viernes, 31 de marzo de 2006

La recuperación de datos, un arma de doble filo

Existen numerosas herramientas de recuperación en el mercado. Estas
herramientas tienen como principal finalidad recuperar el máximo de
información posible ante un incidente determinado: el caso típico es
el intento de recuperación de información de un disco duro con averías
lógicas y/o físicas, con la intención de salvaguardar la mayor
cantidad de datos posibles, en previsión de la posible inutilización
del dispositivo sometido a recuperación.

No sólo es posible recuperar datos de discos duros. También es posible
recuperar datos de otros medios, como por ejemplo, memorias flash de
todo tipo. Otros medios de almacenamiento ópticos y magneto-ópticos
también son susceptibles de que al menos, intentemos la recuperación
en caso de incidencia: es tan factible recuperar datos de un disco
duro, como de una Compact flash, Smart Media, tarjetas SD y xD o de
una memoria USB.

En términos de efectividad, es frecuente obtener mejores
recuperaciones de las averías lógicas que en las averías físicas. Así
pues, los errores de usuario, los borrados intencionados y el sabotaje
y/o la acción del malware destructivo pueden ser considerados como
averías lógicas. Un ejemplo de avería física puede ser la colisión de
las cabezas del disco duro con los platos (head crash), las
deformaciones por impacto o cambios térmicos bruscos, o los daños en
la electrónica y mecánica (la ruptura de un motor en un disco duro).

Los problemas de seguridad y confidencialidad surgen cuando no se han
contemplado medidas efectivas para prever las recuperaciones no
deseadas. Escenarios posibles hay muchos, y muy frecuentes, no sólo en
el ámbito empresarial, sino en el doméstico. Cuando la recuperación es
controlada y sobre todo, efectuada con el único propósito de
salvaguardar nuestra información para ser reutilizada, no hay
problema. Pero esto no siempre es así. Al igual que nosotros, otros
sin nuestro beneplácito pueden ser los ejecutores de procedimientos de
recuperación no deseados.

En entornos organizativos, la aplicación de los requisitos de la Ley
Orgánica de Protección de Datos de Carácter Personal (LOPD) puede
prevenir los supuestos de recuperación indeseada: el establecimiento
de políticas de destrucción segura, así como contratos con proveedores
de destrucción y en general, el imperativo legal de contemplar la
gestión de soportes, pueden prevenir la revelación no deseada de
información. Disponer de sistemas de gestión de seguridad de la
información puede ser útil igualmente, ya que contemplan controles
para la gestión segura de los soportes. Así pues, para ISO 17799:2005,
en el dominio relativo a Gestión de Comunicaciones y Operaciones
tenemos controles específicos en el punto 10.7 de la norma, englobados
bajo el nombre de manipulación de medios, estando dedicado el punto
10.7.2 de la norma específicamente a la destrucción de medios.

De todos modos sigue siendo frecuente que muchas empresas arrojen sus
terminales obsoletos, así como CDs, DVDs y otros medios a los
contenedores de basura, muchas veces situados en la vía pública, lo
que favorece técnicas poco ortodoxas de espionaje como el "dumpster
diving" o buceo en la basura, consistente básicamente en escrutar los
deshechos para recuperar no sólo papel, sino en el caso que nos ocupa,
soportes de almacenamiento como discos duros, DVDs, CDs cintas
streamer, etc., sobre los que es posible ejecutar acciones de
recuperación en busca de material restringido y confidencial.

En entornos domésticos deben extremarse las precauciones, no sólo
cuando queremos destruir soportes o deshacernos de un ordenador que ha
quedado inservible, sino sobre todo cuando se compra y vende el
material en sitios online. Según los datos de un estudio del MIT
(Instituto de Tecnología de Massachussets), efectuado por un grupo de
estudiantes que adquirieron 158 discos duros de sitios de subasta
online y venta de segunda mano, los datos no pueden ser más
alarmantes: consiguieron recuperar datos de aproximadamente 68 discos.
La información recuperada de los discos estaba en una proporción del
orden del 70% de datos confidenciales y sensibles, por un 30% de
información no relevante. Las recuperaciones incluyeron datos de
empresa, correo electrónico, pornografía, datos bancarios y datos
personales diversos. De los 158 discos analizados, sólo 12 habían sido
sometidos a procesos de borrado seguro. La mayoría de los discos
estaban formateados, pero eso no es condición suficiente para
garantizar una destrucción de datos no reversible. Recuerde
especialmente este punto. Formatear no le da garantías de ningún tipo
de que los datos que hubiera en el disco sean irrecuperables.

La destrucción segura dependerá de si el medio es reescribible o no:
cuando no es posible, caso de DVDs, CDs y otros medios no regrabables,
deberíamos, en ausencia de un proveedor de destrucción, recurrir a
técnicas más cotidianas como, por ejemplo, cortar los discos con unas
tijeras en varios fragmentos. Cuando los soportes son regrabables,
debemos plantearnos el uso de herramientas de borrado seguro.

El borrado de un medio regrabable puede ser muy rápido e inseguro, o
más lento y seguro. Desde los métodos "Super Fast Zero Write"
consistentes en la escritura de un valor fijo "0x00" en cada tercer
sector, hasta métodos de alta seguridad, como la aplicación secuencial
del US Department of Defense (DoD 5220.22-M) + Método Gutman,
consistente en 35 pasadas, complementables con iteraciones de
Mersenne, para agilizar los procesos de borrado seguro mediante la
generación de números pseudoaleatorios. Otro método de alta seguridad
es el estándar de la OTAN, de 7 pasadas.

El borrado seguro es fácilmente aplicable con herramientas software.
Para el caso más usual, el borrado del disco duro, existen soluciones
muy sencillas de utilizar, como por ejemplo, Darik´s Boot and Nuke
(DBAN), que permiten no sólo el borrado rápido, sino la aplicación de
técnicas más seguras como el estándar canadiense RCMP TSSIT OPS-II, el
citado DoD 5220-22.M y el más seguro de los métodos actuales, el
Método Gutman. Este sencillo programa permite igualmente el borrado
tipo "PRNG Stream" y la versión rápida del mismo, "Fast PRNG",
conocido como "Mersenne Twister". DBAN es gratuito, opera merced a un
núcleo Linux integrado y permite borrar sistemas de archivos FAT,
VFAT, y NTFS para plataformas Windows, y ReiserFS, EXT, y UFS en
entornos derivados de UNIX. Esta pequeña herramienta fue incluida en
su día en el paquete de herramientas de seguridad de la Nuclear
Security Administration de los EEUU, y es una herramienta muy
frecuente en distribuciones forenses y de recuperación. Pese a que su
última actualización data de mediados de 2005, es una herramienta
fiable y recomendable.

DBAN se ofrece en sendas imágenes para disco flexible y CD/DVD. Basta
con grabar la imagen en el medio seleccionado y arrancar el ordenador
cuyo disco queremos borrar con DBAN en la unidad floppy o CD/DVD,
según corresponda.

Otros métodos de borrado interesantes y rápidos pueden ser la
ejecución en consola tipo UNIX del comando dd, para conversión y
copiado de ficheros, mediante la secuencia "dd if=/dev/urandom
of=/dev/hda". Este comando debe aplicarse algunas veces para
incrementar la seguridad del borrado, y su velocidad dependerá de la
calidad de los discos duros, siendo conveniente que, por motivos
obvios, la cache de escritura esté activada, así como el modo
UltraDMA. Los usuarios que no posean derivados UNIX pueden invocar
este comando desde un "livecd" (distribuciones que arrancan desde el
CD/DVD sin necesidad de instalación), como por ejemplo Knoppix o Slax
(versión live de Slackware). En el apartado más información hay un
enlace a una lista completa de distribuciones Linux de este tipo.

En Solaris, la utilidad format permite la escritura del disco con
varios patrones, lo que imposibilita la recuperación de datos
indeseada. Para sistemas de este tipo debe seleccionarse la opción
"purge", que se encuentra en la opción de análisis de superficie
dentro de la herramienta format.

Igualmente recomendable es disponer de herramientas de borrado seguro
no sólo de discos duros y medios completos, sino de ficheros. A tal
efecto, los usuarios Windows pueden, entre un abanico muy amplio de
soluciones, emplear la herramienta gratuita East-Tec Eraser, que
además borra trazas de actividad en la navegación, ficheros
temporales, espacio sin usar en los discos y una larga lista de
fuentes de revelación de datos potencialmente confidenciales y/o
sensibles. East-Tec Eraser es gratuito y ofrecido según GNU/GPL. Los
usuarios de derivados de UNIX pueden encontrar en repositorios como
Sourceforge o Freshmeat infinidad de herramientas de este tipo, o bien
optar por el empleo de scripts de eliminación de trazas generados por
ellos mismos.


Sergio Hernando
shernando@hispasec.com


Más información:

Darik´s Boot and Nuke
http://dban.sourceforge.net/

East-Tec Eraser
http://www.east-tec.com/

Secure Deletion of Data from Magnetic and Solid-State Memory
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Consejos de conservación del Ministerio de Administraciones Públicas
http://www.csi.map.es/csi/criterios/conservacion/

10 Best Security Live CD Distros (Pen-Test, Forensics & Recovery)
http://www.darknet.org.uk/2006/03/10-best-security-live-cd-distros-pen-test-
forensics-recovery/

FrozenTech's LiveCD List
http://www.frozentech.com/content/livecd.php

Olive BSD. Distribución "live" OpenBSD
http://g.paderni.free.fr/olivebsd/

Belenix. Distribución "live" OpenSolaris
http://www.genunix.org/distributions/belenix_site/belenix_home.html

Recuperación de fotografías con PhotoRec
http://www.cgsecurity.org/wiki/PhotoRec

jueves, 30 de marzo de 2006

Nueva actualización de seguridad del kernel 2.6 de Linux

Kernel.org ha publicado una actualización menor que solventa un
problema de seguridad.

Se ha encontrado un fallo en el kernel de Linux que puede ser
aprovechado por atacantes para potencialmente, revelar información
del sistema y eludir ciertas restricciones de seguridad.

El fallo se debe a un error en la función ip_push_pending_frames a la
hora de crear un paquete de respuesta a una petición SYN/ACK. Esto
provoca que los paquetes RST se envíen con un valor de ID incrementado
por paquete, lo que puede llevar a realizar ataques de escaneo.

