Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

El Pais se hace eco de una noticia de un estudio realizado por Watchmouse, empresa dedicada a la monitorización de servidores web, sobre los problemas de disponibilidad de las grandes empresas. Sorprende ver que el resultado de este análisis muestra como muchas de ellas no llegan e estar el  99.9% de tiempo dando servicio quedando por encima del 0.1% del tiempo en paradas del servicio superándose los acuerdos de servicio de los proveedores.

Estas caídas de servicio afectan de manera negativa a la imagen corporativa ofrecida por estas empresas y provocan perdidas millonarias cada año. Sería interesante poder desglosar estas cifras en caídas provocadas por errores de hardware, actualizaciónes de seguridad y caidas causadas por ataques de denegación de servicio, phishings o ataques contra la infraestructura de red.

Tal y como comentan en Unam-Cert, el boletín de Seguridad de Microsoft para Noviembre de 2005 soluciona múltiples vulnerabilidades de desbordamiento de búfer en las rutinas de procesamiento de imágenes de Microsoft Windows. Visualizando una imagen creada de forma maliciosa para una aplicación que utilice una rutina vulnerable podría detonar estas vulnerabilidades. Si esta aplicación puede acceder a imágenes desde fuentes remotas, como por ejemplo sitios Web o correo electrónico, la explotación remota es posible. Un intruso remoto no autenticado que explote estas vulnerabilidades podría ejecutar código arbitrario con los privilegios del usuario. Si un usuario ha iniciado sesión con privilegios administrativos, el intruso podría tomar el control de un sistema afectado. Un intruso podría ser capaz de causar una denegación de servicio.

Para mayor información podéis consultar las siguientes notas de ulnerabilidad del US-CER:

• VU#300549 - Vulnerabilidad de Buffer Overflow en el Motor de Interpretación de Gráficos de Windows

Motor de Interpretación de Gráficos de Windows contiene un buffer overflow que podría permitir a un intruso remoto ejecutar código arbitrario en un sistema vulnerable.
(CVE-2005-2123)

• VU#433341 - Microsoft Windows es vulnerable a un buffer overflow a través de un archivo”WMF” creado de forma maliciosa.

Microsoft Windows podría ser vulnerable a una ejecución de código remota a través de un buffer overflow en el manejo del formato de imagen de Metarchivo de Windows.
(CVE-2005-2124)

• VU#134756 - Buffer overflow en el API de interpretación de Metarchivo Mejarado

Las rutinas de interpretación de imágenes de Formato de Metarchivo Mejorado de Microsoft Windows contienen un buffer overflow que podría permitir a un intruso causar una condición de negación de servicio.
(CVE-2005-0803)

VPN (Virtual Private Network) es un protocolo usado en las conexiones remotas a sistemas informáticos. Científicos de la Universidad de Uleaborg en Finlandia han detectado una vulnerabilidad en  ISAKMP (Internet Security Association and Key Management Protocol), que por ejemplo es usado en los cortafuegos de Juniper y Cisco entre otros muchos. ISAKMP es una parte de IPsec, y generalmente se utiliza para asegurar túneles o canales en las redes de trasnmisión.

Esta vulnerabilidad puede ser utilizada por un usuario malintencionado para realizar ataques de denegación de servicio. Este ataque lo pueden realizar creando procesos que saturan un servidor y lo dejan caído temporalmente por DoS.

Esta vulnerabilidad no afecta a a los productos de IBM o de Microsoft. Sin embargo Cisco y Juniper han admitido que sus productos están bajo la influencia de la citada vulnerabilidad.

Cuatro nuevas variantes del gusano Sober, bautizadas bajo los nombres Win32/Sober.U, Win32/Sober.W , Win32/Sober.X y Win32/Sober.Y fueron reportadas hace un par de días. Como es costumbre dentro de esta familia, los mensajes pueden ser en alemán o en inglés, dependiendo de la dirección de correo electrónico a donde se envía. El malware analiza el país al que pertenece el dominio de la casilla de correo, y en base a ello, toma la decisión de que versión idiomática del mensaje enviar.

Los asuntos de los mensajes varían de acuerdo a la versión; en inglés los mismos son “Your email” y “Thanks for your registration”, mientras que en alemán son “Hi, Ich bin’s”, “Ihre eMail!” y “Haben Sie diese EMail verschickt?”. Los archivos adjuntos a estos mensajes tienen los siguientes nombres: reg_text.zip, Liste.zip, excel_table.zip, Tabelle.zip, registration.zip y Word-Text.zip. Todos estos archivos contienen un ejecutable comprimido, que al ser abiertos liberan el verdadero código malicioso en el sistema infectado.

Los mensajes intentan hacer creer al usuario que está recibiendo una confirmación de una registración; otro de los mensajes parece provenir de un usuario que erróneamente recibió un mensaje nuestro con un archivo nuestro y lo reenvía consultando si es así o no. En alemán, los textos son similares, y su objetivo es hacer confiar al usuario en el archivo adjunto.

