cambio mucho importante. Debemos tener
presente que, cuando escribimos la primera edición, Windows 95
todavía no existía y prácticamente ninguna máquina Windows podía
acceder a Internet. Hoy en día la situación es muy diferente.


P:
Tal y como indicas, antes existía una clara distinción entre lo
"externo" y lo "interno" a las redes corporativas. Actualmente
existen teletrabajadores, el uso de ordenadores portátiles es muy
habitual (y frecuentemente estos portátiles hoy están conectados
en la red corporativa, mañana estarán conectados directamente a
Internet desde casa, otro día en la red de un cliente para
después volver a conectarse a la red corporativa), los puntos de
acceso inalámbrico, baratos y fáciles de instalar incluso por
personal no informático.

¿Crees que todos estos cambios han sido incorporados en la visión
de la seguridad de las redes corporativas?

R:
No, no lo creo. Al menos en la medida que tendría que ser.

Es necesario diferenciar entre aquello que la gente quiere hacer
con el que se supone que debe hacer. Cuándo mi primer hijo tenía
dos años aprendí que no debía ordenarle algo cuando no podía
obligarle a cumplir mi orden. Las empresas, en cambio, todavía no
han entendido esto. Se limitan a decir a sus empleados "no
utilicéis el portátil excepto para el trabajo". ¿Pero qué sucede
cuando el ordenador es propiedad del usuario? Las empresas están
encantadas con el hecho que un empleado se compre un ordenador
doméstico y lo utilice, mientras está a casa, para trabajar. Para
la empresa este ordenador es gratuito. Ahora bien, como este
ordenador no es de la empresa no le puede decir al trabajador lo
que puede hacer y aquello que no puede hacer.

Hay varias posibles soluciones para esta problemática. No estoy
del todo seguro de cuál es el mejor. Las empresas deben de darse
cuenta que el ordenador los sale gratis. Si comparamos el coste
que supone el empleado y el coste de un ordenador, este último es
despreciable: por eso es por lo que digo que el ordenador sale
gratis. Desde luego, las empresas no están de acuerdo con este
planteamiento.

Desde mi punto de vista, las empresas no tendrían que permitir
nunca la utilización de un ordenador doméstico para realizar
trabajos; si alguien tiene que trabajar desde casa, la empresa
tiene que facilitarle un ordenador que sólo se utilizará para
desarrollar el trabajo y nada más.

Otra consideración: son necesarias más redes privadas virtuales.
También en todos los puntos es necesario instalar cortafuegos. En
los últimos años se han desarrollado lo que podíamos denominar
"cortafuegos distribuidos" en los que la misma política se aplica
en todos y cada uno de los ordenadores. Esto significa que mi
portátil tiene el mismo nivel protección tanto cuando estoy en mi
oficina a los Estados Unidos, aquí en el Palacio de Congresos de
Barcelona o incluso cuando estoy en un café público utilizando un
acceso inalámbrico a Internet. Por ahora sólo estamos empezando a
ver como se aplican protecciones como esta, pero todavía no son,
ni mucho menos, de uso habitual.

Una posible alternativa, que todavía no es técnicamente posible,
seria crear "particiones" en el ordenador, de forma que podamos
crear una sección para las tareas relacionadas con el trabajo,
otra para los productos de uso particular, una más para los
juegos y otra para los niños. Cada una de estas secciones debería
de estar claramente separada, sin que una interfiera con la otra.
Desde luego esto es muy complicado de hacer correctamente, de
forma que bajo ningún concepto una de estas secciones llegue a
interferir con cualquiera otra. Uno de los principales problemas
seria en el momento de compartir información. Imaginamos, por
ejemplo, que deseo tener Microsoft Office para las tareas de
trabajo pero también lo utilizan los hijos para sus tareas
escolares.

Es decir, por ahora no tenemos ninguna solución mágica. Tenemos
que trabajar más en este aspecto.


P:
Muchas empresas consideran que la solución de los problemas de
seguridad se basa a instalar varios "juguetes"... me refiero, a
poner cortafuegos, sistemas de detección de intrusiones, antivirus
en varios puntos. En cambio, a veces se olvidan del factor
humano: la formación en aspectos de seguridad y, en cierta
medida, la aplicación del sentido común...

R:
Un aspecto no es más importante que el otro. El factor humano es
muy importante. Cómo he dicho antes, la gente instala una gran
cantidad de cosas en su ordenador.

No obstante uno de los principales problemas es que prácticamente
todo el mundo está utilizando exactamente el mismo software. No
quiero decir con esto que el software de Microsoft sea malo o que
tenga un número especialmente grande de agujeros, aunque yo
personalmente no utilizo Windows. Ahora bien, el hecho que casi
todo el mundo lo utilice lo convierte en un objetivo atractivo.
Si Microsoft comete un error en uno de sus programas, todo el
mundo lo padece. No importa si utilizas un Apple o un IBM: en
realidad estás utilizando el mismo software. Esto es lo que los
biólogos denominan la monocultura, cuando una enfermedad afecta a
toda una población.

P:
O sea, que no es tanto que los productos de Microsoft tengan
muchos problemas sino que es la gran cantidad de gente que los
utiliza lo que los convierte en víctimas potenciales.

R:
Exactamente. Los biólogos avisan que cuando hay poca variedad el
ataque de un virus puede causar estragos.

P:
Es decir que necesitamos más biodiversidad.

R:
Correcto. Necesitamos en los ordenadores lo mismo que en la vida
real. Si tuviéramos más diversidad, potencialmente habría menos
problemas de seguridad puesto que el efecto de los mismos no
afectaría a todos los usuarios.


P:
Es decir, nos estás diciendo que el problema es Microsoft...

R:
Yo no he dicho exactamente esto.


P:
¿Puedo poner esto como titular?

R: Lo que he dicho es: el problema es la monocultura, el hecho
que prácticamente todo el mundo utilice el mismo sistema. Si
Apple tuviera una mayor cuota de mercado, veríamos muchos más
problemas en los Macintosh.

Creo que Microsoft no hace las cosas todo lo bien que podría
hacerlas. Estoy en desacuerdo con algunas de las decisiones que
han escogido, pero el auténtico problema es el hecho que
prácticamente todos los ordenadores utilizan el mismo sistema.

De hecho, esto llega incluso a afectarnos a aquellos que no
utilizamos los productos de Microsoft. Algunos de los últimos
gusanos han colapsado la red, de forma que todo el mundo sufría
las consecuencias. Personalmente sufrí este problema con Slammer.

El factor humano es importante, pero no el único. Por ejemplo,
utilizamos software que no controlamos. Hay un gran número de
actualizaciones y parches que se publican constantemente hasta el
punto que mucha gente no puede seguir el ritmo de su publicación.

En muchas situaciones no te interesa instalar la última
actualización. En las redes y ordenadores que utilizo nunca
instalo una actualización sin antes probarla.

En AT&T, por ejemplo, cuando se recibe un nuevo equipo para su
red, primero se instala en un entorno de laboratorio durante
varios meses antes de conectarlo a la red corporativa. Esto es
debido a que cada nueva versión "rompe" cosas. Si analizamos la
historia de actualizaciones de cualquiera fabricante, vemos que
la mayoría de las actualizaciones necesitan dos versiones para
funcionar correctamente y sin afectar a otros productos.

En casa, en mi ordenador doméstico, durante las dos últimas
semanas no he instalado ningún programa, hasta que no haya
finalizado mi declaración de la renta. No quiero correr el riesgo
de que el ordenador deje de funcionar justamente ahora.

No obstante, en ocasiones no tenemos elección. Si lees en un
diario que hay un nuevo gusano, como Sasser y tus equipos son
vulnerables entonces debes instalar la actualización.

P:
No deseo centrarme a comentar aspectos de Microsoft, pero
justamente la semana pasada Microsoft acusó a los usuarios que no
había instalado la actualización como los responsables del
alcance que había llegado Sasser. ¿Es correcto esto? ¿Es la forma
correcta de responder ante el alcance de un problema?

