Archive for December 2012

Vulnerabilidad en uno de los servicios de la red social de Microsoft

Hace un tiempo Microsoft adquirió el dominio SO.CL para presentar su redsocial “SOCiaL”. Uno de los servidores bajo el subdominio cdn2.so.cl es vulnerable a un particular tipo de ataque que permite utilizar los servidores de Microsoft como proxy.

Logo de la red social de Microsoft: SOCL

Logo de la red social de Microsoft: SOCL

La vulnerabilidad fue descubierta por Fernando Lagos (Zerial) y reportada el 21 de Mayo del 2012, incidencia identificada por el grupo de respuesta de seguridad de microsoft como el caso MSRC 12574. El último estado conocido de este reporte fue el 6 de Junio del 2012 indicando que estaban analizando el incidente para determinar la raíz del problema. Hasta la fecha –7 meses despues– no se ha corregido.

La falla de seguridad detectada afecta al servicio que genera thumbnails para so.cl. Como parámetro por GET, mediante la variable url, recibe la dirección remota de la imagen y de esta forma genera una “miniatura”. El problema está en que no está validando el tipo ni extensión del archivo generando una petición GET arbitraria a cualquier servidor, permitiendo de esta manera usar el servidor de microsoft como proxy para realizar peticiones a cualquier servidor.

El alcance de esta vulnerabilidad depende de la imaginación que tenga el atacante, ya que podría generar peticiones repetidas veces hacia cualquier servidor y cualquier puerto o bien ejecutar ataques como por ejemplo sql injection. La única desventaja es que el ataque sería a “ciegas” (blind), ya que el servidor no devuelve ningún resultado.

Para conocer más detalles sobre los distintos vectores de ataques, impacto y explotación de esta vulnerabilidad puedes revisar el artículo completo en El Rincón de Zerial – Vulnerabilidad en red social de Microsoft permite usar sus servidores como proxy.

Leer artículo original: Vulnerabilidad en uno de los servicios de la red social de Microsoft

Remove 2012 – Install 2013 Adios año viejo!!!

Fuente: HackPlayers

Hoy es el ultimo día del 2012 un año que vino con miles de retos, cambios mejoras para bien o para mal como lo quieran llamar un jodido año para mi la verdad donde aprendi muchas cosas conoci nuevos amigos pero que va porque no mejor hago un balance el cual el 2012 se quedara por siempre recordado en mi memoria el porque por esto:

Un año de un duro aprendizaje malo no fue ni tan bueno si lo veo del otro lado de la  moneda me pregunto que tanto ame, perdone, reí, aprendí  logre ir contra mis peores enemigos el orgullo, egocentrismo, mi tonto organismo, al fracaso.
Vamonos por el primero, que tanto ame segui amando por otro tonto año mas, a la misma persona aun recordandola, y demas pero se que este año aprendi que solo fue un apego emocional que me mantuvo porque no lo se soy humano cometo errores, 🙂 ahora me doy cuenta que te quiero si lo lees sabras que si gracias por ayudarme a mejorar, por ser esa piedrita en el camino que me hizo tropezar  y caer por un momento para ser lo que ahora soy siempre estaras en mis mejores recuerdos. Aprendí a querer, amar aun estando tan lejos a varios km de distancia volviéndose la persona mas importante en mi vida ayudando y guiándome para que no cometa errores, ni metida de pata  xD.
Aquí también entra lo mas importante 🙂 que aprendi a amar lo que me dio la vida a despertar y dar un gracias por estar aqui y estar un dia mas de pie. 
Perdone, pues se diria que si xD casi todo perdone no todo porque sigue lo peor en mi rencoroso espero cambiar en algo este año que llega.

Reí mas de una vez, y cuanto de las mil tonteras que hacia en la Fundacion Jala mis metidas de pata al subir código, al no hacer bien un merge, o bien mi spanglish que las ultimas semanas por que andaba mal hablaba me trababa, con mis amigos del equipo con la familia, reir por que es el sazón de la vida sin darme cuenta aprendi a sonreir por mas triste que me encontraba.

Aprender ?? OMG!! Este proceso que a diario voy haciendolo este año fue un año de duro aprendizaje tanto como en el are profesional, personal no hay dia que no aprenda cosas nuevas el proceso seguira cada dia, espero que todo lo que aprendi en este año comienze a cultivarlo debidamente sin miedo al fracaso.

