Archive for Octubre, 2005

OpenBSD 3.8

Octubre 31, 05 by admin

Como suele ser habitual, cada semestre el equipo de OpenBSD lanza una nueva versión de la rama estable de este sistema operativo que tiene como premisa principal la seguridad, y que es considerado por muchos como el sistema operativo más seguro por defecto (en la web oficial anuncian orgullosos que sólo han tenido un agujero de seguridad en su instalación por defecto). Obviamente, la labor del administrador resulta fundamental para que esta premisa se continúe llevando a cabo una vez el servidor se encuentra en producción.

En esta nueva versión 3.8 se incluyen algunas mejoras y nuevas herramientas, pero sobre todo destaca en el plano de la seguridad la inclusión de OpenSSH 4.2, que corrige diversos problemas de seguridad que acontecían en versiones anteriores, así como algunas características nuevas como por ejemplo una nueva compresión que retarda la inicialización de las librerías zlib hasta después de haberse autenticado el usuario.

(IN)SECURE 1.4

Octubre 30, 05 by admin

Acaba de ser publicado el último número de la revista (IN)SECURE; magazine gratuito sobre seguridad informática disponible en pdf para poder imprimirlo y leerlo con más comodidad, entre los artículos de este número podemos encontrar:

  • Structured traffic analysis
  • Access Control Lists in Tiger and Tiger Server - true permission management
  • Automating I.T. security audits
  • Biometric security
  • PDA attacks, part 2: airborne viruses - evolution of the latest threats
  • Build a custom firewall computer
  • Lock down your kernel with grsecurity
  • Interview with Sergey Ryzhikov, director of Bitrix
  • Best practices for database encryption solutions

Bájatela

Cómo montar un completo sistema de monitorización remota con avisos por móvil

Octubre 28, 05 by admin

Laura Celdran nos envía otro artículo sobre la monitorización remota de servidores, usando Gnokii + Modem GSM (en el ejemplo, un Siemens mc35i) + Nagios. En muchas organizaciones se usa el proyecto Nagios como sistema de gestión de alarmas / envío de alertasde código abierto para Linux. Pues bien Nagios ademas de su propia monitorización web también admite ser configurado para enviar mensajes a correos electrónicos cuando se cae (o cualquier otro nivel de criticidad definido) un equipo o cualquier otro tipo de tarea que se nos ocurra siempre que sea definido en su archivo de configuración de comandos: misccommands.cfg. En nuestro caso cuando un equipo se cae nos llama al móvil (para que lo oigamos bien) y nos envía un sms con el equipo caído… para esto hemos conectado por serial al equipo un modem GSM.

En este caso se hubo de añadir las siguientes definiciones en el archivo:
define command{
command_name notificar-por-wavecon
command_line /opt/nagios-com/notificar.sh “Host ‘$HOSTALIAS$’ is $HOSTSTATE$
Info: $OUTPUT$
Time: $DATETIME$” XXXX
}

, donde XXXX es el número de teléfono de guardias y el script notificar.sh es solo una llamada a gnokii para que ejecute las tareas definidas:

#!/usr/bin/ksh
TEXTO=$1
if [ $# -lt 2 ] ; then
TELEFONO=”XXXX”
else
TELEFONO=$2
fi
echo notificar por SMS el texto $TEXTO al telefono $TELEFONO
/usr/bin/gnokii –sendsms $TELEFONO <$TEXTO
END
/usr/bin/gnokii –dialvoice $TELEFONO

Además, para que se ejecute este comando definido, hay que indicar en el contacto guardias que este contacto será notificado además por este método

define contact{
contact_name guardias
alias Nagios Admin
service_notification_period 24×7
host_notification_period 24×7
service_notification_options w,u,c,r
host_notification_options d,u,r
service_notification_commands notify-by-epager,notificar-por-wavecon
host_notification_commands host-notify-by-epager,notificar-por-wavecon
email yy@listas.yyy.es,yy@movistar.com
pager pagenagios-admin@localhost.localdomain
}

Y al grupo de contactos guardias le asignamos el contacto guardias.

define contactgroup{
contactgroup_name guardias
alias administradores de la RCC
members guardias
}

Finalmente, se indica en los grupos de hosts que van a utilizar esta vía de notificación que van a utilizar el grupo de contactos guardias para su notificación, por ejemplo:

define hostgroup{
hostgroup_name ASA
alias ASA
contact_groups gecom,guardias
members “los que sean”
}

Nota: para que Gnokii se entendiera con el model hubo de especificar en el archivo de configuración (/etc/gnokiirc): model=AT, puesto que es un modelo que soporta comandos AT.

La Guardia Civil utiliza el buscador “Hispalis” para luchar contra los pedofilos

Octubre 27, 05 by admin

La Guardia Civil inició el pasado sábado una operación denominada “Azahar”, y que concluirá mañana viernes, contra la pornografía infantil en la red. En el marco de esta operación está desarrollando un novedoso buscador llamado “Hispalis” capaz de rastrear las imágenes en las redes “p2p” para localizar equipos informáticos que estén descargando, archivando o compartiendo fotografías, y videos de contenido pedófilo. El buscador tiene capacidad para detectar los movimientos de estos ficheros en las redes “p2p”. La Guardia Civil ha detectado que los pedófilos utilizan estas redes en lugar de las redes convencionales, para eludir y ocultar los rastros dejados por estos ficheros.

La Guardia Civil ha desarrollado un sistema de archivo y clasificación de imágenes que le ha permitido la clasificación de más de 50.000 fotografías  y videos de contenido pornográfico. Tras la clasificación, la Guardia Civil ha identificado cada una de las fotografías y videos con unos identificadores alfanuméricos en base a la función “HASH”. Esta función permite la búsqueda de ficheros de una forma altamente inequívoca y rápida.

La Guardia Civil ha realizado el seguimiento de estos archivos en las redes “p2p” siguiendo el rastro dejado por estos ficheros, y ha cotejado estos indicadores con los países participantes en el “Foro de encuentros Ciberpoliciales”, para localizar los equipos informáticos y proceder a la detención y procesamiento judicial de los pedófilos.

Script en VBScript para SecureCRT

Octubre 27, 05 by admin

Laura Celdran nos envía un artíclo en el que nos habla sobre la herramienta SecureCRT, y nos comenta un script para la aplicación y sus experiencias: SecureCRT es una herramienta como otras tantas que permite la conexión remota a equipos. La verdad es que no deja de ser una buena herramienta si se le saca su partido. En este caso lo que expongo es como hacer un script en VBScriptpara que corra en esta herramienta y nos facilite tareas rutinarias, como lo son, hacer backup de las configuraciones de los router remotos o incluso aplicar configuraciones. Estas tareas cuando empezamos a hablar de más de 300 router pueden tener sentido automatizarlas… je

La estructura de un script en “.vbs” para que sea interpretable por la herramienta:

#$language = “VBScript”
#$interface = “1.0″
Sub main
tarea1
tarea2
End Sub

La declaración de tareas en esta herramienta suele ser muy fácil, así por ejemplo tenemos:

crt.Screen.Send “telnet 10.166.4.58″ & VbCr
crt.Screen.WaitForString “assword:”

la primera indica que envíe al promp la secuencia de conexión vía telnet a un equipo con IP 10.166.4.58 y que envíe una pulsación de “Intro”

La segunda línea indica que espere a que en pantalla aparezca una secuencia que contiene “assword:

Un ejemplo de script que nos permitiría conectarnos a un router Cisco mediante telnet y descargarnos de este la configuración sería la siguiente:

#$language = “VBScript”
#$interface = “1.0″
Sub main
crt.Screen.Send “telnet 10.166.17.134″ & VbCr
crt.Screen.WaitForString “assword:”
crt.Screen.Send “estaeslapassw” & VbCr
crt.Screen.WaitForString “>”
crt.Screen.Send “ena” & VbCr
crt.Screen.WaitForString “assword:”
crt.Screen.Send “passdeenable” & VbCr
crt.Screen.WaitForString “#”
crt.Screen.Send “terminal length 0″ & VbCr
crt.Screen.WaitForString “#”
crt.Screen.Send “show running-config” & VbCr
crt.Screen.WaitForString “#”
crt.Screen.Send “exit” & VbCr
End Sub

Si antes de ejecutar este script se indica en el menú Archivo que guarde log de la sesión todo lo que salga por pantalla lo irá guardando en un fichero .log

Y ahora lo interesante… ¿entonces para 300 centros hay que escribir esto 300 veces entre la sentencia “Sub main” y “End Sub”? Pues bien como yo soy bastante vaguilla en ese sentido pues me hice un script en perl que hacía esto por mí…je aunque tb se puede hacer con “VBScript”

Lo que hacía el script es leer de un archivo las 300 IP con las claves y tratando esto como variables pues me conformaba el archivo final.

MySQL 5.0: un salto cualitativo

Octubre 27, 05 by admin

MySQL ha presentado la nueva versión 5 se su popular servidor de bases de datos. Durante mucho tiempo, han habido muchas críticas hacia este gestor de bases de datos, principalmente por sus carencias y, a veces, excesivo consumo de recursos. Esta semana, ha sido liberada la versión 5.0, que si bien no incorpora novedades que merezcan ser mencionadas de cara a la segurida informática, sí que presenta una serie de novedades que hacen especialmente importante esta versión:

  • Procedimientos almacenados y funciones SQL
  • Triggers (disparadores)
  • Vistas
  • Cursores
  • Esquema de información (Information Schema)
  • Transacciones distribuidas XA
  • Herramienta de migración desde otros SGBD propietarios
  • etc…

Sin duda esta versión parece dotar de cualidades suficientes a MySQL para ser considerado un SGBD propiamente dicho. Ahora habrá que ver si todo esto funciona correctamente, que esperamos que así sea.

Alerta sobre mensajes de spam que pretenden vender medicamentos contra la gripe aviar

Octubre 26, 05 by admin

Nos ha sido informada la la existencia de una campaña de spam que pone la salud en peligro al  proponer la compra en línea de medicamentos contra la gripe aviar. Las muestras denotan una cantidad creciente de  mensajes basura que pretenden vender Tamiflu, un medicamento considerado como el más eficaz del mercado para proteger contra la cepa H5N1 del virus de la gripe aviar. El miedo de que el virus pueda provocar una pandemia y se expanda por todo el mundo tras haber dejado ya varios muertos en Asia está generando en efecto una gran demanda de este fármaco.

Los correos basura incitan a los destinatarios a proteger a sus familias contra la gripe aviar comprando directamente Tamiflu en un sitio Web. Este sitio propone asimismo la conocida Viagra y otros medicamentos. Estos mensajes se diferencian bastante de las habituales ofertas de Viagra, pero comprar un medicamento por Internet, sea el que sea, es siempre peligroso. Debemos tener en cuenta que un producto como Tamiflu tiene que ser recetado por un médico. Los creadores de spam no se interesan en absoluto por la salud de la gente, sino tan sólo por los beneficios que consigan con esta campaña.

Los portavoces de Roche, la empresa farmacéutica suiza que produce Tamiflu (nota de prensa sobre la presentación del medicamento), han declarado haber recibido informes sobre la venta en Internet de un fármaco que pretende ser Tamiflu, pero que no lo es en realidad. La Asociación Médica Americana, así como la Asociación Médica Británica están llevando a cabo una campaña para advertir a los consumidores de los riesgos que corren al comprar medicamentos por Internet.

Nunca se puede estar seguro de que los fármacos que se compran en Internet son lo que dicen ser. Aunque actuemos con la intención de cuidar nuestra salud, en realidad podemos estar poniéndola en peligro más que nunca. Este mismo año, una banda internacional de creadores de spam ha tenido que cesar sus actividades al ser perseguidos por la justicia por tener una red de sitios Web porno que ofrecían falsas recetas médicas.

Más información sobre la campaña de spam, incluyendo imágenes de estos correos, están disponibles en http://www.sophos.com/spaminfo/articles/tamifluspam.html

Múltiples desbordamientos de búfer en Skype

Octubre 25, 05 by admin

Skype
Han sido publicadas tres vulnerabilidades en el cliente de telefonía IP Skype, derivando en un desbordamiento de búfer que puede provocar, en principio, la finalización de la aplicación y la posibilidad de ejecución de código de forma arbitraria. Las vulnerabilidades vienen provocadas por un error en el manejo de las URI específicas de Skype (”callto://” y “skype://”), un error en la importación de las “VCARD” y un error en el manejo de tráfico de red no especificado.

Las versiones afectadas son:

* Skype para Windows Versión 1.4.*.83 y anteriores.
* Skype para Mac OS X Versión 1.3.*.16  y anteriores.
* Skype para Linux Versión 1.2.*.17 y anteriores.
* Skype para Pocket PC Versión 1.1.*.6 y anteriores.

Y como solución, la compañía ha lanzado actualizaciones que corrigen estos problemas de seguridad:

- Skype for Windows: Actualización a la versión 1.4.*.84 o posterior.
- Skype for Mac OS X: Actualización a la versión 1.3.*.17 o posterior.
- Skype for Linux: Actualización a la versión 1.2.*.18 o posterior.
- Skype for Pocket PC: aún no hay actualización disponible

Las actualizaciones pueden ser encontradas en la página de descargas de Skype

Más información sobre estas vulnerabilidades:

SKYPE-SB/2005-002
SKYPE-SB/2005-003

Graves y múltiples vulnerabilidades en Ethereal

Octubre 25, 05 by admin

Desde la web de Ethereal, el conocido analizador de protocolos de red,  ha sido reportado un grave problema (enpa-sa-00021) que afecta a numerosos componentes de esta magnífica herramienta. Los problemas de seguridad derivados son numersos: desbordamientos de búfer, divisiones por cero, sobreconsumo de memoria … etc. La explotación con éxito por parte de un atacante podría permitir desde la finalización de la aplicación, a la ejecución de código arbitrario. Las versiones afectadas son 0.7.7 a 0.10.12.

Para solucionar estos problemas, se ha lanzado una nueva versión (0.10.13), que además incluye una nueva versión de las librerías PCRE (6.3) que soluciona un grave problema de seguridad que afectaba a las versiones anteriores, incluídas como parte de la instalación de Ethereal. Esta actualización a Ethereal 0.10.13 es altamente recomendable para todos los usuarios de esta aplicación

Denegación de servicio en el navegador Opera con HTML malformado

Octubre 24, 05 by admin

OperaSecurityfocus ha informado de un problema de denegación de servicio en el navegador web Opera. Este DoS se produce cuando el navegador Opera accede a una página con HTML malformado, como por ejemplo algo tan simple como:

<html><head></head><body><bdo>A<bgsound style=”margin:-99;”>A<hr>A<hr></body></html>

Parece ser que este DoS no permite la ejecución remota de código, pero aún no se ha descartado, y afecta a todas las versiones actuales del citado navegador. Os recordamos que hace algunas semanas Opera relanzó su navegador web, haciéndolo gratuito.