• Editorial
• Artículo: Seguridad en capas: El firewall (II)
• Resumen de noticias de la semana
• El correo del lector

Durante todas estas semanas el interés de las noticias de seguridad fue prácticamente absorbido por las sucesivas oleadas de los virus MyDoom, NetSky y Bagle. Bien cierto es que estos códigos por si solos han protagonizado la mayor infección en masa de la historia de Internet, pero no dejan de ser trabajos poco elaborados, que siguen pautas conocidas y basan su infección, básicamente, en ingeniería social, sin necesidad (con la excepción de algunas versiones puntuales) de aprovechar vulnerabilidades, y sin consecuencias graves inmediatas en las máquinas atacadas.

Pero tras esta invasión, ampliamente difundida por los medios de comunicación, ha pasado desapercibida otra, menos extensa, menos conocida, pero, a mi modesto entender, mucho más preocupante: el Witty.

Witty es el nombre para un gusano de Internet pensado para atacar productos de seguridad de ISS, aprovechando un fallo de los mismos. El objetivo de este gusano es un campo muy limitado, pero la forma de actuar ha presentado una serie de pautas observadas por primera vez que dan que pensar. Vamos a verlas:

1. El objetivo es un software de escasa distribución, por lo menos en comparación con los objetivos habituales de los virus, como el Outlook o el Internet Explorer. El primer planteamiento es que nos hace recordar que por usar un sistema operativo o software de poca difusión, pongamos por caso, Linux o MacOS X, no estamos a salvo de los virus y resto de código malicioso. Otra prueba más es la publicación esta semana del primer troyano para MacOs X.

2. El ataque se basó en una vulnerabilidad descubierta solamente un día antes. Nos hace recordar la necesidad de mantenerse al día (literalmente) en las actualizaciones y parches de nuestros sistemas. Hay que incluir en las tareas diarias la visita al windows update o el apt-get, y, si es posible, de forma automática, para no olvidarnos.

3. El gusano nació, se expandió y murió en solo 45 minutos. El ataque inicial fue contra una cantidad inusitada de máquinas (110 en sólo 10 segundos), lo que hace pensar en que el atacante tenía ya un censo de máquinas vulnerables y lanzó, posiblemente a través de una red de bots, el código a muchas de ellas. El código era muy pequeño, 677 bytes, y cada máquina infectada se dedicó a un ataque masivo (20.000 paquetes) a direcciones IP aleatorias. Así, el número de máquinas afectadas creció exponencialmente.

4. El Witty fue el primer gusano de Internet en portar una carga altamente destructiva para el anfitrión. Una vez que el host infectado enviaba su ataque, el gusano borraba porciones aleatorias del disco duro, hasta un completo fallo del sistema. Se rompe el esquema, aceptado hasta ahora por los creadores de gusanos, de que el host debería sobrevivir para seguir expandiendo la infección

Todo esto debe hacernos reflexionar profundamente. Primero, sobre la importancia de la seguridad de los equipos, no solo de cara a nuestra propia conveniencia, sino hacia el resto de la red. Segundo, que no debemos sentirnos seguros por no usar Windows o Microsoft Office. Si bien es cierto que este software es el objetivo del 99% de los virus, no por ello deja al resto del software sin posibilidades de infección. Y tercero, la importancia de no confiar en una seguridad puntual, sino extenderla por toda nuestra red, desde el router a la aplicación que usamos habitualmente, para evitar que un fallo en un punto eche abajo nuestro sistema.

Luisma
Miembro de la AIH

El firewall en el borde de la red

Uno de los roles tradicionales del firewall es la protección del borde de la red. Este punto es el más expuesto a los ataques de intrusos externos y, por lo tanto, debe ser objeto de especial protección. Aquí definiremos las principales políticas de filtrado de paquetes de entrada desde Internet y de salida hacia la Red. También nos puede servir de un primer punto de toma de datos para un sistema de detección de intrusiones, que veremos más adelante.

Lo principal a la hora de definir las reglas del firewall externo es determinar que servicios deberemos dejar accesibles desde el exterior y a que servicios de Internet permitiremos el acceso de nuestros ordenadores externos.

