Segun Google Skipfish no solo es mas rápido que cualquier otra herramienta de su tipo, sino que ademas tiene menos “falsos positivos” y su interfaz es mucho mas sencilla que las demás.

Aunque no cumple con los estándares publicados por el Consorcio de seguridad de aplicaciones Web para los escaners de vulnerabilidades en aplicaciones web, es una buena herramienta para tener en cuenta a la hora de realizar nuestros test.

Descargar Skipfish

Mas Información:
Pagina Oficial de Skipfish
Anuncio en la Comunidad
Google presenta Skipfish, un escáner de seguridad para aplicaciones web

También puede interesarte...

• Wapiti – Escaner de Vulnerabilidades en Aplicaciones Web
• Video Tutorial Fingerprint y Escaneo Básico
• FAQ sobre Seguridad en Aplicaciones Web
• Como realizar un borrado seguro usando BleachBit
• Aplicaciones Web Vulnerables
• Multiples Vulnerabilidades en SMF
• Criterios para la Evaluación de los Escaners de Seguridad Web
• Binging – Footprinting utilizando Bing

El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar.

Si le echamos un vistoso al formulario utilizando el plugin Web Developer para el Mozilla Firefox, encontramos que efectivamente el Administrador de Contraseñas, nos llenó el formulario oculto que colocamos en la pagina mediante XSS con nuestra clave de acceso:

El código utilizado para robar la información del Administrador de contraseñas en el Mozilla Firefox:

<script> document.write('<form><input id=p type=password style=visibility:hidden></form>'); setTimeout('alert("Password: " + document.getElementById("p").value)', 100); </script>

Podemos modificar el formulario para que nos envié la contraseña capturada a un archivo en el que puede ser almacenada o enviada por correo electrónico, pero en esta prueba de concepto no lo realizaremos.

En este caso contar con “clave maestra” en el administrador de contraseñas del Mozilla Firefox no supone una “barrera” para que obtengan nuestras claves, ya que una vez ingresada la clave maestra, el Firefox llenara de todas formas el formulario con nuestra clave.

Aunque posiblemente una técnica similar pueda funcionar en otros navegadores, he realizado pruebas en Google Chrome, Safari y Opera siendo el Mozilla Firefox el único afectado.

Actualización:
Un fallo similar fue reportado en el 2006 y supuestamente fue resuelto “VERIFIED FIXED”, pero acabo de probar con la prueba de concepto que publicaron en esa ocasión y sigue siendo vulnerable.

Recomendaciones:

• Escribe “about:config” en la barra del Firefox para desactivar (poner en “false”) la función signon.autofillForms



Con esto deshabilitas la función de auto llenado del administrador de contraseñas y evitarnos ser victimas de este fallo.

• Utilizar el plugin NoScript (si no hay inyección de código, no hay problema)
• No utilizar el Administrador de Contraseñas de Mozilla Firefox (ya hemos demostrado que no es recomendable, ni en firefox, ni en ningún navegador), en vez de el utilizar servicios gratuitos como LastPass (al que por cierto le debo un articulo entero)

Mas Información:
XSS demo for stealing passwords from the Firefox password manager

También puede interesarte...

• ¿Cómo Recuperar una Cuenta de Facebook?
• Resetear Password de Root
• Como Recuperar Clave MySQL
• Listado de Diccionarios para Realizar Ataques de Fuerza Bruta
• “1234″ y “password” son las Contraseñas + Utilizadas en USA
• Las Peores 500 Contraseñas de Todos los Tiempos
• PassPub, Generador de Contraseñas Seguras
• Maneja tus Contraseñas de Forma Sencilla

Precisamente sobre este tema habló en el EISI  III (descarga las diapositivas si deseas) y nos explico claramente el origen del problema, como se explotaba y su solución; para quienes no asistieron al encuentro internacional de seguridad informática (el encuentro de seguridad en Colombia), les dejo una serie de vídeos realizados por el mismo Luciano Bello para la Universitat Oberta de Catalunya (Universidad Abierta de Cataluña) en el que nos explican paso a paso el famoso fallo en OpenSSL que afectó Debian y sus derivados hace ya 2 años.

El vídeo se encuentra dividido en 5 módulos, en los que se explica en profundidad cada una de las etapas del fallo para entenderlo mejor.

Análisis del Fallo en el Generador de Números Aleatorios

El error

Explotación del bug

Explotación del bug: Descifrando PFS en EDH

Explotación del bug: MitM, DSA y conclusión

Espero que les gustara esta serie de vídeos, la verdad esta explicación es mucho mas simple que cualquier otra en la que Luciano explicara el fallo (incluso en vivo), por lo que es recomendado incluso si ya sabes como es el Fallo en el Generador de Números Aleatorios de OpenSSL/Debian.

