martes, diciembre 28, 2004

Santy.A - Problema de seguridad en PHP que afecta a Google.

(Jordi Camps - 27/12/2004) En un principio, el "virus" llamado ?NeverEverNoSanity?,
se consider� un bug de los foros phpBB. M�s tarde se han dado cuenta que el problema
no es de los scripts de estos foros sino algo peor: los agujeros de seguridad del mismo
sistema en PHP
.

?Qu� palabrer�a, ?realmente esto qu� significa?

Simplemente que las versiones vulnerables (NO todas), permiten la ejecuci�n de cualquier
comando que se ejecute en el mismo servidor. Actualmente, la mayor�a de los servidores de Internet, para el desarrollo de p�ginas web, utilizan versiones de PHP. Por lo tanto, cada vez que cualquiera de nosotros est� navegado por Internet entre p�ginas php, el servidor web (apache
u otro) env�a la p�gina al motor PHP instalado en el mismo servidor, procesando los datos y, finalmente, el servidor web lanza los resultados a nuestro explorador.

?C�mo funciona el ?virus??

Buscar las p�ginas vulnerables (?contienen los problemas de seguridad de PHP?) que usan como ?puerta de acceso?. Lamentablemente los foros phpBB son muy comunes y ofrecen esta puerta de entrada desde el archivo "viewtopic.php" al no procesar adecuadamente los datos enviados a trav�s del par�metro "highlight", lo que permite a un atacante ejecutar comandos arbitrarios de forma remota. Sobre esta vulnerabilidad, el primer precedente fue el pasado 19 de noviembre gracias a la compa?�a Secunia.

Son dispares las estimaciones hasta la fecha seg�n Santiago Carro en una not�cia publicada
en PC World "Mientras unos desarrolladores sit�an a Santy.A con unos 30.000 impactos
en versi�n beta de MSN, �stos mismos apuntaban muchos menos impactos, con 785 impactos
en MSN y poco m�s de 2.000 en Yahoo!
?

Combinando estas dos cosas: Bug en PHP y la p�gina (viewtopic.php) que se encuentra en millones de sitios, uno puede hacer lo que quiere en ese sistema desde millones de sitios.

Y para conseguirlo, los creadores de Santy.A ("c�mo se le ha llamado finalmente"), se las ingeniaron para:

1. buscar en Google los sitios que usan phpBB

2. desde la p�gina de viewtopic.php, suben al host y ejecutan un script
que:
2a. incrementan su n�mero de generaci�n
2b. combina f�rmulas para usar el host para acceder a google y busca m�s candidatos.
2c. si la generaci�n es mayor a 3, sobrescribe todas las p�ginas .php .html .asp .shtml (?) con un texto como:

"This site is defaced!!!"
"NeverEverNoSanity WebWorm Nro generacion".

Santy.A posee en su c�digo una rutina que realiza constantemente b�squedas en Google de 100 URLs que contengan la cadena ?viewtopic.php?.

?Y c�mo lo hace?

Los ingeniosos de Santy.A, para evitar siempre localizar a los mismos 100 sitios webs, el gusano incluye en cada nueva b�squeda un n�mero aleatorio para indicar a partir de que resultado quiere el listado, de entre los m�s de 8 millones de p�ginas que Google tiene indexadas
con las caracter�sticas especificadas en la b�squeda del gusano.

C�mo dec�a, hay muchos servidores que utilizan Apache y No corren como suExec, es decir, cuando ejecutan los scripts lo hacen con el UID/GIG del servidor que acceden, copi�ndose en el sistema con el nombre de archivo "m1ho2of" y ejecut�ndose a trav�s de "perl -e". As�, el servidor infectado comienza su rutina buscando a trav�s de Google, infectando a otras posibles v�ctimas que tengan instalada una versi�n de phpBB anterior a la 2.0.11. Pod�is encontrar la m�s reciente a en: http://www.phpbb.com/downloads.php

El acceso a los archivos no solo se limita a php, sino que en su c�digo incluye una rutina para buscar en los sistemas infectados, todos los archivos con extensi�n .htm, .php, .asp, .shtm, .jsp y .phtm y los sobrescribe con el c�digo HTML de una p�gina web con fondo negro y color de texto rojo con el siguiente mensaje:

This site is defaced!!!

NeverEverNoSanity WebWorm generation *


Donde (*) es un n�mero que hace las veces de contador:

Por lo tanto, una vez dentro, adquiere todos los permisos del sistema, pudiendo crear/borrar/sobrescribir en todos los otros sitios de Internet de un mismo host (shared hosting).

Por ejemplo:

Si nuestro host encontrado es: www.netdebugger.com

Todas mis p�ginas interiores son vulnerables a Santy.A:

www.netdebugger.com/Fallo_seguridad_Google_Desktop.php

?C�mo est� la situaci�n actual?

  1. Google ha empezado a intentar frenar la ejecuci�n de Santy.A, las "queries" que buscaban m�s sitios phpBB/viewtopic.php. Pero esto s�lo es una soluci�n parcial al problema m�s grave. Los creadores de Santy.A u otros ?hackers? f�cilmente
    pueden lanzar, la misma u otra versi�n de Santy.A, a otros motores de b�squeda
    (MSN, Yahoo, etc) o incluso pueden seguir usando google con un "query" distinto.

    Los motores de b�squeda pueden limitar cada nuevo "query", pero para cuando identifiquen las nuevas cadenas de b�squeda del gusano, ser� tarde.

    Muchos estar�n pensando "Google ya ha encontrado la soluci�n, no tengo que preocuparme m�s". - Y es un grave error.
  2. Ante este problema, algunos ya han actualizado sus versiones a una NO vulnerables
    de phpBB
    , una de ellas es la 2.0.11. Pero seguiremos sin resolver el problema,
    si bien es cierto que se trata de una versi�n NO vulnerable, pero el verdadero problema
    es otro.

    Lo �nico que hace esta versi�n de phpBB es no ofrecer la p�gina viewtopic.php como puerta de entrada a las versiones vulnerables de PHP. Por otro lado, cre�is que todos
    los webmasters actualizar�n sus versiones a la phpBB 2.0.11, yo creo que es algo poco probable a corto plazo.
    Hasta entonces, los creadores de Santy.A simplemente deben buscar alg�n otro
    software popular que contengan p�ginas php de cierto tipo para usarlas como puerta
    de acceso a la ejecuci�n remota desde cualquier otro software famoso como: vBulletin,
    phpNuke, Invision Board programas OScomerce, etc...


    ? Si alguno se atreve, puede ver el av�so de seguridad de PHP.

  3. Por otra parte, las casas antivirus han reaccionado a posteriori publicando firmas para su detecci�n, pero siguen poco �tiles ya que la mayor�a de servidores web infectados utilizan Unix o Linux, que no suele contar con antivirus residentes instalados, para poder analizar todos los archivos que se escriben en el sistema y/o dispositivo antivirus que filtre el tr�fico antes de su ejecuci�n, es decir, cuando uno de nosotros accede un web, no existe
    ning�n antivirus (?por el momento?) que analice nuestra petici�n.

    Navegando he encontrado que Sophos Antivirus ha encontrado alguna soluci�n (?????).

Y si seguimos investigando, podemos encontrar otras muchas posibles soluciones, c�mo
la de Bernardo Quintero en Hispasec.com:?La soluci�n pasa por evitar par�metros
de forma arbitraria cuando programamos el script PHP, filtrando todas las referencias que no
se ajusten a las p�ginas leg�timas del servidor web?.

?Entonces qu� soluci�n tenemos?

Vamos a ver, con la soluci�n de Google se puede controlar moment�neamente el problema. Del mismo modo, Google no es responsable del problema y quiz�s no pueda parar futuros intentos de b�squeda por parte de este gusano, como para cualquiera de sus derivados que puedan modificar los ?hackers?.

Por otra parte, si todos los ?webmasters? actualizaran sus versiones de phpBB es cuesti�n
de tiempo para que se encuentren otras puertas de entrada.

As�, la soluci�n que nos queda es actualizar el motor PHP de los mismos servidores que ejecutan las p�ginas con versiones que no sean anteriores a la PHP 4.3.10, la misma comunidad de phpBB nos lo dice en phpBB.com.

?Entonces Santy.A es realmente un ?virus??

NO, Santy.A no es un virius, ni un verdadero gusano, adem�s en Linux no hay virus, se trata de un script (?c�digo de programaci�n?) que consigue dominar el servidor incluso m�s all�
del sistema operativo que est� usando.
Es una clara demostraci�n que la seguridad no pasa por el SO (?sistema operativo?) en s�, sino que la seguridad reside en la configuraci�n del sistema, el mism�simo n�cleo donde reside en continuo control del software instalado, ejecut�ndose junto la revisi�n peri�dica de los informes de seguridad.

En el momento de escribir estas l�neas Hispasec cuenta los servidores infectados por miles. El gusano no afecta a los sistemas de los usuarios, �nicamente a los servidores web con una versi�n de PHP 4.3.10 o posterior.