Mis enemigos

Joder llegamos a lo peor, mi orgullo, egocentrismo que siguen aun ahi presentes en mi vida, espero llegar a mandarlo o desaserme un poco de ellos este año que comienza dentro de pocas horas, y aun mas lo peor de mi ser DESORDENADO!!! no cumplir con las tareas que me pongo 🙁 se que es algo malo pero no imposible de lograr sobrepasar y lograr hoy sin mentirles ya recibi la regañada del 2012 la ultimo se que sera, hace un momento al llegar a la oficina tachin! mail todo porque? me olvide enviar y si tiene razón tengo que organizar mejor mi tiempo.

Para ello este fin de semana estuve leendo este blog el cual se que me ayudar con sus sugerencias y tips, http://thinkwasabi.com.

Miedo al fracaso, este jodido enemigo que anda al lado mio cada dia se que por fuera ando optimista pero por dentro tengo miedo a no lograr mis objetivos falta de control, de valorarme, no se que rayos sera.

Darme cuenta que no tod o fue como lo pensaba, al fin notar que todo lo que vivi hace un tiempo fue  una ilusión tonta que solo yo la cree.

Lo Mejor del año

Epale lo mejor del año haber comenzando, con mi primera experiencia de Coding Dojo que fue en Febrero cuando recibi una invitación para participar de un nuevo proyecto en Fundacion Jala, no se porque fui, ni porque lo hice quizas porque uno de mis sueños, era formar parte de Jalasoft.
La tesis lograr terminarla luego de mi metida de patota! al borrarla y reprogramarla toda logre alcanzar terminandola teniendo mis empastados listos cuando eran necesarios la defenza privada el mejor dia que pude pasar luego de muchos tropiezos en el cual sali con nota de 95/100 :), lo mejor dia del programador y mi defenza yeah!! todo orgulloso de ella aun mas de haber logrado salir usando netamente software libre la tesis hacerla totalmente en LaTeX programar en Python + Perl + Gtk + Bash una mezcla que salio un hibrido todo hermoso si me siento orgulloso, a la vez cuando termino todo el dia que dio un fin a esa pequeña meta de la vida cuando me dieron el titulo de ingeniero de Sistemas. 
A la vez el Hackmeeting 2012 este evento que forme parte del equipo de los chicos de la Scesi el evento de seguridad y hacking mas grande que tuvo mi pais y con orgullo lo digo porque lo es y sera por mucho tiempo aqui hay 2 entradas referentes a ello.
Los 2 proyectos que van saliendo poco a poco mas fuerte, SniferL4bs y Geekscripting como tambien la Biblioteca, el segundo gracias a todos los que apoyan y siguen la cuenta en twitter el fan page en facebook y a un mas a WizardIP y Tonejito
Mi viaje a La Paz 🙂
Mi primer ponencia en el DESEIN.
Lograr un poco de estabilidad, dar a mi hermano lo que siempre quise tener, apoyar a mi familia estar siempre cuando me necesiten lograr cumplir mis metas:
  • Entrar a Jalasoft – Lo hice mi sueño desde que llegue de La Paz
  • Terminar la carrera – Otro mas que se sumo
  • Framework de Informática Forense – Esto es la tesis aun falta liberarlo
  • Ser mejor….

Que mas puedo pedirle a este año, que se va dejando una gran marca en mi vida me enseño y demostro lo bello de la vida lo principal los amigos que siempre estan y estaran ahi, primero ante todo como dice mi amigo el Jobato (sabes que lo digo con cariño jabali) Angel FAMILIA!, la familia que el destino hace que tengamos.

Primero esta la familia del Silas, Fabian, Daniel, Reynaldo, Kelly, Oscar, Roger 6 chicos de los mejores que estuve compartiendo 9 meses con ellos talvez con algunos menos tiempo pero los aprecio me enseñaron tantas cosas, como tambien me regañaron xDD, al mentor que me enseño y ayudo a madurar cambiar un poco de mi Julio que se volvio como un hermano mayor para todos en especial para mi aunque diga que por mi culpa le operarón sabemos que no XD, al gravetero de JJ que para mi su alegria y firmeza pasión por el trabajo me dan el empujon a seguir. (No se si lo leeran pero que se quede aqui 😀 guardado en mi rincón. )
Mish, el angel que me ayudo siempre estare agradecido a ti, por todo el apoyo que me  diste me ayudaste a sobre llevar mi error a darme cuenta que podia hacerlo cumplir, me ayudaste tanto que siempre estare agradecido contigo gracias por darme tu amistad, ser mi tutora, mi guia, consejera y amiga te quiero.

