Log | OpenBSDeros
Grupo de usuarios de OpenBSD

Hola!

Queriamos comentarles que a partir de estos momentos todos los sitios de OpenBSDeros utilizan certificados de CaCert.org. De esta forma tenemos una CA con quien validar la seguridad de la conexión a nuestros sitios.

Para quienes no dispongan del certificado raíz en sus navegadores pueden descargarlos del siguiente link:

http://www.cacert.org/certs/root.crt

Para otros formatos acceder a:

http://www.cacert.org/index.php?id=3

Hace unos días publiqué en el Foro algunas de las BSD Magazine de las que disponía, en este caso se las paso también por este medio. Disfrutenlas...

1 - FreeBSD Ins & Outs

2 - OpenBSD in the Limelight

3 - Explore NetBSD

Saludos!

hdc@

Hace poco salio la BSD Magazine número 2, y esta trata mayormente de OpenBSD, como se puede ver en la tapa:

Para los interesados hay disponibles 2 de las notas:

1- Damien Bergamini discusses WPA

2- You have installed it? Now what? Packages!

Que lo disfruten!

Saludos,

hdc@

Daniel Ome participó en las 3ras Jornadas de Software Libre de Salta dando una charla sobre "Criptografía en OpenBSD" el día Sábado 8 de Noviembre pasado.

Nos facilitó la presentación y la agregamos en la sección de Presentaciones en el Wiki.

Anteriormente escribió un articulo sobre la implementación de Dnsmasq en OpenBSD que también se encuentra en el wiki.

Agradecemos a Daniel por aportar con la presentación y el artículo.

Saludos,

hdc@

Bueno despues de bastante tiempo me puse las pilas para escribir un par de cosas mas en la Wiki que la tenia abandonada, basicamente los tutoriales que subi fueron sobre OpenSSL.

El primero de los tutoriales explica como configurar una firma digital usando OpenSSL y DSA, lo pueden ver desde acá http://www.openbsderos.org/wiki/index.php?title=OpenSSL_Firma_Digital_DSA

El otro tutorial tambien trata sobre OpenSSL pero es un poco mas interesante y util, al menos en mi caso, se trata de como configurar mod_ssl en Apache, es decir, permitir el uso de HTTPS sobre nuestro querido sistema operativo. El enlace al mismo lo encuentran acá http://www.openbsderos.org/wiki/index.php?title=OpenSSL_%2B_Apache

Como siempre cualquier consulta o duda me avisan, escribien, etc...

Saludos.

sepp0@

Después de tanto hablar de la vulnerabilidad en los DNSs, salio finalmente el patch para el famoso fallo.

Por eso nuestro amigo virtualroot@ escribió un mini-tutorial para poder fixear el problema.

Lo pueden encontrar en nuestra Wiki.

Saludos

sepp0@

Kris Kaspersky pretende demostrar ataques remotos a bugs del Intel Core 2 en la próxima conferencia de seguridad de Malasia. Pero esto no es ninguna novedad, esto ya lo había anticipado Theo de Raadt de OpenBSD en la lista de correo de OpenBSD.

El tema del fallo del Intel Core 2 ya venía del 2007, pero Linus salió a defender a Intel.

Y la gran última noticia: Linus crticando a los developers de OpenBSD.

Alguién mas quiere criticar OpenBSD?

Saludos,

hdc@

Bueno, despues de mucho tiempo (desde el 16 de abril que salió la nota en undeadly), que la tengo armada en el wiki y nunca le puse el link ni tampoco lo postee en este log.

Ahora, no es nada de otro mundo, lo configure en mi notebook y nunca más lo toque, anda muy bien, pero en cuanto pueda voy a investigar más.

Les dejo el link para que lo puedan ver, criticar, aportar más info, etc. En principio solo documenté como hacerlo en castellano y con una breve intro a lo que es WPA y las tecnologías asociadas, como para comprender la necesidad de implementarlo.

Para acceder hacer usar este link.