Pod�is ampliar conocimientos en estos foros de WebMasterWorld.com

JorKam
NetDebugger.com

lunes, diciembre 20, 2004

Ley Org�nica SICE - Accesibilidad personas discapacitadas y edad avanzada

La reciente Ley Org�nica de Servicios de la Sociedad de la Informaci�n y Comercio Electr�nico (BOE de 12 de Julio de 2003) establece en la Disposici�n Adicional Quinta: Accesibilidad para las personas con discapacidad y de edad avanzada a la informaci�n proporcionada por medios electr�nicos.

Uno.- Las administraciones p�blicas adoptar�n las medidas necesarias para que la informaci�n disponible en sus respectivas p�ginas de Internet pueda ser accesible a personas con discapacidad y de edad avanzada, de acuerdo con los criterios de accesibilidad al contenido generalmente reconocidos, antes del 31 de Diciembre de 2005.

Dos.- Igualmente se promover� la adopci�n de normas de accesibilidad por los prestadores de servicios y los fabricantes de equipos y ?software?, para facilitar el acceso de las personas con discapacidad o de edad avanzada a los contenidos digitales.

JorKam
NetDebugger.com

jueves, diciembre 16, 2004

Ordenadores e instrumentos para Submarinismo

Bienvenidos a la primera tienda de material de submarinismo online.
  • M�s de 5 a?os en el mercado!
  • Mas de 2500 referencias de material de submarinismo!
  • Mas de 15000 clientes satisfechos!
  • El mejor precio y servicio del mercado!

Los almacenes de Scubastore.com estan en Espa?a para todo el mundo. Desde sus oficinas de Barcelona y Ull? (Costa Brava) dan servicios a los submarinistas mas exigentes de todo el mundo. Gracias a internet y a la log�stica integrada de sus proveedores especializados, sirven entre 2 y 3 d�as el material de submarinismo que necesitas a la mayor parte del mundo.

Scubastore.com est� formada por un equipo de j�venes internacional (las nacionalidades de nuestro equipo incluyen Escocia, Dinamarca, Suiza, B�lgica, Inglaterra o Espa?a) a los que nos une el amor por el submarinismo y las actividades al aire libre.

Scubastore trabaja para cada uno de los 15.000 clientes que conf�an en nosotros en los mas de 50 pa�ses donde suministramos material.

Actualmente poseen un cat�logo de productos s�lo relacionados en submarinismo con sus m�s de 7000 productos disponibles. Entre los m�s vendidos estan sus computadoras, accesorios, instrumentos, trajes, botellas...

La satisfacci�n del cliente es nuestra primera meta. Te aconsejamos, te proponemos material y ofertas, te suministramos con los Partners mas adecuados y si no estas satisfecho te devolvemos el dinero.

Somos distribuidores autorizados de las principales marcas del sector. Cada uno de nuestros productos dispone de todas las garant�as del fabricante. Adem�s si no est�s satisfecho con el producto, el modelo o la talla te lo cambiamos sin compromiso.

Desde Scubastore.com dan las gracias a todos sus clientes por confiar en ellos.
Si aun no lo eres te invito a probarlos... su servicio es el m�s competitivo, aceptan cualquier reto.

JorKam
NetDebugger.com


Spam, Una altra guerra di?ria...

Per Salvador Grau

Cal explicar que �s l'Spam? I els Virus? Troians? Spyware? potser per a resumir podem desar-ho tot dins del mateix sac: brut�cia inform?tica.

Qu? significa Spam per a nosaltres, usuaris del e-mail?

Quan arribes a la feina de bon mat�. Quan tornes a casa al vespre, despr�s de passar per una porta on les b�sties rebossen publicitat, connectem a Internet i volem rebre el nostre preuat correu...

L'Spam �s correu no sol?licitat, publicitari, il?l�cit. Una altra invasi� de la nostra intimitat, �s correu sovint desagradable, insistent, i fins i tot de vegades infectat o amb "regal" inesperat, sobretot quan el contestem demostrant aix� que hi ha alg� que el rep i a partir d'aqu�, ens delatem, passant a formar part de noves llistes de v�ctimes que de ben segur rebrem una inundaci� de missatges que ni els organismes reguladors, poders p�blics ni les m�s importants companyies internacionals aconsegueixen controlar.

En que ens afecta?

