Last Dragon - La cueva del Ultimo Dragón - ラストドラゴン

Animaciones Hacker Ninja

Administrator — Tue, 14 May 2013 17:52:03 +0000

Mi primer vídeo formal de una animación, tal vez use estas animaciones para explicar artículos

WebService en PHP consumidos en C#

Administrator — Tue, 14 May 2013 05:55:41 +0000

Los Webservice son servicios de funciones o clases remotas consumidas por un programa local de forma que se puede utilizar para transferir información entre programas mediante protocolos ya establecidos.

Los WebService pueden entregarnos aplicaciones ligeras, los recursos de un teléfono Iphone o Android son limitados y mientras más procesan más rápido agotan su batería. Si una aplicación consume un webservice, toda la lógica de negocios, todo el procesamiento detrás de ese webservice es ejecutado por el servidor que lo provee.

Básicamente un WEBSERVICE provee clases remotas que pueden ser instanciadas en una aplicación o programa local sin importar el lenguaje remoto.

Cualquier lenguaje que soporte WEBSERVICE para consumir o para exportarlos puede recibir o enviar información sin importar en que lenguaje se exporta o se consume el webservice.

Un ejemplo seria un webservice corriendo en cluster de cientos de procesadores y computadoras, haciendo cálculos en segundos que a una PC tradicional le tomaría horas y ni decir de un simple iphone o android que agotarían sus baterías antes de concluir el cálculo

Con un webservice una aplicación de de Iphone o Android podría iniciar ese cálculo en el cluster y esperar el resultado ya procesado. A la vista del usuario la aplicación ha resuelto su problema y no le importa si los cálculos fueron hechos en su teléfono o si fueron enviados a un cluster remoto

Como el lenguaje más común de la red es PHP, aquí mostrare el código más básico para tener un WebService que puede ser consumido remotamente por una aplicación en C#

En PHP existe una librería llamada NuSoap, se descarga y descomprime en el directorio donde está la aplicación Webservice que deseas exportar

En este ejemplo hare el código sencillo del hola mundo o saludo.

Código en PHP

require_once “lib/nusoap.php”;

// La funcion que se va a exportar
function saludo($nombre)
{
return “Hola “.$nombre;
}

// Se crea el objeto para el webservice
$servicio = new soap_server();
// Se inicializa el webservice
$servicio->configureWSDL(”webserv”, “urn:webserv”);
// Se registra la funcion que se va a exportar, con el tipo de datos de
entrada y el tipo de dato de salida
$servicio->register(”saludo”,array(”nombre” =>
“xsd:string”),array(”return” => “xsd:string”));
// Como el servicio es proveedo por un servidor WEB la informacion del
webservice sera recibida en METHOD POST
$servicio->service($HTTP_RAW_POST_DATA);

Con este código ya tenemos un webservice escrito en PHP, para consumirlo en C# hay que escribir un proxy se enlace al webservice y convertirlo a una clase local, esto son muchas líneas de código. Afortunadamente la mayoría de los IDE de .NET como Visual Studio o SharpDevelop crean este proxy e importan el WebService con solo agregar una REFERENCIA WEB en la que se le pasa el URL del archivo PHP o cualquier otro lenguaje donde radica el WEB Service.

Un paréntesis para quienes usan .NET con Mono en GNU/Linux
Si no tienes un IDE y estas programando en consola por ejemplo en C# pero con Mono, se usa el comando wsdl para generar el proxy

wsdl http://www.lastdragon.net/webserv/serv.php?wsdl

Writing file ‘webserv.cs’

El archivo resultante con el proxy es webserv.cs que debe ser compilado a una DLL
mcs /target:library webserv.cs -r:System.Web.Services
El resultado sería webserv.dll, que ya puede ser agregada a la compilación del programa mono
mcs /r:webserv.dll consumo.cs

De regreso a SharpDevelop o Visual Studio.

Ver mas grande

http://www.lastdragon.net/webserv/serv.php
Una vez importado el webservice se usa como si se tratara de una librería mas de C# y de la misma forma se aprovechan sus clases.

