Saltar al contenido

Mitos y leyendas: Las contraseñas en Windows III (LM y NTLM)

Microsoft ha mejorado gradualmente la seguridad de su fichero SAM, pero también ha mantenido la compatibilidad hacia atrás con sistemas inherentemente inseguros como Windows 9x. Con la cada vez mayor sofisticación de herramientas capaces de atacar por fuerza bruta los hashes LM y NTLM, el cifrado (sobre todo el LM) se ha vuelto virtualmente inútil si la contraseña no es realmente entrópica y compleja. En Vista, por fin, se ha eliminado al menos el eslabón más débil, el hash LM.

Si se estudia el resultado de un volcado online u offline (tras ‘saltarse’ el syskey) de la SAM, veremos algo así:

Administrador:500:42f29043y123fa9c74f23606c6g522b0:71759a1bb2web4da43e676d6b7190711:::

que oculta en realidad el hash LM de la contraseña

(42f29043y123fa9c74f23606c6g522b0) y el hash NTLM

(71759a1bb2web4da43e676d6b7190711)

Mitos y leyendas: Las contraseñas en Windows III (LM y NTLM)

Fundamentos de la Paella

A TODOS LOS QUE SE INTERESAREN POR LA GENUINA PAELLA VALENCIANA GASTRONOMIA VALENCIANA (Made in Spain)
(Fragmentos)
Reservados todos los derechos. Prohibida la reproducción total o parcial, por cualquier medio, sin autorización escrita del autor Juan B. Viñals Cebriá. Inscrito en el Registro de la Propiedad Intelectual, V.- 1-08-2007.
Según podemos saber por medio de la documentada “Agencia Valenciana del Turisme”.-La gastronomía valenciana está basada históricamente en:- «Los diez libros de agricultura del famoso Columela, el Libro de Cocina del romano Apicio, las Etimologías de San Isidoro (siglo VIII), el Libro de Cocina Hispano- Magrebí. Traducido por Ambrosio Huici Miranda (siglo XIII), incluidos muchos párrafos metafóricos de la poesía arabito andalusí surgidos de la imaginación de Ben al Talla y Cafar Ben Hutman, entre otros literatos, además del libro Arte de Cozina del valenciano Diego Granado, cocinero de Felipe II, configuran un gigantesco antecedente cultural que de una forma directa o velada posee un fiel reflejo en muchos de los hábitos alimenticios de estas tierras». Por mi parte decir, que mis meritos, o conocimientos gastronomicos, caso de poseerlos, son debido, a los continuados consejos y a las meritorias confidencias que en la década de los años sesenta, con tanta paciencia me revelara mi tía Maria, la hermana de mi madre, poseedora de la autentica “recepta” (receta) de la paella de la Parreta.
***

Un Geek en Japón.

Esta es la historia de un chico de Alicante estudiante de la Universidad de Alicante que supo superar sus medios y tras algun tiempo por Europa (Cern en Ginebra) se fue a Japón a cumplir… Un Geek en Japón.

Nuevos contenidos Criptored

Breve resumen de las novedades producidas durante el mes de febrero de

2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE CRIPTORED

* Principales Puntos de Atención en el Open Web Application Security Project OWASP (Roberto Gómez Cárdenas, presentación PDF, 46 págs.) http://www.criptored.upm.es/guiateoria/gt_m626d.htm

* Correlación de Bitácoras (Roberto Gómez Cárdenas, presentación PDF, 51

págs.)

http://www.criptored.upm.es/guiateoria/gt_m626e.htm

* Ingeniería Inversa vs Antipiraterìa (Roberto Gómez Cárdenas, presentación PDF, 64 págs.) http://www.criptored.upm.es/guiateoria/gt_m626f.htm

Nuevos contenidos Criptored

Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader

Reacción de los Antivirus

Durante el fin de semana se ha dado a conocer una nueva vulnerabilidad en el kernel de Linux que permite a los usuarios conseguir privilegios de root. El problema es que también se ha hecho público, al mismo tiempo, un exploit que permite aprovechar la vulnerabilidad de forma sencilla. Lo mismo ha ocurrido con un fallo en Adobe Reader, pues durante el fin de semana se ha detectado que una vulnerabilidad estaba siendo aprovechada de forma masiva. Como simple experimento curioso, hemos comparado la reacción de los AV ante estas dos nuevas amenazas.

