martes, septiembre 30, 2008

Toorcon X is Over (I de II)

Sí, ya terminó la Toorcon X en San Diego y debo decir que he podido disfrutar bastante. El viaje de ida fue poco menos que horripilante, pero tras llegar a las mil de la noche, el jet lag consiguió ponerme en pie para la hora del registro. Allí los speakers recibimos un bonito badge con el símbolo de la Toorcon X en color amarillo, que se diferenciaba del badge rojo uva que llevaba el resto de los asistentes.

Nada más llegar me fui a ver la keynote de la sesión dónde, después de ponernos un friki-video con fotos de las 9 conferencias anteriores basado en Star Wars, habló Dan Kaminsky. He de reconocer que me gustó mucho la charla y me llenó de orgullo ver que en las ppts y durante la presentación se paró a hablar largo y tendido de Francisco Amato y Luciano Bello. Grande.

La sesión versó en los primeros minutos sobre el famoso fallo del DNS, pero luego se dedicó a contar las aplicaciones que había dado la peña a esto de joder el DNS. Desde el evilgrade de Francisco, el salto de comprobaciones SPF en el DNS, la búsqueda de CRLs, etc… De nuevo no hubo ninguna demo, pero la charla estuvo muy divertida y amena. Se le veía cómodo y feliz en esta CON en la que ha estado en casi todas (si no en todas) las ediciones.

Alex Sotirov en Toorcon

Después de la pausa de la comida me quedé a ver la famosa charla de Alex Sotirov y he de decir que no sé si habrá impresionado a muchas chicas, pero a mí sí que me impresionó. Los trucos que utiliza para saltarse las protecciones de memoria en el webbrowser son tan buenos como ingeniosos y si voy encontrando algunos ratos os cuento algunos trucos geniales para inyectar código vulnerable con direcciones predecibles. El truco del heap spray y el stack spray son geniales. Me gustó mucho la explicación para saltarse el DEP: “Bueno, cómo sabéis IE7 y FF2 no activan por defecto DEP, así que no hay nada que saltarse, pero, si lo activamos siempre podemos usar código .NET o Java, qué, como ellos escriben código en tiempo real en memoria están exentos de la comprobación DEP”. Ale, con dos cojones y un palito. “Y si no, siempre puedes utilizar un objeto Flash vulnerable, que cómo sólo lleva 4 años el DEP, los chicos no han tenido tiempo de volver a compilar el código con el flag NX”. Ale, otra perlita. Al final de la charla, me acerqué a saludarle y hablar con él un par de minutos. Le pareció bien que le hiciera una entrevista, así que ya os la publicaré por aquí. Le dije: “Well, some of the questions will be technical ones and some of them don´t”. Me miró extrañado, sonrió y me dijo: “cool”.

Ahora va a estar en la Ekoparty, así que, si tienes la suerte de estar en Buenos Aires o cercanías deberías estar registrándote, porque el plantel de la Eko promete.

No tuve la suerte de poder asistir a todas las charlas ya que, entre el Jet Lag y la preparación de mi charla, tuve poco tiempo de cerebro disponible, pero el día siguiente puede asistir a más charlitas.

La primera de las charlas que vi estuvo a cargo de Luiz "effffn" Eduardo, de Brasil, al que ya había visto en la Defcon con Nelson Murilo y su Beholder (esta charla, la de Beholder, estará también en la ekoparty) que habló sobre como es el servicio Wifi que ofrecen algunas líneas aéreas, dejando preguntas sobre la mesa para intentar encontrar el modelo de seguridad utilizado. El título de la charla fue: “a 30,000 feet look at wi-fi".

Después Marc Bevand dio una charla sobre como romprer el crypt() de UNIX con una PS3 consiguiendo un 10% de incremento sobre los resultados con John the ripper. Fue una charla curiosa y me recordó a la vista en BH EU 2008 sobre cómo convertir la PS3 en una máquina de cracking.

Dan Griffin en Toorcon

La última charla que tuve la suerte de ver estuvo a cargo de Dan Griffin sobre “Hacking SharePoint”. He de decir que la charla contó con algunos ejemplos curiosos sobre MOSS, pero siendo más tricks que hacks. Tiene explicados los tricks para hacer finguerpinting de MOSS, para encontrar info sensible en el repositorio y para descubrir MOSS en Internet publicados en su blog.

Hasta aquí las charlas, en el próximo posts… “lo otro” sobre la ToorCon X

Saludos Malignos!

lunes, septiembre 29, 2008

Metadatos en Microsoft Office (IV de V)
por Enrique Rando y Chema Alonso

***************************************************************************************
Artículo publicado en Windows TI Magazine nº 135 Septiembre de 2008
- Metadatos en Microsoft Office (I de V)
- Metadatos en Microsoft Office (II de V)
- Metadatos en Microsoft Office (III de V)
- Metadatos en Microsoft Office (IV de V)
- Metadatos en Microsoft Office (V de V)
***************************************************************************************

Metadatos Ocultos

Hasta este momento se han revisado metadatos e información fácilmente accesible, y en ocasiones modificable, por el usuario que hace uso de un paquete de Microsoft Office. Sin embargo, existe también otra información, que, según las diferentes versiones de los formatos de documento, se almacena de forma oculta dentro de los archivos.

Son metadatos, sí, pero metadatos internos de los que hace uso el propio paquete de Microsoft Office. Y a veces revelan datos sensibles que pueden perjudicar al publicador del documento. Así, podemos encontrar una lista de valores que identifican la versión de software utilizada en la creación del documento, el autor que creó el archivo, la fecha de creación, el número de revisiones que se han realizado, el último usuario en modificar el documento, la última vez que se imprimió el archivo, el tiempo total que se ha estado trabajando con ese documento, información sobre el tamaño del documento y hasta un identificador único del archivo que se creaba en los documentos generados en algunas versiones de Microsoft Office que utiliza información del equipo para ser generado y que podría ser usado para seguir un documento hasta el equipo desde el que fue creado.

Imagen 11: Metadatos extraídos con Libextractor de un doc Word97


Imagen 12: Direcciones de correo ocultas en un documento Office97

No todos estos valores están presentes en todos los formatos de archivo y su aparición en un documento depende tanto de la versión del formato de archivo utilizado como de la versión de la herramienta que se está utilizando. Así, un documento creado con una versión antigua puede tener todos estos metadatos y sólo se modifican algunos de ellos cuando se edita el archivo con una versión más moderna.

Toda esta información va a poder permitir obtener rutas a servidores internos de la organización, nombres de usuario, quién creó el documento y si éste fue posteriormente modificado o no, quién lo modificó, desde dónde, etc. Información que puede ser muy sensible, como la historia nos ha enseñado.

En algunos casos también pueden obtenerse datos de conexiones a bases de datos. En la imagen siguiente aparece una consulta SELECT, los nombres de los drivers ODBC usados, del servidor de base de datos, de la base de datos y de la cuenta de acceso… Y también la contraseña:

Imagen 13: Información sobre conexión a base de datos en un documento de Word

El texto, para mayor claridad, es:

SELECT pruebas_0.apellidos, pruebas_0.nombre, pruebas_0.tlf FROM
pruebasmetadata.pruebas pruebas_0
DATABASE=pruebasmetadata
DRIVER={MySQL ODBC 3.51 Driver} OPTION=0
PWD=PassMETADATA
PORT=0 SERVER=servidor
UID=UsuarioMETADATA


Para encontrar esta información basta con utilizar cualquier editor hexadecimal o bien utilizar una de las múltiples herramientas que existen para realizar esta tarea.

LibExtractor, Doc Scrubber, Metagoofil, Metadata Extraction Tool

Existen muchas herramientas para trabajar con los metadatos. Sencillas y potentes herramientas como LibExtractor o con un interfaz más depurado como Doc Scrubber o Metadata Extraction Tool o incluso herramientas pensadas para los auditores de seguridad como Metagoofil, que integra la búsqueda de archivos a través del sitio web de la compañía con la extracción de información sensible de los documentos. Al final, toda la información oculta queda fácilmente descubierta hoy en día.

Imagen 14: Metadata Extractor

***************************************************************************************
Artículo publicado en Windows TI Magazine nº 135 Septiembre de 2008
- Metadatos en Microsoft Office (I de V)
- Metadatos en Microsoft Office (II de V)
- Metadatos en Microsoft Office (III de V)
- Metadatos en Microsoft Office (IV de V)
- Metadatos en Microsoft Office (V de V)
***************************************************************************************

domingo, septiembre 28, 2008

El arte de la Caricatura

Que me gusta dibujar es algo que es público, pero que me gustaría poder dibujar como alguno de los maestros es un gran anhelo. En lugar de los cuatro garabatos que hago con mis dibujitos, me gustaría tener el arte de Benet, Azpiri, Marini, Manara o Romita SR o JR, Miller, Arthur Adams, Byrne o Silvestry. Jim Lee, Corben, Buscema, Jan o Ibañez. Todos son dignos de admirar, pero haciendo caricaturas, no puedo más que rendirme al talento de Vizcarra.