Imagineu-vos per un moment l'inconvenient que suposa a les empreses cada consulta de correu. Temps que es tarda a rebre el correu, percentatge d'Spam que cont�, perill de perdre missatges importants per no descobrir-los entre tants anuncis o que un mal filtratge l'elimini creient-lo invasor. Per no esmentar els missatges que t'obsequien amb un codi malici�s de repercussions imprevisibles, etc... Multipliqueu llavors aix? per n�mero de comptes de correu, i despr�s per n�mero de consultes per dia, mes, any. F?cil. �s perd el temps i es pertorba un desenvolupament normal de lo que hauria de ser el treballar c?modament amb Internet. Sense anar m�s lluny.

Que hi podem fer?

Per sort cada vegada m�s. Actualment es lluita des de molts fronts contra aquest problema. Tot i que la soluci� �s llunyana sin� ut?pica, els pa?sos modifiquen legislacions restringint de mica en mica la impunitat dels emissors d'spam. Les companyies assagen m?todes per al control del tr?nsit d'aquest tipus de correu i per �ltim els administradors de xarxes i usuaris comencen a tenir eines efectives per la seva lluita di?ria contra aquesta epid?mia.

Solucions!

Entre d'altres, les tres principals solucions al nostre abast s�n:

  • Filtratge per Software. Ara per ara �s la m�s comuna i es basa en filtratge a partir del software que nosaltres instal?lem (client de correu, Antivirus, etc...). La seva efectivitat �s molt relativa i directament relacionada amb la gesti� que en faci l'usuari a l'hora d'actualitzar o configurar el mecanisme de filtratge.
    Exemple: http://www.mcafee.com
  • Filtratge per ISP. El propi prove?dor dels nostres comptes de correu ens ofereix un filtratge en els seus servidors. La seva efectivitat �s relativa i for�osament generalista.
    Exemple: http://www.sarenet.com
  • Filtratge per servei especialitzat. Actualment la soluci� m�s efectiva. L'�nic m?tode ara per ara, que garanteix pr?cticament un 100% de protecci� del correu, evitant l'entrada tant d'spam, com virus, etc... Els principals avantatges s�n que no necessiten la instal?laci� de software, per tant no consumeixen recursos de l'ordinador. S�n f?cils de configurar, utilitzar i administrar.
    Exemple: http://www.spamina.com
JorKam
NetDebugger.com

Los virus, los piratas inform�ticos y el ?spam? ponen en jaque al cibernauta

Quien diga que hay sistemas inform�ticos 100 por ciento seguros y lo compruebe puede postularse para el premio Nobel. Y no es una exageraci�n, ya que en la actualidad, no hay sistema que est� 100 por ciento libre de ataques: eso es a�n una utop�a.

Basta pensar que detr�s de cada computador hay un usuario y que cada uno puede ser un potencial atacante.
?Quien quiere hacer da?o puede ser desde un empleado descontento hasta un terrorista internacional?, dec�a el experto espa?ol Carlos Jim�nez, director de la compa?�a de seguridad Secureware.

Frente a estos peligros, la seguridad se torna un tema prioritario y eso se constat� durante la exposici�n de Seguridad Inform�tica que se realiz� la semana pasada, en Quito.

El argentino Daniel Ferreyra, director regional de la firma Information Security (iSec), una de las compa?�as organizadoras, indic� que a pesar de la aparici�n de nuevas formas de ataque, muchas empresas postergan la inversi�n en soluciones de seguridad. ?Con frecuencia se interesan en el tema cuando ya fueron v�ctimas de alg�n ataque?.

El especialista sostiene, adem�s, que son pocas las organizaciones que cuentan con planes de contingencia en el caso de sufrir da?os en sus sistemas inform�ticos. ?No saben c�mo actuar el d�a despu�s del ataque, cuando ya perdieron informaci�n?.

En la actualidad hay varios tipos de peligros, virus, hackers, crackers, entre otros, pero tambi�n hay lo que los expertos llaman ?amenazas combinadas?. �stas se caracterizan por contar con diversos medios de propagaci�n, y requieren una respuesta integrada mediantes m�ltiples aplicaciones de seguridad. Entre ellas est�n los firewalls o cortafuegos, t�neles virtuales (VPN), antivirus y programas de filtrado de contenidos.

Con el aumento de estas amenazas combinadas, las redes son m�s susceptibles de sufrir da?os. Hoy, la mayor�a de organizaciones recurren a los firewalls (herramientas de protecci�n) a nivel de red con el objetivo de reforzar el control de acceso. Por medio de este sistema, se logran bloquear varios ataques potenciales.

