miércoles, 31 de mayo de 2006

Windows Vista implementará ASLR (Address Space Layout Randomization) activado de serie

Microsoft ha incluido en la Beta 2 de Windows Vista una nueva
funcionalidad destinada a prevenir la ejecución de código no deseado
en el sistema a través de, habitualmente, desbordamientos de memoria
intermedia (buffer).

Con su Beta 2, Vista se sube al carro de otros sistemas como OpenBSD
y varias distribuciones Linux e implementa ASLR (Address Space Layout
Randomization) para Windows Vista. Además, lo activa por defecto.

Para comprender qué implica esto, se debe entender en qué suelen
consistir los ataques de desbordamiento de memoria intermedia y cómo
son aprovechados. Cuando ocurre un desbordamiento de memoria, el
espacio de direcciones de memoria del sistema operativo se corrompe
de alguna forma. Si un atacante, a través de cualquier vulnerabilidad,
es capaz de sobreescribir ciertos valores, puede tomar el control del
sistema y hacer que se ejecute cualquier parte de la memoria (con el
código que contenga).

Es habitual que los atacantes "se ayuden" de ciertas direcciones de
memoria conocidas para poder "saltar" en el espacio de memoria y
ejecutar su código inyectado. Estas direcciones coinciden habitualmente
con las librerías básicas del sistema operativo, que son siempre
cargadas en el mismo espacio de memoria. Así los exploits, programados
con una dirección concreta, funcionan siempre en las mismas versiones
de Windows, pues saben exactamente dónde ir para poder ser ejecutados
porque los procesos principales siempre se cargan en el mismo espacio.
Este procedimiento (presentado de una forma muy básica) es el que ha
permitido ataques como el de Sasser y derivados, SQL Slammer o el
más reciente ocurrido por el problema de Windows Meta File (WMF).

Esta facilidad para predecir las direcciones comunes es precisamente
el punto que ataca ASLR. Cada vez que se arranca el sistema el método
se ocupa de cargar las áreas críticas del sistema en espacios más
o menos aleatorios, de forma que no pueden ser predichas de forma
sencilla. Al menos, un atacante tendría que probar un número
significativo de valores (hasta 256) para poder acertar con la
dirección adecuada. Incluso así, este valor no sería el mismo en
cualquier otro sistema Windows Vista, por lo que un sistema
automatizado de ataque (por ejemplo un gusano) tendría que adivinar
en cada sistema atacado la dirección concreta. Sin duda, un freno
importante para los ataques automatizados que cada cierto tiempo
azotan la Red.

ASLR hubiese sido especialmente útil hace algunos años. Actualmente
los gusanos que aprovechan de forma automática desbordamientos de
memoria intermedia en el sistema y se replican de un sistema a otro,
no están entre las preferencias de los atacantes. Hoy en día los
esfuerzos están concentrados en sofisticadas técnicas de phishing,
ataques segmentados de ingeniería social, troyanos indetectables y
virus personalizados... lejos quedaron los días en los que los
creadores de malware deseaban hacer el mayor ruido posible.

ASLR no es ninguna nueva tecnología ni la solución definitiva contra
ataques automatizados. Es una defensa destinada a poner trabas a la
habitual ejecución solapada de código no deseado. Prácticas de usuario
como el trabajo diario bajo cuentas limitadas siguen siendo técnicas
de protección incluso más eficaces. Aun así ASLR resulta una novedad
bienvenida en sistemas Windows y, junto con otras funcionalidades que
se están añadiendo al nuevo sistema (entre otros, forzar privilegios
más bajos en el nuevo navegador), puede elevar considerablemente la
seguridad del próximo lanzamiento de Microsoft.

Poco a poco se va perfilando el carácter del incipiente Microsoft
Vista, volcado principalmente en funcionalidades destinadas a una
mayor vistosidad y seguridad. Aunque todo esfuerzo en este último
sentido es bienvenido, es necesario que el usuario final del sistema
o el propio administrador conozcan realmente qué funciones de seguridad
posee el sistema operativo, de qué le protegen y cómo configurarlas
adecuadamente. Sin estas premisas, todo intento es vano. Por ejemplo,
es importante destacar que ASLR intentará evitar la ejecución de
código no deseado de forma automática pero en ningún caso, por sí
solo, protegerá de la ejecución intencionada de archivos. Sólo el
sentido común y la prudencia pueden ayudar en este sentido.

En cualquier caso, esta funcionalidad no exime de la necesidad de
seguir actualizando y protegiendo los sistemas con el mayor de los
cuidados.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Address Space Layout Randomization in Windows Vista
http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx

martes, 30 de mayo de 2006

Los motores de búsqueda como medio de difusión de contenidos fraudulentos

Los motores de búsqueda son herramientas muy poderosas, y que usamos
con frecuencia no sólo para asuntos profesionales, sino para asuntos
personales de toda índole.

Los buscadores se emplean de un modo muy exhaustivo por todo tipo
de perfiles. La sencillez para usuarios noveles y la potencia para
usuarios avanzados hace que los motores de localización de información
sean, junto al correo y la mensajería instantánea, pilares fundamentales
de la actividad global en las redes de datos interconectadas.

Por desgracia, además de los usos lúdicos y profesionales, caben
otros usos. La popularidad de los servicios de búsqueda y de los
exploradores hace que los contenidos que arrojen las búsquedas
sean el caldo de cultivo ideal para insertar contenidos maliciosos.

El posicionamiento de servicios fraudulentos es una realidad palpable.
No solamente en posicionamiento orgánico, es decir, aquel que cada
motor proporciona como consecuencia de sus criterios de ordenación
naturales, sino sobre todo en los contenidos promocionados en programas
de pago, los llamados enlaces patrocinados. Muchos usuarios
malintencionados ven en la popularidad de las búsquedas una manera
cómoda y de muy bajo coste de difundir contenidos relacionados con
el fraude y el engaño. Tal y como se ha explicado antes, los más
atrevidos emplean esos sistemas de pago, conscientes de que su
retorno de la inversión complacerá a sus bolsillos holgadamente.
El fraude es un negocio, y por tanto, muchas veces requiere
inversión para su consumación efectiva.

En estas condiciones, con los motores de búsqueda repletos de
contenidos fraudulentos habitualmente mimetizados como legítimos,
se hace cada vez más difícil la navegación segura. Los atacantes
son perfectamente conscientes de ello, con lo que volvemos a tener
un caso de ataque masivo en el que se tiende a la segmentación con
el fin de maximizar los ingresos a causa del engaño.

En el posicionamiento de contenidos ilegítimos, segmentar es
extremadamente sencillo. Basta con recurrir a un centro de prensa
de cualquier motor de búsqueda, como por ejemplo Google Zeitgeist,
y observar mes a mes cuáles son las cadenas más populares que han
utilizado los usuarios para buscar información. Una vez conocidas,
perfectamente segmentables por países e idiomas, se trata de posicionar
para cada término de búsqueda los contenidos maliciosos. Así pues, por
ejemplo, en Abril de 2006 el término más buscado en España fue "rebelde
way", seguido de cerca por "sport", "el corte ingles", "el pais" y
"shakira". En otros emplazamientos hispanoparlantes es igualmente fácil
encontrar resultados similares. Así pues, por ejemplo, en México tenemos
la cadena "amor en custodia" como la más demandada por los internautas,
junto al término "ronaldinho".

Resultados similares pueden ser obtenidos por cualquier buscador de uso
masivo, bien sea Google, Yahoo!, MSN Search, AOL, y para prácticamente
cualquier país de origen. Yahoo! publica sus tendencias en Buzz,
mientras que por ejemplo, MSN las pone a disposición pública en Search
Insider. Cualquiera de estos servicios no sólo segmenta por idiomas y
países, sino que es frecuente ver tendencias clasificadas por segmentos
poblacionales, sectores y un sinfín más de clasificaciones.

Al hilo de este tipo de actividades, McAfee SiteAdvisor ha publicado
este mes de Mayo un exhaustivo informe en el que se documentan las
problemáticas de los contenidos maliciosos posicionados y por ende
accesibles desde los buscadores. Algunos datos reveladores son, por
ejemplo, que los enlaces patrocinados contienen del orden del 200 al
400% más sitios con contenido peligroso, por llamarlo de algún modo. En
el ranking, aparece MSN Search como el buscador que menos contenidos
fraudulentos tiene indexados, con una cantidad del 3.9%. En el otro
extremo, Ask.com se lleva la palma, con un 6,1%. Google se sitúa en
un 5,3%.

Algunas cadenas de búsqueda especialmente peligrosas, como "free
screensavers", "bearshare", "kazaa", "download music" y "free games"
pueden llegar a suponer, en algunos casos, hasta el 72% de las entradas
posicionadas. Hallar correlación entre las problemáticas habituales,
como phishing o spam, con las cadenas de búsqueda es muy frecuente.

Así pues, otro término muy buscado es "weight loss", top 1 en MSN
Insider, término con el que aparecen multitud de resultados con relación
directa a contenidos farmacéuticos ilegales. Los términos "free games"
o "free screensavers" y en general, los sitios que proveen de mecanismos
de adulteración como los cracks, guardan estrecha relación con sitios
web de los que penden troyanos, mientras que otros términos relacionados
con las finanzas, como "cheap loans" encierran muchas veces sitios
destinados al fraude por robo de identidad.

Se estima que mensualmente, sólo en EEUU, se producen 285 millones de
"clicks" hacia sitios peligrosos. A escala mundial, obviamente, los
resultados son mucho mayores y las cifras se tornan mareantes. Un plato
demasiado apetecible como para que, para nuestra desgracia, los grupos
de crimen organizado lo dejen escapar.

Ante todo esto, los usuarios deben emplear el sentido común y sospechar
de todo contenido promocional que en condiciones normales no se ofrezca
con condiciones extremadamente favorables. Las rebajas excesivas o la
gratuidad de elementos con un coste elevado son siempre señal de alarma.
Existen otros mecanismos de defensa ligados a los navegadores. Así pues,
McAfee Siteadvisor proporciona una extensión que coloca, en el momento
de ejecutar las búsquedas, al lado de los enlaces patrocinados una cruz
roja indicando peligro. Esta extensión sólo está disponible para Mozilla
Firefox. Aquellos usuarios que opten por otras soluciones de navegación
están invitados a emplear el sentido común y recelar de todo aquello que
les parezca sospechoso, o que les invite a la descarga de componentes no
certificados ni validados para acceder a cualquier tipo de servicio.


