La Comunidad DragonJAR » Rootkits http://www.dragonjar.org Noticias de actualidad y seguridad informática, herramientas de seguridad, documentación y una excelente COMUNIDAD. Sat, 11 Feb 2012 22:13:24 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 OSSEC – Sistema de Detecion de Intrusos Basado en Hosthttp://www.dragonjar.org/ossec.xhtml http://www.dragonjar.org/ossec.xhtml#comments Tue, 28 Sep 2010 20:11:57 +0000 DragoN http://www.dragonjar.org/?p=3452 OSSEC OSSEC Sistema de Detecion de Intrusos Basado en Host

es un proyecto open source de gestión de Logs, que monitoriza una máquina, y que detecta las anomalías que puedan producirse en ella. Para hacer esto utiliza  herramientas para la detección de , para revisar la integridad de ficheros y ejecutables del sistema, y por último un potente sistema para analizar logs.

ossec logo OSSEC Sistema de Detecion de Intrusos Basado en Host

Esta basado en un modelo de cliente-servidor, con lo cual tendremos un servidor centralizado que se encarga de recibir y actuar en base a la información que reciba de los agentes que, en definitiva, son las máquinas que están siendo monitorizadas y atacadas. La forma de actuar del servidor es, por una parte, enviando notificaciones, y por otro lado, si así se configura, generando reglas firewall que se ejecutarán en los propios agentes.

Funciona en la mayoría de sistemas operativos, incluyendo Linux, , FreeBSD, MacOS, y , ademas acaba de salir la nueva versión 2.5 de este proyecto, la cual incluye numerosos cambios que hacen de este proyecto una verdadera opción a elegir.

Descargar OSSEC 2.5

Mas Información:
Pagina Oficial del OSSEC

También puede interesarte...

]]> http://www.dragonjar.org/ossec.xhtml/feed 9 Problema de Seguridad en BIOS de Boards Intelhttp://www.dragonjar.org/problema-de-seguridad-en-bios-de-boards-intel.xhtml http://www.dragonjar.org/problema-de-seguridad-en-bios-de-boards-intel.xhtml#comments Thu, 30 Jul 2009 03:54:35 +0000 DragoN http://www.dragonjar.org/?p=2859 Desde finales del año pasado la empresa de Invisible Things Lab ha estado “jugando” últimamente con la seguridad introducida por intel en algunos de sus productos y han conseguido saltar la validación de la tecnología TXT (Trusted Execution Technology) que, en teoría impide la ejecución de código malicioso en el equipo sin tener instalado, lograron realizar CPU Cache Poisoning y en el ultimo black hat mostraron como Atacar la BIOS de algunas Boards Intel, permitiendo mediante un sofisticado ataque de heap  overflow realizar un reflasheo de la misma.

3781608381 a7ca4dda96 Problema de Seguridad en BIOS de Boards Intel

Este ultimo problema de seguridad descubierto por Invisible Things Lab permite a un usuario tomar el control absoluto de la máquina sin que el usuario o el mismo sistema pueda darse cuenta, debido a una falla en la BIOS de algunas de placas madres Intel.

Intel ha reconocido esto fallo en la BIOS de sus boards, las cuales son utilizadas en equipos de escritorio y en servidores, según la compañía hasta el momento no se conoce de algún caso en que el fallo haya sido aprovechado, por lo que recomiendan realizar una actualización de la BIOS de todas las placas madres que se han visto afectadas.

Si tienes alguna de estas boards de intel para escritorio

D5400XS
DX58SO
DX48BT2
DX38BT
DP45SG
DQ45CB
DQ45EK
DQ43AP
DB43LD
DG41MJ
DG41RQ
DG41TY
DG45ID
DG45FC
DG43NB
DP43TF
DQ35JO
DQ35MP
DG33BU
DG33FB
DG33TL
DP35DP
D945GSEJT
D945GCLF
D945GCLF2

O alguna de estas boards para servidores de intel:

3000
S3200
S5000
S5400 y S5500.

Es mas que recomendable que actualices tu BIOS para no ser victima de este tipo de ataques.

