Daboweb | Seguridad y ayuda informática |

Se está hablando mucho estos días del bug y el cambio de passwords en Lion tal y como podemos leer en Ontinet y nos han llegado varias consultas sobre cómo actuar hasta que Apple publique una actualización que lo solvente.

Aclaramos en el título lo de «un ataque local», ya que se requiere acceso físico a la máquina para poder llegar a efectuar dicho ataque con sólo tipear el siguiente comando en el terminal; dscl localhost -passwd /Search/Users/NombreUsuario.

Esta vulnerabilidad / debilidad en la gestión de las contraseñas de Mac OS X no es nueva tal y como nos recuerdan desde Genbeta (donde también se dan buenos consejos), ahora, con el lanzamiento de Lion, vuelve a estar de actualidad y es lógica la preocupación de los usuarios de OS X frente a un ataque de este tipo.

Realmente no es algo tan complejo de paliar y obviamente, ayuda que sea un ataque para el que se necesite estar frente al equipo caso de querer efectuarlo. También en LifeHacker (ENG) un usuario ha preguntado lo mismo y vamos a dar un repaso a las medidas a poner en práctica.

Desde el terminal;

• Desactivar los permisos de dscl (como root) tipeando; chmod 100 /usr/bin/dscl

Desde Preferencias del Sistema – Seguridad;

• #Nota. Puedes ver esta imagen de LifeHacker para ver mejor los cambios
• Desactiva el inicio de sesión automático.
• Activa la opción «solicitar password inmediatamente» cuando se active el salvapantallas o la suspensión.
• (Sobre este punto comentar que en Preferencias- Energía podéis bajar el tiempo de esos valores, recomendable).
• Solicitar la contraseña de administrador para desbloquear cualquier preferencia del sistema bloqueada.
• No olvides bloquear el candado en la zona inf izquierda.

Desde Preferencias del Sistema – Usuarios y grupos;

• Desactivar la cuenta de invitado
• (También recomendable en «compartir» desactivar el acceso a carpetas compartidas)

Ahora sólo es cuestión de esperar y ver el «tiempo de respuesta» por parte de Apple para parchear este agujero de seguridad.

Si hablamos de certificados digitales, a todos nos viene a la memoria el tan nombrado caso de Diginotar del que ya hemos hablado en Daboweb en varias ocasiones. Si hablamos de un protocolo como «SSL« (acrónimo de «Secure Sockets Layer«, protocolo de capa de conexión segura), pensaremos en conexiones cifradas, «candados» en la parte superior de la barra de nuestro navegador, en resumen «una conexión segura» ¿o no?.

Hoy os queremos recomendar la lectura de una entrada publicada en el blog de nuestro amigo Sergio Hernando, en la que va más allá del típico resultado que podemos ver en la salida del «scanner» de vulnerabilidades de turno.

Tal y como dice el autor, solemos asociar las conexiones vía «SSL» a aplicaciones web, pero no hay que olvidar por ejemplo el uso masivo que hacemos de «SSL» en la recepción o envio de correo electrónico (aunque hoy en día, seguramente esa conexión ya sería vía «TLS«, una implementación mejorada del protocolo «SSL«), programas de mensajería instantánea, aplicaciones VoIP (voz sobre IP), etc.

Por lo que si hablamos de auditorías de seguridad, todo lo que vaya cifrado bajo «SSL«, debería ser auditado de la forma más minuciosa posible para evitar ataques en los que, la suplantación de identidad, junto a la posible captura de unos datos que «presuntamente» viajan por la red bajo una capa de cifrado, pueden resultar devastadores en los sistemas comprometidos.

Acceso a; «Principios teóricos y prácticos de auditoría SSL«.

Nos hacemos eco vía Menéame de una noticia en la que se informa acerca de un ataque que ha sufrido la tienda de venta online BuyVip (propiedad de Amazon). Como consecuencia de este ataque, hay datos personales de usuarios que se han visto expuestos como direcciones de correo, teléfonos y contraseñas.

En este caso, se afirma que los números de tarjetas de crédito de los clientes no se han visto expuestos y también que desde BuyVip están informando vía correo electrónico a los usuarios afectados del problema. Es por ello que es urgente el cambio de tu contraseña en BuyVip, así como en otros lugares en los que puedas estar usando la misma cuenta (algo nada recomendable, aquí algunos consejos).

Más información en El Mundo.

Durante el día de ayer y hoy, hemos podido leer tal y como informan en Ontinet y en muchos otros sites, que dos de los servidores destinados a distribuir el Kernel que impulsa nuestras distros de GNU/Linux alojados en kernel.org, fueron víctimas de un ataque que podíamos catalogar como «devastador», dado el grado de acceso que se consiguió.

Hablamos nada más y nada menos que con privilegios de «root» (súper usuario en un sistema *Nix). Este hecho derivó en la inclusión de un troyano en parte de su código fuente con las consecuencias que ello conlleva. A pesar de que la intrusión se llevó a cabo el día 12 de Agosto y fue descubierta el pasado 28, algunos pueden pensar si el Kernel que han descargado desde el día 12 hasta la fecha contiene alguna vulnerabilidad.

Una fuente tan reputada como Jonathan Corbet ya ha dicho que no debemos preocuparnos por la integridad del Kernel reconociendo (cómo no) que es un tema preocupante y que se volcarán backups «limpios» en los sistemas afectados además de revisar el resto.

Hablando de Git…

Los aproximadamente 40.000 ficheros que componen el Kernel, cuentan con una protección como la que ofrece «Git» (creado por el propio Linus Torvalds) el cual se basó para su desarrollo en BitKeeper y en Monotone para llevar un control de versiones eficaz y seguro. Actualmente, Git esta principalmente mantenido por Junio Hamano junto a casi 300 programadores.

Git es usado actualmente además de para desarrollar el código del Kernel, de proyectos de tanto peso como Perl, KDE, Android, Debian o GNOME por citar algún ejemplo.

Os podéis imaginar lo que puede ser llevar ese control de cambios en un mismo fichero por una cantidad tan grande de programadores que trabajan en el código fuente del Kernel. Gracias a Git, ese proceso se realiza de una forma rápida y eficiente. Cuando se realiza un cambio en el código sobre alguna versión previa, los cambios que se hacen posteriormente son notificados en todas ellas.

La gestión distrubuida que ofrece Git proporciona a cada mantenedor del código una copia local con todos los cambios realizados en el desarrollo de un proyecto. Esos cambios se propagan entre repositorios locales y son importados como ramas adicionales pudiendo ser fusionadas del mismo modo que en la ramificación local. Todo ello apoyado por la solidez del «hash» SHA1 para evitar «colisiones» y llevar un mejor control de los cambios realizados.

Trabaja con desarrollos no-lineales que dotan de una mejor gestión de las ramificaciones y la fusión con versiones diferentes del código, se realiza de una forma rápida y eficaz. A pesar de que se hay otras formas de publicar los cambios, se suele optar por el cifrado que ofrece SSH para hacerlo de un modo más seguro. Se pueden usar a modo de emulación, varios módulos y clientes CVS y con «git-svn» trabajaremos con Subversion o svk.

Como podéis ver, la forma de trabajar a través de Git junto a las palabras de Corbet ya deberían ser suficientes como para tranquilizarnos, alguien como él no diría gratuitamente «no hay problemas con el Kernel» caso de haberlos, pero también, muchos de los desarrolladores que se encargan de su mantenimiento, si no fuese así, podéis dar por seguro que darían la voz de alarma.

Lo mejor para ver todas las funcionalidades de Git, es pasaros por sus «FAQs».

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Agosto de 2011, por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Agosto 2011

Día ; Artículo.

