Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Desde que las videoconsolas decidieron dejar de ser videoconsolas y convertirse en “dispositivos multimedia de alto rendimiento”, entraron en un mundo en el que hay muchos beneficios, muchas nuevas experiencias nuevas, pero en el que también hay puntos negros y negativos. Éstos puntos son el azote desde hace años de los ordenadores: virus, troyanos, gusanos y demás códigos maliciosos.

En su día, ya os comentamos la aparición del primer troyano para PSP, y ahora se está complicando aún más este tipo de problemas para ésta videoconsola portátil y también para la Nintendo DS, con virus que pueden llegar a inutilizar por completo el dispositivo. En DiarioTi explican cómo los troyanos Format.A y Tahen (variantes A y B) tienen como objetivo las videoconsolas PSP (PlayStation Portable) de Sony, y Nintendo DS, respectivamente.

“Los tres troyanos son, además, extremadamente dañinos, ya que sus ataques borran archivos críticos para su funcionamiento, llegando a inutilizar la consola de manera irreversible en el caso de PSP. Para propagarse, Format.A se hace pasar por una herramienta desarrollada para poder ejecutar código no firmado en las consolas PSP. Por su parte, los troyanos Tahen tratan de hacerse pasar por aplicaciones no oficiales para la consola Nintendo DS, pero cuando el usuario lo instala en ella, sobrescribe determinadas áreas del firmware (software embebido en un determinado hardware) de la consola Nintendo DS y de los dispositivos G6, XGFlash, SuperCard y GBAMP (que permiten grabar cartuchos con software para ejecutarlo en la consola).”

En teoría, los usuarios que sigan todas las recomendaciones de los fabricantes no deben verse afectados, nos comentan algunos consejos útiles:

- Evitar la introducción de discos UMD y MemorySticks para la PSP, o de cartuchos DS que no hayan sido grabados por un desarrollador autorizado.

- No establecer comunicaciones externas (USB, IrDA o WiFi) con otras consolas u ordenadores que no sean de confianza y que puedan transferir información no deseada.

- No intentar, por ningún medio, la ejecución en la videoconsolas de aplicaciones provenientes de desarrolladores no autorizados.

- Si, a pesar de todo, se desea instalar algún paquete de software en la consola, debería ser analizado previamente en un ordenador que cuente con un software antivirus de confianza y perfectamente actualizado.

Todo esto, incluso podría llevar a pensar que a los propios fabricantes les podría interesar la existencia de éstas amenazas …

La comunidad de seguridad informática lleva años intentando inculcar una buena práctica en cuanto a la creación, uso y mantenimiento de contraseñas lo más seguras posible (o al menos que garanticen un mínimo de seguridad). Pero un estudio realizado por RSA Security, revela que estas prácticas no están muy implantadas:

“En promedio, de acuerdo con RSA Security, un usuario tiene 13 o más passwords; y en 30 por ciento de los casos no recuerda más que seis de ellos. No obstante, 70 por ciento sólo tienen memorizado uno de éstos.”

[…]

“Casi en su mayoría, las personas crean contraseñas predecibles: el nombre de sus hijos, el número telefónico de su casa, o bien, usan la misma contraseña para todo: su computadora, el servidor del trabajo, su tarjeta bancaria…”

[…]

Otros estudios realizados en torno del tema revelan que, por ejemplo, en Europa, los franceses son los que crean contraseñas más complicadas, pero también son los que las cambian con menos frecuencia, en tanto que los alemanes son los que hace claves muy largas (con más de 15 caracteres) y los ingleses son los que las cambian con más frecuencia: hasta una vez por semana.

Asimismo, son los estadounidenses los que casi nunca comparten sus claves y los españoles latinos usan con mayor frecuencia información personal, sobre todo la relacionada con la vida familiar o sentimental para crear sus claves.

Por último, se ha detectado que es en los entornos empresariales en donde más suelen olvidarse las contraseñas: RSA asegura que un trabajador invierte tres horas a la semana recordando passwords olvidados.

Aunque sabemos que nadie nos va a hacer caso, nosotros lo recordamos: es recomenble crear contraseñas alfanuméricas (letras, números y si puede ser caracteres especiales), de un mínimo de 7 u 8 caracteres y que no sean legibles claramente por una persona a simple vista. A partir de ahí, simplemente hay que usar el sentido común.

Andrés Tarascó nos comenta que VMware ha hecho público un “visor” gratuito de maquinas virtuales (nota en SlashDot) que soporta las máquinas virtuales creadas con las versiones Workstation, GSX ó ESX, y además máquinas virtuales de Microsoft y de Symantec LiveState Recovery.

