viernes, junio 08, 2007

Blind Comment Injection en la ciudad de los krispis

Las técnicas de ataque a ciegas son lo que me está trayendo un poco loco este loco semestre que llevo, que me ha hecho hasta adelgazar unos kilos más (¡y eso que dicen que el alcohol engorda!)

Hoy quiero contaros un experimento empírico realizado con un viejo amigo de todos y fan de las libertades que desde su Internet Corner nos alegra las mañanas, tardes y noches con sus alegres comentarios.

Recientemente se hacía ecode un estudio que ha realizado la gente de Google para analizar donde se aloja el malware en los servidores de Internet. El estudio dice que se aloja por igual en los servidores IIS y Apache. Evidentemente el mensaje subliminal dice: si hay más Linux y tienen el mismo porcentaje de malware entonces IIS es más peor y lo remata con el gran dato de la complejidad de las llamadas.

Porque claro, todos sabemos que mi bicicleta es mucho más segura y más mejor que un complejo Lamborghini Diabolo, solo hay que ver el árbol de funcionamiento. Y esos complejos Formulas 1 llenos de ...llenos de...de ... "cosas", así le va al Kimi ese. Donde esté mi 600 con 4 marchas....


Cuando miras el gráfico de la discordia en el informe de Google, en este link, se ve una cosa muy curiosa, y es que en los países con poca piratería o con un nivel informático alto todo se va hacia Apache, es decir, lo que hace que suba el malware alojado en IIS son los países de ASIA, así la gente de Google dice:

“We suspect that the causes for IIS featuring more prominently in these countries could be due to a combination of factors: first, automatic updates have not been enabled due to software piracy (piracy statistics from NationMaster, and BSA), and second, some security patches are not available for pirated copies of Microsoft operating systems. For instance the patch for a commonly seen ADODB.Stream exploit is not available to pirated copies of Windows operating systems”

A pesar de que esto lo dice la propia gente que ha hecho el informe nuestro amigo dice algo como:

“han comenzado a surgir diversas interpretaciones. Por ejemplo, a la hora de analizar la distribución por países se observa que la presencia de Microsoft IIS es apabullante en los servidores infectados de China y Corea del Sur. Si se tratara de servidores pirata, es de suponer que no estarían convenientemente parcheados. No sé a ustedes, pero a mí tal interpretación -aunque posible- no me convence como argumento exculpatorio…”

Esta teoría NO ha comenzado a surgir va directamente en el informe que ha publicado la gente de Google. No es que Spectra, en su infinito ánimo de gobernar el mundo busque nuevas excusas. Los datos, que hoy tanto le gustan, dicen lo que dicen, así que, como hoy molan los datos, vayamos a los expedientes de seguridad que suceden cosas muy curiosas. La versión 6 de IIS, de allá por el año 2003 tiene los siguientes fallos de seguridad:

Fallos de IIS6.0

Mientras que la versión Apache que salió (de la rama 1.3, la más popular) al mismo (palmo más o palmo menos la 1.3.29) tiempo tiene solo estos otros:

Fallos en Apache 1.3.29

Y eso que a IIS le cargamos los modulos ASP y los de Administración Web y no hacemos lo mismo con el Webmin y el PHP con Apache. Pero esto nuestro amigo aficionado a la seguridad, que no creo que nada más lea la prensa rosa, lo habrá comprobado alguna vez, digo yo.

Venga, cojamos un Apache 1.3.33 del año 2005. ¡Ale!, dos años de ventaja, que sin los mismos módulos tiene 6 en la mitad de tiempo. ¡Que graciosas las mates!. Venga, luego miramos nivel de criticidad, facilidad de explotación, tiempo de exposición al riesgo y demás, pero como he dicho comparando roles completos, como este informe del año 2005: Web Server Role Comparison

Al leer este dechado de virtudes en un tipo “aficionadillo” a la seguridad he pensado en que habría que encontrar un método de ponerle algún comentario para debatir. Esto no es tarea liviana, pues en ese foro de libertad, cualquier cosa que NO comulgue o critique su artículo no será publicada, pues, no tiene tiempo que perder en “debates absurdos” para hacer ver a los demás que él lleva la razón, así que directamente no son publicados.

