-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Boletín del Criptonomicón http://www.iec.csic.es/criptonomicon Año III, nº 79 21 de diciembre de 2000 ****************************************** Susurros desde la Cripta 1. Criptografía cuántica: la última frontera (2ª) Las noticias de la semana 2. CriptoRed cumple un año 3. Cómo comprobar de forma 'online' la seguridad de nuestro PC 4. Barras de navegación gratuitas envían datos personales de forma oculta 5. ¿Son seguros los cortafuegos personales? 6. Ataques a la privacidad por el caché del navegador 7. Spam + Cifrado = Spam Mimic 8. La noticia de HispaSec: Vulnerabilidades en AOL Instant Messenger Novedades en el Criptonomicón 9. Bolsa electrónica Candados, cortafríos y otras herramientas 10. Volcando TCP Parada y fonda 11. Claxion Consejos y trucos 12. Control de acceso por IP y algo más Hablan los expertos 13. Software libre o propietario: Cuestión de Ideas Virus y otros bichos 14. Los últimos virus Sobre el boletín del Criptonomicón 15. Información sobre suscripción y cómo borrarse 16. Números atrasados 17. Firma PGP ****************************************** Susurros desde la cripta ****************************************** 1. Criptografía cuántica: la última frontera (2ª) Si en la primera parte (www.iec.csic.es/criptonomicon/susurros/susurros28.html) nos estremecíamos con los peligros que representa la computación cuántica para la criptografía, dada la longitud actual de claves, que debería ser doblada, nos fascinaremos a continuación con la forma como la criptografía cuántica sería capaz de implementar por primera vez una cinta aleatoria segura, soslayando el talón de Aquiles de su precaria distribución. Lo que con una mano quita la computación cuántica, con la otra repone. La piedra angular de la criptografía cuántica es el principio de incertidumbre de Heisenberg, que, como aprendimos en la Universidad, nos enseña que no pueden conocerse simultáneamente con exactitud dos variables complementarias, como la posición y la velocidad, de una partícula. Supongamos entonces que tenemos un fotón que puede estar polarizado en una de cuatro direcciones distintas: vertical (|), horizontal (--), diagonal a la izquierda (\) o diagonal a la derecha (/). Estas cuatro polarizaciones forman dos bases ortogonales: | y - --, y / y \, respectivamente. Pues bien, el principio de incertidumbre de Heisenberg, por irracional que nos parezca, impide que podamos saber en cuál de las cuatro posibles polarizaciones se encuentra el fotón. Para conocerla, deberíamos utilizar un filtro, que podríamos imaginarnos como una ranura en una lámina, que tuviera la orientación, por ejemplo, vertical (|). Es evidente que los fotones con la misma polarización pasarán, mientras que los polarizados horizontalmente, y por lo tanto, perpendiculares al filtro, no pasarán. Sorprendentemente, ¡la mitad de los polarizados diagonalmente pasarán y serán reorientados verticalmente! Por lo tanto, si se envía un fotón y pasa a través del filtro, no puede saberse a ciencia cierta si poseía polarización vertical o diagonal, tanto \ como /. Igualmente, si no pasa, no puede afirmarse que estuviera polarizado horizontal o diagonalmente. En ambos casos, un fotón con polarización diagonal podría pasar o no con igual probabilidad. Para utilizar estos increíbles resultados en criptografía, se acuerda representar un 1 ó un 0 de información según la polarización de los fotones que se envían. Así, en la base rectangular, que llamaremos (+), un 1 vendría representado por una polarización |, mientras que un 0, por --; mientras que en la base diagonal (x), el 1 sería la polarización / y el 0, \. En estas condiciones, para enviar un mensaje binario, Alicia va enviando fotones a Bernardo con la polarización adecuada, cambiando aleatoriamente de una base a otra. Si un intruso, Ignacio, intercepta los fotones y mide su polarización utilizando un filtro, digamos (|), debido al principio de incertidumbre nunca podrá saber si los fotones pertenecían a la base + o x, y por lo tanto nunca sabrá qué mensaje se envió, da igual qué tipo de filtro utilice. Ahora bien, algún lector ya se estará dando cuenta de que si Ignacio se encuentra con este dilema, lo mismo le ocurrirá a Bernardo. Efectivamente, emisor y receptor no pueden acordar de antemano qué bases se utilizarán para enviar cada fotón, porque entonces nos encontraríamos con el problema de cómo hacerse llegar mutuamente de forma segura esa lista de bases y volveríamos al principio. Tampoco pueden utilizar RSA, porque, si recuerdan, la criptografía cuántica la habría hecho zozobrar. ¿Qué solución tomar entonces? En 1984 Charles Bennet y Gilles Brassard idearon el siguiente método para hacer llegar el mensaje al destinatario sin necesidad de recurrir a otros canales de distribución. En primer lugar, debe allanarse el camino mediante los siguientes tres pasos: Paso 1: Alicia le envía a Bernardo una secuencia aleatoria de 1's y 0's, utilizando una elección aleatoria entre las bases + y x. Paso 2: Bernardo tiene que medir la polarización de estos fotones. Para ello, utiliza aleatoriamente las bases + y x. Claro está, como no tiene ni idea de qué bases utilizó Alicia, la mitad de las veces estará eligiendo mal la base, por lo que, en promedio, 1 de cada 4 bits que Bernardo recibe serán erróneos. Paso 3: para resolver esta situación, Alicia llama a Bernardo por teléfono, o se conectan a un chat, o utilizan cualquier otro canal de comunicaciones inseguro, sin preocuparles si son espiados por Ignacio, y le cuenta qué base de polarización utilizó para cada fotón que envió, + o x, aunque no le dice qué polarización concreta. En respuesta, Bernardo le cuenta a Alicia en qué casos ha acertado con la polarización correcta y por lo tanto recibió el 1 ó 0 sin error. Ahora ya, ambos eliminan los bits que Bernardo recibió con las bases erróneas, quedando una secuencia menor que la original, que constituye la clave de una cinta aleatoria 100% segura, puesto que se generó de forma completamente aleatoria por ser derivada de una secuencia original de 1's y 0's aleatoria. ¿Y qué ocurre con el malvado Ignacio? Para su desgracia, aunque intercepte los mensajes de Alicia y Bernardo, no obtendrá ninguna información útil para él, ya que nunca sabrá qué polarizaciones concretas en que cada base utilizó Alicia. Más aún, la mera presencia de Ignacio en la línea será detectada, ya que si mide la polarización de un fotón con el detector equivocado, la alterará. Lamentablemente, como el lector avispado se dará cuenta, esta alteración impediría que Alicia y Bernardo pudieran ponerse de acuerdo acerca de la secuencia aleatoria a usar como cinta, debido a que, si Ignacio cambió la polarización de un fotón por el camino, podrían obtener distintos bits incluso aunque utilicen las mismas bases. Por consiguiente, hace falta un método para detectar que Ignacio no esté haciendo de las suyas. En realidad, resulta tan sencillo como sigue: Bernardo le cuenta a Alicia, utilizando el mismo u otro canal inseguro, cuáles son los primeros, digamos que, 50 bits de su clave aleatoria. Si coinciden con los de Alicia, entonces saben que Ignacio no les espió ni el canal tiene ruido y utilizan con seguridad el resto de los bits generados. Si no coinciden, ya saben que Ignacio metió la manaza por medio o utilizaron un canal muy ruidoso y por lo tanto deben desechar la clave entera. En 15 años, puede decirse que no se han producido muchos más avances teóricos en el campo de la criptografía cuántica, aunque se han dado pasos de gigante en cuanto a la implementación tecnológica de lo que, de otra forma, habrían terminado como elucubraciones mentales para juegos de salón. Manipular fotones individuales constituye todo un desafío de ingeniería, que fue aceptado con entusiasmo por Bennet y un estudiante. Y así, en 1989, consiguieron la primera transmisión de señales cuánticas de la historia a una distancia de 32 cm. ¡El sueño de la distribución cuántica