Hace poco que nos hacíamos eco de una serie de tutoriales sobre el desarrollo de exploits en Windows y hoy os dejamos otra serie de tutoriales, también sobre el desarrollo de exploits, pero esta vez orientados a sistemas Linux.

La serie está dividida en 3 niveles:

1. Nivel 1: Vulnerabilidades básicas. Básicamente información de como explotar los desbordamientos de pila, con los sistemas de protección desactivados.
   1. Classic Stack Based Buffer Overflow
   2. Integer Overflow
   3. Off-By-One (Stack Based)
2. Nivel 2: Saltándose los mecanismos de protección. En este nivel nos explican como saltarnos algunos de los sistemas de protección actuales, anteriormente desactivados.... Continuar leyendo

Joseph Demarest, director adjunto del FBI, ha testificado sobre las amenazas de la delincuencia cibernética a un Comité del Senado sobre Banca, Vivienda y Asuntos Urbanos, y Network World reporta que la agencia tiene tres recomendaciones específicas de cómo el Congreso podría ayudar con este problema en constante evolución.

Según varios medios internacionales, entre ellos The Guardian, Demarest también dijo en el Congreso que el ataque a Sony Pictures, que suspendió el funcionamiento de la compañía y derivó en 100 terabytes de información confidencial filtrada, habría burlado defensas y funcionado en el 90% de los casos -incluyendo gobiernos. Esto significa que pocas compañías podrían haber evitado ser víctimas ya que se habría comprometido prácticamente cualquier medida de seguridad aplicada. O tal como lo pone Ars Technica, la amenaza habría funcionado superando 9 de cada 10 defensas de seguridad.

De todas formas, según Demarest, hay tres formas en las que el FBI ... Continuar leyendo

Aunque el espionaje a través de las webcams es un asunto conocido y repetido desde hace años, la publicación por una página web rusa de grabaciones y transmisiones de miles de cámaras IP, de circuitos de vigilancia comerciales, de instalaciones caseras o de webcams instaladas en equipos informáticos, ha tenido amplia repercusión mediática tras la alerta por parte de las autoridades británicas de telecomunicaciones y protección de datos.
Las transmisiones y grabaciones alcanzan al mercado corporativo, locales comerciales de todo tipo o cajeros automáticos y cajas registradoras y también al mercado de consumo, dormitorios privados y estancias de bebés, entre otros.

Podríamos pensar que esta invasión a la privacidad se ha producido por un exploit programado aprovechando una vulnerabilidad en el firmware de los equipos, el software de control o como el que vimos por un error de Flash Player en Chrome, pero nada más lejos de la realidad.

Simplemente... Continuar leyendo

La guía Grooming busca generar material que brinde herramientas para conocer, detectar, prevenir y gestionar casos de abusos web (grooming).

El material, realizado conjuntamente por Con Vos en la Web y UNICEF, contribuye en el proceso de elaboración de una ciudadanía digital que contemple los derechos de los niños, niñas y adolescentes.

¿De qué manera se podría utilizar la guía dentro del aula?

La guía sirve para que el docente tenga una primera definición sobre grooming, un conocimiento sobre los distintos tipos de abuso web existentes, un acercamiento a las fases y etapas existentes en los casos detectados, y una descripción práctica de cómo prevenir y denunciar. En el aula pueden ponerse en práctica las herramientas de prevención brindadas: configuración de la privacidad en redes sociales, incorporación conceptual de las diferencias y similitudes entre los amigos online y los offline, consejos para cuidar la privacidad y los datos personales en la Web y debate sobre lo ... Continuar leyendo

No es fácil elegir el alojamiento en la nube más adecuado para tu web o tu aplicación, el cloud evoluciona a pasos tan grandes que conocer con seguridad el servicio idóneo de antemano es casi imposible, por eso hay que valorar todos los aspectos con detenimiento. Aquí tienes cinco consejos y tablas para elegir el mejor servicio [PDF] que te pueden ayudar antes de contratar servicios de cloud computing.

