jueves, enero 31, 2008

SICUR '08

No conocía esta feria hasta que hoy me ha llegado una invitación para acudir a ella.
La feria sobre la seguridad informática que se celebrará en Madrid en el recinto ferial de IFEMA los días 26-29 de Febrero así que los currantes no tenemos excusa para faltar.
Yo ya tengo mi entrada pedida así que quienes acudan a ella avisadme que seguro que allí también habrá donde tomarse alguna cañita entre producto y producto.
Para más información os dejo aquí la web del evento:
SICUR ‘08
¿Algún abogado en la sala?

Como podéis ver hace días que no escribo y por falta de ganas no es pero es que el otro día me robaron unos niños periódico en mano y con una garganta muy potente me asaltaron en un cajero automático.
Nunca me había pasado nada semejante y el correteo de banco a comisaría y al revés ha sido contante durante toda la semana, ya que lo niños me robaron 300 euros, pero el banco ha cometido también infracciones sobre mi cuenta de las que nadie se responsabilizan y a eso sumadle con que encima de que roban a diario en ese cajero ahora me vienen con que no hay cámara en el mismo….
En fin que mi carrera de comisaría al banco no cesa no se ni a quien mas denunciar ¿alguna idea? Ya que iba pensé en el canon pero con eso de que lo han legalizado y encima aplaudido como que me corte un poco.
Espero poder mañana disfrutar de un día de serenidad después de tanto alboroto, en fin.. lo dicho ¿hay algún abogado en la sala?

lunes, enero 21, 2008

Russix

Por el otro lado para quienes no quieran comprobar el daño que puede hacer una red wireless no segura os dejo aquí una herramienta que, aun no he tenido tiempo para probarlo, pero promete.
Russix la cual sencillamente se define como "The Wireless Auditing Live Linux" la distribución es muy ligera y esta basada en Slax, una buena herramienta si es usada con buenas manos :)
Wireless Honeypot

Me ha encantado este proyecto que esta promocionando el Spanish Honeynet Proyect
Mediante un documento en pdf nos indican muchos conceptos e ideas que a quienes gustan de las redes mas dulces les gustará poder disfrutar.
Me ha gustado mucho la idea ya que desde una red mal cerrada y asegurada se pueden llevar a cabo muchas maldades en nombre ajeno y poder realizar un estudio de las mismas puede ser realmente útil para la seguridad informática en el futuro.
Creo que me sumaré a la aventura, si alguno mas se quiere meter en el barco os recuerdo la web del Spanish Honeynet Proyect y recalco el texto en cuestión, el enlace aquí.

viernes, enero 18, 2008

Ejemplos XSS

En el anterior post di varios recursos teóricos con imágenes y programas para aprender más sobre esta técnica, se me olvido poneros un enlace más a un sitio el cual tiene un autentico ranking de Bugs.
Si realmente quieres ver lo que las vulnerabilidades XSS pueden hacer solo tienes que entrar, ahí tendrás muchas web y pulsando en mirror podrás ver un ejemplo en plena acción.

XSS Archive
XSS en modo de pruebas

Los que solemos andar por estos blogs de la red nos pasamos mucho tiempo leyendo y releyendo textos explicativos sobre diferentes vulnerabilidades, nuevos productos y demás teoría.
No deja de ser teoría y aunque llegas a quedarte con conceptos sobre como se hacen esos ataques si no te ponen alguna imagen o programilla con el que puedas trastear, al final, te pones a otras labores y te terminas olvidando por lo que lo que has leído se queda en un “me suena de algo ya este tema”.
De casualidad he ido a topar con una presentación de una empresa de seguridad (creo que Americana) sobre seguridad, herramientas y vulnerabilidades, en este texto hablan y nos ponen varias imágenes sobre las vulnerabilidades XSS como ya os he dicho con enlaces directos a herramientas para que lo podáis probar y ver “que es” realmente.
De nuevo, por causalidad otro apunte que os dejo por si queréis refrescar esos contenidos la Zine HH ha sacado su numero 2, uno de sus artículos también trata de XSS, aunque esta no os la recomiendo solo por ese articulo sino también por el que hablan (muy muy brevemente) sobre un programita llamado Achilles el cual nos sirve para hacer alguna practica de las técnicas “Man in the middle” a nivel parvulitos :)
Ya no hay excusas, a trastear.

