lunes, noviembre 30, 2009

Técnicas SEO para gente de moral relajada [VI de VI]

**********************************************************************************************
- Técnicas SEO para gente de moral relajada [I de VI]
- Técnicas SEO para gente de moral relajada [II de VI]
- Técnicas SEO para gente de moral relajada [III de VI]
- Técnicas SEO para gente de moral relajada [IV de VI]
- Técnicas SEO para gente de moral relajada [V de VI]
- Técnicas SEO para gente de moral relajada [VI de VI]
Autores: Chema Alonso & Enrique Rando
**********************************************************************************************

¡Es la Guerra!

No siempre se trata de mejorar los resultados de las páginas propias o la de los clientes que paguen por ello. A veces, el encargo es más siniestro: rebajar el ranking de la competencia, o incluso dejarla fuera de este juego.

Tal vez el método mñas sencillo sea echar a la competencia del buscador, así que bastaría con aprovechar las vulnerabilidades de la página para llenarla de cosas de esas que los buscadores no perdonan y que pueden ser motivo de exclusión de las páginas de resultados. No sería la primera vez que una página es baneada por contener enlaces invisibles a sitios de venta de fármacos que “alguien” dejó caer por allí para que fueran encontrados por el detector de Black SEOs de los buscadores. ¡Qué ironía!

Phishing

Un ejemplo de técnica que ha sido usada para ello es la duplicación de contenidos. Es frecuente que los buscadores presenten unos cuantos resultados y, tras ellos, un mensaje indicando que había más páginas para la consulta, pero que eran muy similares a las ya mostradas, por lo que han sido obviadas. Los buscadores, en su proceso de indexado, detectan los contenidos duplicados y, en su caso, determinan cuál o cuáles de las páginas se van a mostrar en los resultados.

Desde el punto de vista del usuario, este comportamiento suele ser aceptable y deseable: ¿para qué voy a querer leer varias páginas, si en todas pone lo mismo? Pero ¿y para los propietarios de sitios? Un atacante no pierde nada por probar a duplicar el contenido de su víctima y, sin embargo, ésta puede quedar relegada al obstracismo. En su día se habló mucho de las redirecciones 302 como forma, muchas veces incluso sin mala intención, de robar la posición en los buscadores a otras webs.

El objetivo de realizar un phishing a una web también puede ser, simplemente, recibir visitas para poder calzarles publicidad. O a saber para qué otro malévolo fin. Para ello es habitual el uso de los famosos dominios misstyped: esos que se parecen a dominios muy conocidos, pero con algún error de escritura, como los “famosos” googel.com, microsotf.com, etc… En el tema de los blogs hemos visto cosas curiosas, como sitios alojados en blogsOPt.com en que se dedican a copiar, más o menos, el contenido de otros de blogsPOt.com, pero incluyendo un bonito banner publicitario. Si alguien se siente cómodo con esta forma de navegar, puede hasta hacerse cliente asiduo de la falsificación. Como ejemplo, se puede leer El lado del mal en este sitio con total tranquilidad.


Figura 26: El lado del Mal con publicidad, el Maligno es un vendido.

Jugar al Monopoly

Otro campo de batalla son los sistemas de publicidad con pago por clic que algunos buscadores, como Google, ofrecen. Las páginas de resultados suelen contener un apartado de “enlaces patrocinados”, de gente que paga por salir ahí. Los anunciados pagan al buscador una cantidad determinada de dinero cada vez que alguien hace clic sobre su anuncio.

En el caso de los AdWords de Google, es el propio anunciado quien decide cuánto va a pagar por clic y el buscador es quien decide qué anuncios pone, en función de la cantidad pagada y de la “popularidad” que tenga el anuncio, entre otros criterios.

Hay quien usa redes de bots para realizar clics fraudulentos en estos anuncios. A veces, en los propios, con objeto de hacerlos subir en el ranking a pesar de pagar por ellos una cantidad mínima. Pero en otras ocasiones se trata de causar daños a la competencia. Así, si ésta no ha puesto un límite razonable a sus inversiones en publicidad, es posible causarle un grave perjuicio económico a base de clics automáticos. Si, por el contrario, sí ha establecido dicho límite, se puede realizar el bombardeo de clics en un horario en el que apenas haya potenciales clientes navegando, agotándole todo el saldo para el resto de la jornada.

En ambos casos, se puede conseguir que los anuncios propios sean vistos por los potenciales clientes, a pesar de pagar menos por clic que los competidores, a quienes se puede terminar haciendo abandonar un sistema de publicidad que no les es rentable.

Otros Tips & Tricks

Los últimos comentarios de esta serie dedicada a los SEO de poca rectitud moral tratan sobre aquellos que buscan la fama, pero no quieren sufrir por ella y utilizan algunos trucos menores para conseguir el tan ansiado reconocimiento, o, al menos, aumentar las deseadas visitas.