R:
En parte sí. Hay tantos parches que mucha gente no está al día,
pero hay gente que ni tan siquiera se preocupa de instalarlos.
Pero incluso en el supuesto de que los instales todos, no estás
protegido. Habitualmente hay una ventana de tiempo entre el
descubrimiento de la vulnerabilidad y cuando se empieza a
explotar y la disponibilidad del parche. En esta clase de
situaciones, sí que interesa instalar los parches lo antes
posible.

Ahora bien, lo que necesitamos en realidad para solucionar este
tipo de problemas es una mayor seguridad. Necesitamos una
seguridad más profunda, disponer de varios niveles de seguridad.
Necesitamos disponer de cortafuegos, sistemas de detección de
intrusos, necesitamos las actualizaciones; necesitamos usuarios
que conozcan lo que sucede; necesitamos arquitectos que diseñen
sistemas que sean más resistentes de forma que si una parte
falla, el sistema en su conjunto continúe funcionando.

P:
¿Necesitamos legislación?

R:
En la mayoría de los países ya hay suficientes leyes contra
actividades delictivas. Tal vez un aspecto interesante que me
gustaría ver incorporado en la legislación es la responsabilidad
de los fabricantes de software.

Es decir, si el fabricante de software es responsable de un
problema de seguridad también debe ser responsable de las
consecuencias del mismo.

Si soy un fabricante de un coche y la gente que lo conduce padece
un accidente por un error al coche, la legislación dice que yo
soy el responsable. En la industria del software, si los clientes
de un banco pierden sus ahorros por culpa de un producto
informático, el fabricante del mismo no tiene ninguna
responsabilidad.

Aplicar este tipo de responsabilidad favorecería la industria y
especialmente mucho al software abierto. Es paradójico que hoy en
día podamos diseñar unos automóviles fiables y, en cambio, no
sepamos escribir software bueno.

De hecho, si dedicamos el tiempo necesario podemos llegar a
desarrollar un software realmente muy bueno. El problema: esto
es muy caro. Además limita la capacidad de desarrollar software
de propósito general, pero ciertamente se puede hacer mejor de
como lo hacemos actualmente.

Recuerdo un estudio dónde se analiza el comportamiento de las
redes telefónicas actuales. En estas redes, los problemas de
software y hardware están prácticamente al mismo nivel. Y los
problemas de usuario también están a este mismo nivel. Esto es un
logro muy remarcable: el hardware utilizado tiene un nivel de
fiabilidad muy elevado puesto que prácticamente todo los
componentes se encuentran duplicados. Y se ha conseguido que el
software esté virtualmente al mismo nivel. Un gran hito... eso
sí, el software es muy caro. Y se de que hablo: ¡trabajo en una
compañía telefónica! Antes de la división de AT&T en varias
compañías, participé en el desarrollo de conmutadores telefónicos,
por lo que se perfectamente lo caro que es su desarrollo.

Las compañías telefónicas entendieron el problema: no importa
tanto cual es el problema, lo importante es identificarlo y
aislarlo para no afecte a todo el sistema. Constantemente se
analiza la consistencia del sistema y en caso de detectar una
línea telefónica problemática, simplemente la desactivan. De
acuerdo, para quien utiliza esa línea no es una buena solución,
pero lo que se consigue es que el sistema en su conjunto (con
millones de líneas) continúe funcionando. Con la línea
problemática aislada se puede analizar con calma que sucede.

Esta es una de las cosas que forman una defensa en profundidad.
Necesitamos esta capacidad de decir: este componente está
fallando, lo aíslo y así el resto del sistema continua
funcionando.

En los productos de software genéricos no vemos esta clase de
defensas. Uno de los motivos es que no hay un incentivo
financiero para conseguirlo. Las empresas de software no ven en
este tipo de desarrollo algo que los haga ganar dinero. Desde
luego que no desean que sus clientes sufran problemas, pero
cuando analizan el tiempo necesario para desarrollar estos
sistemas, deciden que no es rentable. Desde luego esta percepción
cambiaría en el supuesto que los fabricantes de software tuvieran
responsabilidad sobre las incidencias de seguridad.

Continuará...


Mercè Molist
http://ww2.grn.es/merce

Xavier Caballé
xcaballe@quands.com



jueves, 27 de mayo de 2004

Continúan los intentos de estafa contra bancos españoles

Se ha detectado un nuevo envío masivo de e-mails que simula ser un
mensaje del banco Pastor, con objeto de engañar a los usuarios para
obtener sus claves de acceso al servicio de banca electrónica de dicha
entidad.

En la mañana del jueves 27 de mayo, varios lectores del servicio
"una-al-día" de Hispasec nos hacían llegar el mensaje con la sospecha
de encontrarse ante un nuevo caso de estafa. Podemos confirmar que nos
encontramos ante un ataque de "phishing", término que reciben las
estafas donde se intenta suplantar la identidad de entidades legítimas
para engañar a los usuarios, y que en el caso de España ha afectado en
los últimos tiempos, a entidades bancarias como Banesto y Banco Popular.
En este caso una nueva entidad se suma a los afectados.

A continuación reproducimos el e-mail fraudulento:


De: Banco Pastor [mailto:support@bancopastor.es]
Enviado el: jueves, 27 de mayo de 2004 12:29
Asunto: Importante informacion sobre la cuenta de Banco Pastor

¡Querido y apreciado usuario de Banco Pastor!

Como parte nuestro servicio de proteccion de su cuenta
y reduccion de fraudes en nuestro sitio web, estamos pasando
un periodo de revision de nuestras cuentas de usuario. Le
rogamos visite nuestro sitio siguiendo link dado abajo. Esto
es requerido para que podamos continuar ofreciendole un
entorno seguro y libre de riesgos para enviar y recibir dinero en
linea, manteniendo la experincia de Banco Pastor.Despues del
periodo de verificacion, sera redireccionado a la pagina principa
de Banco Pastor. Gracias.
https://pastornetparticulares.bancopastor.es/BEPBEBEPA_F.jsp



El mensaje está construido en formato HTML, sin embargo no incluye
ningún elemento gráfico. En el cuerpo del mensaje aparece como enlace
https://pastornetparticulares.bancopastor.es/BEPBEBEPA_F.jsp,
pero el enlace en realidad apunta a la dirección
http://ebay.dasmarket.biz/pastor/bepe.html que lleva a una copia exacta
de la portada del sistema de banca electrónica del Banco Pastor,
incluido interfaz, logotipos, número de teléfono, etc. donde se
encuentra un formulario para introducir el número de NIF o CIF, y la
identificación (código de usuario) y contraseña de acceso a la banca
electrónica. Esta portada, tanto en la versión original como en la
falsificada se presenta en una ventana sin barra de navegación, que
impide ver si la URL es correcta o no.

En comunicación con el Banco Pastor nos han informado que la entidad
bancaria nunca se comunica con los usuarios de su servicio de banca
electrónica a través de e-mail, por lo que espera que sus usuarios al
no estar acostumbrados a este tipo de comunicaciones no caigan en este
intento de robo de sus datos de acceso.

Más vale prevenir

Desde Hispasec no es la primera vez que avisamos de este tipo de
intentos de estafa, con diferentes entidades bancarias, que cada vez
son más habituales.

Una vez más, recomendamos a los usuarios, que como medida de
prevención, no accedan a sitios web sensibles, como por ejemplo la
banca electrónica, pinchando en enlaces. Sobre todo debemos desconfiar
si éstos nos llegan a través de e-mail o se encuentran en páginas de
dudosa confianza.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (11/01/2004) Intento de estafa a los usuarios del Banco
Popular
http://www.hispasec.com/unaaldia/1904/comentar

una-al-dia (28/01/2004) Nuevo intento de estafa sobre los usuarios de
la banca electrónica de Banesto
http://www.hispasec.com/unaaldia/1921/comentar

una-al-dia (22/02/2004) Nuevo intento de estafa a los usuarios del
Banco Popular
http://www.hispasec.com/unaaldia/1946/comentar

miércoles, 26 de mayo de 2004

Denegación de servicio por tratamiento de archivos LHA en antivirus F-Secure

Se ha descubierto una vulnerabilidad en diversos productos antivirus de
F-Secure que podría ser explotada por usuarios maliciosos para provocar
una denegación de servicio.

