How To By LauraCeldranS

Novell XGL

2006-09-05T09:02:00.000+02:00

http://www.youtube.com/watch?v=1n-6oEcAZ80

Suplantación Biométrica

2006-07-31T09:03:00.000+02:00

La suplantación biométrica es un hecho (bueno dependiendo de la técnica ya lo era hace mucho tiempo).

Si la clave de acceso era la huella dactilar pues bastaba (como veíamos en películas) con cortarle el dedo al usuario (o menos drásticamente con suplantar con silicona la forma de la huella). Y aunque como mejora de este sistema de autenticación se implementa que además el sistema compruebe que la huella tiene pulso, esto también es suplantado.
Si se habla de la lectura ocular, la suplantación se mueve hacia lentillas.

Resumiendo, ¿no es suficiente un rasgo humano que es único para autenticarse de forma segura?, entonces, ¿si se complementa esto con el echo de que también deberemos asegurar que sabemos algo, como una contraseña o un PIN, el sistema entonces es seguro?.

Sea como sea, la seguridad siempre es relativa al esfuerzo en saltársela (nunca absoluta) y debe de ser proporcionar a lo que se desea asegurar...

Noticia relacionada, http://www.hispasec.com/unaaldia/2830/

Configuración Básica de un FortiBridge

2006-07-10T06:55:00.001+02:00

Configuración básica a aplicar en un FortiBridge (FB) para que mantenga HA/cortocircuito de un cluster de FortiGate configurado en modo transparanter:

FortiBridge-SerieX #
config system manageip
set ip X.X.X.X/X
end

config system route
edit 1
set gateway X.X.X.X
end

#acceso telnet y ping desde la interfaz interna
config system interface internal
set allowaccess telnet ping
end

set action_on_failure failopen
set dynamic_ip_pattern 2.2.2.*
set fgt_serial FGTYYYYYYYYYYYYY
end

config probe probe_list ping
set status enable
end

config probe probe_list http
set status disable
end

#configuración snmp
config system snmp community
edit 1
set name ZZZZZZZZZ
end

config system snmp community
edit 1
config hosts
edit 1
set ip N.N.N.N
end
end

#configuración de los temporizadores de detección de caida del cluster.
conf probe probe_list ping
set failure_threshold 10
set probe_interval 6
end

Estos de google son imparables

2006-06-10T20:48:00.000+02:00

Hojas de cálculo colaborativas:
http://spreadsheets.google.com

Problema de interpretación de caracteres en clientes que usan OWA

2006-05-08T10:27:00.000+02:00

El problema de interpretación de caracteres (como acentos..) que presenta la lectura de correos desde el OWA no es problema de los servidores que conforman la estructura de Microsoft Exchange... pues bien la solución pasa por re-registrar unas librerías... Para ello desde un command de windows (habiendo cerrado previamente el OWA)...

regsvr32 /u "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Triedit\triedit.dll"
regsvr32 "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Triedit\triedit.dll"
regsvr32 /u "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Triedit\dhtmled.ocx"
regsvr32 "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Triedit\dhtmled.ocx"

Nota: la falta de interpretación en formato html (como es el caso de la firma), es tema aparte... ;)
Además hay que tener en cuenta en cada sistema donde realmente están las librerías.

Desde Sergio Hernando: Aplicaciones de seguridad gratuítas para Windows

2006-04-05T12:20:00.000+02:00

Escribe Sergio Hernando... (lo pongo aqui para tenerlo siempre a mano)

El objetivo de esta recopilación es ofrecer a los usuarios de plataformas Windows enlaces a aplicaciones libres y/o gratuítas que puedan ser evaluadas y empleadas sin coste alguno por aquellos que lo estimen oportuno.

Este conjunto de herramientas proporcionan al usuario seguridad en distintas facetas que requieren que al menos se tomen unas mínimas medidas de precaución para evitar incidentes indeseables, como la intrusión, la pérdida de información o la contaminación por virus, entre un total de 20 campos de seguridad básicos.

1. Navegación segura

Las mejores opciones actuales son, sin duda, Opera y Firefox, cuyo histórico de vulnerabilidades es muy inferior al de Internet Explorer, navegador que a todas luces no se recomienda. Ambos programas son gratuítos, y en el caso de Firefox, se puede instalar una barra antiphishing que informa de sitios potencialmente fraudulentos. La barra de Netcraft puede ser interesante para proporcionar además de información técnica, protección antiphishing. A petición de maty incluímos K-Meleon, versión traducida de Nauscopio.

Opera

Firefox

Barra Antiphishing para Firefox

Barra de Netcraft

K-Meleon

K-Meleon Nauscópico

2. Correo electrónico seguro

La recomendación natural para gestionar el correo de una manera segura y eficiente es Mozilla Thunderbird. Para complementar la seguridad de las comunicaciones, es aconsejable emplear algún sistema de privacidad como GnuPG, un sustituto libre de PGP, que también tiene una versión gratuíta.

