miércoles, 30 de junio de 2004

Publicado Apache HTTP Server 2.0.50

Apache Software Foundation y The Apache HTTP Server Project han
anunciado la publicación de la versión 2.0.50 de Apache HTTP Server
("Apache").

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.
Esta nueva versión de Apache está destinada a corregir diferentes bugs
menores y dos vulnerabilidades de seguridad.

El primero de los problemas se refiere a una pérdida de memoria en el
tratamiento de cabeceras http que puede llevar a un ataque de denegación
de servicio debido a un excesivo consumo de memoria. Este problema ya
fue tratado por Hispasec en un boletín recientemente publicado.

La segunda vulnerabilidad corregida se trata de un desbordamiento de
búfer en mod_ssl en el código FakeBasicAuth de un certificado cliente
(confiable) con el argumento DN que exceda los 6K de tamaño. Al igual
que el problema anterior, este fallo también fue tratado en una-al-día
a finales del mes de mayo.

Esta versión es compatible con los módulos compilados para las versiones
2.0.42 y posteriroes. Se recomienda a los administradores de Apache la
actualización a esta nueva versión.

Apache HTTP Server 2.0.50 está disponible en:
http://httpd.apache.org/download.cgi


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (27/06/2004) Denegación de servicio en Apache 2.0.x
http://www.hispasec.com/unaaldia/2072

DoS in apache httpd 2.0.49, yet still apache much better than windows
http://www.guninski.com/httpd1.html

Apache HTTP Server 2.0.50 Released
http://www.apache.org/dist/httpd/Announcement2.html

una-al-dia (30/05/2004) Desbordamiento de búfer en mod_ssl 2.x para Apache 1 y 2
http://www.hispasec.com/unaaldia/2044

martes, 29 de junio de 2004

Vulnerabilidad en Cisco Collaboration Server

Las versiones de Cisco Collaboration Server (CCS) anteriores a la 5.0
se distribuyen con versiones de ServletExec que son vulnerables a
ataques por los que un usuario no autorizado podrá subir cualquier
archivo y conseguir privilegios administrativos.

Cisco Collaboration Server utiliza el subcomponente ServletExec
proporcionado por New Atlanta para Microsoft Windows 2000 y Windows NT.
Las versiones de ServletExec anteriores a la SE 3.0E permiten que un
atacante suba archivos al servidor web y ejecutarlos. Se recomienda a
los usuarios actualizar a CCS 5.x que incluye ServletExec 4.1, descargar
el script automatizado para CCS 4.x, o realizar la actualización de
forma manual.

Los usuarios de Cisco Collaboration Server 4.x pueden parchear el
software con el script disponible en
http://www.cisco.com/cgi-bin/tablebuild.pl/ccs40, o actualizarse a
CCS 5.x. Los usuarios de CCS 3.x (que incluye ServletExec 2.2)
deberán eliminar la vulnerabilidad de forma manual. Para ello,
hay que detener Internet Information Server (IIS), abrir el archivo
ServletExec22.jar (del directorio C:\Program Files\new atlanta\servletexec ISAPI\lib)
con alguna utilidad de descompresión (Winzip o similar) y eliminar
UploadServlet.class. Grabar ServletExec22.jar sin el componente
vulnerable en su localización original y reiniciar IIS.

Tras actualizar ServletExec se elimina el componente UploadServlet
que es el que provoca la vulnerabilidad del archivo ServletExec30.jar
pero no altera el número de versión. La mejor forma de comprobar si
CCS es vulnerable es intentar cargar la URL:
/servlet/UploadServlet"http:///servlet/UploadServlet
cuando CCS esté en ejecución. Si el intento termina en un
NullPointerException, la vulnerabilidad está presente, mientras que
si se presenta un error Page Not Found, CCS no es vulnerable.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco Collaboration Server Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20040630-CCS.shtml

lunes, 28 de junio de 2004

Denegación de servicio en router D-Link DI-614+ por peticiones DHCP

Se ha anunciado una vulnerabilidad de denegación de servicio en los
routeres D-Link DI-614+ que permitirá a un usuario remoto provocar
la caída del dispositivo.

Si un atacante remoto realiza una inundación del dispositivo con
paquetes DHCP específicamente creados podrá provocar que el router
se vuelva inestable y su reinicio. Los paquetes que provocan el
problema se caracterizan por tener una dirección MAC fuente
falsificada o un valor de CLIENTID único, además de enviarse
sin ninguna opción REQUESTEIP.

Para provocar las condiciones de denegación de servicio y la parada
del dispositivo el atacante deberá enviar un tráfico mantenido de
aproximadamente 50 paquetes por segundo. Como contramedida se
recomienda desactivar el servicio DHCP.


Antonio Ropero
antonior@hispasec.com


Más información:

D-Link DI-614+ Router Can Be Crashed With Certain DHCP Requests
http://www.securitytracker.com/alerts/2004/Jun/1010598.html

domingo, 27 de junio de 2004

Denegación de servicio en Apache 2.0.x

Se ha anunciado una vulnerabilidad en Apache httpd, que puede ser explotada por usuarios maliciosos para provocar una denegación de servicio (DoS).

La vulnerabilidad, descubierta y anunciada por el ya conocido Georgi Guninski, reside en un error en la función "ap_get_mime_headers_core()" cuando procesa las cabeceras. Este problema puede ser explotado a través de líneas cabecera especialmente creadas, con un gran tamaño que comiencen con un carácter TAB o SPACE.

Si el atacante logra explotar el problema exitosamente provocará el consumo de toda la memoria disponible en el sistema. En sistemas de 64 bits con más de 4GB de memoria virtual puede dar lugar a un desbordamiento de búfer, aunque no están claras las consecuencias que éste podrá tener.

La vulnerabilidad afecta a las versiones 2.0.46 hasta la 2.0.49, aunque versiones anteriores también pueden verse afectadas. El problema se encuentra corregido en la versión 2.0.50-dev.


Antonio Ropero
antonior@hispasec.com


Más información:

DoS in apache httpd 2.0.49, yet still apache much better than windows
http://www.guninski.com/httpd1.html

sábado, 26 de junio de 2004

Error en mecanismo de bloqueo 'Mobile Code' de ZoneAlarm Pro 5.x

Se ha descubierto una vulnerabilidad en ZoneAlarm Pro que permitiría a
un usario malicioso saltarse el mecanismo de bloqueo 'Mobile Code'.

El bloqueo 'Mobile Code' ha sido diseñado para bloquear contenidos web
potencialmente peligrosos como componentes ActiveX, applets Java y
determinados objetos MIME.

Se ha informado que dicho mecanismo no filtra de forma adecuada los
contenidos que le llegan a través de conexiones SSL, con lo que un
usuario malicioso puede utilizar esto para saltarse dicha protección.

A la espera de una corrección oficial, se recomienda precaución a la
hora de tratar con dichos tipos de componentes al navegar con HTTPS.


Julio Canto
jcanto@hispasec.com


Más información:

ZoneAlarm Pro Mobile Code Blocking Can Be Bypassed With SSL Connections
http://www.securitytracker.com/alerts/2004/Jun/1010556.html

viernes, 25 de junio de 2004

Ataque a usuarios de Internet Explorer a través de servidores IIS comprometidos

Una vulnerabilidad crítica de Internet Explorer publicada hace más
de dos semanas, y para la cual Microsoft aun no ha suministrado
solución, está provocando que gran cantidad de usuarios se infecten
por un troyano de forma automática al visitar ciertos servidores web
comprometidos. Nuevo y duro varapalo a la credibilidad de Microsoft
en relación a la seguridad, que pone en evidencia su política de
distribuir macroparches mensualmente.

En estos momentos aun se está investigando el método por el cual los
atacantes han conseguido introducir el troyano en una gran cantidad
de servidores web con Internet Information Server, algunos de ellos
muy populares, que actúan distribuyendo el gusano e infectando
automáticamente a los usuarios con Internet Explorer que visitan
cualquiera de sus páginas, con la excepción de los sistemas
Windows XP con el Service Pack 2 RC2 instalado, que están fuera de
peligro.

Según el aviso oficial de Microsoft, los atacantes han aprovechado
servidores web con Windows 2000 Server e Internet Information Server
5.0 vulnerables, que no han aplicado el macroparche 835732, publicado
en el boletín MS04-011 el pasado 13 de abril. Aun continúan las
investigaciones en este terreno, ya que algunos administradores de
sitios web comprometidos han afirmado que sus sistemas estaban
parcheados, aunque de momento no se ha detectado ninguna nueva
vulnerabilidad que pudiera estar siendo aprovechada para comprometer
a los servidores con IIS.

Una vez los atacantes consiguen el control del servidor web
aprovechando una vulnerabilidad, modifican su configuración provocando
que todas sus páginas web incluyan al final de la página un código
Javascript malicioso. Este código redirecciona a una página que
aprovecha la vulnerabilidad de Internet Explorer, para la que
Microsoft aun no ha suministrado solución, y descarga e instala
de forma automática un troyano en el sistema del usuario.

Cualquier usuario con Internet Explorer que visite uno de los
servidores web comprometidos se verá afectado sin realizar ningún tipo
de acción ni recibir mensaje alguno que pueda alertarlo, la infección
se produce de forma automática y transparente para el usuario.

