viernes, 27 de noviembre de 2009
Casa de herrero cuchillo de palo, el hacker de elhacker.net terminará contratado
en la web de elhacker.net hay puesto el enlace al foro.
indica que la denuncia se inicia por la denuncia del administrador de la web a la Guardia Civil que en su web coloca parte de la siguiente nota.
Las investigaciones se iniciaron tras recibir una denuncia del Administrador de la página web www.elhacker.net en la que manifestaba que su página había quedado anulada durante varios días como consecuencia de un incremento masivo de visitas, muy por encima de lo habitual, y seguramente provocadas con esta intención, lo que se conoce como ataque DDos (Distributed Denial of Service).
Los contenidos de esta página, así como la gran mayoría de las personas que colaboran en ella, programadores y administradores de sistemas, tienen por objeto contribuir a extender sus conocimientos y experiencias en torno a la seguridad de las redes en distintos ámbitos, tanto particulares como empresariales.
De las investigaciones practicadas, se dedujo que una persona que utilizaba en la red el nick “n3ptun0”, había desarrollado un “virus” aprovechándose de los fallos de seguridad en el protocolo UDP (uno de los canales de información en la red), para infectar los PCs.
De esta manera, conseguía dominar los ordenadores de los internautas y así iniciar, cuando él lo decidiese, visitas masivas a las páginas elegidas.
Además de la web cuyo Administrador interpuso la denuncia, la Guardia Civil, pudo constatar ataques en los que se estaba llevando a cabo el mismo procedimiento a otras paginas, fundamentalmente a foros y servidores dedicados al juego denominado San Andreas..
Infección de los ordenadores (Zombies):
El menor colgaba un vídeo en youtube con frases atractivas para captar la atención del internauta, de esta forma conseguía que el usuario se descargarse el contenido y automáticamente resultaba infectado.
Este virus tenía la peculiaridad de poder propagarse por conducto de programas tan extendidos como Messenger, Fotolog, etc.
Una vez infectados con el virus, el menor pasaba a dominar los PCs a su antojo con la intención de realizar visitas a la misma vez, a las páginas que quería atacar, colapsando los servidores de las mismas.
Un ejemplo de ello, fue la página www.elhacker.net, que sufrió en pocos minutos más de doce millones de visitas simultáneas, cuando el promedio ordinario oscilaba en unas cien mil.
Mediante esta operación había conseguido controlar más de 75.000 ordenadores
El presunto autor de estos ataques, un menor de 16 años -que carecía de cualquier instrucción académica en esta especialidad, venía desarrollando sus conocimientos desde los 13 años, de modo absolutamente individual y autodidacta..
El menor fue puesto a disposición de la Fiscalía de Menores de Santa Cruz de Tenerife.
Para más información, pueden ponerse en contacto con la Oficina Periférica de Comunicación (OPC) de la Guardia Civil de Barcelona, teléfono 93 476 60 81 y 93 476 60 91.
________________________________________________________________________________
Y ahora lo siguiente que será, una denuncia que no acabará en nada, quizas multa económica que pagaran los padres, los cuales igual no saben nada de informática.
La parte positiva para este chavalín será que no tardará en ser contratado por una empresa informática como experto en seguridad, tiempo a tiempo.
martes, 24 de noviembre de 2009
Servidores más seguros Lugares imprecindibles para protegerse de los posibles ataques
lunes, 23 de noviembre de 2009
Navegación anónima por internet
El tener ejecutando dicho programa, tor, abre multiples conexiones como podemos ver con el programa de sysinternal, tcpview, ya comentado en una entrada anterior de este blog, la gran mayoria al puerto destino 9001 y https.
Para realizar la navegación con un navegador, por ejemplo Firefox de manera anónima será necesario provocar la conexión de dicho navegador con la red tor, en este caso indicando al navegador un proxy de conexión, localhost:8118 donde está corriendo el privoxy que como indica la wikipedia : Privoxy es un programa que funciona como proxy web, usado frecuentemente en combinación con Tor y Squid. Tiene capacidades avanzadas de filtrado para proteger la privacidad, modificar el contenido de las páginas web, administrar cookies, controlar accesos y eliminar anuncios, banners, ventanas emergentes y otros elementos indeseados de Internet. Privoxy tiene una configuración muy flexible y puede ser personalizado para adaptarse a las necesidades y gustos individuales. Privoxy es útil tanto para sistemas aislados como para redes multiusuario.
Para realizar esa conexión entre navegador y proxy, en Tools, options, advanced i setting o herramientas, opciones, avanzado y configuración ponemos locahost y 8118
La navegación no es tan rápida, eso es cierto.
