jueves, 30 de junio de 2005

Vulnerabilidades TCP e IPFW en FreeBSD

En el transcurso de las últimas 48 horas han aparecido dos
vulnerabilidades en FreeBSD. La criticidad de ambos grupos de fallos
es escasa, pero no por ello desdeñable.

FreeBSD es un sistema operativo libre de alta calidad, basado en
la versión 4.4BSD-Lite del Computer Systems Research Group de la
Universidad de Berkeley.

El primero de los fallos descubiertos ha sido notificado por el propio
equipo de desarrollo de FreeBSD, que han actualizado la pila de
protocolo TCP, ya que la configuración vulnerable permitía que usuarios
maliciosos pudieran ejecutar ataques de denegación de servicio en
sesiones activas TCP. Al ser la pila un componente base del sistema, el
ramillete de versiones afectadas, según lo descrito en el informe CVE
CAN-2005-2068, va desde la rama 2.x hasta la reciente 5.4

Esta problemática tiene lugar cuando la máquina vulnerable con una
conexión establecida recibe un paquete TCP con el flag SYN activo, y
éste paquete es aceptado, posibilitando la reescritura de ciertas
opciones TCP, lo que podría ocasionar denegaciones de servicio.

El segundo fallo declarado, documentado con numeración CVE
CAN-2005-2019, describe un error de atomicidad, que podría facilitar
el puenteo de reglas de firewall debido a un problema en las consultas
a la tabla de direcciones del firewall nativo de FreeBSD, IPFW.

El error sólo se presenta en máquinas que tengan la funcionalidad
'PREEMPTION' activada, cosa que no ocurre en las instalaciones por
defecto. De momento, sólo se ha declarado a la versión 5.4 como
vulnerable.

Para ambos casos, hay actualizaciones disponibles que deben ser
aplicadas por los administradores y usuarios de soluciones FreeBSD.


Sergio Hernando
shernando@hispasec.com


Más información:

FreeBSD
http://www.freebsd.org

FreeBSD TCP Stack Established Connection Denial of Service Vulnerability
http://www.securityfocus.com/bid/14104/

Parches para CAN-2005-2068
http://www.securityfocus.com/bid/14104/solution

FreeBSD IPFW Address Table Lookup Atomicity Error Firewall Rule Bypass
Vulnerability
http://www.securityfocus.com/bid/14102

Parche para CAN-2005-2019
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-05:13/ipfw.patch

FreeBSD Handbook: IPFW Firewall
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html

miércoles, 29 de junio de 2005

Utilidades para equipos públicos basados en Windows XP

Microsoft ha publicado la versión beta de Shared Computer Toolkit, un
conjunto de herramientas para facilitar la gestión y el mantenimiento
de sistemas compartidos basados en Windows XP. Recurso de interés
para escuelas, universidades, bibliotecas, cibercafés, familias,
especialmente con niños que acceden al ordenador y, en general,
cualquiera que deba mantener sistemas que son utilizados de forma
indiscriminada por variedad de personas.

El primer problema con el que se enfrenta cualquier administrador que
debe mantener ordenadores compartidos es restringir el acceso del
usuario a determinadas funciones del sistema operativo, cuya
manipulación podría afectar al buen funcionamiento del mismo. De no
conseguirlo a buen seguro sufrirá continuos contratiempos que
conllevarán la no disponibilidad del sistema, a lo que hay que sumar
el costo del mantenimiento en su reparación o restauración.

Una de las principales funcionalidades de Shared Computer Toolkit
consiste en facilitar la creación de políticas y perfiles de usuarios
para restringir el acceso a determinados recursos, como el Panel de
Control, el editor del registro de Windows o la línea de comandos.
Igualmente el administrador puede limitar el uso de unidades de disco
o la ejecución de software no autorizado.

Otro problema recurrente en el uso de sistemas compartidos, también
abordado por esta herramienta, es la privacidad. Por ejemplo, cuando
navegamos vamos dejando un rastro en el sistema de todas nuestras
acciones, desde las páginas que visitamos, hasta los datos que
introducimos en los formularios, incluidas las contraseñas. Por ello
es importante que el sistema esté configurado para que alguien que
a posteriori utilice el ordenador no pueda acceder a información
sensible del usuario anterior.

También es típico que los ordenadores compartidos sean un caldo de
cultivo para virus, troyanos, spyware y malware en general, debido a
la gran cantidad de usuarios que utilizan el sistema de la forma más
variopinta y no siempre sin tener el cuidado que se le presupone
cuando alguien maneja su propio ordenador (y aún así terminan
infectándose).

Shared Computer Toolkit mantiene un registro de todos los cambios que
se producen en el disco duro y lo restaura en cada reinicio del
sistema, volviendo a su estado original. Evidentemente permite
establecer una serie de cambios permanentes, como son las
actualizaciones del propio sistema o cualquier otra modificación que
autorice el administrador.

Llegados a este punto alguien también le encontrará utilidad para
analizar malware con la posibilidad de restaurar el sistema.
Particularmente uso entornos virtuales como primera opción, que por
otro lado también son un recurso utilizado en algunas soluciones de
sistemas compartidos.

Otra utilidad que puede que se les ocurra a algunos (pienso en esos
sufridos administradores) es que puede ser un recurso útil para
mantener estables las estaciones de trabajo Windows. Y lo digo
porque también tengo larga experiencia, o sufrido en silencio según
como se mire, en la administración de redes corporativas con usuarios
Windows.

Es presumible que la versión final de este software sea comercializada
por Microsoft. ¿Qué otras alternativas, gratuitas o no, hay en el caso
de Windows para gestionar ordenadores compartidos? De manera independiente
a la opción de utilizar otro sistema operativo, como Linux, que habrá
sido la respuesta automática de más de uno.

La versión beta en inglés de Shared Computer Toolkit está disponible
de forma gratuita para Windows XP con licencia en la dirección
http://go.microsoft.com/fwlink/?linkid=47025

Les emplazo a una nueva entrega donde dar cabida a sus comentarios y
experiencias sobre soluciones e implantaciones específicas de sistemas
compartidos.


Bernardo Quintero
bernardo@hispasec.com



martes, 28 de junio de 2005

Vulnerabilidad en función syscall() del kernel Linux

Apenas han transcurrido unos días desde la aparición de dos problemas de
seguridad vinculados al kernel Linux en su rama 2.6, cuando, nuevamente,
la citada rama es protagonista de un fallo de seguridad, de carácter más
leve, pero que podría ser aprovechada por usuarios locales maliciosos
para provocar ataques de denegación de servicio en las máquinas
vulnerables.

Esta posible explotación maliciosa está fundamentada en un error de
diseño de "fault.c" que podría hacer que el núcleo colisionara cuando
intenta gestionar argumentos intencionadamente preparados procedentes
de la función "syscall()".

La función syscall() del núcleo Linux se encarga de hacer llamadas al
sistema, y es el mecanismo que emplean las aplicaciones para solicitar
servicio del sistema operativo, lo que permite entre otras cosas, que
el sistema pueda realizar operaciones restringidas a la hora de acceder
a dispositivos, memoria, etc.

El fallo documentado se produce únicamente en plataformas AMD64
corriendo en el modo de compatibilidad de 32-bit, de ahí que la
criticidad del problema sea baja, teniendo en cuenta las condiciones
de contorno necesarias para que se presente el problema, bastante poco
frecuentes.

A falta de que se publique una solución específica para la falla
descrita, algunas distribuciones como Ubuntu Linux (fuente de donde
procede el aviso original) han informado de los paquetes afectados y
de los requisitos para la resolución del problema. La referencia CVE
CAN-2005-1765, asignada al problema, sigue en revisión.


Sergio Hernando
shernando@hispasec.com



lunes, 27 de junio de 2005

Vulnerabilidades en GNOME de Sun Solaris 8 y 9

Sun ha anunciado el descubrimiento de diversas vulnerabilidades de
GNOME para su sistema Solaris que pueden ser explotadas por usuarios
maliciosos para comprometer la seguridad del sistema.

Las vulnerabilidades residen en la librería libgdk_pixbuf y pueden
permitir a un usuario remoto sin privilegios la ejecución de código
arbitrario con los permisos de un usuario local cuando cargue una
imagen en formato XPixmap (Xpm). La librería afectada forma parte de
GIMP Toolkit (GTK+) y se usa para la carga y visualización de imágenes.

La compañía recomienda aplicar los siguientes parches:
Para plataforma SPARC:
Con GNOME 2.0 (para Solaris 8):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=114644-03&method=f
Con GNOME 2.0 (para Solaris 9):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=114686-03&method=f
Con GNOME 2.0.2 (para Solaris 9):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=115738-04&method=f

Para plataforma x86:
Con GNOME 2.0 (para Solaris 8)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=114645-03&method=f
Con GNOME 2.0 (para Solaris 9)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=114687-03&method=f


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerabilities in The " libgdk_pixbuf" Library May Allow a Remote Unprivileged User the ability to Execute Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101776-1

domingo, 26 de junio de 2005

Salto en restricciones de seguridad en IBM DB2 Universal Database 8

Se ha anunciado la existencia de una vulnerabilidad en IBM DB2 Universal
Database, que puede ser empleada por un atacante para evitar las medidas
de seguridad del sistema.

La vulnerabilidad está provocada por un error no detallado en el aviso
de IBM y que permite evitar la comprobación de autenticación. El problema
puede permitir que un usuario que sólo tenga permisos para SELECT en una
tabla realice inserción, actualización o borrado de contenidos en esa
tabla, incluso aunque no tenga los privilegios para dichas acciones.

IBM ha publicado los siguientes FixPaks que corrigen la vulnerabilidad:

DB2 Universal Database Version 8 FixPak 6c:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009926

DB2 Universal Database Version 8 FixPak 7b:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009931

DB2 Universal Database Version 8 FixPak 8a:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009930

DB2 Universal Database Version 8 FixPak 9a:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009929


Antonio Ropero
antonior@hispasec.com


Más información:

Alert on DB2 Universal Database security vulnerability
http://www-1.ibm.com/support/docview.wss?uid=swg21209727

IY73104: Security: DB2 security vulnerability related to incorrect authorization checks
http://www-1.ibm.com/support/docview.wss?uid=swg1IY73104

sábado, 25 de junio de 2005

Vulnerabilidad en Samba para Sun Solaris 9 y 10

Sun ha anunciado el descubrimiento de una vulnerabilidad en Solaris 9
y 10 que puede ser explotada por usuarios maliciosos para provocar
denegaciones de servicio.

