Vulnerabilidad grave en FreeBSD 7.1 y 8.0

Existe un ‘exploit’ que afecta a FreeBSD 7.1 y al reciente FreeBSD 8 que permite que cualquier usuario local pueda ejecutar código arbitrario como ‘root’. El parche ya esta disponible, se ha publicado con prisas en la lista freebsd-security-notifications por lo que no se recomienda su uso. El ‘exploit’ simplemente carga mediante LD_PRELOAD una libreria que ejecuta una ‘shell’ en un binario con el ‘setugid’. De esta manera permite ejecutar la ‘shell’ como ‘root’.

Fuente: Barrapunto

Via www.segu-info.com.ar

Newsletter sobre la lucha contra el Cibercrimen

INTECO ha publicado el quinto (noviembre) y sexto (diciembre) número del e-Newsletter en la lucha contra el cibercrimen (ENAC), una iniciativa cofinanciada por Cybex y la Dirección General de Libertad, Seguridad y Justicia de la Comisión Europea dentro del marco del programa JPEN “Justicia Penal 2008”.

ENAC es una publicación electrónica mensual y gratuita dirigida a jueces, técnicos, fiscales, abogados, especialistas en análisis forense de dispositivos digitales, directores de recursos humanos, juristas, cuerpos y fuerzas de seguridad, y cualquier persona que trate las pruebas electrónicas y busque la prevención del cibercrimen.

Los interesados pueden suscribirse desde el formulario de suscripción de ENAC (se abre en nueva ventana). Puede acceder al documento a través de nuestra sección de Estudios e Informes.

Los números anteriores pueden ser consultados aquí.

Fuente: CERT INTECO

Manifiesto:En defensa de los derechos fundamentales en Internet

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de internet manifestamos nuestra firme oposición al proyecto, y declaramos que:

  1. Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.
  2. La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.
  3. La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.
  4. La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.
  5. Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.
  6. Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.
  7. Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.
  8. Exigimos que el Gobierno garantice por ley la neutralidad de la Red, en España ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.
  9. Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.
  10. En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

Este manifiesto, elaborado de forma conjunta por varios autores, es de todos y de ninguno. Se ha publicado en multitud de sitios web. Si estás de acuerdo y quieres sumarte a él, difúndelo por Internet.

Este ma­ni­fies­to, ela­bo­ra­do con­jun­ta­men­te por va­rios au­to­res, se pu­bli­ca en mul­ti­tud de si­tios web. Si quie­res su­mar­te a él, di­fún­de­lo por In­ter­net.

Día de la seguridad informática: cómo proteger el ordenador y la información personal

Unas buenas prácticas en todas las cuestiones de seguridad informática permiten vivir más tranquilo y minimizar los riesgos de problemas

Desde hace algún tiempo se celebra el 30 de noviembre el Día de la Seguridad Informática, una buena excusa para concienciar a la gente de la importancia de proteger los ordenadores, defenderse ante ataques externos y valorar y poner a buen recaudo la información que en ellos se guarda. Algunos expertos creen que la mejor forma de prevenir los problemas es recordar a los usuarios que “esto de la informática es como una jungla” en la que hay todo tipo de peligros: más vale conocerlos y saber cuáles son las medidas a tomar. En el fondo, se trata más bien de que cualquiera sea capaz de evaluar los riesgos y sus consecuencias. A partir de ahí, basta encontrar el equilibro entre lo que es práctico y lo que es seguro.

Continuar leyendo “Día de la seguridad informática: cómo proteger el ordenador y la información personal”

Recogiendo datos para Analisis Forense de sistemas Windows

1.- Introduccion

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

-Datos volatiles.
-Datos no volatiles.

Los datos volatiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones. Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:

slack

Sobre el espacio slack me gustaria hacer un inciso, enlazando un video algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

Tambien comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.
Continuar leyendo “Recogiendo datos para Analisis Forense de sistemas Windows”

Unos hackers ponen al descubierto una trama oculta en el calentamiento global

Un hacker desvela documentos y correos electrónicos de la elite científica vinculada al Panel Intergubernamental sobre Cambio Climático de la ONU (IPCC). Los calentólogos admiten que manipulan datos, destruyen pruebas, ejercen fuertes presiones para acallar a los científicos escépticos.

