lunes, 30 de enero de 2017

LINUX 12 New vulnerabilidades, ! NO que No tronabas PISTOLITA! 30-ENE-17



Buen día amigos.

Regresando de dos semanas muy ajetreadas de dar capacitación en Seguridad Informática de la Certified White Hat Professional en varios estados de la República Mexicana a varias empresas del ramo del MARKETING como fue:


  • CHIHUAHUA 
  • SONORA
  • AGUASCALIENTES



Hoy estamos aquí escribiendo las nuevas de la seguridad informática y vemos como ya es tradición a LINUX no le ha ido bien en cuanto a BUGS, ya sea en el núcleo del Sistema operativo o puertos, servicios o protocolos, nos damos cuenta que hay:

                                12 NUEVAS VULNERABILIDADES.

queeeee?  si amigos como lo oyen el pingüinito ya no ve lo duro si no lo tupido en cuanto a bugs  y creo que así seguirá durante mucho tiempo aparaciendo las vulnerabiliades y eSo que decian que LINUX no tenia.

UP'Ś



Como pueden ver nuevos bugs y seguirá así un buen rato mas LINUX.


USN-3165-1: Thunderbird vulnerabilities - 27th Enero 2017

Múltiples errores en la memoria fueron descubiertos en Thunderbird, el usuario puede abrir documentos especialmente modificados para poder causar una denegación de servicio por medio de un  mal funcionamiento de la aplicación con la cual se puede ejecutar código arbitrario y esta identificada esta vulnerabilidad con claves: 

 (CVE-2016-9893, CVE-2017-5373) Andrew Krasichkov descubrió este error...


 esta vulnerabilidad se aplica también a USN-3175-1: Firefox vulnerabilities

------------------------------------------------------------------------------------------



USN-3177-1: Tomcat vulnerabilities - 23rd Enero 2017

Se ha descubierto que TOMCAT implementa incorrectamente en control de los passwords cuando un usuario no existe, un atacante puede enumerar los usuarios y este bug SOLO se aplica a  Ubuntu 12.04 LTS, Ubuntu 14.04 LTS and Ubuntu 16.04 LTS. (CVE-2016-0762), fue descubierto por Alvaro Muñoz y Alexander Mirosh ...

CVE-2016-0762 CVE-2016-5018 CVE-2016-5388 CVE-2016-6794 CVE-2016-6796 CVE-2016-6797 CVE-2016-6816 CVE-2016-8735 CVE-2016-8745 CVE-2016-9774 CVE-2016-9775

-----------------------------------------------------------------------------------

Podríamos describir aquí todas las vulnerabilidades pero pueden visitar la USN de UBUNTU para ver la descripción completa de todas.


UN SALUDO.


LI: Rodolfo H. Baz
www.rodolfohbaz.net
www.ccat.edu.mx    

viernes, 20 de enero de 2017

Dominios de Nivel Superior Geográfico



Un dominio de nivel superior de código de país (en inglés: country code top-level domain, ccTLD) o dominio de nivel superior geográfico es un dominio de Internet usado y reservado para un país o territorio dependiente.

Un dominio de nivel superior de código de país (en inglés: country code top-level domain, ccTLD) o dominio de nivel superior geográfico es un dominio de Internet usado y reservado para un país o territorio dependiente.
Los ccTLD tienen una longitud de dos caracteres, y la mayoría corresponden al estándar de códigos de países ISO 3166-1 (las diferencias se explican más adelante). Cada país designa gestores para su ccTLD y establece las reglas para conceder dominios. Algunos países permiten que cualquier persona o empresa del mundo adquiera un dominio dentro de sus ccTLD, por ejemplo Austria (.at) o España (.es). Otros países solo permiten a sus residentes adquirir un dominio de su ccTLD, por ejemplo Australia (.au), Andorra (.ad) y Chile (.cl).
 

Lista de dominios de nivel superior geográfico

  En siguientes lineas se aplican los diferentes identificadores de los dominios de cada país a nivel mundial.