Sergio Hernando
shernando@hispasec.com


Más información:

The Safety of Internet Search Engines
http://www.siteadvisor.com/studies/search_safety_may2006.html#keywordsc

Timo para vender anti-spyware
http://blog.hispasec.com/laboratorio/39

Google Zeitgeist
http://www.google.com/press/zeitgeist.html

Yahoo! Buzz
http://buzz.yahoo.com/

MSN Search Insider
http://www.imagine-msn.com/insider/

How To Find the Top Searches On The Web
http://websearch.about.com/od/topsearches/a/find_top_search.htm

How Are We Searching the World Wide Web? A Comparison of Nine Search
Engine Tansaction Logs
http://ist.psu.edu/faculty_pages/jjansen/academic/pubs/jansen_searching_the_web.pdf

Extensión McAfee Siteadvisor
http://www.siteadvisor.com/download/ff.html

lunes, 29 de mayo de 2006

Revelación de información en Mozilla Firefox

Se ha encontrado una vulnerabilidad en Firefox que puede ser
aprovechada por atacantes para revelar información del sistema.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Firefox es
el navegador web del proyecto Mozilla, un producto cuya popularidad
y número de usuario crece cada día.

El problema se debe a que se incluye información sobre una ruta
determinada en excepciones que lanza el navegador, de forma que se
pueden conocer datos del sistema (ruta de instalación, o ruta del
perfil del usuario) al invocar ciertos comandos JavaScript con
parámetros inválidos.

El problema ha sido confirmado en la versión 1.5.0.3, aunque otras
podrían verse afectadas. Se recomienda deshabilitar el JavaScript.


laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Firefox 1.5.0.3 Flaw - Page can obtain path to Mozilla installation
or profile by examining JavaScript exceptions
http://www.securityfocus.com/archive/1/434696/30/30/threaded

Bugzilla Bug 267645
https://bugzilla.mozilla.org/show_bug.cgi?id=267645

PoC
https://bugzilla.mozilla.org/attachment.cgi?id=164547

domingo, 28 de mayo de 2006

Escalada de privilegios en IBM AIX

Se ha anunciado la existencia de una vulnerabilidad en IBM AIX, por
la que un usuario local podrá elevar sus privilegios en los sistemas
afectados.

Se ven afectadas las versiones AIX 5.1, 5.2 y 5.3. El problema reside
en un error en "lsmcode", que puede permitir a usuarios locales la
ejecución de código con privilegios de root.

IBM ha anunciado la próxima publicación de las siguientes
actualizaciones:
APAR IY85518 para AIX 5.1.0 (disponible aproximadamente 19/7/06)
APAR IY88524 para AIX 5.2.0 (disponible aproximadamente 23/8/06)
APAR IY85517 para AIX 5.3.0 (disponible aproximadamente 23/8/06)

En la próxima semana se publicarán parches temporales disponibles en:
ftp://aix.software.ibm.com/

Como contramedida se recomienda evitar la ejecución de lsmcode por
usuarios que no sean root, mediante el siguiente comando:
# chmod 500 /usr/sbin/lsmcode


Antonio Ropero
antonior@hispasec.com


Más información:

IBM AIX lsmcode Bug Lets Local Users Gain Root Privileges
http://www.securitytracker.com/alerts/2006/May/1016166.html

sábado, 27 de mayo de 2006

Actualización del kernel de Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización para su núcleo que corrige
múltiples vulnerabilidades.

Entre las vulnerabilidades corregidas se encuentran las siguientes:
* Denegación de servicio local a través de ipv6.
* Un fallo en el módulo atm permite a usuarios locales provocar una
denegación de servicio a través de ciertas llamadas a scokets.
* Un fallo en el cliente NFS permite a usuarios locales provocar una
denegación de servicio a tarvés de O_DIRECT.
* Un fallo en la implementación del keyring permite a un atacante
local provocar una denegación de servicio.
* Una vulnerabilidad de denegación de servicio remota por un error
en SCTP-netfilter.
* Un fallo en la memoria virtual permite a usuarios locales provocar
una denegación de servicio a través del comando lsof.
* Una vulnerabilidad de escalada de directorios en smbfs permite a
usuarios locales escapar de las restricciones chroot en un sistema
montado con SMB.

Se recomienda actualizar a través de las herramientas automáticas
up2date. Según versión y plataforma, las actualizaciones están
disponibles a través de Red Hat Network.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:


Important: kernel security update
http://rhn.redhat.com/errata/RHSA-2006-0493.html

viernes, 26 de mayo de 2006

Revelación de credenciales de usuario en Novell NetWare 6.5

Se ha encontrado un problema de seguridad en Novell Netware que
puede ser aprovechado por atacantes locales para obtener información
sensible.

El fallo reside en la función groupOperationsMethod en PORTAL.NLM
debido a que podría llegar a escribir las credenciales de usuario
en abend.log en texto claro.

El fallo afecta a NetWare 6.5. Se recomienda aplicar HTTP Stack Update
para NetWare 6.5 SP5 disponible desde:
http://support.novell.com/servlet/filedownload/sec/ftf/httpstk5.exe


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

HTTP Stack Update for NetWare 6.5 SP5
http://support.novell.com/cgi-bin/search/searchtid.cgi?2973698.htm

jueves, 25 de mayo de 2006

Elevación de privilegios en Cisco VPN Client para Windows

Cisco ha publicado una actualización para el cliente Cisco VPN
(Cisco VPN Client) para Windows debido a que se ve afectado por
una vulnerabilidad de escalada de privilegios local que permite
a un usuario obtener derechos de administrador.

Para poder aprovechar el problema un usuario necesita iniciar una
sesión interactiva en Windows. El fallo se encuentra en el interfaz
gráfico de usuario (GUI) de Cisco VPN Client para Windows también
conocido como VPN client dialer.

Las versiones afectadas son (excluyendo a usuarios de Windows 9x):
2.x
3.x
4.0.x
4.6.x
4.7.x excepto 4.7.00.0533
4.8.00.x

Cisco ha puesto a disposición de sus clientes el software necesario
para solucionar el problema. Los detalles están disponibles desde:
http://www.cisco.com/warp/public/707/cisco-sa-20060524-vpnclient.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Windows VPN Client Local Privilege Escalation
Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20060524-vpnclient.shtml

miércoles, 24 de mayo de 2006

Los diez errores más frecuentes en Sistemas de Protección de Datos de Carácter Personal y de Seguridad de la Información

Los sistemas de gestión, sean de la índole que sean, requieren un
cuidado estudio por parte de las organizaciones a la hora de ser
desplegados.

No importa el tamaño de la empresa, ni tampoco si son implementados en
una institución pública o una empresa privada: en todos los casos, el
diseño de estos sistemas debe seguir unos criterios que garanticen el
éxito de las implementaciones. Obviamente, hay factores estrechamente
ligados al sector de operación y al carácter institucional o privado
de una organización, si bien siempre existen unos criterios básicos
que se cumplen en todo tipo de diseños.

Esta base común nos ha llevado a condensar, a modo de white paper, los
errores más frecuentes a la hora de llevar a cabo implementaciones de
sistemas en las organizaciones. Hemos dividido el documento en dos
partes, cada una con cinco errores, que corresponden a los problemas
más usuales en sistemas de Protección de Datos de Carácter Personal
y a Seguridad de la Información respectivamente.

Errores y dificultades posibles a la hora de enfrentarnos
profesionalmente no sólo a las revisiones y auditorías de los mismos,
sino a su concepción, hay muchos. En este documento sólo incluimos diez,
con carácter general y cuyas soluciones que pueden ser perfectamente
aplicables a casi la totalidad de sistemas que consideremos.

La información procede de casos reales en los que Hispasec Sistemas ha
intervenido en labores de consultoría. El objetivo principal de este
documento es proporcionar una referencia básica a los gestores y
responsables a la hora de abordar conformidades a textos como la Ley
15/999 Orgánica de Protección de Datos Personales (LOPD), Ley 34/2002
de Servicios de la Sociedad de la Información y Comercio Electrónico
(LSSICE), y a los estándares internacionales ISO 17799:2005 e ISO
27001:2005.

De un modo paralelo, y es esta misma sintonía formativa, damos inicio
en Hispasec Sistemas a la celebración de jornadas de seguridad para
profesionales, instituciones públicas y empresas. Estas jornadas
pretenden ofrecer información directa a las personas implicadas en
la seguridad desde la óptica corporativa. Además de tratar temas como
los contenidos en este documento introductorio, se tratarán temas
estrechamente ligados a la gestión de la seguridad y a la aplicación
operativa de procedimientos de seguridad: continuidad del negocio,
recuperación ante desastres, gestión del riesgo, certificaciones CISA
y CISM, y cualquier otro tema que los interesados propongan. Tienen
toda la información disponible en:

http://www.hispasec.com/corporate/jornadas.html

Esperamos que este documento sea de utilidad para todos aquellos que
quieran hacer una revisión general sobre conceptos básicos en sistemas
de gestión con relación a la seguridad. Tan sólo es un esbozo que
contiene una selección mínima de las problemáticas habituales en este
campo, y que habitualmente se pasan por alto o son menoscabadas. Con
lo que invitamos a los responsables de sistemas de este tipo a que
los tengan en cuenta a la hora de comenzar o consolidar acciones
estratégicas relacionadas con los procedimientos de seguridad de
la información.

El documento puede descargarse gratuitamente desde
http://www.hispasec.com/corporate/papers/diez_errores_sistemas_gestion.pdf


Sergio Hernando
shernando@hispasec.com


Más información:

Los diez errores más frecuentes en Sistemas de Protección de Datos de
Carácter Personal y de Seguridad de la Información
http://www.hispasec.com/corporate/papers/diez_errores_sistemas_gestion.pdf

Jornadas para profesionales, empresas e instituciones públicas
http://www.hispasec.com/corporate/jornadas.html

martes, 23 de mayo de 2006

Detalles sobre la vulnerabilidad de Microsoft Word

A finales de la semana pasada se encontraba una vulnerabilidad en Microsoft Word que puede ser aprovechada por atacantes para comprometer el sistema. El fallo se debe a un error no especificado que puede derivar en la ejecución de código arbitrario. Debido a que el problema está siendo activamente aprovechado y no existe parche oficial, se ha convertido en un “0 day”, lo que supone un importante problema de seguridad.

La primera pista que se encontró sobre esta vulnerabilidad fue a través de un usuario de una compañía que detectó un dominio incorrecto en un correo que parecía completamente legítimo. Se hacía pasar por un email interno, incluso incluía firmas e iba dirigido expresamente a la víctima elegida. Por supuesto, tampoco era detectado por ningún antivirus. Al contrario que la mayoría del malware que conocemos, que suele ser genérico y lanzado indiscriminadamente contra cualquiera que posea un sistema desprotegido, esta era una amenaza directa a la compañía que lo estaba recibiendo, un ataque perpetrado especialmente contra ellos. Esto lo ha convertido en una amenaza solapada y oculta durante no se sabe cuánto tiempo.

