La Comunidad DragonJAR

En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.
En primer lugar hay que tener muy claro porque motivos se ataca un router.

Los principales motivos son los siguientes:

Porque atacar un router:

• Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
• Comprometer otros routers a través de el.
• Desviar firewalls de red, IDS o otros servicios.
• Monitorizar y grabar el tráfico entrante o saliente de la red.
• Redirigir el tráfico de la red a otro punto.

Leer el resto de la entrada »

Los delincuentes cibernéticos pueden perseguir a sus usuarios de muchas formas, y los resultados pueden ser devastadores. Comparta esta lista con ellos para ayudarlos a que se mantengan alertas en este mundo en línea cada vez más riesgoso.

Las nuevas tecnologías hacen más fácil para todos nosotros hacer nuestro trabajo en línea, comunicarse con otros, y aprovechar las ventajas de todo el entretenimiento basado en Internet que hoy está disponible. Pero muchas de esas mismas tecnologías han hecho más fácil a los delincuentes cibernéticos -los chicos malos que usan la red para propósitos ilegales- poder hacer sus malas acciones. Estamos hablando de hackers, atacantes, spammers, scammers, phishers y otros tipos de criminales. Leer el resto de la entrada »

En el reciente debate donde Linus argumentaba su desacuerdo con el manejo de los bugs en el kernel de Linux, también ha dejado claro cual es la política de manejo de los mismos. Linus dice que para el, los bugs de seguridad son bugs a fin de cuentas y deben ser tratados como los demás bugs, el no espera lanzar un HOWTO de como explotarlos cada vez que se encuentra algún bug.

Esto solo perjudica a los mil vendedores que simplemente copian los advisories de los demás sitios para enaltecer aun mas el circo de la seguridad informática, como lo denomina Torvalds, pero no influye en nada para las personas que se dedican a encontrar y explotar bugs en el kernel y demás. Leer el resto de la entrada »

Bruce Schneider junto con un equipo de investigadores han hackeado una de las funciones más paranoicas del paquete TrueCrypt, su función de esconder archivos en lugares ocultos del disco de manera ’segura’.

Es un mecanismo extremo de protección de archivos, que primero cifra el archivo y lo guarda en un lugar cifrado en el disco duro como una manta invisible. Sin embargo, ellos demostraron que inclusive Word, MS Vista, Google Desktop y demás pueden revelar los archivos que están ocultos usando DFS (Deniable File System). Diferente al cifrado, donde los archivos y los directorios son revueltos hasta ser ilegibles (pero siguen siendo visibles), DFS enmascara la existencia de estos archivos en conjunto para que no quede evidencia que existen. Leer el resto de la entrada »

Hace una semana fue liberada la nueva versión del kernel de linux. En el correo anunciando su liberación se encuentra un pequeño resumen:

> It contains a number of assorted bugfixes all over the tree.  And once
> again, any users of the 2.6.25 kernel series are STRONGLY encouraged to
> upgrade to this release.

Lo curioso es que no mencionan muchos detalles acerca de la IMPORTANCIA de actualizar. Entre algunas respuestas al anuncio el equipo de PaX anuncio que dentro de los commits que se habían obviado mencionar se incluían una serie de correcciones al kernel que tenían alto impacto en la seguridad del mismo. (http://lwn.net/Articles/285438/, http://lwn.net/Articles/286263/, http://lwn.net/Articles/287339/, http://lwn.net/Articles/288473/)

En la misma discusión se cuestionaron las políticas de manejo de bugs “con impacto de seguridad” en los changelogs y demás notas de versiones, junto con otros aspectos de manejo de documentación al respecto. Esto llevo a que se hiciera hincapié en “la importancia de tener full/none/half/etc disclousures para los bugs que tengan relevancia en la seguridad”, con el siguiente párrafo:

so guys (meaning not only Greg but Andrew, Linus, et al.), when will you
publicly explain why you're covering up security impact of bugs? and even
more importantly, when will you change your policy or bring your process
in line with what you declared?

Luego, en un reply de Linus:

Security people are often the black-and-white kind of people that I can't
stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in
that they make such a big deal about concentrating on security to the
point where they pretty much admit that nothing else matters to them.