Así, si tenemos un servidor web en la red, deberemos permitir que los paquetes provenientes de Internet, con destino a la IP del servidor y al puerto 80 (http) -y 443 (https), si hubiese servicios SSL-, pasasen a través de el firewall. Asimismo, deberemos permitir que los paquetes con origen en estos puertos y en la IP del servidor salgan hacia la conexión externa, para que el servidor pueda responder a las peticiones que se le hacen. Lo mismo deberemos ir haciendo con todos los otros servicios (SMTP y POP3 si deseamos permitir correo externo, FTP, VPN, etc.)

Firewall permisivo y firewall oclusivo

Estas dos formas de configurar el firewall son dos filosofías distintas en cuanto a la seguridad. El firewall permisivo es el que está configurado de forma que, por defecto, todos los paquetes tienen permiso de paso, excepto los definidos explícitamente en las reglas. Por otro lado, en el firewall oclusivo el caso es el contrario. Para que un paquete pase, tiene que haber una regla que específicamente permita esto.

A la hora de configurar el firewall de borde, no hay duda de que el interface externo, el que tiene acceso a Internet, debe ser configurado de forma oclusiva. No puede entrar ningún paquete de una conexión originada en Internet que no tenga como destino uno de los servicios previamente definidos como legítimos. Pero a la hora de configurar el interface interno, nos encontramos con dos distintas teorías de como configurarlo.

La tradicional es un firewall permisivo. En principio, cualquier conexión que tenga origen en nuestra red se toma como legítima. Esta posición tiene la ventaja de una mayor facilidad de administración (no hay que definir nuevas reglas cuando un usuario quiera acceder a un servicio externo) pero lleva implícita una menor seguridad. En todo caso, existen una serie de puertos correspondientes a servicios especialmente vulnerables y que nunca deben de ser permitidos desde Internet. Así, siempre estarán filtrados los puertos correspondientes a los servicios de Netbios, RPC, NFS, AppleshareOverIP o los de acceso a servidores SQL o Telnet. No existe ninguna razón para que estos servicios estén accesibles desde Internet y deben filtrarse los paquetes que tengan su origien en estos puertos.

La mejor forma de configurar el interface interno del firewall es de forma oclusiva. Bien es cierto que la carga de trabajo de administración se incrementa, especialmente si la política de aplicaciones de nuestra red es permisiva, pero, a cambio, disfrutaremos de una mayor seguridad, especialmente contra el uso de troyanos y backdoors que pudiesen instalarse en los equipos clientes. Para configurar el firewall de esta forma, es importante realizar una labor previa de definición de que aplicaciones y a que servicios pueden acceder nuestros usuarios.

Filtrado de contenidos

Las últimas generaciones de firewall suelen llevar como añadido la posibilidad de filtrar el contenido de los paquetes que circulan. En principio, esto fue aprovechado como herramienta de censura para impedir el acceso de los usuarios a determinados contenidos, como, por ejemplo, el caso de los contenidos pornográficos en empresas. Pero si sabemos aprovecharlo, es una valiosa herramienta de seguridad.

Supongamos que tenemos un servidor web sobre Windows NT/2000/2003. Uno de los ataques más corrientes es intentar un directroy transversal (navegación a través del árbol local de directorios) para acceder al interprete de comandos, cmd.exe. Aparte de las medidas primarias, como cambiar de localización el directorio donde se encuentra este fichero o, incluso, el nombre del mismo, definir permisos restrictivos y aplicar los parches correspondientes sobre el servidor web, una medida adicional es la definición de un filtro de contenidos que elimine todos los paquetes que hagan referencia al mismo, tanto en ASCII como en su equivalente hexadecimal.

Así, podemos ir añadiendo filtros que eliminen las principales amenazas de seguridad de nuestros servidores y, de esta forma, colocar una barrera adicional de seguridad.