miércoles, enero 16, 2008

Migrando de Exchange 2003 a Exchange 2007

Como muchos de vosotros yo también me encuentro en este momento de la vida junto con Microsoft, el momento de migrar y evolucionar.
Para los que estéis o preveáis este movimiento, a todos ellos y a mi misma, os dedico estos posts.
Lo primero que haces cuando te presentas ante Exchange 2007 es preguntarte ¿Qué demonios es esto? Si, se que alguno me diréis: haber acudido a los webcasts y presentaciones, que os avisamos. Pero que le vamos ha hacer, no he ido a ninguno ni siquiera, hasta hoy me he puesto a buscar información.
La primera parte, la instalación ya esta terminada y pese a que es infinitamente mas fácil y amigable que la de Exchange 2003 (si, ya no tenemos que hacer esa eterna lista de previos pasos, casi casi los hace solito) no ha sido un camino de rosas. Yo lo hice a la aventura pero para los que os gusta una pequeña guía aquí os dejo un Blogger que ya la compartió con el mundo: Be Geek My Friend

¿Y ahora? Ahora viene lo complicado, aun no esta ese maravilloso y extra largo documento como el que tenia Exchange 2003 disponible en la Lybrary de TechNet, ahora mismo solo podemos disponer de esto muy util pero que no deja de ser bastante confuso así que cansada de volverme loca he pasado a navegar por el mundo de los bloggers.

Digan lo que digan los mas apostólicos del technet, antes, les propongo que busquen algo tan sencillo como la migración de buzones de Exchange 2003 a el 2007 ale ale, suerte.

El milagrillo llega en inglés (no problema) y aquí os lo dejo colgado porque seguro que mas de uno de vosotros me lo agradeceréis: Exchange 2007 migration overview

jueves, enero 10, 2008

Contenidos Criptored

Hoy han sacado el resumen de contenidos de Criptored entre los eventos que van ha haber los próximos días (la mayoría repartidos por toda España así que aprovechad) me han gustado un par de documentillos que también salen, para los que estáis estudiando la carrera que pronto tendréis exámenes han sacado todo un resumen de los exámenes con sus resultados de Seguridad Informática.
En segundo lugar destaco un pequeño documento (solo 8 hojas) sobre los asaltos a las sesiones TCP muy practico y bien explicado.
Disfrutadlo ;)

miércoles, enero 09, 2008

Novedades

Aquí os dejo algunas revistas que han salido últimamente, como siempre un notable, mucho buen contenido.
Begins Nº12
(IN)Secure Magacine Nº14
Digital Investigation
Essentia Libre Nº10
Uxi Nº8

martes, enero 08, 2008

Año nuevo ¿vida nueva?

Ya estamos de vuelta, después de las largas y abundantes comidas, de las merecidas vacaciones (si casi 20 días de descanso que se ha pillado una presente) aquí estamos de nuevo para volver a recuperar ese ritmo de posteo que casi empezaba a añorar ya ¿Cuáles son vuestros propósitos para este año? Espero que no seamos de ese 70% que empieza las dietas y fracasa en las primeras semanas (yo, por si acaso ni lo intento).
En tanto que volviendo a los temas que nos reúnen aquí hay para quienes el nuevo año les ha venido bastante Light.
Microsoft ya ha anunciado sus boletines de seguridad de Enero y para sorpresa de todos son solo dos, hacía ya mucho que no veía un numero tan bajito 
Inclusive en el Newsletter de SecurityFocus al que suelo remitir de vez en cuando hay muy pocas vulnerabilidades pese a lo mucho que abarca.
Pero Linux no se queda atrás el ultimo también data de comienzos de este año y como podéis ver es bastante escueto.
Las vacaciones nos han alejado a muchos de las maquinas.
Feliz 2008 y bienvenidos de nuevo.