Suscribirse al Feed
30Abr

Programación segura de aplicaciones

He leído un excelente documento de Kernel Panic Labs, en el que se explica detalladamente

la Seguridad y la Programación segura… un tema de verdad muy importante para los desarrolladores de software. Este es un artículo de imprescindible lectura para aquellos que, como yo, están descubriendo el mundo “real” del desarrollo de software.Contiene temas como:

  • Seguridad informática
  • Desbordamiento de pila
  • Desbordamiento de memoria dinámica
  • Inyección SQL
  • Técnicas para codificación segura
  • Herramientas para la seguridad de aplicaciones

Descargar!!!

No hay comentarios
26Abr

Nuevo subforo de Java en elhacker.net

Pues eso, se ha puesto un nuevo subforo de java en los foros de elhacker.net. Por fin el-brujo cedió ante tanto acoso XD. En fin, esto me quita un gran peso, ya que: “les pido por favor a mis lectores que envien sus dudas y las canalicen en ese foro”, ya que ultimamente estoy bastante ocupado y no tengo tiempo de responder todos los correos con sus dudas.

Pues nada, que lo disfruten… y lean las reglas.

Saludos!!!!

No hay comentarios
19Abr

Java Sun y herramientas Java en Ubuntu 7.04

Pues eso, por fín se han decidido los de Ubuntu. Recordemos que nunca se dignaron en meter un pinche compilador para Java, con esfuerzo y ponían la base del gcj. Pues bien el jdk 6 de Sun y herramientas como Netbeans 5.5, Glassfish y JavaDB estarán disponibles para los usuarios de la nueva versión de Ubuntu, Feisty Fawn (que será publicada hoy, 19 de abril); anunció Mike Shuttleworth, CEO de Canonical.Estas herramientas estarán disponibles en los repositorios multiverse de Ubuntu para Feisty. Se planea que para el lanzamiento de Java 7, las herramientas Java hayan hecho el salto al repositorio principal de Ubuntu y Java se haya vuelto parte fundamental de dicha distro.

Este anuncio es el resultado de la colaboración entre Sun y Ubuntu para acercar Java al mundo Linux y para incluir Glassfish como servidor de aplicaciones Java en esta popular distribución y hacer frente a la dupla Red Hat + JBoss.

Una gran noticia para los que desarrollamos en Ubuntu, cada vez es más sencillo instalar herramientas Java. Eclipse está disponible en los repositorios Ubuntu desde hace tiempo y se extrañaba lo mismo para NetBeans. Sin duda, Ubuntu se está convirtiendo en la distro GNU/Linux para los desarrolladores Java.

No hay comentarios
17Abr

El firefox y sus extensiones

Nada, aqui probando extensiones para Firefox XD. Algunas de las últimas que han salido, y que me han llamado la atención son estas:

Vimperatoresta extensión es para aquellos amantes del linux. Se trata de una extensión para que transforma a Firefox en un navegador modal al más puro estilo Vim: oculta todos los menús menos las pestañas, añade una pequeña terminal al fondo en la que podremos utilizar el tabulador para autocompletar y tiene mapeadas un montón de combinaciones de Vim, modificadas para la ocasión. Si alguna vez haz usado Vim, tu elección es Firefox y te gusta la navegación con el teclado (por ejemplo, para los portátiles), pruébalo a ver qué te parece. Y si te pierdes, recuerda que puedes ver la ayuda pulsando :help.

Para el Google Reader… en realidad no es exclusivo para Firefox, pero va por la misma onda. Este lo copio y pego de Genbeta…

El juguete o entretenimiento de hoy para los más osados e inquietos tiene a Google Reader y Mac como protagonistas. Se trata de la modificación de la apariencia que en hicksdesign han hecho del lector de noticias de Google. Le han dado un toque, digamos más Mac.

El resultado es realmente bueno y de momento somos varios los editores de Genbeta y Applesfera que lo hemos implementado.

Para hacerlo, nada más sencillo que descargarte el skin y si tienes Firefox, instalar el añadido Stylish. En Opera y otros navegadores también puede hacerse, pero los pasos ya son un poco más complicados.

Nosotros pasamos a explicar el método para Firefox:

  • Instala el añadido Stylish. Reinicia Firefox.
  • Descarga el tema y descomprimelo. Escoge el que corresponda a tu navegador.
  • Visita Google Reader y en la esquina inferior derecha de Firefox dispondrás del icono de Stylish. Haz clic y ve donde pone Escribir Estilo para esta dirección.
  • Copia y pega el contenido del CSS que te has descargado et voilá.

Better Gmail…

bettergmail-header.png

Una extensión para Firefox creada en Lifehacker y que sin duda nos va a poner el Gmail “más bonito”. Se trata de una recopilación de scripts para el Greasemonkey, que permiten añadir varias características a Gmail. La instalación es sencilla, y en las propiedades del añadido podemos escoger que scripts queremos usar y cuáles no. Imprescindible.