Mozilla Thunderbird

GnuPG

PGP Free

3. Antivirus

Existen muchas aplicaciones antivirus en el mercado. Dentro de los productos que ofrecen versiones gratuítas para empleo doméstico y no comercial, suele hablarse muy bien de Avast!. Como todo buen antivirus, la misión de Avast! es impedir que nos contaminemos por virus y otro malware. Ofrece actualizaciones automáticas, protección residente, y defensa para P2P, mensajería instantánea y Web. Como no podía ser de otro modo, escanea y desinfecta. Otro antivirus decente es AVG Free. AntiVir también tiene una versión gratuíta. Ewido ofrece una suite de seguridad.

Avast! Home

AVG Free Edition

AntiVir Personal Edition

Ewido Security Suite

4. Antimalware

El clásico por excelencia es sin duda, Ad-Aware, que también tiene una edición para uso doméstico y personal gratuíta. Este producto está especialmente indicado para detectar spyware en las máquinas y eliminarlo. Otro producto aconsejable es Spybot Search and Destroy. Spywareguard proporciona bloqueo en tiempo real contra el spyware más usual. Malware Destroyer elimina amenazas de este tipo. Por último, Emsisoft tiene un buen ramillete de aplicaciones antitroyanos y antispyware gratuítas.

Ad-Aware SE Personal

Spybot Search and Destroy

Spywareguard

Malware Destroyer

Herramientas Emsisoft

5. Firewall

De entre los muchos productos existentes para firewall, vamos a citar a un clásico. Zone Alarm, cuya versión doméstica básica es igualmente gratuíta. El objetivo de un firewall es proporcionar una línea de defensa consistente en la protección contra intrusiones, si bien puede ser empleado además para controlar qué aplicaciones conectan a la Internet en todo momento, pudiendo elegir si permitir o no las comunicaciones de cada programa que tengamos. Además de Zone Alarm, otro firewall gratuíto popular es Kerio, de Sunbelt. maty aconseja incluír Jetico, que también tiene una versión traducida en Nauscopio.

Zone Alarm

Kerio Personal Firewall

Jetico Personal Firewall

Jetico Personal Firewall versión Nauscopio

6. Privacidad

Los programas de limpieza de trazas proporcionan al usuario borrado seguro de las trazas de actividad en un terminal informático. El programa más aconsejable es CCleaner, que proporciona control sobre el borrado de temporales, histórico de navegador, cookies, lista de autocomplete, index.dat para Internet Explorer, borrado de papelera de reciclaje, documentos recientes y un sinfín de información que queda almacenada cuando empleamos un sistema Windows. Contiene herramientas para el borrado de trazas en otras aplicaciones de terceros, como Opera, Media Player, eMule, Kazaa, Google Toolbar, Netscape, MS Office, Nero, Adobe Acrobat, WinRAR, WinAce y WinZip.

Además, contiene un gestor-optimizador del registro, control sobre los programas que el sistema carga al inicio y un desinstalador. Para fines similares, también existe Cleanup!

CCleaner

Cleanup!

7. Almacenamiento seguro de claves

La cantidad de claves que se manejan en el día a día de la navegación hace indispensable emplear un gestor de claves seguro, que permite almacenar las claves que empleamos para así, de un modo seguro, no tener que recordarlas constantemente. En este ámbito es posible recomendar KeePass, así como el conocido Password Safe. También podemos, a petición de maty, hablar de PINs.

KeePass

Password Safe

PINs versión Nautopia

8. Analizadores de tráfico

El objetivo de este tipo de programas es poder controlar el tráfico al que está sometida nuestra red local, como fuente de información de posibles ataques. De entre los muchos programas posibles, recomendar Ethereal es lo más sensato, por su amplia tradición y por sus buenos resultados.

Ethereal

9. Gestión segura de ficheros

La gestión segura para no sólo por el borrado seguro, sino por la conservación segura. Almacenar ficheros sin protección puede ser peligroso, y a la hora de borrar, es recomendable eliminarlos de un modo igualmente seguro, que impida recuperaciones indeseadas. Recomendamos Eraser, Blowfish Advanced CS y Axcrypt.

Borrado seguro con Eraser

Cifrado seguro con Blowfish Advanced CS (sirve también para el borrado seguro)

Cifrado de ficheros con Axcrypt

10. Gestión segura de discos duros

Para gestionar de modo seguro un disco duro debemos contemplar dos tipos de herramientas: borrado seguro de discos completos y cifrado de discos completos. DBAN y Truecrypt pueden servirnos para estos propósitos.

Borrado seguro de discos con Darik´s Boot and Nuke (es una aplicación Linux pero que se ejecuta a modo de live CD)

Cifrado de discos con TrueCrypt

11. Herramientas para comprender los términos de licencia

Los términos de licencia pueden incluír aspectos interesantes sobre la seguridad y la responsabilidad de los productos que usamos. Así por ejemplo, los EULAs (End User License Agreements) contienen información sobre estos aspectos. Eulalyzer selecciona y muestra las partes relevantes de esos acuerdos que nadie suele leer.