El problema se debe a un error de comprobación de tamaños de variables
dentro del módulo que se encarga de acceder al contenidos de archivos
LHA durante el proceso de búsqueda de virus. Esta circunstancia puede
ser aprovechada creando un archivo LHA especialmente a tal efecto que
provocaría un desbordamiento de búfer.

Según el fabricante, la explotación con éxito de la vulnerabilidad
permitiría el reinicio del módulo afectado, aunque el impacto depende
del producto concreto y varía desde un degradado del rendimiento hasta
caídas del sistema, pasando por fallos a la hora de detectar virus.

Los productos afectados por el problema son los siguientes:
* F-Secure Anti-Virus para Workstation, versión 5.42 y anteriores
* F-Secure Anti-Virus para Windows Servers, versión 5.42 y anteriores
* F-Secure Anti-Virus para MIMEsweeper, versión 5.42 y anteriores
* F-Secure Anti-Virus Client Security, versión 5.52 y anteriores
* F-Secure Anti-Virus para MS Exchange 6.21, versión 5.52 y anteriores
* F-Secure Internet Gatekeeper, versión 6.32 y anteriores
* F-Secure para Firewalls, versión 6.20 y anteriores
* F-Secure Internet Security, versión 2004 y anteriores
* F-Secure Anti-Virus, versión 2004 y anteriores
* F-Secure Anti-Virus para Linux Workstations, versión 4.52 y anteriores
* F-Secure Anti-Virus para Linux Servers, versión 4.52 y anteriores
* F-Secure Anti-Virus para Linux Gateways, versión 4.52 y anteriores
* F-Secure Anti-Virus para Samba Servers, versión 4.60
* Solciones basadas en F-Secure Personal Express 4.5x, 4.6x y 4.7x

Las direcciones para descargar los parches de actualización que corrigen
este problema (según producto) son las siguientes:

F-Secure Anti-Virus para Workstations 5.41 y 5.42
ftp://ftp.f-secure.com/support/hotfix/fsav/fsavwk552-08-signed.fsfix

F-Secure Anti-Virus Client Security 5.50 y 5.52
ftp://ftp.f-secure.com/support/hotfix/fsavcs/fsavwk552-08-signed.fsfix

F-Secure Anti-Virus para MIMEsweeper 5.41 y 5.42
ftp://ftp.f-secure.com/support/hotfix/fsav-mime/fsavsr541-14-signed.fsfix

F-Secure Anti-Virus para Windows Servers 5.41 y 5.42
ftp://ftp.f-secure.com/support/hotfix/fsav-server/fsavsr541-14-signed.fsfix

F-Secure Anti-Virus para MS Exchange 6.21
ftp://ftp.f-secure.com/support/hotfix/fsav-mse/fscss631-03.fsfix

F-Secure Internet Gatekeeper 6.32
ftp://ftp.f-secure.com/support/hotfix/fsig/fscss631-03.fsfix

F-Secure para Firewalls 6.20
ftp://ftp.f-secure.com/support/hotfix/fsav-fw/fsavfw620-05.fsfix

F-Secure Anti-Virus para Linux Workstations 4.52
ftp://ftp.f-secure.com/support/hotfix/fsav-linux/fsav-4.52-hotfix4.tgz

F-Secure Anti-Virus para Linux Servers 4.52
ftp://ftp.f-secure.com/support/hotfix/fsav-linux/fsav-4.52-hotfix4.tgz

F-Secure Anti-Virus para Linux Gateways 4.52
ftp://ftp.f-secure.com/support/hotfix/fsav-linux/fsav-4.52-hotfix4.tgz

F-Secure Anti-virus para Samba Servers 4.60
ftp://ftp.f-secure.com/support/hotfix/fsav-samba/fsav-4.60-hotfix1.tgz


Julio Canto
jcanto@hispasec.com


Más información:

Buffer overflow caused by malformed LHA archive
http://www.f-secure.com/security/fsc-2004-1.shtml

martes, 25 de mayo de 2004

Fallo en un parche para Mac OS X

La semana pasada publicamos una información sobre una vulnerabilidad en
los sistema Mac OS X, tras la publicación por parte de Apple del parche
para corregir el problema se ha comprobado que esta corrección no
cumple con el propósito anunciado.

El problema ha sido considerado como la vulnerabilidad más crítica para
Mac OS X, al permitir a un atacante transferir y ejecutar cualquier
programa en un Mac si el usuario accede a una página web.

Tras la publicación del aviso, Apple no realizó ningún comentario, se
limitó a publicar un parche el pasado viernes, que todavía se encuentra
disponible en la página de descargas de Apple:
http://www.apple.com/support/downloads

Sin embargo, según se ha podido comprobar este parche corrige alguno de
los problemas, pero sin solucionarlo totalmente. Aun con el sistema
parcheado un atacante podrá emplear variantes del manipulador URI de
forma que logrará la ejecución sin emplear el manipulador URI "help".


Antonio Ropero
antonior@hispasec.com


Más información:

Mac OS fix fails to plug security hole
http://news.com.com/Mac+OS+fix+fails+to+plug+security+hole/2100-1002_3-5220285.html

Mac OS Patch Fails To Fix Security Hole
http://story.news.yahoo.com/news?tmpl=story&ncid=1292&e=3&u=/cmp/20040525/tc_cmp/20900516&sid=95609558

una-al-dia (18/05/2004) Ejecución remota de scripts en Mac OS X a
través del navegador Safari
http://www.hispasec.com/unaaldia/2032/comentar

lunes, 24 de mayo de 2004

Seguridad en e-Gallaecia 2004

El foro e-Gallaecia organiza, un año más, la Semana Internacional de
las TIC. Dentro de este marco se celebrará el "IV Congreso
Internacional de Seguridad Informática y Legislación en el Comercio
Electrónico", donde expondrán personalidades reconocidas y expertos
en diferentes áreas, con la figura destacada en esta edición de
Phill Zimmermann, creador de PGP. Durante estas jornadas tendrá lugar
también la presentación y puesta en marcha de VirusTotal, un servicio
inédito hasta la fecha desarrollado por Hispasec.

Del 31 de mayo al 4 de junio la ciudad de Santiago de Compostela
acogerá la IV Semana Internacional de las TIC, que comprende cuatro
congresos internacionales: Seguridad Informática y Legislación
en el Comercio Electrónico, Bases de Datos y Programación, Open
Source, y Movilidad.

A continuación listamos las ponencias correspondientes al Congreso
de Seguridad Informática y Legislación en el Comercio Electrónico:

* "PRESENTE Y FUTURO EN LA PROTECCIÓN DE DATOS PERSONALES"
D. Jesús Rubí Navarrete
Subdirector General de Inspección de la Agencia Española de
Protección de Datos.

* "CONTROL CORPORATIVO DEL USO DE INTERNET A LOS EMPLEADOS.
ASPECTOS LEGALES"
D. Miguel Ángel Davara Rodríguez
Catedrático de la Universidad Pontificia Comillas y Presidente
de Davara&Davara.

* "EL DNI ELECTRÓNICO: NUEVAS POSIBILIDADES DE IDENTIDAD DIGITAL"
D. Mauricio Pastor
Comisario jefe del Área de Informática de la Policía Nacional
y Responsable del proyecto del DNI electrónico.

* "TECNOLOGÍA Y NEGOCIO: EL NUEVO GRAN RETO DE LA INNOVACIÓN"
Dña. Amparo Moraleda
Presidenta de IBM España y Portugal.

* "SITUACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y EVOLUCIÓN FUTURA"
D. Daevid A. Lane
Socio Director del Área de Risk Management.
D. Antonio Ramos
Gerente de Seguridad de Ernst & Young.

* "NUEVO ENFOQUE DE BUSINESS CONTINUITY PLAN"
D. Juan Pedro Secilla Martínez
Director de Servicios de Continuidad de IBM.

* "METODOLOGÍA ABIERTA OSSTMM"
D. Pete Herzog
Experto mundial de seguridad.

* "PROYECTO DE ÉXITO: LOPD Y XUNTA DE GALICIA. IMPLANTACIÓN EN LA
ADMINISTRACIÓN PÚBLICA DE LA LOPD"
Ilmo. Sr. D. Álvaro Rodríguez Carballo
Director General de Organización y Sistemas Informáticos de
la Xunta de Galicia.
Dña. Carmen González
Responsable de Seguridad.

