PROGRAMA UNAM, MIÉRCOLES 29 DE OCTUBRE DE 2008
AUDITORIO J MARSAL ANEXO DE LA FACULTAD DE INGENIERIA - EDIFICIO DE POSGRADO
11:00 - 11:30 Presentación de Intel GDC, Guadalajara Design Center, por Héctor
Castillo
11:30 - 12:00 Presentación de GDC-BIOS, por Claudio Acosta
12:00 - 12:30 Presentación de GDC-VALIDATION, por Mario Romero
12:30 - 18:00 Entrevistas por perfil académico por Héctor Castillo, Claudio
Acosta, Mario Romero, Francisco de la Torre
martes, 28 de octubre de 2008
Haber quíen gana?
Llevó dos horas a los desarrolladores de la herramienta de testing de seguridad Immunity el escribir el código de ataque para la vulnerabilidad de la cual Microsoft emitiera el parche el pasado jueves 23 de Octubre.
Microsoft decidió adelantar el parche sin esperar a su próximo boletín mensual de seguridad tras detectar un pequeño número de ataques dirigidos a explotar el fallo en el servicio Windows Server, utilizado para conectar diferentes recursos de red, como servidores de archivos e impresoras, sobre las redes. Enviando mensajes codiciosos a una máquina Windows que utilice Windows Server, los atacantes podrían tomar el control de los ordenadores de sus víctimas.
El software desarrollado por Immunity está disponible únicamente para sus clientes de pago, pero los expertos en seguridad temen que alguna versión del exploit empiece a circular públicamente en breve tiempo.
Al parecer, no requiere demasiado esfuerzo escribir código de ataque capaz de explotar la brecha, y al publicar su parche, Microsoft ha dado, no sólo a los expertos en seguridad, sino también a los propios hackers, información suficiente para ello.
Microsoft decidió adelantar el parche sin esperar a su próximo boletín mensual de seguridad tras detectar un pequeño número de ataques dirigidos a explotar el fallo en el servicio Windows Server, utilizado para conectar diferentes recursos de red, como servidores de archivos e impresoras, sobre las redes. Enviando mensajes codiciosos a una máquina Windows que utilice Windows Server, los atacantes podrían tomar el control de los ordenadores de sus víctimas.
El software desarrollado por Immunity está disponible únicamente para sus clientes de pago, pero los expertos en seguridad temen que alguna versión del exploit empiece a circular públicamente en breve tiempo.
Al parecer, no requiere demasiado esfuerzo escribir código de ataque capaz de explotar la brecha, y al publicar su parche, Microsoft ha dado, no sólo a los expertos en seguridad, sino también a los propios hackers, información suficiente para ello.
lunes, 27 de octubre de 2008
malware challenge
Desafío malware 2008
El malware en el presente se ha convertido en un peligro para las computadoras de todo el mundo, siguiendo con su constante cambio natural, los analistas no pueden proteger sus sistemas con tan sólo antivirus. Los analistas de hoy necesitan habilidades para detectar malware indetectable a los antivirus. De esto es de lo que el desafío malware se trata. Este desafío pureba tus habilidades y obten algunos premios.
www.malwarechallenge.info/
El malware en el presente se ha convertido en un peligro para las computadoras de todo el mundo, siguiendo con su constante cambio natural, los analistas no pueden proteger sus sistemas con tan sólo antivirus. Los analistas de hoy necesitan habilidades para detectar malware indetectable a los antivirus. De esto es de lo que el desafío malware se trata. Este desafío pureba tus habilidades y obten algunos premios.
www.malwarechallenge.info/
domingo, 26 de octubre de 2008
Diversas vulnerabilidades en IBM DB2 9.x
Se han encontrado múltiples vulnerabilidades en IBM DB2, algunas son de impacto desconocido y otras podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio o revelar información sensible.
* La primera vulnerabilidad está causada por un error en la función "SQLNLS_UNPADDEDCHARLEN()" que podría causar una violación de acceso (segmentation fault) en servidor DB2 al intentar acceder a una parte de memoria para la que no se tienen permisos.
* Las vistas (views) y los disparadores (triggers) deberían estar marcados como no operativos o ser descartados en el Native Managed Provider para .NET si los objetos no pueden ser mantenidos por quien los ha definido.
* Un error no especificado en los servicios de ordenación/listado podría ser explotado para revelar ciertas cadenas relacionadas con la contraseña de conexión.
Las vulnerabilidades están confirmadas para la versiones anteriores a la 9.x FP6 de IBM DB2.
Se recomienda aplicar el Fixpack 6, disponible desde:http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053
* La primera vulnerabilidad está causada por un error en la función "SQLNLS_UNPADDEDCHARLEN()" que podría causar una violación de acceso (segmentation fault) en servidor DB2 al intentar acceder a una parte de memoria para la que no se tienen permisos.
* Las vistas (views) y los disparadores (triggers) deberían estar marcados como no operativos o ser descartados en el Native Managed Provider para .NET si los objetos no pueden ser mantenidos por quien los ha definido.
* Un error no especificado en los servicios de ordenación/listado podría ser explotado para revelar ciertas cadenas relacionadas con la contraseña de conexión.
Las vulnerabilidades están confirmadas para la versiones anteriores a la 9.x FP6 de IBM DB2.
Se recomienda aplicar el Fixpack 6, disponible desde:http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053
Ejecución remota de código en el reproductor multimedia VLC
Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC que podría ser aprovechada por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
El problema está causado por un error de límites (en Ty.c) al procesar un archivo multimedia del tipo TY (TiVo) con las cabeceras especialmente modificadas. Esto podría dar lugar a un desbordamiento de búfer basado en pila que sería susceptible de ser utilizado para causar una denegación de servicio o ejecutar código arbitrario, si un usuario abre un archivo TY especialmente manipulado.
La vulnerabilidad, reportada por Tobias Klein, está confirmada para las versiones de la 0.9.0 a la 0.9.4. Se recomienda actualizar a la versión 0.9.5 del reproductor VLC cuando esté disponible, desde:http://www.videolan.org/vlc/
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
El problema está causado por un error de límites (en Ty.c) al procesar un archivo multimedia del tipo TY (TiVo) con las cabeceras especialmente modificadas. Esto podría dar lugar a un desbordamiento de búfer basado en pila que sería susceptible de ser utilizado para causar una denegación de servicio o ejecutar código arbitrario, si un usuario abre un archivo TY especialmente manipulado.
