Microsoft ha publicado hoy martes 10 de noviembre,  6 boletines de seguridad que contiene parches para resolver 15 fallos de seguridad en Microsoft Windows y Microsoft Office.

Los fallos son bastante graves permitiendo a un atacante la ejecución de código remoto o realizar un ataque de denegación de servicios en el pc que corra una de las aplicaciones vulnerables, les dejo un listado con los fallos de seguridad y el software afectado para que puedan determinar si tienen software vulnerable e instalen los parches:

• Boletin de Seguridad MS09-063 – Critico
  Vulnerability in Web Services on Devices API Could Allow Remote Code Execution (973565)
• Boletin de Seguridad MS09-064 – Critico
  Vulnerability in License Logging Server Could Allow Remote Code Execution (974783)
• Boletin de Seguridad MS09-065 – Critico
  Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (969947)
• Boletin de Seguridad MS09-066 – Importante
  Vulnerability in Active Directory Could Allow Denial of Service (973309)
• Boletin de Seguridad MS09-067 – Importante
  Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (972652)
• Boletin de Seguridad MS09-068 – Importante
  Vulnerability in Microsoft Office Word Could Allow Remote Code Execution (976307)

Es muy recomendable que actualices tu sistema operativo y tu suite ofimática para evitar la oleada de gusanos y malware que no demoran en explotar estos fallos para propagarse por toda la red.

Actualizar tu Windows desde la pagina de Microsoft Windows Update

Fuente:
Microsoft Security Bulletin

También puede interesarte...

• Microsoft Publica parche que corrige Vulnerabilidad “Critica”
• Denegacion de Servicio desde el WordPad
• Detección de WebDAV, verificación de la vulnerabilidad y explotación
• Actualiza tu equipo con Windows
• Video Tutorial de Nessus y Baseline Security Analyzer
• La Mejor Defensa es la Información
• Microsoft publica 8 Nuevas Actualizaciones de seguridad
• 10 puntos de ejecución más usados por el malware en el registro de Windows

Si alguna vez has realizado un ataque de fuerza bruta, sabrás que la clave del éxito cuando realizas un ataque es la cantidad de claves que tengan tus diccionarios, que estén en el idioma del sistema objetivo y que incluyan palabras que se utilizan normalmente en ese país como “parcero”, “monito, ¿me regala una moneda?” y cosas por el estilo.

Les dejo un excelente listado de diccionarios recopilado por 4v4t4r en sec-track, listos para ser utilizados en tu herramienta preferida para realizar fuerza bruta:

• Dictionary (variadas palabras en inglés)(15 mb)(5′062.977 palabras)
• Diccionario Actores de cine (58 Kb)(18.966 palabras)
• Diccionario Grupos de rock (66 kb)(11.705 palabras)
• Diccionario palabras latín (165 KB)(77.107 palabras)
• Diccionario Números (2 Kb)(514 palabras)
• Diccionario Palabras comunes (18 Kb)(5.563 palabras)
• Diccionario Passwords comunes (3 Kb)(820 palabras)
• Diccionario Español (240 Kb)(86.190 palabras)
• The HateList (562 Mb)(Muchas XD)(Mirror HTTP Sec-Track)

También puede interesarte...

• Nueva versión de Cain & Abel
• Cambiar Password de Switch CISCO
• Nuevo Gusano Infecta Routers, Modems, y Sistemas GNU Linux
• “1234″ y “password” son las Contraseñas + Utilizadas en USA
• Las Peores 500 Contraseñas de Todos los Tiempos
• Usando Google para descifrar Password MD5
• ¿Es suficiente la seguridad lógica en entornos de alta seguridad?
• Crackear redes inalambricas con WPA en 1 Minuto

A la promoción de la empresa MacHeist nanoBundle que les había comentado anteriormente, se ha sumado la empresa de seguridad para Mac Intego que a cambio de un enlace en tu perfil de Facebook (que puede borrar si lo deseas), te regala una licencia de VirusBarrier, el mejor antivirus para Mac OS X que existe hasta el momento en el mercado.