* "SEGURIDAD DE REDES WIFI. UNA VISIÓN COMPLETA, ACTUALIZADA Y
PRÁCTICA"
D. José Miguel Ruíz Padilla
Director General de Libera.

* "¿SON SEGURAS NUESTRAS BASES DE DATOS?. DEMOSTRACIÓN PRÁCTICA"
D. Juan M. Pascual Escriva
Open3S.

* "MÁQUINAS TRAMPA: CONTRAESPIONAJE EN LA RED"
D. Jess García
Profesor del SANS Institute.

* ".NET VS JAVA: SEGURIDAD Y DESARROLLO"
D. Denis Pilipchuck
Software Architect de SUN Clinical Data Institute.
Eclipsys Corporation-Boston.

* "EL MAYOR ANTIVIRUS DEL MUNDO: VIRUSTOTAL"
D. Jesús Cea y D. Bernardo Quintero
Socios Fundadores de Hispasec.

* "IMPACTO Y PROTECCIÓN FRENTE A VULNERABILIDADES EN LOS SISTEMAS
DE INFORMACIÓN: EISPP/ESCERT"
D. Manel Medina
Director del esCERT.

* "LA LUCHA CONTRA EL SPAM"
D. José Antonio Mañas
Catedrático de Ingeniería de Sistemas
Telemáticos de la Universidad Politécnica de Madrid.

* "GESTIÓN DE PARCHES. LA IMPORTANCIA DEL DEPLOYMENT EN LA
SECURIZACIÓN DE NUESTRAS REDES"
D. Steven Adler
Senior Security Strategist for Microsoft EMEA HQ.

* "LA VISIÓN DE INTEL SOBRE LOS PROCESADORES DEL FUTURO"
D. Jesús Maximoff
Director General para España y Portugal de Intel.

* "EXTENSIÓN DEL WIRELESS EN LA C.E.E."
D. Marcelo Peuriot
Vice President Southern Europe de 3Com.

* "LAS TENDENCIAS TECNOLÓGICAS DEL PRIMER CUARTO DEL SIGLO XXI"
Dña. Rosa García
Consejera Delegada de Microsoft España.

* "THE GLOBAL INFORMATION TECHNOLOGY REPORT"
D. Soumitra Dutta
Decano de Educación Ejecutiva y "Roland Berger Professor" en
Negocios y Tecnología en la Universidad del INSEAD (Francia).

* "DESARROLLO DE APLICACIONES PARA POCKET PC"
D. Les Pinter
Presidente Fundador de Pinter Consulting.

* "SOFTWARE DE CIFRADO"
D. Phil Zimmermann
Presidente de Open PGP.

El programa completo de los cuatro congresos y todos los detalles
sobre e-Gallaecia pueden consultarse en http://www.e-gallaecia.com





domingo, 23 de mayo de 2004

Service Pack 2 para Microsoft ISA Server 2000

Microsoft ha publicado el Service Pack 2 para Internet Security and
Acceleration (ISA) Server 2000.

Entre las mejoras y correcciones introducidas por este parche
acumulativo se encuentran las siguientes:

* Se ha detectado que que el servicio de control de ISA Server puede
generar el evento 14158 una vez se ha instalado
* En determinadas circunstancias, puede no retransmitir correos si se
requiere autenticación
* El proxy web envía paquetes reset TCP en vez de solo cerrar la
sesión
* Se han detectado problemas con el navegador web si ISA Server está
enlazado a un servidor proxy web
* El servicio firewall de ISA no puede iniciarse con más de 85 IPs en
el adaptador de red externo
* Se pueden presentar violaciones de acceso en el servicio de proxy
web si se da algún fallo de suplantación de usuario
* Cuando un ISA Server que ofrece un servicio Web con SSL recibe un
paquete SSL no válido, el servicio Web Proxy puede cesar su ejecución
con un mensaje de violación de acceso
* La variable de la estructura CERT_CONTEXT no está dispoinble para
los filtros Web en ISA
* Las playlist de servidor no funcionan con ISA Server
* ISA Server puede no dar servicio en determinadas circunstancias
debido a un problema de comunicación con el servidor web
* Se ha detectado un error de canonización en el motor de reglas que
permitiría saltarse los mecanismos de restricción de acceso
* Desbordamiento de búffer en el controlador del protocolo Gopher
puede ser explotado para ejecutar código arbitrário en el sistema
* Los clientes de Macintosh que usen MAPI no pueden conectar con una
máquina Exchange 2000 con ISA Server
* Se han dado casos en que ISA puede dar problemas con las fechas
* Corrección de MS03-009: un problema en el detector de intrusos DNS
puede provocar una denegación de servicio
* Un error en Winsock Proxy puede provocar una denegación de servicio
* El firewall ISA puede provocar una pérdida de handles en LSASS
* Se introduce una corrección para permitir la redirección de caminos
URL en las reglas de publicación de Web
* La autenticación no funciona correctamente si el nombre de usuario
contiene un espacio
* Denegación de servicio con protocolos UDP de publicación del
servidor

Las direcciones para descargar este service pack son las siguientes:

Inglés (3898 KB de peso):
http://download.microsoft.com/download/e/3/8/e387b8c2-b530-4cce-991a-cd8363908ebf/isasp2-ENU.exe

Español (3914 KB de peso):
http://download.microsoft.com/download/8/9/a/89a441fc-9d2f-4056-bdb0-f2bdb484c400/isasp2-ESN.exe


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft Internet Security and Acceleration (ISA)
Server 2000 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=c8d3d98b-1cd4-406a-a04a-2aa2547d09a3

sábado, 22 de mayo de 2004

Vulnerabilidad en control ActiveX de Symantec Norton Antivirus 2004

Se ha descubierto una vulnerabilidad en Symantec Norton AntiVirus 2004
que permitiría a un usuario remoto, entre otras cosas, la ejecución de
cualquier programa presente en la máquina afectada o una denegación de
servicio contra dicho programa.

La vulnerabilidad reside en un control ActiveX utilizado en dicho
producto, que no comprueba de forma adecuada las entradas externas.

La explotación con éxito de esta vulnerabilidad permitiría la ejecución
de código presente en la máquina afectada (con los derechos del
usuario), una denegación de servicio contra el propio antivirus o el
lanzamiento de popups no autorizados.

Para lograr la ejecución remota de programas, el atacante deberá
conocer la ruta exacta en el que este se encuentra alojado en el
sistema. La compañía recomienda actualizar el producto mediante
LiveUpdate a la mayor brevedad posible.


Julio Canto
jcanto@hispasec.com


Más información:

Symantec Norton AntiVirus 2004 ActiveX Control Vulnerability
http://www.sarc.com/avcenter/security/Content/2004.05.20.html

viernes, 21 de mayo de 2004

Desbordamiento de heap en CVS permite la ejecución remota de código

Se ha descubierto una vulnerabilidad en CVS que permitiría a un usuario
malicioso comprometer un sistema afectado.

CVS (Concurrent Versions System) es un popular sistema de control de
versiones que permite a los programadores acceder a las últimas
versiones del código con el que trabajan a través de la red.

Tanto la versión en desarrollo 1.12.7 y anteriores como la estable
1.12.7 (y anteriores también) se ven afectadas por esta vulnerabilidad,
que se debe a un error contenido en el código que decide si una línea de
entrada a CVS debe llevar un marcador de modificado o sin cambios. Este
error puede ser aprovechado para provocar un desbordamiento de heap, que
a su vez puede utilizarse para ejecutar código arbitrario en un servidor
CVS, lo que podría llevar a comprometer todo un repositorio de software.

Diversas distribuciones de Linux y Unix ya han publicado una
actualización para este software, entre las que se encuentran Debian,
Red Hat, Gentoo, SuSE y FreeBSD.


