10 sobre Ubuntu 9.10 Karmic Koala

Bueno, aca estoy de vuelta, hace tiempo que no actualizo el blob y ya es hora.

Les contaré de aplicaciones interesantes que viene en Linux y las prestaciones que trae, para que estén al tanto de este enorme sistema operativo. En mi caso, Ubuntu 9.10 (Karmic Koala) que va a estar soportado hasta abril del 2011 mas o menos, donde para esa altura ya estarán las nuevas versiones de ubuntu para que actualicemos.

Antes que nada, les contaré sobre mi maquina, es una Acer Aspire con un Intel Core 2 duo 2.2 Mhz, con 4 Gb de ram, placa de video de 512 Mb, blu ray, 320 Gb de disco y detalles mas.

1- La instalacion de Linux es muy sencilla, no presenta problemas de entorno grafico por lo general y se carga correctamente en PC's de hoy en dia.

2- El soporte y deteccion del hardware de nuestra PC es increible, en mi caso y en el de varios amigos, detectó absolutamente todo.

3- Lo principal que vemos, es la gran cantidad de actualizaciones constantes, gracias a la enorme ayuda de la comunidad ubuntu.

Las actualizaciones son gratuitas y el soporte es excelente, ya que se trata de un sistema abierto en el que cada uno lo puede modificar a su gusto, y siempre podes encontrar alguien que pueda resolverte algun problema, ya sea en ubuntu.es, como en los foros; y los grandes buscadores aunque con los 2 anteriores seguro te alcanzará para resolver el problema que tengas.

4- Este si es un sistema multitarea, en el que podes ejecutar cantidad de aplicaciones simultaneas sin inconvenientes.

5- Si la placa de video es buena, el entorno grafico va mas allá de lo que te imaginas, o lo que has visto en el Windows. En mi caso yo tengo una placa de video Nvidia GeForce 9500M GS de 512 Mb.

Con esta hermosa placa, se puede ejecutar un administrador de entorno grafico llamado Gnome, que viene por defecto en cada version desktop de Ubuntu, y con un addons podriamos llamarle, que se adhiere al Gnome, llamado compiz fusion, con el que se le puede agregar incansables efectos al entorno grafico, que te dejarán con la boca abierta.

6- En lo que respecta al chat en vivo y lo que a muchos les gusta, de a poco se va adaptando a lo que es hoy en dia el programa mas conocido de chat online como lo es el MSN Messenger 2009. En Linux, los mas conocidos son Amsn, Pidgin(carga todo tipo de cuentas de correo), Emesene, y algunos mas. Cuentan con funciones muy buenas que el messenger de windows no las facilita y decae en otros aspectos, pero sino tendremos una variante que pronto estaré detallando.

7- Lo mas importante para mi, la seguridad. En Linux no existen los virus practicamente, y si existe alguno, necesitará de hacerse de privilegios para poder afectar al sistema, pero mi consejo es que hagan lo que hagan, muy dificilmente tengan problema de virus.

Los privilegios son los permisos con los que se ejecutan los procesos, o digamosle programas.
Cada programa en Linux está ejecutado por un usuario que permite darle ese acceso. El acceso mas importante al sistema es el del usuario (o superusuario) llamado root. Por suerte para todos nosotros, la unica manera de acceder por primera vez y siempre, es con el usuario que creamos cuando instalamos Linux, que tendrá acceso a todo lo necesario para manejarnos, pero no a cambios de sistema, por lo que está bien pensado para personas que no conocen y tienen miedo de romper lo que tocan o ejecutan.

8- Aplicaciones que vienen por defecto: programas de chat pidgin y amsn, el navegador Firefox, el reproductor Totem(mp3 y video), evolution (administrador de correo como outlook), openoffice (paquete de tipo office, con aplicacion de texto, hojas de calculos y presentaciones, que no dejan nada que envidiarle al word, excel y powerpoint), el enorme gestor de paquetes para instalacion y actualizacion llamado synaptic, el apt-get y el aptitude de consola (iguales que synaptic), un editor de imagenes llamado Gimp.

Aplicaciones interesantes a instalar: Emesene, Amsn en su version mas actualizada, compiz fusion, emerald (gestor de temas de escritorio), simple backup tool (excelente creador de backup de nuestro sistema, trae el restore tambien para restaurar ante problemas), guake (excelente terminal), avant (configuracion del entorno y ventanas), wireshark para analizar el trafico de la red, ssh para conexiones seguras, audacius2 (reproductor muy parecido al winamp), jamin, hydrogen, ardour y rosegarden (editores de sonido) o instalar directamente ubuntu studio ;), y el magico y sorprendente Wine.

9- Wine es la conexion con Windows. Con este programa podemos emular el sistema de archivos de Windows e instalar aplicaciones de Windows para que funcionen en Linux. En mi caso, yo tengo corriendo el MSN Messenger Live 2008, Pro Evolution Soccer 2010, el Counter Strike 1.6, el Swat3, y estos son los unicos que he instalado por ahora. Ademas de los mas de 15 juegos que trae el sistema operativo, con Wine podemos instalar muchos más para pasar el rato.

10- Las ganas de probar algo nuevo, algo diferente, algo que te haga aprender, algo que te lleve afuera de esa ventana.....

Saludos amigos, B1nary0.

El virus Conficker empieza su ataque, según los expertos

Un virus conocido como Conficker, que muchos pensaban que iba a provocar el caos el 1 de abril, está empezando a ser activado semanas después de considerarse una falsa alarma, dijeron expertos en seguridad.


Conficker, también conocido como Downadup o Kido, está convirtiendo a un número desconocido de ordenadores en servidores de spam e instalando programas espía, añadieron.

El gusano empezó a expandirse el año pasado, infectando a millones de ordenadores y convirtiéndolos en "esclavos", que responden a órdenes enviadas desde un servidor remoto que controla así un ejército de ordenadores conocidos como programas robot (botnet).

