27.12.04

Santy.A – Problema de seguridad en PHP que afecta a Google.

Publicado en Sin categoría a las 18:03 by admin

Autor: Jordi Camps

En un principio, el «virus» llamado “NeverEverNoSanityâ€, se consideró un bug de los foros phpBB. Más tarde se han dado cuenta que el problema no es de los scripts de estos foros sino algo peor: los agujeros de seguridad del mismo sistema en PHP.

¿Qué palabrería, ¿realmente esto qué significa?

Simplemente que las versiones vulnerables (NO todas), permiten la ejecución de cualquier comando que se ejecute en el mismo servidor. Actualmente, la mayoría de los servidores de Internet, para el desarrollo de páginas web, utilizan versiones de PHP. Por lo tanto, cada vez que cualquiera de nosotros esté navegado por Internet entre páginas php, el servidor web (apache u otro) envía la página al motor PHP instalado en el mismo servidor, procesando los datos y, finalmente, el servidor web lanza los resultados a nuestro explorador.

¿Cómo funciona el “virus�

Buscar las páginas vulnerables (“contienen los problemas de seguridad de PHPâ€) que usan como “puerta de accesoâ€. Lamentablemente los foros phpBB son muy comunes y ofrecen esta puerta de entrada desde el archivo «viewtopic.php» al no procesar adecuadamente los datos enviados a través del parámetro «highlight«, lo que permite a un atacante ejecutar comandos arbitrarios de forma remota. Sobre esta vulnerabilidad, el primer precedente fue el pasado 19 de noviembre gracias a la compañía Secunia.

Son dispares las estimaciones hasta la fecha según Santiago Carro en una notícia publicada en PC World «Mientras unos desarrolladores sitúan a Santy.A con unos 30.000 impactos en versión beta de MSN, éstos mismos apuntaban muchos menos impactos, con 785 impactos en MSN y poco más de 2.000 en Yahoo!â€

Combinando estas dos cosas: Bug en PHP y la página (viewtopic.php) que se encuentra en millones de sitios, uno puede hacer lo que quiere en ese sistema desde millones de sitios.

Y para conseguirlo, los creadores de Santy.A («cómo se le ha llamado finalmente»), se las ingeniaron para:1. buscar en Google los sitios que usan phpBB
2. desde la página de viewtopic.php, suben al host y ejecutan un script que:
a. incrementan su número de generación
b. combina fórmulas para usar el host para acceder a google y busca más candidatos.
c. si la generación es mayor a 3, sobrescribe todas las páginas .php .html .asp .shtml (…) con un texto como: «This site is defaced!!!» y «NeverEverNoSanity WebWorm Nro generacion».

Santy.A posee en su código una rutina que realiza constantemente búsquedas en Google de 100 URLs que contengan la cadena “viewtopic.phpâ€.

¿Y cómo lo hace?

Los ingeniosos de Santy.A, para evitar siempre localizar a los mismos 100 sitios webs, el gusano incluye en cada nueva búsqueda un número aleatorio para indicar a partir de que resultado quiere el listado, de entre los más de 8 millones de páginas que Google tiene indexadas con las características especificadas en la búsqueda del gusano.

Cómo decía, hay muchos servidores que utilizan Apache y No corren como suExec, es decir, cuando ejecutan los scripts lo hacen con el UID/GIG del servidor que acceden, copiándose en el sistema con el nombre de archivo «m1ho2of» y ejecutándose a través de «perl -e«. Así, el servidor infectado comienza su rutina buscando a través de Google, infectando a otras posibles víctimas que tengan instalada una versión de phpBB anterior a la 2.0.11. Podéis encontrar la más reciente a en: http://www.phpbb.com/downloads.php

El acceso a los archivos no solo se limita a php, sino que en su código incluye una rutina para buscar en los sistemas infectados, todos los archivos con extensión .htm, .php, .asp, .shtm, .jsp y .phtm y los sobrescribe con el código HTML de una página web con fondo negro y color de texto rojo con el siguiente mensaje:

This site is defaced!!!
NeverEverNoSanity WebWorm generation *

Donde (*) es un número que hace las veces de contador:

Por lo tanto, una vez dentro, adquiere todos los permisos del sistema, pudiendo crear/borrar/sobrescribir en todos los otros sitios de Internet de un mismo host (shared hosting).

