May 10

Seguridad .htaccess

En alguna oportunidad he mencionado la importancia de un archivo .htaccess con buenas reglas para una mayor seguridad en tu web y en este caso he visto una buena recopilación de reglas creadas por lo que yo llamaría un experto de seguridad web. En principio el archivo .htaccess utilizado por Apache no fue hecho para agregar seguridad a una página web, pero debido a su manejabilidad permite en muchos casos evitar accesos no auorizados. Las reglas son las siguientes:

RewriteEngine On
Options +FollowSymLinks

RewriteCond %{REQUEST_METHOD}  ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST}     ^.*(\\r|\\n|%0A|%0D).* [NC,OR]

RewriteCond %{HTTP_REFERER}    ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{HTTP_COOKIE}     ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{REQUEST_URI}     ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]

RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]

RewriteCond %{QUERY_STRING}    ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]

RewriteCond %{QUERY_STRING}    ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC]

RewriteRule ^(.*)$ access_log.php

El autor explica cada zona de las reglas en su tema así que yo también lo haré en base a lo que él explicó. El texto originalmente está en ingles y no pretendo hacer una traducción perfecta pero trataré de explicarlo a mi manera:

Primero colocamos la configuración básica para habilitar el mod_rewrite en apache:

RewriteEngine On
Options +FollowSymLinks

La siguiente regla deshabilita el banner de información de apache cuando envía un error como Not Found. Esta función es importante deshabilitarla ya que en algunas versiones de Apache o un apache mal configurado muestra información que podría ser de utilidad para un atacante como muestra la siguiente imagen:

Mostrar la versión de apache y los módulos instalados 8con sus respectivas versiones) podría ser un riesgo de seguridad enorme ya que un atacante podría buscar bugs conocidos para dicha versión (para mi caso habilitar esta función me envió un Internal Server Error así que no es soportada por mi servidor):

ServerSignature Off

Las reglas utilizan 2 flags distintas:

NC - No Case: No distingue mayúsculas o minúsculas
OR - Sip, O: Siguiente condición.

La primera regla está basada en el REQUEST_METHOD. El REQUEST_METHOD es la forma en que se conecta el cliente con nuestro servidor. Para mi caso solo necesito GET o POST, puede que para su caso sea distinto ;).

RewriteCond %{REQUEST_METHOD}  ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]

THE_REQUEST es la petición completa hecha por el usuario y consiste en una cadena larga. Esta es usada para sanar ya que no queremos que un usuario envíe una petición con doble línea lo cual podría permitir un CRLF Injection 😉

RewriteCond %{THE_REQUEST}     ^.*(\\r|\\n|%0A|%0D).* [NC,OR]

HTTP_REFERER puede contener caracteres que pueden ser usados para hacer una Pentest (Test de Intrusión) a una aplicación web. También podría permitir una intrusión de archivos así que bloqueamos los caracteres que no serán usados en peticiones legítimas:

RewriteCond %{HTTP_REFERER}    ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]

HTTP_COOKIE es igual de importante y ofrece un lugar para guardar el pentest caracteres lo que quiere decir que guarda en una cookie los caracteres.

RewriteCond %{HTTP_COOKIE}     ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]

REQUEST_URI Es importante para la protección del servidor. Sobre todo para proteger de problemas con OverFlows como sucede com Apache Tomcat. Para proteger de esto limitaremos a 9999 caracteres duplicados.

RewriteCond %{REQUEST_URI}     ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]

USER_AGENT Analiza el User Agent (navegador) desde donde se hace la petición. El bloquear algunos user puede evitar que accedan a nuestra web muchos bots atacantes (muy común los libwww) o también hacer peticiones desde WGET (gestor de descargas). Particularmente usaba una regla similar y desde que la implementé dejé de ver ataques de bots insertados en servidores vulnerados.

RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]

QUERY_STRING es probablemente lo más importante de todo porque aquí es donde suceden la mayoría de las cosas. Configurando de buena forma las reglas podemos evitar algunos XSS, algunos SQL Injection, y Remote Shell Injection.

RewriteCond %{QUERY_STRING}    ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC]

Finalmente si apache consiguiera alguna de las peticiones bloqueadas en la regla podemos redirigir al usuario a una página o directamente bloquear el acceso. Originalmente la regla está hecha para enviar al posible atacante a una página alojada en el servidor llamada access_log.php el cual podría contener un script o podría ser una página hecha por usted:

RewriteRule ^(.*)$ access_log.php

Para mi caso particular prefiero enviar un mensaje de acceso denegado con la siguiente regla:

RewriteRule ^(.*)$ - [F]

Eso enviará al posible atacante a una página de error 403 Forbidden o acceso denegado.

Las reglas me parecieron bastante chéveres a pesar de que yo ya usaba la mayoría había una que otra que no conocía y decidí agregar. Siempre es bueno que a su vez hagan una búsqueda más extensa de más reglas para bloquear accesos y a su vez aprendan a utilizar cada regla según su conveniencia.

Herramientas Onlie .htacceess: http://tools.dynamicdrive.com/

Fuente: http://util-pc.com

May 09

Hardening – Sistema de detección de intrusos Snort + MySQL + ACID

En el siguiente tutorial veremos paso a paso la instalación y configuración de Snort para que loguee sobre MySQL y así acceder mediante ACID ( Aplicación Web ) para el análisis de los Logs. Snort se autoactualizará y nos enviará informes diarios al buzón de correo

Descargar tutorial

May 09

Smart Whois



SmartWhois es una utilidad que proporciona información acerca de cualquier dirección IP, como por ejemplo el nombre de host, dominio, país, estado o provincia, nombre del ISP, etc.

A diferencia de otras utilidades de “Whois” estándar, SmartWhois puede obtener dicha información de un PC en cualquier parte del mundo, mostrando los datos obtenidos en cuestión de segundos.