Eulalyzer

12. Filtros antispam para el correo electrónico

El spam además de molesto, puede contener malware e intentos de engaño. Lo más aconsejable es filtrar el correo siempre. Mozilla Thunderbird tiene un buen motor antispam integrado, pero es posible instalar motores independientes para un filtrado más intenso. Podemos aconsejar Spambayes y Ella for Spam Control, además de Spampal y Mailwasher.

Spambayes

Ella for Spam Control

Spampal

Mailwasher

13. Sistemas de detección de intrusión

Para evitar las intrusiones no deseadas, existe un buen número de aplicaciones. De carácter gratuíto son Prevx Home y Winpatrol.

Prevx Home

WinPatrol

14. Protección WiFi

Si bien no hay mecanismos exactos para asegurar las conexiones WiFi, podemos emplear software de apoyo, como por ejemplo Air Defense Personal, orientado a la protección de nuestros Hotspots. Para sondear la disponibilidad de redes, y por tanto, para ver cómo está la nuestra, podemos emplear NetStumbler.

Air Defense Personal

NetStumbler

15. Escáneres de vulnerabilidades

Estos programas enumeran los problemas de seguridad que potencialmente existen en nuestro ordenador. El programa por excelencia es Nessus, si bien para plataformas Windows es aconsejable ejecutar de vez en cuando el Microsoft Security Baseline Analyzer. Para servidores, Windows Server Update Services (véase comentario de josemaria)

Nessus

Microsoft Security Baseline Analyzer

Windows Server Update Services (Gratuíto, pero requiere registro)

16. Escáneres de puertos y de red

Es conveniente saber qué puertos tenemos abiertos, ya que los puertos abiertos son la puerta de entrada a nuestra red para los atacantes. El escáner más popular es Nmap. Para escaneos de la red, LanSpy.

Nmap

LanSpy

17. Escáneres de vulnerabilidades Web

Los webmasters y propietarios de Web pueden emplear escáneres web automáticos para detectar vulnerabilidades en sus sitios. N-Stealth Free y SiteDigger son dos herramientas ideadas para este propósito.

N-Stealth Free

SiteDigger

18. Análisis de comunicaciones Bluetooth

Los aparatos bluetooth son cada vez más populares. Existen herramientas para monitorizar la actividad Bluetooth en nuestro alcance. Una de ellas es Bluesweep.

BlueSweep (requiere registro)

19. Sistema

Algunas herramientas permiten evaluar el rendimiento del sistema y monitorizar la actividad del mismo. Esto puede ser interesante igualmente a efectos de seguridad. Whatsrunning es una herramienta que proporciona este tipo de información. Otra posible recomendación es la versión Lite de Sandra, de SiSoft. Los usuarios deberían también ojear las Sysinternals Freeware.

Whatsrunning

SiSoft Sandra Lite

Sysinternals Freeware

20. Entornos de investigación

Estos entornos proporcionan al usuario (avanzado, lógicamente) herramientas de investigación. El proyecto Metasploit nació para desarrollar, probar y usar código exploit, pero puede ser empleado con fines éticos, para test de penetración e investigación de vulnerabilidades. No es una herramienta destinada al usuario en general, sino más bien al usuario avanzado.

Metasploit

Para comentar… IPCheck

2006-03-14T13:18:00.000+01:00

Esta vez me gustaría oir alguna experiencia similar que ayude a resolver el problema…

Hace unos meses se nos ocurrió probar una licencia de 30 días del programa IPCheck de Paessler.

Pues bien configuramos simplemente un sensor que hacía “ping”-http (hablando no técnicamente) a los frontales de los servidores apache y otro sensor que buscaba una sección de código determinada en el propio código de la página web… como un medio para comprobar que los portales están "arriba" (porque aunque no sea determinante, algo de información si que da...).

El resultado es que este mismo programa era el que tiraba la estructura de los portales porque al parecer dejaba las sesiones abiertas. La configuración era del tipo cuatro intentos de sesión cada minuto… ¿eran tantos como para volcar un portal? ¿puede que la configuración del programa no esté bien hecha y por lo tanto no sea capaz de cerrar las sesiones cada vez que las inicia?

En resumen: ¿el programa es el adecuado para analizar una estructura apache-tompcat-oracle? o ¿no configuramos bien la herramienta? o ¿alguno de los elementos intermedio (apache-tompcat-oracle) se pueden configurar de algún modo que eviten quedarse colgados por usar una herramienta que cuyo fin “en principio” no es tumbarlos sino testear su correcto funcionamiento?