Tami, la chicoca que hasta ahora no la conosco xD pero siempre dandome animos, apareciste cuando mas necesitaba un hombro un sosten ahora andas en Chile o en La Paz no se donde estes feliz año gracias por todo.

Liz, que digo de ti xD solo me queda darte un gracias 😛

La loca  familia que tengo U_U, si loca primero a la ingrata escritora colaboradora -_-! Kari, al rooteado de Enrique 🙁 que se olvido de nosotros, y al viejo del mar Seguridad Jabali mas conocido como Angel el indestructible, chicos gracias por estar ahi siempre dandome animos haciendome  reir, llorar disfrutar la vida dar el dulce en la cereza con nuestras discusiones y peleas.

Este año conoci a Jhegs, Walsen, Kasammanor, Betto, Jimmy el troll xD personajes de gran corazón siempre saliendo con alguna ocurrencia buscando pelea o bien mas que uno queriendome romper las piernas un abrazo a todos.

Arquitecta, Tebot, Eliana, Fabiola, chilli, Anita, Sergio 666, Cristina, Sarah, Camel, ChicoViejo, Darvein, Goztilla, thearcherblog, Luweeds, kinomakino, 1gbdeinfo, Angelucho, ns4 vil gusano,  y todos los demas que talvez me olvide de alguno xDDD feliz año nuevo gente!

A los redactores del blog nao, sanko, kari feliz año!!

A los tucanes :3 a todos los pinguinos que andan alli un abrazo….

Lo que se viene

  1. Ser mejor cada dia luchar, no caer.
  2. Darle con todo cada dia para saber que logre dar lo mejor de mi.
  3. El framework 🙂 de forense terminarlo este año sale por que sale.
  4. Dejar mi orgullo a un lado ser mas fuerte.
  5. Continuar haciendo crecer geekscripting y Sniferl4bs.
  6. No caer…

Por ultimo lo que tengo que hacer…

  • No tenerle miedo al sufrimiento ni al fracaso, porque ambos son sólo unas  instancias de aprendizaje que ayudaran a crecer.
  • Entender que la vida es solo prestada aprender a vivirla depende de cada uno de nosotros nuestra fuerza de voluntad para cambiar, tener una mejor idea para cambiar la vida que venga con estrategias y cambios.

Recuerden esto :

“SER FELIZ ES UNA DECISIÓN”

Para mi que siempre tengo que llevarlo .

“Queda prohibido no luchar por lo que quiero, abandonarlo todo por miedo,no convertir en realidad mis sueños”
Este es mi año el que viene es mi sueño, no me rendire..  seguire luchando por mis sueños…

Ahora este verso que me encanto…

“Dicen que las alegrías, cuando se comparten, se agrandan.
Y que en cambio, con las penas pasa al revés: Se achican.
Tal vez lo que sucede, es que AL COMPARTIR, LO QUE SE DILATA ES EL CORAZÓN.
Y un corazón dilatado esta mejor capacitado para gozar de las alegrías y mejor defendido para que las penas no nos lastimen por dentro”.
Feliz año nuevo y gracias por leer este cuento :).

Leer artículo original: Remove 2012 – Install 2013 Adios año viejo!!!

LulzSec Perú publica información sensible del Ministerio de Defensa de Argentina

Mediante un post en anonpaste, LulzSec Perú ha publicado una serie de datos e información sensible correspondiente al Ministerio de Defensa (mindef) del Gobierno de Argentina.

lulzsecperulogo

Bajo el título de “Argentina WAR Diary“, en el leak se publica información aparentemente extraída directamente de los sistemas internos y bases de datos del ministerio.
Se publicaron 3 archivos vía anonfiles.com, los cuales corresponden a información sobre los submarinos y radares, documentos clasificados y una base de datos completa que incluye usuarios, claves, secretos, nombres, etc. Junto con esta información, se expuso el nombre de todos los altos cargos del ministerio de defensa.

