Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Continua el "culebrón" entre Landwell-PricewaterhouseCoopers y los usuarios de redes P2P. Ahora la Policía niega que se haya presentado ninguna denuncia de este tipo:

La Brigada de Investigación Tecnológica (BIT) no ha recibido hasta la fecha ninguna denuncia contra usuarios españoles de redes de intercambio de ficheros a través de Internet, según informaron fuentes de dicha unidad del Cuerpo Nacional de Policía.

"No nos consta que se haya presentado denuncia alguna contra internautas en ninguna de las unidades de la Policía Nacional", señalaron las mismas fuentes del BIT, desmintiendo así el anuncio realizado la pasada semana por un bufete de abogados.
El pasado 22 de julio, el abogado de Landwell-PricewaterhouseCoopers (PwC) Javier Ribas confirmó a Europa Press que su despacho había presentado ya ante la BIT una demanda común de 38 empresas españolas de ’software’ contra 95.000 usuarios españoles de redes P2P, acusados de reproducir y distribuir ilegalmente programas informáticos.

Ribas apuntó que, desde que se anunció la presentación de la demanda el pasado 24 de julio, el número de empresas integradas en la demanda había pasado de 32 a 38 e indicó que en los próximos días confiaba en que su número aumentara.

Entonces afirmó que "todavía" no quería dar traslado a los jueces debido a esta circunstancia, así como a que el despacho de abogados estuviera levantando acta notarial de los acontecimientos sucedidos en Internet desde que la decisión se hizo pública la semana pasada. "Queremos preparar mucho más la denuncia –explicó–, puesto que estamos recopilando pruebas".

Por su parte, el presidente de la Asociación de Internautas (AI), Víctor Domingo, dijo que "todo lo que ha anunciado el bufete de abogados se está viniendo abajo" y criticó la "alarma social" creada en la comunidad de internauta por el anuncio de la demanda.

"Preocupación" internauta

"Nosotros queremos saber la verdad. Puedo entender que se esté interesado en fomentar debate social en torno a la distribución de contenidos en Internet, pero no criminalizando a 95.000 ciudadanos españoles", señaló Domingo, que no recuerda "haber visto nunca tanta preocupación en la comunidad internauta".
En su opinión, si el anuncio de la demanda "ha sido una cuestión de mercadotecnia, no es demasiado deontológico". Domingo se refirió así al hecho de que la Business Software Alliance (BSA), que representa a las principales empresas de ’software’, se haya desmarcado de la demanda, y a que asociaciones como la SGAE y AFYVE tampoco formen parte de la misma, según sus propias consultas.

De hecho, en la última semana Ribas se ha mostrado especialmente crítico con la AI, entre otros motivos por haber ofrecido a la comunidad internauta una herramienta, denominada ‘PeerGuardian’, que permite "impedir el espionaje" al permitir bloquear todas las direcciones IP solicitadas.

No obstante, desde el bufete siempre se ha afirmado que no se ha llevado a cabo ningún espionaje, sino que se han introducido como usuarios anónimos de las primeras versiones de algunos programas tan populares como ‘Kazaa’ para ver las actividades de los internautas españoles y que tan sólo disponen de sus alias (’nicknames’).

Según Landwell-PwC, los 95.000 usuarios denunciados han realizado cerca de 25 millones de descargas durante la primera mitad del año, lo que ha supuesto un perjuicio económico para las compañías denunciantes de 85 millones de euros. La denuncia se centrará, en cualquier caso, en los cuatro mil internautas que descargaron más de cien ficheros.

El bufete, que calcula que la demanda no arrancará hasta el mes de septiembre, intentará que la actuación procesal sea "prudente", de forma que se dirigirá "primero contra los doscientos usuarios que han incidido más en esta práctica, después contra otros doscientos y así sucesivamente. Sabemos que podemos estar diez años así", ha aclarado, no obstante, Ribas.

Noticia original y completa en: http://iblnews.com/noticias/07/83124.html

El gobierno de Japón se ha visto obligado a cancelar un concurso de hacking planeado para el próximo mes de agosto debido a la presión popular, instituciones y empresas, que se mostraron muy críticos con la idea de la competición.

