domingo, 30 de noviembre de 2008

Vulnerabilidad remota en BlackBerry Desktop Software

Se ha anunciado una vulnerabilidad en el BlackBerry Desktop Software, que puede ser utilizada por un atacante para lograr el compromiso del sistema afectado.

BlackBerry Desktop Software, es un paquete de aplicaciones para el PC que gestiona la conexión entre la BlackBerry y la cuenta de correo electrónico del usuario, el organizador y otras funciones.

El problema reside en un desbordamiento de búfer en el control ActiveX DWUpdateService y puede ser explotado cuando el usuario afectado visite una página web maliciosa que haga uso de este control. Afecta a las versiones 4.2.2 a 4.7 de BlackBerry Desktop Software, y puede permitir que un atacante remoto consiga el control de los sistemas afectados.

Se recomienda instalar la actualización disponible desde:
http://www.blackberry.com/btsc/articles/749/KB16469_f.SAL_Public.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Updating an ActiveX control that the Roxio Media Manager uses
http://www.blackberry.com/btsc/articles/749/KB16469_f.SAL_Public.html

BlackBerry Desktop Software FLEXNet ActiveX Remote Vulnerability
http://www.frsirt.com/english/advisories/2008/3278

sábado, 29 de noviembre de 2008

Actualización para evitar diversas vulnerabilidades en IBM AIX

IBM ha anunciado la publicación de una actualización que corrige diversas vulnerabilidades en IBM AIX 6.1.

El primero de los problemas solucionados reside en el comando ndp. Si está corriendo el demonio netcd, un usuario local podrá provocar un desbordamiento de búfer en /usr/sbin/ndp para lograr privilegios de root.

Existe otro desbordamiento de búfer en el comando autoconf6. Un usuario local con privilegios RBAC "aix.network.config.tcpip" podrá ejecutar "/usr/sbin/autoconf6" para provocar el desbordamiento y ejecutar código arbitrario con privilegios elevados.

Si existe una cola de impresión definida en "/etc/qconfig" un usuario local podrá ejecutar "/usr/bin/enq" para eliminar cualquier archivo del sistema.

Por último, un usuario local con autorización "aix.system.config.cron" podrá ejecutar "/usr/bin/crontab" para conseguir elevar sus privilegios.

Se han publicado diferentes parches individuales para cada uno de los problemas y versiones de afectadas.

Las actualizaciones también están incluidas en los siguientes Service Packs:
AIX 6.1 TL0 Service Pack 7
AIX 6.1 TL1 Service Pack 3
AIX 6.1 TL2 Service Pack 1

Las actualizaciones pueden descargarse desde:
http://aix.software.ibm.com/aix/efixes/security/aix61_fix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX 6.1 multiple security vulnerabilities
http://aix.software.ibm.com/aix/efixes/security/aix61_advisory.asc

viernes, 28 de noviembre de 2008

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado una nueva actualización para múltiples paquetes que corrigen numerosos problemas de seguridad.

De forma resumida, las vulnerabilidades son:

* Desbordamiento de memoria intermedia en libxml2 podría permitir la ejecución de código. Todos los productos se ven afectados.

* Múltiples vulnerabilidades en phpMyAdmin. Sólo OpenSUSE 10.2, 10.3 se ven afectadas.

* Múltiples vulnerabilidades en lighttpd podrían permitir a un atacante eludir restricciones de seguridad, y provocar una denegación de servicio. Sólo OpenSUSE 10.2 y 10.3 se ven afectadas.

* Desbordamiento de enteros en el manejador de WMF y en el intérprete de EMF podrían permitir a un atacante ejecutar código arbitrario.

* Cross site scripting en imp. Sólo OpenSUSE 10.2, 10.3 y 11.0 se ven afectadas.

* Desbordamiento de memoria intermedia off-by-one en la función get_unicode_name podria permitir la ejecución de código.

* Múltiples vulnerabilidades en acroread podrían permitir la ejecución de código.

* Vulnerabilidad en htop podría permitir a un atacante inyectar secuencias de escape. Solo openSUSE 10.3 y 11.0 se ven afectadas.

* Denegaciones de servicio a través de suscripciones RSS en cups. Solo openSUSE 11.0 se ve afectado.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2008:026
http://lists.opensuse.org/opensuse-security-announce/2008-11/msg00002.html

jueves, 27 de noviembre de 2008

El antivirus que lo detecta todo

No es broma, las nuevas estrategias en la detección de código malicioso apuntan a ese objetivo que puede sonar utópico. No quiere decir que nos estemos acercando al antivirus perfecto, sino que los nuevos enfoques de las soluciones de seguridad intentan identificar tanto al malware como a los ficheros legítimos, tratan de clasificar todo.

Si nuestro ordenador fuera una discoteca el antivirus sería el portero, el encargado de decidir quién puede pasar y quién no a divertirse en nuestro local. Dependiendo de lo exclusiva que sea nuestra discoteca, la dirección podría haber ordenado al portero que siguiera una de las siguientes estrategias:

(1) sólo dejar pasar a las personas VIP y conocidas según una lista (lista blanca).

(2) no dejar pasar a aquellas personas reconocidas como problemáticas (lista negra).

Con la estrategia (1) nuestra discoteca sería demasiado elitista, ya que no permitiría entrar a gente nueva o desconocida hasta que no hubiera sido dado de alta en la lista blanca. Un verdadero incordio y no sería operativo. En el caso (2) nuestro local estaría más animado y evitaríamos a los individuos peligrosos reconocidos, que en un principio no eran demasiados, así que la dirección de la discoteca apostó por esta opción.

El de los antivirus siempre había sido un mundo de listas negras, estrategia número (2), con firmas y patrones para detectar al código malicioso e impedirles que pudieran entrar o ejecutarse en nuestro ordenador.

Con el tiempo se vio que esa estrategia era insuficiente, ya que había mucho malware de nueva creación que no se encontraba en la lista negra (se les colaban muchos indeseables). La lista negra requería ser constantemente actualizada y, aun así, no era suficiente. Se apostó por potenciar la heurística, que en el caso de nuestro portero vendría a ser una orden similar a la siguiente:

(3) no dejar pasar a personas que por sus características te parezcan sospechosas o que pudieran causar problemas

Con la entrada de la heurística la discoteca tuvo algunos problemas, el portero sospechó de gente VIP y no les dejó entrar. Así que la dirección le dijo al portero que utilizara también una pequeña lista blanca para reconocer a esas personas y no impedirles su entrada por error. De esta forma el portero comenzó a utilizar al mismo tiempo las estrategias (1), (2) y (3) de forma complementaria.

De esta misma forma el uso de listas blancas comenzó a ser más popular entre los antivirus, si bien solía limitarse a corregir y prevenir falsos positivos, para no dar por malware o virus un fichero legítimo muy conocido. Ya sabéis, detectar como malware el notepad.exe sería como negarle la entrada a nuestra discoteca a Pilar Rubio. Imperdonable.

Pasó el tiempo y la discoteca seguía teniendo incidentes y problemas de seguridad. Aun teniendo una lista negra, heurística y lista blanca, seguían colándose muchos indeseables al local. La dirección pidió al portero que aumentara su nivel de heurística, más paranoia a la hora de impedir el paso a personas que aparentemente pudieran dar problemas.

En el mundo de los antivirus hemos visto ese aumento de paranoia en heurísticas más agresivas, por ejemplo aquellas que detectan como malware un fichero por el simple hecho de estar tratados con un "packer".

Con la nueva heurística más paranoica aumentaron las reclamaciones a la dirección de la discoteca. A muchas personas que no eran tan famosas como para estar en la lista VIP o pequeña lista blanca se les negaba la entrada al local por parecer sospechosas a ojos del portero.

La discoteca estaba en crisis. Si aumentaba la heurística y paranoia del portero tenían reclamaciones por impedir la entrada a personas legítimas. Si disminuía la heurística se le colaban demasiados indeseables.

En esa situación se encuentra la industria antivirus actual: una lista negra actualizándose constantemente (hay antivirus que se actualizan varias veces cada hora); una heurística agresiva para detectar nuevos especímenes que no estén en su lista negra; y una lista blanca más pequeña, y que se actualiza menos, para evitar meter la pata excesivamente detectando como malware algún software muy conocido y/o extendido. El resultado es de crisis técnica, siguen teniendo muchos problemas como en la discoteca, o bien están detectando como malicioso software legítimo, o bien se les sigue colando en cantidad malware de verdad, o en el peor de los casos ambas cosas.

Una de las soluciones podría ser tener una lista blanca muy grande y actualizarla constantemente, como en el caso de la lista negra. Eso limitaría el número de falsos positivos y las heurísticas podrían concentrarse en aquellos ficheros totalmente desconocidos, que no están ni en la lista negra ni en la lista blanca, y que deberían ser un número más reducido.

De esta forma un antivirus podría tener un primer dictamen muy rápido dado un fichero: o se encuentra en la lista negra y por tanto es malicioso, o se encuentra en la lista blanca y no necesito analizarlo, o lo marco como desconocido "lista gris" y le aplico una heurística agresiva, o les hago un seguimiento especial (monitorización del comportamiento), o lo paso a cuarentena a la espera de un proceso que permita tener un dictamen más o menos fiable.

Esta nueva estrategia requeriría manejar unas listas blancas y negras muy grandes, y actualizarlas constantemente, para minimizar el número de ficheros que podrían caer en la lista gris (desconocidos). Eso se traduce en el consumo de un mayor número de recursos por parte del antivirus local: imaginemos que el portero tiene que consultar dos listados de millones de registros cada vez que alguien quiere entrar a nuestro local. En el PC significaría mayor consumo de memoria y CPU, amén de una constante actualización de los ficheros de firmas a través de Internet.

La solución a este problema de recursos viene de la mano de lo que se ha dado por llamar "cloud computing", tan de moda desde hace un tiempo, y que no es más que traspasar parte del trabajo a un servidor remoto con una enorme capacidad de almacenamiento y proceso (lo que se conoce por "la nube"). En vez de tener que consultar unas enormes listas negras y blancas en el ordenador local, con el consiguiente consumo de recursos, esa consulta se hace a través de Internet a un gran servidor centralizado (un cluster de servidores) que devuelve al PC el resultado, si ese fichero está en su lista negra o blanca.

Con este enfoque el número de ficheros desconocidos disminuye y, por tanto, el antivirus local puede centrarse en ellos con heurísticas o una monitorización del comportamiento con mayor detenimiento para dictaminar si es un código malicioso o no. La otra ventaja es que ese dictamen local puede traspasarse a la nube, a los servidores centralizados, en tiempo real, de forma que ese malware nuevo descubierto en un PC formará parte de la lista negra y prevendrá a otros sistemas que realicen a posteriori una consulta sobre ese fichero en particular. Incluso, dependiendo de la estrategia del antivirus, los ejecutables desconocidos podrían ser enviados al servidor centralizado donde podría ser analizado automáticamente con mayores recursos informáticos o ser trasladado a un analista humano si el dictamen automático no es concluyente.

