La criptografía en Debian ha sufrido un grave revés. Se ha descubierto que el generador de números aleatorios del paquete OpenSSL de Debian es predecible. Esto hace que las claves generadas con él ya no sean realmente fiables o verdaderamente seguras. El problema tiene (y tendrá por muchos años) una importante repercusión y numerosos efectos colaterales en otros paquetes y distribuciones.
Debian ha publicado una actualización para OpenSSL que solventa múltiples vulnerabilidades, siendo la más grave un fallo en el generador de números aleatorios que los volvía predecibles, o sea, “poco aleatorios”. Luciano Bello, desarrollador de Debian, daba la voz de alarma. Sólo afecta al OpenSSL de Debian porque esta distribución parchea su propia versión de OpenSSL, a su manera. En este caso, ha eliminado una línea crucial de código que limita el generador a producir sólo 2^18 claves (solamente 262.144), en vez de poder elegir claves de, por ejemplo 2^1.024 posibilidades.
Los sistemas de cifrado basados en criptografía asimétrica necesitan del cálculo de números aleatorios para generar claves de sesión, públicas y privadas… se basan en la aleatoriedad en general para un buen funcionamiento. De hecho, su seguridad radica en la aleatoriedad real de esos cálculos: cuanta más entropía, más complicado de predecir y más “calidad” del cifrado. Igual para la generación de claves.
El fallo fue introducido en la versión OpenSSL 0.9.8c-1 de septiembre de 2006. Al intentar solucionar un código aparentemente incorrecto con la herramienta Valgrind, se eliminó por error una línea crucial para el sustento entrópico de OpenSSL que nada tenía que ver. Se eliminaron más líneas de código de la cuenta. Valgrind es un programa que detecta y alerta sobre el uso de memoria no inicializada (lo que sería un fallo en cualquier otra aplicación) pero en OpenSSL es legítimo porque se utiliza para ganar entropía. Un claro ejemplo de lo peligroso de intentar solucionar un fallo sin entender completamente el problema, y de introducir cambios no supervisados en este caso, por los desarrolladores oficiales de OpenSSL.
A efectos prácticos, se podría deducir la clave privada a partir de la pública de los usuarios, con lo que la criptografía asimétrica, usada en SSL y SSH por ejemplo, deja de ser fiable para la autenticación y para la confidencialidad. Cualquier clave pública o firma, generada por esa versión de OpenSSL en Debian en los últimos dos años… pasa a ser sospechosa y vulnerable.
Incluso Debian, como medida preventiva, ha deshabilitado el acceso SSH a sus sistemas centrales. El problema para los administradores de un servidor público con SSL no es pequeño. Los administradores, para empezar, deben tener conocimiento de este desastre. Después, regenerar la clave para que tenga la fortaleza que debe. Y por último, volver a certificarlas, con el coste económico que conlleva según el certificador.
Aunque el problema es específico de Debian, puede arrastrar a las numerosas distribuciones basadas en ella. Pero además, puede salpicar a cualquier distribución donde se hayan importado claves débiles. Las claves afectadas son las usadas en SSH, OpenVPN, DNSSEC, claves utilizadas en certificados X.509 y para conexiones SSL/TLS. Las claves generadas con GnuPG o GNUTLS no se ven afectadas porque no usan OpenSSL.
Un problema similar se reportó en Windows. En noviembre de 2007, un equipo de investigadores israelíes publicaron un análisis criptográfico sobre el algoritmo usado por Microsoft Windows 2000 y XP para generar números aleatorios, el PRNG (Pseudo-Random Number Generator). Descubrieron que contenía serios problemas en su implementación. Las conclusiones del estudio revelaban (entre otros fallos) que es posible, y relativamente sencillo, predecir los resultados previos y futuros del algoritmo a partir del conocimiento de un estado interno del generador, así como las claves de sesión usadas y las que se usarán en un futuro para cifrar información. Vista no sufría el problema, y Microsoft dijo que lo arreglaría en el Service Pack 3 para XP. Según parece no ha sido así y aunque han mejorado algunas funciones criptográficas con él, no han resuelto este problema en concreto.
Debian y Ubuntu han publicado ya actualizaciones para todos los paquetes afectados. El proceso de comprobación de claves y de generación e implantación de nuevos certificados puede ser complejo. Se recomienda a todos los administradores que acudan a los enlaces del apartado de “más información” para actualizar sus sistemas y claves.
fuente:http://www.hispasec.com/unaaldia/3490
Posted in Noticias | No Comments
La última versión del navegador Firefox, la 2.0.0.14 corrige una sola vulnerabilidad, algo nada habitual teniendo en cuenta que cada nueva versión soluciona normalmente entre 4 y 8 vulnerabilidades. El problema de seguridad que corrige, además, tiene su origen en una actualización anterior.
Apenas dos semanas después de anunciar la versión 2.0.0.13, Mozilla volvía a lanzar una nueva versión que corregía una sola vulnerabilidad, la MFSA 2008-20. Esta de describía como una denegación de servicio a través del recolector de basura de JavaScript. Según el anuncio, este parche corrige ciertos problemas de inestabilidad que pueden llevar a que la aplicación deje de responder. El problema es que se sabe que bajo ciertas circunstancias, ‘cuelgues’ de esta misma naturaleza han podido llegar a ser explotables en el pasado, y por tanto, permitir la ejecución de código. Parece que Mozilla se ha curado en salud y ante los problemas de inestabilidad y la posibilidad de explotación, se ha adelantado a lanzar una nueva versión que corrige el fallo.
Curiosamente esta potencial vulnerabilidad que podría permitir ejecución de código, ha sido introducida por un parche anterior, el MFSA 2008-15, aplicado en la versión 2.0.0.13 del navegador. O sea, el código introducido para solucionar un problema corregido en 2.0.0.13 ha provocado no solo inestabilidad en el navegador, sino que ha introducido una nueva vulnerabilidad potencialmente aprovechable para ejecutar código.
Al compartir código, Thunderbird también se ve afectado. Como viene siendo habitual, el fallo está corregido en una hipotética versión 2.0.0.14 de Thunderbird no disponible desde el sitio oficial, que en un declarado proceso de abandono, todavía anuncia la 2.0.0.12 como la última versión del cliente de correo.
No es la primera vez que esto ocurre con un navegador. El 8 de agosto de 2006 Microsoft publicó el boletín MS06-042. En él se recomendaba la aplicación de un parche acumulativo para Internet Explorer que solucionaba ocho problemas de seguridad. Dos semanas después se hizo público que, inadvertidamente, este parche había introducido una nueva vulnerabilidad crítica. En principio se detectaron ciertos problemas en la navegación tras la aplicación del parche, pero poco después se advirtió de que en realidad se trataba de una vulnerabilidad crítica para Internet Explorer. Investigadores de eEye comenzaron a indagar en este error y descubrieron que era aprovechable para la ejecución de código arbitrario. La versión del parche que lo solucionaba apareció el día 24 de agosto. A consecuencia de este descubrimiento, eEye y Microsoft se enzarzaron en una serie de acusaciones por el hecho de revelar información en un momento que Microsoft no consideraba adecuado.
fuente: http://www.hispasec.com/unaaldia/3468
Posted in Noticias | No Comments
Continuan los preparativos para el evento de difusión (de Software y Cultura Libre) mas grande de latinoamerica. FLISOL 2008 (Festival Latinoamericano de instalación de Software Libre). No pierda la oportunidad de participar! Este evento se realiza desde el año 2005 y su principal objetivo es promover el uso del software libre, dando a conocer al público en general su filosofía, alcances, avances y desarrollo.
Para tal fin, las diversas comunidades locales de software libre (en cada país, en cada ciudad/localidad), organizan simultáneamente eventos en los que se instala de manera gratuita y totalmente legal, software libre en las computadoras que llevan los asistentes. Además, en forma paralela, se ofrecen charlas, ponencias y talleres, sobre temáticas locales, nacionales y latinoamericanas en torno al Software y Cultura Libre, en toda su gama de expresiones: artística, académica, empresarial y social.
El FLISOL se realizara el Sábado 26 de Abril del 2008, a partir de las 9:00 am en el Tecnoparque Sede Pereira Carrera 10 # 17-75
Hay varias opciones para colaborar, ingrese a: http://installfest.info/FLISOL2008/Colombia/Pereira y contacte a su coordinador local, muéstrele su interés y ofrézcale su apoyo en alguno de estos puntos:
* Difusión
* Patrocinio
* Como Instalador
* Como Logística
* Desarrollando el FLISOL en su región
Si usted conoce a alguien que este interesado en la difusión del software libre re envíele este correo. Si usted desea conocer mas sobre la comunidad colombiana de software libre, visite: http://slcolombia.org o si desea inscribirse a la lista de correo de la comunidad ingrese a: http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri
Posted in General | No Comments
Ante el problema que supuso el pobre sistema de cifrado local de las contraseñas (LM y NTLM), Microsoft introdujo una mejora en forma de parche para Windows NT y de serie para Windows 2000 y posteriores. El sistema se llamó “Syskey” (System key) y añade una nueva capa de seguridad. Aunque todos los Windows actuales lo utilizan y mantienen activo, Syskey es una de las funcionalidades menos conocidas. Básicamente, se cifra de nuevo con una contraseña maestra (System key) las firmas o hashes LM y NTLM almacenados en la SAM para intentar protegerlos.
Esto es, como suele ser habitual, una buena idea mal utilizada. En la práctica resulta un sistema de seguridad con ciertas contraindicaciones. Tras aplicar ingeniería inversa, se descubrió e hizo público el sistema de cifrado de Microsoft para Syskey y existen programas de ‘crackeo’ que permiten saltarse este método de seguridad sin mayor problema. Sin embargo, si Syskey se utiliza correctamente, puede prácticamente eliminar la posibilidad de un ataque “offline” en caso de que se robe el disco duro, se tenga acceso a él arrancando con otro sistema operativo, etc.
Posibilidades que ofrece Syskey
Se puede teclear ’syskey’ (como administrador) en la línea de comandos para comprobar que se tiene activo por defecto, normalmente sin ser consciente (no hay forma de deshabilitarlo). Si se decide sacar provecho real de Syskey, se debe saber que permite tres tipos de almacenamiento diferentes para la contraseña maestra (con la que cifra la SAM), pero muy pocos lo usan.
Para ver el resto de la noticia haga click aqui
Posted in Noticias | No Comments
Los ficheros MDB (asociados habitualmente a Access) de Microsoft han sido históricamente inseguros. Tanto, que Microsoft los considera prácticamente equivalentes a un ejecutable puro y duro. Bajo esta premisa, las vulnerabilidades en la librería que los procesa no son corregidas, y los ficheros con extensión MDB bloqueados por su potencial peligrosidad. Los atacantes, sin embargo, han conseguido con bastante ingenio aprovechar una vulnerabilidad crítica en ficheros MDB a través de archivos DOC de documentos de Word.
Más información aquí.
Posted in Noticias | No Comments
Hoy 18 de Marzo de 2008, se ha descubierto un nuevo troyano que se propaga facilmente en la Internet, y que infecta a las victimas que visitan, paginas web, que tienen archivos infectados.
Este troyano, tiene un componente rootkit el cual oculta archivos, procesos y entradas de llaves de registro. Para las personas que no saben que es un rootkit aca una definicion tomada de la wiki:
Rootkit: es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos. Existen rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows.
para mas informacion sobre que es un rootkit click aqui
Siguiendo con el tema, cabe resaltar que este troyano infecta todas las versiones de Windows incluyendo la server 2003.
¿Como es el funcionamiento de este troyano?
Al ingresar a un sistema crea una carpeta en la ruta:
y libera los siguientes archivos en la ruta:
Para ejecutarse la próxima vez que se re-incie el sistema crea la llave::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“drvsyskit” = “%System%\drivers\hldrrr.exe”
Y se registra a sí mismo como un servicio del sistema, como parte de su rutina de activación, con la siguiente llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
Nombre Mostrado = “Megadrv3″
IRuta de imagen = “\??\%system%\drivers\srosa.sys”
Start = “1″
Al siguiente inicio del equipo el gusano crea la llaves:
Activa su componente Rootkit que oculta archivos, procesos y entradas de llaves de registro.
Sobre escribe su código viral en la cabecera de archivos ejecutables, dejándole inutilizables.
finalmente este se conecta en una infinidad, de urls infectadas que complementan, los ejecutables
fuente: http://www.perantivirus.com/sosvirus/virufamo/baglequ.htm
Posted in Noticias | 1 Comment
Seguramente no es ninguna novedad ver la imagen de un cajero automático con la bsod (blue screen of death). Sin embargo eso es una cosa, y otra es que estos aparatos venerados por su contenido sean “fácilmente hackeados” si tienen el sistema operativo Windows controlándolo todo. En un artículo de Sillicon se comparan las opiniones de distintas compañías de seguridad, y han puesto a prueba a los cajeros para demostrar lo vulnerables que son. En el Reino Unido, por ejemplo, el 90% de los cajeros están basados en tecnologías propias de escritorio, es decir Intel y Windows, y son susceptibles a los tipos de ataque descritos, DoS Denial Of Service, troyanos, etc.
Network Box, por ejemplo mostró que durante la comunicación entre el cajero y el banco sólo el PIN es encriptado. Otros datos, como el número de la tarjeta, fecha de expiración, o cantidades transferidas viajan en claro. Y sabemos todos que para hacer cualquier compra por internet tan sólo son necesarios el número y fecha de caducidad de la tarjeta.
Fuente: http://seguinfo.blogspot.com/
Trend Micro RUBotted, gratis
[27-02-2008]
Trend Micro desarrolla una herramienta para la detección de bots
Trend Micro RUBotted es una nueva herramienta que tiene la finalidad de monitorizar la existencia de actividades relacionadas con bots en los equipos informáticos. Este programa puede ser descargado directamente desde la página www.trendsecure.com, donde se encuentran otras herramientas gratuitas de protección del fabricante.
Trend Micro RUBotted, el encontrar indicios de presencia de bots, comprueba con un servicio on-line para identificar aquellos que están potencialmente relacionadas con los bots. Al descubrir una potencial infección, RUBotted avisa al usuario con una petición para escanear y limpiar su equipo. El programa lanza también una serie de comandos remotos para la comunicación con un servidor de control, mediante un análisis exhaustivo entre las actividades de IRC (Internet Related Chats), solicitudes de protocolos http y la salida de correo electrónico. Cuando encuentra alguno en el sistema, RUBotted abre una pequeña ventana de aviso y sugiere la ejecución de HouseCall de Trend Micro, herramienta on-line gratuita para eliminar códigos maliciosos.
RUBotted trabaja conjuntamente con el software antivirus instalado en el ordenador, independientemente del fabricante del que se trate. Asimismo, el programa es compatible con Windows 2000, XP, Server 2003 e 32-bit Vista.
Actualmente Trend Micro no ofrece soporte técnico gratuito para el programa, sin embargo, irá incorporando las sugerencias enviadas por los usuarios en las futuras versiones de RUBotted.
via: pc-actual
pagina del robotted: http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted
link para descargar el rubotted: (4.94 mb)
http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted/download
Posted in Noticias | No Comments
Una web de turismo distribuye malware por la Red
[29-02-2008]
Trend Micro descubre ha descubierto el website español
La página Pyrenees Guide redirige al usuario a URLs que descargan troyanos; examinando el código fuente de la página principal del site, Ivan Macalintal, Director de Proyectos de Investigación de Trend Micro, encontró que contenía el script. Este proporciona una URL que dirige al usuario a su vez a otra URL que contiene otro código malicioso, a través de un iFrame oculto. Esto conduce a una o dos URLs maliciosas y una de ellas intenta explotar una vulnerabilidad en RealPlayer. Según el análisis inicial, la redirección finalmente lleva al usuario a la descarga de un troyano que, a su vez, instala un archivo de configuración que contiene un listado de varios ficheros que incluyen docenas de ladrones de contraseñas MMORPG (Juegos de Rol Multijugador Masivos Online). Unos ejemplos de los detectados son: TSPY_ONLINEG.WN, TSPY_ONLINEG.DTQ y TSPY_ONLINEG.CZX.
Trend Micro ofrece como solución su utilidad Web Threat Protection, que ofrece protección a los usuarios frente a este ataque bloqueando de forma proactiva la URL relacionada y detectando los archivos que intentan el ataque para descargarse en el sistema.
via: PC-ACTUAL
Posted in Noticias | No Comments
Hola a todos
Queria invitar a todos los que deseen formar parte del grupo PST a que asistan a uan reunion que se va a llevar acabo el dia viernes 25 de enero de 2008 en el cafe de Juan Valdez (c.c Ciudad victoria) a las 6 de la tarde.
En esta reunion se debatiran varios puntos, entre ellos los laboratorios que vamos a desarrollar, saber en que temas nos vamos a enfocar, y saber con cuantas personas comprometidas contamos, esperamos a q todos asistan, para conocernos los que no se conocen y ps hablar sobre el grupo para poder crear algo serio y claro…
saludos
Posted in Noticias | No Comments