Las versiones de OpenSSH anteriores a la 3.7 contienen un error en el manejo del búfer, que podrÃa comprometer la seguridad del sistema, si bien es cierto que aún no se ha descubierto cómo explotarlo. Para evitar posibles fallas, se recomienda actualizar a la versión 3.7
Enlaces relacionados
Referencia: http://marc.theaimsgroup.com/?l=openbsd-misc&m=106371592604940&w=2
Nueva versión: ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable
Han sido expuestas múltiples vulnerabilidades en la versión 6 de este cliente de correo ( http://www.eudora.com/ ).
El principal problema viene dado al recibir en Eurora nombres de fichero de más de 250 caracteres, pudiendo provocar un desbordamiento de búfer y una posible ejecución de código por parte de un atacante.
También es posible hacer que el nombre de fichero que aparece como indexado en un correo en Eudora, sea distinto al nombre de fichero real, con lo cual se podrÃa engañar al usuario para abrir ficheros maliciosos con, por ejemplo, otra extensión.
Ya apareció una vulnerabilidad similar en los nombres de fichero en la versión 5 de este mismo cliente de correo.
Enlaces relacionados
Referencia en Secunia: http://www.secunia.com/advisories/9729/
Anterior vulnerabilidad en Eudora 5: http://www.shellsec.net/noticias.php?num=25
ZyXEL ha lanzado ZyWALL30W, un Gateway de Seguridad que integra Firewall, VPNs, y Wireless LAN. Según fuentes del fabricante este sistema ofrece una mayor seguridad en las soluciones wireless y está especialmente diseñado para pequeñas y medianas empresas.
Enlaces
Noticia iWorld: http://www.idg.es/iworld/noticia.asp?id=32073&sec=iworld
Producto en Zyxel: http://www.zyxel.com/product/model.php?indexcate=1056433668&indexFlagvalue=1021873683
Las recientes vulnerabilidades aparecidas sobre RPCSS/DCOM en sistemas Windows, hacen preveer que muy posiblemente (casi 100% de posibilidades) aparezcan réplicas del virus Blaster, pero aprovechando estas nuevas vulnerabilidades.
La situación actual es muy similar a la ocurrida tras aparecer el bug para RPC/DCOM aparecido en Julio de este año. A las pocas semanas, apareció un gusano que aprovechaba esta vulnerabilidad, la cual viene por defecto en las instalaciones de Windows, y que afectó a miles de usuarios, superando el medio millón de equipos informáticos infectados.
Estas nuevas vulnerabilidades, muy similares a la aparecida en Julio, vaticinan que aparezcan gusanos o virus que se aprovechen de ellas. A pesar de ahora tener la experiencia del caso anterior, pillará desprovistos a muchos usuarios, especialmente a los usuarios domésticos, ya que las empresas están más concienciadas ahora.
Recomendamos a todos los usuarios de Windows la actualización de sus sistemas, y la instalación de firewalls y antivirus actualizados.
Direcciones relacionadas
TRES nuevas vulnerabilidades en RPCSS/DCOM de sistemas Windows: http://www.shellsec.net/noticias.php?num=241
Los expertos informáticos advierten de la repetición de Blaster (iblnews): http://iblnews.com/noticias/09/86557.html
Anuncio de Microsoft y parches: http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
Herramienta para comprobar si el parche se ha aplicado: http://support.microsoft.com/?kbid=827363
Anuncio sobre la anterior vulnerabilidad en RPC/DCOM: http://www.shellsec.net/noticias.php?num=151
Blaster, gusano que se aprovechaba de la vulnerabilidad RPC/DCOM: http://www.shellsec.net/noticias.php?num=203
Acaban de ser descubiertas tres nuevas vulnerabilidades en el servicio RPCSS de sistemas Windows. Recordemos que la vulnerabilidad en RPC/DCOM ya ha causado estragos entre multitud de sistemas ( http://www.shellsec.net/noticias.php?num=151 ), y que algunos gusanos/virus han explotado intensamente, como el conocido virus Blaster.