Por ejemplo:
Si nuestro host encontrado es: www.netdebugger.com
Todas mis páginas interiores son vulnerables a Santy.A:
www.netdebugger.com/Fallo_seguridad_Google_Desktop.php

¿Cómo está la situación actual?

  1. Google ha empezado a intentar frenar la ejecución de Santy.A, las “queries†que buscaban más sitios phpBB/viewtopic.php. Pero esto sólo es una solución parcial al problema más grave. Los creadores de Santy.A u otros “hackers†fácilmente pueden lanzar, la misma u otra versión de Santy.A, a otros motores de búsqueda (MSN, Yahoo, etc) o incluso pueden seguir usando google con un “query†distinto.
    Los motores de búsqueda pueden limitar cada nuevo “queryâ€, pero para cuando identifiquen las nuevas cadenas de búsqueda del gusano, será tarde.Muchos estarán pensando “Google ya ha encontrado la solución, no tengo que preocuparme másâ€. – Y es un grave error.
  2. Ante este problema, algunos ya han actualizado sus versiones a una NO vulnerables de phpBB, una de ellas es la 2.0.11. Pero seguiremos sin resolver el problema, si bien es cierto que se trata de una versión NO vulnerable, pero el verdadero problema es otro.Lo único que hace esta versión de phpBB es no ofrecer la página viewtopic.php como puerta de entrada a las versiones vulnerables de PHP. Por otro lado, creéis que todos los webmasters actualizarán sus versiones a la phpBB 2.0.11, yo creo que es algo poco probable a corto plazo. Hasta entonces, los creadores de Santy.A simplemente deben buscar algún otro software popular que contengan páginas php de cierto tipo para usarlas como puerta de acceso a la ejecución remota desde cualquier otro software famoso como: vBulletin, phpNuke, Invision Board programas OScomerce, etc…– Si alguno se atreve, puede ver el avíso de seguridad de PHP.
  3. Por otra parte, las casas antivirus han reaccionado a posteriori publicando firmas para su detección, pero siguen poco útiles ya que la mayoría de servidores web infectados utilizan Unix o Linux, que no suele contar con antivirus residentes instalados, para poder analizar todos los archivos que se escriben en el sistema y/o dispositivo antivirus que filtre el tráfico antes de su ejecución, es decir, cuando uno de nosotros accede un web, no existe ningún antivirus (“por el momentoâ€) que analice nuestra peticiónNavegando he encontrado que Sophos Antivirus ha encontrado alguna solución (?????).

Y si seguimos investigando, podemos encontrar otras muchas posibles soluciones, cómo la de Bernardo Quintero en Hispasec.com:“La solución pasa por evitar parámetros de forma arbitraria cuando programamos el script PHP, filtrando todas las referencias que no se ajusten a las páginas legítimas del servidor webâ€.

¿Entonces qué solución tenemos?

Vamos a ver, con la solución de Google se puede controlar momentáneamente el problema. Del mismo modo, Google no es responsable del problema y quizás no pueda parar futuros intentos de búsqueda por parte de este gusano, como para cualquiera de sus derivados que puedan modificar los “hackersâ€.

Por otra parte, si todos los “webmasters†actualizaran sus versiones de phpBB es cuestión de tiempo para que se encuentren otras puertas de entrada.

Así, la solución que nos queda es actualizar el motor PHP de los mismos servidores que ejecutan las páginas con versiones que no sean anteriores a la PHP 4.3.10, la misma comunidad de phpBB nos lo dice en phpBB.com.

¿Entonces Santy.A es realmente un “virus�

NO, Santy.A no es un virius, ni un verdadero gusano, además en Linux no hay virus, se trata de un script (“código de programaciónâ€) que consigue dominar el servidor incluso más allá del sistema operativo que esté usando. Es una clara demostración que la seguridad no pasa por el SO (“sistema operativoâ€) en sí, sino que la seguridad reside en la configuración del sistema, el mismísimo núcleo donde reside en continuo control del software instalado, ejecutándose junto la revisión periódica de los informes de seguridad.