Si quieres ver los y diapositivas de las investigaciones realizadas por Invisible Things Lab , aquí te las dejo:

Attacking Intel® Trusted Execution Technology (Black Hat DC, Feb 2009)
by

Press releases: Announcement PR (PDF), Post-conference PR (PDF)
Blog commentary: announcement
Paper & Slides: Paper (PDF), Slides (PDF), Slides (Keynote), Slides (MOV)
Code: [to be published once Intel patches the firmware]

Attacking SMM Memory via Intel® CPU Cache Poisoning (March 2009)
by Rafal Wojtczuk and Joanna Rutkowska

Paper: PDF
Blog commentary: announcement
Code: here

Attacking Intel® BIOS (Black Hat USA, July 2009)
by Rafal Wojtczuk and Alexander Tereshkin

Press releases: PDF
Blog commentary: announcement
Slides: PDF
Code: [Coming soon]

Introducing Ring -3 (Black Hat USA, July 2009)
by

Press releases: PDF
Slides: PDF

Mas Información y Actualización de BIOS:

Intel® Desktop and Intel® Server Boards Privilege Escalation

Cache Poisoning

También puede interesarte...

]]> http://www.dragonjar.org/problema-de-seguridad-en-bios-de-boards-intel.xhtml/feed 4 Avira Premium Security Suite Gratishttp://www.dragonjar.org/avira-premium-security-suite-gratis.xhtml http://www.dragonjar.org/avira-premium-security-suite-gratis.xhtml#comments Tue, 21 Apr 2009 14:26:36 +0000 DragoN http://www.dragonjar.org/?p=2209 Es una estrategia ya común entre las empresas desarrolladoras de regalar licencias por periodos de tiempos relativamente largos, para darse a conocer a los usuarios y que eventualmente estos compren la de su producto.

logoweb Avira Premium Security Suite Gratis

Esto es lo que ha echo la empresa Avira, con una promoción en la que regala 6 meses de licencia para su producto Avira Premium Security Suite, una completa suite que cuenta con, Anti Virus, Anti Spyware, Firewall, Control Paternal, Backups, Anti RootKits, Anti Bot, Anti Phishing, y mas.

Pasos para obtener una licencia de Avira Premium Security Suite por 6 Meses

Disfruta la licencia de esta excelente suite de y si te agrada en estos 6 meses comprarlo.

También puede interesarte...

]]> http://www.dragonjar.org/avira-premium-security-suite-gratis.xhtml/feed 7 Memorias y Videos del Asegúr@IT IIIhttp://www.dragonjar.org/memorias-y-videos-del-asegurit-iii.xhtml http://www.dragonjar.org/memorias-y-videos-del-asegurit-iii.xhtml#comments Thu, 25 Dec 2008 22:35:18 +0000 DragoN http://www.dragonjar.org/?p=1706 El pasado 25 de septiembre se celebró en Bilbao el evento gratuito Asegúr@IT III, en la sede de la de Deusto, Contó con la partición de ponentes que trabajan en empresas como Panda Security, , S21Sec e Informatica64.

Chema Alonso en su blog (Un Informático en el Lado del Mal) ha publicado las memorias y los vídeos de casi todas las charlas de este evento, espero que sean de su agrado.

Asegúr@IT III – Técnicas de protección de Software y Cracking

: Memory Subverting

Iñaki Etxeberria [Panda Security]

Asegúr@IT III – Rootkits: Memory Subvertion

Tempest: Mitos y Realidades

Pablo Garaitzar “Txipi” [Universidad Deusto]

Asegúr@IT III – Tempest: Mitos y Realidades

Network Access Protecction (NAP)

Juan Luís Rambla [64]

Asegúr@IT III – Network Access Protection (NAP)

Masivos SQL Injection

David Carmona [Spectra]

Asegúr@IT III – Ataques SQL Injection masivos

También puede interesarte...

]]> http://www.dragonjar.org/memorias-y-videos-del-asegurit-iii.xhtml/feed 0 Juega a destruir el malware con Kasperskyhttp://www.dragonjar.org/juega-a-destruir-el-malware-con-kaspersky.xhtml http://www.dragonjar.org/juega-a-destruir-el-malware-con-kaspersky.xhtml#comments Thu, 25 Sep 2008 21:23:14 +0000 4v4t4r http://www.dragonjar.org/?p=1272 Ahora las campañas de concienciación y educación en llegan a otros niveles más “entendibles” y divertidos. Todo con la finalidad de llegar a más público objetivo, que muchas veces le teme a tecnicismos utilizados en este tipo de campañas.

logoai6 Juega a destruir el malware con Kaspersky

Muestra de ello es el reciente lanzamiento de varios juegos publicados por Labs en su página Web, allí podemos encontrar a “comecocos”, “Brikwall” y “Asteroids”. Estos clones de juegos ya conociodos desde hace muchos años (entre ellos Pac-Man), intentarán acercar a los usuarios sobre los diferentes tipo de amenzas existentes en la red.

