El peligroso virus Conficker contraataca

conficker

La empresa de seguridad online CA advirtió sobre un nuevo ataque del peligroso gusano Conficker en una fecha cercana. Más precisamente, el virus atacará el próximo 1 de abril, día de los inocentes en los países del hemisferio norte. El objetivo principal del gusano será generar una 50.000 páginas web diarias e infiltrar otras 500; desde estos puntos podría infectar una enorme cantidad de sistemas operativos.

Las empresas de seguridad pidieron a los usuarios que estén atentos a un proceso específico: Win32/Conficker.C. Si este proceso se encuentra activo significa que el sistema se encuentra infectado. Las empresas advierten además que el virus en esta ocasión será altamente dañino y seguramente no podrá ser detectado por muchas computadoras. Todas las versiones de Windows son vulnerables, incluida la beta de Windows 7. Por si esto no fuera poco, el Conficker desactivará Windows Defender, Windows Security Center y el Windows Update. Preventivamente es conveniente instalar un buen antivirus.

Mientras tanto, Microsoft inició una campaña para encontrar al pirata que creó el virus. El pasado 12 de marzo, la empresa divulgó la información de que recompensaría con 250.000 dólares por cualquier dato que permitiera encontrar al creador del gusano. Según el New York Times, existen indicios de que los responsables se encuentran en algún lugar del este europeo.

Fuente:Grupo Geek

Read More

Dell ofrecerá PCs de 192 GB de RAM

nehalem

El nuevo chipset Nehalem de Intel permite la instalación de enormes cantidades de memoria RAM de alta velocidad. Además Windows Vista en sus distintas versiones admite una configuración de hasta 128 GB de memoria RAM.

Distintas compañías como Dell y Cisco están aprovechando esta característica del nuevo Nehalem en los sistemas de sus últimos servidores de alta gama.

La máquina en cuestión, la Dell Precision t7500, tiene espacio para 12 memorias RAM DDR3 de 1333 MHz. El único inconveniente al momento de pensar en la configuración máxima de este sistema son los costos. En los EE.UU., una memoria de 16 GB de 1333 MHz cuesta US$ 3.400.

Si completamos cada uno de los espacios disponibles, el costo total asciende a la suma de US$ 40.800. Un precio para nada barato, pero los expertos esperan que los precios bajen con el tiempo. Hoy en día las configuraciones normales en las computadoras hogareñas rondan los 4 GB de memoria RAM. Probablemente en el futuro próximo la tecnología de estos servidores se libere para el resto del mercado, y podremos disfrutar de PCs de escritorio con muchos gigas de memoria RAM.

Fuente:Grupo Geek

Read More

Herramientas para acceder a BBDD Oracle y MySQL desde Mac OS X

Hay mucho software pare Mac OS X, eso es innegable y quien diga lo contrario miente rotundamente, los programas para acceder a Base de Datos y poder ejecutar consultas SQL sobre ellas no son una excepción en Mac OS X, existen grandes y potentes herramientas para acceder y trabajar con contenido almacenado en las distintas bases de datos relacionales más comunes.

En la entrada extendida hacemos un breve recopilatorio de las principales aplicaciones que facilitan este acceso y vamos desde las más conocidas y multiplataforma como SQLDeveloper (que proporciona Oracle) o Navicat hasta otra herramientas menos conocidas como Databrid o PGnJ.

Read More

Haz una copia de seguridad de tus navegadores y clientes de correo con MailBrowserBackup

mailbrowser

Normalmente cuando queremos hacer una copia de seguridad de nuestros navegadores o clientes de correo debemos recurrir a aplicaciones específicas para cada uno de ellos, y en el peor de los casos ni si quiera hay una opción para hacerlo. Ahora gracias a MailBrowserBackup podremos tener una sola herramienta para hacer nuestras copias de seguridad.

MailBroserBackup es una aplicación portable que, por el momento, funciona con Mozilla Firefox, Mozilla Thunderbird, Google Chrome, SRWare Iron y FileZilla (gestor de FTP). En la siguiente actualización prometen dar soporte también para Internet Explorer, Windows Mail, IncrediMail, Opera, Safari y eMule.

