jueves, julio 31, 2008

Venga, mójate

Hay rumores que matan, y las leyendas urbanas son víricas transmitiendose de de boca a oreja y mutando para adaptarse a las nuevas regiones geográficas a donde llegan. Como el caso de la famosa conferencia dónde el conferenciante X dijo "saquespeare" y le rectificó uno y dijo "se dice sexpir" y el conferenciante X dio la charla en inglés. Esa es una leyenda urbana, nunca sucedió, nunca hubo un conferenciante X que hiciera eso. Es una historia bonita que a todos nos hubiera gustado que nuestro héroe X hubiera hecho, pero no sucedió.

Esto es un bug que traemos los humanos, somos vulnerables a este tipo de historias y tenemos que defendernos contra ellos. Tenemos que utilizar una herramienta bastante potente, pero con un interfaz muy tosco y que necesita de trabajo y dedicación para sacarle partido. El cerebro.

Con Windows Vista ha sucedido esto, muchos han hablado mal de él por varios motivos:

a) Es de Spectra y todo lo que hace Spectra es cutre, de mala calidad y copiado porque de los chorrocientos ingenieros allí ninguno sabe programar. Y eso que pensamos que alguno de los mejores programadores del mundo trabajara por dinero o por mucho dinero. Todos los nombres que están allí en Spectra como M. Howard, M. Russinovich, C. Cowan, (nombro sólo algunos de seguridad), son todos malos, malísimos.

b) Miedo al cambio. "Dios, ¿Ahora que sé como conectarme a la wifi con mi XP después de meses intentándolo me van a cambiar el sistema operativo?".

c) Perdida de control. "Sí hombre, ahora que tengo controlado como desplegar mis botners sobre Windows XP van a venir ahora los de Spectra con un nuevo Windows que sea jodido controlar y fastidiarme el chiringito. Y una mierda. ¡A las barricadas!"

d) Competencia. Sí, ya sabemos que IBM, Sun, Apple, Oracle, Red Hat y Canonical son ONGs, pero Spectra es una empresa y hay muchas de esas "oeneges" que desean ganar dinero en los caladeros tradicionales dónde pesca Spectra, y cualquier situación es aprovechable para intentan quitar Windows e intentar meter otro sistema operativo con el que estas "oeneges" quizá, y sólo quizá, que ya sabemos que son "oeneges", sólo quizá puedan ganar algo más de dinero, eso sí, no sería para los accionistas, no sería para .... "oenegear".

A esto se suman cosas que son reales.

a) Vista, al igual que MacOs y un Ubuntu con las prestaciones similares a MacOS y Vista, no una shell linux, sino un linux con entonro gráfico, OpenOffice y herramientas para grabar DVDs, poner la webcam y tener cibersexo, etc... no corren en máquinas poco potentes. Vista corre con 512 Mb y hasta con 386 Mb, pero no corre, anda. Si tienes 1 GB Vista corre igual o mejor que el MACOs y el Ubuntu con el GNOME. En todos los ordenadores que se venden en España, Vista corre de maravilla.

b) Desconocimiento de función. Sí, Vista ha cambiado cosas de sitio, pero ya no tienes que saber dónde están sólo debes preguntarle a él y el te contestará. Esto supone que tendrás que aprender alguna cosita. Sí, es cierto.

c) Compatibilidad hacia atras. Cierto, cierto, cierto. Se ha cambiado la arquitectura del kernel y se ha perdido compatibilidad hacia atrás con ciertas aplicaciones y drivers. Toda aplicación que no cumpla la nueva política de seguridad del sistema no funcionará o deberá correr con las opciones de compatibilidad que ofrece Vista o virtualizad (a nivel de registro, de estructura de ficheros o de aplicación completa) y para eso tendrás que probar la aplicación y aprender a virtualizarla incluso con el MDOP (Spectra Desktop Optimization Pack) y Softgrid.

En cualquier caso, las ventajas que ofrece son muchisimas respecto a XP y a otros sistemas y debes probarlas para darte cuenta y decir: "¿Cómo curraba yo con el XP?". Sí, yo curraba con el MS/DOS y estaba tan feliz, pero ahora se me haría imposible. Pues igual con XP, yo curraba con él y estaba tan feliz, pero ahora: "Don´t touch my Vista!".

El caso es, que para que quede patente que la gente tiene prejuicios y rumores metidos en su cabeza se ha creado un nuevo sistema operativo con nombre código en Spectra: MOJAVE.

Con este sistema operativo se ha ido a ver a personas que tenían mala imagen de Vista y así poderles enseñar las nuevas funcionalidades que Spectra quiere meter en el nuevo sistema operativo, a ver que opinan.

Los Testers

Las respuestas han sido: AMAZING, AWSOME, USEFULL, CLEVER, etc...

Todos muy contento con el nuevo sistema.....que al final resulto ser Windows Vista. Tienes 55 experiencias similares en la web y estaría curioso, que TÚ pudieras haber sido la número 56: Mojave Experiment... Así que... ¿por qué no lo pruebas por tí mismo? Es que si eres informático, IT Pro o te gusta la tecnología y no pruebas a fondo Vista... es un poco triste, ¿no? Hay un blog que se llama Vista-Técnica dónde puedes conocer mejor como funcian todas las tecnologías de Windows Vista y repito la pregunta ¿De verdad no quieres probarlo?

Saludos Malignos!

miércoles, julio 30, 2008

No Lusers: Reloaded

Saludos veraniegos para los de la vieja europa e invernales para los del cono sur! (Fijaos qué poéticamente grandilocuente me pongo en estas soleadas tardes)

Todos aquellos que están suscritos a "ya-sabéis-que-newsletter-quincenal" (esta vez se han pasado y parece mi blog), habréis visto esta mañana una noticia con un archivo PDF especial que recopila todas las tiras de No Lusers con una pequeña explicación de cada una de ellas. Está preparado para que te lo imprimas, lo grapes, te lo bajes a la playa y luego consigas una firma de todos los personajes que aparecen en las tiras, es decir: Mandingo, RoMaNSoFt, Luciano Bello, Palako, Filemaster, Penyaskito, Pedro Laguna, josemaricariño, Chico Maravillas, Dani Kachakil, David Cervigón, etc... Esta pensado este fichero para todos aquellos que:

a) Sois fan a muerte de No Lusers.
b) Tenéis tanto tiempo libre que podéis desecharlo en cosas vanales.
c) Tenéis curiosidad malsana de saber en que coño estaba pensando cuando hice cada una de las tiras.
d) Me amáis a muerte y queréis unos calzoncillos de No Luser
.


¡Esto es un fan de verdá!

Este primer volumen recopila todas las tiras y dibujos que se han publicado hasta Julio de 2007. Si quieres leerlo, lo tienes en la siguiente URL:

No Lusers Volumen I

Saludos Malignos!

¿Y tú cómo te llamas?

Siempre he sido aficionado a los Gomaespuma, pero supongo que esto era fácil de imaginar, porque la mayor parte de nuestra generación lo hemos sido y lo somos. Llamándose uno Chema os podéis imaginar cómo en muchos entornos me llamaron Chema Pamundi. Siempre me hicieron gracia los nombres de Armando Adistancia o Vicente Nista o cualquiera de los otros inventados.

Una vez, años ha, estaba dando un curso de Seguridad Informática en una empresa de formación dónde existía una aplicación web para registrar los asistentes. Esta aplicación corría con un Access como motor de base de datos y el servidor web era un NT 4 sin parchear desde que salió de su cajita, y, para más ayudas, estaba en la misma red, así que fue fácil modificar la base de datos Access para añadir un par de personas más a la lista de asistentes. Esos supuestos asistentes fueron dos nombres made in Gomaspuma y fue gracioso ver como quedaban impresos en los diplomas que me trajeron para repartir el último día.

Pero no es de seguridad informática de lo que va este texto, no. Va de la política de alias para los correos electrónicos. Hace poco en nuestra empresa, para una joven promesa que tenemos en plantilla, la política se ha modificado y todo porque el alias, formado por la primera letra del nombre y el apellido, dejaba como resultado “foca”. Tomando un café, entre insultos al jefe, chistes malos de informáticos y la pléyade de cosas dispares que desayunamos yo le dije que me hubiera quedado con Foca. ¿Os imagináis llegar a un sitio y decir: “Hola, soy el señor Foca”? Tarantino pilla esta idea y nos hace un Reservoir dogs II.

Sin embargo, reconozco que las políticas de alias a veces dan resultados nefastos. Y más, si vienen de una multinacional extranjera que no conoce el significado en los otros países. Un amigo llamado Antonio Prieto Znosequé tiene como mail de correo Aprietoz. Cuando me lo dio le dije: “coño, tienes el último de los aprietos”. Esto se complica mucho si ya te llamas Pedro Olla o Cesar Enutrio.

Otra opción que he visto es la de poner las iniciales de todos los nombres y apellidos, por ejemplo José Luís Romero Martínez como jlrm@laempresa.com. Esto, que parece una buena idea, no escala nada, porque cuando miras el correo al final hay un jlam, jlar, jlra, jalr, etc… y las posibilidades de cagarlas y enviar un mail a quién no es, crecen exponencialmente.