Tras enviar varios comentarios y ser censurados hemos encontrado el camino. La técnica, como marcaba el título, es a ciegas, así que hemos tenido que indagar en los resultados del resto de los comentarios y un viejo amigo por fin consiguió que le admitiera el comentario, solo había que utilizar un sencillo proceso.

Os posteo el mail del momento final del éxito en el cual se nota la euforia contenida de nuestro primer comentario en la ciudad de los krispis:

“Ya he conseguido que me publique todos los comentarios.

El secreto está en dos claves:

* Titular: "La culpa es de M$" (nótese el símbolo del dólar)
* Decir subnormalidades

¿Por qué no participas en este apasionante reto? ¿Hasta qué punto es capaz de publicar retrasadeces mentales y negar comentarios que no comulguen con su ideología? ¡Participa!

Este es de mi cosecha:
http://www.kriptopolis.org/conclusiones-ciberataques-a-estonia#comment-16106"


Y ahí luce el dechado de inteligencia que se mandó, y que lógicamente pasó el filtro:

La culpa es de M$
Enviado por alguien el 31. Mayo 2007 - 0:36.
Claro, porque está clarisimo que el software libre, por el hecho de ser libre, aguantaría cualquier ataque DDOS mucho mejor que otros productos. Su tolerancia es mayor. Si el monopolio fuese de otros productos, otro gallo cantaria.”


Como veis, totalmente argumentado y fácilmente comprobable, y, dentro de su política de libertad, ese comentario ha entrado, así que ¿a que esperas? Pon el tuyo!! Seguramente con un ”M$ es la culpable de que la vida esté mu cara” y luego pones algo así como “todo el mundo sabe que con Software Libre hasta el café valdría más barato” seguro que te llevas to el premio!

Ánimo, ¡sé libre y usa la técnica de Blind Comment Injection!

21 comentarios:

Gura dijo...

xDDDDDDD

Ostia, claro que la culpa es de MS. Esa es la charla de todos los días, porque quien dice Win Server 2003 dice XP, y si los usuarios no pueden actualizar porque su windows es pirata, la culpa es de Microsoft (Cuantas veces habré escuchado esto?). Me encantan estos artículos, y guste o no, que no te cortes para decir nada.

Sirw2p dijo...

Kriptópolis es más que nada una página para esos momentos tensos de la tarde entrar y echarte unas risas... no lees un entrada, pero enserio, ni una que no critique a sistemas windows y alabe a linux o el SL, claro que los comentarios tampoco tienen desperdicio... todos chillan y hablan de lo mismo.. que si esta vulnerabilidad en windows, .......que sí aquella...

Y lo peor que es un medio con una difusión importante (creo que 1millon de visitas al mes) así pasa y se escucha lo que se escucha por internet...

Anónimo dijo...

Señor maligno,
yo soy un alegre usuario de linux que realmente lo pasa mal con Windows porque es un sistema técnicamente desagradable.
Aún así no soy tampoco de estos que se apuntan a cualquier moda y han descubierto linux como el voy-a-tener-razón-de-ahora-en-adelante y voy a estar soltando gilipoyeces sobre esto todo el día.
Sin embargo, noto cierto sarcasmo en cuanto al software libre se refiere que ya he visto en otros Windowseros, esa risita y ese mofarse de otros porque critican a Microsoft.
Es la misma idea, pero del otro lado. Y la verdad, tampoco me gusta.
Sobre todo porque me da la impresión de que es una simple excusa para criticar el software libre a través de la gente que lo usa.
En fin, sólo eso, que no me parece bien este tipo de comentarios que no vienen al cuento.
Y si en kriptópolis son algo zealots (que lo son, a mí a veces también me gustaría que no fuesen tan pesados con ese tema) veo que aquí tú eres del gremio, porque del poco tiempo que llevo leyendo este blog este no es el primer post con este tufillo.
Pero tú mismo...

El lagarto juancho dijo...

Y lo que te rondare morena anónimo, resulta que eso mismo me ha tocado escuchar a mi también en algun foro en el que participo, de manos de algun intelectual que dice que criticar a linux es igual de malo que criticar a linux, pero no se corta un pelo a la hora de utilizar expresiones como "software privativo".

Así que algunos vamos a seguir apoyando aqui al maligno y contraflameando para poder arrojar un poco de luz en este mundo blogosferico en el que Spectra son los malos y el pinguino libertador, deberá morir en la cruz para salvarnos...

Si llevo toda la semana con un descontrol serio y se me va la pinza, que pa que pa que paaaaaaaaaasa

Juanma dijo...

Esto pasa como en Francia, el país de la libertad, la igualdad y la fraternidad. Y luego prohiben llevar el velo a las musulmanas o un crucifijo a un cristiano, etc, etc ...
Libertad libertad, y luego pasan estas cosas.
Por eso tenemos nuestros blogs señor anónimo, para decir lo que nos plazca, sin censuras.
Y la verdad, el ejercicio de hipocresía que hacen algunos, como en kriptopolis, pues a la comunidad informática seria nos molesta más.
Los fanatismos absurdos, no se a vosotros, pero a mi no me gustan.
Si no dejas que los demás digan su opinión, ¿para que les das la opción de poder darla?

P/D: Amen Maligno. ;)

Sirw2p dijo...

@anónimo : aquí no se critica a sistemas windows, o sistemas linux. Tampoco al software libre o al privativo, tan solo se critica a la ignorancia :)

Maligno dijo...

Hola anónimo,

en el fondo llevas razón. Luego me regañan por perder los nervios, pero periodicamente me indigno un poco. Este blog al principio tenía mucha más mala leche, pero debe ser que me hago mayor y últimamente tengo menos mala leche.

Aún así, alguna vez estallo y entre una cosa y otra me pierdo. Hubo un tiempo en que con tal de atacar a Spectra todo valía y por eso nació este blog. Hoy ya no es tan así, pero aún quedan algunos.

Intentaré mejorar. jeje.

Pero este se lo merece!

Miguel H. dijo...

Lo que mas me jode es que al final de la conversación es cuando orgullosos reconocen que nunca han instalado un 2003 r2 y un dominio.
Ni han visto nunca cronómetro en mano cuanto tarda un simple 2003 s.b.s. r2 de 400.-€ en instalar TODO lo que instala ni han revisado como queda configurado por defecto.

Dios que gente.

Miguel H.

Jandro dijo...

Mister Maligno. Unas cosillas.

Yo soy lector asiduo de los dos sitios (este y kripto), y me gusta comparar (mas bien el morbo del pique entre los dos ;), daria lo que fuera por veros a los dos en una misma conferencia). A mi me ha gustado una cosa del tipo que te ha respondido, MS no tiene porque abrir su codigo sino quiere, cada uno es libre de hace lo que le plazca siempre y cuando no dañe la competencia, pero tampoco es bueno que esté acosando a las otras "empresas" competidoras. Volviendo al tema de IIS o Apache, pos mira, los dos son buenos, simplemente que si se configura mal pues te llueven los ataques como.... nose, muchas. Tambien quiero recordar una cosilla, apache tambien corre en windows, por lo que tambien heredara ciertas vulneravilidades dependiendo de en que plataforma se corra..........

Otra cosa, deberias de crear otra etiqueta con las noticias del mundo de los choco krispis.

Y otra cosa, es una opinion personal, ¿Puedes poner las entradas en modo justificado?

Maligno dijo...

Hola Jandro,

es que el artículo original habla de servidores en los que se alja malware y llegar a esos servidores se puede hacer por mil medios distintos con un servidor web perfecto. El dato es el que es, la interpretación es la torticera y meter ahí de refilón lo de la comnplejidad de las llamadas es lo que chirría.

@Gura, LA CULPA SIEMPRE ES DE SPECTRA ya la sabes!

@Lagarto Juancho, jaja, que decir, con tu nuevo nick me dejas descolocado. jaja

@juanma, mola criticar, pero no que te critiquen por eso censuran los comentarios. Libertad, sí pero no.

@sirw2p, yo a veces me echo unas risas y otras me indigno. Supongo que como muchos de aquí.

Venga, coño, que esto es el lado del mal! que nadie se preocupe! Solo cachondeo y maldad.

Carlos dijo...

Tres Pezones Says:

Como el Maligno sabrá, yo le tengo un cierto cariño a LInux, ya que con el pase de estar todo el día matando bichos en el Doom 2 a volver a interesarme con esto de la "informatica" (digo volver porque venia del spectrum y sus maravillosos poke's).

Cuando yo empece, lo hice con la SlackWare 3.0, que anda que no ha llovido, y el día que me funcionaron las X llame a mi Madre para que lo viese de lo orgulloso que estaba. Por aquel entonces no salia de fiesta, sino me hubiera ido de putas directamente para celebrarlo. Digamos que el driver Trident 3D no era lo suficientemente bueno y tuve que toquetearlo para que tirase en mi 486, la envidia del barrio.

Cuadno llego internet, aquello fue el Paroxismo, podía hablar con cualquier guru de 40 años (como el Maligno versión Linux) a traves del Irc-Hispano y molaba mazo, porque te sentias de la élite. Windows tenia NT4.0, un juguete, y los grandes Zseries de Ibeeme como que solo se veían en las universidades. Un tio te decia que chateaba a traves de un telnet en dichas maquinas y automaticamente le hacian OP del canal.

Vamos, que la gente controlaba mogollon.

Pero a día de hoy, la informatica ya no se hace en garajes, ya no la hace gente con barba, genios, ensamblado código asm directamente entre las lineas de C. Se hace en oficinas pagando buenos sueldos (en España malos, nadie se hace rico con esto), con equipos, metodos, plazos etc...

Linux, desgraciadamente, se ha quedado atras en dicho elitismo. Linux surgio como alternativa a los carisimos Unix de SCO. Hoy en día, si quieres elitismo, vete a los robustos BSD, a los complejos Windows Server o a los sistemas embebidos ultra raros. Ahora la élite esta ahí. En linux solo quedan chavales con los pantalones a la altura de la picha que van de guais, o como un producto normal y corriente que cualquiera usa.

Definitivamente, la informatica ha dejado de ser un arte, para pasar a ser una Ingeniera.


vaya ladrillo

Gaijin dijo...

La idea del cara a cara es buenísima Jandro. El año que viene quiero organizar unas jornadas de seguridad en mi Universidad. Maligno, te apuntas a dar una charla y luego debate con José Manuel?

Asfasfos dijo...

No te falta razón en lo de que la informática ha dejado de ser un arte para ser una ingeniería, y es que antes los antiguos informáticos eran genios, eran programadores que realmente sabían lo que hacían y que realmente controlaban lo que hacían, esa gente jugaba con el ordenador, no como ahora que el ordenador juega con la gente.

Las empresas funcionaban porque tenían a 3 genios que programaban de puta madre y con eso sobrevivían, hoy en día necesitas 200 chinos que programan todos igual y así va la empresa...

En fin...una penica...por cierto, estoy hasta los cojones diciendolo bien y claro de encontrar en foros y en krispis palabras como encriptado, o encriptación o encriptar QUE NO EXISTEN y son un anglicismo absurdo y barato ya que tenemos palabras como cifrar o codificar que funcionan perfectamente igual y son totalmente correctas.

Maligno, vuelve a tu juventud y a la crítica constructiva jaja :)

El Elegido dijo...

