viernes, 31 de octubre de 2008

Limite de 10 conexiones en Winxp Sp2

Tras la aparición de los virus Blaster, Sasser y Sober, entre otros Microsoft limita a 10 el numero de apertura de sockets salientes POR SEGUNDO (en su XP+SP2) siempre y cuando sean además AL MISMO PUERTO DESTINO.

Queda claro que el límite de conexiones no ha sido establecido por Microsoft sin una razón. Si utilizas un pc como maquina de escribir y para bajar archivos de vez en cuando, pasa de este mensaje. No eleves el límite de conexiones máximas si realmente no lo necesitas.

!!!! Los cambios en el límite de conexiones se realizan bajo tu responsabilidad!!!!

Según Jose Manuel Tella Llop (MVP - Windows) "Esto, no limita en absoluto los programas P2P" en lo cual discrepo profundamente. Será en tus P2P majo! porque entonces me gustaríaa saber porque en mi Visor de sucesos del PC q uso pra los P2P (limpio de virus/gusanos/etc) aparece una y otra vez el ID 4226 referente a:
Citar
TCP/IP alcanzó el límite de seguridad impuesto sobre el número de intentos de conexión TCP simultáneas.


Nota: Para abrir el visor de sucesos Inicio > Ejecutar > Eventvwr.msc y pulsamos en el registro Sistema.

P2P a parte, supongamos que te ves obligado a realizar un escaneo desde un XP+SP2. Como es evidente vas a usar al menos un proxy anónimo. Inicias el escaneo y los 4226 se disparan linealmente. ¿Que ha ocurrido? Pues que tu XP abre muchos sockets con el MISMO PUERTO DESTINO (useasé el 8080 del proxy por ejemplo) ¿más de 10 por segundo? Bastantes más dependiendo del tipo de escaneo.

Bit Torrent

P2M

Etc...

SOLUCIÓN:
Tras buscar sin éxito en el registro la clave que habia de modificar doy con que dicha clave no existe; pero también con un alemán que ha hecho un parche para esto, aumentando el límite a 50:
EventID 4226 Patcher Version 2.23d (english)

Como me fio lo mismo del código cerrado que de un exe bajado de la mula abro mi compilador y tras un par de debuggers ya tengo mi límite en 369 que para este pc son mas que suficientes.

Si deseas programartelo tu mismo los archivos que se debes modificar son:
Citar
C:\WINDOWS\system32\drivers\tcpip.sys
C:\WINDOWS\system32\dllcache\tcpip.sys

Fuente: ANELKAOS

Porgramas:

xp-AntiSpy Setup 3.95-2 ESP (Special --> Límite de conexiones INFINITAS.)

Parche winxp-sp2-4226patch_2.12.zip o EvID4226Patch223d-en.zip que te modifica el fichero para dejarte el número de conexiones a 50. Windows se da cuenta de que alguien ha modificado el fichero y lo intenta recuperar del service pack 2. Te pide el cd con el SP2, le dices que no y ya está listo.

Fuente: http://www.elhacker.net

Mi trono por un poco de Karma

Esta Sección no tiene nada que ver con el tema del que trata este Blog pero...

Mi trono por un poco de Karma.

-Que grande somos en este País de hecho hay un portal en Internet que así lo refleja, refleja lo grande que somos, irónicos y falsos a la vez.

1º-Todo por el Karma ¡¡Quiero Karma¡¡.

2º-No me importa si tengo copiar, plagiar.

3º-Meneasela a todo el que puedas, contra mas la menees mas opciones tendrás de subir tu Karma.

4º-Olvida tu ética social, a tu novia y familia.

5º-Levantate a las 6:00 Am y busca la noticia más actual, no veas como sube eso la adrenalina.

6º-Crea un perfil de ti mismo que en realidad no exista en la vida real.

7º-Ayudar al Admin y chivarse si alguna noticia ya a sido publicada (eso les encanta) ainss ¡¡como me gusta¡¡.

8º-Hacerme notar para bien o para mal mejor que hablen de mí a pasar desapercibido ¡¡Miradme estoy aquí¡¡.

9º-Hay que unirse cuanto antes a la mini-mafia de amigotes que se votan entre si porque si no –La llevas clara meneador-.

10º-Poner Meneame.net como pagina de inicio en el navegador si no el Admin se entera y podría bajarte el Karma.

11º- Si tienes mucho Karma dale caña a todo lo que se mueva ¡¡Que nadie te pise el terreno¡¡ esto es la guerra...

Ect, Ect., Ect…¿Para que mas?, la idea esta clara ¿verdad?. yeahh que agusto me he quedao.

Lo siento Ricardo Galli pero el garito se te ha ido de las manos, ya sabes pon seguratas en las puertas y esas cosas, y yo que tu pondría un cartel donde pusiera –No Frikis- a pesar de todo también entra gente competente -aunque cada vez menos-.

jueves, 30 de octubre de 2008

Google detecta agujeros de seguridad en las Webs

Google está probando una nueva función que notifica a los administradores de sitios web sobre potenciales vulnerabilidades en sus aplicaciones. Los robots de Google analizan continuamente Internet en búsquedas de nuevos contenidos, analizando, entre otras cosas, los denominados meta-tags que contienen información como por ejemplo el CMS (content management system) empleado. Precisamente Google usará esta información con el fin de advertir sobre potenciales vulnerabilidades.

Inicialmente, Google ha optado por concentrarse en un programa específico, la plataforma de blog WordPress, cuya versión 2.1 es conocida por sus agujeros de seguridad. Si Google detecta un sitio que aún usa WordPress 2.1, notificará al administrador del sitio, sugiriéndole instalar una versión más reciente. Este servicio representa en principio un desafío práctico para Google, debido a que la compañía carece de las direcciones de correo electrónico de todos los propietarios y administradores de sitios. Por lo tanto, la notificación es enviada al centro de mensajería (message center) de la propia Google, que es parte de las herramientas gratuitas para webmasters. Mediante este servicio, el propio webmaster puede incorporar su sitio y así tener acceso a las notificaciones de seguridad.

Entonces, la función de seguridad sólo beneficia a quienes usan las herramientas para webmasters de Google. Google informa que las notificaciones son almacenadas, de forma que los propietarios de sitios podrán tener acceso a éstas si decidieran crear una cuenta posteriormente.

Al igual que muchas otras funciones de Google, el sistema está en etapa Beta, por lo que la empresa enviará inicialmente notificaciones de este tipo a sólo 5 -6 mil webmasters, y posteriormente esperar los resultados antes de decidir si ofrecer permanentemente la función.

Fuente: http://www.diarioti.com/gate/n.php?id=19964

Smartcodes

Hablemos de los -Smartcodes- ¿Que son?, pues básicamente son mensajes ocultos en imágenes y que están siendo utilizados desde hace tiempo por empresas de Marketing las cuales han visto un filón nuevo y muy poco explotado.
Se podría decir que los -Smartcodes- actúan de manera similar a un código de barras: el usuario puede capturar con la cámara de su teléfono gráficos desde un cartel publicitario o una página de un periódico, y que al ser reconocidos por un software especial, direccionan al usuario al sitio Web de la compañía para brindarle más datos sobre el producto en cuestión.

Aquí tenemos algunos de los diseños que podríamos encontrarnos en los carteles de publicidad.




Incluso podríamos crear nuestros propios -Smartcodes- desde esta Web y registrándose en ella, te permite recibir vía SMS una utilidad para leerlos.Una vez se reciba el SMS, se procede a instalarlo en el móvil, pudiendo leer de esta forma los -Smartcodes-.

miércoles, 29 de octubre de 2008

-Storm Worm- ¿Troyano vivo o muerto?

El troyano “Storm Worm”, que en sus tiempos de gloria llegó a crear una gigantesca red zombi compuesta por 1 millón de ordenadores, en la actualidad se encuentra inactivo.

Sin embargo, mientras que algunos expertos ya lo dan por muerto, otros prefieren no cantar victoria, pues es posible que vuelva a levantarse con más fuerzas que antes.

