From carlos.martinez en csirt-antel.com.uy Mon Aug 3 10:48:55 2009 From: carlos.martinez en csirt-antel.com.uy (Carlos M. Martinez) Date: Mon, 03 Aug 2009 10:48:55 -0300 Subject: [LACNIC/Seguridad] =?iso-8859-1?q?La_votacion_est=E1_en_marcha?= Message-ID: <4A76EAC7.9010509@csirt-antel.com.uy> Estimados, la votacion está en marcha. Todos los suscriptos a la lista deberían haber recibido un correo privado con las instrucciones de como hacer efectivo el voto. Si alguno no lo tiene, les recomiendo verifiquen sus "correos no deseados" y en caso de no tenerlo se comuniquen con votacion en lacnic.net Vale decir que esto es valido a los suscriptos a la lista hasta el dia de ayer a las 18.00 hs UTC. slds Carlos From pcarretino en banelco.com.ar Mon Aug 3 10:53:52 2009 From: pcarretino en banelco.com.ar (Pablo Carretino) Date: Mon, 3 Aug 2009 10:53:52 -0300 Subject: [LACNIC/Seguridad] =?iso-8859-1?q?La_votacion_est=E1_en_marcha?= In-Reply-To: <4A76EAC7.9010509@csirt-antel.com.uy> References: <4A76EAC7.9010509@csirt-antel.com.uy> Message-ID: <7931E6D187283841AC2CFB11CA0632C70290C4AD36@SRVL036> Listo ya vote, mucha suerte. Abrazo. -----Mensaje original----- De: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net] En nombre de Carlos M. Martinez Enviado el: lunes, 03 de agosto de 2009 10:49 a.m. Para: Lista para discusión de seguridad en redes y sistemas informaticos de la región Asunto: [LACNIC/Seguridad] La votacion está en marcha Estimados, la votacion está en marcha. Todos los suscriptos a la lista deberían haber recibido un correo privado con las instrucciones de como hacer efectivo el voto. Si alguno no lo tiene, les recomiendo verifiquen sus "correos no deseados" y en caso de no tenerlo se comuniquen con votacion en lacnic.net Vale decir que esto es valido a los suscriptos a la lista hasta el dia de ayer a las 18.00 hs UTC. slds Carlos _______________________________________________ Seguridad mailing list Seguridad en lacnic.net https://mail.lacnic.net/mailman/listinfo/seguridad La información del presente documento es clasificada como Confidencial. From guilherme-network en hotmail.com Mon Aug 3 12:07:44 2009 From: guilherme-network en hotmail.com (=?iso-8859-1?Q?Guilherme_Pera=E7oli?=) Date: Mon, 3 Aug 2009 16:07:44 +0100 Subject: [LACNIC/Seguridad] =?iso-8859-1?q?La_votacion_est=E1_en_marcha?= In-Reply-To: <4A76EAC7.9010509@csirt-antel.com.uy> References: <4A76EAC7.9010509@csirt-antel.com.uy> Message-ID: Obrigado Carlos, já realizei meu voto. Lhe desejo boa sorte. Abraços. Guilherme _________________ > Date: Mon, 3 Aug 2009 10:48:55 -0300 > From: carlos.martinez en csirt-antel.com.uy > To: seguridad en lacnic.net > Subject: [LACNIC/Seguridad] La votacion está en marcha > > Estimados, > > la votacion está en marcha. Todos los suscriptos a la lista deberían > haber recibido un correo privado con las instrucciones de como hacer > efectivo el voto. > > Si alguno no lo tiene, les recomiendo verifiquen sus "correos no > deseados" y en caso de no tenerlo se comuniquen con votacion en lacnic.net > > Vale decir que esto es valido a los suscriptos a la lista hasta el dia > de ayer a las 18.00 hs UTC. > > slds > > Carlos > _______________________________________________ > Seguridad mailing list > Seguridad en lacnic.net > https://mail.lacnic.net/mailman/listinfo/seguridad _________________________________________________________________ Emoticons e Winks super diferentes para o Messenger. Baixe agora, é grátis! http://specials.br.msn.com/ilovemessenger/pacotes.aspx ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: From carlos.martinez en csirt-antel.com.uy Tue Aug 4 10:47:56 2009 From: carlos.martinez en csirt-antel.com.uy (Carlos M. Martinez) Date: Tue, 04 Aug 2009 10:47:56 -0300 Subject: [LACNIC/Seguridad] Alguien sufrio algun ataque de DNS? Message-ID: <4A783C0C.3030301@csirt-antel.com.uy> Hola a todos, ahora que han pasado algunos dias desde que se divulgo la vulnerabilidad del BIND 9, me preguntaba si alguno de los presentes observó ataques de este tipo en su red. slds y gracias Carlos From jjcano en yahoo.com Fri Aug 7 22:43:11 2009 From: jjcano en yahoo.com (Jeimy Cano) Date: Fri, 7 Aug 2009 18:43:11 -0700 (PDT) Subject: [LACNIC/Seguridad] =?iso-8859-1?q?Primer_Libro_de_Computaci=F3n_F?= =?iso-8859-1?q?orense_en_Espa=F1ol?