Si voy a la web de internautas.org para determinar mi ip obtengo
Finalment una prova de velocitat, i algun preu ha de tenir el navegar d'aquesta manera emmascarada
Manual tor
Para la próxima entrada nos queda la configuración para navegar por redes que estan filtradas los puertos de salida.
sábado, 21 de noviembre de 2009
uso de nmap, parte I
Primero ir a la web de nmap y hacer download, en este momento en windows
Despues de instalar y aceptar todos los complementos lo ejecutaremos.
Addresses: 209.85.135.104, 209.85.135.105, 209.85.135.106, 209.85.135.147
209.85.135.99, 209.85.135.103
El resultado de scanear puertos en detalle ha sido:
PORT STATE SERVICE VERSION
80/tcp open http Google httpd 2.0 (GFE)
robots.txt: has 189 disallowed entries (15 shown)
/search /groups /images /catalogs /catalogues /news
/nwshp /setnewsprefs? /index.html? /? /addurl/image? /pagead/
_ /relpage/ /relcontent /imgres
html-title: Google
_ Requested resource was http://www.google.es/
113/tcp closed auth
443/tcp open ssl/http Google httpd 2.0 (GFE)
html-title: 302 Moved
_ Did not follow redirect to http://www.google.com
robots.txt: has 189 disallowed entries (15 shown)
/search /groups /images /catalogs /catalogues /news
/nwshp /setnewsprefs? /index.html? /? /addurl/image? /pagead/
_ /relpage/ /relcontent /imgres
Que ya habiamos comentado, para ver la configuración del fichero robots.txt se puede hacer la petición web directamente http://www.google.com/robots.txt que podemos repetir en otros servicios web para ver por donde dejar entrar al motor de busqueda y por donde no permitirselo.
El sistema operativo parece ser OpenBSD
Device type: general purpose
Running (JUST GUESSING) : OpenBSD 4.X (90%)
Me ha llamado la atención que el servidor web es http Google httpd 2.0 (GFE). De consultar la wikipedia observo que indica que es el servidor propio de google, Google Web Server (GWS) is the name for the web server software that Google uses for their web infrastructure. De continuar la información indica que se encuentra en la posición sexta de servidores
1 10.00 192.168.1.1
2 ... 3 no response
4 50.00 85.63.217.57
5 50.00 ge-4-0-0-0.madcr2.Madrid.opentransit.net (193.251.255.189)
6 60.00 level3-1.GW.opentransit.net (193.251.254.14)
7 90.00 ae-0-11.bar1.Madrid2.Level3.net (4.69.141.45)
8 80.00 ae-5-5.ebr1.Paris1.Level3.net (4.69.141.42)
9 80.00 ae-100-100.ebr2.Paris1.Level3.net (4.69.141.238)
10 80.00 ae-2-2.ebr1.Frankfurt1.Level3.net (4.69.141.234)
11 90.00 ae-91-91.csw4.Frankfurt1.Level3.net (4.69.140.14)
12 110.00 ae-2-79.edge3.Frankfurt1.Level3.net (4.68.23.75)
13 100.00 mu-in-f104.1e100.net (209.85.135.104)
aunque los datos obtenidos por el propio localizador de ip's de google nos lo situa en mountain view en Estados Unidos. (cosa que no me creo siendo el último salto Frankfurt. Comprobarlo vosotros mismos.
http://www.elhacker.net/elhackernet/geolocalizacion.html
jueves, 19 de noviembre de 2009
gusano Koobface
| ||||||||||||||||||
| ||||||||||||||||||
Fuente de la noticia : http://tecnologia.universia.com.ar/vernota.htm?idxnota=96013&destacada=1&idxcomunidad=0 |
y como cuentan en la dirección misma de universia
- No responder a correos electrónicos ni seguir links incluidos en emails no solicitados
- Comprobar muy bien que la URL en la que se introducen los datos es la original de Facebook (www.facebook.com), ya que estas webs suelen utilizar URLS similares que apenas se diferencian en una letra o en la terminación del dominio de la verdadera.
Seguridad informática en auge.
Copio de la citada web un trozo sobre el comentario de los ataques, parece que principalmente por denegación de servicio.
Los ataques, en forma de "denegación de servicio", se produjeron de forma coordinada el 4 de julio, la fecha que Estados Unidos celebra su independencia, y también afectaron el Departamento del Tesoro, la Bolsa de Nueva York, Nasdaq, Amazon y Yahoo.