Código en C#

using System;
using System.Web.Services;
using webservclient;

    class Program
    {
        public static void Main(string[] args)
        {


            webserv
x = new webserv();

            Console.WriteLine(x.saludo(“Last Dragon”));
            Console.ReadKey(true);
        }
    }

El resultado de la ejecusion es:

Ver mas grande

2b2f

Jorge DiHe - Un iPhone es un iPhone y vale mas que cualquier Android

Administrator — Sat, 11 May 2013 16:09:06 +0000

El peor artículo que pudo redactar un fanboy de Apple lo redacto Jorge DiHe

El artículo en cuestión dice así.

Cuando tienes un iPhone de lo primero que eres consciente , sin ni siquiera tener que encenderlo y comparándolo a todos los demás teléfonos es de que tu teléfono esta realizado con muy buen gusto y que tienes ante ti un buen teléfono el cual a pesar de tener un alto precio o cierto es que los vale , pues ningún otro teléfono de la competencia ( salvo ahora el HTC One ), realiza teléfonos con tan buen gusto y tan buenos acabados.

Esto que parece una tontería queda demostrado con el tiempo,y es que a día de hoy si en un mercado de segunda mano o incluso “nuevo” tratas de comprar un samsung Galaxy S3, te darás cuenta de que prácticamente lo están regalando, algo que no ocurre con un iPhone 4s, que a día de hoy si te quieres hacer o deshacer de uno veras que el precio sigue siendo muy alto lo que automáticamente hace que el iPhone sea más valioso pues su valor residual es mayor.

Un ejemplo muy claro sería el de 2 personas que se compran una casa al precio de 100.000 euros, y cuando pasan 6 o 7 meses, y deciden venderla uno la vende por el mismo precio y el otro la tiene que vender por 50.000 porque ha perdido su valor. La pregunta sería ¿ que casa tiene mas valor ? y en ese sentido y con ese ejemplo de lo que ocurre con un iPhone y un teléfono android, Apple le tiene ganada la batalla a los demás que todavía han de aprender mucho.

Dicho esto, que no es una opinión sino una “demostración” puedo afirmar sin que nadie ponga el grito en el cielo que ” un iPhone es un iPhone y vale mas que cualquier otro teléfono Android y esto será así hasta que Android consiga que el valor residual de sus teléfonos se iguale al de Apple.

El sentido común me dice muchas cosas, pero lo que me dice hoy es. Este señor Jorge DiHe dice tonterías o los usuarios de Apple son idiotas.

Quien en su sano juicio va a comprar un Iphone de segunda mano con un costo prácticamente igual a uno de nueva generación. Para cualquiera con 2 dedos de frente que va a comprar un teléfono o CUALQUIER ARTICULO sabe que si cuesta igual que uno de nueva generación y nuevo que nadie más ha estado tocando, que se sabe que no ha caído o mojado. Mejor compro uno de nueva generación y nuevo

Si alguien obtara por comprar usado y a un costo prácticamente igual desconociendo el trato que recibió ese teléfono. Yo diría que ese fanboy es un pobrecito, esta enfermito.

El valor residual de los teléfonos como el Galaxy S no cae a los suelos cada que hay un nuevo Galaxy S, sin embargo cae lo suficiente para que alguien que NO ES ESTUPIDO DE NACIMIENTO tenga un incentivo para comprarlo. Porque cualquier ser inteligente sin importar que compra un iphone, Glaxy S, un auto o cualquier cosa. Compra algo usado al mismo pecio que uno nuevo. Entonces tendría que revisar el calificativo de “ Ser inteligente “

Decir que algo es mejor solo por una cifra de dinero es algo tonto. Pero si lo ponen así. Los Galaxy S como el Galaxy S4 cuesta más que el Iphone, usando el razonamiento de Jorge DiHe entonces el mejor es Galaxy S4.

