‘ Seguridad ’ category archive

Finalizado el concurso de análisis forense organizado por Rediris

Febrero 21, 04 by admin

La Red Española de I+D (RedIRIS) organizó hace unos meses un concurso sobre análisis forense el cual era de acceso libre. Para participar, había que descargar unos ficheros correspondientes a las imágenes de disco de una máquina que había sido atacada y de la cual se tenía que resolver, entre otras, las siguientes cuestiones:

- ¿Quién ha realizado el ataque ?, (dirección IP de los equipos implicados en el ataque )
- ¿Comó se realizo el ataque ? (Vulnerabilidad o fallo empleado para acceder al sistema )
- ¿Qué se hizo el atacante ? (Que acciones realizo el atacante una vez que accedío al sistema, ¿por qué accedió al sistema ?).

Hasta el 30 de Diciembre hubo más de 600 accesos distintos al ftp donde se encontraban los ficheros, siendo 14 personas las que al final enviaron los informes correspondientes. La evaluación fue la siguiente:

- Informe Ejecutivo, Breve resumen con un máximo de 5 páginas entendible por personal no técnico en el que se detallaran los aspectos más importantes de la intrusión, que medidas hubieran hubieran podido evitar que esta tuviera lugar y que recomendaciones se deberían realizar tras este ataque

- Informe técnico, donde con una mayor extensión, se debían resumir el análisis del equipo, considerándose entre otros los siguientes aspectos:

· Identificación del sistema operativo atacado
· Descripción de las herramientas empleadas y de los procedimientos de obtención de la información de la máquina atacada.
· Determinación del origen del ataque, vulnerabilidad empleada por el atacante, descripción de la linea de tiempos del ataque
· Información detallada sobre las acciones realizadas por el atacante y las herramientas que instaló este en el equipo atacado

- Aspectos Generales, donde se valoraba la claridad y comprensión general de los documentos y aspectos formales como el uso de firma digital para firmar los documentos y empleo de servidores de tiempo para sellar los documentos

Enlaces relacionados:

- Resultados del Reto Análisis Forense

http://www.rediris.es/cert/ped/reto/resultados.html

- Reto de Analisis Forense

http://www.rediris.es/cert/ped/reto/

- Normativa del reto:

http://www.rediris.es/cert/ped/reto/normas.html

MS04-007 - Reaparece el miedo a un nuevo worm masivo

Febrero 11, 04 by admin

En el dia de ayer, siguiendo con la nueva politica de microsoft de sacar actualizaciones de seguridad el segundo martes de cada mes, se ha publicado el boletin MS04-007 que informaba sobre una grave vulnerabilidad que afecta a toda la familia de Windows 2000/XP/2003.

Este nuevo fallo de seguridad se encuentra presente en las librerias ASN.1 de Microsoft y la causa es un integer overflow.

El principal problema es que estas librerias son usadas por un gran numero de software lo que lo convierte en mas peligroso. Entre otros procesos afecta a la autentificacion NTLM, y los programas que utilicen Certificados.

Principal Software al que afecta:

- Microsoft Internet Explorer.
- Microsoft Outook.
- Microsoft Outlook Express.
- Software de terceros que use certificados.
- Kerberos (puerto 88 UDP)
- Microsoft IIS usando SSL (puerto 443, HTTPS…)
- autentificacion NTLMv2 (Puertos TCP 135, 139, 445)

Con esta ingente cantidad de programas y servicios que hacen uso de estas funciones, las consecuencias de un virus que aproveche estos fallos podrian ser fatales. No hace poco, el Blaster atataco nuestras redes usando un agujero de seguridad existente en el servicio rpcss por el puerto 135. Esta vez, el numero de equipos a los que podria llegar un virus usando entre otros medios el correo electronico para propagarse, es mucho mayor.

Esperemos una vez mas que estos problemas, cada vez mas comunes, ayuden a los usuarios y administradores a concienciarse de la importancia de la seguridad en los equipos domesticos y de aplicar unas reglas de filtrado y actualizaciones de software constantes.

Microsoft Windows Security Bulletin MS04-004

Febrero 03, 04 by admin

Microsoft se ha saltado la regla en cuanto a las fechas de publicacion de actualizaciones de seguridad se refiere y ha publicado un nuevo parche de seguridad del internet explorer que soluciona varios fallos de seguridad considerados criticos hasta el momento y que estaban siendo activamente explotados en la red.