Luisma
Miembro de la AIH
 

• Telefónica multada con 57 millones de euros
  Telefónica ha sido multada por el Tribunal de Defensa de la Competencia por practicas obstaculizadoras del libre mercado, al considerar que obstaculizó la contratación de la preselección de operadora por parte de los usuarios. Esta conducta fue observada desde 1999, cuando empezó a poderse solicitar la preselección, hasta al menos el fin de 2002. Se puede leer la noticia completa en los principales medios, como IBLNews
   

• Cracker condenado a enseñar informática
  El Juzgado de Menores de Granada, conocido por sus castigos "alternativos", ha condenado a un joven, acusado de entrar en varias redes de empresas y causar daños por valor de 2.000 euros, a impartir clases de informática como trabajo comunitario durante más de cien horas. El delito se cometió cuando el joven era menor de edad y este ha aceptado de buen grado la condena. Libertad Digital publica un artículo sobre el tema.
   

• Ejecución remota de código en eMule 0.42d
  Se ha descubierto una vulnerabilidad en el conocido software de archivos compartidos P2P, eMule, en concreto en su versión 0.42d, aunque se sospecha que puede existir en versiones anteriores. Este fallo podría provocar la ejecución remota de código a través del servidor Web incorporado o del cliente de IRC. Se puede descargar la versión actualizada desde la página del proyecto.
   

• El servicio Gmail de Google, sospechoso de atentar contra la privacidad
  Numerosos weblogs y sitios de noticias se han hecho eco de las críticas que, desde distintas asociaciones de defensa de la privacidad y de los derechos civiles, se han hecho contra la política de privacidad de Gmail, el nuevo servicio de webmail de Google, que alcanzó notoriedad durante estos días con su oferta de un Gigabyte de espacio gratuito. Las críticas se centran en el hecho de no garantizar el borrado real de los datos después de que el usuario eliminase los correos de su cuenta o cancelase la misma. El texto completo de la licencia se puede leer aquí.
   

• Microsoft libera código bajo una licencia OpenSource
  El gigante de Redmond ha decidido, por primera vez en su historia, publicar un programa bajo una licencia de código abierto. En concreto, se trata de Wix, un instalador XML para Windows. La licencia usada ha sido la IBM Common Public License y el código está disponible en sitios de código abierto, como SourceForge. En el sitio de MSDN está disponible un Blog.
   

• Wi-Fi en los ferrocarriles británicos
  La mayor compañía de ferrocarriles del Reino Unico, GNER, ha decidido darle un servicio suplementario a sus usuarios: conexión wi-fi de alta velocidad en sus trenes. La conexión usara distintos sistemas para mantener el enlace, y será gratuita para los viajeros de primera clase, y con un coste de 4,95 libras por hora para el resto. La BBC se ha hecho eco de la noticia.
   

• Vulnerabilidades en Mozilla, Winamp, kernel de Linux y sistema de ayuda de Windows.
  En esta semana se han descubierto varias vulnerabilidades en disitintos códigos. Así, en el navegador Mozilla, se ha descubierto un fallo en las cookies y un problema de Cross Scripting. Winamp 5.02 y anteriores son vulnerables a una ejecución de código. Las versiones del kernel de Linux anteriores a la 2.4.23 y a la 2.6test9 son vulnerables a un fallo en la función do_brk y a fallos en la do_mremap en las anteriores a la 2.4.24 y 2.6.1-rc2. En el sistema de ayuda de Windows, se ha encontrado un fallo, todavía sin parchear, que permitiría que un fichero .chm especialmente formateado ejecutar código arbitrario.
   

• Mp3Concept, primer troyano para MacOs X.
  Faq-Mac se hace eco de lo que parece ser el primer troyano diseñado específicamente para MacOS X. El troyano aparece escondido en la etiqueta ID3 de un MP3 y presenta el aspecto de un fichero de música, incluyendo la extensión .mp3. Al hacer doble click ejecuta el código y luego lanza el reproductor iTunes, con una canción, por lo que el usuario no sospecha nada. Este caso concreto no lleva carga destructiva, pero abre la puerta a una posible nueva generación basada en este concepto.
   

Esta semana vamos a tratar algunas dudas que a algunos de nuestros socios y lectores se les presentan y nos gustaría aprovechar para sacarlas y responderlas en nuestro propio informativos.

Antes de entrar en profundidad nos gustaría aclarar que son opiniones de unos u otros pero que intentan ajustarse normalmente a la opinión personal que cada uno se hace sobre ciertos términos o ideas.

A las wenas desde Salamanca !!!.

Vamos a ver. Ya estuve hablando con DoN una noche sobre los crackers y no me convenció para nada el tratamiento que se les da a los crackers.

No entiendo cómo se puede usar peyorativamente esa palabra cuando en sus raíces se refería a algo si cabe tan complejo como el hacking : La ingeniería inversa. No entiendo aún como se ha llegado al extremo de peyorativizar ese término.

Desconozco si alguno de los socios es ingeniero inverso, o sea se dedica a crackear programas y por ello expongo brevemente los conocimientos que tiene que tener dicho ingeniero para poder llevar a cabo su labor:

- Conocimientos del funcionamiento de la arquitectura de un SO
- Conocimientos avanzados del SO en cuestión
- Conocimientos muy avanzados en assembly
- Conocimientos de ingeniería inversa, técnicas anti crackeo y de
debugging y programas para desensamblar y editar hexadecimalmente si
fuera necesario.

Si alguien aún se cree que eso lo hace cualquier lammer, le animo a que se pase por www.izhal.com y se baje el programita que hay en una de las pruebas. Se trata de un crack-me y sinceramente .... yo no me veo capaz de llevar a cabo su crackeo.

Por dinero, dices ...... He leido bastante sobre el mundo del cracking y puedo asegurar que es todo un arte. Lo que mueve a esa gente es exáctamente lo mismo que nos mueve a los hackers : El aprendizaje y la superación personal. Trabajan igual que nosotros, por placer. Veo absurdo todo lo que se les ha colgado a los crackers en el informativos. Si acaso yo creo que se debería realizar algún tipo de distincion entre ambos colectivos.

No he mandado este mail al correo del lector por su extension, si quereis coger un trozo y ponerlo, por mi encantado !!!.

Un abrazo !!!!!


Me encantan y la verdad adoro las críticas constructivas e instructivas sobre lo que uno hace, escribe y realiza en la vida, pero he de decirte que si bien llevas razón en cuanto al término que acabas de mencionar o definición. La palabra cracker tiene dos vertientes en este caso, no si bien la palabra hacker que sólo tiene una. No se trata de una guerra entre clases sino en una definición de lo que cada clase hace y lo que yo plantee en la Editorial fue diferente a lo que planteas.

Según el Jargon File, yo no lo redacté, la definición de Cracker es, traducido, y disculpa mis posibles errores de traducción: El cracker es un experto hacker que fabrica programas de intrusión, para reventar software y comunicaciones, además también se les denomina así a los que realizan Cracks para software importante y negocia con ellos, luego las cuelgan en Internet para la difusión pública de ello. Aquí no estamos hablando de nivel de dificultad, ni si son más listos o menos listos y si lo que hacen los Crackers es complicado o no. Estamos hablando de la confusión entre dos clases muy diferentes de estilos de vida: El uno ha creado un modo de vida, una clase y un movimiento y el otro está muy capacitado técnicamente jamás lo he puesto en duda y ya quisiera yo saber como ellos de ingeniería inversa; pero sus principios no son los mismos que los Hacker ni representan el movimiento Hacker. Y no se me puede negar que el negocio les llama más la atención que a un Hacker verdadero. Recordemos que los Crackers también lo son de Hardware y el volumen de negocio que llegaron a poseer los crackers con los códigos de las tarjetas de pago supera con creces el volumen de negocio de Sogecable en un año

No obstante, dices que has leído mucho sobre ellos, pues deberías saber la diferencia que existe entre la única de las clases del underground que tiene dos significados diferentes según el Jargon File y escritores de renombre dentro del under.

Iching

Buenos dias me dirijo a vosotros para ver si podiais indicarme donde podria conseguir información para hacer mis primeros pinitos en lo que a programación se refiere, solo soy un amago de novato puesto que mis conocimientos son bastante escasos pero tengo facilidad para aprender.

Muchas gracias por adelantado.