Esta realimentación constante, entre PCs y servidores centralizados que permite el "cloud computing", está produciendo listas negras y blancas con millones de firmas o registros que serían inviables tener de forma local en un PC, y nos acercan un poco más a la utopía del antivirus que es capaz de detectar casi todo.

No sería de extrañar que a corto o medio plazo, dado un análisis a demanda de un disco duro, un antivirus pudiera llegar a darnos un log completo (identificando todos los ficheros), indicando cuales son benignos según su lista blanca, cuales son malware según su lista negra, y aplicando un coeficiente de mayor o menor peligrosidad según heurística a los archivos desconocidos.

Volviendo a nuestro portero, imaginemos que la discoteca ha contratado un sistema de reconocimiento facial que conecta automáticamente a un servidor centralizado que mantiene una gran base de datos de personas y sus antecedentes. Una cámara en la puerta automáticamente va capturando imágenes de las caras de las personas que quieren entrar, las envía al servidor centralizado donde se compara con su base de datos, y devuelve al portero en tiempo real si es alguien de confianza, si es alguien problemático, o si no tiene información de esa persona.

El portero puede ahora, de forma instantánea, permitir o denegar la entrada según la respuesta del sistema, y sólo tendrá que utilizar su heurística con unas pocas personas (las que el sistema no reconozca). Al ser pocas personas a las que debe aplicar la heurística podrá hacerlo con más detenimiento, desde pedir documentación a cachearla, actuaciones que antes no podía realizar de forma indiscriminada por un problema de volumen y recursos. Si detecta que un desconocido lleva un arma, además de impedirle la entrada al local, se informa automáticamente al servidor centralizado que mantiene la base de datos, realimentando el sistema.

Como el mismo servidor centralizado da servicio a muchas discotecas, el sistema se alimenta de la información y actuaciones individuales de muchos porteros en tiempo real. Además recoge información adicional que puede ser útil a la hora de correlacionar datos.

Visto así esta estrategia parece un avance importante para el mundo de lo antivirus, pero no es la panacea. El problema sigue siendo el mismo, dictaminar si un fichero es malicioso o no. Incluso puede que los errores al dictaminar sean más graves, si marcamos por error que un archivo es benigno y se cataloga en la lista blanca es más que probable que se deje actuar a ese código en cualquier ordenador local a sus anchas o, en el mejor de los casos, aplicándole análisis heurísticos o de comportamiento más relajados en el sistema local. Imaginemos un delincuente que está marcado como confiable en el sistema de reconocimiento facial, entraría a todas las discotecas automáticamente y el portero no se molestaría en prestarle mayor atención.

Los servidores centralizados deberían tener mecanismos de reanálisis y depuración de sus clasificaciones, para detectar errores tanto de malware que se haya asignado a las listas blancas como de software legítimo que han entrado por error en las listas negras. Tarea no sencilla si tenemos en cuenta los volúmenes en los que pueden moverse las colecciones de ficheros, lo que implica automatización y por ende dictámenes con un margen de error no despreciable.

Por lo tanto estos nuevos antivirus que tienden a intentar identificarlo todo, tanto el malware como los ficheros legítimos, no necesariamente tienen que ser más fiables. Una cosa es que lo identifiquen todo o casi todo, otra cosa es que esa identificación sea correcta. Lo que si es cierto es que las estrategias basadas en el "cloud computing" suponen un plus importante en la detección del malware, especialmente con especímenes muy nuevos, dada la actualización en tiempo real de las bases de datos que se consultan y la correlación centralizada de datos que se puede realizar gracias a la realimentación constante que producen los antivirus conectados al servicio.

En definitiva, el "cloud computing" y el uso masivo de listas blancas son una capa más a sumar al antivirus tradicional, pero no deberían por si solos convertirse en solución de seguridad. Sus beneficios se pueden notar ya en las primeras soluciones antivirus que lo están implantando, sus debilidades tampoco se harán esperar.


Bernardo Quintero
bernardo@hispasec.com



miércoles, 26 de noviembre de 2008

iPhone OS 2.2 soluciona el problema de marcado automático

Apple ha lanzado una nueva actualización de seguridad (v.2.2) para el firmware de dos de sus dispositivos portátiles (iPhone e iPod touch). En la nueva versión se solventa, entre otros, un fallo en el iPhone a la hora de manejar el protocolo "tel://" que podría ser aprovechado para forzar una llamada telefónica si se visita con Safari una página web especialmente manipulada. A pesar de que se deja vulnerabilidades sin solucionar, la versión 2.2 del firmware para iPhone e iPod touch añade nuevas funcionalidades y soluciona un mínimo de 12 problemas de seguridad.

Son los siguientes:

1- CoreGraphics: Corrupción de memoria que podría ser aprovechada para ejecutar código arbitrario por medio de una página web especialmente manipulada.

2- ImageIO: Un fallo provocado por un error en la librería libTIFF al manejar imágenes TIFF codificadas con LZW que podría permitir la ejecución remota de código arbitrario aprovechándose de accesos a memoria no inicializada.

3- ImageIO: Denegación de servicio provocada por el agotamiento de todos los recursos de memoria disponibles al intentar visualizar una imagen TIFF especialmente modificada.

4- Networking: Se ha encontrado un fallo que podría causar que los niveles de cifrado para las conexiones PPTP VPN fueran menores de lo esperado.

5- Office Viewer: Ejecución remota de código causada por un acceso a memoria fuera de límites al manejar de forma insegura archivos Microsoft Excel.

6- Passcode Lock: Es una característica opcional, que hace necesario introducir un código de seguridad cada vez que se quiere desbloquear el terminal. Debido a un fallo, Passcode Lock no sería rehabilitado una vez que se restaura el dispositivo desde un backup.

7- Passcode Lock: Las llamadas de emergencia no están restringidas a este tipo de números. Aprovechándose de una vulnerabilidad, un atacante con acceso físico al terminal podría realizar llamadas arbitrarias saltándose el bloqueo.

8- Passcode Lock: Debido a un fallo de seguridad, el contenido de un SMS podría ser revelado antes de introducir el código de seguridad si es recibido mientras se visualiza la pantalla de llamada de emergencia (revelación de información sensible).

9- Safari: Ejecución remota de código causada por una corrupción de memoria al acceder a una página web especialmente manipulada.

10- Safari: Los iframes de una página web podrían ser mostrados fuera de sus límites, lo que podría permitir una falsificación en el interfaz del usuario.

11- Webkit: A pesar de estar deshabilitada la característica de autocompletar formularios, la información se almacena en la caché del navegador. Aprovechándose de la vulnerabilidad, un atacante con acceso físico al terminal podría acceder a información sensible.

12- Safari: La última vulnerabilidad solventada (de la que se habla en la Una-al-día del pasado día 21) podría ser aprovechada para establecer llamadas telefónicas, sólo con visitar una página web y sin la interacción del usuario. Además, bajo ciertas circunstancias, no sería posible la cancelación de la llamada en curso.

En esta nueva versión del firmware, todavía no se han corregido otros fallos reportados en julio por el investigador Aviv Raff y que podrían permitir la falsificación de URLs en el navegador Safari. Raff, que se guarda los detalles hasta que Apple publique un parche, también menciona otro fallo de diseño en el lector de correo que podría facilitar el trabajo a los spammers.

Por otra parte, se ha hecho público que la interfaz web de la aplicación iPhone Configuration Web Utility 1.0 para Windows (utilidad que permite una gestión centralizada de los ajustes de configuración) es vulnerable a ataques de directorio trasversal. La explotación de éste fallo podría permitir que un atacante de la red local pudiera acceder a archivos arbitrarios del iPhone en modo lectura, logrando acceso a información sensible almacenada.

Dada la gravedad de los problemas corregidos, se recomienda actualizar (vía iTunes) a la versión 2.2 del firmware para iPhone e iPod touch a la mayor brevedad posible.


Pablo Molina
pmolina@hispasec.com


Más información:

About the security content of iPhone OS 2.2 and iPhone OS for iPod touch 2.2
http://support.apple.com/kb/HT3318

DDIVRT-DDIVRT-2008-15 iPhone Configuration Web Utility 1.0 for Windows Directory Traversal
http://lists.grok.org.uk/pipermail/full-disclosure/2008-November/065822.html

iPhone is Phishable and SPAMable
http://aviv.raffon.net/2008/07/23/iPhoneIsPhishableAndSPAMable.aspx

21/11/2008 iPhone puede marcar involuntariamente al visitar una página con su Safari
http://www.hispasec.com/unaaldia/3681

13/09/2008 Apple publica nuevas versiones de iTunes, iPhone, iPod touch y Bonjour para Windows
http://www.hispasec.com/unaaldia/3612

7/07/2008 Actualización de seguridad para iPhone 2G y para iPod touch
http://www.hispasec.com/unaaldia/3554

martes, 25 de noviembre de 2008

Solución al crackme del décimo aniversario de "una-al-día"

Coincidiendo con el décimo aniversario de "una-al-día" publicamos hace una semana un nuevo reto de ingeniería inversa relacionado con el evento. La idea era analizar y entender un programa conocido como crackme, destinado específicamente a que su propia protección software sea sorteada. En la entrega de hoy desvelamos los lectores premiados y cómo solucionarlo.

Los premiados que han conseguido solucionar el reto, por orden (todas horas CET):

* Romansoft, de Madrid, el 18/11 a las 23:26
* Hernán Pereira, de Buenos Aires, el 20/11 a las 04:04
* Alejo Murillo, de Madrid el 21/11 a las 1:52
* Lionel Gómez, el 20/11 a las 18:10
* Dani kachakil, de Valencia (España) el 22/11 a las 0:27

Mención especial para Alejo, que realizó un impecable informe que ponemos a disposición de los lectores en los enlaces de más información.

Estos primeros 5 lectores recibirán el libro "Una-al-día: 10 años de seguridad informática". Hispasec ha publicado recientemente: "Una al día: 10 años de seguridad informática" con motivo de la celebración del décimo aniversario. El libro recorre los hitos más destacados de la última década y echa una mirada al futuro más inmediato del mundo de la (in)seguridad informática. La obra cuenta con la inestimable colaboración, a modo de entrevistas para la ocasión, de figuras relevantes en este terreno como son Bruce Schneider, Eugene Kaspersky, Johannes Ullrich, Juan C. García Cuartango, Mikel Urizarbarrena, etc.

Aprovechamos para informar de que en los últimos días se ha solucionado un error en la imprenta virtual lulu.com, que disparaba los gastos de envío a países en Latinoamérica. Ahora el precio es mucho más razonable. Disculpen las molestias.

Además se ha añadido un nuevo punto de venta con distintos gastos de envío según el país, para que se pueda elegir el lugar que más convenga.