El Ministerio de Economía, Comercio e Industria de Japón tenía pensado organizar un concurso de hacking los próximos días 11 y 12 de agosto, con el fin de aumentar las habilidades informáticas de los estudiantes de Universidad y aficionados, en respuesta a la creciente demanda de expertos en seguridad en el mercado. Pero tras la avalancha de críticas, el portavoz del ministerio Takashi Kume decidió cancelar definitivamente el evento, llamado Security Koshien.

La idea consistía en formar grupos de tres concursantes dedicados a atacar los sistemas de otros concursantes a la vez que defendían el suyo propio.

En Japón, la entrada ilegal en sistemas ajenos o descarga de material sin autorización están fuertemente sancionados, con penas de hasta un año de prisión y multas de hasta 500000 yenes (3650 euros).

Cabe recordar, que el pasado 7 de julio los medios de comunicación de masas se hicieron eco de una noticia que traspasó los límites de medios especializados, relacionado con una competición de cracking. Se alertó de un posible ataque masivo, a propósito de un concurso organizado por la comunidad underground, que se pensó colapsaría la Red y cuyo objetivo era desfigurar 6000 páginas web en 24 horas, de manera que todo el que accediera a las páginas atacadas, pudiera observar los cambios introducidos por los crackers como prueba, en vez de la portada original.

Pese a todo el revuelo y sensacionalismo mediático montado alrededor del concurso, el día transcurrió apenas sin incidencias. No se detectó un aumento especial de la actividad entre los hackers maliciosos, que mantuvieron su media de 500 ataques por domingo. Lo más relevante resultó el ataque de denegación de servicio distribuido que desde la propia comunidad underground se lanzó contra la página donde los participantes del concurso debían registrar los ataques contabilizados. Esta es www.zone-h.org, el mayor repositorio de sitios webs desfigurados, donde se suele notificar el delito y se almacena una imagen copia del hecho para comprobar el estado en el que quedó el portal.

Asimismo, la trascendencia de esta noticia, sirvió para recordar que algunas fuentes pueden resultar exageradas en Internet, y tener presente la necesidad de revisar la seguridad de los sistemas con cierta asiduidad.

Más información y referencias:

Japan cancels computer hacking contest due to public criticism
http://www.bayarea.com/mld/mercurynews/business/6386505.htm

Japan hacking contest scrapped
http://asia.cnet.com/newstech/security/0,39001150,39143659,00.htm

Web vandalism contest results unclear
http://www.asia.cnet.com/newstech/security/0,39001150,39139324,00.htm

Fuente:
Sergio de los Santos
http://www.forzis.com

Noticia extraída de: http://delitosinformaticos.com/noticias/105955562040957.shtml

Problema:

La vulnerabilidad permite a un atacante remoto a determinar si existe una cuenta valida en el sistema por medio del OpenSSH.

Ejemplo:

root@voodoo:~# ssh [usuario existente]@lab.mediaservice.net
[usuario existente]@lab.mediaservice.net’s password: <- caracter "non-null"
[2 segundos de espera]
Permission denied, please try again.

root@voodoo:~# ssh [usuario no existente]@lab.mediaservice.net
[usuario no existente]@lab.mediaservice.net’s password: <- caracter "non-null"

Permission denied, please try again.

Versiones vulnerables:

Conectiva Linux 6
Conectiva Linux 7.0
Conectiva Linux 8.0
FreeBSD FreeBSD 4.7
FreeBSD FreeBSD 4.7 -RELEASE
FreeBSD FreeBSD 5.0
OpenSSH OpenSSH 3.4 p1
OpenSSH OpenSSH 3.6.1p1
RedHat Advanced Workstation 2.1
RedHat Enterprise Linux AS 2.1
RedHat Enterprise Linux ES 2.1
RedHat Enterprise Linux WS 2.1
RedHat Linux 7.1
RedHat Linux 7.1 for iSeries
RedHat Linux 7.1 for pSeries
RedHat Linux 7.2
RedHat Linux 7.3
RedHat Linux 8.0
RedHat Linux 9.0
Slackware Linux 8.1
Turbo Linux Turbo Linux Server 6.1
Turbo Linux Turbo Linux Server 7.0
Turbo Linux Turbo Linux Server 8.0
Turbo Linux Turbo Linux Workstation 6.0
Turbo Linux Turbo Linux Workstation 7.0
Turbo Linux Turbo Linux Workstation 8.0
Turbo Linux Turbo linux Advanced Server 6

Solución:

La solución a esta vulnerabilidad es hacer un upgrade a la version: "OpenSSH 3.6.1p2"

Usuarios Gentoo:

emerge sync
emerge openssh
emerge clean

tambien a los usuarios Gentoo es recomendable hacer un upgrade al shadow

emerge sync
emerge shadow
emerge clean.

