kbglob

Recien termino de re-generar todas las keys en mis servidores y clientes, despues de que se dio a conocer hoy a la mañana, una vulnerabilidad gravisima en OpenSSH encontrada por Luciano Bello, que hace predecible (con lo cual, vulnerable), las ssh keys generadas desde el 2006 en adelante, en Debian y derivados (Ubuntu, por ejemplo).
Fue anunciado en Debian y Ubuntu, y hay actualizaciones disponibles para ambos.

Si usan keys ssh, es indispensable que actualicen a las ultimas versiones de los paquetes afectados, y regeneren sus keys.

Hay un paquete que se instala con la actualizacion con el que pueden ver si estan afectados:
ssh-vulnkey -a

Sino, pueden probar con:
wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
gunzip dowkd.pl.gz
chmod +x dowkd.pl
./dowkd.pl file /etc/ssh/ssh_host_{dsa,rsa}_key.pub 2>/dev/null

Si dice que tu clave es debil:

sudo dpkg-reconfigure -plow openssh-server

La vulnerabilidad no es de OpenSSH en si mismo, sino de un parche aplicado en Debian, que elimina la generar informacion random a la hora de generar los keys, para evitar que Valgrind se queje.

Es discutible el error, pero para los morbosos, en Slashdot ya se estan matando.

Felicitaciones a Luciano por el descubrimiento, y a regenerar keys

[2 Comentarios]

Con ese título tan contundente la gente de slashdot presenta una noticia donde cuentan como un driver no parcheado de Ati expone maneras de juguetear libremente con el kernel de vista, instalando drivers “no firmados” cortándole las piernas al sistema “antirootkit y anti-drm” que trae el “nuevo” OS de Microsoft.
El driver es “atidsmxx.sys, version 3.0.502.0″, para quien tenga la malísima suerte de estar usando ese OS.

[1 Comentario]

Alguien logró acceder a los archivos de wordpress y modificó el archivo que estaba para download incluyendo dentro del paquete código malicioso facilmente explotable. Una pena, mala publicidad para un exelente proyecto de Software Libre…
Avisan que todos los que se hayan bajado esa versión INMEDIATAMENTE instalen la 2.1.2

vía kriptópolis

[1 Comentario]

Parece que empezamos el año con una noticia bastante mala.
Si estás logueado en gmail, con un simple javascript te pueden sacar toda tu lista de contactos.
Pruebenlo

Update: Ya lo arreglaron.

[1 Comentario]

Como me gusta cuando la gente se toma pequeñas e ingeniosas venganzas a los males que aguantamos dia a dia.
Un señor, muy brillante, nos explica en su blog como armo su servidor de correo entrante para distinguir lo que era indiscutiblemente spam, y lo trataba de una forma muy especial.
De acuerdo al RFC de SMPT, podemos jugar con muchas variables, como setear el buffer a 1 byte, obligando a mandar un paquete TCP por cada byte. Esto, sumado a otras demoras intencionales, puede dejar al spammer mas de media hora colgados en nuestro servidor intentando mandar un mail. Demoramos su cola de envio, lo molestamos un poco y nos sentimos mejor con nosotros mismos.

Esta explicado para BSD, pero deberia ser practicamente igual en Linux.

[2 Comentarios]

O por lo menos, eso comentan en kriptópolis

Lo más interesante creo que es esta foto de la chica con una linda remera

[1 Comentario]

Jeremiah Grossman demostró que, aún siendo un poco complicado, se puede robar algo del historial de la gente a través de CSS y Javascript.
Si miramos el código nos damos cuenta que es algo tan estúpido como escribir en pantalla una lista de sitios web, y chequear que color tiene el link.
Pueden verlo en acción acá.

Sorprendentemente en IE7 RC1, ésto está protegido.

Update: Es un bug que está reportado hace más de un año, pero no se resolvió ya que ES UN STANDARD (por eso no funciona en IE7, ja!)

[5 Comentarios]

Comentan en kriptópolis que una gran vulnerabilidad en Ruby on Rails, que los desarrolladores del producto quisieron mantener oculta inútilmente para que no haya ataques sobre sitios.
Pidieron a todos que actualicen a la versión 1.1.5, pero parece que el parche estaba tapado parcialmente, así que ahora pidieron que actualicen a 1.1.6, aunque reportes de incompatibilidades con esa versión.

Si usás ruby on rails, andá ya a la página del sitio donde explican como actualizar y todo eso.

[0 Comentarios]

Me pregunto quiénes son los que desarrollan el sitio del Banco Rio.
Uso el home banking de ellos hace años, y me he encontrado con algunos pozos de seguridad inmensos.
No los suelo postear para no difundir pánico, pero como este realmente no afecta la “seguridad” en sí tanto como la estupidez de los sysadmin, lo quiero compartir con ustedes:
Si en este momento van a: http://www.gratisbr.com.ar/ (un sitio con internet gratis del banco rio)
Pueden ver el código fuente del jsp.
Eso pasa cuando dejás que un desarrollador Java te haga la página web.
Felicitaciones.

