Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Un usuario de Terra ha presentado una denuncia ante el Tribunal Superior de Justicia de Cataluña por presunto delito informático. El demandante, Iván-José Fernández afirma que en el mes de noviembre pudo acceder de forma casual a datos personales de otros usuarios, como DNI, dirección, teléfonos e incluso números de cuenta, datos que solo deberían ser accesibles para sus titulares.

Según pone de manifiesto la denuncia era posible acceder y modificar tales datos e incluso era posible cambiar las claves de acceso para impedir que sus titulares puedan acceder a esos datos y modificarlos o darlos de baja.

Tras el descubrimiento el denunciante puso en conocimiento de Terra tales hechos, la cual comprobó y reparó inicialmente este fallo de seguridad y solucionó “a priori” el problema.

Fue entonces cuando el Sr. Ivan comprobó días después que el acceso a los datos personales se podía realizar igualmente desde otro fallo de seguridad en el sistema de Terra. El Sr. Ivan puso en conocimiento de la compañía este nuevo fallo de seguridad y volvio a solucionar el problema. Sin embargo, el fallo de seguridad no fue solucionado, y a día de hoy no se tiene constancia de haber sido solucionado por completo.

Esperemos que la Justicia actúe con eficacia y se resuelva rápidamente la grave situación creada.

Fuentes: El Navegante, Barrapunto

Estados Unidos, pese a sus defectos, ha lanzado una iniciativa totalmente ejemplar y muy acertada: “El Departamento de Seguridad Nacional de Estados Unidos ha entregado 1,24 millones de dólares a la Universidad de Stanford, a Coverity y a Symantec para investigar y eliminar vulnerabilidades de seguridad del software libre. Esta cantidad deberá ser invertida sobre todo en el desarrollo y mantenimiento de un sistema capaz de realizar revisiones diarias automáticas de código en busca de errores en el mismo. Todas las vulnerabilidades que se descubran deberán formar parte de una base de datos de libre acceso para los desarrolladores. La lista de proyectos de código abierto que se van a revisar en busca de errores y fallos incluye Apache, BIND, Ethereal, KDE, GNU/Linux, Firefox, FreeBSD, OpenBSD, OpenSSL y MySQL, según Coverity.” (barrapunto)

Sólo cabe esperar que esta inversión, a pesar de no ser grande, se rentabilice al máximo y sea fructífera. Más información en CNET y el Navegante.

Es curioso y llama la atención, cómo es posible que una empresa tan poderosa como Microsoft, y un sistema operativo tan usado y con tantos años de experiencia, no mantenga un sistema eficiente contra desbordamientos de búfer y otros ataques que se suelen producir sobre el stack (o pila) del sistema operativo.

Sin embargo, no es algo del todo imposible, de hecho hay empresas que han lanzado aplicaciones con las que se securiza Windows (o al menos se le añade una capa más de protección) mediante la denegación de ejecución de shellcodes, evitando desbordamientos de búfer en el stack de usuario y en las zonas de memoria donde es posible escribir, como es el caso de StackDefender, de la empresa NGSec.

Desconozco si Microsoft ha hecho algo al respecto, pero ¿acaso no debería Microsoft interesarse por éstos métodos e incluso adquirir el código necesario para subsanar este tipo de vulnerabilidades? Recordemos que el gran número de vulnerabilidades se producen por hechos de este tipo.

El ataque de “phishing” que recibe estos últimos días la banca online hace replantearse la pregunta sobre la seguridad que dan los bancos a sus clientes, y en especial sobre la información que reciben los usuarios. En esta ocasión los ciberladrones aprovechan los pasados días festivos para enviar miles de correos electrónicos falsos simulando ser una entidad bancaria para realizar sus ataques.

Ha habido tres entidades afectadas: Bancaja, Banesto y Caja Madrid

El correo enviado simulando la entidad bancaria Bancaja es el siguiente;

“Cliente querido,
Le estamos entrando en contacto con usted para recordarle que en 01.07.06 nuestro equipo de la revisión de la cuenta identificó una cierta actividad inusual en su cuenta. Su cuenta de Bancaja fue verificada por nosotros y todo se parece ser aceptable. Hemos hecho un pequeño informe sobre todas las actividades que suceden en su cuenta en el mes pasado.
Compruebe por favor este informe chascando el acoplamiento abajo:

http://www.bancaja.es/controlparticulares-client…………….

