Novell XGL

http://www.youtube.com/watch?v=1n-6oEcAZ80

Suplantación Biométrica

La suplantación biométrica es un hecho (bueno dependiendo de la técnica ya lo era hace mucho tiempo).

• Si la clave de acceso era la huella dactilar pues bastaba (como veíamos en películas) con cortarle el dedo al usuario (o menos drásticamente con suplantar con silicona la forma de la huella). Y aunque como mejora de este sistema de autenticación se implementa que además el sistema compruebe que la huella tiene pulso, esto también es suplantado.
• Si se habla de la lectura ocular, la suplantación se mueve hacia lentillas.

Resumiendo, ¿no es suficiente un rasgo humano que es único para autenticarse de forma segura?, entonces, ¿si se complementa esto con el echo de que también deberemos asegurar que sabemos algo, como una contraseña o un PIN, el sistema entonces es seguro?.

Sea como sea, la seguridad siempre es relativa al esfuerzo en saltársela (nunca absoluta) y debe de ser proporcionar a lo que se desea asegurar...

Noticia relacionada, http://www.hispasec.com/unaaldia/2830/

Configuración Básica de un FortiBridge

Configuración básica a aplicar en un FortiBridge (FB) para que mantenga HA/cortocircuito de un cluster de FortiGate configurado en modo transparanter:

FortiBridge-SerieX #
config system manageip
set ip X.X.X.X/X
end

config system route
edit 1
set gateway X.X.X.X
end

#acceso telnet y ping desde la interfaz interna
config system interface internal
set allowaccess telnet ping
end

set action_on_failure failopen
set dynamic_ip_pattern 2.2.2.*
set fgt_serial FGTYYYYYYYYYYYYY
end

config probe probe_list ping
set status enable
end

config probe probe_list http
set status disable
end

#configuración snmp
config system snmp community
edit 1
set name ZZZZZZZZZ
end

config system snmp community
edit 1
config hosts
edit 1
set ip N.N.N.N
end
end

#configuración de los temporizadores de detección de caida del cluster.
conf probe probe_list ping
set failure_threshold 10
set probe_interval 6
end

Estos de google son imparables

Hojas de cálculo colaborativas:
http://spreadsheets.google.com

Problema de interpretación de caracteres en clientes que usan OWA

El problema de interpretación de caracteres (como acentos..) que presenta la lectura de correos desde el OWA no es problema de los servidores que conforman la estructura de Microsoft Exchange... pues bien la solución pasa por re-registrar unas librerías... Para ello desde un command de windows (habiendo cerrado previamente el OWA)...

• regsvr32 /u "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Triedit\triedit.dll"
• regsvr32 "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Triedit\triedit.dll"
• regsvr32 /u "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Triedit\dhtmled.ocx"
• regsvr32 "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Triedit\dhtmled.ocx"

Nota: la falta de interpretación en formato html (como es el caso de la firma), es tema aparte... ;)
Además hay que tener en cuenta en cada sistema donde realmente están las librerías.

Desde Sergio Hernando: Aplicaciones de seguridad gratuítas para Windows

Escribe Sergio Hernando... (lo pongo aqui para tenerlo siempre a mano)

El objetivo de esta recopilación es ofrecer a los usuarios de plataformas Windows enlaces a aplicaciones libres y/o gratuítas que puedan ser evaluadas y empleadas sin coste alguno por aquellos que lo estimen oportuno.

Este conjunto de herramientas proporcionan al usuario seguridad en distintas facetas que requieren que al menos se tomen unas mínimas medidas de precaución para evitar incidentes indeseables, como la intrusión, la pérdida de información o la contaminación por virus, entre un total de 20 campos de seguridad básicos.

1. Navegación segura

Las mejores opciones actuales son, sin duda, Opera y Firefox, cuyo histórico de vulnerabilidades es muy inferior al de Internet Explorer, navegador que a todas luces no se recomienda. Ambos programas son gratuítos, y en el caso de Firefox, se puede instalar una barra antiphishing que informa de sitios potencialmente fraudulentos. La barra de Netcraft puede ser interesante para proporcionar además de información técnica, protección antiphishing. A petición de maty incluímos K-Meleon, versión traducida de Nauscopio.

Opera

Firefox

Barra Antiphishing para Firefox

Barra de Netcraft

K-Meleon

K-Meleon Nauscópico

2. Correo electrónico seguro

La recomendación natural para gestionar el correo de una manera segura y eficiente es Mozilla Thunderbird. Para complementar la seguridad de las comunicaciones, es aconsejable emplear algún sistema de privacidad como GnuPG, un sustituto libre de PGP, que también tiene una versión gratuíta.

Mozilla Thunderbird

GnuPG

PGP Free

3. Antivirus

Existen muchas aplicaciones antivirus en el mercado. Dentro de los productos que ofrecen versiones gratuítas para empleo doméstico y no comercial, suele hablarse muy bien de Avast!. Como todo buen antivirus, la misión de Avast! es impedir que nos contaminemos por virus y otro malware. Ofrece actualizaciones automáticas, protección residente, y defensa para P2P, mensajería instantánea y Web. Como no podía ser de otro modo, escanea y desinfecta. Otro antivirus decente es AVG Free. AntiVir también tiene una versión gratuíta. Ewido ofrece una suite de seguridad.

Avast! Home

AVG Free Edition

AntiVir Personal Edition

Ewido Security Suite

4. Antimalware

El clásico por excelencia es sin duda, Ad-Aware, que también tiene una edición para uso doméstico y personal gratuíta. Este producto está especialmente indicado para detectar spyware en las máquinas y eliminarlo. Otro producto aconsejable es Spybot Search and Destroy. Spywareguard proporciona bloqueo en tiempo real contra el spyware más usual. Malware Destroyer elimina amenazas de este tipo. Por último, Emsisoft tiene un buen ramillete de aplicaciones antitroyanos y antispyware gratuítas.

Ad-Aware SE Personal

Spybot Search and Destroy

Spywareguard

Malware Destroyer

Herramientas Emsisoft

5. Firewall

De entre los muchos productos existentes para firewall, vamos a citar a un clásico. Zone Alarm, cuya versión doméstica básica es igualmente gratuíta. El objetivo de un firewall es proporcionar una línea de defensa consistente en la protección contra intrusiones, si bien puede ser empleado además para controlar qué aplicaciones conectan a la Internet en todo momento, pudiendo elegir si permitir o no las comunicaciones de cada programa que tengamos. Además de Zone Alarm, otro firewall gratuíto popular es Kerio, de Sunbelt. maty aconseja incluír Jetico, que también tiene una versión traducida en Nauscopio.

Zone Alarm

Kerio Personal Firewall

Jetico Personal Firewall

Jetico Personal Firewall versión Nauscopio

6. Privacidad

Los programas de limpieza de trazas proporcionan al usuario borrado seguro de las trazas de actividad en un terminal informático. El programa más aconsejable es CCleaner, que proporciona control sobre el borrado de temporales, histórico de navegador, cookies, lista de autocomplete, index.dat para Internet Explorer, borrado de papelera de reciclaje, documentos recientes y un sinfín de información que queda almacenada cuando empleamos un sistema Windows. Contiene herramientas para el borrado de trazas en otras aplicaciones de terceros, como Opera, Media Player, eMule, Kazaa, Google Toolbar, Netscape, MS Office, Nero, Adobe Acrobat, WinRAR, WinAce y WinZip.

Además, contiene un gestor-optimizador del registro, control sobre los programas que el sistema carga al inicio y un desinstalador. Para fines similares, también existe Cleanup!

CCleaner

Cleanup!

7. Almacenamiento seguro de claves

La cantidad de claves que se manejan en el día a día de la navegación hace indispensable emplear un gestor de claves seguro, que permite almacenar las claves que empleamos para así, de un modo seguro, no tener que recordarlas constantemente. En este ámbito es posible recomendar KeePass, así como el conocido Password Safe. También podemos, a petición de maty, hablar de PINs.

KeePass

Password Safe

PINs versión Nautopia

8. Analizadores de tráfico

El objetivo de este tipo de programas es poder controlar el tráfico al que está sometida nuestra red local, como fuente de información de posibles ataques. De entre los muchos programas posibles, recomendar Ethereal es lo más sensato, por su amplia tradición y por sus buenos resultados.

Ethereal

9. Gestión segura de ficheros

La gestión segura para no sólo por el borrado seguro, sino por la conservación segura. Almacenar ficheros sin protección puede ser peligroso, y a la hora de borrar, es recomendable eliminarlos de un modo igualmente seguro, que impida recuperaciones indeseadas. Recomendamos Eraser, Blowfish Advanced CS y Axcrypt.

Borrado seguro con Eraser

Cifrado seguro con Blowfish Advanced CS (sirve también para el borrado seguro)

Cifrado de ficheros con Axcrypt

10. Gestión segura de discos duros

Para gestionar de modo seguro un disco duro debemos contemplar dos tipos de herramientas: borrado seguro de discos completos y cifrado de discos completos. DBAN y Truecrypt pueden servirnos para estos propósitos.

Borrado seguro de discos con Darik´s Boot and Nuke (es una aplicación Linux pero que se ejecuta a modo de live CD)

Cifrado de discos con TrueCrypt

11. Herramientas para comprender los términos de licencia

Los términos de licencia pueden incluír aspectos interesantes sobre la seguridad y la responsabilidad de los productos que usamos. Así por ejemplo, los EULAs (End User License Agreements) contienen información sobre estos aspectos. Eulalyzer selecciona y muestra las partes relevantes de esos acuerdos que nadie suele leer.