La vulnerabilidad, reportada por Tobias Klein, está confirmada para las versiones de la 0.9.0 a la 0.9.4. Se recomienda actualizar a la versión 0.9.5 del reproductor VLC cuando esté disponible, desde:http://www.videolan.org/vlc/
Un poco mas de informacion acerca de la reciente vulnerabilidad
Microsoft lanzó,una actualización clasificada como critica, ya que existía una vulnerabilidad en el protocolo RPC que permite la ejecución de código remoto en el equipo del usuario, sin interacción ni autenticación del mismo. En palabras sencillas, alguien puede ejecutar el código que desee en nuestro sistema (Windows 2000, XP, 2003, 2008, Vista) sin que nosotros nos enteremos de esa acción.Esta actualización se lanzó debido a que ya se había publicado una PoC (Proof of concept) para la vulnerabilidad, con lo cual se sabía que no tardaría en aparecer un código dañino que la aproveche para infectar masivamente millones de usuarios (generalmente un gusano).Esta suposición no tardó en confirmarse ya que en este momento existe al menos un gusano que se está aprovechando de la vulnerabilidad para infectar sistemas. El ejecutable detectado por ESETNOD32 como Win32/Gimmiv.A, registra una DLL (%SystemDir%\wbem\sysmgr.dll) en el sistema con el nombre “System Maintenance Service” y lanza procesos BAT para terminar con el antivirus que se encuentre residente en ese momento.Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información a su creador sobre el sistema operativo y el antivirus instalado. El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de información que se considere relevante del sistema, como:
-Usuarios y contraseñas de Microsoft Live Mesenger (MSN)
-Usuarios y contraseñas de Microsoft Outlook Express
-Contraseñas almacenas en Microsoft Internet Explorer
-Cookies y otros métodos de autenticación
-Archivos deseados por el atacante
La forma de programación del malware es genérica lo cual indica que no ha sido diseñado para un objetivo determinado sino para infectar masivamente a cualquier usuario, por lo que es altamente recomendable actualizar de inmediato y utilizar un sistema antivirus capaz de detectarlo, como por ejemplo ESET NOD32
-Usuarios y contraseñas de Microsoft Live Mesenger (MSN)
-Usuarios y contraseñas de Microsoft Outlook Express
-Contraseñas almacenas en Microsoft Internet Explorer
-Cookies y otros métodos de autenticación
-Archivos deseados por el atacante
La forma de programación del malware es genérica lo cual indica que no ha sido diseñado para un objetivo determinado sino para infectar masivamente a cualquier usuario, por lo que es altamente recomendable actualizar de inmediato y utilizar un sistema antivirus capaz de detectarlo, como por ejemplo ESET NOD32
sábado, 25 de octubre de 2008
ALERTA DE SEGURIDAD
HOLA A TODOS ANEXO INFORMACIÓN QUE CONSIDERO DE GRAN IMPORTANCIA PARA SU DIFUSIÓN Y SOBRE TODO DE TOMEN LAS MEDIDAS REQUERIDAS PARA EVITAR SER VÍCTIMA DE ALGUN ATAQUE.
LA INFORMACIÓN QUE A CONTINUACIÓN SE PRESENTA FUE DIFUNDIDA VÍA ELECTRÓNICA POR EL ING. RAFAEL SANDOVAL VÁZQUEZ Y EL OBJETO DE LA PUBLICACIÓN EN ESTE BLOG ES PARA CONOCIMIENTO Y DIFUSIÓN DE LA INFORMACIÓN Y PARA IMPLEMENTAR MEDIDAS PREVENTIVAS PARA PROTECCIÓN DE NUESTROS EQUIPOS.
***** Actualizar los sistemas de forma inmediata dada la gravedad ***********************
Microsoft publicó este 23 de octubre el boletín de seguridad MS08-067 de carácter crítico, en el que se soluciona un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Debido a su gravedad, el fallo podría ser aprovechado por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable.
Este boletín de seguridad, el número 12 publicado durante octubre (y fuera del calendario establecido por Microsoft para la liberación de actualizaciones), es de carácter "CRITICO" para los sistemas equipados con Windows 2000, Windows XP o Windows Server 2003, mientras que para los sistemas con Windows Vista o Windows Server 2008 el problema está calificado como "importante".
La vulnerabilidad reside en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. Un atacante remoto podría ejecutar código arbitrario a través de peticiones RPC especialmente manipuladas.
En el nuevo índice de explotabilidad introducido este mes, el problema está catalogado como "Consistent exploit code likely", es decir, que es probable la creación de un exploit consistente. En este caso.
HOY, EL EXPLOIT YA ES PUBLICO. LAS CARACTERISTICAS DE LA VULNERABILIDAD HACEN QUE SEA IDEAL PARA SER APROVECHADO POR UN GUSANO TIPO BLASTER, QUE SE CONVIRTIO EN EPIDEMIA EN 2003.
Dada la GRAVEDAD de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible, mediante Windows Update o descargando los parches, según versión, desde las siguientes direcciones:
* Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?familyid=E22EB3AE-1295-4FE2-9775-6F43C5C2AED3&displaylang=es
* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=es
* Windows XP Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=es
* Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25&displaylang=es
* Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25&displaylang=es
* Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D&displaylang=es
* Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D&displaylang=es
* Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400&displaylang=es
* Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400&displaylang=es
* Windows Server 2003 con SP1 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF&displaylang=es
* Windows Server 2003 con SP2 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF&displaylang=es
* Windows Vista y Windows Vista Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=18FDFF67-C723-42BD-AC5C-CAC7D8713B21&displaylang=es
* Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=A976999D-264F-4E6A-9BD6-3AD9D214A4BD&displaylang=es
* Windows Server 2008 para 32-bit Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=25C17B07-1EFE-43D7-9B01-3DFDF1CE0BD7&displaylang=es
* Windows Server 2008 para x64-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=7B12018E-0CC1-4136-A68C-BE4E1633C8DF&displaylang=es
* Windows Server 2008 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=2BCF89EF-6446-406C-9C53-222E0F0BAF7A&displaylang=es
Más Información:
Microsoft Security Bulletin Advance Notification for October 2008
http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx
Microsoft Security Bulletin MS08-067 � Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
15/10/2008 Boletines de seguridad de Microsoft en octubre
http://www.hispasec.com/unaaldia/3644/boletines-seguridad-microsoft-octubre
LA INFORMACIÓN QUE A CONTINUACIÓN SE PRESENTA FUE DIFUNDIDA VÍA ELECTRÓNICA POR EL ING. RAFAEL SANDOVAL VÁZQUEZ Y EL OBJETO DE LA PUBLICACIÓN EN ESTE BLOG ES PARA CONOCIMIENTO Y DIFUSIÓN DE LA INFORMACIÓN Y PARA IMPLEMENTAR MEDIDAS PREVENTIVAS PARA PROTECCIÓN DE NUESTROS EQUIPOS.
***** Actualizar los sistemas de forma inmediata dada la gravedad ***********************
Microsoft publicó este 23 de octubre el boletín de seguridad MS08-067 de carácter crítico, en el que se soluciona un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Debido a su gravedad, el fallo podría ser aprovechado por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable.
Este boletín de seguridad, el número 12 publicado durante octubre (y fuera del calendario establecido por Microsoft para la liberación de actualizaciones), es de carácter "CRITICO" para los sistemas equipados con Windows 2000, Windows XP o Windows Server 2003, mientras que para los sistemas con Windows Vista o Windows Server 2008 el problema está calificado como "importante".
La vulnerabilidad reside en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. Un atacante remoto podría ejecutar código arbitrario a través de peticiones RPC especialmente manipuladas.
En el nuevo índice de explotabilidad introducido este mes, el problema está catalogado como "Consistent exploit code likely", es decir, que es probable la creación de un exploit consistente. En este caso.
HOY, EL EXPLOIT YA ES PUBLICO. LAS CARACTERISTICAS DE LA VULNERABILIDAD HACEN QUE SEA IDEAL PARA SER APROVECHADO POR UN GUSANO TIPO BLASTER, QUE SE CONVIRTIO EN EPIDEMIA EN 2003.