de claves (QKD) por fin se hacía realidad! En 1995, investigadores de la Universidad de Ginebra lo consiguieron utilizando una fibra óptica de 23 km de longitud. Actualmente, el récord de distancia de transmisión lo ostenta el laboratorio de Los Álamos en 50 km. Por su parte, en enlaces aéreos la distancia más larga ha sido de 1.6 km. Si se progresara en las transmisiones inalámbricas, incluso podría utilizarse la QKD en comunicaciones por satélite, aunque hoy por hoy todavía son inalcanzables. Queda por resolver la cuestión de cuán segura es la QKD, ya que en la práctica el protocolo presenta ligeras debilidades (¿cómo sabe Alicia que está hablando con Bernardo?, ¿qué ocurre si alguien interrumpe su comunicación?), y el estado del arte actual de la tecnología no es capaz de fabricar aún fibras, transmisores y detectores con la perfección requerida por la QKD, como para evitar otros ataques basados en física cuántica (espejos en la fibra que dejan pasar la mitad del fotón, emisión de dos fotones simultáneamente, etc.). Hasta ahora, la única prueba rigurosa de la seguridad de QKD se debe a los investigadores Lo y Chau, quienes demostraron que, contando con la existencia de ordenadores cuánticos, la distribución cuántica de claves a lo largo de distancias arbitrarias puede tener lugar de forma incondicionalmente segura. Claro que, dado que ni en la actualidad ni en un futuro cercano se prevé la existencia de tales ingenios, el problema de la seguridad de la QKD con los sistemas actuales permanece como un problema abierto. Estos primeros resultados en cualquier caso tan alentadores permiten acariciar la idea de anillos de fibra óptica para redes LAN o pequeñas redes WAN que conecten de la forma más segura jamás conocida distintos edificios ministeriales u oficinas bancarias de una misma ciudad. Sería el Olimpo de la criptografía. El triunfo definitivo de la seguridad y la privacidad. Citando una vez más las palabras de Simon Singh, autor de la excelente obra "The Code Book", si los ingenieros consiguen hacer funcionar la criptografía cuántica a través de largas distancias, la evolución de los algoritmos de cifrado se detendrá. La búsqueda de la privacidad habrá llegado a su fin. La tecnología garantizaría las comunicaciones seguras para gobiernos, militares, empresas y particulares. La única cuestión en el tintero sería si los gobiernos nos permitirían a los ciudadanos usarla. ¿Cómo regularán los Estados la criptografía cuántica, enriqueciendo la Era de la Información, pero sin proteger al mismo tiempo las actividades criminales? Información adicional: - - From Quantum Cheating to Quantum Security (www.physicstoday.org/pt/vol-53/iss-11/p22.html) - - Centre for Quantum Computation (www.qubit.org) - - A Bibliography of Quantum Cryptography (www.cs.mcgill.ca/~crepeau/CRYPTO/Biblio-QC.html) Opina sobre este tema. Envía tus comentarios a criptonomicon@iec.csic.es. Otros editoriales en: http://www.iec.csic.es/criptonomicon/susurros ****************************************** Las noticias de la semana ****************************************** 2. CriptoRed cumple un año El 1 de diciembre de 1999 comenzaba su andadura en Internet la Red Temática Iberoamericana de Criptografía y Seguridad de la Información, CriptoRed http://www.criptored.upm.es/. En este primer año dedicado casi exclusivamente a formar un núcleo de expertos, docentes universitarios, investigadores y destacados profesionales de empresas en el sector de las TICs y la seguridad informática, el balance no puede ser más positivo: 156 miembros que pertenecen a: 57 Universidades de 10 países (35 de España) 2 Centros de Investigación (CSIC y CINVESTAV) 2 Cámaras de Comercio Electrónico 22 empresas y organismos del sector En este segundo año, el objetivo principal de la Red Temática, además de la continua captación de nuevos miembros con los perfiles ya indicados en especial en los países de Iberoamérica en donde todavía continúa la fase de presentación del proyecto, se centrará en llenar de contenidos el sitio Web: temarios de asignaturas, planes de estudio, apuntes y guías de clase, libros electrónicos, bibliografía comentada, software educacional, artículos, tesis doctorales, normativas de seguridad, enlaces seleccionados, etc. La Red Temática, que tiene como objetivo fundamental la creación de una Comunidad Virtual Iberoamericana para el intercambio de experiencias e información entre universidades, centros de investigación y empresas del sector de la seguridad informática en toda Iberoamérica, posiblemente migre hacia RedIRIS http://www.rediris.es/ a comienzos del año 2001. Dr. Jorge Ramió Aguirre Coordinador General de CriptoRed ****************************************** 3. Cómo comprobar de forma 'online' la seguridad de nuestro PC ¿Es segura nuestra conexión a Internet? La propia Red proporciona recursos e información que evitan recurrir a costosas herramientas informáticas. En este artículo se exponen algunas de las fisuras de seguridad más comunes, unidas a las soluciones más inmediatas para evitar ataques y entradas no autorizadas por parte de intrusos. Léelo en: http://ibrujula.com/news/noticia.php3?id=11477 ****************************************** 4. Barras de navegación gratuitas envían datos personales de forma oculta El lanzamiento que hizo Google, el lunes 11, de su barra de navegación ha desatado la polémica: diversas barras gratuitas esconden técnicas para espiar al internauta. En efecto, son libres de cargo, aunque esto no implica que el usuario no pague un precio por usarlos (por ejemplo, la cesión de información acerca de los hábitos de navegación). Según David Martin, profesor de la Universidad de Denver, estas herramientas "son libres de cargo pero no son un regalo". Léelo en: http://ibrujula.com/news/noticia.php3?id=11835 ****************************************** 5. ¿Son seguros los cortafuegos personales? Los cortafuegos personales constituyen una solución económica para la seguridad de equipos domésticos conectados a Internet, ya que los protegen de ataques externos. Pero, ¿resultan igualmente eficientes a la hora de evitar filtraciones de información desde el propio ordenador al exterior? Steve Gibson, presidente de Gibson Research y autor de la famosa página www.grc.com, afirma que no. Según Gibson, los cortafuegos personales no protegen frente al mal funcionamiento de software instalado en el ordenador, que se dedique a filtrar datos sobre el usuario. Para probar sus palabras, ha creado una herramienta gratuita llamada LeakTest que simula la actividad de un programa espía instalado en el ordenador de la víctima, capaz de burlar las defensas de cortafuegos personales de la talla de BlackIce Defender, Norton Personal Firewall y McAfee Firewall, con la honrosa excepción de ZoneAlarm. ¿Quiere saber si su cortafuegos le protege de estos ataques? Descargue LeakTest, y póngalo a prueba. Más información en: http://www.internetnews.com/intra-news/article/0,,7_529661,00.html http://www8.zdnet.com/eweek/stories/general/0,11011,2663028,00.html http://grc.com/su-firewalls.htm#leaktest http://www.iec.csic.es/criptonomicon/susurros/susurros24.html ****************************************** 6. Ataques a la privacidad por el caché del navegador El caché de los navegadores puede resultar traicionero. Siendo su finalidad el permitir una rápida visualización de las páginas, almacenando en el disco del usuario las páginas ya vistas, o elementos gráficos que se repiten en muchas páginas, como un logo, también pueden vulnerar la privacidad de los navegantes, al revelar información detallada de dónde han estado, qué han visto o qué han leído. Dos investigadores de la Universidad de Princeton han publicado un artículo en el que explican cómo se puede utilizar en un sitio web la información almacenada en el caché del navegador de un visitante para obtener información indirectamente acerca de qué otros sitios ha visitado de entre una lista predeterminada. Más información en: http://www.zdii.com/industry_list.asp?mode=news&doc_id=ZD2663614 http://www.cs.princeton.edu/sip/pub/webtiming.pdf ****************************************** 7. Spam + Cifrado = Spam Mimic Por fin alguien ha descubierto un uso positivo del spam: esconder información confidencial. Spam Mimic ha creado un sistema esteganográfico que transforma un mensaje secreto en un mensaje de spam. De esta manera, a los ojos de cualquiera que vea el mensaje, le parecerá un odioso correo basura, sin que llegue a sospechar que en realidad esconde un mensaje secreto. La ventaja de este método de enviar mensajes es que nadie (léase Enfopol, Echelon, Carnívoro, el jefe, etc.) imagina que se está utilizando un canal de comunicación encubierto, a diferencia de lo que ocurre al utilizar PGP u otros sistemas de cifrado, que al cifrar los datos delatan que se está enviando información secreta, aunque ésta no sea inteligible sin la clave. Más información en: http://www.theregister.co.uk/content/6/15521.html http://www.zdnet.com/zdnn/stories/comment/0,5859,2663573,00.html http://www.spammimic.com/ ****************************************** 8. La noticia de HispaSec: Vulnerabilidades en AOL Instant Messenger Se ha descubierto la existencia de múltiples vulnerabilidades de desbordamiento de búfer en el cliente de mensajería instantánea de AOL que pueden dar lugar a la ejecución de código en la máquina atacada. El problema se agrava al no ser necesario que este programa esté en ejecución sino que basta con haberlo instalado para que el sistema sea vulnerable. La noticia completa en: http://www.hispasec.com/unaaldia.asp?id=785 ****************************************** Novedades en el Criptonomicón ****************************************** 9. Bolsa electrónica La Bolsa ha entrado pisando fuerte en Internet. Los brokers on-line, cada vez más extendidos, ofrecen comisiones agresivamente competitivas y reducen los costes de operación en el parqué virtual, funcionando en cualquier franja horaria. De su mano, Internet puede llegar a revolucionar los medios de contratación de valores del nuevo siglo. La democratización de los mercados bursátiles, junto con las herramientas de contabilidad y gestión personal que los bancos están empezando a poner a disposición de sus clientes, dotan a estos de una autonomía y capacidad de decisión como no habían gozado nunca antes. En la sección "Bolsa electrónica" se repasan los últimos avances en este campo. http://www.iec.csic.es/criptonomicon/comercio/bolsae.html ****************************************** Candados, cortafríos y otras herramientas ****************************************** 10. Volcando TCP He aquí una herramienta que no debería faltar en el kit de todo administrador Unix: TCPDUMP. Constituye una versátil herramienta para análisis de tráfico y redes, al estilo de los mejores sniffers. Permite filtrar los paquetes que transitan por la red atendiendo a ciertos patrones en las cabeceras, por lo que resulta muy útil para detectar ciertos ataques como pings, traceroutes, etc., o simplemente para monitorizar el tráfico de la red. Se puede descargar desde: http://www.tcpdump.org Por una vez, los usuarios de Windows no se verán privados de estas genialidades del mundo Unix. Existe una versión portada para todas las plataformas Windows, llamada WinDump, que se puede descargar, junto con el código fuente, en: http://netgroup-serv.polito.it/windump/ ¿Conoces alguna buena herramienta gratuita de seguridad que aún no haya sido reseñada? Infórmame sobre su existencia escribiéndome a criptonomicon@iec.csic.es. ****************************************** Parada y fonda ****************************************** 11. Claxion Claxion es una empresa especializada en seguridad digital. En sus páginas encontraréis noticias generales sobre el mundillo de la seguridad, informes sobre tecnologías, seguridad e Internet, calendarios de eventos y conferencias relacionadas con el tema, junto con otras secciones de venta de productos de la compañía, oferta de servicios. También incluye unas páginas para escaneo de puertos del ordenador, al estilo de las famosas "Shileds Up" de Gibson (grc.com), aunque en mis pruebas no han resultado ni de lejos tan buenas como las de Gibson. Las páginas se encuentran en: http://www.claxion.com/ ¿Conoces alguna página web sobre seguridad y criptografía (preferiblemente en castellano) que sea imprescindible y que yo aún no haya mencionado? Házmela llegar. Envía la dirección de tu página favorita a criptonomicon@iec.csic.es. ****************************************** Consejos y trucos ****************************************** 12. Control de acceso por IP y algo más Se puede configurar el servidor de manera que ciertos recursos (directorios, programas o archivos individuales) sean accesibles exclusivamente por ordenadores que posean determinada dirección IP. A menudo, se encuentra esta forma de autenticación para permitir la entrada a un servidor, argumentando que se trata de la dirección del ordenador de casa del administrador, que se conecta los fines de semana para tareas de mantenimiento. Aunque, aparentemente, nadie más tendrá asignada esa dirección IP, existen razones por las que nunca debería usarse este método de autenticación en solitario, especialmente en el acceso a servidores críticos. En primer lugar, este método no comprueba la identidad de un individuo, sino de una máquina, asumiendo que un solo usuario se conecta siempre desde la misma máquina. Por lo tanto, si varios individuos tienen acceso a esa máquina (la mujer del administrador, sus niños, la empleada del hogar, etc.) podrían, de rebote, tener acceso al ordenador objetivo. ¿Quién asegura que nadie se colará en la casa y accederá desde ella al servidor? En segundo lugar, si un atacante gana acceso lógico a una máquina autorizada, podría acceder desde ella a los recursos protegidos por el servidor sin necesidad de pasar por ulteriores controles de identidad. Si el ordenador está siempre conectado (de otra forma difícilmente tendría asignada una IP fija) podría sucumbir víctima de un atacante, que lo utilizaría como puente para llegar al sistema final. Por último, este método resulta susceptible a otro tipo de ataque conocido como IP spoofing, consistente en falsificar la dirección IP de una máquina, haciéndola parecer como procedente de la intranet del host. Este ataque es técnicamente muy difícil de realizar, por lo que suele considerarse imposible en la práctica, pero existe la remota posibilidad de que un hacker lo ejecute con éxito. Esta sombra de duda es razón más que suficiente para justificar la desconfianza de este método de autenticación. En resumen, la autenticación por IP debería utilizarse solamente como medida adicional de seguridad, nunca en exclusiva, combinándolo siempre con alguno de los otros métodos que existen, como contraseñas, certificados, etc. Más consejos y trucos en: http://www.iec.csic.es/criptonomicon/consejos/ Participa enviando tus consejos y trucos a criptonomicon@iec.csic.es. ****************************************** Hablan los expertos ****************************************** 13. Software libre o propietario: Cuestión de Ideas Esta semana contamos con la colaboración en exclusiva de Paz M. De la Cuesta (inicia.es/de/pazenred), Doctora en Derecho en Penal y especialista en Delitos de Riesgo relacionados con las nuevas tecnologías y administradora de la lista de RedIRIS "POENALIS". En su artículo reflexionará acerca de las implicaciones legales del software libre o propietario. Software libre o propietario: Cuestión de Ideas Que la informática ha revolucionado las comunicaciones e incluso la sociedad, es algo que todos sabemos. Que está "revolucionando" el mundo del derecho es algo que deberíamos saber. El derecho trata de establecer normas de conducta convencionales que nos permitan a todos saber lo que podemos hacer y cómo van a actuar los demás en un supuesto determinado. La revolución informática ha llegado tan