1. Más que el cloud adecuado, busca el servicio adecuado. El grado de colaboración con un proveedor que diseñe el entorno en el que tu equipo, tu aplicación y tú vais a trabajar de la mejor manera posible, resulta decisivo. Cloud público, privado, híbrido, servidores dedicados, espacio local o en cabina, volumen de throughput, CDN, caché… Hay infinidad de servicios, infinidad de nombres, pero lo que necesita saber tu hoster para construir la solución adecuada son cosas como el número de lecturas/escrituras por segundo, sesiones concurrentes, usuarios distribuidos... Continuar leyendo

Microsoft ha anunciado la versión final de las configuraciones básicas para Windows 8.1, Windows Server 2012 R2 e Internet Explorer 11. Algunos de los aspectos importantes de las nuevas bases de seguridad son (muchas de las cuales tratamos de darle un equivalente a las versiones anteriores de Windows e IE):
 Uso de configuraciones nuevas y existentes para ayudar a bloquear algunos vectores de ataque Pass the Hash;

• Recomendaciones para controlar el almacenamiento de frases de contraseña (passphrases) equivalentes a texto plano;
• Bloqueo del uso de navegadores Web en los controladores de dominio;
• Incorporación de Enhanced Mitigation Experience Toolkit (EMET) en las bases estándar;
• Remoción de la recomendación para habilitar el "modo FIPS" (esto se analiza con mayor detalle en este blog post: Por qué ya no... Continuar leyendo

Una de las cosas que siempre le he admirado a Google es el hecho de querer lograr una web cada vez mejor, de ahí la importancia y el gran trabajo que han hecho impulsando nuevas tecnologías web, especialmente con su navegador Google Chrome en el cual se apoyan bastante para modernizar la web.

Dentro de los muchos servicios y programas que ofrece Google encontramos una sección especial dedicada a los Desarrolladores, en la cual se pueden consultar recursos, documentación, guías, eventos, comunidades, ejemplos y gran variedad de material que nos permiten mejorar y aprender sobre las diferentes tecnologías en las que la empresa tiene interés, y que gracias a estos espacios permite que todo el mundo pueda aprenderlas.

De la gran variedad de recursos disponibles en el sección de desarrolladores de Google encontré una que me pareció bastante interesante para compartir con todos ustedes y que seguramente le será de gran ayuda a quienes se dedican al ... Continuar leyendo

En esta demostración se utilice la capacidad que ofrece metasploit de utilizar un equipo ya comprometido para usarlo como punto de entrada y/o ataque a otros elementos de la red a la que pertenece, es decir, utilizarlo de "pivote" para redireccionar el tráfico y atacar otros puntos de la red interna de una empresa.

Escenario

Para que os podáis poner en situación os explicaré brevemente el contexto en el que se realizo el taller, para ello que mejor que una imagen para ilustrar el escenario.


Para el taller, existen 4 máquinas virtuales:

• ATACANTE: Un maquina virtual con BT5 instalada y actualizada. Especialmente con metasploit configurado.
• USR_A: Un equipo WindowsXP SP3, con Java 6 update 13 instalado (sin actualizar por supuesto), y para facilitar la demostración sin antivirus instalado.
• USR_ADMIN: Un equipo Windows XP SP3, sin antivirus y configurado con carpetas de red compartidas con el equipo USR_A.
• ROUTER / FIREWALL: En esta... Continuar leyendo

Hola a todos. Facebook ya esta en todos lados y es muy difícil encontrar jóvenes que no hagan parte de esta red social, que para bien o para mal, mantiene a los chicos y chicas gran parte de su tiempo conectados a ella. Estar sin Facebook hoy en día es no ser parte del circulo social y seguramente seras visto como un bicho raro por personas que toman este como el principal medio de socialización en la actualidad.

Teniendo en cuenta que son los jóvenes quienes mas pasan su tiempo en Facebook, la tarea para padres y educadores se vuelve mas compleja cuando deben enfrentarse a un distracción extra como lo son las redes sociales, que en su mayoría son usadas para el ocio y no para labores mas productivas. Por lo anterior se hace importante que quienes están a cargo de velar por el bienestar de nuestros adolescentes, se adapten rápido y sepan afrontar de la mejor manera estas nuevas tecnologías.

En una publicación anterior les compartía la guía de Facebook para padres de familia,... Continuar leyendo

El fin del mundo se produjo más o menos como habíamos predicho: demasiados ordenadores y dispositivos móviles, y escasos conocimientos para manejarlos. Los detalles son triviales y carecen de sentido. La causa, como siempre, fueron los errores puramente humanos. Un gusano informático creado por la mano del hombre se descontroló. Internet estaba sobrepasado, las páginas web quebraron. Las redes sociales fueron destruidas por cuentas falsas y los usuarios rápidamente se convirtieron en víctimas. Las infraestructuras desprotegidas se desmoronaron por ataques dirigidos.

La Era Digital estaba casi extinguida; un manto de oscuridad cubrió Internet durante muchos años…
Muy pocos fueron capaces de sobrevivir a la devastación y alcanzar cierta seguridad. Aquellos que lo consiguieron, recopilaron todas sus experiencias y las lecciones que aprendieron en una guía, la Guía de Supervivencia del Cibermundo, que nos ayudará a evitar un destino similar.

Puedes encontrar la... Continuar leyendo