Ayer me levanté con un par de correos de Twitter en mi buzón:

Dear Twitter User:

As a precautionary security measure, we have reset your Twitter
account password. [..]

This attack was not the work of amateurs, and we do not believe it was
an isolated incident. The attackers were extremely sophisticated, and
we believe other companies and organizations have also been recently
similarly attacked.

Y también colgaron un blog post con más información.

Pues aquí me encuentro redactando a las 1:20 a.m. justo después de tomarme 2 red bull y correr 10 km.

La otra vez fui a una conferencia de seguridad de un supuesto experto en la materia. Y el dijo algo que me llamó mucho la atención pero a la vez me molesto un poco.

Dijo que ahora se podía hackear con 4 clicks.

Y bueno, trataré de dar mi punto de vista al respecto. La verdad creo que su comentario es erróneo, y de igual manera siento que ahora los que se dicen consultores o expertos en seguridad no tienen el más mínimo conocimiento en la materia y por tener un CISSP [1] se sienten la maravilla del mundo.

1. http://en.wikipedia.org/wiki/Certified_Information_Systems_Security_Professional

Hola que tal, antes que nada me da mucho gusto que la página del GliB este nuevamente online.

Espero que este nuevo año sea mejor para todos.

Un saludo a Xbit, Jacob, Maggy y a todos los demás.

Está vez es para invitarlos a un evento que se realizará en Querétaro.

El sitio del evento es el siguiente:

http://www.cumbreseguridadinformaticaqueretaro.com

Hola que tal, antes que nada un saludo a Xbit, Jacob, Maggy, Ramel, Julio y otros miembros del GliB. Me gustaría exponer una noticia de la cual me enteré hace 2 días, pero no había decidido publicar nada al respecto. Sin embargo me gustaría saber la opinión de los miembros del GliB, ya que a pesar de los roces que yo en lo personal he tenido con algunos miembros, considero que tienen opiniones muy valiosas, y la verdad como guanajuatenses me gustaría saber su opinión con respecto al tema de la inseguridad de los portales gubernamentales, haciendo un enfoque especial en los de nuestro estado.

Checando los stats de zone-h revise que el pasado Lunes 25 de Agosto del 2008, el foro colocado en esta dirección fue vulnerado http://www.rppc.guanajuato.gob.mx/portal. El defacer se hace llamar Bela y colocó el siguiente mensaje: "By BeLa & BodyguarD". Cuando yo verifiqué el sitio, ya estaba corregido pero el mirror se quedo guardado en zone-h. Pueden verificarlo en el siguiente link http://www.zone-h.org/component/option,com_mirrorwrp/Itemid,160/id,7839837/

Yo se que esto de los defaces no es tema nuevo y casi siempre decido publicarlos y meter periodicasos, pero esta vez la verdad lo que sentí fue lástima.

Algo atrasada la noticia pero es bueno comentarlo....

Una vulnerabilidad en el paquete OpenSSL incluido en los sistemas Debian GNU/Linux y sus derivados puede causar que se generen llaves criptográficas débiles. Cualquier paquete que utilice la versión de SSL afectada, podría ser vulnerable.

Fecha de Liberación: 19 de Mayo de 2008
Ultima Revisión: 19 de Mayo de 2008
Fuente:
Riesgo: Crítico
Problema de Vulnerabilidad Local y remoto

1. Sistemas Afectados * Debian, Ubuntu y Sistemas basados en Debian

2. Descripción Existe una vulnerabilidad en el generador de números aleatorios utilizado por el paquete OpenSSL incluido en Debian GNU / Linux, Ubuntu y otros sistemas basados en Debian. Esta vulnerabilidad hace que el número generado pueda ser previsible.

El resultado de este error es que algunas claves de cifrado son más comunes de lo que debieran ser. Esta vulnerabilidad afecta a todas las aplicaciones que utilizan claves generadas con la versión afectada del paquete OpenSSL. Las llaves que pueden ser afectadas, sin que se limiten a las mismas, son las llaves de SSH, OpenVPN, DNSSEC y las llaves generadas para el usos de certificados en formato X.509 y las llaves de sesión utilizadas para conexiones SSL/TLS. Cualquier llave generada en o después del 17 de septiembre de 2006 pueden ser vulnerables. Las claves generadas con GnuPG, GNUTLS, ccrypt u otras aplicaciones de cifrado que no utilicen OpenSSL no son vulnerables debido a que utilizan sus propios generadores de número aleatorios.

3. Impacto

Un intruso, de forma remota y sin necesidad de autenticarse, podría adivinar la clave secreta. De igual forma, un intruso podría explotar esta vulnerabilidad para acceder al equipo afectado de forma no autorizada a través del sevicio afectado o hacer un ataque de “hombre en medio”.

4. Solución

Actualización
Debian y Ubuntu han publicado versiones corregidas de OpenSSL que reparan dicho problema. Los administradores podrán utilizar la aplicación ssh-vulnkey para checar si sus claves son vulnerables. Después de aplicar la actualización, es probable que los clientes no puedan conectarse a los servidores.

Solución temporal
Durante el período de tiempo en el que no se aplique la actualización, se deben tomar medidas para restringir el acceso a los servidores o equipos afectados. Para dicho fin, los sistemas basados en Debian y Ubuntu, pueden utilizar iptables o tcp-wrappers.

5. Referencias
* DSA-1571-1 openssl -- predictable random number generator - * Debian wiki - SSL keys - * Ubuntu OpenSSL vulnerability - * Ubuntu OpenSSH vulnerability - * Ubuntu OpenVPN vulnerability - * Ubuntu SSL-cert vulnerability - * Ubuntu OpenSSH update - * Ubuntu OpenVPN regression - * OpenVPN regression - * Vulnerability Note VU#925211 -

FUENTE: UNAM-CERT

Hola. ¿Qué tal? El motivo del post es para dar a conocer una iniciativa que también tuvo sus primeros pasos en el Bajío.

Se trata de la OMHE - Organización Mexicana de Hackers Éticos. Que básicamente es una iniciativa de conjuntar al mundo underground con el sector empresarial, para realizar proyectos a favor de la seguridad de la información.

Ya tenemos varios proyectos andando y creemos que podemos hacer una muy buena sinérgía con los grupos de Linux, ya que generalmente, las personas del mundo del hacking compartimos mucho la idea de la libertad, tal como lo es el open source.

Les anexo algunos links en donde pueden consultar más información:

www.omhe.org/foro : Foro de la OMHE
www.omhe.org/omhepodcast/ : Podcast de la OMHE
www.ixaya.com/blogs/hl : Blog Personal
www.yaocelotl.org : Hacking Group del Bajío

MIL GRACIAS POR SU APOYO.

Saludos a la comunidad del GliB

Atte. Héctor López - Fundador OMHE

La unica forma que he logrado bloquear messenger ha sido con un redireccionamiento de puertos. Con esta instrucción

iptables -t nat -A PREROUTING -p tcp -s 192.168.0.53 --dport 1863 -j DNAT --to-destination 192.168.0.5:1863

En donde 192.168.0.53 es la ip de la computadora a la que le quieres bloquear el messenger y 192.168.0.5 es una computadora inexistente en tu red.

Si bloqueo el puerto messenger automaticamente (1863) se brinca el puerto y lo intenta mediante el puerto 80. Gran error :S

Pero si lo redirecciono a una computadora que no existe, messenger cree que esta caido el servicio y no puede hacer un inicio de sesión. :D

\"Siente el poder de Linux\"
http://linuxlaguna.blogspot.com

Ayer recibí el siguiente mensaje, viene de la lista de correo del GLIB y se coló por el filtro anti-spam de Yahoo! porque viene dirigido a glib-mx@yahoogrupos.com.mx

Para:	glib-mx@yahoogrupos.com.mx
De:	"sofi31" 
Fecha:	Mon, 26 Apr 2004 19:40:03 -0500
Asunto:	[glib-mx] Agranda tu virilidad facilmente!!

  

Pues no es que sea noticia pero si quiero comentar lo siguiente:

Actualmente todos los equipos de cómputo poseen 2 o más puertos USB; también ya existen dispositivos portátiles con la interfaz USB (memoria, grabadoras de CD, unidades ZIP, etc.), lo cual ha puesto en alerta a los administradores de sistemas, ya que cualquiera puede llegar con un llavero de estos que pueden almacenar varios megas y puede llevarse la información que les plazca con sólo conectarlo al puerto USB de la PC y desde el explorador arrastrar la información en la unidad y se la lleva sin hacer tanto problema, por lo que se sólo se pueden deshabilitar estos puertos desde el BIOS o en el peor de los casos que el SO no tenga drivers para instalar los puertos USB.

Dos agujeros de seguridad en el cortafuegos IPTables/Netfilter del kernel de Linux, hacen posible ataques de negación de servicio.

Las vulnerabilidades, detectadas en IPTables/Netfiler de algunas versiones del kernel de Linux, pueden ser utilizadas por intrusos para realizar ataques DoS (negación de servicio) contra sistemas que presenten la vulnerabilidad.