Dada la GRAVEDAD de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible, mediante Windows Update o descargando los parches, según versión, desde las siguientes direcciones:
* Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?familyid=E22EB3AE-1295-4FE2-9775-6F43C5C2AED3&displaylang=es
* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=es
* Windows XP Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=es
* Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25&displaylang=es
* Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25&displaylang=es
* Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D&displaylang=es
* Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D&displaylang=es
* Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400&displaylang=es
* Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400&displaylang=es
* Windows Server 2003 con SP1 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF&displaylang=es
* Windows Server 2003 con SP2 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF&displaylang=es
* Windows Vista y Windows Vista Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=18FDFF67-C723-42BD-AC5C-CAC7D8713B21&displaylang=es
* Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=A976999D-264F-4E6A-9BD6-3AD9D214A4BD&displaylang=es
* Windows Server 2008 para 32-bit Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=25C17B07-1EFE-43D7-9B01-3DFDF1CE0BD7&displaylang=es
* Windows Server 2008 para x64-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=7B12018E-0CC1-4136-A68C-BE4E1633C8DF&displaylang=es
* Windows Server 2008 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=2BCF89EF-6446-406C-9C53-222E0F0BAF7A&displaylang=es
Más Información:
Microsoft Security Bulletin Advance Notification for October 2008
http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx
Microsoft Security Bulletin MS08-067 � Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
15/10/2008 Boletines de seguridad de Microsoft en octubre
http://www.hispasec.com/unaaldia/3644/boletines-seguridad-microsoft-octubre
viernes, 24 de octubre de 2008
Vulnerabilidad en el servicio Server de Microsoft
===========================================================================
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA-UNAM
Boletín de Seguridad UNAM-CERT-2008-024
Vulnerabilidad en el servicio Server de Microsoft podría permitir la
ejecución remota de código
===========================================================================
Microsoft ha liberado actualizaciones para sus sistemas operativos
Microsoft Windows fuera del periodo ordinario de actualizaciones debido
al reporte de una vulnerabilidad en el servicio Server que podría
permitir la ejecución remota de código. Por lo que se sugiere instalar
la actualización a la brevedad en sistemas de mision critica.
Fecha de Liberación: 23 de Octubre de 2008
Ultima Revisión: 23 de Octubre de 2008
Fuente: Microsoft Corp., Foros y listas de
discusión.http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=5666
jueves, 23 de octubre de 2008
Explotando fallos Buffer-Overflow
Hola muchachos, pues como recordarán la clase que Christian nos hizo favor de dar en esta semana sobre como explotar fallos buffer-overflow, bueno, para todos aquellos que nos llegamos a perder en algún momento o para aquellos que querramos volver a repetirlo con más calma les dejo la liga de la revista PC PASO A PASO en formato pdf, en está se explica a detalle todo lo que hicimos en la clase con ejemplos y todo eso, y como el título de la misma lo dice lo hace paso a paso, revisenlo y pónganlo en práctica...
http://rapidshare.de/files/40747023/PC_PASO_A_PASO.pdf.html
También están dos artículos muy interesantes del protocolo ICMP y Firewall, también les puede servir...
http://rapidshare.de/files/40747023/PC_PASO_A_PASO.pdf.html
También están dos artículos muy interesantes del protocolo ICMP y Firewall, también les puede servir...
miércoles, 22 de octubre de 2008
Seguridad en Fedora
Características de seguridad de Fedora, entre las que se cuentan "exec-shield" para evitar stack overflows:
http://fedoraproject.org/wiki/Security/Features
Una guía para crear exploits que evadan "exec-shield":
http://neworder.box.sk/newsread.php?newsid=13007
http://fedoraproject.org/wiki/Security/Features
Una guía para crear exploits que evadan "exec-shield":
http://neworder.box.sk/newsread.php?newsid=13007
martes, 21 de octubre de 2008
Shellcode
Un shellcode es basicamente una serie de ordenes en ensamblador que hace algo de lo que podemos sacar provecho: ejecutar /bin/sh para obtener una shell, copiar una shell y ponerle un suid root, etc. Tienen características de programacion un tanto especiales.
Se usa para poder ejecutar código después de haber sobreescrito la direccion de retorno de un programa/función mediante un overflow, o mediante cualquier otro método válido. Es decir, el valor de la dirección de retorno que se sobreescribira será la de nuestra shellcode. Simplemente decir que cuando se produzca el desbordamiento y el salto se ejecutará nuestra shellcode.
Aquí les dejo algunos links de los códigos de algunos shellcodes y una breve descripción de lo que hacen.
- Shellcode que deja una shell abierta en el puerto 8721. Funciona en NT, 2000 y XP:
http://www.terra.es/personal3/fistror/e/win32_bind.c
- Shellcode que te conecta al puerto 8721 y te manda shell. Necesitas poner Netcat a la escucha y modificar la scode para poner tu IP.
http://www.terra.es/personal3/fistror/e/win32_reverse.asm
-
Shellcode que crea un usuario "X" con password "X" y lo une al grupo "Administrators".
http://www.terra.es/personal3/fistror/e/win32_adduser.asm
Hola!
El día de ayer observe que los compañeros que tenían ubuntu instalado, en el cual estaban intentando recrear el ataque no podían por algunos candados implementados en esta distribución, bueno les tengo la buena noticia de como quitar esos candados para que puedan recrear el ataque. Por supuesto que es de manera intensional, pues no deberiamos removerlos de un servidor de producción, sin embargo esos candados no son garantía de que no pueda explotarse un fallo, recuerden que siempre habrá técnicas para saltarse toda clase de controles.
El primer candadoo me parece que es al nivel de compilación, lo único que tienen que hacer es compilar sus programa desactivando la característica, se hace la siguiente manera:
$ gcc -fno-stack-protector -o
El segundo es modificar un parámetro en el proc de la siguiente forma:
$ echo 0 > /proc/sys/kernel/randomize_av_space
Bueno mucha suerte en intentar probar los códigos, no descarto que otras destribuciones tengan otros más controles implementados como fedora, por ejemplo. Si tuviesen más problemas recuerden que siempre basta con un googleaso.
El día de ayer observe que los compañeros que tenían ubuntu instalado, en el cual estaban intentando recrear el ataque no podían por algunos candados implementados en esta distribución, bueno les tengo la buena noticia de como quitar esos candados para que puedan recrear el ataque. Por supuesto que es de manera intensional, pues no deberiamos removerlos de un servidor de producción, sin embargo esos candados no son garantía de que no pueda explotarse un fallo, recuerden que siempre habrá técnicas para saltarse toda clase de controles.
El primer candadoo me parece que es al nivel de compilación, lo único que tienen que hacer es compilar sus programa desactivando la característica, se hace la siguiente manera:
$ gcc -fno-stack-protector -o
El segundo es modificar un parámetro en el proc de la siguiente forma:
$ echo 0 > /proc/sys/kernel/randomize_av_space
Bueno mucha suerte en intentar probar los códigos, no descarto que otras destribuciones tengan otros más controles implementados como fedora, por ejemplo. Si tuviesen más problemas recuerden que siempre basta con un googleaso.
lunes, 20 de octubre de 2008
domingo, 19 de octubre de 2008
La mayoría de los empleados TI robaría datos sensibles en caso de ser despedidos
Nada menos que un 88% de los administradores TI admitieron que intentaría llevarse consigo secretos corporativos en caso de ser despedidos repentinamente. Los principales objetivos de sus robos incluirían contraseñas del CEO, bases de datos de clientes, planes de investigación y desarrollo, informes financieros y listas de contraseñas privilegiadas, entre otros.