No hay comentarios
17Abr

Video Tutorial Brute force attack sobre servidor ssh

Articulo tomado de la página Iacix, y autorizado por el admin de la misma. Todos los derechos reservados a dicha web. Buenos comentarios en esta web, quejas en Iacix, jajaja (es broma).

Una de las responsabilidades de los administradores de sistemas es limitar el acceso a aquellos usuarios con autorización para entrar en el mismo. Con el fin de bloquear el acceso a terceros se crearon las contraseñas. Cada usuario posee un ‘nombre de usuario’ y una contraseña. Cada vez que un usuario quiere acceder al sistema se le piden dichos datos. Si el nombre de usuario y la contraseña coinciden con los almacenados en el servidor le permitimos el acceso, si no, se lo denegamos.

Uno de los problemas de este sistema surge cuando una tercera persona se hace pasar por uno de nuestros usuarios. Siempre y cuando conozca el nombre de usuario y su password se le permitirá el acceso, independientemente de que la persona no sea quien dice ser.

Otro problema es que si el acceso a sido denegado, el usuario puede volver a intentar acceso n numero de veces (normalmente n es infinito). Por lo general, limitar el número de intentos puede bloquearnos el acceso, haciendo del remedio peor que la enfermedad.

Un ataque muy común que se hace uso de dichas ‘vulnerabilidades’ son los ‘ataques basados en diccionarios’ (dictionary-based attack). El ataque consiste en bombardear al servidor con nombres de usuarios y contraseñas aleatorios. Es algo parecido a intentar abrir una caja fuerte introduciendo números al azar. Si alguna vez te has encargado de algún servidor ssh o ftp seguramente los hayas sufrido.

Ya que el número de posibles combinaciones de usuarios y passwords posibles es demasiado alto, en este tipo de ataque normalmente se usan diccionarios. Un diccionario (de passwords y/o usuarios) es un fichero de texto con nombres de usuario y passwords frecuentemente usados. Por ejemplo, en la mayor parte de sistemas nos solemos encontrar un usuario ‘root‘, y, estadísticamente hablando, passwords como ‘1234‘ o ‘qwerty‘ son usadas mas frecuentemente que ‘a\/gW1~3|23‘. Como te podrás imaginar, para diferentes idiomas se usan diferentes diccionarios.

Pero entonces…? SI!, La única manera de que este ataque funcione es que la combinación usuario-password este en tu diccionario, o en otras palabras, una mala gestión de usuarios/passwords.

El motivo por el que este tipo de ataques están tan extendidos es porque con un simple script podemos testear cientos o miles de servidores de forma automática sin necesidad de intervenir en el proceso. Otro motivo es que los ‘chicos malos’ necesitan ordenadores desde los que realizar sus ataques.

En un ataque real conseguir acceso al sistema es solo el primer paso. Una vez dentro se suele instalar como mínimo algún troyano con el cual garantizar el acceso en caso de que se cambie la password. Hay ocasiones en el que el atacante simplemente cambia la password para levantar sospecha y darle a conocer al usuario que su password es débil.

En este video tutorial os muestro un ejemplo práctico de cómo realizar este tipo de ataques y por supuesto como detectar su presencia.

Detalles técnicos

  • La distro usada para realizar el ataque es Backtrack 2, versión Live.
  • Para escanear la red y localizar posibles víctimas se uso nmap.
  • Para el ataque en si utilizamos medusa (~# man medusa).
  • El diccionario usado pertenece a ‘john the ripper‘ (Incluido por defecto en Backtrack 2).
  • El servidor de ssh en la víctima es una instalación estándar de OpenSSH.

Ver video tutorial

Video Tutorial: Backtrack 2 | Remote brute force attack

Pulsa aquí o sobre la imagen para acceder al vídeo tutorial.

Detección y prevención

La mejor forma de detectar este y cualquier tipo de ataque es comprobando los logs y analizando cualquier anomalía. En su día escribí un post llamado ‘Navegando entre los logs’ donde hable de cómo el servidor en el que se encuentra alojado esta web, Fujiyama, estaba en constante estado de alerta.

En ‘Consejos básicos: Mantener un servidor del ssh’ menciono las practicas mas habituales para evitar este tipo de ataques sobre servidores de ssh. En esa época decidí cambiar el puerto de escucha del servidor de ssh y desde entonces no he recibido ningún ataque en los dos últimos meses.

2 Comentarios
09Abr

Nuevo numero de la revista Essentia Libre

Ni tan nuevo, pero hasta ahora me entero XD. Ya vamos en la #6, para descargar seguir alguno de los siguientes links:

No hay comentarios
Página 1 de 2 1 2 »
© 2007 - 2008 Dezinerfolio. Todos los derechos reservados.
Powered by Wordpress. Entradas RSS