Boletn del Criptonomicn
Ao I, n 28
18 de noviembre de 1998

******************************************
Susurros desde la Cripta
  1. Editorial

Las noticias de la semana
  2. Estamos seguros en Internet?
  3. Nuevo virus de propagacin por Internet
  4. Back Orifice sigue de actualidad
  5. OpenPGP propuesto como nuevo estndar en Internet
  6. Inventaron Diffie y Hellman la criptografa de clave pblica?

Candados, cortafros y otras herramientas
  7. La trituradora de documentos

Parada y fonda
  8. El ordenador ms rpido de la Tierra

Consejos y trucos
  9. Passwords de la BIOS

Hablan los expertos
  10. La amenaza de los ltimos caballos de Troya

Formacin
  11. Curso de Seguridad en el CSIC

Sobre el boletn del Criptonomicn
  12. Informacin sobre suscripcin y cmo borrarse
  13. Nmeros atrasados

******************************************
Susurros desde la cripta

******************************************
1. Editorial

Hackers, spammers, publicistas (perdn por incluirlos aqu), espas
industriales, piratas de todo tipo, personas que de una u otra forma buscan
ganar acceso a la informacin que albergamos en nuestro ordenador sobre
nosotros mismos y sobre nuestro trabajo, bien para venderla, bien para
vendernos algo, o simplemente por traviesa diversin.

En este panorama, donde Back Orifice, por ejemplo, hace real la intrusin en
nuestro sistema, donde a veces recibimos correos que indican un conocimiento
sobre nuestra persona que hace dudar seriamente del anonimato en Internet,
donde el que se sienta despus que nosotros en el ordenador puede husmear
los documentos que hemos escrito, con quin nos carteamos o por dnde
navegamos, se vuelve cada vez ms importante la necesidad de evangelizar y
concienciar a los usuarios sobre los riesgos y amenazas, especialmente para
la intimidad, que plantea Internet usada frvolamente y sin conocimiento.

Afortunadamente, cada vez son ms los medios que rompen lanzas a favor de la
seguridad en Internet, medios de gran difusin que alcanzan a sectores
importantes del pblico, informando con rigor y seriedad sobre estos temas,
como se comenta en la noticia "Estamos seguros en Internet?". Cuantos ms
seamos los que nos mostramos preocupados por nuestra propia intimidad, antes
se generarn estndares de seguridad en Internet (noticia "OpenPGP propuesto
como nuevo estndar en Internet") para protegernos a todos los usuarios. La
seguridad es un asunto de todos.

******************************************
Las noticias de la semana

******************************************
2. Estamos seguros en Internet?

"En el mes de Noviembre la revista PC World (www.idg.es/pcworld) ofrece,
como tema de portada, un asunto que est en boca de todo el mundo: la
seguridad en Internet. Tambin encontraris trucos para saber cmo mantener
el anonimato y utilidades de autoproteccin, as como aprovechar al mximo
las posibilidades de su navegador."

Os lo recomiendo especialmente, ya que me parece muy completo y muy bien
realizado.

Los que an no hayis comprado la revista o no queris hacerlo, podis
encontrar una versin Web del reportaje en:

http://www.idg.es/pcworld/articulos/seccion.asp?sec=Tema%20de%20Portada%20(S
eguridad%20en%20Internet).&Numero=148

No os lo perdis!

******************************************
3. Nuevo virus de propagacin por Internet

Un nuevo virus, ms cercano al "exploit" y que se propaga con el HTML,
amenaza a los internautas

La aparicin de un nuevo virus que utiliza el HTML para propagarse ha venido
con ms controversia que nunca, si cabe. Contrario a la concepcin de lo que
es un virus, muchos analistas y usuarios consideran al "Html.internal", que
as se llama, un exploit basado en cdigos de programacin web, ms que un
virus puro. El virus ha sido creado por el Virus Information Center, y se
propaga fundamentalmente a travs del Intrernet Explorer 4.0, y est basado
en Visual Basic Sript. Su peligrosidad real, no potencial, se asienta sobre
la portabilidad y fcil propagacin que tiene enmascarado en pginas web.

La gran mayora de los analistas consideran que no estamos ante un virus, y
la nica relacin que tiene con un virus tradicional, segn convienen la
mayora, es la alarma que ha generado. "No estamos ante un hoax, eso est
claro puesto que hemos podido comprobar que el Html.internal existe y
funciona. Slo decimos que no es un virus, que no se comporta como un virus,
y que no hemos de combatirlo como tal", en palabras de Jimmy Kuo, director
del rea de virus de la firma Network Associates. (Nota: Un Hoax es un aviso
de virus falso que habitualmente corre por Internet. Se suele recibir a
travs del correo electrnico con mensajes del tipo: "Si recibe un mail
titulado como XX, no lo abra, contiene un virus nuevo y muy destructivo
[...]".)

Sea como fuere, Microsoft no ha informado de momento en su web de seguridad,
pero fuentes de la compaa han afirmado que sus equipos estn investigando
el "virus". Se puede visitar un web con una demostracin del virus basado en
el scripting de Windows en:

http://sourceofkaos.com/homes/madokan/internal.html

(Tomado de LABRUJULA.NET Lunes, 16 noviembre de 1998 y reproducido con el
permiso de Mikel Amigot.)

******************************************
4. Back Orifice sigue de actualidad

Segn Wired News, unas 1400 cuentas de Internet en Australia se han visto
comprometidas por el programa Back Orifice, que crea una puerta trasera para
monitorizar el sistema en mquinas Windows 95 y 98.

Back Orifice fue creado por el colectivo de hackers denominado "El Culto de
la Vaca Muerta" (www.cultdeadcow.com) como crtica muy descriptiva y
explcita a la falta de seguridad de los sistemas operativos de Microsoft,
que ocupan el 80% de los escritorios del mundo.

Como nos explicar Pedro Bustamante en la seccin "Hablan los expertos", el
Back Orifice puede ser tratado como un virus cualquiera y nos describir
cules son las herramientas y el proceso para protegerse de este peligroso
programa.

Podis leer la noticida completa de Wired en:

http://www.wired.com/news/news/technology/story/16310.html

******************************************
5. OpenPGP propuesto como nuevo estndar en Internet

La Fuerza de Trabajo de Ingeniera en Internet, IETF (www.ietf.org), ha
anunciado que el protocolo OpenPGP, la versin de estndares abiertos de PGP
desarrollada por Network Associates (www.nai.com), est siendo considerada
como futuro estndar para la Internet. Su aceptacin posiblemente traera
consigo un uso ms extendido de la criptografa en Internet. Adems, segn
Network Associates, el estndar es suficientemente abierto como para
permitir a cualquier casa desarrollar productos independientes de seguridad
basados en PGP.

Ms informacin en:

http://www.news.com/News/Item/0,4,28934,00.html

******************************************
6. Inventaron Diffie y Hellman la criptografa de clave pblica?

" Parece ser que Diffie y Hellman no inventaron la criptografa de clave
pblica!!!

Por lo visto J.H. Ellis, quien trabajaba para el CESG del gobierno ingls,
public en 1970 (seis aos antes que Diffie y Hellman) un informe sobre lo
que el llam NSE (Encriptacin No Secreta)."

Podis comprobarlo en la copia que Antonio Maa posee en sus pginas Web en:

http://www.lcc.uma.es/personal/mana/1stPKS.html

(Mi agradecimiento a Iaki Snchez por informarme de la existencia de este
enlace)

******************************************
Candados, cortafros y otras herramientas

******************************************
7. La trituradora de documentos

Cuando borramos un fichero, ste no desaparece fsicamente de forma
inmediata, sino que el puntero que apuntaba a su informacin es liberado,
mientras que la informacin que contena permanece hasta que ese espacio sea
sobrescrito por otro fichero. Esta circunstancia puede darse 10 segundos
despus,  10 das  10 meses, y es lo que permite que a veces podamos
recuperar ficheros que hemos borrado por error. En realidad, uno nunca est
seguro de lo que se ha quedado perdido por el disco duro. Por eso es tan
importante asegurarse de que aquello que borramos, lo borramos de verdad.
Existen programas que permiten borrar la informacin del disco sin
posibilidad de ser recuperada, como el excelente Shredder95 (la
trituradora).

Lo podis descargar desde:

http://www.gale-force.com/shredder95/

******************************************
Parada y fonda

******************************************
8. El ordenador ms rpido de la Tierra

Sabas que la mayor parte del tiempo que pasas usando el ordenador ste
permanece ocioso? S, prcticamente durante el 99% del tiempo no hace nada,
simplemente espera a que pulses alguna tecla o muevas el ratn. Si usas
Windows NT, por ejemplo, puedes pulsar Ctrl+Alt+Supr para que aparezca la
ventana de "Administrador de tareas de Windows NT" y ah observars cmo el
proceso inactivo del sistema es el que est corriendo todo el rato (bueno,
el 99% del rato).

Te gustara hacer algo con toda esa potencia de clculo desperdiciada?

Puedes participar en algunos de los proyectos de proceso distribuido, que
buscan resolver problemas de clculo de dimensiones tan gigantescas que
incluso los ordenadores ms potentes actualmente tardaran miles de aos en
solucionar. Si por el contrario miles de usuarios participan en estos
desafos cediendo esos ciclos de CPU que nadie aprovecha, se pueden
conseguir hazaas como romper claves DES en pocos meses.

T puedes formar parte del ordenador ms rpido de la Tierra. Te interesa?
Infrmate en:

http://www.distributed.net/

******************************************
Consejos y trucos

******************************************
9. Passwords de la BIOS

Normalmente, los ordenadores incorporan la capacidad de proteger mediante
password el acceso a los datos de configuracin de la BIOS. Esta utilidad
resulta de extremado inters en entornos multiusuario como un laboratorio o
el centro de clculo de una universidad, donde pululan cientos de
estudiantes, muchos de ellos malvolos, que por motivos difciles de
explicar sienten la necesidad de cambiar la configuracin de la BIOS, a
menudo con consecuencias desastrosas para el ordenador... y para el
encargado de la sala.

Sin embargo, no todo el monte es organo. Los fabricantes de BIOS suelen
utilizar puertas traseras, que aunque tericamente slo deberan conocer
ellos, terminan saliendo a la luz, como AWARD BIOS, que se puede romper con
AWARD_SW, AWARD_PW o j262. AMIBIOS y Phoenix tambin poseen los suyos.

Ms fcil puede ser resetear la memoria de la BIOS quitando la pila de la
placa base y volvindola a conectar. A veces basta con cambiar un simple
jumper.

Adems, existen multitud de programas para saltarse estas barreras, que se
pueden encontrar en las siguientes localizaciones:

http://www.hedgie.com/passwords/bios.html
http://hem.passagen.se/unaxor/cracking.html
http://www.voicenet.com/~raze/files/textfaq/pchack.txt
http://www.geocities.com/Area51/Zone/6430/cracking.html

Por lo tanto, no hay que confiar en los passwords de la BIOS para proteger
el sistema y se debe preparar un sistema de proteccin ms seguro. Eso,
claro est, queda a la discrecin del administrador.

(Elaborado a partir del mensaje de Paul L Schmehl(pauls@UTDALLAS.EDU) a la
lista de NTBuqTraq)

******************************************
Hablan los expertos

******************************************
10. La amenaza de los ltimos caballos de Troya

Esta semana contamos con la colaboracin de Pedro Bustamante, de Panda
Software International (http://www.pandasoftware.com), experto en virus
informticos, que nos explicar cmo protegernos de los temibles caballos de
Troya que estn apareciendo en el panorama de Internet en los ltimos meses,
como son el famoso Back Orifice y el NetBus.

LOS VIRUS
=========

Hoy en da las incidencias de programas malignos nuevos que aparecen
por Internet crece a un ritmo impresionante.  De estos programas
existen dos variantes: virus y  caballos de Troya.

Los virus no son mas que programas que, por definicin, se
copian o replican a s mismos al ser cargados, sin intervencin
necesaria por parte del usuario.  Para poder activarse necesitan
ser ejecutados o cargados por el sistema operativo.  sta es la razn
por la que los virus nicamente contagian a los archivos ejecutables.
Todo esto cambia con los virus ms conocidos y que ms circulan hoy
por hoy; los virus de macro.

LOS CABALLOS DE TROYA
=====================

A diferencia de los virus, los caballos de Troya o troyanos estn
diseados para obtener informacin privilegiada del ordenador donde
son ejecutados.  As pues existen troyanos que nicamente consiguen
contraseas, otros que graban secuencias metidas en el teclado, otros
que abren puertas traseras al ordenador, etc.

Los ms conocidos ltimamente son el BackOrifice y el NetBus.  Ambos
son troyanos que abren una puerta trasera a un equipo basado en
Windows 95, Windows 98 o Windows NT.

El BackOrifice, creado por "Cult of the Dead Cow", es un programa
cliente/servidor para Win95/98.  Al ser ejecutada la porcin del
servidor en una mquina Win95/98, sta se cargar en memoria y har
referencia a s misma en el registro, asegurndose que se cargar
cada vez que Windows se cargue.  La porcin del servidor es
configurable a travs del cliente, pero por defecto se instala como
.exe ("espacio".exe), sin clave de acceso, y abriendo la comunicacin
para que los clientes se conecten a l a travs del puerto UDP 31337.
La comunicacin entre el BackOrifice Client/Server es cifrada,
aunque ha habido informes de grupos que han conseguido romper el
esquema de cifrado utilizado.

Lo nico que un hacker tiene que hacer para obtener control total de
la mquina de un usuario es mandarle, a travs de un e-mail
attachment, por ejemplo, un fichero servidor del BackOrifice.  Una vez
el usuario haya ejecutado este fichero, el hacker nicamente tiene que
conocer la direccin IP del usuario para poder conectarse a dicha
mquina.  Una vez conectado, el hacker puede obtener contraseas,
bajarse ficheros, subir otros troyanos, etc. El Cult of the Dead Cow
indica que se puede tener ms control de una maquina Win95/98
remotamente desde un cliente BackOrifice que sentado en frente de la
mquina fisicamente!

Existen en circulacin varios programas cuyo supuesto propsito es
proteger a usuarios del BackOrifice, pero que en realidad no es as.
Uno de ellos, llamado BOSniffer (BOSniffer.zip) pretende ser un
programa que protege las partes del registry que el BackOrifice
escribe, pero en realidad no es ms que un BackOrifice server.  Existe
otro, llamado IPSpoof (theipsoof.zip) que prentende ser una utilidad
para hackers que ayuda a esconder la direccin IP del "supuesto"
hacker, as pudiendo meterse en sitios del web sin poder ser
identificado. Este fichero tambin contiene un servidor BackOrifice.

El otro troyano, conocido como NetBus, es bastante similar el
BackOrifice, pero introduce otro peligro: tambin funciona bajo
Windows NT.  Al igual que el BackOrifice, el NetBus se trata de un
programa cliente/servidor.  El servidor por defecto escucha en el
puerto 12345 UDP.

Al igual que el BackOrifice, el servidor NetBus tambin se est
repartiendo por Internet bajo otro nombre.  En este caso se esta
distribuyendo como WHACKAMOLE.EXE, un juego que en realidad lleva
escondido el servidor NetBus.  Al ejecutar la instalacin del juego,
el programa de instalacin tambin instalar el servidor NetBus.

METODOS DE PROTECCION
=====================

Dada la facilidad de expansin de estos tipos de virus y troyanos
mediante el correo electrnico, es recomendable contar con un
antivirus con capacidad de analizar el correo electrnico en el mismo
momento de su recepcin y antes siquiera de que sea abierto.

Hay que tener en cuenta que incluso los cortafuegos (firewalls) ms
avanzados de hoy en da pueden ser ineficaces contra este tipo de
troyanos, ya que el hacker puede configurar el troyano servidor a
escuchar bajo cualquier puerto, de tal manera que el trfico
troyano <--> cliente pasara totalmente desapercibido al administrador
del firewall.  Aparte, la comunicacin se hace a travs de UDP, que es
la porcin de TCP/IP que no necesita establecer conexiones para poder
mandar y recibir paquetes IP.

La mejor proteccin contra este tipo de programas malignos en la
actualidad es Panda Antivirus Platinum, ya que cuenta con tres tipos
de escneres en uno:
* Panda Antivirus (escanea discos y memoria)
* Modulo de Proteccin Permanente de E-Mail
* Modulo de Proteccin Permanente de Internet

Gracias a estos mdulos, Panda Antivirus consigue detectar y
desinfectar con la mayor eficacia virus y troyanos transmitidos a
travs de TCP/IP y otros mtodos ms conocidos.

INFORMACION ADICIONAL
=====================

Limpiador del NetBus/Whackamole con Panda Antivirus
http://www.nttoolbox.com/panda.html
http://www.pandasoftware.com/081298np.htm

Cult of the Dead Cow
http://www.cultdeadcow.com

NT Tool Box Informacin sobre NetBus
http://www.nttoolbox.com/Netbus.html

******************************************
Formacin

******************************************
11. Curso de Seguridad en Internet e Intranet

El Departamento de Tratamiento de la Informacin y Codificacin del
Instituto de Fsica Aplicada del CSIC anuncia que impartir un curso abierto
al pblico sobre Seguridad en Internet e Intranet durante los prximos das
13 a 15 de enero de 1999.

Todos aquellos interesados en asistir fsicamente al mismo (no es un curso a
travs de Internet ni por vdeo conferencia ni ningn otro medio remoto y
tampoco estar disponible en Internet ni por correo electrnico), pueden
consultar la informacin ms detallada sobre el programa, lugar y precio de
la matrcula en la pgina:

http://www.iec.csic.es/curso/curso.html

No se conceden becas para el mismo, aunque se contemplan cursos especiales
para empresas y grupos con intereses especficos.

Para informarse sobre condiciones de pago y fechas de matriculacin, no
olviden pasarse por la pgina:

http://www.iec.csic.es/curso/inscrip.html

******************************************
Sobre el boletn del Criptonomicn

******************************************
12. Informacin sobre suscripcin y cmo borrarse

Para borrarse de este servicio basta con enviar un correo a la direccin
cripto-request@iec.csic.es con el siguiente mensaje (sin asunto o
"subject"):

leave

desde la misma cuenta de correo en la que recibs el boletn.

Tenis ms informacin en la pgina:

http://www.iec.csic.es/criptonomicon/suscripcion.html

******************************************
13. Nmeros atrasados

Podis encontrar los nmeros atrasados del boletn en:

http://www.iec.csic.es/criptonomicon/suscripcion.html

Se pueden recuperar todos en formato ZIP o de uno en uno.

******************************************
(C) Copyright 1998 Criptonomicn
http://www.iec.csic.es/criptonomicon

Un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del
CSIC por Gonzalo lvarez Maran
email: gonzalo@iec.csic.es