martes, septiembre 16, 2008

El famoso bug del DNS

¿Que fue de él? Durante meses se habló del famoso bug en los DNS, de los parches que estaban sacando entre todas las empresas a nivel mundial y de toda la inseguridad que se generó pero ¿que fue de dicho bug?
Después de que dejara de ser el gran secreto parece que las agua se han calmado pero estoy segura de que mas de uno desconoce que era y como funcionaba dicho bug.
Aqui os dejo una guia con imagenes y conceptos desde lo mas básico sobre que era (y en muchos casos sigue siendo) el famoso agujero.
An Illustrated Guide to the Kamisky DNS Vulnerability

domingo, julio 20, 2008

Nuevo artículo

Después de ya unas semanitas sin escribir nada por aquí os anuncio que ha nacido un nuevo grupete de colegillas frikis-informaticos.
SNLabs formado por Españoles que nos conocimos dando una vuelta por los foros de Dragonjar.

Para abrir boca en el grupillo se ha escrito el primer artículo en el blog "Chateando con GoogleTalk" y he podido tener el honor de ser yo quien lo ha estrenado.
No perdáis oportunidad aquí os pongo los enlaces:

Blog de SNLabs

Foro de SNLabs

jueves, junio 26, 2008

70- 291 El reto del MCSA.

Cuando empiezas ha estudiarte la certificación de Microsoft y acudes a las primeras clases el profesor te alenta (o deprime) con este examencito, el tercero de la saga, el mas largo.
Ya muchos cabréis como funcionan las certificaciones y Microsoft es una de las mas estudiadas, sobre todo MCSA. Haces tus cuatro primeros exámenes y eres MCSA con una especialización (a mi me ha tocado ISA Server porque donde lo hago no hacia Exhange, una lastima). Pero el verdadero paso entre ser y no ser no esta en el examen de XP o Vista, en el de Administración, aún, de 2003 sino en el de Netwroking donde te cepillas los sesos aprendiendo los entresijos de montar DNS, DHCP o VPNs.
Un buen examen, aprendes mucho o nada si es una tarea que hagas frecuentemente.
En cualquier caso, animo para los que estáis sumergidos en su mundo, la menda lo aprobó ayer mismo así que… uno menos :)

sábado, junio 21, 2008

¿Te apetece un poco de deporte?

Como toda persona que se precie estamos en pleno auge de los gimnasios y demás entidades “desengrasantes”, yo no soy menos y el otro día estuve ojeando algunos gimnasios y sus tarifas.
Hay de todo tipo de gyms, esos de barrio donde van la gente de siempre, todos se conocen y en cuanto apareces por la puerta con esa grasa, ya sabes “la de toda la vida donde toda la vida” te miran pensando cuantos días más aguantarás. Y luego para los que vivimos en las grandes ciudades tenemos esos mega gimnasios que casi hasta te hacen masajes mientras corres, tienen de todo y te preguntas con que armas luchan los pequeños gimnasios de barrio ante eso.
Como buena usuaria miembro de la OCU y demás entidades que hacen temblar a todas las tiendas donde pisas entré en varias webs, todas muy chulísimas con presentaciones flash que quitan el hipo pero… Os pongo un reto:
¡¡A ver quién es el primero que encuentra el gimnasio, con una zona de socios, plagadita de datos de cientos de personas cuyo aspecto de terror y su segunda línea de código sea esto: ¡¡¡¡

Si, doy fe de que es cierto ¿no lo encuentras? Venga, consuélate, en ti también he pensado, ahí va el segundo reto ¿a qué versión de office pertenece eso?
Sed buenos ;)

jueves, junio 19, 2008

Phising¡¡¡ pesquing o.. no leemos porque no queremos.