El troyano, que se descarga desde un servidor web ubicado en Rusia,
ha sido diseñado para robar información sensible del usuario, así es
capaz de robar nombres de usuarios y contraseñas utilizadas para
acceder a servicios sensibles, como Ebay, Paypal o Yahoo webmail,
entre otros. Cuando el usuario visita ciertas páginas web de servicios
bancarios, el troyano es capaz de crear ventanas falsas, simulando ser
formularios legítimos, solicitando y robando los números de tarjetas
de crédito y PINs.


Microsoft recomienda a los administradores de Windows 2000 Server con
Internet Information Server comprobar que tienen instalado el parche
835732 publicado en el boletín MS04-011. Para detectar si un IIS
está comprometido, debemos dirigirnos a la herramienta Servicios de
Internet Information Server, Propiedades del Sitio Web predeterminado,
pestaña Documentos, y observar si se encuentra activada la opción de
"Habilitar pie de página del documento" apuntado a una DLL. En caso
afirmativo, el servidor está comprometido.

En cuanto a los usuarios de Internet Explorer, solicita que modifiquen
su configuración para prevenir la vulnerabilidad mientras desarrollan
y publican un parche específico:

Pasos en Internet Explorer:

menú Herramientas -> Opciones de Internet -> pestaña Seguridad ->
seleccionar la zona Internet (bola del mundo) ->
botón Nivel predeterminado -> situar el control en Alta

Con esta configuración algunos sitios web no se visualizarán de forma
correcta, incluida la propia página WindowsUpdate de Microsoft que
permite detectar e instalar los parches de seguridad en los sistemas
de forma automática. Para que funcione ésta página con la
configuración anterior, será necesario introducir la URL
http://windowsupdate.microsoft.com en Sitios de confianza.

Otra opción a tener en cuenta para prevenir este ataques y similares,
recomendada por fuentes independientes, consiste en utilizar un
navegador y cliente de correo distintos a Internet Explorer y Outlook
Express.

Adicionalmente, desde Hispasec también recomendamos a los usuarios
utilicen un antivirus puntualmente actualizado, ya que pueden
detectar el troyano e incluso el código que explota la vulnerabilidad
de Internet Explorer, previniendo la infección del sistema. Estas
soluciones también podrán detectar si el sistema del usuario está
infectado y proceder a su limpieza.


Bernardo Quintero
bernardo@hispasec.com


Más información:

What You Should Know About Download.Ject
http://www.microsoft.com/security/incident/Download_Ject.mspx

Compromised Web Sites Infect Web Surfers
http://isc.sans.org/diary.php?date=2004-06-25

RFI - Russian IIS Hacks?
http://isc.sans.org/diary.php?date=2004-06-24

IIS Exploit Infecting Web Site Visitors With Malware
http://news.netcraft.com/archives/2004/06/25/iis_exploit_infecting_web_site_visitors_with_malware.html

IIS Server Malware is Phishing Scam
http://news.netcraft.com/archives/2004/06/25/iis_server_malware_is_phishing_scam.html

Microsoft Security Bulletin MS04-011
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

jueves, 24 de junio de 2004

Vulnerabilidad Cross-Site Scripting en IBM Lotus Notes

Se ha descubierto una vulnerabilidad en IBM Lotus Notes que permitiría
a usuarios maliciosos realizar ataques de tipo Cross-Site Scripting.

Lotus Notes es una plataforma que combina mensajería a nivel
empresarial, calendarios y utilidades de organización, además de
todo tipo de facilidades para el uso de herramientas de colaboración.

IBM ha informado de que el procesador de URLs de Notes no filtra de
forma adecuada las entradas dadas por los usuarios cuando un usuario
pulsa sobre una URL de dicho programa. Un usuario remoto puede crear
una URL especialmente construida que, una vez cargada por el usuario,
provocará la ejecución de código script arbitrario en el navegador de
la víctima. El código tendrá dicho sitio como origen, y se ejecutará
en el contexto de seguridad que tenga asignado, por lo que podrá
acceder a las cookies del usuario (incluyendo las de autenticación)
que tenga asociadas con dicho sitio, acceder a información enviada
recientemente mediante formularios o realizar acciones en dicho lugar
en nombre de la víctima.

El informe de la vulnerabilidad afirma que si el cliente de Notes ya
está corriendo en la estación del usuario, este problema no es
explotable.

Las versiones vulnerables son las 6.x anteriores a la 6.0.4 y las
6.5.x anteriores a 6.5.2. IBM ha publicado versiones que no contienen
este error en dos ramas: 6.0.4 y 6.5.2.


Julio Canto
jcanto@hispasec.com


Más información:

Lotus Notes URL Handler Argument Injection Vulnerability
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21169510

Lotus Notes URI Handler Argument Injection Vulnerability
http://www.idefense.com/application/poi/display?id=111&type=vulnerabilities

Lotus Notes URL Handler Filtering Flaw Lets Remote Users Execute Arbitrary Scripting Code
http://www.securitytracker.com/alerts/2004/Jun/1010567.html

miércoles, 23 de junio de 2004

Evaluar las fugas de información con SiteDigger

FoundStone publica una herramienta gratuita que permite buscar en
Google la información sensible divulgada de una forma accidental.
Nos encontramos ante una nueva herramienta imprescindible en la
caja de herramientas de los profesionales de seguridad

Desde hace ya un tiempo, en varios weblogs especializados en
temas de seguridad, se ha comentado que algunos de los parámetros
avanzados de búsqueda disponibles en Google son especialmente
útiles para identificar las fugas de información provocadas por
páginas que nunca deberían ser accesibles desde Internet.

Un ejemplo clásico consiste en utilizar los parámetros inurl: e
intitle: para identificar los archivos de contraseñas
(/etc/passwd y /etc/shadow) de los sistemas Unix.

Recientemente FoundStone ha publicado una herramienta gratuita,
SiteDigger, que permite automatizar este proceso e identificar
cualquier información sensible almacenada dentro de Google, para
un dominio de Internet en concreto.

En su configuración por defecto, SiteDigger realiza búsquedas
dentro de Google de páginas que revelen archivos históricos (como
bash_history o .sh_history), archivos de contraseñas (.htpasswd,
/etc/shadow y similares), páginas de administración de
dispositivos o aplicaciones, documentos Excel que contienen
contraseñas, páginas por defecto de servidores web, mensajes de
error (algunos de los cuales incluyen información de las
credenciales del usuario que lo ha provocado), errores en
consultas SQL, expresiones mal construidas, servicios de
administración remota, vulnerabilidades conocidas...

También permite identificar archivos que comprometan la
privacidad (registro de actividad, archivos log, estadísticas,
datos financieros...).

SiteDigger realiza las consultas a partir de un archivo de
firmas, permitiendo seleccionar las búsquedas que se desean
realizar. El archivo de firmas es actualizable para incluir
nuevas opciones de búsqueda.

SiteDigger es una aplicación Windows (requiere el framework .NET,
que puede instalarse a través de Windows Update) y utiliza la API
de Google para automatizar la búsqueda de información sensible.
Para acceder a esta API es preciso disponer de una licencia, que
puede solicitarse de forma gratuita.


Xavier Caballé
xavi@hispasec.com


Más información:

SiteDigger
http://www.foundstone.com/resources/proddesc/sitedigger.htm

FoundStone SiteDigger: Identifying Information Leakage Using
Search Engines
http://www.foundstone.com/resources/whitepapers_registration.htm?file=wp_sitedigger.pdf

Eina: SiteDigger
http://www.quands.info/2004/06/24.html#a2752

Google, inurl: i intitle:
http://www.quands.info/2004/03/15.html#a1896

Herramienta: SiteDigger
http://t3k.ibernet.com/blog/2004/06/herramienta-sitedigger.html

API de Google
http://www.google.com/apis/

martes, 22 de junio de 2004

Paquetes BGP mal construidos provocan el reinicio de dispositivos Cisco IOS

Un dispositivo Cisco que ejecute IOS y tenga habilitado el protocolo
BGP (Border Gateway Protocol) es vulnerable a un ataque de denegación
de servicio (DOS) mediante un paquete BGP mal construido.

El protocolo BGP no está habilitado por defecto, y debe ser configurado
para aceptar tráfico desde otro dispositivo explícitamente definido. A
menos que el tráfico malicioso parezca provenir desde la fuente
confiable configurada, puede resultar difícil inyectar el paquete mal
construido.

Un dispositivo Cisco afectado ejecutando una versión del software
Cisco IOS y tenga habilitado el protocolo BGP se reiniciará cuando
reciba un paquete BGP mal construido. Una explotación exitosa de forma
repetida de esta vulnerabilidad resulta en un ataque de denegación de
servicio.

El problema afecta a todos los dispositivos Cisco que ejecuten
cualquier versión de Cisco IOS no parcheada y configurados para rutado
BGP.

Cisco ha publicado una actualización del software Cisco IOS gratuita
para corregir esta vulnerabilidad. Que puede obtenerse a través del
sitio web de Cisco Software Center en
http://www.cisco.com/tacpage/sw-center.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS Malformed BGP Packet Causes Reload
http://www.cisco.com/warp/public/707/cisco-sa-20040616-bgp.shtml

lunes, 21 de junio de 2004

Envenenamiento de cache DNS en Symantec Enterprise Firewall 7 y 8

Se ha descubierto una vulnerabilidad en Symantec Enterprise Firewall
que puede ser explotada por usuarios maliciosos para envenenar la
caché de DNS.