Usuarios Red Hat:

ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.6.1p2.tar.gz

ftp://updates.redhat.com/

Problema:

La vulnerabilidad es remota y es producida por un "Cross Site Scripting"

Ejemplo: Si esta activo el search en el Gallery usted puede poner que haga un search a esto:

<script>alert("You are vulnerable")</script>

Versiones vulnerables:

SourceForge.net Gallery 1.1
SourceForge.net Gallery 1.2
SourceForge.net Gallery 1.2.1
SourceForge.net Gallery 1.2.1p1
SourceForge.net Gallery 1.2.2
SourceForge.net Gallery 1.2.3
SourceForge.net Gallery 1.2.4
SourceForge.net Gallery 1.2.5
SourceForge.net Gallery 1.3
SourceForge.net Gallery 1.3.1
SourceForge.net Gallery 1.3.2
SourceForge.net Gallery 1.3.3
SourceForge.net Gallery 1.3.4

Solución:

La solución a esta vulnerabilidad es hacer un upgrade a la version: 1.3.4-pl1

La pueden conseguir en la siguiente dirección:

http://prdownloads.sourceforge.net/gallery/gallery-1.3.4-pl1.tar.gz?download

Problema:

La vulnerabilidad es remota y es producida por un buffer overflow en el puerto "135" y permite a un atacante ejecutar codigo en la maquina con los privilegios del sistema.

Versiones vulnerables:

Microsoft Windows 2000 .
Microsoft Windows 2000 Advanced Server .
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Datacenter Server .
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Professional .
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Server .
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Terminal Services .
Microsoft Windows NT 4.0
Microsoft Windows NT Enterprise Server 4.0
Microsoft Windows NT Enterprise Server 4.0 SP1
Microsoft Windows NT Enterprise Server 4.0 SP2
Microsoft Windows NT Enterprise Server 4.0 SP3
Microsoft Windows NT Enterprise Server 4.0 SP4
Microsoft Windows NT Enterprise Server 4.0 SP5
Microsoft Windows NT Enterprise Server 4.0 SP6
Microsoft Windows NT Enterprise Server 4.0 SP6a
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 SP1
Microsoft Windows NT Server 4.0 SP2
Microsoft Windows NT Server 4.0 SP3
Microsoft Windows NT Server 4.0 SP4
Microsoft Windows NT Server 4.0 SP5
Microsoft Windows NT Server 4.0 SP6
Microsoft Windows NT Server 4.0 SP6A
Microsoft Windows NT Terminal Server 4.0
Microsoft Windows NT Terminal Server 4.0 SP1
Microsoft Windows NT Terminal Server 4.0 SP2
Microsoft Windows NT Terminal Server 4.0 SP3
Microsoft Windows NT Terminal Server 4.0 SP4
Microsoft Windows NT Terminal Server 4.0 SP5
Microsoft Windows NT Terminal Server 4.0 SP6
Microsoft Windows NT Terminal Server 4.0 SP6a
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Workstation 4.0 SP1
Microsoft Windows NT Workstation 4.0 SP2
Microsoft Windows NT Workstation 4.0 SP3
Microsoft Windows NT Workstation 4.0 SP4
Microsoft Windows NT Workstation 4.0 SP5
Microsoft Windows NT Workstation 4.0 SP6
Microsoft Windows NT Workstation 4.0 SP6a
Microsoft Windows Server 2003 .
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Datacenter Edition 64-bit
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Enterprise Edition 64-bit
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP .
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP Home
Microsoft Windows XP Home SP1
Microsoft Windows XP Professional
Microsoft Windows XP Professional SP1

Solución:

La solución para esta vulnerabilidad son estos fixes:

http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

Problema:

La vulnerabilidad se produce por un buffer overflow en el modulo ‘mod_mylo’ del Apache.
y permite a un atacante ejecutar codigo en la maquina remotamente con los privilegios del web server.