Sus creadores anónimos empezaron a utilizar esas máquinas con propósitos delictivos en las últimas semanas enviando programas maliciosos en un pequeño porcentaje de ordenadores bajo su control, según explicó Vincent Weafer, un vicepresidente de Symantec Security Response, la sección de investigación del mayor fabricante del mundo de software de seguridad, Symantec.

Conficker instala un segundo virus, conocido como Waledac, que envía spam sin el conocimiento del dueño del ordenador, con un falso programa antispam.

El virus Waledac alista a los ordenadores en un segundo programa robot que ha existido durante varios años y que está especializado en la distribución de spam.

Conficker también cuenta con un tercer virus que alerta a los usuarios de que sus ordenadores están infectados y les ofrece un programa antivirus falso, Spyware Protect 2009, por unos 40 euros, según Kaspersky Lab. Si lo compran, se les roba la información de sus tarjetas de crédito y el virus descarga aún más software malicioso.

Weafer dijo que a pesar de que cree que el número de ordenadores infectados es bajo, esperaba nuevos ataques con otro tipo de malware distribuido por Conficker.

"Esto va a ser a largo plazo, cambiando lentamente", dijo sobre el gusano. "No va a ser rápido, agresivo".

Los virus que convierten los ordenadores en "esclavos" aprovechan las debilidades del sistema operativo Windows de Microsoft. Conficker es especialmente difícil porque evita los 'firewall' corporativos al pasar de una máquina infectada a un lápiz de memoria USB y luego a otro ordenador.

Fuente:
laflecha.net

Nueva version de Vbootkit abre las puertas de Windows 7

La primera version de Vbootkit, abria las puertas en windows vista. La nueva version de este programa de tan solo 3 kb, fue desarrollado por Vipin Kumar y Nitin Kumar, dos investigadores especializados en seguridad.

La presentacion de Vbootkit 2.0 fue realizada en el Hack in the Box en Dubai este año. La demostracion se llevó a cabo en una maquina virtual del nuevo Windows 7. El atacante debe tener acceso fisico al sistema.

Una vez que logra esto, el programa toma el control del sistema cuando se realizan cambios a los archivos que se cargan en la memoria del sistema durante el proceso de arranque de Windows 7, y no en archivos del disco.

El programa es capaz de ser manejado remotamente y elevar los permisos de usuario.

El unico problema es que al ser cargado en memoria, despues de un simple reinicio, el programa pierde el control del sistema y el atacante debera acceder fisicamente nuevamente para tomar el control del mismo.

Como indican los creadores de Vbootkit 2.0, no hay solucion para esto ya que se trata de un error de diseño.

Mas información:
http://www.nvlabs.in/archives/4-Vbootkit-in-action-screenshots-and-videos.html
http://conference.hackinthebox.org/hitbsecconf2009dubai/

Clickjacking: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores

Los investigadores están comenzado a sonar una alarma por lo que parece ser un nuevo tipo de vulnerabilidad/amenaza del navegador que afecta a la mayoría de las plataformas - Microsoft Internet Explorer, Mozilla Firefox, Apple Safari, Opera y Adobe Flash.

La amenaza, denominada Clickjaking (secuestro de clic), se iba a discutir en la conferencia OWASP NYC AppSec 2008, pero a pedido de Adobe y otros proveedores afectados, la charla ha sido pospuesta hasta que se tenga listo un arreglo completo.

Los dos investigadores detrás del descubrimiento - Robert "RSnake" Hansen y Jeremiah Grossman han publicado una pizca de información para resaltar la severidad de este tema.

Así que. ¿de que se trata exactamente el "Clickjacking"?

"Desgraciadamente, los que sacamos de los temas que encontramos no fue algo un poco malo, fue algo muy malo. Tan malo, de hecho, que nos sentimos impulsados a divulgarlo responsablemente. Uno de los temas lleva a otro y a otro y puf - tenemos al menos dos y probablemente más parches de proveedores por venir en una fecha aun no determinada. Y sólo trabajamos con unos pocos proveedores. Así que... esto es bastante."

Según alguien que asistió a una presentación parcialmente restringida de OWASP, el tema efectivamente es de "día cero", afecta a todos los navegadores y no tiene nada que ver con JavaScript:

En pocas palabras, se trata de cuando uno visita un sitio malicioso y el atacante es capaz de tomar control de los vínculos que nuestro navegador visita. El problema afecta a todos los distintos navegadores con excepción los Lynx o similares. El asunto no tiene nada que ver con JavaScript así que deshabilitar el JavaScript en el navegador no ayudará. Es una falla fundamental de la forma que trabaja el navegador y no puede ser resuelto con un parche sencillo. Con esta vulnerabilidad, una vez que uno está en la pagina web maliciosa, el chico malo puede forzarlo a hacer clic en cualquier vínculo, cualquier botón, o en cualquier cosa de la página sin que ni siquiera uno vea que está sucediendo.

[ VEA: Los avisos Adobe Flash lanzan ataques de secuestro del portapapeles ]

Si esto no le resulta suficientemente horrible, considere que el usuario final promedio no tendrá idea de lo que está pasando durante un ataque "Clickjack".

Ebay, por ejemplo, podría ser vulnerable a esto ya que uno puede incrustar javascript dentro de la pagina web, aunque, no se requiere javascript para abusar de esto. "Lo facilita de muchas maneras, pero no es necesario". Use lynx para protegerse y no ejecute nada dinámico. Puede rellenara formularios o cosas parecidas. La vulnerabilidad necesita DHTML. No permitir que le pongan 'frames' (marcos, código con 'frames') evitará "clickjacking" a través de dominios (cross-domain clickjacking), pero aun así un atacante podrá forzarlo a hacer clic en cualquier vínculo su página. Cada clic del usuario equivale a un clic de "clickjacking" así que algo como un juego hecho con flash es un cebo perfecto.

Según Hansen, el escenario de la amenaza ha sido discutido tanto con Microsoft como con Mozilla y ambos coinciden independientemente en que este es un problema difícil que no tiene usa solución sencilla por el momento.

