Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Un reciente estudio realizado por la empresa Datamonitor (http://www.datamonitor.com) revela que en 2007 se llegará a duplicar las inversiones de las empresas en VPN’s y cortafuegos con respecto a las cifras de 2.003. El mayor crecimiento se prevé para las VPN’s.

Si este dato se llega a conseguir sería un buen avance en la implantación de seguridad en las empresas, que a día de hoy sigue siendo ciertamente algo pobre.

Desafortunadamente el informe completo es de pago, pero podeis encontrar algunos datos en el portal de Datamonitor.

Ya hay nuevas actualizaciones disponibles para las ramas estables del kernel de Linux, que incluyen importantes actualizaciones de seguridad, ocasionadas por la función sys_mremap().

Las nuevas versiones son la 2.4.25 y la 2.6.3 y se recomienda a los usuarios la actualización ya que los fallos son importantes, aunque aún no hay un advidory formado al respecto.

Las nuevas versiones las podeis descargar como siempre de http://www.kernel.org

Recientemente han aparecido vulnerabilidades que pueden ser aprovechadas de forma remota contra firewalls (o cortafuegos) de uso generalmente doméstico (aunque seguro que algunas compañías, en especial Pymes los usan). Algunas de las opciones más usadas en cuanto a firewalls de uso personal y de pequeñas redes son por ejemplo BlackICE y ZoneAlarm, debido a su simplicidad y fácil manejo.

En ambos firewalls, un atacante podría conseguir una elevación de privilegios en el sistema afectado y ganar acceso a dicho sistema. En principio afecta a la instalación por defecto, y a todas las versiones de estas aplicaciones (hasta que saquen versiones o parches que solventen este problema).

Por ello es fundamental una buena revisión de los parámetros del firewall que tengamos instalado, y si es posible, elegir una opción “mejor” para sistemas domésticos basados en Windows (y por extensión, en el resto de sistemas). Por ello también, mantenemos un debate abierto en nuestro foro para que añadais vuestras opiniones y vivencias, y poder guiar acerca de cuales son las mejores opciones.

Direcciones relacionadas:

- BlackICE advisory

- ZoneAlarm advisory

Las primeras investigaciones apuntan que fue la empresa ‘Mainsoft’ la responsable de que parte del (supuesto) código fuente de Windows haya salido a la luz, y esté circulando por todas las redes warez del mundo.

Esta empresa usa el código fuente de Windows para poder crear aplicaciones nativas para Unix de aplicaciones basadas en Windows, mediante su producto MainWin ( http://mainsoft.com/products/mainwin.html ). Según parece el código fuente fue robado de un equipo con Linux usado por esta compañía para el desarrollo de dicha aplicación. Este código contiene 30,915 ficheros.

Microsoft anunció que esta compañía no pertenece a la lista de compañías y gobiernos a los que se cede el código fuente de Windows, así que si es cierto que es la empresa responsable de la filtración, tiene un grave problema.

Podeis encontrar más información sobre esta noticia en:

http://www.betanews.com/article.php3?sid=1076674118

En el dia de ayer, multiples usuarios de Sonera, uno de los proveedores de acceso a internet (ISP) mas importantes de Finlandia, se sobresaltaron al recibir unos inquientantes correos electronicos.

Al parecer, todos los correos electronicos enviados y recibidos por los clientes de Sonera, estaban siendo reenviados a otra cuenta de correo electronico: echelon@sonera.inet.fi para su posterior analisis. Esta noticia ha salido a la luz debido a que el volumen de datos almacenados en esa cuenta de correo excedio su quota. Los siguientes mails fueron enviados a los usuarios.

From: Mail Administrator <Postmaster@sonera.inet.fi>
Reply-To: Mail Administrator <Postmaster@sonera.inet.fi>
Subject: Mail System Error - Returned Mail

This Message was undeliverable due to the following reason:
Viestiä ei kyetty toimittamaan perille seuraavasta syystä johtuen:

The user(s) account is temporarily over quota.

<echelon@sonera.inet.fi>

Please reply to Postmaster@sonera.inet.fi
if you feel this message to be in error.

X-Actual-Recipient: RFC822; <echelon@sonera.inet.fi>

Recordemos que Echelon es un programa gubernamental llevado a cabo la Agencia de Seguridad Nacional Norteamericana (NSA) y que tiene como proposito monitorizar todas las conexiones de datos y voz a traves de internet con el fin de localizar terroristas y otras amenazas.