Cuando actúa como un servidor caché de DNS, el proxy DNS integrado
confía en una respuesta recibida de un servidor DNS sin comprobar que
corresponde a una petición realizada o si es válida. Este problema
puede explotarse para introducir información falsificada en la caché
DNS y así dirigir a usuarios a sitios maliciosos o impedir que accedan
a determinados sitios web.

Esta vulnerabilidad se ha confirmado en las versiones 7.0.4 y 8.0 para
Solaris, aunque otras plataformas y versiones podrían verse afectadas.
Se ha confirmado que algunos servidores DNS públicos usan esta
vulnerabilidad para redirigir dominios no registrados a sus sitios, aunque
también podría emplearse para realizar ataques de tipo hombre en el
medio, denegaciones de servicio o de ingeniería social.

Symantec está investigando el problema, así que a la espera de un
parche oficial que corrija esta vulnerabilidad, se recomienda no usar
el proxy DNS.


Julio Canto
jcanto@hispasec.com


Más información:

Symantec Enterprise Firewall DNSD Cache Poisoning Vulnerability
http://www.securiteam.com/unixfocus/5AP0O0AD5W.html

domingo, 20 de junio de 2004

Vulnerabilidad Cross-Site Scripting en cámara Linksys Video Camera 2.10

Una vulnerabilidad en Linksys Video Camera 2.10 podría permitir a un
atacante hacerse con los datos de las cookies, y los datos de autenticación
que puedan incluir, de la máquina de un usuario del sistema.

Linksys Video Camera 2.10 transmite imágenes a través de Internet
hasta un navegador web autónomamente de forma que no necesita
ningún ordenador para esta función.

Linksys Video Camera 2.10 se ve afectada por un problema de seguridad
por el que un usuario remoto podría realizar una ataque por el método
Cross-Site Scripting. El problema consiste en una falta de validación en
la entrada facilitada por el usuario en el script "main.cgi". El atacante
podrá crear una url especialmente malformada que al ser ejecutada por
el navegador de la víctima podrá obtener las cookies con datos sensibles
del usuario, incluyendo la autenticación.

En estos momentos no se conoce solución al problema.


Antonio Román
roman@hispasec.com


Más información:

Linksys Video Camera Input Validation Hole Permits Cross-Site Scripting
Attacks
http://www.securitytracker.com/alerts/2004/Jun/1010489.html

Wireless-B Internet Video Camera
http://www.linksys.com/products/product.asp?grid=33&prid=566

sábado, 19 de junio de 2004

Gestores de contraseñas

Uno de los principales problemas con los que se encuentra hoy en
día un administrador de sistemas es el gran número de contraseñas
que se ve obligado a recordar. Los gestores de contraseñas
ofrecen un sistema seguro para su almacenamiento.

La proliferación de contraseñas, debido al gran número de
sistemas y entornos que requieren de autenticación del usuario
que accede, se ha convertido en un auténtico problema. Un
problema por la imposibilidad material de recordar todas y cada
una de las contraseñas, especialmente en los momentos de crisis
que es cuando suele ser necesario acceder a un dispositivo al que
habitualmente no conectamos.

Los administradores de sistemas suelen recurrir a diversos trucos
para sortear este problema. El más clásico consiste en la
utilización de una contraseña común en todos los dispositivos.
Esto no siempre es viable, debido a la existencia de políticas
que obligan a la rotación o a la necesidad de restringir el
acceso a determinados dispositivos.

Otro sistema habitual consiste en mantener una hoja de cálculo o
una base de datos con las contraseñas. De esta forma, las
contraseñas se encuentran centralizadas... y, porque no decirlo,
desprotegidas. La mayoría de hojas de cálculo almacenan los datos
de una forma poco segura y cualquier persona con acceso al
archivo puede, con poco o nulo esfuerzo, acceder a su contenido.

El tercer método es todo un clásico: el típico post-it.
Evidentemente este no puede considerarse como seguro, ya que todo
el mundo puede leerlo... y además es muy fácil de perder.

En este boletín mostramos un método alternativo, más eficiente y
que puede considerarse más seguro para mantener catalogadas las
contraseñas que cualquier administrador de sistemas debe utilizar
para el desarrollo de su actividad profesional: la utilización de
gestores de contraseñas.

No voy a tratar sobre los sistemas de Single Sign-On ni de
sincronización de contraseñas, ya que estos generalmente se
aplican dentro de un ámbito corporativo para las aplicaciones y
entornos con un número importante de usuarios. Difícilmente se
aplican, por ejemplo, en servidores o dispositivos de red. Esto
sin olvidar el caso de aquellos que desarrollan su actividad en
múltiples redes de diferentes corporaciones.

Gestores de contraseñas

Los gestores de contraseñas son aplicaciones especializadas en
almacenar las credenciales (identificador de usuario y
contraseña) dentro de una base de datos. Una característica no
estrictamente imprescindible, aunque si muy deseable, es que la
información almacenada se encuentre cifrada con un algoritmo de
cifrado fuerte, debido a las características especiales de los
datos contenidos.

Otra característica habitual de estos gestores es que llevan
incorporados un generador de contraseñas. Librados de la
necesidad de recordar una contraseña, podemos utilizar
contraseñas especialmente complejas y, por tanto, más seguras.

El gestor de contraseñas no ha de ser necesariamente una
aplicación especializada. Las últimas versiones de los
navegadores web más populares llevan integrados sus propios
gestores de contraseñas, aunque su ámbito de utilización se
encuentra reducido a la autenticación de aplicaciones y recursos
que se acceden a través de la web.

Es preciso indicar, no obstante, que estos gestores integrados
dentro de los navegadores web almacenan las contraseñas de una
forma poco segura. En la actualidad, muchas empresas desaconsejan
a los usuarios la utilización de los mismos, debido justamente a
la facilidad con que esta información sensible puede ser
sustraída.

A continuación indicamos las características principales de
algunos gestores de contraseñas. No pretende ser una lista
exhaustiva sino simplemente mostrar algunos productos que
realizan esta función.


Password Safe

El primer gestor de contraseñas que comentamos está disponible
para los sistemas Windows (incluyendo Windows CE) y es una
aplicación de código abierto. Inicialmente desarrollada por Bruce
Schneier, almacena las contraseñas dentro de una base de datos
cifrada con el algoritmo Blowfish. Se distribuye con el código
fuente completo y su mecanismo de cifrado ha sido cuidadosamente
verificado por la empresa Counterpane.


SplashID

Esta es una aplicación comercial, especialmente dirigida a los
usuarios de asistentes personales (da soporte a los sistemas
operativos PalmOS y PocketPC), aunque también dispone de una
versión para Windows, que se sincroniza con los datos del
asistente personal. También cifra la información con el algoritmo
Blowfish.


Figaro's Password Manager

Es otra aplicación de código abierto, para el entorno GNOME. Como
las anteriores, la base de datos se encuentra cifrada con el
algoritmo Blowfish. Se integra con el navegador web, actuando
como un gestor de favoritos y rellenando automáticamente los
campos de autenticación del usuario.


PasswordVault

Aplicación comercial (aunque está disponible una versión
gratuita) con versiones para Windows y Mac, que también puede
almacenar las contraseñas dentro de una base de datos
especializada cifrada con el algoritmo Blowfish.


Xavier Caballé
xavi@hispasec.com


Más información:

Password Safe
http://www.schneier.com/passsafe.html
http://sourceforge.net/projects/passwordsafe/

SplashID
http://www.splashdata.com/splashid/index.htm
http://www.splashdata.com/ppc/splashid/index.htm

Figaro's Password Manager
http://fpm.sourceforge.net/

PasswordVault
http://www.lavasoftware.com/passwordvault.html

viernes, 18 de junio de 2004

Informe SANA de mayo: 581 alertas en un mes

Un total de 581 alertas emitidas durante el mes de mayo a través
del servicio SANA de alertas y vulnerabilidades a medida de Hispasec
Sistemas.

El Servicio de Análisis, Notificación y Alertas (SANA) de Hispasec
Sistemas documentó y distribuyó 19 nuevas alertas de seguridad
y parches diarias durante el pasado mes de mayo. La media de avisos
diarios se mantiene estable en los mismos rangos que meses anteriores.
Este mes, cabe destacar que Microsoft tan solo publicó un boletín de
seguridad destinado a solucionar una vulnerabilidad recientemente
descubierta que afecta a sistemas Windows XP y 2003 en el Centro de
Ayuda y Soporte, aunque se han anunciado vulnerabilidades,
actualizaciones y Service Packs para otros productos de Microsoft.
También destacan las nuevas versiones de Apache, un desbordamiento de
búfer en Check Point VPN-1/FireWall-1 y un gran número de
actualizaciones para HP-UX, Solaris y HP OpenView.

En esta ocasión el listado de fabricantes se ve encabezado por Sun con
un total de 104 alertas publicadas, lo que representa un 17,9%, seguido
por los sistemas de IBM con 93 informaciones emitidas (un 16% de los
avisos) y de los sistemas y aplicaciones de HP con un total de 49
alertas publicadas (8,4%), y SGI con 37 y Microsoft con 44.

Según la clasificación de SANA, 64 (un 11%) de las alertas se han
considerado de riesgo alto, el 14,2% medio-alto, 123 de ellas (el
21,1%) de nivel medio, mientras que el resto recibió una calificación
de riesgo medio-bajo y bajo.

Una gran mayoría de las alertas, 503 en concreto (un 86,5%), trataban
de parches propiamente dichos o de vulnerabilidades que contaban con
actualizaciones para corregirlas. Mientras que para el resto Hispasec
documentó contramedidas y acciones preventivas adicionales a la espera
de la solución oficial.