Quizá una que más gracia me hace por los resultados que da, es la de poner la primera sílaba del nombre y los apellidos. Así, Manuel Machuca Domínguez sería en nuestra empresa “mamado” o Laura Purificación Tamames sería “laputa” y si la empresa se llama Bollerías del Barrio y el dominio es delbarrio.com, la cosa no quedaría nada bonita:

“Sí, apunta mi mail. Yo soy laputa@delbarrio.com”

No, no queda nada serio. Vamos, alguien me da un mail así y me estoy descojonando durante meses y le contestaría cualquier cosa.

Y ya por último, en las direcciones de e-mail, no quiero olvidarme de esos amigos que eligieron un nombre gracioso para un correo tiempo ha, y luego fueron asociando cuentas a ese correo, y asociando cosas y el correo se hizo muy importante para ellos y.... hoy, años después, tienen que seguir con ese mail por la cantidad de cosas asociadas a él y la migración da mucha pereza. Gente que puso en su dirección cosas como “polladura”, o “rompeculos” o “noquieroningunnombre” o “queteden” o “supersexy” o “elmaildeloscojones” o… cualquier cosa. Un nombre que se puso porque estaba hasta los cojones de que le dijera “Nombre de cuenta ya utilizado” y en un arrebato de cólera e indignación puso uno de esos nombres y ahora lo tiene asociado al blog, a la cuenta de Gmail y varias cosas y recibe mails del tipo:

“Estimado sr. Rompeculos,

Es para nosotros un placer informarle de…”


Aún así, estoy convencido que la realidad supera la ficción. ¿Cuáles han sido las peores direcciones de correo electrónico que os han dado en vuestra vida o que habéis tenido que dar a alguien?

Saludos Malignos!

martes, julio 29, 2008

El final del Reto hacking VIII

Hola a tod@s!

El Reto Hacking VIII comenzó el día 4 de Julio y el próximo lunes 4 de Agosto se publicará el solucionario, escrito por Dani Kachakil, el ganador del mismo. Aún quedan por repartir 3,2 y 1 punto así que los que habéis sacado la primera parte no dejéis de intentarlo ;).

A día de hoy, tras que RoMaNSoft puntuase, la clasificación queda como se puede ver:

Year to date

RoMaNSoFt y Mandingo le siguen mojando la orejita a Palako, Dani Kachakil está casi inalcanzable y Bambú está en tierra de nadie, pero con posibilidades de ganar a final de año. De aquí a finales de año habrá dos retos más. El primero en el mes de Septiembre y el último, con puntuación doble, en el mes de Noviembre. Además habrá dos mini-retos que punturán en los meses de Ocubre y Diciembre, para no aburrirse.

Saludos Malignos!

No Lusers 49: La cena fría




lunes, julio 28, 2008

El caso del DNS y la díscola señora

Este podría ser el título de la historia de Mortadelo y Filemón de este verano. Cómo ha habido muchas informaciones al respecto y todas muy distintas, he disfrutado siendo un espectador más.

Dan Kaminski, el ilustre descubridor de este fallo se encuentra trabajando en Spectra como vendor cuando se anuncia que va a contar en Blackhat USA 2008 los entresijos de un fallo en el sistema de caché de DNS que permite volver atrás en el tiempo y envenenar de nuevo las cachés de los DNS.

Hasta el momento se habían desarrollado, a lo largo de la historia, varios trucos para poner realizar una ataque de envenenamiento de caché DNS. Algunos muy curiosos. Los trucos utilizados han sido muy curiosos. Algunos de ellos muy divertidos:

Truco uno: Predicción Sencilla

Cada petición de resolución de nombre tiene un numerito de consulta. El ID de query. Este numerito inicialmente era incrementado como los números de la carnicería, así que, sí tenías un cliente que pedía a su servidor DNS la resolución de dos nombres seguidos y sabías el ID de la query 1, podrías inferir el número de la siguiente. Así, si tenemos un cliente que pregunta a su DNS por un nombre que está en un dominio de un atacante (por ejemplo cargando una imagen en una página web) el DNS del atacante, este puede devolver la IP asociada al nombre que le ha sido pedido, inferir el QID de la siguiente petición y responder con la IP asociada a la siguiente resolución sin ser él el DNS cuestionado y hacerlo antes de conteste el DNS legítimo. Este truco está muy bien, pero se parcheo aplicando algoritmos de generación de QID aleatorios. Fin de la fiesta.

Truco dos: Predicción compleja. La fecha del cumpleaños

Dice la estadística que cuando juntas un grupo de 23 o más personas la probabilidad de que dos de ellas hayan nacido en el mismo día es mayor del 50 %. Es curioso cómo funciona la estadística pues parece que 23 personas para cubrir 365 días no son muchas. La idea con el DNS es ¿Cuántas peticiones deben realizarse y cuantas respuestas deben enviarse para que la probabilidad de que una respuesta falsa del DNS atacante llegue con el QID correcto antes que la respuesta del DNS legítimo?

Sobre esta base se han ido realizando bastantes trabajos para conseguir optimizar el número de peticiones necesarias. Para ello se han ido analizando los números utilizados en los QID e intentar predecir los números que van a ser utilizados en las peticiones. En Junio del año pasado Amit Klein publicó un trabajo con la posible predicción de números en el BIND 9 y Alla Bezroutchko lo hizo con el DNS de Spectra. Lógicamente aparecieron parches y volvíamos al principio. A jugar con 16 bits de posibilidades y el ataque del Birthday en bruto.

Truco tres: Más respuestas que preguntas

Otro truco que surgió para hacer DNS caché poisoning consistía en aprovechar la facilidad que ofrece el estándar de peticiones DNS de responder hasta a tres resoluciones en una única respuesta por parte del DNS del atacante. Así, se hacía preguntar al DNS víctima por un dominio controlado, por ejemplo por www.elladodelmal.com y luego el DNS atacante devolvía una respuesta con la IP asociada a www.elladodelmal.com y…ya que estamos… www.tubanco.com está en esta IP. El DNS víctima cacheaba las dos respuestas y listo. Para solucionar esto, se prohibió que un DNS respondiera con información sobre dominios que no había sido preguntado. Así que… si se pregunta por www.elladodelmal.com sólo se pueden responder con registros .elladodelmal.com.

Y aquí estábamos hasta que Dan anuncia que se le ha ocurrido un truco. La idea era hacerlo coincidir con las BH USA y al mismo tiempo con el lanzamiento de una release del parche por parte de los fabricantes (incluido Spectra) para que todos se actualizaran a la vez y nadie pudiera hacer ingeniería inversa del parche y averiguar cómo explotarlo cuando…. Empiezan los rumores y una señorita, que a la postre resultó ser la mujer de uno de los implicados en el bug, contó alegremente en su blog detalles de cómo sería el ataque.

El truco combinado

La idea parece ser tan simple como unir los ataques 2 y 3 mediante un engaño en el cliente. Imaginad que un cliente pide por www.tubanco.com. Bien, este es un registro que existe con lo cual cuando llegue al DNS que intenta ser atacado este va a pedirlo al DNS legítimo. El DNS atacante tendrá la posibilidad de realizar un ataque pero sin mucho tiempo, pues el DNS legítimo responderá pronto.

Ahora bien, hagamos que el cliente pida unamierda.tubanco.com. Este registro no existe, luego el DNS legítimo no va a responder con una IP. Cuando llegue una respuesta de negativa, el atacante puede continuar con unamierda1.tubanco.com, unamierda2.tubanco.com, etc... teniendo así muuuuchas posibilidades. Perfecto, porque una vez que la petición de unamierdaX.tubanco.com sea legítima, pues aprovechamos y te metemos información sobre otros registros de ese dominio, por ejemplo de www.tubanco.com o bancaonline.tubanco.com. Y ya tenemos la fiesta.

Lo curioso es que, a pesar de que se borró del blog (que se quedó en la sempiterna caché de google) la información que la díscola esposa filtró en su blog sin conocimiento de los descubridores del fallo ha posibilitado que hasta el tato sepa como explotar esto y que ya hayan aparecido formas de explotar esto con mucha facilidad y está siendo explotado.

Las consecuencias: Phising, evilgrades, malware, etc... Ya veis, todo iba bien hasta que una blogger "boquitas" se metió por medio. En fin, el culebrón del verano.

Saludos Malignos!

domingo, julio 27, 2008

¡Pero qué buenos que son!

Se me saltan las lágrimas de emoción, sniff. Algo tan bonito va a ser digno de ver. ¿Habéis visto que bien queda el logo de nuestra querida y adorada Spectra luciendo en la web de la Apache Software Foundation? Y no es por nada, pero... ¿cual es el logo más grande?.

...welcome

Sí, lo van a poner porque Spectra ha dado un paso más en la conquista del mundo. Sí, ya sabéis, en esa conquista que le llevó a ayudar a la gente de Firefox con el desarrollo para Windows Vista, o que le llevó a que Office soportara de forma nativa ODF. Pues ahora ha dado otro paso y va a donar una limosnilla. Sí, 100.000 dolares anuales para la ASF.

No es mucho dinero y quedas muy bien, ¿verdad?. Sí, es justo más o menos lo mismo que hacen Yahoo! y Google que son también sponsors platino. Ahora los tres van a lucir orgullosos en la web de la Apache Software Foundation.

Justin Erenkrantz, presidente de la ASF, cree que este es un paso autentico de Spectra en la búsqueda de la interoperatibilidad y cree que hay muchas cosas que hacer en Apache para implementar los estándares de Spectra. [entrevista]

¿Os podéis imaginar .NET corriendo en Apache? Eso estaría muy bien ¿verdad?. Aún no se sabe mucho de los planes de trabajo de Spectra con Apache, pero se han hecho más anuncios sobre acciones de interoperatibilidad con otros proyectos.

Como os podéis imaginar otros muchos han pensado "mal" y que esto es un movimiento sibilino para derrocar a "la comunidad". ¿tú que crees?

Saludos Maglinos!

sábado, julio 26, 2008

No Lusers 48: Informáticos Políticos

Y cambiando de tema....
***************************************************************************************
Publicado en Windows TI Magazine 134
***************************************************************************************




***************************************************************************************
Publicado en Windows TI Magazine 134
***************************************************************************************

viernes, julio 25, 2008

Informáticos Políticos

***************************************************************************************
Artículo Publicado en Windows TI Magazine 134
***************************************************************************************

Dice un dicho que se dice que “quién mucho abarca poco aprieta” haciendo referencia a que el que divide su dedicación divide los resultados que obtiene, aunque quizás la frase que más me gusta es la de “aprendiz de todo maestro de nada”. Otra que me gusta mucho (lástima que esté cayendo en el desuso popular por la casualidad de la profesión y el presidencial apellido) es la de “zapatero a sus zapatos” que recoge en una sola frase de forma elegante y bien traída la misma idea que esa tan taurina que dice “Manolete, si no sabes torear pa’que te metes”.

Creo que el concepto queda claro.

Esto, cuando hablamos de política tiene una vertiente intrínseca, ya que, por mucho que un político tenga que enfrentarse por obligación a temas muy dispares, al final ellos sólo han cursado unos estudios (si hemos tenido suerte con el ejemplo en cuestión). Para arreglar este descuadre intelectual los políticos cuentan en obligación con la imagen de los asesores que deben transmitir su sapiencia, sus 300 créditos ECTS, su postgrado y su experiencia profesional “en dos tardes” o en “dos patás”, haciendo que los entresijos de la macroeconomía bursátil londinense, los repercusiones para la biodiversidad del uso de carburantes sintéticos o las ventajas de los formatos de documentos en los sistemas informáticos pasen del cerebro del asesor a las palabras del político.

No, no es una crítica hacia los políticos,… en este caso. Entiendo que el sistema debe funcionar “más o menos” así. Aun así, me parece curioso cuando un alcalde, llámese Villalzarzal de la Molina o Londres, realiza opiniones políticas sobre hechos técnicos. ¿Se imagina al alcalde de Moralzarzal del Ajo arriero diciendo “No creo que Debian deba ser Common Criteria EAL4+”? Sí, yo también me lo imagino porque he visto cosas similares.

No, no es una crítica hacia los políticos, aunque lo cómico de la situación aquí presentada así lo pareciese ellos han tenido, sin duda, más memorables actuaciones. Lo cómico no son los políticos de al uso general como alcaldes, concejales de jardines o concejal de la juventud hablando de ISO, Common Criteria o Wifi Alliance. Lo cómico es que ciertos “informáticos” utilicen estas afirmaciones como argumento técnico: “Debian no debe ser Common Criteria EAL4+ porque lo dice el político fulanito”… mientras otros aplauden.

Lo que realmente me parece escabroso, peligroso y pendenciero son aquellos que dicen ser “Informáticos” y su afán es politizar esta profesión. En esos casos, estos informáticos no asesoran a los políticos, no. ¿Para qué si yo lo valgo? En esos casos los informáticos sustituyen a los políticos y reclaman tomas de decisiones técnicas basadas en aseveraciones ético-filoso-políticas. Esta base de datos es mejor porque éticamente ofrece más TPM… para los de la Logse, Transacciones Por Minuto.

¿Esto te parece mal? Pues mira, yo hasta a eso me he acostumbrado. ¿No es un político alguien que ha estudiado economía o derecho? Pues que lo sea alguien que ha estudiado informática. No creo, por otro lado, que el ejercicio de la profesión de político le permita mantener un nivel aceptable de asimilación de conocimientos como para ser un buen informático, pero… cosas veredes.

Lo que realmente me preocupa, me molesta y me alarma es que algunos “Informáticos Políticos” quieren mediatizar las decisiones de los “Informáticos apolíticos”, es decir, aquellos que nos metimos a esto sin pensar que nos iban a juzgar por el uso de una u otra herramienta,. Aquellos que pensamos que esto de los ordenadores es una Ciencia y no una Política, Filosofía o Movimiento cultural.

No, no nos importa que para muchos sea una Política, una Filosofía o un Movimiento cultural mientras que a los demás no les importe que para nosotros esto es una ciencia que se convierte en nuestra profesión. Profesión que disfrutamos cuarenta horas a la semana (si tenemos suerte) pagadas y otras tantas de regalo, por motivos varios. Algunos incluso más, pues también es nuestro hobby.

En mi caso, es una decisión romántica, pues para mí la informática es una pasión, pero también es una profesión. Una profesión que quiero, que respeto y que adoro, al margen de éticas, políticas u otras zarandajas de “Informáticos políticos”, “informáticos éticos” o “informáticos cools”.

Saludos Malignos!

***************************************************************************************
Artículo Publicado en Windows TI Magazine 134
***************************************************************************************

jueves, julio 24, 2008

El cotillear mató al gato

Siempre he sido una persona curiosa, pero curiosa en el buen sentido de la palabra. Es decir, con ganas de conocer y aprender cosas. Eso contrasta con el otro termino de la cuirosidad: El cotilleo.

El coteillio es una forma de curiosidad sin ninguna intención buena, es una curiosidad malsana por conocer los trapos sucios de los demás y a mi eso me la trae al pairo. Así que habría que cambiar el refrán ese de "La curiosdiad mató al gato" por "El cotillear mató al gato".

Sin embargo, en la industria del malware se aprovechan, al igual que en los timos al más viejo estilo, de la mala condición humana. Ese timo de la estampita que tima al timador o miles de timos en los que se busca engañar al aprovechado, el listo, etc... En este caso se aprovechan del cotilla.

Últimamente he empezado a recibir mails con supuestas noticias interesantes, como que OJ Simpson admite su culpabilidad en el asesinato. Sin embargo, cuando abres el mail la notica cambia a que unos guerrilleros en IRAQ han secuestrado a unos reporteros y piden 1 millón de dolares de rescate.

O.J. confesando

... y si quieres saber más, pues pulsa en el link y te llevas un "premio". Es curioso porque se ve claramente que está automatizada la construcción del mail y parece que el cuerpo del mensaje y el asunto se les ha desplazado. Vamos, que un contador comienza a 0 y otro a 1 porque si no no tiene sentido.

Esto se ha extendido con muchas noticias, como que los pobres Demi Moore y Aston han roto, pero luego, cuando abres la noticia, descubres que el notición es que la batería de un ay!fon ha estallado. Joder, eso sí que es un notición.

ay!fon explotando

Mirad que curioso días después los tipos se dan cuenta así que debían de saber poco inglés y por eso se les pasó,¿no?

Pobre Ralph, por un caballo

Este tipo de ataques de ingeniería social buscando engañar al usuario para que pique, existen y existirán mientras los humanos seamos humanos o Bender acabe con nosotros.

Otro que me ha gustado ha sido el de UPS que te dice que un paquete que has enviado no ha llegado.

Paquete que no llega

Si es una oficina dónde trabajan con UPS y hay varios compañeros y están en periodo de vacaciones, pues alguno se preocupará y mirará a ver si puede arreglarlo. Pero en vez de preguntar a su compañero se preguntará a sí mismo: "¿Qué podrá ser?".

Al final, esto demuestra que ser cotilla no es bueno. Se curioso, pero no cotilla.

Saludos Malignos!

miércoles, julio 23, 2008

El crecimiento en la adopción de software open source está poniendo el negocio en mayor riesgo

¡Qué malévolos estos chicos de Fortify!. Resulta que estos amigos que se dedican a vender productos de seguridad para empresas han hecho un estudio sobre 11 proyectos Open Source en Java. Ellos tienen una herramienta de análisis estático de código llamada Java Open Review (JOR) que es gratutia y supongo que querían ver si alguien la estaba utilizando. Pobres, que decepción, parece que la respuesta es NO. Los proyectos elegidos han sido:

Los 11 proyectos Open Source Java evaluados

Cómo se puede ver 11 proyectos "pequeños y de poco uso" o todo lo contrario. El estudio revela que casi todas las comunidades fallan a la hora de proveer a los usuarios ayuda para como remediar las vulnerabilidades y los riesgos de seguridad mediante el contacto con expertos de seguridad en el proyecto y mediante la documentación. Además, se evalúan las tendencias, para ver si versión a versión se van corriguiendo los fallos, pero no, parece que es totalmente anárquico, cuando no creciente, el número de fallos detectado en versiones consecutivas.

