• Presentation
• Register
• Program
• Organizing Comittee
• Listing of registered people
• Translators team

feistel	no se resuelve la URL
RamonRamo	http://www.portknocking.org
RamonRamo	sera asi?
Zippo	http://www.portknocking.org
RamonRamo	yep , si es asi
feistel	la idea es abrir puertos en demanda?
feistel	es como un abrete sesamo!!
feistel	ahora bien eso puede romperse por fuerza bruta?
feistel	con un rapido port scanning obtendriamos la secuencia si es
corta
feistel	operadores! no lo tengo a Freddy por aca
fernand0	?
krocz	Freddy por aqui te haremos las preguntas pertinentes :)
Freddy	ok
feistel	no conozco mucho el port knocking pero le veo muchos
problemas de seguridad
feistel	Freddy: conoces el pf_auth de OpenBSD?
krocz	feistel en cierto modo es una cuota de seguridad mas
krocz	por ej
krocz	el port ssh no siempre lo tienes abierto
krocz	y lo habres solo cuando mandas la secuencia
krocz	y a si no tienes a una persona que quizas con mucha paciencia
pueda hacer fuerza bruta
feistel	si krocz pero me gusta mas la filosofia de del Auth PF de
OpenBSD, la conoces'
feistel	?
krocz	nop
feistel	es muy facil y segura al mismo tiempo
krocz	de eso presentaras mañana??
krocz	deberias incluirla :D
feistel	krocz: te autenticas con ssh al box open y este cambia las
reglas para dejarte entrar, luego cuando terminas la session ssh las reglas
vuelven a la normalidad, funciona como authentication gateway
feistel	las reglas la definis por usuario
feistel	krocz: no la de mañana es sobre otra cosa, jeje en otra
ocasion con gusto
feistel	Freddy: muy interesante la tecnica, no la conocia y a partir
de ahora la voy a investigar, gracias por la difusion
krocz	yo conocia esta tecnica
krocz	pero la conocia ocupando el protocolo ICMP
Freddy	cual la del port knocking?
krocz	si
Freddy	mm si.. por ahi existe una implementacion precisamente en icmp
Freddy	La idea de los usuarios surgio porque a mi asesor de tesis se
le ocurrio que seria buieno que si le cambiabamos el passworda algun usuario,
estedeberia ser consciente de alguna manera de este cambio.
krocz	el "problema" de esto es que habria que cargar un modulo en el
servidor
krocz	que actuara como sniffer
krocz	o un programa root
Freddy	Y pues se me ocurrio que igual el usuario podria tener mas de
un password y sobre todo si era capaz de modificar las secuencias a su antojo
Freddy	Sipi.. en mi casoo implemente un vil programa en perl que
"parseaba" en /var/log/messages
krocz	pero Freddy
Freddy	peor pes obviamente hay problemas .. imaginate que mandas
unflood al servidor.. como todo lo estas registrando a archivos.. :S
krocz	si mandas SYN
krocz	no queda en el syslog
krocz	si no me equivoco tienes que recibir un SYN+ACK
Freddy	mmm estuve usando eliptables que viene con slack 10 y con
fedora 2 y pues.. si aparecen :S
krocz	para que quede en el log
Freddy	De hehco no me meti mucho cone so.. asi que preferiria
re-revisar mis logs
krocz	eso se puede revizar viendo jugando un poco con hping2
krocz	y trabajar los packetes
Freddy	Bueno.. muchas gracias por aceptar mi propuesta de ponencia..
yo me retiro porque tengo que regresar al trabajo jejeje
Are we there yet?)
Freddy	Mi jefe puso cara de "ay como trabajas".. jejejejeje
krocz	o hacer un programa con Socket Raw
Freddy	Sip!
krocz	y rehacer la cabezera ip :D
krocz	jaja
krocz	a mi tb
krocz	:)
Freddy	jaajaja jugar con libnet y libpcap es altamente educativo
Freddy	Sale pues!