Si el usuario ejecuta el adjunto bajo Windows XP con Services Pack 2, el gusano modificará el archivo TCPIP.sys dejándolo inutilizable, y provocando que el usuario no puede conectarse a la red. Además, impedirá la ejecución de la herramienta de eliminación de Microsoft, así como también, intentará detener el acceso a otras herramientas de limpieza y a software de diversas casas antivirus.

Una particularidad que ha presentado la familia de gusanos Sober, es que sus lanzamientos coinciden con grandes eventos mundiales relacionados con seguridad informática y antivirus. En este caso, durante estos días se está llevando el evento CSI en Washington y otro de gran importancia en China, en dónde se congregan muchos de los mayores expertos y compañías antivirus.  Anteriormente, el Sober.R había sido lanzado durante la primera jornada del evento de la organización Virus Bulletin (en Dublín, Irlanda, entre el 5 y 7 de Octubre), en la cual estuvieron presentes los más reconocidos especialistas de seguridad antivirus. 

Con estos datos, se puede afirmar que el creador del virus Sober conoce a la perfección los movimientos mundiales de seguridad informática, y los aprovecha para tratar de encontrar vulnerabilidades y debilidades dentro del funcionamiento de la compañía durante esos días. El código interno del gusano tiene comentarios escritos en alemán, por lo que puede suponerse que el autor reside en Alemania o Austria, pero no es nativo, dado que su alemán no es bueno.

Los niveles de propagación iniciales de este gusano han sido lo suficientemente altos como para anunciar a los usuarios de su existencia, a fin de que estén preparados. Se recomienda a los usuarios de Internet que chequeen que su antivirus esté actualizado para detectar esta nueva amenaza, y contar con un cortafuego que les permita protegerse de accesos desde la red.

Más información sobre éstos gusanos en www.enciclopediavirus.com

Según el Experto en Seguridad Adam Meyer la próxima generación de virus informáticos será más destructiva y difícil de detectar que los actuales códigos malignos. Meyer cree que en poco tiempo se incorporará a los códigos malignos un algoritmo cifrado que hará prácticamente indetectable su presencia y será difícil eliminarlos.

Estos códigos se instalarán en sistemas desprotegidos vía Internet y estarían en condiciones de crear “botnets” o redes de ordenadores zombis capaces de realizar diversos tipos delitos como spam, sabotaje, y realizar ataques informáticos contra terceros.

Por último Meyer señala que el motivo de que sean aun más peligrosos es que son procesos cifrados y ello provoca que sea difícil su detección y su neutralización. Todo esto lo comentan en una nota de DiarioTI, basado por supuesto todo en presuposiciones, pero desde luego es un punto de vista a tener en cuenta.

La Asociacion de Internautas denuncia nuevos casos de scam muy peligrosos. Según la asociación actualmente están circulando por la red ofertas de trabajo que tratan de engañar a sus victimas con el señuelo de grandes beneficios desde casa y sin apenas dedicarles tiempo ni esfuerzo con mensajes como por ejemplo:

Método legal de tener un salario digno
?Le gustaría ganar algún dinero extra trabajando en un negocio legal que
esta creciendo rápidamente?

Advierten que estos engaños tratan de captar “muleros” y son fáciles de identificar. La Asociación apunta que el problema con este tipo de delitos es que la actuación de las Fuerzas y Cuerpos de Seguridad del Estado no actúa de manera tan rápida y eficaz como en los casos de phishing. Por último la Asociación expone un caso real de este tipo de delito y transcribe la carta recibida por una victima del mismo.

Metodo legal de tener un salario digno
GANAR EN INTERNET
BUSCAMOS UN AGENTE
FORME PARTE DE NUESTRO EQUIPO

Estos pueden variar, pero la filosofía es la misma. En este articulo vamos a describir un ejemplo y el contrato de trabajo que nos envían.

Remitente: Alice (alice_piedner@mail.com)
Destinatario:
Fecha: jueves, 10 de noviembre de 2005, 20:04:54
Asunto: Metodo legal de tener un salario digno

=================Texto del mensaje original===============
Saludos!

?Le gustaria ganar algun dinero extra trabajando en un negocio legal que
esta creciendo rapidamente?

Exigencias para los representantes:

1. Honestidad
2. Responsabilidad
3. Conocimientos basicos de ordenador.

?Cuanto tiempo le quitara? Normalmente es 3-4 horas por semana.
?Cuanto voy a ganar? El primer mes pagamos 300-400 USD por semana.

Nuestra compania se dedica a servicios financieros muy variables.

FSS esta trabajando desde 2003 y es socio constante de la corporacion
Americana Andersen Business Services, Inc. y unos paises en Europa (Gran
Bretana, Espana, etc.) y Asia.

Empezamos registracion de offshores y abrimos cuentas en los Espana,
E.E.U.U. la esfera de los servicios que prestamos esta extendiendose
constantemente.