La vulnerabilidad, localizada en el servicio Samba, se debe a un error
de validación de entradas en la función 'ms_fnmatch()', concretamente
cuando se intentan procesar nombres que contengan comodines. Un
usuario malicioso puede utilizar múltiples comandos especialmente
realizados a tal efecto para provocar un enorme consumo de recursos
de CPU por parte del servicio afectado.

La compañía sólo ha publicado, de momento, la actualización para la
versión 10 de su sistema, que puede descargarse en las siguientes
direcciones:
Para SPARC:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119757-01&method=f
Para x86:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119758-01&method=f


Julio Canto
jcanto@hispasec.com


Más información:

Security Vulnerability in Samba's "ms_fnmatch()" Function May Result in
a Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101783-1

viernes, 24 de junio de 2005

Vulnerabilidades en kernel Linux 2.6.X

Se ha publicado una actualización del kernel Linux, perteneciente a la
rama 2.6, que corrige dos vulnerabilidades aparecidas en el núcleo, que
podrían facilitar que usuarios locales maliciosos provocasen problemas
de denegación de servicio en las máquinas sin actualizar. Las
vulnerabilidades aparecidas son de criticidad baja.

Ambos fallos han sido resueltos con una nueva versión del núcleo, que
contiene dos parches de corrección:

El primero de los parches, escrito por Matthew Chapman y catalogado como
"[PATCH] ia64 ptrace + sigrestore_context (CAN-2005-1761)", soluciona un
problema en la gestión de los accesos a ar.rsc a través de ptrace y
restore_sigcontext.

El segundo parche, de Linus Torvalds, tipificado como "[PATCH] Clean up
subthread exec (CAN-2005-1913)" permite corregir un error en la entrega
de señales, error que podría acarrear pánico en el núcleo en caso de que
se recibieran sub-hilos "exec" con un temporizador pendiente.

La solución para ambos problemas que podemos transmitir a los
administradores y usuarios de máquinas Linux con núcleos pertenecientes
a la rama 2.6 es actualizar el kernel a la versión 2.6.12.1


Sergio Hernando
shernando@hispasec.com


Más información:

Changelog 2.6.12.1
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.12.1

jueves, 23 de junio de 2005

Investigador hindú rompe el sistema de protección Windows Genuine Advantage (WGA)

Debasis Mohanty, un investigador de origen hindú ha conseguido romper el
sistema de protección WGA (Windows Genuine Advantage) de Microsoft. Para
ello se ha valido de una herramienta denominada "genuinecheck.Exe"
desarrollada por él mismo.

WGA es un sistema de mediante el cual se pretende controlar el número de
versiones ilegales de Microsoft Windows. El sistema está pensado para
ofrecer descargas de valor añadido únicamente a los usuarios de copias
lícitas, desechándose las peticiones de usuarios cuyas claves indiquen
que operan con una versión no original del sistema operativo. Según
Microsoft Corporation, WGA no recopila datos de usuario, sino que
simplemente verifica las claves de activación y de instalación.

El sistema valida que la copia del sistema ha sido correctamente
activada y que la clave del producto es correcta. Si ambas
comprobaciones son exitosas, se autoriza la descarga restringida que
esté siendo protegida por WGA. Los clientes corporativos que empleen
licencias múltiples, según VLK (Volume License Keys) siempre son
validados, salvo que la clave de producto no esté en una "lista negra"
de claves, en cuyo caso se deniega la descarga.

Microsoft ha confirmado que el anuncio de la ruptura del sistema por
parte del investigador Debasis Mohanty es fundado y real, pero ha
restado importancia al asunto, argumentando que representa una amenaza
menor y que en el seno de la compañía eran conscientes de que intentos
de ruptura como el citado habrá ante todo intento de control de copias
legítimas por parte de la compañía.

Sea como fuere, con ayuda de 'genuinecheck.Exe' es posible descargar y
ejecutar software aunque no tengamos un versión legal del sistema. El
sistema de protección ha sido doblegado.


Sergio Hernando
shernando@hispasec.com


Más información:

Microsoft Genuine Advantage. Software original
http://www.microsoft.com/genuine/default.mspx?displaylang=es

Indian cracks Microsoft's anti-piracy program
http://inhome.rediff.com/money/2005/jun/21ms.htm

Microsoft Genuine Advantage Cracked
http://slashdot.org/articles/05/06/22/2221254.shtml

miércoles, 22 de junio de 2005

Ejecución de código de forma remota con Sun ONE Messaging Server

Se ha anunciado la existencia de una vulnerabilidad en iPlanet Messaging
Server 5.2 y Sun ONE Messaging Server 6.2, que permitiría a un usuario
remoto la ejecución de código arbitrario.

El problema reside en que el atacante remoto podría llegar a ejecutar
código Javascript arbitrario en el sistema afectado y con los privilegios
del usuario objetivo. Hay que señalar que solo se ven afectados por este
problema los usuarios que ejecuten Internet Explorer.

Sun, que actualmente se encuentra trabajando para proporcionar la
solución a esta vulnerabilidad, no ha facilitado detalles adicionales
sobre el problema.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in Webmail May Allow an Unprivileged User to
Execute Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101770-1

Sun ONE Messaging Server Lets Remote Users Execute Arbitrary Code on
a Target Webmail User's System
http://securitytracker.com/alerts/2005/Jun/1014235.html

martes, 21 de junio de 2005

Revelación de información sensible en Cisco VPN 3000

Se ha descubierto una debilidad en el concentrador Cisco VPN 3000
que puede ser explotada por usuarios maliciosos para conseguir acceso
a cierta información.

El problema se debe a que dicho dispositivo devuelve respuestas
diferentes dependiendo de si se ha dado un nombre válido de grupo
o no cuando está configurado para autenticar nombres de grupo.

Una vez se ha conseguido un nombre válido de grupo, puede facilitar
las cosas para conseguir el hash de la clave del grupo.

Se recomienda tanto actualizar a la versión 4.1.7.F o posterior como
utilizar un método alternativo de autenticación.


Julio Canto
jcanto@hispasec.com


Más información:

Cisco VPN Concentrator Groupname Enumeration Vulnerability
http://www.nta-monitor.com/news/vpn-flaws/cisco/VPN-Concentrator/index.htm

lunes, 20 de junio de 2005

Acceso remoto a archivos con Adobe Reader

Se ha anunciado la existencia de una vulnerabilidad en las versiones
recientes de Adobe Reader (anteriormente conocido como Acrobat Reader)
por la que un atacante remoto podría descubrir la existencia de
archivos en el sistema remoto e incluso llegar a leer determinados
tipos de archivos.

El problema se debe a un tipo de ataques conocido como XML External
Entity (XXE). Las versiones recientes de Adobe Reader permiten la
inclusión de código JavaScript en los archivos pdf. De igual forma, a
través de JavaScript se pueden incluir documetos XML dentro del pdf.
Estos documentos XML pueden hacer referencia a entidades externas
(External Entities) a través de URIs, y la mayoría de los analizadores
XML, incluido el empleado en Adobe Reader, permiten el acceso a
cualquier URI para entidades externas, incluidos archivos, a menos que
se diga específicamente lo contrario.

Para solucionar el problema Adobe ha publicado la versión 7.0.2 para
Windows, disponible en http://www.adobe.com/support/downloads/
En breve estará disponible la versión actualizada del lector para Mac
OS, hasta dicha publicación se recomienda desactivar el soporte
JavaScript.


Antonio Ropero
antonior@hispasec.com


Más información:

XML External Entity vulnerability (Adobe Reader and Acrobat 7.0-7.0.1)
http://www.adobe.com/support/techdocs/331710.html

Adobe Reader 7 XML External Entity (XXE) Attack
http://www.securiteam.com/securitynews/5XP0B2KG0Q.html

domingo, 19 de junio de 2005

Denegación de servicio en SpamAssasin 3

Se ha anunciado recientemente una vulnerabilidad en SpamAssasin
(versiones de la 3.0.1 a la 3.0.3) que puede ser explotada por
usuarios maliciosos remotos para provocar denegaciones de servicio en
dicho programa y en el flujo normal del correo electrónico lícito.

SpamAssasin es una popular y eficaz herramienta open source para
filtrado de correo no deseado (spam). Escrita en Perl, implementa un
complejo sistema mixto de filtrado que incluye análisis de cabeceras y
texto, filtrado bayesiano, listas de bloqueo DNS y bases de datos de
filtrado colaborativo.

La vulnerabilidad descubierta se debe a un problema de SpamAssasin a
la hora de procesar ciertas cabeceras cuando estas están construidas
de forma maliciosa. Un atacante puede crear un mensaje de tal forma
que el programa tardará una gran cantidad de tiempo en analizarlo.
Repitiendo dicha operación, provocará una denegación de servicio
efectiva, con lo que se puede entorpecer gravemente el acceso normal
al correo electrónico de usuarios en sistemas que utilicen este
programa.

Se recomienda actualizar a la versión 3.0.4, publicada el pasado día
seis de este mismo mes, y disponible en la siguiente URL:
http://spamassassin.apache.org/downloads.cgi?update=200506061100


Julio Canto
jcanto@hispasec.com


Más información:

SpamAssassin Bug in Processing Long Message Headers Lets Remote Users Deny Service
http://securitytracker.com/alerts/2005/Jun/1014219.html

sábado, 18 de junio de 2005

Actualización acumulativa para Outlook Express

Dentro del conjunto de boletines de junio publicado por Microsoft
y del que efectuamos un adelanto esta semana, se cuenta el anuncio
(en el boletín MS05-030) de una actualización acumulativa para Outlook
Express.

La actualización publicada para Outlook Express 5.5 y 6 se debe a que
se ha detectado una vulnerabilidad que puede facilitar que un atacante
remoto llegue a comprometer la seguridad del sistema.

La vulnerabilidad, que permitiría la ejecución remota de código
arbitrario, se da cuandodicho cliente se usa como lector de grupos de
noticias. Un atacante puede configurar un servidor de este tipo de tal
manera que puede provocarse dicha ejecución si la víctima pide
noticias al servidor.