Apache 2.2.x .NET (Mono) para despachar paginas ASPX y Appliciones C#

Administrator — Thu, 09 May 2013 07:11:13 +0000

Mono es una iniciativa de Miguel de Icaza que ha traído al mundo de GNU/Linux el poder de .NET para desarrollar o ejecutar aplicaciones. Para la nueva generación de programadores WEB que usan webservice o aplicaciones con esta tecnología este articulo será interesante porque podrán usar un GNU/Linux para despachar paginas ASPX sin tener que instalar Internet Información Server o algún Windows Server

Debido a que RedHat y por lo tanto CentOS no tienen soporte para Mono deberemos instalar todo desde sus códigos fuentes, compilarlos y configurarlos. ¿ Por que explico como hacerlo en RedHat / CentOS ? porque otras distros como Ubuntu es tan simple como ejecutar un par de comandos apt-get install y queda resuelto en 5 minutos. Sin embargo RedHat y CentOS son plataformas profesionales es donde es deseable tener este soporte en producción. Sin embargo Mono, debido a unas diferencias de los que toman decisiones en RedHat no tiene soporte nativo. Al menos eso fue lo que dijo en algún momento el propio Miguel de Icaza.

Requerimientos al momento de escribir este artículo.
El código fuente de Mono 2.10
El código fuente de XSP 2.10
El código fuente de mod_mono 2.10
El código fuente de Apache es 2.2.24 al momento de escribir esto, existe Apache 2.4.2, sin embargo Mod_Mono no compila correctamente en la serie 2.4 de apache. Tal vez en unos meses esto quede solucionado.

Obtenido los códigos fuentes de mono
URL de mono
http://download.mono-project.com/sources/mono/mono-2.10.tar.bz2
URL de mod_mono
http://download.mono-project.com/sources/mod_mono/mod_mono-2.10.tar.bz2
URL de XSP
http://download.mono-project.com/sources/xsp/xsp-2.10.tar.bz2

URL del código fuente de Apache 2.2.24
http://www.us.apache.org/dist//httpd/httpd-2.2.24.tar.gz

1 Se compila el código fuente de mono
./configure –prefix=/usr/mono-2.10
make
make install

Terminada la instalación de mono se debe agregar a la variable de PATH la ruta de los binarios de mono para poder ejecutarlos sin problemas desde Shell, si su Shell es BASH, puede agregar en la línea de comandos y en el archivo .bash_profile las siguientes líneas.
PATH=$PATH:$HOME/bin:/usr/mono-2.10/bin
export PATH
2 Se compila XSP, antes de iniciar la compilación hay que SETear la variable PKG_CONFIG_PATH con la ruta del pkgconfig que está dentro de la estructura de directorios de mono previamente instalado. En este caso el valor es /usr/mono-2.10/lib/pkgconfig/

export PKG_CONFIG_PATH=/usr/mono-2.10/lib/pkgconfig/

Una vez con la variable el código fuente de XSP se compila con los mismos usados en la compilación pasada de mono

./configure –prefix=/usr/mono-2.10
make
make install
3 Compilando e Instalando Apache
./configure –prefix=/usr/apache2.2.24 –enable-so –enable-cgi –enable-ssl
make
make install

4 Compilando e Instalando mod_mono
./configure –prefix=/usr/mono-2.10/ –with-mono-prefix=/usr/mono-2.10/ –with-apxs=/usr/apache2.2.24/bin/apxs
make
make install
Hasta este punto hay instalado todo el soporte necesario para ejecutar y compilar programas de .NET en la consola y escritorio de Linux, así como para ejecutar aplicaciones WEB de .NET aunque aún no está terminada la configuración.

Configurar Apache y Mod_Mono para ejecutar aplicaciones .NET

Edita el siguiente archivo
/usr/apache2.2.24/conf/httpd.conf

Agregue las siguientes líneas

Include conf/mod_mono.conf
MonoServerPath “/usr/mono2.10/bin/mod-mono-server4″
MonoAutoApplication enabled

SetHandler mono-ctrl
Order deny,allow
Deny from all
Allow from 192.168.1.198

AddMonoApplications default “/puntonet:/usr/apache2.2.24/htdocs/puntonet”

Alias /puntonet “/usr/apache2.2.24/htdocs/puntonet”

SetHandler mono
Allow from all

Las primeras 3 preparan a Apache para recibir el entorno .NET que provee mono
Include conf/mod_mono.conf
MonoServerPath “/usr/mono2.10/bin/mod-mono-server4″
MonoAutoApplication enabled

Las líneas restantes preparan un directorio para ejecutar código de .NET, puede repetir las líneas tantas veces como directorios para ejecutar aplicaciones de .NET requiera.

