En bugtraq ha aparecido un juego titulado ‘SQL Injection Wargame’. El juego consta de 5 niveles, y requiere registro, aunque sin confirmación por correo. Al conseguir ganar un nivel, se proporciona una contraseña para acceder al siguiente nivel, asà hasta completar los 5 niveles. Se aceptan propuestas para añadir más niveles.
El juego lo podeis encontrar en http://warsql.hackingzone.org
CERT saca trimestralmente un informe sobre las vulnerabilidades más importantes. Las de este trimestre son las siguientes:
1) Variantes del virus W32/Mimail
2) Desbordamientos de búfer en el servicio de Windows Workstation Service
3) Múltiples vulnerabilidades en Microsoft Windows y Exchange
4) Múltiples vulnerabilidades en implementaciones de SSL/TLS
5) Vulnerabilidades en Internet Explorer
6) Gusano W32/Swen.A
7) Desbordamiento de búfer en Sendmail
Vulnerabilidad en el manejo del búfer en OpenSSH
9) RPCSS en sistemas Windows
El informe completo lo podeis encontrar en http://www.cert.org/summaries/CS-2003-04.html
El creador del virus KELAR (o RALEKA o BEMDER) fue detenido por la Guardia Civil en una operación denominada ‘akelarre’. El virus afectaba al conocido bug en RPC (Remote Procedure Call) de los sistemas Windows 2000 y XP, habiendo infectado 120.000 ordenadores en sólo 15 dÃas.
Su forma de operar era la siguiente:
"El virus era del tipo gusano, que se autoreplicaba a través de las máquinas infectadas. Una vez infectados, los ordenadores se conectaban a un sitio web ubicado en el extranjero que les redirigÃa a otro alojado en un servidor español, Arrakis, desde el que se descargaban una actualización del virus y un troyano, el "NTROOKIT".
Una vez actualizado el virus y descargado el troyano se conectaban a la página de Microsoft para descargarse el parche del RPC, impidiendo que otro "hacker" accediera al ordenador por esa vulnerabilidad y evitando sospechas del usuario de la máquina.
Finalmente, como el virus incluÃa un cliente de IRC, se conectaba a distintas redes del mismo, a través del canal "atolondra0", donde quedaba a la espera de recibir órdenes del autor del virus, que deberÃa conectarse a esos canales con el nick "mend0za", para realizar ataques de denegación de servicio (DoS)"
El autor del virus responde a las siglas A.C.P, de 23 años, con el apodo de 900K y fue detenido en la comunidad autónoma de Madrid.
Enlaces relacionados:
http://seguridad.internautas.org/article.php?sid=242&mode=thread&order=0
http://www.diariodeleon.com/se_sociedad/noticia.jsp?CAT=248&TEXTO=2192583
http://www.elmundo.es/navegante/2003/11/24/seguridad/1069681521.html
El noruego Jon Lech Johansen, más conocido como ‘DVD Jon’, por burlar la protección anticopia de las pelÃculas en DVD -lo que le ha enfrentado con los estudios de Hollywood-, ha reincidido en su ataque al sistema de descarga de música en lÃnea iTunes, según el periódico digital IT-avisen.
Este fin de semana, Johansen ofrecÃa en Internet (http://nanocrew.net/blog) un programa bautizado como ‘QTFairUse’ que permitÃa eludir las protecciones antipirateo de iTunes, de Apple, la revista de música en lÃnea más popular.
Noticia en http://pa.starmedia.com/noticias/articulos/2301033.html y en http://barrapunto.com/articles/03/11/25/2244222.shtml
Microsoft ha publicado un documento en el que desvela los métodos usados (de una forma bastante superficial) para proteger su red corporativa. Para ello tienen una división denominada Operations and Technology Group (OTG), encargada de la seguridad de su amplia red.
El documento informa sobre unos 100.000 intentos de intrusión y 125.000 correos infectados con virus al mes, en unos 4200 servidores (más los 600 de www.microsoft.com).
Shell Security Group (más concretamente Andrés Tarascó) ha descubierto una vulnerabilidad que afecta a los cable modem de la compañÃa Thomson, en concreto al modelo TCM315, pero desconocemos si afectará a otros modelos de esta compañÃa. Este modelo es instalado en España por la compañÃa Mundo-R, aunque desconocemos si otras compañÃas lo instalan también.
La vulnerabilidad está provocada por el envÃo de una petición HTTP a la ip del cable modem, con una cadena larga, provocando asà una denegación de servicio. Por ejemplo:
http : / /<cablemodem.IP>/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA \
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Esto provoca que el cable modem deje de ofrecer el servicio correctamente, dejando sin conexión a la red. Hace algo más de una semana, contactamos con el vendedor,Thomson, el cual fue advertido sobre esta vulnerabilidad, pero no se ha pronunciado al respecto ni ha puesto un parche a disposición de los usuarios aún. Ya hemos contactado con las principales listas de vulnerabilidades (como bugtraq) para informarles sobre la vulnerabilidad.
Como posible solución antes esta vulnerabilidad se plantea filtrar las peticiones que se puedan realizar al cable modem si fuera posible.
Si conoceis más compañÃas que instalen este cable modem o soluciones alternativas, no dudeis en comentarlo.
El aviso de seguridad lo hemos puesto a vuestra disposición en http://www.shellsec.net/leer_advisory.php?id=2
Durante las últimas horas varias de las máquinas de la red del proyecto de Debian han sido atacadas con éxito, consiguiendo los atacantes acceso al sistema. Las máquinas afectadas han sido:
. master (Bug Tracking System)
. murphy (mailing lists)
. gluck (web, cvs)
. klecker (security, non-us, web search, www-master)
El servicio de Debian parece estar reestableciendose, aunque security.debian.org no estará disponible hasta haber comprobado los paquetes. Asà mismo, se puede acceder al servidor de la distribución.
Algunas fuentes indican que sólo hubo un robo de contraseñas, otras comentan que fue crackeada. Algunas de las medidas preventivas ha sido bloquear las cuentas que no sean imprescindibles. Seguro que la gente de Debian trabajará lo más rápido posible para que todo esté en perfecto orden.
Enlaces relacionados
- Noticia 1: http://luonnotar.infodrom.org/~joey/debian-announce.txt
- Noticia 2: http://www.wiggy.net/debian.xhtml
- Noticia en Barrapunto: http://barrapunto.com/articles/03/11/21/1527220.shtml
El equipo de PostgreSQL ha encontrado varias vulnerabilidad en
las versiones vulnerables son:
-PostgreSQL 7.3
-PostgreSQL 7.3.1
+ OpenPKG 1.2
-PostgreSQL 7.3.2
+ Conectiva Linux 9.0
-PostgreSQL 7.3.3
+ OpenPKG Current
-PostgreSQL 7.3.4
+ OpenPKG Current
La version "PostgreSQL 7.4" es la que posee los parches para las vulnerabilidades como "denegación de servicio" y otras.
Los updates los puede conseguir en:
PostgreSQL PostgreSQL 7.3:
PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html
PostgreSQL PostgreSQL 7.3.1:
PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html
PostgreSQL PostgreSQL 7.3.2:
PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html
PostgreSQL PostgreSQL 7.3.3:
PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html
PostgreSQL PostgreSQL 7.3.4:
PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html
Para leer mas sobre esta noticia usted puede consultar:
"El nuevo director general para el Desarrollo de la Sociedad de la Información, Jorge Pérez, expresó su confianza en que el DNI electrónico incremente "mucho" la seguridad de los internautas en la utilización de las redes informáticas"
Noticia en http://iblnews.com/noticias/11/92727.html
El Centro de Alerta Temprana ( CAT, http://www.alerta-antivirus.es ) contiene en su lista de virus más extendido en España a 4 variantes del virus ‘Mimail’, el cual está ya ampliamente extendido actualmente. Os mostramos un resumen de estas 4 variantes en los últimos 7 dÃas:
- Mimail (04/08/2003), 20,3%: Gusano sin efectos dañinos con gran capacidad de propagación que se difunde mediante el envÃo masivo de correos electrónicos de un mensaje con el anexo "message.zip".
Aprovecha una vulnerabilidad de Internet Explorer para descargar y ejecutar una rutina javascript en el sistema infectado.
- Mimail.C (31/10/2003), 13,6%: Gusano que se propaga a través del envÃo masivo de correo electrónico a direcciones recopiladas de ficheros del sistema infectado.
El mensaje tiene las siguientes caracterÃsticas:
Asunto: Re[2]: our private photos
Fichero Anexo: PHOTOS.ZIP, que contiene al archivo PHOTOS.JPG.EXE, que contiene al gusano.
Tiene capacidad para realizar ataques de tipo DoS (Denegación de Servicios) contra determinados servidores web.
- Mimail.F (03/11/2003), 1,7%: Nueva versión del gusano Mimail, con mÃnimas diferencias respecto a la versión .E, que al igual que sus precedentes, se propaga mediante el envÃo de correo electrónico a direcciones recopiladas en el sistema infectado. Utiliza su propio motor SMTP.
Además, realiza ataques de Denegación de Servicio contra ciertos sitios web.
- Mimail.J (18/11/2003), 1,4%: sano que se propaga por correo electrónico e intenta robar la información de la tarjeta de crédito de usuarios de Paypal (conocido sitio de transacciones de pagos en lÃnea).
El mensaje junto al que llega, anuncia la expiración de la cuenta del usuario en Paypal, con el asunto "IMPORTANT".
Recordamos para los usuarios de plataformas Windows la importancia de tener nuestros antivirus actualizados con frecuencia.
Enlaces relacionados:
- Lista del CAT: http://www.alerta-antivirus.es/virus/estad_espa.html
- "MIMAIL: gusano no destructivo de alta propagación masiva": http://www.shellsec.net/noticias.php?num=189
- "Gusano Paypal o Mimail.I, obtiene información de tarjetas de crédito": http://www.shellsec.net/noticias.php?num=308
Shell Security (también conocido como 'Shellsec') es un portal de actualidad especializado en seguridad informática y temática de Ãndole tecnológica en la que todos los usuarios pueden participar activamente a través de comentarios o mediante nuestro foro
 |
 |
Shell Security está dirigido y gestionado por Inforalia, SL