Eulalyzer

12. Filtros antispam para el correo electrónico

El spam además de molesto, puede contener malware e intentos de engaño. Lo más aconsejable es filtrar el correo siempre. Mozilla Thunderbird tiene un buen motor antispam integrado, pero es posible instalar motores independientes para un filtrado más intenso. Podemos aconsejar Spambayes y Ella for Spam Control, además de Spampal y Mailwasher.

Spambayes

Ella for Spam Control

Spampal

Mailwasher

13. Sistemas de detección de intrusión

Para evitar las intrusiones no deseadas, existe un buen número de aplicaciones. De carácter gratuíto son Prevx Home y Winpatrol.

Prevx Home

WinPatrol

14. Protección WiFi

Si bien no hay mecanismos exactos para asegurar las conexiones WiFi, podemos emplear software de apoyo, como por ejemplo Air Defense Personal, orientado a la protección de nuestros Hotspots. Para sondear la disponibilidad de redes, y por tanto, para ver cómo está la nuestra, podemos emplear NetStumbler.

Air Defense Personal

NetStumbler

15. Escáneres de vulnerabilidades

Estos programas enumeran los problemas de seguridad que potencialmente existen en nuestro ordenador. El programa por excelencia es Nessus, si bien para plataformas Windows es aconsejable ejecutar de vez en cuando el Microsoft Security Baseline Analyzer. Para servidores, Windows Server Update Services (véase comentario de josemaria)

Nessus

Microsoft Security Baseline Analyzer

Windows Server Update Services (Gratuíto, pero requiere registro)

16. Escáneres de puertos y de red

Es conveniente saber qué puertos tenemos abiertos, ya que los puertos abiertos son la puerta de entrada a nuestra red para los atacantes. El escáner más popular es Nmap. Para escaneos de la red, LanSpy.

Nmap

LanSpy

17. Escáneres de vulnerabilidades Web

Los webmasters y propietarios de Web pueden emplear escáneres web automáticos para detectar vulnerabilidades en sus sitios. N-Stealth Free y SiteDigger son dos herramientas ideadas para este propósito.

N-Stealth Free

SiteDigger

18. Análisis de comunicaciones Bluetooth

Los aparatos bluetooth son cada vez más populares. Existen herramientas para monitorizar la actividad Bluetooth en nuestro alcance. Una de ellas es Bluesweep.

BlueSweep (requiere registro)

19. Sistema

Algunas herramientas permiten evaluar el rendimiento del sistema y monitorizar la actividad del mismo. Esto puede ser interesante igualmente a efectos de seguridad. Whatsrunning es una herramienta que proporciona este tipo de información. Otra posible recomendación es la versión Lite de Sandra, de SiSoft. Los usuarios deberían también ojear las Sysinternals Freeware.

Whatsrunning

SiSoft Sandra Lite

Sysinternals Freeware

20. Entornos de investigación

Estos entornos proporcionan al usuario (avanzado, lógicamente) herramientas de investigación. El proyecto Metasploit nació para desarrollar, probar y usar código exploit, pero puede ser empleado con fines éticos, para test de penetración e investigación de vulnerabilidades. No es una herramienta destinada al usuario en general, sino más bien al usuario avanzado.

Metasploit

Para comentar… IPCheck

Esta vez me gustaría oir alguna experiencia similar que ayude a resolver el problema…

Hace unos meses se nos ocurrió probar una licencia de 30 días del programa IPCheck de Paessler.

Pues bien configuramos simplemente un sensor que hacía “ping”-http (hablando no técnicamente) a los frontales de los servidores apache y otro sensor que buscaba una sección de código determinada en el propio código de la página web… como un medio para comprobar que los portales están "arriba" (porque aunque no sea determinante, algo de información si que da...).

El resultado es que este mismo programa era el que tiraba la estructura de los portales porque al parecer dejaba las sesiones abiertas. La configuración era del tipo cuatro intentos de sesión cada minuto… ¿eran tantos como para volcar un portal? ¿puede que la configuración del programa no esté bien hecha y por lo tanto no sea capaz de cerrar las sesiones cada vez que las inicia?

En resumen: ¿el programa es el adecuado para analizar una estructura apache-tompcat-oracle? o ¿no configuramos bien la herramienta? o ¿alguno de los elementos intermedio (apache-tompcat-oracle) se pueden configurar de algún modo que eviten quedarse colgados por usar una herramienta que cuyo fin “en principio” no es tumbarlos sino testear su correcto funcionamiento?

Un saludo y gracias

FortiGate: como recuperar el password y la configuración de fábrica, sin variar la FortiOS

FortiGate de Fortinet es un equipo de cominucaciones que en sus diferente gamas permite a grandes líneas:

• Filtrado de contenido Web
• IPS
• Antivirus

Quizás no es una solución tan robusta como la que conforma en este campo los equipos de Symantec pero es la mejor opción cuando lo realmente crítico es el mantenimiento en todo momento del servicio en cuanto a capacidad de cortocircuitarse en caso de fallo y alta redundancia y en cuanto a capacidad de enrutamiento dinámico en redes complejas.

Pues bien, lo anoto aquí para no olvidarlo: cuando se pierde el password de gestión del equipo o cuando lo que se busca es recuperar la configuración de fabrica de forma rápida hay que conectarse por consola al equipo y poner:
Login: maintainer
Password: secuencia bcpb seguido del número de serie del equipo (casi siempre incluido en la parte de abajo del mismo)

Problema al balancear servicios Citrix con los CSS (Balanceadores de Cisco).

Para balancear la granja Citrix se están usando los CSS de Cisco. La granja Citrix levanta el protocolo ICA sobre SSL porque en este caso así estaba configurado

Casuística:
Citrix tiene dos módulos el de autenticación (con el que vas inicialmente al logearte en el portal) y el de autorización (siguiente módulo con el que el módulo de autenticación se comunica para ver los permisos que tiene cada usuario y dependiendo de estos te aparecen unos iconos de aplicativos u otros).

Pues bien cuando el balanceo se hacía a través del balanceador las sesiones no llegan a superar las 2 horas; Se probó para descartar problemas de otros equipos de red intermedios el forzar las sesiones únicamente hacia uno de los nodos de la granja (aunque pasando por el balanceador puesto que todos los servicios en este zona de subred actualmente son balanceados) y las sesiones si que llegan a sobrepasar las 8 horas. Con lo que se dedujo que el problema estaba únicamente en la configuración del balanceador (CSS)

El balanceo que se les hace es “advanced-balance sticky-srcip” (permite balancear por IP origen); este balanceo creímos que es el que interesaba porque de no ser de este modo el balanceo, una vez que el usuario se autentica al pasarle la sesión al módulo de autorización sino va al mismo nodo donde se autenticó le aparece el promp como que debe volver a autenticarse porque no lo reconoce como usuario autenticado.

Por defecto el timeout de este balanceo es muy superior a 2 horas (65500 minutos) pero aún así se forzó a 65000 minutos con el siguiente comando “ticky-inact-timeout 65000”; aún así las sesiones no llegan a mantenerse activas ni 2 horas estando el usuario trabando sobre el sistema.

Tras muchos quebraderos de cabeza al final se escaló la consulta a Cisco y la respuesta fue que nos faltó añadir un parámetro más en el content del servicio:

flow-timeout-multiplier: Configures flow inactivity timeout values for TCP and UDP flows on a per content rule and per source group basis

Resultado:
La configuración del balanceo del servicio debe quedar:

content Portal_111_ssl
add service ssl40
add service ssl41
advanced-balance sticky-srcip
sticky-inact-timeout 65000
port 443
protocol tcp
flow-timeout-multiplier 675
vip address X.X.X.X
active

Balanceadores CSS

Casuística:
Tenemos dos Balanceadores CSS en alta disponibilidad (master-slave); sobre el master (CSS-1) se hacen cambios y por un error se llega a que el único usuario configurado en este equipo pase a no tener privilegios de superusuario

Resultado:
En principio parece que la solución para recuperar los privilegios pasar por desplazarse al CPD y pincharse al equipo por consola; pero en principio se prefiere buscar otra alternativa (en plan chanchullo) para evitar desplazarse… je

Pasos:
El CSS que tenía el usuario ‘user’ como usuario sinprivilegios era el CSS-1 y el CSS-2 tenía al usuario ‘user’ como superusuario; por lo tanto:

1. Forzamos el CSS-2 para que haga de master
2. Entramos en el modo de configuración del CSS-2 (ahora haciendo de master) y ponemos username ‘user’ password superuser y aplico el script que replica la configuración de éste al CSS-3 (entre los que nosotros tenemos instalados es el commit-resundancy).
3. Cerramos la sesión del CSS-1 y cuando la hemos vuelto a abrir (puesto que no existe esa diferencia entre running y startup típica de las IOS de cisco normales), había arrancado con la configuración replicada desde el CSS-2 con lo que el usuario cisco ya tenía privilegios de superusuario.

