CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES

martes, 25 de noviembre de 2008

solución al crackme del décimo aniversario de "una-al-día"



Coincidiendo con el décimo aniversario de "una-al-día" publicamos hace
una semana un nuevo reto de ingeniería inversa relacionado con el
evento. La idea era analizar y entender un programa conocido como
crackme, destinado específicamente a que su propia protección software
sea sorteada. En la entrega de hoy desvelamos los lectores premiados y
cómo solucionarlo.

Los premiados que han conseguido solucionar el reto, por orden (todas
horas CET):

* Romansoft, de Madrid, el 18/11 a las 23:26
* Hernán Pereira, de Buenos Aires, el 20/11 a las 04:04
* Alejo Murillo, de Madrid el 21/11 a las 1:52
* Lionel Gómez, el 20/11 a las 18:10
* Dani kachakil, de Valencia (España) el 22/11 a las 0:27

Mención especial para Alejo, que realizó un impecable informe que
ponemos a disposición de los lectores en los enlaces de más información.

Estos primeros 5 lectores recibirán el libro "Una-al-día: 10 años de
seguridad informática". Hispasec ha publicado recientemente: "Una al
día: 10 años de seguridad informática" con motivo de la celebración
del décimo aniversario. El libro recorre los hitos más destacados de
la última década y echa una mirada al futuro más inmediato del mundo
de la (in)seguridad informática. La obra cuenta con la inestimable
colaboración, a modo de entrevistas para la ocasión, de figuras
relevantes en este terreno como son Bruce Schneider, Eugene Kaspersky,
Johannes Ullrich, Juan C. García Cuartango, Mikel Urizarbarrena, etc.

Aprovechamos para informar de que en los últimos días se ha solucionado
un error en la imprenta virtual lulu.com, que disparaba los gastos de
envío a países en Latinoamérica. Ahora el precio es mucho más razonable.
Disculpen las molestias.

Además se ha añadido un nuevo punto de venta con distintos gastos de
envío según el país, para que se pueda elegir el lugar que más convenga.

El resto de ganadores que hasta el día de hoy enviaron su solución:

* David Guerrero, de Valencia (España) el 23/11, a las 17:05
* Rafael Antonio Porras, de Madrid, el 23/11, a las 17:35
* Xacobe Rascado, de Vigo (España), el 23/11 a las 19:18
* Alejandro J. Gómez López, de Jaén (España), el 24/11 a las 18:54.

recibirán una camiseta. Gracias a todos los que han participado. La
solución al problema se encuentra en el enlace del apartado de más
información.




lunes, 24 de noviembre de 2008

Revelación de información a través de ICMP en Check Point VPN-1



Se ha descubierto una vulnerabilidad en Check Point VPN-1 que podría
permitir a un atacante remoto obtener las direcciones IP de la red
interna.

El fallo reside en un manejo incorrecto de paquetes con un valor TTL
bajo. Al recibir paquetes en puertos del cortafuegos que son mapeados
a puertos internos, dichos paquetes son reescritos para enviarlos al
servidor de administración del firewall. Con un TTL corto este proceso
falla y sea crea un paquete ICMP de respuesta que contiene la dirección
interna del cortafuegos. Un atacante remoto podría obtener las
direcciones IP internas a través de paquetes especialmente manipulados.

Existe una prueba de concepto que explota esta vulnerabilidad. Check
Point ha confirmado que en breve publicará una actualización para
corregir este problema.

miércoles, 19 de noviembre de 2008

Concurso décimo aniversario: Crackme


Dentro del marco de la celebración por el décimo aniversario de
una-al-día, vamos a presentar un nuevo reto de ingeniería inversa
relacionado con el evento. La idea es analizar y entender un programa
conocido como crackme, destinado específicamente a que su propia
protección software sea sorteada.

La solución a este reto arrojará luz sobre nuestras costumbres diarias.
Para los ganadores habrá libros y camisetas de regalo.