Duros a cuatro pesetas

Dice una de esas sabias frases del refranero español que nadie da duros a cuatro pesetas. Si eres demasiado joven o no has nacido en la tierra de Cervantes, tal vez te suene raro, pero entenderás el significado si descubres que nuestro famoso duro, de los que el Maligno tuvo uno alojado en el estomago durante meses, era una moneda que tenía un valor de 5 pesetas. Si trasladamos este refrán al asunto del pagerank de las páginas web, habría que rescribirlo de la siguiente manera: “Nadie da links con pagerank 5 por links de pagerank 4”.


Figura 27: Un duro, o 5 pesetas, de la época del Naranjito

Es muy habitual que los buscavidas de la web 2.0 envíen amables mensajes en los que proponen intercambios de links a los propietarios de otras páginas. Sobre todo, si éstos últimos gozan de un pagerank superior al suyo. Para ello, dentro de su sito crean una llamada “Enlaces”, “Links”, “Amigos”, o cualquier otro eufemismo. Como es de suponer, el número de links de entrada en esa página, que sólo contiene enlaces, suele ser muy pequeño y, por tanto, tendrá un pagerank bajo. Sin embargo, ellos buscan que tú pongas su link en páginas principales, de mayor pagerank. Un truco sencillo y elegante con el que es fácil engañar a quienes no conocen bien el negocio.


Figura 28: A este casi le engañan…

Astroturfing

Decía Julio Cesar que hay que elegir bien los enemigos y las batallas. Uno sólo puede ser tu enemigo si eres digno de ello. Así, personajes como el Joker, Doctor Doom, Magneto, Lex Luthor o Cráneo Rojo son casi tan famosos como sus antagonistas de almas puras, nalgas prietas y mallas coloridas. Si puedes hacerte un nombre por ser el antagonista de alguien con muchas visitas, tal vez consigas ser un tipo famoso. Con este ánimo, u otro similar, el día 7 de Octubre de 2009 alguien publicó unos comentarios a un post en El Lado del Mal, con bonitos “anuncios publicitarios” e incitaciones a hacer cosas malas, y en los que se decían cosas muy malas del Maligno y de su pobre mamita (ayloviumami!).


Figura 29: “Anuncio publicitario” en los comentarios de El lado del Mal

Sorprendentemente, unos días después apareció el corolario a este anuncio en forma de post en la web del supuesto “anunciante”.


Figura 30: Corolario publicado el día 20 de Octubre de 2009

Después de este sentido segundo post, se puedo comprobar que había sido una suplantación intentando simular un ataque Astroturfing.

Referencia pero no enlaces

Éste es un truco muy divertido y muy común en este mundillo: Alguien hace una copia de algo y pone la referencia a sus fuentes indicando la URL en formato texto, pero no pone un link. De esta forma cumples con la letra del buen rollo entre los habitantes de la web 3.11 para masturbación en grupo, pero no con el espíritu. Y, por supuesto, tendrás siempre pocos links salientes de tu sitio.


Figura 31: el Link en texto

Referencia, enlaza pero con Nofollow

Otra forma de conseguir el mismo efecto consiste en incluir un link con el atributo Nofollow, que sirve para indicar a los buscadores que deben ignorar la existencia del enlace a la hora de hacer sus cuentas. Con ello se evita aportar pagerank a las páginas a las que se enlaza.

Este atributo se usa habitualmente como medio de la lucha contra el spam en comentarios y en posts en foros. Si no consiguen ningún aporte de pagerank, el trabajo de los spammers resultará inútil y poco rentable. Sin embargo, hay que poner cuidado en no usar también este modificador en los links que apunten a nuestras propias páginas...

Comentarios en otra ventana

Así como hay quienes ponen los enlaces intercambiados en otra página con menor pagerank, hay blogs y sistemas de noticias en que los comentarios están en páginas distintas de las entradas que los originaron. De ese modo, se evita que el pagerank de tu sitio sirva para alimentar a otro a través de un comentario. Sí, es posible que sea más incomodo y menos útil para el lector, que tiene que navegar hacia los comentarios cuando lee una noticia, en vez de tener toda la información compilada en el mismo sitio. Pero evita los spammers y protege tu pagerank. No lo hagas nunca con El lado del Mal que lo pinta todo en la misma página.

Duplícate

Es curioso como una gran mayoría, si no todas, las noticias de ciertos blogs acaban siempre en los sitios de meneo de noticias. Estas noticias se supone que deben ser dadas de alta por diferentes usuarios y que el karma de estos usuarios cuenta, así que, de la misma forma que has evolucionado tu Mago a nivel 54 del WOW deberías tener 5 o 6 usuarios con más karma Earl para conseguir que todas tus noticias acaben en esos sitios. Algo de visitas siempre te caerán.

Pesado

Por último, con el objetivo único de conseguir dar por saco a todo el mundo con tus webs, es posible crearse una herramienta gratuita y llenarla de publicidad, como el caso de la FOCA, o escribir quincenalmente una newsletter como el Technews para bombardear los buzones de los suscritos con los dichosos Hands On lab o publicar los links de los mismos eventos una y otra vez en todos los lugares posibles.