La investigación de Cyber-Ark, basada en un sondeo realizado a 300 profesionales TI, también pone de relieve que de ese 88%, una tercera parte utilizaría la lista de contraseñas privilegiadas para conseguir acceso a documentos valiosos, como información financiera, cuentas, salarios y otros datos confidenciales.
Para ver la noticia completa consulten la página
http://www.idg.es/pcworldtech/La_mayoria_de_los_empleados_TI_robaria_datos_sensi/doc70961-seguridad.htm
La investigación de Cyber-Ark, basada en un sondeo realizado a 300 profesionales TI, también pone de relieve que de ese 88%, una tercera parte utilizaría la lista de contraseñas privilegiadas para conseguir acceso a documentos valiosos, como información financiera, cuentas, salarios y otros datos confidenciales.
Para ver la noticia completa consulten la página
http://www.idg.es/pcworldtech/La_mayoria_de_los_empleados_TI_robaria_datos_sensi/doc70961-seguridad.htm
7 habitos para escribir aplicaciones seguras en PHP
Considerando el tema que actualmente estamos viendo en clase considero que esta noticias es de gran importancia, porque ademas de ser un tema que abordaremos permite hacer consideraciones al momento de desarrollar en php y que contribuyen a reducir las vulnerabilidades.
Anexo parte de la noticia y el link donde puede profundizarse para mayor información.
Cuando se empieza a tomar en cuenta la seguridad, hay que recordar que en adicion a la plataforma de desarrollo y a los problemas de seguridad del sistema operativo, es necesario garantizar que se esta escribiendo codigo seguro. IBM por medio de la sección DeveloperWorks publica 7 buenos habitos que, cuando se escribe codigo PHP, tenerlos en cuenta hace que las aplicaciones sean aun mas seguras:
1. Validar las entradas del usuario. Es posiblemente el habito mas importante que se pueda adoptar cuando se comienza a considerar la seguridad. Las vulnerabilidades mas importantes se derivan del exceso de confianza en los datos que introduce el usuario.
2. Proteger el sistema de archivos. El efecto que podria llegar a tener el robo de un archivo de sistema podria llegar a impactar no solo a la aplicacion, sino tambien al sistema operativo y al servidor en general.
3. Proteger la Base de Datos. La informacion es el activo mas importante que protege la empresa, generalmente las aplicaciones administrativas manejan datos bastante sensibles que se manejan con mucho recelo.
4. Proteger los datos de sesion. Toda informacion almacenada en la sesion es susceptible de ser visualizada por cualquiera. Tienes dos alternativas: cifrar los datos, lo que no garantiza por completo su privacidad si es un metodo reversible y/o almacenarlos en Base de datos.
5. Protegerse contra las vulnerabilidades de tipo Cross-Site Scripting (XSS). Esta vulnerabilidad esta relacionada con el primer habito recomendado, pero ademas de protegerte de la informacion que aceptas en tu aplicacion, tambien hay que cuidar la informacion que se sale de la misma, principalmente para no incluir codigo que se ejecute/interprete indebidamente del lado del cliente.
6. Verificar el intercambio de informacion (posts) entre formas. Ya que la conexion entre el cliente y el servidor no es persistente, debe hacerse una comprobacion del 'remitente' de los datos, ya que pudieron haber sido enviados desde cualquier forma sin haber pasado por las validaciones esperadas.
7. Protegerse contra ataques Cross-Site Request Forgeries (CSRF). Este tipo de ataque se basa en la ganancia de privilegios mayores de los debidos por medio de expolits.
Seas un programador novato o ya experimentado, considerar estos habitos sin duda te llevará a conseguir aplicaciones que manejen de una forma mas segura la informacion. Una descripcion mucho mas completa de cada uno de estos puntos asi como código fuente que puedes implementar para cumplir con estas sugerencias esta en la siguiente dirección:
http://www.ibm.com/developerworks/opensource/library/os-php-secure-apps/index.html?ca=dgr-btw01PHP-7Habits&S_TACT=105AGX59&S_CMP=grsite-btw01
Anexo parte de la noticia y el link donde puede profundizarse para mayor información.
7 habitos para escribir aplicaciones seguras en PHP
Cuando se empieza a tomar en cuenta la seguridad, hay que recordar que en adicion a la plataforma de desarrollo y a los problemas de seguridad del sistema operativo, es necesario garantizar que se esta escribiendo codigo seguro. IBM por medio de la sección DeveloperWorks publica 7 buenos habitos que, cuando se escribe codigo PHP, tenerlos en cuenta hace que las aplicaciones sean aun mas seguras:
1. Validar las entradas del usuario. Es posiblemente el habito mas importante que se pueda adoptar cuando se comienza a considerar la seguridad. Las vulnerabilidades mas importantes se derivan del exceso de confianza en los datos que introduce el usuario.
2. Proteger el sistema de archivos. El efecto que podria llegar a tener el robo de un archivo de sistema podria llegar a impactar no solo a la aplicacion, sino tambien al sistema operativo y al servidor en general.
3. Proteger la Base de Datos. La informacion es el activo mas importante que protege la empresa, generalmente las aplicaciones administrativas manejan datos bastante sensibles que se manejan con mucho recelo.
4. Proteger los datos de sesion. Toda informacion almacenada en la sesion es susceptible de ser visualizada por cualquiera. Tienes dos alternativas: cifrar los datos, lo que no garantiza por completo su privacidad si es un metodo reversible y/o almacenarlos en Base de datos.
5. Protegerse contra las vulnerabilidades de tipo Cross-Site Scripting (XSS). Esta vulnerabilidad esta relacionada con el primer habito recomendado, pero ademas de protegerte de la informacion que aceptas en tu aplicacion, tambien hay que cuidar la informacion que se sale de la misma, principalmente para no incluir codigo que se ejecute/interprete indebidamente del lado del cliente.
6. Verificar el intercambio de informacion (posts) entre formas. Ya que la conexion entre el cliente y el servidor no es persistente, debe hacerse una comprobacion del 'remitente' de los datos, ya que pudieron haber sido enviados desde cualquier forma sin haber pasado por las validaciones esperadas.
7. Protegerse contra ataques Cross-Site Request Forgeries (CSRF). Este tipo de ataque se basa en la ganancia de privilegios mayores de los debidos por medio de expolits.
Seas un programador novato o ya experimentado, considerar estos habitos sin duda te llevará a conseguir aplicaciones que manejen de una forma mas segura la informacion. Una descripcion mucho mas completa de cada uno de estos puntos asi como código fuente que puedes implementar para cumplir con estas sugerencias esta en la siguiente dirección:
http://www.ibm.com/developerworks/opensource/library/os-php-secure-apps/index.html?ca=dgr-btw01PHP-7Habits&S_TACT=105AGX59&S_CMP=grsite-btw01
sábado, 18 de octubre de 2008
24/09/2008 Múltiples vulnerabilidades en Firefox, Thunderbird y Seamonkey
La Fundación Mozilla ha informado sobre múltiples vulnerabilidades en varios de sus productos que podrían ser aprovechadas por un atacante remoto para revelar información sensible, perpetrar ataques de cross-site scripting, provocar una denegación de servicio, saltarse restricciones de seguridad o ejecutar código arbitrario en un sistema vulnerable.