• 31: [Breves] Disponible Drupal 7.8. Importante corrección de errores
• 31: Pakistán prohibe el cifrado de datos y anonimato en La Red
• 30: Disponible Apache 2.2.20 que solventa ataques de denegación de servicio (CVE-2011-3192)
• 30: Comprometido el certificado digital “DigiNotar CA” de Google / Gmail. Cómo borrarlo en Firefox
• 30: Debian DSA-22981, solventados dos bugs en Apache que provocan ataques DoS
• 25: Vulnerabilidad seria en phpMyAdmin (XSS en versiones de la 3.3.0 a la 3.4.3.2)
• 25: Actualización del kernel de Ubuntu Linux
• 25: [Breves] Sobre el ataque a PrestaShop, cómo proceder si eres uno de los afectados.
• 25: Seguridad básica en Daboweb. Cerrar sesión
• 24: [Breves] ¿Cansado de ser “auto-etiquetado en Facebook? Ahora más privacidad.
• 24: Vulnerabilidad “0-day” y ataques DoS en Apache 2.0, 2.2 y 1.3. Medidas para paliarlos
• 23: [Breves] Actualización de filtros Nauscópicos para AdBlock Plus, (Firefox y Chrome)
• 23: El “ping de la muerte” otra vez en escena
• 18: Arch Hurd 2011-08-17, nucleo Hurd en pruebas
• 17: Primera actualización de Lion. Disponible Mac OSX Lion 10.7.1
• 17: [Breves] Disponible Mozilla Thunderbird 6 versión final para Windows, GNU/Linux y Mac OS X
• 14: ¿Aún no has activado tu Firewall en Mac OS X? (En Lion también viene desactivado por defecto).
• 13: LibreOffice 3.4.2
• 13: [Breves] Firefox 6 final, descarga disponible para Windows, GNU/Linux y Mac OS X
• 12: Guía de INTECO-CERT en PDF sobre riesgos y amenazas en “Cloud Computing”
• 10: Microsoft publica 13 boletines de seguridad que solventan 22 vulnerabilidades (2 críticas en Internet Explorer y DNS Server)
• 09: Actualizaciones críticas de seguridad de Adobe FlashPlayer, ShockwavePlayer, FlashMediaServer, Photoshop CS 5 y RoboHelp
• 08: Vulnerabilidad seria en Foros SMF 2.0. Escalada de privilegios (Token Hijacking)
• 05: Sigue en nuestro foro las actualizaciones de Ad-Aware, SuperAntiSpyware, Spybot, SpywareBlaster, etc
• 05: [Breves] De nuevo activa nuestra página de FaceBook, tampoco olvides nuestro Twitter
• 02: Nueva versión (1.5.14) de Coppermine Photo Gallery
• 01: Publicado en Daboweb, Julio de 2011

Como habéis podido leer hoy en Daboweb, hace unas horas os informábamos acerca de los parches que ha aplicado Debian con una nueva versión de Apache que solventaba la vulnerabilidad y los ataque DoS CVE-2011-3192 (además de uno específico en mod_dav) tanto en la rama «oldstable» (Lenny) como en la «stable» (squeeze).

Os informamos que ya está disponible una nueva versión de Apache (2.2.20) que solventa dicho bug por lo que es más que recomendable su actualización a la mayor brevedad posible, además de revertir los posibles cambios (por ejemplo la activación de mod_deflate) relalizados para mitigar el impacto del bug cuando aún no había parches oficiales.

Información sobre cambios y correcciones | Descarga de la nueva versión | Fuente Sans.

Se ha encontrado un fallo de seguridad importante en un certificado digital emitido por la entidad Holandesa DigiNotar para Google. Dicho certificado se ha visto comprometido y con él, los usuarios de productos de Google (como puede ser el caso de Gmail) pueden ser víctimas de ataques «man in the middle» recopilando datos privados del usuario con el peligro que ello conlleva.

Google actualizará su navegador eliminando dicho certificado y Microsoft ya  ha procedido a eliminar a DigiNotar de la «Microsoft Certificate Trust List». Hablando de Firefox / Iceweasel, el equipo de soporte de Mozilla, ha publicado cómo eliminar dicho certificado.

Fuente y más información (Bitelia).

Hace unos días os hablamos de la vulnerabilidad que afectaba al servidor web Apache. Esta vulnerabilidad permitía ataques de denegación de servicio y que con un número limitado de peticiones, dicho ataque dejase al servidor web afectado sin recursos por un excesivo consumo de memoria y CPU.

Debian ha puesto a disposición de los usuarios los correspondientes parches que solventan dicha vulnerabilidad  (CVE-2011-3192) (etiquetados como 2.2.9-10+lenny10 y 2.2.16-6+squeeze2.)

Además, se añade un parche específico para la versión «oldstable» (Lenny) que solventa un bug que afecta a mod_dav (CVE-2010-1452) que también podía derivar en ataques de DoS en el servidor web.

Más información sobre el anuncio (Debian DSA-22981 Apache 2) en Debian.

En estos momentos, en el sitio web oficial de Apache aún no hacen mención a una nueva relase que corrija estos bugs, pero se espera que en unas horas esté disponible una versión con el parche para su instalación/compilación.

Se ha reportado por parte de Norman Hipper una vulnerabilidad catalogada como «seria« por el equipo de phpMyAdmin que afecta a versiones desde la 3.3.0 a la 3.4.3.2 (CVE-2011-3181).

La explotación del XSS vía un ataque «cross-site scripting«, puede hacer posible que un atacante remoto consiga conectarse al popular gestor de bases de datos Open Source con el peligro que ello conlleva.  Para paliarlo, se recomienda encarecidamente actualizar el software a las versiones 3.3.10.4 or 3.4.4 o aplicar los parches que se han puesto a disposición de los usuarios.