Julio Canto
jcanto@hispasec.com


Más información:

CVS remote vulnerability
http://security.e-matters.de/advisories/072004.html

jueves, 20 de mayo de 2004

Juicio contra la seguridad informática y el "full disclosure"

Un científico francés se enfrenta a una posible pena máxima de 2 años
de cárcel y multa de 150.000 euros, tras haber sido demandado por
descubrir y publicar varias debilidades en un software antivirus que
anunciaba detectar el 100% de virus conocidos y desconocidos. A la
espera del fallo por parte de la justicia francesa, el resultado
podría crear un importante precedente en este país sobre la
investigación independiente en materia de seguridad informática.

Guillaume T. desarrolla actualmente su trabajo en Boston como
investigador en biología molecular, tanto en el departamento de
Genética de la Universidad de Harvard como en el Hospital General de
Massachusetts. Como parte de sus aficiones, Guillaume, publica en su
página web personal, bajo el apodo de "Guillermito", algunos análisis
sobre vulnerabilidades que ha detectado en diversas soluciones de
seguridad. El seudónimo responde simplemente a un guiño a sus raíces,
ya que sus abuelos eran españoles y migraron a Francia antes del
comienzo de la Guerra Civil.

En octubre del pasado año Guillaume tuvo que regresar a Francia para
responder algunas cuestiones de L'Office Central de Lutte contre la
Criminalité liée aux Technologies de l'Information et de la
Communication (O.C.L.C.T.I.C.), grupo de la policía que se encarga
de los casos relacionados con las tecnologías de la información, y
que llevó a cabo algunas acciones preventivas como desactivar el
servidor web de "Guillermito".

El pasado mes de marzo, Guillaume se vio forzado de nuevo a volar a
París para acudir al Juzgado de Instrucción de la capital francesa,
atendiendo a la convocatoria de primera comparecencia sobre una
acusación de Tegam International por presunta "falsificación de
programas informáticos y ocultación de estos delitos", escudándose
para ello en varios artículos del código de la propiedad intelectual
y el código penal.

El origen de la acusación se encuentra en un análisis que Guillaume
publicó en su sitio web en marzo de 2002, en el cual documentaba
varias vulnerabilidades en Viguard, software antivirus de Tegam
International que anunciaba como 100% seguro contra virus conocidos
y desconocidos. En el artículo publicado, Guillaume analizaba algunos
posibles ataques contra Viguard, demostrando que no ofrecía la
protección que anunciaba, con varios ejemplos prácticos basados en
virus conocidos y otras pruebas de concepto diseñadas para la ocasión.

En un principio Tegam Internacional emprendió una agresiva campaña de
marketing, con anuncios en publicaciones donde literalmente llamaba
"terrorista informático" a "Guillermito". Acusación que cobra una
especial relevancia si tenemos en cuenta que apenas habían
transcurridos unos meses desde el 11 de septiembre. Posteriormente
emprendería las acciones judiciales anteriormente comentadas.

En estos momentos el caso se encuentra en periodo de instrucción,
bajo el estudio de la juez que está requiriendo a las partes sus
argumentaciones y pruebas. Aunque aún está por conocer la decisión
de la justicia, a priori parece que Tegam International está
obteniendo las primeras victorias colaterales de su estrategia.

El sitio web de Guilleme que hospedaba en un servidor francés ha
desaparecido, otras publicaciones online que se habían hecho eco del
caso, como silicon.fr, isecurelabs.com, rezo.net y uzine.net, también
han cedido retirando la información, ante la sombra de nuevas acciones
judiciales contra ellas por "falsas informaciones". Por su parte,
Guillaume está sufriendo continuas interferencias en su actividad
profesional, además del coste económico que le está suponiendo la
defensa y los viajes a París.

En nota de prensa con fecha 31 de marzo de 2004, Tegam International
critica de forma abierta a los participantes de foros, sitios web, y
publicaciones que se han hecho eco de la noticia del caso decantándose
a favor de Guillaume. Tegam afirma no estar en contra de los
investigadores de seguridad informática ni que pretenda afectar a la
libertad de expresión, si bien denuncia que está siendo víctima de
una campaña de otros desarrolladores de la competencia, que persiguen
"aplastarlos" como alternativa antivirus. Para finalizar la nota,
realiza una exaltación patriótica, afirmando que deben defenderse y
recurrir a la justicia para salvaguardar a la única empresa francesa
que desarrolla tecnología antivirus.

Adicionalmente, Tegam mantiene una nota pública, "Désinformation sur
ViGUARD", donde realiza alegaciones algo más técnicas sobre algunas de
las críticas realizadas sobre Viguard. En cualquier caso la mayoría
son matizaciones basándose en una versión de red (mientras que el
análisis de Guillaume se centra en la versión personal), incluyendo
quejas sobre lo hostiles que han sido algunas pruebas y minimizando
el riesgo que implican algunas de las vulnerabilidades publicadas y
ciertos tipos de virus.

Sobre este caso particular, y sobre el papel de las investigaciones
en materia de seguridad informática en general, la posición oficial
de Hispasec es y ha sido siempre:

* No existe solución antivirus 100% segura contra virus. Es fácilmente
demostrable en todos los productos, y Viguard no es una excepción.

* Si Tegam International anunció que su producto Viguard detectaba
el 100% de los virus conocidos y desconocidos, tal y como se puede
apreciar en la copia histórica de su web disponible en Internet,
la empresa desarrolladora emitió publicidad falsa.

* La investigación y publicación en materia de seguridad informática,
y en concreto la búsqueda activa de vulnerabilidades o el
desarrollo de ataques a modo de pruebas de concepto, son prácticas
necesarias y reconocidas por la industria, ya que favorecen la
corrección de debilidades y el desarrollo de soluciones más
robustas.

* La investigación sobre vulnerabilidades es una actividad ejercida,
entre otros, por organismos gubernamentales, universidades,
laboratorios, consultoras, grupos de seguridad, particulares, y
los propios desarrolladores de software de seguridad y antivirus.

* Los análisis independientes permiten a los usuarios obtener
información crítica y vital para su seguridad, no supeditada a los
intereses comerciales de los propios desarrolladores y
distribuidores.





Más información:

Copia de la página web de Tegam donde anuncia el 100% en detección
http://web.archive.org/web/20000511084028/http://www.tegam.fr/

Copia del análisis de Guillaume
http://web.archive.org/web/20030404161138/http://www.pipo.com/guillermito/viguard/index.html

Anuncios en prensa de Tegam International
http://www.guillermito2.net/archives/tegam_pcexpert_april2002.jpg
http://www.guillermito2.net/archives/tegam_pub_march_color.jpg

Désinformation sur ViGUARD
http://www.viguard.com/fr/news_view.php?num=88

Démenti de TEGAM International
http://www.viguard.com/fr/news_view.php?num=89

Versión del caso según Guillaume
http://www.guillermito2.net/archives/2004_03_25e.html

La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia/1257

miércoles, 19 de mayo de 2004

Curso gratuito FIP de Seguridad Informática en la UPM (Madrid, España)

Del 9 de junio al 6 de julio de 2004, en horario de 16:00 a 21:00 horas,
se impartirá en el Laboratorio del Departamento de Lenguajes, Proyectos
y Sistemas Informáticos LPSI de la Escuela Universitaria de Informática
de la Universidad Politécnica de Madrid (ver plano de situación en
http://www.eui.upm.es/) el curso "Técnico Especialista en Seguridad
Informática" con una duración de 100 horas, de las que 50 serán
prácticas, con un puesto de trabajo individual por alumno.

El curso con código 725, está inmerso en el Plan FIP, Plan Nacional de
Formación e Inserción Profesional, dirigido sólo a desempleados que
residan en Comunidad Autónoma de Madrid.

Es gratuito y tiene un cupo máximo de 20 alumnos. Cuenta con cuatro
bloques de 25 horas cada uno: 1) Fundamentos de la Seguridad Informática
y Criptografía; 2) Aplicaciones Criptográficas y Protocolos de
Seguridad; 3) Seguridad en Redes y Autenticación; 4) Seguridad en
Internet y en la Máquina, siendo sus profesores Dña. Dolores de la Guía
(CSIC), D. Daniel Calzada, D. Ginés Bravo y D. Jorge Ramió (UPM).

El examen para la preselección de candidatos se realizará el miércoles
26 de mayo de 2004 a las 10:00 horas en el Salón de Actos de la E.U.I.T
Topográfica http://nivel.euitto.upm.es/, Campus Sur UPM, Ctra. de
Valencia km 7; metro Línea 1 estación Sierra de Guadalupe.