Gnokii + Modem GSM Siemens mc35i + Nagios = Guardias remotas bien controladas

En muchas organizaciones se usa el proyecto Nagios (www.nagios.org) como sistema de gestión de alarmas / envío de alertas de código abierto para Linux.
Pues bien Nagios ademas de su propia monitorización web también admite ser configurado para enviar mensajes a correos electrónicos cuando se cae (o cualquier otro nivel de criticidad definido) un equipo o cualquier otro tipo de tarea que se nos ocurra siempre que sea definido en su archivo de configuración de comandos: misccommands.cfg. En nuestro caso cuando un equipo se cae nos llama al móvil (para que lo oigamos bien) y nos envía un sms con el equipo caído… para esto hemos conectado por serial al equipo un modem GSM,

En este caso se hubo de añadir las siguientes definiciones en el archivo:
define command{
command_name notificar-por-wavecon
command_line /opt/nagios-com/notificar.sh "Host '$HOSTALIAS$' is $HOSTSTATE$\nInfo: $OUTPUT$\nTime: $DATETIME$" XXXX
}

, donde XXXX es el número de teléfono de guardias y el script notificar.sh es solo una llamada a gnokii para que ejecute las tareas definidas:

#!/usr/bin/ksh
TEXTO=$1
if [ $# -lt 2 ] ; then
TELEFONO="XXXX"
else
TELEFONO=$2
fi
echo notificar por SMS el texto $TEXTO al telefono $TELEFONO
/usr/bin/gnokii --sendsms $TELEFONO <$TEXTO
END
/usr/bin/gnokii --dialvoice $TELEFONO

Además, para que se ejecute este comando definido, hay que indicar en el contacto guardias que este contacto será notificado además por este método

define contact{
contact_name guardias
alias Nagios Admin
service_notification_period 24x7
host_notification_period 24x7
service_notification_options w,u,c,r
host_notification_options d,u,r
service_notification_commands notify-by-epager,notificar-por-wavecon
host_notification_commands host-notify-by-epager,notificar-por-wavecon
email yy@listas.yyy.es,yy@movistar.com
pager pagenagios-admin@localhost.localdomain
}

Y al grupo de contactos guardias le asignamos el contacto guardias.

define contactgroup{
contactgroup_name guardias
alias administradores de la RCC
members guardias
}

Finalmente, se indica en los grupos de hosts que van a utilizar esta vía de notificación que van a utilizar el grupo de contactos guardias para su notificación, por ejemplo:

define hostgroup{
hostgroup_name ASA
alias ASA
contact_groups gecom,guardias
members “los que sean”
}

Nota: para que Gnokii se entendiera con el model hubo de especificar en el archivo de configuración (/etc/gnokiirc): model=AT, puesto que es un modelo que soporta comandos AT.

Esta vez el mérito es de Luis, uno de nuestros gecomnianos..je

Talkdigger

Talkdigger es un metabuscador por el que podremos saber quienes enlazan a una determinada dirección de un blog en general, de una anotación en concreto o de los mismos comentarios. Para ello se basa en los buscadores Technorati, Google Blog, Bloglines, Feedster, BlogDigger, Icerocket, MSN Search, Google yYahoo!; el metabuscador es bastante configurable en cuanto a filtros de búsqueda.

Una vez nos muestra los resultados, tenemos las opciones de previsualizar la web en una pequeña ventana dentro del resultado, abrir la web en nuestra ventana activa del navegador o ver en una ventana nueva.

Las búsquedas las podemos sindicar mediente RSS. Los resultados son ordenados por motor de búsqueda.

Un gran producto de Frédérick Giasson que nos facilita la vida a los que tenemos nuestra bitácora y queremos saber quienes nos siguen en sus webs.

Fuente: http://red.psykho.net/

¿De qué nos podemos fiar...?

Tal día como hoy en Hispasec se comenta ...

Históricamente se han considerado archivos potencialmente peligrosos para Microsoft Windows los que poseían las muchas extensiones de aplicaciones ejecutables que existen. En su código es posible ocultar cualquier acción dañina para el sistema, y puede ser disimulada y pasar desapercibida par el usuario. EXE, VBS, PIF, SRC, VBS, BAT y un largo etcétera, son extensiones de las que hemos aprendido a desconfiar hace tiempo. Desde hace poco, sin embargo, se pueden unir al conjunto de sospechosas muchas otras que se han considerado desde siempre confiables.

De un tiempo a esta parte, se ha popularizado el uso de archivos con extensiones históricamente confiables con la finalidad de difundir código malicioso. El ejemplo más claro y conocido ha ocurrido con la vulnerabilidad de procesamiento de WMF (Windows Meta File) que permitía la ejecución de código arbitrario en el sistema con la simple visualización de una imagen. Este fallo ha permitido la dispersión de virus ocultos bajo aparentemente inofensivas imágenes con formatos JPG o GIF gracias a exploits muy potentes y sofisticados.

El mismo día 1 de enero de 2006 VirusTotal detectaba un fichero que fue enviado de forma masiva por correo electrónico y que simulaba una felicitación para el nuevo año. El archivo adjunto, una imagen en formato JPG, "HappyNewYear.jpg", comprometía el sistema con tan sólo visualizarla. A partir de ahí, se han recibido en VirusTotal más de diez variantes de malware con extensión JPG que aprovechaban la vulnerabilidad y algunas variantes con extensión GIF. Debido a la popularidad y facilidad para aprovecharse de esta vulnerabilidad, la previsión es que vayan en aumento.

No sólo los usuarios de Microsoft deben preocuparse por estas extensiones. En enero se han encontrado varias vulnerabilidades en Apple QuickTime que pueden se aprovechadas por atacantes para ejecutar código a través de formatos aparentemente inofensivos. Imágenes con formato QTIF, TGA, TIFF y GIF especialmente manipuladas y visualizadas con Apple QuickTime Player versión 7.0.3 y anteriores (para Mac OS X y Windows) permiten la ejecución de código en el sistema de la víctima.

Igualmente este mes, se ha identificado una vulnerabilidad en BlackBerry Enterprise Server (conocido servidor de comunicaciones inalámbricas) que puede ser aprovechada por atacantes remotos para ejecutar código arbitrario a través de un archivo PNG (Portable Network Graphics) especialmente manipulado y enviado como adjunto.

Por si fuese poco, cuando ya creíamos enterrados a los virus de macro que se extendían a través de documentos elaborados con la suite Microsoft Office y este formato se consideraba relativamente seguro, aparece un nuevo fallo de denegación de servicio en Microsoft Excel que se rumorea (aún está por confirmar) que puede llevar a la ejecución de código arbitrario con la simple visualización en Microsoft Office de una hoja de cálculo en este formato.

Tras leer cosas como estas yo me planteo la siguiente cuestión ... si casi cualquier formato en cualquier momento de la historia ha sido o va a ser utilizado para explotar cierta vulnerabilidad, ¿llegará un momento que seamos unos paranoicos incapaces de abrir si quiera un correo que nos envíe nuestro propio jefe?.

Lo que si que está claro es que yo no me ponía en el pellejo de cualquier administrador de correo de una compañía grande al que le exijan confirmar la seguridad del servicio... De todos modos Suerte a los administradores de correo.

Ahorrar batería en los Sansung 3G

Para ahorrar bateria cuando el móvil permite tecnología 3G:

• Tecleamos *#3695147*#
• Vamos a Network & call settings
• Dentro de ahi a Service domain y seleccionamos CS.
• Salimos y nos metemos en el menu del movil, le damos a:
  CONFIGURACION/CONECTIVIDAD/MODO DE RED y seleccionamos GSM900/1800. Ahora el 3G y GPRS solo se activara cuando haga falta.

Nota: Cuando se tienen activas las opciones de cobertura 3G el consumo de batería del móvil se incrementa

Mas trucos...

ACIS 2006

A continuación se reproduce la llamada a ponencias de las VI Jornadas Nacionales de Seguridad Informática a celebrarse en Colombia en junio de 2006.

Las Jornadas Nacionales de Seguridad Informática, como un escenario para desarrollar y promover la investigación académica y científica en el área de seguridad informática, invita a todos aquellos interesados en presentar trabajos de investigación realizados o casos de la industria sobre el tema, con el fin de compartir la experiencia, implementación y hallazgos en los temas propuestos para este evento expuestos a continuación (no pretende ser una lista exhaustiva):

• Modelos de Seguridad Informática
• Estándares de Seguridad Informática
• Seguridad en dispositivos móviles e inalámbricos · Mecanismos de Autenticación y control · Políticas y estándares de seguridad · Mejores prácticas de seguridad informática · Algoritmos de Encriptación, VPN, PKI · Contingencia y recuperación de desastres · Técnicas de Hacking y análisis de vulnerabilidades · Seguridad en el perímetro · Seguridad en Bases de Datos · Seguridad en Sistemas Operacionales y redes · Computación forense y atención de incidentes · Evidencia Digital y procedimientos asociados
• Análisis de riesgos de seguridad informática · Consideraciones éticas y legales de la seguridad informática · Dispositivos biométricos · Seguridad en VoIP · Seguridad en Telecomunicaciones

Para esta sexta versión de la Jornadas Nacionales de Seguridad Informática, se cuenta con la participación de un comité de programa internacional conformado por profesionales especialistas en el área

VI Jornada de Seguridad Informática

CheckPoint. Problema tipo: "All Fragment Blocked"

Este procedimiento describe como solucionar una incidecia tipo en la cual se cortan los paquetes que pasan por el firewall CheckPoint con un mensaje de trazado (que se visualiza en el Tracker) del estilo "All Fragment Blocked"

En la consola del firewall CheckPoint (en el caso de ser Nokia el fabricante del mismo, la consola se llama SmartDashBoard), se pueden observar diferentes parámetros configurables. El que atañe a este caso expuesto, es un parámetro que permite o no el paso de paquetes IP fragmentados a través del firewall.