Esto parece ser una prueba clara de que Sonera trabaja conjuntamente con el govierno de Estados Unidos infringiendo muchas leyes sobre la poca privacidad que aun queda en Europa a los usuarios de Internet. Falta por ver las respuestas de las asociaciones de usuarios de Internet que ven como una vez mas se pisotean sus derechos.

SecurityFocus ( http://www.securityfocus.com ) ha publicado un artículo sobre la creación de Honeypots en redes Wireless. Para los que no estén familiarizados con estos términos, Honeypots son equipos ‘trampa’ que suelen ser puestos en lugar de un supuesto servidor completamente funcional, para así poder atraer la atención de ataques, coger estadísticas determinadas de ataques, o ‘coger’ a algún atacante en particular. Wireless, son redes inalámbricas (por si acaso).

El artículo trata de forma teórica y práctica los diversos aspectos tanto de wireless como del honeypot, incluyendo diversos códigos fuentes. La única pega, es que está en inglés, para algunos no importará, pero para otros será un obstáculo insalvable. Si alguien se anima a traducirlo, estaríamos encantado de que nos lo envíe y lo publicaríamos con mucho gusto.

El artículo lo podeis encontrar en: http://www.securityfocus.com/infocus/1761

Tras la oleada provocada por MyDoom, ahora aparecen nuevos gusanos que se aprovechan de alguna forma del rastro dejado por la avalancha de infecciones que produjo MyDoom. Y como si de gusanos (u otro animal) biólogicos se tratara, el nuevo gusano que llega, aniquila al gusano viejo para poder sobrevivir.

Estos nuevos virus/gusanos aprovechan la puerta trasera que deja MyDoom, y una vez infectan el equipo, eliminan cualquier rastro de MyDoom para así complicar más la detección de virus en el equipo, o al menos rebajando las probabilidades de que el usuario piense que está infectado de alguna manera. Estos nuevos ‘bichos’ son los siguientes:

- Nachi.B (W32/Nachi.B.worm): Se aprovecha de las vulnerabilidades RPC DCOM, WebDAV y Saturación en servicio Workstation para propagarse. Desinstala los gusanos Mydoom.A y Mydoom.B, y elimina sus ficheros asociados.

- DoomHunter.A (W32/DoomHunter.A.worm): Permanece a la escucha del puerto 3127, y se envía a cualquier ordenador remoto que intente acceder a través del mismo. Finaliza los procesos pertenecientes a diversos gusanos, entre ellos Mydoom.A y Mydoom.B.

- Mitglieder.A (Mitglieder.H): Escanea direcciones IP en las que el puerto TCP 3127, que es utilizado por el backdoor creado por Mydoom.A y Mydoom.B, esté abierto. Realiza una copia de sí mismo en los ordenadores afectados por estos gusanos. Finaliza los procesos de distintas aplicaciones que realizan actualizaciones de varios programas antivirus.

- Deadhat.B (W32/Deadhat.worm.b, WORM_DEADHAT.B, W32/Vesser.worm.a): Deadhat.B finaliza procesos relacionados con algunos programas antivirus y firewalls. Esto deja al ordenador afectado vulnerable al ataque de otro malware. También termina los procesos correspondientes a los gusanos Mydoom.A y Mydoom.B. Provoca problemas de arranque, termina procesos relacionados con programas de seguridad y se conecta a un servidor IRC para recibir órdenes de control remotas.

Para una mayor información sobre estos gusanos, podeis acceder a cualquiera de las páginas de antivirus, como
http://www.pandasoftware.es

Hemos incluido otros 3 documentos relacionados con la seguridad informática escritos por varios autores hispanos. Los documentos son los siguientes:

- Seguridad en redes Wireless

- La Rebelión de los Spammers

- Métodos prácticos para engañar a Nmap y su método de reconocimiento de SO

Próximamente vamos a ir añadiendo mayor documentación en castellano sobre seguridad. Así mismo, os comentamos que tenemos un nuevo servidor dedicado a imágenes y documentos, para que podais navegar de una forma más rápida por nuestro portal ( servidor cedido por nuestros amigos de 3WDesign ). Si teneis algún documento que querais publicar, o conoceis alguno que creais que merece que lo insertemos, no dudeis en enviarnoslo a nuestra dirección de correo.

Esperamos que los últimos cambios en el portal os hayan gustado, y cada vez estamos consiguiente una mayor frecuencia de actualización y dinamismo en el portal, pero nos gustaría que vosotros colaborarais más, en forma de envío de noticias, comentarios, y cualquier ayuda que podais ofrecer, que seguro que la comunidad hispana interesada en la seguridad informática os agradecerá enormemente.

Gracias a este mayor dinamismo, actualmente mantenemos una media de 600 visitas diarias, que afortunadamente van creciendo día a día (a pesar de la juventud de nuestro portal). Cualquier duda, sugerencia, crítica (constructiva) o cuestión que nos querais plantear, no dudeis en hacerlo.

Un saludo a tod@s de parte del equipo de Shell Security.

Lo que era un rumor, parece ser cierto. Partes del código fuente de algunas versiones de Microsoft Windows (en especial de NT y 2000) circulan por Internet, de forma ilegal evidentemente, ya que Microsoft nunca ha hecho público el código fuente de sus sistemas operativos. Desconocemos aún la porción exacta del código fuente que circula, pero según parece es bastante. Microsoft sospecha que la filtración pudo realizarse por la pudo ser hecha por algún desarrollador no identificado con acceso al código fuente del sistema operativo.

Este incidente va a provocar que muchos atacantes se aprovechen de esta enorme ventaja. Si antes no se conocía el código fuente, y se conseguían encontrar innumerables agujeros de seguridad, ahora con una auditoría del código se pueden establecer un elevado número de formas de ataque, y más conociendo la adversidad que tienen los sistemas operativos de Microsoft entre la comunidad ‘cracker’.

Por otro lado, era un hecho que se podía prever en cierto modo, ya que desde hacía algún tiempo algunas grandes empresas y gobiernos tenían disponible este código fuente, y una filtración tendría que llegar tarde o temprano. Y se está expandiendo con una rapidez imparable, ya que muchos ficheros con el código fuente ya circulan por redes P2P (Peer To Peer), desde ficheros con 1 Gb de tamaño (que incluyen win2k y NT) a otros más pequeños que hemos podido comprobar, como algunos de algo más de 200 Mb que contienen parte del código de Windows 2000.

Este hecho sin duda es un fortísimo golpe para Microsoft, y un asunto de seguridad informática muy grave. Recordamos que aproximadamente el 90% de usuarios usan alguna versión de Microsoft Windows, y conforme está el panorama actual con MyDoom o Blaster, hace pensar que este tipo de virus/gusanos van a crecer de forma considerable y con peores efectos.

Y las consecuencias de esto no acaban ahí. No sólo todo el mundo podrá auditar el código de Windows, sino que incluso se podrían sacar versiones alternativas, modificadas (para bien o para mal) de estos sistemas operativos. Veremos cómo se desarrollan los acontecimientos.

Podeis ampliar información en los siguientes enlaces:

- Filtran en Internet parte del código fuente de Windows 2000 y NT: http://www.elmundo.es/navegante/2004/02/13/empresas/1076659554.html

- Microsoft source code leaked over Internet: http://www.securityfocus.com/news/8037

En el dia de ayer, siguiendo con la nueva politica de microsoft de sacar actualizaciones de seguridad el segundo martes de cada mes, se ha publicado el boletin MS04-007 que informaba sobre una grave vulnerabilidad que afecta a toda la familia de Windows 2000/XP/2003.

Este nuevo fallo de seguridad se encuentra presente en las librerias ASN.1 de Microsoft y la causa es un integer overflow.

El principal problema es que estas librerias son usadas por un gran numero de software lo que lo convierte en mas peligroso. Entre otros procesos afecta a la autentificacion NTLM, y los programas que utilicen Certificados.

Principal Software al que afecta:

- Microsoft Internet Explorer.
- Microsoft Outook.
- Microsoft Outlook Express.
- Software de terceros que use certificados.
- Kerberos (puerto 88 UDP)
- Microsoft IIS usando SSL (puerto 443, HTTPS…)
- autentificacion NTLMv2 (Puertos TCP 135, 139, 445)

Con esta ingente cantidad de programas y servicios que hacen uso de estas funciones, las consecuencias de un virus que aproveche estos fallos podrian ser fatales. No hace poco, el Blaster atataco nuestras redes usando un agujero de seguridad existente en el servicio rpcss por el puerto 135. Esta vez, el numero de equipos a los que podria llegar un virus usando entre otros medios el correo electronico para propagarse, es mucho mayor.

Esperemos una vez mas que estos problemas, cada vez mas comunes, ayuden a los usuarios y administradores a concienciarse de la importancia de la seguridad en los equipos domesticos y de aplicar unas reglas de filtrado y actualizaciones de software constantes.