Para poder ver toda la lista de identificadores ir al siguiente link:

 
Como pueden ver amigos este tipo de dominio se usa en pocas palabras identificar en que país fue registrado y creado el dominio, como en mi caso tengo 3 dominios registrados y geograficamente tienen el .MX

www. ccat.edu.mx
www.x25.org.mx
www-rhino.org.mx

recordandoles amigos que existe una diferencia entre una URL (uniform resource locator o «localizador de recurso uniforme») y un nombre de dominio:

  • URL: http://www.example.com/index.html
  • Nombre de dominio de nivel superior: com
  • Nombre de dominio: example.com
  • Nombre de host: www.example.com
  • Documento: index.html
Cabe mencionar que podemos comprar dominios en otros países y no hay ningún problema, esto es una buena acción comercial para las empresas internacionales para apartar sus dominios en cada país, aclarando que cada país tiene sus reglamentaciones a seguir.


saludos

LI. Rodolfo HBaz
www.rodolfohbaz.net






jueves, 19 de enero de 2017

MySQL vulnerabilities mysql-5.5, mysql-5.7 -->0day




Buen día amigos.

HOy comenzamos el día con una vulnerabilidad recién salidita del comal y que pertenece a un sistema que el 90% de los webservices usa y que es MYSQL.

De por si amigos ya son muy conocidos los ataques que existen para MYSQL

 
MySQL es un sistema de gestión de bases de datos relacional desarrollado bajo licencia dual GPL/Licencia comercial por Oracle Corporation y está considerada como la base datos open source más popular del mundo1 2 , y una de las más populares en general junto a Oracle y Microsoft SQL Server, sobre todo para entornos de desarrollo web.

MySQL fue inicialmente desarrollado por MySQL AB (empresa fundada por David Axmark, Allan Larsson y Michael Widenius). MySQL A.B. fue adquirida por Sun Microsystems en 2008, y ésta a su vez fue comprada por Oracle Corporation en 2010, la cual ya era dueña desde 2005 de Innobase Oy, empresa finlandesa desarrolladora del motor InnoDB para MySQL.

Al contrario de proyectos como Apache, donde el software es desarrollado por una comunidad pública y los derechos de autor del código están en poder del autor individual, MySQL es patrocinado por una empresa privada, que posee el copyright de la mayor parte del código. Esto es lo que posibilita el esquema de doble licenciamiento anteriormente mencionado. La base de datos se distribuye en varias versiones, una Community, distribuida bajo la Licencia pública general de GNU, versión 2, y varias versiones Enterprise, para aquellas empresas que quieran incorporarlo en productos privativos. Las versiones Enterprise incluyen productos o servicios adicionales tales como herramientas de monitorización y soporte oficial. En 2009 se creó un fork denominado MariaDB por algunos desarrolladores (incluido algunos desarrolladores originales de MySQL) descontentos con el modelo de desarrollo y el hecho de que una misma empresa controle a la vez los productos MySQL y Oracle Database.

HABLEMOS DE LA VULNERABILIDAD


Este bug esta avocado en los sistemas de LINUX que usan MYSQL  en especial UBUNTU y que esta descrito en la base de vulnerabilidades de UBUNTU con el número:

USN-3174-1
Fecha: 19 de Enero del 2017
 Aplicación vulnerable: 
  • mysql-5.5 - MySQL database
  • mysql-5.7 - MySQL database
Sistemas operativos afectados:   


  • Ubuntu 16.10
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS
  • Ubuntu 12.04 LTS

Multiples vulnerabilidades fueron encontradas y que están catalogadas y registradas con las siguientes claves:
Amigos actualicen sus sistemas y estarán protegidos.


SALUDOS


Li. Rodolfo Baz
www.rodolfohbaz.net

martes, 17 de enero de 2017

Gracias a Dios: hoy 17-01-17 LINUX no TIENE Vulnerabilidades





Como mi pequeño y bien ponderado escrito :


GRACIAS A DIOS HOY 17 DE ENERO DEL 2017 LINUX NO TIENE VULNERABILIDADES.


Si amigos como lo oyen hoy nada de bugs, ya hasta me da miedo ver las updates de LINUX que todos los días le están encontrado BUGS.

  • Denegaciones de Servicio
  • Overflows
  • Information disclosure

Y demás cosas que según los que usaban LINUX era súper seguro, acbe mencionar que hablo del Sistema Operativo no de KALI que muchos confunden a KALi es LINUX y lINUX es KALI.

Pero pues la marranita ya torció el rabo como ahora todo mundo quiere usar LINUX pues ya le están poniendo mas atención a su codificación y pues como todo BUGS POR TODOS LADOS.



Pero aún así LINUX es un Sistema Operativo súper estable y mejor que el WINDOWS o como lo llaman muchos WINSUCKS.


SALUDOS
LI. RODOLFO H. BAZ
WWW.rodolfohbaz.net









jueves, 12 de enero de 2017

UBUNTU/DEBIAN: nuEVOS bugS Sigue la mata dando, no que no?



Buen día amigos

Hoy 12 de Enero del 2017 así como todos los días salen y salen nuevas vulnerabilidades del Sistema Operativo LINUX en UBUNTU/DEBIAN y en esta ocasión tenemos una 3 vulnerabilidades catalogadas como criticas para este OS y que son las siguientes:


USN-3172-1: Bind Vulnerabilidades -


Fue descubierto el mal manejo de ciertas mal formadas peticiones en una búsqueda, donde un atacante de forma remota puede hacer que se lleve a cabo un cierre de la aplicación  BIND que cause una denegación de servicio.

Las claves de la base de datos  donde podemos encontrar mas información son:

 



USN-3170-1: Linux kernel vulnerabilidad 


Dmitry Vyukov descubrió que la implementación de KVM en el kernel de LINUX no inicializa apropiadamente  los segmentos de código (CS) en ciertos despliegues de errores, un atacante local puede obtener acceso a información sensitiva de la memoria del kernel...

Las claves de la base de datos  donde podemos encontrar mas información son:
 

  


Cabe mencionar que hay otras 4 mas vulnerabilidades  referentes  a los siguientes sistemas de terceros en Linux:



Lo bueno de todo esto es el soporte de LINUX que pone a disposición muy rápidamente los parches de actualización para estos BUGS.

actualicen su LINUX. 






Saludos

Li. Rodolfo H. Baz
www.rodolfohbaz.net



martes, 10 de enero de 2017

Ingeniería Social: 10 Estrategias de Manipulación a los ciudadanos de un país



Los ataques por los hackerś también se aplican a los ciudadanos por medio de la ING. Social que creo yo es una de las mas fiables técnicas para obtener información y que una persona haga lo que quieres que haga cuando quieres que lo haga, a la hora que quieras que lo haga, y como quieres que lo haga.

un ejemplo mas vivo de todas estas técnicas son las siguientes:

  • PRETEXTOS
  • VISHING
  • BAITING
  • QUID PRO QUO
Y PODRIAMOS AÑADIR otras 10 mas de ing. social las llamadas:

  • Panem et circenses
  • Estrategia de la distracción
  • Crear problemas y después ofrecer soluciones
  • Estrategia de la gradualidad
  • Estrategia de diferir
  • Dirigirse al público como criaturas de poca edad
  • Utilizar el aspecto emocional mucho más que la reflexión
  • Mantener al público en la ignorancia y la mediocridad
  • Reforzar la autoculpabilidad
  • Conocer a los individuos mejor de lo que ellos mismos se conocen

-= SIGNIFICADO Y EJEMPLOS DE SU USO =-

Panem et circenses (literalmente «pan y circo») es una locución latina peyorativa de uso actual que describe la práctica de un gobierno que, para mantener tranquila a la población u ocultar hechos controvertidos, provee a las masas de alimento y entretenimiento de baja calidad y con criterios asistencialistas.

Gramaticalmente, está formada por el acusativo singular de panis, -is ('pan') y el acusativo plural de circensis, -e ('juegos del circo').
 

Los intelectuales españoles de los siglos XIX y XX se quejaban de manera similar con el «pan y toros».Se asemeja en ruso a "хлеба и зрелищ" ("pan y espectáculo").

Origen

Esta frase se origina en Roma en la Sátira X del poeta romano Juvenal (circa 100 A. D.). En su contexto, la frase en latín panem et circenses («pan y juegos del circo») es dada como la última atención del pueblo romano, quien había olvidado su derecho de nacimiento a involucrarse en la política. Juvenal muestra su desprecio por la decadencia de sus contemporáneos romanos. 

Los políticos romanos visualizaron un plan en 140 a. C. para ganar los votos de los pobres; Al regalar comida barata y entretenimiento, los políticos decidieron que esta política de «pan y circo» sería la forma más efectiva de subir al poder.

NOAM CHOMSKY Escribió en el año 2010 un articulo donde explica 10 estrategias que son usadas para la manipulación de los habitantes de un país y que hoy en día son usadas en México a todo vapor y lamentablemente están dando resultado por el simple motivo de que:

 "Nosotros los mexicanos somos SUMISOS"

Osea acostumbrados a ser un pueblo agachado y el colmo del surrealismo, muchos Mexicanos:

"Quieren tocar y sacarse fotos con los políticos que los han chingado durante décadas y cuelgan la foto en la sala para presumirla a sus familiares"

No importa que él siga ganando el mínimo y el otro de la foto siga ganando el Máximo, lo importante es la foto y que se vea bien:

Por un lado al político que chinga y por el otro al Mexicano que inexplicablemente lo abraza aún a sabiendas de lo que le hacen y le han hecho.

El pueblo quiere pan y circo, el pueblo quiere que lo distraigan de sus problemas cotidianos y existenciales, por eso es que es más rentable ofrecerle contenido chatarra para que en este alivie sus frustraciones. 



La gente quiere olvidarse de los problemas laborales y económicos viendo el partido de futbol, quiere olvidar sus problemas matrimoniales viendo telenovelas donde se siente identificado porque otros sufren lo mismo, prefiere ver talk shows. Y no se interesa por cosas menos superfluas y con más contenido porque le representa un esfuerzo digerirlas.                  


10 Estrategias de Manipulación”

 

La estrategia de la distracción 

El elemento primordial del control social es la estrategia de la distracción que consiste en desviar la atención del público de los problemas importantes y de los cambios decididos por las elites políticas y económicas, mediante la técnica del diluvio o inundación de continuas distracciones y de informaciones insignificantes.

La estrategia de la distracción es igualmente indispensable para impedir al público interesarse por los conocimientos esenciales, en el área de la ciencia, la economía, la psicología, la neurobiología y la cibernética. 


Un ejemplo que hoy en día esta pasando es donde las noticias hablan de los inmigrantes y de las políticas del presidente Trump y hasta hacen huelgas pero  y los problemas de nuestro país?    


Donde esta la información del aumento del precio de la gasolina?  NADA DE ESO SALE EN LA TELE,   como anillo al dedo esta distracción para todos nosotros los mexicanos.
 
“Mantener la Atención del público distraída:

 lejos de los verdaderos problemas sociales, cautivada por temas sin importancia real. Mantener al público ocupado, ocupado, ocupado, sin ningún tiempo para pensar; de vuelta a la granja como los otros animales (cita del texto 'Armas silenciosas para guerras tranquilas)”.

Crear problemas y después ofrecer soluciones

 
Este método también es llamado “problema-reacción-solución”.

Se crea un problema, una “situación” prevista para causar cierta reacción en el público, a fin de que éste sea el mandante de las medidas que se desea hacer aceptar.

Por ejemplo: dejar que se desenvuelva o se intensifique la violencia urbana, u organizar atentados sangrientos, a fin de que el público sea el demandante de leyes de seguridad y políticas en perjuicio de la libertad.

O también: crear una crisis económica para hacer aceptar como un mal necesario el retroceso de los derechos sociales y el desmantelamiento de los servicios públicos.



La estrategia de la gradualidad


Para hacer que se acepte una medida inaceptable, basta aplicarla gradualmente, a cuentagotas, por años consecutivos.