Hace ya muchisimo tiempo que se habla sobre los ataques de phising, lo malísimos que son y la gente como puede caer en eso. Pues yo no creia en que realmente la gente picara, hasta que hoy veo a una amiga que, consultando su correo, le ha llegado esto:



Y... ¿cual ha sido su reacción? Por supuesto ¡¡ha pinchado en el enlace mientras buscaba sus datos en el bolso¡¡¡ si a esto le añadimos que estabamos en un cyber podreis comprender porque me han llamado la atención por gritar y calumniar a los cuatro vientos...

Menos mal que como podeis comprobar mi amiga, aparte de tenerme a mi cual guardiana, revisa muy poco su correo y esta web ya esta mas que cerrada.
Teniendo en cuenta el mail habría sido divertido ver la Web.

martes, abril 22, 2008

Hace unos día hablé sobre la plaga de virus a la que te enfrentas cuando conectas tu pc a la red y sobre que habría que educar a la gente para prepararles ante tecnologías que van a ser de uso diario como puede ser el DNI electrónico.
En ese mismo post mantuve un pequeño debate con des sobre como y cuando hay que educar a la gente en este ámbito si ya desde la infancia en colegios o dejándolo para empresas.
Yo sigo reiterando mi posición en que hay que hacerlo desde los colegios y por varias razones la primera es que de jóvenes tendrán mas interés por escuchar algo acerca de ordenadores (si, es cierto hay gente que aborrece estas maquinitas) y la segunda razón es que no todo el mundo trabaja en oficinas donde den importancia a la seguridad pero no todo el mundo trabaja en oficinas con ese perfil y quiero recordar que en España en unos añitos ya tendremos todos nuestro nuevo DNI electrónico y nuestra firma y claro a esta gente que no trabaja en grandes oficinas ¿Cómo les vamos a proteger de todos esos delitos informáticos?
No me enrollo más con el tema y os dejo aquí un post en el que habla de algo parecido, con una presentación de pasadas ponencias y algo más de información sobre este tema.
Un mundo binario
Un poco de movimiento de revistas

Despues de un mes o más de sequía de zines ha salido el número 14 de Begins los cuales estaban sufriendo extrañas caidas en su web que entre la tardanza y las caidas hacian pensar que era otro proyecto caido en olvido.
Y para más sorpresa hace unos días la gente de Phrack nos ha sorprendido con su número 65¡¡¡

viernes, abril 11, 2008

Problemas con los títulos

Hace tiempo que tengo problemillas con los títulos de los post y tal como ya me “chivaron” por mail mi blog no se deja indexar muy bien.
Ando muy verde en programación y lo cierto es que no logro dar con el tema no se porque no se me hacen titulares ¿tendré que meter algún código adicional? Además creo que va tocando cambiar de theme en el blog pero lo cierto es que me preocupa mucho mas porque no distingue los títulos, talvez alguno se anime y me de otro chivatazo por lo menos para saber por donde empezar a mirar (si no vale por el manual de “Php for Dummies” que para información de todos ya lo tengo¡¡ :) )
Migrando los sistemas

Aunque no estoy muy de acuerdo con la filosofía que abre este documento sobre que la competencia es una carrera por ver quien es el mejor y que hay que dejar los recursos abiertos para que ostros lo mejoren…. Si es bien cierto que este documento habla de cosas que hasta el momento no me había encontrado en temas de migración.
No nos habla solo desde un punto de vista técnico sino con detalle nos dice que nos va a sustituir lo ya conocido dentro del mundo Microsoft.
Os dejo el enlace aquí.
Plaga¡¡¡¡