= Message-ID: <105102.78664.qm@web51703.mail.re2.yahoo.com> Estimados profesionales y amigos, Me permito compartir con todos uds la publicación mi libro:Computación Forense - Descubriendo Los Rastros Informáticos. Esta es una obra que trata de desarrollar el tema forense en informática con palabras sencillas y buscando una masificación del tema en la comunidad latinoamericana. Esta nueva fuente de consulta ha sido el esfuerzo de varios años de experiencia e investigación, donde muchas personas han aportado para que las reflexiones y propuestas allí consignadas estuviesen en el contexto de la realidad de la región y de los retos exige una sociedad del conocimiento y la información. Espero que esta humilde propuesta académica y práctica sea de utilidad para todos uds. Sin otro particular y con mis más sentidos agradecimientos por todo lo que he aprendido y continuo aprendiendo... Datos de la Publicación ----------------------------------------------------------------------------------------------------------------------- http://www.alfaomega.com.mx/interiorProducto.php?seccion_product_id=5159 Titulo: Computación Forense - Descubriendo Los Rastros Informáticos Autor: Jeimy J. Cano M., Ph.D, CFE Editorial: AlfaOmega Año: 2009 *** Disponible según el Editor, en la feria del Libro a realizarse en el mes de Agosto de 2009 en Bogota. From carlos.martinez en csirt-antel.com.uy Mon Aug 10 09:35:33 2009 From: carlos.martinez en csirt-antel.com.uy (Carlos M. Martinez) Date: Mon, 10 Aug 2009 09:35:33 -0300 Subject: [LACNIC/Seguridad] =?iso-8859-1?q?Primer_Libro_de_Computaci=F3n_F?= =?iso-8859-1?q?orense_en_Espa=F1ol?= In-Reply-To: <105102.78664.qm@web51703.mail.re2.yahoo.com> References: <105102.78664.qm@web51703.mail.re2.yahoo.com> Message-ID: <4A801415.2020804@csirt-antel.com.uy> Jeimy, desde aqui quiero hacerte llegar mis felicitaciones por la publicación del libro. slds Carlos On 8/7/2009 10:43 PM, Jeimy Cano wrote: > Estimados profesionales y amigos, > > Me permito compartir con todos uds la publicación mi libro:Computación Forense - Descubriendo Los Rastros Informáticos. Esta es una obra que trata de desarrollar el tema forense en informática con palabras sencillas y buscando una masificación del tema en la comunidad latinoamericana. Esta nueva fuente de consulta ha sido el esfuerzo de varios años de experiencia e investigación, donde muchas personas han aportado para que las reflexiones y propuestas allí consignadas estuviesen en el contexto de la realidad de la región y de los retos exige una sociedad del conocimiento y la información. > > Espero que esta humilde propuesta académica y práctica sea de utilidad para todos uds. > > Sin otro particular y con mis más sentidos agradecimientos por todo lo que he aprendido y continuo aprendiendo... > > Datos de la Publicación > ----------------------------------------------------------------------------------------------------------------------- > http://www.alfaomega.com.mx/interiorProducto.php?seccion_product_id=5159 > > Titulo: Computación Forense - Descubriendo Los Rastros Informáticos > Autor: Jeimy J. Cano M., Ph.D, CFE > Editorial: AlfaOmega > Año: 2009 > > *** Disponible según el Editor, en la feria del Libro a realizarse en el mes de Agosto de 2009 en Bogota. > > > > _______________________________________________ > Seguridad mailing list > Seguridad en lacnic.net > https://mail.lacnic.net/mailman/listinfo/seguridad From ernesto en lacnic.net Mon Aug 10 19:49:15 2009 From: ernesto en lacnic.net (=?windows-1252?Q?Ernesto_Maj=F3?=) Date: Mon, 10 Aug 2009 19:49:15 -0300 Subject: [LACNIC/Seguridad] =?windows-1252?q?Resultado_Elecciones_Moderado?= =?windows-1252?q?r_/_Chair_Elections_Result_/_Elei=E7=F5es_Moderador?= Message-ID: <4A80A3EB.7000003@lacnic.net> ELECCION DE MODERADOR DE SEGURIDAD EN REDES - Resultado LACNIC, 10 de agosto de 2009. En base a lo acordado en la lista de Seguridad y cumplidas todas las etapas de acuerdo a lo previsto, entre las fechas 3 y 7 de agosto de 2009 se realizó la votación online para la elección de Moderador del Foro de Seguridad de LACNIC. Finalizado el plazo y realizado el recuento correspondiente de votos, el candidato mas votado fue Carlos M. Martínez. Más información de las elecciones está disponible en: http://www.lacnic.net.uy/elecciones/resultados/SEC2009/ Cordialmente, Servicios a Miembros y Comunicaciones LACNIC ************************************************************* ELEIÇÃO PARA MODERADOR DE FORO SEGURANÇA EM REDES ? Resultado LACNIC, 10 de agosto de 2009 De acordo com o estabelecido na lista da Segurança é cumpridas todas as etapas, entre as datas de 3 é 7 de agosto de 2009, procedeu-se à votação online para a eleição do Moderador do Foro de Segurança. Finalizado o prazo e realizada a contagem de votos, o candidato que recebeu o maior numero de votos foi Carlos M. Martìnez. Mais informação acerca das eleições encontra-se disponível em: http://www.lacnic.net.uy/elecciones/resultados/SEC2009/ Atenciosamente, Serviços de Membro e Comunicações LACNIC ****************************************************************** NETWORK SECURITY FORUM MODERATOR ELECTION ? Result LACNIC, August 10, 2009 According to the provisions of the Security List and having fulfilled all relevant stages according to the rules in force, between August 3 and 7, online voting was accomplished in order to elect the Chair of Network Security Forum. Having counted the votes, Carlos M. Martinez has received the highest number of votes. More information about the elections is available at: http://www.lacnic.net.uy/elecciones/resultados/SEC2009/ Member Services and Communications LACNIC From joseparrella en gmail.com Mon Aug 10 19:58:05 2009 From: joseparrella en gmail.com (=?windows-1252?Q?Jos=E9_Miguel_Parrella_Romero?=) Date: Mon, 10 Aug 2009 17:58:05 -0500 Subject: [LACNIC/Seguridad] =?windows-1252?q?Resultado_Elecciones_Moderado?= =?windows-1252?q?r_/_Chair_Elections_Result_/_Elei=E7=F5es_Moderador?= In-Reply-To: <4A80A3EB.7000003@lacnic.net> References: <4A80A3EB.7000003@lacnic.net> Message-ID: <4A80A5FD.9050502@gmail.com> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 escribió: > Finalizado el plazo y realizado el recuento correspondiente de votos, el > candidato mas votado fue Carlos M. Martínez. Felicidades, cuenten conmigo para apoyar en lo necesario. - -- José Miguel Parrella Romero (bureado) PGP: 0x005C3B82 Debian Developer Caracas, VE/Quito, EC -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAkqApf0ACgkQUWAsjQBcO4I7nACdFxL8UTCFH9NHsdIGJzc6DmcU oVcAoIAxWJYgGfbGFceMQp55wiKmWYNZ =tovk -----END PGP SIGNATURE----- From joseparrella en gmail.com Mon Aug 10 20:02:05 2009 From: joseparrella en gmail.com (=?ISO-8859-1?Q?Jos=E9_Miguel_Parrella_Romero?=) Date: Mon, 10 Aug 2009 18:02:05 -0500 Subject: [LACNIC/Seguridad] Alguien sufrio algun ataque de DNS? In-Reply-To: <4A783C0C.3030301@csirt-antel.com.uy> References: <4A783C0C.3030301@csirt-antel.com.uy> Message-ID: <4A80A6ED.1040100@gmail.com> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Carlos M. Martinez escribió: > ahora que han pasado algunos dias desde que se divulgo la vulnerabilidad > del BIND 9, me preguntaba si alguno de los presentes observó ataques de > este tipo en su red. Afortunadamente, no. Algunos setups estaban con unbound, pero la mayoría estaba utilizando servicios tercerizados con ZoneEdit y/o EveryDNS, y no hubo downtime perceptible. Sí percibimos un factor de riesgo importante en setups de DDNS con BIND donde los sysadmins locales piensan que es un producto consolidado y no se han preocupado en actualizar BIND; esto abre vectores importantes de ataque en redes institucionales con implicaciones catastróficas. - -- José Miguel Parrella Romero (bureado) PGP: 0x005C3B82 Debian Developer Caracas, VE/Quito, EC -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAkqApuwACgkQUWAsjQBcO4JI6QCcCcvwwRa9hMNwImmD/z2Mf+SS /nQAn3ZpIIgaRJoyy8y1z/T5JHKQxHI5 =3fXZ -----END PGP SIGNATURE----- From joseparrella en gmail.com Mon Aug 10 20:07:27 2009 From: joseparrella en gmail.com (=?ISO-8859-1?Q?Jos=E9_Miguel_Parrella_Romero?=) Date: Mon, 10 Aug 2009 18:07:27 -0500 Subject: [LACNIC/Seguridad] Presentacion sobre seguridad en TCP/IP en KCA 2009 In-Reply-To: <4A72F41A.1030002@gont.com.ar> References: <4A72F41A.1030002@gont.com.ar> Message-ID: <4A80A82F.7030302@gmail.com> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Fernando Gont escribió: > Recientemente hice una presentacion sobre "Security Assessment of Common > Implementation Strategies of the TCP and IP Protocols" en la conferencia > KCA 2009 (Kernel Conference Australia 2009) que tuvo lugar en Brisbane, > Australia. Fernando, Gracias, es un material de primera. Quería saber, y pienso que tiene valor para muchos de nosotros en el foro, si finalmente hiciste tu comentario "Gont on grsecurity" de esta nota de 2007¹ en Full Disclosure. Hace poco más de un año tuve la oportunidad de probarlo y no percibí problemas de interoperatibilidad en el poco tiempo que lo usé, aunque hoy en día tendría mis dudas para implementarlo en producción. Jose Referencias: ¹ http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2007-12/msg00312.html - -- José Miguel Parrella Romero (bureado) PGP: 0x005C3B82 Debian Developer Caracas, VE/Quito, EC -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAkqAqC8ACgkQUWAsjQBcO4JkwwCdEGlDAJhUbzuidV3pwJ9NfdpL 58EAniUGYuSKI2fJK+T4neS8tbqdARHx =IDyA -----END PGP SIGNATURE----- From fernando en gont.com.ar Mon Aug 10 22:27:51 2009 From: fernando en gont.com.ar (Fernando Gont) Date: Tue, 11 Aug 2009 00:27:51 -0100 Subject: [LACNIC/Seguridad] Presentacion sobre seguridad en TCP/IP en KCA 2009 In-Reply-To: <4A80A82F.7030302@gmail.com> References: <4A72F41A.1030002@gont.com.ar> <4A80A82F.7030302@gmail.com> Message-ID: <4A80C917.4060000@gont.com.ar> Hola, Jose, > Quería saber, y pienso que tiene valor para muchos de nosotros en el > foro, si finalmente hiciste tu comentario "Gont on grsecurity" de esta > nota de 2007¹ en Full Disclosure. Te referis a incluir una discusion sobre grsecurity? Mirá, si bien recuerdo, en algun momento me contacte con gente de grsecurity, tanto por el tema del draft de port randomization, como tambien dandoles un borrador del documento de seguridad en TCP (q estaba haciendo apra uk cpni) para revision, pero no hubo mucho interés. El problema es que en la "security community" parece que lo unico que interesa es encontrar exploits que permitan ganar acceso root. El resto, no importa. Por ej., fijate esa "discusion" que se armo en ese link que enviaste... Comentarios superfluos, que no terminaban aportando nada. Solo una apr de personas enviaron buen feedback en respuesta al mail que postie en bugtraq/full-disclosure. Asi hay miles: yo leia mas de un "review" donde te das cuenta que el que escribio el review ni siquiera se gastó en leer el documento entero. Simplemente leyo el indice, capaz vio que en una parte decia "syn flood", y ya con eso la conclusion fue "Syn flood???? este documento tiene todas cosas viejas!" Este es un gran problema. > > Hace poco más de un año tuve la oportunidad de probarlo y no percibí > problemas de interoperatibilidad en el poco tiempo que lo usé, aunque > hoy en día tendría mis dudas para implementarlo en producción. Que cosa probaste? EL algoritmo "hash-based" que proponiamos nosotros, o el esquema de aleatorizacion simple (basicamente, uso de "random()" que algunos proponen?) Saludos, -- Fernando Gont e-mail: fernando en gont.com.ar || fgont en acm.org PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1 From cveraq en gmail.com Tue Aug 11 00:20:49 2009 From: cveraq en gmail.com (Carlos Vera Quintana) Date: Mon, 10 Aug 2009 22:20:49 -0500 Subject: [LACNIC/Seguridad] =?iso-8859-1?q?Primer_Libro_de_Computaci=F3n_F?= =?iso-8859-1?q?orense_en_Espa=F1ol?= In-Reply-To: <4A801415.2020804@csirt-antel.com.uy> References: <105102.78664.qm@web51703.mail.re2.yahoo.com> <4A801415.2020804@csirt-antel.com.uy> Message-ID: <44DB856E88EB4EDBBFB436545EDE6C9D@PresidentePC> Bien Jeimy Carlos Vera -------------------------------------------------- From: "Carlos M. Martinez" Sent: Monday, August 10, 2009 7:35 AM To: ; "Lista para discusión de seguridad en redes y sistemas informaticos de la región" Subject: Re: [LACNIC/Seguridad] Primer Libro de Computación Forense en Español > Jeimy, desde aqui quiero hacerte llegar mis felicitaciones por la > publicación del libro. > > slds > > Carlos > > On 8/7/2009 10:43 PM, Jeimy Cano wrote: >> Estimados profesionales y amigos, >> >> Me permito compartir con todos uds la publicación mi libro:Computación >> Forense - Descubriendo Los Rastros Informáticos. Esta es una obra que >> trata de desarrollar el tema forense en informática con palabras >> sencillas y buscando una masificación del tema en la comunidad >> latinoamericana. Esta nueva fuente de consulta ha sido el esfuerzo de >> varios años de experiencia e investigación, donde muchas personas han >> aportado para que las reflexiones y propuestas allí consignadas >> estuviesen en el contexto de la realidad de la región y de los retos >> exige una sociedad del conocimiento y la información. >> >> Espero que esta humilde propuesta académica y práctica sea de utilidad >> para todos uds. >> >> Sin otro particular y con mis más sentidos agradecimientos por todo lo >> que he aprendido y continuo aprendiendo... >> >> Datos de la Publicación >> ----------------------------------------------------------------------------------------------------------------------- >> http://www.alfaomega.com.mx/interiorProducto.php?seccion_product_id=5159 >> >> Titulo: Computación Forense - Descubriendo Los Rastros Informáticos >> Autor: Jeimy J. Cano M., Ph.D, CFE >> Editorial: AlfaOmega >> Año: 2009 >> >> *** Disponible según el Editor, en la feria del Libro a realizarse en el >> mes de Agosto de 2009 en Bogota. >> >> >> >> _______________________________________________ >> Seguridad mailing list >> Seguridad en lacnic.net >> https://mail.lacnic.net/mailman/listinfo/seguridad > _______________________________________________ > Seguridad mailing list > Seguridad en lacnic.net > https://mail.lacnic.net/mailman/listinfo/seguridad From carlos.martinez en csirt-antel.com.uy Tue Aug 11 10:07:45 2009 From: carlos.martinez en csirt-antel.com.uy (Carlos M. Martinez) Date: Tue, 11 Aug 2009 10:07:45 -0300 Subject: [LACNIC/Seguridad] =?windows-1252?q?Resultado_Elecciones_Moderado?= =?windows-1252?q?r_/_Chair_Elections_Result_/_Elei=E7=F5es_Moderador?= In-Reply-To: <4A80A3EB.7000003@lacnic.net> References: <4A80A3EB.7000003@lacnic.net> Message-ID: <4A816D21.2080703@csirt-antel.com.uy> Hola a todos, antes que nada, primero quiero agradecerles la confianza depositada en mi, y espero que podamos seguir haciendo de este un foro una herramienta cada vez mas útil y dinámica para compartir información y experiencias. En particular, quiero también agradecer las palabras de José Miguel, agradeciéndole todo el trabajo que ha realizado como miembro del comité evaluador de trabajos y desde ya tomando su palabra para contar con el nuevamente para el 5to LACSEC. Gracias a todos nuevamente, Carlos On 8/10/2009 7:49 PM, Ernesto Majó wrote: > ELECCION DE MODERADOR DE SEGURIDAD EN REDES - Resultado > > LACNIC, 10 de agosto de 2009. > > En base a lo acordado en la lista de Seguridad y cumplidas todas las > etapas de acuerdo a lo previsto, entre las fechas 3 y 7 de agosto de > 2009 se realizó la votación online para la elección de Moderador del > Foro de Seguridad de LACNIC. > > Finalizado el plazo y realizado el recuento correspondiente de votos, el > candidato mas votado fue Carlos M. Martínez. > > Más información de las elecciones está disponible en: > http://www.lacnic.net.uy/elecciones/resultados/SEC2009/ > > Cordialmente, > > Servicios a Miembros y Comunicaciones > LACNIC > > ************************************************************* > ELEIÇÃO PARA MODERADOR DE FORO SEGURANÇA EM REDES ? Resultado > > LACNIC, 10 de agosto de 2009 > > De acordo com o estabelecido na lista da Segurança é cumpridas todas as > etapas, entre as datas de 3 é 7 de agosto de 2009, procedeu-se à votação > online para a eleição do Moderador do Foro de Segurança. > > Finalizado o prazo e realizada a contagem de votos, o candidato que > recebeu o maior numero de votos foi Carlos M. Martìnez. > > Mais informação acerca das eleições encontra-se disponível em: > http://www.lacnic.net.uy/elecciones/resultados/SEC2009/ > > > Atenciosamente, > > Serviços de Membro e Comunicações > LACNIC > > > ****************************************************************** > NETWORK SECURITY FORUM MODERATOR ELECTION ? Result > > LACNIC, August 10, 2009 > > According to the provisions of the Security List and having fulfilled > all relevant stages according to the rules in force, between August 3 > and 7, online voting was accomplished in order to elect the Chair of > Network Security Forum. > > Having counted the votes, Carlos M. Martinez has received the highest > number of votes. > > More information about the elections is available at: > http://www.lacnic.net.uy/elecciones/resultados/SEC2009/ > > > Member Services and Communications > LACNIC > _______________________________________________ > Seguridad mailing list > Seguridad en lacnic.net > https://mail.lacnic.net/mailman/listinfo/seguridad From joseparrella en gmail.com Tue Aug 11 12:48:32 2009 From: joseparrella en gmail.com (=?ISO-8859-1?Q?Jos=E9_Miguel_Parrella_Romero?=) Date: Tue, 11 Aug 2009 10:48:32 -0500 Subject: [LACNIC/Seguridad] Presentacion sobre seguridad en TCP/IP en KCA 2009 In-Reply-To: <4A80C917.4060000@gont.com.ar> References: <4A72F41A.1030002@gont.com.ar> <4A80A82F.7030302@gmail.com> <4A80C917.4060000@gont.com.ar> Message-ID: <4A8192D0.8060004@gmail.com> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Fernando Gont escribió: > Por ej., fijate esa "discusion" que se armo en ese link que enviaste... > Comentarios superfluos, que no terminaban aportando nada. Solo una apr > de personas enviaron buen feedback en respuesta al mail que postie en > bugtraq/full-disclosure. > > Asi hay miles: yo leia mas de un "review" donde te das cuenta que el que > escribio el review ni siquiera se gastó en leer el documento entero. Sí, entiendo el sindrome. > Que cosa probaste? EL algoritmo "hash-based" que proponiamos nosotros, o > el esquema de aleatorizacion simple (basicamente, uso de "random()" que > algunos proponen?) Probé grsecurity durante un tiempo para unos clientes del sector militar. El atractivo principal de grsec desde el punto de vista de redes era que promovía un algoritmo de aleatorización de puertos¹ en sistemas Linux. Sin embargo, me preocupa bastante que para aplicaciones mainstream puede haber una incidencia importante de problemas de interoperatibilidad, yo no las he experimentado. ¿Piensan que un mecanismo de transición en el cual se incorporen algunas de las recomendaciones que están en draft en ciertos escenarios podría ayudar a la adopción de las recomendaciones? Por ejemplo, la prueba que hice de grsecurity era para estaciones de trabajo de usuario final en un ente de Defensa; con una masa crítica importante de usuarios probando las recomendaciones "en producción" ¿habría algún impacto "político"? ¹ BTW, ahora que leo en detalle los features, grsec también usa campos IP ID aleatorios, el resto de las cosas interesantes las hace PaX - -- José Miguel Parrella Romero (bureado) PGP: 0x005C3B82 Debian Developer Caracas, VE/Quito, EC -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAkqBktAACgkQUWAsjQBcO4LtFACfVnBqpYbGdK67v9rWoKTAy0Jq vkUAmwZwbP9X6svVDX3u/8EEUSqFtCIN =1xgh -----END PGP SIGNATURE----- From fernando en gont.com.ar Tue Aug 11 14:31:00 2009 From: fernando en gont.com.ar (Fernando Gont) Date: Tue, 11 Aug 2009 14:31:00 -0300 Subject: [LACNIC/Seguridad] Presentacion sobre seguridad en TCP/IP en KCA 2009 In-Reply-To: <4A8192D0.8060004@gmail.com> References: <4A72F41A.1030002@gont.com.ar> <4A80A82F.7030302@gmail.com> <4A80C917.4060000@gont.com.ar> <4A8192D0.8060004@gmail.com> Message-ID: <4A81AAD4.9020804@gont.com.ar> José Miguel Parrella Romero wrote: >> Que cosa probaste? EL algoritmo "hash-based" que proponiamos nosotros, o >> el esquema de aleatorizacion simple (basicamente, uso de "random()" que >> algunos proponen?) > > Probé grsecurity durante un tiempo para unos clientes del sector > militar. El atractivo principal de grsec desde el punto de vista de > redes era que promovía un algoritmo de aleatorización de puertos¹ en > sistemas Linux. > > Sin embargo, me preocupa bastante que para aplicaciones mainstream puede > haber una incidencia importante de problemas de interoperatibilidad, yo > no las he experimentado. Si el algoritmo hace una aleatorizacion trivial (lease, simplemente llama a randon() ), entonces es posible que encuentres problemas en aquellos escenarios de red en los que se realizan muchas conexiones a un determinado servicio en muy poco tiempo. (fijate la discusión sobre "collisions of connection-id's" en draft-ietf-tsvwg-port-randomization o en el doc de UK CPNI de TCP disponible en http://www.gont.com.ar/papers). El algoritmo que propusimos nosotros ("hash-based", o aun mejor la version mejorada que es "double-hash based") no tiene este problema, ya que tiene las mismas propiedades de interoperatividad que el algoritmo tradicional de los sistemas BSD que elige los numeros de puerto de manera incremental. > ¿Piensan que un mecanismo de transición en el cual se incorporen algunas > de las recomendaciones que están en draft en ciertos escenarios podría > ayudar a la adopción de las recomendaciones? mm... no te entiendo bien... a que te referis con "mecanismo de transición"? > Por ejemplo, la prueba que > hice de grsecurity era para estaciones de trabajo de usuario final en un > ente de Defensa; con una masa crítica importante de usuarios probando > las recomendaciones "en producción" ¿habría algún impacto "político"? Si te referis a "que es lo que podriamos hacer para que estas mejoras se implementen", mmm... no estoy muy seguro. Lamentablemente, muchos fabricantes parecen tener una postura de que, salvo que haya suficiente presion por parte de la prensa (lease, que por ejemplo haya una vulnerabilidad muy publicitada), no van a incorporar contramedidas en sus sistemas. En mi humilde opinión, Cisco cae bastante en ese area. Otros fabricantes, como Juniper, han tenido al menos una intención de incorporar contramedidas... pero no sé en que ha quedado. Finalmente, en lo que respecta a sistemas operativos de software libre, creo que la cosa es basicamente asi: si uno produjera el parche, es bastante probable que la contremedida se adopte. Sin embargo, si uno espera que los parches los generen los propios developers de esos sistemas, la cuestion puede llevar mucho tiempo, e incluso no concretarse nunca. En lo personal sigo con la idea de hacer un poco de kernel-hacking en el corto plazo, y generar parches para los *BSD, para Linux, y posiblemente para OpenSolaris. Pero como sería algo en mi "tiempo libre", y ahora estoy a las corridas con el trabajo, es probable que esto me lleve un buen tiempo. Otra cuestion interesante es que la IETF ha adoptado los dos documentos de UK CPNI (el de TCP y el de IP) para su futura publicacion como RFC. Y si bien obviamente esto no es garantia de que las mejoras se implementen, creo que va a contribuir para "llamar la atencion" de los desarrolladoras, con la posibilidad de que muchos decidan incorporar al menos algunas de las propuestas. > ¹ BTW, ahora que leo en detalle los features, grsec también usa campos > IP ID aleatorios, el resto de las cosas interesantes las hace PaX En lo que respecta a grsecurity, creo haberles pedido a los developers que me dieran un lisado de que mecanismos implementaba, asi podia incluir referencias en todos los lugares y documentos en los que fuera adecuado... Pero nunca me enviaron tal listado... y no estaba (ni estoy) con tiempo para mirar el codigo a descifrar que es lo que estan haciendo. Saludos cordiales, -- Fernando Gont e-mail: fernando en gont.com.ar || fgont en acm.org PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1 From carlos.martinez en csirt-antel.com.uy Fri Aug 14 13:12:40 2009 From: carlos.martinez en csirt-antel.com.uy (Carlos M. Martinez) Date: Fri, 14 Aug 2009 13:12:40 -0300 Subject: [LACNIC/Seguridad] [Fwd: [CSIRT ANTEL] Botnet using twitter for CC] Message-ID: <4A858CF8.4040500@csirt-antel.com.uy> Hola a todos, La gente de Arbor Networks (Jose Nazario) encontró una botnet que utiliza twitter como command & control. Es un cambio interesante en el comportamiento de las botnets! slds y buen fin de semana, Carlos -------- Original Message -------- Subject: [CSIRT ANTEL] Botnet using twitter for CC Date: Fri, 14 Aug 2009 12:31:09 -0300 From: Carlos M. Martinez To: CSIRT ANTEL http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/ interesante :-) _______________________________________________ Csirt mailing list Csirt en csirt-antel.com.uy http://gaia.csirt-antel.com.uy/cgi-bin/mailman/listinfo/csirt From jarruda en arbor.net Fri Aug 14 13:23:58 2009 From: jarruda en arbor.net (Julio Arruda) Date: Fri, 14 Aug 2009 12:23:58 -0400 Subject: [LACNIC/Seguridad] [Fwd: [CSIRT ANTEL] Botnet using twitter for CC] In-Reply-To: <4A858CF8.4040500@csirt-antel.com.uy> References: <4A858CF8.4040500@csirt-antel.com.uy> Message-ID: <4A858F9E.5090400@arbor.net> Carlos M. Martinez wrote: > Hola a todos, > > La gente de Arbor Networks (Jose Nazario) encontró una botnet que > utiliza twitter como command & control. Es un cambio interesante en el > comportamiento de las botnets! > > slds y buen fin de semana, Creo el peor es que tiene su origin in LACNIC space :-)..o los 'targets' (bancodobrasil among others)... > > Carlos > > -------- Original Message -------- > Subject: [CSIRT ANTEL] Botnet using twitter for CC > Date: Fri, 14 Aug 2009 12:31:09 -0300 > From: Carlos M. Martinez > To: CSIRT ANTEL > > http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/ > > > interesante :-) > _______________________________________________ > Csirt mailing list > Csirt en csirt-antel.com.uy > http://gaia.csirt-antel.com.uy/cgi-bin/mailman/listinfo/csirt > > _______________________________________________ > Seguridad mailing list > Seguridad en lacnic.net > https://mail.lacnic.net/mailman/listinfo/seguridad -- Julio Arruda Manager Consulting Engineer Team LATAM Arbor Networks USA: +1-954-827-1543 Ext: 209 Mobile: +1-954-249-9381 Argentina: +54-11-5246-5981 Ext: 209 Brazil-RJ: +55-21-4063-6568 Ext: 209 Brazil-SP: +55-11-3522-7210 Ext: 209 Chile: +56-2-570-8741 Ext: 209 Mexico-Monterrey: +52-81-4624-4983 Ext: 209 Mexico-Mexico-DF: +52-55-1168-9607 Ext: 209 www.arbornetworks.com How networks grow? From nantoniello en gmail.com Mon Aug 17 13:15:39 2009 From: nantoniello en gmail.com (Nicolas Antoniello) Date: Mon, 17 Aug 2009 13:15:39 -0300 Subject: [LACNIC/Seguridad] Fwd: Routing loop attacks using IPv6 tunnels In-Reply-To: <789539.81531.qm@web45502.mail.sp1.yahoo.com> References: <789539.81531.qm@web45502.mail.sp1.yahoo.com> Message-ID: Estimados, Les re-envío ya que puede ser de interes para todos. Saludos, Nicolas. ---------- Forwarded message ---------- From: Gabi Nakibly Date: Mon, Aug 17, 2009 at 12:21 PM Subject: Routing loop attacks using IPv6 tunnels To: v6ops Cc: secdir en ietf.org, ipv6 en ietf.org Hi all, I would like to draw the attention of the list to some research results which my colleague and I at the National EW Research & Simulation Center have recently published. The research presents a class of routing loop attacks that abuses 6to4, ISATAP and Teredo. The paper can be found at: http://www.usenix.org/events/woot09/tech/full_papers/nakibly.pdf Here is the abstract: IPv6 is the future network layer protocol for the Internet. Since it is not compatible with its predecessor, some interoperability mechanisms were designed. An important category of these mechanisms is automatic tunnels, which enable IPv6 communication over an IPv4 network without prior configuration. This category includes ISATAP, 6to4 and Teredo. We present a novel class of attacks that exploit vulnerabilities in these tunnels. These attacks take advantage of inconsistencies between a tunnel's overlay IPv6 routing state and the native IPv6 routing state. The attacks form routing loops which can be abused as a vehicle for traffic amplification to facilitate DoS attacks. We exhibit five attacks of this class. One of the presented attacks can DoS a Teredo server using a single packet. The exploited vulnerabilities are embedded in the design of the tunnels; hence any implementation of these tunnels may be vulnerable. In particular, the attacks were tested against the ISATAP, 6to4 and Teredo implementations of Windows Vista and Windows Server 2008 R2. I think the results of the research warrant some corrective action. If this indeed shall be the general sentiment of the list, I will be happy write an appropriate I-D. The mitigation measures we suggested in the paper are the best we could think of to completely eliminate the problem. However they are far from perfect since they would require tunnel implementations to be updated in case new types of automatic tunnels are introduced. Your comments are welcome. Gabi From fernando en gont.com.ar Fri Aug 21 06:46:04 2009 From: fernando en gont.com.ar (Fernando Gont) Date: Fri, 21 Aug 2009 06:46:04 -0300 Subject: [LACNIC/Seguridad] [Fwd: [OPSEC] I-D Action:draft-ietf-opsec-ip-security-01.txt] Message-ID: <4A8E6CDC.30101@gont.com.ar> Estimados, Publique una revision de este I-D. La vez pasada, me enviaron una revision muy detallada (muy buena), si que vuelvo a enviar este anuncio por acá, a ver si tengo la misma suerte. P.S.: Todavia no apliqué los comentarios de la revision a la que hago mencion... pero en breve lo haré (asi que si quien me envio la rev en cuestion esta leyendo esto, quedese tranquilo que ya aplicare las modificaciones propuestas). -------- Original Message -------- Subject: [OPSEC] I-D Action:draft-ietf-opsec-ip-security-01.txt Date: Thu, 20 Aug 2009 03:30:01 -0700 (PDT) From: Internet-Drafts en ietf.org To: i-d-announce en ietf.org CC: opsec en ietf.org A New Internet-Draft is available from the on-line Internet-Drafts directories. This draft is a work item of the Operational Security Capabilities for IP Network Infrastructure Working Group of the IETF. Title : Security Assessment of the Internet Protocol version 4 Author(s) : F. Gont Filename : draft-ietf-opsec-ip-security-01.txt Pages : 73 Date : 2009-08-20 This document contains a security assessment of the IETF specifications of the Internet Protocol version 4, and of a number of mechanisms and policies in use by popular IPv4 implementations. It is based on the results of a project carried out by the UK's Centre for the Protection of National Infrastructure (CPNI). A URL for this Internet-Draft is: http://www.ietf.org/internet-drafts/draft-ietf-opsec-ip-security-01.txt Internet-Drafts are also available by anonymous FTP at: ftp://ftp.ietf.org/internet-drafts/ Below is the data which will enable a MIME compliant mail reader implementation to automatically retrieve the ASCII version of the Internet-Draft. Saludos cordiales, -- Fernando Gont e-mail: fernando en gont.com.ar || fgont en acm.org PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1