Hack Story: Historia de un movimiento

El movimiento de Hacking ya tiene sun lugar desde el cual se puede conocer la historia de los grupos y personas que han echo historia en los sistemas de Seguridad, destacando !Hispahack, La Vieja Guardia, Mente Inquietas , etc…

Todo se publica usando MediaWiki por lo que el contenido tiene licencia licencia libre GNU FDL.

Como saber si tu ordenador es un ZOMBIE

El conocido laboratorio Kaskersky Lab ha publicado (en ingles) un articulo para saber si nuestros ordenadores pertenecen a la red Zombie de mas de 1.000.000 ordenadores que estan infectados sin saberlo, siguiendo el manual podemos desinfectar nuestro sistema:

Artículo Español

Artículo Ingles

Instrucciones para la localización y eliminación de software malintencionado de Sombra bot.

Instructions prepared by: Vitaly Kamluk, Kaspersky Lab Instrucciones preparado por: Vitaly Kamluk, Kaspersky Lab
Date: 06.08.2008 Fecha: 06.08.2008
MD5 of analyzed sample: 9e2ef49e84bc16c95b8fe21f4c0fe41e MD5 de la muestra analizada: 9e2ef49e84bc16c95b8fe21f4c0fe41e

Locating malware (with security software) Acceso a los programas maliciosos (con software de seguridad)

Kaspersky Anti-Virus has been able to detect malware which supports the Shadow botnet since 30th of January 2008. Kaspersky Anti-Virus ha sido capaz de detectar malware que apoya la Sombra botnet desde el 30 de enero de 2008. Detection names may vary from version to version. Detección de nombres pueden variar de versión a versión. The malware is detected under the following names: El programa malicioso se detecta con los siguientes nombres:

  • Backdoor.Win32.IRCBot.bit
  • Backdoor.Win32.IRCBot.biy
  • Backdoor.Win32.IRCBot.bjd
  • Backdoor.Win32.IRCBot.bjh
  • Backdoor.Win32.IRCBot.cja
  • Backdoor.Win32.IRCBot.cjj
  • Backdoor.Win32.IRCBot.ckq
  • Backdoor.Win32.IRCBot.cow
  • Backdoor.Win32.IRCBot.czt
  • Backdoor.Win32.IRCBot.ekz
  • Rootkit.Win32.Agent.aet
  • Trojan-Downloader.Win32.Injecter.pj
  • Trojan.Win32.DNSChanger.azo
  • Trojan.Win32.DNSChanger.bao
  • Trojan.Win32.DNSChanger.bck
  • Trojan.Win32.DNSChanger.bfo
  • Trojan.Win32.DNSChanger.bjh
  • Trojan.Win32.DNSChanger.bji
  • Trojan.Win32.DNSChanger.bjj
  • Trojan.Win32.DNSChanger.bmj
  • Trojan.Win32.DNSChanger.bnw
  • Trojan.Win32.DNSChanger.bqk
  • Trojan.Win32.DNSChanger.bsm
  • Trojan.Win32.DNSChanger.buu
  • Trojan.Win32.DNSChanger.bwi
  • Trojan.Win32.DNSChanger.bxd
  • Trojan.Win32.DNSChanger.bxe
  • Trojan.Win32.DNSChanger.bxv
  • Trojan.Win32.DNSChanger.cap
  • Trojan.Win32.DNSChanger.ccg
  • Trojan.Win32.DNSChanger.cei
  • Trojan.Win32.DNSChanger.cem
  • Trojan.Win32.DNSChanger.eag
  • Trojan.Win32.DNSChanger.gvb
  • Trojan.Win32.Restarter.e
  • Trojan.Win32.Restarter.f
  • Trojan.Win32.Restarter.g
  • Trojan.Win32.Restarter.h

The current sample was detected on 6th August 2008 as Trojan.Win32.DNSChanger.gvb La actual muestra se detectó el 6 de Agosto 2008 como Trojan.Win32.DNSChanger.gvb

Locating malware (manually) Acceso a los programas maliciosos (manualmente)

As the bot doesn’t copy its body to the system, the name of the malicious file can vary. A medida que el robot no copiar su cuerpo al sistema, el nombre del archivo malicioso puede variar. The name of the malicious file depends on the installer used to infect the system with the bot. El nombre del fichero dañino depende de que el instalador utilizado para infectar el sistema con el bot. However, it is possible to detect the presence of the bot by checking the system registry. Sin embargo, es posible detectar la presencia del bot de control el registro del sistema.

