Sitio personal de Ariel M. Liguori De Gottig

Wednesday, December 31

Network Security Monitor Framework (NSMnow).-

NSMnow es, como su nombre lo indica, un framework desarrollado por SecurixLive [1] para el análisis de la seguridad en redes, esta diseñado para proveer un método sencillo de configuración de un ambiente para que sirva a este propósito. Básicamente cuenta de varias utilidades (sancp [2], sguil [3], snort [4], wireshark[5] -creo que nada más-) que _integradas_ conforman un ambiente de trabajo muy completo. Realmente es recomendable para comenzar ya que es sencillo de instalar y configurar. Pueden visitar la página del proyecto acá.

Más info en:
Leer más...

Tuesday, December 30

Análisis de Phishing en Standard Bank (30/12/2008).-

Hoy por la mañana he recibido un curioso correo de Standard Bank SA:



Todo parece muy correcto, sin embargo, nadie se cree que Standard Bank necesite verificar nuestros datos. Al margen de eso, el link que aparece en el email es el correcto de Standard Bank aunque si se fijan en detalle esos links nos llevaran a otras URL's, no a las que tienen configuradas, dichas páginas son:

http://standardbank.com.ar.webempresas.idkey26914511442100136208.secupends8.cn/ar_pers/ (para personas)

http://standardbank.com.ar.webempresas.idkey2323415925205188159167.secupends8.cn/ar_corp/ (para empresas)

Hemos encontrado algo interesante, estos no parecen los sitios de Standard Bank, veamos si encontramos en ellos algo interesante (explorando un poquito el código fuente):
var dummy = false;
var procesando = false;

function SetCookie (name, value) {
expireDate = new Date;
expireDate.setDate(expireDate.getDate()+10);
document.cookie = name + '=' + value + ';expires=' + expireDate.toGMTString();
}

function GetCookie (name) {
var arg = name + "=";
var alen = arg.length;
var clen = document.cookie.length;
var i = 0;
while (i < clen) {
var j = i + alen;
if (document.cookie.substring(i, j) == arg)
return getCookieVal (j);
i = document.cookie.indexOf(" ", i) + 1;
if (i == 0) break;
}
return null;
}

function getCookieVal(offset) {
var endstr = document.cookie.indexOf (";", offset);
if (endstr == -1)
endstr = document.cookie.length;
return unescape(document.cookie.substring(offset, endstr));
}


function validateLogin (frmForm) {
var strInput;
var strError = '';
var blnSucess = false;
var strValidos = '1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';

with (frmForm) {
//Valido nombre de usuario
strInput = usuario.value;
if (strInput.length < 1) {
strError += 'Debe ingresar el nombre de usuario.\n';
} else if (strInput.length < 8 || strInput.length > 12) {
strError += 'El nombre de usuario debe tener ente 8 y 12 caracteres.\n';
}
else
{
strIngr = strInput.split("");
for(j=0; (j<strIngr.length); j++)
{
if (strValidos.indexOf(strIngr[j])==-1)
{
strError += 'Debe ingresar sólo números o letras';
break;
}
}
}
//Valido clave
strInput = password.value;
if (strInput.length < 1)
{
strError += 'Debe ingresar una clave de acceso.\n';
}
else if (strInput.length < 8 || strInput.length > 8)
{
strError += 'La clave de acceso debe tener 8 caracteres.\n';
}
else
{
strIngr = strInput.split("");
for(j=0; (j<strIngr.length); j++)
{
if (strValidos.indexOf(strIngr[j])==-1)
{
strError += 'Debe ingresar sólo números o letras';
break;
}
}
}
}

if (strError) {
alert (strError);
blnSucess = false;
} else {

blnSucess = true;

if ( dummy == false )
{
dummy = true;
}
else
{
alert ('Aguarde, su transaccion esta siendo procesada . . .');
blnSucess = false;
}
}
return blnSucess;
}

function validaNavegador()
{
var valida = false;
if(navigator.appName=="Netscape")
{
if(parseFloat(navigator.appVersion) >= 4.75)
{
// version correcta 4.75
valida = true;
}
//return;
}
else
{
var version = new String(navigator.appVersion);
var i = version.indexOf("MSIE ");
if(i >= 0)
{
var fVersion = parseFloat(version.substring(i + 5))
if(fVersion >= 5.5) // version correcta 5.5
valida = true;
//return;
}
}
if(!valida)
{

}
else
{
document.frmLogin.usuario.focus();
}
}

function load()
{
// document.frmLogin.usuario.focus();
validaNavegador();
}

function KBgo(check, link)
{
if (check.checked == true)
{
this.location.href="https://www.standardbank.com.ar:443/cgi-bin/preprd.dll/bkb/access.do?" + link + "&kb=s";
}
}
Bueno, esto habla por si solo, espera a que ingresemos nuestro user y pass, los obtiene y luego nos redirecciona a la pagina real de Standard Bank, todo típico en un ataque de Phishing, es el modus operandi que se encuentra en cualquier libro. Tengan cuidado y fijense bien adonde entran, las diferencias entre las páginas es nula.

Saludos, Leer más...

Clonar ePassport.-

Hoy he leído en la fabulosa web de THC una noticia publicada por vonJeek en la cual nos brinda toda la información necesaria para poder clonar "nuestro" propio ePassport. Véanlo aquí:

http://freeworld.thc.org/thc-epassport/

Que no caiga en malas manos! ;)
Saludos, Leer más...

Monday, December 29

MSN Seguro con SIMP Lite

¿Te preocupa que tu información viaje en cleartext por la web?
Si es así y ni siquiera podes tolerar que las comunicaciones del msn se manejen de ese modo, la empresa francesa SECWAY ha desarrollado un software (gratuito para uso personal) llamado SIMP Lite, el cual brinda la opción de generar una comunicación por encriptada con otros usuarios que también posean este programa.



Una buena solución digna de ser aprovechada.

Saludos, Leer más...

Friday, December 26

Buffer Overflow en Nokia 1100.-

Buenas, los otros días estaba escribiendo un mensaje encriptado en mi agenda de teléfonos, por ejemplo en el lugar del numero a almacenar ponía lo siguiente 46521266613782615671725832127435133733173287489142251. Al querer guardar esa entrada resultaba en que se me reiniciaba el equipo! (Sí, tengo un nokia 1100 :( ), al ver los contactos encontraba este con longitud "-1"!!! y el mensaje había sido cortado.
Creo que los queridos amigos de Nokia se olvidaron de controlar esto ;)

Saludos, Leer más...

Thursday, December 25

Feliz Navidad y ojo con DNSChanger!

Feliz Navidad!!!

Y como regalito de Papá Noel les cuento que el viejo Malware DNSChanger ha evolucionado un poquito, ahora además de redirigir nuestros DNS a los suyos (que suelen encontrarse en la red UkrTeleGroup) nos instalan un DHCP Server para que de este modo propaguemos todos los datos a las máquinas que están conectadas en nuestra LAN. Muchas víctimas al precio de una.
Para los que no comprenden lo peligroso que puede ser el cambio de un DNS les recomiendo pegarle una ojeada al tema de pishing (más que interesante ;) ).

Saludos Leer más...