Freddy	nos leemos luego
Freddy	Saludos!
Freddy	un abrazo desde Mexico!
Freddy	EOT
Abandonando)
jjose	adios
Sclippa Argentina. "Unix Application Security Framework"'
http://www.luiso.org)
(Terminando cliente)
> hola
http://www.ircap.com •)
> lunch
(Leaving)
* krocz (krocz@200.29.144.214) has joined #qc
albeiro	hello :)
out)
felix	!startlog
jaime	felix: Estoy logueando el canal #qc  en [http://felix.zapto.org/
jaime/qc.html]
pappy-	Universitado National Fault
pappy-	sounds evil
pappy-	what is an .a domain
pappy-	sorry, try not to take me serious :-)
pappy-	hi pip
damage	pappy-, *ar
damage	sorry, no .a
krocz	feistel, te basaras en un SO en especial o es general?
pappy-	no problem, i am just a joker :-)
krocz	thx
trulux	pappy-, here we can mae the comments
trulux	feistel, cuando dices en general chroot jailing deberías
mencionar otro tipo de jaulas como las de freebsd, y no hablar de jaulas
chroot en general en todos los Unices
trulux	feistel, también existen jaulas mejoaradas que se usan en
algunos entornos, como las jaulas rsbac: rsbac_jail()
trulux	feistel, el chroot puede comprometerse en tiempo de ejecución
con varios tipos de "trucos", desde hacer un doble chroot hasta intentar
matar procesos fuera de el
trulux	feistel, estoy de acuerdo pero lo que se haría es inducir q ue
retornase a un area de memoria de nuestro control, no solo meter un "shell
code", sino corromper la memoria del proceso
feistel	ya veremos esto despues :)
krocz	una forma de evitar la ejecucion es dejando el stack, en estado
"no execute"
feistel	krocz: esto lo veremos mas adelanet
pappy-	krocz: is that "ejaculation" i am reading there?
krocz	en linux hay un parche para el kernel sobre esto :
pappy-	that word
krocz	:D
pappy-	ejecucion
trulux	krocz, hay varios
krocz	si, se :)
krocz	pero esta opcion pareciera hacer la menos critica en el
performance de la maquina
santo	donde estan las diapos (o un log de la charla) ? me perdi el
principio de la charla
feistel	http://170.210.180.9/umeet
trulux	krocz, NOEXEC? eso depende de la implementación
trulux	y la segmentación de la memoria
santo	gracias
trulux	<feistel> si eso se conoce como W^X y lo veremos mas a
trulux	feistel, no, W^X es de OpenBSD, hay más implementaciones:
Stack Guard de Immunity, ExecShield y PaX por ejemplo
trulux	Openwall
pappy-	para donde vas
pappy-	i can speak french too if i wanted to!
pipacs	stackguard is from 'immunix'
trulux	yep
trulux	fuck them anyway
trulux	;-)
trulux	just kidding
acey	cowan has done some interesting work
pappy-	Crispin Cowan is a good man.
krocz	trulux stackguard ocupa otra tecnica
krocz	no es la de no dejar ejecutable el stack
trulux	krocz, simplemente funcionan de diferente manera pero haciendo
lo mismo
krocz	si, evitan los stack overflow
krocz	:)
trulux	no, evitan que las páginas sean escribibles y ejecutables al
mismo tiempo ...
trulux	como traducción , pues si, previenen los bof
feistel	trulux: no, el concepto de paginas ejecutables no esta en i386
trulux	feistel, como? hay implementaciones para i386 ... openwall,
pax, etc, si te refieres al soporte por hardware, amd64 , x86_64
feistel	trulux: no la tecnica W^X no usa paginas en i386, si en otras
arquitecturas
trulux	me refieor a NX
pipacs	feistel, you said that W^X is a concept, how do you reconcile
that with saying that W^X doesn't use paging on i386? FYI, pax implements
exactly that on i386 ;)
pipacs	so it's possible
feistel	pipacs segments, not paging
pipacs	excuse me?
pipacs	pax has two NX implementations, one uses paging (the first
one, from 4+ years ago)
trulux	feistel, i said to you : SEGMEXEC and PAGEEXEC
trulux	segment based and pages based
trulux	you seem not understanding how they work
trulux	one requires specific NX support on hardware and the other
doesn't
trulux	one produces overhead if no hw support and the other it
emulates
pipacs	now you don't understand it either then :P
trulux	per-page the NX bit
pipacs	i386 doesn't have specific NX support
trulux	pipacs, me?
pipacs	yup
trulux	i didn't said that
pipacs	who did then?
acey	segmexec doesn't need nx support
trulux	wait, pappy talking at debhard channel
Ramon__	MMU'
Ramon__	?
Ramon__	MMU?
ducky	memory management unit
Ramon__	aaa
ducky	== MMU
ducky	:)
Ramon__	thnx
trulux	feistel, hay varias implementaciones de SSP:
http://wiki.debian-hardened.org/SSP/ProPolice_Implementations
trulux	feistel, en realidad no se obtiene ningún codigo protegido,
sigue sinedo vulenrable pero se llama a la función guard de SSP antes de
ejecutar ningún tipo de operación extraña, en el inicio de la ejecución
trulux	<feistel> una copia del "guard" es mantenida en un area
protegida fuera del alcance de un overflow
trulux	en realidad lo que hace es aleatorizar usando la interfaz
random.c del núcleo el lugar dónde pondrá el "canario" que reflejará si se
está intentando sobreescribir un area de memoria ilícita y lanzar un SIGABRT
trulux	el SIGABRT puede ser un SIGSEGV dependiendo de como se
implemente SSP o lo que decida el desarrollador
trulux	feistel, ping
feistel	lo dije que genera un aleatorio
feistel	pero debe comparar el guard para saber si hubo corrupcion
trulux	quizás quedaría más claro si cuentas algo sobre tipos de
"canarios", como quieras
trulux	cierto
trulux	vas a poner algun ejemplo real?
trulux	si quieres puedo hacerlo yo, me gustaría
feistel	trulux: a ver espera
trulux	tengo todo preparado
feistel	trulux: ok seria interesante
trulux	es una app real, hecha para esto
trulux	un gestor de bases de datos de empleados
trulux	cuando quieras avísame
trulux	;-)
feistel	ok
trulux	<feistel> pero todas ellas tienen limitaciones y debilidades
trulux	feistel, luego hablo yo de algunas si quieres
Ramon___	DEJA QUE FEISTEL TERMINE
krocz	jaja
krocz	trulux al final se habre el canal y podremos discutir
krocz	de manera abierta
krocz	:)
trulux	krocz, :P
feistel	trulux: si quieres contar algunas diferencias hazlo aqui y
las paso al otro canal :)
trulux	feistel, ok
trulux	pappy-, wanna talk about ssp implementations?
feistel	trulux: y?
trulux	feistel, un segundo que ando hablando en varios canales
trulux	feistel, bueno, comentar primero que implementando SSP en la
libgcc, la "standard" es poco inteligente, provoca problemas sobretodo en
sistemas con particionado peculiar (/usr en partición diferente a /) y además
recarga el sistema, no dejando compatibilidad con modelos anteriores
trulux	es decir
trulux	si has compilado binarios con el ssp en la Glibc no
funcionarán con ssp en libgcc
feistel	trulux: asienta si son para Linux o para UNICES
trulux	tendrás que recompilarlos
trulux	en este caso GNU/Linux
trulux	pero se aplica a cualquier sistema que use GCC con SSP ...
feistel	por q la conferencia es en general para UNIX no en particular
para Linux, pero no hay problema
trulux	ok
pappy-	pappy?
pappy-	is that me
trulux	heh
pappy-	i am pappy, am i?
pappy-	well, then it must be me
pappy-	that pappy- guy
trulux	is that alexander gabert? yeah, it is!
krocz	trulux daras ejemplos al terminar la charla??
trulux	krocz, si
krocz	feistel eso de ACL a las syscall viene implementado en el
parche de grsec
trulux	krocz, en la mayoría de sistemas MAC suele venir, RBAC, RSBAC,
SELinux, etc
krocz	trulux si pero en 2.4 no trae
krocz	para eso es el parche grsec
krocz	en 2.6 lo trae en el kernel
feistel	recuerden UNICES , no solo Linux
trulux	krocz, estoy portando SELinux a 2.4
trulux	y de momento he portado el ss del 2.6 al 2.4, actualizado el
u?timo parche que aplicaba contra 2.4.26
trulux	es decir, que salvo los nuevos hooks para redes, el resto de
las características del 2.6 ya están en el 2.4
trulux	bueno, es decir demasiado, el soporte de xfs y jfs con ext,
attributes no lo he portado
trulux	es un coñazo y me aburro bastante , así que voy con lento
trulux	lentitud
trulux	:P
Ramon___	en que trabajas trulux?
trulux	Ramon___, soy estudiante
Ramon___	sabes mucho sobre la parte de seguridad
trulux	se hace lo que se puede
feistel	jeje si, nos los va a demostrar mas tarde :)
Ramon___	y que otros OS conoces ademas de linux
krocz	feistel, systrace en que status esta en linux??
Ramon___	BDD?
Ramon___	BSDOpen?
krocz	por lo que me comentaron no esta muy estable como en otros *nix
trulux	feistel, cuanto crees que te falta? hoy estoy matado :(
krocz	trulux si quieres podriamos cordinar algo
krocz	para que presentes algo
Ramon___	seria muy bueno :D
trulux	echadle un vistazo a http://www.debian-hardened.org/papers/hard
ened-debian-2005-en.pdf
trulux	aún no es público, pero ya hay gente colaborando con ello
trulux	si alguno va al CCC congress el 27 de este mes, en berlín,
puede que se hable algo de él
reset by peer)
krocz	me gustaria ir pero me queda muuy lejos :(
krocz	trulux tengo un tiempo disponible el dia 19 de diciembre
krocz	te gustaria presentar algo
krocz	pareces tener arto material
krocz	:)
trulux	puede, dime en que lugar ;-)
krocz	trulux a las 21 GMT
overflow_	clap
overflow_	clap
feistel	trulux: tienes el canal
trulux	feistel, ok
felix	!unlog
felix	!date
jaime	felix: Wed Dec 15 22:57:35 2004
felix	!unlog
felix	hurm
pappy-	see you
pappy-	bye
felix	!unlog
BitchX FTP Site -- ftp://scripts.bitchx.com)
overflow_	Interesante
overflow_	gracias trulux
CarlosV	alguien me pasa el log
trulux	;D
santo	ya has terminado trulux?
trulux	si
trulux	me toca dormir , eso sí, el 19 hago una ponencia en condiciones
santo	muy bueno...pense que seguirias con el shellcode
santo	perfecto
santo	aqui estare!
trulux	lo vemos el 19
trulux	prometido
santo	gracias!
jksa	podrias postear parte del source de tu ejemplos
jksa	para la proxima
trulux	jksa, lo haré
jksa	para qe en las partes de uso de gdb quede mas claro todo
jksa	:)
trulux	jksa, cierto, el viernes o mañana al mediodia intento subirlo
trulux	llevo dos semanas muy liado
jksa	bueno
trulux	buenas noches
jksa	chao
krocz	buenas noches trulux
trulux	bonna noite
(Abandonando)
Canut Zazurca. Bufete Canut y Grávalos. Spain. "L.O.P.D. y secreto profesional"'
disappeared!)
felix	!part #qc
> hola

Generated by irclog2html.pl by Jeff Waugh - find it at freshmeat.net!

The Organizing Comittee

More information

© 2004 - www.uninet.edu - Contact Organizing Comittee - Valid XHTML - Valid CSS - Based on a Design by Raul Pérez Justicia