Se recomienda actualizar a la versión 2.6.16.1 desde
http://www.kernel.org/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux 2.6.16.1
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.16.1

miércoles, 29 de marzo de 2006

La parte no oficial de Microsoft

Son días agitados para el navegador de Microsoft, Internet Explorer. A
día de hoy, existen dos vulnerabilidades importantes sin parche oficial,
una de ellas incluso está siendo aprovechada masivamente. Diferentes
compañías sacan parches no oficiales y además, la propia Microsoft
crea una página oficial donde aceptará sugerencias de usuarios y
desarrolladores.

Hace apenas unos días se hizo pública la existencia de una nueva
vulnerabilidad crítica en Internet Explorer 5.x y 6.x. A las pocas horas
de darse a conocer apareció la primera prueba de concepto funcional y
poco después, como se esperaba, ya existían páginas aprovechando la
vulnerabilidad. Poco después se daba a conocer otro error igual de
importante en Internet Explorer. Este ha sido llevado de forma mucho más
discreta por su descubridor y la propia Microsoft, de forma que no se
conocen demasiados detalles sobre el problema ni se tiene constancia de
que esté siendo aprovechado de forma masiva. El fallo se debe a un error
no especificado en el manejo de aplicaciones .HTA que permite la
ejecución automática de programas ".HTA" (HTML Applications).

El primero de los errores está reconocido y documentado por Microsoft,
pero no se sabe si publicará un parche antes de lo previsto para mitigar
el problema o habrá que esperar al día 11 de abril en el que se espera
su publicación mensual de boletines y parches de seguridad. Mientras,
Microsoft recomienda modificar la configuración del explorador para
evitar el Active Scripting.

Ante la urgencia y gravedad del problema, eEye y Determina, de forma
independiente y simultánea, han puesto a disposición de cualquiera
ejecutables que solucionan (siempre temporalmente y sin garantías) el
problema. eEye incluso pone a disposición de todos el código fuente del
parche. Como es lógico las empresas no ofrecen garantías sobre el parche
y debido a la celeridad con la que han aparecido no aseguran que no
pueda provocar incompatibilidades con alguna página o software.

Como ya ocurriera con la vulnerabilidad WMF, en la que desarrolladores
independientes crearon parches no oficiales y los hicieron públicos, en
esta ocasión son ya dos las compañías que ofrecen una solución cómoda
para mitigar el problema. Llama la atención que en pocos meses hayamos
asistido a la aparición de hasta cuatro parches no oficiales destinados
a mitigar dos problemas de seguridad acuciantes en el navegador de
Microsoft. El primer parche para WMF fue creado de forma independiente
por el reconocido Ilfak Guilfanov, desarrollador de uno de los
desensambladores más populares (IDA), que hizo el trabajo por su cuenta
y publicó un parche que se mostró muy eficaz y estable. Aunque ya
existieron parches no oficiales en el pasado para otras
vulnerabilidades, ninguno fue tan popular. El éxito inesperado y el
número de descargas hicieron que la página desde donde estaba disponible
fuese colapsada durante varias horas. A los pocos días Eset, empresa
detrás del antivirus NOD32, se apuntaba al carro y publicaba otro parche
no oficial para el problema.

Es posible que nos hallemos ante una nueva tendencia en la que compañías
y empresas de seguridad se adelantan a la propia Microsoft con la
intención de obtener reconocimiento, prestigio, visitas y popularidad.
Al margen de la eficacia de estos parches y de la libre decisión de
usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft
de forma indirecta para la publicación de un parche oficial y provocan
una importante presión mediática en la compañía, en cuya política de
publicación de seguridad prima la calidad (dedican mucho más tiempo a
pruebas que al desarrollo) antes que la velocidad de publicación. De
hecho, fue la presión mediática la que hizo que no se esperara al
segundo martes de febrero para publicar el parche oficial para la
vulnerabilidad WMF.

Por otro lado y al margen (o quizás no) de esta publicación no oficial
de parches, Microsoft saca a la luz un portal desde donde acepta todo
tipo de feedback o sugerencias (sobre seguridad o no) dedicadas a
Internet Explorer. Al Billings, en el blog oficial que lo anuncia, lo
compara con Bugzilla. Una idea con la que se pretende estimular la
cooperación de la comunidad con el producto de Microsoft de una forma
mucho más cómoda y centralizada. Es evidente que si la comunidad pública
y privada es capaz de desarrollar parches eficaces, puede aportar mucho
al navegador, y parece que de esta forma Microsoft, acertadamente, ha
reconocido la importancia de su colaboración activa.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Downloading eEye’s Temporary Workaround
http://www.eeye.com/html/research/alerts/AL20060324.html

How to Disable Active Content in Internet Explorer
http://support.microsoft.com/kb/q154036/

Determina Fix for CVE-2006-1359
http://www.determina.com/security_center/security_advisories/securityadvisory_march272006_1.asp

Announcing Internet Explorer Feedback
http://blogs.msdn.com/ie/archive/2006/03/24/560095.aspx

Big hole unearthed in IE6
http://jeffrey.vanderstad.net/grasshopper/

martes, 28 de marzo de 2006

Troyanos bancarios: nuevos enfoques contra sistemas de seguridad

Que el asunto de los troyanos orientados al fraude bancario se está
poniendo muy serio es algo que podemos comprobar en Hispasec día a día
en nuestro servicio VirusTotal. Son literalmente cientos los que son
analizados en el servicio cada día, y esta legión no está formada sólo
por variantes de las familias ya clásicas (Bifrose, Goldun, Zagaban,
Psyme, etc.) sino también por nuevos ejemplares que se suman a
las filas de esta amenaza creciente.

Los códigos TAN (Transaction Authentication Number, Número de
Autenticación de Transacción para los hispanoparlantes) son utilizados
por algunas entidades bancarias como una forma para reforzar la
seguridad a la hora de realizar operaciones desde las cuentas online.
Básicamente se trata de claves de un solo uso que el usuario puede
recibir de su entidad bancaria por ejemplo vía SMS (una vez por código)
o por correo ordinario (una lista para varios usos). Teóricamente, este
mecanismo de 'doble autenticación' ofrece una protección mayor que el
uso de una clave de autenticación inicial con el banco más el uso típico
de una secundaria para realizar operaciones.

Sin embargo, y como es natural, los desarrolladores de malware van
modificando sus criaturas para adaptarse a nuevos retos. Otro
representante de las anteriormente nombradas familias clásicas de
troyanos, con denominación Kaspersky Trojan-Spy.Win32.Goldun.im, ha
optado por añadir a sus múltiples capacidades (entre las que se
encuentra funcionalidad rootkit para ocultarse convenientemente en el
sistema) la captura de estos códigos de transacción para poder realizar
sus actividades fraudulentas.

Este ejemplar utiliza un sistema sencillo man-in-the-middle, pero que si
es convenientemente explotado, puede ser sumamente eficiente:
interceptando la comunicación HTTPS con las entidades afectadas (en este
caso dos bancos alemanes: Postbank y Deutsche Bank), captura el TAN que
envía el usuario y seguidamente muestra un mensaje de error a la
víctima. Mientras ésta se pregunta que demonios ha pasado, llega para el
atacante el momento de hacer rápido uso de dicho TAN para poder acceder
a la cuenta de la víctima, dado el periodo de vida limitado que tiene
dicho código de transacciones.

Visto de forma global, en realidad este ejemplar de malware no
constituye ninguna novedad técnica, pero pone de nuevo en evidencia que
ningún sistema de protección es infalible a lo largo del tiempo contra
la cada vez más agresiva acción de este tipo de amenazas.

Como de costumbre, ante este tipo de actividades lo recomendable es
seguir al menos unas cuantas directrices técnicas, como mantener
convenientemente parcheado el sistema operativo, usar un buen antivirus
y un igualmente competente firewall personal. Sin embargo, lo más
importante es aplicar el sentido común, sobre todo en lo referente
a los hábitos de navegación y al tratar con el correo electrónico.


Julio Canto
jcanto@hispasec.com


Más información:

Trojan intercepts bank tokens
http://www.theregister.co.uk/2006/03/24/trojan_captures_token/

New Bank Trojans
http://www.viruslist.com/en/weblog?weblogid=182627508

lunes, 27 de marzo de 2006

Harrison Ford protagoniza "Firewall"

La última película de Harrison Ford, "Firewall", estrenada
este fin de semana, utiliza la seguridad informática como
argumento.

Los protagonistas de la película son, por un lado Jack
Stanfield (Harrison Ford), responsable de seguridad y quien ha
diseñado los sistemas de un banco de Seattle. En el otro lado
tenemos a Bill Cox (Paul Bettany) que pretende robar en el
banco sin dejar pistas.

No queremos entrar aquí a explicar el argumento de la
película, así que nos centraremos en analizar como aparecen
reflejados los conceptos de seguridad informática.

Dejando de banda las fantasías propias de cualquier thriller
cinematográfico, esta película muestra de forma realista por
un lado el tipo de decisiones a las que habitualmente debe
enfrentarse un profesional de la seguridad informática,
actuando en todo momento con la cabeza fría y analizando los
diversos indicios para conseguir una visión de conjunto del
problema. En todo momento, ante los problemas que surgen trata
de identificar medidas alternativas y en aquellos momentos que
debe escoger, trata de identificar el principal problema y se
olvida del secundario.

Desde el punto de vista tecnológico, en una de las primeras
escenas vemos a Jack Stanfiled y uno de los empleados del
banco analizando un ataque remoto que está recibiendo el
banco. Para solucionarlo, escriben una ACL en un router
indicando que con ello se consigue lentificar el tráfico del
atacante. Si bien este método puede llegar a ser efectivo,
ningún analista de seguridad lo utilizaría: no tiene sentido
delegar las decisiones de seguridad en la infraestructura de
comunicaciones, con los posibles efectos que esto puede tener
sobre otro tipo de tráfico, cuando se dispone de otros
sistemas específicos de seguridad que nos dan más control.

Otro punto poco creíble es la utilización de una contraseña
ridícula (el nombre del barco) en el sistema de seguridad del
domicilio particular así como la extrema facilidad con la que
se compromete la identidad de Jack Stanfield al inicio de la
película.

