La distribución linuxera Kubuntu, hasta ahora desarrollada directamente por Canonical y cuyo principal atractivo consiste en tener al entorno de escritorio KDE por defecto, dejará de ser considerada como “distro oficial”, para pasar a ser desarrollada directamente por la comunidad, aunque a los actuales desarrolladores se les seguirá permitiendo el acceso a cuantos recursos de la compañía sean necesarios para su continuidad. Con esta medida Canonical se vuelca en el desarrollo de Ubuntu Linux y deja “abandonada a su suerte” a Kubuntu.

Muchos han interpretado este movimiento como un claro guiño a Unity, el entorno de escritorio por defecto de Ubuntu, para de esta forma estandarizar su uso y concentrar sus esfuerzos en el desarrollo de un solo sistema operativo. Esperemos que el tiempo no acabe con Kubuntu y que incluso su paso a manos de sus entusiastas, le den mas fuerza y popularidad entre las muchas opciones existentes en el mundillo linuxero.

Compartir

Se encuentra disponible para su descarga la última versión estable del Kernel (o núcleo) de GNU/Linux, concretamente la número  3.2.5.

Os invitamos a consultar a través del siguiente enlace el Listado de cambios o “Changelog” de esta nueva entrega del Kernel.

Información sobre el Kernel en la Wikipedia.

FAQS o preguntas frecuentes sobre el Kernel Linux.

Descargar Kernel Linux.

Compartir

De dos en dos, como los donuts, así nos vienen las actualizaciones últimamente para los CMS y Joomla! con dos ramas estables en producción no podría ser menos con dos actualizaciones de seguridad para las ramas 2.5 y 1.7. La rama 2.5 corrige dos problemas de seguridad catalogados de prioridad baja (Low Priority – Core – Information Disclosure 1,2), ambos bugs podrían comprometer la administración del sitio. En la rama 1.7 se corrigen así mismo los dos bugs anteriores y un tercero tambień de  prioridad baja (Low Priority – Core – Information Disclosure 3) por el cual un usuario no autorizado podría acceder al registro de errores en el servidor.

La versión 2.5.1 corrige además 30 errores reportados, mejoras que no han sido incorporadas (o eso parece al menos) en la rama 1.7 de la que os recordamos que termina el día 24 de este mes y que si no has upgradeado ya tu sitio a la versión 2.5.x ya estás tardando en hacerlo antes de que te pille el toro.

Anuncio oficial (1.7.5) | Anuncio oficial (2.5.1).

Compartir

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Enero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Enero 2012;

• 31: Problema de seguridad en sudo
• 26: Herramientas para la interpretación de capturas de red. (9/10) Parte 2
• 26: Navegador web Opera (11.61) solventa dos bugs, uno de ellos catalogados como crítico.
• 25: [Breves] Kernel linux-3.2.x soporta conector midi UM-ONE
• 25: Joomla! 2.5.0 y 1.7.4 actualizaciones de seguridad
• 24: [Breves] Actualización en Kernel de Ubuntu 10.10 solventa 3 vulnerabilidades.
• 23: Vulnerabilidades en Apache Tomcat 5, 6 y 7
• 22: Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).
• 20: El FBI cierra Megaupload
• 19: Sobre la responsabilidad de la (IN) Seguridad. Interesante reparto / repaso
• 18: Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles
• 17: LibreOffice 3.4.5
• 17: Vulnerabilidades severas en Linux Kernel para Debian (DSA-2389-1).
• 16: Herramientas para la interpretación de capturas de red. (9/10) Parte 1
• 15: Comprueba vía web si tu equipo está afectado por “DNSChanger”.
• 12: Actualizaciones de Adobe Acrobat X y Reader X solucionan graves vulnerabilidades
• 11: Actualizaciones de Microsoft Enero de 2012
• 10: En Intypedia. Nuevo vídeo, lección 12. Seguridad en redes WiFi
• 03: [Breves] Disponible WordPress 3.3.1. Actualización de seguridad
• 02: Foros phpBB 3.0.10, versión de mantenimiento
• 02: Fallos de seguridad en WhatsApp
• 02: Contenidos publicados en Daboweb. Diciembre 2011

Compartir

Se han reportado nuevas versiones para Drupal, dos actualizaciones de seguridad que corrigen diversos problemas y otras dos de mantenimiento que solo corrigen bugs comunes.

Las versiones 7.11 y 6.23 solucionan un problema de seguridad de tipo CSRF (más info) calificado como moderadamente crítico donde un usuario validado podría forzar las actualizaciones mediante un feed que provocase una denegación del servicio (por ejemplo Twitter que limita las peticiones a 150 por hora), además de otros problemas relacionados con OpenID y el módulo de archivos.