El desafío consiste en generar un fichero de clave válido para este
programa. El reto tiene además un problema de diseño relacionado con el
hecho de que es un programa multi-hilo. Aquellos que además de encontrar
la clave expliquen correctamente en qué consiste el problema tendrán
prioridad sobre el resto, aunque tarden más en enviar la solución.

Las primeras personas que envíen un fichero con la clave correcta
recibirán el libro "Una-al-día: 10 años de seguridad informática" y
además una camiseta de Hispasec. Para puestos sucesivos se entregarán
también camisetas conmemorativas. Hispasec ha publicado recientemente:
"Una al día: 10 años de seguridad informática" con motivo de la
celebración del décimo aniversario. El libro recorre los hitos más
destacados de la última década y echa una mirada al futuro más inmediato
del mundo de la (in)seguridad informática. La obra cuenta con la
inestimable colaboración, a modo de entrevistas para la ocasión, de
figuras relevantes en este terreno como son Bruce Schneider, Eugene
Kaspersky, Johannes Ullrich, Juan C. García Cuartango, Mikel
Urizarbarrena, etc.

Aprovechamos para informar de que en los últimos días se ha solucionado
un error en la imprenta virtual lulu.com, que disparaba los gastos de
envío a países en Latinoamérica. Ahora el precio es mucho más razonable.
Disculpen las molestias.

El enlace para descarga del crackme es:
http://www.hispasec.com/uad/index_html
dentro de la pestaña crackme.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3679/comentar

viernes, 14 de noviembre de 2008

Actualización de seguridad para GnuTLS



El proyecto GNU ha publicado una actualización de seguridad para su
producto GnuTLS, que elimina múltiples fallos menores y una
vulnerabilidad que permitiría la falsificación de certificados X.509.

GnuTLS es una librería para la implementación del protocolo TLS
(Transport Layer Security, capa de seguridad del transporte) y de su
predecesor SSL (Secure Sockets Layer, capa de conexión segura), métodos
utilizados para ofrecer cifrado y integridad de datos en las
comunicaciones entre dos entes a través de una red informática.

Aunque tradicionalmente el uso más frecuente de SSL/TLS es para el
cifrado de las páginas web, en realidad estos protocolos de transporte
son totalmente independientes del protocolo de aplicación. Es decir, se
puede utilizar SSL/TLS para el cifrado de protocolos de aplicación como
Telnet, FTP, SMTP, IMAP o el propio HTTP.

SSL/TLS no ofrecen únicamente la capacidad de cifrar la información,
sino que también permiten a cada una de las partes identificarse de
forma fehaciente, lo que evita posibles ataques de suplantación o de
interceptación de sesiones ("man-in-the-middle").

La vulnerabilidad descubierta, podría ser aprovechada para validar un
certificado de forma automática sin que este sea realmente comprobado
en la lista de certificados válidos.

El error está causado por un fallo en la función
_gnutls_x509_verify_certificate en x509/verify.c, que se encarga de
la cadena de verificación de los certificados X.509. Debido al error,
si se añade un certificado autofirmado confiable a la lista, este será
descartado una vez validado, y el certificado situado inmediatamente
después será dado por válido sin pasar por el proceso de comprobación.

El fallo podría ser aprovechado por un atacante por medio de ataques
man-in-the-middle. Lo que le permitiría suplantar cualquier nombre y
añadirle un certificado confiable falso, que daría con que el cliente
de GnuTLS lo acepte como seguro.

Se recomienda actualizar a la versión 2.6.1 de GnuTLS no vulnerable,
disponible para su descarga desde:
http://www.gnu.org/software/gnutls/

miércoles, 12 de noviembre de 2008

Instalación y configuración de zimbra en debian etch 4.0 o ubuntu server 7.0


Muchos administradores se matan la cabeza montando un servidor de correo debido a que no es nada facil a pesar de postfix que ha humanisado mas los archivos de configuración porque sendmail es otro nivel, bueno para quitarse muchos dolores de cabeza yo recomiendo instalar zimbra como gestor de correo y aqui les pongo un ejemplo facil de como montarlo a mi me funciono perfecto.

Primero revisamos el /etc/hosts que este hay el el nombre del equipo y dominio para el que va a ser servidor de correo, deberia haber algo parecido a esto

127.0.0.1 localhost.localdomain localhost
192.168.0.110 server1.example.com server1

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts


En caso de que no este el nombre del equipo y el dominio borramos lo que este hay y agregamos el dominio con nombre de host de etsa manera

echo server1.example.com > /etc/hostname

luego reiniciamos para que surtan efecto los cambios en todo el sistema

Al cargar ejecutamos hostname -f y no debe arrojar como resultado esto
server1.example.com

Luego revisamos el archivo /etc/resolv.conf qu eesten configurado los ip de nuestro servidor dns en el caso de que el servidor de correo este detras un firewall o gateway en una red privada, luego de esto desintalamos los paquetes innecesarios para nuestra instalación y que ademas dan problemas con el zimbra

apt-get remove --purge exim4 exim4-base exim4-config exim4-daemon-light

acto seguido instalamos los que si necesitamos

apt-get install libc6-i686 sudo libidn11 curl fetchmail libgmp3c2 libexpat1 libgetopt-mixed-perl libxml2 libstdc++6 libpcre3 libltdl3 ssh
ya con esto tenemos el sistema listo para em pesar con la instalación del zimbra nos cambiamos de directorio y nos descargamos la ultima versión que para el momento es 5.0.8


cd /tmp/
wget 0080709172452.tgz...

Acto seguido que lo hemos descargado empezamos con la instalación

tar xvfz zcs-5.0.8_GA_2462.DEBIAN4.0.20080709172452.tgz
cd zcs-5.0.8_GA_2462.DEBIAN4.0.20080709172452
./install.sh -l

En este paso nos hara una serie de preguntas

Checking for prerequisites...
NPTL...FOUND
sudo...FOUND sudo-1.6.8p12-4
libidn11...FOUND libidn11-0.6.5-1
fetchmail...FOUND fetchmail-6.3.6-1etch1
libpcre3...FOUND libpcre3-6.7+7.4-2
libgmp3c2...FOUND libgmp3c2-2:4.2.1+dfsg-4
libxml2...FOUND libxml2-2.6.27.dfsg-2
libstdc++6...FOUND libstdc++6-4.1.1-21
openssl...FOUND openssl-0.9.8c-4etch1
libltdl3...FOUND libltdl3-1.5.22-4
Prerequisite check complete.
Checking for standard system perl...
perl-5.8.8...FOUND standard system perl-5.8.8

Install zimbra-ldap [Y] Y
Install zimbra-logger [Y] Y
Install zimbra-mta [Y] Y
Install zimbra-snmp [Y] Y
Install zimbra-store [Y] Y
Install zimbra-apache [Y] Y
Install zimbra-spell [Y] Y
Install zimbra-proxy [N] N

The system will be modified. Continue? [N] Y

Main menu

1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-store: Enabled
+Create Admin User: yes
+Admin user to create: admin@server1.example.com
******* +Admin Password UNSET
+Enable automated spam training: yes
+Spam training user: spam.m0bqyoayc@server1.example.com
+Non-spam(Ham) training user: ham.ygch0qyz1@server1.example.com
+Global Documents Account: wiki@server1.example.com
+SMTP host: server1.example.com
+Web server HTTP port: 80
+Web server HTTPS port: 443
+Web server mode: http
+IMAP server port: 143
+IMAP server SSL port: 993
+POP server port: 110
+POP server SSL port: 995
+Use spell check server: yes
+Spell server URL: http://server1.example.com:7780/aspell.php

4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-logger: Enabled
7) zimbra-spell: Enabled
algooooo Default Class of Service Configuration:
r) Start servers after configuration yes
s) Save config to file
x) Expand menu
q) Quit

Address unconfigured (**) items (? - help)

Aqui tienes que elegir la opción numero 3 y ponerle una clave al usuario admin no menor de 6 digitos, cn este usuario es que vamos a trabajar siempre para administrar nuestro servidor

Store configuration

1) Status: Enabled
2) Create Admin User: yes
3) Admin user to create: admin@server1.example.com
** 4) Admin Password UNSET
5) Enable automated spam training: yes
6) Spam training user: spam.m0bqyoayc@server1.example.com
7) Non-spam(Ham) training user: ham.ygch0qyz1@server1.example.com
algooooo Global Documents Account: wiki@server1.example.com
9) SMTP host: server1.example.com
10) Web server HTTP port: 80
11) Web server HTTPS port: 443
12) Web server mode: http
13) IMAP server port: 143
14) IMAP server SSL port: 993
15) POP server port: 110
16) POP server SSL port: 995
17) Use spell check server: yes
18) Spell server URL: http://server1.example.com:7780/aspell.php

Select, or 'r' for previous menu [r]

Enter "4" (without the quotes) and press "Enter" to modify the admin password. Now you'll be asked for the new password.

Password for admin@server1.example.com (min 6 characters): [TR9Fm7uD]

Aqui introduces el password para el usuario admin

Main menu

1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-store: Enabled
4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-logger: Enabled
7) zimbra-spell: Enabled
algooooo Default Class of Service Configuration:
r) Start servers after configuration yes
s) Save config to file
x) Expand menu
q) Quit

*** CONFIGURATION COMPLETE - press 'a' to apply
Select from menu, or press 'a' to apply config (? - help)

Con esot ya tenemos casi listo nuestro servidor de correo nos hara una preguna sobre donde y en que archivo va a sarvar los cambio le damos a todo enter

Save configuration data to a file? [Yes] Enter
Save config in file: [/opt/zimbra/config.5422]
Saving config in /opt/zimbra/config.5422...done.
The system will be modified - continue? [No] Y

Operations logged to /tmp/zmsetup.02062008-135354.log
Setting local config values...done.
Setting up CA...done.
Creating SSL certificate...done.
Initializing ldap...done.
Setting replication password...done.
Setting Postfix password...done.
Setting amavis password...done.
Deploying CA to /opt/zimbra/conf/ca ...done.
Creating server entry for server1.example.com...done.
Setting spell check URL...done.
Setting service ports on server1.example.com...done.
Adding server1.example.com to zimbraMailHostPool in default COS...done.
Installing skins...
hotrod
lavender
waves
steel
sky
bones
yahoo
sand
lemongrass
beach
bare
done.
Setting zimbraFeatureIMEnabled=FALSE...done.
Setting zimbraFeatureTasksEnabled=TRUE...done.
Setting zimbraFeatureBriefcasesEnabled=TRUE...done.
Setting zimbraFeatureNotebookEnabled=TRUE...done.
Setting MTA auth host...done.
Setting TimeZone Preference...done.
Creating domain server1.example.com...done.
Creating user admin@server1.example.com...done.
Creating postmaster alias...done.
Creating user wiki@server1.example.com...done.
Creating user spam.m0bqyoayc@server1.example.com...done.
Creating user ham.ygch0qyz1@server1.example.com...done.
Setting spam training accounts...done.
Initializing store sql database...done.
Setting zimbraSmtpHostname for server1.example.com...done.
Initializing logger sql database...done.
Initializing mta config...done.
Configuring SNMP...done.
Setting services on server1.example.com...done.
Setting up zimbra crontab...done.
Setting up syslog.conf...done.

After all you'll be asked if you want to notify Zimbra of your installation. Press "Enter" if you want to do that, or enter "N" (without the quotes) and press "Enter" if you disagree to that. Afterwards the system will be initialized - it should look like this:

Starting servers...done.
Checking for deprecated zimlets...done.
Installing zimlets...
com_zimbra_date
com_zimbra_url
com_zimbra_cert_manager
com_zimbra_phone
com_zimbra_search
com_zimbra_local
com_zimbra_email
done.
Initializing Documents...done.
Restarting mailboxd...done.

Moving /tmp/zmsetup.02062008-135354.log to /opt/zimbra/log

Por ultimo para verificar que todo este bien nos cambiamos al usuario zimbra y verificamos que todos los servicios esten arriba de la siguiente manera

su - zimbra
zmcontrol status Esto nos deberia de arrojar como resultado lo siguiente
Host server1.example.com
antispam Running
antivirus Running
ldap Running
logger Running
mailbox Running
mta Running
snmp Running
spell Running
stats Running

En caso de no arrojar un resultado parecido a este intentamos levantar los servicios asi

zmcontrol start

Si todo ha ido bien tenemos listo nuestro servidor de correo sino es porque te slataste algun paso del manual.

Para empezar a administrar nuestro servidor entramos a la consola administrativa de la siguiente manera https://server1.example.com:7071/zimbraAdmin/ impotante que "A" de Admin este en mayuscula si no esta en mayuscula no va a entrar en la consola aqui nos pide un usuraio y una clave el usuario es admin y la clave es la uqe pusimos hace ratos atras, la consola no la voy a explicar porque ella se explica sola es muy facil y eficiente, todo lo que resta es crear los usuarios y los dominios si vas a hacer el servidor multidominio y listo.

Para entrar en modo usuario entras de la siguiente manera http://server1.example.com introduces el usuario en este formato usuario@midominio.com y la clave si no le pones el @dominio no va a entrar debido a que puede ser servidor multi dominio, como información adicional les digo que antes de empezar a instalar el zimbra tienen que tener el DNS bien configurado apuntando hacia la ip de nuestro servidor de correo porque sino el zimbra les va a dar error en la instalación.





jueves, 6 de noviembre de 2008

Diversas vulnerabilidades en IBM DB2 9.x



Se han encontrado múltiples vulnerabilidades en IBM DB2, algunas son de
impacto desconocido y otras podrían ser aprovechadas por un atacante
remoto para causar una denegación de servicio o revelar información
sensible.

* La primera vulnerabilidad está causada por un error en la función
"SQLNLS_UNPADDEDCHARLEN()" que podría causar una violación de acceso
(segmentation fault) en servidor DB2 al intentar acceder a una parte de
memoria para la que no se tienen permisos.

* Las vistas (views) y los disparadores (triggers) deberían estar
marcados como no operativos o ser descartados en el Native Managed
Provider para .NET si los objetos no pueden ser mantenidos por quien los
ha definido.

* Un error no especificado en los servicios de ordenación/listado podría
ser explotado para revelar ciertas cadenas relacionadas con la
contraseña de conexión.

Las vulnerabilidades están confirmadas para la versiones anteriores a la
9.x FP6 de IBM DB2.

Se recomienda aplicar el Fixpack 6, disponible desde:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3654/comentar

Dos vulnerabilidades en la rama 2.x de OpenOffice permiten ejecución de código



OpenOffice.org ha publicado una actualización para la rama 2.x de
OpenOffice. Soluciona dos problemas de seguridad que podrían permitir a
un atacante ejecutar código si se procesan documentos especialmente
manipulados con una versión vulnerable.

* Uno de los fallos se trata de un desbordamiento de memoria intermedia
basado en heap en el intérprete de ficheros EMF.

* El segundo fallo se debe a un desbordamiento de enteros a la hora de
procesar registros META_ESCAPE en ficheros WMF.

Ambos fallos podrían permitir la ejecución de código arbitrario con los
permisos del usuario bajo el que se usara la aplicación.

Ambos también, están relacionados con problemas a la hora de procesar el
formato Windows Meta File y Extended (o Enhanced) Windows Metafile
Format. Estos formatos de imagen se hicieron especialmente famosos a
raíz de la vulnerabilidad descubierta a finales de 2005 en Microsoft
Windows y que infectó a millones de usuarios.

La reciente versión 3.0 de OpenOffice no se ve afectada.

No se han dado detalles técnicos ni parece existir exploit público. Se
recomienda actualizar a la versión OpenOffice 2.4.2. Todas las
anteriores son vulnerables.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3660/comentar

Más información:

Manipulated EMF files can lead to heap overflows and arbitrary code execution
http://www.openoffice.org/security/cves/CVE-2008-2237.html