Users can check the system registry by running regedit.exe and checking the following registry value: Los usuarios pueden comprobar el registro del sistema ejecutando regedit.exe y comprobar la siguiente valor del registro:

HKEY_CLASSES_ROOT\.htc\Content Type HKEY_CLASSES_ROOT \. HTC \ Tipo de Contenido

System administrators of large networks can do this remotely using the reg.exe command as shown below: Los administradores de sistemas de grandes redes puede hacer esto forma remota utilizando el comando reg.exe como se indica a continuación:

The default system registry value (checked on Windows XP Pro SP2) for HKEY_CLASSES_ROOT\.htc\Content Type is “text/x-component”. El sistema por defecto el valor de registro (comprobado en Windows XP Pro SP2) para HKEY_CLASSES_ROOT \. HTC \ tipo de contenido es “text / x-componente”. If there is a different value such as “{space}” in the registry, this may mean the machine is infected with Shadow bot malware. Si hay un valor diferente, como “espacio ()” en el registro, esto puede significar que la máquina está infectada con malware Shadow bot.

Read More

La versión 4.4.9 de PHP solventa múltiples vulnerabilidades

Han sido descubiertas varias vulnerabilidades en PHP 4.4.x que podrían permitir a un atacante remoto acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.

 

PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.

 

A continuación se detallan los problemas de seguridad corregidos en la última versión:

 

  • La primera vulnerabilidad consiste en múltiples errores en la librería PCRE (Perl Compatible Regular Expressions) que podrían ser aprovechados para acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.
  •  
  • La segunda vulnerabilidad está causada por un error no especificado en la función “imageloadfont”. Un atacante remoto podría provocar que el sistema dejase de responder mediante el uso de una fuente no válida.
  •  
  • La tercera vulnerabilidad consiste en un error no especificado en la extensión “curl” relacionado con el manejo de la función “open_basedir”.
  •  
  • La última vulnerabilidad está causada por un fallo de desbordamiento en la función “memnstr” que podría ser aprovechado por un atacante para ejecutar código arbitrario.

 

Las vulnerabilidades están confirmadas para la versión 4.4.8 y todas las anteriores.

 

Se recomienda actualizar a la versión 4.4.9 o superior, disponible

desde:

http://www.php.net/downloads.php

 

 

Más información

 

PHP 4 ChangeLog version 4.4.9

http://www.php.net/ChangeLog-4.php#4.4.9

 

 

Pablo Molina

Detalles sobre la macroactualización de seguridad para Apple Mac OS X

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo OS X que solventa un total de 17 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto para falsificar la resolución de dominios, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-005 se incluyen parches para los siguientes componentes: Open Scripting Architecture, CarbonCore, CoreGraphics, Data Detectors Engine, Disk Utility, OpenLDAP, OpenSSL, PHP, QuickLook, Rsync y también para la vulnerabilidad de falsificación de DNS en BIND.

Read More

Nuevos contenidos en la Red Temática CriptoRed (julio de 2008)

Breve resumen de las novedades producidas durante el mes de julio de

2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+

* ¿ISO 20000 o ISO 27000? (Alejandro Corletti, artículo pdf, 3 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292o.htm

* Métricas de Seguridad, Indicadores y Cuadro de Mando (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292p.htm

* ISO–27001 ¿y las AA.PP.? (Alejandro Corletti, artículo pdf, 3 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292q.htm

* UNE–ISO/IEC 27001:2005 y LOPD (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292r.htm

* ISO/IEC 27001:2005 y LOPD II (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292s.htm

* Vídeo Seminario CAPSDESI Mayores y Acceso Seguro a la Sociedad de la Información (Cátedra UPM Applus+, 250 minutos, España) http://www.criptored.upm.es/paginas/docencia.htm#catedraSEMASSI

* 321 documentos para su libre descarga http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Junio de 2008

(España)

http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200806.pdf

* Métricas de Inseguridad de la Información (Jeimy Cano, Colombia)

http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450009875&random=9025

* Errores, Fallas y Vulnerabilidades: Reflexiones sobre la Inseguridad en las Aplicaciones (Jeimy Cano, Colombia)

http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450011111&random=9352

Read More

Consejos útiles contra el malware 2.0 en Windows

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. Vamos a ofrecer algunos consejos útiles contra el malware…

de hoy.

Administrador no, gracias

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un “administrador”

está precisamente para “administrar”, y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como “root” o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar… puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos… Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.