Y de hecho tiene muy buenas razones para haber dicho eso, ya que la industria de la seguridad informática se ha convertido en todo un teatro donde el que monte la mejor película es el que tiene la razón.

Linus dice que los bugs que tienen impacto en la seguridad son bugs normales, y tiene razón, técnicamente nadie diseña bugs en su software, y si tienes un bug probablemente no tengas la oportunidad de elegir si afecta o no en la integridad de la seguridad del kernel. Leer el resto de la entrada »

Kris Kaspersky, investigador y desarrollador, planea demostrar como un atacante puede vulnerar sistemas de información utilizando debilidades en los microprocesadores de Intel de manera remota usando JavaScript o paquetes TCP/IP sin importar el sistema operativo que la víctima este corriendo.

Kaspersky demostrará que dicho ataque puede ser posible en la próxima HITB (Hack In The Box) que empezará en Octubre, en Kuala Lumpur, Malaysia. Leer el resto de la entrada »

“Implementación de Servidores con GNU/Linux” es un libro escrito por el Mexicano Joel Barrios Dueñas donde pretende  cubir gran cantidad de aspectos relacionados con el sistema operativo GNU/Linux, desde la instalación del mismo, comandos básicos del sistema hasta la configuración e Implementación de servidores para diferentes fines.

A continuación les dejo el indice del libro “Implementación de Servidores con GNU/Linux”:

1.¿Que es GNU/Linux?
2.Estándar de Jerarquía de Sistema de Ficheros
3.Instalación en modo texto de CentOS 5
4.Instalación en modo gráfico de CentOS 5
5.Cómo iniciar el modo de rescate en CentOS
6.Iniciando el sistema en nivel de corrida 1 (nivel mono-usuario). Leer el resto de la entrada »

Y directamente de Mark Shuttleworth:

So what I’m trying to say here, that the notion that Canonical wouldn’t contribute anything in such a situation and it would be a one way flow is something I disagree with. Look for example at the fact that Ubuntu has usually better hardware support, if we all were on the same kernel the others could take the drivers we put in there and have hardware support that is just as good as Ubuntu.

Existen un par de asuntos que son para aclarar. Mark, Ubuntu y los demás usan el mismo kernel, solo que las políticas de desarrollo de Ubuntu van contra cualquier comunidad de software libre. Es algo como “Si todos usaran el mismo kernel que usa Ubuntu y nos ayudaran a depurar toda la basura randomica que añadimos a nuestro kernel ya que no tenemos personal entonces tendrían más éxito.” Leer el resto de la entrada »

FWAuto (Firewall Rulebase Automation) es una herramienta que permite llevar a cabo auditorías en la configuración y administración de Firewalls. Para hacer uso de la herramienta se debe tener instalado Perl, pues la herramienta, está escrita en este lenguaje. Solo basta crear un archivo  de configuración (config) con los argumentos de auditoría.

La herramienta incluye en su bd múltiples puertos asociados a vulnerabilidades conocidas en diferentes sistemas.
La herramienta analizará y arrojará un archivo (txt, html) con los resultados de debilidades obtenidas.

Más información sobre FWAuto
Descargar FWAuto

Hace ya algo de tiempo había venido experimentando algunos reboots injustificados en mi laptop al momento del inicio de sesión en SXCE b83. Cuando el escritorio empezaba a cargar, repentinamente se congelaba todo el laptop y se reiniciaba el sistema luego de unos segundos después de quedar sin vida. Al principio no le pare bolas, ya que no tenia tiempo para ver que es lo que estaba pasando, sin embargo, ahora que me volvió a pasar (de hecho, de manera más frecuente) y dada la oportunidad que no tengo nada que hacer esta tarde, me puse en la tarea de diagnosticar la razón de las fritadas.

En Solaris (por ende, OpenSolaris), los logs de los crashes son guardados en /var/crash/`hostname` y dependen de la configuración del dump facility, que se configura con dumpadm. En el momento en que el sistema va a colapsar, dependiendo de la configuración del volcado, el servicio SMF de dumpadm guarda una copia en el disco de la memoria física del equipo antes de que este se muriera, y luego de que el dump haya sido guardado, el servicio continua con el reboot del sistema.