El estudio viene acompañado de algunas perlas dignas de ser puestas como aparacen, sin ninguna de las manipulaciones típicas que suelo hacer yo aquí en el lado del mal.

"El software open source puede ser otra opción de valor en las empresas hoy en día, pero, de igual forma que en el software comercial, las vulnerabilidades de software deben ser un punto de preocupación para los CIOs delas empresas que dependen de software open source en su negocio. Este es un mal endémico que comienza en las comunidades open source, y mientras el software open source no se enfrente a las vulnerabilidades como el software comercial o el software desarrollado internamente, los mecanismos de prueba y análisis de código necesitan ser realizados con gran rigor en las comunidades open source para influir en procesos de desarrollo seguro", según Howard A. Schmidt, consejero de ciber seguridad de la Casa Blanca.

Para hacer el estudio y medir el nivel de conocimiento de seguridad ofrecido a los usuarios y medir la seguridad de los procesos de desarrollo, Fortify interactuo con los mantenedores del software y examinó las practicas de seguridad documentadas. Además, se descargaron multiples verisones de los paquetes y se escanearon con una herramienta de análisis de código estático.

"Although enterprise adoption of OSS has steadily increased, little has been done within the OSS community to implement enterprise-worthy application security measures"

Vamos, que aunque la adopción de productos open source ha crecido continuamente, poco ha sido hecho en las comunidades open source para implementar medidas de seguridad de valor en las empresas.

El estudio recomienda aplicar en las empresas herramientas de análisis estático de código, es decir, que las herramientas de análisis de código no sean sólo para los desarrolladores de software sino también para las empresas que implantan productos open source. No es que no se fien de las prácticas de desarrollo seguro que implementan los proyectos open source, es que el estudio les ha dicho que no es fiable fiarse de las prácticas de desarrollo seguro que implementan muchos proyectos open source.

"Most open source communities do not follow enterprise-level change control standards"

"La mayoría de las comunidades open source no siguen estándares para el control de cambios a un nivel empresarial", según Jennifer Bayuk, consultora de seguridad y responsable de seguridad de Bear Stearns y que dijo la frase más maligna de todo el artículo:

"There is a hidden cost for the enterprise in using open source because they have to test and patch for security bugs they don't anticipate."

"Hay un coste oculto para las empresas que están usando open source porque ellos tienen que testear y parchear los fallos de seguridad que ellos (las comunidades open source) no hacen por anticipado"

Y estos son algunos de los datos.

Fallo a la hora de proveer acceso a expertos de seguridad

Para evaluar esta parte se comprueba que haya documentación que cubran las implicaciones de seguridad y el desarrollo seguro del software que ellos desarrollen, una dirección de e-mail para que los usuarios pueda reportar vulnerabilidades de seguridad y acceso a expertos de seguridad internos para hablar sobre temas de seguridad relativos al producto. Ahí van los resultados:

Sólo pasa este test Tomcat

Fallo a la hora de adoptar un proceso de desarrollo seguro

En casi todos los proyectos analizados se comprueba que las vulnerabiliades permanecen versión tras versión, algunas veces, durante más de una año. Se puede ver que las vulnerabilidades crecen significativamente o permanecen constante. Esto demuestra que no se sigue un modelo de desarrollo seguro de software.

Los bugs o se mantienen o crecen

Fallo a la hora de tratar las vulnerabilidades de seguridad

El número de vulnerabilidades descubiertas ha sido sorpendente. Sobre todo teniendo en cuenta las dos más populares y que han sido remarcadas por todos los desarrolladores. Cross-Site Scripting y SQL Injection. Parece mentira este dato tratándose del software que se está analizando.

Mas de 22.000 XSS y 15.000 SQLi. INCREIBLE

Al final, la ausencia de una preocupación real del problema hace que los resultados en estos once proyectos sean más que llamativos con unos números de fallos por cada mil lineas de código muy elevados y, cómo dice el informe, hubiera bastado con utilizar JOR o Findbugs herramienta open source, para poder deterctar esta ingente cantidad de fallos de XSS y SQLi (entre otras).

Mas de 10 bugs introducidos en cada 1.000 líneas de código en media

No es este el primer informe que intenta hacer hincapié en la necesidad de aplicar buenas prácticas de desarrollo en el Open Source. Ya lo hizo con anterioridad Ben Chelf, CTO de Coverity y se quejó de esto Negroponte.

Al final, el mito de muchos ojos mirando no vale, no importa la cantidad, sino la calidad de los procesos.

Puedes descargarte el informe de la siguiente URL: Fortify Open Source Report

Saludos Malignos!

martes, julio 22, 2008

Y resulta que era una serie

Preparando el viaje a Las Vegas ha surgido una dificil pregunta. Allá en la Defcon parece que va a haber mucho ambiente y todas esas cosas. He visto un video y todo "superjaquerlll":


...alguien ha matado a alguien...

Pero la gran pregunta era... "oye, allá en Las Vegas...¿Habrá mujeres, no?". Porque sí, esto de tanta gente en una macrosupermegaparty del cojón esta muy bien, pero... ¿No será la típica fiesta de informáticos dónde se juega a no decir palabros informáticos en un juego de beber y alguien dice WPF, no?.

La primera respuesta que he recibido a esta duda existencial ha sido: "Hombre, pagando sí hay". Esto me ha preocupado mucho, mucho, mucho... (Bueno, no tanto que el Euro está muy fuerte y el dolar nos sale barato...) pero vamos, que ya que vas a allá... un poco de glamour vendría bien.

El caso es que he ido a buscar por amigas en Las Vegas y he buscado en el Google a ver qué me decían sobre "el tipo de mujeres que a mi me gusta". He puesto la cadena de búsqueda que me ha venido a la mente y...

mi muñeca rota

...se peta la web. Vaya, ¿es que a uno le persiguen las consultas SQL cuando va buscando... información?. En fin, que depués de analizar tranquilamente y en detalle la web en busca de información sobre las mujeres dichosas, resulta que no era ningún anuncio publicitario de mujeres sino... ¿una serie?.

Además, me dice mi super Internet Explorer 7 que ¿esta web quiere ejecutar el Remote qué en mi ordenador? Si es que todos sabemos que las web de sexo se utilizan para infectar máquinas ¿verdad?.

¿Cómo, que esto es una serie? ¿que no es una web de porno? ¿Y qué hago yo aquí? Y volviendo al tema principal... ¿Habrá mujeres en Las Vegas o tendré que conformarme con el abuelo, los sexypandas, Luciano Bello, David Barroso y el resto de crápulas?

Saludos Malignos!

PD: ¿Qué tags le pongo yo a este post?

lunes, julio 21, 2008

Más juguetes

Hola amig@s,

con el acercamiento de las conferencias de BlackHat USA y Defcon 16 en Las Vegas todos los ponentes estarán haciendo los deberes y preparando los entornos y las demos. Entre ellos, nuestro amigo Luciano Bello, del que somos abiertamente fan ;) el cual se está preparando una buena demo.

Luciano Bello descubrió el fallito en el paquete OpenSSL y tras la aparición de los OpenSSL PRNG Toys de H.D. Moore él ha estado trabajando en un añadido para Wireshark que permita descibrar el tráfico SSL cifrado mediante el uso de certificados digitales creados con los paquetes inseguros. Desde ayer está publicada la explicación y el parche.

La idea es aplicar una aproximación de fuerza bruta que permita probar todas las posibles claves privadas que se pueden generar con ese paquete buscando la clave de sesión negociada en el handshake SSL. Para ello el parche se aprovecha de que todas las claves privadas que genera el paquete OpenSSL vulnerable pueden ser precalculadas. Luciano, para ayudarnos, nos entrega un fichero con ellas ya calculadas. En la siguiente captura que nos ha dejado se puede ver en funcionamiento el parche:

Decodificando SSL con Wireshark

Luciano & Friends han sacado el parche para la versión 1.0.2 de Wireshark y aunque cómo él explica hay cosas mejorables en la herramienta, creo que el concepto quedá más que claro y para poder probarlo ha dejado una captura de red con tráfico SSL inseguro que permite probar el parche. Tenéis una explicación en Castellano y en Inglés.

Luciano, Paolo y Maximiliano han creado con esto una clase perfecta y una práctica maravillosa que puede ser realizada en las prácticas de las clases de criptografía y que permitirán, a los profesores que lo deseen, ilustrar de forma práctica este asunto, así que... ¡enhorabuena y gracias!

Y ya que os ponéis... ¿Qué tal un parche para el IPSec?. A ver si nuestro amigo Maximiliano Montoro, ilustre programador de CAIN nos introduce estas funcionalidades en nuestra herramienta favorita para Windows ;)

Saludos Malignos!

domingo, julio 20, 2008

Todos con el ay!fon

Escribí este artículo para una revista de papel, pero después de leerlo me pareció "poco apropiado". Me debo estar haciendo muy mayor para que yo determine algo como "poco apropiado". Al final cambié el texto completo para el artículo de la revista impresa, pero creo que lo que me salió del tirón es cuanto menos curioso, así que aquí os lo dejo.

***************************************************************************************

Todos con el ay!fon

***************************************************************************************

Se acabaron las guerras de buenos y malos. Se acabaron las guerras de libres y privativos, todo el mundo se unió, al estilo de los mejores musicales de “jolibud”, todos cantando en la hamburguesería encima de las mesas y bailando al tiempo que en un apoteósico y orgásmico final todos sacamos nuestro ay!fon.

Sí, somos felices, a nadie le importa que no traiga cámara de vídeo o que con un dispositivo Nokia se puedan hacer más cosas o que no traiga funciones empresariales como un HTC o una Blackberry, ¡qué más da que sea incontrolable en una empresa! Es el ay!fon. Un dispositivo mágico como dice en su publicidad.

Todos juntos, los pro-hombres de esta sociedad, hicimos cola en las tienda de la operadora que se quedó con la exclusiva al tiempo que firmábamos la permanencia, felices y contentos, durante dos años de voz y datos. Sí, quiero, quiero, quiero un ay!fon. Quiero usar mis dedos para ampliar fotos, que es lo que hago todos los días con mi teléfono. Quiero sentir la libertad, el estilo en mi bolsillo, la clase social recorriendo mi cuerpo, ver como mi traje crece y se convierte en algo superior cuando llevo un ay!fon. Quiero que mi traje tenga el bolsillo del corazón transparente, para que mi ay!fon pueda ser mostrado al mundo en todo su esplendor. Que nada se interponga entre el disfrute de my ay!fon y yo.

Yo he tenido problemas con mi dedo, pues mi padre, que no viene de familia de pianistas, me regaló en herencia una mano de barnizador de muñequilla acostumbrado al disolvente y la lija fina y no va bien con el ay!fon. Pero no pasa nada, me puedo comprar el ay!finger que al más puro estilo del ay!calcetín para mi ay!plof cuesta un dinero que sólo nosotros, los de una clase social elevada podemos pagar. Y el que no pueda, pues que se chinche que para eso somos ay!people.

Y si no, pues me adapto el mi dedo, me voy a una empresa de esas que hacen cirugía, que si uno se pone los músculos de sentarse de Antonio Banderas o la herramienta de trabajo de Nacho Vidal, yo quiero ponerme el dedo de… no se… de Tom Cruise, que además seguro que huele que alimenta.

Así, con mi ay!fon podré disfrutar de mi ay!calcetin 2.0 (ay!fon edition), y mi ay!finger addapted y se notará, vaya por dónde vaya, que aún quedan clases sociales. Hablaré más alto, para que así, cuando me vean mis congéneres me hagan un gesto de aprobación, al estilo de los moteros de las hermandades cuando se cruzan en la carretera.

Sólo espero que empiecen a hacerse las nuevas ubicaciones para nosotros. Las ay!cafeterías, dónde nos cobre 30 € por un café sin azúcar ni leche y nos vendan el ay!milk a 10 € y el ay!sugar a 15 € el terrón y dónde sólo nosotros, gente de una clase social superior podamos entrar. Que no haya colas en base a tiempo esperando sino en base al ay!status, el que tenga la colección completa de cacharrines que sea primero.

Vosotros, gente de baja estofa, de mal comer y mal vivir, descerebrados que no sabéis que es lo importante en la vida nunca llegaréis a nada. No sabéis valorar las inversiones y por eso tenéis lo que os merecéis. Teléfonos móviles que sirven sólo para llamar o incluso para trabajar, pero… ¿os da algún status social? Noooooooo, por eso os va como os va.

Dejadnos a nosotros que gobernemos, basta de decisiones “técnicas” en la elección de aparatos pensados para dar “estilo y clase”. Si una empresa quiere poner teléfonos móviles a sus empleados ¿en qué debe pensar? ¿En los datos técnicos o en el estilo?

Ay, pobre de ti, si dudas en la respuesta ante esta pregunta. Ya lo decía claramente el anuncio de ese reloj de nosequé en que salía Antonio Banderas, el Fernando Alonso ese de los coches pequeños y aplanados y la chica rubia esta que canta… porque canta ¿no?. Sí, ya lo decía claramente: “No es lo que soy, soy lo que tengo” …¿o no decía eso?

En fin, no te resistas, da un paso adelante y ponte en la cola de tu tienda de dispositivos de “estilo” y arrasa con todas las ediciones. Cómprate varias ay!carcasas y tira ya tu viejo “zapatófono”. Verás cómo ligarás incluso siendo informático.

Saludos Malignos!

sábado, julio 19, 2008

Google va tras el Maligno

Vaya, esto es lo que tienen las fotos tiradas sin avisar. Sacan el Malignomovil en el Google Earth ... ¡y lo tengo mal aparcado!. Esto tenía que pasar tarde o temprano y tenía que haber estado preparado para la foto. Ya sabéis que Google siempre persigue a las personas de talento, genios de la tecnología que despuntan, y como todos podéis ver, esto es un claro indicio de que está detrás mía.

Malignomovil malaparcado

Menos mal que de momento no se ponen multas con las fotos tomadas desde el Google Earth que si no... . De momento ya he perdido 3 puntos y he "donado" al estado una buena cantidad de Euros en concepto de "multa".

En fin, que dura es la vida. Si Google firma un acuerdo con la DGT va a haber que mirar al cielo cuando dejes el coche mal aparcado.

Saludos Malignos!

viernes, julio 18, 2008

Los Otros

Hace ya cuatro años José Parada y yo dábamos una sesión de Rootkits y Troyanos. La sesión de los troyanos la llamamos “Hay un amigo en mí” y a la de los Rootkits el abuelo la tituló “Los Otros”, pues decía que con los rootkits era como compartir la casa con fantasmas.

Una de las recomendaciones comunes para evitar la invasión de estos amigos es mantener el software actualizado. Un software desactualizado de parches es un software inseguro. Hay que actualizar todo el software de un sistema sí o sí.

Cómo ya sabéis aquellos que tenéis plataformas Windows, los servicios de Windows Update y Spectra Update sólo actualizan software de la compañía y se debe conocer la forma en la que se actualiza todo el otro software. Para ello las empresas implantaron sistemas de notificación y actualización en el propio software, así, los “y pico” millones de personas que instalaron el Firefox 3 ahora recibirán una notificación de “oye, llevamos 3 críticas en 1 mes y hay que parchear ya!”. Sin embargo, en la plataforma hay otro software que por su arquitectura (plug-ins de navegadores, componentes de otros programas, etc…) o por ausencia de un componente automático de actualización se quedan sin atualizar.

Secunia PSI

Para ese software existe alguna solución muy cómoda como el Secunia Personal Software Inspector (PSI) o Software Update Monitor (SUMO). Estos productos son una buena solución para mantener tu PC libre de software desactualizado. Ambos son productos con versiones gratuitas.

SUMO (Software Update MOnitor)

En Windows Vista contamos además con una herramienta que no está pensada para detectar software sin actualizar pero que nos ayuda a saber que hay un componente sin actualizar que puede estar dando problemas. Se llama el Informe de Soluciones y Problemas. Esta herramienta salta cuando un programa deja de funcionar correctamente. Windows Vista evalúa la lista de problemas conocidos y por medio del programa Buscar Soluciones te ofrece una posible lista de soluciones. Ésta, en muchos casos puede venir por un parche en un componente de terceros que está sin actualizar.

Informe de Problemas y Soluciones en Windows Vista

Pero cuando tienes una infraestructura de red media, es decir, la típica red de empresa en la que hay un control de dominio pero los usuarios en su máquina tienen bastantes privilegios e incluso son usuarios administradores de su máquina el problema se complica, pues tienes que delegar en ellos la responsabilidad de actualizar todo ese software que se instalan. Esa webcam, esos cascos bluetooth que vienen con el real player, el software de la cámara de fotos que instala el acrobat reader o el plugin para ver imágenes en 360º en su Firefox. Si ellos no parchean y tú no sabes que lo tiene instalado, esto es un problema. Para esos entornos están herramientas tipo Secunia Network Software Inspector.

Secunia Network Software Inspector

Esta herramienta, que ya se encuentra en su versión 2, realiza las mismas funciones que Secunia PSI, pero centralizando el control. Así, el administrador puede conocer en todo momento que componente no está actualizado en cada máquina de la red. La versión es de pago, pero existe un trial completamente funcional de 7 días que puedes probar hasta con 3 hosts de la red. Yo voy a actualizar estos componentes.

Saludos Malignos!

jueves, julio 17, 2008

La lista de los empollones

Hola amigos,

ya ha pasado el ecuador del año y también el ecuador de la campaña de Retos Hacking del 2008 (la del 2007 ya sabéis que acabó y cómo acabó). En este periodo de tiempo los jugadores han pasado por el Reto Hacking VI [en el que había que jugar con las inyecciones con funciones aritméticas], que contó con 2 puntos extras de velocidad de fases, el Juego de XSS [en el que había que forzar acciones en un correo web] que quedó publicado en el artículo de "Correos en la Web", el Reto Hacking VII [con la inyección en llamadas a procedimientos PL/SQL en bases de datos Oracle], el jueguecito de Criptografía que nos propuso el gran Jorge Ramió [solucionario por NitRic] y el actual Reto Hacking VIII (aún abierto para que podáis puntuar). Los puntos se han repartido de la siguiente forma:

Clasificación a día 16/07/08

Como se puede apreciar, parece que Dani Kachakil quiere revalidar su título a todas todas y salvo un desfallecimiento total o que le mandemos un matón que le corte las manos y le mande al hospital durante un tiempo, lo tiene muy enfilado. Sólo 20 de los más de 300 que se han registrado a uno u otro reto han conseguido puntuar, pero no debéis desfallecer, no son tan dificiles.

Si te has atascado en la fase 1 del Reto Hacking VIII te recomiendo que repases este artículo publicado tiempo ha y si te has quedado atascado en la fase 2 te recomiendo que repases las presentaciones de cierta conferencia publicados tiempo ha.

Mi enhorabuena y mis respetos a los afortunados: Dani Kachakil, Mandingo, Bambú, Palako, RoMaNSoFt, Samsa, SealTeam, Tayoken, g30rg3_x, patoruzo, Thesur, Kabracity, evilteq, NitRic, penyaskito, aprens, chaval, dgvikuna , juan_chanc... y estrauberri.

Saludos Malignos!

miércoles, julio 16, 2008

No Lusers 47: Idolatría





Abrakadabra

Muchas veces habla en las conversaciones sobre la teoría de la conspiración de supuestas puertas de atrás basadas en fallos de seguridad. La verdad es que es una idea peregrina pero no falta de cierta base. ¿Y si Spectra ha dejado un mensaje mágico que enviado contra cualquier equipo este devuleva una shell cifrada con permisos de administración contra la ip que genera ese mensaje mágico por un puerto sólo conocido por ellos? Vale, no hace falta especular más, existe, y yo tengo el mensaje mágico.

Sin embargo ha costado mucho crear este mensaje mágico, este abracadabra, porque resulta que el gobierno español tiene el 100 % del código de Office y el 100 % del código de Windows y, a pesar de que muchos crean que no, se lo leen buenos profesionales. Ya,ya, sé que lo siguiente es "¿y si...? o ¿y si esto otro...?". Sí, es cierto, están todas las llaves mágicas. Yo las tengo. Luego os paso alguna.

En un sistema operativo como Windows es bastante complicado meter todas esas llaves mágicas e incluso, como me ha contado mi amigo "Silverhack", sacar algo que se sabe que está allí se hace complicado.

Si trasladamos esta teoría de la conspiración a las aplicaciones web, es decir a algo que rule con código de servidor y bases de datos crear una puerta trasera es tan fácil como dejar un sencillo fallo de seguridad. Un Blind SQL Injection para siempre poder sacar la contraseña del admninistrador del sitio en ese programita que hay por ahí que puede o no recibir parámetros. Ese SQL Injection perdido en ese parámetro peregrino que va por post en la cookie y que nos puede permitir crearnos un usuario. Esa comprobación de que el fichero que se sube tenga .gif en el nombre en lugar de comprobar que acabe en .gif, etc...

¿Cuántos clientes que implantan aplicaciones web realizadas por terceros auditarán ese código fuente en busca de la puerta que se ha dejado el programador? ¿Cuántos fallos de seguriad no son tales fallos?

Vale, quiero montar una industria para distribuir malware, necesito mil servidores web... ¿cómo los conseguimos? Fácil, hagamos un pluging muy chulo para Wordpress que permita hacer... no sé, X. Dejémoslo en sourceforge, anunciémoslo en las listas adecuadas, mostremos la pasión y démoslo grátuitamente sin olvidarnos de dejar un blind SQL Injection para poder sacar la password de administración. Así de fácil te haces con un buen número de servidores. ¿Para que buscar un fallo en un servidor si podemos crear el fallo en el servidor? Suena a cachondeo, pero procura no poner muchos plugins No-oficiales en tus servidores.

La teoría de la conspiración es bonita, es fácil y es elegante, pero asistiendo a las charlas de "pajarraco" de los Santos y viendo como funciona hoy en día la industria del malware no me parece ciencia ficción algo como esto. Hay pluggins para ciertos gestores de contenido populares que se nota que se han hecho en dos tardes, con lo cual es una pequeña inversión en tiempo para un ámplio retorno de inversión, pues además los creadores tendrán un Zero-days perfecto. Tendrán la palabrita mágica, el Abrakadabra.

Por cierto, en Windows, el mensaje mágico es:













Saludos Malignos!

martes, julio 15, 2008

Calendario de Festividades

El año pasado, en una de las muchas apiroladas que me pasan por la cabeza, me dio por mirar el uptime de un grupo de webs que me pareció bien. Las webs elegidas fueron estas [si haces clic te lleva a su tabla de uptime]:

[www.ubuntu.com],[www.youtube.com],[www.sun.com],[toshiba.com],[cisco.com],[www.dell.com],[www.redhat.com],[www.oracle.com],[www.ibm.com],[www.hp.com],[www.amd.com],[www.apple.com],[www.microsoft.com],[www.google.com]

Esto me entretuvo durante bastante tiempo, pues los amigos de Ubuntu instauraron el día de San Ubuntu, dando un día de descanso al CPD, es decir, el CPD estuvo más de 1 día sin servicio al año. No fue el CPD de Ubuntu el único que disfruto de esa festividad pues Sun y Youtube también se lo tomaron.

Pasado ya medio año, y, viendo que está el Tour de Francia con las tablas de tiempos, me he acercado a ver como va el tema por "mi lista". Y mira tú por dónde, ¡qué sorpresa! Ubuntu, luser el año pasado en mi lista, no es el que peor va.

Resultados Ene-Jun 2008

Parece ser que nuestro querido Ubuntu no quiere festejar la fiesta que lleva su nombre y que muchos se han puesto las pilas en comparación con los resultados del año anterior:

Datos según Pingdom año 2007.
Haz click en la imagen para ver detalles por meses

Sin embargo, llama la atención como Google ha estado caido más tiempo estos seis meses que el año pasado entero, o cómo SUN sigue por los mismos derroteros del pasado siendo el único a priori, con posibilidades reales de festejar San Ubuntu. Apple también sorprende, pues han debido instalar ey ay!fon "Server Edition" en cluster para que les vaya mejor.

Este año, el liderato se lo juegan IBM y Spectra... de momento, ¡qué aun queda la mitad del año¡. Y por la cola...¿Qué pasa con el CPD de SUN? ¿No revisan los datos de uptime del año pasado? ¿No es prioridad para ellos el Uptime de la web? ¿SUN?

Saludos Malignos!

lunes, julio 14, 2008

¿Y qué vas a hacer tú este verano?

Verano,

tiempo de vacaciones, tiempo de jornada reducida (si la tienes), tiempo de perrear un poco más. Las gambas, las terracitas, las cervecitas (sin alcohol incluso), el te helado y le botellón. Los conciertos de verano, las horas de siesta y tinto de verano. El calimotxo y el martini, la sangría y la clarita.

"Tráete una poco de jamón serrano, pero que sea el que sacas para tu familia y no el de los guiris"

Sí, vale, eso está muy bien, pero... ¿de verdad no vas a hacer nada más? ¿Soy yo el único berzas que se pone tareás de estudio en verano?

Recuerdo que el Agosto pasado me lo pasé preparando el artículo de las consultas pesadas con Dani Kachakil, Antonio y Marta que saldría en la Spectra Security Newsletter de septiembre y al final a un artículo en Technet, que luego daría lugar al artículo del congreso de Oporto, que daría lugar al artículo de PC World y al de Hackin9, que luego daría lugar al Marathon Tool, que luego se presentaría en el 4º Seminario de Segu-info en Argentina y que terminará en la Defcon16.

Además, el Agosto pasado fue muy movidito de temas y fue una chulada seguir todo lo que sucedió. Empezó con el exploit del Joomla que dejó la pass de la web del libro blanco del software libre rulando por Internet, se cepillaron la web del ministerio de la vivienda en España, se cayeron los servidores de las comunidades Ubuntu, se cayeron unos servidores de Gentoo, se publicó un exploit épico y romantico en un producto IBM con el 'or '1'='1, creamos la Web 3.11 para trabajo en grupo, se cepillaron la web de partners de Spectra en Londres, se le fue la luz a Cisco, Kolibas explicó por qué abandonó el desarrollo del kernel de Linux, IIS recortó un montón de puntos a Apache y Linux superó por fin a Windows 98, para terminar con Sun vendiendo sus servidores con Windows Server. Y todo esto en periodo de verano aderezado con la votación de OOXML.

El verano pasado también estuvimos trabajando en el tema de LDAP Injection & Blind LDAP Injection, que comenzó con el Reto Hacking IV que se publicó el día 4 de Septiembre, que publicamos en Windows TI Magazine, ese trabajo lo contamos en el Asegúr@IT I, eso dio lugar al trabajo de fin del postgrado, luego dio lugar a la charla de Blackhat EU 08 y el whitepaper que publicamos y que ya está linkado en OWASP, algún articulo más en el blog, para terminar con este trabajo en los congresos del Collecter'08 y el X RECSI en Salamanca el próximo septiembre.

A mí el verano me suele gustar para hacer cosas. Sí, hay que desconectar, hay que pararse y eso, pero... a mi me relaja el estar con estas cosas. ¿A tí no?, ¿qué vas a hacer tú este verano?

Saludos Malignos!

domingo, julio 13, 2008

Actividades repetibles

Sí, hay que innovar y mejorar. Todo es mejorable siempre, y de las mejoras que se plantean algunas son abordables y otras no, pero siempre hay que intentarlo.

Durante estos últimos años hemos ido probando diferentes acciones para ver cuáles funcionan, gustan y cuales no. De las que han ido quedando hemos ido buscando ver cómo mejorarlas con el tiempo.

Dentro de las actividades repetibles, una que queremos seguir manteniendo es el Spectra Security Day, un evento de día completo dedicado a la seguridad que desde hace ya 5 años se viene repitiendo en España. Este año parece que, si todo va en curso, se realizará otra vez. ¡Mooooola!

Otra actividad que se seguirá repitiendo el año que viene serán los Hands On Lab. Son ya 3 años cumplidos y más de 5.000 técnicos los que han pasado por ellos y más de 10 ciudades dónde se ha llevado la campaña. Si todo va en curso, se volverán a realizar, ya veremos en que ciudades.

Los Retos Hacking por supuesto también seguirán y que estas son de las actividades que más nos divierte y además contamos con el apoyo de Antonio Guzmán y la Universidad para que sigamos haciendo este tipo de acciones.

También seguiremos con los eventos Asegúr@a IT. Cómo habéis podido ver el AsegúraIT III se realizará en Bilbao, pero ya está en línea de tiro el IV, que volverá a Madrid y el V se está pensando (y esperemos que todo vaya en regla) para Sevilla o Valencia. Además, procuramos dejar las charlas grabadas como hicimos en el Asegúr@IT I en Madrid y casi conseguimos hacer en el Asegúr@IT II en Barcelona.

La Gira de Seguridad, que llevamos realizando los últimos 5 años está siendo pensada. Tal vez se realice en H1, es decir, de Septiembre a Enero una gira de infraestructura, contando cosas de adminstración, virtualización y gestión y tal vez, una gira en H2, de Febrero a Mayo una gira sólo de seguridad, con "amigüitos". Está por decidir.

Seguiremos grabando los contenidos en Webcasts, dónde quedarán grabadas muchas, si no todas, de las demos que vamos realizando en las diferentes charlas.

Las dos últimas acciones que hemos realizado este año, es decir, el Curso de Verano de Seguridad informática que hemos realizado en la Universidad de Salamanca y la Formación Técnica de Seguridad y Auditoría Informática quedan un poco lejos aun, ya que una aun no ha terminado y la otra acabó este viernes, pero en ambos casos estamos muy contentos con las experiencias.

Al final, tenemos un buen número de acciones que completamos con las colaboraciones en acciones de otros, como el tema del Infosecurity, la participación en eventos y parties, la publicación de artículos en revistas y blogs o cualquier otra cosa, pero... todo es mejorable, así que si tienes alguna idea que creas que mole... adelante, proponla.

Saludos Malignos!

sábado, julio 12, 2008

El ay!-fon

Hola personas y no-personas!

Hoy estoy que no me lo puedo "de creel!". Entiendo que el ay!-fon es bonito, entiendo que el ay!-fon tiene un interfaz muy chulo y entiendo que la novedad manda, pero... sigo sin poder "de creelmelo". Colas de chavales vendiendo su alma por un ay!fon. "Me voy a dar un capricho", dicen. Joder, yo por capricho entiendo otra cosa...

Dos años enganchado a una operadora con un contrato del cuál, no te engañes, no vas a poder librarte fácilmente. El ay!fon es gratis si firmas una cuota de 60 eurazos al mes de voz y 25 euralios de datos durante dos años. Es decir, es gratis si te gastas....vamos a ver... 60 más 25 igual a 85, 6 por 3, 18 me llego la de chica, cuatro más uno ... pa ti tol premio... por 24 meses hacen un total de unos dos mil euros. Eso es, gástate más de dos mil pavos y llévate un ay!fon gratis.

De aquí a dos años habrán aparecido cosas muy chulas de tecnología y mientras, estos chavales seguirán pagando la cuota que han tenido que suscribir para tener "el capricho". José Parada se trajo el ay!tach que es como el ay!fon pero sin móvil a las BlackHat y lo usamos como cronómetro. Es bonito, es cool, es ... un cacharrín más.

Puedes tocarlo con el dedo o comprarte un palo especial para que lo puedas tocar sin el dedo. Puedes hacer cosas mágicas, cómo decía la publicidad, pero eso sí, no puedes grabar videos de porno casero...Yo sólo por eso ya no me lo voy a comprar.

Aps, y si se te rompe o lo pierdes o te lo roban o tu perro se lo come... pues lo siento, pero tienes que seguir con el contrato este durante esos dos añitos, nada de sustitución o cancelación o dejo de pagar. Dentro de un tiempo, por supuesto menos de dos años, saldrá el ay!fon2 o el ay!superfon o el ay!tolay y vendrá con la camara de video para el porno casero como "Important Security Update".

Me encanta el marketing. Estos del ay!fon son unos profesionales y se aprende mucho de ellos. Consiguen que hasta defensores del software libre se monten en su coche de multinacional y hablen desde su ay!fon. ¿Tienes ya el tuyo?

Saludos Malignos!

Mi jefe

En el post de Ingenier@ Sí, Ingenier@ No yo he llamado "esclavos" a mis compis y con una risilla malévola, mientras conducía, me ha venido a la mente la canción de los Koma titulada "Mi Jefe".


...Mi jefe se merece un monumento...

¡Dulce melodía hispana!

Saludos Malignos!

viernes, julio 11, 2008

Ingenier@ Sí, Ingenier@ No

Otra de las dudas que me llegan por mail entre esos correos de “Eres el mejor”, “Te admiro”, “Me cago en tus muelas”,”¿Podrías enviarme todo la információn que tengas de seguridad Informática?”, “Estás superbueno y supersexy, ¿Cuándo quedamos?”, o “¿Cuándo vienes a dar una charla a mi ciudad?” es uno que me carga de responsabilidad. Es el que dice: “¿Me recomendarías estudiar la carrera de informática?”. Toma ya, enorme responsabilidad sobre mis hombros, decidir sobre la vida de alguien.

Si tengo que dar una contestación sobre esto en general, sin mirar la casuística de cada una de las personas que están detrás de cada una de estas consultas, mi contestación es siempre la misma. Yo lo haría. De hecho estudié en la Politécnica de Madrid los estudios de Ingeniería Técnica de Informática de Sistemas y me quedó el resquemor de no haber acabado la Ingeniería de Informática que acabé tiempo después en la Universidad Rey Juan Carlos. Después he seguido con un Master y ahora estoy con la batalla del Doctorado. Mis paranoias.

No creo que los estudios universitarios te hagan mejor técnico o mejor informático que uno que no tenga esos estudios. Creo que los estudios de universitarios de informática te hacen mejor informático o técnico que lo que serías sin haberlos cursado. Te obligan a repasar cosas como autómatas, ingeniería del software o algorítmica. Conocer a nuestros amigos Dijkstra, Tanenbaum, Torvalds, Moore, Mealy, Ruffini, Whitfield Diffie, Martin Hellman, Von Newman o Turing. Tipos simpáticos, de ideas divertidas y brillantes.

No creo que sea condición necesaria para un buen técnico haber pasado por los estudios universitarios de informática, pero sigo pensando que es bueno acabarlos si tienes ocasión.

Sí, todos podréis contarme mil historias negativas, yo también. Malos profesores, chapuzas, desconocimiento de los temas, materias obsoletas, dejadez o apatía, sí, lo sé, pero también os puedo contar historías de profesores brillantes, motivadores, divertidos, luchadores, trabajadores, investigadores y grandes speakers.

Lo que está claro es que sólo con ir a la Universidad no te haces buen informático. Para ello debes aprovechar tu tiempo en la universidad. Trabajar, investigar, meterte en grupos de trabajo, ir a conferencias, aprender de los que saben y enseñar a los que no saben. Cada asignatura es un reto, cada problema un juego y cada minuto allí una oportunidad de elegir tú como aprender.

La universidad no es un horario y unas clases, la universidad no es estar de pedo todo el día, de fumada en el jardín o jugando al mus, la universidad no es quejarse de todo o ser un niño bueno, la universidad está para que tú aproveches tu tiempo de recursos. Profesores, libros, laboratorios, compañeros, becas, charlas técnicas con gente que te cuenta cosas que ha probado, conferencias, lecturas, actividades.

En mi época de universidad (de joven) tuve que trabajar todas las tardes y compatibilizarla con el voluntariado social (una cosa de esas que hacíamos algunos por no vestirnos de verde). Conservo tres amigos y algún que otro compañero, pero no sería capaz de juntar a más de 10 personas en mi memoria. Salí de allí sin haber aprovechado correctamente mi vida de estudiante y siempre me quedarán ganas de haber podido volver a vivir esa vida y haber salido mucho mejor preparado. El no salir muy preparado, por no haber aprovechado correctamente mi tiempo, me hizo tener que forzar la máquina después. De todo aquello me salvó el haber empezado a estudiar informática con 12 años y saber programar en media docena de lenguajes antes de entrar en la carrera.

Si estás en edad y tienes posibilidades, yo no lo dudaría y lo haría. Aprendería un puñado de lenguajes, buscaría a tres colegas que quieran aprender, me metería en cien mil películas y viviría la informática. Algorítmica, hardware, sistemas distribuidos, arquitectura de redes, bases de datos a saco paco, ingeniería artíficial, visión artíficial, ingeniería del conocimiento, sistemas en grip, procesamiento paralelo, electrónica, análisis matemático, geometría por ordenador, sistemas de almacenamiento,.. incluso seguridad informática. Siempre hay algo que estudiar que te mole, seguro.

Si no puedes, tampoco pasa nada, no es necesario, conozco a grandes técnicos a los cuales respeto y no tienen ningún estudio universitario, pero si puedo los animo a hacer la carrera. Y si no que os cuenten “mis esclavos”.

Se admiten opiniones.

Saludos Malignos!

jueves, julio 10, 2008

Asegúr@IT III - La Previa

Hola seres y estares, ya llega el veranito, y antes de que os vayáis de vacaciones, os quemeís como gambas en la playa, engordéis un par de kilos más que no os quitaréis con facilidad y vengáis más cansados que lo que os fuísteis, os voy a dejar en la agenda un evento GRATUITO que hemos montado en Bilbao. Es el Asegúr@IT III en Bilbao, esta vez, bajo el paraguas de Spectra Technet, en la sede de la Universidad de Deusto, con la participación de S21Sec, de Panda Security por primera vez e Informática64.

- Los ponentes: Mikel Gastesi, Iñaki Etxeberría, Pablo Garaizar, Juan Luís Rambla y David Carmonix.

- El lugar: Bilbao, Universidad de Deusto.

- El Cuando: El día 25 de Septiembre de 2008.

La agenda

09:00 - 09:15 Registro

09:15 - 10:00 Cracking & protección de software

La disciplina de cracking software tiene mucho que ver con la protección de software. En esta sesión Mike Gastesi, de S21Sec, contará cuales son algunas de las técnicas utilizadas para la decompilación y crackeo de software y al final dará algunas recomendaciones para proteger el software contra este tipo de técnicas.

10:00 - 10:45 Rootkits in Action

La técnología rootkit llego ya hace unos años para quedarse con nosotros. En esta sesión Iñaki Etxeberría, de Panda Security, contará como funcionan hoy en día los rootkits, cuales son sus objetivos y cómo podemos protegernos de ellos.

10:45 - 11:15 Café

11:15 - 12:00 Tempest, mitos y realidades

La tecnología Tempest ha dado mucho que hablar. La posibilidad de interceptar la información generada en un equipo mediante la intercepción de las ondas radiadas por los dispositivos electrónicos ha sido utilizada en múltiples novelas y películas de ciencia ficción. No obstante, las técnicas tempest existen y funcionan con unas características. En esta sesión Pablo Garaizar, Txipi, de la Universidad de Deusto mostrará que es mito, que es realidad y hará algún ejemplo de estas técnicas.

12:00 - 12:45 Network Access Protecction

La protección de las redes en entornos en los que los trabajadores utilizan dispositivos móviles para conectarse (portátiles, pdas, teléfonos móviles) necesitan comprobar la salud de los equipos que se conectan a la red. Windows Server 2008 y Windows Vista incorporan NAP, una tecnología que permite controlar la salud de los equipos que se desean conectar a la red. Juan Luís Rambla, MVP de Spectra en Windows Security de Informática 64 realizará una demostración de como implantar esta tecnología.

12:45 - 13:30 Protección contra Botnets desplegadas por Web

Las técnicas de expansión de las redes botnets van cambiando día a día buscando nuevos métodos de infectar máquinas. Actualmente una de las disciplinas utilizadas consiste en atacar máquinas través de sitios web legítimos vulnerados mediante fallos de programación. David Carmona, Evangelista de Spectra desgranará como funcionan estas nuevas formas de despliegue y dará pautas para protegernos contra ellas.

13:30 - 14:00 Preguntas a los ponentes

Apúntate en esta URL: Asegúr@IT III en Bilbao, 25 de Septiembre de 2008

Saludos Malignos!

miércoles, julio 09, 2008

Y ya se está acabando

Han pasado ya cinco semanas desde que un grupo de personas comenzó a jugar con esto de la seguridad informática estando con nosotros. A darles la tabarra hemos pasado Silverhack, Pedro Laguna, Alekusu, Juan Luís Rambla, Anelkaos y su Wifislax, Rames de Smartacces que nos regaló unos lectores de smartcards para autenticar con el e-DNI en el Active Directory, José Parada de la misma Spectra que nos regaló Windows Vistas Ultimate a todos ('viva la fiesta!), Mikel Gastesi de S21Sec, Antonio Guzmán de la URJC para enseñarnos como funcionan las métricas de seguridad, Victor Manuel de GFI (que viene esta semana) con algún regalo también... ¡mola!, y yo. Ya sólo nos queda una semanita dónde la gente de S21Sec nos va a visitar también para hablar de análisis de logs. Esta semana, la última, es la dedicada al Análisis Forense. En esta me toca asistir como alumno y me siento feliz y contento. A ver si aprendo suficiente y consigo pasarme el Reto Hacking 8.....

Saludos Malignos!

Medidas de protección contra troyanos bancarios (II de VI)

***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************

Sacar la pasta

Una vez que se tienen las cuentas robadas y clasificadas, ¿cómo se accede al dinero? Esto es una industria cada vez más profesionaliza y en muchos casos son gente distinta. Por un lado la gente que roba las credenciales bancarias se las vende a mafias que van a realizar la extracción del dinero.

Para sacar la pasta lo primero es sacarla desde el propio país, es decir, si vamos a robar dinero en cuentas en España se tiene que hacer desde un ordenador en la red de España. Para ello, nuestros queridos troyanos vienen configurados para permitir que el “amo” tome el control de la máquina y pueda realizar las transferencias desde un ordenador situado en España. Así se evitan el uso de proxys anónimos que los bancos los tienen marcados en blacklists. Es suficiente con entrar a una máquina de una víctima en el país dónde se va a robar el dinero y desde ella realizar cierto número de transacciones. Luego se coge otra y otra hasta que se roba en todas las cuentas.

Pero… ¿a qué cuenta se envía? Si la cuenta esta en otro país es más probable que salten las alarmas por lo que, mediante el uso de e-mailings masivos utilizando técnicas de SPAM o anuncios publicitarios en distintos medios se “contrata” a una persona para actuar de lo que se llama “Mulero”. Los correos de Spam no se envían desde servidores de la mafia sino desde equipos troyanizados que no están en blacklists de correo, por lo que basta con cambiar cada poco de víctima para seguir enviando correo SPAM.

El mulero que se va a contratar tiene que ser del país en el que se va a robar, es decir, si tienen 2000 cuentas bancarias con sus correspondientes números de personas en España se contrata a un mulero en España.

Los anuncios suelen ofrecer un trabajo por horas sin mucha cualificación y ofrecen un buen dinero a cambio. Suelen plantear una situación en la que una empresa de otro país precisa de la ayuda de un “representante” para gestionar los cobros de sus clientes. Para ello nuestro flamante recién incorporado a la cola de ir a la cárcel solo debe abrirse una cuenta en el banco a su nombre en la que va a recibir “los pagos”. Una vez esté el dinero en la cuenta él debe sacarlo, quedarse con su comisión y enviar el resto por una empresa de envío de dinero a otros países.

Imagen: Oferta de trabajo “Mulero”

Así la transferencia es, en nuestro ejemplo, de España a España reduciéndose el número de alarmas que se pueden disparar.

Una vez el dinero esté en manos de la mafia, adiós muy buenas y los que han dejado todos los rastros han sido los equipos desde los que se envía el SPAM y desde los que se hacen las transferencia y los datos del mulero y ellos han permanecido en un completo anonimato.

El principio

Claro, como se puede ver, todo parte de tener máquinas controladas con troyanos. Troyanos que van a permitir robar los datos bancarios, tomar el control de la máquina para realizar las transferencias desde ella, mediante la instalación de servidores proxys en ella o directamente desde el control remoto de la máquina, troyanos para enviar el spam. Troyanos bancarios pero… ¿cómo se meten en el ordenador? Esa es la clave, evitar que se puedan meter en tu equipo. Para ello vamos a ver que podemos realizar para protegernos de ellos.

Más vale prevenir que curar

Una vez que un troyano se ha colado en tu equipo es posible que se oculte para toda herramienta informática instalada o que se vaya a instalar haciendo que su detección y eliminación sea más que un duro trabajo. Además, una vez introducido un troyano en tu máquina no hay garantía de que no se haya hecho nada más en el ordenador y que por tanto, tras el borrado del troyano, tu equipo se ha quedado totalmente limpio. Intenta por tanto no tener que buscar troyanos en tu equipo.

Para evitar tener problemas con los troyanos existen una serie de precauciones que se deben seguir. Ninguna es 100 % efectiva sin no se aplican todas y aún así, por desgracia, en este mundo cambiante en el que vivimos no se puede garantizar el 100 % de seguridad aún siguiéndolas pero sí se podrá reducir el riesgo.

***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************

Entradas populares