de la red – 14/05/2011

SEGURIDAD

Grave fallo de seguridad en WebGL
La consultora de seguridad Context asegura haber identificado una serie de problemas de seguridad en WebGL, un nuevo estándar de renderizado de gráficos 3D en web, que puede permitir a atacantes comprometer el equipo del usuario.

Flash Player 10.3 ya disponible con mejores controles de privacidad
Adobe acaba de hacer pública la versión 10.3 final de Adobe Flash Player con el fin de implementar algunas mejoras de seguridad y privacidad.

Empresa de seguridad anuncia haber logrado explotar varias vulnerabilidades en Google Chrome
La empresa de seguridad informática VUPEN acaba de publicar un vídeo en el que demuestran cómo explotan un par de vulnerabilidades detectadas en Google Chrome.

Facebook introduce nuevas medidas de seguridad
(…) Lo interesante es que las tres nuevas funcionalidades se enfocan en distintos aspectos de la seguridad de los miembros del servicio, ya que se ocupa de monitorizar cada inicio de sesión, analizar la reputación de los vínculos compartidos en los perfiles y otros sectores del sitio, así como más opciones para recuperar una contaseña olvidada, gracias a un enfoque social que aprovecha todo lo que conoce Facebook sobre nosotros…

Fallo de seguridad en OpenID
Se ha descubierto un fallo en la extensión ‘Attribute Exchange’ de OpenID que podría permitir a un atacante remoto modificar la información que es intercambiada entre las partes encargadas de la autenticación.

Ejecución de código en Exim
Se ha corregido una grave vulnerabilidad en Exim que podría permitir a un atacante ejecutar código arbitrario en el sistema afectado.

Envenenamiento de resultados en Google Imágenes
Según ha informado el SANS desde hace varias semanas se están recibiendo informes relacionados con el buscador de imágenes de Google. Ofrece resultados que terminan redirigiendo a páginas de falsos antivirus. Nada nuevo, pero que está siendo especialmente insidioso y elaborado en estos días.

4 formas de protegerse contra keyloggers
Los Keyloggers son una de las amenazas de seguridad más conocidas y temidas en las computadoras hoy en día. Por lo general son difíciles de detectar, y el daño que hacen a menudo se extiende más allá de la computadora infectada. Un Keylogger puede tomar tu información personal, ya sea una contraseña o número de tarjeta de crédito.

Una aplicación para detener el seguimiento
Un nuevo software permite a los usuarios de Android ver cómo las aplicaciones están recogiendo sus datos, y restringir el comportamiento.

Salto de restricciones en Oracle GlassFish Enterprise Server
Oracle GlassFish Server presenta un fallo de autenticación en su Consola de Administración que permitiría a un atacante remoto acceder mediante peticiones TRACE.

De incógnito en la botnet IncognitoRAT
Los creadores de IncognitoRAT (una botnet que se ha puesto relativamente de moda en estos últimos días) han programado una herramienta muy completa para controlar una botnet multiplataforma. Pero han dado muestras de no saber asegurar sus servidores… de forma que hemos descubierto que se pueden obtener los datos de los supuestos compradores del kit.

Denegación de servicio a través de consultas RRSIG en ISC BIND 9
El Internet Systems Consortium (ISC), patrocinador del servidor DNS más usado, BIND, informa sobre una vulnerabilidad encontrada en la rama 9 del producto. Aunque matiza que dicha vulnerabilidad únicamente afecta a usuarios que utilicen la característica RPZ.

Vulnerabilidades de desbordamiento de búfer en Sybase M-Business Anywhere
Se han anunciado múltiples vulnerabilidades de en Sybase M-Business Anywhere 6.7 y 7.0, que podrían permitir a un atacante remoto lograr la ejecución de código arbitrario en los sistemas afectados.

Las implicaciones del cifrado de medios de almacenamiento en el análisis forense
(…) Conviene distinguir dos tipos de escenario, aquel en el que el medio está cifrado de una manera independiente sin relación con un esquema de gestión, y aquel en el que el medio pertenece a un sistema de gestión de cifrado. El motivo para hacer esta distinción no es otro que, en el caso de modelos de cifrado centralizados, existen opciones que no existen en el cifrado independiente, y que pueden suponer una ventaja en el proceso de análisis como veremos a continuación…

SYSTEM, causa y efecto IV de IV
En este último post, nos centraremos en cómo la cuenta SYSTEM se comporta a la hora de ser utilizada de forma interactiva.
Para ello, y en el banco de pruebas que hemos montado, realizaremos una elevación de privilegios, tal y como se ha comentado ampliamente por la Red.