Aparte tenemos las versiones de mantenimiento sobre las dos anteriores, 7.12 y 6.24 que al mismo tiempo solucionan los errores antes comentados.

Anuncio oficial, en inglés.

Compartir

A través de Hispasec nos enteramos de la detección de un fallo de seguridad que afecta a varias distribuciones linuxeras que hacen uso del comando sudo para ejecutar aplicaciones o tareas de mantenimiento como otro usuario o como administrador del sistema. Concretamente la vulnerabilidad radica en un error de formato de cadena en la función “sudo_debug de sudo.c” cuando procesa el nombre del programa que se le pasa por parámetro.

Un usuario malintencionado podría realizar un enlace a nivel de sistema de ficheros del binario del comando sudo hacia un archivo, con un nombre manipulado y que contuviera caracteres especiales de cadena. Cuando ejecutase ese nuevo enlace lo haría con privilegios de root. Este problema no solo afecta a GNU/Linux, sigo que sistemas operativos también basados en UNIX, como BSD o Mac también se han visto afectados. Se ha publicado un parche que lo soluciona.

Compartir

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7 | Parte 8 | Parte 9 / 1

Afterglow, InetVis, TNV, Argus, INAV.

Seguimos con las herramientas que nos proporcionarán una visión gráfica de nuestras capturas. En esta Parte 2 vamos a ver InetVis.

InetVis es una herramientas diferente ya que la representación gráfica del tráfico de red se realizará a través de una representación tridimensional 3D mediante un cubo. Lo vemos…

Qué es InetVis.

InetVis está basado en el concepto de Spinning Cube of Potencial Doom. Se trata de una herramienta de visualicación tridimensional del tráfico de red  que, además, puede visualizarse reproduciéndose a lo largo del tiempo.

Su objetivo principal es el análisis de tráfico anómalo y scan de puertos a través de una serie de patrones.

InetVis está disponible tanto para sistemas Linux como windows y lo podemos descargar desde:

• Windows: inetvis/0.9.5/InetVis-0.9.5.1-w32.zip
• Linux: inetvis/0.9.5/inetvis-0.9.5.1-linux.tar.gz 

En esta ocasión vamos a usarlo desde un entorno Windows.

Introducción a InetVis.

Cuando cargamos InetVis tenemos una ventana de visualización con un cubo que representa lo siguiente:

• el eje z en color rojo representa las IP direcciones cuyo origen están en internet.
• el eje x en color azul representa para red interna las IP o direcciones de destino.
• el eje y en color verde representa los puertos de destino tanto tcp como udp.
• el plano inferior en color gris representa el tráfico icmp.

La representación del tráfico de red la realiza a partir de archivos .pcap (.cap).

También a través de la interface de red que tengamos por defecto.

Disponemos, además,  de 4 paneles / ventanas:

• ventana de visualización: visualización gráfica del tráfico
• panel de control: para reproducir el tráfico, escalas de tiempo y filtros BPF.
• plotter setting: para establecer rangos de red local y externa (internet). Rangos de puertos y esquemas (luego lo veremos)
• reference frame setting: opciones de visualización del cubo, tamaños e los puntos, etc.

Los abriremos todos desde el panel de control > View

Podemos manejar el cubo para ir cambiando de perspectiva principalmente de la siguiente forma:

• con el ratón y botón izquierdo para rotar el cubo
• con la rueda central del ratón par hacer zoom
• con el botón derecho para desplazamientos
• Control+l, r, t, b para las vistas.

Hasta aquí una visión muy rápida de la herramienta. El resto lo vamos a ver con ejemplos.

Carga de fichero .pcap y opciones.

InetVis está preparado para grandes archivos de tráfico de red. En mi caso he llegado a cargar archivos de hasta 3 Gb. sin problema alguno. Al principio cuando cargamos un archivo, es posible que nos de un error para avisarnos que tenemos que indicar al menos, el rango de red local. Lo vemos ahora.

El uso de InetVis es muy sencillo. Aquí lo importante es interpretar los datos gráficos obtenidos.

Una vez que cargamos Inetvis nos aseguramos que estamos en el Panel de control en Mode > Replay capture file  y cargamos el fichero. También podemos ir directamente a n File > Open. Una vez cargado el archivo .pcap con extensión .cap, es posible que nos salga un error que solo es un aviso para que introduzcamos el rango de red local, así pues, en el panel Plotter Setting > Destination Home Network Range introducimos las datos del rango de red interna o red local. Tenemos que darle al botón OK. (V) para aplicar:

En este mismo panel, y en Color Mapping usamos el schema Destination port. Elegimos el tamaño de puntos (2). suavizado, y fondo negro. Poco más si no queremos establecer rango acotado de red internet.

En Control Panel elegimos escala de tiempo adecuada al tamaño de nuestro fichero .pcap para la velocidad de reproducción y pulsamos a play. También podemos desplazarnos por la línea de tiempo o ajustar time range a un valor mayor para que barra de línea de tiempo se desplaze a mayor velocidad.

En la ventana InetVis Display veremos como, dependiendo del tamaño de fichero .pcap y densidad del tráfico, como se van rellenado de puntos conformando una serie de líneas, agrupaciones de puntos etc, a través de los ejes del cubo. Una vez terminado este proceso podemos comenzar a interpretar los datos obtenidos.

Interpretando los datos.

Ahora vamos a ver unos ejemplo para entender la filosofía y e interpretación de los datos con InetVis. Aunque InetVis está pensado para detectar los potrscan provenientes de la red internet, los ejemplo los voy a realizar dentro de la red local del laboratorio. Una vez entendido su funcionamiento iremos a casos ya reales.

Vamos a usar en el panel Plogtter Setting y Colour Mapping diferentes esquemas de color. Por defecto tenemos Destination port pero si aplicamos Source IP addres vemos lo siguiente:

La fecha y hora que se aprecia arriba se refiere al archivo de captura .pcap.

Vemos, dentro del círculo blanco, una serie de 5 puntos rojos en línea a través del eje z que corresponde a direcciones de origen provenientes de Internet. Como están en línea suponemos que usan el mismo puerto, además es un puerto bajo, son cinco puntos (hosts). Podría ser, de hecho es así, comunicaciones http desde 5 hosts distintos hacia un solo host en la red interna.

Lo más llamativo es una línea vertical a lo largo del eje (y) que corresponde a los puertos de destino. Al ser una línea se trata de un solo host y muchos puertos. La gama de colores (de rojo a amarillo, verde, etc) se refiere al nivel de actividad que supone que los puertos bajos son los más usados y activos. En este caso se están usando como puertos de destino la mayoría de ellos, con lo cual lo tenemos claro, se trata de un scan de puertos. Este patrón siempre se va a repetir para estos casos.

Otro ejemplo para aclarar ideas.

Aquí he acotado el rango de puertos desde el 15000 a 16000 (eje y). Vemos en el eje x (en azul) un solo host de la red interna que tiene tráfico com varios hosts (vemos la distribución de puntos a lo largo del eje z) usando puertos muy cercanos y aproximados a 15600.  Si aplicamos el esquema de mapa de color de  direcciones IP de origen, se torna de varios colores.  Si aplicamos Puerto de destino, se aprecia muy poca variación: desde azul a morado pero poco apreciable (puertos muy consecutivos y cercanos en ango pequeño) Se trata de una comunicación entre un solo host de la red interna con varios hosts de la red internet.  Los host internet usando un solo puerto origen y el destino contra host interno a varios puertos. En la imagen de abajo he aplicado el esquema IP origen.

Lo comprobamos:

Patrones de scan de puertos.

Usando scapy.

Vamos a usar para los siguientes ejemplos la herramienta scapy.Podeís ver más sobre scapy aquí: http://seguridadyredes.wordpress.com/category/scapy/

Realizamos un scan de la siguiente forma:

send(IP(src=RandIP('213.96.0.0/16'), dst='192.168.1.5')/TCP(sport=53,dport=(1024,4096)), loop=1)

Construimos y enviamos un paquete IP. Usamos RandIP() para que las IP de origen sean aletorias pero dentro del rango que indicamos. El puerto de origen es el 53 y los  puertos de destino serán los comprendidos en el rango 1024-4096. Con loop=1 indicamos que el proceso se realice en un bucle infinito hasta que lo paremos manualmente (Control+Z).

El resultado es:

Lo que vemos es lo siguiente:

• el eje de color rojo z  que representa las IP direcciones cuyo origen están en Internet está cubierto en todo su rango. Acotando con Inetvis, vemos que el barrido de scan proviene de 213.96.0.0/16.
• el eje de color verde y que corresponde a los puertos indica un rango de puertos de destino. En este caso 1024-4096.
• si nos situamos perpendicularmente al eje azul x de IP internas, vemos que el objetivo es solo una IP. En este caso 192.168.1.5.

Ahora vemos otro patrón que corresponde a varias IPs de destino de scan de puertos. Lo hacemos de la siguiente forma y usando RandShort() para indicar un puerto aleatorio.:

send(IP(src=RandIP('213.96.0.0/16'), dst=['192.168.1.5','192.168.1.136','192.168.1.92'])/TCP(sport=RandShort(),dport=(1024,4096)), loop=1)

El resultado:

Podéis apreciar las tres bandas indicando 3 IP de destino distintas de la red interna en eje x.

