Menéame: comentarios [1448354]

#15 Divertida conferencia de Chema Alonso, experto en seguridad informática

--125581-- — Fri, 25 Nov 2011 17:27:04 +0000

#14 No , pero está una jaula CHROOT de ports.

» autor: --125581--

#14 Divertida conferencia de Chema Alonso, experto en seguridad informática

rodivi — Fri, 25 Nov 2011 16:30:33 +0000

#13 que si, pero que sigues siendo vulnerable quieras o no.

Ya puedes instalar todas las actualizaciones de seguridad que quieras que por definición todas ellas salen después de haberse descubierto la vulnerabilidad. Siempre hay un periodo de tiempo en el que estás expuesto, que puede ser mínimo para un paquete concreto pero que, analizándolo como un fujo contínuo de errores/soluciones, te convierte en un blanco vulnerable la mayor parte del tiempo si hay un interés especial en acceder a tu máquina y una persona capacitada detrás de ese interés.

Minimizas, que es a lo que voy, nunca, jamás, imposibilitas.

Celo y listo, imposible

Edit: y ese skype, también es compilado?

» autor: rodivi

#13 Divertida conferencia de Chema Alonso, experto en seguridad informática

--125581-- — Fri, 25 Nov 2011 15:15:12 +0000

#12 Uso mis propias DNS cacheadas y enlazadas con las de OpenNIC por si acaso. Y te repito, que con portaudit compruebo y registro todas mis vulnerabilidades en mi sistema.

----------------------------------
[ander@pcbsd-2462] /usr/ports/net-im/skype# portaudit -aFv
Attempting to fetch from portaudit.FreeBSD.org/.
auditfile.tbz 100% of 71 kB 32 kBps
New database installed.
Affected package: linux-f10-flashplugin-10.3r183.10 (matched by linux-f10-flashplugin<10.3r183.11)
Type of problem: linux-flashplugin -- multiple vulnerabilities.
Reference: portaudit.FreeBSD.org/0e8e1212-0ce5-11e1-849b-003067b2972c.html

Affected package: gnutls-2.12.11 (matched by gnutls<2.12.14)
Type of problem: gnutls -- client session resumption vulnerability.
Reference: portaudit.FreeBSD.org/bdec8dc2-0b3b-11e1-b722-001cc0476564.html

Affected package: libxul-1.9.2.23 (matched by libxul>1.9.2.*<1.9.2.24)
Type of problem: mozilla -- multiple vulnerabilities.
Reference: portaudit.FreeBSD.org/6c8ad3e8-0a30-11e1-9580-4061862b8c22.html

Affected package: freetype2-2.4.6 (matched by freetype2<2.4.7)
Type of problem: freetype -- Some type 1 fonts handling vulnerabilities.
Reference: portaudit.FreeBSD.org/54075e39-04ac-11e1-a94e-bcaec565249c.html

4 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.
----------------------------------
portupgrade -ai .

Listo .

» autor: --125581--

#12 Divertida conferencia de Chema Alonso, experto en seguridad informática

rodivi — Fri, 25 Nov 2011 15:13:42 +0000

#11 no, en serio, sigues sin coger el concepto

Con todas esas medidas, que me parecen estupendas, consigues minimizar el riesgo. Hacerlo prácticamente inabordable o directamente hacer que no compense. Pero nunca, nunca, jamás, estarás completamente a salvo en cuanto que no has leído y aunque lo hubieras hecho no tienes la capacidad de comprobar que cada una de las cientos de miles de líneas de código de tus sistemas son seguras.

Usarás cablemodem pero no sabes si las DNSs de Euskaltel han sido comprometidas, por ejemplo.

Yo, con un papel y un celo, sí que tengo esa seguridad completa a un coste (entendido como esfuerzo) ridículo.

» autor: rodivi

#11 Divertida conferencia de Chema Alonso, experto en seguridad informática

--125581-- — Fri, 25 Nov 2011 12:35:02 +0000

#9 Te lo resumo: simplemente con una regla que puede cambiar en FreeBSD de forma muy sencilla, ya el atacante lo tiene chungo; y si ya lo complementas con más cosas, tendrás una fortaleza.

-1 Permanently insecure mode - always run the system in insecure mode.
This is the default initial value.

0 Insecure mode - immutable and append-only flags may be turned off.
All devices may be read or written subject to their permissions.

1 Secure mode - the system immutable and system append-only flags may
not be turned off; disks for mounted file systems, /dev/mem and
/dev/kmem may not be opened for writing; /dev/io (if your platform
has it) may not be opened at all; kernel modules (see kld(4)) may
not be loaded or unloaded.

2 Highly secure mode - same as secure mode, plus disks may not be
opened for writing (except by mount(2)) whether mounted or not.
This level precludes tampering with file systems by unmounting
them, but also inhibits running newfs(8) while the system is multi-
user.

In addition, kernel time changes are restricted to less than or
equal to one second. Attempts to change the time by more than this
will log the message ``Time adjustment clamped to +1 second''.

3 Network secure mode - same as highly secure mode, plus IP packet
filter rules (see ipfw(8), ipfirewall(4) and pfctl(8)) cannot be
changed and dummynet(4) or pf(4) configuration cannot be adjusted.

___________

portaudit -Fva . Con esto compruebo la seguridad de los ports.