El dibujo que me hizo es uno de los grandes regalos que me han hecho, y lo tengo enmarcadito en mi casa, bajo mucho cuidado, para poder enseñárselo a todo el que viene.

Maligno

Tanto me gusta, que cuando pude, intenté conseguirle unas caricaturas a mis amigos del gran Vizcarra. Una de las que conseguí, para entregársela como regalo de cumpleaños fue la caricatura de Rodol:

Rodol

A otro amigo mio que sé de buena tinta que le gusta mucho Vizcarra, le intenté conseguir una. Mientras que la conseguía le hice entrega de una caricatura hecha por mi. Lógicamente, comparar mi caricatura con una de Vizcarra es como comparar una piedra de carretera con el Moisés de Miguel Ángel, pero... la intención es la que cuenta:

Pajarraco by Maligno

Sin embargo, tras meses, Vizcarra encontró un hueco, y pudo hacerme la caricatura de mmi "amigo". Pero... como los "amigos" se devuelven las llamadas, he decidio quedarmela en custodia.

Pajarraco by Vizcarra

La caricatura es una obra de arte, pero nuestro amigo Pajarraco de los Santos va a tener que trabajárselo mucho si quiere conseguirla.

Sería una pena que se quedara sin esta bonita obra de arte, pero claro, siempre puede intentar conseguir otra y yo me quedo con esta....¿Es o no un artísta como la copa de un pino Vizcarra?

Saludos Malignos!

sábado, septiembre 27, 2008

Viajar.... ¡qué placer!

Si digo que no me gusta viajar os estaría mintiendo. Sólo hay que ver mis estancias en los últimos diez años en los diversos puntos del planeta para darse cuenta de que disfruto con los viajes.

Sí, como tú, también extraño a esos dos amigos insustituibles llamados wáter y colchón que te hacen la vida más llevadera, pero reconozco que con cansancio y tapones soy capaz de dormir en casi cualquier sitio y lo otro… pues, mejor fuera que dentro, ¿no?

Viajar es un placer, ir, conocer sitios, gentes, lugares, vivir nuevas experiencias, adaptarse a las costumbres locales y cambiar hasta la forma de desayunar o comer son experiencias agradables. Luego no, luego me gusta regresar a mi Madrid de siempre, con su café malo y cargado, los atascos, las poluciones y el Santiago Bernabéu.

Lo que me jode no es viajar, lo que me jode suele ser el viaje. Dentro de estos hay viajes cómodos en los que te subes al AVE y llegas en un ‘or ‘1’=’1 como cuando vas a Barcelona, Zaragoza, Sevilla y ahora Málaga. Llegas rápido, vas trabajando, no tienes que pasar enecientos controles de seguridad y con la 3G puedes ir haciendo tus movidas.

Menos afortunados son los viajes de ALVIA que te llevan, a una velocidad más lenta, a lugares como Valencia, Pamplona o Bilbao. En estos casos los horarios no suelen ser excesivamente buenos y el viaje ya pasa de las 3 horas y media, con lo que a veces es mejor el Avión.

Cuando viajas en avión la putada es dependiendo del país de destino, la compañía aérea, si tiene o no servicio de Internet Checking y las escalas. Así, un viaje Valladolid Bruselas, puede ser un pasote, porque cuesta dos pelas, llegas al aeropuerto 5 minutos antes y te subes al avión mientras que un Málaga-A Coruña, puede ser una puta odisea si tienes que coger un avión que hace escala en Barcelona, por zona Internacional, porque el vuelo venga de fuera de Europa y luego tengas que votar a A Coruña desde Barcelona.

Pero las mayores putadas son los vuelos a USA, ahí la cosa puede ser de cojón de pato. Cómo por ejemplo este último viaje que me ha traído a San Diego.

Compré el billete por Iberia a pesar de que me costaba 40 € más que por Delta por eso del orgullo patrio. A pesar además de que el vuelo de vuelta sale el lunes a las 6 de la mañana y me obliga a casi no dormir. El vuelo era Madrid-Chicago y Chicago-San Diego y en el primer tramo era compartido con la British Airways. Quiso el destino que cuando intenté facturar en la web de Iberia por “motivos de seguridad” al viajar a USA no me dejará hacer el Checking por Internet mientras que a los de British que iban en mi mismo vuelo sí se lo permitían. A nosotros, iberia nos tenía que pedir la dirección de alojamiento en USA.

Cuando llegué al aeropuerto (2 horas antes de la partida) me dijeron: “Vaya, va en overbooking así que no podemos confirmarle el vuelo, vaya a la zona U y a ver si le dan asiento”. ”Genial”, pensé, “voy corto de tiempo, pero ahora será mucho más divertido”.

La zona U está en internacional, así que nada, control de metales, al que llamaré despelotarse, y chequeo de Passport, a lo que llamaré revisión. Llegué a la zona U, para la que hay que tomar un tren, y en el mostrador de “recolocación” me dieron un viaje que llegaba 3 horas y media más tarde a San Diego y haciendo una ruta más divertida. Madrid-Londres, Londres-Los Ángeles, Los Ángeles-San Diego.

Como Londres es Unión Europea había que volver a zona H, así que nada, a pasar la frontera de nuevo, así que revisión, tren, y vuelta a entrar en la zona de embarque, así que nuevo despelote.

Entrada a al avión a Londres, revisión de Passport, y llegada. A la salida, un bonito agente con un perro me para y me pide que me aparte para que su chuchito me pueda oler bien. Nada, paciencia. Revisión de Passport a la salida del avión y, como vamos a zona Internacional para un vuelo a USA pues toca despelote.

Cómo iba recolocado no tenía ninguna tarjeta de embarque, así que tocaba ir a todos los mostradores de transito a conseguir los billetes. Así que nueva revisión de Passport y “uff, ¿esto es todo lo que tiene?, ¿No le han dado un e-ticket nuevo?”. Je, diversión al máximo que opté por solucionar haciéndome “el buenorro”. “No tengo nada, no sé nada, esto es todo, sniff ¿puede arreglarlo?”. Ella, lo arregló justo para darme la fila 65 del avión en el medio (ni ventana, ni pasillo) y llegué con el embarque ya empezado.

Revisión de Passport en la puerta cuando una señora de USA me dijo amablemente “Le importaría que le hiciéramos una inspección completa a su equipaje”. A ver que le digo, ¿qué no? Nuevo despelote, nueva revisión de Passport.

Previendo que me pudiera pasar esto opté por no llevarme mi viejo portátil cargado "de porno y pruebas delictivas" ya que la gente de aduanas te puede clonar el portátil, así que abrió la maleta y encontró mi flamante ordenador limpio y tres gallumbos limpios.

Una vez dentro, en la cola del avión me esperaba un niño de Nueva Zelanda de unos 6 años para dormir apoyado en mi hombro durante 4 de las 10 horas del viaje.

Llegada a Los Ángeles, revisión de Passport a la salida del avión, revisión en la cola de la frontera, revisión en la frontera, revisión en la salida de la frontera en la declaración de bienes, revisión en la cola de facturación del vuelo a San Diego, revisión en la ventanilla de ticketing, revisión en la entrada a la cola de despelote, despelote, revisión a la salida y … de nuevo salto las alertas y toca, una vez despelotado, un despelote completo, cacheo completo, revisión química de mi maleta y revisión de ultrasonidos. Una vez termino me mandan al embarque para una última revisión y subir al avión.

Total: 24 horas de viaje. Más de 20 revisiones de Passport, 2 revisiones completas, una más con perrito y unos 5 despelotes. En todo esto, se me vino a la cabeza la primera vez que viajé a USA que, sin darme cuenta, me traje “cosas divertidas” en la mochila, pero nadie me registro.. ¿Qué hubiera pasado hoy en día?

Me voy a desayunar que quiero ver la charla de Kaminsky y luego la de Sotirov, para contaros cosas.

Saludos Malignos!

viernes, septiembre 26, 2008

Metadatos en Microsoft Office (III de V)
por Enrique Rando y Chema Alonso

***************************************************************************************
Artículo publicado en Windows TI Magazine nº 135 Septiembre de 2008
- Metadatos en Microsoft Office (I de V)
- Metadatos en Microsoft Office (II de V)
- Metadatos en Microsoft Office (III de V)
- Metadatos en Microsoft Office (IV de V)
- Metadatos en Microsoft Office (V de V)
***************************************************************************************

Revisiones y Modificaciones

Una de las características más apreciadas de los usuarios de Microsoft Office que trabajan de forma colaborativa en un documento son las opciones de Revisión. Con estas opciones múltiples usuarios pueden realizar cambios al documento y siempre quedarán almacenadas las versiones anteriores del documento, permitiendo recuperar el status anterior de la información.

Esta acción es útil en el trabajo y depuración del documento, pero si el documento se hace público debe ser limpiado de las versiones anteriores. De no hacerse así, la información estará disponible para cualquiera que active el modo de revisión del documento.

Imagen 8: Control de cambios en Office 2007

Como se puede apreciar en la Imagen 8, en rojo se nos muestran los valores anteriores antes de ser cambiados. El documento final mostraría un balance positivo mientras que el original mostraría un resultado negativo. Al usuario del documento le basta con seleccionar la opción de ver documento original.

Notas, Encabezados y Pies de páginas

Otros lugares donde suele quedar información no deseada son las anotaciones puntuales sobre los documentos. Las notas realizadas a pie de página son comunes en los documentos de presentaciones y los encabezados y pies de página con información no deseada, cómo códigos de referencia internos o nombre de usuarios que han creado o trabajado en el documento. La información contenida en estos apartados debe ser revisada antes de la publicación.

Información oculta por formato

En los documentos de Microsoft Office es posible que una imagen quede oculta detrás de otra en una diapositiva o que la plantilla utilizada en un documento de presentación Power Point o la plantilla de un documento Excel tenga información y archivos no deseados. En definitiva, pueden contener imágenes, textos o información que no se desearía entregar a la persona que se hace llegar el documento.

También pueden darse situaciones en las que un desafortunado clic con el ratón o un error al pegar información pueden dejar en el documento información oculta por el formato, simplemente porque se ha pegado texto en blanco de una página web y no se ve en el documento.

Imagen 9: Documento con información oculta por formato

El problema no se limita a los descuidos: igualmente, pueden producirse “ataques” por parte de empleados descontentos, o que desean dejar mal a un compañero o que, simplemente, quieren gastar una broma pesada.

Otros lugares donde se almacena información

Los lugares donde pueden quedar datos no deseados pueden ir desde los comentarios en las hojas de estilos, hipervínculos copiados que apuntan a servidores de la intranet o incluso el código generado por un usuario en macros en VBScript que almacenen información en comentarios, nombre de variables, etc.

Toda esa información se puede extraer utilizando un sencillo programa que busque cadenas de texto dentro de ficheros o bien con un editor hexadecimal.

Imagen 10: BinText rastreando textos, cómo se aprecian aparecen los hipervínculos

***************************************************************************************
Artículo publicado en Windows TI Magazine nº 135 Septiembre de 2008
- Metadatos en Microsoft Office (I de V)
- Metadatos en Microsoft Office (II de V)
- Metadatos en Microsoft Office (III de V)
- Metadatos en Microsoft Office (IV de V)
- Metadatos en Microsoft Office (V de V)
***************************************************************************************

jueves, septiembre 25, 2008

¿Dónde está Wally?

A pesar de que pueda parecer que este es el peor Octubre de mi vida, creo que años anteriores he llevado un mayor "ritmo de combate". Además, dar charlas es una de las partes de mi trabajo que más me divierten, estar con gente me encanta. No obstante, este més de Octubre es muy fácil seguirme la pista ya que la mayoría de las charlas son abiertas al público y, salvo contadas actividades "privadas" el resto es de dominio público.

Estos son los pasos que, de momento, están previstos para mi mes de Octubre:

Primera Semana

01: [REHABILITACIÓN]
02: Valladolid -> Technet Technology Tour
-> Windows Vista SP1 y MDOP
03: Madrid -> MVP Open Day
-> Momentus Ridiculous
03: Madrid -> FTSAI->
->Conceptos de Auditoría y Seguridad Informática

Segunda Semana

06: [REHABILITACIÓN]
07: Valencia -> Technet Technology Tour
-> Windows Vista SP1 y MDOP
08: Murcia -> Technet Technology Tour
-> Windows Vista SP1 y MDOP
09: Almería -> University Tour
-> Malas prácticas para gestionar un website
10: Madrid -> FTSAI
-> Conceptos de Auditoría y Seguridad Informática

Tercera Semana

13: Oporto -> IASK Global Management 2008
-> Aplicación tecnológica de LOPD
14: Tenerife -> Technet Technology Tour
-> Windows Vista SP1 y MDOP
15: [REHABILITACIÓN]
16: Las Palmas -> Technet Technology Tour
-> Windows Vista SP1 y MDOP
17: Madrid -> FTSAI
-> Conceptos de Auditoría y Seguridad Informática

Cuarta Semana

20 - 22: Málaga: OpenSorce World Conference
-> Metadatos en OpenOffice
21: Zaragoza -> Technet Technology Tour
-> Windows Vista SP1 y MDOP *
23: Barcelona -> Technet Technology Tour
-> Windows Vista SP1 y MDOP
24: Madrid -> FTSAI
-> Conceptos de Auditoría y Seguridad Informática

* Depende de la fecha final en el OSWC

Quinta Semana

27: Madrid -> Asegúr@IT IV
-> [Ponentes:
-> Luciano Bello
-> David Barroso
-> Alfonso Muñoz
-> Héctor Montenegro
-> Chema Alonso]

28: A Coruña -> Technet Technology Tour
-> Windows Vista SP1 y MDOP
29: A Coruña -> Jornadas de Seguridad 2008
-> Buscando en el baúl de los recuerdos...
20: Madrid -> University Tour
-> Malas prácticas para gestionar un website
30: Madrid -> Technet Technology Tour
-> Windows Vista SP1 y MDOP

¿Aguantarán mis huesos? ¿Necesitaré un sustituto? ¿Seré el mismo cuando acabe Octubre? ¿vendrás a verme a algún sitio? ¡¡¡Tráeme Farmatón Complex!!!!

Aprovecharé los aviones, trenes, viajes, esperas y hoteles para dibujar muchos NO Lusers y escribir el documento final de la tesis, que ya toca, y seguiré con mis tonterías y absurdeces de este blog...

Saludos Malignos!

miércoles, septiembre 24, 2008

No Lusers 54: Momentos Inolvidables

***************************************************************************************
Publicado en Windows TI Magazine nº 135 Sep'2k8
***************************************************************************************





***************************************************************************************
Publicado en Windows TI Magazine nº 135 Sep'2k8
***************************************************************************************

martes, septiembre 23, 2008

Unas Cañas en Bilbao

Pasado mañana tenemos el Asegúr@IT III en la Universidad de Deusto, en Bilbao. Yo voy a ir mañana que tengo que hacer unas cosas, comprobar que todo está en línea, etc... así que, al que le apetezca mañana, se puede venir a tomar unas cañas. El plan es el siguiente:

for (i;((i<=MAXBARETOS)&&(v_pasta>0)&&(SERENO));i++)
{ Bilbao.bar[i].tomarpintxo();
Bilbao.bar[i].tomartxiquito();}

Si te animas, la quedada será MAÑANA, DÍA 24 DE SEPTIEMBRE, a las 19:00 en ... espera que tiro un dardo al plano de Bilbao....ahí, ahí va bien: Metro Indautxu, salida Alameda de Urkijo. Si te va bien y te apetece te pasas, si no, pues nada.

PD:Si llegas tarde, siempre puedes mandarme un mail, que seguro, seguro que leo el correo y si me pones tu número de móvil te digo en que bareto estamos.

Saludos Malignos!

La Unión Europea, El Vista Business y la Universidad de Sevilla

Normalmente un día o dos antes ya sé lo que voy a postear en el blog ya que procuro no seguir los temas de actualidad y las oleadas que vienen por el RSS. Otros días, como hoy, se me juntan varias cosas y tengo que romper mi planificación.

Este blog nació como un ejercicio de diversión y demostración de que muchas de las conspiranoias en contra de Spectra se podían aplicar a cualquiera porque estaban sustentadas en “y sis..”,“todo el mundo sabe” o la especulación técnica de segunda división por parte de un técnicoless. Sin embargo, con el tiempo, este blog se convirtió en un lugar de masturbación personal dónde todas las mañanas, alegre y feliz como una foca con un cubo de pescado, vengo a estar en contacto con mucha gente. Pero… hay una última función que este blog cumple a las mil maravillas para mí: Me permite desahogarme y cagarme en toloquesemenea cuando volvemos a empezar. Algo así como lo que está haciendo el señor Héctor-bando en su desahogo personal sobre “La ceremonia de la confusión”.

Lo último que está de moda es el famoso tema de los 11.000 portátiles de la Universidad de Sevilla con el Windows Vista Business. Para los que no estén al día: La US va a entregar a sus alumnos un ordenador portátil y, en el pliego de condiciones, se pidió que también trajera Windows Vista Business.

Ya está, es así de sencillo, nada más y … ya tenemos el pollo montado. A muchos les parece mal que lleve Windows Vista otros dicen qué porque no con Linux, no, no, no con cualquier Linux que no todos son libres puros, que mejor un Debian libre puro, pero otros opinan que no, que hay programas que necesitan para diseño gráfico que no son libres puros, otros que si es que el Ubuntu se cuelga, que mejor un Mandriva y todo está montado en la web.

Sin embargo, esta discusión ya la tendrían internamente para decidir el pliego. En ella, algunos pedían Linux, otros pedían Windows y otros pedían Mac. Al final, se optó por un ordenador que llevara algo que valiera para la gran mayoría, así que Windows Vista, además, ya que va a ser un portátil de alumnos, que pudieran usar el Bitlocker, así que el Business y el que quiera Linux que le instale uno, que no pasa nada porque se instale un arranque dual.

Sin embargo, algunos ven mal que en el pliego de condiciones ellos pusieran que querían el sistema operativo Windows Vista Business, pero todo tiene su explicación. Si se entrega un ordenador sin sistema operativo estás creando una barrera más que puede resultar un problema a los alumnos no tequis, ya sabes, diseño y moda, empresariales, Botánica o Lengua y Literatura, así que es mejor que lleve el sistema pre-instalado, que si no van a tener que comprar un Sistema Operativo (que va a salir mucho más caro) y van a tener que buscar un técnico que se lo instale (sí, para esas cosas están los técnicos). Además, al venir el Vista en OEM sale mucho más baratito e incluso más barato que sin él y si además, se habla de la compra de 11.000 equipos, con lo que seguro que sacan un buen precio.

A todo esto, sale a tiro de pájaro, las sentencias del tribunal de la competencia europea a Spectra, lo cual me hace recordar eso de “haz lo que digo no lo que yo hago”. Y me acuerdo de que sí, de que “el azote de Spectra”, la señora Neelie Kroes, tiene sus discursitos en la web, y si vamos a ver los discursos.. pues… están creados todos con el Windows y con el Office. Sí, porque ella, libremente, ha decidido libremente, usar libremente, el Spectra Office y el Spectra Windows. Si te bajas el PDF ves que está hecho con Windows y si miras los metadatos en el DOC, tenemos...

Discursito con BinText

Vaya, red en Windows, con NetBIOS, con impresora HP LaserJet en local e impresora de red compartida, usando el WordART en su Spectra Word (que es una pogüeruser vamos) pero parece que ella no ha creado el documento…. ¿tendrá negros? Como dice mi compañero Enrique Rando “A veces veo Metadatos…”.

Sobre este tema, nuestro propio talibán de Windows en este blog, el señor Filemaster, hizo un ejercicio de moderación personal para escribir una carta abierta a una revista que hizo un editorial sobre el tema.

Saludos Malignos!

lunes, septiembre 22, 2008

Metadatos en Microsoft Office (II de V)
por Enrique Rando y Chema Alonso

***************************************************************************************
Artículo publicado en Windows TI Magazine nº 135 Septiembre de 2008
- Metadatos en Microsoft Office (I de V)
- Metadatos en Microsoft Office (II de V)
- Metadatos en Microsoft Office (III de V)
- Metadatos en Microsoft Office (IV de V)
- Metadatos en Microsoft Office (V de V)
***************************************************************************************

Propiedades del documento

Cuando se crea un documento, éste puede ser catalogado con meta-información de forma explícita, es decir, el creador del documento puede marcar una pequeña descripción, palabras clave de búsqueda, un departamento o lo que buenamente considere oportuno o útil en su organización. Esta información queda guardada de forma permanente. Si un documento con meta-información es utilizado como base para generar otro, esta información va a perdurar.

Imagen 3: Propiedades de documento en Microsoft Word 2007

Es importante remarcar que los metadatos de un documento pueden ser personalizados y, por tanto, pueden tener cualquier atributo que el autor haya querido añadir. Esto puede convertirse en un problema cuando se hacen públicos documentos generados en un entorno corporativo, ya que un metadato inapropiado puede perjudicar la imagen de la organización.

Ficheros Incrustados

Los documentos Microsoft Office permiten desde hace mucho tiempo incluir imágenes, tablas de Excel u otros documentos Microsoft Office y de terceros. Todos esos documentos vienen acompañados de sus propios metadatos y, si no han sido correctamente limpiados, pueden ser un foco de divulgación de información no deseada.

En el siguiente ejemplo se crea una imagen con GIMP, un editor de documentos gráficos. Dicha imagen tiene información EXIF que puede ser leída con cualquier lector de EXIF. En la siguiente figura se puede ver cómo la imagen tiene un atributo de los metadatos que marca el programa que lo ha generado y la existencia de una miniatura (thumbnail) dentro del propio archivo.

Imagen 4: Archivo gráfico con Información EXIF leído con ExifReader

Esta imagen se va a incrustar dentro de un documento de Microsoft Word 97 utilizando la opción de Insertar imagen desde archivo. Una vez que el documento está generado se puede acceder a dicha información leyendo el documento con un editor Hexadecimal y, como se puede observar en la siguiente imagen, se puede ver el valor de esas propiedades.

Imagen 5: Acceso a la información EXIF con HxD

Desvinculado de ficheros gráficos incrustados

La tarea de recuperación puede ser mucho más fácil si se decide desvincular todos los ficheros incrustados. En los ficheros de Microsoft Word .doc, de Microsoft Excel .xls o de Microsoft PowerPoint .ppt, esta tarea puede ser tan simple como guardar el documento como página web. Así, el propio paquete de Microsoft Office realiza por nosotros un análisis de los ficheros gráficos incrustados y los genera en ficheros independientes.

Imagen 6: Desvinculado de ficheros gráficos en documentos .doc convertidos a HTML

Como se puede apreciar la información EXIF se mantiene intacta y se puede observar cómo, en este ejemplo, el fichero incluía una miniatura de apariencia distinta a la propia imagen.

Este comportamiento (preservar la información EXIF) se va a repetir en todas las versiones hasta Microsoft Office 2003, incluido. En ellas sólo se pierde la información EXIF de la fotografía si se utiliza la opción de Modificar Imagen y se guardan los cambios.

En el formato de fichero de Microsoft Office 2007, llamado OOXML o ISO DIS 29500, los formatos .docx, .xlsx y .pptx son ficheros comprimidos ZIP que guardan los archivos incrustados como elementos independientes, por lo que la extracción de los ficheros es una tarea trivial, pero, en este caso, los archivos gráficos son convertidos a formato PNG sin pérdida y limpiados de metadatos.

Imagen 7: Desvinculado de ficheros gráficos en OOXML

***************************************************************************************
Artículo publicado en Windows TI Magazine nº 135 Septiembre de 2008
- Metadatos en Microsoft Office (I de V)
- Metadatos en Microsoft Office (II de V)
- Metadatos en Microsoft Office (III de V)
- Metadatos en Microsoft Office (IV de V)
- Metadatos en Microsoft Office (V de V)
***************************************************************************************

domingo, septiembre 21, 2008

Planes de Estudio

Como siempre, la estancia en Pamplona fue genial. He de reconocer que en muchos sitios me siento como en casa y en Pamplona me siento bien tratado. Iñaki Ayucar, Elena, mis amigos de CENER, la gente de Navarradotnet que vino a la charla, Mikel y los compañeros de S21Sec, los 20 que nos juntamos en la comida antes de la charla en la que estuvieron más amigos y los que vinieron a la charla pero simplemente pasaron hicieron que no tuviera un segundo de aburrimiento. Después tuve que sustituir a UNAI para hacer de desarrollador en la charla de Ivan Gonzalez sobre como instrumentar una aplicación para que genere información de errores a la gente de IT utilizando Visual Studio Team System Management Model Designer y la verdad es que me encantó ver cómo integrar una aplicación en un sistema de eventos recolectables.

Una vez regresado, y de domingo, toca encarar lo que viene por delante así que os voy a dejar algunas recomendaciones para los próximos días:

Si estás por Madrid, tienes toda esta semana Hands On Lab en horario de mañana y de tarde sobre tecnologías avanzadas en Windows Vista en los que tienes: HOL-VIS02 Administración de Windows Vista, HOL-VIS08 MDOP: MS Softgrid Application Virtualization y MS Asset Inventory Service, HOL-VIS03 Seguridad en Windows Vista, HOL-VIS09 Diagnostics and Recovery Toolsets y Center Desktop Error Monitoring, HOL-VIS10 Políticas de Grupo y Directivas, HOL-VIS11 Compatibilidad de aplicaciones y HOL-VIS12 Service Pack 1. Más info: Hands On Lab Madrid.

A través de Internet, utilizando tecnología Webcast, el próximo día 23, es decir, el martes por la tarde (hora GMT+1), Juan Luís Rambla, MVP de Seguridad Informática dará una sesión de 1 hora sobre Delitos Telemáticos a la que podéis apuntaros todos gratuitamente. Más información: Delitos Telemáticos

Si estás por Pamplona, Tudela o alrededores, el día 23 en Noain y el día 25 en Tudela, tendrán lugar unas sesiones de Seguridad y firma digital en el correo electrónico llevadas a cabo por el CEIN y por S21Sec. Más Info: 23/Sep Noain, 25/Sep Tudela.

Si estás por Bilbao o alrededores, no dejes de venirte el día 25, es decir, el próximo jueves, al Asegúr@IT III que tenemos en Deusto. Serán cinco charlas sobre Cracking, Tempest, NAP, Botnets y Rootkits en las que podrás aprender muchas cosas. El día antes habrá alguna quedada para cenar, charlar y esas cositas…. El evento es totalmente Gratuito y encima os invitamos a tomar café y bollos en el descanso de la mañana. Más info: Asegúr@IT III

Si estás por Barcelona o alrededores, no dejes de pasarte el día 26, es decir, el viernes, después del trabajo, por las FIST. Esta vez se hablará de E-Crime y de las implicaciones de la filosofía REST en la seguridad de aplicaciones WEB más una tercera charla aún sin definir. Los ponentes serán Vicente Díaz y Ramón Pinuaga de S21Sec y Ero Carrera de Zynamics GmbH. El evento es gratuito. Más info: Conferencia FIST Barcelona Septiembre 2008.

Y el fin de semana tocan las X Toorcon en SanDiego, en la que sé que va a estar algún amigo, pero si vas a ir por allí házmelo saber, que siempre viene bien tener alguien con quien desfasar un rato.

Saludos Malignos!

sábado, septiembre 20, 2008

Formación de profesionales

***************************************************************************************
Artículo publicado en Red Seguriad nº35 Julio'2008
***************************************************************************************

Vale, ya tengo una edad, lo confieso, no soy un chavalín por mucho que lo intente aparentar bajo este eterno complejo de Peter Pan. Ya tengo una edad y llevo ya algunos años dedicados a lo mismo, a la Formación de Profesionales. Empecé, hace más de 12 años ya, a trabajar en el área de la formación técnica en informática. Nada que ver con la dirección, nada que ver con la gestión y nada que ver con lo que no fuera tener delante gente que hacía “cosas” con los ordenadores.

¿Qué quiere un técnico de una formación?

Durante este tiempo las necesidades y el entorno han ido cambiando. Hace años, con un auge de Internet relativo en España en el año 1996, la formación a técnicos era poco más que una trasmisión de conocimientos. Sí, trasmisión, tú tenías la documentación y las herramientas que eran puestas a disposición de los asistentes mediante un equipamiento informático que no todos tenían en casa, ya fuera por prestaciones, por economía o simplemente porque no era tan habitual, y se entregaban apuntes/manuales/libros con unos contenidos que muchos desconocían. Aún estaba lejos que alguien tuviera una red en casa, las conexiones GPRS, las redes 3G, la expansión de las redes Wifi, el uso de Internet de forma masiva y la virtualización de equipos que permiten hoy en día disfrutar de múltiples “CPDs” en ordenadores personales.

Pero… todo eso ha cambiado. Hoy, 12 años después, en el año 2008, ya no puedes pretender que un profesional y/o técnico NO tenga todo eso. Lo tiene, seguro que antes de empezar el curso tiene todos los apuntes, disponibles en Internet si no los mismos con contenidos similares, dispone de las tecnologías, si no las mismas, virtualizadas, dispone de su propio laboratorio, dispone de su red y de su espacio…. Entonces…¿a qué viene un profesional cuando se quiere formar? La respuesta a esa pregunta es tan sencilla cómo compleja. Los profesionales vienen a formarse porque no tienen lo básico. Tiempo.

Los técnicos disponen de casi toda la información previa al inicio de una acción formativa y lo que demandan de su inversión en tiempo y dinero, es ganar tiempo, que el instructor sea un catalizador que ofrezca una forma rápida y cómoda de entender y/o asimilar los conocimientos que ya tienen en su pendrive, en sus dvds o en los links de Internet.

¿Qué ofrecerle a los profesionales?

Desde el año 1996 las formaciones ofrecidas a los profesionales han tenido que ir cambiando y adaptándose a las nuevas necesidades. En parte por el cambio del entorno, ya que no es la misma situación hoy en día, dónde, después de 10 años formando técnicos, nos encontramos con gente más o menos formada que demanda formación en nuevas tecnologías o de alta especialización. En parte por las restricciones de tiempo, que penaliza a las empresas no con el coste económico del curso, sino con el coste de tiempo sin contar con el técnico.

Estos dos factores mediatizan todo y desde la perspectiva de una empresa con servicios de formación nos vemos en la obligación de ofertar contenidos especializados, en formatos que quiten poco tiempo o ninguno del trabajador a la empresa. Difícil ecuación.

Para resolver esta ecuación, hemos probado múltiples variantes y algunas de ellas han demostrado ser un resultado más que efectivo para las empresas y los profesionales técnicos de dichas empresas.

Manos a la obra

Los Hands On Lab son una campaña que hemos desarrollado durante los últimos 3 años, que ha sido llevada a más de 15 ciudades y por la que han pasado más de 5.000 técnicos. ¿5.000? Sí, una autentica “barbaridad” de feedback que nos ha permitido ir evolucionando La Fórmula.

Pero…¿cuál es La Fórmula? No hay ningún secreto más que aplicar las dos restricciones iniciales, para lo que se diseñan contenidos especializados que se imparten en una formación muy corta, de únicamente 6 horas de duración, en la que los asistentes cuentan con un autentico CPD virtualizado que les permite llevar a cabo todas las prácticas que se plantean en la sesión. A esto, sumamos un instructor de alto nivel, certificado y especializado en el tema, con un grupo reducido y un coste más que asequible de 90 €.

El resultado demuestra que para las empresas el coste no es alto, pues sólo pierden a su técnico 6 horas mientras que para los técnicos resulta más que aprovechable ese tiempo, ya que conocen previamente los contenidos especializados que van a ver y probar en el entorno.

La formación online

Otra solución interesante es la formación online. Años se lleva hablando de ella, pero hoy en día ya es parte de la oferta. No ha ocupado la parte del pastel que se esperaba pero si ha cogido una cuota más que aceptable de la formación de profesionales. El auténtico problema de esta formación es la necesidad de revisión constante de materiales, pues las demandas de especialización en los contenidos obligan a un up-to-date constante. Desde el programa Technet de Microsoft, dirigido a la formación de técnicos se han creado varias alternativas interesantes para la formación de profesionales online:

1) Los Webcasts, o sesiones en directo de 1 hora de duración dónde un técnico mediante tecnología livemeeting imparte una sesión técnica dónde los asistentes vía Internet pueden interactuar. Toda esa información queda guardada para que a posteriori pueda ser vista.

2) Los Virtual Labs que son entornos virtualizados accesibles en remoto a través de Internet y dónde los asistentes pueden realizar laboratorios de más o menos 1 hora de duración para practicar conocimientos.

Y 3) Los videos de conferencias, dónde las sesiones técnicas impartidas por los mejores ponentes son grabadas y puestas a disposición de todos los asistentes.

Los Masters

Además de esas formaciones, orientadas a apuntalar una necesidad de formación en un entorno profesional, existe otra demanda, de más largo recorrido en la que se está pensando más en la carrera profesional, son los Masters. En ellos, la importancia de la institución o los disertantes participantes suelen ser clave en la decisión de los profesionales… pero eso es otra historia… para otro artículo. Si te sirve de ejemplo, nuestra oferta para en este area es FTSAI, respetando, por supuesto, el principio del "Tiempo".

Espero que si estás pensando en diseñar un plan de formación para tus profesionales, o si quieres diseñar una oferta formativa para profesionales valores su más preciado bien, su Tiempo.

Saludos Malignos!

viernes, septiembre 19, 2008

Cita a Ciegas

Ahora que ya no está entre nosotros y pasó a mejor vida [no, no se ha muerto, sólo que el abuelo dejó el mundo de la iglesia evangélica de Spectra Technet para irse al “duro” mundo de las comidas de negocios con clientes, las notas de gastos desaforadas y las comisiones por venta] y teniendo en cuenta que el último vigilante abandonó también la protección del fuerte dejando la próxima gira Technet en manos de mala gente, mala vida y poco más os voy a narrar uno de los momentos más divertidos de mi vida de "charlista". Ese momento es: El día que conocí al abuelo.

Han pasado ya más de 4 años largos cuando me notificaron que el puesto de evangelista de IT en España ya tenía cara, pero… como estaba “soltando lastre” [expresión muy utilizada en las compañías grandes cuando uno abandona los marrones de su puesto anterior en manos del pobre sucesor] no lo había podido conocer.

El esperado encuentro lo íbamos a tener al viejo estilo Road Movie directamente en la carretera pues yo le tenía que recoger en medio de la calle y llevármelo a un evento en Zaragoza para que viera “qué era eso de las conferencias Technet”.

Por aquellos entonces yo ya llevaba algún tiempo dando charlas con el chico maravillas y con Alberto, un golfo-compañero de Technet con el que había tomado copas desde Amsterdam hasta Sevilla apuntándonos a cualquier clase de cachondeo.

El gran momento se preparaba, pero había que aderezarlo. Era el primer evento de la gira y ese era sagrado, de obligado respeto y dedicación, con lo que debíamos dejar claras las bases de la gira: Nosotros estábamos por ahí para salir de fiesta.

Momento que aproveché para quedar con un viejo amigo/compañero profesor de informática y guitarrista de flamenco que me había llamado con un mensaje importante: “La cosecha está a punto. El mochuelo está en el nido. Pásate y llévate el “laurel” de los campeones”.

Y así hice. Una hora antes del momento me pasé a recoger “el laurel de los campeones” que me dio con sus ramas y todo. Eran dos bolsas de la compra que recubrían casi en su totalidad el oloroso “arbolito de navidad” con sus hojitas listas y todo. Todo ese “arsenal de naturaleza” se encontraba en el maletero haciendo que no hiciera falta ningún ambientador "olor a pino” para el coche nunca más.

Así que con esas llegamos Alberto y yo a recoger al abuelo. “Mira, es ese, el rubio con los zapatitos náuticos”, dijo Alberto,”¿Cuántos tacos tiene? ¡Está hecho todo un abuelete!” le dije yo a mi compi. Paramos el coche y le saludamos “Hola, soy Chema”, “Hola soy José Parada”.

[Pausa de tensión para recordar el momento]

Y de ahí a guardar su maleta en el maletero del coche cuando… salió todo el aroma a “Avecrem verduras” del maletero. “José, bienvenido a la fiesta de Technet”. Él nos miró con esa cara de niño malo que tiene y sorprendentemente dijo: “creo que me va a gustar este trabajo”.

De esa guisa comenzamos andadura los tres jinetes del apocalipsis hacia Zaragoza y por el camino le fuimos explicando cosas y presentando las cosas básicas que debía conocer para la gira: “Mira, estos son La Fuga y hemos elegido para esta gira la canción de Trampas al Sol como sintonía de comienzo de fiesta, así que ya te la estás aprendiendo”

Y con esas, “oliendo a naturaleza” llegamos a Zaragoza, a cenar al Tabernillas, a tomarnos unas birras en el Flaherty’s y acabar cubateando en el antro más antroso de Zaragoza, llamado, por aquel entonces, “El club Nautico”.

A las 4 de la mañana ya habíamos descubierto que “el abuelo” era el mejor bailarín de todos, que tiene unos pasos de baile únicos, que le gusta el whisky solo con hielo y de buena calidad y que, por supuesto, tenía madera para esto. A última hora de la noche, mientras bailaba cubata en alto, nos confesaba en voz alta: “treintaytantos años para encontrar el trabajo de mi vida, ¡yuhuu!”

El muy perro no hablaba al día siguiente, porque como era su primer evento sólo venía a ver como se hacía, pero yo perdí una apuesta y tuve que decir en el evento, en Zaragoza, eso de “más vale maña que fuerza” que allí “seguro que les hacía gracia”. Panda de cabrones. De ahí fue todo de “mal en peor”.

De aquella acera en Madrid pasamos por los Security Days en Madrid y Barcelona, las escapadas de Snow Board a Lleida, las quejas oficiales por los chistes en las charlas, las discotecas en Rumanía, las borracheras en el Paradise de Amsterdam, el club Playboy en Las Vegas, el Intrepid Fox en Londres, la fiesta en el puerto de Melilla, la última copa en el Cuore de Vigo, un paseo por la Antique en Sevilla el "no quiero ir al cole" de las mañanas de resaca o el acabose con la incorporación de Cervi... Vendrán nuevos tiempos, serán mejores, peores o simplemente distintos, pero... ¡qué nos quiten lo bailado!

El abuelo conmigo [disfrazado y con 20 kilos más de peso] en un evento en el año 2004

Saludos Malignos!

jueves, septiembre 18, 2008

Comida en Pamplona

Aviso a comilones,

todo el que quiera comer con el menda queda invitado a venirse (pagándo su parte proporcional del banquete y/o bacanal) mañana día 19 a las 13:30 en la Cafetería del Edificio Sario en el Campus de Arrosadía de la Universidad Publica de Navarra.

El evento durará de 13:30 a 15:15, hora la que deberé ir (sereno...) a dar la charla al aula. El "Guglemap" es éste.

Saludos Malignos!

Metadatos en Microsoft Office (I de V)
por Enrique Rando y Chema Alonso

***************************************************************************************
Artículo publicado en Windows TI Magazine nº 135 Septiembre de 2008
- Metadatos en Microsoft Office (I de V)
- Metadatos en Microsoft Office (II de V)
- Metadatos en Microsoft Office (III de V)
- Metadatos en Microsoft Office (IV de V)
- Metadatos en Microsoft Office (V de V)
***************************************************************************************

Hace unos años, las portadas de los periódicos hablaban sobre la guerra de Irak y contaban como no aparecían por ningún lado las famosas “armas de destrucción masiva”. La historia al margen de la Historia tuvo una vertiente técnica, curiosa para nosotros… y nada divertida para Tony Blair, por culpa de un documento Office con información que demostraba que había sido manipulado. La culpa de todo la tuvieron los metadatos.

Metadatos

Un metadato es información relativa a un documento, tales como el autor, el programa utilizado o la catalogación que el usuario ha hecho del mismo. En un típico entorno colaborativo, como el que disfrutamos en una empresa o en un organismo público, estos datos son de gran utilidad y permiten coordinar las tareas de elaboración, edición y localización de los documentos.

Los metadatos existen para enriquecer la información que proporciona el documento. Así es común que las cámaras fotográficas o los programas de tratamiento de imágenes digitales almacenen en los metadatos información del modelo de la cámara, la hora realización de la fotografía o el programa utilizado para su tratamiento utilizando los formatos de metadatos EXIF o XMP de IPTC, por ejemplo.

Son muchas las aplicaciones almacenan metadatos junto con los documentos, ya sean estos archivos de audio, video, textos, presentaciones, bases de datos u hojas de cálculo. Entre ellas, por supuesto, se cuentan las aplicaciones que forman parte del paquete Microsoft Office.

Volviendo a nuestro caso, en febrero de 2003, el gabinete de Tony Blair publicó en Internet un documento sobre la infraestructura militar de Irak. Y lo hizo en formato Word… Y alguien se tomó la molestia de analizarlo y estudiar los metadatos que el fichero DOC contenía [Microsoft Word bytes Tony Blair in the butt].

El examen demostró que el documento había sido manipulado. Se pudo extraer la información de las personas que lo habían manipulado, en qué fecha se había hecho y desde qué ordenador.

La moraleja de esta historia es que los metadatos, si bien son útiles para la elaboración y edición de documentos, pueden terminar convirtiéndose en una fuente de información de riesgo que un atacante puede utilizar en tu contra. Debemos controlar los metadatos de los documentos que publicamos. Y para ello es importante conocer que tipos de datos se almacenan en un documento cuando éste se genera o modifica.

Versiones de Microsoft Office

Si bien, como se indicó anteriormente, los documentos de Microsoft Office no son los únicos que guardan metadatos, en este artículo vamos a centrarnos exclusivamente en ellos. Como es sabido, existen múltiples versiones de Microsoft Office, que van desde aquella que funcionaba en Windows 3.1, pasando por el Microsoft Office 95, Microsoft Office 97, Microsoft Office 2000, Microsoft Office XP, Microsoft Office 2003 y Microsoft Office 2007. Cada versión de Office ha ido acompañada de un formato de documento más o menos mejorado, con más o menos novedades y, como es de suponer, con más o menos cambios en su almacenamiento, uso y comportamiento.

Es normal que un documento generado con el formato de Microsoft Word 97 .doc que almacenara nuevas características no fuera igual que el formato .doc que se generaba con la versión e Microsoft Word 95. Dependiendo de la versión del documento y el paquete de software va a haber una información almacenada u otra.

Información almacenada

Pero volvamos a lo que nos ocupa. ¿Qué información se guarda en un documento de Microsoft Office? La información puede ser mucha y muy variada y hay que tenerla en cuenta antes de que el documento sea puesto en un repositorio público o enviado por correo electrónico. En los siguientes apartados vamos a ir analizando los puntos clave de la información almacenada.

Propiedades del Software

Durante el proceso de instalación de Microsoft Office aparece un cuadro de dialogo en el que se solicita información acerca del usuario que va a utilizar este software. Esta información va a ser añadida por defecto a todos los documentos creados mediante ese software por ese usuario.

Imagen 1: Información de Usuario en Word 2003

En entornos multiusuario es habitual que un mismo producto sea utilizado por varias cuentas de usuario distintas en un mismo ordenador. A cada uno de estos usuarios, la primera vez que use Office, le aparecerá un cuadro de diálogo para rellenar esta información. Y los valores que introduzca figurarán en todos los documentos que dicho usuario cree a partir de ese momento.

Imagen 2: Otro usuario utiliza por primera vez Office en el mismo equipo

Esta información debe ser evaluada por el usuario para saber si supone un riesgo o no. Hay que tener en cuenta que el valor por defecto para el campo “Nombre” es el identificador de la cuenta del usuario. Si este dato es aceptado por el usuario y los metadatos del documento no son modificados, entonces todos los archivos van a distribuir el nombre del usuario del sistema.

***************************************************************************************
Artículo publicado en Windows TI Magazine nº 135 Septiembre de 2008
- Metadatos en Microsoft Office (I de V)
- Metadatos en Microsoft Office (II de V)
- Metadatos en Microsoft Office (III de V)
- Metadatos en Microsoft Office (IV de V)
- Metadatos en Microsoft Office (V de V)
***************************************************************************************

miércoles, septiembre 17, 2008

Imposible cambiar de bando

Yo, que sigo las doctrinas de mi amo, de mi señor, del todopoderoso creador de nuestra malévola Spectra estoy con el corazón ”partío”. No sé si podré señor, eso que me pedís es demasiado fuerte. Vale que defienda Windows Vista a una orden suya, vale que defienda Internet Explorer sólo porque usted me lo pide con esos ojitos de pitiminí que me vuelven locos, vale que incluso me controle a la hora de hacer chistes sobre el Windows Me y no diga nada del perrito ese que venía del programa que su ilustre y nunca bien valorada dama que tiene por esposa creó para los directivos, pero esto… no sé si podré.

Puedo usar el Windows Vista, puedo hasta meterme con el ay!fon, puedo soportar a toda la pléyade de gente sin sentido del humor que no sabe diferenciar un chiste de un comentario técnico y que hasta se pone de los nervios y chilla cuando no entienden el chascarrillo, puedo meterme con Google y con el Apache, pero esto… esto es demasiado.

Yo le pido a vuecencia que reflexione larga y profundamente, que piense en los muchos años de servicio que un humilde servidor ha profesado a su figura, piense en los momentos duros en los que este pobre súbdito se arrodillo ante usted y sacó la espada en la fiera lucha contra los enemigos de la autentica doctrina, piense en que algo así nos desuniría.

No podré por tanto seguirle en esta batalla, no podre caminar a su lado en espíritu pues este indigno ser no tiene altura moral para caminar a su lado sobre un corcel espada en ristre para enfrentarnos juntos, codo con codo, con los enemigos de nuestra organización. No podré estar allí.

Le pido que entienda su ilustrísima y excelentísima señoría que a pesar de que mi corazón es negro como el azabache mi alma es blanca y así seguirá. Pensad que un hombre tiene valores en su vida y que estos no pueden o deben ser enfrentados, pues si lo fueran, una explosión interna acabaría con el ser y con alguno de los valores. Y yo… no puedo enfrentar estos valores.

Sabe usted que este hombre nació a la par que la compañía, como una marca del destino que nos llevaría juntos, pero que el destino no nos unió hasta que con la tierna edad de 12 años…y en ese momento… yo ya tenía el alma blanca. Ya había soñado con volar como Santillana, en tener la fuerza de Uli Stielike, tener la velocidad de Gordillo, la resistencia de Camacho o la rabia de Juanito. Fueron leyendas en los 80.

Después, ese alma se iría haciendo más y más blanca, con las locuras de Buyo, los regates en un metro de Butragueño, los pases de Schuster, las cabalgadas de Valdano, las volteretas de Huguito, las zancadas de Hierro, o las faltas de Michel.

Gritaría con el gol de Mijatovic a la Juventus, disfrutaría con los goles de Ronaldo en Old Trafford, con el regate imposible del argentino Redondo, los remates de Bam Bam, con el golazo de Zidane en la novena, o la victoria en la Supercopa de Europa y las copas intercontinentales.

Y esto es irremediable desde que aparecieron los tres madrileños de esta década en el Madrid, con las apariciones de Guti, las paradas imposibles del bronxolotita de oro San Casillas y el espíritu inacabable de Raúl.

No, por favor, no me obligues…NO COMPRES EL NEWCASTLE.

Saludos Malignos!

martes, septiembre 16, 2008

La cabeza en la luna y la mente en las estrellas

Supongo que a muchos de vosotros os paso lo mismo que a mi. Te pones a leer un libro y la cabeza empieza a enlazar pensamientos, pensamientos, ideas, pensamientos y dices... "esto..¿qué coño estaba leyendo yo?".

Si te pasa, es que eres un poco enfermo, también. A mi esto me ha pasado recientemente con el último libro de la Trilogía de Han Solo "Amanecer Rebelde". Sí, como todo buen fiki que le pega a todo, también le pego a Star Wars y tengo una buena cantidad de novelas rondando la treintena, sin contar los comics de los mismos, versión manga incluida, las pelis [tengo hasta las de los Eewoks con su libro de fotos de la pinicula y todo], los posters originales de Star Wars y el Imperio Contrataca, y hasta un Darth Vader y una motojet decorando parte de mi entorno.

El caso es que estaba yo con Han Solo viajando hacia el Sector Corporativo antes de que la Autoridad secuestrase a Chewi [Nota para frikis: Esta historia se narra en Han Solo at Star´s End] cuando un hilo de pensamiento me llevó a reflexionar sobre que en las novelas de Star Wars no se usan mucho las comunicaciones Wifi, ni los ordenadores portátiles al uso, no se habla de una Internet ni se ha buscado dar mucha relevancia a toda esa parte técnológica de la historia (por lo menos en las 10 o 12 novelas que llevo leídas yo).

Claro, tiene su lógica, todo sucede en una galáxia muy, muy, muy lejana hace mucho, mucho tiempo. Antes de que se creara el estandar 802.11 y [los chistes malos de WIFI] y de que la NASA pusiera la WIFI en la estación espacial.... qué por cierto.... ¿no habrá un cabronazo intentándo hackerla ya? Alguien con la Wifislax como nos comentaba Pedro Laguna con sorna... Sí, vosotros reiros, reiros, pero muchos no teníamos ni puta idea de lo que era un Colisionador de Hadrones hasta que alguno con tiempo libre hackeó la web del LCS y, según dicen "las malas lengüas" corría sobre un ¿Ubuntu?. [Esto no lo tengo yo confirmado]. Curioso, que fuera el de Ubuntu uno de los primeros turistas de las estrellas....pues como se lleve un Ubuntu 8.0.4 el cólega para conectarse a la WIFI ya le pueden dejar todo bien preparadito...¿os imagináis a Chewi configurando el Ubuntu en el Halcón Milenario y cagandose en todo?. Esto... ¿por dónde iba yo en la lectura?

A veces, que mi cerebro enlace tanta tontería seguida me preocupa, me hace pensar seriamente en la necesidad de tener una consultora al estilo de Tony Soprano [nota mental:re-ver Los Soprano], para que me revise estas cosas mías... aunque supongo que es normal, ¿verdad? Esto es muy común y os pasa a todos ¿no? es que... pensando en esto... no me imagino yo a Han Solo calculando las coordenadas para un micro-salto, ajustando la velocidad sublumínica al tiempo que desplaza la energía de los escudos de babor a estribor para defenderse de tres cazas imperiales pensando en tonterías varias como..."vaya, si me hubiera bajado con el descarte del idiota antes de seguir faroleando para subir la apuesta no hubieran cambiado las cartas y me hubiera llevado la apuesta del Sabacc pero claro, la rubia tenía un...uy, mira un caza a babor".

En fin que, de lo que iba este post es de algo realmente importante y es que, la última reflexión que he tenido pensando todo esto era... ¿se os han acabado ya a todos las vacaciones?, ¿no? Ya estáis todos de vuelta al tajo/estudio/obligaciones, ¿no?. Pues nada, que lo paséis bien, que total son pocos los meses hasta Navidad así que... ¡Qué la fuerza te acompañe...! [para aguantar al jefe, al compañero, al profe, a la novia o la madre del topo].

Saludos Malignos!

PD: Te has leído todo esto ...y ¿para qué?

lunes, septiembre 15, 2008

A lo Brutus

En una reciente auditoría me encontré con una web en una intranet mala, mala, mala. De esas que no me dejaba ponerla ninguna injección. Ni por arriba, ni por abajo, ni por LDAP, ni por SQL, ni por XPath, ni la del tetanos.

Sin embargo, el sistema de login tenía un formulario muy gracioso. Cuanod observas el código HTML te daba la longitud de la contraseña máxima de la cuenta.

Contraseña máxima de 10

Lógicamente eso fue al informe como una debilidad del sistema de autentificación porque limitar a 10 es limitar bastante las contraseñas en caso de que alguien accediese a la base de datos y pudiera lanzar un ataque de crackeo [siempre pensando que estén cifradas en la base de datos].

Después, probando un usuario de esos que se escriben golpeando el teclado el mensaje que me dio la aplicación fue de:

Usuario Incorrecto

Así que me dio por probar lo siguiente que probaría cualquiera. Es decir, con un usuario que se sepa que existe, como por ejemplo: Administrador, root, admin, administrator, etc... El mensaje de respuesta fue, con uno de ellos:

Contraseña Inválida

Pues... nada, si tenemos un usuario válido y sabemos que la contraseña es de máximo 10 digitos y no se come ninguna inyección...es una buena idea darle caña con un programa de fuerza bruta. Así que, tirando del baúl de los recuerdos y para no tener que hacer un script con el curl o programárte tú algo, tiré del viejo Brutus32 AET.

Brutus32 AET

Este programita está pensado para hacer fuerza bruta a aplicaciones web protegidas por autenticación básica, por formularios HTML, servidores FTP, POP3, Telnet, SMB e incluso el Netbus. Es del año 2000, pero tiene una utilidad muy chula para configurar los ataques a formularios HTML, ya que se lee el form, carga los campos, los macheas a usuario y password y le das cera.

Cargando campos del formulario

Bruteforcear sistemas de login suele ser lento, pero ante tantas facilidades a veces es recomendable. En este ejemplo en concreto se podían probar 3 contraseñas por segundo desde Internet y 8 (más o menos) por segundo desde la Intranet, es decir, desde la red interna.

Al final, en un día dio con la dichosa password... que era de 6 letritas. No está mal, si la longitud era entre 0 y 10, eligió una de más del 50 %.......

Saludos Malignos!

domingo, septiembre 14, 2008

X RECSI (III de III)

***************************************************************************************
- X RECSI (I de III)
- X RECSI (II de III)
- X RECSI (III de III)
***************************************************************************************

En las dos anteriores partes he querido transmitiros las cosas que aprendí en el X RECSI, pero cada uno sacó de él algo distinto. Sólo para que os hagáis una idea, estas son las charlas de Seguridad de la Información, es decir, excluyendo las de Criptografía, a las que no asistí.

- Despliegue de mecanismos de autorización para servicios federados en eduroam
- Consideración sobre la integración de módulos criptográficos basados en hardware vs. módulos criptográficos software
- La lucha contra el ciberterrorismo y los ataques informáticos
- El DNI electrónico: aproximación a su regulación jurídica
- El diseño del proceso contractual en la contratación a través de dispositivos móviles
- Componentes ejecutables, un paso más allá en los patrones de seguridad
- Estableciendo el nivel de gestión de la seguridad utilizando un modelo basado en esquemas predefinidos
- Computación segura de sistemas multiagentes aplicada en ambientes Inteligentes
- Billetes electrónicos seguros
- Prevención de ataques de cross-site scripting en aplicaciones web
- Diseño de patrón de selección de métricas para la construcción de CMI de la seguridad
- Modelo para la formalización abstracta e intuitiva de las propiedades de seguridad
- Usando la técnica MPR para la certificación de claves en MANETs
- Propuesta GKM cross-layer distribuida para redes inalámbricas de sensores
- Repudio de firmas electrónicas en infraestructuras de clave pública
- Componente de tolerancia a fallos para un sistema de agentes móviles sobre plataformas ligeras
- JXTA security in basic peer operations
- Postprocesado para microagregación multivariante: un estudio con datos reales
- Protocolos para la verificación de la proximidad en RFID
- IMPRESS, Desarrollo de aplicaciones seguras basado en MDA
- Gestión de recursos de un navegador web para prevenir ataques contra la privacidad en Tor
- Ataque a la seguridad de un protocolo utilizando strand spaces
- Sistema impreciso de control de acceso basado en la conversión cuantificada de atributos para escenarios de interoperabilidad
- Un sistema de marca de agua de espectro expandido tolerante a ataques de transposición y supresión
- Prevención de ataques de desincronización en esquemas de watermarking de audio
- A fast indexless digital forensic search procedure
- Caracterización estadística de archivos de texto cifrados con AES para fines del cómputo forense
- Mejora del clustering de ataques realizado en una red distribuida de sistemas trampa
- Historial clínico distribuido y seguro para situaciones de emergencias

Algunas de Forense, otras de anonimato, otras de seguridad web, de sistemas de pago, etc… es imposible no encontrar una charla que te aporte algo nuevo en un congreso así. ¿De verdad no hay ninguna que te llame la atención?.

Además de estas charlas, hubo conferencias invitadas, como la del Prof. Hugo Scolnik y su charla sobre "Nuevos Algoritmos de Factorización de Enteros para atacar RSA" que repetirá en la ekoparty en Buenos Aires, Juan Costa, de Cuerpo Nacional de Policía sobre "La seguridad del DNI electrónico" para responder a todas las preguntas que le hicieron los asistentes y que como os podéis imaginar fueron muchas, Prof. Carlo Blundo de la Universidad de Salerno (Italia) “Certified Information Access”, Prof. Ljupco Kocarev, Universidad de California "Cryptographic Primitives Based on Quasigroups and Quasigroup Transformations", Prof. Fausto Montoya, Director del Departamento de Tratamiento de la Información y Codificación, CSIC, España, "Distribución cuántica de claves: luces y sombras", D. Luis Jiménez, Subdirector adjunto del Centro Criptológico Nacional, España "Integración de las metodologías de evaluación en la Seguridad TIC", D. Antonio Francisco Pérez Fernández, Dirección General de Innovación y Modernización Administrativa, Junta de Castilla y León "Innovación y política de Seguridad en la Junta de Castilla y León", la empresa REALSEC "Uso de dispositivos de almacenamiento criptográfico para transacciones seguras" y Dª. Ana Córdoba Lefler, ERICSSON España “Firma Digital Móvil: cuando el móvil se convierte en Instrumento de firma digital segura”.

Como a todas las charlas es imposible asistir, siempre queda el poder disponer de todos los artículos y las presentaciones de las conferencias en el libro de Proceedings y en el DVD que la gente de la organización nos entregó. Además, hay que felicitar a los organizadores, que se preocuparon de que todo saliera bien y nos trataron a cuerpo de “recsi”. Especialmente a Angel que se portó con preocupación y desvelo conmigo.

Como colofón, después de hacernos la foto de grupo en las escaleras del Fonseco, la cena del jueves nos llevó a un pedazo de banquete dónde nos pusimos "gocho pocho" con el papeo, el vino y las anécdotas de mala vida. En nuestra mesa… pues lo mejorcito. Gonzalo, Oscar, Sergio Pozo y el más malo, que nos dedicamos a intentar destripar los trucos de los magos y dónde yo, perdiendo parte de la inocencia de mi vida, descubrí lo que es un dedo de Houdini, candados que se abren con radiofrecuencia, la cuerda que se corta y que los trucos de magia son como los trucos de de hacking [http://www.trucos-de-magia.com].

Compañeros de cena

Como reflexión final me gustaría transmitiros mi sensación final. Yo, que vengo más del mundo de la empresa que del mundo académico, he echado siempre en falta que la universidad se acercara a lo que se mueve en el mundo empresarial y tecnológico. Qué alguien que está en la universidad investigando o formando a gente, fuera a ver las conferencias de cómo se monta un NAP, de cómo se gestiona un CPD virtualizado o de cuáles son los entresijos del Directorio Activo, de una red con Cisco o de la arquitectura .NET. Me da igual la marca/tecnología/fabricante. Siempre me ha dado mucha rabia eso de estudiar ADA “porque en la NASA usan ADA”.

Pero… también creo que la empresa y el mundo empresarial debe mirar más a la universidad. Estando en este congreso, en el RECSI, que se realiza desde hace casi 20 años, me llamó la poca o nula presencia de gente del mundo de la empresa que viniera a ver que se cuece, que se puede aprender, que se puede obtener de los conocimientos allí mostrados. De los trabajos que yo vi pude sacar ideas que podrían aportar mejoras, nuevas soluciones o servicios a productos ya existentes; como la optimización de los firewalls y o cualquier sistema que funcione con reglas encadenadas, la detección de equipos zombies mediante el tráfico no solicitado que generan o la fortificación de sistemas de banca online conociendo cuales son los esquemas de ataque que utilizan hoy en día los troyanos.

Yo, que tengo el vicio de aprender de la forma más barata, es decir, escuchando charlas, no pienso perderme la XI RECSI que se celebrará en Tarragona en el año 2010 ni intentaré perderme el próximo CIBSI que será el año que viene en Uruguay, pero si no puedes viajar, siempre hay algo cerca de tu ciudad para asistir, así que … no faltes a todo lo que puedas.

Saludos Malignos!

***************************************************************************************
- X RECSI (I de III)
- X RECSI (II de III)
- X RECSI (III de III)
***************************************************************************************

Eleven Paths Blog

Seguridad Apple

Entradas populares