Los correos en cuestión contienen un adjunto en formato Word (extensión .doc) que aprovecha una vulnerabilidad no conocida hasta ahora (funciona sobre un sistema totalmente parcheado hasta la fecha) para ejecutar código bajo los permisos del usuario que pretendiese conocer su contenido haciendo uso de Microsoft Office 2002 ó 2003. En ese momento el sistema descarga y ejecuta un troyano. A partir de aquí el troyano limpia sus huellas sobrescribiendo el documento Word original por uno no infectado. Tiene además una funcionalidad de rootkit, de forma que oculta al Explorer uno de los ficheros implicados en el exploit (winguis.dll). Según el propio descubridor, que envió sus muestras a Virustotal.com, ningún antivirus lo reconocía como tal en ese momento. Para el usuario, mientras se realiza todo el proceso de infección, Word deja de responder con un error y se ofrece la opción de reabrir el archivo. Si se acepta, el nuevo documento que no contiene ningún tipo de infección es abierto sin problemas.

Hasta ahora se han reconocido dos variantes clasificadas por las casas antivirus como GinWui.A y GinWui.B, pero todavía no se ha detectado una presencia masiva. Es cuestión de tiempo que ocurra, en cuanto los detalles técnicos se hagan públicos.

Según eEye, los asuntos de los correos que cargan con el archivo de Word adjunto son:

"Notice" y "RE Plan for final agreement"

Y el nombre de los archivos en sí:

"NO.060517.doc.doc" y "PLANNINGREPORT5-16-2006.doc"

El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word 2003 aunque otros componentes de Office podrían verse afectados. Ni Word Viewer 2003 ni Office 2000 son vulnerables al problema. El archivo no se ejecuta de forma automática, sino que es necesario que el usuario ejecute el archivo dañino (con una de las versiones de Office) para que se libere el código en su sistema. Si el usuario es administrador, GinWui tendrá total control sobre el ordenador.

Microsoft ha declarado que publicará un parche de seguridad, como máximo, el día 13 de junio. Mientras, recomienda utilizar Microsoft Word en modo seguro. Para ello, según Microsoft, es necesario deshabilitar la funcionalidad de Outlook para usar Word como editor de correo electrónico y ejecutar winword.exe siempre con el parámetro "/safe"

Este GinWui llama la atención por haberse descubierto de una forma poco habitual. Normalmente, tratándose de un “0 day”, se alerta de alguna vulnerabilidad que permite la ejecución de código y se hacen públicos los detalles para sacar partido de ella cuando todavía no existe parche oficial. A partir de ahí, en pocos días, aparecen virus y malware en general capaz de aprovecharla en su propio beneficio y que son lanzados de forma masiva para infectar al mayor número de sistemas posible. En ese momento las casas antivirus capturan su firma y se convierte en un virus fichado. Con GinWui, por el contrario, la vulnerabilidad se ha descubierto a través de un troyano que ya era capaz de aprovecharla siendo ésta previamente desconocida y, además, "gracias" a un ataque construido específicamente contra una compañía. Es a partir de ahora cuando el procedimiento se asemeja al "tradicional", esto es, los detalles se hacen públicos, los ataques se multiplican y casi todas las casas antivirus reconocen el troyano. La peligrosidad desciende aunque siga siendo alta.

Como advertía en un boletín anterior, el hecho de conocer algún mecanismo que permite tomar el control de un sistema y que no es detectado por nada ni por nadie hasta ese momento, tiene mayor valor en tanto en cuanto es conocido por un menor número de personas. En estos casos la amenaza resulta real y tremendamente peligrosa, y este ha sido uno de esos casos. Realmente nunca se sabrá durante cuánto tiempo esta vulnerabilidad ha sido conocida por unos pocos, que la han usado discretamente en su propio beneficio y el valor de lo que han podido llegar a obtener de los sistemas infectados.

Desde Hispasec se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Word Vulnerability
http://www.us-cert.gov/cas/techalerts/TA06-139A.html

Targeted attack: experience from the trenches
http://isc.sans.org/diary.php?storyid=1345

Exploits Circulating for Zero Day Flaw in Microsoft Word
http://www.eeye.com/html/resources/newsletters/alert/pub/AL20060523.html

lunes, 22 de mayo de 2006

Revelación remota de archivos en Skype para Windows

Se ha anunciado una vulnerabilidad en los clientes de Skype para
Windows, que puede ser empleada por usuarios maliciosos para evitar
restricciones de seguridad y obtener archivos de un sistema remoto.

Un atacante que construya una URL de Skype modificada específicamente
puede llegar a provocar el inicio de una transferencia de un archivo
a otro usuario de Skype. Para ello, basta con que el usuario atacado
acceda al enlace malicioso para que se inicie la transferencia sin
su consentimiento. Es necesario que el receptor del archivo haya
sido previamente autorizado por el usuario que envía el archivo

Skype confirma como vulnerables los clientes Windows con versiones
anteriores a la 2.0.*.104 (incluida) y las versiones 2.5.*.0 a la
2.5.*.78 (incluida). Se han publicado versiones actualizadas que
corrigen el problema:
Skype 2.5, versiones 2.5.*.79 o posteriores
Skype 2.0, versiones 2.0.*.105 o posteriores
Disponibles para descarga en:
http://www.skype.com/products/skype/windows/


Antonio Ropero
antonior@hispasec.com


Más información:

SKYPE-SB/2006-001: Improper handling of URI arguments
http://www.skype.com/security/skype-sb-2006-001.html

domingo, 21 de mayo de 2006

Ejecución de código arbitrario en Microsoft Word 2002 y Word 2003

Se ha encontrado una vulnerabilidad en Microsoft Word que puede ser
aprovechada por atacantes para comprometer el sistema.

El fallo se debe a un desbordamiento de búfer no detallado que puede
derivar en la ejecución de código arbitrario.

Es importante destacar que la vulnerabilidad está siendo activamente
aprovechada por atacantes a través, principalmente, de correos con
adjuntos y que en principio descarga otros componentes dañinos para
el sistema.

El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word
2003. Hay que señalar que otros documentos de Office (como Excel o
PowerPoint) pueden emplearse como vectores de ataque si incluyen
documentos Word embebidos.

No existe parche oficial, se recomienda no abrir archivos Office que
provengan de fuentes no confiables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Word Vulnerability
http://www.us-cert.gov/cas/techalerts/TA06-139A.html

Targeted attack: experience from the trenches (NEW)
http://isc.sans.org/diary.php?storyid=1345

sábado, 20 de mayo de 2006

Acceso no autorizado a Sun Java System Directory Server 5.2

Se ha identificado una vulnerabilidad en Sun Java System Directory
Server que puede ser aprovechada por atacantes remotos o locales para
comprometer un sistema vulnerable.

El fallo se debe a un error de diseño en el proceso de instalación
inicial, que no configura de forma correcta la contraseña
administrativa. Esto puede permitir a un usuario local o remoto
conseguir acceso de administrador a la consola de Directory Server.

El problema es dependiente de la versión empleada en la instalación
original de Directory Server. Si la primera instalación fue de una de
las versiones afectadas, los datos de usuario erróneos son grabados
en un archivo creado durante la instalación original. Posteriores
actualizaciones del producto a versiones no afectadas no corrigen
el problema.

Los productos afectados son:
Sun Java System Directory Server versión 5.2 (PatchZIP)
Sun Java System Directory Server versión 5.2 Patch2
Sun Java System Directory Server versión 5.2 Patch3
Sun Java System Directory Server versión 5.2 Patch4

No se ha publicado parche para el problema, según recomienda la
propia Sun basta con cambiar la contraseña administrativa a través
del panel de control o línea de comando:
% /bin/admin/adminconfig -server : -user
: -setAdminPwd


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Sun Java System Directory Server Related to Initial Installation Data
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102345-1&searchclause=

viernes, 19 de mayo de 2006

Escalada de privilegios en SAP R/3

Se ha reportado una vulnerabilidad en SAP que puede ser aprovechada
por atacantes locales para escalar privilegios.

El fallo se debe a un error no especificado en el comando sapdba
al manejar ciertas variables de entorno. Este problema puede ser
aprovechado por atacantes locales para ejecutar comandos
arbitrarios con los privilegios del usuario informix.

La vulnerabilidad ha sido verificada en las siguientes versiones
para HP-UX, Solaris, AIX, TRUE64, y plataformas linux:
* el comando sapdba para Informix versión anterior a la 700.
* el comando sapdba para Informix versión 700 hasta con el parche 100.

El fabricante ha publicado una actualización para la vulnerabilidad.
Se recomienda ver la nota 944585 de SAP para más detalles.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Local Privilege Escalation in SAP sapdba Command
http://www.cybsec.com/vuln/CYBSEC_Security_Pre-Advisory_Local_Privilege_Escalation_in_SAP_sapdba_Command.pdf

jueves, 18 de mayo de 2006

El spam sigue creciendo inmune a cualquier medida en su contra

Ipswitch ha anunciado los resultados de un análisis trimestral sobre el
correo basura. En febrero, marzo y abril de 2006, el 62% de los correos
recibidos fue basura, lo que supone un aumento de un 5% con respecto al
último trimestre de 2005. La tendencia sube, las estrategias fallan y
es probable que pronto la basura salpique más allá del buzón de correo
electrónico.

Según Ipswitch, que estudia además las distintas categorías según la
"temática" del correo, el rey indiscutible de la publicidad no deseada
es el sexo y la pornografía, con un 24% de los mensajes. Luego hipotecas
y préstamos, seguidos de cerca por los medicamentos y el software
pirata. Por último lotería y juegos.

La peor noticia es que el porcentaje de correo basura irá en aumento.
Sólo hay que echar la vista atrás para comprobar cómo ha sido así
durante los últimos años, y que ninguna medida ha resultado eficaz para
frenar la generación (para la recepción existen herramientas más o menos
eficaces) de basura.

En junio de 2003 se llegaba a la salomónica situación de un 50% de
correo inútil entre todo el tráfico circulante. Ryan Hamlin, jefe del
grupo anti-spam de Microsoft, declaraba por aquellas fechas que las
nuevas medidas legales que se estaban diseñando, provocarían un ligero
descenso de esta tendencia para finales de 2004 o comienzos de 2005.
Tres años más tarde sí que es cierto que se ha frenado la velocidad de
subida (más que nada por las cifras que se están alcanzando) pero la
tendencia sigue siendo al alza.