Descargar Smart Whois

May 09

M.I.T.M – ARP SPOOFING

Antes de empezar a hablar sobre ARP SPOOFING, ¿Que es ARP ?

 

ARP (Address Resolution Protocol) Es un protocolo de la capa 3 del modelo OSI (Capa de red) responsable de “traducir” las direcciones IP correspondientes a las direcciones físicas (MAC).

Para que quede un poco más claro, vamos a plasmarlo en un ejemplo:

Tenemos 2 host, HOST1 (Dirección ip: 192.168.1.115) y HOST2 (Dirección ip: 192.168.1.102) HOST1 quiere mandar un archivo a HOST2, para que HOST1 cree un vínculo con HOST2 tiene que mandar un ARP request por toda la red.

– HOST1: Soy XX:XX:XX:XX:XX:XX con la dirección IP 192.168.1.115, Quién es: 192.168.1.102
– HOST2: Yo soy 192.168.1.102 con la dirección MAC: yy:yy:yy:yy:yy:yy

Sabiendo esto, HOST1 puede enviar directamente los datos a la dirección física de HOST2 y HOST2 a partir de ahora recuerda la dirección MAC de HOST1. Esto sucede porque se queda almacenada en la caché ARP.


Para más información consultar siempre Wikipedia o Google.


ARP SPOOFING: suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.

Herramientas ARP SPOOFING

Arpspoof (parte de las herramientas de DSniff), Arpoison, Cain and Abel, Ettercap y netcut son algunas de las herramientas que pueden usarse para llevar a cabo los ataques ARP Poisoning


Para aclararlo, pongamos otro ejemplo:


Escenario:


Router: 192.168.1.1

Víctima: 192.168.1.125

Atacante: 192.168.1.100

Para realizar el ataque mandaríamos repliques ARP al router (sin que el router haya solicitado nada).

¿Con esto qué conseguimos? Que el router asocie la dirección ip de nuestra víctima (192.168.1.125) con nuestra dirección física (MAC) y a su vez la víctima asociará la dirección ip del router 192.168.1.1 con la dirección física del atacante, por lo que la víctima nos estaría enviando sus datos.

Una vez explicado esto, vamos a la práctica:

Instalar Ettercap

sudo apt-get-install ettercap-gtk

una vez instalado vamos a editar el fichero /etc/etter.conf

sudo gedit /etc/etter.conf

y buscar las lineas y descomentarlas

redir_command_on = “iptables -t nat -A PREROUTING -i %iface -p tcp -dport %port -j REDIRECT -to-port %rport”

redir_command_off = “iptables -t nat -D PREROUTING -i %iface -p tcp -dport %port -j REDIRECT -to-port %rport”

sudo gedit /etc/etter.conf


Protección contra ARP SPOOFING

May 09

Footprinting – Explicacion basica de herramientas con Backtrack

Click here to enlarge


Hola a todos bueno esta post esta hecho especialmente para las personas que empiesan con esta gran herramienta que es el backtrack .. estare dando un a pequeña explicacion de cada una de estas herramientas bueno este es el primer post de explicacion mas adelante estare explicando cada ves mas herramientas … bueno y si tengo algun error en la explicacion seria bueno q me lo hagan saber bueno sin mas empesare con alguna de las mas basicas …

Host

la funcion de Host es mostrar la informacion de la ip del host remoto

Código:
bt ~ # host decs.es
decs.es has address 194.23.5.200
decs.es mail is handled by 10 mail.decs.es.

——————————————————————————————

Nslookup

la funcion de nslookup es dar a conocer el DNS del host remoto

Código:
bt ~ # nslookup 194.23.5.200
Server: 190.157.2.140
Address: 190.157.2.140#53

Non-authoritative answer:
200.5.23.94.in-addr.arpa name = ns365791.ovh.net.

Authoritative answers can be found from:
5.23.94.in-addr.arpa nameserver = ns12.ovh.net.
5.23.94.in-addr.arpa nameserver = dns12.ovh.net.


——————————————————————————————–

Traceroute

traceroute nodos por donde pasan los paquetes… es lo mismo q Tracert en windows

Código:
bt ~ # traceroute 94.23.5.200
traceroute to 94.23.5.200 (94.23.5.200), 30 hops max, 38 byte packets
1 Dynamic-IP-xxxxxxxxx.cable.net.co (xxxxxxxxxx) 11.544 ms 26.286 ms 10.061 ms
2 xxxxxxxxxxx (xxxxxxxxxx) 19.050 ms 16.296 ms 13.292 ms
3 Static-IP-xxxxxxxxxx.cable.net.co (xxxxxxxxx) 26.455 ms 26.868 ms 26.076 ms
4 * * *
5 bbint-miami-americas-2-pos4-0-0.uninet.net.mx (187.141.106.254) 76.224 ms 78.112 ms 77.235 ms
6 if-6-0.icore1.MLN-Miami.as6453.net (66.110.9.21) 84.462 ms * 98.792 ms
7 if-5-0-0-423.core3.MLN-Miami.as6453.net (66.110.9.10) 81.004 ms if-0-0-0-421.core3.MLN-Miami.as6453.net (66.110.9.2) 78.294 ms 87.517 ms
8 if-0-0-0.mcore4.NJY-Newark.as6453.net (209.58.104.2) 106.554 ms 107.233 ms 105.681 ms
9 if-1-0.mcore3.L78-London.as6453.net (195.219.144.9) 194.912 ms 180.625 ms 186.132 ms
10 if-1-0-0-2.mse1.LVX-London.as6453.net (195.219.144.26) 185.470 ms 184.717 ms 185.390 ms
11 if-13-1-0.mcore3.LDN-London.as6453.net (195.219.195.49) 182.766 ms 184.776 ms 185.196 ms
12 blan62.icore1.LDN-London.as6453.net (195.219.83.1) 202.928 ms 190.038 ms 182.866 ms
13 20g.ldn-1-6k.routers.ovh.net (94.23.122.121) 377.079 ms 20g.ldn-1-6k.routers.ovh.net (94.23.122.74) 225.225 ms 186.239 ms
14 20g.vss-1-6k.routers.chtix.eu (94.23.122.66) 189.381 ms * 223.702 ms
15 ns365791.ovh.net (94.23.5.200) 189.383 ms 187.665 ms 190.412 ms