Figura 32: Publicidad en la FOCA con link a Metashield Protector

Last words

Viendo en lo que se ha convertido esto y todo lo que está en juego, tal vez habría que pensar en tunear, cambiar, evolucionar o pensar en algunas nuevas formas de evitar estas degeneraciones. No seremos nosotros quienes aportemos las soluciones al tema, que bien lejos queda de nuestras habituales ocupaciones.

En cualquier caso, está claro que el mundo de la ciberdelincuencia se profesionaliza cada vez más. Desde hace tiempo se viene hablando de la rentabilidad del malware y de las redes de bots. Pero el problema no se limita a los ordenadores de los usuarios finales, sino que afecta también a los servidores.

En muchas ocasiones hemos oído preguntas como “¿Quién va a querer atacar mi web, si yo no soy importante?” o “¿Qué van a conseguir con ello, si no tengo datos sensibles?”. Ahora tenemos, al menos, una respuesta: si es vulnerable, algún SEO de mala calaña la atacará para llenarla de enlaces y redirecciones, posiblemente a páginas que dicen vender Viagra y otros fármacos. Y, de camino, echará por tierra tu imagen como empresa u organización.

La pregunta que queda en el aire es… ¿se puede hacer algo para cambiar el sistema de rating o debemos seguir con este juego?

**********************************************************************************************
- Técnicas SEO para gente de moral relajada [I de VI]
- Técnicas SEO para gente de moral relajada [II de VI]
- Técnicas SEO para gente de moral relajada [III de VI]
- Técnicas SEO para gente de moral relajada [IV de VI]
- Técnicas SEO para gente de moral relajada [V de VI]
- Técnicas SEO para gente de moral relajada [VI de VI]
Autores: Chema Alonso & Enrique Rando
**********************************************************************************************

domingo, noviembre 29, 2009

El Juego de Gerald

Con el amanecer del sábado, y tras un viernes de parón obligado por enfermedad, he tenido el repunte imaginario de mejorar de la enfermedad que me tiene jodido. Sin embargo, al llegar la tarde noche he vuelto a recaer en el mismo malestar y me he quedado sin moverme en el sofá. No tenía la tele encendida, no tenía el ordenador en las manos, sólo he permanecido tumbado y descansando, con la mente vagando por las tareas pendientes y la mirada fija al frente.

En ese momento me encontraba centrado en que tengo que acabar de cerrar el guión de la charla del DISI sobre Mitos y Realidades del Hacking. Un tema curioso, con tantos puntos de vista, tantas vertientes posibles de análisis que me tiene un poco preocupado. Necesito pensar sobre ese tema, llamar por teléfono a los compañeros, coordinar cosas, pero el malestar era tan grande que no quería mover ni un músculo. Sólo mirar al frente. Mirar al frente, ahí, donde tengo mis libros tochos de pasta dura ¿Cuánto tiempo hacía que no me fijaba en ellos?

Ahí estaba, por supuesto, el tocho de los Pilares de la Tierra, o Insomnia de Stephen King. Bueno, de ese tipo hay un cerro, fíjate, La tienda, El retrato de Rose Madder y… Tommyknockers. También está IT, Pesadillas y Alucinaciones, Las Dos después de la medianoche, Carretera Infernal… uff, cuantos de Stephen King, incluso los del pseudónimo. ¿Cuántos libros tendré ahí? ¿Más de 100? No sé, pero estaba La chica del Tambor de Le Carré, o los de Tom Clancy, jé, lo que disfruté con las aventuras frenéticas de este psicópata de los desastres armados americanos, Peligro Inminente, Pánico Nuclear, La Caza del Octubre Rojo, (Jack Ryan rulez!). Joder, todos estos libros ahí en frente. Pero hay muchos más, no me he leído todos, pero sí la gran mayoría, ¿de qué iba ese de Dean R. Koontz de Ojos Crepusculares? ¿Es el de la chica que veía el futuro? ¿Los asesinatos del futuro? Mira, está también el de Fuego Frio, Fantasmas (Ben, estuviste cojonudo en esta peli!), Escalofríos…joder, casi parece que tengo la colección completa. Joder, algunos de esos libros hace más de 15 años que me los leí, pero de la mayoría, si no todos, han pasado más de diez años desde que pasé mis ojos por todas las letras escritas en esos papeles.

La de horas que he disfrutado leyendo en el parque, cuando era un adolescente medio solitario, con dificultad para relacionarme con la gente. Horas leyendo al sol, leyendo a la salida del instituto, en la cafetería donde iba a estudiar, en el banco debajo de los soportales mientras sacaba a mi perrillo a que paseara. Esto llegó a ser enfermizo aquel verano que aprovechaba los descansos de mi trabajo de albañil en la obra para leer libros sobre un palé de ladrillos, con el casco y el mono roto ¡Vaya imagen debía dar a los compañeros!