De nuevo volvemos a entrar en temas que pueden ser opinión personal. En primer lugar y basándonos en que la prioridad es la formación sobre conceptos de programación y algoritmia, creo que una decisión acertada seria comenzar por modula2 (http://www.modula2.org). Posiblemente algunos de nuestros lectores no compartan mi opinión y crean que a parte de ser un lenguaje en el que apenas nadie desarrolla, no es de utilidad su aprendizaje, cuando a mi parecer es uno de los lenguajes, junto a pascal que crea una buena base de conceptos y algoritmia que facilita el rápido aprendizaje de otros lenguajes de programación.

En segundo lugar te recomendaría el lenguaje C. Te resultará fácil aprenderlo y profundizar en él una vez hayas aprendido un lenguaje como modula2, cosa que si empezaras directamente con el, te diera muchos dolores de cabeza por no comprenderlo.

En tercer lugar entraríamos ya a aprender un lenguaje orientado a objetos como pudiera ser java. Saber con anterioridad C te puede facilitar programar en el, ya que es bastante similar en síntesis.

De nuevo volver a decir que es una opinión personal y que en la medida de lo posible he querido justificar. Si quieres empezar tu formación directamente desde c o java, es tu propia elección, pero posiblemente en lugar de conseguir grandes avances y aprender a programar, consigas fácilmente desmotivarte.

queria preguntar sobre el codigo java...

¿que es?, ¿para que sirve?, ¿como se lee? y todo lo relacionado con el tema... pleas respondanme!

saludos ...

Viendo tus preguntas posiblemente hayas escuchado hablar sobre java pero no tengas claro 4 cosas básicas sobre este lenguaje de programación.

En primer lugar decir que java es un lenguaje de programación algo especial y muy diferente a otros lenguajes.
En primer lugar decir que para conseguir un programa ejecutable usando los lenguajes de programación tradicionales, primero se compila (pasa de código fuente, fácilmente legible por el programador, a código objeto), después con todo el código objeto (código compilado y las librerías necesarias) hacemos un linkado y obtenemos con él, nuestro programa deseado. Este programa al ser ejecutado sobre nuestro sistema operativo conseguirá interactuar con él y conseguir el resultado que esperabamos.

En el caso de java, aparecen varias peculiaridades. El código java suele tener la extensión .java y es compilado dando como resultado un código .class. Este código .class no es necesario linkarlo para obtener un resultado sino que por si mismo ya puede ser "ejecutado". Pero no es ejecutado directamente sino que es interpretado por la máquina virtual java (jvm). Esta máquina virtual esta disponibles en múltiples plataformas y es lo que muchos proclaman como el lenguaje de programación del futuro, ya que funciona bajo cualquier procesador y sistema operativo que a priori tenga instalada dicha máquina virtual.

En resumen el código java es interpretado por la maquina virtual que es la que finalmente interactúa con el sistema operativo. Ese mismo código java produce el mismo resultado sobre cualquier otro sistema, aunque fuera otra arquitectura que tenga instalada la maquina virtual java.

Tened en cuenta que es una explicación breve y que no he querido extenderme así que ya solo dejo como actividad que tu/vosotros mismo/s descubras/is el mundo java, las ventajas y los inconvenientes que ello conlleva.
 

Estoy muy agradecido del cambio que han hecho en su boletín, sobre todo con el curso que están enviando, por favor, necesito me reenvíen el boletín No 117 que se me borro , he tratado de entrar a la pagina de ustedes pero no he podido, gracias de antemano

Muchas gracias por tus muestras de apoyo.

En principio todos los informativos están disponibles para su visualización en:
http://www.elistas.net/lista/infohackers/archivo.

Concretamente el numero 117 de nuestro informativos a que haces referencia lo puedes obtener en:
http://www.elistas.net/lista/infohackers/archivo/indice/41/msg/128/

Posiblemente en un futuro no muy lejano podáis tener a vuestra disposición todos los informativos en formato .pdf para poder bajarlos.
 

Copyright 2001-2004 - A.I.H.  Todos los derechos reservados.

Para envío de noticias: informativos@infohackers.net.
Para envío de sugerencias y preguntas: el_lector@infohackers.net

Desarrollado por la A.l.H. - www.infohackers.org
Para darte de baja, envía un correo a la dirección: infohackers-baja@eListas.net
Para darte de alta, envía un correo a la dirección: infohackers-alta@eListas.net
Los números anteriores de este boletín se pueden consultar en elistas.net.