deprisa que casi no ha dado tiempo aún a establecer las normas jurídicas que determinen estas pautas de conducta. ¿Es esto conveniente? Un viaje por Internet podría invitarnos a llegar a la conclusión de que sí, pues si no todas, las voces que más se oyen claman por la "desregulación" alegando que la creación de normas jurídicas significaría "poner cadenas al Paraíso". Bajo el alegato de "Libertad en Internet" las voces más fuertes bajo apariencias libertarias rechazan la intervención jurídica, mientras las grandes empresas del software reclaman medidas urgentes y drásticas contra la copia ilegal de software, el mismo que, a fin de obtener cuota de mercado, ellas regalan. Tras esta discusión se ocultan, como no podía ser de otro modo, intereses particulares que afectan a solo unos pocos y que sin embargo sirve para distraernos a todos de las necesidades más generales en el Ciberespacio, como sede de un complejo conjunto de relaciones humanas de diversa índole: comerciales, informativas, personales, etc. La decisión acerca de la intervención jurídica y, sobre todo, la intervención penal en Internet, debe partir de la comprensión de la generalidad de los intereses dignos de protección. Simplificando mucho, se pueden detectar dos grupos humanos con funciones e intereses distintos en la Red: el usuario "que quiere" -acceder, visitar, utilizar, comunicar...- y el empresario "que puede" - -facilitar el acceso, permitir la comunicación, transmitir los datos, generar y reconocer los lenguajes...-. El Ciberespacio se configura entonces como un sistema complejo donde se perciben posiciones de privilegio como consecuencia del dominio técnico. No es novedoso para el derecho esta "estructura social" y, por ello, sabemos que la intervención jurídica desde la revolución francesa ha tenido como objetivo democratizar las relaciones sociales limitando el abuso de posiciones de dominio. El derecho -fruto del consenso democrático- debe proteger al sector más débil, razón por la que, en el plano teórico conviene reclamar la intervención jurídica. Y en el práctico también. La discusión entre copiadores y copiados, de hecho - -que es lo que se oculta tras el falso debate acerca de la libertad en Internet- se plantea como discusiones entre iguales con finalidades estrictamente comerciales. Es la versión moderna de los viejos "lances entre caballeros" donde, al final, todos juntos se sentaban a la mesa y se repartían a las princesas, mientras el pueblo llano se quedaba a verlas venir. El usuario tiene otros intereses que empiezan por garantizar la posibilidad y sus condiciones. Porque ¿qué posibilidades de defensa tiene el internauta frente a los abusos de los servidores? Ninguna. Si el servidor, por las razones que sea, desconecta el sistema, el usuario se queda sin acceder a Internet. ¿Y de qué sirve entonces la libertad si no existe la "posibilidad"? Si ésta no está en nuestras manos, seremos esclavos de quien la posea. Sólo la intervención jurídica puede garantizar la "posibilidad" de los más débiles frente a las compañías técnicamente más poderosas. Por eso creo que la intervención jurídica en el ciberespacio es imprescindible. Intervención que sólo puede partir de la defensa y coordinación de los diversos intereses, que exige el replanteamiento de los instrumentos jurídicos con que cuenta el derecho -y especialmente de los sistemas de sanciones- y que debe proteger, ante todo, los intereses sociales mayoritarios. La cuestión es muy amplia y los aspectos que se derivan de lo anterior, complejos; tanto en cuanto a la variedad de situaciones como en cuanto a las implicaciones políticas, económicas y técnico jurídicas, por lo que sólo me detendré en la discusión acerca de la catalogación del software como objeto de propiedad intelectual o industrial. Dejando al margen la protección de marcas y otros signos distintivos de la empresa que también son propiedad industrial, la propiedad intelectual abarca los objetos en los que se materializa la expresión de la Idea, de la Creación Intelectual cuando no tienen aplicación industrial, mientras que cuando sí lo tienen estaríamos en el ámbito de la propiedad industrial. En España, las penas impuestas a los delitos contra la propiedad industrial o intelectual son prácticamente los mismos, sin embargo la protección que ofrece en su conjunto el ordenamiento jurídico a una y otra son muy distintas, básicamente porque la industrial se puede patentar y la intelectual no. En la propiedad intelectual -quizá también aunque es más impreciso- lo que se protege son los derechos económicos derivados de la "Idea original", pero no la "titularidad de la Idea", que parece que no pertenecería exclusivamente a su autor, pues éste sería tributario de otras aportaciones previas. La cita representa el reconocimiento de la originalidad a su autor, pero de ello, en principio y directamente, no se derivan beneficios económicos -aunque no siempre se cita y no todos los citados son originales, pero esta es otra cuestión-. Esta "titularidad colectiva" de la Idea ha sido el motor de la evolución científica y social y como tal funciona en todos los ámbitos de la ciencia. Pero contra ella se revela el "software propietario". Según nuestro ordenamiento jurídico, el software, como "soporte de una creación intelectual", es objeto de propiedad intelectual, lo que significa que no se puede patentar y que la "Idea original" no pertenece en exclusiva a quien ostenta los derechos de copia, sino que es la contribución del autor a la historia del pensamiento como fruto de aportaciones anteriores y base de otras futuras. Los códigos fuente secretos o la patente sobre el software, más allá de ocultar prácticas comerciales dudosas, representa la usurpación de derechos generados desde muchos siglos atrás. Y muestra la licitud de la ahora denominada "ingeniería inversa" y la necesidad, también, de protección mediante la intervención jurídica de los derechos de todos generados mediante la aportación de ideas por todos los pensadores que han sido. ¡Por cierto...!. Si os gusta la idea, cuando la repitáis, por favor, citadme. Opina sobre este tema. Envía tus comentarios a criptonomicon@iec.csic.es. Otros artículos de expertos en: http://www.iec.csic.es/criptonomicon/articulos/ ¿Eres experto en algún área relacionada con la seguridad o la criptografía y quieres colaborar con el Criptonomicón? Envía tu artículo a criptonomicon@iec.csic.es. ****************************************** Virus y otros bichos ****************************************** 14. Los últimos virus Sección realizada por José Luis López (videosoft@videosoft.net.uy) Resumen de virus reportados en los últimos 15 días. - - - - --- - - - - Virus: W32.Kriz - - - - Alias: W32.Kriz, W32.Kriz.dr, PE_KRIZ - - - - Tipo: Virus - - - - Fecha: 11/ago/99 - - - - Variantes: W32.Kriz.3862, W32.Kriz.3863, - - - - W32.Kriz.3863.b, W32.Kriz.3740, W32.Kriz.4050, - - - - W32/Kriz.4092. Este virus no es nuevo, pero sin embargo, su poder destructivo, que se activa cada 25 de diciembre, hace que debamos tomar las precauciones respectivas. Infecta archivos en Windows 9x, NT y 2000. El 25 de diciembre de cada año, el virus puede borrar todos los archivos en sus unidades de disco, disquetes, unidades compartidas de red, RAM, etc. También puede borrar la información guardada en el BIOS, en forma similar a como lo hace el W95.CIH, impidiendo el inicio de la computadora luego de ello. Se ha informado un gran aumento de incidencias de este virus, desde octubre de este año a la fecha, lo que hace pensar que el próximo 25, podrían ser muchos los usuarios afectados. Esto ha sido ayudado por el hecho de que numerosos gusanos, han distribuido a su vez, como parte de su propia rutina maliciosa, a este virus y a sus versiones. W32.Kriz funciona en todas las versiones de Windows (9x, NT y 2000). Infecta archivos ejecutables de Windows, con formato PE (Portable Executable). Se mantiene en memoria, e infecta cualquier archivo de este tipo