Para obtener este famoso antivirus para mac de forma gratuita, es necesario primero que todo seguir las instrucciones expuestas en el articulo anterior en el que nos ofrecen 6 aplicaciones para mac totalmente gratis, después de esto, tendremos que entrar en este enlace de la promoción especifica para el antivirus de mac virusbarrier, compartir el enlace en tu perfil de facebook, cuando ingreses de nuevo a la pagina de MacHeist nanoBundle y haces click en “go to my receipt” encontraras tu licencia de virusbarrier y el enlace de descarga.

No existen muchas amenzas de malware para Mac OS X, pero eso no quiere decir que no sea invulnerable a este tipo de amenazas, por eso es recomendable ejecutar de vez en cuando soluciones antivirus como esta y mas cuando te regalan una licencia por 6 meses .

También puede interesarte...

• Los Antivirus Gratuitos Reaccionan Mas Rápido
• Twitterrific y 5 Aplicaciones mas para Mac Gratis
• Licencia Gratis del Panda Internet Security
• Licencia Gratis para Kaspersky Internet Security
• Descargar Ashampoo WinOptimizer Gratis
• Avira Premium Security Suite Gratis
• Licencias para Kaspersky Anti Virus Gratis
• AVG PRO Gratis por Navidad

La empresa MacHeist, desarrolladora de Twitterrific, Writeroom y otras populares aplicaciones para Mac, ha decidido regalar licencias vitalicias de sus aplicaciones mas populares por 4 días, las aplicaciones a las que podemos acceder completamente gratis son:

WriteRoom
Una aplicación ideal para los que buscan eliminar todo tipo de distracciones a la hora de escribir un texto importante ya que deja sólo tu texto a la vista y a pantalla completa.

Twitterrific
una de las aplicaciones más populares de la plataforma para twittear desde el mismo escritorio.

Mariner Write
Un editor de textos que según sus autores pretender poner competencia seria a Microsoft Word (estará disponible a la descarga cuando 500.000 personas se beneficien de esta promoción)

Hordes of Orcs
Un juego de estrategia en el que tendrás que salvar tu aldea de los malvados orcos

ShoveBox
Un gestor de tareas que permite capturar información en cualquier formato rápidamente.

TinyGrab
Una utilidad para poder realizar capturas de pantalla y compartirlas rápidamente y sin esfuerzo.

Para beneficiarse de esta promoción, solo es necesario ingresar a la pagina de MacHeist nanoBundle , hacer click en el botón “Get it for FREE”, llenar el formulario y descargar cualquiera de las aplicaciones listadas anteriormente.

Actualizado, Ahora con Antivirus para Mac Gratis:

VirusBarrier
Ahora la promocion se ha extendido al famoso antivirus para mac VirusBarrier, lo que tienes que hacer es entrar en este enlace y compartir por facebook la promocion de MacHeist nanoBundle.

También puede interesarte...

• Antivirus para Mac OS X Gratis
• Descargar Ultima Versión del Nero Gratis
• Licencia Gratis del Panda Internet Security
• Licencia Gratis para Kaspersky Internet Security
• Descargar Ashampoo WinOptimizer Gratis
• Avira Premium Security Suite Gratis
• Descargar Gratis Ad-Aware – El Mejor AntiSpyware
• Descargar Audio Webcast de Seguridad en Mac OS X

La Web Application Security Consortium, grupo internacional de expertos en seguridad de aplicaciones web, ha publicado un documento titulado “Web Application Security Scanner Evaluation Criteria” en el que nos presentan los criterios que debe tener en cuenta un escaner de seguridad para aplicaciones web la hora de probar de forma efectiva las aplicaciones web y de identificar las vulnerabilidades que en ellas se encuentran.

Este documento proporciona una lista completa de características que deben ser considerados cuando se realiza una evaluación de la seguridad en aplicaciones web y su objetivo es proporciona las herramientas y documentación para permitir que cualquiera persona pueda evaluar los escáneres de seguridad web y elegir el producto que mejor se adapte a sus necesidades.

El documento Web Application Security Scanner Evaluation Criteria puede ser leído de forma online directamente desde la pagina de La Web Application Security Consortium o puede ser descargado en formato PDF

También puede interesarte...