BBC y El Pais hacen eco hoy de una curiosa noticia sobre los virus informáticos. Y es que ya estamos en el millón de virus pululando por la red ¿miedo? Lo cierto es que cada día me fío menos de los antivirus pero siempre tuve la gran filosofía de educar al usuario de poco te sirve el antivirus si cuando abres ese mail gracioso salta para avisarte o bloquearte el contenido adicional y tu confiando en ese coleguita cierras el antivirus y te pones a disfrutar de dicho correo.
Un ruina la desinformación es el virus mas contagioso y peligroso en la red y casos tan absurdos como el que os acabo de poner se producen a diario, por supuesto que ni se dan cuenta en que tal vez el antivirus no vuelve a arrancar, no pasa nada, era un pesado.
Lo dicho, lo comentó hace tiempo mi profesor de MCSE en clase y lo secundo, creo que es momento de dar un verdadero sentido a la asignatura de la ESO llamada informática porque el manejo de Office es interesante pero en España debería ser obligatorio saber trabajar con firmas digitales (ese papelito que os dan cuando hacéis el DNI electrónico) y unas nociones de seguridad sobretodo en intentar que la gente sea consciente de lo que conlleva estar “inseguro”

Los virus informaticos superan el millón.
TUX 5 ya online

Para los amantes de Linux ya ha salido este quinto numero de la revista Tux, el panorama de las zines esta muy parado (IN)Secure hace ya muchas semanas que no saca numero nuevo al igual que Begins, pero Tux dejaba un post en su web-blog sobre el precio de la revista y de regalo un DVD con mucho contenido lo que me hizo pensar que la zine se pasaba a revista de pago, no me extrañaría cada numero no baja de las 70 paginas y con un contenido que ya les gustaría a muchas gratuitas.
Espero que esto levante cabeza ya que va de mal en peor, no hay mas que mirar el panorama en España, apenas unos pocos Blogs con información nueva (ya sabéis que en esta materia me quedo con el caballero Oscuro) apenas hay webs y en tanto que a zines en España solo perdura la gente de SET.
Así que ante todo este negativismo por lo menos algo nuevo anima, disfrutadlo.

Tux 5

miércoles, abril 09, 2008

Disgusto tecnológico

Ayer estuve echando un vistazo al nuevo portátil que ha sacado Airis para hacer competencia al Asus, lo cierto es que es infinitamente mejor hablando tanto de capacidad de disco, duración de batería y alguna prestación mas.
Hace tiempo que quería tener un Eee pero dado el gran cabreo que tengo de que esta maquina haya llegado ya casi todas partes del mundo y de España no se sepa nada creo que me voy a pasar al KIRA que tenemos disponible el 15 de Abril en las tiendas, es cierto que llega el modelo KIRA 100 pero con opciones de ampliación que lo deja en un KIRA 300 por solo 70 euros más.
No se pero si una marca reniega tanto de traer sus productos a España me voy a ir por el camino de renegar yo de ellos, y mas aún cuando este producto es mucho mejor.
¿La diferencia? los 50 euros que uno te cobra si quieres Windows preinstalado lo cual es coste 0 en los Eee pero eso no me va ha echar para atrás, tener una maquina con Linux no me molesta, así me obligo un poquito a familiarizarme con este entorno que estoy realmente pez.
Y, si, ese color rosa y blanco me tiene loca :)

Mas información sobre el KIRA
Asus Eee en España en Noviembre

miércoles, abril 02, 2008

¿Cosa curiosa en Windows Server 2008 o bug?

Estaba instalando esta mañana el WSUS en un 2008 Server siguiendo como buena chica los pasos que marca technet.
No se si alguno lo habéis echo pero hay un paso donde os indica que cambiéis una línea de código en el archivo del IIS applicationhost.config.
Lo curioso ha sido cuando cambiándolo con el notepad y guardando el mismo archivo con los datos me ha indicado que no tengo permisos para hacer esa operación, como buena insistente tras varias pruebas he guardado un duplicado en el escritorio de este archivo, he modificado la línea y sobrescrito el archivo original y… si, habéis adivinado ¡¡me ha dejado sobrescribirlo¡¡¡ ¿en que quedamos? Si me decía que no tenía permisos…
Voy ha hacer alguna prueba mas puede que estemos ante un problemilla de seguridad.

martes, marzo 25, 2008

Fallo de fechas.