También existe la teoría de que los creadores de Storm abandonaron esta red para enfocar todas sus energías en un nuevo programa nocivo.

Storm Worm nació a principios de 2007, cuando fuertes tormentas azotaban varias ciudades europeas. La red zombi Storm Worm utilizó esta tragedia como excusa para enviar correos spam que infectaban a los usuarios de Internet.

Fuente: http://www.viruslist.com/

martes, 28 de octubre de 2008

El P2P es el responsable del 61% del trafico de subida

Sin duda este estudio da mucho que pensar, pensar en el porque los ISP'S Españoles nos dan una subida ridícula con respecto a otros países europeos, desde luego la mayoría de nosotros tenemos una conexión a Internet totalmente asimétrica y eso se debe a que los ISP'S no están dispuestos a dejar de priorizar el trafico en Internet con respecto al P2P ¿Porque?...cada uno tendra su propia respuesta.


Sandvine, fabricante de soluciones para filtrar el tráfico P2P dirigidas a proveedores de internet, ha publicado un estudio sobre el tráfico de internet. Sus conclusiones hay que cogerlas con pinzas sabiendo que la compañía vende productos con los que algunos ISP priorizan el tráfico de sus clientes.

En el estudio se han inspeccionado las redes de 26 proveedores de internet en 18 países. Los datos analizados pertenecen a 16 millones de usuarios de ADSL y cable.

A nivel mundial es el tráfico HTTP es que ocupa el primer lugar con el 43% del ancho de banda del canal de bajada, mientras que el P2P queda en segundo lugar con el 22%. Sandvine atribuye la superioridad actual del HTTP a el éxito de webs de alojamiento de archivos como Rapidshare o Megaupload.

En el canal de subida, el rey es el P2P, ocupando nada menos que el 61% del caudal disponible. Viendo esta cifra uno comprende por que a algunas operadoras les cuesta tanto estirarse con el ancho de banda de subida. Manteniendo baja la velocidad de subida, se consigue contener el tráfico P2P sin necesidad de filtrado a nivel de paquetes TCP/IP.

A la vista de estos datos, Sandvine destaca que solo la puesta en marcha de soluciones QoS, o de administración de tráfico, pueden garantizar que otras aplicaciones de tiempo real, como la VoIP, mensajería instantánea o el streaming de vídeo puedan seguir funcionando con normalidad. Otra alternativa mucho más conveniente es la inversión en infraestructura de red.

Mas sobre este estudio (PDF)

Twitter ¿Herramienta para terroristas?

Un batallón de Inteligencia del ejército estadounidense ha publicado un informe sobre cómo los terroristas podrían aprovechar los servicios del sistema de mensajería Twitter para organizar y realizar ataques contra sus enemigos en tiempo casi real.

El informe, publicado en el sitio web de la Federación de Científicos Estadounidenses, identifica tres maneras en las que los criminales podrían utilizar Twitter para lanzar ataques terroristas, aunque afirma que todavía no se ha visto ningún caso de este tipo.

Primero, los terroristas podrían utilizar un teléfono con grabadora de videos para intercambiar mensajes de Twitter con su grupo. Esto les permitiría mantener a sus compañeros al tanto de los movimientos de sus enemigos y organizar sus acciones según los acontecimientos del momento.

La segunda posibilidad es que un terrorista use dos teléfonos móviles: uno con grabadora de videos y otro que en realidad es una bomba que se activa con un detonador que tiene su compañero al otro lado de la línea.

El compañero, que puede estar en cualquier lugar, recibiría las imágenes del móvil del terrorista y escogería el momento más apropiado para activar el detonador.

Y, por último, los terroristas podrían utilizar Twitter para ponerse en contacto con soldados del bando enemigo que analizarían los mensajes que publican en busca de algo que les sea útil. También podrían extraer todo tipo de información del enemigo empleando tácticas de ingeniería social.

La información recolectada podría utilizarse tanto con fines militares como para cometer robos de identidad, ataques violentos y crímenes virtuales.

Steven Aftergood, ex analista de inteligencia de la Federación de Científicos Estadounidenses recalcó la importancia de adelantarse a los actos de los terroristas, pero también hizo fuertes críticas al informe.

“Los terroristas emplean tarjetas de crédito y abridores de lata para realizar sus ataques, así que seguro que también podrían utilizar Twitter (…), pero eso no lo convierte en un peligro para la seguridad nacional”, aseguró Aftergood.

Aftergood también criticó el hecho de que se estudie una amenaza poco peligrosa en vez de enfocarse en las más arriesgadas. "Es necesario mantener un cierto orden proporcional", opinó.

Que es Twitter

Fuente: http://www.viruslist.com/

Google presenta Street View en España

A raiz del aumento de Zoom de Google Earth en muchas zonas de España la multinacional sigue avanzando y hoy se ha presentado en España Street View un nuevo servicio en el cual podremos ver imagenes de las mas importantes ciudades Españolas a 360º.

Este nuevo servicio integrado en Google Maps y Google Earth permite pasear por Madrid, Barcelona, Sevilla y Valencia, gracias a las imágenes de 360 grados tomadas a pie de calle.

Aunque desde ayer Street View ya estaba operativo, esta mañana ha tenido lugar la presentación oficial en sus oficinas en la Torre Picasso. España se convierte así en el segundo país europeo en disponer de este servicio.

Street View permite navegar visualmente por las calles de una ciudad mediante fotografías de 360 grados hechas a pie de calle. El servicio está integrado en Google Maps (para ordenadores y móviles) y Google Earth (para ordenadores). Para usarlo simplemente hay que pulsar en el nuevo botón que aparece y hacer doble clic en la calle que deseemos observar.

Las primeras poblaciones españolas en disponer de este sistema son los núcleos urbanos de Madrid, Barcelona, Sevilla y Valencia. Aunque el resto de ciudades tendrán que esperar un poco, Google ha anunciado que su objetivo es aumentar la cobertura al resto del territorio. Aunque no han confirmado nada, el avistamiento del coche de Street View por otras ciudades apunta a que las próximas candidatas pueden ser Bilbao, Gijón, Málaga, Oviedo, Valladolid y Zaragoza.

Google ha querido dejar claro que sólo ha realizado fotografías de lugares abiertos y públicos. Su objetivo, ha insistido, es tomar imágenes de calles, plazas y edificios, pero no de las personas. Así, para garantizar la privacidad de la gente y respetar las leyes vigentes, ha procesado todas las imágenes mediante un complejo software que se ha encargado de difuminar los rostros y las matrículas de los vehículos. Tal ha sido su celo, que incluso se han borrado rostros de carteles y anuncios.

Sin embargo, el programa no es perfecto y pueden encontrarse algunas caras y matrículas sin ocultar. En este caso, desde la propia ventana de la aplicación (enlace Ayuda de Street View) un usuario afectado puede solicitar que se eliminie la foto que considere oportuna.

Además, Google en su web pone a disposición de quien lo desee el API para integrar esta aplicación en cualquier web y así aprovechar las ventajas que proporciona este nuevo servicio.

Al acto de presentación de Street View asistieron por parte de Google, Javier González-Soria, director de la División de Turismo; Olga San Jacinto, directora de la División de Finanzas, Inmobiliario y Local, Fernando Delgado, Ingeniero de la sede de Zurich; Clara Rivera, responsable de Marketing de Producto y Bárbara Navarro, relaciones institucionales.

Google ha colaborado con portales inmobiliarios, de turismo y ocio con el fin de demostrar ejemplos prácticas de esta herramienta. Así, en la rueda de prensa también se contó Mónica Espina, directora de Fotocasa.es, Pablo Bautista, gerente de esmadrid.es y Juan Vallejo, Director General de Lanetro.com, que hablaron de la integración de Street View en sus páginas con el fin de ofrecer un mayor servicio a sus usuarios.

lunes, 27 de octubre de 2008

Claves Web/Wpa al descubierto

Desde El Hacker.net he podido leer un articulo bastante interesante sobre como sacar las claves de acceso a una Red Wi-fi simplemente teniendo el numero de serie del aparato en este caso el ejemplo se lleva al Router Thomson “SpeedTouchXXXXXX”.