A continuación se detallan las vulnerabilidades publicadas:
1- Desbordamiento de búfer causado por URLs codificadas con UTF-8 especialmente manipuladas. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario. Afecta a Firefox 2.x y SeaMonkey.
2- Salto de restricciones de seguridad al no comprobar de forma adecuada la política de mismo origen en nsXMLDocument::OnChannelRedirect(), lo que podría ser aprovechado para ejecutar código JavaScript en el contexto de un sitio web diferente al original. Afecta a Firefox 2.x, Thunderbird y SeaMonkey.
3- Escalada de privilegios y cross-site scripting causado por múltiples errores de validación de entrada en feedWriter. Esto podría permitir que un atacante ejecutase código script arbitrario con los privilegios de chrome (componente principal de Firefox, no confundir con el navegador de Google). Afecta sólo a Firefox 2.x.
4- Un error durante el manejo de las pulsaciones del ratón podría permitir que un atacante moviera el contenido de la ventana mientras el ratón está siendo pulsado, pudiendo causar que un item fuera arrastrado en vez de "clickeado". Esto podría ser aprovechado para forzar el arrastre de ciertos componentes, lo que permitiría, entre otros efectos, realizar una descarga no solicitada. Afecta a Firefox 2.x, 3.x y SeaMonkey.
5- Múltiples fallos relacionados con XPCnativeWrapper podrían permitir a un atacante remoto ejecutar código script arbitrario con los privilegios de chrome. Afecta a Firefox 2.x, 3.x y SeaMonkey. Podría afectar a Thunderbird si se habilita la ejecución de JavaScript.
6- Múltiples problemas de estabilidad en los motores de diseño, gráficos y JavaScript de los productos Mozilla, que podrían ser explotados para causar una denegación de servicio o incluso ejecutar código arbitrario aprovechando una posible corrupción de memoria. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.
7- Cross-site scripting provocado por la interpretación de forma errónea de caracteres BOM (Byte-Order Mark, tres caracteres que se encuentran al principio de un archivo para indicar que está codificado como UTF-8, UTF-16 o UTF-32. Ejemplo:  ). Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.
8- Errores en el protocolo "resource:" que podrían ser aprovechados para conducir ataques de directorio trasversal y revelar información sensible. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.
9- Un error en el decodificador XBM podría permitir la lectura de pequeñas porciones aleatorias de memoria, lo que daría lugar a la revelación de información sensible. Afecta a Firefox 2.x y SeaMonkey.
Más Información:
Mozilla Foundation Security Advisory 2008-37: http://www.mozilla.org/security/announce/2008/mfsa2008-37.html
A continuación se detallan las vulnerabilidades publicadas:
1- Desbordamiento de búfer causado por URLs codificadas con UTF-8 especialmente manipuladas. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario. Afecta a Firefox 2.x y SeaMonkey.
2- Salto de restricciones de seguridad al no comprobar de forma adecuada la política de mismo origen en nsXMLDocument::OnChannelRedirect(), lo que podría ser aprovechado para ejecutar código JavaScript en el contexto de un sitio web diferente al original. Afecta a Firefox 2.x, Thunderbird y SeaMonkey.
3- Escalada de privilegios y cross-site scripting causado por múltiples errores de validación de entrada en feedWriter. Esto podría permitir que un atacante ejecutase código script arbitrario con los privilegios de chrome (componente principal de Firefox, no confundir con el navegador de Google). Afecta sólo a Firefox 2.x.
4- Un error durante el manejo de las pulsaciones del ratón podría permitir que un atacante moviera el contenido de la ventana mientras el ratón está siendo pulsado, pudiendo causar que un item fuera arrastrado en vez de "clickeado". Esto podría ser aprovechado para forzar el arrastre de ciertos componentes, lo que permitiría, entre otros efectos, realizar una descarga no solicitada. Afecta a Firefox 2.x, 3.x y SeaMonkey.
5- Múltiples fallos relacionados con XPCnativeWrapper podrían permitir a un atacante remoto ejecutar código script arbitrario con los privilegios de chrome. Afecta a Firefox 2.x, 3.x y SeaMonkey. Podría afectar a Thunderbird si se habilita la ejecución de JavaScript.
6- Múltiples problemas de estabilidad en los motores de diseño, gráficos y JavaScript de los productos Mozilla, que podrían ser explotados para causar una denegación de servicio o incluso ejecutar código arbitrario aprovechando una posible corrupción de memoria. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.
7- Cross-site scripting provocado por la interpretación de forma errónea de caracteres BOM (Byte-Order Mark, tres caracteres que se encuentran al principio de un archivo para indicar que está codificado como UTF-8, UTF-16 o UTF-32. Ejemplo:  ). Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.
8- Errores en el protocolo "resource:" que podrían ser aprovechados para conducir ataques de directorio trasversal y revelar información sensible. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.
9- Un error en el decodificador XBM podría permitir la lectura de pequeñas porciones aleatorias de memoria, lo que daría lugar a la revelación de información sensible. Afecta a Firefox 2.x y SeaMonkey.
Más Información:
Mozilla Foundation Security Advisory 2008-37: http://www.mozilla.org/security/announce/2008/mfsa2008-37.html
viernes, 17 de octubre de 2008
Solucionando agujeros en Unity Server
Cisco ha publicado la actualización de seguridad para Unity Server, su sistema unificado de mensajería.
Unity enlaza con Microsoft Exchange Server y Lotus Notes, que realiza la integración de voz y fax en las empresas, además de un sistema de correo electrónico, que permite a los usuarios acceder a sus mensajes de voz a través de Internet, de forma que puedes escuchar los mensajes de correo electrónico en el teléfono del servidor remotamente.
Las actualizaciones cierran varias vulnerabilidades que permite a los intrusos inspeccionar la configuración del sistema e incluso si la autenticación anónima está habilitada modificarla.
Además, se cierra un cross-site scripting (XSS) que explota un bug que podría colgar el servidor, la actualización se afecta a las versiones 4.2 (1) ES161, 5.0 (1) ES53 y 7.0 (2) ES8.
Los clientes registrados pueden descargar la actualización desde la página Web de Cisco.
Para más información visita:
http://www.cisco.com/warp/public/707/cisco-sr-20081008-unity.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20081008-unity.shtml
Unity enlaza con Microsoft Exchange Server y Lotus Notes, que realiza la integración de voz y fax en las empresas, además de un sistema de correo electrónico, que permite a los usuarios acceder a sus mensajes de voz a través de Internet, de forma que puedes escuchar los mensajes de correo electrónico en el teléfono del servidor remotamente.
Las actualizaciones cierran varias vulnerabilidades que permite a los intrusos inspeccionar la configuración del sistema e incluso si la autenticación anónima está habilitada modificarla.
Además, se cierra un cross-site scripting (XSS) que explota un bug que podría colgar el servidor, la actualización se afecta a las versiones 4.2 (1) ES161, 5.0 (1) ES53 y 7.0 (2) ES8.
Los clientes registrados pueden descargar la actualización desde la página Web de Cisco.
Para más información visita:
http://www.cisco.com/warp/public/707/cisco-sr-20081008-unity.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20081008-unity.shtml
Adobe Flash Player 9
Adobe ha solucionado varios agujeros de seguridad en Flash Player 9, además del famoso error de clickjacking.