Algunos ya lo califican como el mayor escándalo científico del siglo. Este fin de semana la red se ha convertido en un auténtico hervidero tras la publicación de toda una serie de documentos comprometedores pertenecientes a la cúpula científica del calentamiento global antropogénico (causado por el hombre).

Acuerdos para manipular datos, destrucción de pruebas, conspiraciones para evitar que los escépticos publiquen en revistas científicas, dudas privadas sobre sus propias aportaciones a la teoría del calentamiento global que no se reconocen en público, ocultamiento del “Periodo Cálido Medieval”, alegría por la muerte de un escéptico.

Todo ello forma parte de una serie de documentos y correos electrónicos privados que han sido desvelados bien por un hacker externo o bien por una fuente anónima interna de uno de los templos de la calentología. Pueden encontrarse ya en las redes P2P, buscando en Google “FOI2009.zip”, y ya existe incluso un buscador.

Se trata de la Unidad de Investigación del Clima (CRU, por sus siglas en inglés), perteneciente a la británica Universidad de East Anglia, uno de los centros de investigación más activos en sus esfuerzos por demostrar la teoría del calentamiento global de origen antropogénico. En septiembre se vio envuelto en una polémica con el think tank norteamericano Competitive Enterprise Institute por destruir datos originales de toma de temperaturas por “falta de espacio”.

Sus datos han sido empleados en muchos estudios alarmistas, pero son datos “cocinados”, y el problema es que ya no es posible saber si esa “cocina” ha sido hecha correctamente tras la destrucción de los originales.¿Y qué dicen esos correos?

Lo principal que se extrae de la lectura de estos correos electrónicos es, en palabras del blogger norteamericano John Hinderaker, una mentalidad de bunker asediado por los enemigos, esto es, los escépticos. Estos científicos creen sinceramente en la teoría del calentamiento global, de un modo tan fanático que les lleva a alegrarse de la muerte en 2004 del escéptico John Daly o desear “darle una paliza” al también escéptico Patrick Michaels.

Pero, sin duda, lo más importante es que parecen plenamente dispuestos a maquillar sus datos para que se ajusten a la teoría. Así, en un correo del pasado 28 de septiembre, uno de estos científicos anuncia su intención de bajar 0,15 grados la temperatura registrada del océano para que se ajuste a sus modelos climáticos.

Otro científico, David Parker, discute en otro email la posibilidad de cambiar el período de referencia para elaborar el índice de temperatura global. Se opone afirmando que tal cambio podría confundir al público y, sobre todo, reflejaría que el actual período es menos cálido de lo que pretenden hacer creer.

Tim Osborn describe cómo algunos datos son manipulados para ocultar que los resultados de un estudio muestran una aparente tendencia al enframiento de la temperatura del planeta. El propio Michael Mann, uno de los climatólogos del cabecera del IPCC de la ONU, afirma en otro correo que sería bueno “contener” la temperatura del “Período Cálido Medieval “.

Manipulación de informes

Por su parte, Tom Wigley le comenta a otro colega que el calentamiento en la superficie terrestre desde 1980 ha sido casi el doble que en los océanos, un dato que no se debe salir a la luz, ya que podría ser utilizado por los científicos escépticos como prueba de que los centros urbanos constituyen auténticas islas de calor, sin que esto nada tenga que ver con el calentamiento global.

También existe otro de 1999 en el que un científico reconoce haber usado el “truco de Mike” (Michael Mann, el del Palo de Hockey) en Nature para “ocultar el descenso” de temperaturas. El “truco” en cuestión consiste en ocultar la divergencia entre las temperaturas de 1960 en adelante y los registros de los anillos de los árboles empleados para reconstruir el clima pasado. ¿Cómo? Eliminando esos registros en los resultados durante los años problemáticos, es decir, aquellos que no se ajustaban al modelo.

También se observa la paranoia del propio Mann, uno de los artífices de los informes del IPCC. Así, en un correo reciente, este gurú del calentamiento global protesta por la “máquina de ataque pagada por las multinacionales”, pese a que fluyen muchos, muchos más fondos hacia los científicos que defienden el cambio climático causado por el hombre que hacia los escépticos.