Tuesday, December 23

Nueva Web Personal.

Recién acabo de finalizar mi web personal, peuden visitarla aquí:

http://liguoriariel.com.ar/

Si bien estoy usando el hosting de sourceforge en breve conseguire algo mas decente y si todo sale bien y la gente de NIC ar se acelera podré cambiar a ariel.liguori.com.ar , Saludos! y Feliz Navidad para todos!

Actualizado el 26/01/2009!
Leer más...

Tuesday, December 16

2008 Malware Challenge!

Si alguna vez paso por sus cabezas la pregunta ¿Cuanto saben de Malware? sepan que ya existe el lugar donde pueden demostrar (a ustedes y al mundo) ese conocimiento, sí Malware Challenge 2008 se encargará de cubrir sus expectativas.

En este caso se les presenta a los contendientes un archivo infectado y ellos a partir de éste deben indicar (copio textual de la página):
  • Describe your malware lab.

  • What information can you gather about the malware without executing it?

  • Is the malware packed? If so, how did you determine what it was?

  • Describe the malware's behavior. What files does it drop? What registry keys does it create and/or modify? What network connections does it create? How does it auto-start, etc?

  • What type of command and control server does the malware use? Describe the server and interface this malware uses as well as the domains and URLs accessed by the malware.

  • What commands are present within the malware and what do they do? If possible, take control of the malware and run some of these commands, documenting how you did it.

  • How would you classify this malware? Why?

  • What do you think the purpose of this malware is?

Bonus questions: (These questions are not required to be answered but could be used to break a tie for prizes.)

  • Is it possible to find the malware's source code? If so, how did you do it?

  • How would you write a custom detection and removal tool to determine if the malware is present on the system and remove it?
Un excelente trabajo fue realizado por Emre Bastuz:


Descargar informa aquí


Pueden encontrar más informes acá.

PS: La respuesta a la consigna uno nos lleva a algo que ya vimos ;)
PS2: A pesar del hermoso y detallado trabajo que observamos Emre no gano nada por residir fuera de EEUU.

Link oficial: http://www.malwarechallenge.info

Saludos, Leer más...

Thursday, December 11

VM: Una herramienta para el análisis forense.

Leyendo el blog de neofito me encontre con una link particular a Forensic Focus en donde se hablaba de la utilización de las máquinas virtuales como herramientas para el análisis forense. La verdad que la nota es muy completa y es por ello que la quiero compartir con uds.

Descargar nota en PDF



Si no prefieren el PDF (por temor a lo que leyeron anteriormente ;) ) pueden consultarla aquí.

Realmente muy interesante y ya por ello se ha ganado un lugar en mi lista de "próximos pappers" (Que por cierto no escribí en ningún lado).

Saludos, Leer más...

Resolución de Integrales de Fresnel - Corregido -

Bueno, ahora sí les dejo la versión final.
Enjoy it.

Descargar

Saludos, Leer más...

PDF, ¿Portable Document Format ó Poisoned Document Format?





Los archivos PDF circulan hoy en día por la red con la naturalidad que los años y sus beneficios le han asignado. Los PDF's han logrado abrirse lugar entre los diversos formatos de archivos gracias a sus ventajas (que no pienso detallar, try google), y es por ello que al haber alcanzado a un grupo masivo de usuarios se convierten en el foco de posibles amenazas.



¿Por que?
Simple, el aprovechar este tipo de archivos para realizar cualquier tipo de acción sobre otros usuarios se puede replicar por millones (ya aclaré que el uso del PDF es _MASIVO_).

Esto que cuento, obviamente no se me ocurrió a mi, sino a varias personas hace mucho tiempo y es así que hoy en día los PDF pueden resultar una amenaza para nuestra PC.

¿Como es que un PDF puede hacernos daño?
Básicamente lo que se realiza es la inyección de código malicioso dentro de un archivo, por ejemplo, dentro de un ebook en formato pdf podemos añadir código js que se ejecute luego de abrir el archivo. Imagínense si dicho ebook es alojado en rapidshare/megaupload/x el alcance que tendrá.



¿Que daño se busca hacer?
Todo ataque tiene una finalidad, difícilmente hoy en día se observe a alguna persona que intente desarrollar troyanos o detectar vulnerabilidades sin un beneficio detrás. En el caso de los PDF generalmente se trata de:
  • Pishing
  • SPAM
  • Robo de información.
¿Como lo detecto?
En principio, la idea es evitar abrir emails con PDF's de fuentes poco confiables, sin embargo es posible que haya muchos archivos ya infectados en la red. Para evitar ser víctima de ellos lo ideal es utilizar algún scanner de pdf, tener el AV actualizado (aunque con las técnicas de ofuscación que se realizan difícilmente detecten algo) y ,lo más importante, ser consciente del riesgo que corremos.

Por hoy no voy a continuar sobre el tema ya que es posible que genere un papper bastante completo con toda esta info, seguramente eso lo aprovecharán más.

Les dejo algunas herramientas para que trabajen:
PDF-Parser v0.20
make-PDF v0.10 (Cuidado con este ;) )

Algunos links muy interesantes:
Tecnicas para el ocultamiento de malware en PDFs
Didier Stevens Blog: Introduccion a la deteccion de malware en PDFs
Didier Stevens Blog: Estructura de un archivo PDF Leer más...

Wednesday, December 10

PFSense 1.3 Alpha









Finalmente, luego de hacerme un poco de tiempo volvi a probar esta maravillosa distro de FreeBSD. Realmente hay muchas cosas para destacarle, entre ellas:
  1. La simplicidad en la configuración.
  2. El amplio espectro en el campo de trabajo (router + firewall + proxy +...)
  3. La buena operabilidad como router (usando diversos packages podemos configurar + ospf, bgp, rip).
  4. VPN2VPN.
  5. Configuración del Firewall prácticamente intuitiva, si bien no es muy detallada abarca las funcionalidad básicas.

Que más decir, muy bueno, muy útil si poseemos una PC de sobra y nos hace falta un router.


Más info en:
Leer más...

Wednesday, December 3

SSMAC en SourceForge



SorceForge.net ha brindado hosting a este nuevo proyecto. Pueden ver toda la info en http://ssmac.sourceforge.net, aún no están las descargas, pero espero que pronto estén disponibles, el que quiera puede pedirme la versión beta que aún no subí.
Después les sigo contando en detalles (tecnicismos ;) ) como funciona, que limitaciones tiene, que se necesita, que hace, etc. Para darles un adelanto, como siempre, WinX lleva las de perder :) . Leer más...

Integrales de Fresnel

Buenas, aquí les dejo la resolución en formato PDF de las integrales de Fresnel, en realidad el ejercicio se plantea como resolver la integral impropia del sen x^2, pero con esta resolucion también se obtiene el valor de la integral del cos x^2.

Espero que este bien!

EDIT: Había un error en la rpesentación de la solución, y en un análisis de convergencia, lo subo en breve. Leer más...

Uno más: Directory Traversal Attacks

Esencialmente voy a describir este tipo de ataques, no porque sean complejos, efectivos o muchos menos nuevos. Simplemente tengo en mente la generacion de una buena y completa base de datos de ataques conocidos. Éste en particular vino a mi mente tras leer de él en el blog de Acunetix.