Según el aviso las vulnerabilidades afectan a todas las versiones de Flash Player hasta la 9.0.124.0.
La vulnerabilidad esta referida al API FileReference y es particularmente crítica, ya que permite la inyección arbitraria de código malicioso que podría ejecutarse con los permisos del usuario.
Adobe también ha eliminado Clickjacking, y ha añadido más seguridad al manejo de las políticas de transferencias de archivos con el fin de evitar cualquier posible elevación de privilegios dentro de aplicaciones Web.
El otro agujero de seguridad está causado por un problema con el escaneado de puertos del que no se han dado muchos detalles.
Todas las vulnerabilidades pueden ser explotadas remotamente utilizando documentos swf manipulados, lo que debe hacer un atacante es atraer a un usuario a un sitio Web que contengan objetos nocivos Flash.
Los usuarios que visitan sitios Web de confianza no deben asumir que son seguras, ya que cualquier banners de publicidad podría estar comprometido.
Adobe recomienda que todos los usuarios instalen la nueva versión de Flash Palcer.
Para más información visita
http://www.adobe.com/support/security/bulletins/apsb08-18.html
Según el aviso las vulnerabilidades afectan a todas las versiones de Flash Player hasta la 9.0.124.0.
La vulnerabilidad esta referida al API FileReference y es particularmente crítica, ya que permite la inyección arbitraria de código malicioso que podría ejecutarse con los permisos del usuario.
Adobe también ha eliminado Clickjacking, y ha añadido más seguridad al manejo de las políticas de transferencias de archivos con el fin de evitar cualquier posible elevación de privilegios dentro de aplicaciones Web.
El otro agujero de seguridad está causado por un problema con el escaneado de puertos del que no se han dado muchos detalles.
Todas las vulnerabilidades pueden ser explotadas remotamente utilizando documentos swf manipulados, lo que debe hacer un atacante es atraer a un usuario a un sitio Web que contengan objetos nocivos Flash.
Los usuarios que visitan sitios Web de confianza no deben asumir que son seguras, ya que cualquier banners de publicidad podría estar comprometido.
Adobe recomienda que todos los usuarios instalen la nueva versión de Flash Palcer.
Para más información visita
http://www.adobe.com/support/security/bulletins/apsb08-18.html
miércoles, 15 de octubre de 2008
martes, 14 de octubre de 2008
Apuntes ENSAMBLADOR
HOLA ESPERO SE ENCUENTREN BIEN LES PASO UN LINK DE DOS APUNTES DE ENSAMBLADOR ESPERO QUE LES SEAN DE UTILIDAD.
http://132.248.54.41/cobit/apuntes.zip
http://132.248.54.41/cobit/apuntes.zip
Como ser Oficial de Seguridad y no morir en el intento
Muchas veces nos hemos preguntado como actuar en algunas situaciones de nuestra vida diaria como Oficial de Seguridad. Estos son algunos consejos a tener en cuenta:
Situación 1: "Tengo que implementar una Política de Seguridad, como el directorio retrasa el permiso para ejecutarlo, genero el documento y lo distribuyo por la empresa". ¡Error! Nunca debemos implementar una política sin el debido apoyo de la gerencia. ¿Por qué? Sólo con el respaldo de la Dirección se podrá bajar línea a las gerencias inferiores, para que nuestra política sea aceptada. Intentar imponer por la fuerza una política sin ese apoyo, sería "suicidio" laboral: ¿Cómo se nos ocurre implementar algo que involucre a toda la organización sin el consentimiento de quien maneja el negocio? Por eso, primero busquemos el visto bueno necesario, y luego avancemos.
Situación 2: "Como soy el Oficial de Seguridad se hace lo que me parece correcto y no permito que se me contradiga". ¿Les parece que ser una representación viviente de Darth Vader dará resultado? Lamento informarles que no. La realidad es que nosotros formamos parte de una Organización, y para poder sobrevivir tenemos que aprender a convivir. Si nos ponemos en contra a la gente con nuestra actitud, cuando necesitemos la colaboración de los diferentes sectores en el cumplimiento o ajuste de los controles, terminaremos en vuelo raso hacia una pared.
Situación 3: "Implementemos este estándar de seguridad, y después esperamos que se quejen". Ejem ... No creo que el equipo de Mesa de Ayuda se sienta muy contento con la cantidad de llamados que va a recibir, y ni les cuento los administradores de los sistemas cuando les sacan la línea de comando y no les dan alternativa o metodología de trabajo para poder seguir ejecutando sus operaciones. Además, cuando tengamos que llenar nuestro tablero de control con el análisis de incidentes, la curva ascendente llegará al cielo, y sin jugar a la rayuela.
Situación 4: "La seguridad implementada en la empresa es excelente, porque tengo 2 firewalls, 3 DMZ, 16 IDS y 5 IPS". Bueno... Podríamos analizar la infraestructura de seguridad, y posiblemente a nivel perimetral estaremos bastante pulidos. Pero no nos olvidemos la regla de oro: el 80% de las intrusiones son internas. La seguridad se implementa por capas, y lo que puede lograrse por medio de la tecnología es limitado. La seguridad debe estar siempre acompañada de una gestión y marco normativo y de procedimientos.
Situación 5: "Estimados socios, hice un análisis de riesgo y decidí comprar todo este equipamiento sin previa aprobación porque considero que la seguridad es lo mas importante". A partir de ese momento estarás nominado para abandonar la academia... digo, la empresa. Nunca olvides que lo más importante para la empresa es el NEGOCIO, y el objetivo de cualquier negocio es hacer dinero. Nosotros como encargados de seguridad debemos brindar los medios necesarios para asegurar la disponibilidad, integridad y confidencialidad de la información, previamente clasificada por el Dueño de Datos / Delegado.
Estos son los primeros tips de seguridad, más adelante, y en base a nuestra experiencia y vivencias, iremos agregando más información.
lunes, 13 de octubre de 2008
Cómo eliminar las protecciones de un PDF
Hola, les dejo el link para quitar las protecciones de PDF. servicio online para eliminar las protecciones de los PDF (en concreto, puede eliminar la protección anti-impresión y la protección anti-copy-paste). http://www.ensode.net/pdf-crack.jsf
PDF Password Remover
Unlock Adobe Acrobat PDF to allow edit, copy, and print. Free Trial.
www.verypdf.com
PDF Password Cracker
Recover Acrobat PDF file to allow read, edit, copy, and print.
www.crackpdf.com
PDF Protection Solutions
Protect PDF files from illegal copy use, modification, distribution
www.truscont.com
PDF Converters
Check Out PDF Converters Solutions From A Trusted Source.
www.myewoss.com
PDF Password Remover
Unlock Adobe Acrobat PDF to allow edit, copy, and print. Free Trial.
www.verypdf.com
PDF Password Cracker
Recover Acrobat PDF file to allow read, edit, copy, and print.
www.crackpdf.com
PDF Protection Solutions
Protect PDF files from illegal copy use, modification, distribution
www.truscont.com
PDF Converters
Check Out PDF Converters Solutions From A Trusted Source.
www.myewoss.com
Ensamblador
Quizá a muchos de ustedes no les guste o les paresca de bastante nivel utilizar el lenguaje ensamblador. Por mi parte yo no puedo decir que soy fanático pero he tenido algunos encuentros con él. En el ámbito de la seguridad, y consisamente para el análisis de algunas vulnerabilidades resulta una herramienta esencial para entender el comportamiento de los ataques y las razón de las vulnerabiliades.