La compañía recomienda utilizar Windows Update para actualizar los
sistemas afectados, aunque la actualización está disponible también
para su descarga en las siguientes direcciones:
* Outlook Express 5.5 Service Pack 2 sobre Microsoft Windows 2000
Service Pack 3 y Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=a6932151-2ae2-4c6e-861a-6ff5bde61191
* Outlook Express 6 Service Pack 1 para Microsoft Windows 2000 Service
Pack 3, Service Pack 4, o para Microsoft Windows XP Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=89e4d8ee-4d8e-4660-a53d-28502b3d2518
* Outlook Express 6 Service Pack 1 para Microsoft Windows XP 64-Bit
Edition Service Pack 1 (Itanium):
http://www.microsoft.com/downloads/details.aspx?FamilyId=b765c0e1-f4e2-495b-aae5-2db3eeaf71bb
* Outlook Express 6 para Microsoft Windows XP 64-Bit Edition Version
2003 (Itanium):
http://www.microsoft.com/downloads/details.aspx?familyid=69901ec1-a11f-4135-9874-3698bcf7c760
* Outlook Express 6 para Microsoft Windows Server 2003 para sistemas
Itanium:
http://www.microsoft.com/downloads/details.aspx?familyid=5fc7d68b-92a6-4c03-8d88-b2501aea8da6
* Outlook Express 6 para Microsoft Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=d439eee9-05eb-4ecb-9e86-6259f1acaabb


Julio Canto
jcanto@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS05-030
Actualización de seguridad acumulativa en Outlook Express (897715)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-030-IT.mspx

viernes, 17 de junio de 2005

Salto de mecanismos de seguridad del Sandbox en Java Web Start / Sun JRE

Se han descubierto dos vulnerabilidades en Java Web Start y Sun JRE
(Java Runtime Environment) que pueden ser explotadas por usuarios
maliciosos para comprometer un sistema afectado.

La primera vulnerabilidad, debida a un error sin especificar, puede
ser explotada para que una aplicación en la que no se tenga confianza
ejecute código arbitrario. Esta vulnerabilidad afecta al Java Web Start
incluido en J2SE versiones 5.0 y 5.0 Update 1 para Windows, Solaris y
Linux.

El segundo de los problemas también se debe a un error sin detallar y
podría permitir a un applet sin confianza ejecutar código arbitrario.
Esta vulnerabilidad afecta a versiones 5.0 y 5.0 Update 1 de J2SE para
Windows, Solaris y Linux, además de J2SE 1.4.2 (versiones 1.4.2_07 y
anteriores) para las mismas plataformas.

Se recomienda actualizar a J2SE 5.0 Update 2 o a la versión 1.4.2_08
para Windows, Solaris y Linux. Estas versiones pueden descargarse de
las siguientes direcciones:
http://java.sun.com/j2se/1.5.0/download.jsp
http://java.sun.com/j2se/1.4.2/download.html


Julio Canto
jcanto@hispasec.com


Más información:

Security Vulnerability With Java Web Start
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101748-1

Security Vulnerability With Java Runtime Environment May Allow Untrusted Applet to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101749-1

jueves, 16 de junio de 2005

Publicada Fedora Core 4 "Stentz"

El pasado 13 de junio, el equipo de desarrollo de Fedora Core anunció la
disponibilidad de la versión 4 de la conocida distribución, publicada
con el nombre código "Stentz".

Fedora Core es un proyecto de distribución Linux basada en Red Hat, que
sustituye a las versiones de Red Hat Linux orientadas a la descarga y
venta al detalle. La primera versión de Fedora, bautizada como "Yarrow",
apareció en Noviembre de 2003. La nueva versión Core 4, actualiza a su
predecesora, Core 3 "Heidelberg", publicada el 8 de noviembre de 2004, e
incluye numerosas mejoras.

"Stentz" incorpora GNOME 2.10 y KDE 3.4 como gestores de escritorio, y
oferta al usuario importantes mejoras en la productividad, con la
inclusión de, entre otros, el visor de documentos Evince, la suite
ofimática OpenOffice.org 2.0 y el entorno de desarrollo Eclipse 3.1.

Las mejoras técnicas son igualmente cuantiosas: se ofrece soporte para
plataformas PowerPC, se ha mejorado la seguridad de la arquitectura
SELinux (Security Enhanced Linux), se ha integrado una tecnología de
clustering de código abierto llamada GFS (Global File System), y se ha
incluido una máquina virtual, Virtualization Xen, para la ejecución
segura de múltiples sistemas operativos. Adicionalmente, se han añadido
las herramientas GCC (GNU Compiler Collection) más recientes, en su
versión 4.0


Sergio Hernando
shernando@hispasec.com



miércoles, 15 de junio de 2005

Actualización acumulativa de Internet Explorer

Dentro del conjunto de boletines de junio publicado por Microsoft
y del que ayer efectuamos un adelanto, se cuenta el anuncio (en el
boletín MS05-025) de una actualización acumulativa para el navegador
Internet Explorer. Este parche además está destinado a corregir dos
nuevas vulnerabilidades que pueden ser explotadas por atacantes
remotos para comprometer la seguridad del sistema.

La primera vulnerabilidad detectada se debe a un problema a la hora de
procesar imágenes en formato PNG. Un atacante puede construir uno de
estos archivos de tal forma que provocaría la ejecución remota de
código arbitrario al visualizarse en el navegador.

La segunda se debe a un error de Internet Explorer a la hora de
procesar ciertas peticiones de visualización de contenido XML. Un
atacante puede explotar esto para leer datos XML de otro dominio de
Internet Explorer, aunque hace falta la interacción de la víctima para
que esto pueda llevarse a cabo.

Microsoft recomienda utilizar Windows Update para actualizar este
componente. Las actualizaciones también están disponibles para
descarga desde las siguientes direcciones (según versiones):

* Internet Explorer 5.01 Service Pack 3 sobre Microsoft Windows 2000
Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5F577A83-67C6-45AE-B5C5-10D7C7FFA3D3
* Internet Explorer 5.01 Service Pack 4 sobre Microsoft Windows 2000
Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=703859AF-CDD5-4348-8916-472A3FDF8667
* Internet Explorer 6 Service Pack 1 sobre Microsoft Windows 2000
Service Pack 3 y Service Pack 4, o sobre Microsoft Windows XP Service
Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=A1809B9B-9B0F-4A9C-84A5-56B774920313
* Internet Explorer 6 sobre Microsoft Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=36EC67CA-94F6-4E55-ADCD-4406A3D6AADE
* Internet Explorer 6 Service Pack 1 sobre Microsoft Windows XP 64-Bit
Edition Service Pack 1 (Itanium):
http://www.microsoft.com/downloads/details.aspx?FamilyId=6AAE593C-8FFD-443F-B9AC-3F9F0F20A2EB
* Internet Explorer 6 sobre Microsoft Windows Server 2003 y Microsoft
Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2C58B8F7-4F2D-44DA-80EF-B83667B5AFD7
* Internet Explorer 6 sobre Microsoft Windows XP 64-Bit Edition
Version 2003 (Itanium), Microsoft Windows Server 2003 para sistemas
Itanium y Microsoft Windows Server 2003 con SP1 para sistemas Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=77E601E9-4EED-4671-8F3E-AD58A1E88041
* Internet Explorer 6 sobre Microsoft Windows Server 2003 x64 Edition,
y Microsoft Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1A7087F1-3AF2-4B33-9F04-6159FAA34C31


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft Security Bulletin MS05-025
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/Bulletin/MS05-025.mspx

martes, 14 de junio de 2005

Diez boletines de seguridad de Microsoft en junio

Como cada segundo martes, Microsoft ha publicado sus ya habituales
boletines de seguridad. Este mes se han publicado diez nuevos boletines
(MS05-025 al MS05-034). Entre los nuevos boletines, según la propia
clasificación de Microsoft, hay tres que presentan un nivel de gravedad
"crítico", cuatro son considerados como "importante" y tres reciben la
clasificación de "moderado".

Es por tanto, importante conocer la existencia de estas
actualizaciones, evaluar el impacto de los problemas y aplicar
las actualizaciones en la mayor brevedad posible. Este es un boletín
de urgencia en el que describimos superficialmente cada uno de los
nuevos boletines de seguridad de Microsoft. En los próximos días
publicaremos otros boletines donde analizaremos más detalladamente
las actualizaciones más importantes.

Los boletines afectan principalmente a diversos componentes de los
sistemas operativos Microsoft Windows, incluyendo Windows XP Service
Pack 2. También afectan a diferentes versiones de Exchange Server, ISA
Server, Outlook Express e Internet Explorer.

* MS05-025: Actualización acumulativa de Internet Explorer que además
soluciona dos nuevas vulnerabilidades en el navegador de Microsoft. La
primera vulnerabilidad corregida reside en un problema a la hora de
procesar imágenes en formato PNG y puede permitir la ejecución remota
de código. La segunda se debe a un error al tratar determinadas
peticiones de visualización de contenido XML.
Según la calificación de Microsoft está calificado como "crítico".
Afecta a Internet Explorer 5.01, Internet Explorer 5.5 e Internet
Explorer 6.

* MS05-026: Soluciona una vulnerabilidad en la Ayuda HTML que puede
permitir la ejecución remota de código.
Está calificado como "crítico".
Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows 98 y
Windows ME.

* MS05-027: Vulnerabilidad en Server Message Block (SMB) de Windows
puede permitir la ejecución remota de código.
Según la calificación de Microsoft recibe el nivel de "crítico".
Afecta a Windows 2000, Windows XP (incluido SP2) y Windows Server 2003.

* MS05-028: Corrige una vulnerabilidad en Web Client Service de Windows
XP y 2003 que puede ser explotada por usuarios remotos maliciosos para
comprometer la seguridad del sistema.
Recibe una calificación de "importante".
Afecta a Windows Server 2003 y Windows XP SP1.

* MS05-029: En este boletín se presenta una actualización de seguridad
para prevenir un problema de cross-site scripting (XSS) en Outlook Web
Access para Exchange Server 5.5.
Está calificado como "importante".
Afecta a Microsoft Exchange 5.5.

* MS05-030: En este boletín Microsoft anuncia una actualización
acumulativa para Outlook Express que además de incluir todas las
anteriores, soluciona una vulnerabilidad en el lector de grupos de
noticias que permitiría a un atacante remoto la ejecución de código
arbitrario en el sistema.
Según la calificación de Microsoft recibe un nivel de "importante".
Afecta a Microsoft Outlook Express 5.5 y Outlook Express 6.

* MS05-031: Soluciona una vulnerabilidad en Enseñanza Interactiva Paso
a Paso (Step-by-Step Interactive Training) que puede permitir la
ejecución remota de código..
Está calificado como "importante".
Afecta a Step-by-Step Interactive Training

* MS05-032: Este boletín presenta una actualización destinada a
solucionar un problema de falsificación de contenido en Internet por
vulnerabilidad en Microsoft Agent
Está calificado como "moderado".
Afecta a Windows 2000, Windows XP (incluido SP2), Windows Server 2003,
Windows 98 y Windows Me.