Ejemplo:

Cuando se hace un request asi:

GET AAAAAAA(4104 A’s[linux] / 4096 A’s[freeBSD])RRRRPPPP

‘RRRR’ es el valor malicioso de EIP register y ‘PPPP’ es la apropiada dirección.

Versiones vulnerables:

Apache Software Foundation HTTP Server 1.3.11
Apache Software Foundation HTTP Server 1.3.12
Apache Software Foundation HTTP Server 1.3.9
Oyvind Gronnesby mod_mylo 0.2.1

Solución:

Para solucionar esta vulnerabilidad hay que hacer un upgrade a
la ultima version del mod_mylo que es la "0.2.2"

La pueden bajar desde:

http://www.pvv.org/~oyving/code/mod_mylo/mod_mylo-0.2.2.tar.gz

Opera ( http://www.opera.com/ ) es un navegador de páginas web disponible para plataformas Windows y Linux. Ha aparecido una vulnerabilidad que puede permitir a un atacante provocar una denegación de servicio por parte del cliente.

El problema aparece cuando se accede a una página que redirecciona a una dirección url demasiado larga, provocando una denegación de servicio a través de un desbordamiento de búfer. Las versiones afectadas son:

- Opera Software Opera Web Browser 6.12
- Opera Software Opera Web Browser 7.0

Actualmente no hay parches que solucionen esta vulnerabilidad, ni una nueva versión, por lo cual recomendamos que estén atentos a nuevas actualizaciones de este software.

Más información: http://www.securiteam.com/securitynews/5WP0P2AAKE.html

Últimamente se está creando cierta polémica con los nuevos teléfonos móviles de última generación, los cuales suelen llevar cámaras incrustadas en el propio móvil. Incluso se hablaba de un cambio de hábitos por parte de algunas sociedades asiáticas avanzadas (como la japones) en la cual estos teléfonos móviles estaban cambiando hábitos en la sociedad.

Ahora ha aparecido una curiosa noticia sobre el espionaje industrial mediante el uso de este tipo de teléfonos móviles. La noticia es la siguiente:

## Las empresas coreanas, preocupadas por el espionaje del móvil con cámara ##

Los fácilmente ocultables móviles equipados con cámara ya no son bienvenidos en las oficinas de las compañías de tecnología avanzada de Corea del Sur, que parecen víctimas de su propio éxito, debido a las preocupaciones por espionaje de la industria.

Hyundai Motor, el mayor fabricante de automóviles surcoreano y uno de los diez más grandes del mundo, teme que los nuevos modelos de coche que estén desarrollándose puedan filtrarse a la competencia, según informó Reuters.
"Estamos instalando detectores de rayos X en las entradas de nuestro centro de I+D de Namyang para bloquear la entrada de teléfonos con cámara, y también para establecer un sistema de rastreo de visitantes", dijo Jake Jang, un portavoz de Hyundai, en referencia al complejo de la compañía cercano a Seúl.

"Es una cuestión crítica para una compañía como nosotros, porque los móviles pueden ser usados para espiar, como algunos de esos aparatos utilizados por el agente ‘007′", dijo.

Un directivo de Hyundai indicó que la compañía también prohibió el uso de móviles multifunción en sus oficinas centrales, y en las reuniones de grandes estrategias y esquemas de nuevos diseños y colores.

Samsung Electronics, el tercer mayor fabricante de móviles del mundo y pionero de la última tecnología que permite insertar diminutas lentes en pequeños teléfonos, también los ha prohibido en los pasillos de sus oficinas y en las plantas de sus fábricas.

"Es inevitable por razones de seguridad", dijo un directivo de Samsung, que pidió no ser identificado. "Los teléfonos con cámara son prácticos y la calidad es tan buena que fácilmente pueden ser utilizados para espionaje de la industria", añadió.

Samsung - que domina un 10 por ciento de la cuota global del mercado de móviles - no es el único fabricante de teléfonos que se ha vuelto temeroso de las cámaras.

Su rival LG Electronics se enfrenta al mismo dilema en un país loco por este tipo de dispositivos, donde tres cuartos de sus 48 millones de personas lleva al menos un móvil.

El año pasado, los surcoreanos han comprado más de cuatro millones de teléfonos con cámara, y es común ver a la gente tomando fotografías de sus amigos y de casi cualquier cosa que ven.