Análisis de capturas de red con CACE Pilot Personal Edition
(…) Hoy vamos a ver una herramienta que facilitará mucho las operaciones más complejas, incluso las más usuales de forma, si cabe, más visual e intuitiva, proporcionando una forma más eficaz para detectar problemas en una red…

Crackpkcs12: recuperar la contraseña de un archivo PKCS12 sacando partido a una máquina multinúcleo
Esta entrada presenta un pequeño programa, llamado crackpkcs12, que será útil para quien quiera recuperar la contraseña de un archivo PKCS12 (extensiones p12 o pfx) recurriendo a un ataque de diccionario. Además, pretende ser un ejemplo práctico de cómo sacar partido a nuestras máquinas multinúcleo programando aplicaciones que usen hilos…

Metasploit & Antivirus (III): Evasión de Heurística
Hace unos días vimos como explotando al vulnerabilidad MS08-067 en un sistema con Antivirus este no se enteraba de nada, debido a que las acciones realizadas estaban "bajo el radar" y por tanto pasaban desapercibidas para el Antivirus.

Metasploit & Antivirus (IV): Encoding contra Firmas
En el anterior post nos quedamos con que habíamos conseguido evadir el Antivirus empleando un Payload Java, pero al intentar subir el Payload Nativo (con mucha más funcionalidad) volvía a detectarlo. Para evitar eso, Metasploit tiene una funcionalidad para encodear Payloads que nos va a permitir codificar el Payload, con lo que vamos a evitar la detección por firmas y, como en este caso, algunas detecciones heurísticas.

Fingerprinting
(…) En estos ejemplos estamos viendo que son elementos que dejan “huella”, y por lo tanto suponen un riesgo importante para la privacidad (el riesgo se convierte en ventaja para las fuerzas de seguridad del Estado). Estas mismas técnicas llevadas a las redes informáticas nos permiten hacer cosas similares e identificar tipos de sistemas de manera única…

El framework RPKI
(…) RPKI está siendo usado en producción desde hace varios meses por distintos RIR’s y se basa en el uso de certificados digitales X.509 (con posibilidad de usar extensiones) para firmar las ROAs (Routing Origin Authorization), puesto que el AS origen del anuncio de ruta viene incluido en el AS_PATH, proporcionando la siguiente funcionalidad…

Enlaces de la SECmana – 70
    Fecha definitiva y comentarios acerca de la próxima publicación de Backtrack 5
    Incidente de seguridad en LastPass, el propio CEO revela más detalles.
    Liberado el nuevo Metasploit Framework 3.7.0
    Intrusión en los servidores de la edición estadounidense del programa X Factor
    Anuncio del próximo reto de El Lado Del Mal: Infiltrados. Más información en
    Vulnerabilidad en BIND 9.8.0, que afecta a aquellos usuarios que hayan activado la funcionalidad RPZ
    Comienza la subida de videos de Rooted CON 2011. De momento sólo se dispone de 9 videos
    Grave vulnerabilidad en la versión para Mac OS X de Skype descubierta por Pure Hacking de "pura casualidad"
    En Cyberhades han recopilado el conjunto de videos que forman el curso sobre seguridad en redes inalámbricas.

Una inyección SQL que te dejará helado (CVE-2010-4284)
(…) No sólo se puede utilizar para la extracción de información de una base de datos mediante un conjunto de consultas, también se pueden crear sentencias concretas que permitirían autenticarse en un formulario sin conocer ni usuario ni contraseña, o acceder como un usuario determinado sin necesidad de conocer su contraseña…

Folklorica 2.0
(…) Hace tiempo presentábamos ‘Folklorica’ una backdoor que permitía mantener el acceso en un sistema Windows empleando Internet Explorer como vehículo hacia el exterior, entre sus funcionalidades, cabe destacar…

El código fuente de ZeuS
Hace unas semanas se hablaba que el código fuente de ZeuS en su versión 2.0.8.9, se había robado y publicado. En algunos foros underground se ofrecía un enlace para descargarlo con contraseña. Pero no la contraseña.

Auditoría de Sistemas con Bellator
Para configurar de forma segura un sistema o aplicación, normalmente se siguen las guías que proporciona el fabricante o de alguna organización con prestigio y son adaptadas a las necesidades de cada compañía.

Como actualizar Backtrack 4 a Backtrack 5
(…) Fácil, en teoría. La realidad es que es más cómodo reinstalar de cero, además se tarda la cuarta parte. Como siempre, actualizar un sistema operativo da problemas no esperados y en este caso que hay varias versiones de Ubuntu por medio más aún…

Snort. Conversión de logs Unified2 a formato pcap con u2boat
Siguiendo un poco la estela de dicho artículo, veremos otra forma de conversión de logs Unified2 de Snort a formato .pcap para usarlo con Tshark, Wireshark, etc.