Los juegos resultan entretenidos para algunos nostálgicos (incluyéndome), dejo a continuación varias capturas de pantalla:

Comecocos

comecocosiq1 Juega a destruir el malware con Kaspersky

Brikwall

brikwalllh3 Juega a destruir el malware con Kaspersky

Ateroids

asteroidstl6 Juega a destruir el malware con Kaspersky

La página web ofrece un sistema de rankings con los mejores puntajes para llevar a cabo varias premiaciones:

Una Nintendo Wii para el primer puesto.
Dos Nintendo DS para el segundo puesto.
Una versión completa de Kaspersky Internet Security 2009 para el tercer puesto.

Una camiseta y una gorra para los puestos comprendidos entre el cuarto y décimo puesto.

Página web de los juegos de Kaspersky Labs

También puede interesarte...

]]> http://www.dragonjar.org/juega-a-destruir-el-malware-con-kaspersky.xhtml/feed 3 Rootkits, jugando a las escondidashttp://www.dragonjar.org/rootkits-jugando-a-las-escondidas.xhtml http://www.dragonjar.org/rootkits-jugando-a-las-escondidas.xhtml#comments Mon, 12 May 2008 22:27:31 +0000 DragoN http://www.dragonjar.org/?p=195 Este artículo es un informe acerca de los , aplicaciones con capacidades de ocultamiento, en el que se detallan sus cualidades, evolución, funcionamiento y los usos que se le dan con fines maliciosos.

En el artículo “Rootkits, jugando a las escondidas” se analiza a estas herramientas, a partir de su definición, funcionalidades y los usos que se le dan, muchas veces con fines delictivos. El objetivo de este informe es integrar los conocimientos actuales sobre este tipo de aplicaciones y la capacidad de los para lidiar con ellos.

Introducción
Actualmente, el contempla una gran cantidad de tipos de códigos maliciosos, diseñados
específicamente para realizar una tarea puntual en el equipo infectado.
Dentro de esta categorización se suele ubicar a los rootkits como códigos dañinos capaces de ocultar
acciones al sistema y/o al usuario. Sin embargo, esta definición se ajusta tan sólo en parte al concepto y el
objetivo del presente es integrar los conocimientos actuales sobre este tipo de herramientas y la
capacidad de los antivirus para lidiar con ellas.
Reseña histórica y definición
Antes de comenzar con los detalles técnicos, es apropiado realizar una síntesis de la evolución de los
rootkits y más precisamente, del por qué de su denominación y un detalle de sus funcionalidades.
Típicamente, se llama root al usuario con mayores privilegios dentro del sistema operativo Unix o
derivados. Cualquier usuario distinto de root tiene menores privilegios. Por este motivo, los permisos de
este usuario son los que cualquier persona o proceso ajeno al sistema desea poder obtener para realizar
acciones no deseadas.
Por esto, originalmente el término root-kit correspondía a un conjunto de herramientas que permiten el
control del usuario root y de los procesos del sistema operativo, a la vez que estas aplicaciones
permanecen indetectables para el mismo y por ende, para el usuario.
La “necesidad” de autodefensa de los programas dañinos llevó a que los mismos evolucionen e
incorporen técnicas de ocultación conocidas como steatlth, las cuales han sido utilizadas desde siempre
en otros sistemas operativos como DOS y las primeras versiones de .
Por citar un caso, en los ’90 un programa dañino denominado Whale ya era capaz de interceptar servicios
de DOS y entregar al usuario datos falsificados de algún área del sistema.
Esta evolución de las aplicaciones dañinas llevó a que el término también fuera aplicado a aquellas
versiones de Windows que permiten diferentes grados de acceso, aquellos con kernel NT (Windows NT,
Windows 2000, Windows XP y Windows Vista), y no solo a los sistemas Unix.

Descargar documento en pdf “Rootkits, jugando a las escondidas
Mirror para la Comunidad (password: www.dragonjar.org)

Autor: Cristian Borghello CISSP, Technical & Educational Manager de ESET para Latinoamérica.

También puede interesarte...

]]> http://www.dragonjar.org/rootkits-jugando-a-las-escondidas.xhtml/feed 1