Si es algo que usted no entiende por favor éntrenos en contacto con nosotros por el teléfono o correo electrónico.”

Y el enlace envía a la dirección falsa http://www.easy-click.ch.

Con respecto a la entidad Banesto las web falsas son (omitimos el enlace para evitar publicidad y accesos no deseados):

http://www.americanangst.com/taybite/images/cidilon.php
http://artcoleadedglass.com/images/bansto.php
http://semiconbank.com/AsaStat/cgdimpli.php

La web falsa de Caja Madrid es:

http://www.cajaamadrid.com

Es extremadamente peligroso atender estos correos y debemos extremar las precauciones y eliminarlos.

De manera excepcional, Microsoft  ha proporcionado una actualización de seguridad anticipándose a sus regulares actualizaciones mensuales, para solucionar el grave problema de seguridad que afecta a WMF. En un principio Microsoft indicó que no lanzaría el parche de seguridad hasta el martes 10 de enero, causando la preocupación de algunos miembros de la comunidad de la seguridad informática, que veían en esta tardanza la oportunidad perfecta para que piratas informáticos infectasen nuevos ordenadores.

Este error en el programa de Microsoft es muy peligroso, y está siendo explotado por piratas informáticos para extender programas maliciosos. Es prioritario que las empresas y los particulares dispongan de parches de seguridad para protegerse de agujeros como este.

Los piratas informáticos continúan explotando este agujero de seguridad a pesar de que el parche de seguridad está ya disponible. En los últimos ataques producidos, un mensaje con el asunto “Happy New Year 2″ incita a los usuarios a visitar sitios Web que pretenden ser una felicitación electrónica proveniente de 123greetings.com; sin embargo, el vínculo conduce en realidad hasta un sitio Web infectado localizado en Holanda.

Los piratas informáticos se encuentran en una carrera a contrarreloj para infectar el mayor número de ordenadores posibles a través del agujero de seguridad WMF antes de que las compañías tengan tiempo de colocar el parche de seguridad. Todo el mundo debe  aplicar el parche lo antes posible, y defender sus redes con programas antivirus y anti-spam actualizados

Mas información sobre el parche, y graficos sobre los últimos mensajes de ataque están disponibles en la web de Sophos

Descarga del parche de Microsoft para WMF

(Editado por Fernando Ortega: Juan Pecantet nos envía este artículo sobre auditorías de seguridad. No nos indica ninguna referencia sobre la procedencia del artículo, pero por el interesante contenido, lo publicamos)

La información es el activo mas importante para las empresas, lo cual se puede confirmar si consideramos el hecho de la perdida de información critica, y la post recuperación con la cual la entidad podría retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario. Por este motivo la información adquiere una gran importancia para la empresa moderna debido a su poder estratétigo y a que se invierten grandes cantidades de dinero en tiempo de proporcionar un buen sistema de información para tener una mayor productividad

La importancia en que radica auditoria de sistemas en las organizaciones son:

- Se puede difundir y utilizar resultados o información errónea si los datos son inexactos o los mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones, tomas de decisiones o la imagen de la empresa.

- Las computa, servidores y centros de base de datos se han convertido en blanco para fraudes, espionaje, delincuencia y terrorismo informático.

- La continuidad de las operación, administración y organización de la empresa no debe permanecer en un sistema mal diseñado, ya que podría convenirse en un serio peligro para la empresa.

- Existen grandes posibilidades de robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.

- Mala imagen e insatisfacción de los usuarios  porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en un lapso razonable, es decir, el usuario percibirá que está abandonado y desatendido permanentemente, esto dará una mala imagen de la organización.

- En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas o desviaciones presupuestarias significativas.

- Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad.

- Mantener la continuidad del servicio, la elaboración y la actualización de los planes de contingencia para lograr este objetivo.

- El inadecuado uso de la computadora para usos ajenos a la organización que puede llegar a producir problemas de infiltración, borrado de información y un mal rendimiento.

- Las comunicaciones es el principal medio de negocio de las organizaciones, una débil administración y seguridad podría lograr una mala imagen, retraso de negocios, falta de confianza para los clientes y una mala expectativa para la producción.

La Auditoria de la Seguridad Informática en la informática abarca el concepto de seguridad física y lógica. La seguridad física se refiere a la protección de hardware y los soportes de datos, así también como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.

Por su parte la seguridad lógica se refiere a la seguridad del uso de software, protección de la información, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la información.

El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus.

En la auditoria para aplicaciones de internet se produce una verificación de los siguientes aspectos:

- Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia.

- Evaluación de vulnerabilidades y arquitectura de seguridad implementada.

- Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.

Metodología de trabajo de Auditoria

El método del auditor pasa por las siguientes etapas:

- Alcances y Objetivos de la Auditoria Informática.

- Estudio inicial del entorno auditable.

- Determinación de los recursos necesarios para realizar la auditoria.

- Elaboración de Plan y de los Programas de trabajo.

- Actividades propiamente dichas de la auditoria.

- Confección y elaboración del informe final.

Como he dicho antes las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría sobrevivir. Para esta razón, es necesario que las organizaciones mantengan a sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos.

La privacidad de las redes es un factor muy importante ya que las empresas se sienten amenazadas por el crimen informático. El mantener una red segura fortalece la confianza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan día a día.

Por lo cual el auditor o consultor informático ayuda a mantener la privacidad de las redes, trabajando en los siguientes factores: Disponibilidad - Autentificación - Integridad - Confidencialidad

Es preciso tener en cuenta todos los factores que puedan amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son:

- Interceptación de las comunicaciones.

- Acceso no autorizado a ordenadores o Redes de ordenadores

- Perturbación de las redes.

- Ejecución de programas que modifiquen o dañen los datos.

- Declaración falsa.

- Accidentes no provocados.

- Robo de datos.

- Infiltración de datos críticos.

Los beneficios de un sistema de seguridad son:

- Aumento de la productividad

- Aumento de la motivación del personal

- Compromiso con la misión de la compañía

- Mejoras de las relaciones laborales

- Mejoras del rendimiento

- Mayor profesionalismo

- Ayuda a formar equipos competentes

- Mejora los climas laborares de los RR.HH

Desarrollar un sistema de seguridad significa “planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa”.

Etapas para implementar un sistema de seguridad

- Introducir el tema de seguridad en la visión de la empresa.

- Definir los procesos de flujo de la información y sus riesgos en cuento a todos los recursos participantes.

- Capacitar a los gerentes y directivos, contemplando el enfoque global.

- Designar y capacitar supervisores de área.

- Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras en menor tiempo.

- Mejorar las comunicaciones internas

- Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel

- Capacitar a todos los trabajadores en los elementos de seguridad básica, riesgo de manejo de software y seguridad física.

Juan E. Pecantet

Consultor IT

SecuriTeam ha publicado un bug existente en Internet Explorer 6 que provoca una denegación de servicio con una simple línea de código HTML:

<table datasrc=”.”>

Junto a este bug, se han publicado otros dos que con pocas líneas de código, consiguen una denegación de servicio en el citado explorador. Las versiones vulnerables son:

 * Microsoft Internet Explorer 6.0 para Windows XP Pro SP2 (6.0.2900.2180.xpsp_sp2)
 * Microsoft Internet Explorer 6.0 para Windows 2000 SP4
 * Microsoft Internet Explorer 5.5 para Windows XP Pro SP2
 * Microsoft Internet Explorer 5.01 para Windows XP Pro SP2

Desde Shell Security deseamos a todos nuestros lectores un feliz, próspero y saludable año 2.006. Ya es el tercer comienzo de año que vivimos y esperamos que sean muchos más. Como en otras ocaciones, os mostraremos algunos números sobre nuestro portal shellsec.net:

• www.shellsec.net: 44.000 visitas, 17.233 visitantes distintos, y 153.000 páginas servidas durante Diciembre de 2.005
• foro.shellsec.net: 14.200 visitas (12.039 visitantes distintos) y 35.251 páginas servidas durante Diciembre de 2.005
• 192 noticias publicadas
• 4 advisories publicados

Más allá de los números, nos sentimos orgullosos del crecimiento del portal, y como deseo para este 2.006 nos gustaría una mayor colaboración aún por parte de nuestros lectores. Queremos agraceder también la ayuda que nos prestan los moderadores y editores (tanto del portal como del foro), y esperamos continuar mejorando. Feliz 2.006