Estos fallos son los siguientes:

- Url Spoofing (CAN-2003-1026) , que permitia a un atacante mostrar una url en la barra del navegador distinta a la que se estaba visitando. De esta vulnerabilidad habiamos hablado ya en shellsec anteriormente.
- ataque de cross Site scripting en la zona de seguridad local (CAN-2003-1026) que permitian intercambio de informacion entre ventanas pertenecientes a distintos dominios haciendo que la ejecucion de codigo sea posible.
- modificacion del funcionamiento del DHTML (CAN-2003-1027) que podia permitir a un atacante grabar ficheros en el disco duro

Las versiones afectadas del Internet explorer son las 5.01, 5.5 y 6.0
Las actualizacion de seguridad mencionadas anteriormente se puede descargar a traves de windowsupdate.com o en el la pagina de descargas http://www.microsoft.com/downloads

Mas informacion:
http://www.microsoft.com/technet/security/bulletin/MS04-004.asp

¿Un servidor de páginas web totalmente seguro? Al menos eso afirman los creadores de Hydra

Febrero 02, 04 by admin

Hoy el usuario ‘Vegeta’ nos ha enviado una primera noticia. Desafortunadamente no es una noticia originalmente editada por él, ya que ha sido copiada de una noticia en http://barrapunto.com . Os animamos a enviarnos las noticias que creeis vosotros mismos sobre seguridad informática ( http://www.shellsec.net/enviar_noticia.php ). Os pongo la noticia que envió este usuario ( aunque os pedimos que las noticias que envieis sean redactadas por vosotros mismos ):

"Según publica Chicago SunTimes, Bodacion Technologies ha creado un nuevo servidor web. Lo cuenta en "He’s confident system can stop any virus", y es supuestamente invulnerable a todo tipo de ataques, virus y gusanos habidos y por haber, así como totalmente libre de cualquier bug y con prestaciones y sencillez de configuración sin precedentes. Para demostrarlo, los fabricantes revelan parte de la tecnología (algoritmos matemáticos biomórficos, nano-kernel basado en el utilizado por los Boeing de la serie 700…) e incluso proponen un premio de 100.000 dólares para quien consiga crackear el servidor; según afirman, decenas de miles de personas lo han intentado hasta el momento sin éxito."

La noticia original la podeis encontrar en http://barrapunto.com/ciencia/04/02/02/1638209.shtml

Tres nuevas actualizaciones de seguridad para productos de Microsoft.

Enero 16, 04 by admin

La empresa de Bill Gates ha lanzado nuevas actualizaciones para diversas vulnerabilidades en Exchange Server 2003, en Microsoft Data Access Components (MDAC) y en ISA Server 2000.

PandaSoftware explica las vulnerabilidades de la siguiente forma:

_ *

El más grave de los citados problemas de seguridad reside en Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000).
Debido a un desbordamiento de buffer en el filtro H.323, un atacante remoto puede lograr la ejecución de código en los servidores ISA que tengan dicho filtro activo (que es una opción incluida en la configuración por defecto).

La vulnerabilidad en Microsoft Data Access Components (MDAC) posibilita la ejecución de código en sistemas clientes, cuando lanzan una petición para consultar la lista de servidores SQL Server de la red.

Por su parte, la vulnerabilidad en Exchange Server 2003 puede permitir que, bajo determinadas condiciones, un usuario de Outlook Web Access (OWA) acceda, de forma aleatoria, al buzón de correo de cualquier otra persona

* _

Podeis encontrar más información en:

Vulnerability in Microsoft Internet Security and Acceleration Server 2000 H.323 Filter Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-001.asp

Vulnerability in Exchange Server 2003 Could Lead to Privilege Escalation
http://www.microsoft.com/technet/security/bulletin/MS04-002.asp

Buffer Overrun in MDAC Function Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-003.asp

La web de PandaSoftware: http://www.pandasoftware.es/

IbleNews: http://iblnews.com/noticias/01/97791.html

CERT lanza una guía para preparar sistemas antes de conectarlos a Internet

Enero 10, 04 by admin

http://www.cert.org ha sacado un artículo con una serie de consejos para poder conectar un equipo recién instalado a Internet de una forma segura, frente a las muchas vulnerabilidades que existen hoy en día para instalaciones por defecto. Lo podeis encontrar en:

http://www.cert.org/tech_tips/before_you_plug_in.html

Sería muy interesante crear una guía de este tipo, pero en castellano (ahora mismo no recuerdo si existe alguna). ¿Alguien se anima?

