29/6/2012

¿ Qué opinan de MegaBox ?

MegaBox es un proyecto consumado por el famoso Kim Dotcom después del cierre del servicio de almacenamiento en la nube más usado en el mundo: MegaUpload.

La idea de MegaBox es ofrecer gratuitamente música a los usuarios a cambio de que instalen una pequeña aplicación, MegaKey, o si no, pueden voluntariamente pagar por la música. Así los artistas podrán prescindir de los grandes sellos musicales, permitiendo a los artistas recibir directamente los ingresos que produce MegaBox. 

¿ Qué es MegaKey ?

28/6/2012

[Uniscan] Scanner de vulnerabilidades hecho en Perl

Uniscan es un escáner de vulnerabilidades Web, dirigido a la seguridad informática, cuyo objetivo es la búsqueda de vulnerabilidades en los sistemas web. Está licenciado bajo GNU GENERAL PUBLIC LICENSE 3.0 (GPL 3).

Uniscan está desarrollado en Perl, tiene un fácil manejo de expresiones regulares y también es multi-threaded.

Lo estuve testeando, y los resultados que me entrega me han sido muy útiles. Además tiene la opción de agregarle Plugins y también se pueden desarrollar propios.

21/6/2012

Los Cuadernos de Hack x Crack (Viejos & Nuevos)


Todo aquel que se inicio hace tiempo en el tema de la seguridad informática (Hacking), se acordaran de los ultra conocidos Cuardernos de Hack x Crack que era en aquel tiempo, hace 10 años, un excelente material en español y muy claro, llegaron a las 30 ediciones y su última versión fue lanzada en septiembre del 2005 (nunca más lanzaron ediciones de estos prometedores cuadernillos por motivos que desconozco)...

Hace ya un tiempo se abrió una comunidad en español sobre esta misma revista donde se hablan principalmente temas de seguridad informática y también han publicado con la ayuda de la comunidad nuevos cuadernos (claro que no son la misma editorial de la vieja Hack x Crack).

14/6/2012

XAMPP Windows 1.7.7 vulnerable a SQL Injection & XSS


Como sabemos XAMPP es un servidor de plataforma independiente, software libre, que consiste principalmente en una base de datos MySQL, el servidor web Apache y los intérpretes para lenguajes de script: PHP y Perl, perfecto para una rápida instalación de un mini-servidor en nuestro localhost. Recientemente en packetstormsecurity.org han subido un paper con 2 XSS y 1 Blind SQL Injection...

La versión afectada es XAMPP Windows 1.7.7, y como justamente lo tengo instalado (es la última versión oficial de XAMPP) fue que probé los bugs... Y en efecto era vulnerable:

12/6/2012

Grave Vulnerabilidad en MySQL/MariaDB (Autenticación sin Password)

Se ha encontrado un Grave bug en MySQL & MariaDB que permite a un atacante evadir la autenticación de la base de datos.

La vulnerabilidad (CVE-2012-2122) afecta a las siguientes versiones:
  • MariaDB y MySQL hasta la 5.1.61, 5.2.11, 5.3.5 y 5.5.22
NO SON vulnerables las versiones:
  • MySQL 5.1.63, 5.5.24 y 5.6.6
  • MariaDB 5.1.62, 5.2.12, 5.3.6 y 5.5.23

El "exploit" de este bug es simplemente realizar conexiones simultáneas, con cualquier password introducida como parámetro y contra un servidor vulnerable, obteniendo así máximos privilegios (root).

2/6/2012

EE.UU. publica listado de palabras que rastrean en Internet

El Departamento de Seguridad Nacional (DHS) de EE.UU. se ha visto obligado a liberar una lista de palabras clave y frases que utiliza para monitorear sitios de redes sociales y medios de comunicación en línea, en busca de signos de amenazas terroristas o de otra índole contra su país.

La lista incluye opciones obvias como "ataque", "Al Qaeda", "terrorismo" y "bomba", junto con docenas de palabras aparentemente inocentes como 'cerdo', 'nube', 'equipo' y 'México'. 

Publicado bajo una petición de libertad de información, la información arroja nueva luz sobre cómo los analistas gubernamentales tienen instrucciones de "patrullar" Internet en busca de amenazas internas y externas.