Un saludo y gracias

FortiGate: como recuperar el password y la configuración de fábrica, sin variar la FortiOS

2006-02-28T09:13:00.000+01:00

FortiGate de Fortinet es un equipo de cominucaciones que en sus diferente gamas permite a grandes líneas:

Filtrado de contenido Web
IPS
Antivirus

Quizás no es una solución tan robusta como la que conforma en este campo los equipos de Symantec pero es la mejor opción cuando lo realmente crítico es el mantenimiento en todo momento del servicio en cuanto a capacidad de cortocircuitarse en caso de fallo y alta redundancia y en cuanto a capacidad de enrutamiento dinámico en redes complejas.

Pues bien, lo anoto aquí para no olvidarlo: cuando se pierde el password de gestión del equipo o cuando lo que se busca es recuperar la configuración de fabrica de forma rápida hay que conectarse por consola al equipo y poner:
Login: maintainer
Password: secuencia bcpb seguido del número de serie del equipo (casi siempre incluido en la parte de abajo del mismo)

Problema al balancear servicios Citrix con los CSS (Balanceadores de Cisco).

2006-02-24T09:49:00.000+01:00

Para balancear la granja Citrix se están usando los CSS de Cisco. La granja Citrix levanta el protocolo ICA sobre SSL porque en este caso así estaba configurado

Casuística:
Citrix tiene dos módulos el de autenticación (con el que vas inicialmente al logearte en el portal) y el de autorización (siguiente módulo con el que el módulo de autenticación se comunica para ver los permisos que tiene cada usuario y dependiendo de estos te aparecen unos iconos de aplicativos u otros).

Pues bien cuando el balanceo se hacía a través del balanceador las sesiones no llegan a superar las 2 horas; Se probó para descartar problemas de otros equipos de red intermedios el forzar las sesiones únicamente hacia uno de los nodos de la granja (aunque pasando por el balanceador puesto que todos los servicios en este zona de subred actualmente son balanceados) y las sesiones si que llegan a sobrepasar las 8 horas. Con lo que se dedujo que el problema estaba únicamente en la configuración del balanceador (CSS)

El balanceo que se les hace es “advanced-balance sticky-srcip” (permite balancear por IP origen); este balanceo creímos que es el que interesaba porque de no ser de este modo el balanceo, una vez que el usuario se autentica al pasarle la sesión al módulo de autorización sino va al mismo nodo donde se autenticó le aparece el promp como que debe volver a autenticarse porque no lo reconoce como usuario autenticado.

Por defecto el timeout de este balanceo es muy superior a 2 horas (65500 minutos) pero aún así se forzó a 65000 minutos con el siguiente comando “ticky-inact-timeout 65000”; aún así las sesiones no llegan a mantenerse activas ni 2 horas estando el usuario trabando sobre el sistema.

Tras muchos quebraderos de cabeza al final se escaló la consulta a Cisco y la respuesta fue que nos faltó añadir un parámetro más en el content del servicio:

flow-timeout-multiplier: Configures flow inactivity timeout values for TCP and UDP flows on a per content rule and per source group basis

Resultado:
La configuración del balanceo del servicio debe quedar:

content Portal_111_ssl
add service ssl40
add service ssl41
advanced-balance sticky-srcip
sticky-inact-timeout 65000
port 443
protocol tcp
flow-timeout-multiplier 675
vip address X.X.X.X
active

Balanceadores CSS

2006-02-20T10:08:00.000+01:00

Casuística:
Tenemos dos Balanceadores CSS en alta disponibilidad (master-slave); sobre el master (CSS-1) se hacen cambios y por un error se llega a que el único usuario configurado en este equipo pase a no tener privilegios de superusuario

Resultado:
En principio parece que la solución para recuperar los privilegios pasar por desplazarse al CPD y pincharse al equipo por consola; pero en principio se prefiere buscar otra alternativa (en plan chanchullo) para evitar desplazarse… je

Pasos:
El CSS que tenía el usuario ‘user’ como usuario sinprivilegios era el CSS-1 y el CSS-2 tenía al usuario ‘user’ como superusuario; por lo tanto:

Forzamos el CSS-2 para que haga de master
Entramos en el modo de configuración del CSS-2 (ahora haciendo de master) y ponemos username ‘user’ password superuser y aplico el script que replica la configuración de éste al CSS-3 (entre los que nosotros tenemos instalados es el commit-resundancy).
Cerramos la sesión del CSS-1 y cuando la hemos vuelto a abrir (puesto que no existe esa diferencia entre running y startup típica de las IOS de cisco normales), había arrancado con la configuración replicada desde el CSS-2 con lo que el usuario cisco ya tenía privilegios de superusuario.