El Servicio SANA de Hispasec Sistemas nació como una versión
profesional de una-al-dia, al ofrecer un servicio de información sobre
seguridad informática personalizado según el perfil de cada cliente,
sin ningún tipo de limitaciones de horario o cantidad de información.
Los suscriptores de SANA reciben puntualmente, en tiempo real, la
información sobre nuevas vulnerabilidades que realmente puedan afectar
a los sistemas de su empresa, junto con las medidas preventivas y/o
parches para subsanarlas.

Un servicio como SANA puede ayudar a todos los administradores a
tener actualizados al día todos sus sistemas. Todos los lectores de
una-al-dia pueden realizar, desde la portada de la web de Hispasec
(http://www.hispasec.com), un seguimiento en tiempo real del número de
alertas publicadas por SANA.


Antonio Ropero
antonior@hispasec.com


Más información:

Servicio SANA de Hispasec Sistemas:
http://www.hispasec.com/directorio/servicios/sana

una-al-dia (20/05/2002) ¿Gastan los profesionales de seguridad mucho
tiempo buscando información?
http://www.hispasec.com/unaaldia/1303

jueves, 17 de junio de 2004

Complicar los sistemas de autenticación para aumentar la seguridad

En el último año hemos asistido a un crecimiento excesivo de intentos de
robo de identidad electrónica. El principal método usado ha sido el phishing
("pesca" mediante correos engañosos) con un aumento del 110% mensual en los
últimos 6 meses. Este hecho añadido a otras técnicas más tradicionales como
son explotación de vulnerabilidades, troyanos y sus derivados, llevan a los
expertos a idear mejoras para los sistemas de autenticación.

Tradicionalmente el usuario dispone de una pareja que consta de un nombre y
una clave, que lo identificarán como usuario del servicio y le permitirán
hacer uso del mismo. Los inconvenientes de esta formula son varios:

- El usuario puede utilizar claves muy simples si se lo permitimos,
por ejemplo: "clave".

- El usuario puede usar la misma clave para varios servicios. Si por
cualquier causa se compromete una de estas claves existe peligro de
intromisión en el resto de servicios en que usáramos.

- El usuario puede ser engañado para que proporcione sus datos de
identificación en un sitio que aparenta ser el mismo que el que nos
proporciona el servicio real.

- El usuario puede encontrarse en un ordenador de poca confianza (por
ejemplo en un cibercafé) o su ordenador puede encontrarse comprometido y
enviando toda la información introducida al atacante.

Estas desventajas propician la aparición de métodos que complementan al
funcionamiento tradicional y que se basan en añadir una capa de seguridad
mediante el uso de nuevos soportes, entre los que destacamos:

- Tarjetas de un solo uso en las que el cliente debe rascar la
superficie para ver el valor que deberá usar la próxima vez que quiera
conectarse al servicio. El banco, en este caso, envía por correo
convencional una nueva tarjeta cuando detecta que al cliente se
le va a agotar la actual.

- Calculadoras especiales de bolsillo o llavero que computan un valor
dependiendo de sus características y otras variables como el momento en el
que se consultan.

- Tarjetas con chips inteligentes que devuelven una palabra de paso
de un solo uso tras introducir el PIN en un lector especial.

- Métodos menos asequibles que sirven para identificarnos únicamente, tales
como aparatos que hacen uso de parámetros biométricos (huellas dactilares,
escáner de retina, etc)

En todos los casos vemos que el aumento de la seguridad está asociado a un
mayor coste de la solución, pero comienza a ser necesario el uso de estos en
servicios como la banca, cuyos clientes están continuamente expuestos a
intentos de robo.


Francisco Javier Santos
fsantos@hispasec.com


Más información:

Anti-Phising Working Group
http://www.antiphishing.org/

Complex Passwords Foil Hacks
http://www.wired.com/news/infostructure/0,1377,63670,00.html

Contraseñas y banca electrónica
http://barrapunto.com/article.pl?sid=04/06/04/1121255&mode=thread

Continúan los intentos de estafa contra bancos españoles
http://www.hispasec.com/unaaldia/2041

miércoles, 16 de junio de 2004

Nueva actualización de seguridad de Mac OS X

Apple acaba de publicar una nueva actualización de seguridad para su
sistema Mac OS X.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La actualización 2004-06-07, gratuita, está disponible para las
versiones 10.2.8 ("Jaguar") y la último 10.3.4 ("Panther").

Se solucionan los siguientes problemas:

* Un atacante remoto malicioso puede instalar software y datos, y
ejecutarlos con posterioridad sin otro requisito que la visita web
desprevenida de un usuario vulnerable. Este ataque ha sido descrito ya
en un boletín Hispasec previo.

* Se elimina la posibilidad de montar discos duros remotos mediante el
URI "disk://", por los riesgos de seguridad que ello comporta.

* El navegador de Apple, Safari, podía ejecutar ciertos tipos de
ficheros descargados al realizar un "Show in Finder". La nueva versión
de Safari muestra esos ficheros, pero no los ejecuta. Esta actualización
solo es aplicable a Mac OS X 10.3.4 ("Panther").

* Se elimina la posibilidad de abrir un URI "telnet://" a un puerto no
estándar.

Hispasec recomienda a todos los usuarios Apple que instalen estas
actualizaciones.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apple Security Updates
http://docs.info.apple.com/article.html?artnum=61798

About Security Update 2004-06-07
http://docs.info.apple.com/article.html?artnum=25785

APPLE-SA-2004-06-07 Security Update 2004-06-07
http://www.securityfocus.com/archive/1/365367

UPDATE: Security Update 2004-06-07 fixes the issues Paranoid Android was
created to address.
http://www.unsanity.com/haxies/pa/

URL-Based Mac OS X Vulnerability Revealed
http://db.tidbits.com/getbits.acgi?tbart=07679

Explaining the URL-Based Mac OS X Vulnerability
http://db.tidbits.com/getbits.acgi?tbart=07680

AppleShare Encryption Security Flaw Discovered
http://db.tidbits.com/getbits.acgi?tbart=07563

Serious TCP Weakness Identified
http://db.tidbits.com/getbits.acgi?tbart=07648

martes, 15 de junio de 2004

Novena edición de la encuesta anual de CSI/FBI sobre seguridad informática

Fiel a su cita anual, acaba de publicarse la novena edición de la
encuesta que realizan conjuntamente el Computer Security
Institute (CSI) y el Federal Bureau of Investigation (FBI) sobre
las tendencias en seguridad informática.

Anualmente el Computer Security Institute (CSI), una prestigiosa
organización formada por profesionales y empresas especializadas
en seguridad informática, con la colaboración de la oficina de
San Francisco del Federal Bureau of Investigation (FBI), realizan
una encuesta a los responsables de seguridad informática de
organizaciones de los Estados Unidos.

A lo largo de los años, esta encuesta se ha demostrado como un
fiel reflejo de las tendencias en la seguridad informática, tanto
en las amenazas más importantes de cada momento, como en
determinar los cambios de la percepción de la seguridad en las
organizaciones.

Si bien el ámbito de la encuesta se circunscribe a organizaciones
de los Estados Unidos, debido al carácter global de las amenazas,
prácticamente todos los datos se pueden extrapolar a
organizaciones de otros países. En muchos casos, lo que vemos en
las conclusiones de esta encuesta serán las tendencias que,
dentro de varios meses (o años) marcarán las empresas de otros
países.

En definitiva, esta encuesta es un documento que debe ser
consultado por todos los profesionales y organizaciones que se
dediquen de una forma u otra a la seguridad informática.

En la edición del presente año destacan los siguientes datos:

* El uso no autorizado de ordenadores va a la baja respecto al
año pasado.

* El impacto económico de las incidencias de seguridad también se
ha reducido (141 millones de dólares, mientras que en la edición
del año pasado se estimaba en 201 millones de dólares).

* A diferencia de otros años, el delito informático que causa un
mayor impacto económico son los ataques de denegación de
servicio.

* El número de organizaciones que denuncian ante la policía o los
juzgados las incidencias de seguridad también se ha reducido. La
causa aducida es evitar la mala publicidad.

* Se han generalizado la utilización de criterios económicos en
la toma de decisión de adquisición de elementos de seguridad. Un
55% aplican criterios de cálculo del retorno de la inversión
(ROI), un 28% calcula el promedio de retorno (IRR) y 25% calcula
el valor neto presente (NPV).

* Un 80% de las organizaciones realizan auditorias de seguridad.

* Son muy raras las organizaciones que externalizan las
actividades de seguridad y aquellas que lo hacen, el porcentaje
de actividades externalizadas es muy bajo.

* Para la mayoría de las organizaciones, la formación con objeto
de crear una conciencia de seguridad es muy importante, pero casi
todas reconocen que invierten poco.

Las conclusiones de la encuesta están disponibles en la dirección
que indicamos más abajo. Es necesario registrarse previamente
para poder acceder a las mismas.


Xavier Caballé
xavi@hispasec.com



lunes, 14 de junio de 2004

Denegación de servicio en dispositivos Cisco Catalyst

Se ha descubierto una vulnerabilidad en CatOS de Cisco que permitiría a
usuarios maliciosos provocar una denegación de servicio en diversos
protocolos y servicios de dispositivos que utilicen dicho sistema.

