| ||||
|
|
|
|
|
|
| |||
|
| |||
| ||||
Una noticia al día
cortesía de Hispasec (http://www.hispasec.com/).
Madrid, 12 de marzo del 2004
Guía de gestión de incidentes de seguridad del NIST norteamericano
El NIST (National Institute of Standards and Technology, instituto nacional de estándares y tecnología) norteamericano ha publicado un documento federal para que sirva de guía en la gestión de incidentes de seguridad informática.
El documento, elaborado por Tim Grance, Karen Kent y Brian Kim, consta de 148 páginas, disponible en formato PDF. El fichero mide 2.7 Megabytes y se distribuye de forma gratuita por Internet.
La recomendación se divide en 8 capítulos y tres apéndices, en los que se cubre cómo estructurar la organización para hacer frente a la gestión de incidentes, cómo gestionarlos de forma global, y cómo hacer frente a diversas variantes, como ataques DoS (denegación de servicio), código malicioso (gusanos y caballos de troya), accesos no autorizados, uso inapropiado, etc.
Su lectura es recomendable, aunque puede resultar excesivamente extensa para lo que se podría describir con detalle en la mitad de páginas. Pero puede servir como una referencia más a aquellas organizaciones que aún no hayan establecido una política de seguridad corporativa.
Más Información:
NIST Releases Guide to Cyber Attacks:
http://slashdot.org/article.pl?sid=04/01/22/2339259
Computer Security Incident Handling Guide:
http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
| Opina sobre esta noticia: http://www.hispasec.com/unaaldia/1965/comentar |
| Jesús Cea Avión (roman@hispasec.com) |
Madrid, 11 de marzo del 2004
Publicado Service Pack 3 para Office XP
En la mañana del sábado 31 de enero se ha detectado el envío de un virus a los suscriptores de las alertas del Centro de Alerta Temprana Antivirus. Los primeros indicios apuntan a que un fallo en la configuración de la lista de distribución ha permitido al gusano Sober.C enviarse como si se tratara de un mensaje legítimo del CATA a todos sus suscriptores, a través de su propio servidor de correo.
El Centro de Alerta Temprana Antivirus (http://www.alerta-antivirus.es/) es un servicio ofrecido por red.es, Entidad Pública Empresarial adscrita al Ministerio de Ciencia y Tecnología a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. Entre sus servicios ofrece la posibilidad de suscribirse a unas listas de correo de informes sobre los últimos virus informáticos.
A partir de las 12 del mediodía del sábado 31 de enero los suscriptores del servicio de alertas del Centro de Alerta Temprana Antivirus han podido recibir en sus buzones un mensaje, enviado desde la dirección cat@alertaantivirus.es, con el asunto "a trojan is on your computer" y el siguiente texto:
>>>>>
hi, I am from Austria and you'll don't believe me,
but
a trojan horse in on your pc.
I've scanned the network-ports on the internet.
(I know, that's
illegal)
And I have found your pc. Your pc is open on the
internet for
everybody!
Because the lsass.exe trojan is running on your
system.
Check this, open the task manager and try to stop that!
You'll
see, you can't stop this trojan.
When you use win98/me you can't see the
trojan!!
On my system was this trojan, too!
And I've found a
tool to kill that bad thing.
I hope that I've helped you!
Sorry for my bad english!
greets
<<<<<
El mensaje contenía adjunto un archivo con nombre "remove-Isass-patch.exe" que en realidad era una copia del gusano "Sober.C".
Las cabeceras del mensaje indican que el origen del mensaje puede ser una IP que corresponde a una ADSL de Telefónica, probablemente un usuario infectado por el gusano. La hipótesis que se maneja de momento es que un error en la configuración del sistema de moderación y publicación de las listas del CATA ha podido causar que el mensaje, una vez recibido por el servidor del CATA, haya sido distribuido a todos sus suscriptores como un envío legítimo.
El texto del mensaje no tiene la forma de las habituales alertas del CAT, y además está en inglés, lo que ha podido levantar rápidamente las sospechas de los usuarios que lo hayan recibido y minimizar el impacto del mismo. Sin embargo, no descartamos que el hecho de que apareciera enviado desde el CAT pueda haber confundido a los usuarios menos precavidos y haber provocado alguna infección aislada.
Desde Hispasec hemos enviado varios mensajes a direcciones del CATA advirtiendo del incidente, sin que al final del día hayamos recibido respuesta alguna. Pasadas más de 12 horas desde el envío del gusano tampoco se ha detectado que el CATA haya alertado a través de su lista a los posibles suscriptores afectados.
A la espera de la versión oficial y conocer con exactitud los detalles del incidente, consideramos que premia avisar a los usuarios para evitar, en la medida de la posible, cualquier infección.
Más Información:
Office XP Service Pack 3
(SP3):
| Opina sobre esta noticia: http://www.hispasec.com/unaaldia/1964/comentar |
| Julio Canto (jcanto@hispasec.com) |