Para mayor información, ver la sección cursos de Criptored
http://www.criptored.upm.es/paginas/eventos.htm#Cursos o bien contactar
con el director del curso al teléfono 91 3367868 o a la dirección de
correo jramio@eui.upm.es.





martes, 18 de mayo de 2004

Ejecución remota de scripts en Mac OS X a través del navegador Safari

Se ha descubierto una vulnerabilidad en el navegador Safari de Mac
OS X que podría ser aprovechada potencialmente por sitios web
maliciosos para comprometer un sistema afectado.

El problema se debe a que el procesador de URIs de ayuda permiten la
ejecución de scripts arbitrarios locales (.scpt) mediante la utilización
de "help:runscript" y secuencias de escalada de directorio clásicas.
Gracias a ello, es posible subir archivos arbitrarios en una posición
conocida al usuario que descargue un archivo ".dmg" (imagen
de disco). Esto ocurrirá si el navegador Safari ha sido configurado
para abrir archivos antes de bajarlos si se consideran seguros,
comportamiento que viene por defecto en dicho navegador. Este problema
ha sido confirmado en Mac OS X con Sarafi 1.2.1 (v125.1) e Internet
Explorer 5.2.

Ante la falta de parches de actualización para este problema, se
recomienda como medidas generales no navegar por Internet con un
usuario de privilegios altos, y cambiar el nombre del controlador de
URIs de ayuda. Para los usuarios de Safari, se recomienda desactivar
la opción 'Open "safe" files after download', localizado en la
siguiente zona: 'Safari -> Preferences -> General'.


Julio Canto
jcanto@hispasec.com


Más información:

Apple Safari 'runscript' Function Lets Remote Users Execute Code
http://www.securitytracker.com/alerts/2004/May/1010167.html

lunes, 17 de mayo de 2004

Múltiples vulnerabilidades en analizadores de protocolo de Ethereal

Se han descubierto múltiples vulnerabilidades en el monitor de actividad
de red Ethereal, que pueden ser explotadas por usuarios maliciosos para
provocar una denegación de servicio o incluso comprometer un sistema.

Ethereal es un analizador de protocolos de red gratuito para entornos
Unix y Windows. Permite examinar datos directamente 'esnifándolos' de la
red o de un archivo de captura, y posee diversas utilidades para hacer
más cómodo el trabajo con estos datos, como un potente lenguaje de
filtrado de visualización.

La primera se debe a un error en el manejo de paquetes SIP en
determinadas circunstancias, que puede provocar el cese de la ejecución
de la aplicación. Este problema concreto afecta sólo a la versión 0.10.3.

La segunda está provocada por un error en el analizador del protocolo
AIM, que también puede ser aprovechada para cesar la ejecución, y que
también afecta sólo a la versión 0.10.3 de dicho programa.

La tercera también puede ser aprovechada para provocar una denegación de
servicio y se debe a una referencia a un puntero a valor nulo en el
analizador del protocolo SPNEGO. Este problema afecta a las versiones de
la 0.9.8 a la 0.10.3.

La cuarta y más grave se debe a la falta de comprobación de tamaños de
variables dentro de una rutina del analizador del protocolo MMSE que
puede ser aprovechada para provocar un desbordamiento de búfer. La
explotación con éxito de esta vulnerabilidad permitiría la ejecución
remota de código arbitrario en el sistema en que se estuviese
ejecutando Ethereal. Esta vulnerabilidad afecta a las versiones de la
0.10.1 a la 0.10.3.

Se recomienda actualizar a la versión 0.10.4 a la mayor brevedad
posible. La dirección para la descarga es la siguiente:
http://www.ethereal.com/download.html


Julio Canto
jcanto@hispasec.com


Más información:

Multiple security problems in Ethereal 0.10.3
http://www.ethereal.com/appnotes/enpa-sa-00014.html

domingo, 16 de mayo de 2004

Ataque de denegación de servicio contra el protocolo WiFi 802.11

Estudiantes de una universidad australiana ha descrito una
vulnerabilidad intrínseca al protocolo 802.11, utilizado en las
redes inalámbricas, que puede ser utilizado muy fácilmente para
realizar un ataque de denegación de servicio. En la práctica
significa que utilizando un dispositivo PDA con capacidad de
conexión WiFi se puede perturbar la señal emitida por los puntos
de acceso a las redes inalámbricas. Adicionalmente, este tipo de
ataque es difícilmente detectable.

Con el objetivo de minimizar la transmisión simultánea de varios
puntos de una red WiFi situados dentro del rango de alcance de la
señal se utiliza un sistema denominado CSMA/CA (Carrier Sense
Multiple Access with Colision Avoidance, Acceso múltiple por
detección de portadora con evitando colisiones). Este sistema se
basa en la utilización de un procedimiento, CCA (Clear Channel
Assessment, Valoración de canales desocupados) que se ejecuta en
el nivel del enlace físico DSSS (Direct-Sequence Spread Spectrum,
Espectro extendido de secuencia directa).

El ataque descrito utiliza este procedimiento CCA de forma que el
resto de nodos y puntos de acceso de la red WiFI, situados dentro
del rango de alcance de la señal quedan inhabilitados durante el
transcurso de la interferencia. Desde el punto de vista de las
estaciones, el efecto perceptible es que la red se encuentra
colapsada y que no permite la transmisión de datos.

La novedad de este ataque concreto es que, a diferencia de otros
métodos descritos anteriormente, puede ser realizado por
cualquier persona. De hecho disponiendo de un simple PDA con una
tarjeta WiFi se puede colapsar cualquier red inalámbrica.

Esta vulnerabilidad se encuentra en todos los dispositivos que se
ajusten a la especificación IEEE 802.11 utilizando un nivel
físico DSSS, lo que incluye 802.11, 802.11b y 802.11g (este
último en velocidades inferiores a 20 Mbps). No afecta a los
dispositivos IEEE 802.11a y 802.11g (en velocidades superiores a
20 Mbps).


Xavier Caballé
xavi@hispasec.com


Más información:

Aviso del AusCERT: AA-2004-02 -- Denial of Service Vulnerability in IEEE
802.11 Wireless Devices
http://www.auscert.org.au/render.html?it=4091

Grave fallo de seguridad en redes WiFi: Un simple PDA puede tumbar una red
http://iblnews.com/noticias/05/107606.html

Students uncover new WiFi vulnerability
http://www.infoworld.com/article/04/05/14/HNwifiattack_1.html

sábado, 15 de mayo de 2004

Escuchar los teclados para descubrir contraseñas

Unos investigadores de IBM advierten sobre un nuevo sistema de
robar información... literalmente consiste en escuchar a los
teclados.

Dmitri Asonov y Rakesh Agrawal son dos investigadores de IBM que
se han fijado en una característica de los teclados utilizados
por ordenadores, cajeros automáticos, cerraduras electrónicas y
dispositivos similares. La pulsación de las teclas generalmente
emite un sonido, fruto de la pulsación que se realiza sobre la
tecla.

Este sonido se produce por el movimiento de la tecla y el
movimiento sobre la membrana que realiza la conversión del
movimiento en un impulso eléctrico. El sonido generado de cada
tecla puede llegar a ser individualizado: el teclado no emite el
mismo sonido cuando se pulsa la 'a', la barra espaciadora o la
'm'. por citar únicamente tres teclas.

Lo que ha descubierto estos investigadores es que, utilizando
material al alcance de cualquier persona (micrófonos y el
software adecuado) se puede llegar a identificar las teclas
pulsadas a partir de la grabación del sonido. Según indican,
registrando el sonido de cada tecla unas 30 veces se dispone de
la suficiente información para realizar la operación inversa con
un elevado porcentaje de éxito: identificar la tecla pulsada.

Evidentemente las implicaciones de seguridad son bien visibles:
si estamos dentro de un cajero y alguien graba el sonido que se
genera mientras se escribe el PIN, se podrá identificar el mismo.
Igual ocurre cuando se escribe la contraseña de acceso a un
servicio en el teclado de un PC.