Introducción
A la hora de comprobar la vulnerabilidad del WPA, a día de hoy continúa siendo imposible de romper el cifrado. En cuanto a puntos débiles, el ataque contra la clave PSK es la práctica habitual, donde se centran los programas como Aircrack y coWPAtty.

Así pues, si el sistema goza de buena robustez en la actualidad, nos planteamos… hay algún otro punto débil que afecte el sistema? Pues si, estudiar el proceso de generación de los datos preconfigurados en los equipos subministrados por los fabricantes y/o ISPs.

Hay un dato relevante para este planteamiento: La mayoría de gente que dispone de una red inalámbrica mantiene los parámetros preconfigurados en los equipos, tanto WEP/WPA, ya sea por el desconocimiento de la materia, o simplemente por dejadez. Y si no, para comprobarlo basta con hacer un escaneo de redes en el que observarás que un alto porcentaje de las redes encontradas mantienen los parámetros de fábrica o establecidos por el ISP en su ESSID, lo que da a pensar que con la contraseña pasa lo mismo.

Con esto, pensaréis que los fabricantes y/o ISPs utilizan un proceso muy complejo para la generación de estos parámetros, con el fin de evitar que toda la fortaleza del protocolo de cifrado (al menos en el WPA) se vea mermada por culpa de este proceso. Pues no es del todo así.

De todos es conocido la fragilidad de los algoritmos de generación de estos datos en redes tipo como las Wlan-XX, Dlinkwireless, adsl-xxxx, …, que han llevado a la generación de aplicaciones que utilizan la fuerza bruta y/o la aplicación inversa del algoritmo facilitando el descubrimiento de la clave.

En este caso, nos propusimos aplicar esta prueba en las redes WEP/WPA SpeedTouchXXXXXX de routers del fabricante Thomson.

El protagonista: Router Thomson.
Como veremos, en este caso la fragilidad en la implementación de los datos preconfigurados afecta al router, con lo que puede verse afectado no uno solo, sino otros ISPs e incluso de otros países.

Estas redes son generadas por routers Thomson modelos 580i i 585v6. A la vista del proceso de instalación y configuración de estos routers, se aprecia que en el propio software se encontraba el algoritmo para la generación de los datos preconfigurados. En este caso, el único dato introducido durante el proceso que haga única una red, es el número de serie del router. Esto ya da una pista importante.

Anteriormente, había leído algo sobre Kevin Devine, sobre un descubrimiento similar que había hecho en el caso de las redes Eircom, en las que había descifrado el algoritmo que utilizaba para la generación de la clave WEP con que vienen configuradas.

Por lo que me puse en contacto con el, le expuse el caso, y nos pusimos a investigar. Mediante ingeniería inversa, Kevin pudo establecer un primer apunte de cómo eran generados los parámetros basándose en el número de serie. A partir de ahí, era necesario disponer de un router para las “practicas”, dado que si no el programa de instalación se paraba.

Así que me puse a buscar un “donante”. Gracias a Pazienzia, dispusimos de uno. Luego nos dimos cuenta que hubiera ido bien enviarle también la tarjeta wifi usb que acompaña el router (ver texto completo de Kevin), pero no fue necesario dado que el asunto tenía expectación y contó también con la colaboración de otra gente. A partir de aquí, la cosa fue rodando y rodando…

El algoritmo al descubierto. Caso redes SpeedTouchXXXXXX.
Como he dicho, se pudo comprobar que la base del proceso es el número de serie. Así que, vamos a analizar por ejemplo CP0615JT109 (53). De las observaciones realizadas se llegó al siguiente planteamiento:

CP YY WW PP XXX (CC)

Donde, que significa cada cosa?...

YY es el año de fabricación. ( 2006 ) ?
WW es la semana del año. ( 15 ) una semana de Abril ?
PP es el código de producción/fabricación. ( JT ) ?
CC es el código de configuración. ( 53 ) ? del estilo 00 - ZZ (0-9/A-Z)

Sobre el valor XXX, solo especular. Quizá representa el número de unidad?

Con esto, y tomando como ejemplo "CP0615JT109 (53)" el proceso es el siguiente:

Se eliminan los valores CC y PP del número de serie

"CP0615109"

Convertimos los valores de XXX a hexadecimal.

"CP0615313039"

Procesamos mediante el algoritmo SHA-1

742da831d2b657fa53d347301ec610e1ebf8a3d0

Los últimos 3 bytes hexadecimales se convierten en una cadena ASCII de 6 bytes, los añadimos a la palabra "SpeedTouch", con lo que tenemos el ESSID por defecto.

"SpeedTouchF8A3D0"

Los primeros 5 bytes hexadecimales se convierten en una cadena ASCII de 10 bytes, con lo que tenemos la clave WEP/WPA por defecto.

"742DA831D2"

Y esto es todo...

Recuperación.
El método desarrollado aquí utilizando la fuerza bruta es un poco simple... pero suficiente por el momento. Se utilizan los datos del ESSID para averiguar el hash entero, mediante la aplicación del algoritmo sobre los posibles números de serie y por comparación.

Teóricamente, con los 3 octetos del ESSID en el caso de estas redes, no se requieren más de 2 intentos para tener acceso satisfactoriamente a la red.

En casos en que solo se utilizan 2 octetos en el ESSID se generan muchas más claves potenciales, así como tentativas a realizar (siendo una media de 80).

Aún así, esto mejora notablemente las posibilidades a un atacante de acceder al router, aún protegido con WPA - más si este puede capturar un handshake y utiliza el Aircrack, Cain&Abel o incluso el coWPAtty en modo offline para descifrarlo.

En todo caso, hay que recordar que esta herramienta la podemos utilizar para que podamos comprobar en nuestra red este punto débil, o con el permiso del propietario.

La herramienta: stkeys.

- Descarga del código fuente en español (compilable en linux/windows):
http://download.wifislax.com:8080/stkeys_ES_src.zip
m5d: 6472d51a88010754756154d93d7fb2be

- Linux (compilado+instalador+lanzador). Desde cónsola teclead:
gzip -d install.sh.gz
chmod +x install.sh
./install.sh

- Windows (compilado):
http://download.wifislax.com:8080/SpeedTouchKeys-v0.1.zip
MD5: 2b5ea7d4539ea5b02fc8ea569e5566f6


(ver "notas del programa" al final de este mensaje, sobre cambios de parámetros antes de compilar)

Para compilar el código en linux, usar gcc:

gcc -fomit-frame-pointer -O3 -funroll-all-loops stkeys.c sha1.c -ostkeys

Es posible que al compilar os lance unos errores tipo “implicit declaration…”, que no afectan al proceso. Destacar que en el código se ha utilizado la implementación del algoritmo OpenSSL SHA-1, que es por lo que realiza el proceso muy rápido.

Al ejecutar el programa, os saldrá:



Caso práctico

Ejemplo de uso en un router Thomson modelo ST585v6 con ESSID “SpeedTouchF8A3D0":



En este ejemplo, la clave correcta es la obtenida en la primera opción.

El G1 de Google ya tiene su primer fallo.

Al parecer el nuevo y flamante Telefono Movil de Google el G1 ya tiene su primer fallo de seguridad, su descubridor pues Charlie Miller, doctor en Informática y ex-empleado de la NSA concocedor tambien de las vulnerabilidades del iPhone.

Hasta y el momento y que se sepa todavia no se han revelado los detalles tecnicos de la Vulnerabilidad sin embargo se sabe que podría permitir instalar software malicioso capaz de registrar pulsaciones de teclas, lo que facilitaría al atacante la obtención de contraseñas y otros datos confidenciales del usuario, como podemos apreciar el fallo es bastante gordo.

Por su parte Google ha reconocido el fallo, aunque no le ha dado mucha importancia y se ha mostrado molesta porque haya sido revelado públicamente por Miller antes de darles tiempo para solucionarla.

Hace un par de dias que el G1 se esta comercializando en los Estados Unidos por la compañia T-Movile.