Read More

Denegaciones de servicio en Asterisk

Se han encontrado dos vulnerabilidades en Asterisk, ambas calificadas como críticas, que podrían permitir a un atacante local o remoto causar una denegación de servicio en los sistemas vulnerables.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes

características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

A continuación se explican con más detalle las vulnerabilidades encontradas y corregidas:

* Por medio del envío masivo de peticiones POKE a un sistema vulnerable, un atacante podría acaparar todos los números de llamada (líneas) asociados con el protocolo IAX2, impidiendo el procesamiento del resto de llamadas o peticiones, provocando una denegación de servicio. El fallo está causado porque, de acuerdo con el protocolo IAX2, una vez que el servidor recibe una petición de POKE, este mandaría una respuesta PONG y se quedaría esperando por un paquete ACK con el mismo número de llamada, manteniendo ocupada esa línea. El problema ha sido solucionado usando única y exclusivamente el número de llamada 1 (línea 1) para las peticiones POKE y descartando los paquetes ACK para dicha línea.

Read More

Firefox 3 aprovecha una opción de seguridad de Internet Explorer

En un movimiento cuando menos curioso, Firefox 3 bajo Windows se aprovecha de una de las mejores (y a la vez más desconocidas) funcionalidades de Internet Explorer: las zonas de seguridad. De hecho, Firefox 3 se aplicará a sí mismo una opción de la configuración de las zonas de seguridad de Internet Explorer, de forma que si no se confía en un dominio para descargar ejecutables en el navegador de Microsoft, Firefox 3 tampoco permitirá la descarga.

Internet Explorer permite clasificar las páginas (los dominios) en distintas zonas. Las zonas son una clasificación lógica que hace el navegador de las distintas páginas que se visitan. A cada zona (que se puede ver como un conjunto de dominios) se le permiten ciertas licencias sobre el sistema, o ejecución de cierto tipo de código del lado del cliente según la zona donde quede adjudicado cada dominio. Esto permite clasificar de forma eficiente las zonas confiables o peligrosas y ejercer cierto control sobre el sistema según los escenarios a los que nos enfrentemos. Así, se puede limitar la ejecución de ActiveX a un cierto número de páginas confiables, permitirlo en todas menos en una lista conocida, permitir la descarga sólo desde ciertos dominios…
Las zonas de Internet Explorer son una herramienta injustificadamente ignorada en general por los usuarios… pero no por Firefox 3.

Read More

10 conceptos que todo Ingeniero de Software debe conocer

El futuro del desarrollo de software es de unos buenos artesanos. Con la infraestructura como Amazon Web Services y un gran número de bibliotecas básicas, ya no tiene un pueblo para construir una buena pieza de software.

En estos días, un par de ingenieros que saben lo que están haciendo puede suministrar sistemas completos. En este puesto, hablamos de las 10 principales conceptos de ingenieros de software debe saber para conseguirlo

El éxito de ingeniero de software conoce y utiliza patrones de diseño, código activamente refactors, escribe ensayos y unidad religiosa busca la simplicidad. Más allá de los métodos básicos, hay conceptos que la buena ingenieros de software conocer. Estos trascienden lenguajes de programación y proyectos – que no son patrones de diseño, sino más bien grandes áreas que usted necesita estar familiarizado con. The top 10 concepts are: Los 10 principales conceptos son los siguientes:

  1. Interfaces
  2. Convenios y plantillas
  3. Capas
  4. La complejidad algorítmica
  5. Hashing
  6. Caching
  7. Concurrencia
  8. Nubes de Computación
  9. Seguridad
  10. Bases de Datos Relacionales

10. Bases de Datos Relacionales

Bases de datos relacionales han sido recientemente recibiendo un mal nombre porque no pueden escalar bien el apoyo masivo a servicios web. Sin embargo, este fue uno de los logros más fundamentales de la informática que nos ha llevado durante dos décadas y seguirá siendo durante mucho tiempo. Bases de datos relacionales son excelentes para la gestión de pedidos de sistemas, bases de datos corporativas y P & L de datos.

En cada registro se añade a una tabla, que define el tipo de información. La base de datos ofrece una forma de buscar los registros utilizando un lenguaje de consultas, en la actualidad SQL. La base de datos ofrece una manera de correlacionar la información de múltiples tablas.

La técnica de los datos sobre la normalización es la manera correcta de particionamiento de datos entre las mesas para minimizar la redundancia de datos y maximizar la velocidad de recuperación.

9. Seguridad

Read More