Esta investigación ha sido presentada durante el Symposium sobre
Seguridad y Privacidad de la IEEE, celebrado en Oakland
(California, USA) entre los días 9 a 12 del presente mes de mayo.


Xavier Caballé
xavi@hispasec.com



viernes, 14 de mayo de 2004

Múltiples vulnerabilidades en productos Client Firewall de Symantec

Se ha detectado diversas vulnerabilidades en productos Client Firewall
de la compañía Symantec que podrían ser aprovechadas por usuarios
maliciosos para provocar una denegación de servicio o incluso
comprometer el sistema afectado con privilegios a nivel de kernel.

Las vulnerabilidades, descubiertas por eEye Digital Security, están
contenidas en el componente SYMDNS.SYS y son las siguientes:

* Hay un desbordamiento de stack en el procesamiento de respuestas DNS
causado por la falta de comprobación de tamaños para tratar entradas
externas. La explotación con éxito de este problema puede resultar en la
ejecución remota de código con privilegios a nivel de kernel.

* También se ha detectado un desbordamiento de stack en el procesamiento
de respuestas NBNS (NetBIOS Name Service) que pueden resultar en la
sobreescritura de zonas de memoria, que, en determinadas circunstancias,
puede aprovecharse para ejecutar código arbitrario a nivel de
privilegios de kernel.

* Se ha detectado también un problema potencial de corrupción del heap
por la misma razón, que de igual forma podría aprovecharse para ejecutar
código en el sistema vulnerable con los mismos derechos antes descritos.

* Se ha observado que podrían provocarse ataques de denegación de
servicio debido a un tratamiento incorrecto de los paquetes de respuesta
de DNS. Unos paquetes de este tipo especialmente configurados a tal
efecto, pueden provocar un cuelgue del sistema que requeriría un reinicio
para recobrar el acceso al sistema y su correcta funcionalidad.

Los productos afectados son los siguientes:
Symantec Norton Internet Security y Professional 2002, 2003, 2004
Symantec Norton Personal Firewall 2002, 2003, 2004
Symantec Norton AntiSpam 2004
Symantec Client Firewall 5.01, 5.1.1
Symantec Client Security 1.0, 1.1, 2.0 (SCF 7.1)

Se recomienda actualizar dichos productos vía LiveUpdate a la mayor
brevedad posible.


Julio Canto
jcanto@hispasec.com


Más información:

Symantec Multiple Firewall NBNS Response Processing Stack Overflow
http://www.eeye.com/html/Research/Advisories/AD20040512A.html

Symantec Multiple Firewall DNS Response Denial-of-Service
http://www.eeye.com/html/Research/Advisories/AD20040512B.html

Symantec Multiple Firewall NBNS Response Remote Heap Corruption
http://www.eeye.com/html/Research/Advisories/AD20040512C.html

Symantec Multiple Firewall Remote DNS KERNEL Overflow
http://www.eeye.com/html/Research/Advisories/AD20040512D.html

Symantec Client Firewall Remote Access and Denial of Service Issues
http://securityresponse.symantec.com/avcenter/security/Content/2004.05.12.html

jueves, 13 de mayo de 2004

Microsoft convoca un concurso de seguridad

Durante el mes de junio se celebrará un concurso de seguridad
destinado a desarrolladores de plataformas Microsoft. En una primera
fase se realizarán tres series de preguntas de seguridad en línea,
aquellos que la superen competirán frente a frente en la final que se
celebrará en TechEd en Amsterdam.

Las primeras tres series del concurso tendrán lugar entre el 1 y el
18 de junio de 2004. Después de cada serie los concursantes recibirán
una notificación por correo electrónico que les indicará si han
pasado a la fase siguiente. La final se celebrará en Amsterdam el 28
de junio de 2004.

El concurso estará basado en conocimientos generales sobre seguridad
en el desarrollo de aplicaciones y en el contenido de las sesiones
de algunas conferencias virtuales de Microsoft, que incluye Essentials
of Application Security, Writing Secure Code Best Practice, Writing
Secure Code Threat Defense e Implementing Application Security Using
the .NET Framework.

Requisitos para participar son estar disponible para recibir y
responder a los correos electrónicos (Microsoft .NET Passport)
durante todo el período del concurso y poder viajar a Amsterdam
el 26 o 27 de junio, con los gastos pagados por Microsoft, que
proporcionará el alojamiento y las entradas para la conferencia
durante la semana del TechEd.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft EMEA Security Events
http://www.microsoft.com/emea/msdn/securityevents/es-es/competition.mspx

miércoles, 12 de mayo de 2004

Nuevas versiones de Apache y mod_ssl

La Fundación Apache publica dos nuevas versiones (2.0.49 y
1.3.31) del servidor web más utilizado en Internet.
Simultáneamente también se publica una nueva versión de mod_ssl.

Apache es el software más utilizado en Internet para actuar como
servidor de contenido para la web. Las últimas estadísticas
publicadas por Netcraft, hace escasamente unas semanas, lo dejan
bien claro: el 67,05% de los servidores web visibles en Internet
utilizan alguna versión de Apache. Haciendo números de forma
rápida esto significa que a principios de este mes había casi 34
millones de servidores en Internet utilizando Apache. De hecho,
son varios los analistas que ya califican abiertamente a Apache
como la "killer application" del mundo del software libre.

Actualmente Apache se distribuye en dos "ramas" separadas de
código, que corresponden a la versión 2.0.xx y la versión 1.3.xx.
La versión 1.3 corresponde a la edición clásica de Apache,
especialmente optimizada para las plataformas Unix. En la
versión 2.0 se introducen cambios en el funcionamiento interno
que permiten su utilización en otros sistemas operativos no
derivados de Unix.

Si el servidor web es una plataforma basada en Unix, el
rendimiento de ambas versiones de Apache es prácticamente
equivalente. En cambio, en otras plataformas como Windows y OS/2,
la versión 2.0 ofrece un rendimiento notablemente superior.


Apache 2.0.49

Esta nueva versión soluciona tres problemas de seguridad
detectados en las versiones anteriores de Apache 2.0.*.

La primera de las vulnerabilidades corresponde una condición de
carrera en el proceso de conexiones con un corto periodo de vida
y que puede ser utilizada para provocar un ataque de denegación
de servicio. Esta vulnerabilidad afecta los servidores Apache
ejecutándose en determinadas versiones de Solaris, AIX y Tru64.

La segunda vulnerabilidad radica en la posibilidad de que un
usuario remoto pueda añadir caracteres arbitrarios en los
mensajes de error escritos en el archivo de registro de errores
del servidor. Esta vulnerabilidad puede ser utilizada para atacar
algunos emuladores de Terminal en el momento que se visualiza el
contenido de este archivo de registro de errores.

La tercera y última vulnerabilidad es una pérdida de memoria,
explotable de forma remota, en el módulo mod_ssl. Esto puede ser
utilizado para consumir toda la memoria del servidor, provocando
un ataque de denegación de servicio.


Apache 1.3.31

En lo que se refiere a la versión "clásica" de Apache, las
vulnerabilidades de seguridad solucionadas son cuatro.

La primera se encuentra en el módulo mod_digest y consiste en que
no se verifica correctamente las respuestas enviadas por el
cliente remoto cuando se utiliza AuthNonce.

La segunda vulnerabilidad radica en la posibilidad de que un
usuario remoto pueda añadir caracteres arbitrarios en los
mensajes de error escritos en el archivo de registro de errores
del servidor. Esta vulnerabilidad puede ser utilizada para atacar
algunos emuladores de Terminal en el momento que se visualiza el
contenido de este archivo de registro de errores.

La tercera vulnerabilidad radica en la posibilidad de que el
servidor web deje de procesar nuevas conexiones hasta que se
liberen los sockets bloqueados por un atacante remoto bajo
circunstancias muy especiales.

La cuarta y última vulnerabilidad se encuentra en las reglas de
filtro de direcciones IP cuando se indican sin especificar su
máscara de red.


Mod_ssl

Simultáneamente a la publicación de Apache 1.3.31, también se ha
publicado una nueva versión de mod_ssl. Este es un modulo para la
versión 1.3.xx de Apache que incorpora la capacidad criptográfica
necesaria para que el servidor web pueda utilizar los protocolos
SSL (SSL v2/v3) y TLS (TLS v1) para el cifrado del tráfico.
Mod_ssl se utiliza para la configuración de servidores HTTPS.