Se que muchos no recordamos nuestras clases de programación de sistemas, en donde algunos nos dieron z80 y a otros HC11, pero a la mayoria x86. No quiero sonar como vendedor pero les he encontrado algo que quizá les sirva de ayuda para recordar lo días es que se quemaron las pestañas y durmieron hasta tarde por terminar un laborioso programa en ensamblador, jeje. En fin revísenlo y por favor diganme si les sirve y si alguno tuviera otro pues tambien será bien recibido.
http://sergiobecerril.homelinux.com/octave/Ensamblador/ensamblador.pdf
http://sergiobecerril.homelinux.com/octave/Ensamblador/ensamblador1.pdf
Disfrutenlo!
Se que muchos no recordamos nuestras clases de programación de sistemas, en donde algunos nos dieron z80 y a otros HC11, pero a la mayoria x86. No quiero sonar como vendedor pero les he encontrado algo que quizá les sirva de ayuda para recordar lo días es que se quemaron las pestañas y durmieron hasta tarde por terminar un laborioso programa en ensamblador, jeje. En fin revísenlo y por favor diganme si les sirve y si alguno tuviera otro pues tambien será bien recibido.
http://sergiobecerril.homelinux.com/octave/Ensamblador/ensamblador.pdf
http://sergiobecerril.homelinux.com/octave/Ensamblador/ensamblador1.pdf
Disfrutenlo!
Adios a WPA
La empresa de seguridad Global Secure System, ha comprobado que las conexiones inalámbricas por WiFi, protegidas por medio de WPA y WPA2 (ni hablemos de WEP), quedan reducidas a nada, ahora que pueden aprovechar la potencia de procesamiento de tarjetas gráficas de NVIDIA, para acelerar el proceso de obtención de clave.
Hoy día, es de público conocimiento entre los amantes de la seguridad informática, que la protección por WEP de conexiones WiFi, puede ser violada fácilmente en cuestión de minutos. Por este motivo, es usual recomendar la protección mediante WPA o WPA2, algo que cambiaría con el anuncio de Global Secure Systems.
La capacidad de procesamiento de las últimas tarjetas gráficas de NVIDIA, ha permitido reducir notablemente los tiempos a la hora de obtener claves por medio de la fuerza bruta. Esta novedad, está siendo aprovechada por varios grupos de investigadores, para demostrar la debilidad que suponen muchas protecciones actualmente consideradas como ‘las mejores existentes’.
El problema radica en que cualquier persona puede adquirir una de las últimas tarjetas gráficas de esta empresa, lo que se manifiesta en un problema no potencial, sino existente, al presumir de que este tipo de ataques ya se estarían efectuando a nivel mundial.
Desde Global Secure Systems advierten a las empresas, de que ya no solo hagan uso de conexiones protegidas por WPA o WPA2, sino que también utilicen VPN para sus redes, a fines de mantener segura la información interna de cada organización.
La solución no estará, sin duda, a la vuelta de la esquina… ya que hasta el momento la regla de seguridad era hacer viablemente imposible que una clave se obtenga en un tiempo reducido, mientras que ahora esa regla parecería no jugar más… o al menos, no en las proporciones que suponíamos.
En este link se puede descargar la utilidad para recuperar hashes de MD5 y recuperar contraseñas de ZIP y RAR usando tarjetas NVIDIA
http://www.elcomsoft.com/lhc.html
http://www.blogantivirus.com/adios-a-la-seguridad-en-las-redes-wifi
Hoy día, es de público conocimiento entre los amantes de la seguridad informática, que la protección por WEP de conexiones WiFi, puede ser violada fácilmente en cuestión de minutos. Por este motivo, es usual recomendar la protección mediante WPA o WPA2, algo que cambiaría con el anuncio de Global Secure Systems.
La capacidad de procesamiento de las últimas tarjetas gráficas de NVIDIA, ha permitido reducir notablemente los tiempos a la hora de obtener claves por medio de la fuerza bruta. Esta novedad, está siendo aprovechada por varios grupos de investigadores, para demostrar la debilidad que suponen muchas protecciones actualmente consideradas como ‘las mejores existentes’.
El problema radica en que cualquier persona puede adquirir una de las últimas tarjetas gráficas de esta empresa, lo que se manifiesta en un problema no potencial, sino existente, al presumir de que este tipo de ataques ya se estarían efectuando a nivel mundial.
Desde Global Secure Systems advierten a las empresas, de que ya no solo hagan uso de conexiones protegidas por WPA o WPA2, sino que también utilicen VPN para sus redes, a fines de mantener segura la información interna de cada organización.
La solución no estará, sin duda, a la vuelta de la esquina… ya que hasta el momento la regla de seguridad era hacer viablemente imposible que una clave se obtenga en un tiempo reducido, mientras que ahora esa regla parecería no jugar más… o al menos, no en las proporciones que suponíamos.
En este link se puede descargar la utilidad para recuperar hashes de MD5 y recuperar contraseñas de ZIP y RAR usando tarjetas NVIDIA
http://www.elcomsoft.com/lhc.html
http://www.blogantivirus.com/adios-a-la-seguridad-en-las-redes-wifi
domingo, 12 de octubre de 2008
Memoria Flash USB, un arma punzo cortante
Investigando a cerca del tema de "USB Payload", también conocido como "USB Switchblade", he descubierto varios puntos interesantes que aquí comprato.
Así es, Microsoft ha estado distribuyendo dispositivos USB con tecnología U3, de manera gratuita para agentes federales del departamento forense de TI a más de 2,000 oficiales en más de 15 países desde Junio del 2008, se trata de un kit de más de 150 herramientas (disponibles públicamente) llamado COFEE, Computer Online Forensic Evidence Extractor, que les permite extraer todo tipo de información del equipo víctima.
Para empezar, este es un método de ataque basado en ingeniería social, donde el atacante obtiene acceso al equipo de plataforma Microsoft Windows que desea atacar y es capáz de insertar una memoria flash USB.
La mayoría de las versiones de Windows tienen habilitada por defecto la búsqueda y ejecución de software al insertar un nuevo dispositivo, esto se ha usado con propósitos tan distintos como la instalación de controladores del mismo dispositivo, ejecución de software portátil y servicios antipiratería, hasta malware. Aunque de no tener esta función habilitada basta un pequeño extra de ingeniería social para activar el software manualmente.
Esta vulnerabilidad en windows se empieza a notar cuando en el 2005, se descubre que Sony había estado incluyendo "Extended Copy Protection" y "Media Max CD-3" en más de 100 títulos de CDs de música, programas que se instalan automática y silenciosamente en el sistema operativo, capaces además de ocultar sus procesos, como un rootkit.
Usando una técnica similar se puede transportar esto a una herramienta USB, existen varios métodos, pero el más sencillo es haciendo uso del famoso "autorun", ya que se puede hacer en cualquier USB con tan sólo invocar a un archivo de comandos desde el autorun.inf y listando todos los programas que se desean ejecutar desde el USB, aunque éste es el metodo que requiere ingeniería social extra.
