La Comunidad DragonJAR

WM Downloader es un reproductor de Windows y un MP3 Stream Rippe/grabber (No graba directamente los sonidos desde el programa), el cual hace mas fácil descargar streaming de Windows y SHOUTcast Streams. Con este programa puedes descargar de manera muy sencilla todos tus podcast o videopodcast favoritos.

Sin embargo WM Downloader en su versión  3.0.0.9 presenta algunos fallos de seguridad considerables, así lo demuestra DouBle Zer0 Zer0, en un vídeo donde nos  muestra como se puede explotar una vulnerabilidad de tipo “stack overflow” creando archivos m3u corruptos. A continuación el vídeo,  y el exploit lo pueden visualizar desde acá. Leer el resto de la entrada »

Con la aparición de las redes y las aplicaciones cliente servidor, se desarrollaron modelos y estándares que todos durante nuestra experiencia académica hemos ido conociendo, es bien conocido por todos el Modelo OSI para todo lo que esta relacionado con las redes y los protocolos de comunicación, pero ¿Sabíamos que también existe La Arquitectura de Seguridad OSI?.

Leer el resto de la entrada »

Una de las aplicaciones mas comunes utilizadas en los sitios web,  son las películas y clics hechos en Adobe Flash (antes de Macromedia),  animaciones, slideshows  y anuncios publicitarios en este formato, están a la orden del día por toda la red. La facilidad con la que se crean y la gran cantidad de documentación sobre el uso de Flash, a colaborado para que su uso se extienda a millones de sitios web.

A pesar de ser una herramienta muy útil,  personalmente pienso que esta sobreutilizada y que tiene gran cantidad de defectos, como no poder ser indexados adecuadamente en los buscadores,  la cantidad de recursos que consume cuando se utiliza para visualizar película s o vídeos online,  a esta lista de desventajas, ahora hay que sumarle un nuevo fallo de seguridad, descubierto por el investigador MustLive y publicado en su sitio websecurity.com.ua. Leer el resto de la entrada »

Cuando se realiza una auditoria, siempre es recomendable seguir una serie de pasos para no pasar por algo ningún detalle que pueda resultar crucial para nuestra investigación, a continuación les dejo un pequeño listado de las cosas a las que debemos echarle una ojeada cuando auditamos una base de datos oracle.

1). Determinar si en la BD esta activo el modo de operación en ARCHIVELOG o NONARCHIVELOG. Si este no esta activo, la evidencia de ataque o cambios serán sobrescritos por un nuevo redo.

Se puede determinar realizando una sentencia SQL a la BD:

• SELECT VALUE V$PARAMETER WHERE FROM NAME=’archiv_log_start’;

Leer el resto de la entrada »

Cuando se piensa en seguridad informática casi siempre nos enfocamos a equipos firewalls, sistemas o software de trafico, IDS, y demás herramientas relacionadas con aquellas actividades que te permiten proteger o en su caso atacar a sistemas de computo vulnerables. Sin embargo poco se habla de los sistemas se seguridad física, los cuales son aplicados en muchos lugares que visitamos sin siquiera percatarnos de que existen o para que nos pueden servir en un enfoque global de seguridad de la información a empresas o entidades.

Si alguna empresa llama a una consultoría para realizar una auditoría para proteger sus sistemas de ataques de hackers, muchas de ellas de no estar bien capacitadas o documentadas se enfocaran al 100% en registrar vulnerabilidades en servidores, servicios y aplicaciones, pero que pasa con la gente? Que pasa con la ingeniería social?; ya no se acuerdan del caso 1 KEVIN MITNICK personaje que además de ser un estupendo hacker montado en su portátil desarrollo una gran habilidad en el ámbito del engaño, habilidad conocida como “Ingeniería Social”, dicen los expertos que no hay mejor manera de hacer una instrusión que utilizar los ojos, la palabra y la mente, esas herramientas son las mas efectivas y letales.

Contemplando este escenario existe equipo que permiten disponer de un control físico de las persona y cosas que ingresan a un lugar donde se puede suscitar algún ilícito como es el robo de información.

¿Que dispositivos conoces?

Te enumerare solo algunos de los que se manejan en un mercado tan cerrado y tan limitado como este.

CCTV . Sistema de Circuito Cerrado de Televisión, este sistema instalado en lugares como bancos, restaurantes, centros comerciales, calles, oficinas, etc; es sin duda unos de los sistemas de vigilancia física más utilizados y comerciales que existen hoy en día, sin embargo es importante conocer qué debemos de contemplar al implementar un sistema como estos, para que en el momento de la verdad, nuestros vídeos muestren las evidencias que necesitamos. Leer el resto de la entrada »

Una semana más que finalizamos, haciendo eco a las noticias más relevantes de cada semana.

• Destacamos el lanzamiento de la versión 11 de Fedora (Leonidas), la cual en el transcurso de la semana ha dado mucho de que hablar gracias a sus múltiples mejoras como el soporte de huellas integrado, la integración del proyecto LTSP, DeviceKit (alternativa a HAL), y mucho más.
• Para los usuarios de Drupal se encuentra disponible un libro en el que se explica muchos de los ataques a los que estás expuesto al hacer uso de este CMS y además como evitarlos. El libro se llama Cracking Drupal y aquí encuentras su índice.
• Ya se encuentra disponible la versión 2.6.30 del Kernel Linux, se incluyen múltiples cambios especificados en el ChangeLog. Lo más probable es que la distribución que estés usando se demore para agregarlo a los repositorios así que lo más recomendado es compilarlo por tí mismo.
• Hace algunos días ya, se había hablado de una vulnerabilidad en VMware Workstation que al ser explotada permitía acceso a la máquina anfitrión. Se hablan sobre varias herramientas que facilitan la explotación de la vulnerabilidad.
• Lanzada la versión 1.7 de Kerberos 5. Para los que no saben Kerberos es un protocolo de autenticación de red, diseñado para proveer autenticaciones fuertes para aplicaciones cliente/servidor usando una clave secreta. Más información aquí.

Feliz fin de fin de semana para todos y con la expectativa de una nueva semana llena de muchas sorpresas.

Continuando con la colección de extensiones Firefox imprescindibles para mejorar nuestra navegación, veremos hoy algunas de las mejores enfocadas a la seguridad en la red. Ayer veíamos addons sobre Privacidad, pero como resalté anteriormente la privacidad es sólo uno de los tantos aspectos de los que debemos preocuparnos al utilizar Internet. Lastimósamente, la red está plagada de Malware y no sólo tener un buen antivirus y un firewall te mantendrá protegido (aunque si ayudan) ya que en la mayoría de los casos la desinformación del usuario (capa 8 ) es la responsable de la no filtración del contenido al que accede.

Quizás la herramienta más usada a diario es nuestro navegador Web por este motivo es muy importante tener un balance entre usabilidad/seguridad para posiblemente ahorrarnos más de un dolor de cabeza.

Leer el resto de la entrada »