El resto de ganadores que hasta el día de hoy enviaron su solución:

* David Guerrero, de Valencia (España) el 23/11, a las 17:05
* Rafael Antonio Porras, de Madrid, el 23/11, a las 17:35
* Xacobe Rascado, de Vigo (España), el 23/11 a las 19:18
* Alejandro J. Gómez López, de Jaén (España), el 24/11 a las 18:54.

recibirán una camiseta. Gracias a todos los que han participado. La solución al problema se encuentra en el enlace del apartado de más información.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Una-al-día cumple 10 años
http://www.hispasec.com/uad/index_html

lunes, 24 de noviembre de 2008

Ernst & Young publica los resultados de la XI Encuesta Global de Seguridad de la Información

La consultora Ernst & Young ha publicado los resultados de la Encuesta Global de Seguridad de la Información (Global Information Security Survey) en su undécima edición, en la que se ofrece una mirada al actual estado de la seguridad de la información y ofrece recomendaciones para la mejora de cara al futuro.

La encuesta se realizó entre junio y agosto de este año, entre 1.400 organizaciones de más de 50 países de todo el mundo. Entre los resultados a destacar cabe mencionar la cada vez mayor preocupación por el impacto que puede tener un incidente de seguridad en la reputación e imagen de marca. Un 85% de los encuestados reseñaron los daños a la reputación y la marca como la consecuencia más importante ante un ataque, frente al 72% que destacó la pérdida de ingresos. Otras consecuencias preocupan aun menos, como las sanciones (68%) o acciones legales (un 65%).

Otro dato a reseñar, es que a pesar de la crisis las empresas parecen conscientes de la importancia de la seguridad de la información y tan solo un 5% de los encuestados dicen que reducirán su presupuesto para esta materia en el año que viene. Incluso, la mitad afirman que aumentarán su gasto en seguridad informática (mientras que un 45% dicen que la mantendrán). Ernst & Young concluye que las organizaciones reconocen que efectuar recortes en materia de seguridad podría tener un efecto contrario, además de que una gran mayoría considera que las amenazas y los ataques aumentarán durante la época de crisis.

Según revela la encuesta el uso de terceras empresas, y externalización de trabajos de seguridad de la información va en aumento, especialmente para la realización de trabajos de auditorías de seguridad (60%) y tests de penetración (59%). Además, se espera que estas dos actividades sufran incrementos significativos, de un 15% y un 18% respectivamente, de compañías que subcontratan este tipo de servicios.

El estudio se compone de diez puntos o aspectos sobre los que desglosa la información:
* La protección de la reputación y la marca se ha convertido en un importante motor para la seguridad de la información.
* A pesar de las presiones económicas, las organizaciones siguen invirtiendo en seguridad de la información.
* Los estándares internacionales de seguridad de la información están adquiriendo una mayor aceptación y aprobación
* Muchas organizaciones siguen luchando para lograr una visión estratégica de la seguridad de la información.
* Ahora la privacidad es una prioridad, pero las acciones se quedan cortas.
* Las personas siguen siendo el eslabón más débil en la seguridad de la información.
* Los riesgos del crecimiento de subcontratas no se están corrigiendo.
* La continuidad del negocio sigue dependiendo de tecnología de la información.
* La mayoría de las organizaciones no están dispuestas a externalizar actividades claves de seguridad de la información.
* Pocas empresas cubren los riesgos de seguridad de la información con seguros.

El informe puede descargarse desde:
http://www.ey.com/Global/assets.nsf/International/TSRS_Global_Information_Security_Survey_2008/$file/TSRS_Global_Information_Security_Survey_2008.pdf


Antonio Ropero
antonior@hispasec.com


Más información:

2008 Global Information Security Survey (pdf 24.2mb)
http://www.ey.com/Global/assets.nsf/International/TSRS_Global_Information_Security_Survey_2008/$file/TSRS_Global_Information_Security_Survey_2008.pdf

domingo, 23 de noviembre de 2008

Transmisión del DISI 2008 por video streaming

El Tercer Día Internacional de la Seguridad de la Información DISI 2008, evento en el que Hispasec Sistemas participa como colaborador, se celebrará en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT, en el Campus Sur de la Universidad Politécnica de Madrid, España, el próximo LUNES 1 de DICIEMBRE.

Se recuerda que la asistencia es GRATUITA y que en estos momentos sólo es posible inscribirse por teléfono al número +34 913367842, atención Dña. Beatriz Miguel. A las personas inscritas y que asistan a DISI 2008 se les entregará un Certificado de Asistencia con una formación equivalente a 5 créditos CPE, Continuing Professional Education.

Participa como ponente internacional la Dra. Radia Perlman, Sun Microsystems Fellow Network Protocols and Security Project Principal Investigator en Estados Unidos, autora de dos libros sobre networking, con 51 patentes a su haber, ganadora de varios premios y nominada en dos ocasiones como una de las 20 personas más influyentes en la industria de los Estados Unidos. Es reconocida mundialmente como "la Madre de Internet" gracias a su invento del spanning-tree protocol.

La doctora Perlman dará una Rueda de Prensa de 10:45 a 12:00 horas en la Sala de Grados 3004 de la EUITT-UPM a la que están invitados todos los medios de comunicación.

Participan además el Dr. Arturo Ribagorda, Director del Grupo de Seguridad de la Información y de las Comunicaciones de la Universidad Carlos III de Madrid; D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil; D. Manuel Vázquez, Jefe de la Brigada de Investigación Tecnológica de la Policía Nacional y D. Daniel Acuña, Director de Sistemas de Defensa y Seguridad de Isdefe S.A., quien amablemente ha aceptado una invitación de última hora.

DISI 2008 contará también con una Mesa Redonda dedicada a "Forensia Informática y Amenazas del Cibercrimen" donde los asistentes podrán hacer preguntas y debatir con estos expertos sobre delito informático, crimen en Internet y ciberterrorismo.

A mitad de la jornada se invitará a los asistentes a un cóctel.

El evento será transmitido por video streaming y grabado para su posterior difusión por el GATE, Gabinete de Tele-educación de la UPM:
- Enlace en directo: mms://amon.gate.upm.es/campus-sur
- Enlace en diferido: mms://amon.gate.upm.es/videos/0809/upm/disi.wmv

Con más de 300 inscritos, DISI 2008 volverá a ser un referente de encuentro de profesionales de la seguridad de la información al más alto nivel científico y técnico celebrado en España.

Para mayor información y detalles del programa, por favor acceder al sitio Web de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información.
http://www.capsdesi.upm.es/


Jorge Ramió Aguirre
Director Cátedra UPM Applus+
www.capsdesi.upm.es/


Más información:

una-al-dia (18/10/2008) La doctora Radia Perlman invitada de honor a DISI 2008
http://www.hispasec.com/unaaldia/3647

sábado, 22 de noviembre de 2008

Revelación de información a través de ICMP en Check Point VPN-1

Se ha descubierto una vulnerabilidad en Check Point VPN-1 que podría permitir a un atacante remoto obtener las direcciones IP de la red interna.

El fallo reside en un manejo incorrecto de paquetes con un valor TTL bajo. Al recibir paquetes en puertos del cortafuegos que son mapeados a puertos internos, dichos paquetes son reescritos para enviarlos al servidor de administración del firewall. Con un TTL corto este proceso falla y sea crea un paquete ICMP de respuesta que contiene la dirección interna del cortafuegos. Un atacante remoto podría obtener las direcciones IP internas a través de paquetes especialmente manipulados.

Existe una prueba de concepto que explota esta vulnerabilidad. Check Point ha confirmado que en breve publicará una actualización para corregir este problema.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Checkpoint VPN-1 PAT information disclosure
http://www.portcullis.co.uk/293.php

viernes, 21 de noviembre de 2008

iPhone puede marcar involuntariamente al visitar una página con su Safari

Collin Mulliner ha descubierto un fallo en iPhone que permite realizar llamadas involuntariamente con sólo pulsar sobre un enlace. Lo terrorífico, es que las llamadas no se pueden cancelar con ningún botón ni virtual ni físico.

Según lo descubierto por Mulliner, un atacante puede inducir al usuario a pulsar sobre un enlace HTTP aparentemente inofensivo, y comenzar a marcar. Habitualmente, para prevenir precisamente llamadas "accidentales", aparece un cuadro de diálogo que permite al usuario decidir si realmente quiere establecer la conexión. Esta vulnerabilidad permite saltarse ese cuadro de diálogo (aunque aparezca) y la llamada comenzará en cualquier caso. Lo preocupante es que además no hay forma de cortarla. Los botones físicos no responden y en la pantalla no se podrá pulsar ningún otro botón virtual. No se han publicado los detalles, aunque existe un vídeo como prueba de concepto.

Este método puede resultar muy lucrativo para atacantes si esa llamada se realiza a números de tarificación adicional. El usuario establecerá la conexión y no podrá colgar. En este caso el atacante sólo tendría que enviar enlaces por email al cliente de correo del propio iPhone, publicar enlaces en páginas web que sean visitadas con Safari, o incluso enviarlo por SMS.

Los diseñadores de Apple han trasladado al mundo de la telefonía un error (y un temor) común que arrastran los navegadores desde hace años, con el daño potencial que esto conlleva. En un navegador "tradicional" de un sobremesa, uno de los mayores temores es la ejecución de código a través del navegador con sólo visitar un enlace, y que además ese enlace esté "camuflado" de forma que el usuario no sepa de antemano qué va a ocurrir. Llevado al iPhone, aunque pueda ser muy lucrativo ejecutar código en el propio sistema operativo del teléfono, se obtendría un beneficio mucho más directo a través de llamadas involuntarias a números de tarificación adicional (80X en España). Los usuarios de iPhone deben tener en cuenta otra vez a los "dialers". Con el agravante de que en este caso particular no hay necesidad de estar infectado, basta con pulsar en un enlace. Al igual que ocurría a finales de los 90, cuando la conexión a Internet se realizaba mayoritariamente a través de módems que permitían marcar números de teléfono, pero con una tecnología tan avanzada como el iPhone.

Al parecer Apple ya corrigió un error muy parecido hace algunas semanas, pero por lo visto no ha sido suficiente. Mulliner no ha dado los detalles de la vulnerabilidad, pero asegura que cualquiera con conocimientos básicos de HTML podría llegar a realizar el ataque. Probablemente juegue con marcos ocultos y el protocolo tel:// que permite marcar "desde Safari" en el iPhone. El fallo es que ha conseguido saltarse la confirmación de llamada y además bloquear el sistema. Al parecer no es suficiente con deshabilitar el JavaScript para estar prevenido.

El investigador ha esperado a que Apple haya publicado la actualización 2.2 de su firmware que corrige el fallo además de muchas otras graves vulnerabilidades. El mismo Mulliner demostró en el verano de 2006 en la DefCon, cómo era posible desarrollar un gusano que infectase los dispositivos móviles con Windows CE de forma automática y transparente, sin la necesidad de que el usuario interviniese.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Nueva generación de gusanos para "teléfonos Windows"
http://www.hispasec.com/unaaldia/2845

Sicherheitslücke: iPhone wählt selbständig Abzocke-Nummer
http://www.sit.fraunhofer.de/pressedownloads/pressemitteilungen/iPhoneHack.jsp

jueves, 20 de noviembre de 2008

Actualización de múltiples paquetes en SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes que solucionan numerosas vulnerabilidades.

Apache2
* Se han solventado múltiples vulnerabilidades en Apache2 que podrían ser aprovechadas para causar que ciertos servicios, que hagan uso de sus módulos, dejen de responder.

Ipsec-tools
* Un fallo en racoon/proposal.c de ipsec-tools puede causar una fuga de memoria. Un atacante remoto puede provocar una denegación de servicio mediante reiterados intentos de autenticación. Este error está presente en versiones anteriores a 0.7.1.

* Un fallo en src/racoon/handler.c de ipsec-tools provoca que ciertos manejadores creados por racoon no sean eliminados. Un atacante podría causar una denegación de servicio al consumir excesiva memoria.

Kernel-bigsmp
* Denegación de servicio en SCTP INIT-ACK.

* Salto de restricciones de seguridad a través de generic_file_splice_write.

* Salto de restricciones de seguridad a través de fs/open.c.

* Denegación de servicio en la función add_to_page_cache_lru de fs/splice.c.

* El código ext[234] del sistema de archivos falla al manejar estructuras de datos corruptas, lo que podría provocar una denegación de servicio.

* Denegación de servicio local a través de fs/direct-io.c.

* Se han añadido comprobaciones de capacidad en sbni_ioctl().

* Fuga de información del kernel a través del control de entrada/salida snd_seq.

* Escalada de privilegios o denegación de servicio en la función do_change_type de fs/namespace.c.

* Se han añadido comprobaciones de punteros nulos en las funciones de operación tty, lo que podría ser aprovechado por un atacante local para causar una denegación de servicio o escalar privilegios.

* Se ha añadido una comprobación de rangos en ASN.1 para el manejo de los filtros de red CIFS y SNMP NAT.

* Denegación de servicio local o escalada de privilegios en rch/i386/kernel/sysenter.c a través de las funciones install_special_mapping, syscall y syscall32_nopage.

Flash-player
* Ha sido corregido un error en la manera en que son escritos contenidos en el portapapeles. Un atacante a través de un archivo SWF especialmente manipulado podría colocar en el portapapeles una URL maliciosa que por acción del usuario podría ser usada para cargar contenido malicioso.

* Ha sido corregido un error no especificado en la interpretación de ficheros SWF que podría ser aprovechado por un atacante remoto para obtener información sensible.

* Ha sido corregido un error consistente en la no verificación de las llamadas a las funciones 'FileReference.browse' y 'FileReference.download' ActionScript de Adobe Flash Player. Esto podría permitir a un atacante remoto iniciar transferencias desde y hacia el sistema sin intervención alguna por parte del usuario.

* Ha sido corregido un error en la forma que que un atacante remoto podría acceder a los controles de la cámara web o el micrófono si el usuario pincha en un diálogo Flash Player de control de acceso que pareciera un simple elemento gráfico.

* Ha sido corregido un error en el tratamiento de la respuesta de un servidor web. Si un servidor envía una petición por segunda vez con, por ejemplo, versiones de un SWF diferentes, se podría provocar una denegación de servicio en el navegador que realizase la petición.

* Por último ha sido corregido un error en la manera en que Flash Player procesaba las políticas de seguridad de archivos. Un atacante remoto podría usar a Flash Player para perpetrar ataques de tipo cross-site/domain scripting, saltarse restricciones de seguridad, obtener acceso a información sensible y realizar escaneos de puertos.

MySQL
* Un fallo en la interpretación de sentencias sql en la que se utilicen cadenas vacías, podría permitir a un atacante a partir de un sentencia especialmente manipulada causar una denegación de servicio.

* Un fallo en el tratamiento de enlaces simbólicos en tablas MyISAM con DATA RECOVERY o INDEX DIRECTORY modificados, podría permitir a un atacante eludir restricciones de seguridad.

Ktorrent
* También se han solventado múltiples fallos de seguridad en ktorrent.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2008:025
http://lists.opensuse.org/opensuse-security-announce/2008-11/msg00001.html

miércoles, 19 de noviembre de 2008

Concurso décimo aniversario: Crackme

Dentro del marco de la celebración por el décimo aniversario de una-al-día, vamos a presentar un nuevo reto de ingeniería inversa relacionado con el evento. La idea es analizar y entender un programa conocido como crackme, destinado específicamente a que su propia protección software sea sorteada.

La solución a este reto arrojará luz sobre nuestras costumbres diarias. Para los ganadores habrá libros y camisetas de regalo.

El desafío consiste en generar un fichero de clave válido para este programa. El reto tiene además un problema de diseño relacionado con el hecho de que es un programa multi-hilo. Aquellos que además de encontrar la clave expliquen correctamente en qué consiste el problema tendrán prioridad sobre el resto, aunque tarden más en enviar la solución.

Las primeras personas que envíen un fichero con la clave correcta recibirán el libro "Una-al-día: 10 años de seguridad informática" y además una camiseta de Hispasec. Para puestos sucesivos se entregarán también camisetas conmemorativas. Hispasec ha publicado recientemente: "Una al día: 10 años de seguridad informática" con motivo de la celebración del décimo aniversario. El libro recorre los hitos más destacados de la última década y echa una mirada al futuro más inmediato del mundo de la (in)seguridad informática. La obra cuenta con la inestimable colaboración, a modo de entrevistas para la ocasión, de figuras relevantes en este terreno como son Bruce Schneider, Eugene Kaspersky, Johannes Ullrich, Juan C. García Cuartango, Mikel Urizarbarrena, etc.

Aprovechamos para informar de que en los últimos días se ha solucionado un error en la imprenta virtual lulu.com, que disparaba los gastos de envío a países en Latinoamérica. Ahora el precio es mucho más razonable. Disculpen las molestias.

El enlace para descarga del crackme es:
http://www.hispasec.com/uad/index_html
dentro de la pestaña crackme.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Una-al-día cumple 10 años
http://www.hispasec.com/uad/index_html

martes, 18 de noviembre de 2008

El debate sobre la Ingeniería Informática y la Seguridad de la Información

Durante las últimas semanas, con la convocatoria de varias movilizaciones y actos para mañana día 19 de noviembre, se ha intensificado el debate sobre la necesidad de regulación profesional de la Informática, como Ingeniería que es. Desde Hispasec hemos querido ir, si cabe, un poco más allá, planteando la necesidad de contar con una formación académica y/o mecanismos de acreditación específicos en Seguridad TIC. Para ello, a modo de entrevista, contamos con la inestimable colaboración de D. Fernando Arroyo Montoro, Director del Departamento de Lenguajes, Proyectos y Sistemas Informáticos de la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, la Escuela de Informática más antigua de España, que acaba de cumplir 30 años y D. Jorge Ramió Aguirre, profesor de Seguridad Informática en la UPM desde 1994, Coordinador de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed y Director de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información.

* Pregunta 1. ¿Qué opinas sobre la no existencia de fichas de competencia y atribuciones reguladas de Ingeniería Informática?

Fernando Arroyo:

En primer lugar hay que decir que las fichas de competencias son obligatorias para los títulos de Grado que llevan al ejercicio profesional de profesiones reguladas. Además, es necesario aclarar que las competencias que aparecen en estas fichas lo son con respecto a los conocimientos y capacidades que los estudiantes adquieren durante sus estudios en las universidades. Es por tanto obligatorio que en todas las fichas de profesiones reguladas en la rama de Arquitectura e Ingeniería aparezcan competencias relativas a la informática, ya que esta materia es definida como materia básica de la rama en el Real Decreto de Títulos de Grado.

Lo que es innegable, es el que la Informática adquiere cada vez más importancia en la Sociedad de la Tecnologías de la Información y de las Comunicaciones. No ya como materia transversal, que lo es (hoy en día cualquier persona que no tenga unos mínimos conocimientos de informática a nivel de usuario final podría ser considerado como un e-analfabeto), sino como una ingeniería capaz de construir sistemas complejos de información cada vez más útiles en todos los sectores industriales y empresariales. Es por esto por lo que los profesionales del sector de la informática estamos reclamando el reconocimiento debido a esta jovencísima rama de la Ingeniería. Es necesario que la Informática sea tratada como si fuese una profesión regulada; y es necesario que toda la sociedad española reconozca que merece ser tratada como cualquier otra Ingeniería. La ficha de Informática podría ser el primer paso para que en algún momento la Ingeniería Informática consiga sus atribuciones profesionales. A diferencia de otros sectores, creemos que dichas atribuciones no tienen porqué ser excluyentes, ya que Informática no sólo se estudia en la rama de Ingeniería, sino que también en las Facultades de Matemáticas y Físicas se estudia esta materia en mucho detalle; es más, una de las cinco posibles especialidades reconocidas en la ACM y la IEEE - AIS es la de Ciencias de la Computación, y esta especialidad tiene una fuerte componente científica que es muy necesaria para el desarrollo completo de la INFORMÁTICA.

Dicho esto, hay que aclarar que, de competencias definidas en las fichas del Ministerio a la obtención de atribuciones, debería haber un gran paso. La obtención de atribuciones para las competencias relativas en Informática en los títulos de Telecomunicaciones no debería ser algo fácil de conseguir. Entiendo que es una cuestión política, ya que las atribuciones se determinan a través de Reales Decretos, y entiendo que ciertos Colegios Profesionales están muy bien situados en las esferas de poder político. Lo que sí que deberían entender nuestros representantes políticos es que antes de conceder atribuciones profesionales en Informática, sería necesario reconocer a los profesionales que están ejerciendo en este campo sus derechos, y esto conlleva reconocer a la Ingeniería Informática como profesión regulada. Como se ha dicho en mi presentación, la Escuela Universitaria de Informática es la más antigua de España. Nació hace 30 años y la fundó D. Rafael Portaencasa Baeza, que fue su primer Director y que posteriormente fue Rector de nuestra Universidad. Él mismo, en un acto homenaje que se le ofreció el pasado 30 de Octubre, en la EUI -su casa- dijo que con la fundación de la EUI se ponía la primera piedra para que la Informática se reconociese como una Ingeniería. Ese ha sido siempre el espíritu de nuestra Escuela y de nuestra Universidad, y por lo tanto, desde aquí debemos pedir en todos los escenarios posibles que nuestra ingeniería obtenga al menos su ficha y que se llegue a reconocer como profesión regulada.


* Pregunta 2. ¿El hecho de esta no regulación facilitaría a las universidades la propuesta de nuevas especialidades en informática?

Fernando Arroyo:

Desde el comienzo del proceso de transformación de la Enseñanza Universitaria al Espacio Europeo de Educación Superior, en la rama de Ingeniería Informática la línea de actuación fue marcada por la CODDI en el sentido de que todos los planes de Estudio de Graduado/a en Ingeniería Informática se elevasen a la ANECA como si fuese ésta una profesión regulada. Es también un hecho sabido que la única Universidad que ha propuesto títulos no generalistas en Informática es la Universidad Politécnica de Madrid y los ha adscrito a la Escuela Universitaria de Informática. Esto no significa que estos títulos no puedan ser reconocidos como graduados en Informática, ni tampoco significa que el único posible título con competencias y posibles atribuciones en esta rama sea el de Ingeniería Informática. Es notorio que en la ficha de competencias para la Ingeniería de Telecomunicaciones hay cuatro títulos de graduado en telecomunicaciones. No reconocer nuevos títulos de graduado en esta ingeniería sería como negar la separación de las materias científicas que se ha venido produciendo en el S XX con respecto a casi todas las disciplinas científicas. Ofrecer títulos de grado no generalistas en Informática es, en mi opinión, favorecer la inserción laboral de los egresados de estos títulos. Lo que no se debe perder de vista, es el objetivo de que los títulos de grado en Informática obtengan las atribuciones en el caso de que éstas se lleguen a obtener algún día.

Ésta ha sido siempre la línea directriz que ha llevado a la Escuela Universitaria de Informática a proponer dos Títulos de Grado en Informática: Graduado en Ingeniería del Software y Graduado en Ingeniería de Computadores. Estos títulos están perfectamente definidos en cuanto a descriptores y competencias en los documentos de la ACM - IEEE - AIS, junto con otros tres más: Ciencias de la Computación, Sistemas de Información y Tecnología de los Sistemas de la Información. Desde la EUI, y desde la UPM (con la aprobación de tres títulos de Grado en Informática en el pasado Consejo de Gobierno de 13 de Noviembre los dos nombrados anteriormente y el de Graduado en Ingeniería Informática) se está apostando por títulos de grado de futuro y de calidad en esta rama. Personalmente entiendo que, sin salirnos del contexto del reconocimiento internacional en lo que a titulaciones de grado en informática se refiere, es factible modernizar y dinamizar las enseñanzas en esta rama de la Ingeniería favoreciendo el desarrollo de una sociedad cada vez más dependiente de los profesionales que se forman con competencias en el desarrollo de Sistemas de Información, y esto es lo que la UPM está haciendo al ofrecer estos nuevos títulos de Grado en Informática.


* Pregunta 3. ¿Para cuándo una carrera universitaria específica de Seguridad TIC?

Jorge Ramió:

De momento no la hay. Pero los tiempos cambian y al menos ya nadie duda que se trata de una asignatura de carácter obligatoria; una quimera hace tan sólo 10 años. Por ejemplo, en los nuevos planes de estudio de la Escuela Universitaria de Informática de la UPM donde trabajo, orientados hacia la convergencia con Bolonia, se impartirán las nuevas titulaciones de Graduado en Ingeniería del Software y Graduado en Ingeniería de Computadores, dos de las titulaciones que entre otras la ACM propone en Ingeniería Informática, y en ambas aparece Fundamentos de la Seguridad de la Información como materia obligatoria y con una importante carga lectiva, algo por lo que muchos profesores veníamos hace años suplicando.

Actualmente con 15 años de docencia en seguridad, en el año 2.000 tuve la osadía de proponer en el Congreso de Enseñanza de la Informática JENUI celebrado en Palma de Mallorca, una nueva titulación de grado en Seguridad Informática. Esto puede parecer una quimera, pero ya había voces a este respecto de profesores en los Estados Unidos desde el año 1998, y diez años en informática y más aún en seguridad de la información, sector que ha experimentado un crecimiento vertiginoso en esta última década, no tiene comparación con muchas otras especialidades de la ingeniería.

Lo que sí es cierto es que en España abundan las ofertas de postgrado en seguridad desde distintas universidades y organismos, superando en la actualidad la quincena. Un número muy a tener en cuenta si lo comparamos con otras especialidades de la informática y las telecomunicaciones más antiguas y supuestamente más importantes, pero con una cuota de mercado bastante más baja. ¿Por qué hay tanta oferta de postgrado, incluso en universidades que no tienen un fuerte desarrollo académico propio en este tema? La respuesta es obvia, el mercado lo demanda. Si unimos a esto la proliferación de congresos de la especialidad mucho más numerosos que otras ramas de las ingenierías, varias revistas técnicas, grupos de investigación en la práctica totalidad de nuestras universidades y centros de investigación, un desarrollo empresarial e industrial que necesita de estos profesionales, etc., no sería ninguna locura hacer un estudio de mercado sobre la necesidad y aceptación de una nueva carrera en Seguridad TIC.


* Pregunta 4. ¿Crees que actualmente se debería requerir una formación académica específica para puestos profesionales de responsabilidad en áreas de seguridad TIC?

Jorge Ramió:

En mi opinión sí. De hecho, esto ya está de alguna forma regulado en el mercado de trabajo a través de certificaciones como CISA, CISM y CISSP, entre otras. ¿Por qué no puede hacerse algo similar a través de una formación académica universitaria específica y más amplia? La seguridad de la información abarca hoy en día un gran número de disciplinas como la criptografía para la protección del secreto o confidencialidad, la autenticación e integridad, aspectos de biometría, seguridad de las redes, control de la máquina, análisis de riesgos, implantación de procedimientos de gestión, políticas de seguridad, recuperación ante desastres, aplicación de normas internacionales, adaptación a la legislación en materia de protección de datos de carácter personal, aspectos de deontología, etc., y resulta imposible que un ingeniero o licenciado en informática o telemática tenga todos estos conocimientos si no ha recibido una formación específica. De allí que exista una oferta tan amplia en cursos de postgrado y además tengan éxito.

La pregunta es si seguir en esta línea de ofertas de formación de postgrado (para qué nos vamos a engañar, todas de carácter privado y con un alto coste para al alumno) o hacer una formación específica de pregrado que abarque aspectos de la informática, la telemática y aquellos de la seguridad que se pide en el mercado de trabajo, pero a un precio asequible y con una amplia oferta en créditos.


* Pregunta 5. ¿La situación actual debe de verse como una oportunidad para la aparición de esa carrera de seguridad?

Jorge Ramió:

La seguridad no sólo está de moda, es imprescindible contar con ella en todos los niveles de análisis, diseño, producción y gestión de sistemas. Además, desde hace poco más de un lustro muchos de sus procesos son de estricto cumplimiento de acuerdo con las actuales leyes de protección de datos y normas internacionales, con lo cual se cierra el ciclo en tanto tales procesos deben ser auditados y en algunos casos certificados. Se trata de un entorno lleno de oportunidades, tanto de investigación como de desarrollo, y un excelente mercado de trabajo para nuestros futuros ingenieros.

No se puede pedir más en tan poco tiempo, salvo que nuestros ilustres políticos nos tengan en cuenta como informáticos, puesto que la mayoría de la centena de asignaturas en esta especialidad que se ofrecen en las universidades españolas se encuentran precisamente en titulaciones de Ingeniería en Informática. Si hay voluntad política y no se aclaran en determinar cuáles son las atribuciones en informática, mucho menos lo harán en seguridad.

En cuanto a nuevas carreras, podemos y debemos seguir los cánones internacionales actuales, pero éstos también cambian, y es muy lógico y saludable que lo hagan. ¿Quién iba a decir a mediados de los años 80 que se crearía una Ingeniería del Software? Quien lo hubiese propuesto habría sido considerado como poco de iluso, y en cambio desde hace bastantes años es ya una realidad.

Aunque sea una quimera, sigo creyendo que hace falta una nueva titulación de grado en Seguridad TIC. La cuestión estriba en quién estaría dispuesto a liderar esta oferta revolucionaria. Además, el estamento académico universitario es por lo general muy dado a conservar el status quo logrado, por lo que además de una apuesta fuerte y valiente por parte de las autoridades universitarias, haría falta esa complicidad y colaboración académica que sinceramente la veo complicada, salvo quizás en algunos entornos universitarios privados posiblemente más ágiles. En resumen, que me gustaría ser optimista, pero con los pies en la tierra comprendo que un cambio de esta envergadura no resulte fácil y mucho menos en el momento económico y de incertidumbre que vive hoy la universidad española. Tal vez algún día la universidad reaccione ante esta demanda y como suele suceder no sería extraño que llegase tarde.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Universidad Politécnica de Madrid
http://www.upm.es/

Departamento de Lenguajes, Proyectos y Sistemas Informáticos (UPM)
http://www.lpsi.eui.upm.es/

Página personal de Jorge Ramió Aguirre
http://www.lpsi.eui.upm.es/~jramio/

Cátedra UPM Applus+ de Seguridad y Desarrollo Sociedad Información
http://www.capsdesi.upm.es/

Red Temática Iberoamericana de Criptografía y Seguridad Información
http://www.criptored.upm.es/

lunes, 17 de noviembre de 2008

Guías AMTSO para la evaluación de productos anti-malware

La AMTSO (Anti Malware Testing Standards Organization) ha publicado un par de documentos en los que se explican principios generales básicos a seguir a la hora de realizar comparativas de productos antivirus con cierto fundamento.

Tras muchos meses de esfuerzo colaborativo, mucho tiempo discutiendo y dando forma a ideas, el AMTSO finalmente ha publicado dos documentos que ayudarán a los evaluadores de productos antimalware para que reflejen, en lo posible, con fidelidad los resultados más fiables posibles. Desde Hispasec, como miembros que somos de la organización, apoyamos dicha iniciativa ya que, seguida de forma adecuada, ayudará a los usuarios finales a tener una imagen más real de los productos disponibles en el mercado.

El primero de estos documentos publicados, "Principios fundamentales para la evaluación", describe una serie de condiciones básicas", digamos "filosóficas", que pueden esperarse del potencial evaluador, como que su método de análisis no suponga un peligro para el público (la creación de nuevos virus para el propósito de la prueba), o que la evaluación ha de ser imparcial, abierta y transparente. Si bien muchos de estos puntos pueden parecer obvios a primera vista, se ahonda en ellos para garantizar su claridad y matices.

En el segundo, "Mejores prácticas para la evaluación dinámica", se ahonda en cuestiones más técnicas que las enumeradas en el anterior, relacionadas con ese tipo de evaluación de productos: Validez, diversidad, relevancia y "frescura" de las muestras usadas en el análisis, a parte de temas como el uso de máquinas virtuales, acceso a la red en las plataformas utilizadas, evaluación de falsos positivos o diversos aspectos de la eficiencia de los productos, como su capacidad de detección y eliminación de amenazas.

