cceder a sistemas Linux y Windows sin contraseñas de usuarios

junio 3, 2009

En seguridad informática hay un principio básico: “El acceso físico a la máquina es acceso total a esta”. Y con Kon-Boot podemos demostrar este principio, ya que nos permite acceder a sistemas Linux y Windows sin contraseñas de usuarios.

Kon-Boot no es intrusiva ya que no realiza ninguna modificación en el sistema que pueda ser detectada. Su funcionamiento se basa en parchear el núcleo del sistema cuando se carga en memoria al arrancar el equipo, anular todos los procesos de autentificación y abrir un acceso al sistema en modo root/Administrador.

Kon-Boot esta testeado en los siguientes sistemas:

Windows:
Windows Server 2008 Standard SP2 (v.275).
Windows Vista Business SP0.
Windows Vista Ultimate SP1.
Windows Vista Ultimate SP0.
Windows Server 2003 Enterprise.
Windows XP.
Windows XP SP1.
Windows XP SP2.
Windows XP SP3.
Windows 7.
Linux:
Gentoo 2.6.24-gentoo-r5.
Ubuntu 2.6.24.3-debug.
Debian 2.6.18-6-686.
Fedora 2.6.25.9-76.fc9.i686.

Se puede arrancar desde CD o desde un disquete.

Más información y descarga de Kon-Boot:
http://www.piotrbania.com/all/kon-boot/

Visto en http://vtroger.blogspot.com/

LEIDO EN :http://seguridad-informacion.blogspot.com/2009/05/acceder-sistemas-linux-y-windows-sin.html

Anuncios

Cómo se ven los fans de Linux, Mac y Windows los unos a los otros

mayo 13, 2009

Percepciones


¿C++ y Java casi muertos?

mayo 11, 2009

FonolaMe gustaría hablar de los legados que nos han dejado C++ y Java. Se menciona muchas veces errores en el diseño de ambos, aunque si hacemos una retrospectiva en forma positiva podemos concluir que los dos lenguajes tuvieron  un papel importante en la evolución de los lenguajes de programación y nos han dejado un legado importante y positivo.

Entonces, ¿no será muy temprano para hablar de sus legados? ¿O quizás pensamos que estos lenguajes están ya en su período de decadencia?

C++

Eckel, un miembro formado de C++ Standadrs Committee recordó la decisión tomada en relación a la compatibilidad con versiones anteriores del lenguaje con C desde el comienzo:

Para comprender porqué el lenguaje puede ser desagradable y complicado, y a la vez contar con un buen diseño, es necesario tener en cuenta la primer decisión de diseño que afecta a todo en C++: compatibilidad con C. Stroustrup deció -y al parecer de forma correcta- que la forma  de hacer que la gran masa de programadores de C cambien a objetos era hacer que eso fuese transparente: permitir que ellos pudiesen compilar sus códigos en C sin tener que cambiarlos para C++.

Mientras que C++ ha tenido éxito en atraer a la mayoría de los desarrolladores de C a C++, la decisión sobre la compatibilidad tiene un severo impacto negativo en la evolución del lenguaje:

Lla compatibilidad con C fue una gran limitación, y siempre ha sido la mayor fuerza de C++ … y su perdición. Eso es lo que ha hecho que C++ fuera un éxito y eso es lo que hizo que fuese complejo de la forma que lo es.

Por ejemplo, reconoce que el operador de sobrecarga es difícil de utilizar en C++:

Quienes no entienden C++ muy bien piensan que la sobrecarga de operadores es muy difícil para que los desarrolladores la usen de forma adecuada. Lo qué es básicamente cierto en C++, porque C++ tiene ambas: reserva de pila y reserva de heap, precisamos sobrecargar los operadores para poder manejar todas las situaciones y no causar pérdidas de memoria. De hecho, eso es difícil.

Por supuesto, estas declaraciones generan un debate. Archilleas Margaritis no cree que la compatibilidad con C sea un problema:

No creo que C++ no tenga un buen diseño debido a la compatibilidad con C. ADA es compatible con C, y es un lenguaje muy bueno, con un fuerte liderazgo de su concepción de ingeniería.