Más información y parches; en phpMyAdmin | The H Security.

Visto en; UnixenMac

Fueron detectados hasta nueve problemas de seguridad dentro del kernel de Ubuntu 8.04 LTS que con esta actualización lista para ser descargada quedan solucionados. Concretamente se trataba de vulnerabilidades en el sistema de archivos /proc, en Bluetooth, el filtrado de red, la pila de red DCCP, dispositivos TPM, el subsistema IRDA y redes X.25, que con la versión 2.6.24-29.93 han pasado a la historia. Si aún usáis esta distribución de «soporte largo» debéis proceder a la actualización de su nucleo a la mayor celeridad.

Se trata de fallos de graves cuyas consecuencias pueden ir desde una denegación de servicio hasta incluso la obtención de permisos de root por parte de un atacante. Os dejamos este enlace a la fuente de la noticia donde hay mas información acerca de esta importante actualización de seguridad.

Ayer por la noche, el sitio web de PrestaShop fue víctima de un ataque. Este hecho, vía un script para automatizar el proceso, según la información que proporciona PrestaShop, derivó en la transcripción de noticias en la parte administrativa de las tiendas.

Si tu tienda está entre las afectadas, consulta esta información (en castellano) para solventar el problema.

Fuente; IntecoCert.

Concretamente, la vulnerabilidad ha sido catalogada como «Range header DoS vulnerability in Apache 1.3 and Apache 2» (CVE-2011-3192:). El tema es serio ya que con un número relativamente bajo de peticiones, pueden producirse ataques de denegación de servicio, debido a un excesivo consumo de memoria y CPU.

Como prueba de concepto, está el script escrito en Perl  denominado»killapache«. Para comprobar si vuestro servidor es susceptible de recibir este tipo de ataques, os recomendamos leer la entrada sobre el tema de Jordi Prats en»systemadmin.es»

Este bug, del que se espera que en 96 h aproximadamente esté parcheado (aunque hablan de parches para las versiones 2.0x y 2.2x, no para la 1.3x según informan), afecta especialmente a Apache junto a módulos relativos a la compresión de ficheros, como puede ser el caso de uno tan popular como mod_deflate. Debido a la falta de actualizaciones, se proponen varias medidas para paliar los efectos del bug.

Estas actuaciones se pueden combinar con otras soluciones de «apoyo» como podrían ser Mod-Evasive, Mod-Security, (D) DoS Deflate, la configuración de vuestro firewall, etc.

(#Disclaimer; En la fuente original ya se informa que estas medidas pueden afectar al normal uso de los sitios webs en los que se implementen. Vídeo por streaming, sesiones activas, ciertas descargas, cookies y otras peticiones legítimas).

1) Utilizar «mod_headers«; (Ponedlo debajo de la directiva «ServerRoot»)

RequestHeader unset Range

2) Usar «mod_rewrite» para limitar el número de intervalos:

RewriteCond % {HTTP:range} ^bytes=[^,]+(,[^,]+) {0,4}$
RewriteRule. *-[F]

3) Reducir el tamaño en bytes de las peticiones; (mejor con la opción 1)

LimitRequestFieldSize 200

4) Usar temporalmente un módulo de «recuento» como mod_rangecnt.c. (esta opción mejor la última…)

http://People.Apache.org/~dirkx/mod_rangecnt.c (descarga directa)

5) Quitar «mod_deflate» temporalmente, la «menos mala» quizás.

(Alguna consideración sobre su desactivación aparte de un «a2dismod» en Debian y derivados)

«Removing any AddOutputFilterByType/SetOutputFilter DEFLATE entries. Disable it with «BrowserMatch .* no-gzip«

Ante las dudas que os puedan surgir, os recomendamos permanecer atentos a posibles parches y leer la fuente original de este artículo o está información de «Debian Security» en el que hablan del bug y cómo afecta a Apache en su versión estable. También es recomendable seguir este hilo para contrastar e ir leyendo más información.

Por David Hernández (Dabo).

Curiosa la noticia que leemos en la red acerca del viejo y conocido «ping de la muerte» que afectaba allá por la década de los noventa a sistemas Windows y que todos creíamos desaparecido. Al parecer Microsoft publicó el boletín de seguridad MS11-064 en el que corrige un fallo de similares características en la pila TCP/IP de Windows Vista y Windows 7, el cual mediante paquetes ICMP especialmente diseñados pueden provocar una denegación de servicios en el sistema afectado. Llama la atención que Windows XP no se vea afectado por esta vulnerabilidad y que sin embargo, los dos últimos sistemas operativos del gigante informático si que «incorporen» este grave fallo.

Sin duda uno de los mas conocidos bugs de la gama de productos made in Microsoft, tanto por la facilidad en su ejecución como por los efectos inmediatos que producía: cuelgue del equipo que lo sufría y la aparición de la tan temida «pantalla azul». Para los que no conozcais este clásico entre los clásico dentro de lo que es su día se dio a conocer como el «IRC War», os dejamos este enlace a la Wikipedia donde podéis leer mas al respecto. Y si sois usuarios de los mencionados Windows Vista y Windows 7, pues ya sabéis lo que procede…

Realmente no sé el tipo de respuesta que podría dar Apple a esta cuestión. Un sistema que presume de unos niveles de seguridad más que aceptables y hablando de Mac OS X Lion, se ha comentado mucho este aspecto (las mejoras en cuestiones de seguridad), no debería venir con el Firewall de aplicaciones que incorpora desactivado por defecto (algo que sucede también en Leopard o Snow Leopard).

Cierto es que «de serie», es un sistema bastante seguro, pero este hecho en mi opinión, le resta muchos puntos. Si la explicación es que al usuario «clásico» de OS X le molestan los avisos puntuales que puede dar el sistema sobre conexiones entrantes o salientes, me parecería una excusa un tanto «pobre», ya que los tiempos están cambiando y no se puede negar una clara evidencia. Las amenazas que giran en torno a nuestros equipos (sea el sistema operativo que sea) son cada vez mayores.

Quizás en su defecto, no estaría mal algún tipo de aviso para que el usuario recordase (al estilo de Windows y su «Centro de Seguridad») los niveles de protección actuales del sistema. Junto al Firewall, un complemento como «Little Snitch» puede ser lo ideal para aumentar la seguridad de vuestras conexiones de red.

¿Cómo activar el Firewall de aplicaciones en OS X 10.6 y superiores?

1. Selecciona Preferencias del Sistema en el menú Apple.
2. Haz clic en Seguridad.
3. Haz clic en la pestaña Firewall.
4. Desactiva el panel haciendo clic en el candado de la esquina inferior izquierda
5. introduce el nombre de usuario y la contraseña del administrador.
6. Haz clic en Inicio para activar el firewall.
7. Haz clic en Avanzado para personalizar la configuración del firewall.

Más información y otras versiones en el sitio web de Apple.

Para este Viernes, os recomendamos leer este interesante documento en formato PDF creado por el INTECO-CERT sobre los riesgos y amenazas del «Cloud Computing» (computación en la nube).

Puede que hayas leído estos pasados días mucha información sobre la caída de Amazon EC2 (podcast especial en Daboblog sobre Amazon EC2 con Ricardo Galli y Raúl Naveiras) en Europa debido a un fallo de hardware (provocado por un rayo) o que estés pensando en migrar tu proyecto web a un proveedor de hosting bajo este tipo de infraestructura, o quizás quieras ampliar conocimientos sobre este tipo de tecnología.

Sirva esta introducción como aperitivo de lo que encontrarás en la guía;

En la actualidad una de las tendencias del mercado de los sistemas de información es la proliferación de los servicios operando en la nube, los cuales son servicios que permiten la asignación dinámica de recursos en función de necesidades de los clientes y que aportan una reducción de costes en infraestructuras considerable. […]

Este no es el único documento que refleja la creciente preocupación por la seguridad en estas plataformas, como se refleja en documentos de entidades de referencia que también abordan este tema.

El informe siguiente resume algunos de estos documentos con el propósito de facilitar una visión general de amenazas, riesgos y aspectos a considerar en la seguridad en cloud.
Este informe realiza, en primer lugar, una descripción de los tipos de infraestructuras y servicios cloud para, a continuación, abordar los distintos elementos que han de tenerse en cuenta para abordar su seguridad, según el citado documento del NIST e informes recientes de la organización internacional CSA (Cloud Security Alliance) y de la consultora Gartner.

Las preocupaciones que derivan de estos informes se centran en aspectos la gestión de los datos, fundamentalmente en la propiedad de los mismos y la forma de operarlos y tratarlos por parte de los proveedores, así como en la identificación y control de acceso a los recursos.

Descarga en PDF de la guía sobre «riesgos y amenazas del Cloud Computing».