Ahora, el método más efectivo se realiza haciendo uso de la tecnología "U3", que es simplemente una memoria USB con controladores especiales, que permiten que windows vea al dispositivo con una partición virtual extra, cargando en ella el software que se desea ejecutar y procesándola como una unidad de CD. Ésta partición, además de poderse ejecutar sin avisarle al usuario, aparece como una unidad invisible, propiedad que por defecto el sistema operativo de microsoft provoca que el usuario no pueda verla.
Existen varios paquetes de software disponibles para extraer de la computadora todo tipo de información, desde claves de windows, office, cuentas de correo, messenger, puertos abiertos, servicios ejecutándose, ... las posibilidades son... pues cualquier aplicación que pueda ejecutarse desde una USB. Y esto es sólo el comienzo, ya que Linux también posee una función similar.
Éste último método también es utilizado por Microsoft...
Así es, Microsoft ha estado distribuyendo dispositivos USB con tecnología U3, de manera gratuita para agentes federales del departamento forense de TI a más de 2,000 oficiales en más de 15 países desde Junio del 2008, se trata de un kit de más de 150 herramientas (disponibles públicamente) llamado COFEE, Computer Online Forensic Evidence Extractor, que les permite extraer todo tipo de información del equipo víctima.
¿Ya desactivaste la autoejecución de dispositivos?
Referencias:
Operator Herramienta de PenTest
Operator es una distribución de Linux (Debian) que se ejecuta desde un único CD de arranque y se ejecuta enteramente en RAM. Operator contiene un amplio conjunto de herramientas de seguridad de la red, Open Source, que puede ser utilizado para la supervisión y el descubrimiento de redes. Esto prácticamente puede convertir cualquier PC en un dispositivo de penTesting de la seguridad de redes sin tener que instalar ningún software. Operator también contiene un conjunto de herramientas para análisis forense y de recuperación de datos que pueden utilizarse para ayudar en el rescate de datos en el sistema local.
La técnica para permitir a Operator arrancar y ejecutar desde la RAM se basa en un proyecto llamado KNOPPIX. KNOPPIX es un CD bootable con una colección de GNU / Linux software, detección automática de hardware, y soporte para muchas tarjetas gráficas, tarjetas de sonido, SCSI y USB y otros dispositivos periféricos. KNOPPIX puede ser usado como un demo de Linux, CD educacional, sistema de rescate, o adaptado y usado como plataforma comercial para demos de productos de software. No es necesario instalar nada en el disco duro.
La técnica para permitir a Operator arrancar y ejecutar desde la RAM se basa en un proyecto llamado KNOPPIX. KNOPPIX es un CD bootable con una colección de GNU / Linux software, detección automática de hardware, y soporte para muchas tarjetas gráficas, tarjetas de sonido, SCSI y USB y otros dispositivos periféricos. KNOPPIX puede ser usado como un demo de Linux, CD educacional, sistema de rescate, o adaptado y usado como plataforma comercial para demos de productos de software. No es necesario instalar nada en el disco duro.
miércoles, 8 de octubre de 2008
Liga a documento ejemplo de reporte de pen-test
Pueden basarse en este documento, desde luego tienen que agregar las consideraciones que mencionamos el día de hoy en la clase.
Saludos,
http://www.logicallysecure.com/resources/downloads/penetration%20testing%20report%20template.doc
Saludos,
http://www.logicallysecure.com/resources/downloads/penetration%20testing%20report%20template.doc
Tercera Guerra Mundial - -Troyano bancario
Trend Micro ha detectado la circulación de un mensaje de correo en el que se alerta sobre la declaración de la Tercera Guerra Mundial con el objetivo de infectar a sus destinatarios con un troyano capaz de robar datos bancarios.
El correo electrónico lleva por nombre "Important! the russians used nuclear weapons against Georgia", el cual hace referencia a una supuesta noticia publicada por la CNN sobre un ataque nuclear por parte de los rusos hacia Georgia, y donde George Bush afirma la rápida respuesta de USA y de todos los miembros de las OTAN para la operación de castigo contra Rusia y el uso de armas nucleares.
Dentro del correo se muestra un enlace para ver el video de Bush, al dar click sobre el enlace, se accede a la "supuesta" página web de la CNN en el que aparece el vídeo de George Bush. Al intentar reproducirlo se pedirá que se instale un ActiveX para poder verlo, pero en realidad lo que se instala es el malware TSPY BANCOS.JN, que se utiliza para robar información sensible sobre cuentas bancarias y contraseñas.
Puedes consultar la noticia en http://blog.trendmicro.com/world-war-iii-malware-spam/
martes, 7 de octubre de 2008
¿ "Hacker" ?
http://news.cnet.com/8301-1009_3-10058341-83.html
Pues con la noticia de que ahora el conocido "mafiaboy" escribe sus memorias de cómo es que logró tirar los servidores de CNN, Yahoo, Amazon.com, eBay, E*Trade Financial, etc, en Febrero del año 2000.
La noticia me llama la atención porque en muchos medios se le llama "hacker". Quienes hayan leído algunos artículos, libros, etc, podrán también entender por qué lo digo.
Apesar de que ya se ha hablado sobre eso, y seguramente en muchas clases lo habrán repetido, hay una gran diferencia entre el término de hacker y el de script-kiddie. Los ataques que hizo en el 2000 a estos servidores fueron efectuados por herramientas que podían encontrarse en Internet, pero no sabía realmente el verdadero funcionamiento, no había conocimiento de fondo. Es más, según la forma en que fue descubierto, se pudo notar que se trataba de un adolescente de 15 años que buscaba cierto tipo de fama, ya que desde los canales IRC él mismo se atribuía la realización de dichos ataques.
En fín, solo una nota cultural ;|
Fuentes
-----------------
- http://www.noticiasdot.com/publicaciones/2004/0904/1409/noticias140904/noticias140904-20.htm
- Diario de un hacker, confesiones de Hackers adolescentes
- http://en.wikipedia.org/wiki/Mafiaboy
Pues con la noticia de que ahora el conocido "mafiaboy" escribe sus memorias de cómo es que logró tirar los servidores de CNN, Yahoo, Amazon.com, eBay, E*Trade Financial, etc, en Febrero del año 2000.
La noticia me llama la atención porque en muchos medios se le llama "hacker". Quienes hayan leído algunos artículos, libros, etc, podrán también entender por qué lo digo.
Apesar de que ya se ha hablado sobre eso, y seguramente en muchas clases lo habrán repetido, hay una gran diferencia entre el término de hacker y el de script-kiddie. Los ataques que hizo en el 2000 a estos servidores fueron efectuados por herramientas que podían encontrarse en Internet, pero no sabía realmente el verdadero funcionamiento, no había conocimiento de fondo. Es más, según la forma en que fue descubierto, se pudo notar que se trataba de un adolescente de 15 años que buscaba cierto tipo de fama, ya que desde los canales IRC él mismo se atribuía la realización de dichos ataques.
En fín, solo una nota cultural ;|
Fuentes
-----------------
- http://www.noticiasdot.com/publicaciones/2004/0904/1409/noticias140904/noticias140904-20.htm
- Diario de un hacker, confesiones de Hackers adolescentes
- http://en.wikipedia.org/wiki/Mafiaboy
sábado, 4 de octubre de 2008
ISO 27001
Aquí pongo la página donde pueden checar lo referente al tema "ISO 27001"
http://www.xunlay.com/iso/
Saludos
http://www.xunlay.com/iso/
Saludos
Suscribirse a:
Entradas (Atom)