lunes, mayo 22, 2006

La gran bacanal

La semana pasada, tras dar una sesión en Pamplona, donde la fiesta de la consecución de la plaza de Champions era brutal, pase a Huesca, donde la celebración de la copa de Europa del Barcelona no dejaba nada atrás a la del osasuna en Pamplona (sí, en Huesca), me llevó el camino al Santiago Bernabeu para dar una sesión, como no, de seguridad. Allí se me ocurrió la brillante idea de hacer el famoso chiste de Ronaldo, ese en el que digo, que si miramos los datos, a lo mejor no es tan buen delantero (dios me perdone el sacrilegio en el Bernabeu).

El caso fue, que entre los ya habituales chistes comunes (había poca gente que me conocía por lo que pude repetir muchos) saqué la web de Zone-h, y sorpresa para mi, ví que habían sido hackeados en un dia 23 mil y pico sitios y el 90 y tantos por 100 eran de Windows.

Esto está mal, pensé, lo normal suelen ser unos 3000 día, como mucho.

Al día siguiente llegué a leer mis newsletters y ahí estaba. Un pájaro se había cepillado/hackeado un hosting de Windows 2003 y había hecho, de una tacada más de 21.000 sitios. Para que luego digan que el scripting no rula en Windows!

Iskorpix que así firma el hacker de turkía se ha quedado a gusto. Vaya bacanal de Sangre!! Los bits debieron salpicar hasta al apuntador.

De flipar.

Aquí tenéis el link a la noticia de zone-h: http://www.zone-h.org/en/news/read/id=206009/

9 comentarios:

Anónimo dijo...

Buah, pues a mi correo ha llegao esto:

http://www.laflecha.net/canales/seguridad/noticias/200605211/

De los que molan, desbordamiento de búfer con ejecución de código remoto y toda la peña, y con los permisos del usuario que en ese momento esté ejecutando el Wol. Y como mucha peña directamente va sobre el administrador y como hay rumores malos malosos de que el Office sin administrador no rula bien...

Pues no sé, si sacamos los datos... lo mismo el Ofis no es tan bueno por muchas opciones chorras que tenga y encima es caro de cojones (lo digo por si la peña se va cansando del chiste de Ronaldo, ahí te dejo una joyita, y freeware).

Y aupa esa Marea, Fito y el Robe, que es lo único por lo que me caes bien.

Chema Alonso dijo...

Mientras Iñaki toque que no pare el concierto!!

Bueno, como me gusta los derechos de las minorías y me empiezo a sentir una de ellas seguiremos con esto.

Lo de Word ya lo había leido, de hecho en el blog oficial del equipo de seguridad de Ms se hablaba de eso. http://blogs.technet.com/msrc/

Va sobre email, con lo cual con detección de domain spoofing salta, pero en fin. Las vulnerabilidades llueven por todas partes.

Creo que en OpenOffice, sin tantas "chorradas" como trabajo colaborativo, pivot tables, y.. en fin, chorradillas, hay tb una buena cantidad. Creo que alguna más.

http://scan.coverity.com

1445?? He debido de leer mal.

Por cierto, como Rosendo ninguno! Nos vemos en el próximo concierto, que no me pierdo uno cuando viene a madriles.

Anónimo dijo...

¿Trabajo colaborativo? Creo que es verdad lo que dicen por ahí, que crees que todo son telefónicas, microsofts y generales motores cuando no es así.

Yo trabajé para dos fábricas del Grupo Gamesa que estaban juntas, en total varias decenas de licencias legales del Office. ¿Problema? Pues que como te he dicho antes cada vez son más caras las licencias, yo creo que ha llegao a un punto exagerao (sobre eso no me has rebatido nada...), de forma que solo se iban comprando nuevas según se necesitaba, con lo que me encontraba con tres versiones corriendo a la vez (2000, XP y algún 2003) y los usuarios quejándose de que lo que hace uno no lo puede ver o modificar el otro. Menos mal que no les conté lo del trabajo colaborativo, que igual me echan los ordenadores a la cabeza.