No obstante, todas las pantallas de ordenador que aparecen en
la película son autenticas representaciones de sistemas Unix,
Cisco y Windows. Hasta los mensajes de correo utilizan
programas estándar, lejos de la parafernalia y efectos
especiales que tan habitualmente vemos. En la película
predomina el software de Microsoft (Windows XP en las
estaciones de trabajo), MSN Search para las búsquedas en
Internet, Microsoft Operations Manager para ver el estado de
la red. En los servidores, se utiliza exclusivamente sistemas
Unix.

En conjunto es una película aceptable. Es la típica historia
de thriller con final conocido antes de empezar la acción.
Pero desde un punto de vista informático, es bastante más
creíble y realista que la mayoría de películas de temático o
contenido informático que he visto en los últimos años. Se
trata, en definitiva, de una película que sirve para pasar el
rato.


Xavier Caballé
xavi@hispasec.com


Más información:

Firewall
http://www.imdb.com/title/tt0408345/
http://www.firewall-es.com/

Thriller de la película
http://wwws.warnerbros.es/firewall/trailer.html?
id=trailer&type=windows&speed=500000

Firewall o la heroicidad de los directores de sistemas
http://blog.pc-actual.com/blogpca/2006/03/firewall_o_la_h_1.html

La última de Harrison Ford va de seguridad informática
http://barrapunto.com/article.pl?sid=06/03/24/089234

Pel·lícula "Firewall": comentari
http://www.quands.cat/2006/03/26.html#a6937

domingo, 26 de marzo de 2006

Múltiples vulnerabilidades en RealPlayer y RealOne

RealNetworks ha anunciado la existencia de un total de cuatro
vulnerabilidades en sus productos RealPlayer 10.x, 8.x y RealOne
1.x y 2.x y que podrían provocar que un intruso ejecutara códigos
arbitrarios o malintencionados en un equipo ajeno.

Una vulnerabilidad permitiría a un atacante ejecutar un programa que
previamente ha sido situado en la misma ruta que RealPlayer a través
de otro ataque distinto.

La segunda vulnerabilidad se debe a ficheros swf que podrían provocar
un desbordamiento de memoria en la máquina que lo ejecutase.

El tercero de los problemas está relacionada con el hecho de alojar una
página web especialmente manipulada en un servidor atacante que podría
provocar un desbordamiento de heap en el reproductor incrustado.

Por último, la cuarta vulnerabilidad se debe a un fichero mbc que podría
provocar un desbordamiento de memoria en la víctima.

Algunos o todos los fallos se dan en múltiples plataformas y versiones.
Se recomienda actualizar el producto a través de los canales habituales
o consultar la página de alerta de RealNetworks donde se informa de la
disponibilidad de cada actualización para las diferentes versiones y
plataformas afectadas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables
http://www.service.real.com/realplayer/security/03162006_player/es-xm/

sábado, 25 de marzo de 2006

Sitios webs explotan vulnerabilidad crítica de Internet Explorer

Detectados los primeros sitios webs que aprovechan una vulnerabilidad
crítica en Internet Explorer para instalar malware. Microsoft, que ya
está trabajando en el parche, ha publicado un aviso de seguridad para
informar del problema y proponer medidas de mitigación a la espera de
disponer de la pertinente actualización.

Hace apenas unos días se hizo pública la existencia de una nueva
vulnerabilidad crítica en Internet Explorer 5.x y 6.x con todos los
parches y Service Packs instalados. A las pocas horas de darse a
conocer, en principio sin dar todos los detalles de como podía ser
explotada, apareció la primera prueba de concepto funcional. En
estos momentos, como se preveía, ya existen páginas webs que están
aprovechando la vulnerabilidad para infectar de forma automática,
con tan sólo visitar una página, a los usuarios de Internet Explorer.

Tal y como describe Microsoft en su aviso de seguridad, la
vulnerabilidad tiene su origen es un error de Internet Explorer al
procesar el método createTextRange(). A efectos prácticos, un atacante
puede diseñar una web que explote la vulnerabilidad para ejecutar
código arbitrario con los mismos privilegios del usuario local que
visite la página.

Medidas que minimizan el potencial impacto son:

* No pinchar en enlaces, o visitar páginas, no confiables. Un atacante
podría crear una página web maliciosa e incitar a que la visitaran las
potenciales víctimas. Por ello propone extremar las precauciones en
los enlaces que provengan por e-mail, cuidado especial con el spam,
news, foros, chats, etc.

* Utilizar un usuario con privilegios restringidos. La vulnerabilidad
permite a un atacante ejecutar código arbitrario con los privilegios
del usuario local, por lo que la repercusión es mayor si el usuario
es administrador del sistema.

Adicionalmente Microsoft sugiere modificar la configuración de
Internet Explorer para mitigar la vulnerabilidad:

* Configurar Internet Explorer para que pregunte antes de ejecutar
Secuencias de comandos ActiveX, o desactivarlo, en las zonas de
Internet e Intranet local.

* Configurar las zonas de Internet e Intranet local de Internet
Explorer con el nivel de seguridad Alto.

Ambas configuraciones propuestas para mitigar la vulnerabilidad tienen
efectos secundarios importantes que limitan la navegación por webs
legítimas que hacen uso de las secuencias de comandos, ya que son
utilizadas de forma muy habitual.

Pese al esfuerzo de Microsoft por proporcionar este tipo de
información temprana, que es de agradecer, hemos de ser conscientes
de que la gran mayoría de usuarios de Internet Explorer, hablamos de
millones y millones, son y seguirán siendo vulnerables hasta la
publicación del parche de seguridad.

Es por ello que desde Hispasec, como ya ocurriera en el caso de la
vulnerabilidad WMF, creemos que estamos ante un caso crítico que
requiere de Microsoft la máxima celeridad en la publicación de la
pertinente actualización. Sin necesidad de que tengamos que esperar
al segundo martes de abril, según su política de distribución
periódica de parches, y antes de que el escenario empeore.

Mientras se espera el ansiado parche, desde Hispasec también hacemos
un llamamiento a las soluciones antivirus para que incorporen firmas
de detección de códigos que intenten la explotar la vulnerabilidad.
Por ejemplo, en el momento de redactar esta noticia, las siguientes
soluciones antivirus son capaces de identificar la prueba de concepto
publicada en la que se están basando los primeros ataques:

BitDefender detecta [Exploit.IECrashJS.G]
DrWeb detecta [Exploit.CVE1359]
eTrust-InoculateIT detecta [HTML/BlockBig!Exploit!Trojan]
Fortinet detecta [JS/CreateTextRange.A!exploit]
Kaspersky detecta [Exploit.JS.CVE-2006-1359.c]
McAfee detecta [JS/Exploit-BO.gen]
NOD32 detecta [JS/Exploit.CVE-2006-1359]
Norman detecta [JS/Exploit!CVE-2006-1359]
Symantec detecta [Hacktool.IE.Exploit]


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Advisory (917077)
Vulnerability in the way HTML Objects Handle Unexpected Method Calls Could Allow Remote
Code Execution
http://www.microsoft.com/technet/security/advisory/917077.mspx

viernes, 24 de marzo de 2006

Salto en la comprobación de secuencias numéricas IPSec en FreeBSD

El equipo de FreeBSD ha liberado un parche corrector que solventa un
problema de seguridad moderadamente crítico, y confirmado en las ramas
4.x, 5.x y 6.x de la distribución.

FreeBSD es un sistema operativo libre, multiplataforma y de núcleo
monolítico, derivado del 4.4BSD-Lite de Berkeley, orientado a su uso
como escritorio, si bien su arquitectura permite emplearlo como
servidor, bien sea doméstico, bien sea corporativo.

Es frecuente que para proteger el tráfico IP se disponga de mecanismos
de cifrado como IPsec. IPsec es un conjunto de protocolos que
proporcionan servicios de seguridad para datagramas IP. Dentro de
estos protocolos están el protocolo de autenticación de cabeceras AH
(Authentication Header), y un protocolo de encapsulado de las cargas
útiles denominado ESP (Encapsulating Security Payload), cada uno con
una función específica. AH se encarga de garantizar la integridad de
los paquetes IP, adjuntando una suma critpográfica calculada mediante
alguna función hash unidireccional reconocida y por otro lado, ESP
proporciona cifrado mediante llave privada a la carga útil IP. Bajo
estas condiciones, se pretende que AH proporcione autenticación e
integridad a los mensajes, pero sin aportar nada a la confidencialidad
de los mensajes, confidencialidad que sí queda cubierta por ESP. De
todos modos, se tiende a la unificación mediante Internet Key Exchange
(IKE) para poder así cumplir los requisitos mandatorios del protocolo
IPv6, puesto que en este protocolo es obligatoria la seguridad
mediante IPSec. En IPv4 no existe tal mandato.

En este contexto, IPsec proporciona un servicio "anti-replay" que una
vez activado previene que un atacante pueda ejecutar ataques replay o
de repetición. Este servicio revisa y verifica secuencias numéricas
para detectar los patrones de un ataque de este tipo. Los ataques
"replay" son un tipo de ataque en red en los cuales se replican o
retardan, con intenciones maliciosas, transmisiones de datos
legítimas. Esta interceptación requiere la captura de los datos y su
modificación, para ser después reemitidos por el agente malicioso,
generalmente para conformar un ataque de enmascaramiento, del tipo que
sea.

Un error de diseño en la implementación fast_ipsec(4) implica que en
el tránsito de paquetes, la secuencia numérica empleada en las
"Security Associations" inherentes a IPSec, no sean actualizadas, lo
que posibilita que los paquetes circulen sin las pertinentes
comprobaciones en las secuencias numéricas. En una situación óptima,
las "Security Associations" permiten establecer flujos
unidireccionales entre dos gateways, y son establecidas bajo demanda
empleando IKE.

Este error faculta a un atacante malicioso la interceptación de
paquetes IPSec y su posterior reproducción, ejecutando por tanto,
ataques replay o de repetición, tal y como se ha descrito.

La solución más apropiada es la aplicación de parches correctores:

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:11/ipsec.patch
(descarga)
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:11/ipsec.patch.asc
(verificación de integridad)

Para aplicarlos:

# cd /usr/src
# patch < /path/to/patch

El último paso es recompilar el kernel y reiniciar la máquina.
Recomendamos que para esta operación, los administradores FreeBSD
sigan las prescripciones citadas en
http://www.freebsd.org/handbook/kernelconfig.html.