Ahora las direcciones basicas de nuestro trabajo:

1. Regitracion de offshores y companias residentes por todo el mundo.
2. Preparacion y envio de relaciones financieras, cumplimiento de audito de
companias extranjeras.
3. Acreditacion de representantes.

Durante muchos anos estamos tratando de ayudar a nuestros clientes con la
organizacion de su actividad de negocio y esperamos que despues de estudiar
la informacion en nuestro sitio web Usted se hara uno de ellos.

Para saber mas, por favor envie la informacion siguiente a nuestro email:
alice@fin-serv.net

1. Su nombre:
2. Su pais:
3. Unas palabras sobre Usted:

No olvide que todas la cartas deben estar enviadas a esta direccion:
alice@fin-serv.net

==============Fin del texto del mensaje original===========

Despues de unos meses de espera, ha sido publicada por Andrés Tarascó una beta del motor de Rkdetector V2.0. Este software de detección de rootkits incluye funcionalidades parecidas a la herramienta Rootkit Revealer de Sysinternals y permite además de la detección de rootkits, la recuperacion de datos, escaner de ads y borrado seguro de datos. Sin duda una herramienta muy interesante para tener en tu sistema, especialmente tras casos tan recientes como el de Sony y su rootkit.

Hemos habilitado una categoría en el foro para dar soporte a los usuarios, tanto en inglés como en español. El proyecto aún se encuentra en su fase de pruebas, por lo que sería interesante que los usuarios lo testaran y reportaran todas las indicencias que encuentren.

También podéis encontrar esta utilidad y más información en nuestra sección de descargas

Hace unos días os comentábamos que Sony usaba rootkits en sus sistemas anticopia, y el problema de seguridad que esto puede acarrear. Y ya lo está acarreando. The Register publica que ya ha aparecido el primer troyano que se aprovecha de los equipos en los que se haya instalado este rootkit, por lo que puede afectar a cualquier equipo que haya reproducido discos de Sony. Este troyano se propaga mediante el correo electrónico y llega como fichero adjunto, anunciando que es una conocida revista de negocios.

También se ha conocido que Sony ha interrumpido la producción de discos que usen este sistema anticopia con rootkit. Desde luego, todo este asunto le va a pasar una cara factura a Sony, especialmente en su reputación.

Nos envían una noticia sobre un nuevo bug (en principio no explotable ni aprovechable, por eso lo comunicamos) en Google Talk:

“Hace 2 dias, realizando unos testeos en el programa Google Talk se encontró una vulnerabilidad. Si se recibe un email donde no se especifica el remitente, al intentar mostrar la ventana de notificacion el programa da un error y se cierra mostrando una ventana con la opcion de reportar este error a los desarrollados de GoogleTalk.

Despues de bastantes pruebas, se comprobó que el programa es vulnerable, pero sin notificación alguna por parte de GMail o los desarroladores, se pudo comprobar que los emails sin remitente van ahora directamente clasificados como SPAM, por lo que no se muestra como nuevo correo en googletalk y se evita el fallo del mismo.

Como sigue siendo vulnerable el programa, si vamos a la carpeta SPAM y clasificamos estos emails como NO SPAM, seran movidos a la bandeja de entrada (inbox), donde si estan marcados como no leidos, al abrir GoogleTalk, nos aparecerá el popup para notificarnos de los nuevos emails, encontrandose con el que no tiene remitente y cerrandose por el fallo al que es vulnerable. Este error fue descubierto por Nataly y lo notificó a support@google.com, sin ninguna respuesta hasta ahora.”

Más información en el foro de Hackxcrack

La Brigada de Asuntos Internos de la Policía de Madrid, está realizando una operación contra la Unidad de Documentación (DNI) alertada por una denuncia anónima de una persona que manifestó que se estaba facilitando datos personales de 25.000 personas. Los datos han sido facilitados presuntamente a grandes empresas para uso comercial. Como consecuencia de la operación ha sido destituido de su cargo el responsable de la Unidad de Documentación. Según las averiguaciones es el principal sospechoso debido a que había llevado a cabo reuniones con las grandes empresas para informarse y obtener ayuda acerca de como gestionaban los datos digitales de sus clientes e incorporar esta información al plan sobre el nuevo DNI digital.

La denuncia se produjo hace varios meses y ha sido esta semana cuando los agentes de Asuntos Internos interrumpieron en las oficinas del centro e intervinieron más de 500 hojas con los datos de los titulares de DNI y otros datos privados de 25.000 personas.

El delito presuntamente cometido por los responsables de este acto delictivo es el de malversación, cohecho y prevaricación. Y el principal sospechoso es el responsable de la unidad el comisario S. S. A. dependiente de la Unidad de Extranjería y Documentación.

Este acto delictivo vulnera la Ley de Protección de Datos  que contempla que los datos personales solo pueden ser transferidos a terceros con el consentimiento previo del interesado y con previa información al interesado de la finalidad del fichero, naturaleza de los datos y el nombre y dirección del cesionario.