viernes, octubre 20, 2006

Expertos de Seguridad y Experto en Seguridad-Less

Bueno, en primer Lugar dar la enhorabuena al gran David Carmona que ha sido el primero en romper el reto(vaya, uno de los de Microsoft, esto no puede ser), como sé que vendrá a la Codecamp, le haré la entrega del premio (Calzoncillos enmarcados) allí para el regocijo de todos. El reto va a seguir abierto y en febrero haremos una sesión live o Webcast de como y se rompía y porque.

Como la seguridad es importante os dejo enlaces de gente que también está interesada en la seguridad, y especialmetne en este reto.

http://www.ppcv.org/consultanoticias.asp?id=875
http://www.esquerra.cat/aratocano/?seccio=noticies&id_article=4676

http://www.jse.org/web/noticias.asp?IdNoticia=487

http://www.iglesia.org/noticias/ver_noticia.php?num=1

Y ahora quiero quiero hablar de otro experto, el señor Victor Pimentel que en su último artículo sobre IE7 nos deja perlitas del siguiente calibre sobre Internet Explorer:

"este navegador es el más inseguro de todos los existentes"

Para ello ha utilizado la métrica Victor Pimentel que no nos deja muy clara pero sí que esboza.

"Y aunque han salido cientos de parches[...]"

Sí, para IE SP2, es decir la versión del año 2004.

Expedientes de Seguridad IE6 SP2.

En la base de datos de Securityfocus, donde están todas las vulnerabilidas, arregladas o no, reportadas o no por el fabricante y la comunidad, aparecen exactamente CERO cientas Noventa y uno, coño, como el teléfono de la policía que habría que usar para denunciar a ciertos "expertosdeseguridad-less". Claro si hay 0 cientas lo más seguro es que Spectra, que no arregla todas, haya sacado algún parche menos.

"El desarrollo de Internet Explorer ha estado parado casi cinco años, en los que la única funcionalidad nueva que se le introdujo fue el bloqueador de Popups, en la actualización del Service Pack 2 para Windows."

Creo que estabas hablando de IE7, ¿no? pero en fín, si te refieres solo a IE6, creo que lo integró dentro del sistema de gestión de actualizaciones automáticas, a la competencia se le ocurrió un pelín más tarde, las especificaciones de zonas de seguridad, con niveles personalizables. LA INTEGRACIÓN en Políticas de Directorio, que creo que muchos de los otros aún no se gestionan con políticas LDAP,... pero, ya centrandonos en IE7 tenemos el filtro Antiphising, que, después de que IE7 lo tuviera en beta otras compañías de seguridad y otros grandes adalices de la innovación tecnológica en navegación han decidido introduccir.

En el resto de los comentarios que nos regala, existen las manidas frases de miles y miles de veces mejor, la pregunta: En que medida y cuanto de mejor exactamente según que datos?.

Te voy a dar el título, eres un expertodeseguridad-less que tiene una visión completa de cuales son las necesidades de seguridad de una compañía. Y ya que es así, ya sabes, sacame el reto, que no es dificil para un experto como muestra el comentario, y más, cuando uno de Microsoft ha sido capaz (con lo malos que son):

http://www.informatica64.com/retohacking/

El artículo del expertoenseguridad-less

Bies!

16 comentarios:

Nacho Colunga dijo...

La mayoria de la gente no tiene tanto tiempo libre como los de Microsoft, que en lugar de arreglar sus cero cientos bugs se dedican a hacer el moñas con los retos de los amigotes ;)

Me han encantado tus enlaces, los he leido todos, todos, todos.

David Carmona dijo...

La verdad es que no lleva nada de tiempo, siempre que tengas un poco de suerte y no te metas en callejones sin salida. De todas formas mi intención no era llevarme los calzoncillos de Chema (a los que aprecio mucho) sino el puro placer de echar una partidilla y probar.

Se me ocurre que para que esto siga teniendo morbillo renuncio a los super calzoncillos de Chema para el siguiente que pase el reto. Además añado uno de mis libros favoritos, el "Writing Secure Code" de Michael Howard. No es la biblia para el hacker pero sí la biblia para desarrollar código seguro. Tiene dos capítulos enteros dedicados a las dos cosillas que hacen falta en el reto :-)

Maligno dijo...