que sea abierto por el usuario o por alguna aplicación. Si usted se infecta con este virus, debe reiniciar su computadora desde un disquete limpio para proceder a su desinfección, no lo haga con el virus residente en memoria, desde Windows. Ni siquiera desde una ventana de MS-DOS. Las instrucciones dadas en nuestro sitio para usar el antivirus F-PROT desde un disquete, podrán serle de utilidad. Le recomendamos imprimirlas y seguirlas paso a paso. El virus modifica el archivo KERNEL32.DLL, el corazón de Windows. Si este archivo es infectado, debe ser recuperado desde el CD de Windows, o desde un respaldo limpio, luego de la desinfección del resto de su PC, como indicamos antes. Debido a las modificaciones hechas por el virus, ni este ni otros archivos podrán ser reparados, debiendo ser reemplazados. Otros archivos importantes de Windows, también deberán ser recuperados de esta forma, ya que es imposible limpiarlos. - - - - --- - - - - Virus: Troj_QZAP.1026 - - - - Tipo: Caballo de Troya - - - - Destructivo: Si - - - - Alias: Qzap163, QZAP, QZAP.1026 - - - - Tamaño: 1,026 bytes Cuando este caballo de Troya se ejecuta, la información de nuestro disco duro es borrada. Los primeros sectores, comenzando desde el Master Boot Record (MBR), son sobrescritos con ceros. Como resultado, cuando el usuario reinicia su computadora, su disco duro no será accesible. Este troyano está comprimido con la vieja utilidad de ejecutables de MS-DOS, PKLITE. La única manera de recuperar su disco, será particionándolo y formateándolo. La información anterior será irrecuperable, debido a que ha sido sobrescrita. Para recuperar el sistema, inicie su computadora desde un disquete de inicio, previamente creado en una máquina limpia con el mismo sistema operativo. Utilice FDISK para crear las particiones, reinicie su computadora, nuevamente desde el disquete de inicio, y proceda a usar el comando FORMAT para formatear el disco. Instrucciones más detalladas, se dan en nuestro sitio. Luego de ello, deberá reinstalar Windows y todos sus programas. - - - - --- - - - - Nombre: VBS/Stertor - - - - Tipo: Virus de Visual Basic script - - - - Fecha: 19/dic/00 - - - - Tamaño: 1,363 bytes Este virus escrito en Visual Basic Script, está contenido en un archivo .HTM. Para que pueda funcionar, el virus requiere tener instalado el Windows Scripting Host (las instrucciones para deshabilitar el WSH pueden encontrarse en nuestro sitio, http://www.videosoft.net.uy/). Cuando un documento .HTM infectado es abierto, un mensaje del Internet Explorer advierte al usuario sobre la ejecución de código no seguro. Si se acepta la ejecución del código, todos los archivos .HTM del escritorio de Windows son sobrescritos con el código del virus. El script también se copia a si mismo al directorio raiz de todas las unidades de disco, inclusive disquetes y unidades ZIP, etc., usando el nombre de "Salim_se!.htm". Finalmente, el virus sobrescribe también el archivo C:\MIRC\SCRIPT.INI, modificándolo con la intención de transmitirse a si mismo a otros usuarios de los canales de chat, usando el programa mIRC. Sin embargo, un error en su código impide que esto ocurra. - - - - --- - - - - Virus: VBS/TTFloader.A - - - - Alias: VBS/Pica.worm.gen - - - - Tipo: Gusano de Visual Basic Script - - - - Tamaño: 11,033 Bytes Se trata de un virus escrito en Visual Basic Script, capaz de propagarse vía mIRC (el programa de chat), y de configurar las computadoras infectadas para que se comporten como un servidor. Obtiene una dirección IP al azar, y verifica todas las computadoras que se conectan a él. No posee ninguna rutina destructiva. - - - - --- - - - - Nombre: W97M/Melissa.O3 - - - - Tipo: Virus de Macro y Gusano de Internet Se trata de una variante del Melissa, un virus de macro capaz de infectar documentos y plantillas de Word 97 y 2000. Desactiva la protección contra macros de Office, y es capaz de propagarse a través del correo electrónico, lo que le permite difundirse a una gran velocidad. El virus infecta primero la plantilla NORMAL.DOT, y luego de ello a cada documento de Word (.DOC) que sea creado. Como el Melissa original, es capaz de propagarse a si mismo a través del correo electrónico, seleccionando como destinatarios, los 50 primeros contactos de la libreta de direcciones del Outlook. - - - - --- - - - - Trojan: Backdoor/SchoolB.C - - - - Tipo: Troyano de Acceso Remoto Se trata de un troyano con funciones de backdoor (acceso remoto a través de una "puerta trasera" de la computadora infectada), con la característica que sus conexiones pueden pasar desapercibidas aún para un usuario cauteloso. Es capaz de generar una conexión oculta dentro de la red TCP/IP, no pudiéndose apreciar por parte de la víctima su acción, lográndose de este modo, a través de la conexión establecida con otra computadora, la posibilidad de realizar varias acciones sin la más mínima sospecha de la víctima (salvo la notoria aparición de algunas de las acciones que es capaz de realizar, sin la participación directa del usuario afectado, como el abrir y cerrar la bandeja del CD por ejemplo). - - - - --- - - - - Nombre: Troj_IRCkill - - - - Tipo: Trojan - - - - Alias: Flooder.IRCKill, IRCKILL - - - - Sistema: Windows - - - - Tamaño: 251,904 bytes Se trata en realidad de una colección de herramientas de IRC (Internet Relay Chat), usadas para desconectar usuarios de los canales de IRC. Agrupa funciones como FLOODING, el uso de BOTS, y técnicas de FLASH, un tipo de "flooding" utilizado generalmente en ambientes UNIX. El trojan permite desconectar usuarios "logeados", o sea unidos a la red de servidores de IRC, o desconectarlos incluso de Internet. El "exploit" denominado FLASH, es utilizado para la desconexión directa del módem. Esta puede ser lograda mediante una sucesión de diferentes "pings" a la dirección IP del usuario, con una secuencia específica de datos, los que pueden ser interpretados como comandos de desconexión por el módem. Sin embargo no todos los módems soportan o responden a este tipo de ataque. El ataque llamado MCB (Multiple Collide BOTs), o múltiples choques de BOTS, permite que bajo ciertas circunstancias, como la falla momentánea de un servidor de IRC al tratar de sincronizarse con otro (el llamado "net split"), se pueda configurar un BOT para duplicar los "nicks" de los usuarios infectados, de modo que cuando los servidores vuelven a sincronizarse, estos usuarios son desconectados de la red de IRC. Y finalmente, los ataques FLOOD BOTS y SUMO BOTS, son capaces de generar múltiples usuarios con nombres al azar (llamados BOTS). Esto "inunda" (flood) o satura el canal o al propio usuario, enviando demasiado información, y saturando su ancho de banda. Además, el servidor de IRC acaba desconectándolo. - - - - --- - - - - Nombre: VBS/Forgotten.A@mm - - - - Tipo: Gusano de Visual Basic Script - - - - Alias: VBS_Forgotten.A, Forgotten.A, VBS/Pica.worm.gen, - - - - Forgotten - - - - Fecha: 12/12/00 - - - - Destructivo: Si - - - - Tamaño: 9,025 bytes Este virus es capaz de propagarse a través del programa de correo Microsoft Outlook, y los clientes de chat mIRC y Pirch. Este virus también es identificado como "VBS/Pica.worm.gen", ya que ha sido construido con la herramienta "VBScript Creation Kit", disponible en Internet. Para funcionar, el virus requiere ActiveX habilitado al abrirse el mensaje recibido. Por ello es poco probable se propague demasiado, ya que las opciones por defecto del nivel de seguridad del Outlook obligan a confirmar esta opción cada vez que se abre el mensaje. En caso de permitir esta opción, VBS/Forgotten.A@mm puede activarse sin necesidad de ejecutar ningún archivo adjunto. Cuando abrimos el e-mail para leerlo (es un mensaje con formato HTML, con el asunto "RE: FINANCING" y un archivo .VBS adjunto, conteniendo el código del virus, el cuál no es necesario abrir para contagiarnos), aparece un texto donde se pide habilitar la opción ActiveX, en un intento de engañarnos para que lo permitamos, de modo de