Un día de furia…spammer

spamdelbuenoTodos odiamos el spam: es desagradable, molesto, inútil e incluso peligroso (algún incrédulo habrá que compre viagra por Internet pero allá el…). A ninguno nos gusta tener que dedicarle ni dos segundos a marcarlo como spam, o simplemente borrarlo, pero parece que hay que resignarse. ... Leer Más

¿Es Anonymous una organización delictiva?

Voy a resistir la tentación, y me cuesta, de hacer comentarios sobre el comunicado del arresto de la cúpula de Anonymous, porque creo que lo más relevante ya está dicho en varios sitios, por ejemplo, en el blog de Enrique Dans. Si quieren pasar un rato divertido, busquen en Twitter tags como #cupulasinexistentes, donde podrán leer desde referencias a la detención del autor de “El lazarillo de Tormes” o “el Cantar de Mío Cid” hasta el inevitable vídeo de Hitler comentando el hecho… Y luego está LA FOTO. Pero en fin, como decía, me resisto.

Sí quería hablar de Anonymous, sabiendo que, por la misma naturaleza del asunto, seguramente, acabaré diciendo algo con lo que ustedes no estén de acuerdo. Espero que me lo sepan disculpar, ya que solo estoy haciendo en público el proceso de organización de mis propias ideas.

[Read more…]

Pastebin keyloggers

En estos días que corren está sonando mucho para lo bueno y para lo malo el servicio “pastebin.com”. Este servicio se utiliza para pegar texto, un servicio sencillo como la vida misma :).... Leer Más

Configuracion de Macros Cisco

Generalmente, cuando administramos switches Cisco, es fácil encontrarnos con configuraciones idénticas en distintas interfaces de red. La forma habitual de configurar las interfaces, aunque sencilla, puede resultar tediosa, puesto que se trata de copiar la misma configuracion en distintas interfaces individuales o rangos de interfaces. No obstante, una forma más cómoda de hacerlo es mediante el uso de macros smartport.

Los macros Smartport son scripts de configuraciones creados previamente, que es posible aplicarlos a las distintas interfaces de red, de forma que ganamos consistencia y velocidad a la hora de configurar dispositivos.

Los Switches Cisco tienen varias macros creadas por defecto, que nos permiten configurar interfaces para soportar entre otros, equipos de usuario, telefonos, u otra electronica de red; mediante el comando show parser macro brief es posible ver las macros definidas en nuestro switch:

Switch#show  parser macro  brief                                                
    default global   : cisco-global                                             
    default interface: cisco-desktop                                            
    default interface: cisco-phone                                              
    default interface: cisco-switch                                             
    default interface: cisco-router                                             
    default interface: cisco-wireless

[Read more…]

La certificación CISSP

Al hablar de seguridad siempre la consideramos como un proceso en lugar de como un producto, puesto que cada día aparecen nuevas vulnerabilidades y amenazas. Debido a éste proceso continuo, un aspecto crítico es la formación del personal que gestiona cualquier ambito de la seguridad.... Leer Más

De pepinos y máquinas asesinas

Voy a proponerles un sencillo ejercicio. Levántense de su silla (aprovechen para estirar las piernas) y diríjanse a la máquina expendedora de refrescos y snacks de su empresa. Busquen el display que muestra la selección de producto etc. (suele estar a la derecha). Lean la temperatura a la que, supuestamente, se almacenan los productos allí expuestos. ¿Qué valor encuentran? ¿Diez, quince grados? Ahora busquen los dos o tres sándwiches que, seguramente, están a la venta. Si fuerzan un poco la vista, verán que en el frontal de cada envase hay un letrero (en el caso que me ocupa, sobre fondo amarillo o rojo, para hacerlo más ilegible) que dice lo siguiente: “Conservar entre 0 y 5 grados”.

[Read more…]

Identificando la distribución de Malware a través de ETags

Recientemente en el blog de Lenny Zeltser, se ha publicado una entrada donde hace referencia a un documento realizado por “CompuCom”, donde se explicaba una prueba de concepto de una técnica para identificar la distribución de un malware mediante la cabecera HTTP ETags. ... Leer Más

Cisco TCP Intercept Feature

Como vimos hace tiempo en el post sobre Checkpoint SYN Defender, cada vez es mas habitual encontrar fabricantes que añaden funcionalidad para mitigar algunos ataques de denegación de servicio en sus dispositivos de seguridad. En la ocasión anterior nos centramos en la solución SynDefender de Checkpoint y en esta ocasión, será en la característica TCP Intercept de los dispositivos routers de Cisco.... Leer Más

Abril en París (o la Naturaleza al contraataque)

Los días 11 al 15 del pasado mes de abril se celebró en París el IEEE Symposium Series on Computational Intelligence, SSCI 2011. Se trata de un evento bienal que comprende más de treinta simposios que contemplan aspectos teóricos y aplicaciones de la inteligencia computacional.... Leer Más

DNS Port Forwarding con Meterpreter

La entrada de hoy corre a cargo de Borja Merino, ingeniero informático y especialista de seguridad, al que pueden seguir en su Twitter http://twitter.com/borjamerino. Esperamos que el post les guste tanto como a nosotros.

A diferencia de la versión Pro de Metasploit, una de las limitaciones a la hora de “pivotear” conexiones desde Meterpreter por medio de route es el tipo de herramientas que podemos usar a través del pívot. Esto es debido a que cualquier herramienta que use raw sockets no funcionará a través del túnel, estando limitados a conexiones TCP y UDP que realicen una “conexión completa” (connected sockets). En el caso de Nmap, por ejemplo, implica que únicamente podemos realizar escaneos de tipo TCP connect (-sT) por medio de socks4 y proxychains, pero será inútil utilizar switches como -sS (syn scan), -O (OS detection) o similares. Aunque otra opción es utilizar portforwarding (portfwd) mediante el cual mapear puertos locales con los de la víctima, estamos limitados a conexiones TCP, por lo que esto también reduce opciones a la hora de elegir herramientas que empleen UDP. En nuestro caso lo que haremos será preparar un entorno que nos ayude a “forwardear” peticiones DNS desde herramientas que hagan uso de UDP (nmap, dnsenum, etc) a través de Meterpreter.

Para ello configuraremos un Proxy DNS que intercepte peticiones DNS UDP y las redirija, en su “versión TCP”, al puerto configurado con portfwd. Ya que la mayoría de servidores DNS soportan TCP, no solamente para realizar transferencias de zona, sino para aceptar también queries en el puerto 53 (así lo especifica el protocolo DNS), podremos realizar consultas DNS con prácticamente cualquier herramienta. Lógicamente clientes DNS que empleen o soporten TCP (ej: dig +tcp) no requerirán de dicho Proxy y podrán lanzarse directamente a través de Meterpreter Lo mismo ocurre con clientes DNS que usen UDP y que utilizen la API adecuada, en cuyo caso podrá redirigir paquetes a través de Meterpreter utilizando route.

[Read more…]