La situación era más preocupante hace algún tiempo. En Diciembre de 2002
se anunciaba ya que el 40% de los correos que circulaban por Internet
eran basura mientras 7 meses después se llegaba al 50%. Desde entonces,
al menos, sólo ha subido en un 12% más.

No se conoce bien en qué medida han influido en esta tendencia los
planes de Yahoo, AOL y Microsoft, tres de las mayores compañías
tecnológicas del mundo que junto con el gobierno del Reino Unido
anunciaron en 2003 una estrategia diseñada para combatir el spam tanto
de forma conjunta como por separado. Establecerían estándares técnicos
para combatir la amenaza e intentarían promover nuevas leyes que
perseguirían y castigarían de forma más severa a los infractores. Desde
entonces, excepto por algunos casos más o menos sonados, el envío de
correo basura sigue siendo algo poco perseguido. Las leyes dejan de ser
eficaces en el momento en el que enviar spam puede ser una actividad
descentralizada, llevada a cabo desde cualquier punto del planeta contra
cualquier país, delegada en millones de máquinas secuestradas y
encubiertas bajo direcciones falsas. Es realmente inabarcable.

Tampoco resultaron muy efectivas medidas técnicas agresivas como la que
anunció Lycos a finales de 2004. Después de semanas de críticas y una
sonada campaña publicitaria, Lycos Europa decidió suspender el polémico
programa anti-spam titulado "Make love not Spam". El programa consistía
en la descarga gratuita de un salvapantallas para usuarios de Windows o
Mac que cuando era activado enviaba peticiones inocuas a un servidor
conocido de distribución de correo basura. El efecto combinado de todos
los salvapantallas descargados provocaría una saturación de la máquina
por congestión de tráfico. La polémica idea, tan criticada como alabada,
pretendía alimentarse de bases de listas negras reputadas como Spamcop,
pero fue rechazada por suponer una verdadera guerra "sucia" contra la
basura. Además Lycos sufrió su propia medicina cuando un avispado
spammer redireccionó los ataques hacia la propia página de la campaña
makelovenotspam.com que estuvo inactiva durante horas. Lycos prometió la
vuelta del proyecto pero hoy por hoy, nunca más se supo.

Blue Frog, un invento de la empresa israelí de seguridad Blue Security,
también fracasa. Recientemente ha tirado la toalla en sus intentos de
acabar con el correo basura mediante el envío de spam de vuelta a los
emisores. Al parecer, al intentar atacar a los spammers, esta empresa
recibió una embestida muy superior debido a que los remitentes de correo
basura suelen contar con miles de ordenadores zombies que controlan en
masa. Ante las amenazas y el consumo salvaje de tráfico, el presidente
de la compañía Eran Reshef declaró que olvidar Blue Frog era la única
manera de evitar una ciberguerra a gran escala (y que muy probablemente
acabarían ganando los spammers).

No suele resultar buena idea emplear las mismas armas cuando se lucha
luchar contra spammers y creadores de malware en general, pues siempre
van un paso por delante. El spam, como la creación de virus, es desde
hace tiempo un sector profesionalizado. Además ofrece la ventaja de que
si bien una víctima no es estafado por los productos que se ofrecen, el
correo en sí puede ir acompañado de algún tipo de malware que
posiblemente reclute el sistema y sirva así para enviar a su vez más
basura. En el mejor de los casos, si el correo es interceptado o
ignorado, el spammer tampoco sale perdiendo y no tienen más que seguir
enviando más millones de mensajes a coste casi nulo (el proceso y ancho
de banda lo prestan los sistemas secuestrados) para que el mínimo
porcentaje de las personas que "pican", suponga en cifras absolutas una
cantidad suficiente.

Una herramienta tan útil y casi imprescindible hoy en día, se ve
empañada por una constante generación de basura que (igual que la
"industria" vírica) no para de crecer y profesionalizarse. Esta
tendencia al alza pone en peligro el uso del correo y supone un
verdadero problema para usuarios, sobre todo de habla inglesa, lengua
mayoritaria del correo basura. Y esto acaba de comenzar. La basura por
mensajería instantánea y (la más preocupante) por mensajes multimedia a
móviles está a la vuelta de la esquina. Esto sí que supondrá una
verdadera molestia para todos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Web giants to declare war on spam (Abril 2003)
http://www.enn.ie/news.html?code=9356281

Corporate in-boxes choke on spam (Junio 2002)
http://news.com.com/2100-1024_3-1012418.html

El 'spam' ya representa el 40% de todos los correos que se envían por
Internet (Diciembre 2002).
http://www.el-mundo.es/navegante/2002/12/03/esociedad/1038922016.html

Fracasa el intento Blue Security de luchar contra el 'spam' con más 'spam'
http://www.elmundo.es/navegante/2006/05/18/seguridad/1147947147.html

Lycos Europa suspende polémico programa de salvapantallas que lucha
contra el spam (Diciembre 2004)
http://www.mastermagazine.info/pc/2837.php

Ipswitch Says That Spam Has Sprung
http://www.hookthenet.com/pr/6735

miércoles, 17 de mayo de 2006

El spam financiero y su impacto en los mercados de valores

El correo basura se ha convertido, por desgracia, en algo inherente
al día a día cuando operamos con un ordenador conectado a Internet.

Al tratarse de una modalidad de ataque masivo, las medidas para el
control del correo basura se limitan prácticamente a seguir unas
buenas prácticas sobre tratamiento y revelación de nuestras direcciones
de correo y a tener contramedidas antispam en nuestras máquinas, que
filtren el grueso del correo no deseado. Muchas veces se trata, en
términos más coloquiales, de capear el temporal.

En numerosos foros especializados se debate constantemente sobre cuáles
son los efectos perniciosos del spam traducidos a impacto económico. Es
decir, el valor monetario que podemos imputar en concepto de coste o
pérdida al hecho de recibir basura en nuestra bandeja de entrada. No
es muy habitual encontrar datos consensuados sobre estas traducciones
a valores económicos, principalmente por la dificultad en conocer el
alcance real del problema del spam: obtener datos fiables sobre
cualquier modalidad de ataque es siempre complejo.

Mucho menos frecuente es hallar opiniones y trabajos de investigación
que analicen los impactos del spam en segmentos determinados. Si ya de
por sí es difícil para cualquier entidad financiera cuantificar los
ratios de spam emitido y el porcentaje de clientes engañados a
consecuencia de dicho spam, por ejemplo, en un ataque de phishing
convencional, mucho más difícil es cuantificar las tasas de éxito de
los intentos de fraude que reciben los usuarios finales. Véase el caso
de las cartas nigerianas, los servicios farmacéuticos ilegales y todo
ese amplio ramillete de actividades deshonestas que son explotadas por
unidades de crimen organizado para obtener, cómo no, suculentos ingresos
fáciles y rápidos. Dentro de ese amplio repertorio podemos colocar al
spam financiero, el cual es objeto de este análisis.

Cada vez es más frecuente que investigadores analicen con más rigor y
profundidad el fenómeno del spam, quizás en un esfuerzo de aproximarse a
datos reales que puedan ayudar a los afectados a concienciarse mucho más
sobre esta lacra, y tratar de tomar todas las medidas más aconsejables
al respecto. Un segmento especialmente castigado es el de los mercados
financieros, con ataques dirigidos a todo tipo de usuarios implicados,
desde los pequeños inversores a las grandes cuentas de gestión financiera.

El problema de los ataques segmentados es siempre el mismo, su calidad.
Enfocar un ataque a un grupo definido poblacional siempre es síntoma de
que muy probablemente, detrás haya un grupo organizado que ha lanzado
los ataques con vistas a impactar al máximo dicho segmento. Se ha
demostrado, y prueba de ello son los ataques de phishing segmentados a
los que en numerosas ocasiones nos hemos referido en "una-al-día", que
este tipo de ataques menos masivos son los que generalmente maximizan
los ingresos de los atacantes. Principalmente porque este tipo de
mensajes fraudulentos están conducidos por grupos que conocen el mercado
objetivo, que estudian el mercado objetivo y que aplican técnicas de
gestión empresarial legítima al fraude, así que, por tanto, saben dónde
golpear causando el máximo dolor.

Recientemente, los investigadores Rainer Böhme, de la Universidad de
Dresden, y Thorsten Holz, un analista de la Universidad de Mannheim,
han documentado un estudio sobre el impacto del spam financiero en los
mercados financieros. Este documento, aún en versión borrador, será
presentado en los talleres de la quinta conferencia sobre la economía
de la seguridad de la información, con el importante aliciente de que
se trata del primer estudio público en el que se analizan este tipo
de ataques.

El documento es muy extenso, 24 páginas, y arroja datos muy interesantes
para comprender el porqué del spam, y concretamente, sus efectos en
los mercados financieros. Así pues, revela datos concretos sobre
el coste por receptor para un emisor de spam y lo enfrenta a otros
métodos lícitos de prospección comercial. Comprender la razón del
spam es muy sencillo al comprobar que el coste por receptor es tan
sólo de 0.0005 dólares americanos. Es decir, impactar a 1000 usuarios
tan sólo cuesta medio dólar. El coste de producir esos 1000 impactos
mediante mailing directo sería de 1390 dólares (2780 veces más caro),
de 660 dólares si recurrimos al telemarketing (1320 veces más caro),
o de 35 dólares en caso de emplear publicidad online (70 veces más
caro). El spam existe, obviamente, porque es barato y efectivo.

El modelo de negocio del spam financiero orientado a mercados de valores
es muy simple en cuanto a su resultado final, si bien es tremendamente
complejo en la parcela analítica. Una vez analizado es fácil comprender
las medidas de segmentación que emplean los atacantes. Es frecuente que
estos correos se centren en ofrecer datos y consejos sobre inversiones
en mercados alta volatilidad, presentando en los mensajes información
difícil de obtener, como por ejemplo, cotizaciones, expectativas,
rentabilidades, etc. Obviamente, los datos ofrecidos suelen ser datos
reales, normalmente obtenidos de servicios gratuitos de trading como
Yahoo! Finance o Google Finance.

Al ofrecer datos reales se pretende que el inversor, ya sea novel o
experimentado, asuma como verdaderos los mensajes. Lo que junto a la
apariencia de un consejo profesional sin coste sobre inversión que
se va repitiendo cíclicamente, provoca que se genere confianza en
el receptor. Que pese a que en primera instancia puede desconfiar
de los contenidos del mensaje, observa como recibe información
periódica en la que sólo se le ofrece información, sin síntomas
aparentes de engaño, ya que no se le pide comprar nada, ni dejar
sus datos personales en ningún formulario, ni facilitar sus datos
bancarios.