AddMonoApplications default “/puntonet:/usr/apache2.2.24/htdocs/puntonet”

Alias /puntonet “/usr/apache2.2.24/htdocs/puntonet”

SetHandler mono
Allow from all

Si se requiere otro directorio agregas otro bloque con otra ruta

AddMonoApplications default “/otraruta:/usr/apache2.2.24/htdocs/otraruta”

Alias /otraruta “/usr/apache2.2.24/htdocs/otraruta”

SetHandler mono
Allow from all

Los directorios deben existir en el sistema de archivos antes de iniciar el apache por ejemplo para puntonet debe existir /usr/apache2.2.24/htdocs/puntonet y es en ese directorio (”/usr/apache2.2.24/htdocs/puntonet ) donde se colocaran los archivos .ASPX u otras aplicaciones .NET

El siguiente video puede describir de forma visual el proceso de instalación, configuración y una sencilla demostración de funcionamiento.

2269

Restaura páginas web después de un hackeo en menos de un minuto con git

Administrator — Wed, 01 May 2013 19:03:24 +0000

Git es un sistema de control de versiones muy de moda ahora entre desarrolladores, fue escrito por y para programadores. Sin embargo al verlo funcionar puedes darte cuenta de su potencial en aplicaciones distintas a la programación, como la seguridad de un sitio web y la posibilidad de revertir cualquier intervención en milisegundos.

Yo había diseñado mi propia herramienta para saber si he sido intervenido, peo no con todas las habilidades que ya trae git.

En mi caso hacia un listado de toda la estructura de directorios y cada archivo después a esa lista le agregaba la sumatoria del archivo, la cual aun se usa para comprobar si el archivo que bajamos de algún servidor no ha sido alterado mientras lo bajamos o si no ha llegado corrupto, de igual forma sabía si faltaba un archivo o si ahora tenía un archivo de más que antes no tenía, un posible webshell

Si alguien modifica un archivo de tu sitio web, tú sabrías que su sumatoria ha cambiado, incluso si se mantiene la misma fecha y el mismo tamaño en bytes del archivo, ya no es el mismo archivo. Esto te ayudaría a saber que posiblemente en algún archivo se inyecto algún backdoor o se le escribió código que antes no tenía. Claro podría saber que el archivo fue modificado, pero no donde fue modificado por lo que tendría que leer el código de todo el archivo en busca del cambio.

Ejemplo:
md5sum wp-settings.php
264eb46f0e17c74c5a60b8928371db51 wp-settings.php

Si le hiciera cambios al archivo wp-settings.php ese hash cambiaria, de esa forma se que fue modificado.

Ahora git se presenta como una herramienta para programadores pero que puede servir con un propósito colateral asegurar sistemas y servidores, asi como su inmediata recuperación. Por supuesto nunca dejando de lado una buena copia de seguridad.

Git hace lo que he hecho yo antes, pero además maneja un sistema que en Windows fue bautizado como shadow copy y que años antes ya hacia norton con su sistema go back.

Con git puedes indexar un directorio, por ejemplo el directorio raíz de un sitio web, agregar todos los archivos al índice e inmediatamente saber si ha sido agregado un archivo de mas, ha sido borrado alguno o mejor aun donde y en que parte del archivo se modifico un archivo mostrando incluso la modificación hecha. Por si no fuera suficiente tiene la capacidad de restaurar los archivos modificados o borrados.

Con esas habilidades corriendo en un servicio del sistema operativo y después de un deface a un sitio web, el lamo que ataco no alcanzaría a llegar a zone-h antes de que el sitio ya se hubiera sanado así mismo. Tiene ciertas limitantes, si el sitio está mal programado de origen y permite sql inyección no hay mucho que hacer. Pero esa ya es una falla del programador no del sistema o de git.

Git funciona en local pero también se pueden hacer repositorios remotos que permitirían clonar sitios web en caso de un ataque DDoS podrías crear mirrors en segundos

Dicho lo anterior git asegura los archivos de cualquier carpeta no necesariamente sitios web, cualquier sistema local o de internet y con imaginación incluso usarlo en herramientas de respaldo incremental en lugar de comprar costosas soluciones que hacen exactamente lo mismo.

