Archive for Enero, 2004

Intento de estafa a los usuarios del Banco Popular

Enero 12, 04 by admin

Según diversas fuentes, durante el fin de semana muchos usuarios recibieron correos electrónicos supuestamente enviados por el Banco Popular, y que hacían referencia a una supuesta dirección web de dicho banco, pero que en realidad llevaba a los usuarios a la web de unos estafadores que habían creado una copia de la web bancaria que usaban para poder substraer el número de cuenta y el pin de los usuarios. El correo es el siguiente:

_ *

De: Grupo Banco <service@bancopopular.es>
Para: [e-mail destinatario]
Asunto: Importante informacion sobre la cuenta de Grupo Banco

¡Querido y apreciado usuario de Grupo Banco!

Como parte nuestro servicio de proteccion de su cuenta
y reduccion de fraudes en nuestro sitio web, estamos pasando
un periodo de revision de nuestras cuentas de usuario. Le
rogamos visite nuestro sitio siguiendo link dado abajo. Esto
es requerido para que podamos continuar ofreciendole un
entorno seguro y libre de riesgos para enviar y recibir dinero en
linea, manteniendo la experincia de Grupo Banco.Despues del
periodo de verificacion, sera redireccionado a la pagina principa
de Grupo Banco. Gracias.
https://www2.bancopopular.es/AppBPE/servlet/servin?p_pm=bo&p_pf=c&p_id=esp

* _

Esta estafa se consigue gracias a una vulnerabilidad existente en el navegador Internet Explorer, por lo que en principio no debe afectar a otros navegadores. Por ello, recomendamos desconfiar de las direcciones de correo que nos lleguen a través de correo que hagan referencia a webs donde haya que introducir datos importantes (como webs bancarias). Y si es posible, usar otro navegador alternativo, como Mozilla, Opera ….

En Barrapunto se han hecho eco de la noticia también: http://barrapunto.com/articles/04/01/12/1152202.shtml

Más de la mitad de los archivos de la red Kazaa están infectados por virus

Enero 10, 04 by admin

Un estudio realizado recientemente por la reconocida compañía de seguridad Trusecure ( http://www.trusecure.com ) revela que más de la mitad de los ficheros que circulan por la red Kazaa ( aproximadamente un 60% ) contienen algún tipo de virus o código malicioso. Recordamos a los usuarios de este tipo de redes la necesidad de tener un antivirus correctamente configurado y actualizado para prevenir posibles incidentes.

CERT lanza una guía para preparar sistemas antes de conectarlos a Internet

Enero 10, 04 by admin

http://www.cert.org ha sacado un artículo con una serie de consejos para poder conectar un equipo recién instalado a Internet de una forma segura, frente a las muchas vulnerabilidades que existen hoy en día para instalaciones por defecto. Lo podeis encontrar en:

http://www.cert.org/tech_tips/before_you_plug_in.html

Sería muy interesante crear una guía de este tipo, pero en castellano (ahora mismo no recuerdo si existe alguna). ¿Alguien se anima?

Una forma muy simple de evadir la contraseña de los ficheros de Microsoft Word

Enero 08, 04 by admin

En http://securityfocus.com exponen una forma muy simple de saltarse la protección por contraseña que tienen algunos documentos de Microsoft Word.

Este procesador de textos permite añadir contraseñas a determinados formularios de forma que solo puedan ser modificados algunos datos del documento, quedando restringida la modificación del resto del documento a los usuarios conocedores de la contraseña.

Para saltarse esta protección, simplemente es necesario un editor hexadecimal para modificar la contraseña guardada en el propio documento, la cual se presenta como un checksum. La idea es encontrar el tag (etiqueta) "<w:UnprotectPassword>" con un editor de texto, y modificarla por la cadena 0×00000000, que corresponde con una cadena vacía, con lo cual quedaría sin contraseña.

Es un método bastante simple para saltarse la seguridad de un producto comercial de esta envergadura. El documento con la explicación lo podeis encontrar en:

http://www.securityfocus.com/archive/1/348692/2004-01-02/2004-01-08/0

Nociones sobre criptoanálisis

Enero 08, 04 by admin

He encontrado un artículo en http://iblnews.com (tomado de Panda Software) que habla sobre el criptoanálisis. Hace un tratamiento bastante básico, usando el algoritmo clásico de César, pero seguro que a muchos os irá dando una noción inicial sobre qué es la encriptación. El artículo es el siguiente:

- * -

El Criptoanálisis engloba el estudio y el ataque de los sistemas de cifrado para intentar recuperar la información original. Para entender su dinámica, vamos a utilizar como ejemplo el texto cifrado: "XQFFODUMOUQH - FQDTQIEVJMQHU".
Para empezar, realizaremos un pequeño estudio estadístico contando cuantas veces aparece cada letra. En gran cantidad de textos, el estudio estadístico permite conocer cuáles son las letras que, con mayor frecuencia, se emplean en cada idioma.