Snort. Conversión de logs Unified2 a formato texto con u2spewfoo
En esta ocasión veremos con convertir un log Unified2 pero a formato solo texto con u2spewfoo.

Volviendo un PDF indetectable – Charla en Rooted CON
El siguiente video es una de las charlas dadas en la Rooted CON 2011, una conferencia de seguridad informática que se realiza en España. El exponente es José Miguel Esparza de S21sec y habla sobre la ofuscación y las técnicas de evasión en archivos PDF.

Ripe, Arin, el escaneo HTTP, Google, Shodan y la FOCA
Una de las cosas que realizamos en la FOCA es el descubrimiento de todos los equipos que forman parte del dominio del proyecto. Para ello se basa en Google, Bing, DNS, etc… Sin embargo, hay situaciones en las que es dificil encontrar un equipo cuyo dominio no está indexado por los buscadores.

Los registros DNS de servicio de Active Directory
Microsoft Active Directory utiliza una serie de resgistros de servicio en el DNS que pueden ser utilizados para conocer la estructura de la red una compañía. En la nueva versión de la FOCA estamos metiendo el análisis de estos registros…

Libro Hacking con Buscadores: Google, Bing y Shodan
(…) En él, como ya os conté en el post de Shodan y Agentes SNMP
Administrando el mundo, Enrique recoge trucos en el uso de buscadores para la búsqueda de información en la fase de fingerprinting o de datos que permitan realizar la intrusión…

Novedades en Útiles Gratuitos: Backtrack 5 y System Restore Manager
    Backtrack 5… Está desarrollada por profesionales de seguridad y está dirigida al análisis forense y "Penetration Testing"…
    System Restore Manager… este programa que nos sirve para gestionar los puntos de restauración del sistema de forma muy sencilla…

TENDENCIAS

Reig – Neuro-tweets: #hashtagueando el cerebro
(…) Al igual que el cerebro humano, la red derivada de #twitterbrain resultó ser una red de mundo pequeño, lo que significa que las rutas que conectan dos nodos son relativamente cortas, con un alto grado de agrupamiento local…

… Y VERGÜENZAS

Reino Unido compra Geotime, software militar que espía a cualquier ciudadano en la red
(…) Geotime es capaz de asignar prácticamente cualquier movimiento posible de un individuo en la red, un programa de seguridad que muestra los rastros que deja el usuario en Internet y las comunicaciones que tiene con otras personas en un gráfico tridimensional. El espectro que abarca va desde las redes sociales o equipos de navegación por satélite hasta los teléfonos móviles o las transacciones financieras y la IP de los registros de las mismas…

Más motivos para ser polvo
(…) Esto no ha gustado al gobierno americano y ha pedido a Mozilla que la quite de los repositorios y de las instalaciones de Firefox, aunque Mozilla, de momento, ha dicho que no y aún perdura la extensión disponible…

DESARROLLO / BASES DE DATOS / SYSADMIN

Conferencia gratuita de introducción y uso de la tecnología NoSQL
(…) Fecha: Jueves 2 de Junio de 2011
Hora: 19:00 (7:00 PM) horas Colombia
Lugar: Hotel Radisson Royal – Cra 100 #11A-99 en la ciudad de Cali – Colombia (google map)

Lo que todo programador de C debería saber sobre el "comportamiento indefinido"
Este ha sido uno de los artículos damnificados por la caída de blogger.com y por eso no lo he puesto aquí antes, pero me gustaría reseñar este What Every C Programmer Should Know About Undefined Behavior 1/3 del blog de LLVM. No solo hace una estupenda introducción al qué y al por qué del comportamiento indefinido en C sino que apunta a una serie de artículos que merece la pena mencionar también: A Guide to Undefined Behavior in C and C++, Part 1, Part 2 y Part 3.

Curso Android: Todo lo que necesitas para empezar
¿Quieres aprender todo sobre Android y no sabes por dónde iniciar? Hoy empezamos un Curso sobre Android donde te llevaremos paso a paso por elementos básicos, ejemplos prácticos y descargas de código sobre esta popular plataforma móvil de Google, las publicaciones de cada capítulo serán dos veces por semana.

Android, núcleo estratégico de domótica para Google
Controlar las luces de tu casa sin interruptores, revisar el inventario de la nevera, tener sonido ambiental centralizado, llevar control de tu rutina de ejercicios y cerrar la puerta del garage, desde tu teléfono, una vez tenga Android.