Coloquialmente, se consideran los términos encriptar y cifrar como sinónimos, al igual que sus respectivas contrapartes, desencriptar y descifrar, pero no ocurre lo mismo con el término codificar. No obstante, se debe utilizar el término cifrar en vez de encriptar, ya éste aún no está contemplado por la Real Academia Española, se trata de un anglicismo de los términos ingleses encrypt y decrypt. Por definición codificar significa expresar un mensaje utilizando algún código, pero no necesariamente de forma oculta, secreta o inenteligible; escribir en idioma español implica el uso de un código, que será comprensible para los hispanohablantes pero no tanto para quienes no dominan el idioma; la matemática y la lógica tienen sus propios códigos, y en general existen tantos códigos como ideas.

El procedimiento utilizado para cifrar datos se realiza por medio de un algoritmo al cual se le puede considerar como una función matemática. Por lo tanto, un algoritmo de cifrado es una fórmula para desordenar una información de manera que ésta se transforme en incomprensible, usando un código o clave (en ocasiones, más de una). Los mensajes que se tienen que proteger, denominados texto en claro, se transforman mediante esta función, y a la salida del proceso de puesta en clave se obtiene el texto cifrado, o cifrograma. En muchos casos, existe un algoritmo de descifrado encargado de reordenar la información y volverla inteligible, pero no siempre es así. Cuando existen ambas funciones, una para cifrar y otra para descifrar, se dice que el sistema criptográfico es de dos vías o reversible (a partir de un mensaje en claro se puede obtener uno cifrado y a partir de éste se puede obtener el mensaje original), mientras que cuando no existe una función para descifrar se dice que el sistema es de una sola vía (a partir de un mensaje cifrado no es posible obtener el mensaje en claro que lo generó; la aplicación de esto es, por ejemplo, para el almacenamiento de contraseñas).

La transformación de datos provee una posible solución a dos de los problemas de la seguridad en el manejo de datos. El problema de la privacidad y el de la autenticación, evitando que personas no autorizadas puedan extraer información del canal de comunicación o modificar estos mensajes.

Con lo cual queda claro que ENCRIPTAR ES UN ANGLICISMO QUE NO ES IGUAL A CIFRAR NI A CODIFICAR.


@carlos los sistemas no son complejos, sólo que hay mucha escoria en la informática que no sabe ni como montar ni lo más básico, ni porqué no funcionan las cosas. Está claro que el nivel de complejidad ha aumentado muchísimo, pero para eso estamos nosotros. Eso es como si me dices que antes el coche lo arreglabas a ostias, y ahroa necesitas llevarlo a un taller porque tú no puedes tocarlo porque no tienes el ordenata necesario para leer la centralita y poder tocar lo que sea. Nos ha jodido. Evidente. Antes la informática era "abarcable" por uno o varios frikis, PERO AHORA YA NO, se necesita un equipo enorme de desarrolladores que usando las metodologías adecuadas sean capaces de desarrollar paralelamente sus partes para integrarlas en un todo llamado por ejemplo SO, y que aquello funcione sin errores. ¿Qué suele ocurrir? Pues que es imposible que no haya ningún fallo. Quizás cno los años se implementen metodologías de desarrollo de código en grupo que permitan desarrollar grandes aplicaciones sin errores. Cuestión de tiempo. Aunque esto es algo imposible si entramos en la teoría de que "un ser humano es imperfecto y por tanto nunca podrá desarrollar nada perfecto". ¿O sí?Ahí está Team System para trabajo en grupo, por ejemplo. Aunque siendo de MIcrosoft yo no me fiaría mucho ¿no? ¿o sí? ;)


@Maligno no contesta a lo de la conferencia cara a cara con el kriptopero porque no hay güevos, y se está escaqueando muy claramente.


RESUMIENDO: si un sistema es malo desde la base y encima está en manos de un patán, todas sus carencias saldrán a relucir, cosa mucho menos probable en manos de un crack. Al igual que si un software más mejor está en manos de un administrador capullo, evidentemente, terminará petando por tó los laós. Massa tiene el mismo coche que Schumacher y ahí los tienes a los dos y a sus resultados. En cambio Alonso, sólo tenía un Renault, y consiguió ganar. ¿Por qué sería?