También puede interesarte...

• Sin SSL ¿Y Ahora Quien Podrá Defendernos?
• COMBAT Training v2.0 en Colombia
• El futuro de la industria de la Seguridad Informática
• Fallo en OpenSSL permite obtener clave privada
• Resetear Password de Root
• Pastel, Cheet Sheets, Chuletas en la Seguridad Informática
• “Crean” un navegador pensando en su seguridad
• Confirmado el COMBAT Training en Colombia

Durante este curso de 5 días, el asistente aprenderá como comprometer la seguridad de toda una organización utilizando las mismas técnicas, herramientas y metodología usada por atacantes reales. Este es un curso altamente práctico, donde el asistente se enfrentará a diferentes desafíos que deberá superar, y que luego serán explicados en detalle. De esta forma, el asistente aprenderá del instructor, de sus colegas, y de sus propios errores y aciertos.

MODALIDAD DEL CURSO
El COMBAT training es un curso 90% práctico – 10% teórico, en donde el asistente será constantemente enfrentado a nuevos desafíos, con la guía del instructor.

A cada asistente se le proveerá una máquina virtual con BACKTRACK, una distribución de Linux diseñada para Penetration Testers, desde donde se realizarán la mayoría de los laboratorios. También se proveerá una placa Wireless para ser usada durante los laboratorios de Wireless Hacking.

QUIEN DEBERÍA ASISTIR
Penetration Testers, Ethical Hackers, Consultores y Auditores que necesiten tener un mayor conocimiento técnico, Estudiantes de Sistemas, todos aquel los interesados en aprender como descubrir vulnerabilidades en las redes de su organización.

FECHA, LUGAR Y COSTO
Las fechas y las ciudades donde se realizarán las 2 capacitaciones son:

• BOGOTÁ: 5,6,7,8 y 9 de Abril de 9am a 6pm.
• MEDELLÍN: 12,13,14,15 y 16 de Abril de 9am a 6pm.

El costo es de 999USD (el mismo entrenamiento en argentina tiene un costo de 1200USD) e incluye una entrada gratuita a la EKO Party de este año, certificación del training, almuerzos, refrigerios, memoria y participación el el Capture The Flag al final del curso, cuyos premios son:

Espadas, dagas y estrellas ninja

FORMAS DE PAGO:

Para ver los temas a tratar en estos 5 días e información mas detallada del entrenamiento, pueden descargar este pdf.

Si estas interesado en asistir a esta capacitación, por favor PRE-Inscribete en el siguiente formulario:

También puede interesarte...

• Confirmado el COMBAT Training en Colombia
• Encuesta Latinoamericana de Seguridad Informática
• ¿Dónde estudiar seguridad informática en Colombia?
• Entrevista a Jose Maria “Chema” Alonso para La Comunidad DragonJAR
• OLPC y Sugar en Colombia
• Transmitiendo en VIVO desde La Campus Party Colombia
• Seguridad Informática con Software Libre
• DragoN Party 2009

En los siguientes videoturiales, aprenderemos de la mano de David Hoelzer, como crear un Exploit paso a paso y convertirlo en un modulo de Metasploit para después utilizarlo con este excelente framework; aunque los vídeos se encuentran en ingles, son bastante prácticos y visuales, con lo que no tendremos ningún problema al seguirlos.

El código utilizado en los vídeos fue:

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define PORT “7777″ // the port users will be connecting to

#define BACKLOG 10 // how many pending connections queue will hold

void vulnerable(char *net_buffer)
{
char local_buffer[120];
strcpy(local_buffer, net_buffer);
return;
}

void sigchld_handler(int s)
{
while(waitpid(-1, NULL, WNOHANG) > 0);
}

// get sockaddr, IPv4 or IPv6:
void *get_in_addr(struct sockaddr *sa)
{
if (sa->sa_family == AF_INET) {
return &(((struct sockaddr_in*)sa)->sin_addr);
}

return &(((struct sockaddr_in6*)sa)->sin6_addr);
}

int main(void)
{
int sockfd, new_fd; // listen on sock_fd, new connection on new_fd
struct addrinfo hints, *servinfo, *p;
struct sockaddr_storage their_addr; // connector’s address information
socklen_t sin_size;
struct sigaction sa;
int yes=1;
char in_buffer[20], out_buffer[20], net_buffer[2048];
char s[INET6_ADDRSTRLEN];
int rv;

memset(&hints, 0, sizeof hints);
hints.ai_family = AF_UNSPEC;
hints.ai_socktype = SOCK_STREAM;
hints.ai_flags = AI_PASSIVE; // use my IP

if ((rv = getaddrinfo(NULL, PORT, &hints, &servinfo)) != 0) {
fprintf(stderr, “getaddrinfo: %s\n”, gai_strerror(rv));
return 1;
}