Extracto del paste

Extracto del paste

Junto a la información expuesta, LulzSec Perú entrega información del sistema reflejando el control que tiene sobre el servidor, muestra el típico ejemplo del archivo /etc/passwd junto con el listado de archivos existentes dentro del directorio web del mindef.gov.ar

Extracto del paste

Extracto del paste

Leer artículo original: LulzSec Perú publica información sensible del Ministerio de Defensa de Argentina

Especial Champagne – @HackDevMagazine #2

Hoy es el ultimo día del año y creo que se viene con mas hace un momento me desperte y walla ya salio el numero especial de las guerrilleras :3 que lean esto y me matan xD pero que va desde que salio el primer numero en el blog andamos difundiendo esta revista Hackers Developers y hoy cerramos el año con broche de oro  con esta entrega una edición especial acabo de terminar de leerla :3, y si ven aparece Richard Stallman con una entrevista, un priv8 asi que a bajar la revista y leer el ultimo día del año.

Por si quieren ver las anteriores entradas:

Hackers&Developers @HackDevMagazine #1

31.12.2012   Descargar PDF de Hackers & Developers Magazine Nº 2  03.12.2012   Descargar PDF de Hackers & Developers Magazine Nº 1  05.11.2012   Descargar PDF de Hackers & Developers Magazine Nº 0  


Leer artículo original: Especial Champagne – @HackDevMagazine #2

Proyecto Laboratorios de Seguridad

Ya la penúltima entrada del año 🙂 y la cual viene con una idea que andaba rondando por mi cabeza  mucho tiempo ya pero nunca salia correctamente talvez porque estuve esta dos ultimas semanas mal sin tiempo para poder reaccionar debidamente caminando como un vagundo entre mi mente, pero que va hoy es Domingo y como saben mañana es la noche que se va todo lo malo y se viene lo bueno o bueno al menos eso es lo que pienso hoy les traigo un pequeño proyecto el cual es LABORATORIOS DE SEGURIDAD yo ando armando el mio bueno eso luego viene :). 
La mejor forma para poder aprender es practicando, para dicho objetivo se crearon, armaron y posteriormente se liberarón entornos  de practica los cuales nos sirven para poder montarlos y practicar con ellos, yo los llamo laboratorios de prueba pero que tal si se tiene una referencia de todos estos entornos ya sean de Seguridad Hacking, Pentesting, Forensic, Maquinas Virtuales configuradas debidamente seteadas y poder acceder a ellas a eso se viene el proyecto que se inicia en SniferL4bs lo cual seria gratificante recibir un feedback de todos en este mismo post en el cual poder incrementar las referencias ahora ando subiendo de apoco las referencias y los links pero la pequeña muestra de lo que andara por esa pestaña es la siguiente:
Pentesting

  • Proyecto Sauron
  • Web Security Dojo
  • Metasploitable
  • Damn Vulnerable Web
  • OWASPBWA
  • Game Over
  • HOLYNIX
  • WackoPicko
  • Lampsecurity
  • y mas.. 

Lo mismo procederé con lo que es referente a Forense, Redes  y demás ira creciendo segun el transcurso de los días cabe destacar  que es un proyecto abierto y con tiempo espero que sea una fuente de referencia en lo posible tratare de hacer una entrada semanal o mensual con alguna de estas distro y a la vez teniendo en ella referencia a mas información con ello.
Pero a esto el link donde esta Laboratorios de Seguridad

Leer artículo original: Proyecto Laboratorios de Seguridad

16 de 17 sitios del gobierno afectados por vulnerabilidad Local File Include solucionaron el problema

En un post anterior dimos a conocer una lista de sitios del gobierno chileno vulnerables a inclusión de archivos locales, permitiendo acceder a archivos de sistemas y código fuente.

Rápidamente se tomaron las medidas necesarias y se dio las alertas correspondientes, sin embargo, de los 17 sitios reportados solo falta 1 que solucione el problema

Listado de sistemas "fixeados"

Listado de sistemas “fixeados”

Corresponde al sitio del Servicio Nacional de Aduanas, el cual aún se encuentra vulnerable.

Leer artículo original: 16 de 17 sitios del gobierno afectados por vulnerabilidad Local File Include solucionaron el problema