Read More

Google Calendar en tu escritorio con GMinder

gminder

Si eres un asiduo usuario de Google Calendar te gustará saber que gracias a GMinder podremos tener avisos de nuestros eventos en nuestro escritorio en Windows sin ninguna complicación.

Una vez instalada la aplicación simplemente tendremos que introducir nuestros datos de usuario y descargar nuestros calendarios. Si tenemos más de uno podremos seleccionar los que queremos que se nos muestren en GMinder, pudiendo ocultar y mostrar los que queramos en cualquier momento.

Entre las opciones de la aplicación podremos elegir cada cuanto queremos que se actualicen nuestros calendarios, poder elegir con que color nos muestre los eventos y que tipo de aviso queremos que nos de. Además podremos el intervalo de días en los que nos muestre los avisos, siendo treinta y uno el valor por defecto.

Read More

Routers, modems y botnets

Desde hace unas semanas DroneBL ha sufrido un ataque distribuido de
denegación de servicio procedente de una botnet llamada ‘psyb0t’. Nada
nuevo si tenemos en cuenta que DroneBL ofrece un servicio gratuito de
publicación de listas negras de IP en tiempo real, lo cual no es
precisamente una manera de ganarse admiradores entre las filas de
creadores de malware, spammers, etc. Lo interesante del asunto se
lo encontraron cuando recabaron información sobre su atacante.

El gusano que teje ‘psyb0t’ no tiene como objetivo los ordenadores
personales o servidores. El binario ni tan siquiera está compilado para
la omnipresente arquitectura x86. Su foco de infección se encuentra en
los routers y modems ADSL con Linux y procesador MIPS. El gusano efectúa
un barrido por rangos de IP escaneando los puertos 22, 23 y el 80,
buscando una vulnerabilidad que expone la administración remota del
dispositivo a través de telnet, ssh e interfaz web inclusive con los
permisos por defecto. Si la configuración ha sido modificada, lo
intentará por fuerza bruta.

Tras obtener una shell con permisos de administrador borra el archivo
‘/var/tmp/udhcpc.env’ que pertenece al cliente DHCP y comprueba la
existencia del comando wget para efectuar la descarga de una réplica
del gusano con el mismo nombre y ruta que el archivo borrado. Tras
ello inyecta reglas en iptables para cerrar la entrada en los puertos
22, 23 y 80 y así evitar su apertura lícita y reinfección. Una vez
infectado, el nuevo nodo, conecta a un servidor IRC donde procesa el
topic que contiene instrucciones para los bots.

Aunque el primer contacto con esta botnet fue documentado por un tal
Terry Baume en enero de este año, parece ser que este es el primer
ataque a gran escala o el incidente que ha tenido mayor repercusión
mediática hasta el momento. Varios son los factores que no pasaron por
alto los creadores de ‘psyb0t’, un vector fácil, contraseñas por defecto
y exposición de la administración remota, una presa descuidada, como un
olvidado router con el que no se interactúa y se mantiene encendido las
24 horas, y sobre todo el silencio: ¿Cuándo fue la última vez que
monitorizaste el tráfico del router?

Mas información:

Blog de DroneBL
http://dronebl.org/blog/8

Your router, plausible home to a stealth rootkit?
http://nenolod.net/~nenolod/router-malware.pdf

PSYB0T 2.5L
http://www.adam.com.au/bogaurd/PSYB0T.pdf

Fuente:Noticias Hispasec

Read More

Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos

El día 25 de marzo se ha publicado sin previo aviso una prueba de
concepto que hace que Firefox deje de responder. No existe parche
disponible y se sabe que la vulnerabilidad, en realidad, permite
ejecución de código. Se trata por tanto, de un 0 day. Al parecer la
fundación Mozilla ya ha programado la solución pero no hará pública
una nueva versión 3.0.8 del navegador hasta principios de la semana
que viene.