El ataque de denegación de servicio consistiría en realizar conexiones
sin enviar el ACK habitual en la negociación de la comunicación TCP,
mandando en su lugar una respuesta especialmente modificada a tal efecto
para mover la conexión a un estado TCP no válido.

La explotación con éxito de la vulnerabilidad, que afecta a los
protocolos Telnet y HTTP, además del servicio SSH, provocaría la parada
y recarga del dispositivo afectado. El problema ha sido documentado con
los identificadores Cisco CSCec42751,C CSCed45576 y CSCed48590.

Los productos afectados son los siguientes:
* Catalyst series 6000
* Catalyst 5000 series
* Catalyst 4500 series
* Catalyst 4000 series
* Catalyst 2948G, 2980G, 2980G-A, 4912G - usar base de codificación de
Catalyst series 4000
* Catalyst 2901, 2902, 2926[T,F,GS,GL], 2948 - usar base de codificación
de Catalyst series 5000
* CatOS 8.xGLX (anterior a 8.3(2)GLX)
* CatOS 8.x (anterior a 8.2(2))
* CatOS 7.x (anterior a 7.6(6))
* CatOS 6.x (anterior a 6.4(9))
* CatOS 5.x (anterior a 5.5(20)

Se recomienda actualizar el software a la mayor brevedad posible. Los
clientes pueden descargar dicho software desde la siguiente dirección:
http://www.cisco.com/tacpage/sw-center/sw-lan.shtml


Julio Canto
jcanto@hispasec.com


Más información:

Cisco CatOS Telnet, HTTP and SSH Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20040609-catos.shtml

domingo, 13 de junio de 2004

Problema de seguridad en Edimax 7205APL Wireless Router

Edimax 7205APL Wireless Router se ve afectado por un problema de
seguridad por el que un atacante podría remotamente hacerse con el
control del producto afectado.

Para explotar esta vulnerabilidad, un atacante simplemente tendría que
autentificarse ante el router usando como usuario "guest" y como clave
"1234" posteriormente el intruso sólo tendría que copiar el archivo de
configuración "config.bin" en el que se encuentra la clave del
administrador.

En el momento de la redacción de esta noticia no se ha encontrado
ningún remedio que palie este problema.


Antonio Román
roman@hispasec.com


Más información:

Edimax 7205APL Wireless Router Discloses the Administrative to Remote Users
http://www.securitytracker.com/alerts/2004/Jun/1010467.html

sábado, 12 de junio de 2004

El gusano Zafi.B aumenta su propagación en las últimas horas

Según las estadísticas de VirusTotal (http://www.virustotal.com), el
gusano Zafi.B, también denominado Erkez.B, ha obtenido un aumento
significativo en su propagación durante las últimas 24 horas. Zafi.B
busca antivirus y firewalls en los sistemas y sobrescribe sus
ejecutables con una copia del gusano.

El gusano se presenta con un tamaño de 12.800 bytes (12,8 KB),
resultado de que el autor haya comprimido el ejecutable original de
33.292 bytes con la utilidad FSG.

Su principal vía de distribución es el correo electrónico, si bien
también se copia en todas las carpetas del sistema infectado cuyos
nombres contengan las palabras "share" o "upload", que pueden
pertenecer a los directorios de archivos compartidos de algunas
aplicaciones P2P. Los nombres que utiliza para intentar propagarse
en las redes P2P son "winamp 7.0 full_install.exe" y "Total Commander
7.0 full_install.exe".

La reacción de las diferentes casas antivirus en proporcionar la
actualización a sus usuarios para detectar a Zafi.B fue la siguiente:

NOD32 10/06/2004 13:21:34 :: Win32/Zafi.B
Kaspersky 11/06/2004 04:34:56 :: I-Worm.Zafi.b
Panda 11/06/2004 15:02:10 :: W32/Zafi.B.worm
Symantec 11/06/2004 23:24:37 :: W32.Erkez.B@mm

En el momento de escribir estas líneas aun no detectan a Zafi.B las
soluciones de BitDefender, eTrustAV, F-Prot, McAfee y TrendMicro,
aunque se espera que en breve distribuyan las actualizaciones
pertinentes. Si lo detectan Norman y Sybari, si bien estos motores
aun no se encuentran monitorizados por el laboratorio de Hispasec
para determinar el momento exacto en el que se produjo la
actualización.

Cuando el gusano es ejecutado en un sistema, en primer lugar realiza
una copia del mismo en el directorio de sistema (system32) de Windows
con un nombre de archivo al azar y extensión .EXE o .DLL. A
continuación introduce una entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"_Hazafibb"=%windir%\System32\[nombre al azar]

Crea varios archivos con extensión .DLL donde almacena todas las
direcciones de correo que recopila del sistema infectado, los
nombres de estos archivos pueden encontrarse en la siguiente entrada
del registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

Zafi.B puede distribuirse por correo electrónico con varios asuntos
y textos en el cuerpo del mensaje, así como en varios idiomas que
utiliza según el dominio de la dirección de destino. De esta forma,
por ejemplo, si la dirección finaliza en .it el gusano enviará el
mensaje en italiano, y si lo hace en .ru lo hará en ruso.

A la hora de enviarse por e-mail, evita hacerlo a las direcciones
que contengan algunos de los siguientes textos: win, use, info,
help, admi, webm, micro, msn, hotm, suppor, syma, vir, trend,
panda, yaho, cafee, sopho, google y kasper.

Como efecto adicional, el gusano está programado para llevar un
ataque distribuido de denegación de servicio contra varios sitios
web de Hungría: www.2f.hu, www.parlament.hu, www.virusbuster.hu y
www.virushirado.hu.

De la observación de los mensajes enviados a VirusTotal, los más
repetidos suelen aparecer con el mismo texto en el campo Remite/De
y en el Asunto, mientras que como cuerpo suelen incluir una sóla
palabra, como por ejemplo "Surprise!" o "eBook!".

A continuación otros ejemplos de mensajes en los que se distribuye
Zabi.B.

Asunto: Ingyen SMS!
Adjunto: "regiszt.php?3124freesms.index777.pif"
Cuerpo:
- ---------------------- hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt
regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5!
B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de
siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes
nyerem=E9nyeket sorsolunk ki!
- ---------------------- axelero.hu ---------------------------

Asunto: Importante!
Adjunto: "link.informacion.phpV23.text.message.pif"
Cuerpo:
Informacion importante que debes conocer, -


Asunto: Katya
Adjunto: "view.link.index.image.phpV23.sexHdg21.pif"


Asunto: E-Kort!
Adjunto: "link.ekort.index.phpV7ab4.kort.pif"
Cuerpo:
Mit hjerte banker for dig!


Asunto: Ecard!
Adjunto: "link.showcard.index.phpAv23.ritm.pif"
Cuerpo:
De cand te-am cunoscut inima mea are un nou ritm!


Asunto: E-vykort!
Adjunto: "link.vykort.showcard.index.phpBn23.pif"
Cuerpo:
Till min Alskade...


Asunto: E-Postkort!
Adjunto: "link.postkort.showcard.index.phpAe67.pif"
Cuerpo:
Vakre roser jeg sammenligner med deg...


Asunto: E-postikorti!
Adjunto: "link.postikorti.showcard.index.phpGz42.pif"
Cuerpo:
Iloista kesaa!


Asunto: Atviruka!
Adjunto: "link.atviruka.showcard.index.phpGz42.pif"
Cuerpo:
Linksmo gimtadieno! ha


Asunto: E-Kartki!
Adjunto: "link.kartki.showcard.index.phpVg42.pif"
Cuerpo:
W Dniu imienin...


Asunto: Cartoe Virtuais!
Adjunto: "link.cartoe.viewcard.index.phpYj39.pif"
Cuerpo:
Content: Te amo... ,


Asunto: Flashcard fuer Dich!
Adjunto: "link.flashcard.de.viewcard34.php.2672aB.pif"
Cuerpo:
Hallo! hat dir eine elektronische Flashcard geschickt. Um die
Flashcard ansehen zu koennen, benutze in deinem Browser einfach den
nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...


Asunto: Er staat een eCard voor u klaar!
Adjunto: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"
Cuerpo:
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in
het basisonderwijs... U kunt de kaart ophalen door de volgende url
aan te klikken of te kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke
groet, De redactie taalsite primair onderwijs...


Asunto: Elektronicka pohlednice!
Adjunto: "link.seznam.cz.pohlednice.index.php2Avf3.pif"
Cuerpo:
Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz -


Asunto: E-carte!
Adjunto: "link.zdnet.fr.ecarte.index.php34b31.pif"
Cuerpo:
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez,
l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5
minutes, du dialogue en direct...


Asunto: Ti e stata inviata una Cartolina Virtuale!
Adjunto: "link.cartoline.it.viewcard.index.4g345a.pif"
Cuerpo:
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click sul link
sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione,
la cartolina sara visibile sui nostri server per 2 giorni e poi verra
rimossa automaticamente.


Asunto: You`ve got 1 VoiceMessage!
Adjunto: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Cuerpo:
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com
website! Sender: You can listen your Virtual VoiceMessage at the
following link: http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link. Send VoiceMessage! Try our new
virtual VoiceMessage Empire! Best regards: SNAF.Team (R).