Esta noticia fue publicada en http://iblnews.com/news/noticia.php3?id=83023

Recientemente ha aparecido una vulnerabilidad que afecta al sistema gestor de bases de datos Oracle. El problema se encuentra en el paquete PL/SQL, concretamente en ExtProc, el cual es usado para realizar llamadas al sistema operativo.

Un atacante podría aprovechar esta vulnerabilidad para conseguir un desbordamiento de búfer y una posterior ejecución de código arbitrario. Para ello, tiene que autentificarse en Oracle (tener una cuenta de acceso al menos) y tener permisos para poder ejecutar las sentencias CREATE LIBRARY o CREATE ANY LIBRARY. Para que los usuarios puedan comprobar si disponen de este permiso, pueden ejecutar la siguiente sentencia:

select grantee, privilege from dba_sys_privs where privilege like ‘CREATE%LIBRARY’;

Las versiones afectadas son:

- Oracle Oracle8i 8.1.5
- Oracle Oracle8i 8.1.6
- Oracle Oracle8i 8.1.7
- Oracle Oracle8i 8.1.7 .4
- Oracle Oracle9i 9.0.1 .4
- Oracle Oracle9i Release 2 9.2 .1
- Oracle Oracle9i Release 2 9.2 .2
- Oracle Oracle9i Release 2 9.2 .3

Sun ha sacado parches para las siguientes versiones:

• Oracle 9i Release 2, version 9.2.3
• Oracle 9i Release 2, version 9.2.2

Más información sobre esta vulnerabilidad en http://otn.oracle.com/deploy/security/pdf/2003alert57.pdf

Ainjo.E es un gusano de alta propagación masiva a través de un mensaje de correo con Asuntos, Contenidos y archivos Anexados aleatorios de extensión .ZIP. También se difunde vía la red Peer to Peer Kazaa y el IRC (Internet Chat Relay).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado y compilado en Visual Basic 6.0, con 549 KB de extensión.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

El mensaje tienen las siguientes características:

Asunto, uno de los siguientes:

· Re: Web Site Report
· Thank You!
· Free MP3, OGG/VORBIS Hit Songs !!
· Download DVD Movie Now !! Its Free..!
· You are Losing Income

Contenido, uno de los siguientes:

· The Mastercard Stored Value Card is good anywhere in the world that Mastercard is accepted! APPLY NOW AND GET $20 FREE!! Download it Now And Get free Bonus!
· Have I peaked your curiosity?
This is something that I think that anyone who is serious about marketing and being on the internet should check out. Save it Now !
· ATTENTION: THIS PROGRAM IS EXPLODING WORLDWIDE. THOUSANDS OF PEOPLE ARE SIGNING UP EVERY DAY CREATING ONE OF THE LARGEST MEMBERSHIP BASES IN THE WORLD!
· Hello!
Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?
Download the attachment now !

Anexado, elegido de alguno de los siguientes archivos:

· SaveNow.zip
· Report.zip
· FFA.zip
· FreeJoin.zip

Al hacer click en el archivo infectado el gusano muestra en pantalla un falso mensaje de error y se auto-copia al directorio %Windir% con los siguientes nombres:

· Kernelw32.exe
· Blank.scr

[ . . . ]

Para difundirse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC. Al conectarse el usuario a un sesión del Chat, el gusano enviará una copia infectada de sí mismo con el nombre FREEPIC.ZIP.

Finalmente, al acceder el usuario a Internet, el navegador será direccionado al portal del autor:

http://www.indovirus.net

Los payloads de este gusano son:

- Se propaga masivamente en mensajes de correo, con diversos Asuntos, Contenidos y archivos Anexados, a los buzones de correo de MS Outlook, haciendo uso de las librería MAPI.
- Infecta a través de la red Kazaa.
- Si el sistema infectado tiene el software mIRC, se difundirá a través de cualquier sesión de Chat.
- Su autor es Iwing, el webmaster de un portal de virus de Indonesia.
- Al conectarse el usuario a Internet, será direccionado al portal del autor del gusano.
- Intenta saturar Servidores de Correo, estaciones de trabajo y PC domésticas.

Esta información ha sido encontrada en: http://www.perantivirus.com/sosvirus/virufamo/ainjoe.htm