En el caso de estar trazando un mensaje del tipo "All Fragment Blocked", puede significar dos cosas:

• O bien no está habilitado en la configuración el paso de paquetes fragmentados
• O bien la configuración, del número máximo de fragementos o el tiempo máximo antes de ser descartados dichos fragementos por el firwall, no es la adecuada

Pasos:

1. Habilitar el paso de paquetes IP fragmentados en el firewall CheckPoint. Para esto se debe abrir la consola de gestión web del firewall ,SmartDashboard R55. Tal como se muestra en la figura se bede ir a las opciones de "SmartDefense", en el desplegable Netwok Security, IP and ICMP, pinchar sobre "IP Fragment" y marcar la casilla "Allow IP Fragment"

Nota: En esta opción se observan que también son configurables dos parámetros más:

• Número máximo de paquetes incompletos
• Tiempo máximo a partir del cual en el firewall se descartan los paquetes incompletos

Como ya se a comentado, el número máximo de fragmentos es configurable, al igual que el tiempo máximo tras el cual si el paquete no se conforma entero los fragmentos capturados son descartados por el Firewall. Por lo tanto, puede que en algunos casos se deban modificar estos parámetros para que permitan aceptar mayor número de fragmentos de un paquete, resolviendo así la incidencia que porvacaría corte de ciertas comunicaciones en el firewall

Pasos de anlisis/funcionamiento de un CheckPoint

¿Cómo funciona un firewall CheckPoint con cualquier software de gestión del mismo?
Por pasos cuales son sus acciones:

1º Mira el paquete IP a nivel de reglas
2º En ese momento ya se ve reflejado en el tracker,.. no entro en mas detalles…(depende del software de gestión)
si está permitido
{
si está implicado en alguna regla de NAT
{
3º Hace el NAT
por lo dicho en el paso 2,
no se ve en el tracker la IP trasladada sino la original,
hay otras opciones para ver en que regla del NAt hace matching)
}
4º Mira a nivel routing hacia donde tiene que encaminar el paquete.
}

Cosas más relevantes a modo resumen: si un paquete se ve en el tracker como aceptado no implica que el firewall sepa cual es el camino correcto para encaminarlo, puesto que el tracker se refleja antes que el routing.

Auditoría interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno

Auditoría perimetral. En este tipo de estudio se analiza el perímetro de la red local o corporativa, y se estudia el grado de seguridad que ofrece a las entradas exteriores

Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento interesante a la auditoría perimetral.

Análisis forense. El análisis forense es una metodología de estudio apta para el análisis a posteriori de incidentes, mediante la cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.

Auditoría de páginas Web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Cracking WEP en 10 minutos - el enlace

Tras varias peticiones de lectores de este blog...

Cuando este anuncio fue publicado el vídeo estaba disponible en Internet en determinados enlaces que ya no se encuentran disponibles

¿Alguien puede enviar el archivo o un enlace a éste?

1ª Opción como enlace (muy interesante por la cantidad de contenidos que se pueden encontrar):
http://www.remote-exploit.org/index.php/Tutorials

2ª Opción: http://www.hckrs.org/proyectosabiertos/wep.html

Una opción muy consejable hasta para Windows: wget

wget es un gestor de descarga de ficheros usando HTTP, HTTPS y/o FTP de software libre

Hacerlo funcionar en windows:

1. Descargarse el archivo de Internet
2. Situarse en el command de Windows en la carpeta donde se ha realizado la descarga del archivo ejecutable y simplemente poner: wget opcion-deseada http://url-de-interes

Ayuda: wget --help

Características:

• Muy rápido y con funcionalidad de descarga de sitios con autenticación (p.e. wget --http-user=USER --http-password=PASSWORD https://url-de-interes).
• No es necesario instalarlo
• El ejecutable ocupa muy poco
• Disponible también para Windows

Mejoras en la versión 1.10.2:

• wget está estáticamente linked con OpenSSL 0.9.7i; esto es, Secure Socket Layer (SSL, https://...), lo cual hace que wget pueda funcionar por si solo.
• Además de la compresión con UPX 1.07, la cual minimiza el tamaño de los archivos.

Google soluciona un grave problema de seguridad en su plataforma "gmail"

Google informa haber solucionado un grave problema de seguridad en su plataforma "gmail", que permitiría a un atacante acceder a buzones de otros usuarios, explotando una vulnerabilidad en el mecanismo de autentificación de "gmail". El ataque en sí, sólo era posible si el atacante tenía acceso a la máquina de la víctima o a su tráfico de red, algo especialmente factible en redes corporativas, universitarias, cibercafés, etc.

El descubridor del ataque es español y, por tanto, se pueden leer todos los pasos (que, naturalmente, ya no funcionan) en nuestro idioma.

Actualizaciones de seguridad en los kernel Linux

Desde Hispasec...

La comunidad Linux ha publicado actualizaciones de sus kernels para las ramas 2.4 y 2.6, lo que soluciona varios problemas de seguridad.

Aunque la rama de desarrollo actual del Kernel Linux es la 2.6, existen aún infinidad de sistemas basados en kernel 2.4, por su probado buen funcionamiento y estabilidad. Por otro lado, muchos administradores consideran la rama 2.6 demasiado joven aún para reemplazar con confianza sistemas que llevan en producción mucho tiempo, con fiabilidad demostrada.
Debido a ello, la rama 2.4 tendrá aún soporte de nuevo hardware, estabilidad y seguridad durante varios años más.

La versión del Kernel Linux 2.4.32 soluciona diversos problemas de seguridad e inestabilidades, fundamentalmente en los módulos de cortafuegos y NAT'ing. También se resuelven problemas de seguridad en la librería ZLIB, que deberían haberse parcheado hace tiempo.

La versión del Kernel Linux 2.6.14.1 soluciona una grave vulnerabilidad que permite a un usuario local el inestabilizar el sistema y, si las circunstancias son proclives, obtener privilegios de administrador o "root". Los administradores que decidan actualizar deberían hacerlo a la versión 2.6.14.2, ya que soluciona varios problemas de estabilidad y regresiones, aunque no están relacionados con la seguridad.

Hispasec recomiendo a los administradores de máquinas Linux que actualicen sus kernels apropiadamente. Los administradores que dependan de una distribución Linux determinada pueden ponerse en contacto con el fabricante.

Experto anuncia nuevos virus cifrados e indetectables

Según el Experto en Seguridad Adam Meyer la próxima generación de virus informáticos será más destructiva y difícil de detectar que los actuales códigos malignos. Meyer cree que en poco tiempo se incorporará a los códigos malignos un algoritmo cifrado que hará prácticamente indetectable su presencia y será difícil eliminarlos.

Estos códigos se instalarán en sistemas desprotegidos vía Internet y estarían en condiciones de crear "botnets" o redes de ordenadores zombis capaces de realizar diversos tipos delitos como spam, sabotaje, y realizar ataques informáticos contra terceros.

Por último Meyer señala que el motivo de que sean aun más peligrosos es que son procesos cifrados y ello provoca que sea difícil su detección y su neutralización. Todo esto lo comentan en una nota de DiarioTI, basado por supuesto todo en presuposiciones, pero desde luego es un punto de vista a tener en cuenta.

Denegación de Servicio en diversos productos Cisco

Cisco ha anunciado que una cierta cantidad de sus productos se ven afectados por una vulnerabilidad en el procesamiento de mensajes IPSec IKE (Internet Key Exchange). Un atacante que explote adecuadamente este problema provocaría denegaciones de servicio en los dispositivos afectados.

Los dispositivos Cisco que utilicen las siguientes versiones de software y estén configurados para usar IKE son vulnerables al
problema:

• Cisco IOS versiones basadas en 12.2SXD, 12.3T, 12.4 y 12.4T
• Cisco PIX Firewall versiones anteriores a la 6.3(5)
• Cisco PIX Firewall/ASA versiones anteriores a la 7.0.1.4
• Cisco Firewall Services Module (FWSM) versiones anteriores a la 2.3(3)
• Cisco VPN 3000 Series Concentrators versiones anteriores a las 4.1(7)H y 4.7(2)B
• Cisco MDS Series SanOS versiones anteriores a la 2.1(2)

El problema se debe a que los dispositivos Cisco vulnerables no procesan adecuadamente paquetes IKE malformados, lo que provoca la reinicialización del proceso IKE en el caso de los Cisco MDS Series, y la del dispositivo en sí en el resto de productos afectados.

Las vulnerabilidades identificadas pueden ser fácilmente reproducibles utilizando la suite de pruebas para IKE OUSPG 'PROTOS'.

Esta tarde: actualizando... jejeje ;)

Gusano Lupper/Lupii, malware diseñado para sistemas Linux

Ningún sistema está a salvo del malware. Pese a que en este caso particular la severidad del troyano ha sido calificada por los laboratorios como escasa, no deja de ser relevante que el troyano explote vulnerabilidades ajenas a Microsoft Windows, objetivo habitual del malware. En esta ocasión, el troyano está orientado a la explotación de los problemas XML-RPC en servidores de PHP en máquinas Linux.

Leer más...

(IN)SECURE

He de confesar que nunca la había leído, pero es de estas revistas que merecen la pena ojear aunque sea para saber por donde van las tendencias.

Espero que os guste.