El AMTSO seguirá publicando guías en este sentido, y se ofrecen a los evaluadores a ayudar en su tarea en lo posible. La neutralidad de la organización viene garantizada no sólo por la gran cantidad de empresas antivirus que la conforman, sino por la participación de otras empresas que no son parte directa del sector, entre las que se encuentra Hispasec.

Si bien la documentación inicial se ha redactado en inglés, se han realizado traducciones, por lo que hay también disponible versiones en castellano del documento de "Principios fundamentales para la evaluación" y "Mejores prácticas para la evaluación dinámica".


Julio Canto
jcanto@hispasec.com


Más información:

07/02/2008 Comparativas Antivirus: adaptándose a los nuevos tiempos
http://www.hispasec.com/unaaldia/3393/comparativas-antivirus-adaptandose-los-nuevos-tiempos

AMTSO (Anti Malware Testing Standards Organization)
http://www.amtso.org

Documentos AMTSO
http://www.amtso.org/documents.html

Principios fundamentales para la evaluación
http://www.eset-la.com/amtso/amtso_principios.pdf

Mejores prácticas para la evaluación dinámica
http://www.eset-la.com/amtso/amtso_mejores_practicas.pdf

domingo, 16 de noviembre de 2008

Ejecución remota de código en Microsoft XML Core Services

Dentro del conjunto de boletines de seguridad de noviembre publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-069) de una actualización crítica para evitar tres vulnerabilidades en Microsoft XML Core Services, que podrían permitir a un atacante remoto ejecutar código arbitrario, o revelar información sensible, si el usuario visualiza un email, o abre con Internet Explorer una página web especialmente manipulada.

La primera vulnerabilidad está causada por una corrupción de memoria provocada por un error en la forma en la que Microsoft XML Core Services procesa contenido XML. El error podría ser aprovechado por un atacante remoto para ejecutar código arbitrario si el usuario visualiza un email o página web especialmente manipulada. Si el usuario abriese el archivo con permisos de administrador, el atacante tomaría completo control del sistema.

La segunda vulnerabilidad está causada porque MSXML maneja de forma incorrecta la comprobación de errores de DTDs externas, lo que permitiría la realización de ataques de cross-domain scripting. El error podría ser aprovechado por un atacante remoto para revelar información sensible de una página web perteneciente a otros dominios en Internet Explorer.

Por último, la tercera vulnerabilidad corregida está causada porque MSXML permite que los valores de ciertos campos de peticiones HTTP sean establecidos por el cliente, esto provoca la corrupción del estado de la sesión. El error podría ser aprovechado por un atacante remoto para revelar información sensible si el usuario visualiza un email o página web especialmente manipulada.

Este parche sustituye al parche anterior (MS07-042) en la mayoría de los sistemas afectados, que son Windows 2000, Windows XP, Windows Server 2003 y 2008, Windows Vista y Microsoft Office.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde la dirección del boletín de Microsoft:
http://www.microsoft.com/spain/technet/security/Bulletin/MS08-069.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-069
http://www.microsoft.com/spain/technet/security/Bulletin/MS08-069.mspx

sábado, 15 de noviembre de 2008

La versión 3.2 de Safari corrige hasta 11 fallos de seguridad

Después de que Mozilla publicara recientemente una actualización de seguridad para su navegador Firefox, ahora le ha llegado el turno a Safari. Apple acaba de lanzar la versión 3.2 de su navegador en la que se corrigen hasta 12 vulnerabilidades, algunas de ellas catalogadas como críticas ya que podrían permitir la ejecución de código de forma remota. Recordamos que la última revisión de seguridad de Safari fue publicada a finales del mes de Junio.

Los problemas solventados en la versión 3.2 de Safari se pueden dividir en dos bloques, los que están causados por fallos en WebKit, el motor de navegación de código abierto contenido en Safari, y los propios de Safari, que son los expuestos en primer lugar:

1- Múltiples vulnerabilidades en la librería zlib 1.2.2 que podrían causar una denegación de servicio.

2- Denegación de servicio o ejecución remota de código arbitrario al procesar documentos XML especialmente manipulados. El fallo está causado por un desbordamiento de búfer basado en heap en la librería libxslt.

3- Se ha encontrado un fallo de desbordamiento de búfer basado en heap en el manejador de espacios de color de CoreGraphics. La vulnerabilidad podría ser aprovechada para hacer que la aplicación se cierre de forma inesperada o para ejecutar código arbitrario si un usuario visualiza una imagen especialmente manipulada.

4- Se han encontrado múltiples intentos de acceso a memoria no inicializada al hacer uso de la librería libtiff para intentar procesar imágenes TIFF codificadas con LZW. Esto podría ser aprovechado para hacer que Safari se cerrase de forma inesperada o para ejecutar código arbitrario, si un usuario visualiza una imagen especialmente manipulada.

5- Existe un fallo de corrupción de memoria durante el procesado que hace ImageIO de imágenes TIFF especialmente manipuladas. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario o causar una denegación de servicio en la aplicación.

6- Denegación de servicio o ejecución remota de código arbitrario causada por una corrupción de memoria en ImageIO al procesar imágenes JPEG especialmente manipuladas que contengan perfiles ICC.

7- Desbordamiento de búfer causado por el procesamiento de forma errónea de imágenes que contengan un perfil ICC. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario o hacer que Safari se cierre de forma inesperada.

8- Revelación de información sensible a usuarios locales a través de la caché del navegador.

A continuación se detallan los fallos del motor de navegación WebKit:

9- Acceso a memoria fuera de límites causado por un manejo erróneo de los índices de arrays JavaScript en Safari. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario o causar una denegación de servicio si se visita un página web especialmente modificada.

10- Denegación de servicio o ejecución remota de código causada por un fallo de corrupción de memoria en Webcore al manejar hojas de estilos.

11- Revelación de información sensible aprovechándose de que el interfaz de plugins de WebKit no bloquea el acceso a URLs locales desde los propios plugins.

Todos los problemas mencionados afectarían a las versiones de Safari para Windows, mientras que sólo los cuatro últimos afectarían a las distintas versiones del navegador para el sistema operativo de Apple, Mac OS X.

Se recomienda actualizar a la versión 3.2 de Safari, disponible a través de la característica de auto actualización, y para las distintas plataformas desde:

Safari 3.2 for Windows:
http://www.apple.com/support/downloads/safari32forwindows.html

Safari 3.2 for Tiger:
http://www.apple.com/support/downloads/safari32fortiger.html

Safari 3.2 for Leopard:
http://www.apple.com/support/downloads/safari32forleopard.html


Pablo Molina
pmolina@hispasec.com


Más información:

About the security content of Safari 3.2
http://support.apple.com/kb/HT3298

14/11/2008 Actualizaciones críticas para productos Mozilla
http://www.hispasec.com/unaaldia/3674

02/07/2008 Actualización de seguridad de Apple Safari para Mac OS X
http://www.hispasec.com/unaaldia/3539

viernes, 14 de noviembre de 2008

Actualizaciones críticas para productos Mozilla

La Fundación Mozilla ha publicado múltiples actualizaciones para Thunderbird, Seamonkey y para las dos ramas de su navegador Firefox (2.x y 3.x). Las nuevas versiones corrigen múltiples fallos de seguridad que podrían permitir salto de restricciones, revelación de información sensible, denegaciones de servicio y ejecución de código arbitrario por parte de un atacante remoto, pudiendo comprometer un sistema vulnerable.

Las siguientes vulnerabilidades han sido calificadas como críticas por el equipo de Mozilla, ya que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario.

1- Se han corregido múltiples vulnerabilidades en los motores de navegación, diseño y JavaScript que podrían causar una corrupción de memoria, permitiendo así la ejecución de código. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

2- Se ha descubierto que la característica de restauración de sesión podría ser utilizada para violar la política de mismo origen, permitiendo la ejecución de JavaScript en el contexto de un sitio diferente (cross-site scripting) y también con los privilegios de chrome (escalada de privilegios). Afecta a Firefox 2 y 3.

3- Existe un error al procesar las respuestas http-index-format del tipo MIME, que podría ser aprovechado por un atacante para ejecutar código arbitrario por medio de una respuesta HTTP index especialmente manipulada.

4- Denegación de servicio y ejecución remota de código en nsFrameManager provocado por un error de condición de carrera. El error existe cuando un método DOM de un formulario HTML específico es llamado antes de que el objeto se haya inicializado por completo. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

5- Denegación de servicio y ejecución remota de código a través de archivos SWF, descargados dinámicamente desde una función JavaScript exterior, que podrían acceder a memoria no mapeada en el módulo Flash. Afecta a Firefox 2 y Seamonkey.

6- Alterando el objeto window.__proto__.__proto__ es posible causar una denegación de servicio en el motor de navegación en incluso lograr la ejecución de código arbitrario. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

También se han solventado las siguientes vulnerabilidades de un alcance menor:

7- Revelación de información sensible de la caché local a través de accesos directos .url. Afecta a Seamonkey y Firefox 2 y 3.

8- Escalada a privilegios de chrome a través de URI's de tipo 'file:'. Afecta a Firefox 3.

9- Cross site scripting en "nsXMLHttpRequest::NotifyEventListeners()" que podría ser aprovechado para ejecutar código JavaScript en el contexto de un sitio web distinto. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

10- Salto de restricciones y ejecución de código JavaScript a través de la propiedad "-moz-binding" de las hojas de estilo CSS. Afecta a Seamonkey y Firefox 2 y 3.

11- Error de parseo en documentos E4X. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird.

12- Salto de restricciones y robo de imágenes a través de elementos canvas y redirecciones HTTP. Afecta a Firefox 2, Seamonkey y Thunderbird.

Se recomienda la actualización de los productos Mozilla a las siguientes versiones no vulnerables: Firefox 2.0.0.18 ó 3.0.4, Thunderbird 2.0.0.18 (cuando esté disponible) y SeaMonkey 1.1.13: http://www.mozilla.com/

Recordamos que la rama de versiones 2.x de Firefox dejará de recibir soporte el próximo mes de Diciembre, por lo que se recomienda migrar a Firefox 3.x lo antes posible.