* MS05-033: Presenta una actualización destinada a solucionar una
vulnerabilidad de divulgación de información por fallo en el cliente
telnet de Microsoft.
Está calificado como "moderado".
Afecta a Windows 2000, Windows XP (incluido SP2), Windows Server 2003 y
Services For Unix.

* MS05-034: Este boletín presenta una actualización acumulativa para
ISA Server 2000 en la que además se solucionan dos nuevas
vulnerabilidades que permitirían falsificar contenidos en el servidor
o realizar escaladas de privilegios.
Está calificado como "moderado".
Afecta a Microsoft Internet Security and Acceleration (ISA) Server
2000.


Antonio Ropero
antonior@hispasec.com


Más información:

Cumulative Security Update for ISA Server 2000 (899753): MS05-034
http://www.microsoft.com/technet/security/Bulletin/MS05-034.mspx

Vulnerability in Telnet Client Could Allow Information Disclosure
(896428): MS05-033
http://www.microsoft.com/technet/security/Bulletin/MS05-033.mspx

Vulnerability in Microsoft Agent Could Allow Spoofing (890046):
MS05-032
http://www.microsoft.com/technet/security/Bulletin/MS05-032.mspx

Vulnerability in Step-by-Step Interactive Training Could Allow Remote
Code Execution (898458): MS05-031
http://www.microsoft.com/technet/security/Bulletin/MS05-031.mspx

Vulnerability in Outlook Express Could Allow Remote Code Execution
(897715): MS05-030
http://www.microsoft.com/technet/security/Bulletin/MS05-030.mspx

Vulnerability in Outlook Web Access for Exchange Server 5.5 Could Allow
Cross-Site Scripting Attacks (895179): MS05-029
http://www.microsoft.com/technet/security/Bulletin/MS05-029.mspx

Vulnerability in Web Client Service Could Allow Elevation of Privilege
(896426): MS05-028
http://www.microsoft.com/technet/security/Bulletin/MS05-028.mspx

Vulnerability in Server Message Block Could Allow Remote Code Execution
(896422): MS05-027
http://www.microsoft.com/technet/security/Bulletin/MS05-027.mspx

Vulnerability in HTML Help Could Allow Remote Code Execution (896358):
MS05-026
http://www.microsoft.com/technet/security/Bulletin/MS05-026.mspx

Cumulative Security Update for Internet Explorer (883939): MS05-025
http://www.microsoft.com/technet/security/Bulletin/MS05-025.mspx

lunes, 13 de junio de 2005

Denegación de servicio en Novell iManager 2.0.2

Se ha descubierto una vulnerabilidad en Novell iManager 2.0.2 que
puede ser explotada por usuarios maliciosos para provocar denegaciones
de servicio.

La vulnerabilidad se debe a un error de referencias de puntero en la
versión de OpenSSL incluida, concretamente en el código encargado de
analizar ASN.1. Esta circunstancia puede ser explotada por un atacante
enviando un paquete especialmente formado, de tal forma que provocaría
la caída del servicio web.

Si bien la vulnerabilidad ha sido confirmada en la versión 2.0.2, no
se descarta que pueda afectar a otras versiones.

Novell recomienda actualizar a la versión 2.5 ya que no presenta esta
vulnerabilidad.


Julio Canto
jcanto@hispasec.com


Más información:

Novell iManager 2.0.2 ASN.1 Parsing vulnerability in Apache module
http://cirt.dk/advisories/cirt-32-advisory.pdf

domingo, 12 de junio de 2005

Escalada de privilegios en diversos productos Macromedia

Macromedia ha anunciado el descubrimiento de una vulnerabilidad en
varios de sus productos que puede ser explotada por usuarios locales
maliciosos para realizar escaladas de privilegios.

Este ataque es posible debido a la configuración incorrecta del
Macromedia Licensing Service, ya que tiene permisos incorrectos y
puede ser modificado por cualquier usuario, lo cual puede ser
explotado por atacantes locales para ejecutar código arbitrario con
privilegios escalados.

Se ven afectadas todas las versiones de productos Macromedia MX 2004
(Studio, Studio con Flash Professional, Flash Professional, Flash,
FreeHand, Dreamweaver, Fireworks y Director) así como Captivate,
Contribute 2 y Contribute 3. No afecta a productos instalados en
máquinas con un solo usuario.

La compañía recomienda aplicar el siguiente parche:
http://download.macromedia.com/pub/security/licensing_installer_updater.exe


Julio Canto
jcanto@hispasec.com


Más información:

Potential Security Risk with Macromedia eLicensing Client Activation Code
http://www.macromedia.com/devnet/security/security_zone/mpsb05-04.html

sábado, 11 de junio de 2005

Desbordamiento de búfer en consola administrativa de WebSphere Application Server

Se ha anunciado la existencia de una vulnerabilidad en IBM WebSphere
Application Server, que puede ser empleada por un atacante para lograr
la ejecución de código en los sistemas afectados.

La vulnerabilidad está provocada por un error en el proceso de autenticación de la consola de administración. Concretamente se trata de un desbordamiento de búfer al tratar datos en forma unicode y se explota antes de que tenga lugar la autenticación.

El proceso de autenticación tiene lugar solo cuando la opción 'global
security option' está habilitada en el servidor. La vulnerabilidad no
podrá ser explotada si la opción de seguridad está desactivada. Los
puertos TCP por defecto donde esta vulnerabilidad puede ser explotada
incluye 9080 (HTTP), 9090 (HTTP) y 9043 (HTTPS).

IBM recomienda la instalación de WebSphere Application Server 5.0.2
Cumulative Fix 11 que puede ser descargado desde:
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24009775


Antonio Ropero
antonior@hispasec.com


Más información:

Remote Buffer overflow in WebSphere Application Server Administrative Console
http://www.appsecinc.com/resources/alerts/general/WEBSPHERE-001.html

IBM WebSphere Application Server Buffer Overflow in Administrative Console Lets Remote Users Execute Arbitrary Commands
http://securitytracker.com/alerts/2005/Jun/1014123.html

WebSphere Application Server 5.0.2 Cumulative Fix 11
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24009775

viernes, 10 de junio de 2005

Policía, banca y otros sectores en la lucha contra el phishing

Durante el miércoles 8 y el jueves 9 de junio de 2005, se han celebrado
en las instalaciones de la Dirección General de la Policía en Madrid
unas jornadas sobre fraude en Internet, concretamente sobre phishing
bancario.

Éstas jornadas, promovidas por la Brigada de Investigación Tecnológica
(BIT), adscrita a la Comisaría General de Policía Judicial, han reunido
a un enorme ramillete de profesionales pertenecientes a los principales
sectores afectados por el problema del fraude: entidades bancarias,
fuerzas y cuerpos de seguridad del estado, proveedores de acceso y
contenidos, empresas de seguridad y por supuesto, usuarios, con el fin
de abordar la problemática que representa el phishing y las posibles
soluciones a éste problema.

El evento contó con la asistencia de más de 120 profesionales, entre los
que se encontraba una representación de Hispasec Sistemas, en calidad de
proveedor de servicios profesionales de seguridad informática,
especialmente de soluciones avanzadas antiphishing y antifraude en
general; que hemos desarrollado para dar servicio a banca electrónica,
pasarelas de pago, tiendas y comercios en línea y empresas que prestan
servicios vía Internet en general.

En síntesis, el mensaje que se puede extraer a modo de resumen, es que
el phishing es un acto de crimen organizado, y como tal debe ser
tratado, que los actores que participan en el escenario del fraude
tienen todos su porción de responsabilidad y que es preciso transmitir y
recordar a los usuarios de banca electrónica que no deben desconfiar del
canal bancario electrónico, sino que deben ser conscientes de que han de
contemplarse medidas preventivas para evitar ser víctimas de los
engaños. La banca electrónica es, salvo expceciones extraordinarias,
segura y confiable. En éste punto hubo total consenso entre los
ponentes, e Hispasec se une a éste mensaje.

Es imperativo no obstante que las víctimas denuncien. La DGP ha
habilitado hace tiempo una cuenta de correo para efectuar denuncias. En
el buzón fraudeinternet@policia.es se reciben todas las notificaciones
de los ciudadanos y empresas que quieran denunciar. Mediante la denuncia
es posible asegurar que las Fuerzas y Cuerpos de Seguridad del Estado
puedan ser conscientes de la problemática y proceder al aviso a las
entidades financieras afectadas. Del mismo modo, pueden coordinar con
los distintos proveedores de servicios el bloqueo de páginas donde se
alojen los contenidos fraudulentos. Evidentemente, también procederán a
la investigación y detención de los usuarios que practiquen estas técnicas.

Entre los ponentes, además de los miembros de la Brigada de
Investigación Tecnológica, los cuales hicieron una brillante exposición
de cómo conducen las investigaciones policiales en torno al fraude desde
la BIT, hubo una nutrida representación de expertos en distintas áreas
relativas al fraude bancario vía phishing.

Así pues, por parte del Cuerpo Nacional de Policía (CNP), participaron
D. Miguel Ángel Barrado Casado, Comisario del CNP y Jefe del CAT de la
Comisaría de Policía Judicial, que presentó las jornadas. D. Francisco
Javier Migueláñez, Comisario del CNP y Comisario Jefe de la BIT, que
presentó formalmente a la BIT.

A modo de moderadores, alternaron funciones el Jefe de la Sección
Técnica de la BIT, el Inspector José Manuel Colodrás Lozano, así como el
Inspector Jefe D. José Vicente Rubio Moreno, Jefe de la Sección
Operativa II de la BIT, que además explicó a los asistentes la
problemática de la investigación de los problemas relativos al fraude.
La inspectora Jefe Dª. Nieves Gamoneda Sánchez, Jefa del Grupo de
Fraudes en Internet I, explicó con brillantez el desarrollo y la
investigación que el CNP realiza en temas de fraude bancario. El área de
informática estuvo representada por D. José Luís Díez Aguado, Inspector
Jefe del CNP, responsable de todo lo concerniente al DNI electrónico.

Otros ponentes fueron el jurista D. Óscar Morales García, profesor de
Derecho Penal en la Universidad Oberta de Catalunya, que realizó una
brillante disertación sobre los problemas legales del phishing y la
aplicación de la legislación vigente en los casos judiciales sobre
fraude. Red.es contó con D.Alfonso Cabas Alonso, que ofreció al público
consejos diversos para evitar incurrir en el fraude.

Representando entidades bancarias, expusieron su problemática y
actuaciones D. José Luis Serna Calvo, de la Confederación Española de
Cajas de Ahorros (CECA), D. Pedro Pablo López Bernal, de Caja Rural, que
transmitió los fundamentos del protocolo Antiphishing, Carlos Campmany
Campoy de BBVA y D. Pedro Castillo Muros, de Bankinter, que hablaron
sobre las políticas de ambas entidades en materia de seguridad y
prevención del fraude, desde el punto de vista de las entidades bancarias.

En representación de los ISPs, ofrecieron sendas ponencias Dª Marta
Villén Sotomayor, de Telefónica de España, y D. Juan Miguel Velasco
López-Urda, de Telefónica Data, en las que narraron el punto de vista de
los proveedores de servicios de Internet, en cuanto a responsabilidades
y actuación en materia de bloqueos. D. Mariano Largo del Amo expuso el
punto de vista de las empresas de seguridad.

Especialmente útil para el usuario final fue el punto de vista de D.
José María Luque Guerrero, de la comisión de seguridad de la Asociación
de Internautas, que focalizó su discurso en las medidas que los usuarios
deben tomar para prevenir ser víctimas de este fraude.

Hispasec, en su continua lucha en la prevención y el tratamiento
posterior del phishing, vuelve a insistir en lo que los conferenciantes
destacaron. La cadena se suele romper por el eslabón más débil y éste
por desgracia suele ser el cliente final. Algunas medidas para prevenir
ser víctimas del fraude pueden ser las siguientes:

Ante todo, consulte a su entidad. Todas las entidades ofrecen
información sobre seguridad informática y seguridad en el uso de
aplicaciones bancarias. Consulte a los servicios de atención al cliente
y solicite las recomendaciones de su entidad. Nadie mejor que ellas para
darles la información básica para realizar operaciones bancarias seguras
en sus ordenadores personales.

Bajo ninguna circunstancia deben seguirse enlaces que conduzcan a su
portal bancario ni a su sistema de banca electrónica. Utilice siempre
las direcciones introducidas a mano en su navegador. Su entidad jamás le
va a solicitar claves de ningún tipo a través del correo, ni le va a
enviar mensajes de correo con temáticas relativa a la necesidad de
confirmar datos ante supuestas cancelaciones. Desconfíe siempre de éstos
mensajes.

Otros consejos útiles son la comprobación previa al uso de los datos de
registro de su portal. Averigüe cuándo se usó la cuenta por última vez,
si su banco le facilita esta información, y constate que usted realizó
ese uso y no un posible estafador que se hubiera hecho con sus claves.

Vigile la seguridad de su terminal, y evite en lo posible el uso de
terminales públicos para operaciones bancarias. Actualice su sistema,
disponga de un buen antivirus, y certifique periódicamente que su equipo
está libre de spyware, troyanos y malware en general. Para los usos
públicos, procure en la medida de que sus conocimientos lo permitan,
disponer de distribuciones "live" seguras (se ejecutan directamente en
la unidad CD) para acceder a los servicios. Para tal efecto, son muy
útiles las distribuciones "live" Linux, con gestor de escritorio y
dotadas de navegadores seguros, con la ventaja de ser absolutamente
gratuitas. Los clientes de correo seguro y los filtros de spam son muy
útiles para evitar problemas.

Conserve sus claves y sus tarjetas de coordenadas bancarias a buen
recaudo. Procure cambiarlas periódicamente, y asegúrese de que cierra
las sesiones y se borran los archivos temporales después de un uso de su
sistema. Salvo usos domésticos muy controlados, no debe almacenar nunca
contraseñas en el navegador.

Denuncie cualquier irregularidad. Es la única manera de que el proceso
de erradicación de la lacra del phishing sea efectivo. Ponga en
conocimiento de su entidad los intentos de fraude que reciba por email.
Comuníquese con las autoridades y notifique las problemáticas.

Vigile su correo electrónico. Casi la totalidad de mensajes de phishing
llegan a nosotros vía email, luego disponga de una dirección segura para
cuestiones relevantes, como asuntos bancarios. No debe publicar o dar a
conocer esta dirección en foros, chats ni medios públicos. Comuníquela
únicamente a las personas de su confianza. La gran mayoría de listas de
correo indeseado proceden de rastreos a través de correos cadena, foros,
chats y tablones de anuncios en la red, con lo que evitar participar con
nuestros emails en esos lugares es una garantía de no recepción de
publicidad y/o Phishing.

Y como último consejo, no haga nada de lo que no esté absolutamente
seguro. Si su sentido común le hace sospechar, deténgase y plantéese el
problema. La distancia entre quedarnos tranquilos y perder nuestros
ahorros está, por desgracia, a un sólo click de distancia.


Sergio Hernando
shernando@hispasec.com


Más información:

Pese al 'phishing' la banca on-line es segura, según la Policía
http://www.finanzas.com/id.8459367/noticias/noticia.htm

Nueva generación de phishing rompe todos los esquemas.
http://www.hispasec.com/unaaldia/2406

Hispasec Sistemas: Noticias relacionadas con el phishing
http://www.hispasec.com/busqueda?q=phishing

Nota de prensa de Red.es
http://www.red.es/prensa/notas/junio_05/05_06_10_claves.html

Los casos de 'phishing' se pueden denunciar por 'e-mail'
http://www.elmundo.es/navegante/2005/06/09/seguridad/1118321236.html

Normas de Seguridad para acceder a la banca por internet
http://www.seguridadenlared.org/es/index53esp.html

Informática Personal Segura.
http://www.kriptopolis.org/pcseguro

Distribución segura Linux Live Knoppix en Español
http://www.victoralonso.com/knoppix/&e=10053

jueves, 9 de junio de 2005

Detección de intrusiones basada en eventos de seguridad de Windows

Microsoft publica un documento de cara a facilitar la implantación de
soluciones de monitorización y detección de intrusos basándose en los
logs de eventos de seguridad de su plataforma Windows.

Cuando se habla de detección de intrusos existe cierta deformación
profesional a centrarse en los NIDS, basados en el análisis de
tráfico, pese a que los IDS a nivel de hosts (HIDS) son más veteranos.
El éxito de los NIDS puede deberse, entre otros factores, a su
facilidad de configuración e instalación, o al hecho de que pueden
abarcar a varios hosts desde un sólo punto de la red de forma
transparente para los sistemas.

Sin embargo los NIDS tienen una serie de debilidades intrínsecas,
como por ejemplo el hecho de que no pueden analizar el tráfico
cifrado, de manera independiente al volumen de notificaciones y
falsos positivos que suele ser una queja recurrente pero abordable
con un "tunning" adecuado.

En este punto los HIDS se presentan como una tecnología
complementaria muy recomendable que junto a los NIDS permiten
implantar soluciones híbridas, y de esta forma proporcionar un mayor
control al cubrir varias capas con diferentes recursos y enfoques.

Particularmente, en mi experiencia en Hispasec, he dedicado más
tiempo al campo de las soluciones HIDS por su íntima relación con
un área que me toca de lleno como es la detección proactiva del
malware.

Uno de los principales temores iniciales de las grandes empresas
cuando se abordan los HIDS es el costo, en todos los sentidos, de
desplegar agentes en un parque importante de máquinas típicamente
basadas en Windows.

La realidad es que es posible diseñar sistemas IDS básicos, pero no
por ello menos efectivos, sin recurrir a agentes y soluciones de
terceros, basándose en la centralización y correlación de los
propios eventos de Windows.

El hecho de que Microsoft desarrolle sistemas operativos fáciles de
usar parece que se les vuelve en contra en ocasiones, y es que el
grado de abstracción con el que es posible administrar sus sistemas
tiene el efecto colateral de que no exige profundizar en sus
interioridades y posibilidades. Por lo que en muchas ocasiones,
en el mejor de los casos, no se explota el potencial real que pueden
llegar a ofrecer.

La solución no es que Microsoft vuelva a la línea de comandos y a
que tengamos que editar archivos de configuración para lanzar los
servicios, sino que, por la parte que nos toca a los técnicos, y
a los departamentos de recursos humanos y formación de las empresas,
se dediquen mayores esfuerzos de cara a la especialización.

Volviendo al tema que nos ocupaba, Microsoft ha publicado un
interesante documento que, aunque de forma básica, aborda la
planificación de sistemas de monitorización de seguridad y detección
de ataques en sistemas Windows. Desde la recopilación y filtrado
de logs a través de Event Comb MT y MOM así como referencias a
soluciones de terceros más especializadas, pasando por una
descripción de los eventos más críticos a la hora de monitorizar la
seguridad de Windows y aspectos generales de la planificación.


Bernardo Quintero
bernardo@hispasec.com



miércoles, 8 de junio de 2005

Descifrado del troyano PGPcoder

Desvelamos los detalles del algoritmo utilizado por PGPcoder, un
troyano que cifra los archivos de los sistemas que logra infectar
y solicita dinero a los usuarios afectados si quieren volver a
restaurarlos.

Como ya comentamos en una entrega anterior en Hispasec, aunque el
nombre del troyano podía llevar a confusión, el algoritmo de cifrado
de PGPcoder no era robusto, y permitía descifrar los archivos de
forma automática sin sucumbir al chantaje de su autor.

La semana pasada propusimos un reto consistente en encontrar una
solución genérica que permitiera descifrar los archivos modificados
por PGPcoder partiendo del criptoanálisis de una muestra, para lo cual
facilitamos un archivo de texto cifrado por el troyano y otro donde
se podía encontrar la versión original en texto claro.

La solución debería poder descifrar cualquier archivo modificado por
el troyano, de hecho cada propuesta de nuestros lectores fue probada
con una muestra real, en concreto con una hoja de cálculo que había
sido afectada por PGPcoder.

Apenas unas horas después de publicar la noticia recepcionamos las
primeras soluciones, entre los que destacamos a los cinco primeros
según orden de llegada:

1. Antonio Izquierdo Manzanares
Grupo de Seguridad T.I y C. Dep. Informática
Univ. Carlos III de Madrid

2. Francisco Cuevas Pérez
Gestión de RR.HH.

3. David Guerrero López
Dep. de Sistemas Informáticos y Computación
Universidad Politécnica de Valencia

4. Jaume Martínez Martínez
R&D Engineer

5. Angel Goitia Fuertes
Consultor Senior en Altran SDB


En todas estas primeras soluciones de primera hora se pudo observar
claramente que los algoritmos utilizados, basados en bloques de
valores fijos, habían sido construidos a partir del análisis de la
muestra del archivo cifrado facilitado, tal y como se proponía en
el reto, y no fruto de aplicar ingeniería inversa al código del
troyano.

El hecho de que, además de la efectividad, se premiara la rapidez en
la que se hiciera llegar la solución, también fue en contra de que
los primeros participantes no dedicaran muchos esfuerzos en encontrar
una relación matemática entre los diferentes valores utilizados.

En el propio código de la primera solución, comentado con detalle
por Antonio Izquierdo, podemos encontrar una primera descripción del
algoritmo de cifrado: "PGPcoder cifra los ficheros haciendo una
operación de suma a cada byte. Cada vez que cifra un byte cambia la
clave siguiendo una secuencia predeterminada para realizar dicho
incremento. Esa secuencia de incrementos consta de 16 elementos,
tras los cuales vuelve a repetirse. Cada 4 secuencias (64 bytes) se
repiten las claves de cifrado."

PGPdecoder-Antonio_Izquierdo.zip (clave: hispasec)
http://www.hispasec.com/directorio/laboratorio/pruebas/PGPdecoder-Antonio_Izquierdo.zip

Una mirada al código del gusano simplifica mucho la tarea, ya que se
puede observar que el cifrado de PGPcoder se limita a realizar una
operación de suma a cada byte del archivo original, comenzando el
bucle con la clave 0x3A y modificando su valor para cada uno de los
bytes restantes, multiplicando en cada ocasión la clave anterior por
0x25 y sumándole 0x5C.

Desde PandaLabs, responsables de que Panda fuera uno de los pocos
motores antivirus que incluyera entre sus firmas la recuperación de
archivos cifrados por PGPcoder, también nos hicieron llegar el
siguiente ejemplo:

"Suponiendo que tenemos en 'buffer' el contenido del fichero a
desencriptar y en 'buffer_size' el tamaño del mismo, el algoritmo en
cuestión sería el siguiente:

key = 0x3A;

for (int i = 0; i < buffer_size; i++)
{
buffer[i] = buffer[i] - key;
key = key * 0x25 + 0x5C;
}

Como puede observarse se trata de un algoritmo clásico. A cada byte
de información se le substrae o se le suma -para desencriptar o
encriptar respectivamente- un valor determinado que comienza con una
constante inicial y es recalculado en cada iteración usando su valor
anterior."

Recibimos alguna solución utilizando este algoritmo 'optimizado',
como es el caso de Daniel Pérez Álvarez, estudiante de Ingeniería
Informática, que reconoció haber partido del acceso al código de
PGPcoder en lugar de proceder al criptoanálisis de las muestras
proporcionadas.

pgpdecoder Daniel Pérez:
http://www.hispasec.com/directorio/laboratorio/pruebas/pgpdecoder.zip

Afortunadamente en esta ocasión ha sido posible proponer este reto
gracias a que el autor del troyano no ha utilizado criptografía seria
y una estrategia más robusta, ya que de lo contrario podría ser
materialmente imposible lograr una solución genérica y automática
que fuera efectiva.

Por último agradecer a los participantes su interés, que recibirán en
breve una camiseta de Hispasec como premio simbólico por su dedicación,
y emplazaros a todos hasta el próximo reto.


Bernardo Quintero
bernardo@hispasec.com


Más información:

01/06/2005 - El talón de Aquiles de PGPcoder, el troyano chantajista
http://www.hispasec.com/unaaldia/2412

martes, 7 de junio de 2005

Publicada Debian GNU/Linux 3.1 "Sarge"

Con fecha de 6 de junio, ha visto la luz la esperada revisión de la
conocida distribución Debian GNU/Linux. Esta nueva versión, bautizada
con el nombre clave "Sarge", está numerada como 3.1 y es fruto de casi
tres años de desarrollo continuo.

Debian GNU/Linux es una conocida distribución Linux, especialmente
indicada para entornos donde se requiere una seguridad y fiabilidad
elevadas. El abanico de software libre que incorpora la hace útil en
cualquier rango de requisitos de uso, desde el escritorio doméstico,
mediante la incorporación de GNOME 2.8, KDE 3.3, OpenOffice.org 1.1 y
una buena colección de aplicaciones domésticas, hasta servidores,
incluyéndose en esta versión PostgreSQL 7.4.7, MySQL 4.0.24 y 4.1.11a,
Apache 1.3.33 y 2.0.54, Samba 3.0.14, Python 2.3.5 y 2.4.1, Perl 5.8.4
y otros interesantes servicios. Se incluyen dos versiones del kernel
Linux, 2.4.27 y 2.6.8.

Esta nueva versión está disponible para un elevado número de
arquitecturas: Motorola 68k (m68k), Sun SPARC (sparc), HP Alpha (alpha),
Motorola/IBM PowerPC (powerpc), Intel IA-32 (i386) e IA-64 (ia64), HP
PA-RISC (hppa), MIPS (mips, mipsel), ARM (arm) e IBM S/390 (s390). Se
han habilitado mecanismos de descarga para obtener la distribución, a
través de 14 CDs o bien 2 DVDs.

Especialmente relevante en este anuncio es la enorme cantidad de mejoras
relativas a la seguridad de la distribución. Además de la corrección de
numerosos errores conocidos, se ha mejorado el sistema de actualización,
con la inclusión del nuevo servicio debian-volatile, y se han producido
mejoras en el sistema de instalación, entre otras importantes novedades.

La distribución incluye más de 9000 paquetes nuevos, habiéndose
actualizado aproximadamente el 73% de paquetes disponibles en la versión
anterior, 3.0 "Woody", lo que representa perfectamente la profundidad de
la revisión respecto a la versión anterior.


Sergio Hernando
shernando@hispasec.com


Más información:

Publicación de Debian GNU/Linux 3.1
http://www.debian.org/News/2005/20050606

Notas de la publicación de Debian GNU/Linux 3.1 "Sarge"
http://www.debian.org/releases/sarge/releasenotes

Descargar Debian GNU/Linux 3.1 "Sarge"
http://www.debian.org/distrib/cd

Manual de instalación Debian GNU/Linux 3.1 "Sarge"
http://www.debian.org/releases/sarge/installmanual

lunes, 6 de junio de 2005

La gestión del riesgo

Cuando se asume la responsabilidad de gobernar las tecnologías de la
información a nivel corporativo, inmediatamente se aceptan muchos retos
particularmente interesantes. Estar al tanto de vulnerabilidades,
parches, virus, gusanos, troyanos y ese largo etcétera de amenazas que
golpean una y otra vez los sistemas de la información.

En circunstancias normales, los responsables de seguridad actúan
proactivamente para prevenir los efectos perniciosos de los ataques, y
cuando no hay más remedio, porque la prevención ha fallado, se actúa a
posteriori. Pero, ¿se plantean los responsables antes de cualquier otra
cosa de medir el riesgo que conllevan estas amenazas?

Difícil balanza la que representa colocar en un platillo la cantidad de
riesgo que estamos dispuestos a asumir, y el otro platillo la cantidad
de recursos financieros de los que disponemos para mitigar los riesgos
en materia de seguridad de la información.

La gestión del riesgo se ha convertido en un escollo para la dirección
estratégica de las organizaciones que confían en metodologías
reconocidas para alimentar sus sistemas de gestión. Especialmente duro
se hace gestionar el riesgo en aquellas empresas cuyos procesos críticos
reposan en tecnologías de la información, sobre todo, cuando la
seguridad de esos procesos es igualmente crítica: banca,
telecomunicaciones, proveedores de acceso, y muchas otras organizaciones
donde un fallo crítico puede suponer, en el mejor de los casos, una
ruptura de la continuidad del negocio.

En estos casos la gestión del riesgo deja de ser algo opcional para
convertirse en algo obligatorio. Desde hace tiempo, en Hispasec Sistemas
hemos tomado nota de éstos cambios en las tendencias de gestión y hemos
aplicado en nuestra cartera de clientes metodologías avanzadas de
gestión de riesgos para conseguir controlar y administrar el riesgo,
proporcionando al mínimo coste, la máxima integridad, disponibilidad y
confidencialidad de la información corporativa. Tarea compleja, sin
duda, teniendo en cuenta las muchísimas variables de las que depende el
riesgo.

La gestión de la seguridad de la información es muy extensa, pero sin
duda alguna, uno de sus puntos claves es la adecuada gestión del riesgo.
Equilibrar los dos platillos de la balanza de los que hablamos es, la
gran mayoría de las veces, difícil de abordar, y la incertidumbre de los
resultados es muy elevada, especialmente cuando no hay datos anteriores
que permitan proyectar una posible tendencia. Para más inri, hay riesgos
incontrolables y que por tanto escapan a toda planificación. Pero esto
no puede ser obstáculo para que apartemos a un lado los riesgos, y
sigamos mirando al frente como si nada hubiera pasado.

Es preciso tener claro que establecer contramedidas para mitigar
absolutamente todos los riesgos es algo desmesurado, por cuestiones
económicas y de índole operativa, y que tampoco sería correcto asumir la
totalidad de los riesgos, sin invertir en ninguna medida de control de
los mismos. Es necesario llegar a un equilibrio entre inversión y riesgo
asumido voluntariamente, y éste es el objetivo principal de la gestión
de los riesgos, tal y como se ha explicado.

Maneras de gestionar adecuadamente el riesgo hay muchas. Desde luego,
siempre se aconseja emplear metodologías reconocidas ya que éstas emanan
de una experiencia y un contraste que las hace válidas a priori.

Ejemplos de estas metodologías está la metodología MAGERIT (Metodología
de Análisis y Gestión de Riesgos de los Sistemas de Información de las
Administraciones Públicas), impulsada originalmente por el Ministerio
de Administraciones Públicas, y cuya revisión y actualización se
vaticina como muy próxima. MAGERIT proporciona un buen número de
herramientas para que obtener un mapa de todos los riesgos que deseamos
controlar y representar, lo que facilita enormemente la toma de decisiones.

Esta metodología considera acertadamente que la gestión del riesgo es el
"alma mater" de toda actuación organizada en materia de seguridad y, por
tanto, de la gestión global de la misma.

A nivel internacional los estándares comúnmente aceptados como válidos
son los que proclama la norma internacional ISO/IEC 17799:2000
"Information technology. Code of practice for information security
management". Recientemente, el 17 de mayo de 2005, ha visto la luz una
ampliación denominada "Security techniques" dentro del marco que brinda
ISO 17799:2000.