La verdad es que no se cuantos tiene el OpenOffice (creo que eso que has nombrado son bugs, no todo serán buffers overflow con ejecución de código remoto ;-)), lo que sé es que bajo mi Debian va sobre usuario normal (o en windows, que también va sobre usuario normal) lo que cierra bastantes puertas más que sobre un admin en winxp.

De todas formas si hablamos de cosas que no son agujeros de seguridad podemos decir que es el primero (aunque no el único) en soportar el primer formato de documento estándar real, OpenDocument, formato refrendado entre otros por la UE. Y dirás "pero es que a la gente se la repanfinfla un estandar, un estándar es lo que más se usa" (algo así has dicho en alguna charla), pues ya dirás porque Microsoft tiene los cojones prietos por que le aprueben el suyo... Que pena que de tantas chorradillas no tenga esa el Office y no todo el mundo pueda ver los doc ;-)

En cuanto al Rosen, no se, me gusta pero cada vez me aburre un poco más. Está perdiendo fuelle.

Por cierto, mola el enlace.

Un saludo.

Chema Alonso dijo...

Hola, holita!

Lo de Rosendo no te lo perdono, eh!! Sagrao.

Respecto a lo otro, vamos por partes como dice un colega mio camello partiendo la coca:

1.- Office funciona con usuario
2.- Si usas nuevas funciones de Office 2003, como quieres verlas en office 2000? RTF funciona desde hase bucho tiempo en todas las versiones. Ahora en Office 12 va con un formato abierto.
3.- Respecto a los estándares que digo en mis conferencias digo: "El documento que la única definición de estándar en Internet la da el IETF y es: "In general, an Internet Standard is a specification that is stable
and well-understood, is technically competent, has multiple,
independent, and interoperable implementations with substantial
operational experience, enjoys significant public support, and is
recognizably useful in some or all parts of the Internet" http://www.ietf.org/rfc/rfc2026.txt y que luego cada implementación puede ser distinta, con lo que ni TCP/IP ni SQL son estándares clarificados. Si quieres te doy ejemplos pero se hace muy largo este comment.

Bueno, no voy a enrollamerme, más. El problema siempre es "no puedo ver en esto lo que hice con Office, y no al revés" por algo será.

Gamesa... mmm creo que son clientes nuestros, investigaré esos problemas que dices.

Nos vemos!! and remember Rosen is sacred! :P

Anónimo dijo...

1 - Si tú lo dices...
2 - Pues he ahí el problema. Por supuesto que es obvio que no es anormal que tengas problemas viendo/editando con 2000 un documento creado por ejemplo con XP. Digo que lo que no te parece tan obvio es la segunda parte: que la mayoría de las empresas no son generales motores, por lo tanto no pueden ni planificar actualizar su flota ofimática a la última versión de Office. Y da la casualidad que estas empresas no usan features como el "trabajo colaborativo" (otra cosa es que debieran hacerlo, por cierto, eso de que el trabajo colaborativo sea un argumento del maligno pues despista...). Lo de usar rtf... suena a agarrarse a un clavo ardiendo. En cuando a lo de formato abierto supongo que te refieres a la implementación de xml de Microsoft que usará en Office. Pues eso, como mucho abierto. Lástima que todavía sea un formato controlado por una empresa y no por un organismo independiente...

3 - Supongo que estamos hablando de estándares documentales, no de estándares de internet. Que OpenDocument esté ya en ISO significa que es estándar (al menos cuando le toca a Microsoft bien claro que farda de ello, oye).

Y Gamesa cliente de Informatica 64 no se, pero de Microsoft sí. Lo que me extraña es que no le compre hasta la vaselina tamaño industrial ;-). El problema no es otro que el que te he dicho: pasta para pagar bytes.

Chema Alonso dijo...

Cuando grabas un doc puedes elegir las opciones de compatibilidad, pero en fin, aquí no estamos para aprender office. El link que me has puesto es de W2000, el Common Criteria, que no es un estándar sino una certificación de Seguridad, tb lo tienen los 2003 con EAL4+ (http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4&orderindex=1&showcatagories=256).

