Cuaderno de OsCaR :: inSiD3

Se ha encontrado una vulnerabilidad que provoca una denegación de servicios en linux. El fallo se debe a un error de diseño en el protocolo Ipv6 a la hora de manejar cabeceras de ruta de tipo 0. Esto podría ser aprovechado por atacantes remotos para provocar una denegación de servicio si se envían paquetes especialmente manipulados.

El problema ha sido solucionado en la versión 2.6.20.9 disponible desde http://www.kernel.org

:: Fuente: Hispasec

Se ha celebrado la Microsoft MIX, una conferencia para desarrolladores de Microsoft, y uno de los participantes, que dirige el grupo “Open Source, the Web, Interoperability, and Microsoft”, ha publicado una lista con las siete razones por las que Microsoft ama el software libre, lista que traducida dice lo siguiente:

1. Microsoft ya incluye software abierto en sus productos: ¿Alguien se acuerda de cual era la primera implementación TCP/IP que incluyo Windows? En Windows XP todavía quedan remanentes de ese código; una demostración sencilla: Examina el fichero “ftp.exe” con un editor hexadecimal; podrás ver el copyright de la Universidad de California.
2. Dan soporte a desarrolladores de software libre: Mysql, SugarCRM, JBoss y muchos otros proyectos reciben soporte de Microsoft a través de diferentes programas de apoyo de la compañía.
3. Obtienen beneficios del software libre: La “batalla” que Microsoft mantiene con el software libre genera miles de artículos periodísticos, artículos que a efectos prácticos son propaganda para la compañía. Sin ir mas lejos, este mes se han editado unos 2.000 artículos con el tema “Microsoft y el software libre”.
4. Están abriendo código: No me estoy refiriendo al “shared source”, sino a las “Windows tools for Unix”, de las que Microsoft ha liberado buena parte del código fuente. Puede parecer poca cosa, pero es un paso importante.
5. Están adoptando la cultura del software libre: La “Mix conference” se presenta como “una charla de 72 horas”. Pero hay mas ejemplos: La comunidad de blogs de Microsoft, Channel 9, CodePlex, … La compañía está dando pasos para abrirse.
6. El software libre no es una amenaza para ellos: Para Microsoft, el enemigo no es el OpenSource, sino Linux. De todos los proyectos OpenSource, Linux es el más grande, el mejor organizado y el que recibe mas apoyos. Por poner un ejemplo, IBM ha invertido cientos de millones de dolares en promover Linux, pero no el software libre. Microsoft no teme al software libre, teme lo que sus competidores puedan hacer con el software libre.
7. Son conscientes de que el OpenSource es el futuro: Microsoft sabe hacerse odiar, pero no están tan desconectados de la comunidad OpenSource como pueda parecer en un principio. Lo que ocurre es que Linux les está provocando muchos problemas, y están intentando mantenerse. Una cosa está clara, es imposible construir un imperio si no tienes visión de futuro; en Redmond, hasta el ejecutivo mas cerrado de mente es consciente de que el OpenSource es el futuro.

(more…)

Javi Moya ha publicado su programa para Windows con el que se pueden enviar sms gratis usando Noxtrum. [Dar las gracias a mi cuñao Maxi que me comentó la noticia. xD]
SMS Gratis es el nombre que le ha dado, y por supuesto sirve para mandar mensajes de texto a teléfonos móviles de España (Vodafone, Movistar, Orange, Yoigo, etc…) de forma gratuita. En un principio iba a ser una aplicación web, pero hacerlo de esa forma, a pesar de su comodidad, sería problemático, ya que serían muchas peticiones desde el mismo sitio, y lo terminarían bloqueando. Por eso Javi Moya prefirió crear una aplicación Windows (que es mucho más lógico y razonable xD).

Otra cosa es decir que sólo se pueden enviar sms con un intervalo de tiempo de 10 minutos entre sms y sms, más que nada como medida contra el abuso de envíos masivos (aunque Noxtrum solo permite un nº de sms diarios por nº de movil dado de alta).
Un error conocido del programa SMS gratis es que la primera vez se envíe un mensaje sms te dirá que no ha podido ser enviado, pero en realidad si llegará. Unas veces pasa y otras no. Pero ésto es un problema de Noxtrum, no del programa.
Ya sabes que para poder enviar sms con Noxtrum debes estar registrado por un único y modico precio (son 30 céntimos el alta; merece la pena).
Para ver esta información de Alta en Noxtrum para poder realizar los envíos: consulta mi anterior artículo sobre sms con Noxtrum y/o leer las respuestas a los comentarios al final de este artículo.
:: Descarga directa de SMS Gratis.
:: Fuente: Blog de Javi Moya.

Michal Zalewski, emprendió la explotación de una prometedora fuente de vulnerabilidades en navegadores (entre otras cosas), y de momento ya se ha llevado por delante a Internet Explorer y a Firefox en varias ocasiones.
Con Firefox, el método consiste en disparar ciertos eventos del navegador de forma asíncrona (con Javascript, generalmente) mientras otros componentes del navegador se están aún ejecutando. El episodio puede terminar corrompiendo la memoria, colgando el navegador y, quizás, facilitando la ejecución de código arbitrario…

En relación a la vulnerabilidad por concurrencia de eventos en Firefox, Kriptopolis recopiló las tres demos de los torpedos de Zalewski, que están disponibles en los siguientes links: (te petarán tu Firefox)

1. Torpedo 1
2. Torpedo 2
3. Torpedo 3

Puedes probar las demos con tu Firefox (con Javascript activado, y sin usar Noscript).

:: Fuente: Kriptopolis

Andrés Tarasco y Mario Ballano han publicado un exploit para una vulnerabilidad remota del servicio DNS de Microsoft que permitiría a un usuario la ejecucion remota de codigo con privilegios de SYSTEM.

Al contrario que los reportes iniciales de Microsoft, han notificado de que su exploit es capaz de atacar un sistema a través del puerto 445 por lo que dicho puerto debe ser filtrado en el firewall hasta que el parche definitivo sea publicado.

>> Ejemplo del uso del exploit:

D:\DNSTEST>dnstest.exe 192.168.1.7 ——————————————————- Microsoft Dns Server local & remote RPC Exploit code (port 445) Exploit code by Andres Tarasco & Mario Ballano Tested against Windows 2000 server SP4 and Windows 2003 SP2 (Spanish) ——————————————————- [+] Trying to fingerprint target.. 05 02 [+] Remote Host identified as Windows 2003 [+] Connecting to 50abc2a4-574d-40b3-9d66-ee4fd5fba076@ncacn_np:192.168.1.7[\\pipe\\dnsserver] [+] RpcBindingFromStringBinding returned 0×0 [+] Calling remote procedure DnssrvOperation() [+] Now try to connect to port 4444 D:\DNSTEST>nc 192.168.1.7 4444 Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\WINDOWS\system32>whoami nt authority\system

:: Fuente: 514.es && 48Bits

:: El código fuente del exploit y el analisis del mismo lo podeis Descargar aqui
:: Exploit compilado Win32 aqui
:: Análisis de la vulnerabilidad aqui

Se ha anunciado la existencia de una vulnerabilidad en Adobe ColdFusion MX 7, que podría ser empleada por atacantes locales para conseguir elevar sus privilegios en el sistema.

El problema reside en la aplicación de permisos inseguros a determinados archivos y directorios. Un atacante local podría emplearlo para elevar sus privilegios en el siguiente reinicio de ColdFusion al reemplazar o editar los archivos afectados.
:: Fuente: Hispasec

Busque en google si alguien tenia una lista actualizada de todos los servicios y nuevos servicios que actualmente google nos ofrece. Existian varias listas en inglés, unas actualizadas y otras no. Supongo que también pueden verse desde algún directorio de la/s web/s de google; pero preferible una explicación detallada en español de cada uno de los servicios.

Por ello pongo un enlace de un blog donde disponen de la lista de servicios google en español, con explicación detallada y link, y parte con un seguimientos de estos servicios y su actulizacion del listado.

Para ver el listado entra a este enlace del Blog SpaceBOM

He encontrado un web site donde puedes escuchar todo tipo de música de artitas conocidos y, sobretodo, no conocidos y de diferentes países y estilos. A parte de poder escucharlo en tiempo real desde la web, te dan la opción de descargarlo vía torrent o emule, proporcionandote ellos el enlace. Es un servicio totalmente Legal y Gratuito. Tienes la opción de resgistrarte y poder hacer donaciones a los grupos cuya música te haya gustado para que puedan seguir produciendo (solo si quieres).

La direccion es Jamendo.com

Negroogle te ofrece las búsquedas en español de Google pero ahorrando energía ya que el fondo de la pantalla es de color negro y tu monitor gasta menos al mostrarla.

Según los cálculos que el bloguero Mark Ontush publicó en su blog, si la página inicial de Google fuera de color negro en vez de blanco el ahorro de energía a nivel mundial sería considerable ya que cada día la página inicial de Google recibe más de 200 millones de visitas. Por tanto, un Google negro permitiría un ahorro diario de 3 millones de kilowatts, que traducidos en dinero representarían unos 75.000 dolares anuales.

:: Buscador Google en negro: Negroogle

Si quieres poner Google en Negro como tu página de inicio, te recomiendo que lo hagas con la siguiente dirección:

Google en Negro

Ya que con ello usas directamente la plantilla modificada en google y te ahorras la demora de la redirección de Negroogle hacia Google en color negro. xD

Los prestadores de servicios estarán obligados a bloquear o deshabilitar los contenidos presuntamente ilícitos a petición de la SGAE.

Ante la reforma de la Ley de Servicios de la Sociedad de la Información (LSSI) que obliga a los prestadores de servicios a retirar contenidos supuestamente ilícitos previa solicitud de la SGAE y otras entidades análogas, la plataforma todoscontraelcanon quiere expresar su rechazo a lo que considera un ataque frontal contra la libertad de uso de Internet.

(more…)

He visto un recopilatorio que viene bien tener en cuenta mencionar para recodar que disponemos de cada vez más extensiones para nuestro navegador Firefox. En este caso el colega mig ha publicado en su web freneticmig un recopilatorio de extensiones para Mozilla Firefox de seguridad, audiotorias, utilidades de red, miscelanea, localización, spidering, proxys, edicion y otros que pueden resultarnos muy utiles para algunas cosas.

Puedes ver el recopilatorio haciento clic en el enlace fuente de abajo.

:: Fuente: freneticmig - Recopilatorio de Extensiones para Firefox