ejecutar el virus cuando el mensaje es visualizado. Si el programa para chat (IRC), mIRC está presente, el virus crea también un archivo SCRIPT.INI. En cambio crea EVENTS.INI si el cliente de IRC es el Pirch. Estos archivos contienen instrucciones para unirse automáticamente a un canal IRC, y enviar el código viral (VBS) a otros usuarios en el mismo canal. El virus también infecta otros archivos VBS y VBE, en todos los discos y unidades de red compartidas, sobrescribiéndolos con su código. - - - - --- - - - - Nombre: PE_Spaces.1445 - - - - Tipo: Infector de archivos ejecutables Win32 - - - - Alias: W95/Spaces.1445, W95/Busm.1445, Spaces.1445 - - - - Tamaño: 1,445 bytes Es un destructivo virus capaz de eliminar el Master Boot Record (MBR) del disco duro en determinada fecha. Puede funcionar bajo Windows 9x y NT 4.0. Cuando se ejecuta, este virus busca copias de si mismo en la memoria. Utiliza una función del sistema de bajo nivel para hacerlo, o la función VxD llamada VXDCALLFSMGR_GET_VERSION. Si no encuentra ninguna copia, se pone residente en memoria. Una vez allí, es capaz de infectar todos los archivos .EXE que son ejecutados por el usuario o por el sistema. Si la fecha del sistema es 1 de Junio de cualquier año, el virus es capaz de modificar el Master Boot Record (MBR) del disco duro, causando la pérdida de datos y la falla del sistema, así como la imposibilidad de reiniciar desde el disco C:\ - - - - --- - - - - Trojan: Backdoor-JN - - - - Tipo: Caballo de Troya de acceso remoto - - - - Fecha: 12/12/00 - - - - Tamaño: 23,145 bytes Este troyano está siendo distribuido desde un sitio Web, a través del script VBS/RunScript.gen4, que explota la vulnerabilidad "Scriptlet.typelib/Eyedog", con lo que podemos infectarnos solo con visualizar este sitio. Luego de ello, el caballo de Troya es capaz de enviar información del sistema infectado, a un usuario remoto a través del ICQMail. Estos datos permiten que el atacante pueda tomar el control de la computadora infectada. Las acciones posibles, incluyen el robo del nombre de usuario y contraseñas. Cuando se ejecuta por primera vez el trojan se copia a si mismo al directorio C:\WINDOWS, con el nombre de ONZ.EXE. También es creado el archivo "C:\LOG.TXT", y en él se guardan todas las teclas pulsadas por el usuario, con el propósito de capturar datos tales como nombre de usuario y contraseña. Si se está conectado a Internet, se abre el puerto 777 (TCP/IP). El virus envía entonces un mensaje a través del ICQMail, al autor del trojan. Dicho mensaje contiene la dirección IP de la víctima, los puertos TCP/IP abiertos, y la contraseña para conectarse a esa computadora. - - - - --- - - - - Nombre: W97m_Chingda.Trj - - - - Tipo: Virus de macro de Word 97 - - - - Tamaño: 848 Bytes Este virus de macro, se activa cuando un documento infectado es abierto o cerrado. Una vez en ejecución, el virus altera el contenido del documento activo, de tal modo que resulta imposible recuperarlo. Cuando un documento es abierto, la opción MACRO en el menú Herramientas de Word es deshabilitada. Esto previene que el usuario invoque el editor de macros (Visual Basic Editor), haciendo inaccesible al módulo malicioso. Entre el 2 y el 31 de diciembre, el virus activa una rutina que borra el documento activo, y lo reemplaza por un texto propio. - - - - --- - - - - Nombre: X97M.Codemas.C - - - - Tipo: Virus de Macro de Excel - - - - Fecha: 5/12/00 A diferencia del X97M.Codemas.B, esta versión es capaz de borrar todo el contenido de la carpeta "Mis documentos", bajo determinadas condiciones. Se trata de un virus de macros de Microsoft Excel. Crea un archivo llamado "Book1" en la carpeta de inicio de Excel, y lo utiliza para replicarse. Si la fecha es superior a la del 15 de setiembre de 2000, el virus borra todos los archivos de la carpeta "Mis documentos", salvo que exista este archivo: C:\Windows\System\Bum.dll - - - - --- - - - - Nombre: VBS/LoveLet-CA - - - - Tipo: Gusano de Visual Basic Script Se trata de una variante del VBS/LoveLet-AS (PLAN COLOMBIA). La principal deferencia, es que el día 25 de diciembre, este virus despliega una ventana con el mensaje: EVEN TRENT KNOWS ITS TRUE=>STARFUCKERS INC. Att. REJOH (REDRUM) La palabra "REJOH" será cualquier combinación al azar de 5 letras. El gusano se reenvía a si mismo adjunto a un mensaje con el asunto "US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=", y un archivo adjunto con doble extensión (nombre.extensión.vbs). - - - - --- - - - - Nombre: VBS/Kakworm-E - - - - Tipo: Gusano de Visual Basic Script Se trata de una variante del VBS/Kakworm. Este gusano solo afecta a usuarios que usen Outlook Express 5 (no 5.5) como programa de correo. Si el usuario abre o visualiza en la ventana de vista previa, un mensaje infectado, el gusano genera un archivo EXEC.HTA en la carpeta de inicio de Windows, ejecutándose en el próximo inicio de la computadora. El archivo EXEC.HTA, creará un archivo oculto, (C:\WINDOWS\EXC.HTM) y modificará el registro de modo que con cada mensaje creado por el Outlook Express, el archivo EXC.HTM será automáticamente incluido en la firma de dicho mensaje. Si un archivo llamado G6D9.FLD existe en C:\WINDOWS\SYSTEM, el gusano intentará modificar el registro de Windows para que cada vez que se pretenda ejecutar un archivo EXE, se abra el bloc de notas en lugar del programa con esa extensión. Existe un parche que bloquea la vulnerabilidad que permite la acción del virus, y que usted debe instalar si utiliza el Outlook Express 5.0 (ver: http://www.microsoft.com/technet/security/bulletin/ms99-032.asp) Si usa el Outlook Express 5.5, esta vulnerabilidad está cubierta. Solo funciona si tiene instalado el "Windows Scripting Host". - - - - --- - - - - Nombre: Pillapass v1.13 - - - - Tipo: Trojan de backdoor - - - - Observaciones: Modificación del SubSeven - - - - Tamaño: 382,883 - - - - Fecha: 2/10/00 Este trojan está basado (construido) con el conocido SubSeven o Backdoor-g, del que existen múltiples versiones y variantes, al ser su código modificable. Simula ser un programa de uso ilegal, que asegura poder conseguir los passwords de los usuarios registrados a los canales del irc-hispano. Cuando se corre por primera vez, se produce un error por la falta de una librería, sin embargo el trojan modifica el archivo WIN.INI para ejecutarse en cada nuevo reinicio de Windows. Para ello crea la línea: RUN=PBTXLDOIT.EXE. Al mismo tiempo, el trojan se copia al directorio C:\WINDOWS. Luego de ello, en cada inicio de Windows, el trojan permanecerá en memoria, y cuando se produce una conexión a Internet, se intentará conectar a un servidor de ICQ, informando al autor de esto, a través de un mensaje. A partir de ese momento, el atacante podría tomar el control de nuestra PC, obteniendo cierta información o modificando datos, descargando archivos, etc. - - - - --- - - - - Nombre: O97M_Tristate - - - - Alias: Tristate, O97M_Triplicate, Triplicate, - - - - X97M_Tristate, P97M_Tristate, W97M_Tristate - - - - Tipo: Virus de macro de Office, Excel y Powerpoint Este virus infecta por igual, los documentos creados con Microsoft Word 97, Microsoft Excel 97, y Microsoft Powerpoint 97. El virus se activa al abrir un documento Word (.DOC), una hoja o libro de cálculo de Excel (.XLS), o una presentación de Powerpoint (.PPS) infectados. Lamentablemente es muy común en estos días, sobre todo entre usuarios inexpertos o noveles, el intercambiarse archivos de presentación de Powerpoint entre sus amigos y conocidos, por lo que el riesgo de infección a través de los archivos .PPS puede ser muy grande, mucho más que en sus versiones de Word y Excel. - - - - --- - - - - Nombre: W32/Hybris-C, W32/Hybris-D - - - - Tipo: Gusano de Internet Cómo se ha mencionado en otros boletines, este virus tal vez sea uno de los que más se ha propagado en los últimos tiempos, al menos en nuestros países. El mensaje con el asunto "Enanito si, pero con que pedazo!", enviado por Hahaha (una dirección falsa, ya que