# dumpadm
Dump content: kernel pages
Dump device: /dev/dsk/c1t0d0s1 (swap)
Savecore directory: /var/crash/futurisk
Savecore enabled: yes
#


Pero, ¿que podemos diagnosticar de los volcados?. Utilizando nuestro buen amigo mdb y teniendo los dos archivos requeridos para diagnosticar el problema, podemos ver en que estado estuvo la maquina antes de que se reiniciara el equipo; los archivos son vmcore.X y unix.X, donde vmcore es el archivo que contiene todos los datos del volcado del crash y unix es el que tiene los datos de los módulos que estaban cargados en el kernel al momento de la pataleta.

# mdb unix.0 vmcore.0
Loading modules: [ unix genunix specfs dtrace cpu.generic uppc pcplusmp scsi_vhci ufs ip hook neti sctp arp usba uhci s1394 fctl nca lofs zfs random audiosup sppp ptm crypto ipc md cpc smbsrv fcip fcp logindmux nsctl sdbc sv ii rdc ]
> ::status
debugging crash dump vmcore.0 (64-bit) from futurisk
operating system: 5.11 snv_83 (i86pc)
panic message: BAD TRAP: type=e (#pf Page fault) rp=ffffff0005403600 addr=ffffff015134c6e2
dump content: kernel pages only
>

Genial, ahora sabemos que es un page fault. Por lo general esto indica problemas de software, entonces puedo descartar la posibilidad de que mi laptop se este dañando. Sin embargo, ya entrando en gastos con mdb, veamos que otro tipo de información podemos obtener.

> ::panicinfo
cpu 0
thread ffffff014b54e940
message BAD TRAP: type=e (#pf Page fault) rp=ffffff0005403600 addr=ffffff015134c6e2
rdi ffffff015134b000
rsi 0
rdx 40000
rcx 5dae00
[más y más registros...]


Y ahora con la dirección del thread que se estaba ejecutando en el momento del crash, podemos ver el contenido de lo ultimo que paso.

> ffffff014b54e940::findstack
stack pointer for thread ffffff014b54e940: ffffff0005403190
ffffff00054031c0 apic_intr_exit+0x30()
ffffff0005403220 hilevel_intr_epilog+0x11c()
ffffff0005403270 do_interrupt+0xeb()
ffffff0005403280 _sys_rtt_ints_disabled+8()
ffffff0005403460 as_fault+0x6d8()
ffffff00054034e0 die+0xea()
ffffff00054035f0 trap+0x13b9()
ffffff0005403600 0xfffffffffb8001d9()
ffffff0005403720 oss_memset+0x37()
ffffff0005403760 audio_reset_adev+0xfd()
ffffff00054037f0 oss_audio_ioctl+0x1d2()
ffffff0005403830 stop_engines+0x92()
ffffff0005403890 vmix_close+0x124()
ffffff00054038d0 oss_audio_release+0x10b()
ffffff0005403920 oss_close+0x16a()
ffffff0005403950 dev_close+0x40()
ffffff00054039a0 device_close+0xd1()
ffffff0005403a30 spec_close+0x168()
ffffff0005403ab0 fop_close+0x6e()
ffffff0005403b10 ldi_close+0xc2()
ffffff0005403b50 sadasupport_close+0x14b()
ffffff0005403bc0 qdetach+0xbf()
ffffff0005403c60 strclose+0x357()
ffffff0005403cb0 device_close+0xb8()
ffffff0005403d40 spec_close+0x168()
ffffff0005403dc0 fop_close+0x6e()
ffffff0005403e00 closef+0x59()
ffffff0005403ea0 closeandsetf+0x458()
ffffff0005403ec0 close+0x14()
ffffff0005403f10 _sys_sysenter_post_swapgs+0x14b()


Y ese es el ejercicio de hoy. Hasta el momento el problema parece ser de OSS, sin embargo, ¿algún tip de lo que podría estar matando al sistema?