Gnokii + Modem GSM Siemens mc35i + Nagios = Guardias remotas bien controladas

2006-01-17T17:40:00.000+01:00

En muchas organizaciones se usa el proyecto Nagios (www.nagios.org) como sistema de gestión de alarmas / envío de alertas de código abierto para Linux.
Pues bien Nagios ademas de su propia monitorización web también admite ser configurado para enviar mensajes a correos electrónicos cuando se cae (o cualquier otro nivel de criticidad definido) un equipo o cualquier otro tipo de tarea que se nos ocurra siempre que sea definido en su archivo de configuración de comandos: misccommands.cfg. En nuestro caso cuando un equipo se cae nos llama al móvil (para que lo oigamos bien) y nos envía un sms con el equipo caído… para esto hemos conectado por serial al equipo un modem GSM,

En este caso se hubo de añadir las siguientes definiciones en el archivo:
define command{
command_name notificar-por-wavecon
command_line /opt/nagios-com/notificar.sh "Host '$HOSTALIAS$' is $HOSTSTATE$\nInfo: $OUTPUT$\nTime: $DATETIME$" XXXX
}

, donde XXXX es el número de teléfono de guardias y el script notificar.sh es solo una llamada a gnokii para que ejecute las tareas definidas:

#!/usr/bin/ksh
TEXTO=$1
if [ $# -lt 2 ] ; then
TELEFONO="XXXX"
else
TELEFONO=$2
fi
echo notificar por SMS el texto $TEXTO al telefono $TELEFONO
/usr/bin/gnokii --sendsms $TELEFONO <$TEXTO
END
/usr/bin/gnokii --dialvoice $TELEFONO

Además, para que se ejecute este comando definido, hay que indicar en el contacto guardias que este contacto será notificado además por este método

define contact{
contact_name guardias
alias Nagios Admin
service_notification_period 24x7
host_notification_period 24x7
service_notification_options w,u,c,r
host_notification_options d,u,r
service_notification_commands notify-by-epager,notificar-por-wavecon
host_notification_commands host-notify-by-epager,notificar-por-wavecon
email yy@listas.yyy.es,yy@movistar.com
pager pagenagios-admin@localhost.localdomain
}

Y al grupo de contactos guardias le asignamos el contacto guardias.

define contactgroup{
contactgroup_name guardias
alias administradores de la RCC
members guardias
}

Finalmente, se indica en los grupos de hosts que van a utilizar esta vía de notificación que van a utilizar el grupo de contactos guardias para su notificación, por ejemplo:

define hostgroup{
hostgroup_name ASA
alias ASA
contact_groups gecom,guardias
members “los que sean”
}

Nota: para que Gnokii se entendiera con el model hubo de especificar en el archivo de configuración (/etc/gnokiirc): model=AT, puesto que es un modelo que soporta comandos AT.

Esta vez el mérito es de Luis, uno de nuestros gecomnianos..je

Talkdigger

2006-01-16T09:24:00.000+01:00

Talkdigger es un metabuscador por el que podremos saber quienes enlazan a una determinada dirección de un blog en general, de una anotación en concreto o de los mismos comentarios. Para ello se basa en los buscadores Technorati, Google Blog, Bloglines, Feedster, BlogDigger, Icerocket, MSN Search, Google yYahoo!; el metabuscador es bastante configurable en cuanto a filtros de búsqueda.

Una vez nos muestra los resultados, tenemos las opciones de previsualizar la web en una pequeña ventana dentro del resultado, abrir la web en nuestra ventana activa del navegador o ver en una ventana nueva.

Las búsquedas las podemos sindicar mediente RSS. Los resultados son ordenados por motor de búsqueda.

Un gran producto de Frédérick Giasson que nos facilita la vida a los que tenemos nuestra bitácora y queremos saber quienes nos siguen en sus webs.

Fuente: http://red.psykho.net/

¿De qué nos podemos fiar...?

2006-01-16T08:00:00.000+01:00

Tal día como hoy en Hispasec se comenta ...

Históricamente se han considerado archivos potencialmente peligrosos para Microsoft Windows los que poseían las muchas extensiones de aplicaciones ejecutables que existen. En su código es posible ocultar cualquier acción dañina para el sistema, y puede ser disimulada y pasar desapercibida par el usuario. EXE, VBS, PIF, SRC, VBS, BAT y un largo etcétera, son extensiones de las que hemos aprendido a desconfiar hace tiempo. Desde hace poco, sin embargo, se pueden unir al conjunto de sospechosas muchas otras que se han considerado desde siempre confiables.

De un tiempo a esta parte, se ha popularizado el uso de archivos con extensiones históricamente confiables con la finalidad de difundir código malicioso. El ejemplo más claro y conocido ha ocurrido con la vulnerabilidad de procesamiento de WMF (Windows Meta File) que permitía la ejecución de código arbitrario en el sistema con la simple visualización de una imagen. Este fallo ha permitido la dispersión de virus ocultos bajo aparentemente inofensivas imágenes con formatos JPG o GIF gracias a exploits muy potentes y sofisticados.