Saludos a todos/as,

Asfasfos dijo...

Si si...todos sabemos buscar en la wikipedia...eso no lo dudo, for sure.

Anónimo dijo...

Carlos:
Vaya. Otro informasstico de esos serios que ya no "juegan" porque son ingenieros muy serios y, claro, ya no puede ser que usen linux.

En fin, yo hago cosas serias y casi siempre con linux y no tengo los pantalones a la altura de la picha, ni trabajo en el garage de papá, ni esas cosas.

Cómo me gusta ver a los fan boys de Spectra desbarrando.

Maligno dijo...

Hola todos!

"El elegido" (o javi) ¿No hay guevos? jaja. ¿Seguro que no hay?. Ya sabes que yo me apunto a todas las conferencias, debates y peleas que haya. Así me entretengo. ;)

Tres pezones, tu reflexión es divertida. Jaja.

Yo me divierto con la informática, pero como dice Carlos, no tiene porque ser divertido montar un servidor de bases de datos. ¿Qué te lo pasas bien? debuti! pero si no te diviertes, al cliente se la suda. Lo que quiere el cliente es que el servidor rule.

Saludos desde un tren a las 6 y 55 de la mañana de un sabado en el que algún "amigo" me ha enviado un sms a las 5 de la mañana (kabrón!) desde "¿ El hackeado sistema de XXXXX mobile ?"

Sustituir en XXXX nombre de una compañía grande.

Saludos!

Kartones dijo...

Pos hombre, el otro dia me topé con un bug del Windows XP y el winlogon que aún no está ni parcheado en el SP2 ni en el Windows Update, y no tardé ni 1h en tener el correspondiente hotfix que lo solucionaba.

Cada dia pienso más que se tiene una imagen equivocada de MS. Podrán ser el demoño para algunas cosas, pero cuanto más pasa el tiempo, más trabajo y profundizo, y salen nuevas versiones de los SOs (rama servers y rama desktops) mas me estoy dando cuenta que no es tan inseguro como cuentan, sino que la mayor parte de las veces el problema viene de otro lado (mal código, no actualizado, etc., etc.).

Más de una vez le he dejado al maligno algún comment de "no seas como ellos" en lo de atacar al enemigo, pero aun asi es una pena que Kriptopolis esté perdiendo tanto el rumbo, empieza a ser como barrapunto (que hace ya un año que me desapunté de las feeds porque no merecía la pena ni uno de cada 10 posts).

Eso si, aun queda alguna entrada interesante, como las de los papers de KernelPanik.

Carlos dijo...

Para Anonimo.

Evidentemente, Linux es un producto perfectamente válido para ciertas situaciones, como todos los productos. Yo también trabajo todos los días con el, pero las comunidades que existen alrededor suya han bajado su nivel totalmente.

¿Quizá te sientes ofendido? ¿Crees que hacer apt-get install apache mysql php4 ya te convierte en un mega experto?. Es un producto, nada más.

Anónimo dijo...

Sirw2p dijo...

@anónimo : aquí no se critica a sistemas windows, o sistemas linux. Tampoco al software libre o al privativo, tan solo se critica a la ignorancia :)


Ohhh!!, cuidado, que han hablado las voces de la sabiduría.

Mucho criticar a los que alaban (sin conocimiento de lo que dicen según vosotros) el SL, pero a vosotros parece que os paga Microsoft.

Venga, va, que solo os falta decir "Estos putos comunistas".

Que asco dais!

Maligno dijo...

Hola "anónimo",

Perdona compañero, pero este post está dedicado no a uno que "alaba al software libre" sino a uno que por sus comentarios, con la cara lavada de que son técnicos, se mete con los demas.

Gracias por los insultos! Así ya nos podemos diferenciar tu y yo!

Saludos!

Entradas populares