Pocos días después, 11 sitios de internet del gobierno surcoreano fueron "apagados" por la misma red de 50.000 ordenadores utilizados para atacar Estados Unidos. Los servicios secretos de Seúl acusaron a Corea del Norte de orquestar el ataque, añadió el informe.
Otro caso señalado por la firma es la avalancha informática que sufrió Georgia de forma paralela al conflicto armado que mantuvo con Rusia por la región de Osetia del Sur en el verano del 2008. En el 2007, otra ex república soviética, Estonia, vio como una avalancha causada por "denegación de servicio" atacaba los sitios de internet de su Gobierno. Los ataques duraron semanas y afectaron a todos los habitantes del país, en muchos casos impidiendo su acceso a cuentas bancarias a través de internet.
Fuente http://www.lavanguardia.es/internet-y-tecnologia/noticias/20091117/53825883166/los-paises-se-equipan-con-ciberarmas-mcafee-estados-unidos-rusia-casa-blanca-washington-nueva-york-e.html
lunes, 16 de noviembre de 2009
user account control de windows vista y windows 7
Mitos y leyendas: UAC, ese gran incomprendido I (Introducción)
--------------------------------------------------------------
Una de las tecnologías que Microsoft introdujo en Vista, el UAC (User
Account Control), ha sido especialmente criticada y rechazada por la
mayoría de los usuarios. Sin embargo, si se presta un poco de atención,
se puede usar UAC como un gran adelanto en la seguridad y comodidad de
Windows. Microsoft ha dado un paso interesante en la dirección correcta
con UAC, pero los usuarios que se empeñan en usar el administrador no
han sabido valorarlo. UAC es un incomprendido porque en realidad, hay
que entenderlo como una bendición para los que usan una cuenta limitada
en Vista y 7. Un complemento ideal para lo que sigue siendo la mejor
defensa: evitar el uso del administrador.
El qué y el porqué del UAC
Microsoft no tenía ningún control de usuario real para su gama de
escritorio hasta Windows XP. Su introducción supuso un enorme paso
adelante para la seguridad. Utilizar Windows XP en modo usuario estándar
era, por fin, el mejor antídoto contra el malware y todo tipo de
amenazas. Pero de nada sirvió. Por miedo a que los usuarios (después
de años de MS-DOS, 3.11 y 9x) no supieran lidiar con NTFS, permisos,
derechos y privilegios, decidió que usar la cuenta de administrador todo
el tiempo era lo "menos malo". Sacrificaron todas las mejoras que ellos
mismos habían introducido con tal de que se entendiera su flamante
sistema operativo. Los programadores se relajaron entonces, y dieron por
hecho que el usuario debía ser administrador, y no se preocuparon por
comprobar dónde podían escribir, a qué zonas del sistema podían acceder,
etc. De hecho, pocos son los virus que se preocupan hoy en día de si
pueden escribir o no en "system32", zona favorita donde se esconde
la inmensa mayoría del malware actual. Si el usuario no fuese
administrador, esa inmensa mayoría del malware no sería hoy efectiva,
porque no serían capaces de escribir archivos donde presuponen que
pueden.
Así que XP permitía protegerse con el usuario estándar, pero muchos
lo ignoraban y además era incómodo. Microsoft no ofrecía ninguna
herramienta realmente cómoda para que un "loco" que decidiera usar
su Windows como debe ser, desde una cuenta sin privilegios, pudiera
administrar de forma sencilla su equipo. Todo tipo de trabas en los
programas y en la propia interfaz hacía que muchos de los intentos por
migrar hacia un usuario raso fracasaran. Algo había que hacer, y con
la introducción de Vista era el momento adecuado.
Un cambio a medias
Con Vista, Windows podría haber tomado un rumbo radicalmente distinto (y
a la vez, igual a la de cualquier otro sistema operativo): obligar a que
la primera cuenta de usuario creada cuando se instala el sistema (la que
todo el mundo usa habitualmente) fuera de usuario raso. Pero no. Sería
demasiado chocante, así que decidió introducir un paso intermedio, el
UAC. En pocas palabras, se trata de una pantalla de protección contra
las acciones potencialmente peligrosas para el usuario, incluso si eres
el administrador. Técnicamente hablando, es un concepto extraño.
En XP, un usuario que se presenta en el sistema, tiene un token de
seguridad. Este token puede ser básicamente de administrador (puede
hacer lo que quiera) o de usuario estándar (se ve limitado para escribir
en ciertas zonas del sistema, o para realizar ciertos cambios). En Vista
por el contrario, cuando un administrador inicia sesión se le conceden
dos: uno de administrador real y otro de usuario estándar (sí, aunque se
sea administrador). Por defecto, se usa el token de usuario estándar
para arrancar la mayoría de programas, y esto es estupendo desde el
punto de vista de la seguridad. Para realizar las acciones que requieren
elevar privilegios, se usa el token de administrador, y es en este paso
donde interpone el UAC. El usuario es consciente de cuándo se están
realizando acciones peligrosas y debe o bien proporcionar consentimiento
o bien introducir sus credenciales.