 

¿Cómo han reaccionado las casas antivirus ante este par de vulnerabilidades? Pertenecen a mundos distintos, una permite elevación de privilegios en el kernel (a través de una llamada a vmsplice) y otra ejecución de código en Windows con los privilegios del usuario que ejecute Adobe Reader. Una la sufren los kernel de Linux y otra los usuarios de Adobe en Windows, y los antivirus han reflejado esta disparidad en su capacidad y velocidad de reacción.

 Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader

¿Port Knocking… ofuscación o capa de seguridad?

Fuente: www.hispasec.com

El objeto de este artículo es recordar el concepto de «Port Knocking» y sus implicaciones de seguridad para en un posterior artículo reflexionar sobre «Single Packet Authorization» (SPA). «Port Knocking» no es un ingenio nuevo, lleva con nosotros desde 2003, pero es un tema recurrente en listas de correo y discusiones sobre seguridad.

 

¿Qué es «Port Knocking»?

 

Todos hemos visto películas en las que alguien golpea cierta secuencia en la puerta de una taberna y si la secuencia era correcta el tabernero abre una rendija para solicitar una clave verbal. Si la secuencia de llamada no era correcta, ninguna medida se toma y el interesado cree que la taberna se halla cerrada. El concepto de «Port Knocking» es exactamente análogo.

 

En informática, este concepto consiste en enviar paquetes a ciertos puertos en un orden específico con el fin de abrir un puerto en concreto. Este último puerto se halla cerrado por un cortafuegos siempre y cuando no se realice el barrido de puertos siguiendo la secuencia particular. De esta forma, si un atacante efectúa un escaneo del sistema, el puerto aparecerá cerrado aun estando el servicio asociado a él en funcionamiento, el cortafuegos hace un simple DROP si no se ha efectuado la secuencia de barrido previa.

 ¿Port Knocking… ofuscación o capa de seguridad?

Misteriosa Figura en Marte

Una foto sorprendente de la Nasa, perteneciente a su misión de la Mars Explorer Spirit, causó conmoción al revelar una figura inequívocamente humanoide caminando cerca de una formación rocosa del planeta. Según los escépticos, se… Misteriosa Figura en Marte

Lista de Servicios de Google

Mirando los Foros de Hack Hispano, he encontrado este post muy interesante:

Lista de servicios de Google:

Añadir a Google:
http://www.google.com/intl/zh-cn/web…s/addfeed.html
Permite a un webmaster crear una imagen en su página web que si clickea el usuario añade la web a su Google Reader o a su página principal.

Bloggler:
http://blogger.com/
Ofrece un CMS para realizar blogs así como espacio para ellos. Uno de los servicios más populares.

Froogle:
http://froogle.google.com/
Servicio que sirve para comparar precios de distintos productos entre las tiendas de todo internet.

Gmail:
http://mail.google.com/
Servicio de correo electrónico que actualmente ofrece más de 2700 megas de espacio.

Google adsense:
http://www.google.com/adsense
Servicio que permite a webmaster incluir en su página web publicidad.

Google Adwords:
https://adwords.google.com/
Servicio que permite a empresas y usuarios poner publicidad de sus productos en las páginas que utilizan Adsense y en las búsquedas de Google.

Google Alerts:
http://www.google.com/alerts
Servicio de Google en el que te manda un email si encuentra lo que buscas en una búsqueda determinada. Muy usado para alertas de noticias.

Google Analytics:
http://www.google.com/analytics/
Contador de visitas a páginas web con unas extensas estadísticas.

Google Answers:
http://answers.google.com/
Para responder tus preguntas.

Google Base:
http://base.google.com/
Librería masiva de contenidos en la que cualquiera puede introducir datos.

Google Blog Search:
http://blogsearch.google.com/
Buscador que sólo busca en blogs.
Lista de Servicios de Google