El pasado miércoles, un tal Guido Landi hacía públicos (sin previo
aviso) los detalles de una vulnerabilidad que permite la ejecución de
código en el navegador con solo interpretar un archivo XML especialmente
manipulado. En principio la prueba de concepto publicada hace que el
navegador deje de responder, pero es posible de forma relativamente
sencilla modificar el exploit para que permita la ejecución de código.
El problema afecta a todas las versiones (actual y anteriores) del
navegador sobre cualquier sistema operativo.

Los desarrolladores de Mozilla han calificado la vulnerabilidad como
crítica y urgente, y afirman que ya lo tienen solucionado (en realidad
se trata simplemente de un cambio de orden de una línea de código), pero
que no publicarán Firefox 3.0.8 hasta principios de la semana que viene.
Si el fallo es también reproducible en Thunderbird, es previsible que
haya que esperar incluso más tiempo para que se publique una nueva
versión.

Se recomienda no visitar páginas sospechosas. Los usuarios más avanzados
pueden descargar el archivo corregido directamente del repositorio y
recompilar.

Más información:

Exploitable crash in xMozillaXSLTProcessor::

TransformToDoc
https://bugzilla.mozilla.org/show_bug.cgi?id=485217

Firefox Fix Due Next Week After Attack Is Published
http://www.pcworld.com/article/161988/

Fuente:Noticias Hispasec

Read More

Vulnerabilidades de desbordamiento de búfer en HP OpenView Network Node Manager

Se ha anunciado la existencia de tres vulnerabilidades en HP OpenView
Network Node Manager (OV NNM), que podrían ser explotadas por atacantes
remotos para comprometer un sistema vulnerable.

HP Openview Network Node Manager (NNM) es la herramienta que dio origen
a la familia productos HP Openview. Se trata de un conjunto de
herramientas para la administración de redes, posee funciones de
monitorización de dispositivos, recolección, almacenamiento y
tratamiento de información SNMP.

El primero de los problemas se debe a un desbordamiento de búfer basado
en pila en el CGI “OvCgi/Toolbar.exe” cuando procesa el parámetro de
cookie “OvOSLocale” de gran tamaño, que podría ser explotado por
atacantes remotos para ejecutar código arbitrario mediante peticiones
http especialmente creadas.

La segunda vulnerabilidad está provocada por un desbordamiento en heap
en el CGI “OvCgi/Toolbar.exe” al procesar el parámetro “OvAcceptLang” de
cookie con un gran tamaño, igualmente podría ser explotado por atacantes
remotos para ejecutar código arbitrario mediante peticiones http
especialmente creadas.

Por último, un tercer desbordamiento basado en heap en el CGI
“OvCgi/Toolbar.exe” al procesar un valor de cabecera “Accept-Language”
excesivamente largo. También podría ser explotado por atacantes remotos
para ejecutar código arbitrario mediante peticiones http creadas a tal
efecto.

Se ven afectadas las versiones HP OpenView Network Node Manager (OV NNM)
v7.01, v7.51, v7.53 sobre HP-UX, Linux, Solaris y Windows. Se recomienda
consultar el aviso de HP desde el que se pueden descargar las
actualizaciones necesarias en función de la versión y plataforma
afectada:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01696729

Más información:

HPSBMA02416 SSRT090008 rev.1 – HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01696729

Fuente:Noticias Hispasec

Read More

Denegación de servicio en PostgreSQL

Se ha anunciado una vulnerabilidad en PostgreSQL (versiones 8.x y 7.4) que podría ser aprovechada por un atacante para provocar una denegación de servicio.

PostgreSQL es una base de datos relacional “Open Source”, bastante popular en el mundo UNIX, junto a MySQL.

El problema se debe a un fallo en la conversión de un mensaje de error localizado a la codificación especificada por el cliente, lo que podría permitir a atacantes autenticados provocar la caída del servidor a través de peticiones de conversión de codificación específicamente construidas.