Tras un número determinado de impactos es cuando se produce la
captación. Tras el ciclo informativo, se recibe un mensaje, redactado
con elegancia y pulcritud, en el que una empresa determinada se ofrece
para que con su ayuda, seamos nosotros uno de esos inversores exitosos
de esos mercados tan suculentos. Según estas presuntas empresas, no
hay nada que perder, las inversiones son pequeñas y el riesgo es
pequeño. Y cómo no, basta con dejar nuestros datos en un determinado
formulario para que un asesor nos llame y nos informe sin compromiso
alguno sobre cómo invertir en esos mercados suculentos y plagados de
altísimos beneficios. Es más, si nos inscribimos, recibiremos un libro
gratuito, o cualquier obsequio tentador, siempre y cuando estemos
entre los primeros peticionarios. ¿Suena bien, verdad? El factor
regalo unido a la confianza hace que la tasa de éxito sea abrumadora.

El telmarketing no es ilegal. Luego si tras esos mensajes un
teleoperador de ventas nos vende un servicio de inversión, siendo
la empresa legítima y respetándose a rajatabla la legislación
aplicable en materia de comercio electrónico, nadie está incurriendo
en nada ilegal. Eso sí, es condición necesaria que toda la cadena
sea legal, así que los mensajes informativos deben serlo igualmente:
no es lo mismo el correo comercial deseado y aceptado que el spam.

Los problemas comienzan cuando alguno de los engranajes de la maquinaria
no es legítimo. Bien sea por que el correo no sea deseado, porque la
empresa no esté legalizada, porque en vez de pedirnos un teléfono se
nos conduzca a un formulario de robo de credenciales bancarias, o se
nos invite a un pago previo que acabará en una cuenta numerada no
trazable de la que nunca jamás saldrá nuestro dinero de vuelta. Este
tipo de servicios son los que por desgracia, pueblan el spam
financiero y son los que están dañando a los servicios legítimos,
y muy seriamente, además de menoscabar la confianza de los inversores.

En el caso del spam orientado a los mercados de valores, los autores
del estudio que referimos estiman que un 3% de los mensajes totales
de correo corresponden a este segmento. Las técnicas de segmentación
empleadas son realmente terroríficas, en todo momento se tienen
controlados aspectos esenciales, como por ejemplo, concentrar los
envíos durante la semana laboral (con un residuo que no llega al 5%
durante el fin de semana). Igualmente se controlan las franjas
horarias para la emisión de los mensajes, al tratar de hacer
coincidir las horas de recepción con el horario operativo de los
principales mercados bursátiles y de valores.

Los efectos sobre los mercados de valores son notorios. Los lectores
interesados pueden descargar el PDF y hacer lectura de cómo es posible
evaluar a través de una distribución de Pearson del tipo "shi"
cuadrática factores como los efectos de la recepción del spam sobre la
actividad de los mercados, y del incremento del volumen de negocio
inducido. Los mensajes fraudulentos muy habitualmente exageran levemente
los datos para atraer la atención de los inversores, lo que se traduce
en movimientos notorios en los mercados. Esto genera no sólo relaciones
en el binomio spammer-receptor, sino en usuarios que, conocedores de
los incrementos producidos por el spam, aprovechan los picos provocados
por los mensajes para generar negocio y ganancias, compran a la baja y
esperan que se produzcan picos por parte de usuarios excitados por el
spam para efectuar ventas al alza. Son los llamados "receptores
elegantes", los cuales simplemente, se aprovechan de la coyuntura.

Los focos principales de este tipo de spam son, hoy por hoy, el
británico y el estadounidense, ya que no sólo tienen una gran actividad
general en los mercados de valores tradicionales, sino también en los
mercados volátiles de menor tamaño y los mercados tecnológicos. Además
cuentan con factores detonantes, como por ejemplo, la elevada tasa de
penetración de comercio electrónico y una muy consolidada costumbre de
sus usuarios a la hora de afrontar operaciones bursátiles en la red. No
obstante, el informe advierte de un fuerte crecimiento en mercados
emergentes como el Chino. Lo que puede interpretarse como un buen
indicador de que este tipo de problemas acabarán siendo de una mayor
importancia en los países europeos.

Quizás este sea un buen ejemplo para ilustrar que los problemas
globales de seguridad son amenazas muy serias que tienen efectos
colaterales notorios y que habitualmente pasan desapercibidos.
Desafortunadamente, las técnicas de segmentación son cada vez
más empleadas por otros "gremios", como el de los phishers. Es vox
populi en muchos foros especializados en la lucha contra el fraude que
el día que los phishers convencionales adquieran las habilidades de los
spammers financieros vamos a tener un problema con una gravedad mucho
más acentuada que la ya existente, que no es precisamente pequeña.

A la vista están las razones.


Sergio Hernando
shernando@hispasec.com


Más información:

The Effect of Stock Spam on Financial Markets
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=897431

Fifth Workshop on the Economics of Information Security (WEIS 2006)
http://weis2006.econinfosec.org/

Correo no deseado: Causas, tipologías y medidas de prevención
http://www.sahw.com/wp/archivos/2006/03/10/correo-no-deseado-causas-tipologias-y-medidas-de-prevencion/

martes, 16 de mayo de 2006

Botnets como herramientas de fraude en sistemas de pago por click

Las redes de fraude y crimen organizado tienen un nuevo juguete.
En realidad, más que una novedad, es la última manifestación de
un fenómeno que lleva dándose bastante tiempo, si bien, como era
de esperar, estamos ante nuevas variantes mucho más profesionales,
y con los subsecuentes efectos devastadores sobre las víctimas.

En este caso, las víctima es Google Inc, el gigante de Mountain
View. Este complejo sistema de fraude, sobre el que ya se están
tratando de tomar todas las medidas de contención por parte de
la empresa californiana, se basa en la generación de un sistema
de clicks, que permite a los atacantes maximizar los ingresos que
obtienen a través de sus programas AdSense empleando para ello
clicks fraudulentos, que no emanan del tráfico humano entrante
a la página, sino de botnets controlados a tal efecto.

Es vox populi es que los sistemas de Google son muy efectivos en
la prevención contra el fraude, específicamente el fraude que
millones de usuarios tratan de explotar a diario con el programa
AdSense, consistente en el cobro por clicks recibidos en los
distintos formatos de anuncio que la empresa ofrece. Estos pagos
corren a cuenta de los anunciantes, que establecen cantidades a
pagar por cada click que conduzca a la página escogida a tal efecto,
lo que se conoce en el argot como "landing page" o página de
aterrizaje. Una vez se verifica que el click es legítimo, es decir,
en sintonía con las políticas de los programas legales afectados,
la cuenta del anunciante decrece la cantidad monetaria estipulada,
incrementándose la cuenta del usuario AdSense en una cantidad
inferior, ya que como es obvio, Google retiene para sí un margen
por la prestación del servicio.

Lo último en intentos de aprovechar maliciosamente el programa AdSense
de Google es emplear botnets, redes grandes de ordenadores gobernados
por una unidad central que dictamina las órdenes que deben seguir el
resto de las máquinas. Y es que claro, ¿cómo distingue Google un click
procedente de un usuario de botnet infectado de un click legítimo que
pueda hacer usted mismo en su ordenador? La respuesta es que no hay
una manera garantista al 100%, salvo que el abuso haga saltar las
alarmas en los mecanismos antifraude.

Estos mecanismos antifraude, pese a ser prácticamente desconocidos,
deberían basarse en el comportamiento de un usuario. Descartando los
clicks que emanen de proxies abiertos, los cuales son fácilmente
reconocibles, el reto se centra en generar un sistema de detección
que sea capaz de distinguir, tal y como hemos dicho, un click legítimo
hecho por un usuario interesado y cautivado por un anuncio de un click
ilegítimo provocado intencionalmente por un botnet. Así pues, parece
que las únicas maneras de cazar a estos usuarios maliciosos es
efectuar seguimientos a las cuentas sospechosas y verificar que
las IPs de origen mantengan un comportamiento normal.

Hay algunos parámetros que pueden provocar que una cuenta tenga un
funcionamiento sospechoso. Así pues, una cuenta AdSense que lleve
poco tiempo abierta, en circunstancias normales, debería tener
incrementos de ingresos secuenciales y escalonados, y no abruptos.
Otra manera de detectar actividad sospechosa en IPs no pertenecientes
a proxies y conexiones anónimas es verificar el número de clicks
efectuados desde una IP. Así pues, una IP que realiza muchos clicks,
o bien los realiza en cortos espacios de tiempo o en distintos
segmentos poco relacionados de anunciantes, puede hacer que esa
actividad sea considerada como sospechosa, y por tanto, marcada
como en seguimiento.

El problema de los botnets es que las IPs que provocan los clicks
son IPs reales, como la suya o la mía, que sin que nos demos cuenta,
están haciendo clicks y engrosando la cuenta de resultados de los
atacantes. Si un botnet de 10.000 máquinas distintas, con 10.000 IPs
distintas, realiza en 1 día 10.000 clicks, suponiendo un pago por
click muy bajo, de 3 céntimos de dólar americano, estaríamos hablando
de un ingreso diario de 300 dólares, lo que implica, haciendo una
simple proyección a 30 días, un interesante sobresueldo de 9.000
dólares americanos mensuales, lo que viene a suponer del orden de
7.000 euros. Y no hablamos de un tamaño desproporcionado, el tamaño
estándar de un botnet puede ser cuantificado en 20.000 máquinas, si
bien hay botnets mucho más grandes, con más de 100.000 máquinas al
servicio del usuario malicioso.

El problema de estos fraudes es, como no podía ser de otro modo, la
especialización. Imaginen que el "botnet master" conoce el programa
de AdSense, y mediante el sandbox de keywords, una herramienta de
Google para obtener los precios aproximados por los que pujan los
anunciantes, dirige los ataques a segmentos con alta rentabilidad,
donde pasamos a cantidades mayores. Así pues, a título estrictamente
orientativo, ya que el sandbox indica costes aproximados para los
anunciantes y no ingresos estimados para los usuarios de AdSense,
en el momento de escribir este boletín, palabras clave como "stock
images" se cotizan a 5,18 euros por click. Hay ejemplos más drásticos,
así pues, las combinaciones con la palabra "mesothelioma" pueden
suponer costes del orden de 43 euros por click (combinación
"mesothelioma law firms"). Estas cifras disparatadas corresponden
principalmente a anunciantes que representan servicios de abogacía
para pacientes de mesotelioma, un cáncer asociado a los asbestos y
que por tanto, suele ser empleado para reclamar indemnizaciones
millonarias, y que por tanto, están en continua pugna por lograr
posiciones ventajosas en los anuncios patrocinados. Mezclar la
técnica con la especialización puede hacer que este tipo de fraude
se extienda, no sólo a Google AdSense, sino a otros servicios
publicitarios similares y de uso masivo, como los que dispensa por
ejemplo Yahoo!.

