Mes: febrero 2007

Un gusano para Sun Solaris

No deja de ser curioso que haya por ahí dando vueltas una pieza de malware orientada … a Solaris :)

El gusano es absolutamente anecdótico, no sólo por el escaso impacto registrado hasta el momento, sino por lo poco que se puede esperar de programar un gusano de esta índole, ya que deben ser realmente pocas las máquinas expuestas a tráfico agreste con el demonio de Telnet en funcionamiento. Además, el puerto 23 es un clásico para acciones deny en los Firewalls, lo que mitiga la criticidad de la vulnerabilidad.

El quid de la cuestión radica en una vulnerabilidad para Solaris 10, aprovechada por algún usuario con ganas de experimentar, y que ha liberado en la red a modo de prueba de concepto. Este problema de seguridad podría permitir que el gusano consiga pasar a través del servicio de autenticación Telnet, lo que finalmente podría suponer un riesgo moderadamente crítico para la seguridad de la plataforma.

Si tienes una máquina Solaris 10, puedes desactivar el servicio. Para ello:

svcadm disable svc:/network/telnet:default

Otro factor mitigante ya lo tratamos aquí en nuestra serie de auditoría UNIX. Se trata de forzar a los logueos en consola, impidiendo los accesos remotos. Para ello debe añadirse o descomentarse la línea /etc/default/login:

CONSOLE=/dev/console

Por último, si necesitas tener Telnet operando (medida desaconsejable donde las haya), debes parchear. Más vale prevenir que curar.

En los blogs de Sun dan todos los detalles sobre este ensayo desde el punto de vista de la mitigación del riesgo. Tenéis detalles técnicos en Arbor, el servicio de seguridad de José Nazario, y en este advisory de Secunia.

Saludos :)

Auditoría de aplicaciones Web y nueva versión de la guía de testing OWASP

Vaya dos noticias mayúsculas tenemos hoy sobre seguridad y auditoría de aplicaciones Web.

Por un lado comentan en SecuriTeam, autores de un gran paper previo, que Honeynet ha sacado un nuevo documento, muy en su línea habitual, titulado Know your Enemy: Web Application Threats, y con asuntos tan interesantes como la inyección de código, la inyección SQL, la inclusión de código remoto, Cross-Site Scripting, técnicas de descubrimiento … una auténtica joya. El paper hace un uso intensivo de una herramienta muy efectiva en este tipo de análisis, el Google Hack Honeypot, del que ya hablamos en este blog en una ocasión anterior.

Honeynet es de estos grupos de investigación que no defrauda: genera información libre de primera mano, muy completa técnicamente y procede de auténticos investigadores de campo. Esencial en la biblioteca de cualquier usuario interesado en la seguridad. ¿Qué mas se podría pedir?

Pues sí, se podría pedir más. Y ese algo más es que la gente que lidera la investigación en estos temas publique un método para el análisis de aplicaciones Web. Pues nada, a festejar que tenemos la versión 2.0 de la Testing Guide OWASP oficialmente disponible. Open Web Application Security Project (OWASP) es una guía y conjunto de herramientas para la realización de auditorías y revisiones técnicas de aplicativos Web.

Con Webscarab como principal baluarte en lo que a herramientas se refiere, esta extraordinaria metodología, conjunto de herramientas y guía de testing proporciona paso a paso todos los elementos que deben ser ejecutados en un análisis Web, con el aliciente de que todo lo que forma parte de OWASP es material libre.

Con guías y herramientas de esta calidad, cualquier usuario podría hacer un análisis Web. Es cuestion de paciencia, de ir probando y de ir cogiendo práctica con el método, ya que en síntesis, es siempre el mismo. La experiencia es siempre un grado, pero nunca es tarde para ir atesorándola.

Saludos, y buen comienzo de semana :)