A todos los amantes de la seguridad y a los que les gustan los sistemas BSD, aqui esta un libro muy bueno donde encontraran muchas cosas relacionadas a la seguridad y en especial para los sistemas BSD. 
OpenBSDMarch 26, 2007 3:29 pm
Quetzal unix-like BSD Hecho en México
Quetzal es una nueva distribución basada en OpenBSD creada en el Instituto de Matemáticas de la Universidad Nacional Autónoma de México, por el Fisico Micho Durdevich, con apoyo del Consejo Nacional de Ciencia y Tecnologia (CONACYT).
El nuevo sistema tiene como entorno gráfico principal a windowmaker, aunque hay una opción de usar Xfce.
El Quetzal es un ave de plumaje espectacular de la familia de los trogones. Se encuentra distribuido en el sur de México y en Centroamérica. Tiene un papel importante en los mitos de la región.
Esta ave tiene un papel importante en la mitología prehispánica y moderna de la región. Los reyes y sumos sacerdotes ancianos llevaban tocados de plumas de quetzal. En varios idiomas mesoamericanos, la voz por quetzal puede significar también precioso, sagrado o erigido.
Dice una leyenda guatemalteca que el quetzal solía cantar hermosamente antes de la conquista española, pero ha quedado callado después, pero cantará otra vez cuando la tierra esté libre de verdad.
Se puede bajar la imagen de Quetzal desde la universidad de Stokolmo en Suecia:
La distribucion Linux de Oracle con bastantes medidas de seguridad, es gratis https://linux.oracle.com/pls/apex/f?p=101
SecurityMarch 15, 2007 10:13 pm
Evitando el acceso de usuarios no permitidos
Si queremos restringir aún más el acceso al directorio que contendrá los ficheros de nuestro proyecto web, en este ejemplo, el directorio es $HOME/public_html/milmazz/, realizaremos lo siguiente:
touch $HOME/public_html/milmazz/.htaccess
vi $HOME/public_html/milmazz/.htaccess
Dentro del fichero .htaccess insertamos las siguientes lineas.
AuthUserFile /var/www/.htpasswd
AuthGroupFile /dev/null
AuthName “Acceso Restringido”
AuthType Basic
require valid-user
Guardamos los cambios realizados y seguidamente procederemos a crear el fichero que contendrá la información acerca de los usuarios que tendrán acceso al directorio protegido, también se especificaran las contraseñas para validar la entrada. El fichero a editar vendra dado por la directiva AuthUserFile, por lo tanto, en nuestro caso el fichero a crear será /var/www/.htpasswd.
htpasswd -c /var/www/.htpasswd usuario
Seguidamente introducimos la contraseña que se le asignará al usuario milmazz, la opción -c mostrada en el código anterior simplemente se utiliza para crear el fichero /var/www/.htpasswd, por lo tanto, cuando se vaya a autorizar a otro usuario cualquiera la opción -c debe ser ignorada.
Installing Oracle Database XE on Debian
There is now an apt-get repository up on oss.oracle.com for XE. Just add:
deb http://oss.oracle.com/debian unstable main non-free
to /etc/apt/sources.list and then:
# wget http://oss.oracle.com/el4/RPM-GPG-KEY-oracle -O- | sudo apt-key add -
# apt-get update
# apt-get install oracle-xe
‘libaio’ and ‘bc’ are in the repository, so dependancies will pull them in if the user doesn’t have them. (Note: You will need to ’sudo’ or have ‘root’ privileges to install XE.)
enjoy it!
SecurityMarch 8, 2007 7:06 pm
Un 0HDAY no es mas que el resultado de investigaciones en seguridad de sistemas y ese resultado arroja problemas serios de seguridad en dicho sistema que previamente eran desconocidos. Son realizados por hackers de sombrero negro (black hat), verdaderos profesionales del hacking y el porque de esto lo explicare mas adelante.
Ahora, ¿cuando ocurre un 0HDAY?, pues la respuesta es NADIE SABE, excepto la persona que lo ha realizado. Un zero day no es de conocimiento publico (sino simplemente no seria un 0HDAY al conocerlo ya todo mundo), por lo tanto no es detectable.
Sus principales objetivos son la segura penetración al sistema y lo mas importante, mantenerse ahí sin poder ser detectado, aunque uno de sus defectos es que podría ser detectado por un honeypot realizado por un experto en la materia. Ahora que toco el punto de los honeypot algo que es muy cierto y que comento Sandino es que el mejor de los honeypot es aquel servidor en producción con datos reales, procesos reales, bases de datos reales, pero que también cuentan con las herramientas necesarias para realizar el trabajo. Otro de sus defectos es el tiempo que se invierte para encontrar un 0HDAY.
La parte curiosa del zero day es que no es software libre, ya que permanece en secreto el exploit y si fuese software libre todo mundo conocería el código de este. Su duración aproximada es de meses (menos de 6), ya que después de ese tiempo se hace publico y deja de ser zero day y entonces cualquier script kiddie puede intentar probarlo.
¿Qué se gana con un 0HDAY?, ¿De que me sirve?, hay varias respuestas para este par de preguntas sin embargo voy a contestarlas de la siguiente manera.
Yo estoy convencido de que un Profesional real al encontrar un 0HDAY, se guarda para si mismo el secreto y lo explota al máximo SIN SER DETECTADO, lo usa para conseguir sus fines sean buenos o malos (black hat hacker o hacker de sombrero negro). No soy de los que si encontrase un exploit se lo anunciaría de inmediato al propietario del software porque en ese mismo momento se muere el zero day y porque creer que de eso ganare fama, el agradecimiento y tal vez una buena chamba (white hat hacker o hacker de sombrero blanco), es falso, lo que pasa en la vida real es lo siguiente: descubres un exploit, lo anuncias al desarrollador o al encargado del programa, este seguramente lo probara y corregirá de inmediato sin anunciarte ni decirte nada, tal vez le lleve cierto tiempo, pero ya teniendo el parche que resuelve el problema, hace publico su exploit en paginas como SecurityFocus o que se yo y a los dos días publica el parque que previamente ya tenia, ¿qué consigue con hacer eso?, pues simplemente hacer creer a todo mundo que cualquier error en sus programas los resuelve rápidamente, que es un fregonaso, veloz y que debemos de confiar en su producto porque frente a cualquier bronca liberara como obra de magia en un par de días el parches que corrige todo, ¿y el hacker de sombrero blanco?, pues a el ni las gracias le dieron por encontrar el exploit por lo tanto no conseguí absolutamente nada y no me sirvió de nada tanto y tanto tiempo invertido, ¡¡¡ Maldita ética y ego de nada valieron !!!, también existe otra tonta forma de matar un zero day de inmediato y eso es anunciándoselo a medio mundo como por ejemplo a tu novia, tus cuates, tus vecinos (aunque no sepan ni usar la cafetera y todavía hagan sus trabajos en maquina de escribir), anunciándolo en letras mayúsculas en tu blog, irc, Messenger o correo, ya que lo estas haciendo publico y esas desveladas desperdiciadas pudiste haberlas utilizado al menos para dormir
DebianMarch 1, 2007 6:22 pm
#apt-get install no-ip
para configurarlo
#no-ip -C
y pones tu login y pass de tu cuenta de no-ip y listo 