Estos botnets pueden ser utilizados con fines de competencia desleal,
mediante la denegación intencionada, entendiendo la denegación como
provocación de una gran cantidad de clicks fraudulentos contra una
cuenta AdSense determinada, con el fin de que el usuario de dicha
cuenta reciba amonestación por parte del proveedor, amonestación que
podría en el peor de los casos suponer la cancelación de la cuenta.
Este factor hace que, en casos de competencia, que es muy fuerte en
la gran mayoría de los segmentos que optan por los programas de
enlaces patrocinados, empresas rivales puedan usar este tipo de
artimañas sucias para perjudicar las cuentas de sus competidores,
incurriendo en una clara competencia desleal. Nada es descartable.

En lo estrictamente relativo a CLICKBot, el ejemplar de malware
destinado a integrar máquinas en el botnet que ha inspirado este
artículo, comentar que, afortunadamente, su impacto está siendo
testimonial. La localización del espécimen y la rápida inclusión
del patrón en los diversos antivirus, permite que desde la parte
del usuario el impacto se reduzca. En lo referente a Google,
conocen el ejemplar y por tanto, las acciones irán encaminadas a
cancelar las cuentas fraudulentas y reintegrar los importes a los
anunciantes. Este espécimen era reconocido el día 14 de mayo, a las
11 horas UTC, por 7 motores de los 25 que operamos en VirusTotal.com,
cada uno a su manera, heurísticas en algunos casos, firmas en otro,
con previsión de reconocimiento total por todos los motores en breve
espacio de tiempo.

AntiVir 6.34.1.27/20060514 detecta [TR/Drop.Small.ann.1]
CAT-QuickHeal 8.00/20060512 detecta [(Suspicious) - DNAScan]
DrWeb 4.33/20060514 detecta [Adware.IEHelper]
Ewido 3.5/20060513 detecta [Hijacker.BHO.d]
Fortinet 2.76.0.0/20060514 detecta [suspicious]
Kaspersky 4.0.2.24/20060514 detecta [Trojan-Dropper.Win32.Small.ann]
Panda 9.0.0.4/20060513 detecta [Suspicious file]

El único factor mitigante de este tipo de fraudes es que la
participación en programas AdSense requiere que nos identifiquemos a
efectos fiscales con la compañía. Además, los cobros se suelen hacer
principalmente por cheque, de modo que para los atacantes existe una
dificultad, y es la trazabilidad bancaria que deriva de la percepción
de los cobros ya sea vía cheque o transferencia. Además estos cobros
se hacen en períodos mensuales, con lo que los servicios de detección
disponen de al menos de una ventana de 30 días para cazar a los
usuarios fraudulentos.

Sobre la ventana temporal, poco o nada pueden hacer los autores del
fraude, la tendencia natural será siempre el máximo sigilo y procurar
no levantar sospechas durante 30 días. Pero en lo relativo a la
trazabilidad, pensemos en las mulas de phishing, ¿quién dijo que
el atacante es el que deba personarse en ventanilla para cobrar?


Sergio Hernando
shernando@hispasec.com


Más información:

Sans Internet Storm Center. CLICKBot
http://isc.sans.org/diary.php?storyid=1334

Programa Google AdSense
https://www.google.com/adsense/?hl=es

An Expose' on Google AdSense Fraud - Protect your PPC account
http://www.sofizar.com/google-adsense-fraud.php

lunes, 15 de mayo de 2006

Grave vulnerabilidad en RealVNC

Steve Wiseman ha descubierto, casi por casualidad, una importante
vulnerabilidad en VNC; un software de administración remota muy usado en
distintos sistemas operativos que permite interactuar con el escritorio
de cualquier sistema. El fallo puede hacer que se eluda de forma
sencilla la autenticación y acceder al equipo con el servidor instalado
sin necesidad de conocer la contraseña.

VNC es un software propiedad de la británica RealVNC. Se compone de un
servidor y un cliente (viewer) que permite interactuar con el escritorio
de entornos Windows, Linux, Solaris y HP-UX desde cualquier plataforma a
su vez. Es un software tremendamente extendido (más de 100 millones de
descargas desde 1998) entre los administradores de red, debido a su
sencillez, potencia y sobre todo, el hecho de estar licenciado bajo GPL.

VNC suele abrir un puerto al exterior para que remotamente el
administrador pueda interactuar con cualquier sistema como si estuviese
sentado frente el escritorio de un ordenador que puede encontrarse
físicamente a miles de kilómetros de distancia. El software ha sido
incluido en distintas distribuciones de Linux y forma parte de otros
paquetes de software. Para los sistemas que ofrezcan abiertamente el
servicio hacia internet, el hecho de que esté protegido por contraseña
pierde el sentido ante este fallo y queda virtualmente a disposición
de quien conozca los detalles de la vulnerabilidad.

Debido a la importancia del descubrimiento, Wiseman casi no podía
creerlo. Mientras programaba un cliente propio para conectarse a
servidores VNC, se dio cuenta de que podía acceder al servidor sin
conocer la contraseña. Trabajaba con VNC Free Edition 4.1.1 bajo Windows
y, después de muchas pruebas para asegurase de que lo que tenía ante sus
ojos suponía un grave problema, no pudo más que concluir que realmente
estaba ante una gravísima vulnerabilidad.

Tras unos momentos de pánico, en los que Wiseman descargó los "hermanos"
de VNC TightVNC y UltraVNC y comprobó que no eran vulnerables, se puso en
contacto con RealVNC y al poco tiempo hicieron disponible la versión no
vulnerable 4.1.2.

El fallo se debe a un error de diseño en el proceso de autenticación,
mientras el cliente y el servidor llegan a un acuerdo sobre el tipo de
autenticación. Uno de estos tipos de autenticación disponibles desde
el servidor es precisamente la no autenticación, donde no se pedirá
contraseña al cliente. Una implementación incorrecta permite que sea
el cliente el que elija el tipo, independientemente del que tenga
configurado el propio servidor, de entre un array que éste hace
disponible durante la negociación. De esta forma, sólo es necesario
cambiar un poco la información que el cliente envía, y será el propio
cliente el que tenga la posibilidad de elegir "no autenticación" para
acceder al servidor, aunque se encuentre en realidad protegido por
contraseña.

Aunque no se han dado detalles técnicos sobre el problema, según se
publica en listas de seguridad, es trivial reproducir el fallo, y
cuestión de tiempo que aparezca un cómodo exploit capaz de acceder
a cualquier servidor que ejecute este popular programa.

Según estas listas, se mira con cierta sospecha la actitud de la
compañía VNC ante el problema. Si bien actuaron rápida y efectivamente
ante la vulnerabilidad (el mismo 12 de mayo que Wiseman contactó con
ellos publicaron una actualización), bien sea por la importancia del
asunto o lo simple del error, han decidido optar por el secretismo. Por
ejemplo, Wiseman alojó en su blog una prueba de concepto sin detalles
para comprobar si se era vulnerable, pero tras pocas horas quedó
permanentemente deshabilitada. En la lista "full disclosure" (dedicada
a la total revelación de detalles de seguridad ) James Evans afirma que
aunque el software está licenciado bajo GPL y por ello es obligatorio
hacer público el código fuente junto con el programa compilado, en esta
ocasión RealVNC no lo ha hecho. También habla de que sus mensajes a la
lista del programa, en los que comentaba el asunto y pedía el código,
fueron borrados de los servidores tras ser enviados aunque en estos
momentos parecen estar disponibles. En la página oficial no de dan
demasiados detalles sobre el asunto.

En cualquier caso, es más que recomendable para todos los usuarios de
este programa actualizar a RealVNC Free Edition 4.1.2, Personal Edition
4.2.3, o Enterprise Edition 4.2.3 desde http://www.realvnc.com/download.html


Sergio de los Santos
ssantos@hispasec.com


Más información:

RealVNC 4.1.1 Remote Compromise
http://lists.grok.org.uk/pipermail/full-disclosure/2006-May/046039.html

Security flaw in RealVNC 4.1.1
http://www.intelliadmin.com/blog/2006/05/security-flaw-in-realvnc-411.html

domingo, 14 de mayo de 2006

Salto de restricciones de filtrado URL en Cisco PIX/ASA/FWSM WebSense

Se ha encontrado una vulnerabilidad en Cisco PIX, Cisco Adaptive
Security Appliance y Firewall Services Module que puede ser
aprovechada por atacantes para eludir restricciones de seguridad.

La vulnerabilidad está causada por un error en el tratamiento de
petiticiones HTTP fragmentadas. Un atacante podrá aprovechar este
problema para eludir el filtrado URL de Websense y tener acceso a
websites restringidas a través de peticiones GET HTTP fragmentadas
en múltiples paquetes.

Para que pueda ser aprovechado requiere que PIX, ASA, o FWSM estén
configurados para usar Websense/N2H2 como filtrador de contenido.

Los productos afectados son:
* Cisco PIX software versión 6.3.x y posterior.
* Cisco PIX/ASA software versión 7.x.
* Cisco FWSM software versión 2.3 y 3.1.

Se recomienda actualizar a las versiones no vulnerables.

FWSM versión 2.3:
Actualizar a la versión 2.3(4) desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2

FWSM versión 3.1:
Actualizar a la versión 3.1(1.7).

PIX versión 6.3.x:
Actualizar a la versión 6.3.5(112).

PIX/ASA versión 7.x:
Actualizar a la versión 7.0(5) o 7.1(2) desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Response: Response to PIX/ASA/FWSM Websense/N2H2 Content Filter Bypass
http://www.cisco.com/warp/public/707/cisco-sr-20060508-pix.shtml

WebSense content filter bypass when deployed in conjunction with Cisco filtering devices
http://www.vsecurity.com/bulletins/advisories/2006/cisco-websense-bypass.txt

sábado, 13 de mayo de 2006

Actualización de seguridad de MySQL

Las versiones de MySQL anteriores a la 5.0.21 contienen varias
vulnerabilidades que permiten provocar la caída del servicio MySQL o
el acceso a información potencialmente comprometedora.

MySQL es un servidor de bases de datos SQL, "open source", muy difundido
en el mundo Linux.

Las versiones de MySQL anteriores a la 5.0.21 contienen las siguientes
vulnerabilidades:

* Un atacante malicioso puede consumir toda la memoria del servidor
mediante el envío de transacciones sin completarlas. Las versiones
previas de MySQL no imponen ningún límite en el número de transacciones pendientes, lo que puede llevar a que se consuma toda la memoria
disponible y provocar la caída del servicio. A partir de la versión
5.0.21 existe una variable de configuración para fijar un valor máximo.