De hecho, en otro de los correos un climatólogo británico se queja de un artículo cuestionando la teoría del calentamiento porque es justo “lo que no necesita” en sus esfuerzos para sacarle dinero a Siemens. Un correo reconoce que están negociando con Esso, una de las subsidiarias de Exxon. Y uno de los documentos muestra que el director del CRU ha recaudado 13,7 millones de libras desde 1990.

Ocultación de datos

También existe algo más grave. Las leyes británicas obligan a desvelar todos los archivos de las investigaciones financiadas con dinero público, como son las del CRU. Un correo pide a varios científicos de diversas universidades que borren ciertos mensajes, lo que ha sido interpretado como un posible intento de evitar verse obligados a desvelar contenidos “incómodos” para la teoría del calentamiento ante una posible petición bajo las leyes británicas.

Uno de los correos, de hecho, reconoce que de verse obligado a dar los datos de las estaciones de temperatura del CRU preferiría borrarlos, lo cual podría estar relacionado con esa “falta de espacio” que adujo en septiembre para no revelarlos.
Conspiración para no dejar publicar a los escépticos

Uno de los más repetidos mantras de los climatólogos creyentes consiste en que los escépticos no publican en revistas científicas respetables, las llamadas peer-reviewed, y ellos sí. Pero parece que en parte esto sucede por un esfuerzo concertado para que así sea. Uno de los intercambios de correos desvelado se indigna ante la publicación de un par de papers científicos de los escépticos en la revista Climate Research y promueve un boicot contra la misma.

Ese intento de acallar las publicaciones científicas escépticas alcanza al IPCC, el macroinforme de la ONU que se supone contiene toda la información relevante sobre la ciencia del clima. Pues bien, otro de los correos muestra a estos científicos indicando que harán todo lo que puedan para evitar que un estudio contrario a sus teorías llegue al IPCC, incluso aunque sea a costa de “redefinir lo que significa un estudio peer-reviewed“.

Phil Jones escribe a la Universidad de Hull para intentar detener a su colega escéptica Sonia Boehmer Christiansen; Michael Mann explica cómo destruir una revista que ha publicado documentos científicos sobre el clima elaborados por escépticos; en otro correo, el propio Mann dice que se pondrá en contacto con la cadena británica BBC para averiguar por qué permitió la publicación de un artículo vagamente escéptico; otro correo desvela que una carta de calentólogos enviada a The Times fue redactada con la inestimable ayuda de Greenpeace…

Siempre se ha alegado desde el campo escéptico que no es necesaria ninguna conspiración para explicar el elevado número de científicos que apoyan la teoría del calentamiento global. Existen suficientes intereses académicos, ideológicos y hasta pecuniarios que permiten explicar acciones de distintas personas en la misma dirección. Pero eso no significa que no puedan existir conspiraciones como ésta, con la intención de acallar a algunos críticos, que pueden haber logrado algún éxito.

El material tardará en ser examinado, pues incluye cientos de correos, documentos científicos, datos contables sobre los fondos recibidos para la investigación y hasta el código empleado para las reconstrucciones del clima pasado, ése que siempre se han negado a enviar a los escépticos para su examen y ha tenido que ser reconstruido por los estadísticos McIntyre y McKitrick.

No existe una seguridad al 100% de que todos los correos electrónicos y documentos publicados sean ciertos, pues son demasiados como para que se haya podido verificar, por el momento, uno a uno. Sin embargo, la propia Universidad ha reconocido la veracidad de su origen y ha cambiado los claves de acceso de su personal para evitar más filtraciones. De hecho, algunos afectados han reconocido la autoría de algunos de los correos más sorprendentes del lote.

Tras saltar a la red, el escándalo ya ha sido recogido por algunos medios, tales como New York Times, Washington Post o el alemán Die Welt.

Fuente: Libertad Digital

Proteja sus datos en Línea

Cuando ya empezábamos a acostumbrarnos a lidiar con los virus que se dedican a destruir los PC, surge en el mundo una nueva amenaza informática de rápido crecimiento. Se trata del delito de robo de identidad a través de internet mediante el cual un ciberdelincuente puede solicitar en nombre de una tercera persona todo tipo de crédito, así como realizar operaciones de cobro de ahorros o pólizas, sin que la persona afectada tenga conocimiento de ello.