——————————————————————————————-

Xprobe

El objetivo de esta herramienta para llevar a cabo la toma de huellas dactilares de remoto pilas TCP / IP Xprobe es un programa que nos permite la identificación remota del sistema operativo. Esto es lo que se conoce en inglés como remote active operating system fingerprinting

Código:
bt ~ # xprobe2 -v 94.23.5.200

Xprobe2 v.0.3 Copyright (c) 2002-2005 fyodor@o0o.nu, ofir@sys-security.com, meder@o0o.nu

[+] Target is 94.23.5.200
[+] Loading modules.
[+] Following modules are loaded:
[x] [1] ping:icmp_ping - ICMP echo discovery module
[x] [2] ping:tcp_ping - TCP-based ping discovery module
[x] [3] ping:udp_ping - UDP-based ping discovery module
[x] [4] infogather:ttl_calc - TCP and UDP based TTL distance calculation
[x] [5] infogather:portscan - TCP and UDP PortScanner
[x] [6] fingerprint:icmp_echo - ICMP Echo request fingerprinting module
[x] [7] fingerprint:icmp_tstamp - ICMP Timestamp request fingerprinting module
[x] [8] fingerprint:icmp_amask - ICMP Address mask request fingerprinting module
[x] [9] fingerprint:icmp_port_unreach - ICMP port unreachable fingerprinting module
[x] [10] fingerprint:tcp_hshake - TCP Handshake fingerprinting module
[x] [11] fingerprint:tcp_rst - TCP RST fingerprinting module
[x] [12] fingerprint:smb - SMB fingerprinting module
[x] [13] fingerprint:snmp - SNMPv2c fingerprinting module
[+] 13 modules registered
[+] Initializing scan engine
[+] Running scan engine
[-] ping:tcp_ping module: no closed/open TCP ports known on 94.23.5.200. Module test failed
[-] ping:udp_ping module: no closed/open UDP ports known on 94.23.5.200. Module test failed
[-] No distance calculation. 94.23.5.200 appears to be dead or no ports known
[+] Host: 94.23.5.200 is up (Guess probability: 50%)
[+] Target: 94.23.5.200 is alive. Round-Trip Time: 0.18929 sec
[+] Selected safe Round-Trip Time value is: 0.37858 sec
[-] fingerprint:tcp_hshake Module execution aborted (no open TCP ports known)
[-] fingerprint:smb need either TCP port 139 or 445 to run
[-] fingerprint:snmp: need UDP port 161 open
[+] Primary guess:
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.19" (Guess probability: 100%)
[+] Other guesses:
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.20" (Guess probability: 100%)
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.21" (Guess probability: 100%)
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.22" (Guess probability: 100%)
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.23" (Guess probability: 100%)
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.24" (Guess probability: 100%)
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.25" (Guess probability: 100%)
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.26" (Guess probability: 100%)
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.27" (Guess probability: 100%)
[+] Host 94.23.5.200 Running OS: "Linux Kernel 2.4.28" (Guess probability: 100%)
[+] Cleaning up scan engine
[+] Modules deinitialized
[+] Execution completed.

——————————————————————————————–

DNSmap

DNSmap es una herramienta basada en fuerza bruta , loque se haces es obtener los subdominios de un host

Código:
dnsmap - DNS Network Mapper by pagvac dnsmap - DNS Red por mapper pagvac
(http://ikwt.com, http://foro.elhacker.net) (http://ikwt.com, http://foro.elhacker.net)
Searching subhosts on domain victimluser.com Subhosts en la búsqueda de dominio victimluser.com

forum.victimluser.com forum.victimluser.com
IP Address #1:192.168.1.1 Dirección IP # 1:192.168.1.1

mail.victimluser.com mail.victimluser.com
IP Address #1:192.168.1.2 Dirección IP # 1:192.168.1.2

ftp.victimluser.com ftp.victimluser.com
IP Address #1:192.168.1.3 Dirección IP # 1:192.168.1.3

pop.victimluser.org pop.victimluser.org
IP Address #1:192.168.1.4 Dirección IP # 1:192.168.1.4

————————————————————————————————

DNStracer

DNStracer dnstracer determina que un determinado servidor de nombres de dominio (DNS) obtiene su información de, y sigue la cadena de los servidores DNS de nuevo a los servidores que saber los datos.