Reconocer los errores es de sabios, o por lo menos eso dicen.
La noticia la dio Hispasec en el 2002¡¡¡ vaya tontería mental que he tenido.
En cualquier caso y como disculpa al publico en general lo cierto es que el tema de cómo funciona esto me ha interesado así que como compensación prometo un articulillo sobre esta tecnología.
Tengo que actualizar la fecha de mi cerebro :P
Click Passwords

Hispasec anunció el día 24 que Microsoft esta investigando un nuevo método basado en click sobre imágenes para crear y logar sustituyendo a las contraseñas habituales.
Me ha gustado enormemente la idea por fin algo, relativamente, nuevo en materia de seguridad.
Quiero recordar que ya hay varios bancos que utilizan métodos parecidos para entrar y que ya han sido “craqueados” por eso me puse a buscar un poco mas de información sobre dicha tecnología y fui directamente a la Web de Darko Kirovski, el especialista en criptología que esta trabajando en este proyecto.
Lo primero que me sorprendió es la gran cantidad de buenos artículos explicativos que tiene en su Web pero su proyecto no es nuevo, según pone en el propio link la idea se lleva investigando desde 2006.
Os dejo el enlace a su Web donde podéis encontrar información sobre varios proyectos más y el acceso a un pdf donde podemos encontrar más información sobre el Click Password.
De risa

Para los que seguís la formula 1 desde hace ya mas de 2 años sabréis que hay mucho llorón, desconfianza general y acusaciones cruzadas para tapar “otros agujeros”.
Pero hoy no he podido reprimir la risa cuando alguien de esta noticia publicada en Marca donde se habla claramente de que los equipos de la F1 sospechan que McLaren ha pasado una centralita con unas prestaciones inferiores a las que ellos poseen; ha pasado a convertirse en esta otra noticia la cual han convertidos en “Otro fracaso de Microsoft” o un “Microsoft es kk y sino mira como se quejan los equipos de la ECU”, en fin... el tiempo pondrá las cosas en su lugar.

martes, marzo 18, 2008

WSUS

¿Qué es WSUS? Muchos seguro que desconocéis esta herramienta que Microsoft pone de forma gratuita a disposición de los administradores de redes, Windows Update Service es un gestor de actualizaciones para redes con varios usuarios Microsoft.
Desde WSUS podemos gestionar por grupos que actualizaciones cargar de forma automática en los distintos clientes y servidores.

Como ya es muy hablado Windows tiene actualizaciones mensuales y sin este servicios puede resultar un verdadero calvario poder tener a nuestros clientes al día. Por eso WSUS es una herramienta muy útil y potente.

Wsus te muestra una lista de las actualizaciones que hay disponibles en Windows Update a partir de dicha lista tu puedes asignarlas a los distintos grupos que hayas creado aprobando o desaprobando que se instalen. Una vez has aprobado una actualización este comienza a descargarla por esa razón una de las características de la maquina que lo albergue es que tenga bastante espacio en disco. Como nota de interés para los que se aventuren por primera vez os aviso de que os dará un listado de mas de 1700 actualizaciones disponibles, no os asustéis, lo que pasa es que por defecto las busca en todos los idiomas que dispone Microsoft, solo tenéis que ir a las opciones e indicar los idiomas que realmente vayas a necesitar.

Mas características de la maquina que lo vaya a alojar es que tiene que ser un Windows de la familia Server, no nos vale ningún profesional. Tienes que instalar previamente el paquete BITS 2, IIS y algún motor de bases de datos como puede ser SQL Server o, para los que no queráis invertir dinero en esto, MSDE es gratuito y también nos vale.

Grosso modo es cuanto podéis necesitar para saber si os interesa o no, para los que si estén interesados os dejo aquí varios en laces que os van a venir muy bien ya que información sobre WSUS hay con cuentagotas en la red.