• Video Tutorial Fingerprint y Escaneo Básico
• QueryScan 0.1 Beta – Scaneo para auditorías de seguridad Web
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Binging – Footprinting utilizando Bing
• Clase Virtual Gratuita sobre Desarrollo Web con PHP y Ajax
• Denegacion de Servicio desde el WordPad
• Reseteo Remoto del Password de Admin en WordPress
• XSS en WordPress 2.8.1, Actualiza a WordPress 2.8.2

Binging es una herramienta para realizar footprinting utilizando el motor de búsqueda Bing. Hace uso de la API de desarrollo de Bing para obtener múltiples resultados que nos ayuden en la tare de reconocimiento en nuestro objetivo. Esta herramienta en particular se puede utilizar para Footprinting entre dominios de aplicaciones Web 2.0, permitiendo enumeración de host, reverse lookup, descubrimiento de sitio, entre otras funcionalidades.

Puede usar varias directivas diferentes, el host, la IP y ejecutar consultas en el motor Bing, en la parte superior de la herramienta encontramos las opciones de filtrado para que usted hacer busquedas en Host o ips exclusivamente. También es posible filtrar los resultados utilizando expresiones regulares, recuerda que es necesario optener la clave del API de Bing para hacer uso de Binging.

Descargar Binging

Mas Información:
Pagina Oficial de Binging

También puede interesarte...

• Katana – Múltiples Distribuciones de Seguridad en tu USB
• PentBox – Una suite de seguridad y pentesting en ruby
• Charla de Seguridad Web Gratuita – Barcelona España
• Crackear redes inalámbricas desde el iPhone o iPod Touch
• ¿Como saber si tu equipo esta infectado con el Conficker?
• Descargar Gratis Internet Explorer 8 Final
• Vídeo Tutorial Honeypot
• Grendel-Scan

Cuando se piensa en seguridad informática casi siempre nos enfocamos a equipos firewalls, sistemas o software de trafico, IDS, y demás herramientas relacionadas con aquellas actividades que te permiten proteger o en su caso atacar a sistemas de computo vulnerables. Sin embargo poco se habla de los sistemas se seguridad física, los cuales son aplicados en muchos lugares que visitamos sin siquiera percatarnos de que existen o para que nos pueden servir en un enfoque global de seguridad de la información a empresas o entidades.

Si alguna empresa llama a una consultoría para realizar una auditoría para proteger sus sistemas de ataques de hackers, muchas de ellas de no estar bien capacitadas o documentadas se enfocaran al 100% en registrar vulnerabilidades en servidores, servicios y aplicaciones, pero que pasa con la gente? Que pasa con la ingeniería social?; ya no se acuerdan del caso 1 KEVIN MITNICK personaje que además de ser un estupendo hacker montado en su portátil desarrollo una gran habilidad en el ámbito del engaño, habilidad conocida como “Ingeniería Social”, dicen los expertos que no hay mejor manera de hacer una instrusión que utilizar los ojos, la palabra y la mente, esas herramientas son las mas efectivas y letales.

Contemplando este escenario existe equipo que permiten disponer de un control físico de las persona y cosas que ingresan a un lugar donde se puede suscitar algún ilícito como es el robo de información.

¿Que dispositivos conoces?

Te enumerare solo algunos de los que se manejan en un mercado tan cerrado y tan limitado como este.

CCTV . Sistema de Circuito Cerrado de Televisión, este sistema instalado en lugares como bancos, restaurantes, centros comerciales, calles, oficinas, etc; es sin duda unos de los sistemas de vigilancia física más utilizados y comerciales que existen hoy en día, sin embargo es importante conocer qué debemos de contemplar al implementar un sistema como estos, para que en el momento de la verdad, nuestros vídeos muestren las evidencias que necesitamos.

Es posible montarte un sistema de estos por 500 dolares, o bien si tienes un par de horas, un par de webcams y Linux, puedes instalar tu pequeño sistema de monitoreo con aplicaciones de código abierto como ZONE MINDER o MOTION (Espero pronto escribir un tutorial de como implementar ambos sistemas).