Sergio Hernando
shernando@hispasec.com


Más información:

IPsec replay attack vulnerability
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:11.ipsec.asc

Ataques replay
http://en.wikipedia.org/wiki/Replay_attack

jueves, 23 de marzo de 2006

Importante actualización de seguridad de Sendmail

Se ha publicado una actualización de Sendmail, destinada a solucionar
un grave problema de seguridad presente en la práctica totalidad de
las versiones en uso.

Sendmail es el MTA (Mail Transfer Agent) más veterano y popular en
Internet, con una cuota de bastante más del 50% de los servidores de
correo.

Las versiones de sendmail 8 anteriores a la 8.13.6, que acaba de
publicarse, contienen un grave problema de seguridad que permite que
un atacante remoto ejecute código arbitrario con los privilegios del
servidor "sendmail", típicamente administrador o "root".

La vulnerabilidad radica en el uso inseguro de "setjmp()"/"longjmp()"
y señales en determinadas secciones del código, que permitirían a un
atacante remoto el ejecutar código arbitrario en el servidor. La
vulnerabilidad es muy grave, y aunque no constan ataques activos en este
momento, es de esperar que con la publicación de la actualización (y el
consiguiente conocimiento público del problema y la solución) y la
difusión que tiene "sendmail", pronto existan herramientas automáticas
de búsqueda de sistemas vulnerables.

Hispasec recomienda encarecidamente a los administradores de
instalaciones Sendmail que actualicen con la mayor urgencia a la versión
8.13.6. De no ser posible, se han publicado también parches para las
ramas 8.13 y 8.12 del producto.

Como siempre, recomendamos a nuestros lectores que verifiquen la
integridad y autenticidad de los programas que descarguen, sobre todo si
no se utiliza la fuente original. En caso de no ser posible, las huellas
digitales (hashes) MD5 de los ficheros son:

51a1dc709664cb886785c340dc87faed sendmail.8.13.6.tar.Z
89788590cb07beaa7383a24249d3e1f2 sendmail.8.13.6.tar.Z.sig
484cca51f74b5e562b3cf119ceb2f900 sendmail.8.13.6.tar.gz
40f60410cf246d04c2a7265ee608e1e8 sendmail.8.13.6.tar.gz.sig

Asimismo, Hispasec recomienda utilizar las características de seguridad
Sendmail incluidas en las versiones más recientes, especialmente la
directiva "RunAsUser". De esta forma se limita el impacto de esta
vulnerabilidad y posibles defectos futuros.

La mayoría de los fabricantes (por ejemplo, Sun, Suse, IBM...) no han
publicado aún actualizaciones para sus productos, pero es previsible que
lo hagan en un plazo razonable. Contacten con sus fabricantes para más
información.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Sendmail - 8.13
http://www.sendmail.org/8.13.6.html

Sendmail MTA Security Vulnerability
http://www.sendmail.com/company/advisory/index.shtml

Sendmail Race Condition Vulnerability
http://www.us-cert.gov/cas/techalerts/TA06-081A.html

Vulnerability Note VU#834865: Sendmail contains a race condition
http://www.kb.cert.org/vuls/id/834865

CVE-2006-0058
Signal handler race condition in Sendmail 8.13.x before 8.13.6 allows
remote attackers to execute arbitrary code by triggering timeouts in a
way that causes the setjmp and longjmp function calls to be interrupted
and modify unexpected memory locations.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0058

Sendmail Remote Signal Handling Vulnerability
http://xforce.iss.net/xforce/alerts/id/216

Security Advisory Critical: sendmail security update
http://rhn.redhat.com/errata/RHSA-2006-0264.html

Security Advisory Critical: sendmail security update
http://rhn.redhat.com/errata/RHSA-2006-0265.html

Sendmail
http://www.sendmail.org/

miércoles, 22 de marzo de 2006

Actualización de la rama 2.6 del kernel de Linux

Se ha publicado una nueva actualización de la rama 2.6 del kernel
de Linux que corrige dos potenciales problemas de seguridad.

Un desbordamiento de enteros en la función do_replace de Netfilter.
Esto puede ser aprovechado para provocar un desbordamiento de búfer
y permitir que se seobreescriba memoria del núcleo.

No se reserva suficiente memoria en drivers/usb/gadget/rndis.c a la
hora de manejar la respuesta NDIS a OID_GEN_SUPPORTED_LIST. Esto
puede causar la corrupción de la memoria del núcleo.

Ambos problemas tienen un potencial impacto desconocido.

Se recomienda actualizar a la versión 2.6.16 descargable desde
www.kernel.org.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux 2.6.16
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.16

[NETFILTER]: Fix possible overflow in netfilters do_replace()
http://www.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=ee4bb818ae35f68d1f848eae0a7b150a38eb4168

[PATCH] USB: Gadget RNDIS fix alloc bug. (buffer overflow)
http://www.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=8763716bfe4d8a16bef28c9947cf9d799b1796a5

martes, 21 de marzo de 2006

La deficiente seguridad informática en el ejército norteamericano

De vez en cuando asistimos a noticias que, como mínimo, ponen los
pelos de punta: una auditoría en los sistemas informáticos
responsables de los radares, lanzamientos de misiles y centros de
mando tenían graves deficiencias en aspectos de seguridad.

El organismo responsable de la realización de auditorías en el
ejército de los Estados Unidos publicó a mediados del pasado mes de
febrero un informe, «Select Controls for the Information Security of
the Ground-based Midcourse Defense Communications Network», donde se
analizaban los sistemas informáticos responsables del control de la
defensa terrestre. Entre los elementos controlados se encuentran las
bases de lanzamientos de misiles tierra-aire y los centros de mando.

Esta auditoría ha desvelado unos datos realmente escandalosos. Si hoy
en día ya es grave detectar la ausencia de procedimientos o normativas
referentes a la seguridad informática en organizaciones de todo tipo,
detectar este tipo de incumplimiento en centros tan sensibles y donde
cualquier error o ataque puede llegar a tener resultados fatales
debería, sin duda, hacernos reflexionar.

La auditoría revela como algunas de las empresas subcontratadas por
el gobierno norteamericano, Boeing y MDA, que tenían responsabilidad
directa sobre las comunicaciones y los sistemas informáticos llevan
repetidamente saltándose las normas más básicas de seguridad.

Posiblemente la carencia más destacada es la utilización de
contraseñas compartidas que, además, se transmitían a través de
enlaces no cifrados ni protegidos. La interceptación de estas
contraseñas hubiera podido comprometer la seguridad global del
sistema. Adicionalmente la red no se encontraba monitorizada dado que,
según las empresas subcontratadas, la monitorización no era un
requisito en el contrato.

Los problemas no acaban aquí: no existía gestión de las cuentas de
usuarios llegando al extremo que cualquier administrador de sistemas
disponía de la capacidad de crear nuevas cuentas de usuario,
asignándole los permisos que se le antojaran... sin que quedara
constancia o se pudiera detectar la creación de estas cuentas.

Todas estas deficiencias se agravan aún más al conocer las dimensiones
de la red: más de 320.000 kilómetros de fibra óptica repartidos entre
30 estados y con miles de sistemas informáticos conectados. En una red
de esta magnitud, la falta de rigurosos procedimientos de seguridad
tiene como resultado que la seguridad sea totalmente inmanejable.

Poco después de traslucir la existencia de este informe, disponible en
la web del ejército de los Estados Unidos, fue retirado. No obstante,
es fácilmente localizable en la red (ver los enlaces de la sección
'Más información').


No es la primera vez

Hace un par de años, el secretario de defensa de los presidentes
Kennedy y Jonson reveló otro dato, que como el comentado
anteriormente, es igualmente escalofriante: durante años el famoso
código necesario para lanzar un ataque nuclear era... la simple
sucesión de ocho ceros. Este único código permaneció inalterado
durante los momentos más críticos de la guerra fría. Y así continuó
hasta 1997.


Xavier Caballé
xavi@hispasec.com



lunes, 20 de marzo de 2006

Ejecución remota de código en Veritas Backup Exec

Se ha anunciado una vulnerabilidad en Veritas Backup Exec para
servidores Windows: Media Server, que podrá ser empleada por un
usuario remoto para ejecutar código arbitrario en los sistemas
afectados.

El componente 'BENGINE.exe' contiene una vulnerabilidad de formato
de cadenas que puede provocarse si el registro o log de los trabajos
está configurado para almacenar todos los detalles ("full details"),
opción que no está por defecto.

Un usuario autorizado con un sistema configurado para realizar backups
puede alojar un archivo en su sistema con un nombre específicamente
creado. Cuando el servidor de backup intente realizar la copia de
seguridad del archivo, el proceso de backup en el Media Server podrá
caerse o incluso llegar a ejecutar código arbitrario.

Symantec ha publicado las actualizaciones necesarias para las versiones
9.1, 10.0 y 10.1, que se encuentran disponibles para descarga en:
http://support.veritas.com/docs/282254


Antonio Ropero
antonior@hispasec.com


Más información:

Veritas Backup Exec for Windows Servers: Media Server BENGINE Service
Job log Format String Overflow
http://securityresponse.symantec.com/avcenter/security/Content/2006.03.17b.html

domingo, 19 de marzo de 2006

Actualización para Mac OS X 10.4.x

Apple ha publicado una actualización de seguridad para corregir tres
vulnerabilidades identificadas en el sistema operativo Mac OS X. Un
atacante remoto podrá explotar los fallos para ejecutar comandos
arbitrarios o evitar restricciones de seguridad.

El primero de los problemas se debe a un error al cargar documentos
que contienen código Javascript especialmente creado. Esto puede
explotarse desde sitios web maliciosos para evitar las restricciones
de las políticas de seguridad y acceder a datos arbitrarios.

El segundo de los fallos radica en un desbordamiento de búfer en
Mail cuando se tratan adjuntos especialmente creados. Un atacante
remoto podrá explotar esta vulnerabilidad para ejecutar comandos
arbitrarios si convence al usuario para que efectúe double-click
en el adjunto malicioso.

El último de los problemas resueltos se debe a errores en la
validación de tipos de archivos en Safari y LaunchServices, lo que
podrá explotarse para ejecutar comandos arbitrarios, a través de
scripts shell maliciosos camuflados como un tipo de archivo seguro.