InSECURE

Scritp en VBScript para SecureCRT

SecureCRT es una herramienta como otras tantas que permite la conexión remota a equipos. ¿Por qué uso esta herramienta? Porque mi jefe me la dio... je. La verdad es que no deja de ser una buena herramienta si se le saca su partido.

En este caso lo que expongo es como hacer un script en VBScript para que corra en esta herramienta y nos facilite tareas rutinarias, como lo son, hacer backup de las configuraciones de los router remotos o incluso aplicar configuraciones. Estas tareas cuando empezamos a hablar de más de 300 router pueden tener sentido automatizarlas... je

La estructura de un script en ".vbs" para que sea interpretable por la herramienta:

#$language = "VBScript"
#$interface = "1.0"
Sub main
tarea1
tarea2
End Sub

La declaración de tareas en esta herramienta suele ser muy fácil, así por ejemplo tenemos:

crt.Screen.Send "telnet 10.166.4.58" & VbCr
crt.Screen.WaitForString "assword:"

la primera indica que envíe al promp la secuencia de conexión vía telnet a un equipo con IP 10.166.4.58 y que envíe una pulsación de “Intro”

La segunda línea indica que espere a que en pantalla aparezca una secuencia que contiene "assword:

Un ejemplo de script que nos permitiría conectarnos a un router Cisco mediante telnet y descargarnos de este la configuración sería la siguiente:

#$language = "VBScript"
#$interface = "1.0"
Sub main
crt.Screen.Send "telnet 10.166.17.134" & VbCr
crt.Screen.WaitForString "assword:"
crt.Screen.Send "estaeslapassw" & VbCr
crt.Screen.WaitForString ">"
crt.Screen.Send "ena" & VbCr
crt.Screen.WaitForString "assword:"
crt.Screen.Send "passdeenable" & VbCr
crt.Screen.WaitForString "#"
crt.Screen.Send "terminal length 0" & VbCr
crt.Screen.WaitForString "#"
crt.Screen.Send "show running-config" & VbCr
crt.Screen.WaitForString "#"
crt.Screen.Send "exit" & VbCr
End Sub

Si antes de ejecutar este script se indica en el menú Archivo que guarde log de la sesión todo lo que salga por pantalla lo irá guardando en un fichero .log

Y ahora lo interesante... ¿entonces para 300 centros hay que escribir esto 300 veces entre la sentencia "Sub main" y "End Sub"? Pues bien como yo soy bastante vaguilla en ese sentido pues me hice un script en perl que hacía esto por mí...je aunque tb se puede hacer con “VBScript”

Lo que hacía el script es leer de un archivo las 300 IP con las claves y tratando esto como variables pues me conformaba el archivo final.

Bug en la versión 12.3(9) de los Cisco serie 1700

Problema:

En la versión de IOS 12.3(9) de los Cisco serie 1700 (Software C1700-Y7-M) hay un bug cuando se intenta eliminar la especificación del parámetro "ubr".

El parámetro ubr permite limitar la velocidad de subida por ejemplo en un interfaz ATM cuando este va sobre fibra óptica

Casuística:

El beneficio de no especificar este parámetro en los router remotos es que basta con limitar la velocidad en SABA, con lo cual se evita que para sucesivas duplicaciones de velocidad haya que estar reconfigurando casa uno de los router remotos, además del SABA.

Una vez eliminado este parámetro la velocidad en el router remoto queda limitada a la que le venga impuesta desde el router central (SABA); esto es, hay una "negociación" de la velocidad entre el router remoto y el central.

Escenario:

Un ejemplo de configuración en el cual la velocidad de descarga está limitada a nivel ATM a 640 Kb/s, queda expuesto en las siguientes líneas

interface ATM0/0.35 point-to-point
ip address 'ip address' 'net_mask'
backup interface Dialer1
cdp enable
pvc 8/35
ubr 640
oam-pvc manage
encapsulation aal5snap
protocol ip inarp

A grandes rasgos esta configuración de ejemplo define lo siguiente:

• Direccionamiento IP del interfaz
• Backup independiente de este interfaz sobre RDSI, en este caso concreto.
• Tiene habilitado el protocolo CDP (CISCO Discovery Protocol, protocolo de capa 2 que recolecta información sobre dispositivos CISCO directamente conectados)
• Interfaz ATM definido dentro la fibra óptica en el path número 8 y en el circuito número 35
• Definición de la limitación de descarga (en Kb/s) a 640.
  

Bug:

En la versión de IOS 12.3(9) cuando se elimina el parámetro ubr dentro del contexto del pvc, esto es "no ubr", el siguiente comando que se ejecute hará que el router se rebote. Al rebotarse el router sin dejar poner ni el comando write, la configuración no se aplica.

Solución:

En otras versiones inferiores como la 12.2(15)T14 esto no sucede, pero si no se quisiera cambiar la IOS se puede resolver de la siguiente forma:

Abrir dos sesiones remotas simultáneas al router, en una introducir el comando "no ubr" y sin poner ningún comando más (porque sino se reiniciaría el equipo), en la otra sesión poner el comando "write" (o "wr"), de este modo la configuración se graba antes de que el equipo se reinicie y por lo tanto la configuración ya queda aplicada.

Nota:

No se si este bug está ya reportado, pero lo considero importante para grandes organizaciones que gestionan el ancho de banda de las líneas puesto que desde hace un año la duplicación de este parámetro se viene sucediendo con asiduidad

Posibilidad de robo de cuentas de Google Talk desde el registro de Windows

SecurityFocus ha hecho público un problema de seguridad que afecta al nuevo sistema de mensajería instantánea, mediante el cual un atacante con acceso al registro de Windows podría obtener los datos de la cuenta de usuario de la víctima en Google Talk. Google Talk almacena de forma encriptada éstos datos en el registro, por lo que un atacante no tendría acceso a ellos de forma directa. Pero el problema radica cuando la aplicación guarda los datos de una conexión mediante proxy con autenticación, dejando la información sin cifrar dentro de las claves del registro:

HKEY_CURRENT_USERSoftwareGoogleGoogle TalkOptionsauth_user

HKEY_CURRENT_USERSoftwareGoogleGoogle TalkOptionsauth_pass

Si el atacante tiene acceso a éstas claves del registro, podrá ver la información de la cuenta en texto plano.

Solución: se propone no usar Google Talk con proxys que requieran autenticación y esperar a una nueva versión del programa.

Nessus y Snort con futuro incierto

Nessus anuncia que abandonará la licencia GPL para su próxima versión, mientras que la empresa Sourcefire, los padres de Snort, han sido comprados por Check Point.

Nessus y Snort tienen varias cosas en común. Ambos nacieron como proyectos open source en 1998, se distribuyen bajo licencia GPL, tienen una amplia difusión, y son sin duda referencias obligadas en su terreno, el primero como escáner de vulnerabilidades y el segundo como IDS.

Leer más...

Romper WPA-PSK

Algo más para la lista de pendientes, de esta semana no pasa leerlo a conciencia...

http://foro.elhacker.net/index.php/topic=87869.0.html

Esta vez antes de nada va a tocar desempolvar los apuntes de Comunicaciones

Servicio/Puerto CIFS: salto de restricciones en Check Point Firewall

El problema se ha detectado en los siguientes productos:

• VPN-1/FireWall-1
• VPN-1 VSX
• Provider-1

En teoría en los productos mencionadas el servicio CIFS adquiere el mismo nombre que el protocolo CIFS (tcp/udp 445). Por lo tanto cuando se busca el servicio CIFS, erróneamente se encuentra el tipo de protocolo y por lo tanto cualquier puerto puede aceptar la aplicación de la regla.

Esto puede provocar que todo el tráfico de una red en el grupo de servicio CIFS pase por el firewall o bien que sea descartado, dependiendo de la regla de configuración.

Yo al hacer esta comprobación en nuestros firewall he descubierto que el grupo si adquiría el nombre de “CIFS” pero el protocolo ya no se llamaba así.

Solución: cambiar el nombre del servicio “CIFS”; esto es, del grupo “CIFS”:

1. En SmartDashboard, en la pestaña 'Services', abrir 'Group', y editar el objeto "CIFS".
2. Renombrarlo a "CIFS_GROUP" y pulsar OK.
3. Pulsar con el botón derecho en el objeto "CIFS_GROUP", elegir "Where used...", y verificar que todos los sitios mencionados en la ventana de resultados se refieren adecuadamente a "CIFS_GROUP". (En checkpoint esto no es necesario puesto que se hace automáticamente el cambio en todos los registros)
4. Instalar la política en todos los gateways.

Servicio FTP a través de los Firewall Nokia

Problema: Cualquier firewall a día de hoy soporta el servicio de FTP a través de los mismos; entonces ¿cómo puede ser que el servicio FTP requerido por una aplicación concreta no pueda ser establecido a través de los firewall del fabricante Nokia (el firewall de Nokia es CheckPoint)?

Antecedentes: Existe un archivo de configuración en las consolas de administración de los firewalls: “base.def” en el que se encuentran en modo script opciones por defecto de distintos servicios, como por ejemplo el de FTP.

En una incidencia concreta al intentar ejecutar una aplicación a medida a través del firewall, éste estaba tirando los paquetes FTP. En este caso concreto, esto se debía a que el servicio FTP por defecto en el intercambio de tramas cuando envía la trama PORT pide que el comando “New Line”, esto es, que se establezca una nueva línea de conexión.

Resulta que la aplicación a medida estaba diseñada para que no enviara “new line” y por lo tanto no cumplía la definición del servicio.