Dos de estas vulnerabilidades que afectan a la interfaz DCOM (Distributed Component Object Model), pueden causar un desbordamiento de búfer, permitiendo la ejecución de código por parte de un atacante con los privilegios de "Local system". La otra vulnerabilidad puede permitir a un atacante causar una denegación de servicio en RPCSS.
La forma de explotar estas vulnerabilidades es mediante el envÃo de un mensaje RPC malformado al servicio RPCSS.
Los sistemas afectados son:
- Microsoft Windows NT Workstation 4.0
- Microsoft Windows NT Server® 4.0
- Microsoft Windows NT Server 4.0, Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
Para prevenir posibles ataques, se recomienda cerrar todo el tráfico en los puertos 135/udp, 137/udp, 138/udp, 445/udp, 135/tcp, 139/tcp, 445/tcp, y 593/tcp a todas las direcciones que no sean de confianza. Microsoft ya ha lanzado parches que corrigen esta vulnerabilidad.
Direcciones relacionadas
Anuncio de Microsoft y parches: http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
Herramienta para comprobar si el parche se ha aplicado: http://support.microsoft.com/?kbid=827363
Anuncio sobre la anterior vulnerabilidad en RPC/DCOM: http://www.shellsec.net/noticias.php?num=151
Blaster, gusano que se aprovechaba de la vulnerabilidad RPC/DCOM: http://www.shellsec.net/noticias.php?num=203
FTC (Federal Trade Commission) ha realizado un estudio en el cual se revela que en la suplantación de personalidad en Estados Unidos ha sido de unos 27,3 millones en los últimos 5 años, y de 9,9 millones en el último año.
La pérdida media fue de 4.800 dólares para establecimientos y de 500 para los usuarios.
Dirección del estudio: http://www.ftc.gov/opa/2003/09/idtheft.htm
Ha aparecido una vulnerabilidad para el reproductor multimedia WinAmp, en concreto en su módulo IN_MIDI.DLL, afectando a las versiones 3.01 y anteriores de este módulo.
El fallo se produce cuando se modifica el valor "Track data
size" de un fichero MIDI, estableciendole el valor "0xffffffff", puediendo llegar a permitir la ejecución de código por parte de un atacante.
Como solución, se recomienda usar otro plugin para reproducir ficheros MIDI hasta que salga una solución o parche oficial por parte de la empresa responsable de WinAmp.
La rama 3 de WinAmp también es afectada por esta vulnerabilidad, produciendo el cuelgue de la aplicación, pero no la ejecución de código (algo que si ocurre en la rama 2).
Direcciones relacionadas
Anuncion en bugtraq: http://www.securityfocus.com/archive/1/336669/2003-09-06/2003-09-12/0
Página de WinAmp: http://www.winamp.com
Hemos añadido documentos de terceras personas (no pertenecientes a Shell Security Group) en nuestra sección de documentos ( http://www.shellsec.net/documentos.php ). Estos documentos son de libre distribución (licencia GPL) y enfocados a la seguridad, los dos primeros libros son:
Sistemas de Deteccion de Intrusiones 1.01 (Diego González)
Seguridad en Unix y Redes 2.1 (Antonio Villalón Huerta)
Pondremos próximamente nuevos documentos, tanto propios como de terceras personas. Si quereis contribuir con algún documento o libro electrónico, nos lo podeis enviar por correo ( admin@shellsec.net ).
Direcciones relacionadas:
Sobre GPL: http://www.garaitia.com/new/gpl-spanish.php
Documentos ShellSec: http://www.shellsec.net/documentos.php
ArtÃculo escrito por Fernando de la Cuadra, sobre cambios en la legislación sobre delitos informáticos en los estados miembros de la Comunidad Europea. El artÃculo es el siguiente:
"Los Ministros de Justicia de los 15 paÃses miembros de la Unión Europea han acordado introducir cambios en sus respectivas legislaciones para castigar con penas de cárcel a los autores de delitos informáticos. Su decisión puede tener muchas más implicaciones de las que se perciben a simple vista. Hay muchos tipos distintos de delitos que pueden cometerse con un ordenador, y cada uno de ellos puede verse desde muy distintas perspectivas.
Por ejemplo, pretende lucharse contra los ataques "a la integridad de sistemas de información o de bases de datos cuando provocan intencionadamente una perturbación grave o una interrupción del mismo". Es decir, cuando alguien consigue acceso a un sistema y lo manipula hasta afectar a su funcionamiento.
En principio, tal vez serÃa muy deseable que las personas que lleven a cabo estas acciones acaben con sus huesos en la cárcel pero, aunque yo sé muy poco de Derecho, para que la justicia haga que alguien entre en prisión necesita un elemento básico: el sujeto a quien encarcelar. Y si no se puede identificar al autor del ataque, difÃcilmente se le va a poder encarcelar.
Cuando un hacker quiere entrar en otro ordenador para robar información, no se identifica. SerÃa como si un ladrón entrara en el banco y dijera "Hola, soy yo, mi identificación es ésta. Vengo a robarles todo el dinero". Por eso, un hacker intentará ocultar sus acciones de muchas maneras distintas: desde la más sencilla, como puede ser la utilización de un cibercafé, hasta utilizando troyanos e inicios de sesión en ordenadores sin una protección adecuada.
Conseguir detectar desde dónde está efectuándose un ataque es una tarea muy compleja, y mucho más si tenemos en cuenta que numerosos paÃses no aplican medidas de seguimiento en los ISP ni en las operadoras telefónicas. Es más, en muchos paÃses hay conexiones a Internet gratuitas con usuarios anónimos que, además, permiten ocultar el número desde el que la llamada se efectúa. En definitiva, una persona podrÃa efectuar una llamada telefónica para conectarse a Internet sin peligro de que nadie sepa desde dónde llama o quién es.
Pero aún es más fácil buscar en Internet algún ordenador desprotegido contra intrusiones (es decir, sin antivirus ni firewall personal). Una vez encontrada esa máquina, bastarÃa con buscar un puerto abierto e iniciar una sesión en él. Desde ese momento cualquier tipo de ataque parecerÃa haber sido lanzado desde ese ordenador. Desde luego, es una buena razón para no olvidar tener activado un firewall personal mientras dure la conexión a Internet.
Otro de los delitos a castigar es la difusión de virus, lo que me sorprende, si cabe, aún más que en el caso anterior. Todos los usuarios de ordenadores son distribuidores de virus en potencia ya que, en cuanto un ordenador resulta infectado, el código malicioso de difunde por sà mismo.
Evidentemente, a quien busca la Unión Europea es a la persona que pone en marcha el virus, es decir, al primer desalmado que, a propósito, ha empezado a distribuirlo y ha causado las primeras infecciones. Pero eso es algo tan fácil como lanzarlo desde un cibercafé o desde una página web gratuita, o incluso desde un grupo de noticias USENET.
Pero hay que tener en cuenta que ese primer difusor de virus puede que no sea más que un niño de 14 años deseando experimentar. Esto nos lleva a la conclusión de que el verdadero culpable es la persona que ha desarrollado el código, es decir, el creador del virus. Sobre él deberÃa caer todo el peso de la ley. El problema es que también tienen sus armas para defenderse con la legislación actual. Si yo soy chileno, creo un virus, lo pongo en una página web en un dominio ".TV" -que está alojado en un servidor japonés- y un chaval europeo lo utiliza para infectar, ¿quién es el culpable? ¿Qué dice la legislación chilena? ¿Y la de Tuvalu, que es a quien teóricamente pertenece el dominio? Y el gobierno japonés, ¿cómo contempla este problema? ¿Va a ser, al final, la Unión Europea la que haga que encarcelen a uno de sus ciudadanos?
Y sin contar con que, en el mejor de los casos (cuando todo el proceso sea llevado a cabo en la Unión Europea), el creador del virus no haya puesto en su página web el mensaje: "Declino toda responsabilidad por el mal uso que los usuarios hagan de este código, colocado aquà únicamente para su estudio", que le eximirá de toda culpa.
Aunque la ley castigue a los delincuentes, estos seguirán actuando, y son muchos. Por ello, lo mejor es proteger nuestro ordenador con un buen antivirus y con un firewall personal, y a seguir disfrutando de Internet.
(*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com)"
Este artÃculo se encuentra disponible en http://www.vsantivirus.com/fdc-prision.htm
Todos recibimos alguna vez las tÃpicas cadenas de mails con algún contenido sugerente, y al final ese tÃpico: "Si quieres que tu deseo se cumpla, tienes que enviar este mail a 10 personas" (por ejemplo). En esos mails se suelen ir acumulando las direcciones de correo de las personas a las que se les ha enviado anteriormente, asà como las de quienes lo envÃan.
Esto es una especie de ataque por saturación de la red mediante el uso de ingenierÃa social, generando un mayor tráfico sin necesidad real, ya que incluso mucha gente ni siquiera lee el contenido de estos correos, limitandose a reenviarlos. Ahora se plantea un nuevo inconveniente de estas cadenas de correos: el uso de las direcciones de correo de estas cadenas por parte de los spammers. Con ello, pueden ser usados para enviar spam a los destinatarios de estos correos.
Recomendamos no seguir estas cadenas, y no continuar enviándolas, ya que su verdadero fin es el de la saturación de la red. En CNN ha aparecido un artÃculo al respecto:
"(CNN) — OlvÃdese de la mala suerte. Esas molestas cadenas de cartas electrónicas que circulan por Internet podrÃan ser las responsables de que su buzón de correo se llene de mensajes basura, advirtieron expertos en computación.
Aunque no son tan eficientes como las "arañas" que automáticamente rastrean Internet en busca de direcciones, los expertos advierten que algunos de los que envÃan correo "basura" - conocidos como "spammers" - podrÃan estar usando esas cadenas para recolectar direcciones de usuarios.
"Las cadenas son el lugar ideal para recopilar direcciones (de correo electrónico). He visto varios cientos en un mensaje. La lista se extendÃa por varias páginas", dijo Bill Orvis, quien mantiene el sitio en Internet del Departamento de EnergÃa de Estados Unidos.
Organizaciones que ayudan a los usuarios y las compañÃas a luchar contra el correo basura ya han empezado a darse cuenta. Orvis, por ejemplo, publicó recientemente advertencias para empleados gubernamentales y el público en general señalando los peligros de enviar cadenas de mensajes.
Hasta el momento, no se ha sorprendido a ningún "spammer" recolectando direcciones de correo de las cadenas de mensajes, pero Orvis piensa que es cuestión de tiempo.
"Simplemente reenviando un mensaje a decenas de amigos, sólo se tarda unas pocas generaciones en llenar la red de mensajes", dijo.
Escepticismo entre algunos expertos
Otros expertos en envÃo de correo basura son escépticos ante esta táctica. Michael Herrick, cuyo software Spamfire permite a los usuarios individuales utilizar filtros contra mensajes basura, no cree que se estén utilizando las cadenas de mensajes de este manera.
Pam Small, vocero de la compañÃa de filtrado de correos basura SurfControl, también se mostró escéptico sobre el uso de esta táctica.
"SÃ, puede hacerse, y sÃ, podrÃan hacerlo algunos de los ’spammers’ menos sofisticados", dijo. "Pero dado que estos individuos lidian con grandes volúmenes y buscan direcciones válidas de correo electrónico, existen maneras más rápidas de conseguirlas", añadió.
No obstante, Herrick admite que la práctica podrÃa ser un buen modo para evadir los filtros que bloquean los mensajes de usuarios desconocidos por el receptor.
Los que envÃan correo basura podrÃan usar las cadenas de mensajes para descubrir direcciones de gente con la que uno se comunica con frecuencia. El correo basura que parece proceder de alguna dirección de tu agenda electrónica podrÃa burlar los filtros.
"Si yo fuera una persona que envÃa correo basura, estarÃa trabajando arduamente para perfeccionar esta técnica", manifestó."
Dicho artÃculo se encuentra en http://www.cnnenespanol.com/2003/tec/09/02/cadenas_spam/index.html
Shell Security (también conocido como 'Shellsec') es un portal de actualidad especializado en seguridad informática y temática de Ãndole tecnológica en la que todos los usuarios pueden participar activamente a través de comentarios o mediante nuestro foro
 |
 |
Shell Security está dirigido y gestionado por Inforalia, SL