Xavier Caballé
xavi@hispasec.com



martes, 11 de mayo de 2004

Una actualización de seguridad para Windows XP y 2003 en mayo 2004

Como es habitual cada segundo martes de mes Microsoft publica las
actualizaciones de seguridad correspondientes a en esta ocasión al mes
de mayo. En esta ocasión se trata de un parche destinado a solucionar
una vulnerabilidad recientemente descubierta que afecta a sistemas
Windows XP y 2003 en el Centro de Ayuda y Soporte (Help and Support
Center) debido a la forma en que se trata la validación HCP URL.

Un atacante que logre explotar exitosamente esta vulnerabilidad logrará
tomar el control completo de los sistemas afectados, incluyendo la
instalación de programas; visualizar, cambiar, o eliminar datos; o
crear nuevas cuentas de usuario con privilegios de administración

Un atacante podrá explotar la vulnerabilidad construyendo una URL HCP
maliciosa que podrá permitir la ejecución remota de código si un
usuario visita un sitio web malicioso o visualiza un e-mail construido
a tal efecto.

Aunque se requiere interacción del usuario para lograr explotar
exitosamente la vulnerabilidad Microsoft recomienda a los usuarios
instalar la actualización tan pronto se tenga oportunidad.

Como contramedida se recomienda eliminar la funcionalidad de ayuda
mientras se evalúa el impacto de instalación de la actualización. Para
obtener la actualización basta ir a www.windowsupdate.com. Las
actualizaciones también pueden descargarse directaemnte desde:
Microsoft Windows XP y Windows XP SP 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=563F65A3-D793-47B4-A607-948CAA5B3454&displaylang=en
Microsoft Windows XP 64-Bit
http://www.microsoft.com/downloads/details.aspx?FamilyId=EB954F03-EFC6-45FA-B87C-E29135199DC9&displaylang=en
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=50AD42D7-81BD-4F96-9AD1-0E67310551DF&displaylang=en
Microsoft Windows Server 2003 64-Bit
http://www.microsoft.com/downloads/details.aspx?FamilyId=E05DE6AB-FB0D-4A0E-B34E-BB69B9D6BA74&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS04-015
Vulnerability in Help and Support Center Could Allow Remote Code
Execution
http://www.microsoft.com/technet/security/bulletin/MS04-015.mspx

Windows Help Center - Dvdupgrade
http://www.exploitlabs.com/files/advisories/EXPL-A-2003-027-helpctr.txt

lunes, 10 de mayo de 2004

Denegación de servicio en Java Runtime Environment 1.4.2

Se ha descubierto una vulnerabilidad en el JRE (Java Runtime
Environment, entorno de ejecución de Java) que permitiría a un usuario
remoto malicioso y sin privilegios provocar una denegación de servicio
en dicho entorno y por extensión a los servidores que corran bajo el.

Sun ha informado de que el problema reside en la función
decodeArrayLoop() en ISO2022_JP$Decoder, que bajo determinadas
circunstancias, puede entrar en un bucle infinito y quedar así bloqueado
sin generar respuestas.

La vulnerabilidad se presenta en las versiones 1.4.2 a la 1.4.2_03 del
JRE y SDK en los entornos Windows, Solaris y Linux, mientras que en
versiones anteriores no se ha observado.

Para comprobar que versión se está utilizando en una instalación, se
utiliza el parámetro "-fullversion", como en el siguiente ejemplo:
$ java -fullversion
java full version "1.4.2_04-b03

Sun ha publicado la versión 1.4.2_04 que corrige este problema en cada
plataforma afectada, y que está disponible en la siguiente dirección:
http://java.sun.com/j2se/


Julio Canto
jcanto@hispasec.com


Más información:

Java Runtime Environment Remote Denial of Service (DoS) Vulnerability
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57555

domingo, 9 de mayo de 2004

Factorización RSA-576

Un equipo multinacional resuelve el reto RSA-576, consistente en
factorizar un número de 174 dígitos.

El equipo, de 8 miembros repartidos por todo el planeta, ha invertido
100 ordenadores y tres meses en encontrar la solución, valorada en
10.000 dólares donados por la compañía RSA. La solución se anunció el
pasado 2 de diciembre de 2003, pero no ha sido hasta ahora que RSA ha
reconocido su validez.

Este tipo de retos tienen una gran importancia para conocer el estado
del arte en cuanto a ataques a los sistemas criptográficos más
utilizados en la actualidad. El algoritmo RSA, por ejemplo, es ubicuo.
Se utiliza en la mayoría de las transacciones electrónicas que hacen uso
de la criptografía, como el cifrado SSL utilizado por los navegadores
web, o el S/MIME o PGP (GPG) empleado en el correo electrónico.

Una de las ventajas del algoritmo RSA, además de su simplicidad, es que
su patente expiró en Septiembre de 2000, por lo que se trata de un
algoritmo que cualquier individuo puede utilizar libremente, al menos en
los países sin legislación restrictiva en cuanto a criptografía.

Para los alarmistas, recordemos que el número factorizado tiene 576 bits
y que las claves RSA más típicas miden 1024 bits, y que cada bit
adicional duplica la complejidad del problema. Por lo tanto las claves
RSA "normales" siguen siendo seguras, salvo avances teóricos o el
advenimiento de la informática cuántica, que es el espectro que planea
sobre el algoritmo RSA...

Algunos datos de interés:

El número a factorizar era

18819881292060796383869723946165043980716356337941
73827007633564229888597152346654853190606065047430
45317388011303396716199692321205734031879550656996
221305168759307650257059

y sus factores son

39807508642406493739712550055038649119
9064362342526708406385189575946388957261768583317

y

47277214610743530253622307197304822463
2914695302097116459852171130520711256363590397527


Jesús Cea Avión
jcea@hispasec.com


Más información:

RSA-576 Factorization Officially Announced
http://slashdot.org/article.pl?sid=04/04/28/1110250

RSA-576 Factored
http://slashdot.org/article.pl?sid=03/12/07/235214

Factorization of RSA-576
http://www.rsasecurity.com/rsalabs/challenges/factoring/rsa576.html

Mathematicians From Around the World Collaborate to Solve Latest RSA
Factoring Challenge
http://www.rsasecurity.com/company/news/releases/pr.asp?doc_id=3520

MathWorld Headline News
RSA-576 Factored
http://mathworld.wolfram.com/news/2003-12-05/rsa/

14/09/1999 - Factorización de RSA-155
http://www.hispasec.com/unaaldia/322

sábado, 8 de mayo de 2004

Desbordamiento de búfer en manejo de URLs de Eudora 5 y 6 para Windows

Se ha descubierto una vulnerabilidad en Eudora que podría ser explotada
por usuarios maliciosos para comprometer el sistema de un usuario.

Eudora es un cliente de correo clásico, desarrollado por la compañía
QualComm, y de gran popularidad entre el público como una alternativa de
Outlook.

La vulnerabilidad, confirmada en las versiones 5.2.1, 6.0.3 y 6.1 para
Windows, es debida a un problema de tamaños de búfer en el código que
se encarga de tratar las URLs en dicho cliente de correo. Un usuario
malicioso puede explotar este problema si envía un correo electrónico
que contenga un enlace de gran longitud especialmente construido a tal
efecto. La explotación con éxito de esta vulnerabilidad requiere que
la víctima pulse sobre dicha URL maliciosa, lo que conducirá a la
ejecución del código introducido por el atacante.

Ante la falta de parche de actualización por parte de la empresa
fabricante, se recomienda extremar las precauciones a la hora de seguir
enlaces si se utiliza este producto.


Julio Canto
jcanto@hispasec.com


Más información:

Do not use Eudora
http://www.maths.usyd.edu.au:8000/u/psz/securepc.html

Desbordamiento de búfer en QualComm Eudora
http://www.hispasec.com/unaaldia/1846

Graves vulnerabilidades en Eudora
http://www.hispasec.com/unaaldia/1786

Eudora Email Seciruty Advisory
http://www.eudora.com/security.html