Grossman confirmó que las ultimas versiones de Internet Explorer (incluyendo la versión 8) y el Firefox 3 están afectados.

Mientras tanto, el único arreglo posible es deshabilitar el scripting y los plugins en el navegador. Nos damos cuenta que no es suficiente detalle técnico por ahora, pero es lo mejor que podemos hacer por el momento.

La solución al problema

Resulta interesante leer de quienes descubrieron el "Clickjacking" (http://groups.google.com/group/forosi/browse_frm/thread/ccc91860e7d901dc#) como aun cuando se preparaban para exponer ese tema en la conferencia anual de OWASP (http://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference), lo discutieron entre ellos y decidieron no presentar esa charla ni divulgar mas detalles. (al menos por el momento)

"Así que después hablarlo bastante optamos por retirar nuestra exposición voluntariamente, debido a la extremadamente neutralizada información que tenemos para compartir. Preferimos compartir la que descubrimos en su totalidad cuando pueda ser discutido abiertamente en lugar de hablar de apenas unos detalles que no disminuirán el peligro de la falla. Seguirán habiendo agujeros en muchos sitios web debido a este problema aun después que los próximos parches estén disponibles, pero preferimos que algunos de los problemas críticos estén solucionados antes de hacer una exposición publica.(del problema)".

Autor: Ryan Naraine

Fuente:
http://blog.segu-info.com.ar/2008/09/clickjacking-investigadores-alertan-por.html

QUE TIPO DE MEDIDAS EXTRAS DE SEGURIDAD DEBEMOS TOMAR EN UN PORTATIL

Un ordenador portátil es una cosa bastante golosa, y por mucho cuidado que tengamos con él (también lo tenemos con la cartera) no estamos libres de perderlo o de que nos lo roben, y además es mucho más fácil que personas que no deseemos puedan intentar acceder a su contenido sin nuestro consentimiento que en un ordenador de escritorio.

Por este motivo vamos a ver una serie de medidas de seguridad que es conveniente tomar en este tipo de ordenadores. Estas medidas de seguridad las podemos dividir en dos bloques, uno dedicado a medidas con vistas a evitar tanto su robo como su posterior uso y a facilitar su recuperación y otras encaminadas a dificultar que terceras personas accedan a nuestra información, que indirectamente también van a influir en el primer caso.

Robo, pérdida y recuperación:

El robo y la pérdida de ordenadores portátiles es bastante habitual, de hecho hay un mercado bastante amplio de ordenadores de este tipo provenientes de estos robos o descuidos.

Por esto precisamente es muy importante que tomemos las medidas oportunas para evitarlo en lo posible, y si no podemos evitarlo (porque a veces es difícil de evitar) al menos impedir su utilización y facilitar su posible recuperación.

Para ello es necesario tomar una serie de medidas, que vemos a continuación:

- Tenerlo siempre vigilado.
Esta es la primera y principal medida de seguridad que debemos aplicar. Siempre que estemos en un lugar público o transportándolo hay que tener al portátil vigilado, no dejándolo ni por un momento desatendido, encima de alguna silla o mesa sin la oportuna vigilancia o medidas de seguridad.

- Ojo con los vehículos.
Es este uno de los mayores puntos débiles. Nunca debemos dejar el portátil dentro del coche en lugar visible. Esto incluye una costumbre bastante frecuente, que es la de aparcar y meter el portátil en el maletero. Si hacemos esto a la vista de todos lo más que podemos conseguir no es ya solo que nos roben el portátil, sino que además nos hagan un buen destrozo en el coche para llevárselo.

- Tener el equipo perfectamente identificado.
Esto es fundamental, por lo que debemos anotar (por supuesto en un lugar diferente al propio portátil, y no dejar esa información junto a él) todos los datos distintivos, tales como:
- Marca
- Modelo
- Número del equipo (código del fabricante)
- Número de serie
- Si lo lleva, Product Key de Windows o cualquier serial del sistema operativo
- Cualquier otro número identificativo que pueda tener, incluidas fechas

- Justificante de que es de nuestra propiedad.
Es especialmente necesario en este tipo de equipos que tengamos perfectamente documentada su compra, así como identificado en ésta correctamente el portátil. Para ello es preciso que exijamos siempre factura de compra, en la que aparezcan, por supuesto, los datos del vendedor, pero también los nuestros (incluido el DNI o cualquier otro documento que nos identifique), marca y modelo del equipo y su número de serie. Debemos tener presente que sin esta factura es muy difícil poder hacer una reclamación o poner una denuncia de robo medianamente efectiva. Aun en el supuesto de que podamos identificar el portátil como nuestro, es necesario que podamos demostrar que nos pertenece.

- Marcar el portátil.
Existen en el mercado una serie de rotuladores cuya escritura solo se hace visible bajo luz ultravioleta. En conveniente que compremos un rotulador de este tipo y marquemos el portátil. Estas marcas las podemos hacer en la parte inferior (poner alguna clave), pero sobre todo podemos hacerlo dentro del portátil, por ejemplo, podemos quitar la tapa del disco duro y escribir esta clave en su interior, en el interior de la tapa de las memorias y en definitiva en el interior de cualquier tapa que podamos quitar (sin perder la garantía, es decir, sin romper ningún sello). Esta misma marca es conveniente que la pongamos también en todas aquellas partes susceptibles de ser quitadas y a las que se pueda acceder con facilidad (disco duro, módulos de memoria, batería, unidad de DVD, transformador...).

- Cierre de seguridad kessington.



Este tipo de cierre de seguridad es sumamente útil, fácil de llevar y adaptable a la inmensa mayoría de portátiles actuales. Es fácil y rápido de poner, barato y nos puede ahorrar más de un disgusto. Consiste en un cable de acero de alta resistencia (similar al que se emplea en los seguros de bicicletas o motos), pero lo suficientemente delgado, ligero y flexible como para no resultar incómodo. Cuando usemos nuestro portátil en un lugar público tan solo tenemos que buscar algún sitio al que fijarlo.