En inglés son: "E", "T", "A" y "O"; en español: "E", "A", "O" y "L", mientras que en francés la lista está encabezada por "E", "S", "A" y "R". En textos cifrados extensos, el análisis basado en la frecuencia de las letras por idiomas es muy efectivo.

Si aplicamos el estudio estadístico al ejemplo veremos que las letras más frecuentes son la "Q" -cinco veces-, así como la "F" y la "U" -ambas en 3 ocasiones-.

Lo primero que se nos puede ocurrir es sustituir la "Q" de nuestro texto cifrado por la "E", ya que es la letra que con más frecuencia se puede encontrar en diferentes idiomas. En un alfabeto de 26 caracteres, de la "A" a la "Z", esto supondría dar un salto de la letra en posición 17 (Q), a la letra en la posición 5(E), es decir, una diferencia de 12 posiciones (17-5).

Después de sustituir la "Q" por la "E" -restando 12 posiciones-, haremos lo mismo con el resto de letras del texto cifrado. Así por ejemplo, a la letra "X" -a la que le corresponde la posición 24 del alfabeto-, le restamos 12 y obtenemos la letra "L".

El resultado de la misma operación nos daría el texto: "LETTCRIACIEV - TERHEWSJXAEVI". La cadena resultante carece de sentido, lo que significa que nuestro primer intento ha sido fallido. Es probable que hayamos escogido el sistema apropiado pero, al ser un texto tan corto, es posible que la letra más repetida no sea la "E". Por ello, insistiremos de nuevo, esta vez con la "A", una letra también muy frecuente en la mayoría de idiomas.

En este segundo intento sustituimos la letra más repetida del texto cifrado de partida -la "Q" (que ocupa la posición 17 en el alfabeto)-, por la "A" (posición 1), entre las que hay diferencia de 16 posiciones (17-1), que también aplicaremos al resto de letras. En este caso, a la letra "X" -con posición 24 en el alfabeto- le correspondería la letra "H", con posición 8 (24-16). Aplicando la misma operación a todo el texto, obtenemos la cadena: "HAPPYNEWYEAR - PANDASOFTWARE".

El ejemplo que hemos utilizado en Oxygen3 24h-365d está basado en el algoritmo clásico de César. Se trata de uno de los sistemas de cifrado más sencillos que existen, aunque es uno de los puntos de referencia de los métodos empleados actualmente en la Criptografía moderna.

- * -

El artículo lo podeis encontrar en: http://iblnews.com/noticias/01/97090.html

Solucionada una vulnerabilidad en el Kernel de Linux que afecta a las ramas 2.2, 2.4 y 2.6

Enero 06, 04 by admin

Una nueva vulnerabilidad afecta al kernel de Linux. En esta ocasión viene provocada por una mala gestión de la memoria en la llamada al sistema de la función mremap(2), al no comprobar correctamente los límites de memoria.

Una noticia aparecida en Barrapunto, comenta lo siguiente:

"Usando una llamada do_mremap() correctamente formada se puede crear un area de memoria virtual con una longitud de 0 bytes e inyectar código en formato hexadecimal o shellcode para ganar privilegios de uid0 ( root ) o ejecutar cualquier código bajo los privilegios del ring0 ( ejecución de nivel del kernel ).
Según Paul , la posibilidad de este compromiso se basa en que el comportamiento del kernel ante una situación de un area corrupta de 0bytes permite predecir el area de memoria que usará y por lo tanto usando cualquier instrucción que encuentre en ese bloque ( por un agujero de memoria en la VMA , memoria virtual )"

Si un atacante consigue explotar esta vulnerabilidad, podría conseguir una escalada de privilegios en el sistema, así como la ejecución de código arbitrario. Algunos tests hechos, demuestran que sería posible conseguir un UID 0 en una shell (privilegios de root). Parece especialmente crítico el Kernel 2.4, por lo que se recomienda actualizar a la versión 2.4.24, aparecida recientemente pasa solucionar este problema. Para las ramas 2.2.x y 2.6.x saldrán parches en breve.

Enlaces relacionados

[Full-Disclosure] Linux kernel mremap vulnerability:
http://lists.netsys.com/pipermail/full-disclosure/2004-January/015198.html

Corregida vulnerabilidad en el núcleo Linux (Barrapunto): http://barrapunto.com/articles/04/01/05/1946217.shtml

http://isec.pl/vulnerabilities04.html

http://isec.pl/vulnerabilities/isec-0013-mremap.txt