Solución: En este caso concreto, basta con comentar la línea:

#Define FTP_ENFORCE_NL

Estudiando ... NAC

Network Admission Control (NAC). Cuando lo tenga estudiado lo posteo.
Saludos

Soluciones de negocio basadas en Metadistros. Videoconferencia como medio de e-Learning desde un CD-Rom

Escribo para presentar el artículo que este año ha sido publicado en la U.R.S.I. (Simposium Nacional de la Unión Científica Internacional de Radio)

El artículo propone una solución de nogocio en la temática del e-Learning para un usuario final que busca la máxima abstracción de la tecnología de red

Para la solución planteada se ha hecho uso del proyecto Metadistros y de algunas herramientas más (como Video LAN) todas ellas del mundo del Software Libre.

En el artículo NO SE REINVENTA NADA pero si que se plantea el uso de los proyectos de Software Libre como la mejor opción para soluciones de negocio a medida

Abstract. La enorme importancia que está adquiriendo la enseñanza virtual en estos últimos años, unido al auge de conocidas plataformas que facilitan la implantación de lo que se conoce como e-learning, nos llevan al deseo de seguir mejorando/innovando en este campo, buscando soluciones que faciliten la enseñanza a distancia e intentando solventar los inconvenientes que esta plantea.

En este artículo se desarrolla una solución del tipo "conectar y listo" para la enseñanza con interactividad bidireccional de cualquier naturaleza, como clases, ponencias o conferencias, abstrayéndose de la ubicación geográfica y de los problemas de configuración del escenario que este tipo de tareas implican.

En resumen, desde cualquier parte del mundo un ponente/profesor podrá interactuar por videoconferencia con un grupo de asistentes/alumnos, con el simple gesto de insertar un CD-Rom en la unidad de lectura.

Leer más... Download PDF

Desbordamiento de búfer en Cisco IOS 12.x

La vulnerabilidad se ha confirmado en las siguientes versiones de IOS:

• 12.2ZH y 12.2ZL
• 12.3
• 12.3T
• 12.4
• 12.4T

La vulnerabilidad se debe a un problema de control de tamaños de variables durante el procesamiento de las credenciales de autenticación por parte del Authentication Proxy FTP/Telnet. Esta circunstancia puede ser aprovechada para provocar un desbordamiento de búfer, provocando con ello la reinicialización del dispositivo o incluso la ejecución de código arbitrario, aunque se requiere que el proxy de autenticación para las sesiones FTP y/o Telnet esté configurado y aplicado en el interface activo.

Solución:

Parchear/actualizar las versiones

Phishing basado en troyanos

Recientemente se ha detectado un troyano destinado al robo de credenciales bancarias. Esto no es nada nuevo puesto que ya existían troyanos de este tipo

La novedad reside en que realmente lo que hace es detectar cuando el usuario intenta conectar con unas determinadas webs, y redirigirlo de forma dinámica (esto es la IP va cambiando, dependiendo de la resolución de dominio que se haga) hacia una página falsa que simula a la de la entidad, es decir, hacia un phishing tradicional.

Al infectar un sistema de prueba y fijarmos en la modificación del archivo hosts, podemos encontrar algunas irregularidades en el largo listado de direcciones que incluye (a continuación sólo una pequeña porción):

(null) onlineaccounts2.abbeynational.co.uk

(null) www3.aibgonline.co.uk

(null) www.bank.alliance-leicester.co.uk

(null)login.ibloing.com

...

Como se aprecia en la columna donde aparecería la IP se puede observar la variable (null), ¿porqué? El troyano introduce la IP de forma dinámica, mediante la resolución dinámica del dominio banks.wayser.net (caso concreto de esta prueba), e introduce en el archivo hosts la IP obtenida. A día de hoy ciertos dominios han sido ya no se encuentran activos; eso explica que cuando el troyano intenta resolver el dominio, para introducir la IP en el archivo hosts, obtiene el valor (null), ya que fue desactivado hace semanas. La verdadera estratégia del gusano consiste en monitorizar la URL del navegador del usuario para detectar cuando intenta dirigirse a uno de los sitios web de las entidades, y redirigirlo a una web falsa de phishing. Para ello no utiliza URLs concretas, sino que lo hace mediante palabras claves o porciones de URL.

Por ejemplo, si el usuario intenta navegar por una dirección que contiene "myonlineaccounts2.abbeynational.co.uk" o "/CentralLogonWeb/Logon", el troyano automáticamente lo redirecciona a http://onlineaccounts2.abbeynational.co.uk/uk/ab/CentralLogonWeb/Logon. En realidad esa URL no existe, tiene una errata en el dominio, pero funcionará porque el troyano introdujo en el archivo hosts la línea "onlineaccounts2.abbeynational.co.uk" y por tanto el sistema ahora la resuelve, la reconoce.

De esta forma el usuario verá en su navegador una dirección muy parecida a la legítima, lo que dificultará que a simple vista se de cuenta de que está navegando por una página falsa.

Por ejemplo, entre otras, las IPs a las que en algún momento han apuntado este troyano han sido:

141.225.152.142, 194.215.189.33, 204.9.190.180, 209.107.25.67, 216.138.184.21, 64.39.14.226, 69.15.98.210, 70.84.252.218, 80.86.191.181

Leer más...

Datos del portapapeles accesibles desde Internet Explorer

Hoy en una-al-dia se publica:...

Internet Explorer permite capturar los datos del portapapeles desde una página web. Aunque el uso malicioso de esta característica ya fue denunciado a finales del 2002, aun hoy día la configuración de la mayoría de sistemas con Internet Explorer permiten de forma transparente esta función.

Una prueba de concepto para comprobar si nuestro navegador permite la captura de datos del portapales se encuentra en la siguiente dirección:

http://blog.hispasec.com/laboratorio/29

El objeto clipboardData es el responsable de esta funcionalidad, y fue incorporada en la versión 5 de Internet Explorer. Básicamente admite tres métodos para interactuar con los datos del portapapeles, "getData" para capturar la información, "setData" escribe datos, y "clearData" para borrar el portapapeles.

Aunque evidentemente tiene usos prácticos, lo cierto es que también puede ser utilizada de forma maliciosa. De hecho resultaría muy simple diseñar una web que intentara capturar los datos del portapapeles de todos los visitantes.

Sobre si ello puede suponer un problema de seguridad, ya depende exclusivamente del grado de sensibilidad de la información que cada usuario suele copiar en el portapapeles en el día a día. Algunos ejemplos cotidianos son datos de hojas de cálculo, párrafos del procesador de textos, una conversación por mensajería instantánea que queríamos almacenar, o incluso una contraseña que hemos copiado para pegar en un formulario de autenticación.

Si el usuario cree que los datos que suele copiar al portapapeles son sensibles, puede modificar la configuración de Internet Explorer para que le avise, o directamente rechace, cualquier intento de captura por parte de una página web.

¿Cómo solucionarlo?:

1. Usando otros navegadores (Firefox, for example)
2. O si se sigue usando IE: en el menú "Herramientas" de Internet Explorer, escoger "Opciones de Internet...", seleccionar la pestaña "Seguridad", pinchar en el botón "Nivel personalizado...", buscamos el apartado "Automatización" y "Permitir operaciones de pegado por medio de una secuencia de comandos". Ahí seleccionaremos "Pedir datos", para que Internet Explorer nos avise y nos de la opción de si queremos o no permitir la acción, o "Desactivar" si queremos que siempre evite la operación.

BS 15000

Es un estándar británico preparado por el comité técnico BDD/3.

Consta de dos partes:

• Parte 1: Specificaction for service management


• Parte 2: Code of practice for service management

BS 15000-1 puede ser resumida en el siguiente esquema:

El esquema implica los siguientes conceptos, aplicados éstos a la gestión de cualquier empresa:

• Gestión de nivel de servicio (SLA), asignación de responsabilidades, asegurar las provisiones presupuestarias, etc


• Establecer una buena relación entre los proveedores de servicios y los consumidores de los mismos


• Capacidad de establecer rápidamente acuerdos de servicio en respuesta a cualquier requerimiento y capacidad de gestionar problemas minimizando el impacto de estos a ser posible con técnicas proactivas


• Gestión del cambio, asegurándose de que cualquier cambio es valorado, implementado y revisado de una forma controlada


• Y finalmente un proceso continuo de revisión

Todos los subapartados en los que se divide la BS 15000-1 implican en cado uno de ellos el famoso ciclo (PDCA- Plan, Do, Check, Ack).

Manual de GnuPG básico

Algo en lo que merece la pena perder una hora; en el peor de los casos sirve para clarificar conceptos y recordar otros tantos.

• Ver claves públicas disponibles
• Trabajar con claves en servidores
• Claves de revocación
• Desencriptar mensajes
• Verificar mensajes firmados
• GnuPG SubShell
• etc

Gracias Ritxy: http://www.lostscene.com/manuales/gnupg.php

Cisco en el punto de mira de los hackers

En la reciente edición de Black Hat estaba programada una presentación sobre como comprometer los routers Cisco, a priori muy interesante. En un intento de censurar dicha información, Cisco recurrió a tácticas legales. Como suele ocurrir en este tipo de casos, el efecto fue el contrario al buscado: hubo presentación, la documentación cuelga de numerosos sitios de Internet, y el caso ha despertado un gran interés tanto en investigadores de seguridad y hackers como en los medios de comunicación.