Precisamente para hablar sobre este delito llegó ayer a Chile Daniel Monastersky, experto argentino en e-commerce y derecho informático, y fundador de Identidadrobada.com, el primer sitio de Latinoamérica para la prevención de fraudes a través de la red.

El experto, que participará hoy en el seminario internacional “Comercio Electrónico: su impacto comercial y legal” organizado por el Duoc UC, explicó que nadie está a salvo del robo de identidad.

Agregó que esta actividad ilícita comenzó en los países más desarrollados, sin embargo, “poco a poco se ha ido arraigando en los países donde los marcos jurídicos enfrentan enormes lagunas legales para contrarrestar y castigar las nuevas modalidades delictuales ligadas con el ámbito financiero”, tales como: el phishing, la clonación de tarjetas, la sustracción de códigos y contraseñas en los cajeros automáticos; y los fraudes por banca electrónica.

Recomendaciones

El abogado especialista en tecnologías de la información aclaró que el robo de identidad tiene diversas variantes, puesto que puede suceder por medio de la red, pero también a través de la banca electrónica por vía telefónica.

“Lo importante es que las empresas en Chile y en América Latina comiencen a adoptar una política de puertas abiertas cuando son víctimas de este tipo de delito, tal como ocurre en Estados Unidos o Europa y no esconder estos hechos por el equivocado temor de dañar la imagen de la institución”, acotó el experto.

Con el propósito de que las personas eviten ser víctimas de este tipo de fraudes, dijo que ante la llegada de cualquier e-mail sospechoso de una entidad bancaria o comercial se debe informar inmediatamente a la empresa aludida, a fin de verificar la veracidad de la información.

“Los delincuentes a través de internet duplican un sitio web y envían correos electrónicos solicitando al cliente alguna información personal o una contraseña de seguridad, para luego cometer el fraude”, advirtió el profesional.

Recomendó a los usuarios no responder a los mensajes electrónicos o de aparición automática (pop-up messages) mediante los que les soliciten información personal o financiera, además de no vincular aquellos enlaces incluidos en estos mensajes. Otra de las precauciones que los usuarios deben tener en cuenta es evitar utilizar la función copiar y pegar para colocar el domicilio de un enlace en el navegador de internet, puesto que los “pescadores de información” o phishers pueden conectarlos a una dirección electrónica fraudulenta.

Via El Mercurio de Valparaiso, Chile

Factura Electrónica: Aspectos Legislativos

En el anterior post del especial de la factura electrónica introducimos el concepto de factura electrónica y su definición, hoy vamos a intentar resumir de forma concisa los aspectos legislativos de la factura electrónica. Aunque es ahora cuando más se empieza a hablar de la factura electrónica la legislación se remonta ya unos años.

Las primera ley que hace referencia a la factura electrónica es el REAL DECRETO 1496/2003, en el que se regulan las obligaciones de facturación y respecto a la factura electrónica nos indica en el Artículo 8 del Reglamento por el que se regulan las obligaciones de facturación:

Las facturas o documentos sustitutivos podrán expedirse por cualquier medio, en papel o en soporte electrónico, que permita la constatación de su fecha de expedición, su consignación en el libro registro de facturas expedidas, regulado en el artículo 63 del Reglamento del Impuesto, y su adecuada conservación.

Continuar leyendo “Factura Electrónica: Aspectos Legislativos”

Factura electrónica: ¿en qué consiste la factura electrónica?

Una de las cuestiones que en los próximos años acabará imponiéndose en la empresa hasta hacerse imprescindible es la factura electrónica, en primer lugar debemos de contestar a la pregunta, ¿en qué consiste la factura electrónica?.

Podemos definir la factura electrónica según el anteproyecto de Ley de Medidas de Impulso de la Sociedad de la Información como:

Un documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y la integridad de su contenido, lo que permite atribuir la factura a su obligado tributario emisor


Intentaremos completar el especial dando respuesta a los problemas legales de la factura electrónica, el proceso de emisión y recepción, programas que nos ayudan a crear las facturas electrónicas, integración con nuestros ERP, ventajas que nos aporta o subvenciones disponibles para su implantación. Intentaremos explicarlo de forma amena y accesible para todos, sin entran en detalles técnicos más allá de lo imprescindible.