Asunto: Tessek mosolyogni!!!
Adjunto: "meztelen csajok fociznak.flash.jpg.pif"
Cuerpo:
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:


Asunto: Soxor Csok!
Adjunto: "anita.image043.jpg.pif"
Cuerpo:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem
tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l,
addig is cs=F3k: )l@


Asunto: Don`t worry, be happy!
Adjunto: "www.ecard.com.funny.picture.index.nude.php356.pif"
Cuerpo:
Hi Honey! I`m in hurry, but i still love ya... (as you can see on
the picture) Bye - Bye:


Asunto: Check this out kid!!!
Adjunto: "jennifer the wild girl xxx07.jpg.pif"
Cuerpo:
Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,


Bernardo Quintero
bernardo@hispasec.com


Más información:

W32/Zafi.b@MM
http://vil.nai.com/vil/content/v_126242.htm

Zafi.B
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=48433

W32.Erkez.B@mm
http://www.sarc.com/avcenter/venc/data/w32.erkez.b@mm.html

I-Worm.Zafi.b
http://www.viruslist.com/eng/viruslist.html?id=1666973

WORM_ZAFI.B
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=59650&VName=WORM_ZAFI.B&VSect=O

viernes, 11 de junio de 2004

Vulnerabilidades por desbordamiento de búfer en RealPlayer

Se han descubierto dos vulnerabilidades en RealPlayer que pueden ser
explotadas por usuarios maliciosos para comprometer un sistema afectado.

RealPlayer es un popular reproductor multimedia de la compañía Real
Networks.

La primera vulnerabilidad reside en "embd3260.dll", que contiene un
error que se da durante el proceso de construcción de mensajes de error.
Este problema puede explotarse para provocar un desbordamiento de búfer
basado en heap al enviar un archivo de película especialmente creado a
tal efecto incrustado en un documento HTML.

La segunda se debe a otra falta de comprobación de tamaños de variables
durante el proceso de análisis de URLs. El envío de un archivo RAM que
contenga una URL con una gran cantidad de caracteres punto provocará un
desbordamiento de búfer.

La explotación con éxito de estas vulnerabilidades permitirá a un
atacante la ejecución de código arbitrario en el sistema de la víctima.

Las versiones del software afectadas por este problema son las siguientes:
* RealOne Player v1
* RealOne Player v2
* RealPlayer 10
* RealPlayer 8
* RealPlayer Enterprise

Real Networks ha publicado un parche de actualización que está
disponible utilizando la función "Check for Update" (Buscar
Actualizaciones) de dicho software.


Julio Canto
jcanto@hispasec.com


Más información:

RealNetworks:
http://www.service.real.com/help/faq/security/040610_player/

RealPlayer embd3260.dll Error Response Heap Overflow
http://www.eeye.com/html/research/advisories/AD20040610.html

Real Networks RealPlayer URL Parsing Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=109&type=vulnerabilities

jueves, 10 de junio de 2004

Desbordamiento de búffer en Squid 2.5.* y 3.*

Se ha descubierto una vulnerabilidad en Squid que puede ser explotada
por usuarios maliciosos para comprometer un sistema.

Squid es un proxy cache Web clásico, con gran cantidad de
funcionalidades (como soporte para HTTP, FTP, trabajo con SSL,
jerarquías de caché, etc.).

El problema que provoca esta vulnerabilidad consiste en un error de
comprobación de tamaños de variables en la función ntlm_check_auth().
Esta función es utilizada durante el proceso de soporte de autenticación
NTLM.

NTLM es un protocolo de autenticación utilizado en varios protocolos de
red de Microsoft. Usado originalmente para la negociación de DCE/RPC
seguros, NTML también es usado en productos de dicha compañía como
mecanismo integrado de validación única.

Esa falta de comprobación de tamaños puede aprovecharse enviando una
clave de acceso muy larga creada a tal efecto, lo que provoca un
desbordamiento de búfer basado en heap y por tanto la posibilidad de
ejecución de código arbitrario. Para que esto pueda darse, Squid tiene
que haber sido compilado para utilizar ese tipo de soporte de
autenticación. Se ha confirmado que se da en las versiones 2.5.*-STABLE
y 3.*-PRE.

Se recomienda aplicar el parche de actualización, disponible en la
siguiente dirección:
http://www.squid-cache.org/~wessels/patch/libntlmssp.c.patch

Otra solución pasa por recompilar Squid sin la opción que presenta la
vulnerabilidad.


Julio Canto
jcanto@hispasec.com


Más información:

Squid Web Proxy Cache NTLM Authentication Helper Buffer Overflow
Vulnerability
http://www.idefense.com/application/poi/display?id=107&type=vulnerabilities&flashstatus=true

miércoles, 9 de junio de 2004

Revelación de clave de acceso administrativa en US Robotics Broadband Router 8003

Se ha descubierto una vulnerabilidad en US Robotics Broadband Router
8003 que permite averiguar de forma trivial la clave administrativa.

US Robotics Broadband Router 8003 es un pequeño router orientado a uso
doméstico o en PYMEs que puede ser configurado con un interfaz HTML.

El problema consiste en que el dispositivo deja en texto plano dicha
clave en una función javascript que pertenece al interfaz HTML que se
presenta para la autenticación. Esta revelación de información sensible
está confirmada en el firmware v.1.04 08, y aunque dicho firmware puede
actualizarse, la compañía no ha publicado versiones nuevas a tal efecto.

La compañía sugiere como contramedida limitar el acceso al interfaz del
router a usuarios de confianza.


Julio Canto
jcanto@hispasec.com


Más información:

US Robotics Broadband Router Discloses Administrative Password to Remote
Users
http://www.securitytracker.com/alerts/2004/Jun/1010433.html

martes, 8 de junio de 2004

Actualizaciones de seguridad de Microsoft en el mes de junio

Fiel a la cita de los segundos martes de cada mes Microsoft publica las
actualizaciones de seguridad correspondientes, en esta ocasión, al mes
de junio. Se trata de dos boletines destinados a solucionar problemas,
considerados como moderados, en el componente DirectPlay y en el visor
web de Cristal Reports.

La primera de las actualizaciones, afecta a Windows 2000, Windows XP,
Windows Server 2003, Windows 98 y Windows Millennium Edition (Me).
Según anuncia Microsoft en el propio boletín, la actualización resuelve
una nueva vulnerabilidad, reportada de forma privada. Se trata de una
denegación de servicio en la implementación de la API IDirectPlay4 de
Microsoft DirectPlay debido a una falta de validación de paquetes
robusta.

Si un usuario ejecuta una aplicación DirectPlay en red, un atacante que
logre explotar con éxito esta vulnerabilidad podrá provocar que la
aplicación deje de funcionar. Será necesario reiniciar la aplicación
para restaurar la funcionalidad.

Las direcciones de descarga se encuentran en:
Microsoft Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=DCAED052-6CE6-4709-84B3-9F1E0C182010&displaylang=en
Microsoft Windows XP
http://www.microsoft.com/downloads/details.aspx?FamilyId=1BEF9C9D-B317-4575-90E6-E89779469D37&displaylang=en
Microsoft Windows XP 64-Bit Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=B99445C7-3070-4CFA-9CCE-225B92E90698&displaylang=en
Microsoft Windows XP 64-Bit Edition Version 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=F677DCD7-00D6-4DB6-A4E8-201579CC0761&displaylang=en
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=EBA8BD7D-033B-460D-9088-4BFE7BE22B73&displaylang=en
Microsoft Windows Server 2003 64-Bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F677DCD7-00D6-4DB6-A4E8-201579CC0761&displaylang=en

El segundo de los boletines resuelve una nueva vulnerabilidad en
Crystal Reports y Crystal Enterprise desde Business Objects. Por otra
parte, Visual Studio .NET 2003 y Outlook 2003 con Business Contact
Manager incluyen Crystal Reports y también están afectados por la
vulnerabilidad. Microsoft Business Solutions CRM 1.2 redistribuye
Crystal Enterprise, que también se ve afectado de la misma forma.

Un atacante que explote exitosamente este problema podrá recuperar y
borrar archivos a través de los visores web de Crystal Reports y
Crystal Enterprise de los sistemas afectados. El número de archivos que
pueden verse afectados dependerá del contexto de seguridad del
componente afectado que se use por el visor web de Crystal.

Las direcciones de descarga se encuentran en:
Visual Studio .NET 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=659CA40E-808D-431D-A7D3-33BC3ACE922D&displaylang=en
Outlook 2003 con Business Contact Manager
http://www.microsoft.com/downloads/details.aspx?FamilyId=9016B9F3-BA86-4A95-9D89-E120EF2E85E3&displaylang=en
Microsoft Business Solutions CRM 1.2
http://go.microsoft.com/fwlink/?LinkId=30127


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS04-016
Vulnerability in DirectPlay Could Allow Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-016.mspx

Microsoft Security Bulletin MS04-017
Vulnerability in Crystal Reports Web Viewer Could Allow Information
Disclosure and Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-017.mspx

lunes, 7 de junio de 2004

Actualización de seguridad de Subversion

Las versiones de Subversion previas a la 1.0.3 contienen una
vulnerabilidad que permite la ejecución de código arbitrario tanto en
los clientes como en los servidores SVN.

Subversion es un sistema de control de versiones Open Source, inspirado
en el popular pero prehistórico CVS. Subversion es un diseño y
desarrollo nuevo, 100% desde cero, supliendo la mayoría de las carencias
y defectos del vetusto CVS y proporcionando un entorno eficiente y muy
flexible.