El mismo día 1 de enero de 2006 VirusTotal detectaba un fichero que fue enviado de forma masiva por correo electrónico y que simulaba una felicitación para el nuevo año. El archivo adjunto, una imagen en formato JPG, "HappyNewYear.jpg", comprometía el sistema con tan sólo visualizarla. A partir de ahí, se han recibido en VirusTotal más de diez variantes de malware con extensión JPG que aprovechaban la vulnerabilidad y algunas variantes con extensión GIF. Debido a la popularidad y facilidad para aprovecharse de esta vulnerabilidad, la previsión es que vayan en aumento.

No sólo los usuarios de Microsoft deben preocuparse por estas extensiones. En enero se han encontrado varias vulnerabilidades en Apple QuickTime que pueden se aprovechadas por atacantes para ejecutar código a través de formatos aparentemente inofensivos. Imágenes con formato QTIF, TGA, TIFF y GIF especialmente manipuladas y visualizadas con Apple QuickTime Player versión 7.0.3 y anteriores (para Mac OS X y Windows) permiten la ejecución de código en el sistema de la víctima.

Igualmente este mes, se ha identificado una vulnerabilidad en BlackBerry Enterprise Server (conocido servidor de comunicaciones inalámbricas) que puede ser aprovechada por atacantes remotos para ejecutar código arbitrario a través de un archivo PNG (Portable Network Graphics) especialmente manipulado y enviado como adjunto.

Por si fuese poco, cuando ya creíamos enterrados a los virus de macro que se extendían a través de documentos elaborados con la suite Microsoft Office y este formato se consideraba relativamente seguro, aparece un nuevo fallo de denegación de servicio en Microsoft Excel que se rumorea (aún está por confirmar) que puede llevar a la ejecución de código arbitrario con la simple visualización en Microsoft Office de una hoja de cálculo en este formato.

Tras leer cosas como estas yo me planteo la siguiente cuestión ... si casi cualquier formato en cualquier momento de la historia ha sido o va a ser utilizado para explotar cierta vulnerabilidad, ¿llegará un momento que seamos unos paranoicos incapaces de abrir si quiera un correo que nos envíe nuestro propio jefe?.

Lo que si que está claro es que yo no me ponía en el pellejo de cualquier administrador de correo de una compañía grande al que le exijan confirmar la seguridad del servicio... De todos modos Suerte a los administradores de correo.

Ahorrar batería en los Sansung 3G

2006-01-03T10:30:00.000+01:00

Para ahorrar bateria cuando el móvil permite tecnología 3G:

Tecleamos *#3695147*#
Vamos a Network & call settings
Dentro de ahi a Service domain y seleccionamos CS.
Salimos y nos metemos en el menu del movil, le damos a:
CONFIGURACION/CONECTIVIDAD/MODO DE RED y seleccionamos GSM900/1800. Ahora el 3G y GPRS solo se activara cuando haga falta.

Nota: Cuando se tienen activas las opciones de cobertura 3G el consumo de batería del móvil se incrementa

Mas trucos...

ACIS 2006

2005-12-26T17:39:00.000+01:00

A continuación se reproduce la llamada a ponencias de las VI Jornadas Nacionales de Seguridad Informática a celebrarse en Colombia en junio de 2006.

Las Jornadas Nacionales de Seguridad Informática, como un escenario para desarrollar y promover la investigación académica y científica en el área de seguridad informática, invita a todos aquellos interesados en presentar trabajos de investigación realizados o casos de la industria sobre el tema, con el fin de compartir la experiencia, implementación y hallazgos en los temas propuestos para este evento expuestos a continuación (no pretende ser una lista exhaustiva):

Modelos de Seguridad Informática
Estándares de Seguridad Informática
Seguridad en dispositivos móviles e inalámbricos · Mecanismos de Autenticación y control · Políticas y estándares de seguridad · Mejores prácticas de seguridad informática · Algoritmos de Encriptación, VPN, PKI · Contingencia y recuperación de desastres · Técnicas de Hacking y análisis de vulnerabilidades · Seguridad en el perímetro · Seguridad en Bases de Datos · Seguridad en Sistemas Operacionales y redes · Computación forense y atención de incidentes · Evidencia Digital y procedimientos asociados
Análisis de riesgos de seguridad informática · Consideraciones éticas y legales de la seguridad informática · Dispositivos biométricos · Seguridad en VoIP · Seguridad en Telecomunicaciones

Para esta sexta versión de la Jornadas Nacionales de Seguridad Informática, se cuenta con la participación de un comité de programa internacional conformado por profesionales especialistas en el área

VI Jornada de Seguridad Informática

CheckPoint. Problema tipo: "All Fragment Blocked"

2005-12-26T01:39:00.000+01:00

Este procedimiento describe como solucionar una incidecia tipo en la cual se cortan los paquetes que pasan por el firewall CheckPoint con un mensaje de trazado (que se visualiza en el Tracker) del estilo "All Fragment Blocked"

En la consola del firewall CheckPoint (en el caso de ser Nokia el fabricante del mismo, la consola se llama SmartDashBoard), se pueden observar diferentes parámetros configurables. El que atañe a este caso expuesto, es un parámetro que permite o no el paso de paquetes IP fragmentados a través del firewall.