El ponente, Michael Lynn, dimitió del puesto que ocupaba en su empresa, Internet Security Systems, que a su vez había llegado a un acuerdo con Cisco para evitar la divulgación del estudio de Lynn. Las amenazas legales cayeron en saco roto, y lo único que han conseguido de momento es atraer toda la atención.

Aunque los abogados de ISS y Cisco siguen enviado advertencias legales a los sitios de Internet que cuelgan la presentación, ya es demasiado tarde, continuamente aparecen nuevos sitios web que lo hospedan y el PDF circula por las redes P2P.

A efectos prácticos, Cisco publicó un aviso de seguridad dos días después de la presentación de Lynn, donde ofrece un parche para su sistema operativo IOS, de cara a prevenir una denegación de servicios y "potencial" ejecución de código arbitrario en sus routers configurados para soportar tráfico IPv6.
http://www.cisco.com/warp/public/707/cisco-sa-20050729-ipv6.shtml

El problema ya no es tanto éste caso concreto, que es muy grave, sino que Lynn ha demostrado que es posible ejecutar código arbitrario en los routers Cisco, que hasta el momento se vendían como prácticamente inmunes contra este tipo de compromisos.

Teniendo en cuenta que buena parte de la infraestructura de Internet descansa en dispositivos Cisco, las consecuencias de un hipotético gusano que aprovechara una vulnerabilidad crítica en Cisco IOS podrían ser espectaculares.

Lynn pretende con este aviso advertir de las debilidades de Cisco y evitar males mayores. Si bien, aunque no ha dado los detalles y por tanto no se prevé que a corto plazo se explote este tipo de vulnerabilidades, su presentación puede servir de guía inicial para que otros hackers encuentren vulnerabilidades en el sistema operativo de Cisco.

Además, el intento de Cisco de ocultar la información no ha hecho más que aumentar la motivación de los hackers. Ya en la DEF CON se han podido ver grupos de trabajo discutiendo sobre como reproducir el estudio de Lynn.

Recomendamos la lectura (en inglés) de una interesante entrevista a Michael Lynn pulicada por Wired, donde se descubren algunos detalles de este auténtico culebrón.
http://www.wired.com/news/print/0,1294,68365,00.html

Nmap: Un escaner de redes

El nmap permite a los administradores de sistemas y a los curiosos poder "scannear" ( o barrer ) las redes y poder determinar que servidores están activos y que servicios están ofreciendo.

El nmap ofrece varias técnicas de barrido. Para los mas curiosos os recomiendo la lectura del artículo de Linux Costa Rica(bastante completo pero a la vez simple; además incluye como detectar desde la máquina atacada que se está llevando a cabo dicho ataque) o recurrir a los manuales. La idea es que se pueda observar algunas de las formas de uso del nmap para obtener información sobre los sistemas y a la vez observar como se puede encontrar huellas del barrido realizado por el nmap desde el lado del objetivo

El nmap se obtiene de http://www.insecure.org/, una vez bajado:

• tar zxvf nmap-2.30BETA17.tgz
• cd ...../nmap-2.30BETA17/
• ./configure
• make
• make install

con lo cual queda instalado

El resultado que arroja el nmap es comunmente una lista de los puertos "interesantes" ( puertos activos) en la máquina que está siendo barrida. Para dichos puertos da el nombre del servicio conocido, el estado y el protocolo

Google Hacking

Recientemente ha sido publicado en una página (hacking9) lo que yo considero un buen How-To en formato artículo.

Este artículo expone de forma muy sencilla los conceptos básicos que permiten usar Google poder explotar vulnerabilidades de distintas páginas tanto por los servicios que tienen publicados como por las redes donde se encuentran.

Es muy cortito de leer y sobre todo fácil de probar... ya sabéis como usarlo.

Descarga del artículo

Server Message Block (SMB)

Todos los días leo cosas nuevas y muchas veces intento sintetizarlas para poder exponerlas aquí, … Esta vez simplemente no puedo porque sintetizar todos los conocimientos que se exponen en http://www.est.cl/phrack/p60-0x0b.txt es casi imposible.

Simplemente animo a cualquier persona que desee conocer el funcionamiento del protocolo estándar Server Message Block (SMB), y de su versión pública CIFS, a que le eche un vistazo.

En el enlace se encuentra una exposición muy profunda de dicho protocolo, incluyendo como perpetrar un ataque MiM (Man in the middle) con este protocolo.

Conceptos:

CIFS tiene como fin proveer un mecanismo abierto entre-plataformas para sistemas clientes que requieran servicios de archivo e impresión de sistemas servidores en una red. Está basado en el protocolo estándar Server Message Block (SMB) ampliamente usado en los computadores personales y en las estaciones de trabajo corriendo una amplia variedad de sistemas operativos.

De hecho, SMB es un protocolo que opera la transferencia de datos entre archivos compartidos, dispositivos, pipes (conexiones de programas), o mail slot a través de una red. CIFS es una versión pública de SMB

Ejemplo de servidor SMB: quizás el más extendido Samba.

Copia este libro

Ritxy me envió hace unas semanas un libro para que le echara un vistazo, y no hay nada mejor que un dolor de muelas para forzarte a sacar un hueco para leer. El libro se titula “Copia este libro”

En él hay frases muy duras, pero no faltas de conciencia, como:

• Una parlamentaria en un debate en La 2 y que dijo que “lamentablemente en España se lee poco, pero lo importante es que no se lea pirata". En la España en la que la Pantoja y Pocholo son las dos personas más populares del 2003 lo importante no es que los ciudadanos lean, sino que no lean fotocopias.
• Daniel Samper Pizano explica en el prólogo del libro “Gerardo Masana y la fundación de Les Luthiers” que oyó “por primera vez la música de Les Luthiers a principios de 1975 en Colombia” gracias a una “mano misericordiosa” que le entregó “un casete que alguien copió de cierto casete que alguien había copiado de otro casete que copió, a su vez, un admirador anónimo”. Esa mano misericordiosa de ayer, mano pirata de hoy, fue la que hizo que años después Samper escribiera el libro “Les Luthiers de la L a la S”.
• En los periódicos y en los estudios encargados por las entidades de gestión las únicas cifras serias son las que enumeran euros y no las que enumeran personas.
• La “Paloma Blanca”, símbolo de la Paz, también tiene propietarios. Este dibujo de Picasso que el pueblo hizo suyo como estandarte del pacifismo no puede usarse libremente. Si lo hicieras, la entidad que gestiona los derechos del artista no tardaría en ponerse en contacto contigo para comunicarte el precio que tiene tu actividad ilegal. Y esto será así hasta el año 2023. Todas las páginas webs pacifistas que incluyen este símbolo están al margen de la ley. Es posible que VEGAP, la entidad a la que pertenecen los herederos del pintor, no haga nada al respecto por lo escandaloso que resultaría, pero si decidiera hacerlo, la ley estaría de su parte.
• La canción “Happy Birthday To You” es propiedad de Warner y le reporta 2 millones de dólares anuales en concepto de royalties. Según la legislación estadounidense cantar esa canción en un restaurante sería un acto de comunicación pública ilegal por el que podrían pedirte una indemnización.

Si me preguntáis cual es mi opinión tras la lectura solo puedo decir esto: os animo a que leáis este libro y los de la oposición y así seáis totalmente libres de sacar conclusines. Yo nunca he sido muy partidista de mostrar mi opinión.

Listas de Seguridad y Alertas

Adjunto unas cuantas listas de alertas de seguridad/ vulnerabilidades/ noticias a las que estoy suscrita (muchas por recomendaciones de lectores de este blog).

A veces es un follón tener que leer tanto mail pero siendo prácticos muchas veces el Subject del mail te da la información para descartar la lectura del mismo si está fuera del campo de interés o incumbencia:

• Mi incondicional: Hispasec
• US-CERT: United States Computer Emergency Readiness Team
• Secunia
• Seclists (recomendada por Guillem)
• Securitytracker (recomendada por MW)
• Securityfocus (recomendada por MW)
• Packetstormsecurity (recomendada por MW)
• http://www.frsirt.com/english/ (recomendada por alucardX)

Por haber hay muchas más listas: existen más listas de propósito específico como pueden ser las enfocadas a virus y demás.

Por otro lado en las listas expuestas arriba existen muchas variedades; desde los envíos de vulnerabilidades diarios de seguridad o virus, hasta los de recopilación semanal. En la variedad está el gusto ...

Parche crítico para Internet Explorer

Microsoft obligada a distribuir de forma urgente un parche de seguridad para Internet Explorer al publicarse los detalles de una grave vulnerabilidad que afecta al navegador.

Para saber si nos afecta:

1. En la ventana de command escribir: jview


2. Si nos devuelve un mensaje distinto al siguiente leer aquí que hacer: "jview" no se reconoce como un comando interno o externo, programa o archivo por lotes ejecutable.

Fuente.: Hispasec

HTTP Request Smuggling (HRS)

Se ha verificado que todas las versiones de Apache previas a la 2.1.6 son vulnerables a un ataque HTTP Request Smuggling (HRS).

La técnica del HRS fue originalmente descubierta y documentada por los analistas de Watchfire, y consiste básicamente en lanzar varias peticiones especialmente preparadas, de modo que dos dispositivos HTTP (clientes, servidores, cachés, etc.) podrían visualizar distintos tipos de peticiones. Esto permitiría que usuarios maliciosos introdujeran peticiones.