Esta norma internacional deriva del marco reglamentario BS 7799,
elaborado y definido por el British Standards Institution, en el que se
definieron diez puntos de control para gestionar adecuadamente los
sistemas de la información. Estos puntos de control han sido
contemplados igualmente en el marco ISO 17799 y sus trasposiciones a
normas nacionales:

1) Política de Seguridad, donde se establecen las directrices
gerenciales en materia de seguridad.

2) Organización de recursos y activos de la información, para sentar las
correctas bases de la gestión de la seguridad dentro de la empresa.

3) Clasificación y control de activos de la información, donde se
pretende inventariar los activos a proteger así el establecimiento de
las correctas medidas de protección.

4) Seguridad ligada al personal, con el fin de tratar aspectos relativos
a la seguridad vinculada a los recursos humanos: confidencialidad,
accesos no permitidos, fugas de información, etc.

5) Seguridad física y del entorno, donde se establecen las pautas
correspondientes a la seguridad de las instalaciones físicas.

6) Gestión de las comunicaciones y las operaciones, con la idea de
asegurar el procesado de la información.

7) Control de acceso, en el que se establecen privilegios y
autorizaciones para acceder a los recursos.

8) Desarrollo y mantenimiento de sistemas, que serán los recipientes
principales de la gestión de la seguridad.

9) Gestión de la continuidad de los negocios, donde se establecen planes
de recuperación y minimización del impacto ante discontinuidades en los
procesos críticos de la empresa.

10) Conformidad legal, donde se observa el cumplimiento con la
legislación vigente según la localización territorial de la empresa.

Para el caso concreto de España, existe una trasposición de la norma
codificada como UNE-ISO/IEC 17799:2002 "Tecnología de la Información.
Código de buenas prácticas para la Gestión de la Seguridad de la
Información". Otro documento interesante a considerar es el conjunto de
especificaciones publicadas en la norma española UNE 71502:2004,
"Especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI)", que proporciona un marco certificable para la norma
global de seguridad.

En resumen, es fácil comprobar cómo la seguridad de la información es
mucho más que la seguridad informática más tradicional, y es fácilmente
observable como, a la hora de hablar de seguridad de la información,
todo gira en torno a un eje temático: La gestión del riesgo.


Sergio Hernando
shernando@hispasec.com


Más información:

Metodología MAGERIT
http://www.csi.map.es/csi/pg5m20.htm

Chinchon: Software de Gestión de Riesgos según MAGERIT 1.0
http://www.criptored.upm.es/software/sw_m214_01.htm

Códigos de Buenas Prácticas de Seguridad. UNE-ISO/IEC 17799
http://www.criptored.upm.es/guiateoria/gt_m209d.htm

British Standards Institution 7799 Information Security
http://www.bsi-global.com/Global/bs7799.xalter

Checklist de SANS sobre ISO 17799
http://www.sans.org/score/checklists/ISO_17799_checklist.pdf

Ejemplo de Implementación y Mejora del Método de Gestión Riesgos en un
Proyecto Software
http://www.ewh.ieee.org/reg/9/etrans/Marzo2005/paper119.pdf

domingo, 5 de junio de 2005

Actualización del kernel de Red Hat Linux 7.3 y 9

Red Hat ha publicado paquetes actualizados para sus Red Hat Linux 7.3
y 9 a través de Fedora Legacy debido a que se han descubierto una
serie de vulnerabilidades que pueden ser explotadas para comprometer
la seguridad del sistema. Entre los problemas corregidos por esta
actualización se encuentran los siguientes:

El primer problemas permitiría a un atacante local leer variables
de entorno de otros procesos que se están reproduciendo
vía /proc/.../cmdline.

Otro problema descubierto está en la función vc_resize. La explotación
de esta vulnerabilidad podría provocar una denegación de servicio al
kernel del sistema. El atacante tendría incluso la posibilidad de llegar
a provocar un desbordamiento de búfer en el mismo.

Otro problema está en el driver PPP de Linux. En sistemas que permitan
a usuarios remotos conectarse a un servidor con ppp, un cliente remoto
puede provocar una denegación de servicio.

Las descargas que evitan estos problemas se pueden realizar desde:
http://www.fedoralegacy.org/download/


Antonio Román
roman@hispasec.com


Más información:

Updated kernel packages fix security issues
https://www.redhat.com/archives/fedora-legacy-announce/2005-June/msg00000.html

Fedora Legacy Update Advisories
http://www.fedoralegacy.org/updates/

sábado, 4 de junio de 2005

Nuevos contenidos en CriptoRed (mayo 2005)

Breve resumen de las novedades producidas durante el mes de mayo
de 2005 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Calidad y Seguridad en Procesos de Desarrollo de Software
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

- Demostrando Conocimiento de un Conjunto Independiente
http://www.criptored.upm.es/paginas/docencia.htm#gtletraD

- El IDS Snort Ante un Ataque de TCP Reset
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

- El Sistema de Gestión de la Seguridad de la Información: Calidad de
la Seguridad
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

- Esquemas de Cifrado Basados en Grupos: Pasado y Futuro
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

- Evasión de Filtros MAC en Redes 802.11
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

- Firma Electrónica: Aspectos Técnicos de la Legislación y Aplicaciones:
DNI-e
http://www.criptored.upm.es/paginas/docencia.htm#gtletraF

- Una Aplicación de los Códigos Correctores en Criptografía: el Problema
de las Votaciones Electrónicas
http://www.criptored.upm.es/paginas/docencia.htm#gtletraU

- Actualización Paper Another Look at "Provable Security" (IACR
Cryptology ePrint Archive)
http://eprint.iacr.org/2004/152.pdf

- Otros documentos recomendados:
http://eprint.iacr.org/
http://xxx.lanl.gov/list/cs.CR/recent

- Enlaces a libros electrónicos recomendados:
http://www.criptored.upm.es/paginas/docencia.htm#libroseos

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

- Junio 3 al 6 de 2005: Workshop on Information Security Assurance and
Security (Tetuán - Marruecos)
http://www.telecom.uae.ma/ictis/

- Junio 6 al 8 de 2005: 7th Information Hiding Workshop IH2005
(Barcelona - España)
http://kison.uoc.edu/IH05

- Junio 6 al 10 de 2005: 7a Edición de Internet Global Congress:
Confianza en la Red (Barcelona - España)
http://www.igcweb.net/web/php/conferencies/default.php?areaConsulta=1

- Junio 9 al 10 de 2005: III Simposio Español de Comercio Electrónico
(Palma de Mallorca - España)
http://www.uib.es/congres/sce05/

- Junio 20 al 22 de 2005: Workshop on Mathematical Problems and
Techniques in Cryptology (Barcelona - España)
http://www.crm.es/Conferences/0405/Cryptology/Cryptology.htm

- Junio 22 al 24 de 2005: V Jornadas Jornadas Nacionales de Seguridad
Informática (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=332

- Julio 6 al 8 de 205: Tercera Edición del Foro Tecnoatlántico sobre
Seguridad Informática (Vigo - España)
http://www.tecnoatlantico.com/

- Julio 11 al 15 de 2005: Tendencias Recientes en Criptografía: Escuela
de Verano de la UIMP (Santander - España)
http://www.uimp.es/asp/sedes/Santander.asp?fichInc=6.1&ActividadId=7510338&foto=reunion&IraMatricula=

- Julio 25 al 27 de 2005: VI Taller de Redes WALC 2005 (Mérida - Venezuela)
http://www.walc2005.ula.ve/

- Agosto 1 al 9 de 2005: XVI Coloquio Latinoamericano de Algebra
(Colonia del Sacramento - Uruguay)
http://www.cmat.edu.uy/cmat/eventos/16cla

- Agosto 21 al 26 de 2005: V Congreso Nacional GNU/Linux de Software
Libre (Cochabamba - Bolivia)
http://congreso.softwarelibre.org.bo/2005/

- Septiembre 14 al 16 de 2005: Simposio Seguridad Informática I Congreso
Español de Informática CEDI 2005 (Granada - España)
http://cedi2005.ugr.es/

- Septiembre 22 al 23 de 2005: Information Security Curriculum
Development INFOSECCD 2005 (Kennesaw Georgia, USA)
http://infosec.kennesaw.edu/

- Octubre 03 al 05 de 2005: Congreso CollECTeR LatAm 2005 (Talca - Chile)
http://ing.utalca.cl/collecter

- Noviembre 21 al 25 de 2005: Tercer Congreso Iberoamericano de
Seguridad Informática CIBSI '05 (Valparaíso - Chile)
http://cibsi05.inf.utfsm.cl/

- Diciembre 1 al 2 de 2005: IFIP TC-11 WG 11.1 & WG 11.5 Joint Working
Conference on Security Management, Integrity, and Internal Control in
Information Systems (Fairfax - USA)
http://www.cs.uvm.edu/ifip11.1.5/

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

- Convocatoria a Congresos en la IACR: International Association for
Cryptologic Research
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN IBEROAMÉRICA

- Cerca de 30 Másters, Especialización, Diplomados, Cursos Avanzados,
Programas de Formación, Talleres, Seminarios, etc.
Enlaces e información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE MAYO DE 2004

- Seminario UPM - puntoes de Disaster Recovery (Madrid - España)
http://www.puntoes.es/docs/agenda_ponentes.pdf

- Conferencia ISSA-FIST Edición junio (Madrid, España)
http://www.fistconference.org/madrid.php

- Tercera Edición del Foro Tecnoatlántico sobre Seguridad Informática
(Vigo - España)
http://www.tecnoatlantico.com/

- Conferencias Securing Multicast Groups in Ad Hoc Networks y
Criptografía en U. Cantabria (España)
http://www.matesco.unican.es/tablon_de_anuncios/estasemananosvisitax.html

- VI Taller de Redes WALC 2005 (Mérida - Venezuela)
http://www.walc2005.ula.ve/

- Workshop on Information Security Assurance and Security WISA 05
(Tetuán - Marruecos)
http://www.telecom.uae.ma/ictis/

- Magister en Derecho de la Informática y Seguridad en Universidad de
Chile (Santiago - Chile)
http://www.cedi.uchile.cl/magister/

- XVI Coloquio Latinoamericano de Algebra en Colonia del Sacramento
(Colonia - Uruguay)
http://www.cmat.edu.uy/cmat/eventos/16cla

- V Congreso Nacional GNU/Linux de Software Libre (Cochabamba - Bolivia)
http://congreso.softwarelibre.org.bo/2005/

- 7a Edición de Internet Global Congress: Confianza en la Red
(Barcelona - España)
http://www.igcweb.net/web/php/conferencies/default.php?areaConsulta=1

- Tendencias Recientes en Criptografía: Escuela de Verano de la UIMP
(Santander - España)
http://www.uimp.es/asp/sedes/Santander.asp?fichInc=6.1&ActividadId=7510338&foto=reunion&IraMatricula=

- Sistema de Correo y Notificación Electrónica Certificada Acepta (España)
http://tirnanog.ls.fi.upm.es/CriptoLab/Proyectos/Acepta/Acepta.htm

- Ciclo de Seminarios Prácticos de Auditoría y Seguridad en EPSI - UAB
(Barcelona - España)
http://magno.uab.es/epsi/riscos-tecnologics/seminaris.htm

- Cursos Seguridad en Wireless y Comercio Electrónico en Escuela de
Verano UCM (Madrid - España)
http://www.ucm.es/info/fgu/escuelacomplutense/cursos/g18.htm
http://www.ucm.es/info/fgu/escuelacomplutense/cursos/g20.htm

- Seminario Security Update de Red Seguridad y Afina en Madrid y
Barcelona (España)
http://www.borrmart.es/redseguridad.php

- Conferencia Instituto SANS Madrid 2005 (España)
http://www.sans.org/madrid2005/

- Smart University de Tarjetas Inteligentes e Identidad Electrónica
(Sophia Antipolis - Francia)
http://www.smart-university.net/

- Jornada ISM3: SGSI Simples y Realistas en Madrid el 02/06/05 (España)
http://www.esne.es/eventos.php?id=8&Lang=es

- Semana de la Seguridad en Tecnologías de la Información en Alicante
(España)
http://www.fi.upm.es/tanuncios/contenido.php?page=full&id=553

5. OTROS DATOS DE INTERES EN LA RED

- Número actual de miembros en la red: 523
(149 universidades; 176 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

- 35.696 visitas, 111.455 páginas y 48,64 GBytes servidos en mayo de 2005
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

6. CIBSI: CONGRESO IBEROAMERICANO DE SEGURIDAD INFORMÁTICA

- Tercer Congreso Iberoamericano de Seguridad Informática CIBSI '05
Universidad Técnica Federico Santa María
Del 21 al 25 de noviembre de 2005 (Valparaíso, Chile)
http://cibsi05.inf.utfsm.cl/


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

mayo de 2005
http://www.criptored.upm.es/paginas/historico2005.htm#may05

viernes, 3 de junio de 2005

Secuestro de sesiones en Windows Terminal Services

Se ha anunciado la existencia de una vulnerabilidad en Windows
Terminal Services de Windows 2000 Server y Windows Server 2003
por la que un atacante remoto podría llegar a realizar ataques del
tipo "hombre en el medio" sobre estos servicios.

El problema reside en que la clave privada que se utiliza para firmar
la clave publica de un Terminal Server se encuentra codificada en una
DLL. Esto puede permitir a un atacante remoto descubrir dicha clave y
calcular una firma válida que podrá ser emplearda para realizar un
ataque del tipo "hombre en el medio" (man in the middle).

El ataque descrito se ha implementado exitosamente en al menos un
programa que es capaz de realizar ataques "hombre en el medio" contra
sesiones RDP y descifrar toda la información transmitida entre cliente
y servidor. El programa también es capaz de reconocer la actividad del
teclado en el lado del cliente lo que proporciona al atacante la
posibilidad de obtener diferentes contraseñas.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Windows Remote Desktop Protocol Server Private Key Disclosure Vulnerability
http://www.securityfocus.com/bid/13818

Remote Desktop Protocol, the Good the Bad and the Ugly
http://www.oxid.it/downloads/rdp-gbu.pdf

jueves, 2 de junio de 2005

Desbordamiento de búfer remoto en HP OpenView Radia

Se ha anunciado la existencia de una vulnerabilidad en HP OpenView
Radia por la que un usuario remoto podrá lograr la ejecución de código
arbitrario en los sistemas afectados.

HP OpenView Radia, es una solución de la familia OpenView de HP para
la configuración de software y gestión de activos, permite controlar
y automatizar el inventario, la monitorización de uso y la distribución
de software.

El componente RADEXECD contiene múltiples desbordamiento de búfer
explotables remotamente. Concretamente se ve afectado el RADEXECD.EXE
en las versiones 3.1.2.0 y 3.1.0.0 un atacante podrá enviar un comando
específicamente construido al proceso para desbordar uno de los diversos
bufers de 512 bytes en la función nvd_exec. El atcante podrá conseguir
la ejecución de código en el sistema vulnerable con los privilegios
del proceso RADEXECD.


Antonio Ropero
antonior@hispasec.com


Más información:

HP OpenView Radia Buffer Overflow in RADEXECD Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2005/Jun/1014089.html

HP Radia Notify Daemon: Multiple Buffer Overflow Vulnerabilities
http://www.grok.org.uk/advisories/radexecd.html

HP OpenView Radia
http://www.hp.es/prodserv/productos/software/htm/radia.htm

miércoles, 1 de junio de 2005

El talón de Aquiles de PGPcoder, el troyano chantajista

En los últimos días PGPcoder ha hecho correr ríos de tinta en los
medios, al presentarse como un troyano que cifra los archivos de los
sistemas y solicita dinero a los usuarios afectados si quieren volver
a restaurarlos. La realidad es que, debido a un mal diseño de su
creador, el troyano utiliza un algoritmo de cifrado muy simple,
basado en valores fijos, que permite invertirlo y recuperar
automáticamente los archivos.

Desde el primer día que apareció PGPcoder, también llamado Gpcode, me
recordó precisamente al que se considera uno de los primeros troyanos
de la historia de los PCs: AIDS.

En el año 1989 se enviaron miles de disquetes por correo postal que
contenían un programa de información sobre SIDA. El programa llevaba
un contador de las veces que se iniciaba el sistema y, tras
contabilizar un número determinado, terminaba por cifrar la
información del disco duro, solicitando a los afectados pagar una
licencia si querían descifrarlo y recuperar sus archivos.

El responsable fue detenido y los afectados no tuvieron que pagar
nada, ya que el algoritmo de cifrado era débil y se distribuyeron
herramientas gratuitas para descifrarlo.

El caso de PGPcoder es muy similar, aunque en esta ocasión el autor
se ha podido ahorrar los sellos del correo postal gracias a Internet.
Cuando se ejecuta en un sistema, cifra todos los archivos que
localiza con las extensiones .xls, .doc, .txt, .rtf, .zip, .rar, .dbf,
.htm, .html, .jpg, .db, .db1, .db2, .asc y .pgp. Dejando unos
archivos de texto, "ATTENTION!!!.txt", con el siguiente mensaje:

Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032

En definitiva, que si el usuario infectado quiere volver a acceder
a sus documentos, hojas de cálculo, fotografías, etc., debe
"comprar" el descodificador que supuestamente el autor le enviaría
por e-mail.

Las buenas noticias son que el autor del troyano ha programado un
algoritmo de cifrado bastante simple sin clave externa, lo que
permite invertir el algoritmo para recuperar los archivos sin tener
que pasar por el chantaje. Las malas noticias son que es totalmente
factible, y casi me atrevería a decir que probable, que a corto
plazo cualquiera diseñe un troyano similar basándose en claves
aleatorias y/o criptografía de llave pública, y entonces no habrá
buenas noticias.

Lo cierto es que en un principio, sin haber analizado el troyano,
creía que el diseño era robusto, en especial por el nombre que le
había dado el autor y que han utilizado también algunos motores
antivirus, PGPcoder, en lo que me parece una clara alusión al
archiconocido programa de cifrado PGP.

Sin embargo ayer, por casualidad (examinando algunos logs de
VirusTotal), me encontré con un archivo cifrado por PGPcoder, y la
simple visualización de su contenido, aunque cifrado, me dejó
claro que el algoritmo era débil. A esta misma conclusión podría
llegarse a través del análisis del código del troyano.

Lo siguiente que se me vino a la cabeza es que, aprovechando la
debilidad del cifrado, e igual que ocurriera en el caso del troyano
AIDS, se podrían facilitar herramientas gratuitas para que los
afectados pudieran recuperar sus archivos. Es mas, los propios
antivirus podrían/deberían detectar los archivos cifrados, todos
comienzan con la cabecera "PGPcoder 000000000032", y realizar
automáticamente el descifrado.

Sin embargo, realizado un estudio sobre 20 motores antivirus, sólo
3 de ellos reconocen y son capaces de restaurar de forma automática
los archivos cifrados por el troyano PGPcoder. Los antivirus que
hay que felicitar en esta ocasión son Dr.Web, Kaspersky, y Panda,
que reconocen con la siguiente firma los archivos cifrados:

DrWeb :: [Trojan.PGPCrypt]
Kaspersky :: [Virus.Win32.Gpcode.c]
Panda :: [Trj/PGPCoder.Crypt]

Este tipo de iniciativas de las casas antivirus va muy en la línea
de la noticia "Firmas antivirus más allá del malware tradicional"
http://www.hispasec.com/unaaldia/2404

He evitado dar los detalles concretos del algoritmo en favor de
aquellos lectores aficionados al criptoanálisis que quieran ahondar
en los detalles del caso a modo de reto. He publicado un ZIP donde
pueden encontrar dos archivos de textos, el primero un original en
texto claro, y el segundo el mismo una vez cifrado por el troyano
PGPcoder. El ZIP se encuentra protegido por la contraseña "hispasec"
para evitar que el archivo cifrado por PGPcoder pueda dar positivo
con los antivirus perimetrales mientras se descarga.

ZIP (clave: hispasec):
http://www.hispasec.com/directorio/laboratorio/pruebas/cifrado_pgpcoder.zip

Otra de las opciones para lograr encontrar un algoritmo de descifrado,
mucho más directa, consiste en estudiar el código ensamblador del
troyano. Si bien, por razones obvias, no puedo facilitar una copia del
mismo, ruego abstenerse de solicitudes por privado.

Como premio simbólico, se enviará una camiseta de Hispasec a los
tres primeros lectores que nos envíen un script o programa (incluyendo
fuentes) que deberá descifrar otro archivo cifrado por el troyano
PGPcoder (mismo algoritmo de cifrado).


Bernardo Quintero
bernardo@hispasec.com