- Poner clave de acceso a la BIOS y al sistema.
Muy importante en este caso es proteger tanto el acceso a la BIOS como el arranque del sistema mediante clave.

- Periféricos.
Si tenemos que dejar un momento sin la debida vigilancia nuestro portátil, debemos quitar los periféricos que tengamos conectados (ratón, algún pendrive, e incluso el adaptador Wifi, si va conectado a USB). En algunos lugares públicos (bibliotecas, aulas) quizás no sea demasiado probable que nos quiten el portátil, pero cualquiera de estos periféricos desaparecen en un momento y nadie se da ni cuenta de ellos.

Acceso no deseado a nuestros datos:

Pero no es el robo o la pérdida el único problema de seguridad con el que nos enfrentamos al tratarse de un ordenador portátil, sino que también hay muchas más posibilidades de que personas no autorizadas accedan (o al menos lo intenten) a nuestros datos.

Ya hemos comentado largamente en otros tutoriales la forma de proteger los accesos a la red (Seguridad en una red wifi., Que es una encriptación WEP., Qué es una encriptación WPA.), por lo que no vamos a insistir en ese tema, pero sí que vamos a ver las medidas que debemos tomar en cuanto al acceso a nuestros datos.

Vimos en el apartado anterior la importancia de proteger tanto la BIOS como el inicio del sistema, pero hay otros puntos a los que también debemos prestar especial atención:

- Tener siempre predefinido el inicio desde el disco duro.
Esto, junto con el sistema de claves en el acceso al Setup de la BIOS y arranque del sistema, evitará que se pueda iniciar desde un CD o DVD.

- Contraseña en los usuarios.
Es muy importante en este tipo de ordenadores tener a TODOS los usuarios protegidos con contraseña, con especial atención en cuanto a la seguridad de ésta en aquellos que tengan privilegios de Administrador.

- Contraseña en el usuario Administrador.
Como ya se ha dicho, este es un usuario que, si tenemos bien configurado Windows, solo debe aparecer en inicios en Modo seguro, pero es especialmente importante proteger a este usuario mediante contraseña, ya que desde él se puede acceder a cualquier usuario del equipo, así como a cualquiera de sus configuraciones. De poco nos va a servir poner claves en el resto de usuarios si dejamos el más importante, que es éste, sin proteger.

Si ya hemos dicho que este usuario no se debe utilizar nunca para trabajar con él, esto es especialmente importante en este tipo de ordenadores.

- Ubicación de archivos.
Si bien en otro tipo de ordenadores no tiene tanta importancia, e incluso a veces es hasta recomendable tenerlos fuera, en el caso de un ordenador portátil es muy importante que al menos los archivos en los que tengamos más interés en impedir accesos no autorizados los tengamos dentro del Documents and Setting\nuestro_usuario (en XP) o Usuarios\nuestro_usuario (en Vista), ya que en ambos casos, si bien no es que sea imposible, sí que se dificulta bastante un acceso no deseado a estos archivos.

- Protección de archivos confidenciales.
Es muy importante que aquellos archivos de tipo confidencial estén especialmente protegidos. Para ello podemos (y debemos) utilizar o bien algún programa de encriptación de datos o bien simplemente comprimirlos y protegerlos mediante una contraseña, para que tan solo nosotros podamos en cualquier caso acceder a ellos.

En algunos casos puede ser incluso recomendable que este tipo de archivos no estén alojados en el portátil.

Por supuesto que en este tipo de ordenadores nunca debemos guardar información referente a nuestras cuentas bancarias, tarjetas de crédito y demás documentos de este tipo, en especial sus números y/o claves de acceso, ni documentos que puedan identificarnos.

- Copias de seguridad.
Si éstas son importantes en un ordenador de escritorio, imaginen la importancia que tienen cuando se trata de un ordenador portátil, en el que su robo o pérdida significa también la pérdida de todos nuestros documentos.

- Claves de acceso.
Es fundamental que no guardemos en este tipo de ordenadores ninguna clave de acceso que nos vincule con ninguna página web o entidad (sobre todo de tipo financiero). Para ellos es muy conveniente que tengamos deshabilitada siempre la opción de Recordar contraseña, así como que tengamos activada la opción Eliminar cookies al salir. No obstante, debemos asegurarnos de esto eliminando periódicamente cualquier rastro de navegación por la red de nuestro equipo. Es un proceso en el que se tardan unos minutos y que nos puede salvar de más de un apuro.

- Mensajería instantánea y cuentas de correo.
Esto que hemos dicho en el punto anterior es de especial importancia en Windows Live Messenger o cualquier otro programa de mensajería instantánea o en programas de gestión de correo electrónico, donde yo aconsejaría que incluso se tenga deshabilitada la opción de Recordar usuario.

- Salvapantallas.
No menos recomendable es tener el salvapantallas también protegido por contraseña (y cambiar ésta a menudo). También es conveniente en este caso programar un tiempo corto de activación del salvapantallas o simplemente activarlo manualmente si tenemos que dejar un momento solo el portátil.

- Conexión bluetooth.
Salvo que vayamos a utilizarla, la conexión Bluetooth debemos tenerla desconectada siempre que estemos fuera de casa.

Reconozco que estas medidas no son precisamente cómodas. Algunas son incluso bastante engorrosas, pero la elección está entre mantener nuestra seguridad y confidencialidad o no, o incluso entre conservar nuestro portátil o no


Fuente:
http://www.configurarequipos.com/doc953.html

Nuevos gusanos de MSN

http://www.vsantivirus.com/05-05-07.htm

ESET, proveedor global de protección antivirus de última generación y desarrollador de ESET NOD32 Antivirus, advierte sobre la detección de un nuevo gusano de MSN Messenger o Windows Live Messenger, que utiliza textos en idioma español para propagarse.