Mira, también tengo de John Grisham, de Peter Straub, y ese de ahí… vaya, Robert Ludlum, je, lo que me reí con la Carretera de Gandolfo y el hermano borrachín cantarín gemelo del papa. La carretera de Omaha, El caso Bourne… sí, también me dio por él una temporada según parece. Y como no… los de Frederick Forsyth ¡Qué emoción con Chacal! ¿y el de los Perros de la Guerra? Mercenarios a casco porro, vendidos, en comandos. También está el de Odessa, el Cuarto Protocolo… Reconozco que me gustaba el rollo conspiracy de este tipo.

¿Qué tengo en esa otra balda? Ah, claro, Star Wars, no podía ser de otra forma, está el tomo que compré en Círculo de Lectores con la trilogía original, La Nueva Rebelión, Ala-X, en fin, un poco de todo. Como no, el rollo médico también abunda por aquí con Robin Cook y su Coma y ese alargado del Falso Dios. Ahora que lo pienso el protagonista de El Falso Dios tenía algo de Dr. House. Sólo algo, no tenía su sentido del humor.

A ver que más.. Patricia Highsmith, Mary Higgins Clark, y.., ese que está por ahí es... sí, ese pequeñito sin sobrecubierta es el de Los ojos del dragón que compré en la cuesta de Moyano. El cuento que Stephen King le regaló a su hijo. Lo que lloré con la historia, y la de veces que me imaginé así, construyendo mi futuro quitando hilos de servilletas. Constancia, constancia para construir las herramientas que me permitieran ocupar mi lugar en el mundo, como el hijo del rey. Qué bonita metáfora para estos tiempos. Alguien me dijo que en la construcción del héroe, y en la infancia de la mayoría, la orfandad o el desarraigo de los padres es una constante. Como en ese libro, o como Luke Skywalker o Moisés. Pero yo no suelo analizar tanto, simplemente me metía en la historia, la leía, la vivía, la devoraba.

La Lectura, mi amiga y compañera de siempre. Un colega de i64 me dijo que leer es vivir más por el mismo precio. No sé si la frase es suya o es prestada, pero me parece muy acertada. ¿Dónde tendré los libros de los autores españoles? Los de Reverte, Andreu Martín, Eduardo Mendoza, esos que tanto me han gustado. Los debo tener con los libros de pasta blanda, claro. Aps, pero mira, ahí tengo el Jack Jacaré en Piratas y el de Negreros, de Vázquez Figueroa. Dios, como llegue a divertirme con la piratería y como llegué a sentir nauseas leyendo y oliendo, y sintiendo el ahogamiento de los esclavos encadenados vivos siendo lanzados hacia el fondo del mar para que los negreros pudieran escapar. Celeste Heredia, la capitana.

Y ese de ahí… El Juego de Gerald… dios… “El Juego de Gerald”. Cuanto me impactó la historia, y que paradoja verlo en ese momento. Tirado, sin poder moverme, como la amante de Gerald, esposada y desnuda abierta de piernas en la cama, mientras Principe venía a visitarla. Me siento igual, tengo que acabar de pensar en la charla: “Mitos y Realidades del Hacking”.

Ese es mi Príncipe… ¿De qué debo hablar para que Príncipe se coma a Gerald, sí, ese de los carrillos rechonchos que está tirado en el suelo, en pelotas, medio erecto, en lugar de comérseme a mí? ¿Alguna sugerencia… "lectores"? Los comentarios los leeré mañana que tengo un libro esperándome en la mesilla de noche.

Saludos Malignos!

sábado, noviembre 28, 2009

RootedCON: Fechas y ubicación

Las personas de la organización de la RootedCon han desvelado dos de las incognitas que nos tenían ocultas: Las fechas definitivas y el sitio donde tendrá lugar la cita.

Serán los días 18, 19 y 20 de Marzo de 2010 en el Centro de Convenciones Mapfre situado en el Edificio MAPFRE VIDA, Avenida General Perón, 40, Madrid (España).


RootedCon: Fechas y Ubicación

Esto empieza a calentarse, así que reservate las fechas de ese puente de San José que está mejor imposible. El día 18 es un jueves perfecto para tomárselo libre, el viernes 19 es fiesta y el sábado 20 fin de semana. Así que te organizas, te compras la entrada con tiempo [si ponen precios especiales para los que se compran la entrada antes, mejor que mejor, que los que somos precavidos lo agradeceremos] y te lo pides todo como regalo de Papa Noel, Reyes Magos, como regalo de San José, por el día del padre, como regalo de cumpleaños o de aniversario de novios y te plantas tres días a ver a los mejores crashes del panorama nacional de seguridad. ¿No hay ganas ya?