Seguimos con los patrones de distintas configuraciones de scan de puertos. Tenemos la siguiente imagén InetVis:

Este patrón corresponden a un scan usando el siguiente código scapy:

ans,unans = sr(IP(src=RandIP('213.96.140.0/24'), dst='192.168.1.5')/UDP(dport=[(1,1024)]),inter=0.5,retry=10,timeout=1)

Lo que hacemos es usar la opción sr para envió de paquetes, que ya sabemos  envía y recibe paquetes en la capa 3. Usaremos también las siguientes opciones:

• inter intervalo, en segundo, entre paquetes enviados
• retry reintentar de nuevo si los paquetes que no obtuvieron respuesta
• timeout tiempo de espera máximo desde el último paquete

Qué vemos:

• He acotado el rango de puerto de destino, eje y (verde)  para mostrar desde los puertos 1 a 2000. Observad la dispersión de los puntos.

• He acotado también el eje z (rojo) con un rango de 213.96.140.0/24. Así pues, se observa mejor la dispersión de los puntos debido a las opciones indicada más arriba para scapy.

• En esta caso vemos que solo hay un plano, además muy cercano al origen de ordenadas. Esto es así porque se trata de un solo host de destino del scan y con IP 192.158.1.5.

Vamos ahora a obtener mayor densidad de los puntos de forma casi uniforme. Lo hacemos de la forma:

ans,unans = sr(IP(src=RandIP('213.96.140.0/24'), dst='192.168.1.5')/UDP(dport=[(1,1024)]))

Las opciones on las mismas que en el caso anterior pero eliminando RandIP():

Podéis observar que, como he comentado más arriba, no existe la dispersión de puntos (representación de los paquetes). Es todo uniforme. Las opciones de un escaneo también cuentan y la representación es distinta.

Seguimos.

Ahora vamos a usar solo un pequeño rango de máquinas (192.168.1.90-100), las cuales está casi todas activas. Vemos como la “nube” en InetVis se hace más densa y obtiene grosor que corresponde al rango de IPs internas del eje x:

He usado el siguiente código scapy:

>scan = IP(src=RandIP('213.96.10.0/24'),dst='192.168.1.90-100')/TCP(sport=56, dport=(0,1024), flags=2)
>sr(scan,timeout=3)

Usando nmap.

Vamos a usar algunas de las opciones de optimización de tiempo, rendimiento, etc, que nos ofrece nmap. Un poco forzado y redundante pero sirve para ilustrar el ejemplo:

nmap -sS 192.168.1.0/24 -e eth0 -T5 –host-timeout 5m –max-retries 0 –initial-rtt-timeout 25ms –max-rtt-timeout 250ms –max-scan-delay 250ms –scan-delay 10ms –min-hostgroup 32 –max-hostgroup 32 -D 213.96.169.1,213.96.xxx.xxx,213.96.xxx.xx,213.96.xx.xxx,213.96.xx.x

• –host-timeout 5ms  para abandonar el objetivo cuando pase el tiempo especificado.
• –max-rtt-timeout 250ms tiempo que toma en enviar un paquete desde un host cliente a un host servidor y viceversa. Aquí establecemos un máximo.
• –max-scan-delay 250ms / –scan-delay 10ms aquí ajustamos un rango de tiempo de retraso
• –min/max-hostgroup 32  escanear en paralelo en grupos de 32
• -D uso de decoys o direcciones spoofeadas
• -sS para TCP-SYN scan.
• -T5. Establecemos una plantilla específica para la tasa de envío de paquetes para el control de tiempos y rendimiento. Esta plantilla tiene implícita una serie de opciones tales como max-rtt-timeout, etc. En nuestro caso algunas las hemos modificado.

El resultado:

Vemos lo siguiente:

• como en el eje azul x vemos unas bandas que corresponden a las direcciones IP consecutivas que están activas en la red interna del rango 192.168.1.0/24.
• existen zonas intermedias del eje x que corresponden a IP que no están activas.
• en el eje rojo, que correspondiente a las IP externas de origen, vemos que hay 4 hosts (los activos )que corresponden con cada una de las IP que indicamos con -D en nmap.

==

Y hasta aquí la segunda parte de (9/10) Herramientas para la interpretación de capturas de red. Hasta la próxima.

Compartir

Según podemos leer en H-Online, (ENG) el equipo de Opera ha liberado la versión 11.61 de su navegador web. Se han solventado dos vulnerabilidades, siendo una de ellas catalogada de un impacto crítico para el sistema.

Concretamente, un XSS (Cross-site scripting), puede hacer que un atacante pueda traspasar las políticas original de seguridad del software, comprometiendo su integridad. El segundo fallo, catalogado como “leve”, puede hacer que páginas remotas detecten ficheros locales en el sistema del usuario. Hay acualizaciones para Windows, Mac OS X, GNU/Linux, FreeBSD y Solaris. Descargas.

Compartir