Se ven afectados las versiones Mac OS X 10.4.5 y anteriores y Mac OS X
Server 10.4.5 y anteriores. Las actualizaciones publicadas pueden
descargarse desde las siguietnes direcciones:

Security Update 2006-002 for Mac OS X 10.4.5 (PPC) :
http://www.apple.com/support/downloads/securityupdate2006002v11macosx1045ppc.html

Security Update 2006-002 for Mac OS X 10.4.5 Client (Intel) :
http://www.apple.com/support/downloads/securityupdate2006002v11macosx1045clientintel.html

Security Update 2006-002 for Mac OS X 10.3.9 Client :
http://www.apple.com/support/downloads/securityupdate20060021039client.html

Security Update 2006-002 for Mac OS X 10.3.9 Server :
http://www.apple.com/support/downloads/securityupdate20060021039server.html


Antonio Ropero
antonior@hispasec.com


Más información:

About Security Update 2006-002
http://docs.info.apple.com/article.html?artnum=303453

sábado, 18 de marzo de 2006

Ejecución remota de código en Macromedia Flash Player

Se han detectado algunas vulnerabilidades en Macromedia Flash Player
que pueden ser explotadas por usuarios maliciosos para comprometer
el sistema de una víctima.

Si bien la compañía no ha dado detalles acerca de las vulnerabilidades,
sí ha especificado que se deben a un problema en el tratamiento de
archivos SWF maliciosos, y que pueden ser explotadas para provocar
la ejecución remota de código arbitrario.

Se recomienda instalar versiones actualizadas de los productos
afectados:
* Flash Player 8.0.22.0 y anteriores: actualizar a 8.0.24.0 o
7.0.63.0.
http://www.macromedia.com/go/getflash
* Flash Player 8.0.22.0 y anteriores - distribución de red: actualizar
a 8.0.24.0 o 7.0.63.0.
http://www.macromedia.com/licensing/distribution
* Flash Professional 8, Flash Basic: actualizar a 8.0.24.0.
http://www.macromedia.com/support/flash/downloads.html
* Flash MX 2004: actualizar a 7.0.63.0.
http://www.macromedia.com/support/flash/downloads.html
* Flex 1.5: actualizar a 8.0.24.0.
http://www.macromedia.com/go/3d2855d6
* Breeze Meeting Add-In: actualizar a 7.0.55.331 (Windows) o
7.0.55.118 (Mac).
http://adobe.breezecentral.com/common/help/en/support/downloads.htm
* Shockwave Player: actualizar a 10.1.1.
http://www.macromedia.com/shockwave/download/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

APSB06-03 Flash Player Update to Address Security Vulnerabilities
http://www.macromedia.com/devnet/security/security_zone/apsb06-03.html

viernes, 17 de marzo de 2006

Vulnerabilidades de ejecución remota de código en Microsoft Office

Dentro del conjunto de boletines publicado por Microsoft el pasado
martes, la compañía anunció una actualización para diversas versiones
de su suite Office (2000, 2002, XP y 2003), destinadas a solventar
vulnerabilidades que pueden ser explotadas por usuarios remotos
maliciosos para ejecutar código arbitrario en la víctima de la máquina
con los permisos del usuario que esté usando los programas vulnerables.

Las vulnerabilidades descubiertas son las siguientes:
* Se ha descubierto una vulnerabilidad de ejecución remota de código
en Excel a la hora de usar rangos malformados. Un atacante podría
explotar la vulnerabilidad construyendo un archivo Excel malicioso
con el que provocaría la ejecución de código remoto.
* Una segunda vulnerabilidad de ejecución remota de código reside
en Excel a la hora de analizar el formato de archivos malformados.
Un atacante podría explotar la vulnerabilidad construyendo un archivo
Excel malicioso con el que provocaría la ejecución de código remoto.
* Un tercer problema de ejecución remota de código en excel se
presenta a la hora de tratar descripciones malformadas. Un atacante
podría explotar la vulnerabilidad construyendo un archivo Excel
malicioso con el que provocaría la ejecución de código remoto.
* Otra vulnerabilidad, también de ejecución remota de código en
Excel reside en el tratamiento de gráficos malformados. Un atacante
podría explotar la vulnerabilidad construyendo un archivo Excel
malicioso con el que provocaría la ejecución de código remoto.
* El uso de registros malformados en Excel también presenta una
vulnerabilidad de ejecución remota de código. Un atacante podría
explotar la vulnerabilidad construyendo un archivo Excel malicioso
con el que provocaría la ejecución de código remoto.
* Por último, una vulnerabilidad de ejecución remota de código al
crear un routing slip especialmente formado a tal efecto dentro de
un documento Office que provocaría la ejecución remota de código
arbitrario.

Se pueden actualizar las versiones afectadas mediante Office Update
o acceder a los parches correspondientes a través del correspondiente
boletin:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-012-IT.mspx


Laboratorio Hispasec


Más información:

Microsoft Security Bulletin MS06-012
Vulnerabilities in Microsoft Office Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/ms06-012.mspx

Boletín de seguridad de Microsoft MS06-012
Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-012-IT.mspx

jueves, 16 de marzo de 2006

Virus en RFID

Un grupo de investigadores europeos ha presentado, en una conferencia,
un análisis de seguridad. La conclusión es clara: hay graves deficiencias
y podría llegar a insertarse un virus que se transmitiría al leer el
chip RFID.

El término RFID (siglas de Radio Frequency IDentitifaction) se utiliza
para denominar un método para el acceso remoto a datos almacenados en
un dispositivo. El dispositivo se compone de un pequeño chip y una
antena. La particularidad de RFID radica en el hecho que cuando la
antena del dispositivo capta un campo de radiofrecuencia emitida por
el equipo lector, procede a la emisión de los datos almacenados. De
esta forma se puede proceder a la lectura de la información sin
necesidad de un contacto físico directo ni tampoco variar la posición
para encararse con el lector.

Los dispositivos RFID, por su pequeño tamaño y bajo coste, pueden ser
fácilmente añadidos a las etiquetas de productos. También se vienen
utilizando para el marcaje de animales y, últimamente, se han conocido
casos de personas que también se han realizado un implante subcutáneo
de uno de estos dispositivos.

Inicialmente el uso de RFID se ha centrado en el inventario y
catalogación de stocks. Así, por ejemplo, se puede realizar mantener
un inventario online del contenido de un almacén simplemente "leyendo"
las tarjetas de los productos entrantes, salientes y presentes. Otros
usos que se empiezan a ver son el cálculo del importe de una compra,
sin tener que pasar cada producto por un lector de códigos de barras.

Otros usos que se han sugerido son la posibilidad que una lavadora
adecue el programa de lavado después de identificar las características
de las diversas prendas que hay en su interior. Así se evitaría que la
ropa encogiera, se destiñera o lavarla con agua con una temperatura que
pudiera dañar el tejido.

En los últimos meses, además, hemos empezado a ver algunos usos de
RFID que pueden llegar a atentar contra la privacidad de las personas.
Los dispositivos RFID conservan los datos durante un prolongado
período de tiempo y la única forma de evitar el acceso a los datos
consiste en la destrucción física del dispositivo. Además, no hay
forma de conocer que se está realizando una lectura del contenido de
los datos y el alcance de los receptores puede llegar a varios metros.

Algunos países han incorporado recientemente en los pasaportes
dispositivos RFID que contienen datos personales del titular. Estos
datos pueden ser leídos por cualquier receptor RFID ya que, además,
no hay forma de impedir la lectura de determinada información.

Aconsejamos a los lectores de 'una-al-día' que deseen más información
sobre RFID la consulta del artículo existente en la Wikipedia, donde
encontrará información más completa y detallada acerca de RFID.


Inserción de virus en RFID

Tres investigadores holandeses han realizado un análisis de seguridad
de RFID, estudiando las posibles debilidades y vectores que pueden ser
utilizados para la realización de ataques, falsificación de los datos,
etc.

Los resultados de esta investigación acaban de ser presentados en un
congreso que se ha celebrado hace escasos días en Pisa, Italia. La
conferencia, titulada ilustrativamente "Is Your Cat infected with a
Computer Virus?" ha presentado las diversas debilidades identificadas.

Estas vulnerabilidades incluyen algunos tipos de ataques que podrían
considerarse como clásicos, como la inyección SQL, desbordamiento de
buffer y ataques XSS contra los sistemas de lectura.

Pero, sin duda, el elemento más novedoso es la posibilidad real de
inclusión de virus y gusanos que pueden ser transmitidos cuando se
recibe el señal de radiofrecuencia y, por tanto, llegar a infectar el
sistema que realiza la lectura.

Dada las características de RFID se trata de vulnerabilidades en
cierta medida difíciles de evitar. Cuando se emite la radiofrecuencia,
cualquier dispositivo RFID que esté en el rango de alcance responde
enviando los datos almacenados.

Por tanto, los sistemas de lectura han de ser especialmente cuidadosos
en el tratamiento de la información recogida realizando el mismo tipo
de análisis y verificación que debe realizarse sobre cualquier dato
leído. Es decir, no debe haber ninguna diferencia en el tratamiento de
los datos introducidos manualmente por un usuario y los datos leídos
vía RFID. En ambos casos deben aplicarse todos los controles para
garantizar que la información está en el formato que se espera, en la
forma que se espera y del tipo que se espera.


Xavier Caballé
xavi@hispasec.com


Más información:

Study Says Chips in ID Tags Are Vulnerables to Virases
http://www.nytimes.com/2006/03/15/technology/15tag.html?ei=5090&en=24f421ff24864376&ex=1300078800&partner=rssuserland&emc=rss&pagewanted=print

RFID Viruses and Worms
http://www.rfidvirus.org/index.html

RFID
http://es.wikipedia.org/wiki/RFID

miércoles, 15 de marzo de 2006

Nueva actualización crítica de GNUPG

Se publica una nueva actualización de seguridad de GNUPG, tras apenas
unas semanas desde la última revisión.

GnuPG es un software "Open Source" (GPL) y gratuito, que permite la
firma y cifrado de documentos mediante criptografía simétrica y
asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good
Privacy), y nació como respuesta a la introducción de las variantes
PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es
una herramienta fundamentalmente UNIX y línea de comando, existen
implementaciones también para plataformas Windows, y frontales
gráficos para un uso más simple.

La versión 1.4.2.2 soluciona una grave vulnerabilidad en la que un
documento firmado correctamente puede "extraerse" e insertar datos
arbitrarios al principio o al final del mismo.