Código:
bt ~ # dnstracer dec.es
Tracing to dec.es via 190.157.2.140, timeout 15 seconds
190.157.2.140 (190.157.2.140)
|___ SUN.REDIRIS.es [es] (130.206.1.2)
| |___ sn0.publicinet.net [dec.es] (69.56.171.170) Got authoritative answer
| ___ sn1.publicinet.net [dec.es] (67.19.24.106) Got authoritative answer
|___ NS1.CRN.NIC.es [es] (195.81.201.11)
| |___ sn0.publicinet.net [dec.es] (69.56.171.170) (cached)
| ___ sn1.publicinet.net [dec.es] (67.19.24.106) (cached)
|___ NS1.CESCA.es [es] (84.88.0.3)
| |___ sn1.publicinet.net [dec.es] (67.19.24.106) (cached)
| ___ sn0.publicinet.net [dec.es] (69.56.171.170) (cached)
|___ NS-EXT.NIC.CL [es] (200.1.123.14)
| |___ sn1.publicinet.net [dec.es] (67.19.24.106) (cached)
| ___ sn0.publicinet.net [dec.es] (69.56.171.170) (cached)
|___ NS1.NIC.es [es] (194.69.254.1)
| |___ sn1.publicinet.net [dec.es] (67.19.24.106) (cached)
| ___ sn0.publicinet.net [dec.es] (69.56.171.170) (cached)
|___ NS3.NIC.FR [es] (192.134.0.49)
| |___ sn0.publicinet.net [dec.es] (69.56.171.170) (cached)
| ___ sn1.publicinet.net [dec.es] (67.19.24.106) (cached)
___ SNS-PB.ISC.ORG [es] (192.5.4.1)
|___ sn1.publicinet.net [dec.es] (67.19.24.106) (cached)
___ sn0.publicinet.net [dec.es] (69.56.171.170) (cached)

———————————————————————————————-

Dig

es un instrumento flexible para interrogar a los servidores de nombres DNS. Realiza búsquedas de DNS y muestra las respuestas que se devuelve desde el servidor de nombres (s) que se preguntó.La mayoría de los administradores de DNS uso excavar

Código:
bt ~ # dig

; <<>> DiG 9.4.1 <<>>
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12331
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13

;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 463603 IN NS B.ROOT-SERVERS.NET.
. 463603 IN NS G.ROOT-SERVERS.NET.
. 463603 IN NS J.ROOT-SERVERS.NET.
. 463603 IN NS M.ROOT-SERVERS.NET.
. 463603 IN NS A.ROOT-SERVERS.NET.
. 463603 IN NS F.ROOT-SERVERS.NET.
. 463603 IN NS E.ROOT-SERVERS.NET.
. 463603 IN NS K.ROOT-SERVERS.NET.
. 463603 IN NS L.ROOT-SERVERS.NET.
. 463603 IN NS D.ROOT-SERVERS.NET.
. 463603 IN NS H.ROOT-SERVERS.NET.
. 463603 IN NS C.ROOT-SERVERS.NET.
. 463603 IN NS I.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
A.ROOT-SERVERS.NET. 118037 IN A 198.41.0.4
B.ROOT-SERVERS.NET. 602369 IN A 192.228.79.201
C.ROOT-SERVERS.NET. 596594 IN A 192.33.4.12
E.ROOT-SERVERS.NET. 600198 IN A 192.203.230.10
F.ROOT-SERVERS.NET. 604371 IN A 192.5.5.241
G.ROOT-SERVERS.NET. 600198 IN A 192.112.36.4
H.ROOT-SERVERS.NET. 601397 IN A 128.63.2.53
I.ROOT-SERVERS.NET. 582297 IN A 192.36.148.17
J.ROOT-SERVERS.NET. 603971 IN A 192.58.128.30
J.ROOT-SERVERS.NET. 118037 IN AAAA 2001:503:c27::2:30
K.ROOT-SERVERS.NET. 595717 IN A 193.0.14.129
K.ROOT-SERVERS.NET. 600476 IN AAAA 2001:7fd::1
M.ROOT-SERVERS.NET. 586159 IN A 202.12.27.33

;; Query time: 41 msec
;; SERVER: 190.157.2.140#53(190.157.2.140)
;; WHEN: Sat Aug 15 16:26:31 2009
;; MSG SIZE rcvd: 460

bt ~ # dig

; <<>> DiG 9.4.1 <<>>
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12331
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13

;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 463603 IN NS B.ROOT-SERVERS.NET.
. 463603 IN NS G.ROOT-SERVERS.NET.
. 463603 IN NS J.ROOT-SERVERS.NET.
. 463603 IN NS M.ROOT-SERVERS.NET.
. 463603 IN NS A.ROOT-SERVERS.NET.
. 463603 IN NS F.ROOT-SERVERS.NET.
. 463603 IN NS E.ROOT-SERVERS.NET.
. 463603 IN NS K.ROOT-SERVERS.NET.
. 463603 IN NS L.ROOT-SERVERS.NET.
. 463603 IN NS D.ROOT-SERVERS.NET.
. 463603 IN NS H.ROOT-SERVERS.NET.
. 463603 IN NS C.ROOT-SERVERS.NET.
. 463603 IN NS I.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
A.ROOT-SERVERS.NET. 118037 IN A 198.41.0.4
B.ROOT-SERVERS.NET. 602369 IN A 192.228.79.201
C.ROOT-SERVERS.NET. 596594 IN A 192.33.4.12
E.ROOT-SERVERS.NET. 600198 IN A 192.203.230.10
F.ROOT-SERVERS.NET. 604371 IN A 192.5.5.241
G.ROOT-SERVERS.NET. 600198 IN A 192.112.36.4
H.ROOT-SERVERS.NET. 601397 IN A 128.63.2.53
I.ROOT-SERVERS.NET. 582297 IN A 192.36.148.17
J.ROOT-SERVERS.NET. 603971 IN A 192.58.128.30
J.ROOT-SERVERS.NET. 118037 IN AAAA 2001:503:c27::2:30
K.ROOT-SERVERS.NET. 595717 IN A 193.0.14.129
K.ROOT-SERVERS.NET. 600476 IN AAAA 2001:7fd::1
M.ROOT-SERVERS.NET. 586159 IN A 202.12.27.33

;; Query time: 41 msec
;; SERVER: 190.157.2.140#53(190.157.2.140)
;; WHEN: Sat Aug 15 16:26:31 2009
;; MSG SIZE rcvd: 460

———————————————————————————————————————————-

fierce

De dominio Fierce exploración nació de la frustración personal después de realizar una auditoría de seguridad en aplicaciones web. Es tradicionalmente muy difícil de descubrir grandes franjas de una red corporativa que no es contigua. Es terriblemente fácil de ejecutar un escáner en contra de un rango de direcciones IP, pero si los rangos de IP están muy lejos uno del otro que se puede perder grandes trozos de redes.

Código:
bt fierce # perl fierce.pl -dns dec.es
DNS Servers for dec.es:
sn0.publicinet.net
sn1.publicinet.net

Trying zone transfer first...
Testing sn0.publicinet.net
Request timed out or transfer not allowed.
Testing sn1.publicinet.net
Request timed out or transfer not allowed.

Unsuccessful in zone transfer (it was worth a shot)
Okay, trying the good old fashioned way... brute force

Checking for wildcard DNS...
Nope. Good.
Now performing 1895 test(s)...
67.19.24.106 ftp.dec.es
127.0.0.1 localhost.dec.es
67.19.24.106 mail.dec.es
67.19.24.106 www.dec.es

Subnets found (may want to probe here using nmap or unicornscan):
127.0.0.0-255 : 1 hostnames found.
67.19.24.0-255 : 3 hostnames found.

Done with Fierce scan: http://ha.ckers.org/fierce/
Found 4 entries.

Have a nice day.

—————————————————————————————————————————————-

TCPTracer

Código:
bt ~ # tcptraceroute 94.23.5.200
Selected device eth0, address 186.82.43.125, port 57546 for outgoing packets
Tracing the path to 94.23.5.200 on TCP port 80 (http), 30 hops max
1 Dynamic-IP-xxxxxxxxx.cable.net.co (xxxxxxxx) 9.912 ms 12.177 ms 19.300 ms
2 xxxxxxxxxxxxxxx 11.631 ms 14.402 ms 11.508 ms
3 Static-IP-xxxxxxxxxxcable.net.co (xxxxxxxxxxx) 26.259 ms 26.580 ms 25.277 ms
4 * * *
5 bbint-miami-americas-2-pos4-0-0.uninet.net.mx (187.141.106.254) 76.444 ms 75.241 ms 76.762 ms
6 if-6-0.icore1.MLN-Miami.as6453.net (66.110.9.21) 90.716 ms 91.147 ms *
7 if-0-0-0-421.core3.MLN-Miami.as6453.net (66.110.9.2) 78.234 ms 77.222 ms 76.263 ms
8 if-0-0-0.mcore4.NJY-Newark.as6453.net (209.58.104.2) 130.242 ms 267.547 ms 170.154 ms
9 if-1-0.mcore3.L78-London.as6453.net (195.219.144.9) 180.382 ms 180.806 ms 179.638 ms
10 if-1-0-0-2.mse1.LVX-London.as6453.net (195.219.144.26) 186.137 ms 185.663 ms 194.932 ms
11 if-13-1-0.mcore3.LDN-London.as6453.net (195.219.195.49) 198.470 ms 204.828 ms 182.617 ms
12 blan62.icore1.LDN-London.as6453.net (195.219.83.1) 192.421 ms 194.849 ms 181.499 ms
13 20g.ldn-1-6k.routers.ovh.net (94.23.122.74) 188.192 ms 196.628 ms 187.976 ms
14 20g.vss-1-6k.routers.chtix.eu (94.23.122.66) 189.848 ms 186.503 ms 186.275 ms
15 ns365791.ovh.net (94.23.5.200) [open] 197.355 ms 183.518 ms 189.771 ms

By Progresive Death

May 09

Footprinting

Este footpriting es un proceso que se hace antes de hacer un ataque a alguna empresa. Consiste en  hacer una recopilación de toda la información necesaria para hacer un perfecto ataque intrusión, En esta parte del Footpriting es donde el atacante obtiene, reúne y organiza toda la información posible sobre su objetivo o su víctima, mientras más información obtiene con mayor precisión puede lanzar un ataque, información como:

•   Rango de Red y sub-red (Network Range y subnet mask)
•   Acertar maquinas o computadoras activas
•   Puertos abiertos y las aplicaciones que están corriendo en ellos.
•   Detectar Sistemas Operativos
•   Nombres de Dominios (Domain Names)
•   Bloques de Red (Network Blocks)
•   Direcciones IP específicas
•   País y Ciudad donde se encuentran los Servidores
•   Información de Contacto (números telefónicos, emails, etc.)
•   DNS records

Mucha de la información, antes mencionada, como Domain Names, algunas direcciones IP, País, Ciudad, e información de contacto los Crackers la obtienen buscando en las bases de datos de WHOIS.
Las bases de datos WHOIS mantienen detalles de direcciones IP registradas en 5 regiones del Mundo. Estas bases de datos son manejadas por 5 organizaciones llamadas Regional Internet Registry (RIR).
Las 5 bases de datos WHOIS están localizadas en:
1. América del Norte (ARIN)
2. América del Sur, América Central y el Caribe (LACNIC)
3. Europa, el medio Este y Asia Central (RIPE NCC)
4. Asia del Pacifico (APNIC)
5. África (AfriNIC)

También se tocada algunos temas como la descripción de las tools (herramientas) , se hará una breve descripción sobre cada funcionamiento de cada una y un breve ejemplo.

¿qué Hace un hacker malicioso?

El Footpriting es el proceso de creación de un mapa de redes y de sistema una organización , es este proceso esta  incluido  la recopilación de información de cualquier medio, en el Footpriting se hace determinación de la target ( definición….) y después de ello hace un tipo de recopilación e información con métodos no intrusivos, una de las herramientas mas esenciales y primordiales es GOOGLE , es indispensable conocer (Como intittle, site, allinurl, etc) .

Junto al escaneo, enumeración y Footpriting es una de las tres etapas utilizada antes de hacer un ataque , en esta etapa se toma el 90% y el otro 10% si atacando. Los siete pasos que se toman antes del ataque  son divididos en las tres etapas nombradas anteriores:

–   Detectar  la información inicial
–   Ubicar el  rango de la red
–   Comprobación de los equipos activos
–   Descubricion de los puerto abiertos y puntos de acceso
–   Detención del sistema operativo
–   Descubricion de servicios en los puertos
–   Mapa de la red

El Footpriting se aplica en los dos primeros pasos de las etapas de un ataque de un hacker , algunas de las fuentes comunes de información incluyen el uso de :

–   Domain name lookup
–   Whois
–   Nslookup

La mayoría parte de la información  que puede recopilar libremente y de manera legal, es muy importante comprender el sistema de resolución de dominio (DNS) para lograr una profunda compresión de esta etapa y del funcionamiento de internet.

Inteligencia competitiva:

[/color]

Implica la averiguación de información sobre la competencia (productos, tecnologías, marketing, etc.) existen varias herramientas que pueden ser utilizadas para esto, la inteligencia competitiva incluye diversos temas como:

–   Recopilación de datos
–   Análisis de datos
–   Verificación de información
–   Seguridad de información

Existen muchas empresas privadas que ofrecen el servicio de inteligencia competitiva, buscando en internet la dirección de correo electrónica o el nombre de una empresa podemos entrar en las listas de correo, foros, etc. Información sobre la empresa de donde trabaja ( esta parte es unas de  las primordiales en el Footpriting), otra fuente de información de útil son las redes sociales y los sitios de empleos. En esta parte podemos hacer el uso de una herramienta llamada Wayback Machine.

Este es un simple ejemplo del funcionamiento de Wayback Machine, hay nos muestra las modificaciones q a tenido la pagina http://www.senado.gov.ar/ de 1997 hasta la fecha.

Enumeración de DNS

[/color]

El sistema de resolución de nombres permite básicamente transformar nombres de domino en direcciones IP, le corresponde a los RFC 1034 y 1035, la enumeración de DNS  es el proceso de ubicación de todos los servidores DNS y sus correspondientes registros de una organización, una compañía puede tener DNS internos y externos que pueden brindar diferentes datos del objetivo, el sistema DNS utiliza tres componentes principales:

–   Clientes DNS
–   Servidores DNS
–   Zonas de autoridad

El DNS cosiste en un conjunto jerárquico de servidores DNS, cada dominio o  subdominio tiene una o mas zonas de autoridad que publican la información acerca del dominio, la jerarquía de las zonas de autoridad coincide con la jerarquía de los dominios, al inicio de esa jerarquía se encuentra los servidores de raíz , que corresponden cuando se busca resolver un dominio de primer y segundo nivel, es posible utilizar herramientas varias y sitios web especializados para realizar esta etapa de enumeración de DNS, tal ves la herramienta elemental para la  enumeración  de DNS  es NSLookup, dispone en toso los  sistemas operativos.

Durante el año 2008 se encontraron diversas vulnerabilidades al sistema DNS y a una de las herramientas mas difundidas, es  muy  importante conocer esta parte de un  punto  de vista técnico e histórico.

DNS Zone Transfer:

Los datos contenidos en una zona DNS son sensibles por naturaleza, Individualmente, los registros DNS  no son sensibles, pero si  un atacante obtiene una copia entera de un dominio, obtiene una lista completa de todos los host de ese dominio, un atacante no necesita herramientas especiales para obtener una zona DNS este mal configurado y que permita a cualquiera realizar una transferencia de zona, en generalmente solo los servidores DNS  dependientes necesitan realizar transferencia de zona.

DNS Denial of Servicie:

Si un atacante puede realizar una transferencia de zona, también puede realizar ataques de denegación de servicio contra esos servidores DNS realizando múltiples peticiones.

Whois

Es una herramienta y  un protocolo que identifica información de registración de un dominio. Esta definido en el RFC 3912. El Whois evoluciono desde los primero Unix hasta los actuales. Las consultas se han  realizados tradicionalmente usando una interfaz de línea de comandos , pero actualmente existen multitud de paginas web que permiten realizar estas consultas, aunque siguen dependiendo internamente del protocolo original.
Utilizando el whois, es posible recopilar información de registro como ser el  nombre de la persona que realizo el registro, dominio , su correo electrónico, numero telefónico y  números IP de sus servidores principales, esta información puede atentar contra la integridad y la privacidad y permitir a los spammer capturar direcciones.las herramientas whois recogen información  sobre esta registración oficial  obligatoria.
Su base de datos incluye información sobre direcciones IP y datos del dueño de un sitio, Puede ser consultadas mediante  herramientas de whois o su propio sitio web. Un ethical hacker deberá conocer sobre direcciones IP y sobre como encontrar la ubicación geográfica y camino hacia un objetivo.

Órganos autorizados de asignación de números

[/b]

la IANA es el órgano responsable de la coordinación de algunos de los elementos clave que mantener el  buen funcionamiento de internet, si bien la internet es conocido  por ser una red mundial  libre del centro  de coordinación, existe una necesidad tenica  de algunas de las principales partes de internet para ser coordinada a nivel mundial y esta función esta a cargo de la IANA.
La IANA las diversas actividades se pueden agrupar en tres categorías:
Nombres de dominios: IANA administra el DNS raíz, el Int y. Arpa dominios IDN practicas y un recurso.
Numero de recursos: IANA coordina la reserva mundial de la propiedad intelectual y en forma de números proporcionándoles a los registros de internet.
Protocolos de asignaciones: Protocolo de internet, (los sistemas  de enumeración son gestionados por la IANA , en relación con los organismos de normalización.