» autor: --125581--

#10 Divertida conferencia de Chema Alonso, experto en seguridad informática

--125581-- — Fri, 25 Nov 2011 12:29:02 +0000

#9 "Basta con tomar el control de tu router"

- Uso cable modem, ando en una subred /16 mínimo de Euskaltel.
- Me bajo los ports de los repos oficiales, y los paquetes están supervisados para bajar el código fuente de máquinas bien verificadas ..(SourceForge, GitHub, Icculus.org,IDSoftware,FreeBSD.org...)
- Tengo el cortafuegos de BSD configurado correctamente. Aviso, PacketFilter es superior a Iptables. y eones de veces mejor que el de Windows.
Mi máquina no se tumba facilmente.De hecho, puedo modificar las cabeceras TCP para que engañen a todos los scanners automáticos y piensen que ando bajo Windows. Mira tú por dónde.
- Descargo módulos dinámicos del kernel. No interfaz= no acceso a a webcam.

En conclusión, no.

www.freebsd.org/doc/handbook/securing-freebsd.html

www.freebsd.org/cgi/man.cgi?query=security&sektion=7

sysctl -a | grep securelevel

» autor: --125581--

#9 Divertida conferencia de Chema Alonso, experto en seguridad informática

rodivi — Fri, 25 Nov 2011 11:28:21 +0000

#8 Su solución es la de más bajo coste y la más segura de todas, de eso no hay duda. Estoy completamente de acuerdo con él.

Basta con tomar el control de tu router para que ese repositorio que tu crees de confianza no sea tal sino un impostor. Nadie dará ninguna alarma sobre el repositorio original porque a él no le habrá pasado nada sino que te habrán atacado a tí personalmente usando tus recursos de red locales.

Hay muchas formas, muchas, de conseguir que instales o compiles código malicioso.

Como siempre habrá que reflexionar y llegar a unas soluciones equilibradas entre coste, tiempo y probabilidad de ser el objetivo de un ataque.

Este hombre debe ser blanco de muchos intentos y desde luego la mejor forma de ser inmune a todos y cada uno de ellos es tapar la webcam con un papelito.

De simple y efectivo me parece magistral

» autor: rodivi

#8 Divertida conferencia de Chema Alonso, experto en seguridad informática

--125581-- — Fri, 25 Nov 2011 10:31:53 +0000

#7 Tambien he recompilado GCC de los ports y bajado de un repositorio seguro (Sale la URL de descarga )

Si ocurriera alguna incidencia o ataque a ese servidor que hospeda código fuente libre, saldría a la luz en horas.

Este chaval ha hecho una solución tan penosa que da risa, tapar la webcam con cnta aislante en vez de desactivar el dispositivo en Windows desde el administrador de éste. Es que deja a Microsoft como un sistema operativo de juguete.

» autor: --125581--

#7 Divertida conferencia de Chema Alonso, experto en seguridad informática

rodivi — Fri, 25 Nov 2011 10:15:54 +0000

#6 confías plénamente en el código fuente de tu kernel? Y en tu compilador? Creo que entiendes el dilema

» autor: rodivi

#6 Divertida conferencia de Chema Alonso, experto en seguridad informática

--125581-- — Fri, 25 Nov 2011 07:43:59 +0000

#5 ¿Binario? Recompilar el kernel en FreeBSD (y quitar módulos que no sirvan) es 20000 veces más facil que en Linux .

www.freebsd.org/doc/es/books/handbook/kernelconfig-building.html

» autor: --125581--

#5 Divertida conferencia de Chema Alonso, experto en seguridad informática

rodivi — Fri, 25 Nov 2011 00:14:11 +0000

#4 confías plenamente en tu binario de rrmod?

» autor: rodivi

#4 Divertida conferencia de Chema Alonso, experto en seguridad informática

--125581-- — Thu, 24 Nov 2011 23:28:59 +0000

Tapa la webcam con celo. ¿ Angelito, no hay manera de deshabilitar el driver temporalmente en la familia NT de Windows?

En mi caso con "rrmod uvcvideo "en Linux o "kldunload cuse4bsd" en FreeBSD hago tal cosa.

» autor: --125581--

#3 Divertida conferencia de Chema Alonso, experto en seguridad informática

--287939-- — Thu, 24 Nov 2011 23:25:52 +0000

[Usuario deshabilitado]

» autor: --287939--

#2 Divertida conferencia de Chema Alonso, experto en seguridad informática

Kirchhoff — Thu, 24 Nov 2011 23:25:30 +0000

Sí, y además es ¡¡¡pro-Microsoft!!!

» autor: Kirchhoff

#1 Divertida conferencia de Chema Alonso, experto en seguridad informática

--250459-- — Thu, 24 Nov 2011 23:14:23 +0000

Pues para ser un gurú de seguridad de MS (ejem), no tiene mucha idea de cómo funciona el registro SPF... supongo que por eso no enseña el código de Gmail sobre la verificación de emisor. Es bastante engañoso tomarse a coña que Gmail no marque ese correo como spam, cuando posiblemente sea el registro válido del emisor el que lo haga pasar por los filtros (no basta con poner VIAGRA en el cuerpo o escribir en Hoygan). Muy Club de la Comedia, pero suena un poco Script kiddie

» autor: --250459--