// loop through all the results and bind to the first we can
for(p = servinfo; p != NULL; p = p->ai_next) {
if ((sockfd = socket(p->ai_family, p->ai_socktype,
p->ai_protocol)) == -1) {
perror(“server: socket”);
continue;
}

if (setsockopt(sockfd, SOL_SOCKET, SO_REUSEADDR, &yes,
sizeof(int)) == -1) {
perror(“setsockopt”);
exit(1);
}

if (bind(sockfd, p->ai_addr, p->ai_addrlen) == -1) {
close(sockfd);
perror(“server: bind”);
continue;
}

break;
}

if (p == NULL) {
fprintf(stderr, “server: failed to bind\n”);
return 2;
}

freeaddrinfo(servinfo); // all done with this structure

if (listen(sockfd, BACKLOG) == -1) {
perror(“listen”);
exit(1);
}

sa.sa_handler = sigchld_handler; // reap all dead processes
sigemptyset(&sa.sa_mask);
sa.sa_flags = SA_RESTART;
if (sigaction(SIGCHLD, &sa, NULL) == -1) {
perror(“sigaction”);
exit(1);
}

printf(“server: waiting for connections…\n”);

while(1) { // main accept() loop
sin_size = sizeof their_addr;
new_fd = accept(sockfd, (struct sockaddr *)&their_addr, &sin_size);
if (new_fd == -1) {
perror(“accept”);
continue;
}

inet_ntop(their_addr.ss_family,
get_in_addr((struct sockaddr *)&their_addr),
s, sizeof s);
printf(“server: got connection from %s\n”, s);

if (!fork()) { // this is the child process
close(sockfd); // child doesn’t need the listener
memset(net_buffer, 0, 1024);
strcpy(out_buffer, “HELO\nCOMMAND:”);
if (send(new_fd, out_buffer, strlen(out_buffer), 0) == -1)
perror(“send”);
if (recv(new_fd, net_buffer, 1024, 0))
{
vulnerable(net_buffer);
strcpy(out_buffer, “RECV: “);
strcat(out_buffer, net_buffer);
send(new_fd, out_buffer, strlen(out_buffer), 0);
}
close(new_fd);
exit(0);
}
close(new_fd); // parent doesn’t need this
}

return 0;
}

También puede interesarte...

• Vídeo: Introducción al Metasploit Framework
• Vídeo Tutorial de IPTables
• Video Tutorial, Cómo descargar y editar archivos Flash (SWF)
• Video: Explotando WM Downloader
• Bypass con Metasploit: atacando a nuestro objetivo desde una maquina ya comprometida
• Metasploit Framework 3.3.2
• Desbloquear iPod Touch 2G Fácilmente
• Metasploit Framework 3.2 Portable para Windows

Sin mas preámbulos, los dejos con las memorias del DISI 2009

Inauguración DISI 2009
D. José Manuel Perales, D. Ramón Capellades, D. César Sanz, D. Jorge Ramió

Duración: 07:28 minutos

Conferencia Inaugural. Hashing Aleatorio: Firmas Digitales Seguras sin Resistencia a Colisiones
D. Hugo Krawczyk, IBM Research – Estados Unidos

Duración: 01:10:19 horas, Las diapositivas puedes descargarlas de aquí.

Coloquio Tendencias en Malware
D. José Bidot Director de Segurmática Cuba, D. Ero Carrera Chief Research Officer Collaborative Security VirusTotal España y D. Emilio Castellote Director de Marketing de Panda Security España. Modera D. Justo Carracedo Catedrático de la EUITT-UPM

Duración: 01:20:50 horas, Puedes descargar diapositivas de D . José Bidot (aqui) y las Diapositivas de D . Ero Carrera (aqui).

Coloquio Mitos y Realidades en Hacking
D. Luis Guillermo Castañeda Director de Servicios Profesionales de Rusoft México, D. Chema Alonso Consultor de Seguridad de Informática64 España, D. Alejandro Ramos Manager de TigerTeam en SIA España y D. Rubén Santamarta Consultor Técnico Independiente España. Modera D. Daniel Calzada Profesor Titular de la EUI-UPM

Duración: 01:46:57 horas, Puedes descargar las Diapositivas de D . Luis Guillermo Castañeda (aquí), y las Diapositivas de D . Chema Alonso (aquí)

Clausura DISI 2009
D. Justo Carracedo, Dña. Gemma Déler, D. Jorge Ramió

Duración: 06:15 minutos

Si quieres descargar los vídeos de estas charlas puedes instalar el plugin para Mozilla Firefox Video DownloadHelper.

Para mas información visita la página oficial del evento, donde encontraras también las Ponencias del DISI 2006, las del DISI 2007. y las ponencias del DISI 2008.