En el caso de estar trazando un mensaje del tipo "All Fragment Blocked", puede significar dos cosas:

O bien no está habilitado en la configuración el paso de paquetes fragmentados
O bien la configuración, del número máximo de fragementos o el tiempo máximo antes de ser descartados dichos fragementos por el firwall, no es la adecuada

Pasos:

Habilitar el paso de paquetes IP fragmentados en el firewall CheckPoint. Para esto se debe abrir la consola de gestión web del firewall ,SmartDashboard R55. Tal como se muestra en la figura se bede ir a las opciones de "SmartDefense", en el desplegable Netwok Security, IP and ICMP, pinchar sobre "IP Fragment" y marcar la casilla "Allow IP Fragment"

Nota: En esta opción se observan que también son configurables dos parámetros más:

Número máximo de paquetes incompletos
Tiempo máximo a partir del cual en el firewall se descartan los paquetes incompletos

Como ya se a comentado, el número máximo de fragmentos es configurable, al igual que el tiempo máximo tras el cual si el paquete no se conforma entero los fragmentos capturados son descartados por el Firewall. Por lo tanto, puede que en algunos casos se deban modificar estos parámetros para que permitan aceptar mayor número de fragmentos de un paquete, resolviendo así la incidencia que porvacaría corte de ciertas comunicaciones en el firewall

Pasos de anlisis/funcionamiento de un CheckPoint

2005-12-16T12:56:00.000+01:00

¿Cómo funciona un firewall CheckPoint con cualquier software de gestión del mismo?
Por pasos cuales son sus acciones:

1º Mira el paquete IP a nivel de reglas
2º En ese momento ya se ve reflejado en el tracker,.. no entro en mas detalles…(depende del software de gestión)
si está permitido
{
si está implicado en alguna regla de NAT
{
3º Hace el NAT
por lo dicho en el paso 2,
no se ve en el tracker la IP trasladada sino la original,
hay otras opciones para ver en que regla del NAt hace matching)
}
4º Mira a nivel routing hacia donde tiene que encaminar el paquete.
}

Cosas más relevantes a modo resumen: si un paquete se ve en el tracker como aceptado no implica que el firewall sepa cual es el camino correcto para encaminarlo, puesto que el tracker se refleja antes que el routing.

2005-12-14T20:26:00.000+01:00

Auditoría interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno

Auditoría perimetral. En este tipo de estudio se analiza el perímetro de la red local o corporativa, y se estudia el grado de seguridad que ofrece a las entradas exteriores

Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento interesante a la auditoría perimetral.

Análisis forense. El análisis forense es una metodología de estudio apta para el análisis a posteriori de incidentes, mediante la cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.

Auditoría de páginas Web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Cracking WEP en 10 minutos - el enlace

2005-12-07T12:19:00.000+01:00

Tras varias peticiones de lectores de este blog...

Cuando este anuncio fue publicado el vídeo estaba disponible en Internet en determinados enlaces que ya no se encuentran disponibles

¿Alguien puede enviar el archivo o un enlace a éste?

1ª Opción como enlace (muy interesante por la cantidad de contenidos que se pueden encontrar):
http://www.remote-exploit.org/index.php/Tutorials

2ª Opción: http://www.hckrs.org/proyectosabiertos/wep.html

Una opción muy consejable hasta para Windows: wget

2005-12-07T11:33:00.000+01:00

wget es un gestor de descarga de ficheros usando HTTP, HTTPS y/o FTP de software libre

Hacerlo funcionar en windows:

Descargarse el archivo de Internet
Situarse en el command de Windows en la carpeta donde se ha realizado la descarga del archivo ejecutable y simplemente poner: wget opcion-deseada http://url-de-interes

Ayuda: wget --help

Características:

Muy rápido y con funcionalidad de descarga de sitios con autenticación (p.e. wget --http-user=USER --http-password=PASSWORD https://url-de-interes).
No es necesario instalarlo
El ejecutable ocupa muy poco
Disponible también para Windows

Mejoras en la versión 1.10.2:

wget está estáticamente linked con OpenSSL 0.9.7i; esto es, Secure Socket Layer (SSL, https://...), lo cual hace que wget pueda funcionar por si solo.
Además de la compresión con UPX 1.07, la cual minimiza el tamaño de los archivos.

Google soluciona un grave problema de seguridad en su plataforma "gmail"

2005-11-26T07:40:00.000+01:00

Google informa haber solucionado un grave problema de seguridad en su plataforma "gmail", que permitiría a un atacante acceder a buzones de otros usuarios, explotando una vulnerabilidad en el mecanismo de autentificación de "gmail". El ataque en sí, sólo era posible si el atacante tenía acceso a la máquina de la víctima o a su tráfico de red, algo especialmente factible en redes corporativas, universitarias, cibercafés, etc.