Adobe Flash Player 10 ¡¡Cuidado¡¡

Desde Hispasec se alerta de ser cautos a lo hora de actualizar a la version de 10 de Flash Player y es que hay mucho oportunista suelto que intentara colarnos un Malware antes de que nos demos cuenta, se recomienda -logicamente- realizar la descarga desde el sitio Web original o desde un punto fiable para no caer asi en el engaño y ver nuestra querida maquina comprometida con quien sabe que.

Esta actualizacion corrige la funcionalidad de versiones anteriores que permite a una web secuestrar el portapapeles. Con la función "setClipboard" de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. Esto se está aprovechando actualmente para, a través de un archivo SWF, modificar a gusto del atacante el contenido del clipboard. Curiosamente, Flash 10 introduce una nueva función Clipboard.generalClipboard.getData que sí permite la lectura del portapapeles bajo ciertas circunstancias. Esto sí que podría llegar a suponer un problema grave de seguridad si se saltan las restricciones tenidas en cuenta por Adobe.

Adobe admitió el potencial peligro de estas funciones pero aun así no lo ha solucionado en las versiones anteriores a la 10. Como muchas otras compañías hacen, corregir exclusivamente en versiones avanzadas ciertos problemas (que pueden ser incluso de seguridad) sirve como excusa para fomentar una migración a su software más moderno. Por ejemplo, en estos momentos existen cinco potenciales fallos de seguridad en la rama 9 de Flash, que han sido solucionados exclusivamente en la 10. Para su versión 9, muy usada aún, se prolonga "artificialmente" la espera de la actualización hasta principios de noviembre.

Mas sobre esta Noticia

sábado, 25 de octubre de 2008

Vulnerabilidad critica en Windows

Desde el sitio Security Focus se ha publicado una PoC (Proof of concept) para la vulnerabilidad "Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability".

Se estima que con el pasar de las horas existirán cada vez más exploits y mayor cantidad de ataques explotando esta vulnerabilidad, por lo que recordamos una vez la importancia de instalar el parche en los Sistemas Operativos Windows.

La vulnerabilidad proporciona acceso al sistema víctima a través de los recursos compartidos, permitiendo hacerse de forma remota con el control total y facilitando la ejecución de código, todo ello sin necesidad de ninguna autenticación y sin participación ni conocimiento alguno por parte del usuario de la máquina atacada, lo que permite automatizar el ataque mediante un gusano o similar.

Al parecer, el firewall de SP2 evita el ataque, siempre que esté activado y no esté habilitada la compartición de ficheros e impresoras. En los casos menos graves (Vista y 2008 Server) parece que sólo es posible provocar denegaciones de servicio.

Descarga el Exploits
Descarga el parche
Fuente: http://blog.segu-info.com.ar/
Mas sobre esta noticia

Análisis de los 50Mb/3Mb de Ono



Ayer cayeron en nuestras manos los flamantes 50 megas de Ono, gracias a uno de los primeros clientes a los que la operadora ha dado de alta fuera de las pruebas piloto. Son muchas las dudas que suscita esta nueva modalidad. ¿son 'hasta 50 megas' o son reales? ¿estará capado el P2P? ¿mejorará el ping del cable DOCSIS 1.1? Aquí te traemos las respuestas.

Instalación

Nos situamos en el barrio de los coronales, en el distrito de Barajas. Hasta principios de año, en el domicilio donde hemos realizado las pruebas, solo podíamos contratar ADSL sincronizando a alrededor de 1 Mbps (con 60 dB de atenuación). En mayo Ono instaló su red en las fachadas de los edificios y pudimos contratar los 6Mb/300Kb.

La solicitud de los 50 megas se hizo el 22 de septiembre a través del minisite que se anunciaba en el artículo Ono ya permite reservar los 50 megas. El viernes pasado se pusieron en contacto para informarnos de que nuestro nodo ya disponía de DOCSIS 3 y confirmar la instalación. Ayer recibimos por correo el cablemodem con las instrucciones de activación.

Los 100 megas los instala un técnico, pero los 50 megas se los instala uno mismo si ya eres clientes de Ono. Para activarlos, solo hace falta entrar en servicios.ono.es/autoinstalacion e introducir la dirección MAC que viene en la etiqueta del cablemodem.

Así lo hicimos. A continuación desconectamos el viejo cablemodem para instalar el nuevo. A los 30 segundos teníamos acceso de nuevo a internet.

Pruebas

Hacemos un primer test de velocidad. 29.729 Kb de bajada y 2.662 de subida. No podemos evitar una sonrisa de satisfacción, aunque sabemos que la conexión tiene que dar mucho más. Lo hemos probado con un Windows XP, conectado por Ethernet 100Mbps a un router Linksys WRT54G (con ddwrt).

Conectamos directamente al cablemodem sin pasar por el router para seguir probando. Ahora si, 46.188 Kbps de bajada y una subida de 2.831 Kbps. Disfrutamos del momento, ya que nos parece casi histórico. Quién nos iba a decir hace un año que a finales de 2008, en un domicilio particular en España, tendríamos un caudal de 50/3 Mb. Otros tests de velocidad realizados en speedtest.net llegan a marcarnos hasta 51150/3065 Kbps.

Seguimos con las pruebas. Nuestra IP sale a través de la red Madritel que compartimos con el resto de clientes de Ono.

La latencia, inferior a la del DOCSIS 1.1, nos da 7 ms a bandaancha.eu y 8 ms a ono.es. Poco más que una conexión FTTH.

La prueba de fuego: el P2P

Sabemos que es la pregunta del millón. ¿está capado el P2P? Ono, como otros operadores de cable, prioriza el tráfico HTTP sobre el generado por programas P2P en los nodos más saturados. Debido a esto, se ha ganado la fama de "capar" el P2P.

Con las nuevas modalidades de 50 y 100 megas, Ono parece querer limpiar esta imagen. En la nota de prensa de presentación se mencionaba que con la conexión se podían "compartir archivos". Incluso aparecía un gráfico comparativo de lo que tardaría la descarga de un DVD mediante P2P con varias velocidades populares en el mercado.

Nosotros hemos puesto a trabajar al uTorrent y este es el resultado. Bajamos a 5 MB/s. Una ISO de 698 MB está en nuestro equipo en algo más de dos minutos y eso teniendo en cuenta que la conexión puede entregar hasta 6,1MB/s. Falta por ver que ocurre si esto lo hacemos de forma intensiva, pero la primera impresión es muy buena. No estamos capados.

Conclusión

Estamos impresionados. La sensación es parecida a como cuando te subes por primera vez a una moto de gran cilindrada. La velocidad en relación con la contratada es francamente buena, y cumple con la garantía del 80% que anunció Ono y a la que estarán obligados pronto todos los operadores. Y que rinda a 5MB/s el P2P nos parece un sueño.

Por otra parte, el despliegue tan limitado que está haciendo Ono del DOCSIS 3 nos da a entender que de momento esto es una exhibición de fuerza. Mientras el resto de medios seguimos expectantes a Telefónica y su FTTH, Ono nos deja a todos con la boca abierta comercializando modalidades con las que no podíamos ni soñar hasta hace bien poco, superando de largo los 30 megas de Telefónica a un precio más bajo.

Veremos si en los próximos meses Ono extiende el DOCSIS 3 a otros nodos en el resto de el país. A juzgar por el interés que los 50 megas están despertando en los foros, va a ser una modalidad con bastante éxito.

Fuente: http://bandaancha.eu/



miércoles, 22 de octubre de 2008

Descripcion de un ataque a Redes Wi-fi

Mucho se ha hablado sobre la seguridad en redes Wireless, pero sin embargo, aunque parezca mentira, aun no ha sido suficiente para hacer entender al usuario menos técnico de los riesgos de una red Wireless insegura.