El gusano es detectado actualmente como Win32/VB.NKS (apenas detectado fue definido como una variante de Win32/VB.NHI), y ESET NOD32 es uno de los primeros antivirus en detectar la amenaza, aún al momento de publicarse esta noticia, como se puede apreciar en la imagen de Virus Total.

Este gusano envía un mensaje con un enlace a una supuesta animación que alude a George W. Bush, actual presidente de los Estados Unidos.

Si el usuario hace clic en la dirección, se descarga el archivo ejecutable malicioso, provocándose la infección y continuándose con la propagación del mismo. El archivo es el gusano propiamente dicho, y en los mensajes detectados hasta ahora es llamado "bush.exe", con unos 122 KB de tamaño.

Hacer referencia a personajes famosos es una técnica de ingeniería social ampliamente utilizada por los creadores de malware. En este caso, el gusano se propaga a través de mensajes en español que incentivan al usuario a pulsar sobre el enlace.

Una vez ejecutado, el malware inicia ventanas de conversaciones con todos los contactos del usuario infectado que estén conectados en ese momento y se envía automáticamente de la misma manera.

Además, el código malicioso agrega claves en el registro de Windows para asegurarse su ejecución en cada reinicio. También realiza copias ocultas de si mismo en el sistema, bajo los siguientes nombres:

c:\windows\strad.exe
c:\windows\zser.exe
c:\windows\system32\xsfr.exe
c:\windows\system32\xeyu.exe

La cantidad de gusanos que actualmente utilizan esta técnica de propagación va en aumento, incluso en idioma español. Y los programas de mensajería instantánea son un blanco preferido para captar víctimas.

"Es importante que el usuario entienda que tanto en casos como éste, como en el de simples mensajes de correo electrónico, abrir o aceptar enlaces o archivos no solicitados, sin importar quien sea el remitente, es el peor error que se puede cometer", afirma Gonzalo Alvarez director de Investigación y Análisis de ESET NOD32 Uruguay.

"No importa quien parezca ser el remitente, ya que es muy fácil usurpar la personalidad de cualquier persona. Incluso en casos como éste, el propio gusano al propagarse, va a utilizar la lista de contactos conocidos utilizada por la víctima, aumentando la posibilidad de que un usuario no atento acepte el enlace sin pensarlo dos veces", afirma Alvarez.

La recomendación es jamás abrir adjuntos que no hayan sido expresamente pedidos, ni mucho menos hacer clic en enlaces que aparezcan en mensajes que nunca solicitamos, sin importa en ningún caso quien es el remitente.

Además, se recomienda la constante actualización del sistema operativo y demás aplicaciones utilizadas a fin de evitar cualquier tipo de vulnerabilidad existente en los mismos.

Un usuario con conocimientos sobre estos temas, siempre actuará de forma más segura que uno que no lo está. Por esa razón ESET ha desarrollado su propia plataforma educativa en línea sobre seguridad informática y seguridad antivirus, con cursos para que todos los usuarios puedan aprender a usar Internet en forma segura.


Vea el siguiente link:
http://www.vsantivirus.com/vb-nks.htm

Para borrar este tipo de malware, puede utilizar el siguiente programa:
Dr Web Cureit!
Descarga: ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Espero que les sirva de información.

B1nary0
Agosto 2008

Mecánica del hacker: entendiendo sus movimientos para prevenir accesos de intrusos

De una u otra manera todos quienes tienen incluso una mínima participación con el mundo de la computación y sobre todo Internet se hacen parte o comprenden en algún grado el concepto de "hacker". Más allá de cualquier discusión sobre el correcto uso de esta palabra, entenderemos en este post por "hacker" a todo atacante que amenace la seguridad de un sistema.

Los expertos en seguridad informática coinciden en describir los pasos que realiza un hacker para realizar una intrusión en un sistema ajeno, y también las técnicas necesarias en cada paso para continuar al siguiente hasta que logran su máximo objetivo: obtener acceso root o Administrador en la máquina comprometida. Aquí pretendo hacer un breve resumen de la línea de vida de un ataque común.

Recopilación de Información
Lo primero que hará un hacker será recopilar la mayor cantidad de información disponible sobre el sistema que tiene como objetivo. En primer lugar... consultará todas las fuentes de información pública, como pueden ser las bases de datos WHOIS o información de dominios (ejemplo, consultar en NIC.CL). Una vez que se hayan identificado personas asociadas a los servicios (ej, administrador de red, gerentes, operadores, etc), una búsqueda en Internet podría devolver más datos sobre estas personas lo cual serviría para comenzar a tener un perfil armado.
Otra cosa importante y que muchas veces las empresas descuidan es la información corporativa en los sitios web. Quizá un dato menor pero sin duda será muy interesante para el atacante es saber quienes son los gerentes o gente que puede tener un alto nivel de privilegios dentro de los sistemas. Lo recomendable es no entregar esta información de manera pública.
Direcciones IP, segmentos de red, nombres, direcciones, teléfonos, correos electrónicos y similares pueden ser fácilmente recopilados en Internet.

Utilizando estos datos públicos se pueden lanzar ataques de ingeniería social con los cuales se accederá a muchos más datos que son privados. Existen técnicas bastante llamativas sobre el uso de la ingeniería social, pero las cubriremos en otro post más adelante.

Identificación de servicios
Una vez que se haya adquirido la información necesaria de forma pública, se procederá a identificar los servicios y aplicaciones que se ejecuten en los sistemas del objetivo.
Con programas tipo NMAP u otros scanners de puertos se obtendrá una lista de los puertos y servicios. Si la máquina no está muy protegida, en este paso se entregará mucha información que ayudará y facilitará la tarea del hacker.

Un dato bastante preciado es saber con certeza cuales son las versiones de los software instalados, como puede ser por ejemplo Apache 2.0.59 o PHP 4.2.3, Joomla 10.0.12, etc.