Respecto a Open Document, estándar abierto de documento, promovido por IBM, viene en Office 12. Como bien digo en muchas charlas, muchos estándares luego son abandonados, caso de OSI (que creo que solo lo implemento IBM con SNA, pq sabes que TCP/IP es un estándar de fácto), X.400 (estándar para correo electrónico. Seguro que usas POP3,IMAP y/o MAPI) o X.500 que al final triunfó LDAP (aunque nació para ser un gateway X.500). Ahora si buscas en la web de IBM documentos open document me dices cuantos tienes, pero... busca doc y pdf en esa misma web y dime cuantos salen. PDF no es de Ms y sin embargo hay que contar con él, pq es un estándar de facto.

Me abro .... y no de patas!.

Anónimo dijo...

Llega un momento que lo mismo vale un roto que un descosido...

Tu famoso ejemplo de la pila TCP/IP de BSD. Se te suele olvidar que fue implementado bajo licencias *BSD (con lo cual cumple uno de los requisitos para ser estándar real, procedimiento conocido e implementable legalmente por todo el mundo) gracias a lo cual Microsoft Windows (el que siempre es copiado) tiene soporte de redes hoy en día (después de no dar importancia al fenómeno de internet y después de intentos como Microsoft Network, el adalid de la innovación llegó tarde pero llegó a la conexion de red gracias a software libre. Aún recuerdo cuando en win95 y creo que la primera edicion del 98 tenias que instalar el soporte de redes). Por cierto, que yo sepa TCP/IP están en la capa 4 y 3 respectivamente de OSI.
En cuanto a OpenDocument, supongo que no es más que otra sitio a donde ha llegado tarde Microsoft y compañía. Si no fuera así dime porque los esfuerzos porque reconozcan su "fomato abierto" (que no es tal puesto que cierra las puertas de su implementación a "la competencia"). Y por supuesto que ahora encontramos más docs, pero ahora hay alternativa y encima es estándar real. Tiempo.

Anónimo dijo...

Y mire usté que en Slashdot recuerdan el documento de Dan Greer (que le costó el trabajo, por cierto) donde afirmaba que el monopolio de Microsoft era una amenaza para la seguridad y empleaba precisamente un ejemplo como el ocurrido con Word, donde ya no son necesarias las macros para ejecutar un troyano que abra una backdoor.

Interesante lectura

Y cada vez más acertado el título de este post.

Chema Alonso dijo...

Sobre el TCP/IP
Bien por MS por implementar TCP/IP lo licencie quien lo licencie. W98 llevaba lo de redes y W95 creo que todas tb (dudo si a lo mejor la primera no lo tenía, pero me extraña, lo que cuentas es de Windows 3.x)

TCP/IP implementa una solución de conectividad de 5 niveles y los protocolos de la familia van desde la parte alta del nivel 2 hasta el nivel 4, además, no cumple las funcionalidades de servicio definidos en los niveles OSI estrictamente. Pero lo dicen los profes en clase, no problemo.

Respecto al doc de Ms, no es que cierre la implementación a otras empresas, es que no da detalles de su implementación, pero el formato está bien documentado. El IETF no exige que tengas que dar detalles de tu implementación.
Aquí puedes descargar la información de todos los eschemas xml de los documentos office y bien detallados.

http://www.microsoft.com/downloads/details.aspx?familyid=fe118952-3547-420a-a412-00a2662442d9&displaylang=en

Sobre la diversidad genética:

El documento lo conocía y lo había leido. De hecho, la idea original no es suya. Hace mucho tiempo ya que se habla de la diversidad para evitar que un virus afecte a todos. De hecho, en las recomendaciones de los firewalls siempre se ponen distintos para evitar que una vulnerabilidad afecte a todos. También se usa en el diseño de soluciones antivirus, etc...

En el caso de las plataformas el problema es mayor, pq diaríamente aparece exploits para todos las plataformas (Linux/Windows)por lo que las alternativas no son que me entre o no un virus a una de las dos plataformas, sino que tengo que realizar un esfuerzo de seguirad para fortificar todas las plataformas, lo cual duplica las inversiones, los arreglos, los equipos, las herramientas de interoperabilidad,.....No viable en la mayoría de las empresas.

Respecto a un troyano sin interacción con usuario, hay miles desde hace mucho tiempo y yo tengo bastantes para máquinas linux no parcheadas, de hecho, zero-days existen algunos por ahi circulando y algunos los tengo muy localizaditos.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares