Weblog de Madelman

Mucha de la información necesaria para el funcionamiento de Windows se guarda en el registro. El registro es una base de datos donde se centraliza la configuración del sistema, del hardware del que disponemos y de muchas aplicaciones. En versiones anteriores de Windows esta información se guardaba en ficheros de texto (normalmente con extensión INI) y cada aplicación los guardaba en diferentes directorios, lo que complicaba buscar el que nos interesaba para modificarlo. A partir de Windows 95 se implementó este nuevo sistema que permite editar los datos que contiene desde un único sitio.

El registro está organizado en una serie de carpetas y subcarpetas donde se almacenan las claves y el valor que tienen. Esta estructura lógica es muy parecida a un sistema de ficheros, donde las claves se corresponden a los nombres de los ficheros y los valores al contenido de ese fichero. De ese modo, podemos acceder al valor de una clave navegando hasta la subcarpeta donde está la clave y visualizando su valor.

Para poder editar el registro disponemos de dos herramientas, regedit.exe y regedt32.exe. Podemos ver las diferencias entre los dos en este artículo de la Microsoft Knowledge Base. Es bastante peligroso editar directamente el registro, ya que si nos equivocamos haciendolo podemos dejar el sistema en un estado inestable o incluso inservible, de forma que podemos tener que reinstalar el sistema operativo. Además, existe el riesgo de corrupción del registro de forma que no sea posible recuperarlo.

Por ello, es adecuado realizar copias de nuestro registro habitualmente. Para hacerlo podemos utilizar ERUNT, que nos permite realizar una copia de todo el registro y posteriormente restaurarlo desde DOS o desde la Consola de Recuperación de Windows. Este programa nos permite planificar copias diarias del registro de forma que podemos volver a estados anteriores cuando lo necesitemos.

Del mismo autor es NTREGOPT, que permite optimizar el espacio que ocupa nuestro registro. Cuando instalamos y desintalamos muchos programas se crean y se borran claves en el registro, pero el espacio que ocupan estas claves puede no recuperarse totalmente. NTREGOPT funciona creando un nuevo registro que contiene solo las claves existentes sin el espacio vacio que hayan podido dejar las borradas, aprovechando mejor el espacio en disco que ocupa el registro.

Otra causa de problemas en el registro son los programas que crean claves en él que despues no son borradas. Esto provoca que el registro se llene de claves repetidas o innecesarias. Existen diversos programas que nos permiten la limpieza del registro, como Easy Cleaner, aunque debemos tener especial cuidado con el uso de estos programas porque podemos borrar sin querer claves que son necesarias para el buen funcionamiento de nuestro ordenador.

Finalmente, existen toda una serie de “trucos” que podemos aplicar a nuestro ordenador para cambiar alguna de sus funcionalidades a través de modificaciones en el registro. Hay una lista bastante completa de estas modificaciones en Winguides.

Podeis encontrar más información en los siguientes libros: Microsoft Windows XP Registry Guide y Managing the Windows 2000 Registry.

Via Quands.info

Una lista de usuarios y contraseñas por defecto en múltiples dispositivos de red.

Vía Microsiervos

La noticia tiene ya algunos dias, pero la BBC nos explica algunas de las vulnerabilidades que se han descubierto en el Service Pack 2 de Windows XP pocos dias despues de su publicación.

Más libros consultables on-line. En este caso es Thinking in C++ de Bruce Eckel.

También podeis conseguir la versión en papel del primer volumen y del segundo

Vía TaoSecurity

El programa PADS (Passive Asset Detection System) permite detectar pasivamente, es decir, escuchando el tráfico de red, sin enviar nada, que sistemas hay conectados y que servicios de red ofrecen.

Nos ofrece los resultados en forma de fichero CSV:

10.0.0.85,22,6,ssh,OpenSSH 3.5p1 (Protocol 1.99),1092511282
10.0.0.83,80,6,www,Apache 1.3.31 (Unix),1092511493

o a través de pads-report en forma de listado:

4 ——————————————————
IP:       10.0.0.83
MAC(s):   08:00:20:a0:14:a5  (2004/08/14 14:21:19)
ICMP:     Enabled

Port  Service    Application
22    ssh OpenSSH 3.8.1 (Protocol 2.0)
80    www Apache 1.3.31 (Unix)

5 ——————————————————
IP:       10.0.0.85
DNS:      ws01-05.mynet.org
MAC(s):   00:0c:29:ba:1e:02  (2004/08/14 14:21:14)
ICMP:     Enabled

Port  Service    Application
22    ssh OpenSSH 3.5p1 (Protocol 1.99)

Via Quands.info

Una buena explicación de que son y como funcionan los algoritmos de hash como MD-5 o SHA-1 y que implicación tienen las vulnerabilidades descubiertas recientemente.

Los chicos de GMail han sido tan amables de concederme una invitación para poderla repartir.

Como aun me quedaba alguna de hace tiempo las repartiré a aquellos que en los comentarios pongan un pequeño artículo parecido a los que escribo en este weblog (es decir, sobre seguridad informática).

Keith Brown tiene un wiki donde se puede leer online su libro The .NET Developer’s Guide to Windows Security.

Podeis conseguir también la versión en papel.

Un interesante artículo sobre como librarnos de todo ese software maligno que nos puede entrar por Internet. Gentileza de jd’s New Media Msuings

El CERT de Estados Unidos publica un interesante artículo sobre el spyware, como reconocerlo y como librarse de él.

El artículo original aquí y una traducción cutre de Google aquí

Los 10 cambios más importantes en el Service Pack 2 de Windows XP

Uno de los libros de referencia sobre TCP/IP, TCP/IP Illustrated vol. 1, ahora en HTML.

Podeis conseguir también la versión en papel.

Al parecer los acentos de los posts anteriores se han perdido, así que intentaré buscarles a ver si los encuentro .

UPDATE: Ya he encontrado los acentos. Un poco de SQL por ahí y han vuelto todos.

Me gustaría escribir pequeñas notas con links a noticias de otros weblogs sobre seguridad que leo habitualmente, pero al tener el weblog bajo Wordpress me resulta muy pesado entrar en la interfaz web para escribir solamente dos lineas.

Por ello, voy a probar un programa llamado BlogJet que me permite escribir comodamente desde él. Intentaré que estas notas lleven un pequeño comentario, pero no siempre será posible por falta de tiempo.

Además, pronto pasaré el weblog a la versión 1.2 de Wordpress, por lo que si veis cualquier fallo enviarme un comentario y lo arreglaré lo antes posible.

Veamos una pequeña explicación de como utilizar Zone Alarm.

Una vez descargado ZoneAlarm de la página del fabricante procedemos a instalarlo en nuestro sistema. Si dejamos activadas las opciones que vienen por defecto durante la instalación, el programa dará acceso a Internet a nuestro navegador predeterminado.

Cuando utilizemos otro programa que necesite acceder a Internet, Zone Alarm nos mostrará una pantalla como esta, preguntadonos si queremos permitir que este programa envie datos a través de Internet. Es importante, en caso de que no sepamos que programa es el que nos pide permiso o creamos que no necesita acceder a Internet para realizar sus funciones que no le otorguemos acceso. De esta forma evitaremos que datos confidenciales puedan salir de nuestro ordenador.

En esta ventana de Zone Alarm, podemos ver la lista de programas que tenemos configurados y las propiedades de acceso que les hemos dado a cada uno de ellos. Desde aquí podemos cambiar estas opciones, quitandole el acceso a algun programa que ya no nos interese o otorgandoselo a otro que lo necesite. Tambien podemos hacer que Zone Alarm nos pregunte cada vez que el programa intente acceder a Internet.

Si alguien intenta acceder a nuestro ordenador desde Internet, Zone Alarm nos mostrará una alarma como esta para avisarnos. No debemos preocuparnos si nos aparece alguna alarma de este tipo, ya que significa que el “cortafuegos” ha sido capaz de evitar que entraran en nuestro ordenador. Podemos evitar la visualización de estas alarmas si marcamos la casilla ‘No volver a mostrar este cuadro de diálogo’.

Para protegernos de posibles atacantes que intenten entrar en nuestro ordenador debemos utilizar un software como “cortafuegos” (firewall, en inglés). El “cortafuegos” es una aplicación que monitoriza el tráfico que entra y sale de nuestro ordenador y actua sobre él, según una serie de reglas predefinidas. Por ejemplo, podemos indicarle que no deje pasar tráfico de red hacia nuestro ordenador o impedir que un determinado programa envíe datos hacia Internet.

De esta manera, aunque tengamos un determinado puerto abierto, no se podrá acceder a él desde fuera de nuestro ordenador, ya que el “cortafuegos” impedirá el acceso. También podemos impedir que aplicaciones que no deberían hacerlo envien datos sobre nuestro ordenador, como hacen algunos programas, que envían registros de las páginas web a las que accedemos o incluso registros de las teclas pulsadas en nuestro ordenador.

Existen diversos programas que implementan esta funcionalidad. Windows XP lleva incluido un “cortafuegos", pero es bastante limitado y no dispone de algunas de las opciones avanzadas de las que disponen otros como ZoneAlarm o Kerio Personal Firewall.

Para saber que puertos estamos utilizando en nuestro ordenador existen diversas formas de extraer esta información. La más sencilla es utilizando, desde la linea de comandos, la instruccion netstat. Esto nos mostrará la lista de conexiones que hemos activado desde nuestro ordenador.


C:\>netstat

Conexiones activas


Si quieremos ver la lista con todas las conexiones, incluidas las que estan en escucha podemos utilizar el parametro -a


C:\>netstat -a

Conexiones activas


Nos interesan especialmente los puertos que estan a la escucha (LISTENING), pues pueden ser un signo indicativo de que tenemos algún programa no autorizado en ese puerto. Además, si no estan bien protegidos pueden ser un lugar de entrada para intrusos a nuestro ordenador.

Si queremos ver que aplicación es la que está usando cada uno de estos puertos, podemos utilizar el programa CurrPorts. Este nos mostrará de forma gráfica el uso de los puertos. De esta manera podremos saber si hay algun programa que no debería estar utilizando ningún puerto y lo está haciendo. Debemos tener especial cuidado y comprobar que no haya programas desconocidos en esta lista.