En este caso, la petición preparada con una cabecera 'Transfer-Encoding: chunked' y un 'Content-Length' pueden provocar que Apache remita una petición modificada con la cabecera 'Content-Length' original.

En éstas condiciones, la petición maliciosa podría causar

• Envenenamiento de caché,
• Cross Site Scripting,
• Secuestro de sesiones
• Otras tipologías de ataque similares.
  

Solución:

Actualización de todos los demonios Apache pertenecientes a la rama 2.0.x a la versión 2.1.16, que corrige el problema. En un principio, la rama 1.0.x está excluida del problema.

Fuente: Hispasec Leer más

Autenticación automática SSH con PuTTY y claves pública/privada

He encontrado a otro bloggero y me parece muy interesante la sencillez (en el buen sentido; esto es, todo bien explicado paso a paso y con dibujos) con la que expone sus post.

El único que artículo que me ha dado tiempo a echarle un vistazo ha sido este: Autenticación automática SSH con PuTTY y claves pública/privada. Parece tener buena pinta, por lo menos la exposición del método parece correcta. Si saco un rato miraré bien el blog.

¿PORQUÉ NO SE LES DA EL CORRECTO USO A LOS RECURSOS?

Antes de nada: para los que lo tenéis claro lo que en este post se expone no os lo toméis en serio y para el resto simplemente pensar las cosas dos veces antes de "cagarla"

Conceptos:
Este blog está alojado en mi servidor (EEUU) y no en blogger; esto significa que TENGO CONTROL DE TODAS LAS ESTADÍSTICAS DE ENTRADA a éste:

• IPs de origen
• Día de entrada en formato dd MMM
• Hora de entrada en formato hh:mm
• Páginas desde las que se procede
• etc...

Esto que significa...
PUES QUE LO DE PONER COMENTARIOS ANÓNIMOS tiene bastante POCO DE ANÓNIMO.

Esto porqué lo digo...
A mi realmente no me interesa conocer nada de cualquier persona que simplemente le da a este blog para su uso: "Intentar sacar alguna idea o algún concepto"

Pero lo que está claro es que cuando los comentarios son ridículos pues... que cada uno sea consecuente. Simplemente hay que UTILIZAR LOS RECURSOS PARA EL FIN QUE HAN SIDO CREADOS

La IP hoy en día es como el DNI (aun cuando esta es dinámica, no es tan dinámica como debería... jeje)

UN CONSEJO... usar el Blog para lo que realmente está publicado. Sólo espero que le sea útil a alguien y en el peor de los casos: me sirve a mí como repositorio para no olvidar pequeñas cosillas que se van presentando diariamente.

El ENEMIGO puede estar dentro

Esto me pasa por preguntar… jeje. Es broma, gracias Sergio

By Hispasec…

Uno de los factores críticos a la hora de gestionar la seguridad de la información en las organizaciones, es el FACTOR HUMANO.

Aún así, los esfuerzos de seguridad técnica suelen ser muy considerados, pero sin embargo, la seguridad del factor humano a veces es menospreciada o en el peor de los casos, pasada por alto. En éstos casos, hablamos del enemigo que está dentro, bien sea por la intencionalidad de sus actos, bien sea por negligencia en el tratamiento de los activos de la información.

Si nos ceñimos al marco normativo más reconocido, el que nos ofrece ISO 17799:2000, hay varios puntos de control que tienen que ver con el FACTOR HUMANO. Además de la seguridad física y del entorno, el punto de control principal viene reflejado claramente en lo que se suele denominar seguridad ligada al personal. La idea de controlar al personal no está relacionada con la restricción de la libertad y la comodidad de los empleados en las organizaciones: se trata de imponer puntos de control en el factor humano que opera con la información, de modo que se eviten fugas de información, errores en el manejo de datos, brechas en la confidencialidad y que la protección de aspectos importantes, como los secretos industriales y el "know-how" de los negocios, sea una realidad no sujeta a posibles fisuras causadas por el espionaje industrial o la competencia desleal.

Leer mas… Hispasec

Un PFC interesante: Monitord

Os presento un resumen de un PFC (Proyecto Fin de Carrera) que me ha parecido muy interesante.

Monitord es un daemon ligero para monitorizar redes, especialmenteTCP/IP sobre Ethernet, haciendo especial énfasis en la seguridad. Consume mucha menos memoria y mucha menos CPU que la mayoria dealternativas, y es totalmente pasivo. No introduce tráfico de ningún tipo en la red, simplemente observa y guarda los resultados de esaobservación en una base de datos relacional que contiene el históricocompleto, e implementa un sistema especial de caché en memoria muycompacto y eficiente que hace que utilizar una base de datos nosuponga ninguna penalización de rendimiento, ni siquiera procesandomiles de paquetes por segundo, gracias a determinados principios delocalidad característicos del tráfico analizado. Los datos puedenanalizarse a posteriori mediante un interface web basado en CGIs Perl, y también se ofrecen varias estadísticas en tiempo real en XML.

Entre muchas otras cosas permite deducir qué máquinas ofrecen quéservicios y en qué momentos sin hacerles un Port Scan, mediante elllamado Virtual Port Scan que no es más que el análisis del tráficoque han generado, por ejemplo segmentos TCP de tipo SYN+ACK queimplican aceptación de conexión. También permite (suponiendo que nohaya spoofing) identificar el fabricante de las tarjetas Ethernet enbase al código OUI de su dirección MAC, y permite detectar spoofing dedirecciones IP y de direcciones MAC (obviamente, no de ambas :-) asícomo agrupar los resultados por hosts, nombres simbólicos, subredesIP, etc. Extrae, guarda y relaciona teniendo en cuenta parámetrostemporales gran cantidad de información de todo tipo de broadcasts,como por ejemplo las peticiones ARP.

En realidad es más una "proof of concept" que una herramienta para elusuario final. Demuestra la utilidad de ciertas técnicas, tanto de acceso intensivo a bases de datos, y deja la puerta abierta amodificaciones y ampliaciones que podrian dar lugar a herramientastodavia más potentes. Una versión distribuida del daemon en lugaresestratégicos de la red por ejemplo permitiria ubicar físicamente a loshosts que hicieran spoofing de la dirección IP, de la MAC, o inclusode ambas. Su ligereza permite convertir prácticamente cualquierordenador en un monitor de red silencioso sin ningún coste

Un directorio para cada usuario del servicio FTP del IIS

Para llegar a hacer esto únicamente es necesario montar un "directorio virtual" en el "Web Site Default" del IIS, con el mismo nombre que el del usuario creado en el IIS y luego en las propiedades del directorio virtual asignarle el path donde se quiere que se asocie el directorio raiz del ftp para el usuario.

By Guillem: "No es culpa mía"

Os adjunto un comentario que me ha hecho mucha gracia leer. Textualmente:

"Sé el nombre de la red inalámbrica de mis vecinos. El password. El rango de IPs que usan. La IP de su servidor de DNS y del gateway. El password del administrador de todos sus hasefroch. Los cinco programas que más usan, y sus números de serie. Además de otros datos que prefiero no citar."

"Es genial. Sabeis por qué? Porque YO NO HE HECHO NADA POR SABERLO. He hecho un examen esta tarde. Estas cosas cansan, estresan, así que me iba a dormir prontito, a las doce, cosa que no hago nunca. Y se vé que los vecinos han montado hoy su wireless chupiguai con el windolin de ultima quenerasión, y justo cuando he entrado en mi habitación los he oido soltando toooda esa información a grito pelado de un extremo a otro de su piso. Normalmente no los oigo, están gritando a lo bestia porque deben tener dos ordenadores muy separados. Los que pasaban por el principio de la calle Aragón en esos momentos lo habrán oido también, a pesar de estar en los últimos pisos. Y siguen jugando con el la red y con la maquinita nueva, acabo de oir un XP reiniciándose con el volumen a tope. Vaya, ahora también sé el login y el password de un usuario. Y el número de serie de su antivirus. Y el nombre de su gato. Bueno, eso ya lo sabia de antes. Se vé que están "equipando" de software la máquina nueva. Voy a ver si con unos cascos poco de música me escapo de la sobredosis de información confidencial a la que me están sometiendo."

"Si no me tapo los oidos, con la noche que llevan es cuestión de tiempo que me entere su número de cuenta corriente, su número de VISA, la fecha de caducidad y el PIN. Y no me interesa, la verdad :-P "

"Hay que joderse... antes habia que silbar los tonos multifrecuencia a los teléfonos, habia que hacerse los bits con yesca y pedernal para meterlos a mano por el cable, uno detrás de otro, y era dificil porque te salian todos los bits distintos, claro, como los hacias artesanalmente... luego la cosa se suavizó un poco y era suficiente con estudiar algunos esquemas electrónicos, un poco de código y los RFCs de unos cuantos protocolos... luego se dijo que lo más refinado era la ingenieria social... y ahora ni ingenieria social ni nada, hala, todo a la mierda... te pones a descansar y la gente no te deja porque está gritando los passwords que te dan acceso sin cables a sus sistemas. Estoy indignado, esto de la seguridad informática es una tomadura de pelo, ya no existen los retos. A partir de ahora me dedicaré a cultivar orquideas. Son bonitas. Las blancas al parecer son muy sensibles a los cambios bruscos de temperatura. Sí, eso sí que es un reto... y las hortensias, claro."

QUE NO FALTE EN ESTE MUNDO LO QUE NO HABRÁ EN OTROS: "HUMOR"