* Un atacante malicioso puede enviar una petición de "login" o
"COM_TABLE_DUMP" inválido, especialmente formateado, y leer así memoria
no inicializada. Dicha memoria puede contener datos arbitrarios,
potencialmente delicados o valioso.

* Un atacante malicioso puede enviar un comando "COM_TABLE_DUMP"
especialmente formateado y ejecutar código arbitrario en el servidor
mediante un desbordamiento de búfer.

Hispasec recomienda a todos los administradores de instalaciones MySQL
5.0 que actualicen cuanto antes a la versión 5.0.21.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Changes in release 5.0.21 (02 May 2006)
http://dev.mysql.com/doc/refman/5.0/en/news-5-0-21.html

MySQL
http://www.mysql.com/

viernes, 12 de mayo de 2006

Pequeños dispositivos, grandes problemas

El robo y la pérdida de dispositivos móviles es un tipo de incidente
bastante frecuente en las organizaciones. También los usuarios finales
podemos perder nuestro móvil, nuestro PDA o nuestro portátil. Sufrir
una sustracción, o un extravío, no es algo que por desgracia sea
infrecuente. Nos puede pasar a cualquiera.

La pérdida de dispositivos móviles es un problema serio. Tan serio como
posibilitar que aquel que lo encuentre no nos lo devuelva, o nos lo
devuelva previa inspección de sus contenidos. O que el que lo encuentre
se lo venda a un tercero, pudiendo ser este tercero alguien con nociones
suficientes para extraer la información del mismo. Es, ante todo, un
problema de confidencialidad y privacidad, además de evidentemente, un
problema de seguridad.

Las estrategias de defensa suelen diferir en función al ámbito al cual
pertenezca ese dispositivo. Generalmente es frecuente aplicar distintas
estrategias a dispositivos empresariales y a los domésticos de carácter
personal, si bien los consejos básicos son comunes y aplicables a ambos
casos.

El dispositivo móvil que suele acabar más frecuente en manos de
terceros, es el teléfono móvil, ya que su reducido tamaño faculta la
pérdida de una manera más habitual que otros dispositivos más grandes,
como por ejemplo, un ordenador portátil. Sin entrar a comentar posibles
estrategias para telefonía móvil, vamos a comentar algunas posibles
estrategias orientadas a los ordenadores portátiles, que suelen ser los
más conflictivos en caso de pérdida, ya que habitualmente suelen
contener un volumen de datos mucho mayor que un PDA o un móvil, por
motivos obvios.

Existen infinidad de casos documentados sobre fuga de información de
ordenadores portátiles, bien sea por extravíos, bien sea por robos.
Algunos casos que han saltado a los titulares por su gravedad son el
robo de 185.000 fichas de pacientes repletas de datos médicos, a raíz
de un robo de dos unidades portátiles en la San Jose Medical Group,
o por ejemplo, la desaparición de 95.000 registros de alumnos de la
Universidad de Berkeley, merced a la pérdida de un portátil que contenía
las fichas del alumnado. El portátil fue recuperado con el disco duro
borrado con mecanismos de alta seguridad, y se tiene constancia de que
los datos sustraídos fueron puestos a la venta en varios portales de
subasta online. No menos significativo fue el robo de un portátil
perteneciente a Fidelity Investments Institutional Services Co, que
portaba datos de 196.000 empleados de Hewlett Packard. Sobre incidentes
similares con teléfonos móviles, a título anecdótico, todos recordamos
el episodio sufrido por Paris Hilton no hará mucho tiempo, cuando
aparecieron en la red sus contactos, fotos y datos de agenda al completo.

El robo de este tipo de información es muy crítico. Además de la lógica
pérdida de privacidad de los afectados, normalmente estas fichas
contienen datos cualificados para elaborar perfiles de los usuarios a
quienes pertenecen dichos datos, con lo que se convierten
automáticamente en perfiles muy suculentos para orquestar todo tipo de
delitos telemáticos de alta especialización, como por ejemplo, el fraude
segmentado.

Desde la óptica corporativa, los consejos más adecuados para reducir los
impactos de posibles robos en portátiles y dispositivos móviles en
general se centran en contramedidas que dificulten al máximo la
revelación de los datos que contengan dichos dispositivos en caso de
extravío o robo. Los consejos habituales, por tanto, se centran en la
concienciación y la formación como medidas preventivas, así como el
establecimiento de mecanismos técnicos como el cifrado de discos, el uso
de chips de seguridad y dispositivos biométricos de autenticación, el
uso de contraseñas de calidad e incluso llegado el caso, mecanismos de
borrado seguro remoto ante eventos de pérdida.

En el caso de dispositivos personales y domésticos, las medidas son
prácticamente las mismas: procurar no perder los dispositivos y en caso
de robo o pérdida, haber tenido al menos la precaución previa de haber
implementado en nuestro portátil medidas de cifrado de los discos duros,
para impedir el acceso a los potenciales atacantes.

No obstante existe una medida muy elemental basada en la lógica, y es
aquella que nos indica que los contenidos de un portátil deben ajustarse
a las necesidades del momento. El carácter portátil de estos ordenadores
los hace precisamente óptimos para ir cargando en ellos lo estrictamente
necesario, de modo que ante eventuales incidentes de sustracción o
pérdida, sólo exista riesgo de revelación de una porción de los datos
sensibles que tengamos, y no la totalidad de los mismos.


Sergio Hernando
shernando@hispasec.com


Más información:

Stolen laptops contain medical info on 185,000 patients
http://www.networkworld.com/news/2005/0408stolelapto.html

UC Berkeley latest identity theft victim
http://www.networkworld.com/weblogs/layer8/008346.html

Stolen laptop contains data on 196,000 HP staff
http://www.infoworld.com/article/06/03/23/76748_HNstolenlaptop_1.html

una-al-dia (27/02/2005) La pregunta secreta del caso "Paris Hilton"
http://www.hispasec.com/unaaldia/2318/

5 Steps to reduce your mobile security risk
http://h30046.www3.hp.com/news_article.php?topiccode=20060413_323295_225_121_0_0

The Case of the Stolen Laptop: Mitigating the Threats of Equipment Theft
http://www.microsoft.com/technet/community/columns/secmgmt/sm0205.mspx

Truecrypt: Herramienta gratuíta y libre para cifrado de discos duros
(Sistemas Windows y UNIX en general)
http://www.truecrypt.org/

jueves, 11 de mayo de 2006

Nuevos contenidos en CriptoRed (abril de 2006)

Breve resumen de las novedades producidas durante el mes de abril
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

* Análisis de ISO 27001: 2005
http://www.criptored.upm.es/paginas/docencia.htm#gtletraA

* Buenas Prácticas en la Administración de la Evidencia Digital
http://www.criptored.upm.es/paginas/docencia.htm#gtletraB

* Criterios de Evaluación de la Seguridad en Sistemas de Información:
ISO 17799 y Common Criteria
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

* ISM3 1.2: Information Security Management Maturity Model
http://www.criptored.upm.es/paginas/docencia.htm#gtletraI

* Políticas de Seguridad Informática
http://www.criptored.upm.es/paginas/docencia.htm#gtletraP

* Protección de Software
http://www.criptored.upm.es/paginas/docencia.htm#gtletraP

* Sistemas de Detección de Intrusiones
http://www.criptored.upm.es/paginas/docencia.htm#gtletraS

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Mayo 15 al 19 de 2006: IFIP Networking 2006 Conference en
(Coimbra - Portugal)
http://www.ifip-networking.org/

* Mayo 23 al 24 de 2006: Fourth International Workshop on Security
in Information Systems WOSIS 2006 (Paphos - Chipre)
http://www.iceis.org/

* Junio 14 al 16 de 2006: VI Jornada Nacional de Seguridad Informática
ACIS 2006 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=627

* Junio 19 al 23 de 2006: YACC'06 Yet Another Conference on
Cryptography (Porquerolles Island - Francia)
http://grim.univ-tln.fr/YACC06/

* Junio 26 al 29 de 2006: International Conference on Security and
Management SAM '06 (Las Vegas - USA)
http://www.world-academy-of-science.org/worldcomp06/ws/SAM/index_html

* Junio 29 al 30 de 2006: Workshop on Mathematical Cryptology
WMC 2006 (Santander - España)
http://grupos.unican.es/amac

* Julio 13 al 19 de 2006: Seventeenth Australasian Workshop on
Combinatorial Algorithms AWOCA 2006 (Uluru - Australia)
http://www.ballarat.edu.au/conferences/awoca2006/

* Agosto 7 al 10 de 2006: International Conference on Security and
Cryptography SECRYPT 2006 (Setúbal - Portugal)
http://www.secrypt.org/

* Agosto 20 al 25 de 2006: Security Stream World Computer Congress
de IFIP (Santiago - Chile)
http://www.wcc-2006.org/

* Septiembre 7 al 9 de 2006: IX RECSI Reunión Española de Criptología
y Seguridad de la Información (Barcelona - España)
https://www.recsi2006.org/

* Septiembre 18 al 22 de 2006: Encuentro Mexicano de Computación
ENC 2006 (San Luis Potosí - México)
http://enc.smcc.org.mx/

* Septiembre 20 de 2006: 2nd International Workshop on Security and
Trust Management STM'06 (Hamburgo - Alemania)
http://www.hec.unil.ch/STM06/index.htm

* Octubre 4 al 6 de 2006: Segundo Encuentro Internacional de Hackers
U-Manizales Con 2 (Manizales - Colombia)
http://www.umanizales.edu.co/umc2/

* Noviembre 14 al 17 de 2006: Primer Congreso Mexicano de Seguridad
Informática MCIS/COMSI 2006 (Oaxaca - México)
http://lssd.esimecu.ipn.mx/comsi/

* Noviembre 28 a diciembre 1 de 2006: IV Congreso Internacional de
Telemática y Telecomunicaciones CITTEL ‘2006 (La Habana - Cuba)
http://www.cujae.edu.cu/eventos/cittel/

* Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad
en Tecnologías de Información y Comunicaciones (La Habana - Cuba)
http://www.segurmatica.com/descargas12_1/informatica2007.doc

Puedes encontrar más información sobre estos eventos en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

CONGRESOS EN IACR:
International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE MARZO DE 2006

* CriptoRed Supera los 30.000 Enlaces en el Buscador Google
http://www.google.es/search?hl=es&q=CriptoRed&meta=

* Máster en Buen Gobierno de las TIC en Madrid (España)
http://www.itdeusto.com/itdeusto/modules/idealportal/upload/index.htm

* Diplomado Redes Wireless Wi-Fi en Escuela Colombiana de Ingeniería
(Bogotá)
http://www.escuelaing.edu.co/programas/diplomados/redes_wireless/index.htm

