DaboBlog

A continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 02/2013: (Anteriores).

(Del 7 al 13 de enero) Primero van los más recientes.

• Recomendable post de @josemaria: “Instalación y configuración básica de Cacti en #Debian para monitorizar un host” –> http://bit.ly/X5tAPS
• In @aboutlinux “Book Review : PGP & GPG : Email for the Practical Paranoid” –> http://bit.ly/X5sLqz #Privacy
• En @fluproject Flu 106: http://bit.ly/X5r9Nq | @secbydefault SECmana 157: http://bit.ly/X5r38t | @mkpositivo LOPD 162: http://bit.ly/X5rfVg
• @NexoLinux Somos Legion – La Historia de los Hacktivistas (Subtitulado) – http://goo.gl/cZNdU
• Por si os lo perdisteis anoche “Manifiesto de la Guerrilla Open Access, en memoria de Aaron Swartz” @soydelbierzo
• “SQL Injection to Shell with #SQLMap” –> http://bit.ly/10lTx5v | De Hacking “puro y duro” y servidores web (K.O) Gran post de @calebDrugs ;)
• @fluproject Automated Malware Analysis by @ifsecurity
• Reverse proxy con Pagekite (En GNU/Linux) –> http://bit.ly/10lSJh2 | Por @seifreed
• ‏@oreixa [post]: He visto cosas que…. Phishing burdo http://bit.ly/XVrd8r #phishing
• PelicanHPC 2.9 -> http://bit.ly/Xn823g | Debian Live Based image that let’s you set up a high performance computing cluster
• @segura201093 en el “White Hats” de Twitter https://twitter.com/about/security por ese #XSS reportado –> http://bit.ly/UOQDUf
• Gran post de @Zerial sobre fallos de seguridad y ataques en #Prey –> http://bit.ly/VMI1eM (Y respuesta ejemplar del amigo @tomaspollak)
• Buen tip de @donnieRock sobre ataques “SQL Injection” y PHP –> http://bit.ly/ZvgsFl | Rel: PDO http://www.php.net/manual/es/intro.pdo.php … #SQLi
• @cyberhadesblog LAMPSecurity Training http://cyha.es/UBvjfv
• @Seguridadjabali Crack 100% MS-CHAPv2 https://www.cloudcracker.com/blog/2012/07/2
• 0V3RL04D 1N TH3 N3T: ¡Estrenamos Radio! http://0verl0ad.blogspot.com/2013/01/estrenamos-radio.html
• @lostinsecurity empieza fuerte ;) http://www.lostinsecurity.com/blog | Vídeo CPNI, “Shape Security Facts”, Memcached injection
• Critical Bugss in #Asterisk (HTTP, SIP and XMPP protocols. Only the XMPP vuln requires an active session) –> http://bit.ly/UVCLVq (Fixed)
• Debian DSA-2602-1 (#Zend Framework) Vuln: XML external entity inclusion. Remote. Fixed in 1.10.6-1squeeze2 and 1.11.13-1.1 (Testing / Sid)
• Boffins hide messages in Skype ‘silence packets’ –> http://bit.ly/13fwDv9 | “During silence can be used to carry secret messages […]“
• No sé qué es mayor, el nº de CMS y Plugins afectados por Full Path Disclosure, o los servers expuestos vía display_errors = On en php.ini…
• #Nagios Core ‘get_history()’ Function Stack Based Buffer Overflow Vuln –> http://bit.ly/13fg2rr (Remote, updated Jan 08)
• @neosysforensics Nueva entrada en el blog: Mi solución al Holiday Challenge 2012, parte 1
• @holesec Bruteforcing a GPS Pin: http://hackaday.com/2013/01/05/brute-forcing-a-gps-pin/ …
• @flosadam Autopsy 3.0.3 released http://www.sleuthkit.org/autopsy/index.php
• Por @gespas “Cómo medir el ancho de banda de la red con iperf o jperf” –> http://bit.ly/XhpEh7
• By @lord_epsylon: #XSSer v1.7a under development. Review public roadmap at: http://xsser.sourceforge.net/xsser/xsser-roadmap.pdf … | More info http://xsser.sourceforge.net #Hacking
• @YJesus Tal día como ayer (7-1) nació hace 10 años http://www.security-projects.com con la idea de ir publicando mis programas / herramientas
• #Debian / #Ubuntu Linux: Install GTK 2+ Development Environment http://www.cyberciti.biz/faq/debian-ubuntu-installing-gtk-development-environment-apt-get-command/ …
• @aetsu Coqueteando con Metasploit: Meterpreter IV =>
• @fluproject Liberad a wifi revolution http://www.flu-project.com/liberad-a-wifi-revolution.html … #android #wireless
• .@Raspberry_Pi releases education manual for those wishing to use it in education environment. PDF: http://bit.ly/UBA1zd
• @spamloco Denunciar páginas en Google http://spamloco.net/2010/04/denunciar-paginas-en-google.html … #actualizado
• From “In the Loop” #Security News January 7 –> http://bit.ly/THHbPX
• Enviando miles de ebooks a Dropbox –> http://bit.ly/WFfsg0 Y con Calibre, organizáis la librería y de ahí al Kindle | http://gutenberg.org
• #SQLi: An Introduction –> http://bit.ly/WFd49b “According to the OWASP Project, SQLi attacks are first on the list of the top 10 web vulns”
• Weaponizing Mobile Devices for Use in DDoS Attacks –> http://bit.ly/RCI10s | #Hacking
• MariaDB CVE-2012-4414 Multiple SQL Injection Vulnerabilities –> http://bit.ly/RCHQSW | “Updated: Jan 07 2013″
• @debianhackers Richard Stallman respondiendo en @slashdot –> http://bit.ly/WF6yzj | Rel: Entrevista en especial @HackDevMagazine –> http://www.hdmagazine.org
• Una de #DebianFanBoy -;) nº 493 en Debian Counter: http://ur1.ca/cflhc Vía @DesdeLinux
• GNU/Linux In The Cloud: Windows #Azure vs. #Amazon Web Services –> http://bit.ly/XEpe8i (BTW, “Conclusion surprise?” -;)
• En @hijosdigitales “Nueva herramienta para configurar la #privacidad de Facebook” –> http://bit.ly/TXLLsd
• #MongoDB log rotate and crashes –> http://bit.ly/XElm7e | Rel: mongo admin –eval “printjson(db.runCommand(\”logRotate\”))” –port 27017
• Installing Adito/OpenVPN-ALS On #CentOS (“Is not to be confused with OpenVPN”) –> http://bit.ly/UBJt5E | A browser based SSL VPN […]
• En el rincón de @Zerial 4 errores muy comunes a la hora de subir ficheros a entornos web en producción –> http://bit.ly/UBz5em #SysAdmin
• En @hackplayers “Algunos Google Dorks para espiar webcams” –> http://bit.ly/UBwalL | Rel: http://bit.ly/UBwmkZ De @_Angelucho_
• Recopilatorio en @ConexionInversa de útiles herramientas de auditoría –> http://bit.ly/Zh4D5z (En Windows, ahí necesito estar más al día)
• RT @cajondesastres: Capturas de pantalla en Firefox con Abduction; http://wp.me/p1G8U-bIK
• Lo mejor del 2012 en http://DragonJAR.org http://buff.ly/TRXsAB
• How Nmap Helped Me in Cracking My Neighbor’s Wireless Router Password http://lnkd.in/id3Rqy
• @minWi Varnish logs analized with awstats | Multiple virtual servers http://bit.ly/13bamP1
• @Israelmgo AWS Management Console Amazon S3 en debian Squeeze – #Linux #Debian
• Cómo Instalar WhatsApp en un Tablet Wifi Android (con un nº virtual de fonYou) http://bit.ly/Zd1fsm | Por @raulserna
• “Hashcat Manual de Usuario” –> http://ur1.ca/cfbdm | 50 pág, 2.6 mb. Enhorabuena @MexicanH por el (gran) Paper #Hacking

Tags: Amazon, Android, Ataques, CMS, Cracking, DaboBlog, Daboweb, Debian, DebianHackers, Dropbox, Ebooks, Facebook, Forensics, GNU/Linux, Google, GPG, hacker, Hacking, KDE, LOPD, Mac, Malware, Metasploit, nmap, Password, Richard Stallman, Router, Server, Skype, Sysadmin, Twitter, Ubuntu, Vista, Windows, XSS

A continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 52/2012: (Anteriores).

(Del 24 al 30 de diciembre) Primero van los más recientes.

• @HackDevMagazine Para los que recién se despiertan o recién llegan, el especial de fin de año ya está en línea! –> http://hdmagazine.org ^RP
• 20 Practical Examples of RPM Commands in GNU/Linux –> http://bit.ly/Vegq3A (For Red Hat based systems like RHEL, CentOS and Fedora)
• @mkpositivo En mi blog: Noticias LOPD 160 http://ow.ly/2tZh0M
• El lado del mal – Mi maligna selección de Enero a Junio de 2012 http://www.elladodelmal.com/2012/12/mi-maligna-seleccion-de-enero-junio-de.html … #in #hacking }:))
• @mmdelrio 20 Critical #Security Controls: lo nuevo de la versión 4 http://bit.ly/UvbiGL /cc @daboblog #cybersecurity
• @jordi_prats obtener estadísticas de un fichero .pcap: http://systemadmin.es/2012/12/obtener-los-metadatos-de-un-fichero-pcap …
• MT @cocoworking: Recuerda > Hoy viernes a las 19:00h Charla Presentación libro @Ciberactivismo_ con @mtascon http://bit.ly/YEBhm8
• 20 Critical #Security Controls – Control 1: Inventory of Authorized and Unauthorized Devices –> http://bit.ly/UpX1yc
• THC-IPv6 Attack Tool 2.1 –> http://bit.ly/UpWRqP | Changes: 4 new tools, features, and bug fixes.
• [Paper] Insecure Authentication Control In J2EE –> http://bit.ly/UpWE6W | “implemented using sendRedirect().” PDF 8 Pages
• #cPanel / WHM 11.34.0 Cross Site Scripting (actual version) –> http://bit.ly/Yl51j6 | POC Video http://ur1.ca/cb2u6
• Learn more about InnoDB secondary keys improvements in #MySQL 5.6: http://pub.vitrue.com/LsbO
• @SophosIberia Resumen 2012 http://sophosiberia.es/resumen-2012/ por @JPabloTG
• @ObservaINTECO Te dejamos los #propósitospara2013 del equipo #BlogINTECO: Por un 2013 seguro http://bit.ly/TkOc9d
• @_Angelucho_ INICIATIVA X1SONRISA (os ruego difusión) cc @1GbDeInfo
• @Csirtcv Diez predicciones de seguridad TI para 2013 según Kaspersky Lab | CSIRT-cv
• @kinomakino 115 artículos ya en castellano !!!! INSEGUROS: COMMUNITY PENTEST PROJECT http://kinomakino.blogspot.com
• “An introduction to #Security models in GNU/Linux” –> http://bit.ly/ZBL7Xl | By @linuxaria
• En “La Leyenda de Tux” Coqueteando con #Metasploit: #Meterpreter (Parte III) –> http://bit.ly/ZBKVY8 | Por @aetsu
• In @TripwireInc “Top 12 Blog Posts of 2012″ (About #Hacking and #Security) –> http://bit.ly/Tq4nkj | By @cindyv
• Linux/x86 Remote Port Forwarding Shellcode 87 bytes –> http://bit.ly/Tq3tV1 #KISSHacking -;)
• Check out #install guides we have put together for #snort and #suricata http://ow.ly/gmV8x
• Ojo… “Las Apps también estaban en Google Play” RT @jorgemieres: Malware en la tienda de aplicaciones de Amazon
• “Monitoriza tu servidor con Glance” –> http://bit.ly/V7TFxv | En @blogofsysroot
• Mobile #Security – Basic Challenges –> http://bit.ly/Vc63jd | By @InfosecEdu
• @YJesus La Unión Europea quiere obligar a las empresas a informar cuando han tenido problemas de seguridad http://bit.ly/U6IvsK

Tags: Amazon, Cpanel, DaboBlog, DebianHackers, Fedora, GNU/Linux, Google, hacker, Hacking, KDE, Linux, LOPD, magazine, Malware, Metasploit, MySQL, noticias, Red Hat, Server, SSH, Sysadmin, Twitter

Bueno, todos sabemos que Oreixa es muy Caborian pero…¿tanto cómo podemos ver en el vídeo?

Reconozco que lo que más escalofríos me dio fue verle abrir la funda al final con el cubo debajo ;D. Tranquilos que ya le preguntaremos en el podcast por la “pruebecita”. La prueba al completo en Planeta Mac. (Estás fatal bro-;)

En palabras de Oscar;

Hoy vamos a probar la Laptop Drybag, una funda estanca que permite llevar nuestros MacBook de forma segura en lugares con agua o humedad, y que forma parte de su línea WATATAIT.

Tags: Caborian, Hardware, Laptop Drybag, Macbook, Oscar Reixa, Videos, YouTube

Sería el blog “para todas las edades, todos los niveles y todos los públicos” hablando de Windows o el mundo de Internet en general. Otro proyecto más fruto de la asociación de dos mentes inquietas (y amigas) de este medio, Danae y Destroyer.

La curva de aprendizaje que nos proponen sus autores empieza en Básico y fácil continúa con Windows fácil para terminar en Destroyerweb. En medio de todo, Cajón desastres. Desde luego no es un mal planteamiento y los resultados les avalan.

Muchas felicidades y sólo deciros que me siento muy orgulloso y que vosotros si que hacéis de los términos “compartir y divulgar” algo grande. 210 entradas escritas en un año…

En lo fácil está muchas veces lo dificil, ponerte en el lugar de alguien que no sabe casi nada de un medio tan vivo como la informática, acordarte de cuando tú eras quien estaba en ese lugar y dar las pistas para salir del círculo, tiene mucho mérito -;).

Larga vida a > basicoyfacil.wordpress.com !

Tags: Básico y fácil, Internet, Windows

Vengo de darme una vuelta por Buayacorp donde mi amigo Alex, que se prodiga poco pero es un placer leerle, (Internet tenga en su gloria a los RSS) ha dejado una reflexión en voz alta sobre un artículo de Maestros del web en el que se habla de que la inseguridad del código abierto (en este caso hablando de WordPress pero en el saco está todo dentro) viene dada porque (Copio y pego)

El problema es que el modelo de código abierto permite que hackers y casi cualquier otra persona se pueda dar el lujo de excavar hasta llegar al núcleo del código de todos los foros y blogs que funcionan a través de dicha plataforma, permitiéndoles descifrar múltiples maneras de irrumpir en la sagrada información de sus usuarios.

Increible…pero cierto, no puedo estar más de acuerdo con Alex y más en desacuerdo con Luis Eduardo Barrieto, quien firma esa entrada (blog personal del autor). Desde el más absoluto de los respetos le contestaré aquí con el mismo comentario que he hecho en la entrada de Buayacorp.

Hola Alex, no puedo estar más de acuerdo contigo, las políticas de ocultismo y la capacidad de reacción a ritmo de elefante de muchas compañías de software cerrado con gran implantación en muchos ámbitos de la sociedad, sólo llevan a más inseguridad para los usuarios.

La gran ventaja del software libre es precisamente eso, dotar a quienes lo usan de la capacidad de reacción (y solución) de poder solventar el problema por ellos mismos.

El post de Alex sobre el tema (os recomiendo leerlo).

Y Alex sabe bien de lo que habla porque durante mucho tiempo ha estado haciendo grandes aportes a la seguridad de WordPress, (y otros muchos sites) siendo reconocida su labor citándole en los agradecimientos en la publicación de nuevas versiones de WP.

No deja de ser una paradoja que quien ha publicado ese artículo, lo difunda por la red vía un servidor web con Apache y gestionado con WordPress…y el caso que comenta era conocido,  desde WP hace bien poco se avisó, es también nuestra responsabilidad usar versiones de software debidamente parcheadas.

Y no soy “sospechoso de” tener algo en contra de esa gran comunidad de Internet a quienes mando un saludo, porque cuando tuvieron su problema de robo de cuentas y dominios nos hicimos eco en Daboweb, al igual que muchos otros sitios y no dudaría en volver a hacerlo si pasase mañana otra vez, sólo que quien lo dice está en todo su derecho de hacerlo y yo de opinar sobre ello.

Me veo “obligado” a escribir sobre ello porque estas cosas, si no se rebaten a su debido tiempo, “ahí quedan”. Ya tengo tema para el primer podcast “de verdad” (por cierto, el plantel que estará conmigo, de auténtico lujo, muchas gracias-;).

Tags: CMS, GNU, Opinión, Software, sofware libre, Wordpress