Es una organización sin fines de lucro que opera nivel internacional, responsable de asignar espacio de direcciones numéricas de protocolo de internet (IP), identificadores de protocolo y de las funciones de gestión (o administración) del sistema de nombre sd de dominio de primer nivel genéricos ( gTLD ) y de códigos de funciones de gestión.

Entre otros.

Entidades de registro por región geográfica

[/b]

AFRINIC – Afrincan Network Información Centre ( http://www.afrinic.net )

AfriNIC es una organización no gubernamental y sin  fines de lucro basada en las membrecía de organización. Su principal función es servir a la región de áfrica como del registro regional de internet, como los otros cuatro continentes que tienen sus propios RIR.

ARIN – American Registry for Internet Numbers (http://ws.arin.net/whois )

Proporciona un mecanismo para encontrar el contacto y registro
Información registrada por los recursos con ARIN. Contiene la base de datos de propiedad intelectual  direcciones, números de sistema autónomo, las organizaciones o clientes que son. Asociados con estos recursos, y los Puntos de Contacto [POC].

El ARIN WHOIS  NO localiza cualquier información relacionada con el dominio, ni ninguna  información relativa a las redes militares. Localizar la información de dominio, y whois.nic.mil militar para la información de la red.

LACNIC – Latin America & Caribbean Network Information Center ( http://www.lacnic.net./  )

Administra recursos de numeración de internet contribuyendo a la creación de oportunidades de colaboración y cooperación en beneficio de la comunidad regional , la visión de esta entidad es ser líder en construccion y articulacion  de esfuerzos colaborativos para el desarrollo y estabilidad de internet en America latina y el caribe.

RIPE – Reseaux IP Europeens Network Coordinación Centre ( http://www.ripe.net/ )

Es una entidad encargada de distribuir y asignar los recursos de internet (IP4 y IP6 espacio de direcciones, sistemas autónomo  AS los números de delegaciones DNS invertida)  a las organizaciones en la región  de servicio de RIP NCC.

APNIC  – Asia Pacific Network Information Centre ( http://www.apnic.net/apnic-bin/whois.pl/ )

APNIC es un proceso abierto, basada en membrecía, sin fines de lucro. Es uno de los cinco Registros Regionales de Internet (RIR), encargada de asegurar la distribución justa y responsable de gestión de direcciones IP y los recursos conexos. Estos recursos son necesarios para el funcionamiento estable y fiable de la Internet mundial.

Herramientas

[/color][/size]

WEB DATA EXTRACTOR

Una utilidad de gran alcance del extractor de los datos del acoplamiento de la tela. Extraiga el URL, la etiqueta del meta (título, desc, palabra clave), el texto del cuerpo, el email, el teléfono, el fax de Web site, los resultados de la búsqueda o la lista de URLs. Extracción de alta velocidad, multi-roscada, exacta – ahorra directamente datos al archivo de disco. El programa tiene filtros numerosos para restringir la sesión, como – el filtro del URL, la fecha modificada, el tamaño del archivo, el etc. Permite niveles seleccionables por el usuario de la repetición, los hilos de rosca de la recuperación, descanso, la ayuda del poder y muchas otras opciones.

Nslookup

Nslookup es un programa, utilizado para saber si el DNS está resolviendo correctamente los nombres y las IP. Se utiliza con el comando nslookup, que funciona tanto en Windows como en UNIX para obtener la dirección IP conociendo el nombre, y viceversa.

HTTrack web Copier

Le permite descargar un sitio Web desde Internet a un directorio local, construyendo recursivamente todos los directorios, la obtención de HTML, imágenes y otros archivos desde el servidor a su ordenador. HTTrack organiza el sitio original en la estructura de enlaces relativos. Simply open a page of the “mirrored” website in your browser, and you can browse the site from link to link, as if you were viewing it online. Basta con abrir una página de los “espejos” en el sitio web de su navegador, y puede navegar por el sitio de un enlace a otro, como si estuviera viendo en línea. HTTrack can also update an existing mirrored site, and resume interrupted downloads. HTTrack también puede actualizar un sitio reflejado existente, y reanudar descargas interrumpidas. HTTrack is fully configurable, and has an integrated help system. HTTrack es totalmente configurable, y se ha integrado un sistema de ayuda

Tracert

Tracert envía un paquete de eco ICMP con el nombre de acogida, pero con un TTL de 1 y, a continuación, con un TTL de 2 y, a continuación, con un TTL de 3 y así sucesivamente. Tracert entonces obtener “TTL expiró en tránsito” mensaje de los destinos a los enrutadores hasta que el equipo host, finalmente se llega y responde con la norma ICMP “respuesta de eco” de paquetes.

Sam Spade

[/color]

Esta herramienta provee información sobre el DNS, WHOIS, IPBlock y permite hacer Ping, Dig, Trace, etc.


(pagina web)


(software)

Path Analyzer Pro

Analizador de ruta Pro ofrece avanzadas de red con la ruta de búsqueda de pruebas de rendimiento, DNS, Whois, y la red de resolución para investigar problemas de red. Mediante la integración de todas estas características de gran alcance en una sencilla interfaz gráfica, el Analizador de Ruta Pro se ha convertido en una herramienta indispensable para cualquier red, sistemas, profesionales o de seguridad en Windows y Mac OS X

Website Watcher

Es una utilidad para detectar si ha habido algún cambio en una pagina web que denote un actualización de la misma. Usando un mínimo de conexión , almacena las dos versiones de la pagina en la que se ha detectado el cambio y destaca los cambios producidos en el texto, dispone de multitud de filtros para ignorar cambios que no interesen  como por ejemplos nuevos banners, incluye también un gestor de favoritos integrado y se integra con internet Explorer, Netscape y opera

Autor: Progresive Death
Fuente: portalhacker

Herramientas en línea (Online) para Footprinting:

SamSpade www.samspade.org
Herramienta WHOIS

DNSstuff www..dnsstuff.com/
Múltiples herramientas para extraer información de los DNS

People Search People.yahoo.com
Buscador de personas e información de contacto

Intellius www.intellius.com
Buscador de persona e información de contacto

NetCraft www.netcraft.com
Detector de OS

Whois www.whois.org
Herramienta WHOIS

Herramientas de programas (software) para Footprinting:SamSpade www.softpedia.com/get/Network-Tools/Network-Tools-Suites/Sam-Spade.shtml

Esta herramienta provee información sobre el DNS, WHOIS, IPBlock y permite hacer Ping, Dig, Trace, etc.

SamSpade

Web Data Extractor Tool http://rafasoft.com/
Esta herramienta extrae data de los meta tags, enlaces, email, números telefónicos, fax, entre otras cosas y permite almacenarlos en el disco duro.

Spiderfoot http://binarypool.com/spiderfoot/
Esta herramienta provee información sobre sub-dominios, versión del web server, dominios similares, emails y bloques de red (Netblocks)

May 08

Tutorial OpenSSH

OpenSSH (Open Secure Shell) es un conjunto de aplicaciones que permiten realizar comunicaciones cifradas a través de una red, usando el protocolo SSH. Fue creado como una alternativa libre y abierta al programa Secure Shell, que es software propietario. El proyecto está liderado por Theo de Raadt, residente en Calgary.


Índice de contenido



Información de derechos reservados de esta publicación.                                                                                           ……………2
8.0 El Protocolo SSH ………………………………………………………………………………………………………………..5
8.1 Acerca de OpenSSH…………………………………………………………………………………………………………5
8.2 Instalación de OpenSSH……………………………………………………………………………………………………6
8.3 Configuración de OpenSSH………………………………………………………………………………………………6
8.3.1 Archivos de configuración del servidor ……………………………………………………………………….6
8.3.2 Archivos de configuración del cliente………………………………………………………………………….7
8.4 Configuración de fichero sshd_config………………………………………………………………………………..7
8.4.1 Blindando el fichero sshd_config………………………………………………………………………………..7
8.4.2 Cambiando el puerto………………………………………………………………………………………………….8
8.4.3 Protocolos ssh…………………………………………………………………………………………………………..8
8.4.4 Parámetro PermitRootLogin……………………………………………………………………………………….8
8.4.5 Parámetro X11Forwarding…………………………………………………………………………………………9
8.4.6 Parámetro LoginGraceTime……………………………………………………………………………………….9
8.4.7 Permitiendo AllowUsers…………………………………………………………………………………………….9
8.4.8 Iniciando el servicio SSH…………………………………………………………………………………………..9
8.5 Herramienta ssh……………………………………………………………………………………………………………..10
8.6 Herramienta scp……………………………………………………………………………………………………………..11
8.7 Herramienta sftp…………………………………………………………………………………………………………….13
8.8 Herramienta sshfs…………………………………………………………………………………………………………..14
8.8.1 Instalando sshfs y fuse……………………………………………………………………………………………..14
8.8.2 Configuración sshfs y fuse………………………………………………………………………………………..14
8.8.3 Montar unidad remota sshfs………………………………………………………………………………………15
8.8.4 Montar unidad vía fstab……………………………………………………………………………………………15
8.8.5 Montar unidad como usuario normal………………………………………………………………………….15
8.9 Bitácoras Openssh………………………………………………………………………………………………………….16



Descargar tutorial


Mirror: Descargar tutorial



May 08

Microsoft publicará dos boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office además de Microsoft Visual Basic for Applications. Pueden contener un número indeterminado de vulnerabilidades.

Si en abril se publicaron 11 boletines de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar sólo dos el próximo 11 de mayo. Se confirma la tendencia que últimamente sigue Microsoft, en la que un mes se publican entre más de diez boletines y al siguiente ciclo suelen hacerse públicos apenas 2 ó 4. Se consideran críticos los dos, (aunque como viene siendo habitual, en Windows Vista, 7 y 2008, el impacto es menor que en el resto de sistemas operativos). Recalcar también que 2008 y 7, no son vulnerables por defecto. Entre las mejoras de seguridad introducidas en estas versiones, la nueva política de “seguridad por defecto” que tan mal aplicó Microsoft desde sus inicios (o que directamente, obvió), está dando resultados.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que Microsoft no dará solución en esta tanda al problema de seguridad encontrado en SharePoint Server 2007 y Windows SharePoint Services 3.0. Hace pocas semanas, la empresa “High-Tech Bridge” publicó un fallo que afectaba a estos productos. Se trata e un cross-site scripting no persistente. Aunque en un principio no pueda parecer un problema grave, si la víctima visita un enlace enviado por el atacante, éste podría llegar a obtener sus privilegios de acceso al sitio SharePoint.

En este tipo de ataques la persona que lo perpetra realmente no consigue la contraseña de su víctima. En la suplantación de identidad que se lleva a cabo a través de los cross site scriptings no permanentes, normalmente la víctima visita un enlace al sitio SharePoint real, pero con unos parámetros en la URL especialmente manipulados con JavaScript. Al visitarlo, la víctima está enviando inadvertidamente la cookie de sesión al atacante. Éste solo debe visitar la página con la cookie de sesión de su víctima (lo que le permitirá entrar como si fuera él mientras no expire) y a continuación podrá cambiar la contraseña y bloquear el acceso al dueño legítimo.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Más Información:

Microsoft Security Bulletin Advance Notification for May 2010
http://www.microsoft.com/technet/security/bulletin/ms10-may.mspx