Identificación de vulnerabilidades y explotación
Cuando ya se tiene certeza de los software que están instalados en el objetivo y además sus versiones, el hacker buscará en la base de datos de vulnerabilidades públicas (SecurityFocus por ejemplo) si es que los software detectados han presentado anteriormente o en la actualidad algún problema de seguridad. (Los más expertos tendrán su propia base de datos privadas).

Conociendo la vulnerabilidad, sacará a la batalla una de sus armas más poderosas: los exploits. (haga click en el enlace para ver más detalles de qué son y cómo funcionan los exploits).
Cuando entregamos libremente las versiones de los software instalados en nuestro servidor (MySQL, phpMyAdmin, etc), el hacker tendrá que acotar mucho menos sus ataques ya que sabrá con precisión qué exploit elegir.

Compromiso del sistema remoto
Si el atacante tiene suerte y el exploit elegido funcionó correctamente, es muy probable que ya tenga acceso LIMITADO a la aplicación remota que encontró vulnerable. En realidad va a depender del exploit si es que es posible acceder al sistema o causar otro tipo de inconvenientes (como un ataque de denegación de servicio, DoS, por ejemplo).
En este punto el hacker ya habrá infiltrado el sistema y tendrá la libertad de moverse libremente por él de acuerdo a los privilegios que tenga la aplicación afectada. Por ejemplo si encontró una vulnerabilidad en MySQL, solamente podrá ingresar a aquellas partes donde la aplicación MySQL pueda acceder.

Escalamiento de Privilegios
Pero la guerra no termina aquí. El objetivo final del hacker será acceder como root y para eso SIEMPRE intentará aprovecharse de algún descuido del administrador, ya sea porque utilizó programas de tipo SUID o GUID con permiso de escritura, porque dejó un respaldo del archivo de contraseñas el cual se puede leer y crackear o bien porque alguna aplicación vulnerable permite ejecutar comandos con permisos de administrador.
Los respaldos del servidor NO SE DEBEN GUARDAR EN EL MISMO SERVIDOR. Lo recomendable es que exista una máquina remota ubicado en otra área geográfica que gestione los respaldos.
Se deben actualizar los software que interactúan directamente con el núcleo de los sistemas operativos o bien para el caso de Linux actualizar el Kernel. Para comprender mejor esto, simplemente haga click aquí y escriba Linux Kernel en el cuadro de búsqueda. Obtendrá una lista de los exploits más conocidos para el kernel de Linux y su grado de compromiso.

Utilización de la máquina comprometida
Las razones por las cuales el hacker querrá atacar nuestro sistema son variadas:
- El simple deseo de destruir la información existente en él. (Claro, más de alguno cuando esté leyendo esto alegará que entonces el hacker se habría convertido en un cracker, pero ya acordamos que utilizaríamos el término hacker para referirnos en forma general a los atacantes).
- Conseguir información privilegiada de los sistemas.
- Generar ataques de denegación de servicio (DoS - Denial of Service).
- Utilizar la máquina comprometida para lanzar ataques contra otros objetivos de la red Interna.
- Utilizar la máquina comprometida para lanzar ataques contra otros objetivos de Internet y así mantener su anonimato.
- Espiar a los usuarios de la red que guarden información en la máquina o en el caso de un router, poder capturar contraseñas, nombres de usuarios, correos, conversaciones, etc.
- etc.

Borrando las huellas
El paso obligatorio para todo hacker que se digne de serlo será borrar todas sus huellas. Para eso irá directamente a los archivos de registro también llamados "logs" (de la máquina misma, de login, de cortafuegos, de aplicaciones, etc) y los modificará o bien los eliminará.
Si los administradores han sido minuciosos, debiesen haber montado un sistema de registro remoto (Servidor Syslog) donde todos los eventos de las máquinas irán a almacenarse también en otro servidor remoto. De esta manera el hacker deberá obtener acceso también a esa máquina para borrar todas sus huellas, lo que complica la tarea de ocultamiento de huellas.

Una forma muy utilizada de ocultar el "hackeo" es troyanizar ejecutables de sistema. Se conoce como troyanizar al hecho de instalar versiones modificadas de los programas que corren en la máquina comprometida de tal manera que oculten la información que el administrador trata de encontrar.
Por ejemplo, si usamos Linux es posible instalar en el sistema una copia del comando top el cual esté escrito de tal manera que NO muestre la ejecución de ciertos comandos o exploits en la memoria del sistema. Así, cuando el administrador comience a buscar huellas de intrusión y ejecute "top", no notará nada extraño. O en el caso de Windows, se puede troyanizar el Administrador de Tareas y así ocultar las aplicaciones que están permitiendo el acceso al hacker.

Lo más recomendable es que al momento de auditar los sistemas se hagan pruebas con binarios y aplicaciones externas y no con las mismas que posee el sistema, ya que de hacerlo así no podríamos encontrar lo que buscamos si es que éstas han sido troyanizadas.

Como verán, lo que se muestra aquí se ha resumido bastante. Sin embargo la idea es mostrar todo el proceso que involucra el hacking y comprender de mejor forma porqué muchos entendidos consideran estas prácticas como un verdadero arte.

Se pueden sacar un par de conclusiones importantes:
1- Los hackers SIEMPRE se aprovecharán de vulnerabilidades. Las vulnerabilidades son sus amigas y nuestras enemigas. SIEMPRE se aprovecharán de un descuido o de un error de gestión. Si se aplican los controles necesarios, los riesgos de sufrir un ataque serán considerablemente más bajos que los sistemas que no tengan un cuidado apropiado.

2.- Es necesario conocer el hacking para poder defendernos de él. Esa es la principal motivación de crear este portal de seguridad informática.

3.- Las técnicas de hacking evolucionan cada día y es probable que lo que hoy consideramos seguro mañana sea el punto de accedo para los intrusos en nuestros sistemas.