En el momento de escribir estas líneas Hispasec cuenta los servidores infectados por miles. El gusano no afecta a los sistemas de los usuarios, únicamente a los servidores web con una versión de PHP 4.3.10 o posterior.

Podéis ampliar conocimientos en estos foros de WebMasterWorld.com

21.12.04

Google nos desea Felices Fiestas 2005

Publicado en Sin categoría a las 18:32 by admin

Autor: Jordi Camps

Tal y como nos tiene acostumbrados Google todos los años por estas fechas, hoy comienza la colección de logos navideños, de los cuales podremos ir viendo su evolución durante estos días.

Google y todo su equipo quiere desearnos unas felices fiestas y, cómo no, su mejor forma es desde el mismo buscador.

En la web si le damos al logo entramos en una página con estos logos que irá publicando.

Google Happy holliday
Cómo curiosidad, aquí unos enlaces muy divertidos,… recodáis alguno?

  1. 2004 Summer Olympics Doodle
  2. Holiday Doodle
  3. Holiday Doodle
  4. Winter Olympic Doodle
  5. Holiday Doodle
  6. Summer Olympic Doodle
  7. Google Doodle

Si os gustan… no olvidés ver algunos miembros del equipo, «quien diría que estan estresados»??

Googlers at work & play

  1. Dentro Google, su equipo
  2. Logos oficionales de Google, para WebMasters
  3. Histórico felicitaciones de navidad de Google desde 1999
  4. Fan logos, el mismo nombre lo dice :D

20.12.04

Resuelto fallo de seguridad en ‘Google Desktop’

Publicado en Sin categoría a las 18:34 by admin

Autor: Jordi Camps

Dos estudiantes y un profesor del Departamento de Informática de la Universidad de Rice (EEUU) acaban de hacer público un fallo grave de seguridad en la herramienta ‘Google Desktop‘, la aplicación que permite realizar búsquedas dentro de nuestro Disco Duro.

Según se afirma, la vulnerabilidad permitiría a un tercero leer los resultados que, vía web, muestra la herramienta cuando el usuario realiza una búsqueda. Se deja claro que no se podría acceder directamente a los ficheros, pero sí a ese par de líneas (‘snippets’) que el buscador nos suele mostrar. Esto supondría que información personal y confidencial podría estar expuesta de alguna manera.

Google fue avisado de este fallo el pasado mes de noviembre, y el pasado 10 de diciembre lanzó una nueva versión que resuelve el problema. ‘Google Desktop’ intenta actualizarse automáticamente, pero se recomienda que comprobemos que la versión es la ‘121004’ (10 diciembre 2004) o posterior. Para ello, puedes seleccionar la opción ‘About’ en el icono que instala la herramienta en la Barra de Tareas. Tenéis más información en el sitio web del Departamento y en este documento PDF.

Reciente Ley Orgánica en la accesibilidad de las personas discapacitadas y avanzada edad

Publicado en Sin categoría a las 18:29 by admin

Autor: Jordi Camps

La reciente Ley Orgánica de Servicios de la Sociedad de la Información y Comercio Electrónico (BOE de 12 de Julio de 2003) establece en la Disposición Adicional Quinta: Accesibilidad para las personas con discapacidad y de edad avanzada a la información proporcionada por medios electrónicos.

Uno.- Las administraciones públicas adoptarán las medidas necesarias para que la información disponible en sus respectivas páginas de Internet pueda ser accesible a personas con discapacidad y de edad avanzada, de acuerdo con los criterios de accesibilidad al contenido generalmente reconocidos, antes del 31 de Diciembre de 2005.

Dos.- Igualmente se promoverá la adopción de normas de accesibilidad por los prestadores de servicios y los fabricantes de equipos y “softwareâ€, para facilitar el acceso de las personas con discapacidad o de edad avanzada a los contenidos digitales.


Síguenos en
Google+
Author: Jordi Camps
Aviso Legal - Política de cookies