Curso Android: Construir un lector de feeds simple
(…) Android utiliza como base el kernel de Linux pero los dos sistemas no son lo mismo, Android no cuenta con un sistema nativo de ventanas de Linux ni tiene soporte para glibc (libería estándar de C) ni tampoco es posible utilizar la mayoría de aplicaciones de GNU de Linux…

Recursos para aprender a desarrollar con Android
En reddit programming anunciaron la creación de un nuevo sub-reddit. Se trata de un reddit para aprender a programar en Android
learnandroid.

James Gosling prefiere Hash Tables a bases de datos SQL
(…) Mucha gente en ese momento pensó que él estaba defendiendo el uso de Hash Tables para sistemas donde la concurrencia la consistencia no eran críticas, y donde fundamentalmente se iban a realizar muchas lecturas y muy pocas escrituras…

Desde Elgg camp Santiago: Introducción a las Metodologías Ágiles
Presentación de Agustín Villena y Danijel Arsenovski sobre Introducción a las Metodologías Ágiles en elgg.camp.

[Auges] Un paseo por ASP.NET MVC
AUGESTras la presentación oficial del grupo a finales del mes pasado, ahora toca estrenarse en la realización de actividades de difusión que forman parte de los objetivos e intenciones de AUGES.

Enlaces interesantes 39

Descubrimientos del 13 mayo 2011

Descubrimientos del 12 mayo 2011

Descubrimientos del 11 mayo 2011

Descubrimientos del 9 mayo 2011

FLOSS / SISTEMAS OPERATIVOS / VIRTUALIZACIÓN

TuxInfo #37
Ya está disponible para su descarga el nº 37 de la revista TuxInfo, la revista argentina de publicación mensual sobre software libre. 

LINUX

Lo mejor del blogroll del 01/05 al 07/05

COMUNICACIONES

Nace LiferayHispano.org
Miembros de los equipos de desarrollo de varias empresas andaluzas sacan a la luz el primer portal en castellano donde se darán cita todos los agentes de producción de software basados en Liferay.

PARA MENORES

hijos digitales
Éste es un blog creado por S2 Grupo, empresa de seguridad de la información, que ofrece a padres e hijos menores de edad contenidos actualizados y relevantes sobre seguridad en el uso de las nuevas tecnologías.

BLOG’s

Usando Twitter como sistema de autenticación en tu sitio
(…) Hoy veremos como hacer que los usuarios inicien sesión en nuestro sitio usando el API de Twitter. Esto tiene sentido si nuestro sitio planea hacer uso responsable del API y los accesos a la cuenta del usuario. Acá solo hablaré de como hacerlo a nivel general con PHP, sin usar un framework en particular, si ustedes usan otro lenguaje o herramientas, los principios son los mismos…

PRODUCTIVIDAD

Chile: Publiguías regalará diseño de webs a pequeñas empresas
Publiguías lanzó junto al gobierno un plan llamado “Tu web gratis”, que pretende regalar el desarrollo de 20.000 sitios a micro, pequeñas y medianas empresas. Básicamente se regala un dominio .cl, diseño, producción y hosting del sitio.

Reig – Actitudes tecnológicas para la vida
(…) Son, en definitiva competencias, habilidades, actitudes, lenguajes y no tanto contenidos lo importante…

45 preguntas que deberías hacerte tras tu presentación
(…) En su joya de libro “Boring to Bravo”, la experta en comunicación Kristin Arnold  nos propone que respondamos al siguiente cuestionario de autoevaluación tan pronto como nos sea posible tras una presentación…

Qué poner en la última transparencia de tu presentación
(…) Cuando estás planificando una presentación, plantéate escribir en una sola frase, con sujeto, verbo y predicado, la idea fundamental que deseas transmitir, aquella que quieres que la audiencia se lleve a su casa. Deberás dejarla muy clara al inicio de tu charla, apoyarla con argumentos, evidencias y hechos a lo largo de la misma, y remacharla al final…

Scrible – Una nueva forma de crear y compartir notas en páginas web
(…) Las notas creadas por cada miembro del equipo estarán destacadas con diferentes colores, facilitando la identificación rápida de la colaboración de cada individuo…

scrumrf – Herramienta en español para la gestión de proyectos en la web
(…) Se trata de una solución que nos permite registrar usuarios y tareas, permitiendo ver la historia de trabajo de cada uno de los miembros, añadir comentarios y gestionar múltiples proyectos al mismo tiempo…

SALUD

Azúcar, arma temible contra los microorganismos patógenos
(…) Por ejemplo, la glucosa y la fructosa aumentan el impacto de los fármacos en los microbios que provocan infecciones crónicas y reincidentes…

Si estudias mucho, envejecerás más lentamente
(…) Los participantes del estudio fueron separados en cuatro grupos de educación: los que no tenían ningún tipo de formación, los que abandonaron la educación formal con malas notas, los que abandonaron con buenas notas y los que obtuvieron un título de una institución de educación superior. Los resultados mostraron que las personas con menor nivel de estudios tenían menor longitud de los telómeros, lo que indica que se puede envejecer más rápido…

Vegetales y glutamina
(…) Para maximizar el contenido de glutamina en los vegetales será necesario comerlos crudos y lo más frescos posible. El espárrago en particular disminuye en concentración de glutamina mientras más tiempo pasa desde la cosecha hasta el consumo…

AMENAZAS

Dos millones de bolivianos en los Andes, expuestos a superterremotos
(…) Contrariamente a una reciente evaluación de peligro, que estimaba un posible terremoto de magnitud máxima de 7,5, el estudio estima que podría producirse un terremoto de 8,7 a 8,9 de magnitud en la región…

DE TODO

Cambia el formato de tus PDF antes de imprimirlos
(…) El programa no necesita instalación, simplemente tener instalado el Microsoft .NET Framework 2.0…

Chile: TOC, sistema para identificar personas usando la huella digital
(…) El sistema usa el código de barras que tiene la cédula de identidad, para lo que llegó a un acuerdo con NEC, empresa propietaria de la tecnología del carnet. “En ese código hay cierta información, como las minucias de la huella”, señala Navarro. Las minucias son ciertos detalles de la huella digital que hacen que sea distinta de todas las demás, y que permiten identificar a la persona…

Medidor de Intensidad de Luz (DIY)
(…) En este artículo trabajaremos con un TSL230R; un dispositivo que convierte la cantidad de luz recibida en una frecuencia “proporcional” y que constituye la plataforma de cualquier instrumento de medición de iluminación…

Mochila para ver detrás de las paredes (vídeo)
(…) Para conocer más sobre el campo de batalla, existen dispositivos como el Prism 200c, un aparato construido dentro de una mochila para mejor traslado, que al ser apoyado sobre una pared, es capaz de detectar todos los individuos dentro de esa estructura…

Los patrones moiré: qué son y como evitarlos
Los patrones moiré (o muaré, en español) es un artefacto producido en la imagen debido a la forma del objeto fotografiado y el método por el cual los sensores registran la luz. Suelen ser molestos en casos extremos y muchas veces imperceptibles, pero esta presente siempre que algún objeto cumpla con las necesidades para generar este efecto.

Dirae.es, un diccionario inverso del español
(…) En un diccionario inverso la búsqueda se hace en la definición, y el resultado es el término que corresponde con esa definición…

Sumando conocimiento: Google Art Project y Forvo
(…) un servicio de Google que pone al alcance de todos más de 1000 obras de arte de distintos museos alrededor del mundo, además con una calidad sinceramente impresionante…

Gerber Cable Dawg: La "crimpadora tactica"
(…) La Cable Dawg, que bien se podría denominar como “crimpadora táctica” , dispone de las habituales funciones de crimpado de RJ45, cortado y pelado de cable de diversas secciones, a lo que añade unos mangos desmontables que integran un cuchillo junto con una herramienta multiuso para montar puntas de destornillador y llaves diversas…

Nuevas tecnologías optimizan la seguridad ferroviaria
Una nueva generación de dispositivos de identificación por radiofrecuencia (RFID), desarrollados por la empresa norteamericana TransCore, y un avanzado sistema de alarmas contra incendios que el Ministerio de Ferrocarriles de la India está incorporando en ese país asiático constituyen dos importantes avances en el campo de la seguridad ferroviaria internacional, que podrían optimizar las soluciones existentes hasta el momento en la materia.

INVESTIGACIÓN

One-Way Sound Walls Proven Possible
A future material could bend sound waves so they would only pass through a wall in one direction.

Inaudito, D-Wave Systems logra publicar un artículo en Nature
(…) Se pueden tener dudas sobre si el concepto es escalable o no, pero, ¿y si lo es? La computación cuántica avanza lentamente y nunca antes se había logrado demostrar la computación cuántica adiabática con 8 cubits…

Nuevas nanoantenas tienen potencial en aplicaciones de seguridad
(…) Las nanoantenas trabajan de un modo más o menos igual que las antenas regulares, excepto que recogen la luz en lugar de ondas de radio y son millones de veces más pequeñas…

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: