Monta OpenStack Kilo mediante devstack 2015 en español

Estándar

openstack-iconOpenStack es uno de los proyectos o laboratorios más interesantes y grandes que puedes llegar a montar en casa es el de OpenStack, quizás algunos ya lo conociais y otros lo estais conociendo actualmente.

Basicamente OpenStack es un IaaS, es decir infraestructura como servicio, y aunque os podria soltar bastante rollo sobre esto, ya sabeis que suelo ser escueto y dejar realmente que busqueis toda la información complementaria.

Para que lo entendais bien, se trata de tener un datacenter totalmente virtual, desde las tipicas maquinas virtuales, a poder desplegar redes, routers, balanceadores de carga, firewalls… y todo lo necesario para tener tu datacenter virtualizado.

El proyecto es opensource y desarollado para linux, donde incluso cada gran marca o distribucion tiene sus propias dependencias o paquetes y una amplia comunidad dispuesta a ayudar (a mi incluso podeis preguntarme dudas sin ningún tipo de problema).

Te pica la curiosidad de empezar con el? pues Lee más.

¿Seria etico de avisar?

Estándar

op1aqe[1]

La foto solo es entendible si leéis la entrada completa

Quizás no sea el más acertado en escribir esta entrada ya que algunos de mis proyectos han tenido más chapuzas de las que he encontrado por ahí, y segurisimo que este blog, mis webs o servidores tienen fallos gordisimos de seguridad ya que para nada me considero un experto (ni siquiera principiante) en seguridad informática y mis conocimientos son como cualquier administrador de sistemas y redes y haría lo que podría hacer cualquier niño de hoy en día con un PC y aburrimiento.

Día a día y por aburrimiento audito webs de todo tipo, bien sea de colegas que me las envían para “presumir” de que saben instalar un CMS para la web en la empresa donde les explotan y tienen esos “fallitos” que nos ha pasado a todos como dejarse la administración con los passwords por defecto y poder observar pedidos de la gente que compra en la tienda, así como datos personales de los compradores… Que si encima se lo dices te dice: -Noo, si es que estamos de pruebas! (despues de 70 pedidos y 65 clientes…cuesta creerlo).

Otro de los tipos de webs que me gusta auditar son las de los organismos públicos, ya sabéis ayuntamientos, emplazamientos municipales y todas esas webs que se han pagado con mis impuestos a gente “Profesional” para que luego use un CMS con una versión de hace 4 años, sea muy fea, cutre y tenga más puertas traseras que un puticlub, así que claro cualquier XSS puede elevarte a ya sabéis donde…

Y por ultimo quizás la que mas me gusta es la de las ofertas de trabajo (aquí si que reconozco que hay mas resquemor que aburrimiento) son aquellas que te presentas por Infojobs, das el perfil y aun así te dicen “Tu candidatura ha sido descartada” y piensas – Es que la empresa será demasiado para mi… Aun así indago un poquito más y puedo comprobar como sus webs poseen comentarios HTML con los passwords que hay para la administración o para la conexión a la BBDD, como se dejan directorios como el de /uploads/ en 777, fichero robots con directorios de prueba y material sensible, incluso hubo una web que por primera vez me funcionó el “”or ‘1’=’1″… Así que no se realmente que buscan…

Por ultimo os voy a contar digamos una ultima “Gorda” que me encontré y de ahí la pregunta que da titulo al post:

Seguir leyendo

Heartbleed2? Shell Shock (CVE-2014-6271)

Estándar

bashAyer apareció una nueva vulnerabilidad en Bash, y es bastante bastante seria. Esta vulnerabilidad permite ejecutar código remotamente y podría alcanzar numerosos servidores y routers basados en Linux.

Básicamente si quieres probar si tus servidores son vulnerables tan solo tienes que abrir el terminal y escribir:

export testbug='() { :;}; echo SOY VULNERABLE'
bash -c "echo ERES VULNERABLES"

Si en efecto se muestra el mensaje deberás de aplicar el parche que recientemente ha salido.

A continuación os dejo más información sobre la vulnerabilidad y sobretodo recomendaros encarecidamente que actualicéis para aplicar el parche correspondiente:

http://1337day.com/exploit/22692