WSUS. Technet
WikiSUS
WSUS Forums

Como se suele decir son pocos pero de calidad, cualquier cosilla que necesites de WSUS los puedes encontrar en estas Webs. Ya no teneis excusa para no tener vuestros usuarios "asegurados".

lunes, marzo 17, 2008

A estudiar¡¡¡

Ya sabéis como es la vida del informático, del ordenador a los libros y de ahí a trabajar. Para cumplir con esta dinamita aquí os dejo un recopilatorio de artículos y textos que estos días me he dejado en el tintero de poderos informar. Ale ya tenéis con que pasar muchas horas aprendiendo :)

OSSTMM, manual de metodología abierta de testeo de seguridad
Integrating More Intelligence into Your IDS, Part 1
Integrating More Intelligence into Your IDS, Part 2
Volumen 2 UXI 01
TUX Número 04

Por el momento ya son unos cuantos, pero estoy segura que con mi memoria volatil de algo me estoy olvidando.

miércoles, marzo 12, 2008

Retos

Ya hemos hablado en otros posts sobre los retos y wargames que hay en Internet.
Para prepararme mejor para los que nos lanza maligno de vez en cuando he optado por meterme en alguno que tenga de todos los niveles, por eso de ir cogiendo algo de experiencia.
De la mano de la radio de Dragonjar he ido a parar a este ya, mas que conocido, wargame en español: Yashira.org
Para quienes tengáis el gusanillo de los wargames os lo recomiendo, tiene de todos los niveles comenzando por el mas asequible y desde el mismo vas subiendo poco a poco de nivel, al final te pones delante de las misiones imposibles y… ya depende de los conocimientos que hayas adquirido pero en cualquier caso es un juego que te absorbe y sino.. con ver los días que llevo sin postear por aquí sabréis lo que te “tira”.

viernes, marzo 07, 2008

Valientes¡¡

Hace tiempo que una idea así me rondaba por la cabeza pero nunca me he atrevido ha hacerla ya que sola es muchísimo trabajo y nunca sabes si recibirás apoyo o no.
El caso es que desde una de esas webs oscuras de la red han sacado una revista sobre Windows y "el mundo oscuro" como hace maldades con el SO y alguna cosilla más, me ha gustado mucho la idea y desde aquí les animo a seguir adelante.
Espero que en breves lean algo mío en la zine :)

Infierno Hacker

martes, marzo 04, 2008

Radio para informáticos.

Llevo un par de días que en cuanto puedo entre el curro y estudiar pongo la nueva radio que la gente de Dragonjar ha estrenado hace poco. Todos los días a todas horas o tenemos a gente charlando sobre seguridad, noticias e inseguridad informática o nos dejan buena música con la que entretenernos.
Pasaros por ella, merece la pena si realmente quieres estar a la última.

Radio Dragonjar

jueves, febrero 21, 2008

Libritos en la red


De la mano de Dragonjar nos anuncia un libro bastante extenso sobre creación de redes wifi en países en desarrollo, hablando en otras palabras redes wifi a bajo coste. Muy buen libro, sin dudarlo me lo he descargado y tras ojear el índice nos refiere a su web donde puedes entrar y encontrar otra joyita mas de libro totalmente disponible online y con varios formatos de descargas:

- How to accelerate your Internet.
- Redes Inalámbricas en los países en desarrollo.

Por el gran merito que tiene poner a disposición de toda la red estos libros os refiero a su pagina inicial así a ver si os animáis que también podéis comprar la edición impresa desde su web.
WNDW Library

lunes, febrero 18, 2008

Honeypots y el eco


La salida de Roo ha tenido mas eco de lo esperado, muchas webs han anunciado su salida y alabado que por fin lo hiciera.
Pero hay otros sitios donde no solo han sacado la noticia sino que SecurityFocus nos deja un buen documento acerca de los distintos tipos de Honeypots.
Para quienes se hayan despertado la curiosidad sobre estas herramientas un muy buen texto
A Guide to Different Kinds of Honeypots