* VIII Seminario Iberoamericano de Seguridad en Tecnologías de
Información y Comunicaciones (Cuba)
http://www.segurmatica.com/descargas12_1/informatica2007.doc

* Escuela Verano Análisis y Modelado Avanzado de Datos U. San Pablo
CEU (España)
http://biocomp.cnb.csic.es/~coss/Docencia/ADAM/ADAM.htm

* Taller de Seguridad Informática en WALC 2006 (Ecuador)
http://eslared.org.ve/walc2006/infor/taller6.php

* 2nd International Workshop on Security and Trust Management STM'06
(Alemania)
http://www.hec.unil.ch/STM06/index.htm

* CISO Executive Summit 2006 en Barcelona (España)
http://www.mistieurope.com/MIS/pdf/MIS_CISO_Executive_Summit_Jun06_Information_Security.pdf

* IFIP Networking 2006 Conference en Coimbra (Portugal)
http://www.ifip-networking.org/

* IV Congreso Internacional de Telemática y Telecomunicaciones
CITTEL ‘2006 (Cuba)
http://www.cujae.edu.cu/eventos/cittel/

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 578
(162 universidades; 203 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 42.159 visitas, 129.898 páginas solicitadas y 48,96
GigaBytes servidos en abril de 2006
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

abril de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#abr06

miércoles, 10 de mayo de 2006

Tres boletines de seguridad de Microsoft en mayo

Tal y como adelantamos la pasada semana, este segundo martes de
mes, Microsoft fiel a su cita ha publicado tres boletines de
seguridad.

Se han publicado los boletines MS06-018 al MS06-020 y las
actualizaciones publicadas, según la propia clasificación de
Microsoft, dos presentan un nivel de gravedad "crítico" y un
tercero como "moderado".

* MS06-018: Destinado a solucionar dos vulnerabilidades de denegación
de servicio en el Coordinador de transacciones distribuidas de
Microsoft (MSDTC). Afecta a Microsoft Windows 2000, Windows Server
2003 y Windows XP. Según la calificación de Microsoft tiene un nivel
"moderado".

* MS06-019: Se trata de una actualización de seguridad para Microsoft
Exchange destinada a solucionar una vulnerabilidad de ejecución remota
de código. Afecta a Exchange Server 2000 y 2003. Está calificado como
"crítico".

* MS06-020: Evita dos vulnerabilidades en Flash Player de Adobe
provocadas por la forma en que se tratan las animaciones Flash (SWF)
y que podrían llegar a permitir la ejecución remota de código. Afecta
a Windows XP, Windows 98 y Windows Millennium Edition (ME). Está
calificado como "crítico".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS06-018
Una vulnerabilidad del Coordinador de transacciones distribuidas de Microsoft podría causar una denegación de servicio
http://www.microsoft.com/spain/technet/seguridad/boletines/ms06-018-it.mspx

Boletín de seguridad de Microsoft MS06-019
Una vulnerabilidad en Microsoft Exchange podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/seguridad/boletines/ms06-019-it.mspx

Boletín de seguridad de Microsoft MS06-020
Vulnerabilidades en Flash Player de Adobe podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/seguridad/boletines/ms06-020-it.mspx

martes, 9 de mayo de 2006

Microsoft y Malware: ¿misión imposible?

Mañana, 10 de mayo, se celebra en Madrid una de las jornadas gratuitas "Security Day" que Microsoft, en esta ocasión, dedicará a la configuración segura de sus plataformas para mitigar las acciones del malware más común. Como colofón al evento, aprovechando que se llevará a cabo en un cine, los asistentes podrán ver un pase de la película Misión Imposible 3.
Es un hecho contrastado que más del 99% de la producción del malware actual se dirige hacia entornos Microsoft. También es cierto que en las últimas versiones Windows se han ido incorporando mejoras a la seguridad de sus sistemas que, bien por desconocimiento o por dejadez, no son generalmente aprovechadas tanto en entornos corporativos como por usuarios finales.

Sin entrar en la recurrente discusión de por que el malware se dirige hacia entornos Microsoft (¿plataforma más extendida?, ¿ofrece facilidades para la infección?, ¿mayor cuota de usuarios inexpertos?, ¿herencia?,...), es importante que los usuarios de esta plataforma conozcan una serie de buenas prácticas que pueden ayudarles a mitigar los incidentes con el malware. Algo tan básico como navegar por Internet con una cuenta de usuario que no tenga privilegios de administrador puede ahorrar más de un disgusto.

A juzgar por la agenda, el evento está claramente enfocado a las propias soluciones de Microsoft. Se echa en falta una mayor diversificación a la hora de hablar de soluciones de seguridad en plataformas Windows, que puede explicarse por la reciente entrada de la compañía de Redmon en este mercado.

La jornada comenzará con la keynote de Hector Sánchez, director de seguridad en Microsoft Ibérica. A continuación José Parada y Chema Alonso harán varias demostraciones sobre funcionamiento de malware, en lo que se prevé una de las presentaciones, cuando menos, más amenas.

Después del café tendrá lugar una presentación aun más comercial enfocada en las nuevas soluciones de seguridad de Microsoft: Windows One Care, Windows Defender y Windows firewall.

Tras la parada para el avituallamiento, almuerzo que corre a cuenta del asistente, una, a priori, interesante presentación de David Cervigón sobre fortificación de sistemas Windows utilizando plantillas de seguridad.

El evento terminará con la sesión de David Rodríguez e Ivan Castro enfocando de nuevo en las soluciones de seguridad Microsoft, en este caso para servicios perimetrales con ISA Server y Antigen.

Horarios, localización y registro, en la dirección
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=118770552&Culture=es-ES

Como colofón, y esperando que el título de la película no haga alusión a nada más, los asistentes podrán ver "Misión Imposible 3".


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft TechNet Security Day
http://www.microsoft.com/spain/technet/jornadas/security/default.asp

lunes, 8 de mayo de 2006

¿Son realmente útiles los mensajes de aviso?

Muy recientemente Paul Thurrott, responsable de los portales
WinSupersite.com y WindowsITPro.com, dedicados a la revisión de
productos Microsoft Windows y a proporcionar información a la comunidad
de usuarios profesionales de soluciones Windows respectivamente, ha
publicado un artículo comentando diversos problemas que ha encontrado
en sus pruebas de las versiones beta de Windows Vista que habitualmente
le son proporcionadas para propósitos de evaluación.

En este boletín nos centraremos en la parte que atañe a la seguridad.
El informe es extenso, y el lector queda invitado, si siente curiosidad,
a su lectura completa.

Thurrott opina que la versión de Vista que ha analizado (Build
5308/5342) tiene un fallo importante, concretamente en el planteamiento
del sistema de protección de cuentas de usuario. Este sistema,
denominado por Microsoft UAP (User Account Protection) se presenta como
una novedad importante en la plataforma, pero realmente no es nada
nuevo. Como comenta Thurrott, este sistema es el habitual en sistemas
derivados de UNIX, y es un mecanismo tan sencillo como impedir a los
administradores realizar tareas potencialmente peligrosas sin que antes
se hayan autenticado expresamente para dichas operaciones. Es lo que de
un modo más coloquial se conoce como "proteger al usuario de si mismo",
frente a acciones accidentales o no intencionadas que pudieran impedir
un normal funcionamiento del sistema, o incluso, denegar completamente
la funcionalidad del mismo.

Las críticas a UAP arrecian cuando, una vez analizado, se descubre
como el modelo de prevención se basa, siempre en palabras del probador,
en una constante y desesperante sucesión de ventanas de aviso de
seguridad. Una simple descarga que coloque en el escritorio un inocuo
acceso directo es motivo suficiente para que el sistema impida su
eliminación sencilla, obligando al usuario al tránsito por diversos
mensajes emergentes de seguridad.

Muchos verán este problema como un problema de usabilidad. Sin duda
alguna lo es, pero tiene implicaciones en la seguridad. Bruce Schneier
resume este pensamiento alegando que los mensajes de aviso no
proporcionan a la larga seguridad, sobre todo cuando son continuados y
no razonables, y terminan por ignorarse. Se perciben como molestias, y
el usuario termina por pulsar y pulsar compulsivamente con tal de ver
su aplicación en funcionamiento. Este tipo de comportamientos son
relativamente frecuentes en soluciones que requieren aprendizaje, como
por ejemplo, en los cortafuegos software.

El firewall va consultando al usuario si permite o no permite cierto
tipo de tráfico. Si estos mensajes se producen sólo inicialmente y de
una forma proporcionada y mesurada, cualquier usuario tendrá su firewall
más o menos a su gusto de una manera rápida y cómoda, apareciendo
eventuales cuestiones de autorización o denegación de la conexión según
se añaden reglas al firewall que serán respondidas bajo demanda. Sin
embargo, si los mensajes son continuos y para cualquier actividad es
preciso informar constantemente al firewall, es frecuente que el usuario
acabe por desinstalar el producto o bien responder a todo que sí, con
tal de poder usar su conexión a Internet sin ver repetidos mensajes
emergentes en su escritorio.

El problema llega cuando el aviso de seguridad realmente es
significativo e importante. En ese caso, si el usuario ha tomado como
comportamiento por defecto no prestar atención a los avisos buscando
únicamente que el sistema le permita la operación deseada, lo más normal
es que esa alerta pase inadvertida y el objetivo final de las medidas de
seguridad queden anuladas por completo.

Los cuadros de diálogo sólo son efectivos cuando proporcionan al usuario
un método efectivo para la toma de decisiones inteligentes, y sobre todo
cuando son proporcionados y justificados. En caso contrario, las medidas
de seguridad que teóricamente deberían proporcionar se transforman en
molestias que no suponen seguridad alguna para el usuario.

Nótese que esta versión de Vista tan sólo es una versión de prueba, una
beta para evaluadores. Por tanto es precipitado aventurar que será
inexorablemente el comportamiento final del producto que se
comercialice, si bien parece claro que Vista incluirá UAP como medida
adicional de seguridad. Esperemos que para entonces se haya pulido esta
característica lo suficiente para que suponga una medida de seguridad
efectiva y no una molestia para el usuario, en aras de la seguridad y la
calidad final percibidas por los usuarios de la próxima versión de
Microsoft Windows.


Sergio Hernando
shernando@hispasec.com


Más información:

Windows Vista February 2006 CTP (Build 5308/5342) Review, Part 5: Where
Vista Fails
http://www.winsupersite.com/reviews/winvista_5308_05.asp

Microsoft Vista's Endless Security Warnings
http://www.schneier.com/blog/archives/2006/04/microsoft_vista.html