El siguiente video puede ejemplificar la funcionalidad de git

Como dato curioso, git fue realizado por Linus Torvalds y a pesar de todo lo que ha dicho sobre Richard Stallman sigue usando su filosofía e incluso la GNU GPL v2.

Hackea libremente un servidor de Last Dragon RETO 2013

Administrator — Mon, 29 Apr 2013 05:21:30 +0000

Después de la entrevista de hackingmexico en donde dije que a veces pongo servidores en línea y entrego las Shell dentro del sistema. Se me ha retado a hacer lo mismo.

El sueño de todo hacker, hackear sin meterse en problemas legales. Porque yo mismo te invitare a hacerlo. Si puedes.

Como ya tiene un par de años que no hago este tipo de desafíos he decidido hacerlo.

Instale un servidor con GNU/Linux, para hacer mas accesible el reto he dejado la configuración de seguridad en lo que yo llamo nivel 1, el más básico y uno que otro hueco de seguridad apropósito como todos las veces para que sean punto de partida y puedan ser explotados.

Aquí no hay cloudflare, ningún firewall físico, solo estas tú y el servidor que he puesto para el desafío.

En un servidor en producción incluso en un nivel tan básico de seguridad, no dejaría un compilador C, C++ y JAVA al alcance de un atacante, pero aquí. Lo pongo a tu disposición para que compiles tus exploits

Las reglas son simples

La meta es tomar root y medicar la página WEB contenida en el servidor del desafío escribiendo tu nombre en ella como prueba de tu logro

No se permiten DoS, bombas fork y similares, de hecho usar ese tipo de ataque solo demostraría tu incompetencia ya que solo los lamers recurren al DoS por falta de conocimiento de algo más.

No se permite usar los recursos del servidor para atacar otros servidores

Puedes usar cualquier método para subir al servidor del desafío exploits en binario o código fuente

El Shell se entrega por el puerto 22 TCP con el servicio de ssh

El usuario es hackeame y la clave es hackeame

El servidor del desafío es hackserver.lastdragon.mx la pagina del desafío es http://hackserver.lastdragon.mx

Si logras tomar root, ten la amabilidad de no destrozar el sitio y dale la oportunidad a otros, no le digas a los participantes como hacerlo, escribe tu nombre o nickname y tu blog, twitter o facebook en la página WEB del servidor del desafío

Suerte

Alex Torres Torrescrack explicando el reto crack 2007

Administrator — Sun, 28 Apr 2013 17:20:58 +0000

Me llego un privado muy interesante de Alex Torres Torrescrack, me recordó aquel reto de crack para .net del 2007. Wow, ya hace varios inviernos.

Específicamente el articulo
Reto cracking Febrero 2007

Alex Torres Torrescrack no solo logró pasar el reto, sino que amablemente escribió un manual que aprovechare a compartir con ustedes desde mi trinchera (aka) La cueva del ultimo dragón

Descarga el PDF del manual cracking en la cueva del dragon

El sitio WEB de Alex es:
Torrescrack

Anonymous (MexicanH Team) se adjudica hackeos que no hace, confirmado.

Administrator — Thu, 25 Apr 2013 05:03:07 +0000

Después de la entrevista con Makuaz de HackingMexico donde hablo de que muchos Anonymous son niños jugando a ser malotes y haxors me llego un twitt de @MexicanH donde escribe:

MexicanH Team‏@MexicanH 17min
hey @LastDragonMX Se me olvidaba que deface tu web http://zone-h.org/mirror/id/19566331 … #lulz

Ver mas grande

El twitt si no lo borran al sentirse descubiertos.

Este Twitt lo estuve esperando mucho tiempo porque es la confirmación de lo que ya sabía, pero es la confirmación publica para todos los lectores de el blog. Anonymous se adjudica hackeos que hacen otros para ganar su momento de fama.