quien realmente lo envía es la persona infectada), es ya un clásico (a nuestros buzones suelen llegar de 4 a 5 de estos mensajes por día, un hecho inédito hasta ahora para cualquier otro virus). Esta tercera y cuarta variante del virus (para ver más detalles del mismo, refiérase a los boletines anteriores o a nuestra página), ha empezado a verse en Europa, en una proporción bastante alta, según reporta Sophos. W32/Hybris o I-Worm.Hybris es un gusano capaz de actualizarse a si mismo vía Internet. Consiste en una parte básica, y una colección de elementos llamados plugins, que recoge de la red. Tanto los plugins como el propio virus, están encriptados con un fuerte algoritmo criptográfico, y una clave de 128 bit. Cuando se ejecuta, el gusano infecta al archivo WSOCK32.DLL. Cada vez que un mensaje es enviado, el gusano intenta mandar una copia de si mismo en otro mensaje separado, al mismo destinatario que el mensaje normal, pero con diferente remitente (en las versiones conocidas: hahaha@sexyfun.net). El texto del mensaje es determinado por uno de los componentes instalados del virus, y puede ser cambiado por el mecanismo de mejoras detallado. Las versiones conocidas, verifican la configuración del idioma de la computadora infectada, y seleccionan un mensaje de acuerdo a ello. Los métodos para actualizarse, pueden ser cambiados por los propios plugins descargados. Actualmente, se conocen dos métodos. Uno de ellos intenta descargar la actualización desde un sitio Web, presumiblemente operado por el autor del gusano. Este sitio ha sido dado de baja, pero el componente puede ser modificado para descargar los plugins de diferentes sitios. El otro método involucra mensajes posteados con los plugins adjuntos, disfrazados de otros archivos, en el newsgroup alt.comp.virus. Los participantes infectados, son los que a su vez reenvían estas actualizaciones sin saberlo. Las mismas también están encriptadas, y contienen un cabezal con cuatro caracteres que identifican el plugin a instalar. - - - - --- - - - - Nombre: W32/XTC@MM - - - - Tipo: Gusano de Internet y Trojan Backdoor - - - - Alias: I-Worm.XTC - - - - Fecha: 4/dic/00 - - - - Tamaño: 20,481 bytes Se trata de un gusano capaz de enviar mensajes en masa, además de actuar como trojan backdoor (permite el acceso a su computadora por la "puerta trasera", sin su consentimiento). Es capaz además de propagarse a través de redes locales. El virus arriba en un ejecutable comprimido y encriptado, adjunto a un mensaje que simula ser una actualización del antivirus AVX (no confundir con AVP). Contiene un archivo adjunto: SERVICES.EXE El virus puede utilizar el IRC (Internet Relay Chat) y el protocolo FTP para recibir actualizaciones. A diferencia de gusanos anteriores, no utiliza la libreta de direcciones, ni las carpetas de mensajes para sacar su "lista de envío", sino que la crea con direcciones de correo encontradas en todos los archivos HTML contenidos en la carpeta de archivos temporales de Internet. Además, como vimos, puede conectarse a un canal de IRC y actualizarse en forma silenciosa, al mismo tiempo que a través de él, el operador de ese canal puede llevar a cabo varios acciones en la computadora de la víctima. - - - - --- - - - - Nombre: W97M/Nalp.gen - - - - Alias: WM97/Plant-A - - - - Fecha: 4/10/00 - - - - Tipo: Virus de macro de Word 97 Cuando un documento infectado es abierto, el virus realiza las siguientes acciones: Se copia a si mismo en la plantilla global (NORMAL.DOT), y además con el nombre de PLANT.DOC, en la misma carpeta del ejecutable de Word (Winword.exe). Cuando alguna de las opciones de menú desplegadas desde Herramientas, Macros, es seleccionada, se muestra un mensaje de error. El 1 de enero, el siguiente mensaje es mostrado: "Happy NewYear ! You are infected by Plant.Virus. Don't panic, i'm KILL you." - - - - --- - - - - Nombre: X97M.Codemas.B - - - - Tipo: Virus de Macro de Excel - - - - Fecha: 29/11/00 X97M.Codemas.B es un sencillo virus de macro que infecta hojas de cálculo de Microsoft Excel. Esta variante no inserta ningún archivo en el directorio de inicio de Excel. El virus se propaga solo si una hoja infectada es abierta al mismo tiempo que otra no infectada. No deshabilita la protección contra virus de macro, por lo que si esta protección está activa cuando una hoja infectada es abierta, saldrá un mensaje de alerta. - - - - --- - - - - Nombre: Troj_Shockwave.A - - - - Alias: Creative, Troj_Prolin.A, W32.Prolin.Worm. - - - - Tipo: Trojan y Gusano de Internet - - - - Sistema: Windows - - - - Tamaño: 36,864 Bytes - - - - Fecha: 30/11/00 Este virus llega a nosotros como una supuesta animación realizada en Shockwave Flash, lo que ha ocasionado innumerables reportes de infección en pocas horas, según alerta Trend Micro. El gusano se propaga enviándose a si mismo como un archivo adjunto a todos los contactos de la libreta de direcciones del Outlook. El mensaje recibido tiene estas características: Asunto: A great Shockwave flash movie Texto: Check out his new flash movie that I download just now...It's Great Archivo adjunto: CREATIVE.EXE (Revisa esta nueva película en flash que he bajado recién... Es grandiosa) Y si el usuario lo ejecuta (doble clic sobre el adjunto), el trojan libera una copia de si mismo en C:\creative.exe, y en C:\WINDOWS\Menú Inicio\Programas\Inicio\creative.exe. Esto último permite que el virus se ejecute en cada reinicio de Windows. También crea el archivo C:\MESSAGEFORU.TXT, el cuál contiene todas las modificaciones de archivos hechas por el virus, como veremos más adelante. El trojan también busca todos los archivos JPG y ZIP en el disco duro, y los mueve al directorio raíz de C:\. Además, les agrega al nombre de estos archivos el texto "change atleast now to LINUX" (al menos cambie ahora por Linux). - - - - --- - - - - Nombre: W32/Verona-B - - - - Tipo: Gusano de Win32 - - - - Alias: I-Worm.Blebla.B, W32/Blebla@mm.Worm.B, - - - - Romeo&Juliet 2 W32/Verona-B es una variante del W32/Verona. Esta versión, utiliza uno de 18 servidores SMTP para propagarse. El mensaje recibido, puede venir con la línea "Asunto:" vacía, con texto sin sentido, formado con hasta tres grupos de letras minúsculas, o con un asunto seleccionado de estos temas: Romeo&Juliet where is my juliet ? where is my romeo ? hi last wish ??? lol :) ,,... !!! newborn merry christmas! suprise ! Caution: NEW VIRUS ! scandal ! ^_^ El gusano se copia a si mismo en C:\WINDOWS\SYSRNJ.EXE y genera un nuevo tipo de archivos en el registro: RNJFILE. Luego, registra las extensiones EXE, JPG, JPEG, JPE, BMP, GIF, AVI, MPG, MPEG, WMF, WMA, WMV, MP3, MP2, VQF, DOC, XLS, ZIP, RAR, LHA, ARJ y REG, haciendo que el explorador de Windows ejecute el virus antes que el programa o archivo original con esas extensiones. El virus se basa en la vulnerabilidad "Cache Bypass", reportada por Microsoft en su boletín MS00-046 (http://www.microsoft.com/technet/security/bulletin/ms00-046.asp), el 20 de julio de 2000. Esta vulnerabilidad que afectaba al Microsoft Outlook y Outlook Express anteriores al 5.5, permite a un usuario malicioso, enviar un mensaje en formato HTML, el cuál al ser abierto, permite leer del disco de la víctima. Unido esto a otras vulnerabilidades anteriores permite la ejecución de código malicioso al simplemente abrir un mensaje de correo (Windows 95, 98 y NT). - - - - --- - - - - Nombre: W97M/Afeto - - - - Tipo: Virus de Macro y Gusano de Internet - - - - Alias: Afeto.A, W97m/Afeto.A, Macro.Word.Afeto.A, - - - - Afeto, W97M.Afeto.A@m Se trata de un nuevo gusano de correo electrónico, que se propaga vía Outlook, pero contiene varias diferencias respecto a otros gusanos actualmente de moda. No está escrito en Visual Basic Script (VBS), por lo que no depende del Windows Scripting Host para ejecutarse. Llega en un documento de Word adjunto a un mensaje, en forma similar a como lo hace el Melissa (aunque solo funciona bajo Word 2000). El asunto, el cuerpo del mensaje y el nombre del documento