Saludos,

Hernán

001: SECURITY FIX: March 30, 2008 All architectures ** Acá explicado en español. **

sshd(8) would execute ~/.ssh/rc even when a sshd_config(5) ForceCommand directive was in effect, allowing users with write access to this file to execute arbitrary commands. This behaviour was documented, but was an unsafe default and an extra hassle for administrators.

Código del patch

002: SECURITY FIX: April 3, 2008 All architectures

Avoid possible hijacking of X11-forwarded connections with sshd(8) by refusing to listen on a port unless all address families bind successfully.

Código del patch

Para saber como "parchear" OpenBSD pueden ver este tutorial en nuestra Wiki.

Saludos.

Hola a todos!

Despues de un tiempo volvimos a la acción (?), ya pasaron las vacaciones, parece que el trabajo esta cediendo un poco, así que aproveche para volver con algunas pequeñas cosas.

En este caso arme un artículo nuevo en el wiki, este trata sobre la autenticación en Apache, no es exclusivo de OpenBSD pero sí aplica a este. Lo pueden ver desde el Wiki o pueden acceder al artículo directamente.

Otra de las cosas que agregue fue un link en la parte de secciones al webIRC de Mibbit (el ex IRCatWork), yo generalmente me conecto desde este servicio, y quizás le sirva a alguno para conectarse a nuestro IRC en Freenode o a cualquier otro. Lo pueden ver desde www.openbsderos.org o cualquier sección dentro del sitio principal.

Bueno, como siempre acuerdense que está el foro para casi cualquier cosa.

Nos mantenemos en contacto.

Hernán

Los días 30 de noviembre y 1 de diciembre de 2007 se realizará la tercer edición de Ekoparty, un evento sobre seguridad informática de alto voltaje, perdón, quiero decir de un alto contenido técnico. Se darán charlas de un excelentísimo nivel, muchas de ellas ya fueron dadas en eventos como: DefCon, BackHat, H2HC, SSI, CNASI, CanSecWest, WebSec, etc, etc, etc.

Pero a nosotros nos compete una en especial, la cual ya ofrecimos material en el post anterior. Si muchachos, vamos a tener la posibilidad de presenciar la charla de Alfredo Ortega "OpenBSD Remote Exploit" pero en esta oportunidad en español, en Buenos Aires - Argentina y en un módico precio (aunque eso es relativo, en mi caso en particular conseguí que mi empresa me lo pagara).

El evento, además de la charla de OpenBSD, contará con 13 charlas más, WarDriving (puede participar cualquiera), 2 WarGames (un Own to Conquer y un Admin Challenge), Lockpicking y una AfterCon Party.

Les dejo el link para los interesados: EkoParty

Prometo hacer un comentario luego del evento, lo que no puedo prometer pero sí hacer lo posible es de obtener la grabación de la charla de OpenBSD (ya sea audio o video).

Espero que el que pueda asistir lo haga ya que no es común este tipo de eventos, y menos que alguien exponga sobre un bug remoto en la instalación por defecto en OpenBSD.

Saludos!

Hernán

Hace unos días me puse en contacto con Alfredo Ortega, descubridor del 2do bug remoto en la instalación por defecto y desarrollador de exploits para la herramienta Core Impact. Estamos hablando del "kernel buffer overflow" que se produjo en "mbuf", lo cual podría permitir ejecutar código en el contexto del kernel. Hay una disputa con esto, pero justamente esto fue lo que hizo que los desarrolladores de OpenBSD etiquetaran el mismo como "vulnerability" en lugar de "reliability fix" como hicieron al comienzo minimizando la gravedad del bug.

Read the rest of this story...

Como a todo OpenBSDero le gusta la seguridad, acabo de terminar de escribir un Mini-Tutorial sobre como securizar un poco mas nuestro Apache Web server con mod_security.

Acá esta el link al tutorial.

Esperamos comentarios.

Saludos.

Hace ya unas semanas en OpenBSD Journal se anunció ComixWall ISG 4.1b, que es lo que ellos llaman un Internet Security Gateway o como nosotros lo podriamos llamar: un equipo con OpenBSD y muchas aplicaciones para administrar los accesos desde y hacia Internet y/o la red interna.

La solcuión es muy buena, ya que permite a usuarios que todavía no usaron OpenBSD a comenzar a utilizarlo. También los que ya usamos OpenBSD vamos a probar este producto o quizás tomemos algunas ideas para poner en nuestra propia implementación.

Read the rest of this story...

Seguimos poniéndonos al día... y esta ves le tocó a OpenSSL el día 12 de octubre. Como este bug afecta a OpenSSL también afecta a todas las arquitecturas, y ya está el parche oficial para las versiones afectadas (4.0, 4.1 y 4.2, también puede afectar a versiones anteriores).

Se trata de 2 bugs, uno en la implementación de DTLS (DTSL es una variante de TLS pero basado en datagramas, para proteger por ejemplo tráfico UDP) y el otro se trata de un "off by one" en la función SSL_get_shared_ciphers. La criticidad es alta debido a que podría ejecutarse código de forma remota.

El fue encontrado por Andy Polyakov el primero y por Moritz Jodeit (moritz@) el segundo.

Los parches los pueden encontrar en:

4.2

4.1

4.0

Para parchear sus sistemas operativos pueden utilizar el siguiente instructivo:

Patch

Saludos!

Hernán

Estoy intentando ponerme al día leyendo OpenBSD Journal (o undeadly) y las listas de correo, cuando me encontré con el aviso de un bug en dhcpd del 8 de octubre, lo que lleva a 5 bugs con sus respectivos parches en 4.1 y 1 en 4.2 (ah, y el 10 de 4.0). Este bug afecta a todas las arquitecturas y ya se encuentran los parches para descargar.

Este bug se trata de un buffer overflow que puede terminar en un crash del dhcpd o en una posible ejecución de código de forma remota (así que muuuucho cuidado con esto).

El bug fue encontrado por Nahuel Riva y Gerardo Richarte de Core Security Technologies (y Core sigue sumando).

Los parches los pueden encontrar en:

4.2

4.1

4.0

Para parchear sus sistemas operativos pueden utilizar el siguiente instructivo:

Patch

Como siempre haciendo el máximo esfuerzo para mantenerlos al día...

Saludos!

Hernán

En este articulo vamos a contarles que debemos instalar y como debemos configurar nuestro OpenBSD para que se conecte a una VPN con PPTP en un servidor MS. El mismo fue realizado sobre un OpenBSD 4.1 i386.

Si bien PPTP se encuentra por debajo del estándar de seguridad de hoy por su bajo nivel de encripción y algoritmos usados, en algunos casos no nos quedara otra que utilizar esta tecnología de VPN para conectarnos a una red o a un equipo de forma remota. Muchos dicen que usar PPTP es lo mismo que nada, ya que es muy vulnerable y la información que viaja a través del túnel podría llegar a ser interceptada y desencriptada, pero podría ser que no tengamos la administración del equipo RAS remoto porque no esta dentro de nuestras tareas en la empresa o porque es pertenencia de otra empresa y en ese caso no nos quedara otra que utilizar PPTP.

Este es el link al instructivo que se encuentra en el Wiki: OpenBSD como cliente PPTP

Seguimos sumando artículos al Wiki, si bien siguen siendo cosas básicas, por algo se tiene que empezar.

Los nuevos artículos son:

• OpenBSD + PF = Firewall

• Instalación OpenBSD

• Patch de OpenBSD

• Ports y Packages

• ADSL

Estos artículos se suman a los ya subidos anteriormente, por si no se acuerdan se los recuerdo:

• Resolución 1280x800

• aMSN

• Opera + Flash

• Bash

• SSH root

• Zona Horaria

Espero que les sean de utilidad y dejen sus comentarios.

Saludos!