También ofrecen imagenes preinstaladas para trabajar con ellas, entre las que se encuentra una maquiina virtual con navegador para acceder a la red y asi no comprometer la seguridad de la estacion de trabajo. Desde luego una idea interesante.

Oracle ha lanzado una actualización que afecta a una gran cantidad de aplicaciones y versiones de su software. Está considerada como una actualización crítica y por supuesto es altamente recomendable que todos los usuarios de Oracle apliquen este parche, que afecta a:

Category I

Product releases and versions that are covered by Error Correction Support (ECS) or Extended Maintenance Support (EMS):

• Oracle Database Server 10g Release 1, versions 10.1.0.3, 10.1.0.4
• Oracle9i Database Server Release 2, versions 9.2.0.5, 9.2.0.6, 9.2.0.7
• Oracle8i Database Server Release 3, version 8.1.7.4
• Oracle Enterprise Manager 10g Grid Control, versions 10.1.0.3, 10.1.0.4
• Oracle Application Server 10g Release 2, versions 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2
• Oracle Application Server 10g Release 1 (9.0.4), versions 9.0.4.1, 9.0.4.2
• Oracle Collaboration Suite 10g Release 1, version 10.1.1
• Oracle9i Collaboration Suite Release 2, version 9.0.4.2
• Oracle E-Business Suite Release 11i, versions 11.5.1 through 11.5.10 and 11.5.10 CU2
• Oracle E-Business Suite Release 11.0
• Oracle Clinical, versions 4.5.0 and 4.5.1
• PeopleSoft Enterprise Tools, versions 8.1 through 8.46.03
• PeopleSoft CRM, versions 8.81 through 8.9
• JD Edwards EnterpriseOne, OneWorld XE, versions 8.95_B1, 8.94_Q1, SP23_K1

Category II

Products and components that are bundled with the products listed in Category I:

• Oracle Database Server 10g Release 1, version 10.1.0.4.2
• Oracle Developer Suite, versions 9.0.2.1, 9.0.4.1, 9.0.4.2, 10.1.2.0
• Oracle Enterprise Manager Application Server Control, versions 9.0.4.1, 9.0.4.2
• Oracle Enterprise Manager 10g Database Control, versions 10.1.0.3, 10.1.0.4
• Oracle Workflow, versions 11.5.1 through 11.5.9.5

Category III

Products that are desupported as a standalone installation but are supported when installed with the products listed in Category I:

• Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
• Oracle8 Database Server Release 8.0.6, version 8.0.6.3
• Oracle9i Application Server Release 2, versions 9.0.2.3, 9.0.3.1
• Oracle9i Application Server Release 1, version 1.0.2.2

Una sentencia judicial, en concreto la sentencia en el caso “COAPI”, dicta que es delito espiar los correos electrónicos de un trabajador por la empresa que lo tiene contratado. Esto es así sean cuales sean los fines que pretende la empresa en relación con dichos emails del trabajador, ya que vulnera el derecho a la intimidad de dicho trabajador. Sin duda, este sentencia crea un antecedente y marca el rumbo que deben tener las políticas de las empresas respecto a la intimidad del correo electrónico de sus empleados.

El espionaje de los correos electrónicos es considerado como delito de descubrimiento y revelación de secretos, una vulneración de la intimidad personal en la variante del derecho al secreto de las comunicaciones. Este delito es el mismo que leer la correspondencia por carta de cualquier ciudadano. Se da un paso hacia adelante en la lucha por la privacidad virtual, aunque las empresas lo tendrán más complicado para poder conocer si sus empleados evaden su trabajo.

Desde hacía tiempo, era conocido que algunos (¿bastantes?) fabricantes de impresoras, como Canon y Xerox) incorporaban una especie de código oculto en los documentos que eran impresos mediante éstas impresoras. Una especie de huella que identifica de forma clara y concreta qué impresora ha sido la que ha lanzado ese documento. Ahora en Barrapunto, nos comentan que este código ha sido descifrado por la EFF (Electronic Frontier Fondation), e incluso muestran un formulario que es válido para “decodificar” parte de esta información.

Llegados a este punto, una simple impresora podría comprometer seriamente la privacidad de los usuarios, de empresas e incluso de países. ¿Es realmente ético y lícito esto? Porque evidentemente, de este hecho en el manual o en el contraro de compra, ni mu.

Laura Celdran nos ha remitido un bug en la serie 1700 de Cisco, cuando se intenta eliminar la especificación del parámetro “ubr” (este parámetro permite limitar la velocidad de subida por ejemplo en un interfaz ATM cuando este va sobre fibra óptica):

Casuística:

El beneficio de no especificar este parámetro en los router remotos es que basta con limitar la velocidad en SABA, con lo cual se evita que para sucesivas duplicaciones de velocidad haya que estar reconfigurando casa uno de los router remotos, además del SABA.

Una vez eliminado este parámetro la velocidad en el router remoto queda limitada a la que le venga impuesta desde el router central (SABA); esto es, hay una “negociación” de la velocidad entre el router remoto y el central.

Escenario:

Un ejemplo de
configuración en el cual la velocidad de descarga está limitada a nivel ATM a 640 Kb/s, queda expuesto en las siguientes líneas

interface ATM0/0.35 point-to-point
ip address ‘ip address’ ‘net_mask’
backup interface Dialer1
cdp enable
pvc 8/35
ubr 640
oam-pvc manage
encapsulation aal5snap
protocol ip inarp

A grandes rasgos esta configuración de ejemplo define lo siguiente:

• Direccionamiento IP del interfaz
• Backup independiente de este interfaz sobre RDSI, en este caso concreto.
• Tiene habilitado el protocolo CDP (CISCO Discovery Protocol, protocolo de capa 2 que recolecta información sobre dispositivos CISCO directamente conectados)
• Interfaz ATM definido dentro la fibra óptica en el path número 8 y en el circuito número 35
• Definición de la limitación de descarga (en Kb/s) a 640.

Bug:

En la versión de IOS 12.3(9) cuando se elimina el parámetro ubr dentro del contexto del pvc, esto es “no ubr”, el siguiente comando que se ejecute hará que el router se rebote. Al rebotarse el router sin dejar poner ni el comando write, la configuración no se aplica.

Solución:

En otras versiones inferiores como la 12.2(15)T14 esto no sucede, pero si no se quisiera cambiar la IOS se puede resolver de la siguiente forma:

Abrir dos sesiones remotas simultáneas al router, en una introducir el comando “no ubr” y sin poner ningún comando más (porque sino se reiniciaría el equipo), en la otra sesión poner el comando “write” (o “wr”), de este modo la configuración se graba antes de que el equipo se reinicie y por lo tanto la configuración ya queda aplicada.

Según eweek, se están reproduciendo cada vez con más intensidad ataques basados en rootkits, usados por los creadores de gusanos y otros códigos maliciosos, para que una vez conseguida la primera parte del ataque o intrusión, poder mantener un acceso al equipo atacado usando éstos rootkits. Ésto hace que el equipo atacado quede totalmente expuesto, ya que muchas veces no sólo es este atacante el que puede acceder a dicho equipo, sino que se deja vía libre para que cualquier otro intruso pueda tener acceso a esta máquina.

La tendencia es que el uso de este tipo de herramientas crezca aún más entre los gusanos y códigos maliciosos, ya que los antivirus y otros programas de seguridad no suelen detectarlas. Para comprobar si existe algún rootkit en equipos Windows, os recordamos que en nuestra sección de descargas tenéis disponible una versión gratuita de RootKit Detector.

SecurityFocus ha hecho público un problema de seguridad que afecta al nuevo sistema de mensajería instantánea, mediante el cual un atacante con acceso al registro de Windows podría obtener los datos de la cuenta de usuario de la víctima en Google Talk. Google Talk almacena de forma encriptada éstos datos en el registro, por lo que un atacante no tendría acceso a ellos de forma directa. Pero el problema radica cuando la aplicación guarda los datos de una conexión mediante proxy con autenticación, dejando la información sin cifrar dentro de las claves del registro:

HKEY_CURRENT_USERSoftwareGoogleGoogle TalkOptionsauth_user
HKEY_CURRENT_USERSoftwareGoogleGoogle TalkOptionsauth_pass

Si el atacante tiene acceso a éstas claves del registro, podrá ver la información de la cuenta en texto plano. Como solución se propone no usar Google Talk con proxys que requieran autenticación y esperar a una nueva versión del programa.

Parece ser que Thunderbird, nuestro gestor de correo favorito, presenta un nuevo compromiso de seguridad, en esta ocasión en el modo en que realiza la negociación mediante el protocolo SMTP. El problema radica en cómo Thunderbird gestiona la conexión bajo este protocolo, ya en el caso de no usar un modo seguro, como pueden ser CRAM-MD5 o STARTTLS, se usa un método de conexión inseguro, sin que ésto sea notificado al usuario pudiendo conllevar un problema de seguridad (por ejemplo, un atacante podría conocer los datos de la conexión con un ataque del tipo man-in-the-middle).

Este problema ha sido detectado en todas las versiones actuales, incluyendo Mozilla Thunderbird 1.0.7 y Mozilla Thunderbird 1.5 Beta 2. Por ello se recomienda a los usuarios que usen un método de conexión seguro (como STARTTLS).