(no voy a contestar pregunta de porqué estaba viendo CNN al momento del incidente)

Update: lo arreglaron

[12 Comentarios]

Cada tanto es bueno recordar porqué algunas cosas fallaron y mirarlas desde otro ángulo.
Asa Dotzler, uno de los integrantes más elocuentes de la fundación Mozilla suele poner en perspectiva muchos temas controversiales y un post suyo me recordó que Internet Explorer, en su momento, era un “buen navegador”.
Los problemas vinieron con muchas malas decisiones en su desarrollo que explotaron con el tiempo, y una actitud sorprendentemente indiferente hacia uno de sus productos más usados.
Eso es lo que hizo que se incendiara sólo. La falta absoluta de reacción e interés.
La seguridad es una guerra constante, no se puede dejarse estar en un mundo cómo internet.

[0 Comentarios]

El título lo dice todo, y el resto de la nota sigue acá.
Pero me quedo con la frase “Uno anda cada día más contento con su Ubuntu“.

[0 Comentarios]

Un artículo en slashdot explica que de Windows XP SP2 en adelante, para algunos sitios de Microsoft, Windows ignora por completo el archivo Hosts local.
Para repasar, éste archivo es el primero en ser consultado sobre la IP de un dominio específico antes de seguir buscando en la cadena para arriba (en tu proveedor de internet, por ejemplo).
Esto da una ventaja clara e injusta a mucho programas y servicios de Microsoft, como el recientemente lanzado anti-spyware.
Desde un punto de vista, esto es ventajoso porque no permite a los virus y demás yerbas bloquearnos el acceso a Windows Update, por ejemplo.
Pero con esa filosofía en mente, no me permite incluir mis propios sitios, no está documentado, y da una ventaja abusiva frente a otros programas anti-spyware.
Más de lo mismo…

Cómo comentario offtopic, ¿porqué el archivo de Hosts está en “C:\Windows\System32\Drivers\etc\”?
¿¿¿Porqué adentro de la carpeta drivers???

[2 Comentarios]

Tambien se puede ver como “¿Porque Linux es mas seguro que Windows?”.
Alguien se tomo el trabajo de mapear en una imagen todas las llamadas al sistema que hacen ambos dos al servir un documento HTML con una sola imagen.
Este es el grafico de Linux + Apache:

Esto es Windows + IIS:

Vale la pena destacar que cada llamado al sistema es una oportunidad para generar una vulnerabilidad…

[3 Comentarios]

En relación a un post anterior sobre debilidades en las encriptaciones de código de PHP, después de muchos reclamos a Zend han decidido sacar una versión nueva sin cargo para los clientes actuales.
Con la versión anterior se podía por menos de 5 dólares desencriptar el código a su versión original.
Los comentarios es que fueron muy esquivos con el tema durante bastante tiempo, llegando incluso a borrar posts en sus foros con reclamos relacionados a este tema.

[0 Comentarios]

Se detecto un error de seguridad en los procesadores Intel Pentium 4 que permite ejecutar codigo malicioso en las computadores con esos procesadores.
Tambien, por otro lado, se descubrio que son vulnerables a:
- Los bates de beisbol
- Agua
- Rayos electricos
- Bombas nucleares

¿Quien hubiera dicho que si tienen acceso fisico a tu computadora pasa a ser vulnerable?

[5 Comentarios]

Hay mas de una docena de soluciones para “proteger” el codigo fuente archivos PHP.
Los encriptan de una u otra forma, y despues eso se interpreta a la hora de ejecutarse.
Incluso Zend, la empresa atras de PHP tiene Source Guard.
Resulta que todo esto es mucho mas facilmente decodificable de lo que yo pensaba.
En http://www.phprecovery.com/ te decodifican archivos encriptados con lo siguiente (por un precio):

* Zend
* Ioncube
* SourceGuardian
* TurckMM
* SourceCop
* ScopBin
* CodeLock

¿Que queda entonces para los que queremos entregar proyectos desarrollados sin necesariamente entregar el codigo fuente?
Una opcion es POBS.
Basicamente lo que hace este programa es sustituir todas nuestras funciones, variables y constantes por valores MD5, encriptacion de una sola via, le saca todos los “enters”, comentarios, y hace todo tipo de cosas molestas al codigo.

Esto no hace imposible su “robo”, pero si lo complica muchisimo, al punto que probablemente en la mayoria de los casos seria mucho mejor volverlo a escribir de cero.

[3 Comentarios]

En kriptópolis nos avisan de un gran problema de seguridad en el flash player.

En el comunicado oficial de macromedia explican como actualizar.
Las versiones afectadas son la 8.0.22.0 y las menores.
La versión 8.0.24.0 es la que te podés bajar y corrige el problema. Para linux necesitás la version 7.0.63 o mejor.

Nadie lo dice textualmente, pero me parece que esto afecta a TODAS las plataformas(linux, mac,windows, etc), asi que actualizá porque con solo mostrarte un flash una página *maliciosa* puede divertirse bastante con tu computadora

[0 Comentarios]

Mas de una vez vas a necesitar en tu vida geek, por varias razones (entre ellas, la estupidez), entrar a una PC que no sabes el password del BIOS.
Encontre un sitio que junto mucha informacion sobre cada BIOS especifico.

[0 Comentarios]

PHPit tiene un buen articulo con todos los detalles que hay que tener en cuenta para manejar y guardar passwords en PHP.
Tiene detalles interesantes como encriptar los passwords con un modificador unico por usuario, para que no se pueda hacer brute force con diccionarios como MD5 Crack, que se dedican a juntar hashes de passwords.

[0 Comentarios]

En seguimiento de un post anterior de como google no entrego informacion al gobierno de los EEUU, y MSN (entre otros), si, Ken Moss, uno de los capos de MSN Search, respondio que:

- Dieron informacion sobre que tan “frecuentemente” se buscaban ciertas palabras
- No dieron IPs
- No dieron informacion que pudiera linkear quien busco que (una misma persona buscando dos terminos distintos).

Hay dos cosas que tengo para criticar:

1. Se la guardaron y se quedaron calladitos…
2. ¿Desde cuando pueden los gobiernos pedir informacion tan generica sin que este relacionado con un crimen especifico? (esto viene de un comentario del blog, para que no me digan que robo).

Hace muchos años que parece que todo lo que hace Microsoft, aunque no sea algo necesariamente malo, siempre dan un pasito mas para que los odien.
Felicitaciones.

[1 Comentario]

top -d2
Si esto muestra muchos procesos HTTPD, es posible que estes siendo atacado.

netstat -nap | grep SYN | wc -l
Si esto da numeros muy altos, es casi seguro que estas siendo atacado.

netstat -nap | less
Con esto averiguas las IPs que estan molestando.

iptables -A INPUT -s la.ip.molesta -j DROP
Con esto bloqueamos las IPs que esten causando problemas

cd /dev/shm
ls
Esto es para corregir algunas cosas, si tenes algo de esto, borralo:

locate bindz
locate botnet.txt
locate dc
locate ex0.pl
locate kaiten
locate r0nin
locate udp.pl
locate …
lsof | grep .,
locate mybot

[0 Comentarios]

Todo el mundo habla de el, pero pocos lo explican.
En este blog hay una descripcion un poco mas tecnicamente detalla de la vulnerabilidad en WMF.

[0 Comentarios]

Algunas semanas atras hubo una discusion en slashdot con respecto a los Buffer Overflows (que si mal no recuerdo la discusion no tenia nada que ver con la noticia), y me dejo pensando.
Los buffer overflows se hacen escribiendo mas informacion de la esperada en un puntero en memoria, para que se genere una anomalia y uno pueda ejecutar el codigo de maquina que quiera. Esto solo se puede saber si se sabe la ubicacion exacta en memoria de este puntero.
Ahora, tomemos por ejemplo que se encuentre una vulnerabilidad en Apache que nos permite hacer un buffer overflow. Teoricamente, si nosotros bajamos los binarios de apache.org y lo instalamos, seriamos vulnerables a cualquier persona o gusano que lo explotara. Pero si lo hubiesemos compilado nosotros, con nuestros propios modulos, y quizas con alguna key unica basada en nuestro hardware, este buffer overflow no se podria explotar tan facilmente ya que no estaria en el lugar de la memoria esperado.
Por supuesto que aplicar esto a las instalaciones de escritorios es una locura, porque para instalar un sistema operativo estaria dias compilando, pero para los servidores que van a estar muy expuestos me parece valida la inversion de tiempo.
Claro que esto se aplica a todo lo que es open source, asi que vamos a seguir disfrutando de los buffer overflows semanales en windows/sql server/iis y todos esos engendros.

[0 Comentarios]

Salteando de blog en blog, de link en link y todo eso, me encontre con un detalle que desconocia.
En Windows XP SP2 y todos los fuegos artificiales que le puedas poner, hay una opcion (DEP) que basicamente hace que “la memoria que es ejecutable no es *escribible* y la memoria que es *escribible* no es ejecutable”.
Esto previene muchos exploits en windows, y se que en BSD esta bastante bien implementado.
Aca tienen un pequeño how-to.

[0 Comentarios]

¿Quien no quiso alguna vez una lista de los fabricantes de hardware que estan asociados en las direcciones MAC?
Casi todos, pero aca esta igual.

[0 Comentarios]