http://www.meleagro.es.kz]]>Vuelve uno de sus vacaciones y entra la web oficial de Slackware. Una gran sorpresa, apenas escriben nada que no sean las publicaciones de versiones.
Esto me gusta, me parece conveniente que noticas de este calado se salgan del changelog y salpiquen la web.
KDE 4.1 en la rama testing. Interesante. Muy interesante. Me parece muy acertado ya que así se le concede a la nueva versión del escritorio un caracter oficial, si bien aún no está lo suficientemente maduro y no tiene todas las funcionalidades desarrolladas.
La subrama testing dentro de la rama current me parece una gran opción.

Sin embargo una sensación rara al navegar la web se confirma tras la lectura del segundo parrafo, que cito textualmente:

Also, we recently commissioned Mark from Senile Felines Designs to create a unique new Slackware Logo (that's it there in the upper right), as we were getting a number of bug reports that the old logo could not be read easily while standing on one's head. ;-) We think he did a great job with it! If you like the new logo, we are selling shirts, stickers and other products with it at the Official Slackware CafePress Store, and if the design proves to be popular we'll likely have some of these products mass produced for the main Slackware Store. Meanwhile, you can help support the Slackware project, _and_ be the first on your block to show off the new Slackware "flippy" logo! :-)

El nuevo logo queda tal que así:



Estéticamente cada uno tiene su gusto. A mí personalmente me parece horrible e ilegible, ni boca arriba ni boca abajo. Me recuerda a esos dibujos en tres dimensiones en los que debes desenfocar la vista para poder verlos (las camisetas de Slackware Store con los diseños son aún peores).

Pero si nos salimos de la estética pienso que en lugar de perder el tiempo en estas C H O R R A D A S deberían invertirlo en algo util. Presencia en alguna conferencia, elaboración de newsleters tipo Gentoo para saber en qué está trabajando Slackware y hacia dónde va, dificultades que se encuentra, soporte oficial de pam, actualizar la lista de other sites dando el reconocimiento que las comunicades se merecen, live CD/DVD oficial u otra larga lista.
O al menos presentar el asunto en las listas oficiales para que haya debate.
Si no recuerdo mal hace algún tiempo Gnome dejó de ser oficial porque consumía mucho tiempo su compilación. Que conste que soy KDEero.


]]>Asique los que habitualmente navegáis por mi blog podéis tomaros un respiro, o mejor aún, utilizar la sindicación para estar informados de cuando escribo (que no es muy a menudo) y de paso elevar mi malerido ego, a no ser que seáis uno de estos 12 valientes:






Yo mientras tanto con las chanclas, bañador, toalla, sombrilla y esta camiseta:






Buen Verano !!

]]>Más interesante que contar lo ya contado y recontado es escribir de manera ordenada los recursos que conozco a día de hoy para detectar este problema, auditarlo e incluso explotarlo, sin pasar por algo recomendaciones y soluciones al mismo. Vamos allá.

Si quieres saber si un servidor es vulnerable:

1. Herramienta web del propio Dan Kaminsky.
2. Script en perl para lanzar contra un servidor DNS.

Para detectar si se está sufriendo un ataque de este tipo hay un par de reglas para Snort muy valiosas que ha publicado recientemente Emerging Threats:

1. DNS Poisoning Signature

<br/>alert udp $EXTERNAL_NET any -> $DNS_SERVERS 53 (msg:"ET CURRENT_EVENTS Excessive DNS Responses with 2 or more RR's - Likely Cache Poisoning Attempt"; byte_test:2,>,0,6; byte_test:2,>,0,10; threshold: type both, track by_src, count 300, seconds 100; sid:2008446; rev:1;)

2. New DNS Vulnerability

<br/>alert udp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"JONKMAN Excessive DNS Traffic"; threshold: type both, track by_src, count 30, seconds 30; sid:xxx; rev:1;)

Para explotar esta vulnerabilidad tenemos también dos recursos muy buenos de la mano de los chicos de Computer Academic Underground en forma de exploits para el Metasploit:

1. Kaminsky DNS Cache Poisoning Flaw Exploit.

2. Kaminsky DNS Cache Poisoning Flaw Exploit for Domains.

Para los administradores solo hay una recomendación:

1. ¡¡ Actualiza tus servidores DNS !! Hay parches desde hace días para cualquier servidor DNS.

Para los usuarios hay varias posibles opciones:

1. Comprueba mediante las herramientas comentadas anteriormente que el servidor DNS que utilizas no es vulnerable.

2. En caso de que lo sea te recomiendo migrar a uno que no lo sea, un buen paso sería la migración a OpenDNS. Si no sabes que es OpenDNS te recomiendo darte un paseo por el blog SBD.

ACTUALIZADO 24/07/2008:

Me entero de una nueva herramienta para comprobar si tu servidor DNS es vulnerable. Ha sido desarrollada por Pandalabs y es un ejecutable para Windows.