Las versiones no actualizadas de Subversion contienen una vulnerabilidad
en el código de gestión de fechas que permite que un atacante ejecute
código arbitrario en el servidor (si el atacante actúa como cliente) o
en los clientes (si el atacante actúa como servidor). Adicionalmente los
clientes con repositorios compartidos o que permitan la escritura de
otros usuarios son susceptibles de ataque.

Los usuarios de Subversion (tanto cliente como servidor) deben
actualizar a la versión 1.0.3 o superior. La versión actual es la 1.0.4.

Hispasec recuerda a sus lectores la conveniencia de descargar software
desde fuentes reputadas y de confianza. En caso de duda se puede
utilizar cualquier "mirror" y contrastar la huella criptográfica MD5,
que es "1d5722a515be8f1aa6cfb779d99c6a11" para
"subversion-1.0.3.tar.gz", y "fdf54470ac280e9b7cb008e907ec275a" para
"subversion-1.0.4.tar.gz".


Jesús Cea Avión
jcea@hispasec.com


Más información:

Subversion 1.0.3 Security Update Released
http://www.osnews.com/comment.php?news_id=7090

Subversion
http://subversion.tigris.org/

domingo, 6 de junio de 2004

Vulnerabilidad de inyección SQL en Oracle E-Business Suite

Se han detectado diversos errores en procesos de validación de entrada
de Oracle E-Business Suite que permitirían a usuarios maliciosos
realizar ataques de inyección SQL en el sistema de la víctima.

Oracle E-Business Suite es (citando la web corporativa) "un conjunto
completo de aplicaciones comerciales para la administración y
automatización de procesos en su organización."

Un usuario remoto malicioso puede enviar al sistema objetivo una URL
especialmente construida a tal efecto que provocaría la ejecución de
comandos SQL, lo que puede llevar de forma directa a comprometer
gravemente la base de datos y las aplicaciones asociadas a ella.

Se ha confirmado que los productos afectados son Oracle E-Business
Suite 11i y Oracle Application 11.0.

Oracle ha publicado una corrección, que está disponible en los
Metalink Note ID 274356.1 (alerta de seguridad) e ID 274375.1
(matriz de disponibilidad de parches):
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=274356.1
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=274375.1


Julio Canto
jcanto@hispasec.com


Más información:

Unauthorized Access Vulnerabilities in Oracle E-­Busines Suite
http://otn.oracle.com/deploy/security/pdf/2004alert67.pdf

sábado, 5 de junio de 2004

Secuestro de sesiones en diversos productos IBM por problema con cookies

Se ha descubierto una vulnerabilidad en diversos productos IBM que,
en ciertas circunstancias, podría ser explotada por usuarios maliciosos
para secuestrar la sesión de un usuario autenticado.

Los productos afectados son los siguientes:
* Tivoli SecureWay Policy Director version 3.8
* IBM Tivoli Access Manager for e-business version 3.9, 4.1, y 5.1
* IBM Tivoli Access Manager Identity Manager Solution version 5.1
* IBM Tivoli Configuration Manager version 4.2
* IBM Tivoli Configuration Manager for Automated Teller Machines
version 2.1.0
* IBM WebSphere Everyplace Server, Service Provider Offering for
Multi-platforms version 2.1.3, 2.14, y 2.15

La vulnerabilidad se debe a un error en el tratamiento de las cookies
empleadas para guardar información de la sesión cuando se conecta
utilizando autenticación por formulario. La explotación con éxito de la
vulnerabilidad daría acceso a recursos y datos restringidos o incluso
control sobre la aplicación afectada.

Las direcciones para descargar los parches de actualización son las
siguientes:

Tivoli SecureWay Policy Director 3.8 (WebSEAL)
http://www-1.ibm.com/support/docview.wss?uid=swg24006478

Tivoli Access Manager for e-business 3.9 (WebSEAL)
http://www-1.ibm.com/support/docview.wss?uid=swg24006460

Tivoli Access Manager for e-business 3.9 (Web Server Plug-in)
http://www-1.ibm.com/support/docview.wss?uid=swg24006535

Tivoli Access Manager for e-business 4.1 (WebSEAL)
http://www-1.ibm.com/support/docview.wss?uid=swg24006273

Tivoli Access Manager for e-business 4.1 (Web Server Plug-in)
http://www-1.ibm.com/support/docview.wss?uid=swg24006534

Tivoli Access Manager for e-business 5.1 (WebSEAL)
http://www-1.ibm.com/support/docview.wss?uid=swg24006477

Tivoli Access Manager for e-business 5.1 (Web Server Plug-in)
http://www-1.ibm.com/support/docview.wss?uid=swg24006533

Tivoli Access Manager Identity Manager Solution 5.1 (WebSEAL o Web
Server Plug-in)
http://www-1.ibm.com/support/docview.wss?uid=swg24006477
http://www-1.ibm.com/support/docview.wss?uid=swg24006533

Tivoli Configuration Manager 4.2
http://www-1.ibm.com/support/docview.wss?uid=swg21169105

Tivoli Configuration Manager for Automated Teller Machine 2.1.0
http://www-1.ibm.com/support/docview.wss?uid=swg21169105

WebSphere Everyplace Server, Service Provider Offering for
Multi-platforms 2.1.3, 2.1.4, 2.1.5
http://www-306.ibm.com/software/pervasive/ws_everyplace_server/support/


Julio Canto
jcanto@hispasec.com


Más información:

Potential Credential Impersonation Attack
http://www-1.ibm.com/support/docview.wss?uid=swg21168762

viernes, 4 de junio de 2004

Nuevos contenidos en CriptoRed (mayo 2004)

Breve resumen de los últimos contenidos incorporados durante el mes de
mayo de 2004 en CriptoRed, la Red Temática Iberoamericana de
Criptografía y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Keyloggers
http://www.criptored.upm.es/paginas/docencia.htm#gtletraK

- Análisis de Vulnerabilidades
http://www.criptored.upm.es/paginas/docencia.htm#gtletraA

Puedes encontrar otros documentos en:
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION:

- 8 al 11 de junio de 2004. International Conference on Applied
Cryptography and Network Security (China)
http://www.rsasecurity.com/rsalabs/staff/bios/mjakobsson/ACNS.htm

- 21 al 24 de junio de 2004. 1st Technical Session on Web Services
Security (Estados Unidos)
http://alarcos.inf-cr.uclm.es/tswss2004/

- 21 al 24 de junio de 2004. 1st Technical Session on Security
Engineering (Estados Unidos)
http://alarcos.inf-cr.uclm.es/tsse2004/

- 24 al 25 de junio de 2004. IV Jornada Nacional de Seguridad
Informática (Colombia)
http://www.acis.org.co/Paginas/eventos/ferias.html

- 25 al 26 de junio de 2004. 1st European PKI Workshop Research and
Applications (Grecia)
http://www.aegean.gr/EuroPKI2004/

- 25 al 28 de Julio de 2004. IFIP Working Conference on Data and
Applications Security (España)
http://www.udl.es/usuaris/n7807592/dbsec2004/

- 11 al 13 de agosto de 2004. Primer Encuentro Internacional de Hackers
(Colombia)
http://www.umanizales.edu.co/encuentrohackers/

- 30 de agosto al 3 de septiembre de 2004. 1st Conference on Trust and
Privacy in Digital Business (España)
http://www-ifs.uni-regensburg.de/trustbus04/

- 13 al 15 de septiembre de 2004. 9th European Symposium Computer
Security (Francia)
http://esorics04.eurecom.fr

- 15 al 17 de septiembre de 2004. VIII Reunión Española sobre
Criptología y Seguridad de la Información (España)
http://www.uc3m.es/recsi/

- 20 al 25 de septiembre de 2004. Workshop on Specification and
Automated Processing of Security Requirements (Austria)
http://www.lcc.uma.es/SAPS04

- 13 al 15 de octubre de 2004. Collaborative Electronic Commerce
Technology and Research (Chile)
http://ing.utalca.cl/collecter2004/

- 27 al 29 de octubre de 2004. Sixth International Conference on
Information and Communications Security
(España)
http://icics04.lcc.uma.es/

- 8 al 12 de noviembre de 2004. Jornadas Chilenas de Computación 2004
(Chile)
http://parinacota.uta.cl/jcc2004/

- 30 de noviembre al 3 de diciembre de 2004. III Congreso Internacional
de Telemática CITEL 2004 (Cuba)
http://www.cujae.edu.cu/eventos/Citel2004/

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

3. CURSOS DE ESPECIALIDAD Y POSTGRADO:

Master en Tecnologías de Seguridad Informática esCERT-UPC (España)
Máster Tecnologías Información y Seguridad en la UCLM (España)
Especialización en Criptografía y Seguridad Teleinformática (Argentina)
Diplomado en Seguridad Computacional en la Universidad de Chile (Chile)
Diplomado en Seguridad Informática UNAM (México)
Curso Experto en Seguridad Informática en la MU (España)
Cursos de Seguridad Informática del Instituto para la Seguridad en
Internet ISI (España)
Programa de Formación en Gestión de la Seguridad de la Información de
AENOR (España)
Cursos de CYBSEC (Argentina - Ecuador)
Talleres de Seguridad Informática en la UNAM (México)
Cursos de Seguridad Informática en Escuela de Verano UCM (España)
Curso gratuito FIP de Seguridad Informática en la UPM (España)
Curso gratuito Issues of Provable Security and Efficiency in
Cryptographic Constructions, UPC (España)

Puedes encontrar información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE ABRIL DE 2004:

- Enlace a página de Alerta Virus
http://alerta-antivirus.red.es/index.html

- Cartel del Congreso RECSI 2004 (España) en formato JPG
http://www.criptored.upm.es/descarga/Cartel_RECSI.zip

- V Congreso de S.I. y Legislación en el Comercio Electrónico (España)
http://www.e-gallaecia.com/

- Cerca de 3.000 enlaces a CriptoRed en Google
http://www.google.es/search?q=CriptoRed&ie=UTF-8&hl=es&btnG=B%C3%BAsqueda+en+Google&meta=

5. OTROS TEMAS DE INTERES:

- Número actual de miembros en la red: 444
http://www.criptored.upm.es/paginas/particulares.htm

- 19.755 visitas, 178.207 hits, 15.580 archivos zip descargados y 28,85
GBytes servidos en mayo de 2004
http://www.criptored.upm.es/cgi-bin/awstats.pl?month=05&year=2004&output=main&config=www.criptored.upm.es&framename=index

- Sede de CIBSI '05: Valparaíso - Viña del Mar (Chile - diciembre de 2005)
Anfitrión: Universidad Técnica Federico Santa María
http://www.utfsm.cl/


Jorge Ramió Aguirre
Coordinador General CriptoRed



jueves, 3 de junio de 2004

Actualización de seguridad para RSYNC

Los usuarios de servidores RSYNC de versiones inferiores a la 2.6.1 son
susceptibles a un ataque que permite escribir un fichero arbitrario en
cualquier posición del disco duro.

RSYNC es una excepcional herramienta de sincronización de ficheros, que
permite que un cliente y un servidor se mantengan sincronizados sin
enviar los ficheros modificados y sin que sea necesario mantener un
histórico de cambios. Se trata de una herramienta extraordinariamente
útil.

Las versiones de RSYNC anteriores a la 2.6.1 contienen una
vulnerabilidad que permite que un atacante remoto pueda escribir un
fichero en cualquier posición del disco duro del servidor, si a) el
servidor no está configurado para hacer "chroot" y b) el directorio a
compartir tiene acceso de escritura.

La recomendación de Hispasec es:

a) Si se gestionan servidores RSYNC, es conveniente actualizar cuanto
antes a la versión 2.6.1 o superior. La versión actual es la 2.6.2.

Es muy conveniente verificar la firma digital del fichero RSYNC,
que está firmado por "Wayne Davison ". Si no
disponemos ya de su clave pública PGP, se puede descargar de
cualquier servidor de claves PGP/GPG. En ese caso es conveniente
comprobar la huella de dicha clave, que debe ser "0048 C8B0 26D4 C96F
0E58 9C2F 6C85 9FB1 4B96 A8C5".

En caso de no poder verificar la firma digital, la huella
digital MD5 del fichero "rsync-2.6.2.tar.gz" es
"bcacd9a9108a9e4760832212ec3d658d".

b) Salvo casos especiales y meditados, es muy conveniente que se
configure el servidor RSYNC para que trabaje en uno o varios
(si hay varios perfiles) "chroot" y con privilegios mínimos. Ello
limitaría una posible intrusión a un área del sistema, con un
impacto mínimo.

La mayoría de los fabricantes que distribuyen RSYNC con sus productos
ya han publicado actualizaciones.


Jesús Cea Avión
jcea@hispasec.com


Más información:

April 2004 Security Advisory
http://rsync.samba.org/#security_apr04

RYSNC
http://rsync.samba.org/

miércoles, 2 de junio de 2004

Guía de adaptación de sitios web al SP2 de Windows XP

Microsoft quiere que no haya problemas con la próxima publicación del
SP2 para Windows XP. Este nuevo Service Pack introduce cambios tan
significativos que pueden hacer variar las funcionalidades de muchos
sitios web. Por ello, ha publicado una guía para que los
desarrolladores web presten atención a los futuros cambios que
pueden hacer que su sitio web no funcione como antes en los sistemas
de los usuarios que hayan instalado la esperada actualización.

La empresa de Redmon ha publicado un documento en Microsoft Developer
Network (MSDN), "How to Make Your Web Site Work with SP2" (Como hacer
que su sitio web funcione con SP2). Este artículo cubre los cambios de
diseño que los desarrolladores web deben tener presentes en relación
con los controles ActiveX, mecanismos de descarga de archivos, ventanas
emergentes o pop-up, Java, diálogos HTML y restricciones de
posicionamiento de ventanas.

Por ejemplo, si el sitio abre de forma automática (a través de
scripting) más de una ventana pop-up por página web será necesario
modificarlo ya que Windows XP Service Pack 2 (SP2) desactiva la
aparición de más de una ventana emergente en Microsoft Internet
Explorer (IE) a menos que el usuario pulse en un objeto para provocar
la apertura de la ventana. También se impiden los intentos de apertura
de ventanas pop-up por otros objetos (como un Flash), por lo que los
desarrolladores deben considerar el cambiar este tipo de
comportamientos.

La nueva forma en que Windows XP SP2 trata las descargas de archivos
también afecta a múltiples sitios. Si una descarga da comienzo a través
de un método que no sea iniciado por el usuario (como una redirección
automática a una página web), Internet Explorer bloqueará la descarga.

Los tipos de contenido (content-types) también deben corresponderse con
el contenido, en caso contrario este no se mostrará de forma adecuada.
Por ejemplo, si un documento html tiene asignado su content type a
"text/plain" el documento no se mostrará como html.


Antonio Ropero
antonior@hispasec.com


Más información:

How to Make Your Web Site Work with Windows XP Service Pack 2
http://msdn.microsoft.com/security/default.aspx?pull=/library/en-us/dnwxp/html/xpsp2websites.asp

martes, 1 de junio de 2004

El mayor antivirus público de Internet

VirusTotal es un nuevo servicio de detección de virus, gusanos y
malware en general, que permite analizar archivos con múltiples
motores antivirus. Cualquier usuario de Internet puede enviar
archivos o mensajes sospechosos y obtendrá de forma gratuita un
informe con el resultado del análisis.

Desarrollado por Hispasec Sistemas, con la colaboración de Red.es y
Jazztel en el soporte del ancho de banda del servicio, VirusTotal
fue presentado ayer durante la Semana Internacional de las TIC, que
se celebra en Santiago.

VirusTotal integra los motores antivirus de Computer Associates
(etrustAV), Eset Software (NOD32), FRISK Software (F-Prot),
Kaspersky Lab (Kaspersky), Network Associates (McAfee), Norman
(Norman), Panda Software (Panda Platinum), Softwin (Bitdefender),
Sybari (Antigen), Symantec (Norton Antivirus) y TrendMicro
(PC-Cillin). Adicionalmente a estos antivirus, Hispasec está
trabajando en la incorporación de nuevos motores que aumentarán,
más si cabe, la capacidad de detección del servicio.

En la dirección http://www.virustotal.com los usuarios podrán
acceder al formulario de análisis, a estadísticas globales en
tiempo real sobre incidencias, así como a descripciones e
información sobre virus y malware en general.

Además, los usuarios pueden reenviar directamente los mensajes
o adjuntar los archivos sospechosos mediante correo electrónico a
la dirección analiza@virustotal.com con el asunto ANALIZA. En
breves instantes, dependiendo de la carga puntual del servicio,
recibirán en su buzón el informe detallado del análisis.

El tiempo de respuesta dependerá del número simultáneo de usuarios
que utilicen el servicio, que podría ser notablemente superior
durante los primeros días de la publicación de VirusTotal, si
bien se espera se estabilice a finales de esta semana.

Hispasec quiere hacer hincapié en que VirusTotal no sustituye de
forma alguna a los antivirus instalados en los PCs, ya que sólo
permite el análisis a demanda de archivos individuales, y no
ofrece protección permanente al sistema del usuario. Este servicio
está destinado principalmente a facilitar el análisis de archivos
o mensajes sospechosos que, aun siendo dañinos, no sean detectados
por el antivirus utilizado por el usuario, bien porque se trata
de un espécimen muy reciente aun no incorporado a sus
actualizaciones, bien por cualquier otra circunstancia.

También es importante señalar que, pese a que el índice de
detección ofrecido por el análisis simultáneo de múltiples motores
antivirus es muy superior al de un sólo producto, los resultados
no pueden garantizar la inocuidad de un archivo. No existe
solución en el mundo que pueda ofrecer un 100% de efectividad en
el reconocimiento de virus y malware en general.

Por último, Hispasec quiere agradecer la colaboración y el apoyo
mostrado por las casas antivirus participantes en VirusTotal,
así como animar a los usuarios a que prueben el servicio.




Más información:

VirusTotal
http://www.virustotal.com

Sobre la presentación de VirusTotal en e-Gallaecia
http://www.europapress.es/europa2003/noticia.aspx?cod=20040601181535&tabID=1&ch=73
http://www.elmundo.es/navegante/2004/06/02/seguridad/1086165469.html
http://iblnews.com/news/noticia.php3?id=108806
http://www.libertaddigital.com/noticias/noticia_1276224329.html
http://www.entrebits.com/noticias/Internet/articulos/n_2332811.html
http://www.lavozdegalicia.es/se_tecnologia/noticia.jsp?CAT=39072&TEXTO=100000050237
http://www.lavozdegalicia.es/se_sociedad/noticia.jsp?CAT=105&TEXTO=2731519
http://www.e-defensor.com/seccions/denuncias/denuncia.asp?Id=3614