Es de esa manera que condiciones socioeconómicas radicalmente nuevas (neoliberalismo) fueron impuestas durante las décadas de 1980 y 1990:

  • Estado mínimo
  • Privatizaciones
  • Precariedad
  • Flexibilidad
  • Desempleo en masa
  • Salarios que ya no aseguran ingresos decentes,
...tantos cambios que hubieran provocado una revolución si hubiesen sido aplicadas de una sola vez.


La estrategia de diferir
Otra manera de hacer aceptar una decisión impopular es la de presentarla como “dolorosa y necesaria”, obteniendo la aceptación pública, en el momento, para una aplicación futura.

Es más fácil aceptar un sacrificio futuro que un sacrificio inmediato, Primero, porque el esfuerzo no es empleado inmediatamente.

Luego, porque el público, la masa, tiene siempre la tendencia a esperar ingenuamente que “todo irá mejorar mañana” y que el sacrificio exigido podrá ser evitado.

Esto da más tiempo al público para acostumbrarse a la idea del cambio y de aceptarla con resignación cuando llegue el momento.


Dirigirse al público como criaturas de poca edad
La mayoría de la publicidad dirigida al gran público utiliza discurso, argumentos, personajes y entonación particularmente infantiles, muchas veces próximos a la debilidad, como si el espectador fuese una criatura de poca edad o un deficiente mental.

Cuanto más se intente buscar engañar al espectador, más se tiende a adoptar un tono infantilizante.


Por qué?

“Si uno se dirige a una persona como si ella tuviese la edad de 12 años o menos, entonces, en razón de la sugestionabilidad, ella tenderá, con cierta probabilidad, a una respuesta o reacción también desprovista de un sentido crítico como la de una persona de 12 años o menos de edad (ver “Armas silenciosas para guerras tranquilas”)”.

Utilizar el aspecto emocional mucho más que la reflexión
Hacer uso del aspecto emocional es una técnica clásica para causar un corto circuito en el análisis racional, y finalmente al sentido critico de los individuos.

Por otra parte, la utilización del registro emocional permite abrir la puerta de acceso al inconsciente para implantar o injertar ideas, deseos, miedos y temores, compulsiones, o inducir comportamientos…

Mantener al público en la ignorancia y la mediocridad

Hacer que el público sea incapaz de comprender las tecnologías y los métodos utilizados para su control y su esclavitud.

“La calidad de la educación dada a las clases sociales inferiores debe ser la más pobre y mediocre posible, de forma que la distancia de la ignorancia que planea entre las clases inferiores y las clases sociales superiores sea y permanezca imposibles de alcanzar para las clases inferiores (ver "Armas silenciosas para guerras tranquilas")”.

Estimular al público a ser complaciente con la mediocridad
Promover al público a creer que es moda el hecho de ser estúpido, vulgar e inculto…


Reforzar la autoculpabilidad
Hacer creer al individuo que es solamente él el culpable por su propia desgracia, por causa de la insuficiencia de su inteligencia, de sus capacidades, o de sus esfuerzos.

Así, en lugar de rebelarse contra el sistema económico, el individuo se auto-desvalida y se culpa, lo que genera un estado depresivo, uno de cuyos efectos es la inhibición de su acción.

Y, sin acción, no hay revolución!

Conocer a los individuos mejor de lo que ellos mismos se conocen
En el transcurso de los últimos 50 años, los avances acelerados de la ciencia han generado una creciente brecha entre los conocimientos del público y aquellos poseídas y utilizados por las elites dominantes.

Gracias a la biología, la neurobiología y la psicología aplicada, el “sistema” ha disfrutado de un conocimiento avanzado del ser humano, tanto de forma física como psicológicamente.

El sistema ha conseguido conocer mejor al individuo común de lo que él se conoce a sí mismo.

Esto significa que, en la mayoría de los casos, el sistema ejerce un control mayor y un gran poder sobre los individuos, mayor que el de los individuos sobre sí mismos.

En breve haré un video con diferentes partes de los discursos de nuestros gobernantes donde enseñaremos como nos estan aplicando estas tecnicas de Manipulación 



 Y LO PEOR NOSOTROS CONTENTOS DE QUE NO LAS ESTAN METIENDO.

Saludos
Li. Rodolfo H. Baz
www.rodolfohbaz.net

lunes, 9 de enero de 2017

Web App Penetration Testing - Local File Inclusion (LFI)

www.ccat.edu.mx

Inclusión de archivos Remoto y local:

Este tipo de ataques permite al atacante de ejecutar código malicioso y tener acceso a datos de los servidores web.

les dejo aquí un super manual que explica todo lo referente a estos ataques y como llevarlos a cabo.


les dejo aquí el link de lectura del PDF  que contiene todo bien explicado sobre este ataque.

DISFRUTENLO



 Necesitas conferencias de seguridad en tu universidad?    contactanos.

LI. Rodolfo H. Baz
www.rodolfohbaz.net

miércoles, 4 de enero de 2017

MI OPINION: GASOLINAZO 2017 - México




 

PEÑA NIETO HACE UNOS MINUTOS: ----> Comprendo y comparto el enojo por el tema de la gasolina, doloroso y difícil pero inevitable @EPN, desde Los Pinos.
--------------------------------------------------





COMPRENDO? no creo ya que el recibe una prestación de gasolina de mas de 100 mil pesos mensuales de gasolina, así como los diputados de mas de 10 mil pesos c/u de gasolina y cuando esta palabra se dice en situaciones caóticas COMPRENDO significa que esta dando justificaciones a los actos o sentimientos de su postura ante la situación, pero comprender no significa estoy con ustedes en esta situación mas bien significa AGUANTENSE Y FRIEGUENSE DE MIS DECISIONES.




COMPARTO? para nada amigos ya que el significado de esta palabra es: ---- Dar [una persona] parte de lo que tiene para que otra lo pueda disfrutar conjuntamente con ella y estos aumentos nadie los esta disfrutando.


 
 

DOLOROSO Y DIFÍCIL? Casi casi nos dice ponganse de rodillas, cierren los ojitos y ahí les va la mazacuata SIN VASELINA Como no va a doler si no la están metiendo sin vaselina.



 




INEVITABLE? NOs esta diciendo hagan lo que hagan, salten, brinquen, pataleen, de todos modos lo haré y se las dejaré ir de a capirote.






 
ENOJO? Lo llamaría astío de tantas mentiras vertidas hace unos meses sobre NO SUBIRÁ LA GASOLINA "NO HABRÁ AUMENTO DE PRECIOS" " EL GAS BAJARÁ" LA LUZ BAJARÁ" por dios solo los mexicanos permitimos esto.



 
PURO BLA BLA BLA BLAAAAA PERO AMIGOS MEXICANOS NO SE PREOCUPEN.

 EL SÁBADO PASAN EN LA TELE el partido de futbol.: AMERICA vs GUADALAJARA y ya se calmarán.



Los mexicanos sufrimos del Síndrome DEL CONQUISTADO Y CHINGADO.

Donde podriamos decir que por eso se emociona con un partido de Fútbol, fantasea que mediante un partido el Mexicano puede ganar, que si se puede, sin embargo la frustración aparece cuando la selección no gana o peor aún, cuando gana, el Mexicano grita, va al Ángel, se pone la verde, se emborracha y despierta al otro día con la cruda realidad de su trabajo, su carencia económica y emocional, mientras el equipo que según él le representa, disfruta de los millones de pesos derivados del alcohol y el consumismo del Mexicano que consumió desde cerveza hasta botanas para hacer más rico a los conquistadores de empresas extranjeras que ven en el Mexicano al sumiso sujeto capaz de ser manipulable con un partido, un Teletón, un talk show, cualquier cosa, la cuestión es que ese Mexicano suelte el dinero y duerma su conciencia.



aHORA el Gobernador del Edo. de Veracruz está ofreciendo  $500.000.00  por el que de información de los que están haciendo desmanes y robando en las tiendas asaltadas, pero, será que realmente  le darán ese dinero al que diga o de información?    o saldrán con que 

DISCULPAME NO TE LO PODEMOS DAR PORQUE NO DISTE SUFICIENTE INFORMACIÓN.


ya realmente no se puede confiar en nadie, en los políticos menos y vean este video informativo:




Saludos.

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...