El artículo relacionado con esto es:
Anonymous hackea la cueva del último dragón

Páginas web virtualmente inhackeables

Administrator — Mon, 15 Apr 2013 00:55:52 +0000

El titulo es algo pretencioso, porque todos sabemos que no hay nada unbreakable aunque para la mayoría, la gran mayoría de los ataques y atacantes si será así, solo espero que mis amigos programadores que son muchos no se enojen por lo siguiente. Si estos consejos se aplicaran en la mayoría de las paginas y sistemas, ser hackers seria aburrido, no tendrían patio de juego, no tendrían que atacar. Si esto se aplicara mataría a todos los pseudo hackers. solo quedaria un redusido grupo de gente realmente experta

Existen muchas formas de endurecer la seguridad de un servidor, diferentes formas, para diferentes servicios, correo, vpn, ftp, pero ahora hablare solo de WEB

Hoy leí en el Twitter sobre una botnet que infecta sitios con Wordpress, los vuelve zombies y a su vez atacan otros sitios web. Me doy cuenta que en lugar de que estemos mejor con administradores más preparados, estamos peor que antes. Lo que a continuación escribo era una verdad que ya sabía desde 1997 y que no ha perdido veracidad hasta hoy 14 de abril de 2013

Dicen que WordPress es inseguro, ¿ Muy inseguro ? dicen que es inseguro pero yo lo uso y los hechos dicen que nunca he sido hackeado desde que lo uso, es mas desde el 24 de enero del 2001, en 12 años jamás he sido hackeado y eso que a veces relajo la seguridad del sitio y desafío a algunos grupos a hackearlo abiertamente. Es más si ocurriera, que tan valido seria el hackeo. Prácticamente tengo que dejar la puerta abierta, prácticamente tengo que darles el root. ¿Contaría como hackeo?

Espero que estos consejos que no son más que sentido común ayuden a muchos, especialmente a administradores de sitio de gobierno a reforzar la seguridad de sus sitios.

Mi primer consejo es.

1 ) Nunca confíes en el programador

Administradores de servidores, nunca confíen en un programador, la visión de un programador no está orientada a la seguridad. Su visión está orientada a VISTAS, MODELO DE NEGOCIO y CONTROLADORES, No drivers, CONTROLADORES son conceptos de programación “moderna”, La mayoría de los programadores no entiende de seguridad, confían su seguridad a FrameWorks, los frameworks les dicen que están seguros y no saben por qué están seguros. Lo creen como un acto de fe, pero un administrador de servidores debe ser ateo. La FE es para el que no entiende una explicación racional.

NUNCA CONFIES EN UN PROGRAMADOR

Los CMS como Wordpress, PHP-Nuke, Joomla, no se crearon de la nada, no son creados espontáneamente, todos estos sistemas fueron creados por programadores y recuerda el primer consejo, nunca confíes en un programador.

2 ) Servidor WEB

Apache, NginX httpd ligth, etc. Todos son exactamente igual, aunque te quieran vender que uno es mejor que otro. Todo es igual, la diferencia es que uno trae N cantidad de módulos y el otro no. Pero si al que no tiene módulos le pones los mismos que el que si trae por default será exactamente igual, igual de pesado, igual en su tiempo de reacción. Usa el que te sea cómodo. Solo que también usa tu sentido común.

Un servidor WEB debe sin duda despachar páginas, no es un FTP, no debe tener activado los métodos, delete, put.

Arrancar un servidor WEB como root.

El puerto 80 TCP conocido como http, desgraciadamente el puerto 80 TCP solo puede abrirlo root, un servidor WEB que se respete debe ser capaz de abrir el puerto 80 con root y después lanzar un hilo bajándolo a UID de otro usuario sin privilegios, incluso cada VHOST debería ser un UID diferente para que nunca haya hackeos masivos, el problema es que de entrada el proceso raíz corre como root, por eso puede abrir el puerto 80. El servidor WEB también es un programa y la regla máxima y consejo número 1 es, repítelo…. NUNCA CONFIES EN UN PROGRAMADOR.

