Archivo para junio 2011

, 15 junio 2011 | Imprime

spamdelbuenoTodos odiamos el spam: es desagradable, molesto, inútil e incluso peligroso (algún incrédulo habrá que compre viagra por Internet pero allá el…). A ninguno nos gusta tener que dedicarle ni dos segundos a marcarlo como spam, o simplemente borrarlo, pero parece que hay que resignarse.

Sin embargo hay ocasiones en que la vida te sonríe y la semana pasada fue una de ellas. Estábamos recibiendo spam de una empresa española en distintas cuentas de correo de un mismo proyecto, y a cada correo que llegaba respondíamos pidiendo la baja de la lista de suscripción (a la cual no nos hemos suscrito); ya sabemos que no hay que hacerlo, pero al ser una empresa española y al estar algo aburridos, nos animamos ;) Tras recibir el enésimo correo y alentado por el día de furia que llevaba a cuestas, cogimos el el teléfono y llamamos al número de contacto para explicarles algunas cosas.

No me gusta esta entradaMe gusta esta entrada (+9 rating, 9 votes)
Loading ... Loading ...






, 14 junio 2011 | Imprime

Voy a resistir la tentación, y me cuesta, de hacer comentarios sobre el comunicado del arresto de la cúpula de Anonymous, porque creo que lo más relevante ya está dicho en varios sitios, por ejemplo, en el blog de Enrique Dans. Si quieren pasar un rato divertido, busquen en Twitter tags como #cupulasinexistentes, donde podrán leer desde referencias a la detención del autor de “El lazarillo de Tormes” o “el Cantar de Mío Cid” hasta el inevitable vídeo de Hitler comentando el hecho… Y luego está LA FOTO. Pero en fin, como decía, me resisto.

Sí quería hablar de Anonymous, sabiendo que, por la misma naturaleza del asunto, seguramente, acabaré diciendo algo con lo que ustedes no estén de acuerdo. Espero que me lo sepan disculpar, ya que solo estoy haciendo en público el proceso de organización de mis propias ideas.

No me gusta esta entradaMe gusta esta entrada (+12 rating, 12 votes)
Loading ... Loading ...






, 13 junio 2011 | Imprime

En estos días que corren está sonando mucho para lo bueno y para lo malo el servicio “pastebin.com”. Este servicio se utiliza para pegar texto, un servicio sencillo como la vida misma :).

Como no podía ser de otra manera el servicio está siendo utilizado para subir todo tipo de contenido: dumps de base datos de terceros tomadas sin pedir permiso, usuarios, contraseñas, código fuente de aplicaciones, listados de proxys, configuraciones de botnets, etcétera. Otra de las cosas destacables, es el hecho de que el servicio lo usan determinados keyloggers para almacenar lo que van capturando, como os mostramos a continuación:

Esto no es algo novedoso como se puede leer en en thetechherald y hackhispano. Pero nos gustaría volver a resaltarlo dado que se sigue registrando contenido actualmente por keyloggers.

Aconsejamos por tanto en la medida de lo posible monitorizar este tipo de servicios, dado que la información pública en ellos es de lo más variopinta. Para esta monitorización os aconsejamos herramientas como Pastenum.

No me gusta esta entradaMe gusta esta entrada (+8 rating, 8 votes)
Loading ... Loading ...






, 10 junio 2011 | Imprime

Generalmente, cuando administramos switches Cisco, es fácil encontrarnos con configuraciones idénticas en distintas interfaces de red. La forma habitual de configurar las interfaces, aunque sencilla, puede resultar tediosa, puesto que se trata de copiar la misma configuracion en distintas interfaces individuales o rangos de interfaces. No obstante, una forma más cómoda de hacerlo es mediante el uso de macros smartport.

Los macros Smartport son scripts de configuraciones creados previamente, que es posible aplicarlos a las distintas interfaces de red, de forma que ganamos consistencia y velocidad a la hora de configurar dispositivos.

Los Switches Cisco tienen varias macros creadas por defecto, que nos permiten configurar interfaces para soportar entre otros, equipos de usuario, telefonos, u otra electronica de red; mediante el comando show parser macro brief es posible ver las macros definidas en nuestro switch:

Switch#show  parser macro  brief
    default global   : cisco-global
    default interface: cisco-desktop
    default interface: cisco-phone
    default interface: cisco-switch
    default interface: cisco-router
    default interface: cisco-wireless

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...






, 9 junio 2011 | Imprime

Al hablar de seguridad siempre la consideramos como un proceso en lugar de como un producto, puesto que cada día aparecen nuevas vulnerabilidades y amenazas. Debido a éste proceso continuo, un aspecto crítico es la formación del personal que gestiona cualquier ambito de la seguridad.

Habitualmente, la formación en materia de seguridad (sin entrar en la autoformación), se lleva a cabo mediante cursos o certificaciones, ya sean técnicas o no. Una de las certificaciones mas valoradas (o al menos más solicitadas) es la certificacion CISSP (Certified Information Systems Security Professional) ofrecida por ISC(2) (International Information Systems Security Certification Consortium).

No me gusta esta entradaMe gusta esta entrada (+7 rating, 7 votes)
Loading ... Loading ...






, 8 junio 2011 | Imprime

Voy a proponerles un sencillo ejercicio. Levántense de su silla (aprovechen para estirar las piernas) y diríjanse a la máquina expendedora de refrescos y snacks de su empresa. Busquen el display que muestra la selección de producto etc. (suele estar a la derecha). Lean la temperatura a la que, supuestamente, se almacenan los productos allí expuestos. ¿Qué valor encuentran? ¿Diez, quince grados? Ahora busquen los dos o tres sándwiches que, seguramente, están a la venta. Si fuerzan un poco la vista, verán que en el frontal de cada envase hay un letrero (en el caso que me ocupa, sobre fondo amarillo o rojo, para hacerlo más ilegible) que dice lo siguiente: “Conservar entre 0 y 5 grados”.

No me gusta esta entradaMe gusta esta entrada (+9 rating, 9 votes)
Loading ... Loading ...






, 7 junio 2011 | Imprime

Recientemente en el blog de Lenny Zeltser, se ha publicado una entrada donde hace referencia a un documento realizado por “CompuCom”, donde se explicaba una prueba de concepto de una técnica para identificar la distribución de un malware mediante la cabecera HTTP ETags.

En estos momentos dos de las principales fuentes para poder filtrar y prevenir la distribución a los usuarios finales es mediante listas de IPs o listados de dominios maliciosos (ver MDL por ejemplo). Pero todos sabemos que tanto las IPs como los dominios van variando de una manera muy rápida, lo que hace muy difícil la tarea de filtrar y prevenir la distribución en base a estos listados.

No me gusta esta entradaMe gusta esta entrada (+7 rating, 7 votes)
Loading ... Loading ...






, 6 junio 2011 | Imprime

Como vimos hace tiempo en el post sobre Checkpoint SYN Defender, cada vez es mas habitual encontrar fabricantes que añaden funcionalidad para mitigar algunos ataques de denegación de servicio en sus dispositivos de seguridad. En la ocasión anterior nos centramos en la solución SynDefender de Checkpoint y en esta ocasión, será en la característica TCP Intercept de los dispositivos routers de Cisco.

Como su nombre bien indica, Cisco TCP Intercept Feature es una característica de seguridad capaz de proteger y mitigar posibles ataques DoS basados en inundaciones TCP SYN contra nuestros servidores, monitorizando para ello el numero de intentos de conexión y en caso de ser necesario, reducir el número de conexiones TCP incompletas.

No me gusta esta entradaMe gusta esta entrada (+7 rating, 7 votes)
Loading ... Loading ...






, 3 junio 2011 | Imprime

Los días 11 al 15 del pasado mes de abril se celebró en París el IEEE Symposium Series on Computational Intelligence, SSCI 2011. Se trata de un evento bienal que comprende más de treinta simposios que contemplan aspectos teóricos y aplicaciones de la inteligencia computacional.

¿Qué es la inteligencia computacional? Una definición de andar por casa podría ser ésta: la IC consiste en hacer que un sistema (generalmente informático) se comporte de forma tal que, si se tratara de un ser vivo, diríamos que es inteligente. Si nos quisiéramos poner un poco más técnicos, diríamos que la Inteligencia Computacional (también denominada Soft Computing) es una rama de la Inteligencia Artificial que consiste en el estudio de mecanismos adaptativos para permitir o facilitar el comportamiento inteligente en sistemas complejos y cambiantes.

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...






, 1 junio 2011 | Imprime
La entrada de hoy corre a cargo de Borja Merino, ingeniero informático y especialista de seguridad, al que pueden seguir en su Twitter http://twitter.com/borjamerino. Esperamos que el post les guste tanto como a nosotros.

A diferencia de la versión Pro de Metasploit, una de las limitaciones a la hora de “pivotear” conexiones desde Meterpreter por medio de route es el tipo de herramientas que podemos usar a través del pívot. Esto es debido a que cualquier herramienta que use raw sockets no funcionará a través del túnel, estando limitados a conexiones TCP y UDP que realicen una “conexión completa” (connected sockets). En el caso de Nmap, por ejemplo, implica que únicamente podemos realizar escaneos de tipo TCP connect (-sT) por medio de socks4 y proxychains, pero será inútil utilizar switches como -sS (syn scan), -O (OS detection) o similares. Aunque otra opción es utilizar portforwarding (portfwd) mediante el cual mapear puertos locales con los de la víctima, estamos limitados a conexiones TCP, por lo que esto también reduce opciones a la hora de elegir herramientas que empleen UDP. En nuestro caso lo que haremos será preparar un entorno que nos ayude a “forwardear” peticiones DNS desde herramientas que hagan uso de UDP (nmap, dnsenum, etc) a través de Meterpreter.

Para ello configuraremos un Proxy DNS que intercepte peticiones DNS UDP y las redirija, en su “versión TCP”, al puerto configurado con portfwd. Ya que la mayoría de servidores DNS soportan TCP, no solamente para realizar transferencias de zona, sino para aceptar también queries en el puerto 53 (así lo especifica el protocolo DNS), podremos realizar consultas DNS con prácticamente cualquier herramienta. Lógicamente clientes DNS que empleen o soporten TCP (ej: dig +tcp) no requerirán de dicho Proxy y podrán lanzarse directamente a través de Meterpreter Lo mismo ocurre con clientes DNS que usen UDP y que utilizen la API adecuada, en cuyo caso podrá redirigir paquetes a través de Meterpreter utilizando route.

No me gusta esta entradaMe gusta esta entrada (+21 rating, 21 votes)
Loading ... Loading ...