PoisonClub – Bienvenido a mi mundo.

El pasado 15 de abril se realizo la jornada VII de la Owasp Español en Barcelona.
Este fantástico evento sobre seguridad, donde las 4 ponencias más la mesa redonda han estado muy bien, y se hablo de un con una gran calidad sobre los temas tratados.

La presentación de la OWASP,  vale la pena mirarla para entender a esta asociación ver los fines que busca y explica cómo hacerse socio para ayudarla a seguir adelante.

En esta ponencia se presentaron:

Adrián Pastor.-

La primera ponencia en sí, para mi gusto no fue la que mas resaltó, pero la idea presentada no fue del todo mala, en ella intentaban encontrar un vector de medición de ataques, poniendo un webserver con Xampp y sólo la IP, para ver los ataques que se realizan al azar, y se habló de una vulnerabilidad, en la cual no estoy muy de acuerdo que lo sea, dentro Xampp está el servicio de Webdav, que trae una clave por default, la cual se debería cambiar; es un proceso de mala configuración e igualmente poner un Xampp como servidor final no es la mejor idea. Pero ese ya es otro tema.La idea me gustó para tener un centro de medida de la cantidad de ataques que tienen, pero eso sólo con ver 5 webserver distintos con dominios relevantes, las cantidad de robot que tiran peticiones ssh para probar usuarios son enormes.

Adrián Pastor.
Web Attacks In The Wild: An overview of last year’s probes
Principal Security Consultant. Corsaire.La mayoría de los ataques web “in the wild” no son ataques dirigidos. En este tipo de intentos de intrusión, el atacante no está interesado en un sistema u organización en particular. En lugar de esto, el objetivo del atacante es comprometer cuanto más servidores web sea posible de forma automatizada en el menor tiempo posible. Generalmente esto se logra mediante la explotación de bugs críticos presentes en aplicaciones web de amplia difusión. Revisaremos los resultados de la investigación procedentes de los ataques contra un servidor web sin publicar (es decir, no detectable a través de motores de búsqueda) registrados en el último año.

Raúl Siles.-
La segunda ponencia, creo que una de las mejores (siempre son buenas las de Raúl), y el tema tocado es muy importante se habló con profundidad y un tecnicismo excelente. Fijaciones de sesiones, esto no es robo de la sesión de un usuario, si no hacer que el usuario tenga la sesión que yo desee y la autentique por mi! Se muestran muchas maneras posibles y los entornos donde esto puede ocurrir, para los que manejen tiendas virtuales (si se disponen a ver este video recomiendo previamente tomarse una tila, luego ya mirarlo más tranquilo! )

Raúl Siles.
SAP: Session (Fixation) Attacks and Protections (in Web Applications)
Founder & Senior Security Analyst. Taddong.Los ataques de fijación de sesión, pese a ser conocidos desde el año 2002, todavía afectan hoy en día a aplicaciones web basadas en proyectos de código abierto, servidores de aplicación comerciales ampliamente utilizados, y aplicaciones de negocio críticas para muchas organizaciones a nivel mundial. En concreto, la exposición del interfaz web de las plataformas de negocio en Internet y en redes internas, hacen que esta vulnerabilidad actúe de punto de entrada para el acceso no autorizado a información confidencial y crítica, potencial objetivo de ataques dirigidos, criminales y de espionaje industrial.

Marc Segarra López.-
La tercera ponencia en si habló de un Estándar de seguridad para el uso de las tarjetas de créditos, Cosa que recientemente ha afectado a empresas de consolas de videojuegos. Es muy interesante seguir el protocolo de actuación que sugieren a la hora de trabajar y almacenar datos de clientes. La Certificación PA DSS debería ser lo más común como base para todas las tiendas que administran ellas las tarjetas de crédito.

Marc Segarra López.
Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago
Consultor en Seguridad. Internet Security Auditors.Para garantizar los mecanismos de seguridad en las aplicaciones que gestionan los datos de titulares de tarjetas de pago, en los que el riesgo de fraude es muy alto y para los que existen numerosas redes ilegales que aprovechan estos datos para un uso y beneficio ilegítimo, se hace necesario homologar las aplicaciones de pago bajo el estándar PA-DSS. Esta ponencia presentará el proceso que implica una certificación en PA DSS y como metodologías como la OWASP facilitan gran parte del cumplimiento requierido por esta norma.

Carles Fragoso Mariscal.-
La Cuarta ponencia, otra que resalt´0 por su gran calidad, se habló de la cantidad de ataques web y las formas de actuación que se deberían llevar a cabo, se mostro lo preparado que está este departamento de seguridad “El Centre de Seguretat de la Informació de Catalunya (CESICAT)”
Es muy útil estas más preparado a los ataques diarios hacia los administradores web. Recomiendo verla!

Bueno espero que les allá sido de utilidad todo mi esfuerzo de a ver grabado casi 6 horas  y editado todo esto en semana santa!
Futura-mente ya incorporare alguna cámara HD para tener mas calidad que la DV… y olvidarme del proceso de bajar las cintas!

PD: http://es.wikipedia.org/wiki/Error_de_software

.

Montando un Media Center HTPC con la torre Ixium Quantum

Este Fin de semana, aprovechando la Mercè en Barcelona, me decidí montar un media center, con una torre muy chula.

Los componentes que usamos para montar este bichito son:

Empezando a montar

Torre seleccionada: Ixium Quantum
Placa Base: AM3 ASUS M4A785TD-V EVO ATX
CPU: AMD Phenom II X2 550
Memoria RAM: 2 de 2 GB Kingston HyperX DDR3 de 1600MHz
Disco duro de 1Tera Seagate “normalito”
DVD Puesto temporalmente, esperamos la llegada de LG CH10LS20 Grabadora DVD Lector Blu Ray
B-Move Lector de tarjetas 30 en 1 + Mando Multimedia aun no llega

Placa Base y la torre

Presentación de la torre

Bien manos a la obra, lo primero que tuve que hacer fue adaptar una fuente para darle más ventilación ya que por default esta torre no es una buena maquina de enfriar, también por suerte trae 2 lugares para instalarle ventiladores de 6cm los cuales conseguimos.

Adaptación de la Fuente para mejor ventilación

Bien ya con todo mas claro, empiezo a ensamblar las piezas dentro de la torre, para la cual si debo decir que esta muy bien diseñada, espacios muy justos pero perfectos, para no ser una placa base microATX entra muy bien, junto a los ventiladores  de 6CM y esta placa base que trae tanto aluminio para enfriar queda todo muy bien para el flujo del aire.

Comienzo el montaje de la Torre

Va tomando forma el media center

Pues ya montado, le instalo S.O. para probar el Hard, el cual va de perlas, la verdad que la salida HDMI a 1080P esta muy bien, aunque la imagen de la BIOS en el arranque no esta preparada para esa resolución

Pero una sony de 50″ lo arregla todo! Pues les ejo unas imágenes para que lo comprueben.

Todo anda perfecto, chekiando el Hard

Hola, voy a ser un mini how-to de la instalación de Pure-ftpd en Ubuntu Server 9.10

Por cuestión de muerte del servidor de Ubuntu tuve que reinstalar así que acá les dejos los pasos:

Para ello deje atrás mi Ubuntu Server 7 para pasar a Ubuntu 9.10.
No quise poner el pro-ftpd que me dio problemas con el inicio de “Standalone” en vez de usar el inetd y como a veces se iniciaba mal, o no arrancaba tenia que intervenir en el mismo preferi probar el Pure-FTPD que me recomendó Dany de Comvive.es que el que usa el en sus Hosting y no tiene problemas. Y la verdad que llevo ya 2 años con un servidor con ellos y no tuve ningún drama. Así que le hice caso y me puse manos a la obra.

Bien la idea es correr el pure-ftpd como servidor con los usuarios de Linux.
Se que no es lo mejor, va no me lo recomendaron, todos prefieren usuarios virtuales con mysql.

Pero como es un servidor que solo se usara para transferencias de archivos, lo utilizo con los usuarios del sistema y para el SSH solo dejo permiso para 2 usuarios, un detalle si le pones loguin = false a los usuarios tampoco pueden loguearse en el FTP, supongo que debe de haber un modo de evitar esto, pero por suerte no tuve que necesitarlo.

Dedos a la obra:

Lo primero que hice fue instalar a través de comandos del APT

apt-cache search ftp | less

Con esto localize el pureftpd

apt-get install pure-ftpd-common

Esto crea el directorio “/etc/pure-ftpd” que es donde guarda toda la configuración, cuando busque aquí adentro no encontré fichero de configuración, si no archivos con los nombres de las variables de configuración y dentro de ellos el valor numérico o texto que corresponde.

ls de “/etc/pure-ftpd”

auth/
conf/
db/
pureftpd-dir-aliases
pureftpd.passwd

Dentro del directorio conf/ vienen algunos ficheros ya creados. Pero no todos los necesarios por eso dejo mi listado y la utilidad de cada uno “Sin las comillas!”

Para crear estos ficheros se puede hacer con echo o touch

AltLog  => dentro del fichero ponemos la configuración del log = “clf:/var/log/pure-ftpd/transfer.log”

MaxClientsPerIP => Máximos clientes por IP la traducción es simple.

ProhibitDotFilesWrite => No trabajar con ficheros ocultos = “yes”

MinUID Numero id de los usuarios a partir de ese numero los usuarios validos = “1000″ ( ojo esto es Ubuntu)

PureDB => Esto seria en caso de correr usuarios virtuales, no es mi caso pero llevaria el path del ficheros con los datos = “/etc/pure-ftpd/pureftpd.pdb”

ChrootEveryone => Esto deja que los user solo puedan ver su carpeta /home/user  = “yes”

NoAnonymous => Este fichero permite o no usuarios anónimos que no es mi caso, en caso de activarlo revisar la configuración ya que yo acá no la utilice y por ende no tengo los ficheros pertinentes para la correcta configuración de Anónimos = “yes”

UnixAuthentication => Tipo de Autentificación del sistema, como uso usuarios del Listema = “yes”

DisplayDotFiles => Mostrar ficheros ocultos, como tampoco los dejo editar ni escribir = “no”

NoChmod => No permito cambiar permisos, como son solo ficheros de datos y no se deben utilizar ni tampoco tienen derecho a loguearse en la maquina no lo permito = “yes”

UserBandwidth => Con este decimos que ancho de banda pueden manejar los usuarios puede ir un solo valor como compuesto, en caso de uno solo lo toma tanto para subida como para bajada en mi caso = “10000:10000″

FSCharset => Tipo de carácter ANSI a utilizar = “UTF-8″

PAMAuthentication => Autentificación PAM no la utilizo lo deje por default = “yes”

MaxClientsNumber => Cantidad de clientes maximos conectados = “10″

ProhibitDotFilesRead => Seguimos con los ficheros ocultos en este caso la posibilidad de leerlos también la deniego = “yes”

Pues después de esto todo funciona correctamente, espero que le sea de utilidad.

Es muy simple la instalación del servidor y funciona muy bien. Al final el comando que ejecuta el demonio queda así:

Restarting ftp server: Running: /usr/sbin/pure-ftpd -l unix -l pam -E -x -8 UTF-8 -c 10 -R -u 1000 -O clf:/var/log/pure-ftpd/transfer.log -A -t 10000:10000 -T 100000:100000 -X -B

Otro blog que explica más paso a paso

http://www.n1mh.org/weblog/2006/04/12/como-configurar-pure-ftpd-en-debian/

El resultado de la ultima conferencia de la OWASP Spain Chapter Meeting fue mejor de lo esperado.

Primera ponencia:
En la cual tuvimos el placer de escuchar a Richard Stallman, quien hablo sobre las metas y la filosofía del movimiento del Software Libre, y el estado y la historia del sistema operativo GNU, el cual conjuntamente con el núcleo Linux actualmente es utilizado por decenas de millones de personas en todo el mundo.
Es una charla larga pero creo que vale la pena cada segundo de lo que dice.

100 Minutos aprox.

-

La segunda ponencia:
Fue llevada a cabo por Fabio Cerullo. AIB Group. OWASP Global Education Committee.

Y trataba sobre el Top10 de problemas de seguridad.

OWASP: Los diez riesgos más importantes en aplicaciones web 2010

Fabio trabaja actualmente como especialista en seguridad de la información en el banco AIB (Dublin, Irlanda). Sus tareas comprenden realizar análisis de riesgos, evaluar la seguridad de aplicaciones web desarrolladas internamente o adquiridas a terceros, definir políticas y estándares sobre codificación segura, como así tambien brindar entrenamientos sobre seguridad de aplicaciones web a desarrolladores, auditores, ejecutivos y profesionales de seguridad. Antes de unirse a AIB, trabajó como Ingeniero de Seguridad en la Sede Europea de Symantec Security Response analizando código malicioso, amenazas combinadas, riesgos de seguridad y vulnerabilidades en diversas aplicaciones. Antes de trasladarse a Irlanda, trabajó en el desarrollo de diferentes programas y actividades de capacitación con énfasis en el desarrollo de software seguro en su natal Argentina. Como miembro de la organización OWASP, Fabio forma parte del Comite Global de Educación cuya misión es brindar capacitación y servicios educativos a empresas, instituciones gubernamentales y educativas sobre seguridad en aplicaciones, coordina conferencias a nivel internacional sobre dicha temática, y desde inicios del 2010 ha sido nombrado presidente del Capitulo OWASP en Irlanda. Fabio es graduado en Ingeniería Informática de la Universidad Católica Argentina y posee el certificado CISSP otorgado por (ISC)2 desde el año 2006.

Duración aprox 65 Minutos

-

Tercera Ponencia:
La tercera ponencia trato sobre un sistema de seguridad para detectar fallos llamado: WAPITI: Seguridad para Desarrolladores Web en el Proyecto Romulus

Fue presentada por: David del Pozo González. Grupo Gesfor

Se presentará la herramienta Wapiti, un escáner de vulnerabilidades de aplicaciones web que permite auditar aplicaciones web y obtener informes que faciliten a los desarrolladores la corrección de fallos. Se mostrará tanto su uso para usuarios finales como su facilidad de extensión con nuevos ataques.

Duración aprox. 38 Minutos

-

La cuarta Ponencia
A cargo de Christian Martorella. S21sec, la verdad a mi ver la mas interesante, por la atención que logro del publico como la participación.

Aunque toca un tema que nunca muere, la fuerza bruta en accesos a la seguridad web, la recomiendo

2010 y aún utilizando fuerza bruta: Webslayer
Christian Martorella. S21sec
La presentación hablará sobre cómo los ataques de fuerza bruta siguen siendo útiles contra las aplicaciones Web y se presentará la última versión de Webslayer, un proyecto OWASP orientado a cubrir todas las necesidades de las pruebas de fuerza bruta contra las aplicaciones Web.

Duración aprox. 55 Minutos

-

La verdad que me llevo un gran trabajo la edición de los vídeos y el render de los mismos todo un fin de semana la descarga de las mas de 4 horas de vídeo, luego cortar y presentar lo mejor que pude las cosas.
Espero que sean de utilidad, ya que estas charlas que brinda la OWASP son muy útiles para las comunidades de Internet.
Galería de Imágenes.

VI OWASP Spain Chapter Meeting: 18 de junio de 2010

Se llevo a cabo la conferencia la VI OWASP Spain Chapter Meeting - El 18 de junio de 2010, las fotos del evento.

50 Photos

La verdad que este post no requiere mas texto que decir!

Si sos programador te vas a reir!

Java 4 Ever