David, puedes renunciar al reto, pero te garantizo que están sin tocar (ni por la lavadora) desde el día que fueron usados. Son los autenticos chily willers de batman!

David Carmona dijo...

Aunque tener esos calzoncillos en todo su esplendor parece tentador sigo con la misma idea. El reto está puesto: Los chily willers de batman sin lavar y el Secure Code de segunda mano. Además Chema se compromete a escribir dedicatoria. Un libro de desarrollo seguro firmado por Chema, eso sí que es de coleccionista! ¿Aceptas?

silverhack dijo...

La pregunta que deberían hacerse muchos es "El porqué de las no actualizaciones". Microsoft dejó la continuidad del navegador por las presiones de los gobiernos debido al tema monopolista. La versión 6 con el tema del bloqueador de popups e integración total con el directorio activo.
Yo por ejemplo (y corregidme si me equivoco) ActiveX lo considero un feature más del sistema y/o aplicación. Y desde las directivas locales o de dominio puedo decir si me descargo o no un ActiveX. O aprobarlos todos por el administrador que coño! ;-)
Las zorras (con perdón.. XDD) tienen el about:config, y el ventanitas de turno tiene el secpol.msc y el gpedit.msc
Pero claro... Si un SEFWP (Security Expert For Windows Plataform) navega bajo una cuenta administrativa.... Es otro cantar...
Para los incrédulos, que miren lo que pasa en un Windows sólo con el SP2 y ninguna actualización más + Firewall de Windows y navegando con IE.

Comportamiento de Virus en plataformas Windows

Respecto al reto... Creo que soy un completo inútil y una nenaza (Seguiré intentándolo).... ;-)

Saludos!!

Maligno dijo...

Muy chulo el link, jeje.

Respecto del reto, ya os digo que no es facil, avisad en el foro de elhacker.net a ver si alguien más lo saca. No es fácil, pero tampoco es imposible. La semana que viene voy a empezar a hacer una lista con aquellos que "no tienen tiempo" (que excusa más mala) ejejeje

Anónimo dijo...

Buenas, en el blog dice: El reto va a seguir abierto y en febrero haremos una sesión live o Webcast de como y se rompía y porque..

Esto significa que lo hareis en un evento? Habria que estar alli fisicamente? Si es asi, agradeceria muchisimo si pudierais hacer una gravacion (del evento) y colgarla, o una gravacion del escritorio a medida que se va realizando.

muy bueno el blog, te recomendaron como buena referencia en un evento que se realizo hace unas semanas en huelva sobre team system, supongo que el que la daba seria un amigote tuyo.

1 saludo,
thesur

Anónimo dijo...

(no ha salido en el formato correcto, basicamente lo que queria poner era una cita de lo que dijiste de que en febrero hariais una live-session)

Maligno dijo...

Hola thesur,

supongo que sería algún amigote, pq para recomendar este blog... :P

La solución al reto la publicaremos, grabaremos los pasos, etc... no problemo.

Pero... a finales de Noviembre, se publicará la segunda prueba, que será de un nivel similar a este, así que a ver si vamos sacando la primera prueba ya que se va a acumular el trabajo.

thesur dijo...

realmente recomendaron todos tus eventos, que si teniamos la ocasion de ir que no lo dudaramos, te pusieron por las nubes amigo hehe

Maligno dijo...

Bueno, thesur, seguro que exhageraron, pero puedes venir a Sevilla a verlo ;)

Dani Alonso dijo...

Hola Chema "tocayo de apellido"!
Sólo pasaba para saludarte...

David, una dudilla...
¿Que diferencias hay entre las 5 versiones de W.Vista?
* Home Basic
* Home Premium
* Enterprise
* Ultimate
* Business

PD: Chema, si luego tengo un ratillo echaré un 'pistacho' a tu reto.
PD2: Ah! te estoy mirando lo del seminario para Alicante. ¿Que te parece la Universidad de Alicante?

Un abrazo pa los 2 :)

pagvac dijo...

He de confesar que he pasado un rato intentandolo pero no he obtenido ningun resultado.