miércoles, febrero 13, 2008

Honeynet Proyect

The Honeynet proyect ha sacado una nueva versión de su herramienta mas potente roo, hace ya unos 3 años que parecía esta herramienta dejada en el olvido pero esta misma semana nos han sorprendido con una versión mejorada y modernizada de la misma.
Roo esta basado en Linux concretamente CentOS.
Os lo podéis bajar en una iso desde esta web Honeywall CD-ROM donde también tenéis acceso a la principal documentación sobre la herramienta.
Si no estáis muy familiarizados con los términos de los honeypots y herramientas del mismo os recomiendo estudiar a fondo toda esa documentación no es muy pesada y con un poco de ganas se puede aprender mucho.
Otro buen consejo para los que os arriesguéis a la experimentación es que dispongáis de un buen software de virtualización, yo soy fiel defensora de VMWare pero hay muchas otras herramientas como VirtualPc 2007, Xen…
Sin duda el mejor laboratorio que podéis tener para aprender.

lunes, febrero 11, 2008

Begins 13 ya online.

Me gusta esta revista llevo anunciando su salida desde que empezó el blog y de eso hace ya mas de 1 año (como pasa el tiempo...) aquí os dejo el contenido con que nos sorprenden en este numero:
* La jungla y el paraíso
* Latex y Lyx, la otra forma de escribir
* Ejercita tu mente con gBrainy
* Administrar tu sistema gnu/Linux desde Internet
* Como hacer desarrollo profesional de Electrónica con Open Source

He de reconocer que he comenzado a leerme el de la jungla y el paraíso, no es solo que no tenga mucho sentido sino que además creo que es bastante desproporcionado pero en el resto.. Como siempre buen contenido.

Begins 13

viernes, febrero 08, 2008

Hak 5

Siempre que te gusta el tema de la seguridad acabas navegando por cientos de webs sobre hacking, juakers y demas gentecilla apasionada (o simplemente sensacionalista del tema)que pueden llegar a aportarte muchos conocimientos sobre seguridad, herramientas y el uso de las mismas.
En este caso me han pasado este enlace que es toda una web llena de videos muy instructivos, no dejas de aprender algo en cada uno de ellos, os recomiendo que os deis una vueltecilla por ella seguro que en algo os sorprenden.

Hack.5

miércoles, febrero 06, 2008

(IN)Secure Magacine 15
Ayer salió el numero 15 de esta revista sobre seguridad informática, he tenido tiempo para leérmela un poco anoche y quiero destacar el articulo sobre los distintos programas de esquema de red, ahora mismo me propongo probar INAV con tan mala suerte que la web esta caída : ( pero paciencia…
También pasaros a leer el articulo sobre ingenierita social, sin desperdicio.
(IN)Secure Magacine 15

martes, febrero 05, 2008

Informe Mensual del Inteco.

Hoy han dado el resumen Criptored de sus nuevos contenidos, entre otros he encontrado este informe que, la verdad, es la primera vez que me paro a leerlo y me ha resultado muy curioso lo que nos cuentan.
En primer lugar veo un gran descenso en el numero de virus por mail hace ya varios años que no reviso ese tipo de estadísticas pero viendo los múltiples gráficos se puede apreciar.
En segundo lugar y como gran curiosidad que puede resultar muy debatible es en la pagina 18 en el punto 3.3.2 nos muestran un grafico con los productos mas afectados, yo me quedo con la frase que nos ponen a modo resumen: “Nuevamente destacan en este periodo las vulnerabilidades emitidas por Apple” no me entero.. ¿no era el mas vulnerable el SO Windows de Microsoft, que contradicción.
Informe mensual INTECO

jueves, enero 31, 2008

SICUR '08

No conocía esta feria hasta que hoy me ha llegado una invitación para acudir a ella.
La feria sobre la seguridad informática que se celebrará en Madrid en el recinto ferial de IFEMA los días 26-29 de Febrero así que los currantes no tenemos excusa para faltar.
Yo ya tengo mi entrada pedida así que quienes acudan a ella avisadme que seguro que allí también habrá donde tomarse alguna cañita entre producto y producto.
Para más información os dejo aquí la web del evento:
SICUR ‘08
¿Algún abogado en la sala?