OpenNA Linux: “probablemente” el Linux más seguro y rápido

Noviembre 04, 03 by admin

He leido en http://barrapunto.com la noticia sobre una nueva distribución de Linux (yo al menos no la conocía, aunque va por la versión 2.0), denominada OpenNA Linux. Según la página oficial de esta distribución es "probablemente el más seguro y rápido servidor Linux para sistemas basados en UNIX". Yo personalmente no lo he probado, y no se hasta qué punto puede ser cierto, pero en los requerimientos aparece esto:

Minimum and Recommended Hardware Requirements

CPU:
Minimum: Pentium II
Recommended: 750 Megahertz Pentium III or better

Hard Disk Space*:
Minimum: 100 MB
Recommended: 1.5 GB
Full Installation: 843 MB

*Additional space will be required for file storage.

Memory: Minimum for text-mode: 64MB
Minimum for graphical: 256MB
Recommended for graphical: 512MB

Hardware Compatibility: OpenNA Linux supports most modern PC hardware.

Parecen unos requerimientos mínimos bastante elevados para un Linux que pretende ser el más rápido, recordemos que muchas distribuciones de Linux (como Debian) pueden correr perfectamente en un 486 con 16 de RAM.

En cuanto al tema de seguridad, no conocemos si realmente es tan seguro. Seguro que frente a distribuciones como Red Hat sí lo es, pero ¿lo será frente a distribuciones como Debian o frente a sistemas como OpenBSD con seguridad proactiva y años de auditorías?

Cambios referentes a la seguridad de XP en su próximo Service Pack 2

Octubre 31, 03 by admin

Microsoft ha anunciado algunos de los cambios en su próxima actualización de XP, Service Pack 2. Entre los cambios en la seguridad, se encuentra la desactivación del servicio Windows Messenger ( ya lo comentamos hace un par de días, http://www.shellsec.net/noticias.php?num=290 ).

Por otro lado, tienen previsto activar de forma predeterminada el cortafuegos ‘Internet Connection Firewall’, en especial para cerrar los puertos relacionados con RPC y puertos de NetBios, qué tantos problemas de seguridad ha reportado a los sistemas Windows en los últimos tiempos.

Versión 6.11 de MIRC y cómo proteger las versiones 6.x frente a recientes exploits

Octubre 13, 03 by admin

Hace unos días aparecían nuevas vulnerabilidades que afectaban a las versiones 6.x del cliente de irc MIRC (incluida la versión 6.1)

Después de un par de semanas, se ha lanzado una nueva versión (la 6.11) que corrige estos bugs (desconocemos si los corrige todos). Una gran cantidad de comandos han sido actualizados y solucionados sus bugs, son los siguientes:

/fwrite, /hdec, /mkdir, /qmsg, /qme, /color, /hload, /hsave y /server cuando no se especifica el puerto.

También han sido actualizados los siguientes identificadores:

$duration(N,3), $base(), $os, $comcall(), $dllcall(), $md5() y $mask()

Con estos cambios se ha conseguido solucionar también el problema de seguridad de /userhost. En algunas redes de irc se recomienda usar los siguientes comandos para evitar ser victimas del reciente exploit para versiones 6.x de MIRC:

/ignore -dw *

Y mediante el siguiente comando, se puede permitir a determinados nicks establecer o no conexiones DCC: /ignore -u90x <nick>

Enlaces relacionados:

Anterior noticia sobre vulnerabilidades en MIRC: http://www.shellsec.net/noticias.php?num=257

Cambios en la reciente versión de MIRC: http://www.mirc.co.uk/versions.txt

Microsoft corrige al fin graves vulnerabilidades en Internet Explore

Octubre 09, 03 by admin

Desde hacía tiempo, Internet Explorer contenía fallos en tags del tipo Object. Simplemente con visitar una página con determinado código, se puede hacer que el cliente descargue y ejecute código e incluso una aplicación.

Este grave fallo podría permitir que se introdujeran virus, troyanos o cualquier código malicioso con sólo acceder a alguna página preparada para ello.

Recomendamos encarecidamente la instalación de este parche, podeis encontrarlo en http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-040.asp