Supongamos que tenemos un flamante router de conexión a Internet Wifi en nuestra casa con un sistema WEP. En ese entorno, da exactamente igual que contraseña pongas, que sea compleja, sencilla, larga, corta o de colores. Esta contraseña es de una complejidad prácticamente nula para un atacante sacarla, con lo que el atacante podrá, a partir de ese momento por ejemplo: conectarse a tu red y colgar un emule (para que a él no le vaya lenta su conexión a Internet que tiene que trabajar) o hacer trastadas ilegales desde tu dirección IP y ya si eso, si pasa algo malo en el futuro, dios no lo quiera, ya contestas tú sobre las consecuencias o podrá por ejemplo, disfrutar del placer de la lectura de tus conversaciones de Messenger si no has utilizado un programa de cifrado para el mismo, o comparar si realmente puedes permitirte el BMW ese que tienes en la puerta mirando el extracto de tus cuentas bancarias.

Sí, es así de sencillo para un atacante si tienes una red con conexión WEP. Claro, la alternativa es utilizar WPA/WPA2. Ambas tecnologías son bastante similares en su funcionamiento, diferenciándose únicamente en los algoritmos de cifrado y de integridad utilizados. En estos entornos, en redes WPA/WPA2, hay dos formas de configurar nuestra red: El modo “empresarial” y el modo “personal”.

La primera, en modo empresarial, utiliza un servidor RADIUS para autenticar las conexiones, permitiendo que los usuarios o los ordenadores se autentiquen por contraseñas, certificados digitales, etc… Este sistema permite que cada cliente de la red wireless tenga una identificación distinta de sus compañeros de red…y esto es bueno para la seguridad. Sin embargo, esta infraestructura suele requerir más servidores de los que un usuario puede disponer en su casa.


Imagen: Configuración punto de acceso con WPA y servidor RADIUS

En la otra infraestructura, en la WPA/WPA2 personal, todos los usuarios utilizan una misma clave para autenticarse en la red… y esto es malo. Cuando un equipo se autentica en una red el conjunto de intercambio de mensajes es conocido y se realiza a partir de derivadas de la clave. Esto permite a un posible atacante qué, si captura los paquetes de autenticación, conocidos como “handshake” o saludo, pueda intentar saber cuál es la contraseña de la red. La idea es sencilla: El atacante sabe que los paquetes que ha capturado son derivados del nombre de la red y la clave de la red así que, como conoce todo (porque es público) menos la clave de la red, puede ir probando diferentes claves, aplicando el mismo algoritmo que se aplica en las redes WPA/WPA2 y si el resultado es igual a lo que se ha capturado entonces esa es la clave.


Imagen: Crackeo de clave WPA con AirCrack

Estos ataques, realizados por fuerza bruta o por diccionario, se han optimizado mediante el uso de tablas pre-calculadas, es decir, ya existen hasta 33 GB de datos ya calculados con valores de red disponibles en internet. Esto quiere decir que si el nombre de tu red y tu clave son sencillos o han sido ya pre-calculados, para un atacante va a ser tan sencillo como meter tu handshake y en un par de segundos conocer tu clave y a partir de ese momento…. : conectarse a tu red y colgar un emule … y todo lo demás.


Imagen: http://www.renderlab.net/projects/WPA-tables/

En el caso de las redes WPA/WPA2 personales, el uso de un SSID no trivial y de una clave lo suficientemente compleja, aprovechando al máximo los 64 bytes que permite el protocolo, permitirían disponer de cierta seguridad frente a atacantes externos y parece la única solución medio segura para redes particulares… sin embargo…. Sin embargo, tanto en redes WEP como en redes WPA/WPA2, la seguridad de la red queda anulada totalmente contra atacantes internos.

En el caso de WEP, cualquier usuario de la web que tenga la clave WEP puede ver todo el tráfico generado por todos los usuarios en claro, así que, si compartes la red con tu esposa, hermano, hermana, primo, cuñada o suegra, y la tienes en WEP, cualquiera de ellos va a poder ver el tráfico que generas.

En el caso de las redes WPA/WPA2, el cifrado de los datos se hace con claves distintas para cada usuario, es decir, cada uno de los clientes de la red utiliza un conjunto de claves de cifrado (4 para conexiones unicast y 2 para broadcast) que son personales y que además se cambian cada cierto tiempo.

No obstante, un atacante interno en una red WPA/WPA2 que capture el handsake va a poder conocer todas las claves que se han generado para este usuario en particular. La idea es sencilla, el cliente, utilizando la clave de la red WPA intercambia unos numeritos con el punto de acceso. Estos numeritos son utilizados para generar una clave de cifrado temporal que se usará para cifrar las claves que se van a crear para ese cliente y enviárselas. Si un atacante interno conoce la clave WPA/WPA2 va a poder descifrar y acceder a la clave de cifrado temporal y por tanto, a descifrar lo que con ella se cifre. En este caso, las claves de cifrado del usuario. Así, un atacante interno podrá: disfrutar del placer de la lectura de tus conversaciones de Messenger si no has utilizado un programa de cifrado para el mismo, o comparar si realmente puedes permitirte el BMW ese que tienes en la puerta mirando el extracto de tus cuentas bancarias, bla, bla, bla…


Imagen: Datos capturados enviados con WPA capturados y descifrados con ConmmView



Imagen: Página html descifrada a partir del tráfico WPA capturado y descifrado con CommView

Al final, cuando te conectas en un hotel con WEP o WPA/WPA2 personal o cuando le dices a tu primo que viene de visita: “La clave es 283449sufjlkas,.3we09” la seguridad de tu red, ya sea la que sea, se ha terminado así que, aquí tienes unas recomendaciones:

1) WEP es malo, no lo uses nunca. Si vas a un hotel y tiene WEP conéctate sólo a través de conexiones seguras que puedas comprobar mediante certificados digitales comprobables o usa una VPN (para viajar las VPN-SSL son muy cómodas y funcionales).

2) WPA/WPA2 con una contraseña débil es malo, y desde que ha aparecido NVidia Cuda aplicado al crackeo de WPA/WPA2-PSK reduciendo los tiempos un 10.000% las que no sean cambiadas cada poco tiempo también son débiles.

3) Si tienes WPA/WPA2 con un SSID fortificado y una contraseña fortificada de 64 caracteres con un montón de caracteres raros mezclados no le des la clave a nadie, pues todo aquel que tenga la clave podrá ver todos tus datos.

PD: Tal vez eso de montar la VPN sea una buena idea.. ¿no?

Fuente: http://elladodelmal.blogspot.com/

Un grupo de Hackers roba datos de clientes de Deutsche Telekom

Los ladrones se hicieron con los nombres, direcciones y números de teléfono de unos 17 millones de usuarios de la operadora alemana.


Deutsche Telekom ha confirmado que ha sido robada la información personal de unos 17 millones de clientes. El escándalo, que tuvo lugar en 2006, ha sido reconocido por la operadora, después de que la revista Der Spiegel publicase la información el pasado lunes.

Los datos robados no incluyen detalles bancarios, números de tarjetas de crédito o datos de llamadas, pero sí consiguieron los registros con los nombres, direcciones y números de teléfono, e incluso en algunos casos, también fechas de nacimiento y direcciones de correo electrónico.

La operadora ha indicado que informó a la fiscalía a principios de 2006, pero que no encontró evidencias de que los datos hubieran sido utilizados por los ladrones. Como publica Reuters, la compañía se defiende alegando que aumentó las medidas de seguridad y asegura que ofreció a los clientes la posibilidad de cambiar sus números gratuitamente poniendo en marcha una línea especial para contestar a dudas y preguntas.

Según un portavoz del gobierno, el Ministerio del Interior ha pedido a los investigadores que están actuando en el caso que analicen el peligro potencial para los usuarios.

Este robo de datos pone en tela de juicio la seguridad informática de Deutsche Telekom, que ha sufrido dos escándalos de robo de datos en un año.

Fuente: www.vnunet.es

Backtrack 3

BackTrack es una distribucion GNU/Linux pensada y diseñada para la auditoria de seguridad o Test de Intrusion y relacionada con la seguridad informática en general.

Incluye una larga lista de herramientas de seguridad preparadas para su uso, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoria Wireless.

Sin duda esta Distribución es muy popular en los círculos Hack por las herramientas que contiene, la mayoría muy potentes.

Backtrack deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX es la evolución del Whoppix,(WhiteHat Knoppix) el cual pasó a basarse en SLAX en lugar de en Knoppix.

Lista de Herramientas disponibles en Backtrack 3

Descarga Backtrack 3
MD5: f79cbfbcd25147df32f5f6dfa287c2d9
SHA1: 471f0e41931366517ea8bffe910fb09a815e42c7

Video de Backtrack 3 en accion

Los BACKDOORS encabezan la lista de virus mas activos

Los virus troyanos, distribuidos normalmente a través de correos electrónicos, ocupan el segundo lugar con un 24,6%, seguido de los ‘downloader’ y los ‘adware’.

Durante el pasado mes de septiembre, según un informe de los laboratorios de G Data, se distribuyeron 98.697 aplicaciones malware en los ordenadores de miles de usuarios.

Para realizar este estudio G DATA ha llevado a cabo una clasificación de los distintos virus detectados en función de su actividad maliciosa y mecanismo de distribución.

De entre los tipos de virus más activos destaca, con un 26% del total de infecciones, las puertas traseras o ‘backdoors’, que abren un circuito alternativo apara acceder al equipo de la víctima provocando así un incremento de ordenadores “zombi” en todo el mundo. Los ciber-criminales integran estos virus en un ‘botnet’ mundial, que constituyen el mayor foco de envío de spam hoy en día.

En segundo lugar, con un 24,6%, los troyanos, que se propagan mediante el correo electrónico o redes P2P. Seguidamente se encontrarían los virus ‘downloader’, que descargan archivos adicionales de Internet sin la autorización del usuario, y los ‘adware’, los cuales bombardean con anuncios publicitarios al usuario según los hábitos de navegación en Internet que haya registrado anteriormente.

En los que llevamos de año, los hackers han distribuido 625.000 nuevos virus, cuatro veces más que el año pasado.

Fuente: http://www.vnunet.es

PC'S Zombis en 5 minutos.


Un articulo fascinante, y terrorífico, en el New York Times nos pone al tanto sobre las "computadoras zombies," el aproximadamente medio millón que ya están convertidas, agrupadas en sistemas denominados "botnet" y forzadas a hacer sombrías apuestas figuradas, con la forma de programas automatizados que envían la mayoría del correo basura (spam), buscan ilegalmente información financiera e instalan software maliciosos en aún más PCs.

¡Bloqueen sus Windows y niños!

En lo que se parece a la trama de "28 días después" - la “furia” de la computadora, el Times informa que las botnets están vivas y fuertes, y según shadowserver.org, un sitio que le sigue la pista a estas cosas:
"El tiempo promedio de infección es de menos de cinco minutos," dijo Richie Lai, que es parte del Grupo de Aplicación de Seguridad de Internet de Microsoft, un grupo de unos 20 investigadores. El equipo está enfrentando una amenaza que en los ultimos cinco años ha crecido de ser un pasatiempo de hacker a un oscuro negocio que está amenazando la viabilidad comercial de Internet.
¡Grande Scot! La sencilla realidad de estas bots es aterrorizando a los preocupados por la seguridad: cualquier computadora conectada a Internet puede ser vulnerable. Los ataques de botnets pueden venir con su propio programa antivirus, permitiendo a los programas controlar una computadora y luego eliminar efectivamente a otros malware competidores.

Según el artículo, los investigadores de Microsoft "se maravillaron últimamente al encontrar una botnet que activó la opción de Actualización de Microsoft Windows después de asumir el control de una computadora, para defenderse de una invasión de infecciones competidoras."

Bien señor. Lo que es más, las botnets han evolucionado rápidamente para hacer más difícil la detección, recientemente usando "fast-flux" (flujo rápido), una técnica que genera un juego de direcciones de Internet que cambian rápidamente para hacer la botnet más difícil de localizar e interrumpir.

¡Caramba! Entonces ¿qué tiene que hacer un usuario?

Primero, tomar la Herramienta de eliminación de Software Malicioso de Microsoft para sacarla a dar un paseo. Luego asegurarse que su cortafuegos está funcionando y que uno tiene todos los parches de seguridad al día.

Luego rezar. Porque estos zombies son difíciles de encontrar, mucho más de acabar con ellos. Apenas la semana pasada, Secunia una firma de seguridad de computación, probó una docena de 'suites' de software de seguridad para PC de primera línea y encontró que el mejor detectó apenas 64 de 300 vulnerabilidades de software.

Fuente: http://blogs.zdnet.com/gadgetreviews/?p=441&tag=nl.e589

martes, 21 de octubre de 2008

Teclados de cable vulnerables a ataques de captura de datos.


Al parecer un equipo de investigadores Suizos han logrado interceptar lo que se teclea en un teclado común midiendo simplemente las radiaciones electro magnéticas emitidas cuando se presionan las teclas.

Por lo visto hay hasta cuatro formas distintas de recuperar total o parcialmente lo tecleado desde un teclado cableado a una distancia de hasta 20 metros
.

El equipo Suizo probo hasta 11 modelos de teclados distintos comprados entre 2001 y 2008 (PS/2, USB y laptop). Y según publican todos son vulnerables al menos a 1 tipo de ataque de los 4 que hay, entre ellos el conocido ataque de Kuhn.

Video demostracion (1)
Video demostracion(2)


lunes, 20 de octubre de 2008

Procesadores Maliciosos podrian abrir nuevas posibilidades de ataques


No hay descanso para los paranoicos. Ya podemos disponer del mejor sistema operativo, completamente parcheado y al día, con todas las medidas preventivas activadas, rigurosos mecanismos de registro y control y excelentes prácticas de uso. Pero... ¿quién nos asegura que nuestro procesador no incluye una puerta trasera capaz de permitir el acceso a un intruso y hacer que todas las medidas de seguridad basadas en software no sirvan absolutamente para nada?

Un excelente trabajo firmado por investigadores de la Universidad de Illinois nos muestra vías factibles de introducir circuitos maliciosos en algún momento de la compleja y delicada cadena que interviene en el diseño y fabricación de un procesador.

Por ejemplo, bastan poco más de mil puertas lógicas "extras" para proporcionar a nuestro flamante hardware un acceso del máximo nivel a un eventual intruso.

Noticia extraida de: http://www.kriptopolis.org/procesadores-maliciosos

Manual -Netcat-

En pocas palabras Netcat es una herramienta que realiza y acepta conexiones Tcp y Udp y lee y escribe los datros de estas conexiones hasta que se cierran.

Netcat nos permite ver datos Tcp y Udp puros antes de que sena envueltos en la siguiente capa supuerior como por ejemplo: Ftp( Protocolo de transferencia de ficheros) o Http ( Protocolo para la tranferencia de Hipertexto). Netcat no tiene una interfaz grafica muy agradable y los resultados que muestra a veces son complicados de entender pero su funcionamiento es tan basico que son miles de posibilidades las que ofrece y nos podria servir para una gran cantidad de situaciones.

Sus capacidades hacen que sea a menudo usada como una herramienta para abrir puertas traseras una vez invadido un sistema y obtenido privilegios de administrador o root del equipo. También resulta extremadamente útil a efectos de depuración para aplicaciones de red.

Netcat para Windows

Descarga Netcat para otros S.O: http://netcat.sourceforge.net/


Ejemplos de como utilizar -NETCAT-.

(estos ejemplos pueden ser variados dependiendo de los modificadores)

Si queremos saber que versión de servidor esta corriendo en un puerto remoto

Supongamos que queremos saber que versión webserver corre una determinada ip, para ello supongamos que la IP es 1.1.1.1, entonces tipearemos lo siguiente:

C:\nc –v –v 1.1.1.1 80

Donde nc es la invocación al netcat, -v –v nos dará todo la info visible del servidor que esta corriendo, 1.1.1.1 es la ip y 80 el puerto al que nos queremos conectar, bien, no solo que nos dio la versión del servidor si no que ahora estamos conectados al webserver y podemos realizar las operaciones normales que podría hacer el browser(en línea de comandos, por su puesto), pero eso para otro capitulo jejejejejeje.

Si quisiéramos saber la versión de cualquier otro servidor solo habrá que conectarse a el a través de su ip + puerto con la opción very vervose y ya sabremos algo de ese servicio ;)

Un chat p2p

Se necesita que los dos tengan netcat, uno va a actuar de servidor y otro de cliente.

EL SERVER

C:\nc –l –p (numero de puerto)

Donde nc llama al netcat, -l se pone a la escucha o en modo servidor, y –p es el puerto por donde escuchara

EL CLIENTE

C:\nc ip puerto

Donde nc llama al netcat, ip es la ip del server, y puerto el puerto que este abrió

Una vez realizado esto, podrán escribir en la pantalla donde esta corriendo netcat y al dar ENTER el otro vera lo que escribamos, una opción rápida y segura

Como sacar la ip de cualquier mensajero ( y algunos otros datos jejejjej)

Primero usamos la herramienta netcat (o nc) con la siguientes modificadores:

C:\nc -v -v -l -p 80

Donde nc llama al netcat, -v –v lo pone en modo very verbose y eso hace que al conectarse alguien a nuestra ip y puerto le rastrea la ip y los datos del browser y sistema operativo, -l lo pone en modo escucha o servidor , y –p 80 le asigna el puerto 80 a la escucha

Luego le pasamos lo siguiente, http://nuestra ip (usando alguna excusa, si no queremos que nuestro contacto sospeche), automáticamente se abrirá su navegador y se dirigirá a donde esta nuestro netcat a la escucha, entonces veremos en la ventana DOS donde se esta ejecutando el netcat, la ip de nuestro contacto ( con suerte también veremos la versión del navegador que usa y alguna que otra cosita mas)luego que tomamos nota de la ip, hacemos ctrl+C para cerrar netcat, y le aparecerá a nuestro contacto, en el navegador pagina típica de cuando no se encuentra el servidor (esto no pasara hasta que no cerremos el netcat con ctrl+C), buscamos la excusa que mas nos guste para explicar que la page que le pasamos no funciono y listo

Si queremos hacer una trampa para lammers y capturar su ip

Pues esto se basa en que un lamer, para entrar a una maquina, primero escanea puertos y si encuentra alguno vulnerable (como por ejemplo el puerto de un troyano) entra usando la herramienta necesaria.

Bien, esto se trata de hacerle creer al lammeruzo que tenemos esos puertos que abren los servidores de los troyanos abiertos (por lo tanto pensara que estamos infectados y tratara de entrar por ese puerto y allí tendremos el netcat listo para cazar su ip

Para esto abriremos tantos netcat como puertos queramos simular infección (seria bueno que busques una lista de puertos que usan los troyanos y abras los que te parezcan) y lo haremos si con cada puerto

C:\nc -v -v -l -p (numero de puerto de troyano)

Donde nc llama al netcat, -v –v lo pone en modo very verbose y eso hace que al conectarse alguien a nuestra ip y puerto le rastrea la ip y los datos del cliente que uso para conectarse, -l lo pone en modo escucha o servidor, y –p (será el puerto que simulara que allí hay un troyano), listo de esa manera ya tenemos la ip de quien trato de entrar a nuestra maquina a través de un troyano.

Cabe destacar que esto sirve para cualquier servicio como ser web o ftp

Mostrar una pagina web con netcat (o como simular un webserver)

Todos sabemos que si queremos mostrar una pagina web necesitamos un webserver, bien aquí vamos a improvisar uno (simulado lógicamente).

Para mostrar nuestra page en Internet haremos esto:

1) guardamos el html que queremos mostrar, en la misma carpeta que se encuentra netcat, luego tipemos esto:

C:\nc –l –p 80 <>

Donde nc llama al netcat, -l hace que se ponga a la escucha, -p 80 hace que el puerto que escucha sea el el 80(el mismo del http), <>

Cabe destacar que cada vez que alguien se desconecta tendremos que volver a realizar la operación para que vuelva a ser visto el html

Transferir archivos con netcat

Para transferir archivos con netacat primero tendré que destacar que solo hice la prueba con archivos zipeados, pero pueden probar con otros formatos, además, netcat no puede ver el EOF(end of file o final de archivo) así que no terminara la transferencia por si solo, cuando estimen un tiempo prudencial (si lo hacen antes de que termine se corta y se daña el archivo)deben darle ctrl+C para terminar la transferencia y así hacer un EOF. Bien, dicho esto pasemos al trabajo. Necesitaremos uno que haga de Server (el que envía el archivo) y uno que haga de cliente (el que recibe el archivo), para ello tipearemos:

EL SERVER

C:\nc –l –p (puerto) <>

Donde nc llama al netcat, -l pone le puerto a la escucha, -p (puerto) sera el puerto que pondremos a la escucha, <>

EL CLIENTE

C:\nc ip puerto > archivo.zip

Donde nc llama al netcat, ip es la ip a la que queremos conectar, puerto es al puerto remoto que queremos conectar , > archivo,zip, es el redireccionamiento de la entrada a un archivo.

Listo, si tenemos en cuenta todas las recomendaciones, transferiremos sin problemas

Conectarse a irc con netcat

Bien para esto hay que destacar que es sencillo lograr la conexión pero no hay que olvidar que una vez lograda hay que “hablar idioma servidor” o sea hacer toda la negociación a mano.

Para ello vamos a topear:

C:\nc servidor irc puerto

Donde nc llama al netcat, servidor irc es el servidor al que nos queremos conectar, y puerto el puerto al cual vamos a conectarnos (para graficarlo mejor vamos a poner de ejemplo una conexión al canal yashira que esta en el sevidor irc.cl, el comando seria así nc irc.cl 6667, y listo ya estaríamos conectados), pero en esta parte considero que poner un ejemplo totalmente practico ayudaría bastante, por eso voy a desarrollar un ejemplo de cómo me conecto al canal yashira con netcat

Para hacerlo tipeo el comando que me conecta

Luego tipeo PONG mi ip (esto debo hacerlo rápidamente para que no de time out la conexión).

Inmediatamente tenemos que identificarnos para eso topeamos:

USER nombre que elijas (no es tu nick) tu host tu servidor: tu nombre real(esto puedes omitirlo, pero no olvides poner : y luego dejarlo vació), luego de eso tipeas:

NICK tu nick

pero mas grafico lo hago con el ejemplo practico:

USER yo NETGlobalis.irc.cl :

NICK cadorna

aquí ya esta en el irc.cl para entrar al canal tipeas:

join #canal (en mi caso join #yashira)

ya tamos en el canal, ahora si queres hablar tipeas:

PRIVMSG #canal :texto (en mi caso digo hola, PRIVMSG #yashira : hola)

Cabe destacar que si bien es un método complicado y muchas veces las negociaciones dependen del servidor, nos muestra la versatilidad de netcat, y estos no son todos los comandos de irc experimenta comandos que usas en el con netcat, tal vez resulte interesante (les dejo un poco de experimentación para ustedes, si no me van a matar jajajajajajaaj)

Hacer un sencillo escanner de puertos con netcat

Esto es muy simple para chequear los puertos abiertos de una maquina debemos topear:

C:\nc –v –v -z ip puerto (cabe destacar que si queremos hacer un scanner de rango de puertos debemos separa ese rango con un “-“ por ejemplo queremos escasear todos los puertos desde el 21 al 139, debemos hacer así: nc –v –v –z ip 21-139, y si lo que queremos es escasear puertos determinados hay que separar los números de puertos con espacio por ejemplo nc –v –v –z ip 21 25 139, de esta manera buscara solo en esos puertos)

Donde nc llama al netcat, -v-v lo pone en modo veri vervose(ideal para sacar datos), z realiza la llamada al puerto pero si llegar a hacer la transacción de conexión, ip es la ip a escannear , y puerto es el puerto a escannear, esto nos devolverá una lectura de open(puerto abierto) o conection refused (puerto cerrado), y hasta a lo mejor recibas que servicio esta corriendo en ese puerto abierto


Roban 1.2 Millones de cuentas de TorrentReactor

TorrentReactor.net, el popular tracker de Torrent fue comprometido en septiembre y su base de datos de 1.2 millones de usuarios fue robada.
A pesar de que el atacante cita la reputación del sitio como la razón del ataque, tarde o temprano los datos personales de los usuarios serán vendidos a los spammeres, dando la posibilidad a nuevos ataques de phishing orientados.

viernes, 17 de octubre de 2008

Mandriva

Mandriva es la empresa francesa de software dedicada a ofrecer y hacerse cargo de su distribución Linux, Mandriva Linux, surgida con el nombre original de MandrakeSoft gracias a Gaël Duval, cofundador de la compañía.

El día 7 de abril de 2005, tras adquirir la empresa brasileña Conectiva, la nueva denominación de la compañía pasó a ser Mandriva. Posteriormente, el día 15 de junio de 2005, Mandriva anunció un acuerdo para adquirir varias acciones de Lycoris, una de las principales distribuciones de Estados Unidos para los usuarios domésticos. El 5 de marzo del 2006 Gaël Duval (cofundador) fue despedido, junto con otros importantes miembros de la empresa, causando sorpresa en el mundo Linux. Él ha anunciado que demandará a Mandriva por esto. [1]

La finalidad de las distribuciones de Mandriva es tratar de ofrecer un entorno de escritorio Linux sencillo de utilizar, pero potente como cualquier otra distribución "menos" amigable. Por eso se le ha considerado a Mandriva Linux en el segmento de las distribuciones de fácil uso y mantenimiento, como openSUSE, Fedora, Ubuntu, etc.

La compañía tiene varias distribuciones de Linux, siendo las más destacadas Mandrake Linux (antigua), One, en reemplazo de Move (que se carga desde un disco CD), Mandriva Linux Limited Edition 2005; la edición 2006 con los paquetes y tecnologías de Conectiva y Lycoris, así como Mandriva Linux 2007, la cual desde entonces tiene un ciclo de publicación de seis meses (abril y octubre), que como resultado dió la versión Mandriva 2007 Spring, aclamada por la comunidad Linux y considerada por muchos por un posible retorno del camino para ser nuevamente un actor principal en el mundo Linux.

Otro producto importante es la versión Linux de memorias flash, que la misma empresa vende en su sitio web, denominado "Mandriva Flash" (actualmente de 8GB) que ha tenido mucho éxito, no obstante pequeños errores en su primer versión, que ya han sido corregidos; además ahora incluye un CD de restauración del sistema, su aceptación se debe, a que va más allá del tradicional live CD pues, deja un espacio de aproximadamente la mitad de la capacidad de la memoria USB disponible para escritura, es decir, permite guardar archivos que el usuario requiera en la misma memoria.

http://www.mandriva.com/es

Open Suse

OpenSUSE es el nombre de la distribución y proyecto libre auspiciado por Novell y AMD para el desarrollo y mantenimiento de un sistema operativo basado en Linux. Luego de adquirir SUSE Linux en enero de 2004, Novell decidió lanzar SUSE Linux Professional como un proyecto completamente de código abierto, involucrando a la comunidad en el proceso de desarrollo. La versión inicial fue una versión beta de SUSE Linux 10.0, y la última versión estable es openSUSE 11.0 el 19 de junio de 2008.

http://www.opensuse.org/es/

Ubuntu

Ubuntu es una distribución GNU/Linux que ofrece un sistema operativo predominantemente enfocado a computadores personales, aunque también proporciona soporte para servidores. Es una de las más importantes distribuciones de GNU/Linux a nivel mundial. Se basa en Debian GNU/Linux y concentra su objetivo en la facilidad y libertad de uso, la fluida instalación y los lanzamientos regulares (cada 6 meses: las .04 en abril, y, las .10 en octubre). El principal patrocinador es Canonical Ltd., una empresa privada fundada y financiada por el empresario sudafricano Mark Shuttleworth.

El nombre de la distribución proviene del concepto zulú y xhosa de ubuntu, que significa "humanidad hacia otros" o "yo soy porque nosotros somos". Ubuntu es un movimiento sudafricano encabezado por el obispo Desmond Tutu, quien ganó el Premio Nobel de la Paz en 1984 por sus luchas en contra del Apartheid en Sudáfrica. El sudafricano Mark Shuttleworth, mecenas del proyecto, se encontraba muy familiarizado con la corriente. Tras ver similitudes entre los ideales de los proyectos GNU, Debian y en general con el movimiento del software libre, decidió aprovechar la ocasión para difundir los ideales de Ubuntu. El eslogan de la distribución –“Linux para seres humanos” (en inglés "Linux for Human Beings")– resume una de sus metas principales: hacer de Linux un sistema operativo más accesible y fácil de usar.

http://www.ubuntu.com/

Debian

El Proyecto Debian es una asociación de personas que han hecho causa común para crear un sistema operativo (SO) libre. Este sistema operativo que hemos creado se llama Debian GNU/Linux, o simplemente Debian para acortar.

Un sistema operativo es un conjunto de programas y utilidades básicas que hacen que su computadora funcione. El centro de un sistema operativo es el núcleo (N. del T.: kernel). El núcleo es el programa más importante en la computadora, realiza todo el trabajo básico y le permite ejecutar otros programas.

Los sistemas Debian actualmente usan el núcleo de Linux. Linux es una pieza de software creada en un principio por Linus Torvalds y soportada por miles de programadores a lo largo del mundo.

Sin embargo, se está trabajando para ofrecer Debian con otros núcleos, en especial con el Hurd. El Hurd es una colección de servidores que se ejecutan sobre un micronúcleo (como Mach) para implementar las distintas funcionalidades. El Hurd es software libre producido por el proyecto GNU.

Una gran parte de las herramientas básicas que completan el sistema operativo, vienen del proyecto GNU; de ahí los nombres: GNU/Linux y GNU/Hurd. Estas herramientas también son libres.

Desde luego, lo que la gente quiere es el software de aplicación: herramientas que los ayuden a realizar lo que necesiten hacer, desde editar documentos, ejecutar aplicaciones de negocios hasta divertirse con juegos y escribir más software. Debian viene con más de 18733 paquetes (software precompilado y empaquetado en un formato amigable para una instalación sencilla en su máquina) — todos ellos de forma gratuita.

Es un poco como una torre. En la base está el núcleo. Encima se encuentran todas las herramientas básicas. Después está todo el software que usted ejecuta en su computadora. En la cima de la torre se encuentra Debian — organizando y encajando todo cuidadosamente para que todo el sistema trabaje junto.

http://www.es.debian.org/

Redhat Enterprise

Red Hat es la compañía responsable de la creación y mantenimiento de una distribución del sistema operativo GNU/Linux que lleva el mismo nombre: Red Hat Enterprise Linux, y de otra más, Fedora. Así mismo, en el mundo del middleware patrocina jboss.org, y distribuye la versión profesional bajo la marca JBoss Enterprise.

Red Hat es famoso en todo el mundo por los diferentes esfuerzos orientados a apoyar el movimiento del software libre. No sólo trabajan en el desarrollo de una de las distribuciones más populares de Linux, sino también en la comercialización de diferentes productos y servicios basados en software de código abierto. Asimismo, poseen una amplia infraestructura en la que se cuentan más de 2.000 empleados en 28 lugares del mundo.

Programadores empleados de Red Hat han desarrollado múltiples paquetes de software libre, los cuales han beneficiado a toda la comunidad. Algunas de las contribuciones más notables han sido la creación de un sistema de empaquetación de software (RPM), y varias utilidades para la administración y configuración de equipos, como sndconfig o mouseconfig.

Algunas de las distribuciones basadas en RedHat Linux más importantes son: Mandriva Linux, Yellow Dog Linux (sólo para PowerPC), y CentOS (compilada a partir de las fuentes de Red Hat).

http://www.redhat.es/

Metasploit

El Proyecto Metasploit, es un proyecto open source de seguridad informatica que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el desarrollo de firmas para Sistemas de Detección de Intrusos.

Sus subproyecto más conocido es el Metasploit Framework
, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son la bases de datos de opcodes (códigos de operación), un archivo de shellcodes, e investigación sobre seguridad.

Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby.


Descarga Metasploit 3.1 para Windows

Descarga Metasploit para otros S.O