martes, junio 30, 2009

La gira en directo

Hola a tod@s,

la sesión de la Gira Summer of Security de hoy en Leioa está siendo retransmitida en directo por la Universidad del País Vasco, si queréis verla podéis hacerlo en la siguiente URL:

http://ehutb.ehu.es/es/directo/1.html

La agenda es la siguiente:

09:45 - 10:30 D-Link: Swithching [NAP,ARP-Spoofing, Hardening]

10:30 - 11:15 SmartAccess: e-DNI en AD

11:15 - 11:45 Café

11:45 - 12:30 Spectra (& Chema): TMG

12:30 - 13:15 Quest Software : Tu MAC y Tu Linux en el AD

13:15 - 14:00 Informática64 : Hay una carta para tí


Saludos Malignos!

Linuxero culé hackea la web en PHP del usurpador

¡¡¡No me lo puedo creer!!! Un pingüino del Barsa en la web del usurpador, esto es lo último que me quedaba por ver. Es como si se mezclara todo junto, todas mis aficiones. ¿Habéis visto que bonito me ha quedado el título del post?

1.- Un hacker linuxero hackeando una web en php con ese index.php que hace que parezca un CMS de esos de los que la gente suele actualizar sí o sí ... pero sólo de vez en cuando. Con su intro en flash y todo.....

2.- El usurpador del 7 en la selección española, porque todos sabemos quién es el "Real Seven".

3.- Un pingüino con la camiseta culé. El pobre Tux en todas las guerras anda metido.

Supongo que con estos tres alicientes se me podrian ocurrir muchos chistes malos y malignos. De esos de baja clase. De baja condición maligna. De vendido a IIS y Windows Server y Windows Vista. Chistes sobre el usurpador del 7 en la Selección Española.... pero no los voy a hacer. El asunto ya es un poema de por sí.

Me voy a limitar a decir...Villa, vente al Madrid, tenemos el 007 guardado para tí o el 117 si lo prefieres, y podrás tener www.davidVilla007.com corriendo en un Windows Server 2008 con IIS 7 o directamente en tecnología Java, como la web del Real Madrid... con la intro esa de Flash, en lugar de la música heavy metal que tienes, con la banda sonora de Villa... David Villa. Y podrás decir eso de: "Póngame un balón enroscado, no agitado" y jugar de compañero del gran Don Raúl González Blanco.

A mi me ha hecho gracia toda esta historia, y encima no le han destrozado la web, que hay que recordar que sólo le han hecho un defacement de la principal pero sin romperle la otra, así que lo dejamos en broma, no seáis malos... Seguro, seguro que Villa y su gente se están riendo mucho con la broma.

Pero para continuar las risas... podría seguir la historia...., no sé, quizá con una invitación a Davi Alves a que se fuera al Chelsea, que Dani, ya en el año 1970, marcaba goles que ya le decantaban como estrella rutilante según su web. Seguro que al Chelsea le parece bien.

O tal vez a Xavi Hernandez, para que se haga del Madrid. Ése sí que es bueno, ¡cojones!. Es un tipo que da solidez al equipo. ¡¡Yo lo quiero de blanco!! Decidle que venga al Madrid, que aquí jamás le pondríamos un Apache sobre Fedora con las extensiones de Front Page.

O por ejemplo....

Saludos Malignos!

lunes, junio 29, 2009

Reto Hacking...llamémosle X

El más porno de todos, Reto Hacking Web...llamémosle X... tendrá lugar.... el próximo viernes 24 de Julio a las 20:00. Lo hemos puesto en viernes para que podáis joderos el fin de semana, lo hemos puesto a las 20:00 horas para que RoMaNSoFt se haya podido echar la siesta y esté descansado... y hemos preparado un reto anti-Dani Kachakil.

Os preguntaréis...¿cómo se puede hacer un reto anti-Dani Kachakil....? Fácil... hemos analizado lo que ha estado haciendo, las herramientas que usa, lo que conoce, sus especialidades... y hemos buscado sus puntos débiles.

Creemos que con este reto se le van a escapar algunos detalles de friki malo de segunda que no va a ser capaz de salvar... Ahora, si Dani gana... soy capaz de darle un beso en los morros (esto es un aliciente para que no quiera ganar).

No, ya en broma, el reto será sobre técnicas Web, será online, como normalmente, y tendrá premios tan buenos como siempre, es decir, ni un duro y todo chorradas mías.

¿Por qué jugar? ¡¡Y a mi que me cuentas!! ¡Tú sabrás! Si quieres entretenerte un rato con pruebas sacadas desde las mentes más retorcidas del SOCtano de I64 adelante.

¿De qué va ir? Pues te deberías imaginar de que va a ir el reto, de todo lo que hemos estado enredando este año: Metadatos, Correos Falseados, Métricas de seguridad WiFi, Enviar a un amigo en web, Injecciones de Código, Buffer overflow en FreeBSD para obtener una shell.. (no, no, esto es de la Defcon...), Arithmetic BSQL, Serialized, Blind XPath Injection,... y como no ¡Consultas pesadas!.

Todo ello, por supuesto, aliñado con idéas felices, alguna fase hijaputa y mucha mala uva, que si queréis cosas fáciles salid a ligar un viernes por la noche en lugar de quedaros devanándoos los sesos con una locura de reto.

Pues ya sabéis, el que quiera participar, el día 24 de Julio a las 20:00 horas... estára disponible el Reto Hacking ...llamémosle X.

Saludos Malignos!

domingo, junio 28, 2009

¿He dicho yo eso?

Hace años, allá por el año 2003, cuando Luís Aragonés dirigía el Atlético de Madrid en una de sus fases más beligerantes, y se encontraba en plena batalla con la familia Gil pasó algo que me llamó mucho la atención. Luís Aragonés dijo en una rueda de prensa que él se iba y que no quería entrenar más al Atlético de Madrid. Los abogados de la familia Gil respondieron a esas declaraciones enviándole una carta que venía a decir algo así como gracias por haber estado con nosotros y aceptamos su renuncia.

Esto suponía que Luís Aragonés se iba sin nada de dinero en el bolsillo al ser una baja voluntaria. Luís dijo que él no había enviado ninguna carta de dimisión pero los abogados le dijeron que sus declaraciones, grabadas por todas las televisiones, suponían una carta de renuncia verbal y que ellos la aceptaban.

Al final, viendo que la había cagado y, no queriendo la familia Gil ni Luís Aragonés un juicio largo y mediático que pudiera perjudicar a ambos, llegaron a un acuerdo económico muy, muy, muy ajustadito para Luís. La familia Gil se apuntó una victoria en la sombra muy hábil.

Lo que ha pasado ahora con Vanderlei Luxemburgo, el Palmeiras y el Twitter no ha sido exactamente lo mismo, pero me ha hecho acordarme del primer hecho. En este caso Luxemburgo ha criticado la profesionalidad de un futbolista que va a ser fichado por el F.C. Barcelona en su cuenta Twitter. De ella, debe tener algún follower en la cúpula de su club que no le ha parecido bien el mensaje ese de: “Incluso si él no es traspasado (al Barcelona), conmigo no juega más” y le han rescindido el contrato.

En este caso no ha sido una renuncia verbal o algo similar, pero… supongamos por un momento que un trabajador de una empresa, en un momento de cabreo pone en su estado del Messenger, en su cuenta twitter, en su cuenta facebook o en su blog algo como “Ya no quiero trabajar en mi empresa” o similares…. ¿Podría la empresa tomar esto como una carta de renuncia pública y deshacerse de él como si fuera una baja voluntaria?

Estos aspectos que tocan la ley se me escapan siempre un poco de los dedos, pero si esto fuera así dentro de poco podríamos tener auténticos profesionales en la sombra, siguiéndote como followers malévolos…

Saludos Malignos!

sábado, junio 27, 2009

Hedonismo en soledad

El autoplacer, o el placer solitario, es un arte. El saber llenar las horas de algo que mantengan estimulado tu ser en soledad hace que uno disfrute más su vida. Los momentos en los que no hay compañía para ayudar en la búsqueda de la satisfacción intelectual, la realización personal o la motivación vital, uno debe ser capaz de obtener los mismos o resultados parecidos por medio de sus propias mañas.

Por ello aparecieron, de los juegos múltiples, lo juegos solitarios. Esos en los que no necesitas a nadie para poder enfrentarte e ellos. Es una pelea contra ti mismo mediante un conjunto de reglas. Los solitarios me molan, me ayudan a despejar la mente del trabajo, las ocupaciones y me permiten llenar espacios de tiempo estimulando mi mente.