Como podéis ver hace días que no escribo y por falta de ganas no es pero es que el otro día me robaron unos niños periódico en mano y con una garganta muy potente me asaltaron en un cajero automático.
Nunca me había pasado nada semejante y el correteo de banco a comisaría y al revés ha sido contante durante toda la semana, ya que lo niños me robaron 300 euros, pero el banco ha cometido también infracciones sobre mi cuenta de las que nadie se responsabilizan y a eso sumadle con que encima de que roban a diario en ese cajero ahora me vienen con que no hay cámara en el mismo….
En fin que mi carrera de comisaría al banco no cesa no se ni a quien mas denunciar ¿alguna idea? Ya que iba pensé en el canon pero con eso de que lo han legalizado y encima aplaudido como que me corte un poco.
Espero poder mañana disfrutar de un día de serenidad después de tanto alboroto, en fin.. lo dicho ¿hay algún abogado en la sala?

lunes, enero 21, 2008

Russix

Por el otro lado para quienes no quieran comprobar el daño que puede hacer una red wireless no segura os dejo aquí una herramienta que, aun no he tenido tiempo para probarlo, pero promete.
Russix la cual sencillamente se define como "The Wireless Auditing Live Linux" la distribución es muy ligera y esta basada en Slax, una buena herramienta si es usada con buenas manos :)
Wireless Honeypot

Me ha encantado este proyecto que esta promocionando el Spanish Honeynet Proyect
Mediante un documento en pdf nos indican muchos conceptos e ideas que a quienes gustan de las redes mas dulces les gustará poder disfrutar.
Me ha gustado mucho la idea ya que desde una red mal cerrada y asegurada se pueden llevar a cabo muchas maldades en nombre ajeno y poder realizar un estudio de las mismas puede ser realmente útil para la seguridad informática en el futuro.
Creo que me sumaré a la aventura, si alguno mas se quiere meter en el barco os recuerdo la web del Spanish Honeynet Proyect y recalco el texto en cuestión, el enlace aquí.

viernes, enero 18, 2008

Ejemplos XSS

En el anterior post di varios recursos teóricos con imágenes y programas para aprender más sobre esta técnica, se me olvido poneros un enlace más a un sitio el cual tiene un autentico ranking de Bugs.
Si realmente quieres ver lo que las vulnerabilidades XSS pueden hacer solo tienes que entrar, ahí tendrás muchas web y pulsando en mirror podrás ver un ejemplo en plena acción.

XSS Archive
XSS en modo de pruebas

Los que solemos andar por estos blogs de la red nos pasamos mucho tiempo leyendo y releyendo textos explicativos sobre diferentes vulnerabilidades, nuevos productos y demás teoría.
No deja de ser teoría y aunque llegas a quedarte con conceptos sobre como se hacen esos ataques si no te ponen alguna imagen o programilla con el que puedas trastear, al final, te pones a otras labores y te terminas olvidando por lo que lo que has leído se queda en un “me suena de algo ya este tema”.
De casualidad he ido a topar con una presentación de una empresa de seguridad (creo que Americana) sobre seguridad, herramientas y vulnerabilidades, en este texto hablan y nos ponen varias imágenes sobre las vulnerabilidades XSS como ya os he dicho con enlaces directos a herramientas para que lo podáis probar y ver “que es” realmente.
De nuevo, por causalidad otro apunte que os dejo por si queréis refrescar esos contenidos la Zine HH ha sacado su numero 2, uno de sus artículos también trata de XSS, aunque esta no os la recomiendo solo por ese articulo sino también por el que hablan (muy muy brevemente) sobre un programita llamado Achilles el cual nos sirve para hacer alguna practica de las técnicas “Man in the middle” a nivel parvulitos :)
Ya no hay excusas, a trastear.

miércoles, enero 16, 2008

Migrando de Exchange 2003 a Exchange 2007

Como muchos de vosotros yo también me encuentro en este momento de la vida junto con Microsoft, el momento de migrar y evolucionar.
Para los que estéis o preveáis este movimiento, a todos ellos y a mi misma, os dedico estos posts.
Lo primero que haces cuando te presentas ante Exchange 2007 es preguntarte ¿Qué demonios es esto? Si, se que alguno me diréis: haber acudido a los webcasts y presentaciones, que os avisamos. Pero que le vamos ha hacer, no he ido a ninguno ni siquiera, hasta hoy me he puesto a buscar información.
La primera parte, la instalación ya esta terminada y pese a que es infinitamente mas fácil y amigable que la de Exchange 2003 (si, ya no tenemos que hacer esa eterna lista de previos pasos, casi casi los hace solito) no ha sido un camino de rosas. Yo lo hice a la aventura pero para los que os gusta una pequeña guía aquí os dejo un Blogger que ya la compartió con el mundo: Be Geek My Friend

¿Y ahora? Ahora viene lo complicado, aun no esta ese maravilloso y extra largo documento como el que tenia Exchange 2003 disponible en la Lybrary de TechNet, ahora mismo solo podemos disponer de esto muy util pero que no deja de ser bastante confuso así que cansada de volverme loca he pasado a navegar por el mundo de los bloggers.

Digan lo que digan los mas apostólicos del technet, antes, les propongo que busquen algo tan sencillo como la migración de buzones de Exchange 2003 a el 2007 ale ale, suerte.

El milagrillo llega en inglés (no problema) y aquí os lo dejo colgado porque seguro que mas de uno de vosotros me lo agradeceréis: Exchange 2007 migration overview

jueves, enero 10, 2008

Contenidos Criptored

Hoy han sacado el resumen de contenidos de Criptored entre los eventos que van ha haber los próximos días (la mayoría repartidos por toda España así que aprovechad) me han gustado un par de documentillos que también salen, para los que estáis estudiando la carrera que pronto tendréis exámenes han sacado todo un resumen de los exámenes con sus resultados de Seguridad Informática.
En segundo lugar destaco un pequeño documento (solo 8 hojas) sobre los asaltos a las sesiones TCP muy practico y bien explicado.
Disfrutadlo ;)

miércoles, enero 09, 2008

Novedades

Aquí os dejo algunas revistas que han salido últimamente, como siempre un notable, mucho buen contenido.
Begins Nº12
(IN)Secure Magacine Nº14
Digital Investigation
Essentia Libre Nº10
Uxi Nº8

martes, enero 08, 2008

Año nuevo ¿vida nueva?

Ya estamos de vuelta, después de las largas y abundantes comidas, de las merecidas vacaciones (si casi 20 días de descanso que se ha pillado una presente) aquí estamos de nuevo para volver a recuperar ese ritmo de posteo que casi empezaba a añorar ya ¿Cuáles son vuestros propósitos para este año? Espero que no seamos de ese 70% que empieza las dietas y fracasa en las primeras semanas (yo, por si acaso ni lo intento).
En tanto que volviendo a los temas que nos reúnen aquí hay para quienes el nuevo año les ha venido bastante Light.
Microsoft ya ha anunciado sus boletines de seguridad de Enero y para sorpresa de todos son solo dos, hacía ya mucho que no veía un numero tan bajito 
Inclusive en el Newsletter de SecurityFocus al que suelo remitir de vez en cuando hay muy pocas vulnerabilidades pese a lo mucho que abarca.
Pero Linux no se queda atrás el ultimo también data de comienzos de este año y como podéis ver es bastante escueto.
Las vacaciones nos han alejado a muchos de las maquinas.
Feliz 2008 y bienvenidos de nuevo.