Se recomienda actualizar a PostgreSQL versión 8.3.7, 8.2.13, 8.1.17,

8.0.21 o 7.4.25, disponibles desde:

http://www.postgresql.org/download

Fuente:Noticias Hispasec

Read More

Configurando la Red usando netsh

El comando de Windows netsh sirve para administrar y configurar las conexiones de red de nuestros equipos y servidores. La ventaja es que nos sirve para hacer estas modificaciones tanto localmente como remotamente y hasta podemos utilizarlo en scripting lo que hace de esta herramienta una utilidad muy poderosa.

También podemos generar un archivo con la configuración deseada e importarla en otros equipos. Esto es realmente útil para el caso de los servidores y dejarlos todos de forma standard.

La idea de este artículo es mostrarles algunos de los comandos mas utilizados en netsh para la administración diaria de un ambiente de IT. Hay muchísimas mas opciones y comandos disponibles así que te invito a investigarlo a fondo. Es importante que todo los comandos que explico tomo como nombre de la conexión de red “Local Area Connection”. Esto deben cambiarlo por el nombre de su conexión de red de lo contrario no funcionarán los comandos.

Configurar la Placa para que tome DHCP

netsh int ip set address name="Local Area Connection" dhcp
netsh int ip set dns name="Local Area Connection" dhcp
netsh int ip set wins name="Local Area Connection" dhcp

El primer comando es para configurar la IP en modo de DHCP. El segundo es para configurar los DNS para que los tome de DHCP y el tercero y último es para hacer lo mismo pero con el WINS. Esto se utiliza generalmente cuando tenemos los equipos con IPs estáticas y migramos a un ambiente con dhcp. Estos comandos se envían via script o GPO a todo el ambiente.

Configurando ip estática

CAMBIA LA IP DE LA PLACA LLAMADA “Conexion de area local” y le agrega la ip estatica
netsh interface ip set address name=”Conexion de area local” source=static addr=192.168.100.12 mask=255.255.255.0 gateway=192.168.100.1 gwmetric=1

Agregando DNS y WINS a una Conexión

netsh int ip add dns name="Local Area Connection" addr=192.168.20.201
netsh int ip add dns name="Local Area Connection" addr=192.168.20.202 index=2
netsh int ip add wins name="Local Area Connection" addr=192.168.1.2

En este caso se utiliza cuando queremos agregar una IP determinada tanto a los DNS como a los WINS de las placas. En el primer comando agrega un DNS a la lista de la conexión. En el segundo caso agrega un DNS pero con el index=2 lo agrega como DNS Secundario. El tercer caso es igual al primero pero para el WINS.

Hay casos donde el “name=” y el “addr=” no son correctamente aceptados así que podes omitirlos.

Tomando Backup de nuestra Configuración e Importarla

netsh -c interface dump > c:\conf.txt
netsh -f c:\conf.txt

En este caso tenemos el primer comando para exportar la configuración de red y con el segundo para importarla. Esto es también muy útil si tenemos varias ubicaciones y queremos conservar la configuración de cada una. Luego podemos con un simple comando ir importando la configuración según la ubicación.

Así como existen los comandos con add para el dns y el wins también existe el mismo comando pero con delete. De esta manera estaríamos eliminando alguna IP que ya no corresponda sobre los equipos. También tenemos la opción de show con el que podremos ver la información que querramos. Algunos ejemplos…

Mostrando Información de las Conexiones de Red

netsh int ip show icmp
netsh int ip show interface
netsh int ip show ipstats
netsh int ip show tcpconn
netsh int ip show config

En este caso tenemos el primer comando que nos va a mostrar las estadísticas de ICMP. El segundo comando nos muestra los nombres de las conexiones de red o interfaces. El tercero muestra la estadísticas del protocolo IP. El cuarto muestra las conexiones TCP de nuestro equipo con sus respectivos puertos y el ultimo muestra la configuración para cada una de las placas. Como mencioné antes hay mas comandos disponibles y mas abajo dejo algunos links para que sigan leyendo del tema.

Espero les sirva!

Read More