Lo que está mal en C++ es el nivel de compatibilidad de código fuente con C. Para que fuese posible incluir las cabeceras de C, C++ mantiene el sistema preprocesador de C. Esto llevó a una gramática extraña y sin contexto, lo que llevó a una sintaxis extraña que se tiene que mantener compatible con C.

Michele Costabirle considera que una de las fallas de C++ fue la falta de una librería normalizada desde el principio:

Creo que una pesada carga de C++ es la falta de una librería normalizada.

Si recuerdo bien, Stroustroup escribió en “El Diseño y la Evolución de C++”, que dejó de lado una librería normalizada en favor de la herencia múltiple. Creo que hubiera sido más ventajoso de la otra manera.

Se pueden decir muchas cosas respecto a C++, pero una cosa es cierta: C++ llevó a los programadores a subir un más alto en la escalera de la programación.

Java

Hablando de un lenguaje diferente en el mismo tono, Eckel reitera algunos errores de diseño cometidos en Java:

Durante muchos años, la línea del equipo de Java fue “la sobrecarga de operadores es algo demasiado complicado”. Esta y muchas otras decisiones muetran claramente que alguien no hizo la tarea en su casa, y es el motivo por el cual tengo la reputación de criticar muchas decisiones tomadas por Gosling y el equipo de Java. …

Los tipos primitivos “tienen que ser incluidos por eficiencia.” La respuesta correcta sería la de permanecer fiel a “Todo es un objeto” y proporcionar algún truco para realizar actividades de bajo nivel cuando hay una necesidad de eficiencia (lo que es cierto para tecnologías hotspot, que hacen las cosas más eficientes de una manera transparente, como evetuamente ocurriría) . Ah, y de paso no vayamos a utilizar el procesamiento de puntos flotantes directamente para calcular funciones transcedentales (en cambio, eso se hace en el software). …

Cuando escribí acerca de qué tan malo se hizo el diseño de los generics, obtuve la misma respuesta, junto con “tenemos que tener compatibilidad con las (demás) decisiones tomadas en Java anteriormente.” Últimamente cada vez más personas han adquirido experiencia con generics para ver cómo es realmente difícil de utilizar.

Bill Venners recuerda las cosas de manera diferente:

No estoy seguro de cuando me dio la impresión de que la elección de dejar la sobrecarga de operadores de lado fue hecha porque alguien no hizo la tarea en casa. Recuerdo preguntar a Gosling en una de mis entrevistas con él porque estaba dejando la sobrecarga de operadores de lado (no creo que esta pregunta y respuesta acabaran siendo publicada). Lo que él básicamente dijo fue lo mismo que le oí decir en otros contextos: Gosling consideró que el nivel de abuso de la sobrecarga de operadores que él vio en la práctica en otros lenguajes (no estoy seguro de si se estaba refiriendo sólo a C++ pero sin duda incluía a C++) había anulado los beneficios de la misma. Eso es todo. Fue una elección subjetiva de diseño.

James Watson favorece las limitaciones deliberadamente introducidas en Java:

Lo que hizo a Java un lenguaje de fácil adopción fue su simplicidad. Sí, en cualquier lenguaje podemos escribir código que es imposible de mantener, pero tendremos que trabajar duro para hacerlo en Java. Esto es porque no se ofrecen una serie de recursos fáciles de abusar, que otros lenguajes si ofrecen.

Desde una perspectiva individual, esto es terrible. Si no quiero utilizar una funcionalidad no la uso. ¿Quién es Sun para decirme lo que debo o no debo hacer? Pero cuando se considera a todo un grupo de desarrolladores que tienen ideas diferentes spbre lo que es un buen enfoque, el juego cambia. El tener un número limitado de formas de hacer las cosas comienza entonces a tener sentido.

Noel Grandin dijo lo suyo, ampliando aún más el debate incluyendo a nuevos lenguajes:

La mayoría de los otros lenguajes atrayentes como Ruby y Scala nunca serán los principales, y es proque están todos fuertemente sesgados en favor de escribir código, en lugar de leer código.

Java es correctamente equilibrado – Java puede ser expresivo y no tener una serie de funcionalidades legadas, y es muy fácil de averiguar lo que algún código aleatorio está haciendo.

Al final, Eckel habló sobre el legado de Java:

Java acercó el mundo del garbage collection a la mayoría de los desarrolladores, también a las máquinas virtuales y un modelo consistente de manipulación de errores (especialmente, si dejamos de lado las checked exceptions, que es una que puede ser utilizada como he mostrado en Pensando en Java, 4e) . Con todas sus fallas, Java nos elevó a un nivel superior, hasta al punto donde estamos ahora, y listos para lenguajes de niveles más altos.

El factor más positivo es preparar el camino para los lenguajes del futuro:

En cierto modo, C++ fue el lenguaje principal y las personas pensaron que siempre sería así. Muchos pensaron lo mismo respecto de Java, pero Java hizo tadavía más fácil sustituirse a sí mismo, a causa de la JVM. Ahora es posible que cualquiera cree nuevos lenguajes y los ejecute con tanta eficiencia como Java. … …

Y estamos viendo ocurrir esto – con lenguajes de alto nivel como Scala, y con lenguajes dinámicos como Groovy, JRuby y Jython. … …

El beneficio no es intencional, el verdadera brillo o genialidad accidental de Java es que fue creando un camino para su propia sustitución, aunque el propio Java haya alcanzado un punto donde ya no pueda evolucionar. Todos los lenguajes del futuro tienen que aprender de eso: crear una cultura en la que pueda haber refactorización (como Python y Ruby han hecho) o permitir el crecimiento de especies competitivas.

Conclusión

Java encendió muchas controversias cuando apareció, especialmente entre los desarrolladores de C++ y los nuevos desarrolladores de Java. Las voces se han calmado desde entonces, y ahora podemos ver claramente dónde estamos y cuál es el legado dejado por los dos lenguajes.

¿O quizás todavía es demasiado pronto para hablar de su legado? Hablar de “legado” suena como si fuesen lenguajes muertos o lenguajes que están muriendo. ¿Es así? ¿Qué lenguajes evolucionará para reemplazar a C++ y Java? (las opiniones son siempre bienvenidas).

Fuente:http://www.dosideas.com/reflexiones/560-ic-y-java-casi-muertos.html


Kon-Boot, arrancando windows sin contraseña

abril 30, 2009

Pretendía escribir un artículo técnico después de leer que se había lanzado una herramienta para arrancar sistemas Windows y Linux sin contraseña, me imaginaba que toparía con otro LiveCD de linux que monta el sistema de ficheros y saca los hash aplicándole posteriormente fuerza bruta, como OphCrack. Otra de las opciones más comunes es la sobre-escritura del fichero de contraseñas, con la que directamente al modificarlo cambiamos la antigua por una nueva. Como por ejemplo hace:

Offline NT Password & Registry Editor o Active Password Changer.

Kon-Boot es mucho más, Kon-Boot no necesita modificar ni montar el sistema de ficheros, no cambia ni trata de obtener la vieja contraseña. Ni si quiera requiere mínimos conocimientos. Como diría Miguel de Icaza, “hasta mi mama podría utilizar esta herramienta”.

La aplicación desarrollada para KryptosLogic por Piotr Bania, uno de los pesos pesados en esto de la seguridad, parchea directamente en memoria el kernel saltando el proceso de autenticación e introducciendonos directamente como Administrador/root del equipo.

Su uso es tan simple como arrancar con un CD o un Disquete y presionar la tecla de espacio. Lo siguiente que veremos es el equipo arrancado con el botón de Inicio esperando ser pulsado.

Muestro las dos únicas pantallas que se ven. Estas pantallas son informativas y no permiten realizar ninguna acción.

Fuente: http://www.securitybydefault.com/2009/04/kon-boot.html


Get a Mac – Nuevo anuncio

abril 30, 2009

Inmenso agujero de seguridad en el arranque de Windows 7

abril 27, 2009

Investigadores de seguridad hicieron una demostración de un agujero de seguridad en la siguiente versión de Windows, Windows 7, que se espera se lance este año. Los investigadores lograron colarse y tomar el control del sistema oeprativo aprovechando un fallo en el diseño de la máquina virtual de Windows 7. “No hay solución para esto. No puede ser arreglado. Es un problema de diseño” dijo Vipin Kumar, uno de los investigadores, que dijo que Microsoft asumía que el proceso de arranque de Windows 7 era “seguro”. Más información en PC advisor.