adjunto, son diferentes en cada caso, y cada vez que el virus se envía, complicando su identificación. El gusano no infecta la plantilla NORMAL.DOT y se propaga vía MAPI a través del Outlook. Para poder enviarse a si mismo en un mensaje infectado, el gusano examina la carpeta "Elementos enviados" del Outlook. Desecha el primer mensaje enviado de la lista, y adjunta el documento infectado a los siguientes ocho mensajes. El nombre del documento adjunto, está basado en el contenido de mensajes anteriores, de modo que logra confundir a quien lo recibe, puesto que este parecerá ser de quien le enviara un mensaje anterior, y que ahora se lo reenvía, tal vez porque anteriormente se olvidara del adjunto que ahora trae. El gusano también busca en las unidades de la C: a la I: (si existen), archivos de imágenes en formato JPG, en los primeros niveles de los subdirectorios de cada unidad. Cuando encuentra una imagen la incluye en el documento que envía en el mensaje infectado. Luego, el gusano intentará copiar el documento generado en uno de los directorios raíces de las unidades C: a I:. - - - - --- - - - - Nombre: Web Serve 2 - - - - Alias: Web Serve CT - - - - Nombre del servidor: Web Serve - - - - Infecta: Windows 95/98/Me/NT/2000 - - - - Servidor: install.exe - - - - Tamaño: 182K Web Serve 2 es un trojan español escrito en Visual Basic. Creado en principio como complemento del trojan Control Total, ha evolucionado hasta convertirse en un troyano independiente, con característica únicas de Troyano/Web, ya que funciona como servidor HTTP. Una vez instalado en la computadora de la víctima (el usuario, engañado, ejecuta un archivo recibido por algún medio habitual, usualmente el nombre de este archivo podría ser INSTALL.EXE), el trojan lanza un mensaje de error, mientras modifica el registro para ejecutarse en cada nuevo reinicio de Windows, al mismo tiempo que se copia a la carpeta C:\WINDOWS\SYSTEM con el nombre de INSTLIEX.exe Una vez activo, el trojan permanece atento a las conexiones a Internet de la máquina infectada. Cuando se establece una, este programa queda a la escucha en el puerto 80, actuando como un servidor HTTP. Para hacer más fácil la búsqueda de computadoras infectadas por el trojan, el mismo intenta logearse a un servidor IRC. Selecciona para ello uno de estos 5 posibles servidores de origen español: pegasus.irc-hispano.org saturno.irc-hispano.org polaris.irc-hispano.org irc.tierrared.org irc.terra.es Una vez conectado a uno de estos servidores (usualmente al canal "#webCT", pero esto puede ser cambiado), revela la dirección IP de la máquina infectada, permitiendo que esta sea accedida con cualquier navegador. - - - - --- - - - - Nombre: W32/Navidad-B (Emanuel) - - - - Tipo: Ejecutable de Win32, Gusano - - - - Alias: I-Worm/Navidad, W32/Emanuel, Troj_Emmanuel, - - - - W32.Navidad.16896, Emmanuel, Navidad.E, Navidad.B - - - - Tamaño: 16,896 Bytes Es una variante del virus W32/Navidad. El gusano en esta versión, llega a nosotros en un mensaje con un adjunto llamado EMANUEL.EXE. Si este adjunto es ejecutado, se mostrará una ventana de error, y luego el gusano intentará leer los mensajes de la carpeta de recibidos, enviándose a si mismo a las direcciones de los remitentes allí conseguidos. También cambiará el registro para correr en el inicio de Windows, y antes que cualquier otro programa (EXE) sea ejecutado. Se agrega a la bandeja de sistema (systray), con el icono de una flor, característico del ICQ (pueden aparecer varias de estas flores). Si se coloca el cursor del mouse sobre uno de estos iconos, aparece la leyenda: Come on lets party!!! Si el usuario pincha sobre este icono, se muestra una ventana con un gigantesco botón y este texto: [ Nunca presionar este boton ] Si el usuario pincha sobre él, el gusano muestra otra ventana: Emmanuel..... Emmanuel-God is with us!May god bless u.And Ash, Lk and LJ!! [ Aceptar ] Si el usuario no pulsa sobre el botón, pero intenta cerrar la ventana (desde la "X" de cierre), se muestra esta otra ventana: Emmanuel..... May GOd bless u;D [ Aceptar ] Modifica entonces el registro para suprimir la ejecución de los archivos .EXE. Otros archivos (como .COM), se ejecutan sin ser filtradas por el trojan. Esto obliga a Windows a mostrar un mensaje de error cada vez que un EXE es ejecutado. También, esto hará que una nueva instancia del trojan se copie en memoria. Luego, el gusano comienza su rutina de envío masivo de mensajes. Utiliza para ello las funciones MAPI de Windows, y el Outlook. El gusano revisa todos los mensajes en la bandeja de entrada y los responde, adjuntando una copia de si mismo, con el archivo EMANUEL.EXE adjunto. - - - - --- - - - - Nombre: W32/Music-D y W32/Music-E - - - - Alias: W32/Music@m - - - - Tipo: Gusano Win32 W32/Music-D y W32/Music-E son dos nuevas variantes del W32/Music original. Cuando un archivo infectado es ejecutado, el gusano aguarda unos minutos antes de intentar conectarse a varios sitios de Internet. De allí, intentará bajar versiones actualizadas del propio virus. El gusano, también se enviará a si mismo a direcciones electrónicas encontradas en la computadora infectada. El mensaje enviado dependerá de la versión del virus que él mismo ha bajado de Internet. El gusano irá adjunto a dicho mensaje, en un archivo llamado MUSIC.COM, MUSIC.EXE o MUSIC.ZIP. - - - - --- - - - - Nombre: BackDoor-JD - - - - Tipo: Trojan de acceso remoto - - - - Alias: BackDoor.BrainSpy, BrainSpy - - - - Fecha: 27/11/00 - - - - Tamaño: 40 a 50 Kb Es un troyano con capacidad de acceso remoto vía Backdoor (acceso por "la puerta trasera"). Cuando se ejecuta, obtiene un acceso total al sistema atacado, a través de Internet, desde la computadora de cualquiera que tenga el programa cliente. El trojan instala el archivo C:\WINDOWS\SYSTEM\BRAINSPY.EXE en la computadora infectada, y modifica el registro para ejecutarse en cada inicio de Windows. Puede encontrar más información sobre estos virus, así como la forma de eliminarlos manualmente, en nuestro sitio: http://www.videosoft.net.uy/ ****************************************** Sobre el boletín del Criptonomicón ****************************************** 15. Información sobre suscripción y cómo borrarse Para borrarse de este servicio basta con enviar un correo a la dirección cripto-request@iec.csic.es con el siguiente mensaje (sin asunto o "subject"): leave desde la misma cuenta de correo en la que recibís el boletín. Tenéis más información y números atrasados en la página http://www.iec.csic.es/criptonomicon/suscripcion.html ****************************************** 16. Números atrasados Podéis encontrar los números atrasados del boletín en: http://www.iec.csic.es/criptonomicon/suscripcion.html Se pueden recuperar todos en formato ZIP o de uno en uno. ****************************************** 17. Firma PGP Se puede obtener la clave pública PGP del Criptonomicón en: http://www.iec.csic.es/criptonomicon/criptonomicon.txt Para más información sobre qué es el correo seguro y cómo funciona PGP, se puede visitar: http://www.iec.csic.es/criptonomicon/correo/ ****************************************** (C) Copyright 2000 Criptonomicón http://www.iec.csic.es/criptonomicon Un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC por Gonzalo Álvarez Marañón email: criptonomicon@iec.csic.es Todos los trabajos, artículos, comentarios u opiniones de los colaboradores de Criptonomicón son de su exclusiva responsabilidad, siendo ellos los que responden de la veracidad y exactitud de sus aportaciones. Criptonomicón agradece las mencionadas colaboraciones, pero no comparte necesariamente las opiniones manifestadas. Asimismo, es responsabilidad del lector descargar, instalar y ejecutar en su propio sistema los programas que se mencionen en el Criptonomicón. -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 6.5.8 for non-commercial use iQA/AwUBOkH4LoUNKyrTCJjtEQLhGwCdHCWDhF3USgx8C58uqCXQdcYPezQAoNn+ h+WFK8tuDYge92t2LweyeN2t =rU65 -----END PGP SIGNATURE-----