Detectores corporal y de cavidades. Empresas como OD Security comercializa equipos como 2CONPASS o SOTER RS, que permiten detectar en un pase de riel todo lo que llevas debajo de la ropa e inclusive en las cavidades de tu cuerpo, proyectandolas en una pantalla que puede estar instalada a varios metros de distancia; estos equipos funcionan por medio de un sistema de rayos “X” de baja intensidad pero alta penetración que no afecta a las personas con uso mesurado del mismo, estos equipos se localizan en cárceles federales, edificios de gobierno e inclusive en instalaciones de oficinas de asuntos relacionados con seguridad nacional.

Detectores de drogas y explosivos. El terrorismo es un mal que se ha venido desarrollando ya desde hace muchos años y con el avance de la tecnología se han podido elaborar armas realmente letales y fáciles de fabricar como explosivos portátiles C4; derivado de esto empresas como SMITH DETECTION desarrolla equipos de detección de explosivos que permiten por medio de una muestra que obtienen de tallar tus manos con un paño saber si estuviste expuesto o manipulaste drogas o explosivos y de esta forma no permitir el acceso a lugares protegidos, se aplica a cárceles, oficinas, embajadas, etc.

Existen de otros tipos como son:

• Equipos de rayos X para bultos y objetos
• Equipos portátiles y arcos de detección de metales
• Equipos portátiles identificadores de sustancias químicas y de gases
• Equipos de detección de objetos adheridos al cuerpo mediante RFID
• Sistemas de detección Perimetral (Articulo que me gustaría escribir más adelante ya que es
• una división muy profunda e interesante.
• Etc.

Como se puede apreciar existe un gama muy grande de soluciones que muy poca gente conoce y lo peor de todo no se aplica, en algunos casos por presupuesto ya que son muy altos en costo y en algunos otros casos por el desconocimiento de su existencia.

Saludos
TuxH1

También puede interesarte...

• Katana – Múltiples Distribuciones de Seguridad en tu USB
• PentBox – Una suite de seguridad y pentesting en ruby
• Problema de Seguridad en BIOS de Boards Intel
• Varias Distribuciones Live CD de Seguridad en un DVD
• Seguridad Informática con Software Libre
• Curso en el Sena Virtual sobre Auditoria en Seguridad
• Charla de Seguridad Web Gratuita – Barcelona España
• Laboratorios de Seguridad Informática

Mientras se llevaba a cabo la Gira de Seguridad Antivirus de ESET Latinoamérica, realizada desde el 26 de octubre hasta el 3 de noviembre por las principales ciudades de  Colombia, tuve la oportunidad de reunirme en manizales con Cristian Borghello quien trabaja como Educational & Technical Manager para ESET Latinoamérica ademas de administrar el portal de seguridad informática SEGU-INFO.com.ar y realizarle una entrevista para nuestra comunidad.

La edición de la entrevista la realizo VisualX con quienes nos hemos asociado para sacar adelante un proyecto de vídeo podcast (si quieres mas información y ayudar en el proyecto, click aqui...)

También puede interesarte...

• Antivirus para Mac OS X Gratis
• Entrevista a Jose Maria “Chema” Alonso para La Comunidad DragonJAR
• Tercer Encuentro Internacional de Seguridad Informática – Día III
• Descarga gratis el Antivirus de Microsoft
• Entrevista a Richard Stallman para Tuxinfo
• Entrevista exclusiva con Kevin Mitnick para La Comunidad DragonJAR
• ¿Quieres saber mas sobre la Ley de Penalizacion sobre Delitos Informaticos en Colombia?
• Discos Booteables Kaspersky

Boletín de publicación mensual, cuyo propósito es ofrecer una síntesis a la comunidad respecto a las investigaciones, consultas, avances, eventos, noticias y todos los acontecimientos más destacados del sector durante el ultimo mes.

SUMARIO

• Artículos Destacados.
• Felicidades Comunidad DragonJAR + Regalos
• E-Zine # 4 Comunidad DragonJAR
• Tercer Encuentro Internacional de Seguridad Informática
• Entrevista a José María “Chema” Alonso Para la Comunidad DragonJAR
• Noticias Destacadas.
• Documentación.
• Encuestas.
• Anuncios
• Consultas.
• Próximo Eventos.
• Boletines Anteriores.

ARTÍCULOS DESTACADOS

• Cripto Serie: Mifare Crypto1
• Creando un bot IRC en PHP con Feed RSS
• Tipos de Escaneos con Nmap (basico)

FELICIDADES COMUNIDAD DRAGONJAR + REGALOS

El pasado 5 de Octubre, cumplimos un año más y La Comunidad DragonJAR ha ido mejorando con el tiempo, cada vez somos más “dragonautas”, compartimos mas conocimiento juntos, nuestro contenido ha crecido en cantidad, calidad, lo cual se ve reflejado en proyectos como los laboratorios de la comunidad, la radio de la comunidad, los foros de la comunidad y nuestra página principal….Ver nota completa.

E-ZINE # 4 COMUNIDAD DRAGONJAR

Después de mucho tiempo y trabajo podemos presentar una nueva edición de la revista electrónica de La Comunidad DragonJAR como regalo de cumpleaños para todos nuestros miembros y visitantes. Leer el resto de la entrada »

TERCER ENCUENTRO INTERNACIONAL DE SEGURIDAD INFORMÁTICA

Después de 2 años de espera, se llevó a cabo el Encuentro Internacional de Seguridad Informática (EISI), catalogado como el encuentro más importante de seguridad informática realizado en Colombia. Este año el evento contó con la participación de grandes ponentes en el área de la seguridad informática quienes realizaron charlas de gran calidad. Para los que no les fue posible asistir a este evento, les invitamos a que revisen los siguientes artículos que dan cuenta de los detalles más relevantes sucedidos en el EISI 2009 y porsupuesto podrán descargas las memorias de las charlas:

• Tercer Encuentro Internacional de Seguridad Informática – Día I
• Tercer Encuentro Internacional de Seguridad Informática – Día II
• Tercer Encuentro Internacional de Seguridad Informática – Día III

ENTREVISTA A JOSÉ MARÍA “CHEMA” ALONSO PARA LA COMUNIDAD DRAGONJAR

En el transcurso del Tercer Encuentro Internacional de Seguridad Informática, realizado en la ciudad de manizales los días 7, 8 y 9 de octubre, varios integrantes de la comunidad tuvimos la oportunidad de compartir en calidad de ponentes con grandes personajes de la seguridad informática de habla hispana, uno de ellos fue Jose Maria “Chema” Alonso quien nos concedió esta divertida entrevista en exclusiva para nuestra comunidad dragonjar.Leer el resto de la entrada »

Noticias Destacadas.

• Sec-Track.com Proyecto Colaborativo de Entrenamiento en Seguridad Informática
• Licencia Gratis del Panda Internet Security
• Licencia Gratis para Kaspersky Internet Security
• Realizaron Hardening a WordPress, Descarga la nueva versión 2.8.5
• Desbloquea (Jailbreak) o Actualiza el iPhone OS 3.1.2 para iPhone y iPod Touch
• Denegacion de Servicio en WordPress
• IV Freedom & Open Source Day – Lima Perú
• Disponible Suite de Colaboración de Zimbra 6.0
• ¿Cómo encontrar versiones antiguas de programas?
• Top 100 Herramientas de Seguridad Open Source
• Clase Virtual Gratuita sobre Desarrollo Web con PHP y Ajax
• IV Freedom & Open Source Day – Lima Perú
• Denegacion de Servicio en WordPress
• Explicacion Basica de Herramientas del Backtrack 3
• Detección de sistemas remotos by:messerschmitt
• Sistemas con varias direcciones IP
• Etapas de un Desarrollo (PLC)
• cracker mysql
• [VB] Publica tu código aquí en Visual Basic 6.0
• Creando Menús Dinámicos con ASP.NET
• Captcha, generar códigos numéricos desde ASP.NET
• Introducción al funcionamiento interno de los Troyanos By:messerschmitt
• Obtener Archivos del Server Con Sql Injection
• Secunia, I/II
• Instalar Cydia-Metodo con redsn0w

Documentación.