Segu-info.
www.segu-info.com.ar

Criptonomicón - Romper los códigos de comunicaciones

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

Criptonomicón, de Neal Stephenson, y qué nos cuenta de hacia dónde va nuestra sociedad

Eran la escoria social del bachillerato; obsesos de los cómics, la ciencia ficción y los ordenadores, capaces de discutir horas por un detalle de Star Trek o de compatibilidad entre un chip y una placa madre. Ajenos a personas y sus relaciones, su estructura social apenas pasa de jerarquía del picotazo. Pero hoy, por primera vez en la historia, ser 'geek' está de moda. Incluso tienen un vate, Neal Stephenson; y una biblia: Criptonomicón.

Somos monos bípedos en lo físico y en lo moral. Homo sapiens es un mono social y, a tal efecto, posee un muy complejo cerebro emocional que etiqueta personas y analiza su funcionamiento, porque sobrevivir en un grupo de monos desnudos es duro, y necesario. Pero somos también monos curiosos; analizamos la realidad y etiquetamos sus partes para usarlas a nuestro favor. Somos simios bípedos, inteligentes y sociales.

La primera pata se llama inteligencia emocional, y caracteriza a políticos, vendedores y artistas. La segunda es la inteligencia racional; es el feudo de científicos e ingenieros, territorio de la lógica una vez extraída la emoción. El imperio de lo 'geek'.

'Geek' es jerga estadounidense para una casta oprimida en su estricta jerarquía social durante la enseñanza media. No era un término cariñoso; en origen el 'geek' era, de entre los monstruos de feria, el que arrancaba la cabeza a un pollo de un mordisco. La palabra pasó a designar a esos adolescentes largos, huesudos y con gafas cuyas aficiones tienden a lo esotérico. Ciencia dura y ficción; cómics, ordenadores, laboratorios... Nada de otras personas, excepto otros 'geek' para formar grupos donde el estatus se obtiene por la vastedad de los conocimientos exhibidos. Poca o ninguna capacidad de atracción femenina. Cero en posición social.

En el fondo 'geek' es una forma de ver el mundo que prefiere los objetos y los hechos, a personas y sentimientos. Es como si las dos patas de nuestra diferencia mental con los antropoides compitiesen, como si fuese necesario elegir entre entender objetos y datos por un lado, y entender a la gente y sus relaciones en el otro.

A veces la elección no es tal; es una enfermedad en la gama del autismo. Las últimas teorías sobre esta dolencia sugieren que es una deficiencia cerebrosocial; el autista jamás llega a crear una Teoría de la Mente. En otros términos: Nunca llega a comprender la existencia real de otras personas. Su cerebro no reconoce la existencia de mentes distintas de la suya; es el solipsismo total.

Podría haber un continuo; en un extremo estaría el autismo, seguido del Síndrome de Asperger y, a continuación, el carácter 'geek'. Hablaríamos, entonces, de una organización cerebral; el 'geek' tendría dificultades para trabajar con sentimientos. El universo de los hechos sería un refugio donde guarecerse de una sociedad incomprensible. La legendaria carencia de habilidad social se debería a una suerte de ceguera selectiva. De ahí el tópico de la Torre de Marfil científica, del ingeniero socialmente inepto, del hacker incapaz de comunicarse sin un ordenador. De ahí que los indudables logros de los 'geeks' en ingeniería, ciencia o matemáticas se compensen con el desprecio social. Hasta ahora.

De paria a parangón: el inmediato presente
El carácter 'geek' es el modo de funcionamiento de la ciencia y la tecnología, pero también una etapa del crecimiento del adolescente varón y una innovación clave en nuestra historia evolutiva. Sin duda los primeros homínidos que tallaron sílex, pintaron paredes rocosas, hicieron fuego o crearon ruedas eran los 'geeks' de sus tribus. Durante milenios su vital contribución a la evolución humana, su participación clave en la idea misma de lo humano, ha sido despreciado.

Los 'geeks' eran imprescindibles; pero parias sociales. Su falta de habilidad social les alejaba del ideal. No había Mariquitas Pérez Ingenieras, ni Nancys Científicas; cuando aparecían en el cine, eran el científico loco, o el solitario que se casa con la amiga fea de la buena. Construían y lanzaban cohetes a la luna, pero en cámara aparecían los astronautas: mandíbula cuadrada, capitán del equipo de fútbol, piloto ejemplar, macho alfa. Mientras, en la sala de control decenas de bajitos con gafas y reglas de cálculo se ocupaban de mantener con vida al héroe.

Hoy, por primera vez, ser 'geek' está de moda. Existe una Barbie Hacker, películas como Expediente X o The Matrix; revistas como Wired, el Vanity Fair del grupo. Sus aficiones otrora despreciadas (manga, sagas de ciencia ficción, juegos de ordenador), se extienden. Sus iconos (Steve Jobs, Bill Gates, Linus Torvalds) son ídolos culturales. Su ideología ('copyright', patentes de software, democracia virtual, cifrado) forman parte de la discusión política. Incluso su estética (el estilo hacker, la moda ciberpunk) marca tendencia. Lo 'geek' crece y se extiende en una sociedad en la que no sólo su aportación es cada vez más importante, sino que cada vez adopta e interioriza más esos valores. De ahí Neal Stephenson, el novelista 'geek', y su éxito.

Será mejor que nos vayamos acostumbrando, porque vamos a pasar mucho tiempo en el mundo de Stephenson. Un mundo que no es menos, ni más humano que aquél regido por la inteligencia emocional, pero donde lo 'geek' va a crecer en importancia, compensando quizá milenios de desequilibrio. Lo humano vuelve a tener dos patas; el mundo es también 'geek'.