¿Qué es un Directory Traversal Attack?
Como su nombre lo enuncia es un ataque en el cual se puede acceder a directorios (que no deberían ser visibles) mediante manipulación de las consultas que se realizan en la página víctima.

Supongamos que podemos ingresar a una URL de este estilo:
http://test.webarticles.com/show.asp?view=oldarchive.html

Como vemos se hace un referencia al archivo "oldarchive.html" que se encuentra en el directorio root en el que se ejecuta este sitio. Si cambiamos "oldarchive.html" por ../../../../../Windows/system.ini (i.e.) podremos acceder a información que debería estar oculta ante nuestro acceso.

Otro ejemplo de ataque sería:
http://server.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\

Aquí en realidad no se aprovecha un vulnerabilidad del código de la página como en el caso anterior sino que explotamos un vuln. del web server que nos permite ejecutar código remoto que pre-exista en el sistema.

Vale la pena aclarar que el primer caso puede ser detectado alguna veces pero el segundo difícilmente se encuentre dando vueltas por la red :-)

¿Como detectarlos?
Bueno, no pienso desvirtuar la idea de generar una especie de DB de ataques y demás por lo cual en breve subiré un post con esta información.

Saludos,
Leer más...

Monday, December 1

SSMAC v2.0 Beta released!

Buenas!

Quiero informarles que recién, hace 15 min exactamente, acabo de finalizar las últimas líneas de código de uno de mis programas SSMAC (SNMP Search Mac Address) v2.0 Beta, este programa (como podrán imaginar por el nombre) se encarga de realizar búsquedas de MAC Addr. conectadas a nuestra red mediante la utilización de SNMP. Una de las ventajas que posee este programa es que es multi-vendor y hoy en día ya lo he testeado correctamente en varias marcas de switches/routers. En breve subiré el código a la red y más detalles técnicos también llegarán.

Saludos, Leer más...

Nuevo contenido en Criptored: Resumen de Actualidad 91, noviembre de 2008

Les copio la info:

RED TEMATICA CriptoRed: Resumen de Actualidad 91, noviembre de 2008

Estimado/a amigo/a:

Te adjunto un breve resumen de las novedades producidas durante el mes de noviembre de 2008 en la Red Temática CriptoRed, sobre las que se ha informado oportunamente en el apartado Noticias del Mes de la sección Eventos en su servidor.
Puedes encontrar la información ampliada de estas noticias en el Histórico
correspondiente:
http://www.criptored.upm.es/paginas/historico2008.htm#nov08


1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED

* Análisis de Metadatos en Archivos Office y Adobe (Andrea Díaz, Juan Ruíz; dirección Jeimy Cano, Word, 11 páginas, Colombia) http://www.criptored.upm.es/guiateoria/gt_m142g1.htm

* El ROI de la Seguridad y las Primas de Seguros (Carlos Ormella Meyer, PDF, 8 páginas, Argentina) http://www.criptored.upm.es/guiateoria/gt_m327c.htm

* ISO 20000 e ISO 27001: tan distintas, tan iguales (Joseba Enjuto Gozalo, PDF, 5 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m733a.htm

* Seguimiento de Botnets: Estructura, Funcionamiento y Detección (Andrea Díaz, Juan Ruíz; dirección Jeimy Cano, Word, 10 páginas, Colombia) http://www.criptored.upm.es/guiateoria/gt_m142f1.htm

* 329 documentos para su libre descarga
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Octubre de 2008 (España) http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200810.pdf

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Diciembre 1 de 2008: Tercer Día Internacional de la Seguridad de la Información DISI 2008
http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

* Diciembre 1 al 5 de 2008: V Congreso Internacional de Telemática y Telecomunicaciones CITTEL 08 (La Habana, Cuba).
http://www.cujae.edu.cu/eventos/convencion/cittel/

* Diciembre 3 al 5 de 2008: 7th International Information and Telecommunication Technologies Symposium (Foz do Iguaçu, Brasil) http://www.i2ts.org/

* Diciembre 3 al 5 de 2008: International Conference E-Activity and Leading Technologies (Madrid, España) http://www.iask-web.org/e-alt08/e-alt2008.html

* Diciembre 10 al 12 de 2008:Conferencia Ibero Americana IADIS WWW / Internet 2008 (Lisboa, Portugal) http://www.ciawi-conf.org/

* Febrero 9 al 13 de 2009: IX Seminario Iberoamericano de Seguridad en Tecnologías de la Información (La Habana, Cuba) http://www.informaticahabana.com/?q=listeventos_es&e=16&id=es

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society 2009 (Barcelona, España) http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on Practical Applications of Agents and Multiagent Systems (Salamanca, España) http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference WWW
2009 (Madrid, España)
http://www2009.org/

* Abril 23 al 25 de 2009: Cuarto Congreso Colombiano de Computación 4CCC (Bucaramanga, Colombia) http://serverlab.unab.edu.co/4ccc

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad Informática ACIS 2009 (Bogotá, Colombia)
http://www.acis.org.co/index.php?id=1246

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications ISCC 09 (Sousse, Túnez) http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de la Informática (Barcelona, España) http://jenui2009.fib.upc.edu/

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE NOVIEMBRE DE 2008 Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#nov08

* DISI 2008 por video streaming (España)
- Enlace en directo: mms://amon.gate.upm.es/campus-sur
- Enlace en diferido: mms://amon.gate.upm.es/videos/0809/upm/disi.wmv

* Call for Papers Revista International Journal on Information Technologies & Security (Bulgaria) http://www.criptored.upm.es/descarga/INFO_Journal%20IT&Security.zip

* CFP para la IX Jornada Nacional de Seguridad Informática ACIS 2009
(Colombia)
http://www.acis.org.co/index.php?id=1246

* CFP Cuarto Congreso Colombiano de Computación 4CCC (Colombia) http://serverlab.unab.edu.co/4ccc

* Libro Conmemorativo de los 10 años de Una Al Día de Hispasec Sistemas
(España)
http://www.hispasec.com/uad/index_html

* Primera Jornada Estado del Arte de la Seguridad: El Rol del CSO (Argentina)
http://cxo-community.com.ar/index.php?option=com_events&task=view_detail&agid=93&year=2008&month=11&day=25&Itemid=1

* CFP XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009
(España)
http://jenui2009.fib.upc.edu/

* Conferencia FIST Noviembre 2008 en el CSIC de Madrid (España) http://www.fistconference.org/

* Semana Internacional de la Seguridad Informática (Argentina) https://seguridadinformatica.sgp.gob.ar/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 734
(198 universidades y 276 empresas representadas) http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 26.206 visitas, con 101.662 páginas solicitadas y 41,33 GigaBytes servidos en noviembre de 2008.
Las estadísticas AWStats del mes se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.

Madrid, 1 de diciembre de 2008
Jorge Ramió Aguirre
Coordinador de la Red Temática


--
Jorge Ramió Aguirre
Página Web personal: http://www.lpsi.eui.upm.es/~jramio/
Cátedra UPM Applus+ de Seguridad y Desarrollo Sociedad Información http://www.capsdesi.upm.es/ Red Temática Iberoamericana de Criptografía y Seguridad Información http://www.criptored.upm.es/
Leer más...

Friday, November 28

Top 10 de vulnerabilidades en la Web.

Pasenado por la página de la OWASP me tope con ésto (ojo! es del 2007, calculo que en estos días se deberían publicar los del 2008), increíble, realmente es un análisis que debería sorprendernos y a la vez darnos el shock necesario para entender de una buena vez que hay hábitos a los cuales acostumbrarnos, medidas que esperan ser adoptadas y sobre todo una conciencia que después de ver ésto no deberá descansar tranquila :-)

Abajo les adjunto el listado:

A1 - Cross Site Scripting (XSS) XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victim's browser which can hijack user sessions, deface web sites, possibly introduce worms, etc.
A2 - Injection Flaws Injection flaws, particularly SQL injection, are common in web applications. Injection occurs when user-supplied data is sent to an interpreter as part of a command or query. The attacker's hostile data tricks the interpreter into executing unintended commands or changing data.
A3 - Malicious File Execution Code vulnerable to remote file inclusion (RFI) allows attackers to include hostile code and data, resulting in devastating attacks, such as total server compromise. Malicious file execution attacks affect PHP, XML and any framework which accepts filenames or files from users.
A4 - Insecure Direct Object Reference A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, database record, or key, as a URL or form parameter. Attackers can manipulate those references to access other objects without authorization.
A5 - Cross Site Request Forgery (CSRF) A CSRF attack forces a logged-on victim's browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim's browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks.
A6 - Information Leakage and Improper Error Handling Applications can unintentionally leak information about their configuration, internal workings, or violate privacy through a variety of application problems. Attackers use this weakness to steal sensitive data, or conduct more serious attacks.
A7 - Broken Authentication and Session Management Account credentials and session tokens are often not properly protected. Attackers compromise passwords, keys, or authentication tokens to assume other users' identities.
A8 - Insecure Cryptographic Storage Web applications rarely use cryptographic functions properly to protect data and credentials. Attackers use weakly protected data to conduct identity theft and other crimes, such as credit card fraud.
A9 - Insecure Communications Applications frequently fail to encrypt network traffic when it is necessary to protect sensitive communications.
A10 - Failure to Restrict URL Access Frequently, an application only protects sensitive functionality by preventing the display of links or URLs to unauthorized users. Attackers can use this weakness to access and perform unauthorized operations by accessing those URLs directly.
Leer más...

Thursday, November 27

Conceptos clave

Es de vital importancia tener conocimiento de algunos aspectos que se encuentran día a día en el área de la seguridad informática. Si trabajamos en ella no podemos desconocer los siguientes conceptos y todas las variantes e implicancias que poseen:

Attack
Vulnerabilities
Control
Threat Agent

Algunos links interesantes:
Leer más...

Nuevo Proyecto: OWASP


Desde hoy me he unido al proyecto Open Web Application Security Project (OWASP) - Argentina, estoy muy contento por ello y pondré todas mis fuerzas en el desarrollo de nuevos contenidos par atoda la comunidad. Pronto tendrán noticias.

Saludos, Leer más...

Distros de Linux relacionadas con SI

Clikéa en "Leer más" para ver la inmensa lista :-)

Security Distros
Here is the full list of Security Distros and their descriptions. Select the tool that best fits your needs.


BackTrack

BackTrack is a distribution based off of what used to be WHAX and Auditor . It is a full size distro built off of SLAX.
BackTrack Main Discuss Download Status: Active


Damn Vulnerable Linux ( DVL )

"Damn Vulnerable Linux (DVL) is a Linux-based tool for IT-Security. It was initiated for training tasks during university lessons by the IITAC (International Institute for Training, Assessment, and Certification) and S²e - Secure Software Engineering in cooperation with the French Reverse Engineering Team." - DamnVulnerableLinux.org
Damn Vulnerable Linux ( DVL ) Main Discuss Download Status: Active


DEFT

DEFT (acronym of "Digital Evidence & Forensic Toolkit) is a customized distribution of the Kubuntu live Linux CD. It is a very easy to use system that includes an excellent hardware detection and the best open source applications dedicated to incident response and computer forensics. -Deft.yourside.it
DEFT Main Discuss Download Status: Active


FCCU

The Gnu/Linux boot CD-Rom is made by the Belgian Federal Computer Crime Unit (FCCU)
It's based on the KNOPPIX Live CD version 4.02 by Klaus Knopper.
The main purpose of the CD : help the forensic analyze of computers
All scripts made by the FCCU begin with the "fccu" prefix -lnx4n6.be
FCCU Main Download Status: Active


Frenzy

"Frenzy is a "portable system administrator toolkit," LiveCD based on FreeBSD. It generally contains software for hardware tests, file system check, security check and network setup and analysis. Size of ISO-image is 200 MBytes (3" CD)"
-http://frenzy.org.ua/eng/
Frenzy Main Discuss Download Status: Active

grml

"grml is a bootable CD (Live-CD) based on Knoppix and Debian. grml includes a collection of GNU/Linux software especially for users of texttools and system administrators. grml provides automatic hardware detection. You can use grml for example as a rescue system, for analyzing systems/networks or as a working environment." -http://grml.org/
grml Main Discuss Download Status: Active


Hakin9

"a bootable distribution containing all the tools and materials needed for practising methods and techniques described in the hackin9 magazine"
-http://www.hakin9.org/en/index.php?page=hakin9_live-
Hakin9 Main Discuss Download Status: Active


Helix

"Helix is a customized distribution of the Knoppix Live Linux CD. Helix is more than just a bootable live CD. You can still boot into a customized Linux environment that includes customized linux kernels, excellent hardware detection and many applications dedicated to Incident Response and Forensics."
-http://www.e-fense.com/helix/-
Helix Main Discuss Download Status: Active


HeX

HeX is a live security distribution that focuses on security monitoring and forensics.
HeX Main Discuss Download Status: Active


KCPentrix

" The Kcpentrix Project was founded in May 2005 , KCPentrix 1.0 was liveCD designed to be a standalone Penetration testing toolkit for pentesters, security analysts and System administrators" - KCPentrix.com
KCPentrix Main Discuss Download Status: Active


Knoppix-NSM

"knoppix-nsm is dedicated to providing a framework for individuals wanting to learn about Network Security Monitoring or who want to qucikly and reliably deploy NSM in their network. Our goal is to provide an introduction to NSM and a distribution that can be used as a launch pad to bigger things." -www.securixlive.com
Knoppix-NSM Main Discuss Download Status: Active


Network Security Toolkit ( NST )

"This bootable ISO live CD is based on Fedora. The toolkit was designed to provide easy access to best-of-breed Open Source Network Security Applications and should run on most x86 platforms." -networksecuritytoolkit.org
Network Security Toolkit ( NST ) Main Discuss Download Status: Active


nUbuntu

"The main goal of nUbuntu is to create a distribution which is derived from the Ubuntu distribution, and add packages related to security testing, and remove unneeded packages, such as Gnome, Openoffice.org, and Evolution." - nubuntu.org
nUbuntu Main Discuss Download Status: Active


Ophcrack

"The ophcrack LiveCD contains a small linux system (SLAX6), ophcrackOphcrack.sourceforge.net
Ophcrack Main Discuss Download Status: Active
for linux and rainbow tables for alphanumerical passwords.The liveCD cracks passwords automatically, no installation necessary, no admin password necessary (as long as you can boot from CD). Windows Vista SAM can also be cracked." -


OWASP Labrat

"The OWASP Live CD (LabRat) is a bootable CD akin to knoppix but dedicated to Application Security. It shall serve as a vehicle and distrubition medium for OWASP tools and guides." -OWASP.org
OWASP Labrat Main Discuss Download Status: Active


Protech

Protech is a specially designed Linux distribution for security technicians and programmers.
It's imcomparable usability and stability makes this a unique product. -Techm4sters
Protech Main Discuss Download Status: Active


Stagos FSE

"Stagos FSE aims to be a computer forensic framework based on FLOSS operating system. Builds from Ubuntu, it has many feature to do forensics stuff. It supports read variant filesystem, include ntfs. It also support read some forensic imaging file from another forensic software such like ENCASE." -linuxforums.org
Stagos FSE Main Download Status: Active


Arudius

Arudius is a Linux live CD with tools that try to address the network security aspect (penetration testing and vulnerability analysis) of information assurance. It is based on Slackware (Zenwalk) for i386 systems and targets the information security audience.
Arudius Main Discuss Download Status: Inactive


Auditor

"The Auditor security collection is a Live-System based on KNOPPIX. With no installation whatsoever, the analysis platform is started directly from the CD-Rom and is fully accessible within minutes. Independent of the hardware in use, the Auditor security collection offers a standardised working environment, so that the build-up of know-how and remote support is made easier." - http://www.remote-exploit.org/index.php/Auditor_main-
Auditor Main Discuss Download Status: Inactive


FIRE

"FIRE is a portable bootable cdrom based distribution with the goal of providing an immediate environment to perform forensic analysis, incident response, data recovery, virus scanning and vulnerability assessment."
-http://fire.dmzs.com-
FIRE Main Discuss Download Status: Inactive


INSERT

"INSERT is a complete, bootable linux system. It comes with a graphical user interface running the fluxbox window manager while still being sufficiently small to fit on a credit card-sized CD-ROM."
-http://www.inside-security.de/insert_en.html-
INSERT Main Discuss Download Status: Inactive


Knoppix-STD

"STD is a Linux-based Security Tool. Actually, it is a collection of hundreds if not thousands of open source security tools. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer." - http://www.knoppix-std.org/-
Knoppix-STD Main Discuss Download Status: Inactive


Local Area Security ( LAS )


Local Area Security ( LAS ) Main Discuss Download Status: Inactive


NavynOS

"Navyn OS is a gnu/linux distribution based on Gentoo. Gentoo isn't a typical distribution like Debian or Slackware, it doesn't even have an installer, it is similar to making your own distribution. The main part of Gentoo is portage, a set of scripts for installing and removing programs." -http://navynos.linux.pl/
NavynOS Main Discuss Download Status: Inactive


Operator

"Operator is a complete Linux (Debian) distribution that runs from a single bootable CD and runs entirely in RAM." - www.ussysadmin.com/operator/

Operator Main Discuss Download Status: Inactive


Pentoo

"Pentoo is a penetration testing LiveCD distribution based on Gentoo. It features a lot of tools for auditing and testing a network, from scanning and discovering to exploiting vulnerabilities."
-http://www.pentoo.ch/-PENTOO-.html-
Pentoo Main Discuss Download Status: Inactive


PHLAK

"PHLAK is a modular live security Linux distribution (a.k.a LiveCD). PHLAK comes with two light gui's (fluxbox and XFCE4), many security tools, and a spiral notebook full of security documentation. PHLAK is a derivative of Morphix, created by Alex de Landgraaf." - http://www.phlak.org/modules/news/-
PHLAK Main Discuss Download Status: Inactive


PLAC

"PLAC is a business card sized bootable cdrom running linux. It has network auditing, disk recovery, and forensic analysis tools. ISO will be avialable and scripts to roll you own cd."
-http://sourceforge.net/projects/plac/-
PLAC Main Discuss Download Status: Inactive


Plan-B

"Plan-B is a bootable Linux environment without the need for a hard drive, it runs entirely in ram or from the cd, based on a basic, stripped installation of Red Hat Linux and the fundamental workings of the SuperRescue CD" -http://www.projectplanb.org/


Plan-B Main Discuss Download Status: Inactive


SENTINIX

"SENTINIX is a GNU/Linux distribution designed for monitoring, intrusion detection, vulnerability assessment, statistics/graphing and anti-spam. It's completely free; free to use, free to modify and free to distribute. SENTINIX includes the following software, installed and pre-configured; Nagios, Nagat, Snort, SnortCenter, ACID, Cacti, RRDTool, Nessus, Postfix, MailScanner, SpamAssassin, openMosix, MySQL, Apache, PHP, Perl, Python and lots more." -http://sentinix.tigerteam.se/
SENTINIX Main Discuss Download Status: Inactive


SNARL

snarl is a bootable forensics ISO based on FreeBSD and using @stake's autopsy and task as well as scmoo's list of known good checksums. -snarl.eecue.com
SNARL Main Download Status: Inactive


Talos

"Talos is a security LiveCD, based on SLAX 5.1.0 with over 90 security tools preinstalled. It runs directly from the CD without the need to install on the harddisk. Talos is currently on BETA version 0.1 and its available to download." -ISafe.gr
Talos Main Discuss Download Status: Inactive


ThePacketMaster

ThePacketMaster - Mission-Specific Live-CD Linux Distributions - thepacketmaster.com
ThePacketMaster Main Discuss Download Status: Inactive


Trinux

Minimal ramdisk linux distribution meant for network monitoring.
Trinux Main Discuss Download Status: Inactive


WarLinux

A linux distribution for WarDrivers.
WarLinux Main Discuss Download Status: Inactive


WHAX

Updated project from Whoppix. Currently discontinued and merged with BackTrack.
WHAX Main Discuss Download Status: Inactive


Whoppix

"Whoppix is a stand-alone penetration-testing live CD based on KNOPPIX. With the latest tools and exploits, it is a must for every penetration tester and security auditor. Whoppix includes several exploit archives, such as Securityfocus, Packetstorm, SecurityForest and Milw0rm, as well as a wide variety of updated security tools." -Distrowatch
Whoppix Main Discuss Download Status: Inactive


Yo no junte toda esta info, mis agradecimientos a: http://inforleon.blogspot.com/ , por recopilarnos toda la data.

Saludos,
Leer más...

Helix3 Disponible.-



El nuevo Live CD de Helix,orientado al campo forense, desarrollado por e-fense ya esta disponible para descargar desde la su página web.
Este live CD basado en Ubuntu Linux, esta orientado a ser utilizado en escenarios donde no esta permitido la interacción con el equipo vulnerado, es muy sencillo de utilizar y brinda herramientas realmente útiles a la hora de realizar un análisis de la situación o un examen forense.
Realmente se los recomiendo.

Toda la información esta disponible en la web de e-fense.
De aquí pueden descargarse el manual.

Saludos,


aquí el texto escondido
Leer más...

Wednesday, November 26

Shellcoders - WTF ¿?

Seguramente muchos conozcan el término, pero realmente que es un Shellcode.
Wikipedia, como siempre tiene una respuesta, y es básicamente correcta. Un Shellcode es una seria _pequeña_ de instrucciones codificadas al mayoría de las veces íntegramente en código ASM que buscan la ejecución de shell mediante, por ej., el resultado de un buffer overflow (hablaremos de esto luego, lo debo aún).
Esto que aquí se enuncia puede parecer muy sencillo y básico y es por ello que resulta tan peligroso y explorado por tantos usuarios.
¿Para que nos sirve un Shellcode? o ¿Para que armaríamos uno?

Difícilmente querremos realizar esta labor para ejecutar un simple "/bin/sh" sino que gracias a la posibilidad de explotar diferentes recursos de la PC con estos códigos querremos hacer _algo_más_ que solo nosotros sabremos que es (y que puede ser lo que se nos de la gana ;) ). En este punto es donde el riesgo entra en juego, se pueden realizar códigos que utilicen las vulnerabilidades de diversos sistemas/aplicaciones para producir un buffer overflow (p. ej) y ejecutar de este modo código arbitrario. Eso es malo y es peor aún lo sencillo que es aprender a dominar este conocimiento con práctica.

Para que se vayan entrenando:
Shellcode.org
Y lo que lo trajo a mi memoria acá.
Leer más...

Contribuciones a LVS

Muchos de ustedes conocerán al famosísimo LVS, el cual nos ayuda básicamente a detectar cuales de nuestros server se encuentran activos y hacer load balancing entre ellos, si alguno cae es eliminado del servicio y no se tiene en cuenta, cuando levanta se incorpora nuevamente y forma parte de los servers activos.
Para la detección de estos cambios, los chequeos, las condiciones, etc. se utiliza un script diseñado en perl llamado ldirectord. Yo he trabajado mucho con este código y he llegado a realizarle modificaciones sustanciales para la incorporación de nuevas funcionalidades según las necesidades que han ido surgiendo, entre ellas cabe destacarse la inclusión de un chequeo del servicio SSH.
Les comparto acá el código de la función encargada de realizar el chequeo del servicio SSH y a la vez la inclusión/exclusión del sistema de balanceo que proporciona el LVS (este código deben incluirlo en el ldirectord y deben algun argumento y asociarlo a esta nueva funcionalidad):

sub check_ssh {

use IO::Socket;
use IO::Select;
my ($v, $r) = @_;
my $sock;
my $s;
my $buf;
my $port=(defined $$v{checkport}?$$v{checkport}:$$r{port});
my $status = 1;

&ld_debug(2, "Checking ssh server=$$r{server} port=$port");

unless ($sock = new IO::Socket::INET(PeerAddr=>$$r{server},PeerPort=>$port,Proto=>'tcp') ){
service_set($v, $r, "down");
return 1;
}

if($sock)
{
service_set($v, $r, "up");
$status = 0;
}
else
{
service_set($v, $r, "down");
}

$s = IO::Select->new();
$s->add($sock);
$s->remove($sock);
$sock->close;


return $status;
}


Oficialmente formo parte de la lista de distribución del proyecto LVS y obviamente continuaré contribuyendo al desarrollo de esta y de muchas más aplicaciones opensource.

Saludos,
Leer más...

Estamos en la semana internacional de la seguridad informática!



En el año 1988, la Association for Computing Machinery (ACM) declaró al 30 de Noviembre como el “Día Internacional de la Seguridad Informática”, con el objetivo de concientizar respecto de las amenazas que atentan contra la seguridad de la información.
En este año, durante la semana del 24 de noviembre al 1º de diciembre, se convoca a las Instituciones a participar realizando conferencias, jornadas o cualquier otra acción concientizadora relacionada con la seguridad Informática.

La Universidad Nacional de La Plata (UNLP) a través del Centro Superior para el Procesamiento de la Información (CESPI), participará activamente en este marco realizando charlas abiertas a la comunidad durante la semana mencionada.

Más info acá. Leer más...

Tuesday, November 25

Solución al CRACKME de Hispasec.-

Enhorabuena, ya están los ganadores del "crackme" que propuso hispasec en festejo de su decimo aniversario. La verdad que es un problema muy interesante que les recomiendo a todos que intenten resolver por su cuenta, les dejo el link para que se descarguen el archivo y también otro link para que observen la mágnifica solucion que dejo el Sr. Alejo Murillo (primero intenten ustedes ;) ).

Decargar CRACKME
Ver solución

Saludos y disfruten! Leer más...

Monday, November 24

¿WPA y WPA2 inseguros? No confundamos las cosas.

El pasado 10 de noviembre, dos investigadores alemanes (Erik Tews y Martin Beck) alegaron haber saltado las restricciones de WPA. Sus intentos fueron ciertos y es por ello que comenzó el debate nuevamente sobre la seguridad en las WLANs.
WPA/WPA2 es un sistema de protección que se aplica a redes wireless, surgió como mejora a WEP el cual era y es inseguro.
Al definir a WPA como sistema hay que tener en cuenta que por ello los métodos de seguridad que emplee están fuera de él, es decir WPA/WPA2 puede utilizar diversos algoritmos para garantizar la seguridad de los datos.
Es hora de preguntarnos ¿Se quebranto al seguridad en el sistema que creíamos más seguro en la actualidad?
No, solamente se encontró la forma de deshacerse de las restricciones que se obtienen con la incorporación de protección WPA/WPA2 con TKIP.

TKIP es, como su nombre lo indica, un protocolo de integridad de clave temporal. Suele utilizarse en la mayoria de las redes wireless protegidas con WPA. La falla que se hallo vulnera directamente el metodo que utiliza TKIP para la encripcion de paquetes. Entra en juego ahora otro cuestionamiento más ¿Cual es la profundidad de este ataque?
En principio lo que este tipo de ataques permite es la desencripcion de algunos pquetes en la red y la posibilidad de hacer injection. Este ataque no permite la recuperacion de la contraseña y esta limitado a una pequeña cantidad de paquetes a injectar.

Sin embargo este descubrimiento a alertado a todos los especialistas del area y diversas herramientas estan readapatandose para explotar al maximo la nueva vulnerabilidad. El ataque chopchop en principio ya podría ser utilizado.

¿Que acciones tomar?
Simple, migrar a WPA2 con cifrado AES.

Links de interes:
Leer más...

Thursday, November 20

Vuelta a casa.

Después de tanto tiempo fuera de la red, vuelvo con muchisímas novedades para comentar. En estos días me pondré al tanto.

Saludos,
Ariel. Leer más...

Tuesday, July 1

WiMax Movil by IRTI: Too Fast!

Alvarion presentó su solución WiMAX Móvil en 2,5GHz a los principales operadores y representantes del gobierno de Taiwán durante la Cumbre de Operadores WiMAX Forum - WiMAX Expo Taipei.

Diario Ti: Alvarion ha anunciado el éxito de las pruebas de su solución extremo a extremo denominada 4Motion y de su plataforma BreezeMAX RAN (red de acceso vía radio) 802.16e conducida por el “Industrial Technology Research Institute Campus" (IRTI) en Hsinchu, Taiwán.

Después de extensas pruebas de laboratorio, el ITRI y Alvarion demostraron la transmisión de datos entre sectores en condiciones de movilidad de hasta 80 kilómetros/hora con escenarios de pruebas VoIP, video streaming, IPTV así como el intercambio de documentos en aplicaciones con velocidad de transmisión de datos superiores a 12 Mbps.
El gobierno de Taiwán seleccionó la tecnología WiMAX para la ejecución de su programa nacional M-Taiwán. ITRI y WiMAX Forum eligieron a M-Taiwan Application Lab (MTWAL) como los laboratorios para ejecutar las pruebas de concepto (POC) ubicado en el campus del ITRI en Hsinchu – con el objeto de verificar y desarrollar aplicaciones de WiMAX Móviles innovadoras.

Las pruebas incluyeron también la ampliación de cobertura de la red en el Parque de Ciencia Hsinchu, Universidad Nacional Chiao Tung, y Universidad Nacional Tsing Hua. El rendimiento obtenido ha sido elevado en más de 18 sectores desplegados a lo largo de 6 kilómetros de trayecto demostrando transmisión y hand over a velocidades de hasta 80 kilómetro/hora con una experiencia de usuario mejorada.
Uzi Brier, Presidente de Movilidad de Banda Ancha de Alvarion, dice, "valoramos nuestra sólida y permanente relación con el centro de tecnología líder de Taiwán. El establecimiento de nuevos niveles para toda la industria con estos resultados excelentes, permite a ITRI allanar el camino para desplegar movilidad en Taiwán y convertir en realidad la visión de un país hacia la banda ancha ubicua".


Fuente: Diario TI
Enlaces de Interés: Alvarion
Leer más...

Blogger Attack

Según un informe elaborado por StopBadware.org, el servicio de blogs de Google figura entre los primeros lugares de la lista de compañías con sitios web desde los que se propaga malware.
Google no ha salido a reponder las acusaciones y continúa con su politica de seguridad desde adentro intentando subsanar todo el mal al que ellos le abrieron la puerta.
El servicio de Blogs de google es ampliamente utilizado por la mayoria de los usuarios de la web, las facilidades que brinda son numerosas y la ventaja de ser gratuito induce a millones de usuarios a registrarse diariamente.

Sin embargo, el control que hace sobre sus blogs parece ser muy precario ya que hace unos años Google ni figuraba como un productor de malware desde si mismo y hoy en dia esta dentro del top 10 de sitios peligrosos. El inminente surgimiento de blogs promoviendo el malware y su desarrollo es cada vez mayor, además se encuentran no solo blogs, sino paginas hospedadas y listas de correo google especializadas en estás áreas. Un tema muy importante, una critica fuerte y una respuesta que aún no ha llegado.

Por el momento, a tener cuidado con los sitios de blogger a los que accedemos.

Fuente: PC World y The Register.
Leer más...

Tuesday, June 24

DoS en IPS Cisco.-

Según informa Cisco Systems, el problema esta fundado en el manejo de los conocidos "Jumbo Frames" los cuales son tramas de un elevado tamaño cuyo MTU puede llegar a los 10Kb. El problema residiría en aquellos dispositivos que posean puertos gigabit en modo "inline", y el efecto que puede llegar a causar es el de un Kernel Panic ante el recebimiento de tramas Jumbos especialmente manipuladas lo cual finalizaría en un DoS.

Los productos afectados serían:
Cisco Intrusion Prevention System version 5.x 
prior to 5.1(8)E2

Cisco Intrusion Prevention System version 6.x
prior to 6.0(5)E2

Y los siguientes equipos si poseen puertos de red
gigabit en modo "inline":

4235
4240
4250
4250SX *
4250TX
4250XL *
4255
4260
4270

La vulnerabilidad se ha documentado bajo el Cisco Bug ID CSCso64762.

Más información:
Cisco Fixes and Countermeasures
Cisco Security Advisory
Leer más...

Llegó temprano: Vulnerabilidad en Firefox 3.0

El mismo dia que se dio inicio a la descarga mundial de Mozilla Firefox 3.0, ZDI (Zero Day Initiative) reportó a las 5 horas del lanzamiento una vulnerabilidad crítica en FF3, se informa que dicho fallo puede permitir la ejecución de código arbitrario y el mismo sería iniciado al visitar ciertos sitios especialmente manipulados. Aún no hay novedades de Firefox al respecto.

También circula por diversas listas especializadas en programacion y vulnerabilidades el hallazgo de otras dos vulnerabilidades pero los detalles técnicos de estás y el impacto alcanzado no han sido comunicados.

Mas información en:
Tipping Point (ZDI)
Mozilla Firefox 3 Unspecified Buffer Overflow Vulnerability
Flaw in Firefox 3.0: protocol-handler.warn-external are ignored Leer más...

Vulnerabilidad en Cisco & SNMPv3.-

Bueno, recientemente he leido de una vulnerabilidad que ha sido detectada en la mayoria de los equipos Cisco, la misma afecta a aquellos que poseen SNMPv3 configurado y en uso. Según se informa por los fabricantes el problema se encontraria en los metodos de autenticacion ejercidos por el dispositivo.

Si un atacante podria aprovechar esta falencia en los procesos de autenticación HMAC-MD5-96 y HMAC-SHA-96 para revelar informacion sensible de la red y vulnerar los dispositivos alterando su configuración.

Los equipos afectados serían:

Cisco IOS
Cisco IOS-XR
Cisco Catalyst Operating System (CatOS)
Cisco NX-OS
Cisco Application Control Engine (ACE) Module
Cisco ACE Appliance
Cisco ACE XML Gateway
Cisco MDS 9000 Series Multilayer Fabric Switches
Cisco Wireless LAN Controller (WLC)


Para más información acerca de contramedidas y fixes para esta vulnerabilidad pueden consultar: Cisco fixes and Countermeasures

Leer más...

Friday, June 13

Críticas a Geo-Location

Me he enterado que Secure Computing fortalece su solución de Firewall con la incoporación del sistema Geo-Location, con éste podran determinar la procedencia de las conexiones y en base a ello realizar un filtro basandose en los sitios mas peligrosos de la red.
Realmente esto me parece un metodo absurdo de protección, muy susceptible a errores de "falsos positivos" y sobre todas las cosas no veo una estructura de seguridad en si en esta implemntacion.

Supongamos que nosotros sabemos la localización de los centros de malware (de todos, lo cual es imposible, cada nodo de la red puede ser un posible atacante)entones con el sistema de GeoL. podremos discriminar las solicitudes de cada uno de los lugares cuya procedencia se encuentre en nuestra querida lista (Esperemos aunque sea que el nuevo hardw. tenga soporte para integracion con DB's).
Lamentablemente, debo informarles a la gente que piensa que este es un emtodo seguro que hay algo muy basico que todo atacante utiliza a la perfeccion, los llamados "proxys". Con este podemos desviar nuestro tráfico y hacerlo "salir" por otro nodo, resultado: enmascaramiento de nuestra posicion real en la red.
Otra consecuencia mas: La utilizacion de proxys es muy sencilla, y alguien que facilita esto es el encargado de Working Proxys ;).
Geo-location es una herramienta util para tratar de identificar ciertos datos que precisemos en la red, pero basar una politica de seguridad en él e incluso publicitar su adopcion me aprece algo sin sentido y desprestigiador para quién lo emplee.
Sin animos de ofender a la gente de Secure Computing creo que deberian fortalecer otros aspectos de sus appliances antes de lanzarse a hacer declaraciones que realmente no aportan mucho y ofuscan la claridad de lectores inexpertos.

Fuente: Diario TI
Leer más...

Wednesday, June 11

Nueva variante de GpCode.

Les hago público algo que llego a mis manos en estos días (ayer para ser más precisos).
Una nueva variante del ya conocido GpCode estaría realizando ataques de ransomware tomando como base para la encriptación de nuestros archivos el algoritmo de clave publica RSA con 1024 bits.
Si bien varias empresas ya están alertadas de esto, la utilizacion de este algoritmo complica la posibilidad de romper la clave de nuestros ficheros por lo cual las distintas empresas de AV están tratando de enfocar la solución al problema desde otro punto de vista.

Más información en: Diario TI Leer más...

Tuesday, June 10

Dejando huellas: metadata.

Generalmente se suele pensar que el universo virtual delimitado por la PC solo es eso, un mundo anonimo en donde estamos seguros en nuestro anonimato, en donde el unico que nos ve es el monitor que enfrente nuestro se encuentra. Esa falsa sensacion de unidad aislada compromete a muchas personas que creen obrar sin jamas salir a la luz. Cada archivo lleva nuestro nombre, nuestros datos y todo tipo de informacion a la cual es imposible escapar.

Si, generalmente al modificar diversos archivos modificamos (sin saberlo) un sector de ellos llamado "metadata". La metadata contiene informacion muy importante sobre el usuario, tal es el nivel de dicha informacion que se requiere a ella en analisis forenses para determinar el origen de un ataque, el usuario que la causo, etc.
Esta informacion hoy en dia se encuentra en todo tipo de archivos (hojas de datos, documentos de texto, incluso en las fotos dentro de la camara digital) y en cada caso revelan infromacion precisa sobre el origen de un archivo.
El ejemplo mas comun es el analisis forense sobre fotos digitales, mediante la metadata se peude determinar que camara (y al referirme a está lo hago en la complejidad que puede barcar el termino que permite la selectividad) tomó una fotografia, cuando lo hizo, etc.

Si bien esto brinda informacion mas que interesante en el ambito de los analisis forenses, es posible modificar esta informacion con diversos softwares e incluso con editores hexadecimales, el punto importante que aqui se halla es que la mayoria de las veces quien esta cometiendo una infraccion no sabe que sus huellas estan mas alla de lo tangible y que en ese acto tan lleno de anonimato, tan cubierto de una seguridad irreal se encuentra aquello que lo puede condenar.

La deteccion de la metadata de archivos es hoy en dia una de las herramientas con las que cuenta todo auditor de seguridad y es cada vez una utilidad mas que fiable para la aprehension de intrusos y criminales.
Leer más...

Friday, May 30

¿ ARGC en Perl ?

Buenas, hoy un compañero inocentemente me pregunto si existia el ARGC (propio de C) en Perl, mi respuesta se remitio a la realidad: NO.
Sin embargo, luego de escuchar las incontables criticas que le veian a esto concluí mi frase: NO, no es necesario.

Perl nativamente guarda los argumentos en el array @ARGV, pero para saber la cantidad de elementos que hay podemos hacer $nuestro_argc = $#ARGV +1; Efectivamente con $#array tenemos la cantidad de elementos del array, luego le sumamos 1 :)

Hemos construido nuestro ARGC! Enhorabuena amantes de C, ya se sienten mas "como en casa".

Saludos,
Leer más...

Tuesday, May 27

Script & Telnet con Perl

A la hora de trabajar con redes muchas tareas se vuelven repetitivas dia a dia. Entra a un switch cambiar una vlan, bajar una configuracion, sacar info de un puerto, etc. Es mas muchas veces estas tareas no se aplican a un solo equipo sino a N.
Como siempre la automatizaciond e estas tareas, siempre y cuando las mismas esten dentro de patrones controlados y conocidos por nosotros, se puede lograr mediante un script.

En particular con perl facilmente podemos establecer conexiones contra nodos mediante el protocolo telnet, para esto utilizamos el modulo "Net:Telnet".
Este modulo nos abre un camino muy amplio, y nos da herramientas sencillas y concisas, simplemente es muy facil utilizarlo!

Por ejemplo:


use Net::Telnet();

$username = "pepe"; # user del equipo.
$password = "pepito"; # passw. del equipo.
$ip = "10.1.1.2"; # ip del equipo.
$localdir = "c:/log_del_script\.txt"; # archivo de logs.

$session = Net::Telnet->new(timeout => 20, Errmode => 'return');
$session->open($ip); #Abro una conexion Telnet contra el dispostivo de ip $ip
$session->login($username,$password); #envio la info de login ($username / $password)

# Nota: Aqui ya deberia estar dentro del dispositivo.

$session->input_log($localdir); # Defino donde se van a alojar
$session->output_log($localdir); # los logs del script.

#Aclaracion: Supongamos un switch en el cual entramos directamente en modo enable.

$session->cmd('terminal length 0');
$session->cmd('show running');
$session->cmd('exit');
$session->close;


Con este sencillo codigo podemos entrar a un switch (cisco por ejemplo) y guardar su configuracion en el log definido por nosotros.
Este script es muy sencillo igualemnte se puede mejorar mucho, por ejemplo con la utilizacion de argumentos, asi se evita modificar el fuente.

Pero.. esto solo sirve para un equipo. SI!
No obstante es muy facil modificarlo.


#Podemos sacar los datos de un CSV en el cual se encuentre el nombre del equipo ","
# la ip del mismo.

open(DATOS, "<", "C:/IP.csv"); #Abro el archivo foreach $lines ( ) { # Leo el archivo linea a linea

($name, $ip) = split(/,/,$lines); # separo los datos delimitados por el separador ","

$localdir = "C:/$name-$ip\.txt"; #Defino el nombre del log.

#... Desde aqui en adelante se utilizaria el mismo codigo que antes, siempre dentro
# dentro del foreach para que lo realize con cada IP.

}


Bueno espero que les sirva, como ven es muy util y muy sencillo. En particular para conexiones contra switches cisco se puede optar por el modulo Net:Telnet::Cisco que tiene muchas mas opciones de configuracion especificas de switches.

Mas info aqui: http://search.cpan.org/~jrogers/Net-Telnet-3.03/lib/Net/Telnet.pm#COPYRIGHT

Saludos,

Leer más...

Friday, May 23

SSL Debian Bug.-

Realmente no lo podia evitar, un poco de humor para los colegas de Debian. (clikeen en la imagen para agrandarla).



Muy bueno :)

Saludos, Leer más...