Saludos Malignos!

viernes, noviembre 27, 2009

Imputado por un DDOS a El Hacker.NET

Los piques entre hackers han sido famosos a lo largo de la historia, pero es supongo que es normal. En los inicios se consideraba esto como una batalla entre el administrador de sistemas y el hacker, que quería saltarse las limitaciones que este le imponía. Recuerdo que en la universidad, cuando estábamos limitados en nuestra cuenta UNIX de aquel servidor llamado Albeniz, el objetivo era saltarse como fuera las restricciones que nos imponían. Acceder a correo externo, acceder a ficheros que teníamos prohibidos, etc… y, desde luego, marcar todas las diferencias posibles entre los users y lusers, haciendo las putadas que nos parecían interesantes al resto de los participantes de la red, aunque eso… también estaba prohibido y castigado con la clausura de la cuenta. Pero bueno, siempre se podía usar una de esas cuentas que tenías crackeadas ya en esos sistemas que inicialmente no tenían ni salting.

Este tema, en una web dedicada a la seguridad informática con el título de El Hacker.NET y en la que hay miles de usuarios es de imaginar que el asunto de los piques se dispare entre ellos. Así, ha habido muchos intentos de hackeo y ataques DOS y DDOS a la web. Algunos han sido persistentes y realizados por alguna botnet de buen tamaño con lo que la única solución que ha quedado ha sido el análisis de un bot, detección del panel de control, e identificación del atacante.

En esta línea de trabajo ya hay bastante conocimiento generado, desde el análisis forense de los bots, hasta la ya de moda disciplina de robar la botnet completa, como forma de competencia o para su autodestrucción, como hacen muchos de los equipos que trabajan en la protección. Hoy en día, los cuerpos de seguridad del estado que luchan contra los ciber delincuentes deben estar formados, al igual que lo están los artificieros con las bombas, en la desactivación de botnets. La importancia de que nuestros cuerpos de seguriad estén especializados y formados en esta disciplina es altamente importante a la hora de proteger las infraestructuras críticas, ya que muchas pueden ser accedidas vía Internet y, con la llegada de la Ley de Acceso, el e-DNI y la e-Administración es importante que el gobierno esté preparado contra la amenaza que suponen las botnets.

Esta es una disciplina que se puede contratar en algunas de las empresas de seguridad dedicadas al malware y que a veces utilizan sistemas tan sencillos como el de proporcionar firmas adecuadas de los bots a las empresas de antivirus consiguiendo, si no la desaparición total de la botnet, al menos la reducción drástica de los bots.

Al final, tras una pertinente denuncia, la cosa puede terminar como en el caso de este joven canario que, gracias a que no es mayor de edad y no tendrá antecedentes penales, se va a quedar la cosa en un susto, una buena multa, y poco más.


Un menor de edad imputado en un ataque masivo contra el sitio 'ElHacker.net'

El amigo n3punto atacó con una botnet durante unos días para hacer un DDOS y llamó en un mensaje a todos los miembros de El Hacker.NET “virgenes de 16 años”. Esto es curioso, teniendo en cuenta la edad del susodicho. Esperemos, por el bien de todos y por el suyo propio, que n3ptuno utilice sus conocimientos para el bien, y que siga aprendiendo y enseñando todo lo que ya sabe para que se convierta en un gran profesional.

Saludos Malignos!

Si me pongo bien

Antes de daros la información me gustaría disculparme con todos los que fuisteis a Tenerife con la idea de verme dando la charla. Lo siento, pero una gripe estomacal que casi me lleva a la deshidratación me venció durante el día antes y me dejó en un estado tan lamentable que lo único que pude hacer fue pedir que me acompañaran al aeropuerto y tomar el siguiente vuelo a Madrid para venir al médico. Saldré vivo… y volveré a Tenerife para daros la chapa en otra ocasión.

Respecto a la semana que viene, si puedo ponerme a tono, os dejo la lista de eventos que tenéis disponibles.

30 [Madrid - Streaming] DISI [Día Internacional de la Seguridad Informática] 2009 *
01 [Madrid] Encuentros Cercanos en el Lado del Mal: el Mundo Hack *
01 [Madrid] Office 2010
02 [Madrid] Interoperabilidad de Oracle con plataforma SQL Server
02 [Huelva] Spectra Break
03 [Almería] Spectra Break *
03 [Bilbao] Gestión de Infraestructuras Microsoft

No son muchos, pero en la mayoría de ellos estoy por ahí, dando una charlita (los que llevan el *).

Saludos Malignos!

jueves, noviembre 26, 2009

Los amos del marketing

Cuando yo he hecho el gilipollas disfrazado de cualquier cosa y he salido eufórico, con ataques de risa, recordando o preparando las coñas, me lo he pasado de maravilla. Cuando después cuento las aventuras la gente me dice: “Oye, ¿de verdad se puede vivir haciendo estas cosas?”. Bueno, no sé si se puede vivir de esto o se vive de otra cosa y esto de hacer el ganso sólo es para disfrutar más el trabajo, pero me encanta.

Cuando grabamos los vídeos para la última gira de The Band, con el abuelo al bajo, el Cervi a las voces y el maligno en la guitarra solista, nos pasamos un par de días muertos de risa. Con los vídeos del análisis forense, el proyecto tecnicoless, el anuncio del té, cuando le rompí el huevo en la cabeza al asistentes o los de yo puedo ser inseguro pero tus comunicaciones no,… lo pasamos en grande. [Os hubiera puesto los links, pero están todos los videos tirados por este blog]

Pero algo tan profesional como esto… no puede ser. Yo no lo había visto en muchos sitios. La empresa Quest tiene uno de los mejores equipos de marketing que he visto en esto de la tecnología, por lo menos en España, y después del Quest Movies con el maestro Obi Vas Kenobi y los piques con Carles Martín por obtener la mejor telemetría no me esperaba esta respuesta tan contundente para hacerme reflexionar sobre cómo evolucionar en el mundo del marketing.

El video que vais a ver a continuación se grabó para un concurso de marketing interno de Quest: El Quest Idol, y en él, cada equipo de marketing tenía que conseguir promocionar el mensaje de los productos de Quest internamente. Los españoles quedaron segundos, detrás de los americanos pero quedaron los primeros en la categoría de Entertaiment.

El video es la polla, pero las risas que esta panda de cabrones se ha tenido que echar en las fases de “se me ha ocurrido que...”, “¿estás loco, como me voy a vestir así?”, “Carlangas, que con ese tupé te va que ni al pelo ese traje”, “yo tengo calcetines blancos”, “no, esta toma no vale, que cuando sale el dino me parto de risa”, “niña, que guapa vas”, "César, si tu no tienes tupé", “yo no me visto de niña buena ni de coña”, “joder, vaya letra me ha quedado”, "este traje me hace mucho culo", “Corta esta imagen”, “ya verás cuando lo vean”, etc, etc, etc… ha tenido que ser grandioso... Con este vídeo sois los amos. Enhorabuena.


Saludos Malignos!

miércoles, noviembre 25, 2009

IBWASC 09

Días después de que tenga lugar el DISI 2009 en la Escuela Universitaria de Informática, tendrá lugar, en el mismo ambiente, el congreso IBWASC 09 [Iberic Web Application Security Conference]. Este congreso internacional está centrado en seguridad y tecnologías web y tendrá un plantel de lujo.

En cabeza de Cartel estará Bruce Schneier, que parece que le gusta este país, pero además, entre otros, hay nombres de algunos que seguro que os suenan de aquí como Gonzalo Álvarez Marañón, Raul Siles que hablará de Samarui, Vicente Aguilera de OWASP Spain, Luís Corrons de Panda Security, Simón Roses de Microsoft o nosotros con nuestro CSPP. También hay hueco para charlas internacionals como la Justin Clark que hablará de SQL Injection, se presentará el OWASP Top Ten de 2010 del que ya nos hablaron en SecurityByDefault, hay una charla sobre Threat Modelling, etc...

La charla tendrá lugar los días 10 y 11 de Diciembre en Madrid y tienes toda la información y la agenda completa en la siguiente URL: IBWASC 09.

Saludos Malignos!

No Lusers en e-book

Ya lo hice tiempo ha, pero como pasó más de un año y algo desde la última recopilación y no tenía nada mejor que hacer, pues os he compilado todas las No Lusers chorradas en otro pdf. Así podéis llevarlo en vuestro lector de e-books, o podéis imprimirlo y leerlo en la playa, en el metro o donde cohones queráis (y suponiendo que queráis).

Este año mi producción ha sido menor, así que tiene menos páginas y, por tanto, menos textos explicativos de los chistes malos. Si cogiste el chiste inicialmente y no te hizo gracia, no veas lo que te vas a reir cuando te lo explique... En fin, que los he subido a slideshare y aquí quedan los dos.



Saludos Malignos!

martes, noviembre 24, 2009

Booking

Trabajar con los compis de I64 siempre es gratificante porque nunca para de aparecer una nueva idea, alguien que dice… "¿y si hacemos…?" Y ale, ya estamos embarcados en un nuevo reto hacking, una nueva herramienta, una nueva conferencia o una nueva putada para algún compañero al más puro estilo Haselhof. De una de esas ideas nació Marathon Tool, de otra la FOCA, de otra sale Apolo y de otras salieron los libros de Análisis Forense y el de la LOPD.

Si me hubieran dicho que a día de hoy íbamos a haber vendió ya la cantidad de 679 libros de las 2.000 unidades (1000 de Análisis Forense y 1000 de LOPD) que se han hecho, no me lo hubiera creído. Es casi un 34 % del total de los libros que tenemos en almacén. Los libros se pusieron a la venta el pasado 28 de Julio, es decir, aun no han hecho los 4 meses con lo que se han vendido unas 170 unidades cada mes.

La verdad es que la respuesta ha superado todas nuestras expectativas iniciales y nos ha dejado muy contentos y animados. No os emocionéis, de momento vamos a seguir con nuestro plan inicial de no sacar una segunda edición de estos libros cuando se acaben las 1.000 unidades, y con el ritmo previsto desde el principio, es decir, publicar sólo otros dos libros el año que viene. Informática 64 es un sitio donde hacemos muchas cosas que nos gustan y ser una editorial no era nuestro plan de negocio inicial.

Sin embargo, lo que si vamos a hacer, es preparar una oferta para estas navidades un tanto especial. La idea es premiar a los que compren los dos libros para regalarlos en Papa Noel o Reyes Magos, por lo que a partir del día 1 de Diciembre, si compras los dos libros vamos a regalarte en el pack una copia particular de un libro que también escribimos.

Este libro es de Aplicación del LOPD con tecnologías Microsoft del que ya os hablé en este post. Nosotros, como autores del mismo, tenemos unas 50 copias disponibles impresas. Este libro ya se lo regalamos a los ponentes del Asegúr@IT Camp! y a los participantes del Curso de Verano de la Universidad de Salamanca, entre otros. Está disponible en formato electrónico si lo quieres y te lo puedes bajar, pero esta edición es en cartoné, con sobrecubierta, cosido con hilo vegetal, etc… vamos, una chulada de libro si te mola esto del papel y la tinta como a mí. Sabes que eres un enfermo de esto si sientes el necesario impulso de meter la nariz entre el papel de un libro para saber cómo huele…

El caso es que la oferta se va a poner el día 1 de Diciembre en la web y será sólo para los 50 primeros que lo pidan, así que, para tener un gesto con vosotros, fieles crápulas del lado del mal, os voy a dar una semana de adelanto con respecto a los demás. Durante esta semana, si compráis los libros y ponéis en las observaciones LIBROPORLAPATILLA, os llegarán los tres ejemplares. Este hecho os lo confirmarán por e-mail, no vaya a ser que te hayas comprado los dos libros esperando que te llegue el libro extra y ya se hayan acabado, así, si no te gusta puedes anular el pedido.

Saludos Malignos!

lunes, noviembre 23, 2009

Técnicas SEO para gente de moral relajada [V de VI]

**********************************************************************************************
- Técnicas SEO para gente de moral relajada [I de VI]
- Técnicas SEO para gente de moral relajada [II de VI]
- Técnicas SEO para gente de moral relajada [III de VI]
- Técnicas SEO para gente de moral relajada [IV de VI]
- Técnicas SEO para gente de moral relajada [V de VI]
- Técnicas SEO para gente de moral relajada [VI de VI]
Autores: Chema Alonso & Enrique Rando
**********************************************************************************************

Cloaking

En la primera parte de este artículo se vio como algunas webs intentan subir posiciones en los buscadores presentando a éstos un aspecto distinto del que se ofrece a los usuarios finales. A esta técnica se le denomina Cloaking, o Encubrimiento y ha venido siendo utilizada, a veces incluso sin mala intención, por sitios con malas características de indexación.

Google y Bing persiguen esta técnica, eliminando de sus bases de datos a los sitios que la utilizan. Para evitar ser detectados, los más finos Black SEO utilizan páginas cloaked y no cloaked con los mínimos cambios posibles, es decir, con el menor impacto de contraste, consiguiendo así reducir su exposición a los procesos automáticos de reconocimiento que utilizan los buscadores.

Para los SEO-Hackers, el cloaking tiene otra ventaja: pueden hacer que las modificaciones que realizan en sitios web vulnerados sólo sean visibles para los buscadores y pasen desapercibidos para los administradores de estos sitios y aquellos que podrían reportarles los problemas de seguridad.

Si se consigue que el ataque no sea detectado se conseguirá mantener el sistema controlado mucho más tiempo. El atacante puede tener, al más puro estilo rootkit, troyanizado un sitio web durante mucho tiempo si se realiza un ajuste fino de la configuración.

Es decir, no sólo permite que la página web sea indexada a gusto del Black SEO y le permita mover el pagerank de la web vulnerada hacia sus clientes, sino que ayuda a dificultar que los administradores de un sitio web vulnerado descubran que están siendo controlados.

A la hora de configurar el cloaking se pueden utilizar diferentes sistemas, permitiendo al atacante tener, al más puro estilo rootkit, troyanizado un sitio web durante mucho tiempo si se realiza un ajuste fino de la configuración.

Cloaking por User Agent

Este es uno de los más famosos. Para ello se utilizan técnicas como HTTP rewrite que hacen que sólo se muestren los resultados si el USER-AGENT de la web es el del buscador seleccionado. Esto hará que si un administrador se conecta a la web con su navegador, de forma normal, no vea ningún dato significativo.

Si el administrador no está informado de estas técnicas es posible que no descubra fácilmente que su web ha sido vulnerada. Sin embargo, esta técnica es conocida por aquellos avezados en seguridad y por tanto, es común revisar las webs, sobre todo en auditorías de seguridad, utilizando el USER-AGENT del bot de Google. Pero a veces no es suficiente.

Un ejemplo curioso de este tipo de ataques se puede ver en la web de McYadra.com. En ella, basta buscar a través de Google SEX en su sitio y aparecen más de 3.500 resultados. No es difícil de adivinar que no fueron puestos ahí por los legítimos propietarios del dominio.


Figura 21: 3.500 páginas con el término SEX en McYadra.com

Sin embargo, si se intenta acceder a ellas se obtiene un error de “Página no Encontrada”.