Criptonomicón, más que la Biblia Hacker
Neal Stephenson es 'geek', y Criptonomicón es el arquetipo de la novela 'geek'; con sus virtudes y defectos. Poca lírica hay en Criptonomicón, y ninguna descripción de sentimientos. Stephenson parece ciego ante los sentimientos ajenos o propios. Pero los describe mediante una aguda observación que consigue que los personajes nos cuenten cosas que ellos mismos desconocen, o no sabrían nombrar. Criptonomicón no habla de sentimientos, pero nos permite deducirlos. El ejercicio merece la pena, porque muchos de los personajes son de lujo. Conviene también destacar la increíble riqueza y precisión de detalle respecto a máquinas e historia, con tal nivel de familiaridad que las tecnologías se convierten en metáforas. Stephenson conoce las máquinas, y en especial los ordenadores. Y ahí está su punto flaco. Criptonomicón es una máquina de múltiples engranajes engarzados con precisión. Stephenson teje innumerables temas que abarcan desde la Segunda Guerra Mundial al Silicon Valley de hoy mismo; desde las matemáticas puras hasta la economía de la alta tecnología; desde el holocausto a la política del mañana. Y cada rueda dentada encaja con otra; ninguna queda suelta. Todas las acciones están relacionadas, y todos los personajes están, han estado o estarán en contacto. No hay cabos sueltos; el azar no tiene sitio en un universo que, porque es informático, es férreamente newtoniano. Así, reto al lector a descubrir al Segundo Hijo de Bobby Shaftoe; uno de los innumerables huecos por donde Stephenson es incapaz de dejar ni un átomo de caos. Lo cual no impide al autor desarrollar un espléndido y socarrón sentido del humor, que no respeta vaca sagrada alguna. Empiece a viciarse con el Universo Stephenson. Ediciones B acaba de publicar en su Colección Nova el primer tercio de la novela, que en la edición española se ha ido a más de 1.200 páginas y tres tomos. Criptonomicón se lee como las viejas novelas de aventuras, pero tiene mucha miga; todos los temas que marcarán el futuro de nuestra sociedad están ahí. Es mucho más que la biblia Hacker. Es literatura del mañana.

José Cervera

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _


Libro electronico:
http://documents.scribd.com/docs/wl1cwwrsm1r6dstdszv.pdf

Backup de /etc en bash

Creamos dentro de la carpeta /root, un archivo llamado backup.sh con la siguiente información:

#_ _ _ _ _ _ _ seleccionar desde aqui _ _ _ _ _ _ _ _

#!/bin/bash
cd /etc
tar czf /root/backups/backup_$(date -u '+%F').tar.gz *

#_ _ _ _ _ _ _ hasta aqui _ _ _ _ _ _ _ _

Con permisos 700 al archivo backup.sh:
chmod 700 backup.sh

En consola ponemos:
nano /etc/rc.local

y agregamos la siguiente linea:
/root/backup.sh

Luego, dentro de /root, creamos el directorio backups/:
mkdir backups


Bueno, hemos terminado.

Cada vez que se inicie linux, creará un archivo llamado backups_(fechadeldia).tar.gz dentro de /root/backups/.


Espero que les sirva, suerte!

B1nary0
Febrero 2008

Linux - Seguridad - Firewall

Para agregar un buen firewall, llamado APF(Advance Policy Firewall), podemos optar por un proyecto muy bueno, creado por el grupo R-fx Networks.

http://rfxnetworks.com/proj.php

Aquí podemos encontrar un buen firewall con modulos muy bueno, como el Antidos y el proyecto BFD(Brute Force Detection) que simpatiza con iptables, ya default en todos las versiones linux.

El Antidos:
http://www.rfxnetworks.com/apf/README.antidos

Este modulo funciona muy bien, bloqueando acceso total a los servicios.

El BFD:
http://www.rfxnetworks.com/appdocs/README.bfd

Este modulo detecta ataques por fuerza bruta y automáticamente dirije las direcciones detectadas, a una regla iptables para bloquearla.

Espero que sepan aprovecharlo.

Acá les dejo la instalación para los recien iniciados en este mundo.

http://www.webhostgear.com/index.php?art/id:61 (APF)
http://www.webhostgear.com/60.html (BFD)

Espero que les sirva. Cuidense!

Enero 9, 2008
B1nary0

backup de /etc

Creamos un archivo(como root) llamado backup.sh dentro de /root con estos permisos:

root@system:~# chmod 700 /root/backup.sh

Dentro de backup.sh ingresamos lo siguiente:

root@system:~# vi /root/backup.sh
(apretando i para insertar texto) y pegamos lo siguiente:


#_ _ _ _ _ _ _ _ copiar desde aca _ _ _ _ _ _ _
#!/bin/sh
# Registro fecha actual
fecha=`/bin/date '+%y%m%d'`
# Verifico si ya existe
if [ -s /root/backup/backup_${fecha}.tar.gz ]; then
echo "Ya se ha realizado el backup"
break
else
# Nos ubicamos en la barra y registramos una variable
cd /
directorio=etc
# Comprimo todo el /etc en un paquete
cd $directorio
tar -cf backup_${fecha}.tar *
gzip backup_${fecha}.tar
# Lo muevo hacia mi directorio de backups
mv backup_$fecha.tar.gz /root/backup
echo "Se ha realizado el backup satisfactoriamente"
fi
# _ _ _ _ _ _ _ _ _ hasta aquí _ _ _ _ _ _ _ _ _

(apretamos Esc una par de veces, luego shift + .(punto), escribimos "wq" (sin las comillas) y apretamos

Luego creamos una carpeta llamada "backup":

root@system:~# mkdir /root/backup

(con permisos 700 tambien).

Una vez que logramos crear y dar permisos, vamos a cargarlo cada vez que arranque nuestro sistema.

Para esto hacemos:

root@system:~# cp /root/backup.sh /etc/init.d/backup.sh

root@system:~# vi /etc/init.d/rc.local
(presionamos i para insertar texto)

y ponemos:

/etc/init.d/./backup.sh

Guardamos los cambios con Esc Esc shift + . w q y apretamos intro, tal como lo hicimos al editar el backup.sh.

Reiniciamos para hacer una prueba.

Al reiniciar, tendremos creado en /root/backup/ un archivo llamado backup_(fechadeldia).tar.gz

Espero que les haya servido.

Saludos.

B1nary0
Enero 2008