El solitario de moda, el Sudoku, aun no está entre mis aficiones, que yo soy un clásico, pero tengo alguno nuevo entre mis opciones. El clásico Buscaminas o el solitario de cartas de toda la vida se completaron hace no mucho con el Majhong Titans que viene con Windows Vista y que consiguió engancharme.

Lo bueno de los ordenadores es que siempre tienes al cabezón como contrincante, con lo que cualquier juego se puede convertir en un solitario. El último juego al que he aprendido a jugar en el par de viajes en tren que me han llevado y traído a Valencia ha sido el que se llama “Corazones” y viene con mi amado Windows Vista.

Objetivo

El objetivo del juego es ser el que menos puntos tienes cuando se echa al primero de los jugadores. Para echar a un jugador hay que hacerle superar los 100 puntos. Tú tienes que intentar, por tanto, no conseguir ningún punto, que todos los puntos sean para los demás.

Puntos

Sólo hay dos tipos de cartas que hacen ganar puntos (malo, malo), los malditos Corazones (¿quién decía que el amor es bueno?) y la Reina de Picas (la supermalvada que te parte el corazón). Cada carta de corazones que te ganes en una baza significa 1 punto independientemente del valor de la carta. La malvada Reina de Picas son 13 puntazos del tirón, así que es muy malo, malo, malo llevársela.


En esta baza me he puesto "fino", pero no me he llevado a la malvada Reina negra

La excepción de los puntos

Si te llevas Corazones o la Reina de Picas, te anotas los puntos a excepción de una situación. Yo le llamo “La reconciliación del amor”. Si consigues llevarte todos los Corazones y la Reina de Picas te deberías apuntar todos los puntos, pero… entonces las cartas digievolucionan a una situación en la que se quieren y, por tanto, todos los contrincantes reciben un chute de 26 puntos por no creer en el amor.

El Descarte inicial

Se reparten todas las cartas y, al comenzar se pasan 3 cartas cada vez a un contrincante. De esta forma sabes algunas cartas de un contrincante. Procura quitarte las que no te gusten, pero esta es una elección difícil, pues a veces te interesará ganar para elegir el palo de la siguiente mano, o tal vez no, te interesará perder, para no ganar puntos. Por supuesto, cualquier carta superior a la Reina de Picas en el palo de Picas será muy chungo, pues con esa carta ganas a la Reina de Picas en una mano y te la llevas, así que.. huye de la Reina, el Rey y el As de picas.


Enviando regalos al compañero

Las manos

La partida la empieza el tiene el 2 de Treboles, así que siempre se empieza por Tréboles. En la primera baza no se pueden echar puntos, así que, si no tienes Tréboles tendrás que echar Picas o Diamantes, pero no puedes echar ni la Reina de Picas ni ningún Corazón.


Mano de Diamantes, como no lleva puntos..¿la gano o la pierdo?

Siempre tienes que echar del palo de la primera carta (si tienes) pero no tienes porque superar el valor de la carta. Puedes echar una carta superior o inferior. Si no tienes del palo de la carta que va la mano puedes echar cualquier otra carta. La mano la ganará el que tenga el valor más alto en el palo de la mano. Si no tienes ninguna de la carta de la mano, puedes echar una carta de Corazones. Los Corazones no son especiales y no ganan la mano, pero el que se lleva esa mano se lleva puntitos muy malos.

La veda de Corazones

Si eres mano y quieres salir con corazones no podrás hacerlo hasta que se haya roto el amor, es decir, hasta que alguien sin ser mano, no haya tenido carta del palo de la mano y haya echado una carta de Corazones. Entonces sí se puede salir con Corazones. Nada más salir los corazones, intenta abrir alguna mano de corazones con valores bajos para que alguien se gane una mano de corazones de 4 puntos e intenta meter todos los corazones que puedas cuando en la mano no tengas carta de ese palo.


Jugando corazones...

La veda de la Reina de Picas

Si no tienes la reina de picas vas a intentar que salga cuanto antes forzando manos de picas con cartas inferiores a la reina de picas. Así, se sale con el 5 de Picas, el 6 de Picas, etc… Al final, el que tenga la Reina la tendrá que echar con la esperanza de que algún pobre haya echado el Rey o el As de Picas y se la coma. Procura nunca echar el Rey o el As en una jugada de Picas si no ha salido aun la reina, pues el que la tenga te la enviará con “amor”.

El resto… son horas de juego… ya sabes como va esto de los juegos en solitario y a mi, éste en concreto, me ha parecido muy interesante por todas las posibilidades de juego que se dan. Recuerda: No te vicies si tienes que hacer otra coasa....

Saludos Malignos!

viernes, junio 26, 2009

Cursos de Seguridad gratis en Madrid

Durante el mes de Julio, desde Informática64, vamos a participar en dos proyectos de formación para desempleados que van a tener lugar en las instalaciones de la Comunidad de Madrid en Getafe, sí, en ese lugar dónde solemos celebrar los eventos. En este caso van a ser dos curso de 100 horas cada uno que van a estar dedicados a Seguridad Informática.

Desde el día 6 de Julio, con una duración de 5 horas cada día, hasta el día 31 de Julio, impartiremos dos cursos, uno en horario de mañana y otro en horario de tarde, para personas desempleadas en la Comunidad de Madrid.

Los únicos requisitos que hay son estar en el paro (o en situación de mejora de empleo), estar en Madrid y pasar una pequeña prueba de acceso. La prueba de acceso será un pequeño test de conocimientos básicos sobre informática, redes y sistemas operativos. Ya sabéis, a que huele una IP, de que sabores son los valores Unicode o que linuxero es peor... o algo por el estilo, que con tanta viagra mezclada con Red Bull lo mismo me estoy equivocando...

Cada curso tiene 15 plazas y para acceer al mismo hay que ir a la prueba de selección que se realizará el próximo día 30 de Junio a las 10:00 horas´en el “Centro de Formación en Tecnologías de la Información y las Comunicaciones - Madrid Sur” del Servicio Regional de Empleo de la Comunidad de Madrid que está sito en la Avenida Arcas del Agua s/n, CP: 28905, Getafe (Madrid).

Si quieres acceder a una plaza a coste cero y contando con los profesores más sexies y simpáticos de todo Móstoles tienes que estar allí, limpio, aseado y bienoliente (que ya sabemso que con los calores del verano los olores se disparan...). Una vez allí tienes que preguntar por Marina López o Elena Vargas, o indicar en la caseta de información que vienes a realizar la prueba de nivel para los cursos de seguridad Informática.

No, no da puntos decir que eres colega de El Maligno, ni tener una foto conmigo, ni confesar lo de aquella noche en la que... no. Tienes que pasar la prueba de nivel, que no será dificil si sabes algo de informática. Entended que no podemos dar un curso de seguridad informática sin algún conocimiento previo.

Los que estáis trabajando no podéis acceder a estos cursos salvo que estéis en situación de mejora de empleo. Sí, es una putada no poder acceder a ellos pero... coño! alegraos como yo que tenemos trabajo en estos tiempos que corren, joder!.

Además, de estos cursos siempre acabamos enganchando a algún pardillo despistado... digo... alguna joven promesa que incorporamos a la lista de descerebrados que conforman la lista de elementos del SOCtano, así que lo mismo, además de aprender algo, acabas arruinando tu futuro currando con nosotros...

Los que estáis currando o estáis fuera de Madrid... tenéis otras alternativas, como por ejemplo apuntaros a alguna de las otras cosas que hay en agenda:

- 30 de Junio: [Bilbao] Summer of Security [*]
- 1 a 31 de Julio: [Madrid] Hands on Lab (con nuevos hols!)
- 7 de Julio: [Salamanca] Curso de Verano de la USAL [*]
- 14 de Julio: [Barcelona] Summer of Security [*]
- 14 a 17 de Julio: [Barcelona] Auditoría Web con la Escola de Prevenció i Seguretat Integral [*].
- 20 al 31 de Julio: [Barcelona] Hands On Lab
- 21 al 23 de Julio: [Bogotá - Colombia] Seguridad Web [*]
- 22 al 26 de Julio: [Tenerife] TNF Lan Party

[*] Estaré yo dando el coñazo...

Saludos Malignos!

jueves, junio 25, 2009

¿Por qué mis correos llegan como Spam?

Esta es una de las preguntas que más me hacen siempre que hablo de algo que tiene que ver con correo electrónico. Tiempo ha me hicieron escribir una lista de medidas para mejorar los resultados en los motores antispam de los correos electrónicos legítimos emitidos por una empresa. Aunque no son todas las medidas que se pueden aplicar, ésta es una buena lista de precauciones.

Muchas de las verificaciones que se realizan para validar o no un correo se realizan sobre la dirección IP del servidor utilizado para enviar el correo electrónico, para tener una IP cuidada es recomendable.

1.- Marca las IP de los servidores autorizados para enviar correo en tu dominico con el registro SPF en el DNS. Esto hará que las comprobaciones del registro SPF de Sender Policy Framework y Sender ID sean positivas.

2.- Comprueba que tus IPs no estén en listas RBL (Real-time Blackhole List). Si tu IP cae en una de estas listas muchos de los servidores no aceptarán tus correos. Ten siempre una IP de backup limpia e intenta, cuando caiga, sacarla de todas las listas. Muchas se alimentan las unas de las otras, así que revisa todas.

3.- No compartas la IP con varios dominios si es posible y menos si no los controlas tú, ya que la IP pude caer en una RBL tanto por mal uso de tu dominio como por mal uso de cualquier otro.

4.-Ten la IP a nombre de tu empresa e intenta controlar los registros PTR. Algunos filtros comprueban el valor del registro PTR en el DNS para autenticar el nivel.

5.- Actualiza el software y configúralo de forma segura. Los filtros de reputación realizan comprobaciones reversas para ver si está mal configurado el servidor y puede ser víctima de los spammers. Si es así, no admiten correos de tu dominio.

6.- Firma digitalmente tus correos con DKIM para que se puedan autenticar el dominio del emisor aquellos dominios que hagan uso de él.

7.- Evita correos con múltiples destinatarios o contigo mismo en el destinatario, eso suele hacer subir el SCL (Spam Confidence Level) del correo.

8.- Usa antivirus en el correo saliente. Si un usuario de tu red queda infectado puede intentar infectar a otros mediante el envío del malware por correo electrónico. Si un dominio detecta que le llega malware de tu dominio meterá tu IP en las RBLs.

9.- Si tu correo sale por la misma IP que por la que sale, es decir, si el MX y el SPF son iguales, aunque es peor para la redundancia de seguridad, es mejor para aumentar el alcance de los correos, ya que alguno aún utiliza como comprobación el filtro de Reverse MX Lookup.

10.- Y la más importante... no seas spammer y haz un uso correcto del correo electrónico.

Saludos Malignos!

No Lusers 71: Juega con tu Amiga







miércoles, junio 24, 2009

Regreso al lugar del crimen

Al final de los eventos de la gira Up to Secure que hicimos durante Enero y Febrero, los asistentes preguntaban y si no le gustaba la respuesta de los ponentes nos podían hacer beber. En Valencia, al igual que en Tenerife, faltó el ponente de Spectra, con lo que yo hice dos sesiones. Para diferenciarlas, decidí dar la segunda de las dos sesiones más a mi estilo, es decir, con una camiseta de las mías bonitas, gorro de rayas y pelo suelto.

En Valencia, al final de mi sesión, ya en la ronda de preguntas, estaba yo con un tercio de cerveza, el gorro de rayas, las melenas y una camiseta de Gene Simons de Kiss que tengo yo que mola mucho diciendo alguna de mis macarradas, cuando entró la responsable de las instalaciones...y debió quedarse un poco... "sorprendida" de la imagen.

Supongo que no se llevó la mejor de las impresiones, ya que no me conocía de antes, de lo que ella esperaba que fuera un ponente de una conferencia en la Bolsa de Valencia. Quiso el destino que aparecieran después de la conferencia dos sillas con el respaldo roto, de lo que fue debidamente informada.

Viéndolo fríamente, desde fuera, poniéndome en los ojos de la responsable, supongo que lo que pasaría por su mente sería que allí, en lugar de una conferencia había tenido lugar una reunión de activistas/macarras antiglobalización que habían tomado la bolsa y no me extraña la bronca que me comí.

Sorprendentemente, la comprensión de la gente de la Bolsa de Valencia permite que podamos regresar al mismo lugar mañana, a dar una conferencia. Si es que el mundo está lleno de buena gente… Así que a portarse bien todos mañana.

Saludos Malignos!

PD: Mañana, el que asista a la charla, que lo haga con cuidado de las sillas... Y los que vengáis esta noce a tomar algo, ya sabéis que hacer

No Lusers 70: Digievolución



martes, junio 23, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (V de V)

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

Comprobaciones para saber si un correo es legítimo o no

La pregunta que uno se puede realizar es … ¿por qué no se utilizan todas las medidas disponibles? Supongo que es el eterno problema de balance entre seguridad y carga de trabajo, porque si no, no parece demasiado lógico.

Teniendo en cuenta que todas las cabeceras SMTP pueden ser comprobadas desde los interfaces web de Gmail, Hotmail y Yahoo!, el siguiente es un árbol de decisión que se puede aplicar para decidir si un correo recibido es o no legítimo. Hay que tener presente que se tiene como base supuesta que:

A) No hay un bug de DNS como el descrito por Kaminsky.
B) Realizar IP Spoofing hoy en día en consultas al DNS en Internet es difícil.
C) La conexión es desde una red segura sin MITM.

Si esos condicionantes se dan en tu situación, entonces es posible realizar el siguiente algoritmo para obtener más y mejor información sobre la legitimidad de un correo electrónico.

PRIMERO: Comprobación de DKIM

A) Si el correo viene firmado con DKIM y está comprobado deberemos tomar el correo como Legítimo.

     - Yahoo!: Se hace automáticamente y pone un icono de autenticado.

     - Gmail: Realiza la comprobación pero sólo aparecen en la cabecera SMTP y no en el interfaz web. Hay que comprobar que la firma DKIM aparezca como autenticada.

     - Hotmail: no realiza la comprobación DKIM por lo que en la cabecera SMTP aparecerá la cabecera DKIM pero hay que hacer la comprobación de la firma manualmente (Poco divertido).

B) Si no viene firmado se debe comprobar la política del servidor DNS de la organización respecto a DKIM comprobando si existe política de fallo respecto a DNS, es decir, si en el registro _domainkey.dominio.com aparece la opción o=–.

     a. Si aparece la opción o=– entonces el correo deberá ser tomado como Ilegítimo.

     b. Si no aparece la opción o=– porque o no hay política, como en el caso de Gmail, o aparece la opción o=~, se debería pasar al paso SEGUNDO.

SEGUNDO: Comprobación de firma SPF

Se comprueba el registro SPF del dominio del remitente.

A) Si este tiene registro SPF se comprueba la dirección del servidor de envío contra la lista de IPS permitidas por el registro SPF y la política spf de comprobación: spf1 - spf2/mfrom - spf2/mfrom,pra - spf2/pra.

     a. Si la IP cumple y los valores del remitente o del pra entonces se marca el correo como Legítimo.

          - Hotmail lo pone en la bandeja de entrada sin alertas.

          - Gmail hace la comprobación pero sólo se puede ver en la cabecera SMTP del correo.

          - Yahoo! no hace la comprobación y habría que realizarla manualmente (poco divertido).

     b. Si no, se comprueba la política de fail o softfail:

          - -all: Se debería marca como Ilegítimo.

               - Hotmail lo hace automáticamente y el correo llega con alerta roja a la carpeta de SPAM

               - Gmail lo comprueba pero sólo se puede ver en la cabecera SMTP.

               - Yahoo! no lo comprueba.

          - ~all: Se debería marcar como Dudoso.

               - Hotmail lo pone con una alerta en amarillo en la carpeta de correo no deseado.

               - Gmail lo comprueba y se puede ver en la cabecera SMTP solamente.

               - Yahoo! no lo comprueba.

B) Si no tiene registro SPF se comprueban los valores MX del dominio del remitente. Esta comprobación no es realizada ni por Yahoo!, ni Hotmail ni por Gmail y dejan recaer el resto de alertas en filtros antispam.

     a. Si la IP del servidor que ha entregado el mail es una de los intercambiadores de correo, entonces el correo se marca como Legítimo.

     b. Si la IP no es una de los servidores MX entonces se marca como Dudoso.

Toda esta lógica de detección de correos legítimos o no legítimos ayuda a valorar mejor la autenticidad de los remitentes de correos electrónicos en aquellos entornos en los que no se utilizan firmas digitales. Hay que recordar que el uso de S/MIME o PGP es mucha mejor garantía para comprobar el remitente de un correo. Estos sistemas descritos en este artículo, basados en dirección IP de los servidores, no muestran ninguna diferencia cuando hay servidores vulnerados o mal configurados que pueden ser utilizados por atacantes externos o internos de la red para suplantar remitentes.

Por último, me gustaría recordar que, independientemente que uses o no este método, debes tomar como falsos todos los correos que se suponga que has enviado tú y no lo hayas hecho.

Saludos Malignos!

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

lunes, junio 22, 2009

El Manchester United a por Vitor Baia

Y es que podía haberse puesto cualquier otra noticia similar y hubiera sido igual de impactante y falsa. La historia viene porque en la web del periódico AS publicaron ayer una noticia en la que decía que el Manchester United estaba preparando la web para Iker Casillas.

Esta información había sido deducida por un periodista en un momento de epifanía tras las barbacoas del fin de semana y tras contarle alguien que en este link aparecía el nombre de Iker Casillas en la web.


Iker en la web del Manchester

A partir de ahí, notición en la web del As.


La cagada de noticia

La explicación es más simple, en la base de datos que da soporte a la aplicación web del Manchester United hay una tabla de jugadores internacionales de todos los tiempos, tanto del Manchester United como no. La pagina web que muestra la ficha de los jugadores de la primera plantilla tira de esa tabla. Basta con manipular los valores del campo bioid para acceder a datos de otros jugadores. Sin embargo, como se puede ver, no aparece información relativa a su fichaje por el United.

Esto puede ser problematico o no dependiendo de la información a la que se acceda, pues si toda es pública, entonces el único perjudicado es el que la ve de esta forma, es decir, el que ve la informaicón pública mal formateada. Sin embargo, la predicción de información por manipulación de parámetros predecibles puede ser un riesgo para la seguridad en una empresa si se llega a acceder a un dato sensible.

En este caso concreto se podría lanzar una sesión con una petición masiva de valores de bioid para ver que información saca por pantalla. Yo he probado alguno y me ha tocado... Vitor Baia, así que he puesto mi propio titular.


Vitor Baía al United

Tú puedes hacer tu jugada y ver quién te toca, el que genere más revuelo gana.

Lo que me llama la atención es como una web mal formateada puede generar tanto movimiento. La respuesta debe ser el futbol, que mueve masas y mucha pasta, pero tras ver esto, no me queda ninguna duda que la importancia de los ataques de XSS, persistentes o no, los de phising cutres y los de ingeniería social siguen siendo los putos amos.

Saludos Malignos!

domingo, junio 21, 2009

Avón llama a tu puerta

Durante este último año me he encontrado entrando en algún bar o cafeteria de alguna ciudad a desayunar y oir a alguien decir: "Coño, si es El Maligno". Así, como si yo fuera Antonio Banderas o similar, un "alguien" famoso, algo que no va mal dentro de mi rol de Security Porn Star.

De entre los que han coincidio en una cafetería conmigo y me han dicho algo están los que me han invitado a desayunar, los que ya tenían pagado lo suyo y, los que me conocen más y saben que soy un pardillo, y me han sacado el desayuno al viejo estilo de "Venga macho, que sabemos que estás forrado".

Supongo que alguno otro, aparte de los que me solicitan hacernos alguna foto, los que me piden que les firme unos gallumbos, un autógrafo o símplemente los que vienen a charlar conmigo, hay otros que me habrán visto, pero no han dicho nada. A mi no me importa que me digáis nada a mi, pero si me habéis visto... "por ahí"... no lo publiquéis ni lo digáis a nadie....

Ahora que llegan ya los seis meses cumplidos, es el momento de recapitular algunos momentos de este periodo, como suelo hacer siempre, pero aun quedan los últimos momentos del Semestre, del H1 o del H2 (según el año fiscal por el que te rijas), del Q2 o símplemente de las W23 y W24 para que salga alguna foto o anecdota curiosa.

En este caso, la gira de Summer of Security nos va a llevar la semana que viene a, tal vez tú casa, como el representante de Avón. Vamos a empezar por Vigo el día 23, lo que quiere decir que la noche del 22 estaremos por allí de cena "y lo que surja", el día 25 a Valencia, con lo que el día 24 noche estaremos por Valencia "para lo que vuelva a surgir" y el dia 30 en Leioa, con lo que el día 29 estaremos por Bilbao "para tomar unos algos".

Después, el día 1 de Julio, miraré en mi ordenador, buscaré las fotos del semestre, recordaré las cagadas más chulas y haré un balance personal... Tal vez estés tú en mi balance, como otras veces....

Saludos Malignos!

sábado, junio 20, 2009

Juanquers peligrosos

A veces los veo entre el público, otras veces recibo sus mails y yo me asusto. Son “juanquers peligrosos”. No, no son Hackers, quiero decir que son juanquers peligrosos. Observan con la mirada medio cerrada, como si pudieran esconder sus verdaderas intenciones detrás de los parpados. Hablan poco con los compañeros, pues tienen un movimiento anarkopunkorebeldeblackhacktrackpatacracktista para acabar con la opresión mundial.

Han empezado por el colegio, o por el laboratorio de la universidad o por el ordenador de la secretaria de la empresa dónde trabajan en prácticas a la que la han calzado un troyano a ver si la pueden grabar los días de primavera cuando viene descocada con la webcam sin que ella lo sepa.

Han entrado en varias webs, y han puesto mensajes amenazadores para acabar con el mundo del tipo: “Esta web de frutos secos alimenta el pútrido olor del sistema capitalista. Asesino Maldito_16_KatarPower Pwned you!! Go killersAnarkoPunkAssasins_Ciber_Team” y ya tienen un plan para acabar con la SGAE y especialmente con su sacrílego maestro Palpatine Ramoncín que han ideado a base de quedadas secretas en el WoW a la que sólo puedes asistir si eres más que Enano 50 o brujo 47, todas ellas, coordinadas a través de foros privates de acceso tras prueba de nivel para ver si eres juanquer peligroso o no.

Me asustan, sé que debo tener cuidado con lo que digo, no quiero ofenderles, no quiero que me pwneen el blog o me roben el Messenger que uso para ligar. Me hacen una pregunta, con voz tenue, es un hilillo de voz profunda, como la de garganta profunda (no, no el de las pelis del cine ese, llamémosle X) el del escándalo guatergeeeeeeeeeite. Al finalizar la pregunta mira serio, no observa, está wiretapping mi respuesta. He de andar con pasos cautelosos, me están evaluando. ¿Pasaré o no pasaré el examen?

Después, pasado el momento de tensión, y ya en el momento del catering, le veo entre el resto de los asistentes. No, dios, catástrofe. Uno de los asistentes le ha quitado el último croissant y él le mira con sentencia de muerte. “Tu web está muera lamer”, está pensando él. “Tengo un troyano con el que te voy a juanquear todas tus redes desde la IP 192.16.8.1 hasta la 192.168.8.999, no se va a salvar ni la Wii de tu señora, que seguro que sólo sabe usar el Office y mal”. Es un juanquer peligroso, no quiere que le reconozcan, se esconde en el rincón y vuelve pronto a la sala. La venganza se toma fría.

Otras veces son mails anónimos que llegan a señoras mayores o niñas adolescentes de juanquers peligrosos que les han robado su cuenta de Messenger y les mandan mails diciendo: “si kierez retornar tu pasword manda una foto desnuda a la siguiente dirección de mail: amorosoyasesino16@gmail.com”.

Ten cuidado, no los provoques, no los bannees en los IRC, no los menosprecies en los foros, no te fíes del chico tan majo del almacén que te “arregla siempre el ordenador”, no cojas un croissant aleatoriamente en un catering, no le mires mal, son juankers peligrosos y te pueden juankear hasta el telefonillo de casa.

Saludos Malignos!

viernes, junio 19, 2009

Rogue AP en Windows con Intel My Wifi

Una de las aproximaciones más interesantes para el robo de información en redes WiFi es la de la suplantación del punto de acceso o uso de lo que se llama Rogue APs. La idea de esta técnica de ataque es conseguir que la víctima se conecte al equipo del atacante, que funciona como un punto de acceso legítimo, para que sea éste el que redirija el tráfico. Es una forma sencilla de realizar un ataque de Man In The Middle ya que al estar el atacante realizando funciones de AP va a poder interceptar absolutamente todas las comunicaciones.

Para que el ataque tenga efectividad, es necesario que la suplantación de un AP legítimo sea lo más real posible, por lo que se debe recrear un entorno de red con las mismas características en el Rogue AP a las del AP legítimo, copiando para ello el BSSID, ESSID, las configuraciones de seguridad de la red y, por supuesto, la clave.

Tradicionalmente la suplantación del punto de acceso se ha hecho con sistemas operativos Linux, haciendo uso de tarjetas y drivers específicos En este artículo vamos a ver cómo realizar esta misma suplantación haciendo uso de la tecnología Intel® My Wifi de una forma muy sencilla.

Intel My WiFi

A principios de 2009 Intel® anuncio la tecnología Intel® My Wifi con el objetivo de dotar a los equipos personales de la capacidad para crear pequeñas redes Wifi personales. El objetivo es que se puedan conectar todos los diferentes dispositivos, como son teléfonos móviles, discos duros multimedia o similares en una red para facilitar la vida del usuario. El limite son 8, pero es más que suficiente para esta prueba.

Esta tecnología funciona únicamente bajo los Sistemas Operativos Windows Vista y Windows 7 y con los portátiles con tecnología Centrino 2, que vienen dotados de los chipset WiFi Link 5100 o WiFi Link 5300.

Esta tecnología es, por tanto, perfecta para la creación por software de redes WiFi a la carta con la configuración del AP con las características deseadas. En este artículo se muestra cómo utilizar esta tecnología para realizar la suplantación del AP en un Windows Vista x64 con la tarjeta Intel WiFi 5100.

Configuración de la red

En primer lugar se descarga el software proporcionado por Intel, en la versión adecuada del Sistema Operativo y se instala de forma personalizada, para incluir la tecnología Intel® My WiFi, como se ve en la imagen 1. El software puede ser descargado desde la siguiente URL: Intel My Wifi


Imagen 1: Instalación de Intel® My WiFi

Una vez instalado el software, si se inspecciona el panel de administración de dispositivos se podrá comprobar que se han creado una serie de nuevos adaptadores de red creados por el software para la creación de las redes.


Imagen 2: Dispositivos instalados

A partir de este momento se dispone de una aplicación gráfica, accesible desde la barra de tareas donde se puede activar y desactivar la creación de una red WiFi personal.


Imagen 3: Aplicación Intel® My WiFi

Creación de un perfil de red

Mediante la herramienta de gestión de perfiles se configura la red WiFique se quiere crear o suplantar, como se puede ver en los pasos siguientes. Inicialmente se deberá configurar el SSID de la red junto con el nombre del perfil.


Imagen 4: Configuraciónn SSID y nombre del perfil

En la pestaña de seguridad se define el tipo de red a crear. En este ejemplo se ha configurado una red WEP pero es posible configurar redes con tecnologías WPA/WPA2:


Imagen 5: Configuración de la seguridad de la red

La siguente decisión de configuración será sobre las opciones de red. En este caso el software tiene la posibilidad de funcionar como un servidor DHCP y DNS o redirigir el tráfico de otra red así como la conexión a las otras redes.


Imagen 6: Configuración de uso compartido de la red

Por último, se configura el canal por el que se desea que funcione esta rede WiFi.


Imagen 7: Configuración del canal

Una vez configurado el punto de acceso, es necesario crear el puente de red entre la red WiFi que estamos creando y la red que tiene el equipo configurada para la conexión a Internet. Esto es necesario para poder enrutar el tráfico entre la red WiFi que se está creando e Internet y que cuando un usuario se conecte al punto de acceso se le asigne la configuración de red adecuada para conectarse a Internet. Para configurar esta opción basta con aplicarla desdes el administrador de dispositivos de red como se ve en la Imagen 8.


Imagen 8: Creación del puente de red

La configuración del puente variará según la red que se esté deseando crear, en este caso se marca que se obtenga la dirección IP de forma automática. Como se ha desactivado la asignación de IPs en el perfil de My WiFi y se permite el uso de redes compartidas, cuando la víctima se asocie al punto de acceso la red le proporcionara la configuración IP adecuada y el cliente podrá hacer uso de la red como se puede ver en la Imagen 9.


Imagen 9: Cliente conectado a la red personal

Consideraciones finales

No será necesario realizar nada especial para estar en medio ya, como todo el tráfico pasa por el atacante, es decir, por el Rogue AP, éste podrá hacer uso de cualquier analizador de red, como por ejemplo Wireshark, para capturar todo el tráfico de red no cifrado y analizarlo:


Iamgen 10: Wireshark inspeccionando el tráfico de red

Como la configuración del AP se realiza sobre un adaptador de red, la configuración de una MAC concreta en el rogue AP será igual que cambiar la MAC de esa tarjeta. Logicamente, una vez configurado un rogue AP exacto, si se desea reconectar los clientes actualmente conectados habría que realizar un ataque 0 de desconexión. Todo ello lo vimos ya en los artículos de Atacar WPA/WPA2 PSK y Crackear WPA/WPA2 PSK.

Por último, hay que resaltar que esto es muy peligroso y puede hacer que aparezcan muchas "falsas redes Wireless sin protección" rulando por ahí que estén pensadas como redes trampas para aquellos amigos de lo ajeno así que, si por un casual te conectas a una red wireless insegura de forma legítima o ilegítima, toma precauciones.

Artículo escrito por Alejando Martín y Chema Alonso.

jueves, junio 18, 2009

OpenLDAP Baseline Security Analyzer

Unas de las herramientas que más me gustan de los productos de Spectra son los Baseline Security Analyzer que empezaron a surgir a raíz del naciemiento de la TCI. La primera de ellas fue el MBSA, una herramienta útil y práctica que ayuda a conocer el estadodo de seguridad de los equipos en una red mediante la comprobación de los niveles de parcheo, la política de contraseña, la configuración del IIS y algunas opciones más.

A partir de esa idea fueron apareciendo productos similares centrados en servidores concretos que no sólo miraban la política de seguridad sino que además se centraban en configuraciones robustas, ajustadas a rendimiento o adaptadas a las necesidades que cada instalación necesita. Así, nacieron los Best Practices Analyzers. Primero el de dedicado a Exchange Server [EXBPA], después del de SQL Server [SQLBPA], el dedicado a ISA server, que incluso termina con el diseño de las reglas y la red configurada en Visio [ISABPA], etc...

Inmaculada Bravo, administradora de los servidores LDAP de la USAL, y activa linuxera del demonio, tiene el mal de los que nos dedicamos a esto con pasión, así que, años después de estar trabajando se mantiene estudiando en la Universidad, en este caso en la UOC, un postgrado dedicado al Software Libre. Cuando llegó el momento de entregar el Proyecto de fin del Postgrado me preguntó: "Oye Maligno, ¿de qué puedo hacer un proyecto de software libre que pueda ser útil a la comunidad para darte en el hocico?". Y yo la animé a hacer un proyecto similar a los BSA/BPA que tanto me gustan de Spectra para OpenLDAP, donde ella pudiera volcar toda su experiencia para ayudar a otros administradores de servicios LDAP sobre Open LDAP. Y asi nació OpenLDAP Baseline Securiy Analyzer.

Este proyecto está basado, ahora mismo, en un fichero XML de preguntas y respuestas que interroga a los administradores del servicio sobre todos los aspectos que te se tienen que tomar en cuenta a la hora de fortificar un servicio Open-LDAP. Este cuestionario está creado con el leguaje OCIL (Open CheckList Interactive Language), que es un formato XML creado para interrorgar al administrador mediante un interprete. Este lenguaje fue creado por el NIST americano bajo la iniciativa SCAP (Security Content Automation Protocol) del gobierno americano, acogida en Mitre, que pretende poner fin a los problemas de automatización en la gestión de seguridad en cualquier entorno.


Cuestionario Open-LDAP BSA sobre OCIL

El cuestionario, en su versión actual, obliga al administrador a repasar las configuraciones de su árbol LDAP teniendo en cuenta los siguientes aspectos de seguridad:

1.- Bugs en el software
2.- Accesos al sistema de archivos del servidor
3.- Robo de credenciales
4.- Acceso a los datos transmitidos
5.- Conseguir credenciales utilizando "fuerza bruta"
6.- Inyecciones de código en aplicaciones web
7.- Modificación de datos
8.- Denegación de servcio
9.- Google y ficheros olvidados en un servidor web


Hoy en día el cuestionario está sólo en castellano y los resultados son una lista de Pass o Fail que le marcan al administrador el camino a seguir para una mejor pero, por supuesto, el proyecto va a seguir andando con una tradución al inglés y con la posibilidad de poder crear una métrica que cuantifique un grado de seguridad.

El proyecto se hizo publico por la lisa interna de administradores de Red Iris y se pidió la colaboración para testear las preguntas contra las configuraciones de diferentes árboles LDAP en real. El feedback que se ha obtenido ha sido muy interesante, pero cualquier sugerencia de mejora será bien recibida.

Inma, por su parte, se ha comprometido conmigo a enseñarnos a fortificar bien un OpenLDAP en la sesión del Módulo VII del FTSAI que empieza mañana, pero tú puedes descargarte la herrmamienta y repasar la seguriad de tu árbol desde la URL dedicada al proyecto: http://openldap-bsa.forja.rediris.es/

Saludos Malignos!

miércoles, junio 17, 2009

El padrino Florentino

El veranito que se avecina está siendo de lo más divertido en cuanto al mercado de fichajes debido al retorno de El Padrino al Real Madrid. Tanto revuelo ha causado el cierre de los fichajes de Kaka y Cristiano Ronaldo que incluso algunos políticos querían limitar las inversiones financieras en fichajes. "Es un escándalo", dicen algunos, "Pornografico!", dicen otros. A mi me parece muy bien que vengan los grandes jugadores al Real Madrid, que Don Raúl Gozález Blanco tenga buenos escuderos para tener un mejor equipo. Además, ya le dijo Valdano a David cuando vino... sí, muy bonito el 7, pero ...¿qué te parece el 23? y ahora CR7 va a pasar a ser CR9. Es lo que toca.

Yo, viendo que ya se vende la camiseta de Kaka en la tienda oficial del Real Madrid y que el ambiente está caldeadito por si llega Villa, Forlán, Ribery o Xabi Alonso, me he animado a hacer mis propios fichajes este verano así que...

Anuncio oficilamente el fichaje de José Parada, "el abuelo", para los próximos tres eventos de la Gira Summer of Security que tendrán lugar los días 23 de Junio en Vigo, 25 de Junio en Valencia y 30 de Junio en Bilbao (Leioa).

Han sido duras las negociaciones y ha habido que incluir en la ficha del jugador unos centollos, unos chuletones y unas copas "rejuvenecedoras" que deberán ser abonadas la noche de la concentración. No hay problema, siguiendo el espíritu Florentino creo que las ventas de camisetas se van a disparar con la llegada de "el abuelo". Tengo un plan de marketing listo para ello.

Con la llegada de "el abuelo" para jugar como extremo, a mi me queda mucha más libertad en el campo para jugar de mediapunta, con lo que se va a añadir una nueva sesión a la agenda que se va a titular "Hay una carta para tí" y que va a versar sobre las cositas vistas en las dos series de artículos de "Enviar a un Amigo" y "Correos Falseados en Yahoo!, Gmail y Hotmail", por supuesto, con las demos en directo.

La agenda quedará por fin de la siguiente manera:

09:15 – 09:30 Registro

09:30 – 10:15 Red segura con tus switches.

Xavi Campos, de D-Link, dará una sesión para que tu red esté segura desde los cimientos. La tecnología D-Link permite fortificar tus conexiones, evitar técnicas de MITM e, integrado en el AD con 802.1x y la tecnología NAP dejar una rede integrada con tu servidor Windows 2008 totalmente controlada.

10:15 – 11:00 Se tú en tu AD.

España es un país puntero que cuenta con uno de los documentos identificativos más punteros, el e-DNI y esa herramienta puede convertirse en el único token necesario para que tus empleados se autentiquen en tu Active Directory. Rames Sarwat de SmartAccess, mostrará como es posible integrar el e-DNI en el AD y acabar de una vez con cualquier otro sistema de autenticación. No más "se me ha olvidado la password".

11:00 – 11:30 Café.

11:30 – 12:15 Gestiona todas tus máquinas con el AD.

Cada día los entornos empresariales son más heterogéneos y se necesitan más y mejores herramientas para gestionar de forma segura tus equipos. El Active Directory es la solución ideal para gestionar tu red de ordenadores. Con vintella Integration Services vas a poder extender las funcionalidades del Active Directory para gestionar incluso tus puestos de trabajo *NIX.

12:15 – 13:00 Microsoft TMG.

Evoluciona los firewalls de tu empresa. Durante esta sesión José Parada, "el abuelo", de Microsoft, mostrará las novedades de seguridad en la solución Firewall L-7 de Microsoft. Controla la seguridad perimetral de la red corporativa a todos los niveles y publica, de la forma más segura, tus servicios a Internet.

13:00 – 13:45 Hay una carta para tí.

El uso de certificados digitales para el envío de correos electrónicos que garanticen el emisor del mismo es la única medida segura. Sin embargo, mientras que el uso de los mismos no sea masivo las compañías han desarrollado soluciones basadas en la identificación de los servidores legítimos de correo saliente. Soluciones como SPF o DKIM son implementadas por los principales motores de correo electrónico, pero....¿Ofrecen los sistemas de correo electrónico medidas para detectar correos falseados de verdad? Chema Alonso, de Informática 64, dará esta sesión.

13:45 - 14:00 Ruegos y preguntas.

Así que nada, si quieres ver a este cartel de estrellas: Xavi Campos, Carles Martín, Rames Sarwat, José Parada y Chema Alonso, no faltes al campo. Compra tu abono y recuerda que la reventa está perseguida.

Saludos Malignos!

martes, junio 16, 2009

Cambio de horario

"Es la hora de los hackers", que diría un amigo mío, "y tu no deberías estar por aquí". Y lleva razon porque yo soy lo que se viene llamando una gallina, me gusta acostarme pronto y levantarme pronto, pero desde que he regresado de San Francisco no he sido capaz de hacer el cambio horario… y es una mierda increíble. Me toca trabajar en GMT+1 pero mi cuerpo no es capaz de dormir en esa franja horaria… y estoy que voy a tener que drogarme.

Lo cierto es que después de acostarme me he desvelado completamente a las tres horas. Lo cierto es, que a primera vista no está nada mal este momento, ya que he podido aprovechar para hacer cosas: He preparado la charla de mañana, he leído una media horita uno de los 14 libros, dedicado éste a Superman y ambientado en 1935 (con lo que os podéis imaginar el subidón), que me compré en San Francisco, he hecho algunas pruebas con el correo electrónico y las cabeceras SMTP, etc... ¡Todo Genial!

La putada vendrá mañana, cuando esté destrozado a medio día. Y es que he conseguido dormir algo así como 9 horas en tres días y ya los parpados de los ojos me pican un poco. Sin embargo, por otro lado, empiezo a pensar que la ausencia de sueño sí que pone el cerebro en un estado de excitación permanente “curioso”, pues no paro de pensar en cosas que hacer. Es una paradoja, cuanto más cansado estoy, más pienso en hacer cosas. Encerradme.

Ya que no hay nadie en el Messenger a estas horas para chatear, ya que he cotilleado en Facebook, ya que me he leído la última hora deportiva y los blogs “amigos”, he pensado que mejor quitarme el post de mañana ahora mismo y cuidar del blog, así tengo una cosa menos en la lista de ToDo. Lo primero que he hecho ha sido volver a permitir los comentarios anónimos, a ver si ya ha escampado el ataque de spam. ¡Enhorabuena a los que han sufrido sin poder decir nada bonito, que ya pueden!

Ahora he de postear algo, pero… joder, ya llevo casi un folio de introducción y no es plan ahora cascaros un artículo de esos de “leer después”. Sería de muy poca clase por mi parte haceros leer hojas y hojas de alguno de esos artículos, siempre tan acertados y que tanto os gustan, que tengo en el canasto de las chufas, guardados para momentos de baja inspiración maligna.

Montar un flame es una opción siempre disponible. Es algo rápido y directo, algo así como… “Qué gilipollas esos que creyeron que Bil Gates se refería al proyecto de Extremadura, ¿eh?”. Además, siempre podría pedirle a Filemaster que ande por aquí con sus comentarios para protegerme, como cuando juega de defensa al rugby. Pero eso tampoco estaría bien, de hecho creo que me debo estar haciendo menos maligno pues lo dejé pasar desde el primer momento.

Otra opción sería poneros un No Lusers, pero las dos tiras que tengo acabadas están sin escanear, así que “los amantes” de mis dibujitos deberéis esperar. Respecto a esta parte del blog me siento como el anuncio ése del hombre que va a pedir algo al banco y le pone a sus gemelas bailando antes de firmar. Si no lo entiendes, no busques explicación.

Contaros mis aventuras y chascarrillos del anecdotario es siempre divertido, pero para eso necesito estar de muy buen humor. No me sale contar anécdotas si no estoy animado, medio achispado o rodeado de amigos. Y ahora con el puto Jet lag estoy yo como para tomar copas… aunque … a lo mejor….

En fin, que no me quiero liar más y a lo mejor vosotros estáis tan lucidos que no habéis pillado ninguno de los chistes. O a lo mejor tienen gracia en mi cabeza sólo por la falta de sueño. Lo más acertado va a ser no postear nada hoy y mejor posteais vosotros en los comentarios si os da la gana. Ya sabéis, seguro que han pasado cosas interesanes por el mundo mejores que el que yo tenga Jet Lag.

Saludos Malignos!

lunes, junio 15, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (IV de V)

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

El último de los correos web analizados en este artículo es el de Yahoo! El sistema por el que apuesta este servicio está basado en el uso de DKIM. Para ello, como se vio en la tercera parte de esta serie, Yahoo! publica las claves públicas con las que los servidores firman los correos legítimos que salen de ellos. Por otro lado, como ya se vio en la primera parte, Yahoo! no tiene tan siquiera configurado el registro SPF en los servidores DNS. Conociendo esta configuración inicial, los resultados con las pruebas son los siguientes.

Yahoo! recibe un correo electrónico de una cuenta legítima de Yahoo.com

En este caso, el correo aparece firmado por uno de los servidores de Yahoo! utilizando una cabecera DKIM. Yahoo! lo comprueba y le muestra al usuario una alerta positiva, garantizando la veracidad de procedencia de este correo. Éste es el único de los tres sistemas de correo que muestra alertas positivas en los correos recibidos garantizando las pruebas que se han realizado.


En la bandeja de entrado y con alerta positiva

Yahoo! recibiendo un correo electrónico falso desde un dominio Yahoo.com

Como es de suponer, este correo no llega firmado por ningún servidor, por lo que no puede comprobar ninguna firma DKIM. Sin embargo, la política de Yahoo! es no mostrar ninguna alerta negativa.


Sin alerta a la bandeja de entrada

Esto es porque la configuración que tiene el sistema DKIM de Yahoo! en sus servidores es de softfail, es decir, no garantiza que todos los correos que salen de los servidores de Yahoo! salgan firmados, lo que ayuda bastante poco. Al igual que Hotmail configura sus registros spf con softfail, no garantizando que todos los correos lleguen desde Hotmail, Yahoo! hace algo similar. En este caso se realiza con la opción ~o en lugar de con la opción –o en el registro de tipo txt _domainkey.yahoo.com de los servidores DNS. El sistema, como se puede apreciar con el operador t=y indica que se encuentra en modo test, es decir, en pruebas.


Configuración DKIM en Yahoo.com

Yahoo! recibiendo un correo legítimo firmado con DKIM

Para realizar esta prueba se ha enviado un correo desde Gmail. Este servido firma los correos con DKIM y pueden ser comprobados. Yahoo! realiza la comprobación de la firma y muestra una alerta positiva de verificación.


A la bandeja de entrada y con alerta positiva

Yahoo! recibiendo un correo falso de un dominio que firma con DKIM

En la prueba primera, en la que se veía el comportamiento con un correo falso de yahoo.com, se puede ver cómo reacciona, es decir, sólo muestra alertas positivas si puede comprobarlo. No muestra ninguna alerta y cae en la bandeja de entrada.


Sin alerta negativa y en la bandeja de entrada

Sin embargo, al hacerlo con Gmail el resultado es curioso. Mientras que Gmail sí tiene publicadas las claves de firma, como se vio en la tercera parte del artículo, no publica la configuración de DKIM en el DNS. Para ello debería existir un registro _domainkey.gmail.com de tipo txt en el servidor DNS que NO existe. Se ha de suponer que el sistema está en test y no garantiza que todos los correos lleguen firmados.

Yahoo! recibiendo un correo legítimo desde un servidor con SPF configurado

Sorprende que Yahoo! no haga ningún aprecio a los registros SPF. En este caso el registro es legítimo y Yahoo! no muestra ninguna alerta positiva de comprobación del correo.


Sin alerta postiva, en la bandeja de entrada

Se puede ver, mirando la cabecera del correo electrónico, que Yahoo!, a diferencia de Gmail que consultaba el registro pero no mostraba ninguna alerta, directamente no realiza la comprobación al servidor DNS.


En la cabecera sólo comprueba DKIM, no comprueba SPF

Yahoo! recibiendo un correo falso desde un servidro con SPF configurado

Como era de esperar, la validez del correo electrónico recibido es exactamente la misma que si fuera legítimo. Al obviar directamente el registro SPF se pierde mucha información.


Sin alerta a la bandeja de entrada

Yahoo! recibiendo correos legítimos desde dominios sin SPF usando el MX

Una de las garantías de validez de un remitente que se puede añadir, como ya se comentado en lo que va de artículo, es que el correo venga desde un dominio que no tiene configurado el registro SPF, pero viene desde uno de los servidores MX. Yahoo! al no hacer aprecio directamente al registro SPF anula cualquier uso que se pueda dar al registro MX para validar un correo, por lo que le da exactamente igual si es legítimo o no.

Conclusiones

Yahoo! realiza correctamente las validaciones de correos que vienen firmados con DKIM mostrando una alerta positiva. Sin embargo, el no consultar los registros SPF parece una limitación enorme y una pérdida de información que no traslada al usuario para ayudarle a tomar una decisión. Además, a diferencia de Gmail, no realiza la comprobación, con lo que no vale con leer la cabecera completa del mensaje para saber si es legítimo o no y es labor del usuario realizar las pruebas contra los servidores DNS. Por supuesto, tampoco realiza comprobación MX.

En resumen, deja muchas validaciones sin realizar.

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

domingo, junio 14, 2009

Recordatorio semana del 15 al 19

Esta semana que entra está plagada de acciones entre las que destacan la llegada de la Azlan D-Link Academy a Valencia, el Asegúr@IT 6, el comienzo de los últimos módulos del FTSAI o el primer HOL de Exchange Server 2010. Os dejo una lista día por día.

Lunes 15

[Valencia] Azlan D-Link Academy: Network Design
[Madrid] HOL Exchange 2k7. Implantación y Configuración
[Madrid] HOL Exchange 2010. Mejoras y Novedades

Martes 16

[Valencia] Azlan D-Link Academy: Tecnología WiFi
[Madrid] HOL Exchange 2k7. Movilidad y mensajería unificada
[Getafe] El mal está en tí
[Webcast] Forefront Para Exchange Incidencias Más Frecuentes
[Con mi amigo Ross Parker, ex-Sybari!!]
[Webcast] Internet Explorer 8 Install Party [desde Bogotá]

Miercoles 17

[Valencia] Azlan D-Link Academy: Tecnología Firewalling
[Madrid] HOL-EXC23 MS Exchange Server 2007. Seguridad
[Madrid] HOL-DPM02 MS Data Protection Manager 2007.
Protección de Servidores MS Exchange Server y MS SQL Server

[Webcast] Windows 7 a fondo [desde Bogotá]

Jueves 18

[Valencia] Azlan D-Link Academy: Tecnología Switching
[Madrid] HOL Exchange 2k7. Recuperación frente a desastres
[Getafe] Asegúr@IT 6

Viernes 19

[Madrid] HOL Exchange 2k7: Contramedidas anti SPAM
[Madrid] FTSAI Módulo VII: Auditoria de roles de servidores
[Madrid] FTASI IV: Auditoría y Seguridad Web

Saludos Malignos!

sábado, junio 13, 2009

Yahoo! Security Week 2009

Pues como todo lo bueno y todo lo malo, ya se acabó la Yahoo! Security Week de este año. Ha sido una experiencia inolvidable y me lo he pasado de maravilla, así que...Gracias Yahoo! por invitarme.


701 First Avenue: Yahoo!

El evento tuvo lugar en el campus que tiene la empresa del gritito en el 701 de la First Avenue en Mountan View. Ya sabéis, un lugar que es como el directorio de software de un servidor. Cada calle, cada esquina tiene un edificio de una pieza software o hardware de tus equipos / portátiles / redes / servidores / servicios de Internet. Por aquí tienen sedes CISCO, Oracle, Citrix, AMD, Microsoft, Oracle, Yahoo!, Oracle, Intel, ...., Oracle....

Como yo era un invitado de lujo, ya sabéis, el Maligno visitando Yahoo!, y podía dar buenos o malos informes a la hora de que Spectra se decida o no, de una vez, a comprar Yahoo!, los jefes decidieron que había que tratarme bien, así que nada, viaje campeón, hotelaco con cama de rey y un malignomovil americano para disfrutar de mis paseos soleados con la melena al viento.


Coche con chofer para mi disfrute

Como se puede apreciar, el amigo Palako, el evil twin brother de José Palazón, ingeniero de Yahoo!, se ocupó de mis necesidades, e incluso, si era necesario, de darme mimos, cariño, amor o hacer de guardaspaldas.

Mi llegada a la Yahoo! Security Week era esperada con admiración, así que desde el principio se notaba que la espera había sido larga para ellos. Habían decorado el campus con banderolas para recibirme.


La bienvenida al Maligno

Una vez dentro, se puede observar como el Campus merecía mi visita. Allí, en uno de los muchos que tiene esta empresa, se puede disfrutar de actividades deportivas, comida, siestas en el jardín y cualquier otra maldad que se te ocurra. Eso sí, conexión a Internet por todas partes y, para que nunca estás perdido, buscadores de Yahoo! search por allí. Como se puede apreciar en la foto, es una de esas compañías en las que seguro, seguro, seguro, que tú no quieres trabajar.


Vista parcial del peazo campus

Palako y su compañera Bulma (sorry Aya!), disfrutaban de un utilitario acorde a su status social, claro, que no está la cosa como para que todos disfrutemos de un deportivo y aun quedan clases y clases....y yo soy un enviado de Spectra.


El utilitario de Palako y Aya

La charla fue bien, un pelín accidentada por ciertos problemas de conectividad durante la preparación de la misma, pero bien, y al final pudimos mostrar tooooooooodo lo que queríamos. Me hubiera gustado tener fotos de ese momento pero la sesión está bajo NDA y es Internal Only, así que nada, si mostrara algo tendría que mataros (which is not that bad...) pero como no me queda ropa limpia, lo dejaremos aquí.

Como recuerdo, tras los parabienes y regalos, el Rolex, el maletín con la pasta y la inauguración de una estatua del Maligno en el campus, decidí llevarme de recuerdo uno de los carteles de la semana dichosa.


Recogiendo la placa conmemorativa de mi visita

Terminado todo, la última noche fuimos a ver a los Lakers... en la tele mientras cenabamos en un restaurante chino, comida picante ellos y arroz blanco yo.

Y poco más... que se pueda contar. Las noches son las noches, los amigos son los amigos y San Francisco y el Castro son San Francisco y el Castro y... no puedo contar más. Sólo deciros que me quedé como recuerdo otro malignomovil... (pronto en las mejores jugueterías podréis comprar una réplica de él). Y como decimos los superheroes: "Me abro y no de patas!"


Malignomovil USA

Saludos Malignos!

viernes, junio 12, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (III de V)

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

Gmail ha sido, quizás, de estos tres sistemas de correo electrónico en web el que menos me ha gustado. Es curioso ver como Gmail se decanta por dar al resto de los servidores de correo el máximo posible de información para que validen los correos emitidos desde gmail.com, pero, por el contrario, el no realiza ninguna validación correcta. Gmail parece querer relegar todo su control contra correos ilegítimos en la herramienta web a su filtro Anti-spam. Sin embargo, llama poderosamente la atención como a nivel de servidor SMTP sí valida todo. Veamos las pruebas.

Gmail recibe un correo con una dirección falsa de remitente desde Gmail.com

Este correo, viene desde una IP que no está en el SPF de gmail.com, así que, según su propio registro spf1 con softfail debería ser marcado con una alerta.


Registro spf de gmail.com

Además, este correo no viene firmado con DKIM por uno de los servidores de Gmail, cuando por defecto todos los correos que salen de gmail.com son firmados.


Clave pública gamma utilizada para firmar correos gmail.com

Conclusión, debía de dar una alerta de posible correo ilegítimo y no la da. Mal hecho.


El correo entra en la bandeja de entrada sin alerta

Gmail recibe un correo con una dirección falsa de un dominio con SPF

Como era de esperar, el correo no recibe ninguna alerta de peligrosidad o falsedad. Sin embargo, es curioso, pues Gmail sí tiene esa información. Si se echamos un vistazo a la cabecera original del mensaje se puede ver que el mensaje no pasa la validación SPF e incluso, como Hotmail marca la IP de origen como una NO permitida.


Correo falso con remitente hotmail.com y cabecera

Esa información podía ser utilizada por Gmail para poner una alerta, pero no lo hace. Mal hecho.

Gmail recibe un correo legítimo de un servidor con SPF

Ya que no da alertas negativas de correos no comprobados, se podía utilizar una aproximación distinta y mostrar alertas positivas para correos sí validados. Para ver si hay alguna diferencia entre el legítimo y el falso se ha enviado un correo desde una cuenta legítima de Hotmail. El correo pasa el filtro SPF pero la herramienta NO da ninguna alerta positiva. Es decir, en la herramienta web no se ve ninguna diferencia entre el que NO pasa y el que pasa el filtro SPF.


Correo Legítimo que pasa el filtro spf como se ve en la cabecera

Tiene herramientas para diferenciar un correo que viene de un Sender autorizado y otro que no, pero no lo hace. Mal hecho

Gmail recibe legítimo desde un dominio sin SPF pero que envía desde el MX

Al no mostrar ninguna alerta en correos que no pasan el SPF, no tiene mucho sentido hacer esta prueba, pues con una comprobación de este registro sólo se podrían validar correos cuando vengan desde la IP de un MX legítimo desde un dominio sin registro SPF en el DNS.


Legítimo desde un server marcado en el MX

El cliente Web de Gmail, de nuevo, no muestra ningún cambio. Mal hecho.

Gmail recibe un correo falso de un servidor que firma sus mensajes con DKIM

Para hacer esta prueba se utiliza Yahoo.com que firma todos sus correos salientes con DKIM.


Clave pública s1024 de Yahoo.com utilizada para firmas correos

Sin embargo, en este caso, este correo no viene firmado, por lo que no se puede dar ninguna alerta positiva.


Correo sin firmar recibido desde Yahoo

Como se puede apreciar en la imagen anterior el mensaje se ve sin ninguna alerta negativa de no estar firmado.

Gmail recibe un correo legítimo firmado con DKIM

En este caso Gmail comprueba correctamente la firma DKIM del correo recibido. Esto se puede ver en la cabecera del correo original.Sin embargo, el cliente web de Gmail no muestra una alerta positiva en el interface de que el correo ha sido validado.

Gmail comprueba firma DKIM pero no alerta de ello. Mal hecho.

La diferienciación entre correos legítimos o no legítimos sin alertas funciona tan sumamente mal que es posible enviar un correo falso dentro de la conversación de un correo legítimo y gmail los intercala como si ambos fueran buenos sin dar ninguna alerta. Sólo hay que poner el RE: en el asunto del mensaje.


Correo legítimo y correo falso en el mismo thread

Conclusiones

1) Gmail firma sus mensajes salientes con DKIM y comprueba la firma DKIM de los entrantes, pero sin embargo no muestra ninguna alerta negativa de los no firmados ni positiva de los firmados.

2) Gmail autentica con el registro SPF los servidores de correo saliente legítimos y comprueba si el correo viene de un servidor autorizado por el SPF.

3) El cliente Web de Gmail no muestra ninguna alerta, ni negativa ni positiva, de si se ha comprobado o no. Al no mostrar alertas negativas por correos que no vengan desde una IP autorizada por el SPF no da ayudas a un usuario a detectar una posible falsificación.

4) Gmail mezcla en el interface tanto los correos legítimos como los no legítimos.

En resumen, aunque desde el interface es posible acceder a la cabecera original del mensaje recibido, Gmail por web no ayuda para nada a los usuarios a detectar posibles correos falseados. Los servidores de correo, por el contrario, hacen los deberes y tienen tanto las comprobaciones SPF como DKIM implementadas. La herramienta Web tiene que mejorar en este aspecto.

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

Entradas populares