El descubridor del ataque es español y, por tanto, se pueden leer todos los pasos (que, naturalmente, ya no funcionan) en nuestro idioma.

Actualizaciones de seguridad en los kernel Linux

2005-11-25T08:18:00.000+01:00

Desde Hispasec...

La comunidad Linux ha publicado actualizaciones de sus kernels para las ramas 2.4 y 2.6, lo que soluciona varios problemas de seguridad.

Aunque la rama de desarrollo actual del Kernel Linux es la 2.6, existen aún infinidad de sistemas basados en kernel 2.4, por su probado buen funcionamiento y estabilidad. Por otro lado, muchos administradores consideran la rama 2.6 demasiado joven aún para reemplazar con confianza sistemas que llevan en producción mucho tiempo, con fiabilidad demostrada.
Debido a ello, la rama 2.4 tendrá aún soporte de nuevo hardware, estabilidad y seguridad durante varios años más.

La versión del Kernel Linux 2.4.32 soluciona diversos problemas de seguridad e inestabilidades, fundamentalmente en los módulos de cortafuegos y NAT'ing. También se resuelven problemas de seguridad en la librería ZLIB, que deberían haberse parcheado hace tiempo.

La versión del Kernel Linux 2.6.14.1 soluciona una grave vulnerabilidad que permite a un usuario local el inestabilizar el sistema y, si las circunstancias son proclives, obtener privilegios de administrador o "root". Los administradores que decidan actualizar deberían hacerlo a la versión 2.6.14.2, ya que soluciona varios problemas de estabilidad y regresiones, aunque no están relacionados con la seguridad.

Hispasec recomiendo a los administradores de máquinas Linux que actualicen sus kernels apropiadamente. Los administradores que dependan de una distribución Linux determinada pueden ponerse en contacto con el fabricante.

Experto anuncia nuevos virus cifrados e indetectables

2005-11-16T19:30:00.000+01:00

Según el Experto en Seguridad Adam Meyer la próxima generación de virus informáticos será más destructiva y difícil de detectar que los actuales códigos malignos. Meyer cree que en poco tiempo se incorporará a los códigos malignos un algoritmo cifrado que hará prácticamente indetectable su presencia y será difícil eliminarlos.

Estos códigos se instalarán en sistemas desprotegidos vía Internet y estarían en condiciones de crear "botnets" o redes de ordenadores zombis capaces de realizar diversos tipos delitos como spam, sabotaje, y realizar ataques informáticos contra terceros.

Por último Meyer señala que el motivo de que sean aun más peligrosos es que son procesos cifrados y ello provoca que sea difícil su detección y su neutralización. Todo esto lo comentan en una nota de DiarioTI, basado por supuesto todo en presuposiciones, pero desde luego es un punto de vista a tener en cuenta.

Denegación de Servicio en diversos productos Cisco

2005-11-16T15:51:00.000+01:00

Cisco ha anunciado que una cierta cantidad de sus productos se ven afectados por una vulnerabilidad en el procesamiento de mensajes IPSec IKE (Internet Key Exchange). Un atacante que explote adecuadamente este problema provocaría denegaciones de servicio en los dispositivos afectados.

Los dispositivos Cisco que utilicen las siguientes versiones de software y estén configurados para usar IKE son vulnerables al
problema:

Cisco IOS versiones basadas en 12.2SXD, 12.3T, 12.4 y 12.4T
Cisco PIX Firewall versiones anteriores a la 6.3(5)
Cisco PIX Firewall/ASA versiones anteriores a la 7.0.1.4
Cisco Firewall Services Module (FWSM) versiones anteriores a la 2.3(3)
Cisco VPN 3000 Series Concentrators versiones anteriores a las 4.1(7)H y 4.7(2)B
Cisco MDS Series SanOS versiones anteriores a la 2.1(2)

El problema se debe a que los dispositivos Cisco vulnerables no procesan adecuadamente paquetes IKE malformados, lo que provoca la reinicialización del proceso IKE en el caso de los Cisco MDS Series, y la del dispositivo en sí en el resto de productos afectados.

Las vulnerabilidades identificadas pueden ser fácilmente reproducibles utilizando la suite de pruebas para IKE OUSPG 'PROTOS'.

Esta tarde: actualizando... jejeje ;)

Gusano Lupper/Lupii, malware diseñado para sistemas Linux

2005-11-14T08:16:00.000+01:00

Ningún sistema está a salvo del malware. Pese a que en este caso particular la severidad del troyano ha sido calificada por los laboratorios como escasa, no deja de ser relevante que el troyano explote vulnerabilidades ajenas a Microsoft Windows, objetivo habitual del malware. En esta ocasión, el troyano está orientado a la explotación de los problemas XML-RPC en servidores de PHP en máquinas Linux.