Algunas ideas que se me pasaron por la cabeza:

- hacer una fuerza bruta al parametro 'id_pista' con la esperanza de que una tercera pista fuese devuelta
http://www.informatica64.com/retOhacking/pista.aspx?id_pista=1
- intentar los codigos numericos unicode en decimal y hexademical del simbolo Ø (mostrado en pista 2) como password. Wikipedia nos dice que los codigos para Ø y ø son 216 y 248, y D8 F8 en hexadecimal: http://en.wikipedia.org/wiki/%C3%98
- hice inspeccion del source code cargado por el navegador pero no encontre nada obvio
- sospecho que pista 1 es muy importante. Incluso me lei el pasaje completo del que se cito la pista 1, pero no pude econtrar una relacion al wargame :-(
- al introducir una password vacia, creo que hay un javascript que anade un asterisco rojo a la derecha del campo del password. Me pregunto si esto es una pista?
- me gustaria leerme los 2 capitulos mencionados por David Carmona de "Writing Secure Code". Alguien tiene una copia electronica en su servidor para compartir?

Bueno, mejor dejo de spamear el blog :D

Maligno dijo...

Hola pagvac,

no te desanimes, voy a hacer otro post sobre el reto, a ver si ayuda un poco mas a la gente. ;)

cumic dijo...

Hola "Maligno",

Lamento responderte 6 meses después, pero es que acabo de encontrar tu artículo buscando otra cosa ;)

Simplemente te quería aclarar que Internet Explorer (no la 7 ni la 6, sino en general) ha sido el navegador en donde se han encontrado más bugs. Tú sabes qeu esa cifra de 091 es una cifra muy pero que muy corta, y es que solo se refiere a IE6 SP2. ¿Qué pasa con IE6 SP1 o IE6 a secas? Esas versiones tuvieron diez veces más bugs (revisa tu propia fuente, security focus) que la última versión de IE6 SP2. Evidentemnte, aparte de que esté mejor o peor hecho que sus anteriores versiones, ha dado mucho menos tiempo a encontrar bugs, que esas otras versiones llevan más años.

Y como Internet Explorer (cualquier versión) es y ha sido de los navegadores con más bugs de seguridad y con los más importantes, para mí, que no soy un experto en seguridad, es un navegador inseguro. Que quieras coger el número que a ti te gusta lo veo normal, pero entiende que yo vea que la versión 6 ha tenido cientos de bug (si sumamos las de sus SP, que por instalarlos no deja de ser la misma versión).

Sobre lo de la innovación... En fin, si el navegador con más del 90% de usuarios ha tardado más de 6 años en sacar una nueva versión, no me parece muy justo decir que innova poco. Con el dinero que hay detrás se podría haber hecho algo realmente bueno. Y las dos cosas que Microsoft introdujo (LDAP y AntiPhishing) no son nada comparado con, por ejemplo, el aluvión de funcionalidades que tiene Opera hace unos años.

En fin, que no me considero un experto en seguridad (ni siquiera un amateur), pero que Internet Explorer es inseguro me lo ha parecido siempre, y que se ha dormido en los laureles durante muchos años, pues también. Y al menos, no voy colocando etiquetas a la gente, cond atos que ni son completos, ni son consistentes.

Maligno dijo...

Hola Cumic,

no hace falta disculparse, todos llevamos una agenda muy atareada ;)

Entiendo que al no dedicarte profesionalmente al tema de la seguridad caigas en el fallo de hablar de percepciones. Miramos IE6 SP2, porque salió justo cuando el Firefox 1.0, es decir, en Septiembre de 2004 por lo que han tenido el mismo tiempo que con los demás productos. No pq se llame igual es el mismo producto. Los Service Packs traen nuevas versiones.

Como amateur que te reconoces no valoras la integración con el AD, la gestión de políticas de seguridad centralizadas y demás. Entiendo que sigas pensando en percepciones pero la gente que trabajamos con seguridad no podemos hablar de percepciones. Lo siento.

Creo que los datos son consistentes y completos y mucho más que el artículo que crítico en este post, que no hay por donde cogerlo.

Saludos malignos!

Entradas populares