Fuente: http://www.faq-mac.com/noticias/35510/inmenso-agujero-seguridad-arranque-windows-7


Lanzan hoy la nueva versión de Internet Explorer

marzo 20, 2009

Microsoft lo define como “más rápido, más fácil y más seguro” y asevera que permite llegar a la información con menos clicks que el resto de los navegadores disponibles en el mercado

Ver galerias de imagenes

Microsoft Corp lanza la versión definitiva de su navegador Internet Xplorer 8 (IE8), la cual promete mayor velocidad y más seguridad que su antecesor.

Tras un año de versiones de pruebas públicas, hoy se lanza la nueva versión del navegador de Microsoft, que incluye una serie de características pensadas para intentar arañar parte del mercado perdido frente a otros, sobre todo Firefox de Mozilla.

Internet Explorer 8 es más fácil, más rápido y más seguro“, proclamó durante su presentación en Madrid Verónica Olocco, responsable de la División de Windows Client de Microsoft Ibérica, según El Mundo de España.

De acuerdo a unas pruebas realizadas por la propia compañía, IE8 es más rápido que la competencia (Chrome, Firefox) en la mayor parte de los sitios más visitados del mundo, gracias a mejoras como su optimización para JavaScript, por ejemplo. “Los tests son relativos, naturalmente”, comentó a continuación Olocco, quien añadió que “IE8 no se desarrolló para ser más rápido en el laboratorio, sino en casa”.

El navegador, del que se habló mucho en los últimos meses, estrena dos características muy remarcadas por Microsoft. Por un lado, la figura de los aceleradores, una función que permite seleccionar parte del texto de un sitio web y, como si se tratase del botón derecho del mouse, despliega una ventana (si se hace click en un botón que aparece sobre el texto seleccionado) que permite a su vez funciones variadas, desde localizar la dirección en un mapa hasta enviar un correo con esa información o traducir el propio texto sin abrir pestañas nuevas.

Por otro lado, IE8 presume su Web Slice, otra función que permite ver en la nueva pestaña de favoritos miniversiones de los sitios web seleccionados, sin necesidad de abrirlos.

Se trata de una función que requiere, por un lado, que el sitio web seleccionado en favoritos se haya adaptado (existe un kit de desarrollo para ello) y, por otro, que la propia función no esté deshabilitada. “Cualquier sitio web puede adaptarse con el kit de desarrollo para IE8 (IEK)”, apuntó Olocco.

La seguridad viene reforzada por dos herramientas. El filtro SmartScreen previene el phishing a través de avisos bastante grandes que alertan al usuario si éste aterriza en un sitio potencialmente inseguro. Además, el modo de navegación InPrivate borra el historial y evita la instalación de cookies. “El navegador se lanza con la seguridad predeterminada al máximo”, apuntó Olocco.

La versión se podrá descargar de internet a partir de hoy en varios países, en versiones para Windows XP (imprescindible el Service Pack 2) y Windows Vista, aunque la demostración fue realizada sobre Windows 7, el nuevo sistema operativo de Microsoft que saldrá a finales de año, según la compañía.

Por último, el navegador será naturalmente compatible con Silverlight, la plataforma multimedia online de Microsoft para juegos, videos, y animaciones dinámicas con gráficos avanzados, que compite con otras tecnologías como flash de Adobe.

Mientras prosigue la llamada guerra de los navegadores, tras las mejoras de Firefox y Safari y la aparición en el panorama de Chrome de Google, Microsoft mantiene un nuevo frente abierto con la Unión Europea, que teme un eventual abuso de posición dominante por parte de Microsoft.

Fruto de estas acusaciones fue la reciente respuesta de la compañía, que permitirá en Windows 7 desactivar el navegador. “Estaremos de acuerdo con lo que diga la Unión Europea en este aspecto”, comentó Juan Carlos Fernández, director general de consumo y online de Microsoft Ibérica.

Fuente: infobae.com