Por ejemplo, se puede añadir texto malicioso a un mensaje de correo
electrónico firmado digitalmente. Dicho texto malicioso estará fuera
del bloque de texto firmado, que no ha sido alterado, con lo que la
firma se verificará como correcta. Pero al extraer el texto del mensaje,
se agregará también el texto malicioso, sin ningún tipo de separación
intermedia con el texto firmado real.

Hispasec recomienda a todos los usuarios de GNUPG que actualicen cuanto
antes a la versión 1.4.2.2. Esto incluye también a los usuarios que
empleen GnuPG de forma indirecta, normalmente sin su conocimiento, como
el caso descrito de los paquetes de software RPM, DEB o similares,
programas de correo electrónicos, etc.

Como siempre, recomendamos verificar la firma digital de la
actualización, especialmente si se descarga de un lugar no oficial. En
caso de no ser posible, las huellas digitales SHA1 de los ficheros son:

f5559ddb004e0638f6bd9efe2bac00134c5065ba gnupg-1.4.2.2.tar.bz2
959540c1c6158e09d668ceee055bf366dc26d0bd gnupg-1.4.2.2.tar.gz
880b3e937f232b1ca366bda37c4a959aacbd84f3 gnupg-1.4.2.1-1.4.2.2.diff.bz2
95dd7fd4c49423b86704acfc396ce5a53c8b19e7 gnupg-w32cli-1.4.2.2.exe


Jesús Cea Avión
jcea@hispasec.com


Más información:

The GNU Privacy Guard - GnuPG
http://www.gnupg.org/

[Announce] GnuPG does not detect injection of unsigned data
http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000216.html

Security Flaw Discovered in GPG
http://it.slashdot.org/article.pl?sid=06/03/09/233227

martes, 14 de marzo de 2006

Dos boletines de seguridad de Microsoft en marzo

Tal y como adelantamos la pasada semana, hoy como segundo martes de
mes, Microsoft ha publicado hoy dos nuevos boletines de seguridad.

Se han publicado los boletines MS06-011 y MS06-012:

* MS06-011: Se trata de una actualización de seguridad por un problema
de elevación de privilegios. Afecta a Microsoft Windows XP y Windows
Server 2003. Está calificado como "Importante".

* MS06-012: Destinado a solucionar un total de seis vulnerabilidades
diferentes en Microsoft Office (2000, 2002, XP y 2003) que pueden
ser explotadas por usuarios maliciosos remotos para ejecutar código
arbitrario en el sistema de la víctima. Según la calificación de
Microsoft tiene un nivel "crítico".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS06-011
Permissive Windows Services DACLs Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/Bulletin/ms06-011.mspx

Microsoft Security Bulletin MS06-012
Vulnerabilities in Microsoft Office Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/ms06-012.mspx

lunes, 13 de marzo de 2006

Grave problema de seguridad en Ubuntu 5.10

Tras varias horas en las que no estaba claro el alcance del problema,
incluso si existía o no dicho problema, el equipo de Ubuntu Linux ha
emitido un aviso de seguridad en el que se detallan las condiciones en
la que es posible la revelación de la clave de root en máquinas que
corran Ubuntu Linux 5.10. El problema puede ser considerado de extrema
gravedad.

Ubuntu es una distribución Linux basada en Debian, y patrocinada por
Canonical Ltda, iniciativa empresarial de Mark Shuttleworth,
empresario y fundador de la gestora de certificados Thawte. La
distribución nació originalmente para ser usada como escritorio, si
bien es perfectamente apta, con las debidas precauciones, para
vertebrar servidores.

La versión 5.10 de Ubuntu "The Breezy Badger" es susceptible de
revelar la clave de root, almacenada en texto plano. Con la simple
ejecución en consola de "grep -r rootpassword /var", aparecen
múltiples localizaciones donde es posible leer, en texto sin cifrar,
el log de la instalación de Ubuntu, donde aparece la clave escogida
para el root, además de otras cuestiones que son lanzadas al usuario
a la hora de instalar el producto. Los puntos donde aparece esta
información son, en esencia:

/var/log/installer/cdebconf/questions.dat:Value: mypasswd
/var/log/debian-installer/cdebconf/questions.dat:Value: mypasswd

Los paquetes afectados son base-config y passwd. Ubuntu se ha
apresurado a emitir el aviso y proporcionar parches para ambos,
2.67ubuntu20 (base-config) y 1:4.0.3-37ubuntu8 (passwd). Los paquetes
actualizados no sólo eliminan las claves en los logs, sino que
convierten los registros de instalación en únicamente legibles por
el root de la máquina. El problema permite que cualquier usuario
local pueda obtener la clave que se eligió en la instalación de
la distribución, que muchas veces no se cambia y que por tanto,
facultaría a un atacante a tomar control completo de los servicios
que pendan de la distribución.

El fallo es un error de diseño monumental, y tal y como se verifica
en este caso, los problemas de seguridad son a veces despistes
incomprensibles de los desarrolladores y probadores. Afortunadamente
para los usuarios del producto, la reacción ha sido muy rápida y los
parches se han puesto a disposición del público con gran celeridad.
Tirón de orejas por el despiste, y aplausos para el modelo de
respuesta ante incidentes desplegado.

El problema no afecta a otras versiones de Ubuntu como 4.10 y 5.04.
No obstante, los usuarios que hayan actualizado a la versión en
desarrollo, 6.04 "The Dapper Drake" desde una máquina 5.10 "The Breezy
Badger" deben asegurar la instalación de los parches. Especial cuidado
deben tener los usuarios que utilicen Ubuntu para servir, por motivos
obvios.

Para actualizar, debe bastar, en la mayoría de los casos, una
actualización vía "apt-get dist-upgrade". Otros métodos, como los
frontales de gestión de paquetes tipo "synaptic", son válidos
igualmente.


Sergio Hernando
shernando@hispasec.com


Más información:

Ubuntu 5.10 installer vulnerability
http://www.ubuntu.com/usn/usn-262-1

Aviso original en los foros de Ubuntu
http://www.ubuntuforums.org/showthread.php?t=143334

Ubuntu Linux
http://www.ubuntu.com

domingo, 12 de marzo de 2006

Denegación de servicio en el subsistema "pagedata" en Sun Solaris 10, 9 y 8

Sun ha anunciado la existencia de una vulnerabilidad en los sistemas
Solaris 8, 9 y 10 por la que un usuario local sin privilegios puede
provocar una denegación de servicio.

El fallo se debe a una vulnerabilidad relacionada con el subsistema
pagedata del sistema "/proc". El problema puede ser explotado por
Un usuario local no privilegiado para provocar una degradación en
el rendimiento del sistema, colgarlo o provocar un kernel panic.

Se recomienda aplicar los parches correspondientes:

SPARC:
Solaris 8:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=117350-33&method=h
Solaris 9:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118558-22&method=h
Solaris 10:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118822-29&method=h

x86:
Solaris 8:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=117351-33&method=h
Solaris 9:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118559-22&method=h
Solaris 10:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118844-29&method=h


Hispasec


Más información:

A Security Vulnerability Involving the "pagedata" Subsystem of the
Process File System (/proc(4)) May Cause the System to Hang or Panic
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102159-1

sábado, 11 de marzo de 2006

Teoría y práctica en la seguridad de las contraseñas

El departamento de psicología de la Universidad del Estado de Wichita ha
publicado un estudio sobre el uso de las contraseñas en Internet. En el
título ya queda claro una de las conclusiones que pueden desprenderse de
la encuesta: "La seguridad de las contraseñas: Lo que los usuarios saben
y lo que realmente hacen", dejando entrever que existe una discordancia
manifiesta entre lo que saben que puede resultar inseguro y lo que
realmente hacen. Sin duda, prima la comodidad frente a la eficiencia.

El estudio, conducido por Shannon Riley para "Usability News" en su
número de febrero, investiga las prácticas reales de generación y
mantenimiento de contraseñas de un grupo de 315 universitarios. Como era
de esperar, los resultados evidencian que en general, los usuarios no
modifican la complejidad de las contraseñas según el lugar para el que
sean usadas (protegen de igual forma su contraseña del banco que la de
su sala de chat preferida) ni tampoco las modifican cada cierto tiempo
además de usar palabras relacionadas personalmente con ellos. Nada
nuevo, excepto que, según responden en la misma encuesta, al menos
reconocen que su "política de contraseñas" está lejos de ser la ideal.
Entre la teoría la práctica se abre un largo trecho.

Los datos concretos sobre la encuesta (realizada a través de un test de
101 preguntas) no deja lugar a dudas. Los participantes (entre 18 y 58
años, con una media de 25 y todos usuarios habituales de Internet)
utilizan reglas simples para generar sus contraseñas. Un 35% usaban un
número predeterminado de caracteres en sus claves, con una media de 6.84
caracteres. Una contraseña puede considerarse "fuerte" a partir de los 8
caracteres de longitud.

El 75% afirmaba tener un conjunto predeterminado de contraseñas que usan
frecuentemente. De ellos, casi todos (98.3), tenían una media de 3
contraseñas para todas sus actividades en Internet. Casi el 60% afirma
no modificar la complejidad de sus claves al usar distintos servicios de
la red.

Los usuarios mantienen su contraseña durante una media de dos años y
siete meses. Esto en el caso de que las cambien, pues más de la mitad
(52%) nunca lo hacen. El 85.7 sólo utiliza letras minúsculas para sus
contraseñas, y el 56.5% lo combina con números. Además, el 55% confiesa
utilizar palabras cercanas a su entorno (nombres de hijos, mascotas,
nombres de calles, de ídolos...) y el 50% sólo números que sean
significativos para ellos (teléfonos, fechas de nacimiento...). El 54.6%
utiliza la misma contraseña para muchas cuentas y servicios distintos en
Internet.

Hasta aquí, nada que no sepamos ya: la mayoría de los usuarios utiliza
contraseñas débiles. Lo curioso llega en el apartado de las preguntas
destinadas a determinar si los usuarios, al menos, conocen cuáles serían
unas buenas prácticas de seguridad ante el uso de sus contraseñas. El
73% sabe que debería cambiarlas al menos una vez cada seis meses (pero
el 52% nunca lo hace). Aproximadamente la mitad sabe que debería
combinar caracteres distintos y especiales en sus claves, pero sólo el
4.8% lo hace. El 63.5% sabe que sus claves deberían poseer una longitud
superior a siete caracteres, pero sólo el 35% usa claves de este tipo.
Aproximadamente el 70% sabe que no se deberían utilizar contraseñas que
representen palabras o números que signifiquen algo para su dueño, pero
más de la mitad mantiene esta práctica.

Ante estos datos, cabe preguntarse dónde está el error. Siempre se habla
de la formación y educación de los usuarios en materia de seguridad y al
menos en este estudio sobre una población determinada, supuestamente
universitaria (aunque pertenecientes a una comunidad homogénea) parece
que a base de repetir consignas, los usuarios conocen la teoría sobre
seguridad de las contraseñas. El único problema es que no la ponen en
práctica, quizás por suponer un esfuerzo que no están dispuestos a
realizar. Recordar contraseñas complejas y distintas para muchos
servicios en la red se les antoja una tarea complicada que no merece la
pena. Probablemente piensen que no se corre tanto riesgo como para
necesitar una organización compleja de contraseñas, que nunca serán
objetivo de atacantes ni supondrá un problema mayor que alguien distinto
a ellos conozca su clave personal.

Teniendo en cuenta lo que las empresas y páginas en general invierten en
infraestructuras de seguridad, resulta irónico que sean los propios
interesados los que aporten el eslabón débil de la cadena. Es mucho más
sencillo deducir o adivinar una contraseña de un usuario que intentar
robarla por algún medio tecnológico medianamente sofisticado. Son los
propios usuarios los que usan llaves sencillas para proteger su
intimidad e intereses en lugares que intentan protegerla con medios
técnicos.

Lo interesante pues, consiste en ofrecer técnicas prácticas para
conseguir una buena política de seguridad con las contraseñas, en vez de
machacar la cansina teoría que ya conocen pero no utilizan. Por ejemplo,
hoy en día, cuando es barato y popular el uso de medios de
almacenamiento portátiles (tales como llaves USB o reproductores MP3) y
también se necesitan distintas contraseñas para todo, es cuando los
usuarios lo tienen más sencillo para plantearse el uso de programas de
almacenamiento y gestión segura de múltiples contraseñas (tales como el
excelente Password Safe). De esta forma podrían llevar con ellos siempre
un archivo cifrado con una contraseña fuerte (la única que deberían
recordar) que contenga el resto de claves. Así, como si de una pequeña
caja fuerte se tratase, podrían disponer a través de una llave maestra
de otras contraseñas seguras sin necesidad de recordarlas o apuntarlas
en ningún lugar.

Si el hecho de usar contraseñas débiles y repetidas es cuestión de
desidia y comodidad, estudiar y llevar a cabo alternativas prácticas muy
eficaces para protegernos puede resultar incluso más sencillo... sólo es
cuestión de conocer esas alternativas (no sólo la teoría) y querer
aplicarlas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Password Security: What Users Know and What They Actually Do
http://psychology.wichita.edu/surl/usabilitynews/81/Passwords.htm

Password Safe
http://passwordsafe.sourceforge.net

viernes, 10 de marzo de 2006

Microsoft publicará dos actualizaciones de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan "sólo" dos parches
de seguridad, uno destinado a su sistema operativo Windows y otro a su
suite ofimática Office.

Si en febrero fueron siete los boletines de seguridad, este mes se han
reducido a dos las actualizaciones que prevé publicar Microsoft el día
14 de marzo. Una ha sido calificada como de importante, y afecta a
Microsoft Windows. El otro parche está destinado a solventar una
vulnerabilidad crítica en Microsoft Office.

Es posible que el fallo que se corrige en el sistema operativo se
corresponda (por fin) con el que fue descubierto por eEye en octubre de
2005 y todavía no ha sido corregido por Microsoft. En la lista que
mantienen los prestigiosos investigadores, se muestran sin detalles
técnicos los agujeros de seguridad no solventados por los fabricantes,
aun habiéndoles sido notificados. En la lista, siempre según eEye,
encontramos una alerta de Microsoft, anunciada a la empresa, calificada
como de "severidad media" y no parcheada, con más de 150 días de
antigüedad.

No parece que los detalles de las vulnerabilidades para las que se
esperan los parches se hayan hecho públicos, pues los fallos no se están
aprovechando masivamente para infectar máquinas. Al menos, a gran escala
no parece estar ocurriendo. Esto no evita que la vulnerabilidad exista,
sea real y aprovechable aunque sea por un reducido número de personas
que han tenido acceso de cualquier forma a sus detalles técnicos. Jason
Miller en su artículo "The value of vulnerabilities" reflexiona sobre la
libre publicación de las vulnerabilidades y el valor que alcanzan cuando
todavía no son públicas. En este estado, para muchos, las
vulnerabilidades no existen, pues al no ser públicas parecen no suponer
una amenaza.

Muy al contrario, es en este momento cuando el valor potencial de una
vulnerabilidad se dispara, precisamente por mantenerse en secreto y no
existir solución ni conocimiento para, al menos, intentar evitarla.
Recordemos que por ejemplo, se rumorea que la infame vulnerabilidad WMF
fue descubierta mucho antes del día que se hizo pública. Se calcula que
llevaba semanas en manos de mafias que estaban especulando con ella, y
que el código que la explotaba fue vendido por 4.000 dólares.

Si el "full-disclosure" o revelación pública de toda la información
relativa a una vulnerabilidad puede beneficiar a la comunidad, la
ocultación y secretismo al respecto puede beneficiar (y de qué manera)
al descubridor que sabe ser discreto y negociar convenientemente con
la información que tiene entre manos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The value of vulnerabilities
http://www.securityfocus.com/columnists/391

jueves, 9 de marzo de 2006

Segundo mensaje de la máquina Enigma de cuatro rotores descifrado

La lucha por conocer el contenido de tres mensajes cifrados con una
máquina Enigma especialmente modificada para uso naval por militares
alemanes en la Segunda Guerra Mundial sigue sin tregua.

Recientemente, anunciamos en Hispasec Sistemas el descifrado del
primer mensaje, hito histórico logrado por equipo de investigación
denominado M4 Project. Este proyecto persigue el descifrado de un
conjunto de tres mensajes que llevan más de 60 años esperando ser
revelados. Estos mensajes fueron interceptados por los servicios de
inteligencia de los aliados en el Atlántico Norte en 1942, durante la
Segunda Guerra Mundial.

Los emisores de los mensajes no fueron otros que los militares de la
Alemania nazi, que en un intento de obtener comunicaciones cifradas
que no pudieran ser descifradas por los aliados, aprovecharon la
máquina Wehrmacht Enigma y desarrollaron una variante de cuatro
rotores y múltiples mecanismos de robustecimiento del cifrado, cifrado
robusto que ha impedido conocer el contenido de los mensajes hasta
transcurridos 64 años desde su captura.

La máquina Enigma es todo un referente histórico en el mundo de la
criptografía. Su importancia histórica es tan notoria que muchos
expertos no dudan en afirmar que la finalización de la guerra en buena
medida se adelantó uno o dos años al poder capturarse y descifrarse
muchos de los mensajes de la inteligencia alemana, cifrados con
máquinas Enigmas elementales. Esta captura de información militar
sensible permitió obtener referencias importantes al bando aliado,
además de representar como se ha dicho, un referente histórico en el
espionaje y contraespionaje militar.

Este segundo mensaje contiene información similar a la mostrada por el
primero. El primer mensaje descifrado perteneció a Hartwig Looks,
capitán del sumergible alemán U264. Este segundo mensaje es de Hermann
Schröder, al mando del navío U623. La traducción de los resultados del
descifrado es la siguiente:

"Señal de radio saliente 0246/21/203: Ningún hallazgo en la ruta del
convoy 55º. Me desplazo al cuadrante naval ordenado. Posición en
cuadrante naval AJ 3995. Viento sur-este fuerza 4, estado del mar 3,
nuboso 10/10, barómetro 1028 mb y subiendo, niebla, visibilidad de una
milla náutica. Schroeder."

El proyecto M4 se basa en computación distribuida en la que cualquiera
puede sumar sus esfuerzos instalando un software proporcionado por los
responsables del proyecto. Para tales efectos, existen versiones de
los clientes de cómputo para UNIX y Windows 98, 2000 y XP. Tal y como
comentamos en el anterior boletín, este sistema colaborativo recuerda
mucho al proyecto Seti@Home, de búsqueda de señales extraterrestres
mediante sistemas distribuidos en los que cualquiera puede aportar su
máquina y capacidad de cómputo.

Sólo queda un mensaje para resolver uno de los secretos más
celosamente guardados por la historia de la criptografía.


Sergio Hernando
shernando@hispasec.com


Más información:

Ruptura del cifrado Enigma de cuatro rotores
http://www.hispasec.com/unaaldia/2685

Second break of the M4 Project
http://www.bytereef.org/m4-project-second-break.html

M4 Project
http://www.bytereef.org/index.html

miércoles, 8 de marzo de 2006

Revelación de código fuente JSP en IBM Websphere Application Server

El "Gigante Azul" ha anunciado recientemente una vulnerabilidad en IBM
Websphere Application Server, que podría facilitar acceso a código
fuente JavaServer Pages, JSP, código que en condiciones normales sólo
debería ser ejecutable, pero nunca visible.

IBM Websphere es una plataforma bastante popular, orientada a la
prestación de servicios empresariales "on demand". Estos servicios
empresariales representan una corriente de gestión moderna con tasas
de implantación crecientes. Los sistemas "on demand" permiten obtener,
en condiciones de operación controlada, flexibilidad en la
infraestructura, integración cómoda de software y sistemas, mejores
tasas de productividad y una mejora en lo que las nuevas corrientes
denominan resiliencia de negocio, concepto que procede de la
ingeniería y ciencia de materiales y que hace referencia a la
capacidad de un material de absorber energía ante las deformaciones.
El término, aplicado a los negocios y concretamente, a la gestión de
la seguridad de la información, expresa la capacidad de adaptación
ante estímulos, amenazas y riesgos externos, de modo que la
continuidad del negocio quede mínimamente afectada.

Los orígenes de este producto se remontan a 1998, cuando se concibió
un primigenio motor de servlets que sería punto de partida para el
servidor de aplicaciones futuro. Websphere Application Server es un
producto multiplataforma, ya que es posible ejecutarlo con el respaldo
de múltiples servidores Web, como Apache HTTP Server, Microsoft
Internet Information Services, Netscape Enterprise Server, así como
los servidores propios de IBM: HTTP server para i5/OS, para
AIX/Linux/Solaris y Microsoft Windows, y para las series z/OS. Esta
flexibilidad operativa se debe al empleo de estándares consolidados,
como Java 2 Platform Enterprise Edition (J2EE), Web Services y XML.

El ramillete de versiones afectadas es muy numeroso. Según el boletín
de IBM, las versiones afectadas son 5.0.2.10, 5.0.2.11, 5.0.2.12,
5.0.2.13, 5.0.2.1, 5.0.2.15 y 5.0.2.16 en lo referente a la rama
5.0.x, así como las versiones 5.1.1.4, 5.1.1.5, 5.1.1.6, 5.1.1.7,
5.1.1.8 y 5.1.1.9 en lo relativo a la rama 5.1.x. Dependiendo de la
versión que se tenga en producción, será preceptivo parchear acorde
a lo recogido en los enlaces que aparecen en la sección "más
información"

Bajo ciertas condiciones, no reveladas por IBM, el código fuente JSP
podría ser mostrado en los navegadores que accedan al servidor de
aplicaciones, con el consiguiente riesgo de revelación de contenidos
sensibles y/o de los mecanismos de control y ejecución presentes en el
código, lo que podría ser aprovechado para obtener información
privilegiada, así como tratar de adulterar los controles de los
componentes cuyo código quedase al descubierto.

El fabricante ha dispuesto de un enlace, que aparece al pie de la
noticia, en la que se exponen, para cada caso, las pautas y
actuaciones recomendables, para cada caso de fallo diagnosticado. Los
usuarios afectados, en caso de duda, pueden recurrir al servicio
posventa de la compañía para obtener información adicional al
respecto.


Sergio Hernando
shernando@hispasec.com


Más información:

IBM Websphere
http://www-306.ibm.com/software/info1/websphere/index.jsp

Possible security exposure with JSP source code on IBM WebSphere
Application Server
http://www-1.ibm.com/support/docview.wss?uid=swg21231377

Listado de parches recomendado
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg27004980

martes, 7 de marzo de 2006

Actualización de seguridad de "mod_python"

Las versiones recientes no actualizadas de "mod_python" contienen una
vulnerabilidad que permite que un usuario local ejecute código
arbitrario con los privilegios del demonio "Apache".

"mod_python" es una librería Open Source para el servidor web Apache,
que permite integrar código python, tanto para la ejecución de lógica
de aplicación, como para la interceptación de los propios "handlers"
o puntos de control internos de Apache.

La versión 3.2.7 de "mod_python" incluye un módulo nuevo, "FileSession",
que contiene una vulnerabilidad que permite a cualquier usuario local la
ejecución de código arbitrario con los privilegios del proceso "Apache".

Es de destacar que dicho módulo es nuevo en la versión 3.2.7, y que no
está activado por defecto. Por lo tanto, si está utilizando una versión
distinta a "mod_python" 3.2.7 o la versión 3.2.7 con la configuración
por defecto, no será vulnerable.

En cualquier caso, Hispasec recomienda la actualización a la versión
3.2.8 de "mod_python", publicada hace unos días.


Jesús Cea Avión
jcea@hispasec.com


Más información:

2006-02-15
http://www.modpython.org/fs_sec_warn.html

MOD_PYTHON
http://www.modpython.org/

lunes, 6 de marzo de 2006

Phishing kits, ataques segmentados y negocios en auge

El phishing, como bien sabemos, es un negocio en continuo auge. Las
clave del éxito de este tipo de delito telemáticos está, como hemos
comentado en repetidas ocasiones en "una-al-día", en la rentabilidad
de los ataques.

Mientras sea posible generar ingresos mediante phishing, esta forma de
fraude estará presente. Actualmente, el phishing probablemente esté en
la cresta de la ola, con una presencia cada vez más notoria de estos
elementos de ataque en nuestro día a día. La incorporación de más
usuarios y proveedores a los canales electrónicos es un caldo de
cultivo donde se dan cita además, la continua aparición de
vulnerabilidades y malware que hacen que el phishing sea un negocio
fácilmente desplegable.

Otras claves para comprender el espectacular auge del problema,
redundando nuevamente en la rentabilidad, están en el empleo de
técnicas de análisis por parte de los ejecutores que pretenden que la
efectividad de los ataques sea mayor. Es lo que definimos como
phishing segmentado, técnicas que pretenden personalizar al máximo los
ataques escogiendo los segmentos poblacionales más propensos, a
priori, a caer en la trampa. Es frecuente hallar ataques orientados a
clientes específicos de entidad específicas, con perfiles demográficos
muy seleccionados y donde hay estudios previos al lanzamiento de los
ataques, con el fin de ajustar el modelo de fraude a las debilidades
del público objetivo. Con esto no sólo se consigue sigilo, al ser
mucho menores los impactos, sino que al ser impactos de más calidad,
se maximizan beneficios.

Adicionalmente, otra rama de actividad está en el comercio y
distribución de los kits de phishing, motivo principal de este pequeño
artículo. Datos recientes demuestran que las ventas de este tipo de
material están alcanzando cotas máximas, lo cual tiene su lógica: si
el phishing es rentable, ¿por qué no "franquiciar" el modelo? ¿por qué
no comprar un kit y explotar el filón?

¿Qué es un kit de phishing? Un kit de phishing es ni más ni menos que
un conjunto de herramientas y documentación para que una persona con
escasas nociones técnicas pueda montar un ataque phishing en cuestión
de minutos. Si pensamos en el mecanismo de un sistema de phishing
tradicional, los elementos que podría contener un kit serían las
plantillas de los correos fraudulentos a enviar, listados de correo
para los envíos y plantillas web para colgar en un servidor la página
de acceso falsificada. Los kits suelen facilitar no sólo espacio web
para colocar los formularios falsos, sino completas instrucciones para
modificar las plantillas y para recibir la información sustraída. En
algunos casos es habitual encontrar documentación técnica sobre cómo
blanquear el capital sustraído, y cómo reclutar mulas para que operen
con los datos capturados. No menos frecuente es que los kits incluyan
plantillas de spam específicas para reclutar a las mulas, ofreciendo a
cambio suculentos ingresos bajo la vitola de "trabaje en casa".

Y todo esto por precios módicos, que muchas veces no superan los 200
euros. Según estudios como los de Websense Security Labs, hay un kit
especialmente popular, llamado "Rock Phish Kit". Este kit se
caracteriza por tener plantillas para importantes sitios de banca y
comercio electrónico, como Alliance & Leicester, Barclays, Citibank,
Deutsche Bank, eBay y Halifax. Además, el kit proporciona servicios
"de valor añadido" a los atacantes. Es un claro ejemplo de que el
phishing se está enfocando muy claramente como una actividad
empresarial, indeseable y fraudulenta, pero con todos los ingredientes
de una actividad como otra cualquiera que pretenda maximizar cuotas de
mercado e ingresos. Esto es un claro indicativo de que el fraude
telemático es un problema de una escala muy importante, y que está
siendo conducido por personal cualificado, con conocimientos que van
mucho más allá que el técnico y con una clara vocación de generar
ingresos.

Los sitios dispuestos con "Rock Phish Kit" se caracterizan por el
empleo de direcciones IP y nombres de dominio fraudulento, por la
presencia de la secuencia /rock/ o /r/ en la URL y un código
alfanumérico que identifica a la entidad cuya identidad se suplanta.
Así pues, una URL del tipo http://www.rockphishtest.com/rock/a/
contendrá habitualmente un phishing contra Alliance & Leicester. La
secuencia /b/ es para Barclays, y así para todas las plantillas tipo.
El kit proporciona además scripts PHP para la captura de datos,
hospedaje en sitios asiáticos y código javascript para adulterar las
barras del navegador e impedir, por ejemplo, la posibilidad de copiar
y pegar mediante teclado. El comprador del kit, por tanto, tiene muy
fácil montar su propio ataque con una herramienta como la descrita.

El phishing es un problema muy grave. No sólo por los ataques
segmentados, no sólo por los negocios colaterales como los kits de
phishing, el empleo de mulas y las redes de blanqueo. El phishing está
especializándose y los ataques son cada vez más elaborados. Prueba de
la ejecución técnica refinada de un ataque es el caso de Mountain
America, una conocida entidad norteamericana. No menos interesante es
la prueba de concepto que habilitamos tiempo atrás en Hispasec
Sistemas, donde se conseguía, mediante Cross-Site Scripting, generar
un ataque phishing con la URL y el certificado legítimo de un banco.
Existen indicios notorios de colaboración en las redes de fraude que
van mucho más allá de la segregación de funciones: diversos estudios
apuntan a que, con la puesta en circulación de kits, no sólo se genera
ingreso por la venta, sino que además, hay grupos que dan soporte a
los atacantes primerizos, los cuales reciben nociones y apoyo a cambio
de la compartición de beneficios.

La investigación para frenar la actividad es frenética. Comprender las
técnicas y plantear mecanismos proactivos y reactivos ante este tipo
de amenazas es una carrera que parece no tener fin. Cuando se
controlan el grueso de las amenazas, aparecen variantes que hacen que
haya que replantearse todo el modelo. No sólo desde el punto de vista
que tenemos en Hispasec como empresa dedicada a la investigación del
fraude y el despliegue de servicios antifraude, sino desde todas las
ópticas: la jurídica, la policial, la que tienen las entidades que
sufren los ataques, la óptica del usuario, la de los grupos de lucha
contra el fraude, la de los proveedores de servicios, etc. Con la
desventaja de que la flexibilidad y la capacidad de adaptación a este
entorno turbulento de los grupos de crimen organizado es generalmente
superior a la del grueso de participantes del canal.

Y eso no es una buena noticia, por desgracia.


Sergio Hernando
shernando@hispasec.com


Más información:

Websense Security Labs. Increased deployment of Phishing Kits
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=433

Hispasec Sistemas. Prueba de concepto de ataque phishing mediante XSS
http://www.hispasec.com/unaaldia/2406

Hispasec Sistemas. Noticias relacionadas con el phishing
http://www.hispasec.com/busqueda?q=phishing

El caso Mountain America. Análisis de un ataque phishing casi
perfecto.
http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/

Wikipedia: Definición de phishing
http://es.wikipedia.org/wiki/Phishing

Anti-Phishing Working Group. Datos de Diciembre de 2005
http://www.antiphishing.org/reports/apwg_report_DEC2005_FINAL.pdf