La mayoría de los supuestos hackers son niños tarados que solo saben “hackear” usando SQL inyección, en su vida han oído de algún otro tipo ataque como Buffers Overflows y cosas más complicadas. Sin embargo habrá quienes de la vieja escuela si sepan esto. Recordemos que el servicio WEB inicia como root para abrir el puerto 80, si existe alguna forma de explotar esto, un verdadero hackers encontrara la forma de tomar root. No le des la oportunidad de tomarlo. Inicia tu servidor WEB con un usuario sin privilegios, el problema es que obviamente no podrá abrir el puerto 80 TCP. No importa. Configura tu servidor WEB para funcionar con puertos que no requieren permisos de root, los puertos root son del 1 al 1024, configura tu servidor WEB en el 1025 o en adelante. 8080 TCP, 8081, el que gustes. Hecho esto, por medio de tu firewall desvía todo el trafico 80 TCP al puerto que hayas designado para servidor WEB. De esta forma los clientes como Firefox, internet Explorer, chrome y otros podrán seguir entrando a tu página WEB como si nunca hubieras cambiado el puerto y tu servidor WEB jamás tendrá un hilo maestro con root.

3) Sistema de archivos para tu página WEB

Con tu servidor WEB sin privilegios de ningún tipo, lo siguiente es evitar que un atacante pueda modificar tus archivos. La mayoría de los novatos comenten el error de asignarle el mismo usuario con el que corre el servidor web a los archivos, directorios o carpetas. La mayoría de los CMS lo piden para configurar, pero una vez configurado esto ya no tiene más sentido.

Cambia el propietario de tus archivos a root, ¿ por qué no a otro usuario ? por que pueden ganar acceso con otro usuario y podrían hackearte. Pero si ganan acceso con root, el hackeo fue hecho desde antes, solo que no lo sabías y si tienen root da igual que permiso de usuario tengan.

Asegúrate que tus archivos y tus carpetas solo puedan ser modificados por root y solo leída por todos los demás.

Muchos CMS como wordpress permiten subir archivos, si pueden subir archivos pueden sobrescribir archivos y recuerda, JAMAS CONFIES EN UN PROGRAMADOR. Si el programador falla en sus medidas de seguridad. No importara, pues no tiene permiso de escribir en ninguna parte y por lo tanto no podrá modificar tu página WEB

4) Base de datos

Los programadores novatos e incluso los administradores de sitios novatos usan un solo usuario de base de datos, cualquier motor de base de datos que se respete maneja usuarios y estos usuarios pueden tener ACL aka Listas de acceso. El más usado para desarrollo WEB es MySQL y MySQL soporta perfectamente ACL

Crea N cantidad de usuarios para un mismo sitio WEB, tantos como necesites, haz tu análisis. Por ejemplo Wordpress debe tener al menos 2 usuarios.

Cuando configuras Wordpress solo te pide uno, ¿ por que ? por que los programadores de wordpress y muchos CMS son estúpidos. Usan el mismo usuario de la DB para los visitantes como para las conexiones administrativas. Por eso te lo repetiré de nuevo, NUNCA CONFIES EN EL PROGRAMADOR.

En que universo el sentido común dicta que un usuario de DB debe tener los permisos para insertar del lado del cliente que viene a visitar tu pagina WEB, solo le estas dando la oportunidad de hacer SQL Inyección.

Tomemos el caso de WordPress

¿ Que necesita hacer un visitante. ?

¿Un visitante escribe artículos?
No en la mayoría de los casos, los wordpress son personales y solo el autor escribe en el.
¿Un visitante escribe comentario?
Si, en la mayoría de los casos SI.

¿ Que hacer ?

La tabla de artículos debe ser de solo lectura, solo deben permitirse los selects, la tablas de comentarios deben poder escribir, ahí se debe permitir los inserts, pero solo eso. No updates, no delete, ni nada más que un simple y sencillo insert

¿ Que necesita hacer un autor de un sitio WordPress ?

El autor si debe poder hacer lo que quiera, borrar, modificar, escribir, ETC, pero por sentido común, esto lo hará con otra cuenta de usuario de MySQL ligada a su portal y a las tablas que interesa que pueda modificar. Con otra instancia del portal Wordpress, un clon del portal que solo es accesible para el autor delimitándolo a una red o incluso a una sola ip

Este sencillo análisis a WordPress lo puedes aplicar para otros CMS o para desarrollos privados, sean WEB o Apps. Analiza y toma medidas

5) El Internet, no permitas que te usen para atacar otros sitios.

En la mayoría de los casos un servidor WEB recibe conexiones y envía datos por conexiones que un cliente remoto abrió. Nunca las conexiones proceden de INICIO del servidor WEB hacia internet. Si esto en la GRAN, GRAN, GRAN mayoría de los casos es así que no tiene sentido permitir que un servidor WEB inicie una conexión a otro servidor WEB, con tu firewall bloquea cualquier conexión saliente por el puerto 80 TCP y en el remoto caso de que realmente necesites iniciar una conexión desde el servidor, traza tu ruta a que host especifico debe permitírsele llegar a esa conexión y fuera de esa “lista blanca” no debe poder realizar conexiones a ningún lado

6) Desnuda a tu atacante y mitiga DDoS

Muchos sitios que son hackeados son paginas de gobierno y muchos son gobiernos locales, muchas empresas, son empresas con un mercado local. Debes preguntarte lo siguiente, en serio a alguien en china le importa lo que el presidente municipal de un pueblo olvidado de Oaxaca, Tabasco, Yucatán, Querétaro o cualquier otro estado de la republica; tenga que decir.

No la verdad es que a veces lo que dicen en la página de gobierno no le importa ni a sus propios ciudadanos. Para lo único que sirven esos sitios es para que ataques lamers y lamers en si ganen fama ya que los medios dan difusión del ataque como si fuera la gran cosa.

Si a sus propios ciudadanos no les importa, porque le habría de importar a alguien en China, Japón o cualquier otro país. No permitas conexiones de lugares que no necesitan saber de ti, en el caso de páginas de gobierno. Lo ideal es que solo permite conexiones de tu estado, pero siendo más flexibles, solo permite conexiones procedentes de México, ¿no sabes cuales ips permitir? Te lo voy a facilitar, descarga aquí la lista de redes ips homologadas mexicanas.

Este consejo se llama desnuda al atacante, ¿Por qué? Porque la mayoría de los atacantes son cobardes, intentaran usar Tor u otras conexiones que conmutar sus ips, la mayoría de esas ips son de Francia y otros países debido al onion routing del tor. Si tu solo permites conexiones nacionales, si un atacante quiere hacerlo, tendrá que quitarse el Tor, tendrá que dar “la cara” y su ip que podrás bloquear con un solo click

Como mitigas el DDoS

Los DDoS importantes son hechos por grupos de personas o botnets en el mundo, la gran mayoría del ataque vendrá del extranjero, si tus conexiones solo permiten trafico nacional, tal vez ni siquiera te enteres que estabas bajo ataque DDoS haciendo quedar en ridículo a muchos hackers

Existen muchas más opciones para hacer tan difícil un ataque a tus sitios pero ya con estos consejos puedes hacerle la vida infernal a pseudo hackersitos.

La seguridad se aplica con sentido común, usa tu sentido común aunque sea el menos común de los sentidos.

a39

Felicidades Roberto Flores ¿ Que hace un Hacker con una Quena ?

Administrator — Mon, 01 Apr 2013 07:04:52 +0000

Pues tocarla

Pocas cosas son tan interesantes como agarrar fiesta e incluir bebidas etílicas con personas del nivel de Robert. Tal vez por eso me gusta tanto asistir a los congresos del X.25 porque es interesante platicar con gente a quienes si le patina la cabeza.

Estos videos son de la celebración de mi amigo Roberto Flores.

Roberto es un programador entre otras cosas que le hacen dominar varios temas su único defecto es que igual es un macboy. Algún defecto tendría que tener, así que además de felicitarlo no puedo dejar la oportunidad de trolearlo. Algunos de los videos que tome, lo hice con el Iphone y con el Galaxy para mostrarle la nitidez de imagen. La saturación de color no me gusta en el Galaxy, pero la nitidez y la definición si, los colores me gustan más en el Iphone pero la imagen se vuelve borrosa.

Cuando no le hace al hacker, también le entra la música, pero música algo mas romántica mas cerca de la trova y el géneros raros y extraños que no conozco pero que igualmente me gustan como suenan.

¿ Que hacemos la gente normal si no sabemos ni tocar la Quena ?… pues filmamos.