Para emitir una factura electrónica tenemos varios requisitos que debemos cumplir siempre de forma necesaria:

  • Formato electrónico: que puede ser XML, PDF, html, doc, xls, por citar algunos de los más conocidos.
  • Transmisión telemática: la factura electrónica está pensada para ser creada en un ordenador y tratada por otro ordenador. El objetivo es que el papel no llegue a utilizarse nunca como soporte de la factura.
  • Integridad: se debe garantizar la integridad del documento gracias a la firma electrónica, de la que ya hemos hablado en varias ocasiones en este blog y que para este cometido deber ser una firma electrónica avanzada y deberá estar firmada tanto por emisor de la factura como por su receptor para que tenga validez legal.

Los campos de los que debe constar una factura electrónica son los mismos que debemos incluir en una factura normal. Durante el especial que desarrollaremos intentaremos dar respuesta a todas vuestras preguntas y dudas sobre todo lo relacionado con la factura electrónica, así que esperamos ser de ayuda e ir haciendo un poco más familiar para todos la factura electrónica.

Via: Tecnología PyME

Problemas de seguridad en Internet Explorer

Esta semana se han dado a conocer dos problemas de seguridad relacionados con Internet Explorer. Un fallo es muy grave y permite la ejecución de código arbitrario en el sistema con solo visitar una página web. El otro fallo es mucho más leve, y solo permite que un atacante obtenga información confidencial a través de archivos PDF impresos desde el navegador.

De la primera vulnerabilidad, la más grave, se han dado todos los detalles de forma pública. No se han observado de forma masiva ataques que la aprovechen, pero dadas las circunstancias, parece que no tardarán en aparecer. El fallo está en el manejo de punteros en la función “getElementsByTagName” de mshtml.dll al procesar objetos CSS. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que corra Internet Explorer con solo visitar una página especialmente manipulada.

Microsoft ya ha reconocido el fallo y está trabajando en un parche para solucionarlo. Solo afecta a las versiones 6 y 7 del navegador. Si no es posible usar la versión 8, como contramedida, se recomienda elevar la seguridad de las zonas de Internet Explorer a “Alta” para las páginas no confiables. O desactivar directamente el “Active Scripting” en las “Opciones de Internet”, pestaña de “seguridad”, “nivel personalizado”.

El otro problema de seguridad encontrado en el navegador es mucho menos peligroso. Cuando se abren en Internet Explorer páginas web almacenadas en el disco duro y se imprimen con cualquier impresora virtual en formato PDF, el navegador añade en el archivo información que no debería estar ahí, como la ruta local de la página que se ha impreso en PDF. Lo añade en el interior del archivo de forma que no se ve a simple vista. Es necesario abrir el archivo PDF con un editor para observarlo. Un atacante con acceso al documento PDF podría obtener así información sensible a partir de esas rutas locales, como por ejemplo los nombres de usuario y versión del sistema operativo analizando el archivo con un editor.

La persona que ha alertado sobre este último problema, advierte que con el buscador Google, es muy sencillo encontrar ficheros PDF que han sido impresos en este formato a través del navegador y que contienen la ruta del disco duro donde estaban alojados. En la mayoría de las ocasiones si esta ruta es la de “Mis documentos” en Windows, podrían incluir el nombre de usuario que las generó.

Este fallo afecta a todas las versiones incluida la 8. Microsoft no lo considera un problema de seguridad, así que aunque ha reconocido el problema, no parece que vaya a aplicar un parche. Lo más probable es que posteriores versiones del navegador, o bien un posible futuro Service Pack, anulen este comportamiento. Mientras tanto, se recomienda que si se imprimen con impresoras virtuales páginas HTLM interpretadas con Internet Explorer, se abra posteriormente el archivo PDF con cualquier editor, se busque la información sensible y se elimine.

Más Información:

Millions of PDF invisibly embedded with your internal disk paths

Microsoft Security Advisory (977981)

Autor: Sergio de los Santos
Fuente: Hispasec