Monthly Archives: December 2008

Memorias Securinf v2.0

Posted on by
Reply

El 17 de diciembre se llevo a cabo el Seminario de Seguridad Informática SecurInf v2.0 en la ciudad de Popayán, en el se expusieron temas actuales sobre seguridad de informática (Clickjacking), tipos de fraudes en linea (Phishing), ingeniería inversa (cracking de software), y un wargame practico en el que participaron los asistentes al evento.

Fuente: http://www.dragonjar.org/memorias-securinf-v20.xhtml

El Libro Negro el Hacker

Posted on by
Reply

Nota de Segu-Info: la mayoría de estos documentos se encuentran desactualizados y no se trata de una obra profesional pero pueden ofrecer interesante información sobre Seguridad a quienes comienzan en este mundo.

Obra digital equivalente a más de 1.000 páginas escritas.

Recorrido completo y profundo por el Mundo Hacker: su esencia, sus procedimientos y métodos, herramientas, programas y utilidades, con amplias explicaciones.

Los mejores escritos hacker en idioma Español.

Cómo defender su PC de “Ataques” externos, virus, troyanos, escaneo de puertos, aplicaciones perniciosas.

Cuatro discos llenos de información, utilidades, vínculos a páginas Web.

Contenido

Disco 1:

  • PRÓLOGO por “El Hacker Negro”
  • Medidas de Seguridad para su sistema de cómputo
  • INTRODUCCIÓN: El Hacker –Manual
  • Todo sobre la IP
  • Crackeando Webs
  • Qué es el “Sniffin”
  • Hackeando vía TELNET
  • Qué es el “Spoofing”
  • Cómo se hacen los VIRUS

Disco 2:

  • Amenazas en la Red
  • Ingeniería Inversa
  • Agujeros de seguridad informática
  • Entrar en Pc’s con recursos compartidos
  • Guía del CRACKER: manejo de ensamblador
  • Apodérate de ICQ
  • Cifrado de información
  • Cómo sacar la IP en IRC
  • Cómo liberarse de un troyano
  • Manual del IRC
  • Manual del Back Oriffice
  • Navegando anónimamente bajo Proxys
  • Crackeando sistemas
  • Identificación como Root

Disco 3: (Utilidades)

  • Descifrador de passwords PWL
  • Descifrador de asteriscos en passwords
  • Descifrando passwords del CMOS
  • Encripta tus archivos (programa Crypto)
  • Gran número de seriales de programas comerciales
  • Guía ligera del Hacker
  • IP AGENT
  • Lista completa de puertos de un sistema
  • OPTOUT2000: Detector de Intrusos (instálalo en tu sistema para comenzar-es Freeware).
  • Usa la “fuerza bruta” para adivinar claves en archivos ZIP

Disco 4: (Utilidades)

  • BIOS CRACKER: encuentra passwords de BIOS (por ejemplo, en portátiles)
  • Elimina los 30 días de los programas shareware
  • Monitorea tu Acceso Telefónico a Redes

Descargar Libro desde Segu-Info

Fuente: http://kat-black.blogspot.com/2008/12/el-libro-negro-el-hacker-aprende-todo.html

American Express afectado (otra vez) por falla XSS

Posted on by
Reply

Redacción de Segu-info: al momento de publicar esta nota al menos una de las vulnerabilidades se manifiesta resuelta.

Cuentas de tarjetas desprotegidas

El sitio web de American Express una vez más fue afectado por fallas de seguridad que pueden exponer su considerable base de clientes a ataques que les roben sus credenciales de ingreso.

La noticia llega días después que The Register le informara a Amex que ponía a los usuarios en riesgo innecesario al fallar en reparar una vulnerabilidad evidente que desde hace dos semanas un investigador de seguridad les había alertado. Un vocero de Amex dijo después que había tapado el agujero.

Y parece que no fue así. El error de scripting XSS que hace trivial a los atacantes robar las cookies de identificación de los usuarios que ingresan a americanexpress.com, continua vivo y coleando. La confusión proviene de una equivocación que cometen muchos desarrolladores de aplicaciones que asumen incorrectamente que la causa raíz de una vulnerabilidad está cerrada cuando una explotación en particular ya no funciona más.

Amex XSS aún no reparado

“Ellos no solucionaron el problema” dijo Joshua D. Abraham, un consultor de seguridad web de Rapid7 en Boston. “Solucionaron solo un caso de este problema. ¿Quisiera mirar en toda la aplicación y decir si podría haber otro asunto similar?”

Al menos dos Fuentes separadas mencionan haber descubierto que el agujero XSS sigue abierto. El investigador Kristian Erik Hermansen nos lo hizo ver, y desarrolló esta prueba de concepto que muestra como un sitio falso puede explotar la falla y desviar la cookie de amercianexpress.com de una persona, la que ayuda a autenticar a los usuarios después que ingresaron su ID de usuarios y contraseña. Unas horas más tarde, el SecurityLab.ru de Moscú puso esta advertencia.

El arreglo chapucero parece ser el resultado de los desarrolladores web que arreglaron el problema para la falla basada el protocolo ‘get’ de pedidos HTTP pero no en el protocolo ‘post’.

Esta falla fue revelada públicamente por primera vez en Abril de 2007

Fue un error XSS separado en americanexpress.com lo que llamó nuestra atención. La vulnerabilidad fue revelada públicamente en un foro web de seguridad en abril de 2007, planteando preguntas respecto de la diligencia de los empleados de Amex para olfatear y reparar vulnerabilidades que pudieran ser usadas para estafar a sus clientes.

Una vocera de la compañía dijo que la seguridad es de principal interés y dijo que los empleados investigarían las dos vulnerabilidades informadas.

No tenemos razones para dudar de la sinceridad de su anuncio respecto que la seguridad es importante en Amex, pero aún no podemos entender porque la compañía hace tan difícil a los investigadores el poder reportar este tipo de vulnerabilidades. Los errores XSS típicamente pueden solucionarse en cuestión de minutos. Solo piense en cuanto mejor protegidos estarían los clientes si la compañía tuviera una dirección de correo o sección en si sitio web dedicados a recibir informes de vulnerabilidades. ®

Traducido para blog de Segu-info por Raul Batista
Autor: Dan Goodin
Fuente: http://www.theregister.co.uk/2008/12/20/american_express_website_bug_redux/