Sin embargo, esta no es la �nica soluci�n que deben tomar las empresas para protegerse. De acuerdo con la revista PCNews, hasta ahora, la seguridad ha tenido un enfoque segregado, que consiste en ir poniendo parches, sin un sistema unificado de administraci�n. De esta forma, las empresas se exponen a vulnerabilidades repartidas por toda su infraestructura.

Sobre el tema, Marcelo Erazo, ingeniero de soporte de 3Com, una de las firmas participantes de la exposici�n, dice que la empresa cuenta con varios mecanismos que evitan el robo de informaci�n. Uno de ellos es el t�nel virtual que encripta o cifra los datos que env�a una empresa a otra o un empleado a su oficina.

Este t�nel, asegura Erazo, evita que un usuario ajeno al sistema pueda capturar la informaci�n en el camino. 3Com aplica hoy una f�rmula de seguridad que ofrece protecci�n desde el n�cleo de la red hasta los trabajadores m�s remotos. Son soluciones, de extremo a extremo, que permiten que incluso las empresas m�s grandes logren proteger sus redes cableadas, inal�mbricas o de telefon�a IP.

Otro de los sistemas novedosos presentados en esta cita fue el sistema de detecci�n de intrusiones que, entre otras cosas, alerta la presencia de un usuario ajeno al sistema.

Para usted

Los ataques
No solo las grandes empresas son objetivo de los ciberdelincuentes. Ellos buscan tambi�n presas f�ciles y su computadora personal es m�s f�cil de violentar que una gran red corporativa.

Las opciones
Para protegerse mejor hay varias opciones: instalar un sistema firewall casero hasta mantener siempre actualizado el antivirus. Para obtener m�s informaci�n sobre programas de protecci�n visite: www.recursos-as400.com/dossier/seguretat/05.shtml .

NetDebugger.com

miércoles, diciembre 15, 2004

Detalles m�nimos para la optimizaci�n en los buscadores

Pocos son los conocedores que puedan afirmar con exactitud los elementos que determinan la posici�n que ocupar� su web en los resultados de los buscadores. Cada buscador utiliza su f�rmula "algoritmo" (Yahoo.com, Msn.com, Google.com .) que determina esta posici�n, por ejemplo, Google utiliza su PR ("Page Rank", marca registrada de la casa).

As� podemos considerar que estos algoritmos son como la f�rmula de la Coca-Cola, adem�s, se cree que cada mes los ingenieros reprograman los c�digos internos creando nuevas clases que evitan las acciones fraudulentas de algunos internautas.

Aqu� es cuando aparecen los aficionados a descubrir estas t�cnicas, horas y horas realizando modificaciones para poder compararlas con los resultados obtenidos en meses anteriores y la posici�n que ocupan seg�n unos criterios "palabras clave", informes de seguimiento, densidad de palabras, estad�sticas.

Entre todos estos par�metros y an�lisis realizados, se ha conseguido obtener de forma fiable, unos requisitos m�nimos para la optimizaci�n que, recomiendo, despu�s de varios a?os realizando estas pr�cticas, el resto del trabajo queda en manos de cada uno. Como truco os puedo decir que s�lo existe: la perseverancia, consistencia y el seguimiento diario, mucha paciencia.

Programaci�n:
  1. No usar javascripts para linkear p�ginas.
  2. No utilizar popups para nada.
  3. No utilizar target="_blank" para abrir nuevos navegadores. inventarse un nombre de target que no exista y utilizar siempre el mismo nombre.
URL's:
  1. No utilizar la p�gina index.html o index.php como link. si debe ir al �ndice, hacer que el link vaya al dominio.
  2. Las URL's deben contener un directorio con el nombre de la secci�n, y otro con el nombre de la categor�a. El nombre del fichero debe ser el del .
  3. En los mails y en la web, no utilizar las ip's en las url. utilizar siempre el nombre del dominio.
Maquetaci�n:
  1. El y el deben ser el campo titular de la BBDD de art�culos, o el campo autor, de la BBDD de autores (nombre+apellidos).
  2. El debe ser las 30 primeras palabras de la entradilla del art�culo.
  3. Todas las im�genes deben tener un ALT.
  4. Todas las im�genes deben tener nombres de ficheros que definan que hay en la imagen y el sustituto del espacio con _.
  5. El mapa de site debe tener el nombre: sitemap tanto en el como en el fichero.
Metatags:
  1. Lo dicho respecto al tittle y la descripci�n.
  2. Las palabras clave, tambi�n deben aparecer en el tittle.
  3. El idioma debe estar definido, as� como el resto de tags habituales para buscadores. Excepto el revisit alter. que no debe aparecer.
NetDebugger.com