O sea, Vista prácticamente obliga al usuario a tener pocos privilegios
aunque pertenezca al grupo de administradores. Pero a muchos usuarios
les gusta ser "poderosos", no les apetece responder constantemente a
preguntas de si realmente quieren o no realizar tal o cual acción, así
que ante la incomodidad terminan por desistir. El usuario echa de menos
al todopoderoso administrador del XP, y por eso UAC ha resultado un
estorbo para la mayoría.
Sin embargo, UAC es una herramienta excelente para quien usa Vista como
usuario estándar. UAC es lo que todo usuario de XP que lo utilizaba con
una cuenta limitada estaba esperando: una forma cómoda de mantener el
sistema protegido.
De cómo configurar UAC de forma útil hablaremos en la siguiente entrega.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4040/comentar
Sergio de los Santos
ssantos@hispasec.com
domingo, 8 de noviembre de 2009
herramienta tcpview de sysinternals para windows
es entretenido el ir viendo como se van viendo y moviendo las conexiones y como van modificando su estado bajo el protocolo tcp/ip de desconexión o conexión con otro servicio.
Ya sería un motivo de preocupación el no saber o reconocer donde está conectado el ordenador o bajo que programa se encuentra conectado al exterior.
conexiones a ordenador remoto al puerto 80 o http significa simplemente que seguramente hay un navegador abierto y este el motivo. Tambien podría ser debido a alguna actualización del sistema operativo o antivirus. Aquí comenzará el análisis y el aprendizaje.
identificar el número de proceso en Administrador de Tareas, Windows
sábado, 7 de noviembre de 2009
puertos abiertos Linux
si establezco conexíones con máquinas en la red local o por internet, el comando que me llevará a poder visionar
netstat -anpe | grep tcp
En este caso nos encontramos con 9 columnas. De ellas solo seran de mi interes en este momento 1, 4, 5, 6, 9.
La primera indica que la comunicación es tcp, la cuarta indica las conexiones que tiene establecida mi máquina y en que puerto, la quinta es con quien está conectada mi máquina y en que puerto, la sexta indica el estado de la conexión, ESTABLISHED significa que las máquinas remotas estan conectadas. Finalmente la última columna inica el número de proceso y el proceso que mantiene la conexión.
Si comentamos el resultado de la impresión de pantalla el resultado no indica que hay unas cuentas màquinas conectadas a mi ordenador en su puerto 80, se trata de un servidor web. Que la ip interna de mi servidor es 192.168.0.2. De la misma forma observo 2 conexiones en el puerto 22, puerto de conexión cifrado de openssl, ssh.... Por aquí sería posible el identficar si alguien nos está haciendo tunneling en el servidor.... ya llegaremos.
comprobación de puertos abiertos windowsXP
Si vamos a Inicio - Ejecutar y escribimos cmd entramos en una pantalla de modo DOS. En ella escribimos netstat -ano
SEGURAMENTE A VOSOTROS NO APARECERAN TANTOS DATOS PERO VAMOS A ANALIZARLOS.
La primera columna indica el tipo de protocolo, tcp o udp. La segunda columna indica el ordenador local, en el que hacemos netstat, la tercera columna con quien estamos estableciendo la comunicación, la cuarta columna el estado de la comunicación y la quinta columna el proceso que realiza dicha conexión. Uff veamos más información.
127.0.0.1 es la maquina en la que uno se encuentra. Hay programas que establecen la comunicación consigo mismo dentro del ordenador de ahí que aparezca la misma ip en las dos columnas, local y remota. Para mi la primera preocupación es determinar las que pone ESTABLISHED, por que significa que la comunicación está establecida en ese momento.
Ahora nos queda el determinar en la última columna que aparece el número de proceso, a que proceso corresponde. Para ello con la combinación de teclas Crlt+Alt+Supr o con el botón derecho en la barra inferior escoger Administrador de tareas.
Nada que no me deja seguir añadiendo imagenes. Cierro este post y continuo con el siguiente en el punto que lo dejé.
Antes de nada, el paso que iba a explicar estaba relacionado con asociar el proceso con su número identificador, pero hay quien prefiere la opción netstat -anb donde la 'b' ya responde con la ruta de donde está el proceso que ejecuta aquella conexión.