]]>compra de OSSEC por parte de Third Brigade. Parece que a raiz de esto la aplicación ha recibido un nuevo impulso y en apenas dos semanas han aparecido nuevas e interesantes funcionalidades:

1. El 4 de Julio se hacia publica una nueva versión de OSSEC, la v1.5.1. Leyendo el Changelog se puede apreciar que las correcciones han sido leves. OSSEC se ha caracterizado por no actualizarse muy a menudo pero parece ser que desde la compra esto ha cambiado (había prisa por publicar una nueva release bajo el apadrinamiento Third Brigade).

2. El mismo 4 de Julio en el Blog de Daniel B. Cid (autor de OSSEC) aparecía un interesante artículo en el que se explica como compilar y utilizar la herramienta ossec-logtest, incluida en el IDS y que nos permite la comprobación de las reglas utilizadas por el sensor y, lo que es más importante, nos sirve de depurador para la creación de reglas propias.

3. Cuatro días más tarde se publica un nuevo artículo más interesante aún si cabe que el anterior: OSSEC empieza a desarrollarse para comprobar el cumplimiento con los CIS benchmark tests.
Para quién no sepá qué son estos test una gran referencia es el Blog SDB (Security By Default) que hace poco publicó un interesante artículo al respecto.

Actualmente solo se comprueba la comformidad para sistemas Debian y Ubuntu/Kubuntu/Xubuntu pero la idea es ampliar estos test e incluso cubrir las políticas FDCC, lo cual sería muy pero que muy interesante. Hay que recordar que actualmente a excepción de las herramientas gratuitas de CIS no hay ninguna herramienta OpenSource que compruebe estas políticas ( las reglas DirectFeed de Nessus son de pago ).

]]>Vivimos tiempos felices para los Script Kiddies, cada día es más facil encontrar herramientas para crear troyanos y virus a golpe de un par de clicks.

El caso que me ocupa hoy es el T2W, una herramienta que como su propio autor (Karcrack) indica "transforma un troyano en un gusano. Haciendo que el server del troyano se reproduzca infectando memorias USB (PenDrives)". Traducida a varios idiomas y creada en Visual Basic esta herramienta consta de una serie de ficheros con el código, formularios, imagenes y el ejecutable T2W.exe:




El caso es que recientemente leí la noticia en el blog de Panda Labs y en cuanto he tenido un poco de tiempo me he hecho con la herramienta y la he trasteado. Voy a comentar las primeras impresiones.




Un primer vistazo basta para darnos cuenta de lo facil que nos resulta crear un gusano con esta herramienta.
Me he dedicado a crear un pequeño gusano y comprobar la potencia de la herramienta. Para ello he "gusanizado" no un troyano en si sino un binario inofensivo (estamos haciendo pruebas), en este caso el autoruns de sysinternals.

El resultado es un fichero que he llamado TEST.exe y que instantaneamente se ha cepillado mi McAfee VirusScan desactualizado:




Hay que tener en cuenta que la herramienta es de Diciembre del 2007 y en el campo vírico eso es mucho tiempo.
Sin embargo al subir el gusano a VirusTotal he comprobado que hay varios antivirus que no lo detectan, entre ellos alguno de renombre como Fortinet, F-Prot, Microsoft o Sophos:




Las recomendaciones son las de siempre: mantener los antivirus actualizados, no utilizar la cuenta con privilegios y tener un poco de sentido común y a la hora de dejar que nos enchufen los USB's ponernos protección ;)

Referencia del gusano:

http://es.mcafee.com/virusInfo/default.asp?id=description&virus_k=146117

]]>La diferencia es que un mafioso no hace estas cosas:







Un par de notas:

1. Para el usuario: no seas G.... y no accedas a tus datos bancarios desde ordenadores públicos.
2. Para los cibercafes: es más que recomendable el uso de herramientas tipo Deep Freeze.

]]>Una de las ventajas del uso de Linux Live Scripts en la creación de Live CD'S, DVD's y USB's es el uso de modulos lzm para personalizar la distribución a nuestro antojo. Por personalizar entendemos añadir nuevo programas, modificar la configuración existente, añadir fondos de escritorio, cambiar el idioma, etc.
Importante es señalar que los modulos extras que vamos a crear se deben colocar en la ruta /bt3/modules

Para crear dichos modulos tenemos tres vias:

1. Añadir programas con dir2lzm

Con este comando añadimos o modificamos ficheros a la distribución existente. Para ello ejecutamos BackTrack3, y creamos un directorio temporal para la ruta de nuestro programa, por ejemplo /tmp/nuestro_modulo. Sobre dicha ruta instalaremos nuestro modulo tal como queremos que aparezca en la distribución final al arrancar, es decir, si queremos instalar el programa A sobre /usr/bin la estructura será la siguiente: /tmp/nuestro_modulo/usr/bin.
Una vez comprobamos que funciona nos colocamos sobre /tmp/nuestro_modulo y ejecutamos el siguiente comando:

#dir2lzm /tmp/nuestro_modulo nuestro_modulo.lzm

De esta manera podemos crear módulos para añadir programas, conjuntos de programas, o modificaciones sobre ficheros ya existentes (configuraciones en /etc por ejemplo)

2. Crear módulos lzm a partir de módulos mo

Otra manera de crear un módulo lzm es convirtiendo un módulo .mo ya existente. Podemos encontrar estos módulos en la pagina oficial de Slax o bien crearlos nosotros mismos a partir de las fuentes de los programas, drivers, etc.
En este caso la conversión es tan sencilla como ejecutar el siguiente comando:

#mo2lzm modulo.mo modulo.lzm

3. Crear un módulo de una sesión entera

La tercera posibilidad consiste en arrancar BackTrack3, alterar las configuraciones y después crear un módulo que incorporará todos esos cambios "on the fly".
Para ello ejecutamos el siguiente comando:

#dir2lzm /mnt/live/memory/changes nuestro_modulo.lzm

Realizando estas pruebas he creado un módulo que cambia la distribución del teclado al castellano, es un incordio tener que cambiarlo cada vez que arranco mi BackTrack3 desde USB, entre otras cosas porque el español no está entre las distribuciones predeterminadas del teclado (ver imagen):








El módulo se llama spanish_keyboard.lzm, podéis descargarlo desde el siguiente enlace:

240b8784e0c03e2e55d4e5d6bc8d5170 spanish_keyboard.lzm

Una vez descargado copiarlo sobre el directorio /bt3/modules

]]>Por fin sale a la luz la nueva versión de BackTrack :)
Entre sus novedades hay que destacar las herramientas SAINT y Maltego.
Como nota negativa la no distribución de Nessus debido a las restricciones que Tenable impone (Apoyemos a OpenVas).

Copio el mail original de la release:

BackTrack 3 Final - Release Information
Released yesterday exclusively on pauldotcom.com

Muts, Martin and I have slaved for weeks and months, together with the
help of many remote-exploit'ers to bring you this fine release. As
usual, this version overshadows the previous ones with extra cool
things.

SAINT
SAINT has provided BackTrack users with a functional version of SAINT,
pending a free request for an IP range license through the SAINT
website, valid for 1 year.

Maltego
The guys over at Paterva have created a special version of Maltego
v2.0 with a community license especially for BackTrack users. We would
like to thank Paterva for co-operating with us and allowing us to
feature this amazing tool in BackTrack.

Nessus
Tenable would not allow for redistribution of Nessus on BackTrack 3.

Kernel
2.6.21.5. Yes, yes, stop whining....We had serious deliberations
concerning the BT3 kernel. We decided not to upgrade to a newer kernel
as wireless injection patches were not fully tested and verified. We
did not want to jeopardize the awesome wireless capabilities of BT3
for the sake of sexiness or slightly increased hardware
compatibilities. All relevant security patches have been applied.

Tools
As usual, updated, sharpened, SVN'ed and armed to the teeth. This
release we have some special features such as spoonwep, fastrack and
other cool additions.

Availability
For the first time we distribute three different version of Backtrack 3
- CD version
- USB version
- VMWare version

BackTrack 3 final download page is here:
http://remote-exploit.org/backtrack_download.html


Final Requests
We request the community to not mirror or torrent this release, or
otherwise distribute it online without our knowledge.
We are trying to gather statistics about bt3 downloads. If you would
like to mirror BT3 then please:

1) Think again! Traffic generated by BT3 downloads is CRAZY.
2) Please contact us before doing so.
3) Send us monthly statistics of downloads for the iso.

If you would like to add a link to BackTrack downloads to your
website, please use:

http://www.remote-exploit.org/backtrack_download.html as the download link.


Rants
Problems, fixes, bugs, opinions - should all end up in our Remote
Exploit community forums, and our wiki:

http://forums.remote-exploit.org
http://wiki.remote-exploit.org


Over and out,

Max, Muts, MjM


]]>El proyecto OSSEC ha sido comprado por la consultora Third Brigade.
Podemos ver la noticia tanto en la web del proyecto como en la de la consultora. Lo que a todos nos interesa es saber en qué va a afectar esto al popular HIDS. Daniel B. Cid ha escrito en su blog un FAQ sobre esta adquisición sobre la que hay que destacar dos aspectos:

1. OSSEC seguira siendo OpenSource.
2. Daniel B. Cid seguirá siendo el lider del mismo.

Esta historia ya ha sucedido recientemente con SGUIL (comprada por CISCO), con ClamAV (adquirida por SourceFire) y ya hace algún tiempo con Nessus (absorbida por Tenable Network Solution).

Es un gran paso para alguien que comienza con un pequeño proyecto OpenSource y sueña con poder dedicarse a él plenamente.

Como nota señalar que hace poco escribí un artículo sobre OSSEC para hakin9, que debido a su suspensión temporal será publicado en el próximo número de Linux+.


]]>