• Manuales de Redes
• Login Bypass – Sql Injection
• Video tutorial configuracion troyano bifrost
• Propagaciones tomo I [Propagación por USB]
• Manuales de Visual Studio .Net & Aspx
• VIDEOTUTORIALES DE Visual C# {Principiantes}
• Temario y simulador Sun Certified Java Associate (SCJA)
• Manuales de SQL

Encuestas.

• ¿Quien se ganara la camiseta de DragonZineIT?

Anuncios.

• Grupos de trabajo Drux
• La Comunidad Cumple Años… ¿que le vas a regalar?
• Proyectos DragonJAR
• Sugerencias para mejorar WUDE

Consultas.

• Hydra, Error: Compiled without LIBSSH support, module not available!
• como configurar moden routher
• duda para crear regla con iptables
• Problemas con clave en la BIOS de una pc marca Dell modelo dimension 4700
• Ayuda backtrack drivers
• Ms-Dos comando NET
• Pack de iconos Wude … Donde?
• Smart Device
• Consulta de como programar en PHP
• Java y flash..
• No se que driver son para mi pc
• como trabajar en linux con De-ICE PenTest LiveCDs?
• Problema con driver Atheros en Windows

Próximo Eventos.

• 2do Congreso Nacional de Hacking Ético (Bogotá, Colombia)

Boletines Anteriores.

• Boletín de La Comunidad DragonJAR #0003
• Boletín de La Comunidad DragonJAR #0002
• Boletín de La Comunidad DragonJAR #0001

También puede interesarte...

• Boletín de La Comunidad DragonJAR #0003
• Boletín de La Comunidad DragonJAR #0002
• Boletín de La Comunidad DragonJAR #0001
• La Comunidad DragonJAR en LemonTV.tv
• Laboratorios Realizados de La Comunidad DragonJAR
• Laboratorios de Seguridad Informática en Bogotá
• Laboratorios de Seguridad Informática
• Encuesta Latinoamericana de Seguridad Informática

Por motivo de su aniversario numero 10 , la unidad de respuesta ante incidentes en redes en argentina (ArCERT) realizo el 1 y 2 de octubre la Jornadas de Seguridad Informática 2009, un evento en el que se trataron temas como la protección de Infraestructuras Críticas y sobre aspectos generales de la Seguridad Informática.

Para todas las personas que no pudimos asistir a este evento, arCERT se ha puesto en la tarea de grabar y publicar los vídeos de las charlas y seminarios realizados en las jornadas de seguridad  para que podamos disfrutar de ellos:

Vídeos de los Seminarios (día 1)

Apertura de las Jornadas

(Juan Manuel Abal Medina Eduardo Thill)

La respuesta internacional a los incidentes de seguridad

(Eduardo Carozo Gaston Franco)

La visión Jurídica: necesidad de marco normativo

(Lisandro Teskiewicz Pablo Pallazi Ricardo Saenz Gustavo Presman)

La seguridad cibernética en el gobierno de Brasil

(Raphael Mandarino Jr.)

La visión del Sector Privado: necesidad de articulación

(Julio Ardita Horacio Barrozo Pablo Silberfich)

Protección de infraestructura criticas de España

(Fernando Jose Sanchez Gomez Tomas Martin Iñurrieta)

ArCERT: 10 años de experiencia Pasado y futuro

(Pedro Janices Patricia Prandini)

Vídeos de los Talleres (día 2)

Ingeniería reversa de malware: Una introducción

(Hernan Racciatti)

Wireless 802.11 “el otro lado”

(Ezequiel Sallis)

Tendencias de seguridad en tecnologías para aplicaciones

(Ivan Arce)

La Web desde el ojo de un atacante

(Nahuel Grisolia)

Para mas informacion visita la pagina oficial del evento.

También puede interesarte...

• Biblioteca de Vídeos Sobre Seguridad Informática
• Memorias ExpoDefensa 2009
• 1st Security Blogger Summit
• Seminario de Seguridad Informática SecurInf v2.0 – Popayán
• Securitytube.net, El Youtube de la Seguridad Informática
• Videos y Video Tutoriales relacionados con la Seguridad Informática
• ¿Es suficiente la seguridad lógica en entornos de alta seguridad?
• Entrevista a Jose Maria “Chema” Alonso para La Comunidad DragonJAR