También puede interesarte...

• Memorias del DISI 2008
• El futuro de la industria de la Seguridad Informática
• Kevin Mitnick – The Art Of Deception – Video Conferencia
• 1st Security Blogger Summit
• Video: Explotando WM Downloader
• ¿Dónde estudiar seguridad informática en Colombia?
• Vídeo: Introducción al Metasploit Framework
• Video: Ataque de envenenamiento de cookies (Cookie-Poisoning)

Este libro reúne desde los conceptos más básicos a los más avanzados de la Seguridad Informática. En la segunda entrega se explican los diferentes protocolos que hacen posible la comunicación entre computadoras, el modelo OSI, el protocolo TCP/IP, ICMP, UDP y ARP con el que se finaliza realizando un laboratorio practico.

Descargar Capitulo 2 de “El Atacante Informático”

Capítulos Publicados:

• El Atacante Informático – Capitulo 1
• El Atacante Informático – Capítulo 2

Para Mas Información:
IT Forensic

También puede interesarte...

• La arquitectura de seguridad OSI
• Descarga Gratis el Libro de Una al Día
• (IN)SECURE Magazine Edición 21
• Cárcel y Multas para Delitos Informáticos en Colombia
• Libro: Redes Inalámbricas en los Países en Desarrollo
• Aspectos Avanzados de Seguridad en Redes
• Skipfish, el escáner de Google para seguridad de aplicaciones web
• Memorias del DISI 2009

La esteganografía se puede definir como la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto. En este articulo, se dan a conocer las técnicas en que se basa la estenografía, sus aplicaciones y diferencias frente a la criptografía.

Si deseas descargar el articulo en PDF, puedes hacerlo con el siguiente enlace “La esteganografía, el arte de ocultar información”.

Mas Información:
Pagina oficial de INTECO
Articulo “Esteganografía, el arte de ocultar información”

También puede interesarte...

• ¿Cómo Configurar la Privacidad en las Redes Sociales?
• Taxonomía de un Ataque con Backtrack 4
• La arquitectura de seguridad OSI
• ¿Como Eliminar la Contraseña de un PDF?
• OWASP.TV, videos en línea de las conferencias OWASP
• La mejor presentación de Seguridad en Aplicaciones Web
• OpenStego, solución libre para esteganografía
• Proyecto libre StegSecret – Herramientas libres para estegoanálisis

Aun así, cada que publicamos un nuevo numero de nuestra ezine, muchas personas preguntan donde descargar los demás números y nos comentan que desconocían totalmente el proyecto, para  todas estas personas que desconocen la revista de nuestra comunidad, les dejo los 4 números que hemos publicado hasta el momento para que los visualicen desde su navegador o los descarguen según sus gustos.

Ezine #1 BETA de La Comunidad DragonJAR

E-zine #2 Comunidad DragonJAR

E-zine #3 Comunidad DragonJAR

E-zine #4 Comunidad DragonJAR

Este año con la ayuda de Seifreed esperamos aumentar la periodicidad con la que publicamos estos números y la calidad de los artículos contenidos en cada uno de ellos, si quieres participar de alguna forma con nuestra revista digital visita este enlace.

También puede interesarte...

• Nuestros propósitos para el 2010
• Convocatoria para el próximo numero de DragonZineIT
• Nuestros propósitos para el 2009
• Ezine Phrack # 65
• Ezine #1 BETA de La Comunidad DragonJAR
• COMBAT Training v2.0 en Colombia
• Revista Electrónica El Derecho Informático
• Boletín de La Comunidad DragonJAR #0008

Bruce Schneier es un experto en seguridad informática de renombre internacional, autor de numerosos libros y papers. Descrito por The Economist como un “gurú de la seguridad”, es mejor conocido como un crítico de la seguridad refrescantemente franco, lúcido y comentarista. En esta charla, realizada en la Universidad Politécnica de Madrid, Bruce nos muestra como ve el futuro de la seguridad informática.

Aunque la charla en su mayoría esta hablada en ingles, es muy fácil seguirla; Sorprende ademas como Bruce sin ningún tipo de ayudas visuales habla por casi una hora y media sin perder en ningún momento la atención de los asistentes a la charla, lo que demuestra el total control que tiene sobre este tema.

Mas Información:
Pagina Oficial de Bruce Schneier
The future of the security Industry. Bruce Schneier

También puede interesarte...

• Memorias del DISI 2009
• ¿Dónde estudiar seguridad informática en Colombia?
• ¿Qué se siente asistir a una DEFCON?
• Encuesta Latinoamericana de Seguridad Informática
• 1st Security Blogger Summit
• Memorias del DISI 2008
• Memorias y Videos del Asegúr@IT III
• Memorias Securinf v2.0