Eicar Test File

Podemos construir un archivo en el bloc de notas con las siguientes líneas para probar que nuestro antivirus esté funcionando correctamente:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Al intentar guardar este archivo en el disco duro el antivirus debe reaccionar inmediatamente.

Eicar Test File

Tomado de: http://www.eicar.org/anti_virus_test_file.htm

Julio 8, 2009
Categorías: Seguridad Informática, Windows . . Autor: juliorestrepo . Comentarios: Deja un comentario

3 Políticas Anti-Conficker

El procedimiento paso a paso para la implementación puede encontrarse en http://support.microsoft.com/kb/962007
*-*-*-*-*-*-*-*-*

Política # 1.

Descripción: Modificar los permisos NTFS de la siguiente clave de Regedit en todos los equipos de la red:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

Justificación: Cubrir la falencia que actualmente presentan los antivirus al respecto (La política se está aplicando en WARN-ONLY MODE para toda la red).

Would be blocked by access protection rule  (rule is in warn-only mode) (Common Maximum Protection:Prevent programs registering as a service).

Comentarios:

· Bastante relevante esta última política debido a esta vulnerabilidad permite que Conficker se registre como un servicio de la máquina (Ver imagen)

*-*-*-*-*-*-*-*-*

Política # 2.

Descripción: Desactivar Reproducción Automática mediante un GPO (gpedit.msc en grupos de trabajo)

Justificación:

· Cubrir la falencia que actualmente presentan los antivirus al respecto (La política se está aplicando en WARN-ONLY MODE para toda la red).

Would be blocked by access protection rule  (rule is in warn-only mode) (Common Maximum Protection:Prevent programs registering to autorun).

Comentarios:

· De esta forma es como la Tarea Programada de %windir%\Tasks y %windir%\Tareas logra lanzar el EJECUTABLE de Conficker en el sistema.

*-*-*-*-*-*-*-*-*

Política # 3.

Descripción: Modificar los permisos NTFS de las siguientes carpetas en todos los equipos (Puede ser complicado en grupos de trabajo… aún en investigación de mi parte)

· %windir%\Tareas

· %windir%\Tasks

Justificación: Se ha detectado que Conficker explota esta carpeta con el propósito de generar una tarea que deniege el servicio SERVER en cualquier equipo que sea alcanzable en la red.

5/27/2009           10:00:00 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At12.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At1.job     W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At10.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At11.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At13.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At14.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At15.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At16.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At17.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At18.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At19.job  W32/Conficker.worm!job (Virus)

Comentarios:

· De esta forma es Conficker está infectando en primera instancia a toda la red.

Junio 30, 2009
Categorías: Redes, Seguridad Informática, Windows . Etiquetas:, , , , . Autor: juliorestrepo . Comentarios: Deja un comentario

Cómo quemar una imagen ISO desde la consola en Linux

Comentario: Opción demasiado útil para esos momentos en los que (ups…) no tenemos un servidor X11 activo, ni un KDE, ni un GNOME, ni ningún entorno gráfico…

Pre-requisitos: Tener instalada la aplicación “cdrecord”

Paso # 1: Identificar en que BUS se encuentra nuestro quemador

#  cdrecord -scanbus
Cdrecord 1.8 (i686-pc-linux-gnu)
Using libscg version 'schily-0.1'
scsibus0:
	0,0,0	  0) 'SEAGATE ' 'ST36530W
	0,1,0	  1) 'SEAGATE ' 'ST39173W
	0,2,0	  2) *
	0,3,0	  3) *
	0,4,0	  4) 'HP      ' 'CD-Writer+ 9200'
	0,5,0	  5) *

Lo anterior significa que nuestro quemador está ubicado en el bus 0,4,0

Paso # 2

# cdrecord -v -pad speed=16 dev=0,4,0 /home/user/imagen_a_quemar.iso

Donde speed=16 es la velocidad a la cual grabaremos el CD y dev=0,4,0 es nuestro quemador.

Más información:

#  cdrecord -scanbus
Cdrecord 1.8 (i686-pc-linux-gnu) Copyright (C) 1995-2000 J�rg Schilling
Using libscg version 'schily-0.1'
scsibus0:
	0,0,0	  0) 'SEAGATE ' 'ST36530W        ' '1498' Disk
	0,1,0	  1) 'SEAGATE ' 'ST39173W        ' '6244' Disk
	0,2,0	  2) *
	0,3,0	  3) *
	0,4,0	  4) 'HP      ' 'CD-Writer+ 9200 ' '1.0c' Removable CD-ROM
	0,5,0	  5) *
	0,6,0	  6) *
	0,7,0	  7) *

Junio 30, 2009
Categorías: Linux, Software Libre . Etiquetas:, , , , . Autor: juliorestrepo . Comentarios: Deja un comentario

MyIsam vs InnoDB

Tanto MyISAM como INNODB son tecnologías de almacenamiento de datos, es decir, la forma como un DBMS (en este caso MySQL) se comunica con un Medio de Almacenamiento de Información (Disco Duro, SAN, etc…)

MyISAM: Para entornos con MUCHAS LECTURAS y pocas escrituras. (Bases de Datos NO_Transaccionales)

INNODB: Para entornos con MUCHAS ESCRITURAS y pocas lecturas. (Bases de Datos Transaccionales)

Diferencias Técnicas:

  • MyISAM es muy rápido para las operaciones SELECT mientras que INNODB es mejor para operaciones INSERTs, UPDATEs y DELETES.
  • MyISAM realiza bloqueo de Tablas, mientras que INNODB bloquea registros (lo cual permite varias escrituras simultáneas por tabla).

Sin conocer mucho del tema, me queda la siguiente impresión:

  • Para Bases de Datos que involucren muchos usuarios y muchas modificaciones es mejor usar INNODB.
  • Para Bases de Datos que involucren pocos usuarios y muchas lecturas es mejor MyISAM.
  • Por seguridad e integridad de la información recomendaría INNODB, ya que está diseñado para ACID (Atomicity, Consistency, Isolation and Durability) …. Posiblemente INNODB es la tecnología que todos debamos usar si queremos pensar seriamente en bases de datos.

Importante leer los siguientes vínculos:

http://softlibre.barrapunto.com/article.pl?sid=07/11/13/0921211

http://www.tufuncion.com/myisam-vs-innodb

http://luauf.com/2008/07/06/mysql-myisam-vs-innodb/

http://markmail.org/message/crdtychhgof7b5ik

Junio 29, 2009
Categorías: Bases de datos, Redes . Etiquetas:, , , , . Autor: juliorestrepo . Comentarios: Deja un comentario

Página anterior Entradas siguientes »