Pablo Molina
pmolina@hispasec.com


Más información:

Mozilla Foundation Security Advisory 2008-52: Crashes with evidence of
memory corruption
http://www.mozilla.org/security/announce/2008/mfsa2008-52.html

Mozilla Foundation Security Advisory 2008-53: XSS and JavaScript
privilege escalation via session restore
http://www.mozilla.org/security/announce/2008/mfsa2008-53.html

Mozilla Foundation Security Advisory 2008-54: Buffer overflow in
http-index-format parser
http://www.mozilla.org/security/announce/2008/mfsa2008-54.html

Mozilla Foundation Security Advisory 2008-55: Crash and remote code
execution in nsFrameManager
http://www.mozilla.org/security/announce/2008/mfsa2008-55.html

Mozilla Foundation Security Advisory 2008-49: Arbitrary code execution
via Flash Player dynamic module unloading
http://www.mozilla.org/security/announce/2008/mfsa2008-49.html

Mozilla Foundation Security Advisory 2008-50: Crash and remote code
execution via __proto__ tampering
http://www.mozilla.org/security/announce/2008/mfsa2008-50.html

Mozilla Foundation Security Advisory 2008-47: Information stealing via
local shortcut files
http://www.mozilla.org/security/announce/2008/mfsa2008-47.html

Mozilla Foundation Security Advisory 2008-51: file: URIs inherit chrome
privileges when opened from chrome
http://www.mozilla.org/security/announce/2008/mfsa2008-51.html

Mozilla Foundation Security Advisory 2008-56:
nsXMLHttpRequest::NotifyEventListeners() same-origin violation
http://www.mozilla.org/security/announce/2008/mfsa2008-56.html

Mozilla Foundation Security Advisory 2008-57: -moz-binding property
bypasses security checks on codebase principals
http://www.mozilla.org/security/announce/2008/mfsa2008-57.html

Mozilla Foundation Security Advisory 2008-58: Parsing error in E4X
default namespace
http://www.mozilla.org/security/announce/2008/mfsa2008-58.html

Mozilla Foundation Security Advisory 2008-48: Image stealing via canvas
and HTTP redirect
http://www.mozilla.org/security/announce/2008/mfsa2008-48.html

jueves, 13 de noviembre de 2008

Actualización de seguridad para GnuTLS

El proyecto GNU ha publicado una actualización de seguridad para su producto GnuTLS, que elimina múltiples fallos menores y una vulnerabilidad que permitiría la falsificación de certificados X.509.

GnuTLS es una librería para la implementación del protocolo TLS (Transport Layer Security, capa de seguridad del transporte) y de su predecesor SSL (Secure Sockets Layer, capa de conexión segura), métodos utilizados para ofrecer cifrado y integridad de datos en las comunicaciones entre dos entes a través de una red informática.

Aunque tradicionalmente el uso más frecuente de SSL/TLS es para el cifrado de las páginas web, en realidad estos protocolos de transporte son totalmente independientes del protocolo de aplicación. Es decir, se puede utilizar SSL/TLS para el cifrado de protocolos de aplicación como Telnet, FTP, SMTP, IMAP o el propio HTTP.

SSL/TLS no ofrecen únicamente la capacidad de cifrar la información, sino que también permiten a cada una de las partes identificarse de forma fehaciente, lo que evita posibles ataques de suplantación o de interceptación de sesiones ("man-in-the-middle").

La vulnerabilidad descubierta, podría ser aprovechada para validar un certificado de forma automática sin que este sea realmente comprobado en la lista de certificados válidos.

El error está causado por un fallo en la función _gnutls_x509_verify_certificate en x509/verify.c, que se encarga de la cadena de verificación de los certificados X.509. Debido al error, si se añade un certificado autofirmado confiable a la lista, este será descartado una vez validado, y el certificado situado inmediatamente después será dado por válido sin pasar por el proceso de comprobación.

El fallo podría ser aprovechado por un atacante por medio de ataques man-in-the-middle. Lo que le permitiría suplantar cualquier nombre y añadirle un certificado confiable falso, que daría con que el cliente de GnuTLS lo acepte como seguro.

Se recomienda actualizar a la versión 2.6.1 de GnuTLS no vulnerable, disponible para su descarga desde:
http://www.gnu.org/software/gnutls/


Pablo Molina
pmolina@hispasec.com


Más información:

GnuTLS 2.6.1 - Security release [GNUTLS-SA-2008-3]
http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3215

miércoles, 12 de noviembre de 2008

La última vulnerabilidad en Adobe PDF, explotada de forma activa

Desde hace varios días se está observando que una vulnerabilidad corregida en la última versión de Adobe (tanto su versión Reader como la que permite editar) está siendo aprovechada de forma activa para infectar sistemas. Se están creando nuevos ataques tan recientes que, en cierta forma, están pasando desapercibidos para muchos antivirus.

El pasado día 5 de noviembre Adobe publicó (entre otros boletines de seguridad para otros productos) una actualización para Adobe y Adobe Reader 8 que solucionaba varias vulnerabilidades que permitían la ejecución de código.

Uno de los fallos más graves se daba en la función JavaScript "util.printf", provocado por un error al procesar cadenas de formato. Adobe fue advertida del problema en abril de este mismo año. Foxit Reader, otro popular lector de PDF, también sufría una vulnerabilidad muy parecida. Foxit lo solucionó un mes después, en abril, mientras que Adobe publicó a principios de noviembre el parche. Poco después apareció información pública con los datos técnicos de la vulnerabilidad.

Como era de esperar, esta vulnerabilidad está siendo aprovechada de forma activa desde hace días para instalar malware en el sistema, si se abre un archivo PDF especialmente manipulado. Se está observando una gran cantidad de correo basura o páginas web que contienen estos ficheros en PDF. En estos momentos, los nuevos archivos PDF usados para el ultimísimo ataque son detectados (a través de firmas) apenas por un 14% de motores antivirus en Virustotal.com

F-Secure, versión 8.0.14332.0, fecha 2008.11.12: Exploit:W32/Pidief.AS
SecureWeb-Gateway, versión 6.7.6, fecha 2008.11.12:
Exploit.PDF.Shellcode.gen (suspicious)
Symantec, versión 10, fecha 2008.11.12: Trojan.Pidief.D
TrendMicro, versión 8.700.0.1004, fecha 2008.11.12: TROJ_PIDIEF.CW

Es importante destacar que esto no significa que otros (e incluso esos mismos) motores antivirus instalados en el escritorio no puedan detectar el fichero PDF como malicioso a través de otros métodos que no sean exclusivamente las firmas. También es probable que detecten, si no el PDF, el malware que suele ser descargado a posteriori, una vez aprovechada la vulnerabilidad. El indicador de VirusTotal sólo nos permite hacernos una idea de cuántos archivos podrían llegar a pasar un primer filtro antivirus situado por ejemplo en el perímetro, integrado en el correo, donde sólo se suelen tener en cuentas las firmas para filtrar muestras y llegar así al escritorio. Además, es seguro que en muy poco tiempo sea detectado por la mayoría de los antivirus en cuanto actualicen sus bases de datos de firmas.

Aunque un fallo muy similar fue encontrado en abril, no se anunció públicamente que afectase a Adobe. Sólo Foxit Reader lo solucionó, y no se han detectado ataques contra este lector. No ha sido hasta que se ha hecho público que el problema afecta a Adobe, que, aun existiendo parche, los atacantes se han lanzado a aprovechar la vulnerabilidad.

Se aconseja actualizar el lector lo antes posible. En sistemas en los que la actualización no sea posible por cualquier razón, se puede desactivar la interpretación de JavaScript del lector (y eliminar así no solo este, sino otros muchos problemas futuros) con un cambio en el registro de Windows. Algunas funcionalidades del lector podrían dejar de estar operativas. En la rama:

HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\8.0\JSPrefs

Añadir la clave:

Nombre: bEnableJS
Tipo: DWORD
Valor: 0


Sergio de los Santos
ssantos@hispasec.com


Más información:

Security Update available for Adobe Reader 8 and Acrobat 8:
http://www.adobe.com/support/security/bulletins/apsb08-19.html

Adobe Reader Javascript Printf Buffer Overflow:
http://www.coresecurity.com/content/adobe-reader-buffer-overflow

05/11/2008 Nueva versión de Adobe Acrobat/Reader 8 corrige graves
vulnerabilidades conocidas desde hace meses
http://www.hispasec.com/unaaldia/3665

martes, 11 de noviembre de 2008

Boletines de seguridad de Microsoft en noviembre

Tal y como adelantamos, este martes Microsoft ha publicado dos boletines de seguridad (del MS08-068 y MS08-069) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft uno de los boletines presenta un nivel de gravedad "importante" y otro es "crítico".

Los dos boletines publicados son:

* MS08-068: Actualización considerada como importante que corrige una vulnerabilidad en el protocolo Microsoft Server Message Block (SMB) que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

* MS08-069: Actualización crítica destinada a solucionar tres vulnerabilidades en Microsoft XML Core Services, que en el caso más grave permitirían la ejecución remota de código arbitrario si el usuario visualiza un e-mail o abre con Internet Explorer una página web especialmente manipulada. También podrían permitir la obtención de información sensible en similares condiciones. Afecta a Windows 2000, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP y Office.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for November 2008
http://www.microsoft.com/technet/security/bulletin/ms08-nov.mspx

Microsoft Security Bulletin MS08-069
Vulnerabilities in Microsoft XML Core Services Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms08-069.mspx

Microsoft Security Bulletin MS08-068
Vulnerability in SMB Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx

lunes, 10 de noviembre de 2008

Ahora sí, TKIP usado en WPA parece estar herido de muerte

Los investigadores alemanes Erik Tews y Martin Beck dicen haber conseguido saltarse parcialmente la seguridad que proporciona WPA (Wi-Fi Protected Access) en las redes inalámbricas. WPA vino a salvarnos del inseguro WEP (Wired Equivalent Privacy), que fue vencido pocos años después de su estandarización y que hoy en día es un cifrado obsoleto. Este descubrimiento hace pensar que WPA parece ir por el mismo camino.

Segundo ataque al algoritmo de cifrado y autenticación WPA para redes inalámbricas, y esta vez va en serio. A principios de octubre se publicó la noticia de que la compañía rusa ElcomSoft había conseguido reducir sustancialmente el tiempo necesario para recuperar una clave de WPA, ayudándose de tarjetas gráficas NVIDIA. Al parecer el método conseguía, a través de fuerza bruta, deducir claves extraordinariamente rápido. La fuerza bruta no supone un ataque o una debilidad del WPA en sí, por tanto el cifrado se mantenía relativamente a salvo siempre que se usase una contraseña suficientemente larga y entrópica. El descubrimiento de ElcomSoft no era tan relevante en este sentido. Todo es susceptible de ser atacado por fuerza bruta. Sin embargo lo que Tews y Beck han encontrado sí es un problema inherente a una parte de WPA, un fallo en la criptografía usada en muchas configuraciones.

Es importante recalcar que el método descubierto no permite recuperar la contraseña. Y que tampoco influye el método de autenticación. El problema está en el cifrado. Está limitado a descifrar paquetes concretos o inyectar nuevos (y sólo una pequeña cantidad). También es necesario destacar que el ataque sólo funciona si se utiliza el cifrado TKIP, no el AES. El ataque inminente y posible es provocar una denegación de servicio o inyectar paquetes ARP, lo que puede hacer que se redirija el tráfico. Insistimos en que no es posible por ahora recuperar la clave o descifrar todo el tráfico.

WPA puede usar diferentes algoritmos de cifrado: AES (estándar y seguro por ahora) y el Temporal Key Integrity Protocol (TKIP). Aquí es donde se ha encontrado la vulnerabilidad. Un ataque basado en la misma técnica que volvió obsoleto al WEP (ataque conocido como chopchop) ha permitido que se pueda descifrar un paquete de tipo ARP en menos de 15 minutos, independientemente de la contraseña usada para proteger el WPA. TKIP se creó precisamente para solucionar los problemas de WEP. Por ejemplo añade entre otras, comprobación de integridad del mensaje (MIC) en vez del débil CRC32 que usaba WEP. El problema es que TKIP también conserva varios peligros heredados de WEP. TKIP se creó para que fuese compatible con los dispositivos que ofrecían WEP sólo con actualizaciones del firmware, sin necesidad de cambiar el hardware: un parche.

Los analistas han observado que aprovechándose de estas similitudes, y eludiendo las mejoras introducidas con TKIP, se puede realizar un ataque muy al estilo del que se creó contra WEP y con resultados limitados. Para ello atacan a paquetes ARP (se usan estos paquetes porque son pequeños y sólo quedan por conocer 14 bytes, una vez que se sabe en qué subred nos movemos) y el resultado es que se puede descifrar en menos de 15 minutos. Para otros paquetes se debería emplear más tiempo. El truco es usar un canal o cola QoS diferente de donde fue recibido el paquete. El ataque funciona incluso si la red no tiene funcionalidad QoS.

En una versión en desarrollo de aircrack-ng, se puede encontrar la implementación del ataque. Es bastante probable que, en cuestión de tiempo, se mejore el ataque y se rompan las limitaciones que por ahora sufre.

Los usuarios y administradores que usen WPA deben cambiar en la medida de lo posible al cifrado AES, o mejor aún pasar a WPA2 que soluciona de raíz el problema. Si no es posible, también cabe la posibilidad de configurar WPA para que el recálculo de claves sea cada, por ejemplo, 120 segundos o menos. Aunque esto puede tener cierto impacto sobre el rendimiento.

Si bien el algoritmo de cifrado no está completamente comprometido, sí que puede servir de trampolín para que se estudien nuevas técnicas y pueda ser finalmente roto. Lo mejor es que supone una llamada de atención para actualizar a un protocolo más seguro como es WPA2, pero sin que se corra un riesgo inminente y catastrófico al mantener el WPA por ahora.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Practical attacks against WEP and WPA
http://dl.aircrack-ng.org/breakingwepandwpa.pdf

domingo, 9 de noviembre de 2008

Denegación de servicio a través de paquetes VTP en Cisco IOS y CatOS

Cisco ha anunciado la existencia de una vulnerabilidad en Cisco IOS y CatOS que podría permitir a un atacante remoto provocar una denegación de servicio.

La vulnerabilidad consiste en un error en la implementación del protocolo VTP (VLAN Trunking Protocol) en IOS y CatOS al procesar paquetes VTP enviados desde la red local, independientemente si el dispositivo opera en modo cliente o servidor. Un atacante remoto podría provocar que el dispositivo deje de responder mediante un paquete VTP especialmente manipulado.

Para la realización exitosa del ataque, es necesario que el paquete VTP se reciba a través de una interfaz de red configurada como trunk port.

Los productos afectados son:

* Dispositivos que ejecuten versiones de IOS o CatOS afectadas y que tengan configurada la función VTP como servidor o cliente.

* Dispositivos que ejecuten versiones de IOS o CatOS afectadas con módulos de switch ethernet para la series de routers 1800, 2600, 3600, 3700 y 3800 que tengan configurada la función VTP como servidor o cliente..

Los dispositivos que ejecuten la versión 3 del protocolo VTP o estén configurados en modo transparente no se ven afectados por este fallo.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerability
http://www.cisco.com/warp/public/707/cisco-sr-20081105-vtp.shtml

sábado, 8 de noviembre de 2008

Ejecución remota de código a través de peticiones DHCP en Sun Solaris 8, 9 y 10

Se ha encontrado una vulnerabilidad en el servidor DHCP en Solaris 8,9 y 10 que podría permitir a un atacante remoto provocar una denegación de servicio o ejecutar código arbitrario.

La vulnerabilidad está causada por un fallo en el servidor (in.dhcpd) al manejar peticiones DHCP, lo que podría ser aprovechado por un atacante remoto, sin privilegios, para hacer que el demonio DHCP deje de responder (denegación de servicio), o ejecutar código arbitrario con los privilegios de root.

Sun ha publicado los siguientes parches disponibles, según versión y plataforma:

Para la plataforma SPARC:

* Solaris 8 aplicar actualización 109077-21 o superior, disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109077-21-1

* Solaris 9 aplicar actualización 112837-16 o superior, disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112837-16-1

* Solaris 10 aplicar actualización 138876-01 o superior, disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138876-01-1

Para la plataforma x86:

* Solaris 8 aplicar actualización 109078-21 o superior, disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109078-21-1

* Solaris 9 aplicar actualización 114265-15 o superior, disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114265-15-1

* Solaris 10 aplicar actualización 138877-01 o superior, disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138877-01-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in DHCP Handling of DHCP Requests May Allow Remote Users to Execute Arbitrary Code or Cause a Denial of the DHCP Service
http://sunsolve.sun.com/search/document.do?assetkey=1-66-243806-1

viernes, 7 de noviembre de 2008

Microsoft publicará dos boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad, uno dedicado a Microsoft Office y otro a su sistema operativo Windows.

Si en octubre fueron once boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar dos actualizaciones el martes 11 de noviembre. La dedicada a Office alcanza la categoría de crítica, y la dedicada a Windows de importante.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad.

Ambos problemas afectan a toda la gama de sistemas operativos mantenidos por ahora (desde Windows 2000 a Windows 2008) y toda la gama de Office igualmente, puesto que el fallo crítico se da en Microsoft XML Core Services. Según la versión instalada de este intérprete de XML, la gravedad puede reducirse de crítica a importante.

Al menos en el momento de la publicación de este boletín, Microsoft no ha añadido el "exploitability index" o índice de explotabilidad. Este concepto fue introducido el mes pasado por Microsoft para indicar las posibilidades de que se cree un exploit para cada vulnerabilidad.

Hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for October 2008
http://www.microsoft.com/technet/security/bulletin/ms08-nov.mspx

jueves, 6 de noviembre de 2008

Solución al criptojuego del décimo aniversario de "una-al-día"

Coincidiendo con el décimo aniversario de "una-al-día" introdujimos al inicio de los boletines, sin previo aviso, un texto cifrado. En la entrega de hoy desvelamos el contenido y premiamos a los lectores más curiosos.

La idea era hacer un guiño a los lectores de una-al-día proponiendo un pequeño reto para conmemorar el décimo aniversario de "una-al-día". Con el ánimo de que todo el mundo pudiera participar se optó por utilizar dos algoritmos fáciles de descifrar.

Tal vez lo más complicado era percatarse de la existencia del texto cifrado, situado al comienzo del boletín, porque sin duda para muchos de nuestros lectores pasó desapercibido. Una vez identificado, había que dedicar algo de tiempo a su análisis sin tener un fin justificado. Apelábamos a la curiosidad.

A continuación reproducimos la cabecera publicada:

------------------ ¿¿¿¿¿¿ ------------------
ocdenskovzkcknycsaesoboczbyxycdsmkbovpedeby
exboqkvyocdkoczobkxnyxydkbnocoxoxfskbocdyik
hrxqmhxwqtgqlspixoestifcumqifvlwriesfhqbocp
------------------ ?????? ------------------
Lista de los 4 primeros lectores que nos enviaron el texto descifrado:

* "El capitán Araña", de una ciudad cualquiera.

* Jesús M. Rodríguez Sánchez de Málaga

* Jose López Ramos de Sant Feliu de Llobregat, Barcelona

* Garikoitz, con el que no hemos podido contactar más después de que nos enviara la solución.

Como premio a todos ellos, se les enviará una copia del reciente libro publicado por Hispasec: "Una al día: 10 años de seguridad informática". Con motivo de la celebración del décimo aniversario del boletín "una-al-día", Hispasec ha publicado un libro que recorre los hitos más destacados de la última década y echa una mirada al futuro más inmediato del mundo de la (in)seguridad informática. La obra cuenta con la inestimable colaboración, a modo de entrevistas para la ocasión, de figuras relevantes en este terreno como son Bruce Schneider, Eugene Kaspersky, Johannes Ullrich, Juan C. García Cuartango, Mikel Urizarbarrena, etc.

Más detalles en:
http://www.hispasec.com/uad/index_html

A continuación reproducimos algunos comentarios de José Manuel Rodríguez Sánchez de Málaga, uno de los cuatro primeros lectores que nos hizo llegar la solución. Él mismo explica los métodos que empleó para resolverlo.

----------------------------------------------
Preliminares
----------------------------------------------
Tras echarle un vistazo por encima al texto cifrado, nos podemos dar cuenta de que las dos primeras líneas siguen un patrón distinto a la última. Esto nos da pie a pensar que se han usado por lo menos dos cifrados distintos.

----------------------------------------------
Parte 1
----------------------------------------------
Para esta primera parte he analizado las letras usadas en las dos primeras líneas y debido al alto número de letras como "x", "y" y "k" me ha hecho pensar que no se trataba de una transposición de filas y/o columnas (tal como ocurrió en el sexto aniversario ;-)), por tanto empezamos a probar métodos clásicos y vemos que se trata de un cifrado Cesar con las letras desplazadas 10 posiciones.

Cifrado : ocdensk ov zkckny cs aesoboc zbyxycdsmkb ov pedeby
ex boqkvy ocdk oczobkxny xy dkbnoc ox oxfskb ocdy ik

Texto plano : estudia el pasado si quieres pronosticar el futuro
un regalo esta esperando no tardes en enviar esto ya

Nota: Si desciframos la tercera línea usando este mismo cifrado nos damos cuenta de que efectivamente no obtenemos la parte de texto cifrado que falta.

----------------------------------------------
Parte 2
----------------------------------------------
Por otro lado, si realizamos un análisis de frecuencias a la tercera línea detectamos que se puede tratar de un cifrado Vigenère con una longitud de clave de 6 letras.

Tras estudiar el texto descifrado y mediante unas búsquedas en Internet, averiguamos que la frase de la primera línea corresponde al filósofo chino Confucio (aunque esta información no nos sirve). También averiguamos que una de las claves usadas para descifrar el criptojuego del sexto aniversario era precisamente la palabra "sexto".

Por tanto, ya sólo queda averiguar una palabra de 6 letras que esté relacionada con la fecha del aniversario, y esta palabra es "decimo".

Cifrado : hrxqm hx wqtgqlsp i xoestifcumq if vlwriesf hqb ocp
Texto plano : envia tu solucion a laboratorio at hispasec dot com

Y criptojuego solucionado. :-)

Muchas felicidades y seguid así.


Sergio de los Santos
ssantos@hispasec.com