Figura 22: Error 404 si vienes con el USER-AGENT del Bot de Google.

Lo mismo ocurre si se prueba con el USER-AGENT del bot de Google. ¿Es que las páginas realmente no existen? Entonces... ¿Cómo podría Google indexarlas? ¿Quizá figuran en la caché aunque ya fueron eliminadas?

La respuesta es que las páginas sí están allí. Para comprobarlo, basta con cambiarse el valor del USER-AGENT al del MSNBOT.


Figura 23: Cambio de valor USER-AGENT en Firefox

Y volver a intentar acceder a las páginas que generaron dichos resultados en Google. Efectivamente, siguen estando ahí, donde el bot del buscador las encontró en su día.


Figura 24: Páginas accesibles con el bot de Bing

¿Cómo lo han hecho entonces? Pues afinando mucho más los resultados y añadiendo alguna capa más de cloaking para ocultar sus páginas mucho mejor ante cualquier visita no deseada.

Cloaking por HTTP-Referer

Otra de las técnicas para reforzar la protección de los sitios vulnerados es realizar el filtrado mediante el HTTP-Referer. Este campo Http indica al servidor desde qué página se ha llegado a la página actual.

En muchas de las páginas vulneradas no sólo se busca el posicionamiento mediante la preparación de resultados especiales para el bot sino que, además, se prepara una página con toda la riqueza de anuncios para el visitante si este viene desde un link en el buscador. Es decir, se comprueba el valor del campo Referer y si viene, por ejemplo, de Google con una cadena de búsqueda concreta… se le muestra una bonita página con anuncios relativos a la búsqueda realizada.

En muchos sitios afectados, se prepara una página para el bot del buscador y otra para los navegantes que vienen desde el buscador.

Cloaking por IP Delivery

El IP delivery, o entrega de páginas diferentes en función de la IP de origen de la petición, está permitido por los buscadores. Esto es así, porque incluso ellos lo utilizan para entregar sus propias páginas intentando reconocer los países o idiomas. Google lo usa, entre otras cosas, para la configuración de sus logos personalizados.

En el caso de Cloaking, basta con hacer que sólo se entregue la página cloaked si viene con el USER-AGENT de Google y sólo si viene de una de las direcciones IP utilizadas por el Bot de Google. Estas pueden ser consultadas en varios sitios, como el siguiente fichero: GoogleBots IPs


Figura 25: Rangos de IPs usadas por los bots

Esto permite que se consiga el mismo objetivo pero haciendo al administrador mucho más complejo detectar que está siendo vulnerado.

Reflexiones sobre Cloaking

En el caso de McYadra, tras analizar estos resultados parece posible que se esté realizando un Cloaking por USER-AGENT, permitiendo sólo al bot de MSN-Bing, y al Bot de Google, si este viene de una de las direcciones IP conocidas y usadas por el Bot.

Por supuesto, para hacerlo todavía más difícil de detectar, los archivos que se muestran a los clientes no se encuentran alojados en el servidor de McYadra.com sino en un tercero controlado por el Black SEO y que nunca entrega sus páginas directamente a ningún bot de buscador. Esto hace que lo que haya que cambiar en la web de la víctima sea muy poco y que los ficheros que se cargan estén ocultos ante búsquedas directas. En resumen:

Si el que solicita la página es el bot de Google desde una IP válida del bot o el bot del MSN, entonces se entrega una página con información cargada desde un servidor vulnerado y oculto. En cualquier otro caso: 404-Not Found.

Como se puede ver, el afinamiento a que puede llegar un sistema de Cloaking, puede convertirlo en un juego del gato y el ratón, en el que el Black SEO prepare las webs de tal forma que sea muy difícil de detectar por los controles anti Black SEO implantados por los motores de búsqueda.

**********************************************************************************************
- Técnicas SEO para gente de moral relajada [I de VI]
- Técnicas SEO para gente de moral relajada [II de VI]
- Técnicas SEO para gente de moral relajada [III de VI]
- Técnicas SEO para gente de moral relajada [IV de VI]
- Técnicas SEO para gente de moral relajada [V de VI]
- Técnicas SEO para gente de moral relajada [VI de VI]
Autores: Chema Alonso & Enrique Rando
**********************************************************************************************

domingo, noviembre 22, 2009

¿Quién no ha discutido por...

si éste o este otro es el mejor guitarra de rock o sobre si fue mejor Valdano que Kempes o si la mejor película de Tarantino es Pulp Fiction o Reservoir Dogs?

Nos ecanta discutir, sobre casi cualquier cosa, pero, cuando estás hablando de nosotros, los freaks, las discuisiones pueden salirse de madre.


Conozco a gente que es capaz de discutir en élfico o resolver quién paga las cervezas al estilo pirata o con consursos de repetir los nombres de todos los compañeros que ha tenido Conan por orden alfabético. Esto puede ser real.

Y por supuesto, no discutas con un freak nunca sobre que sistema operativo es mejor...

Saludos Malignos!

sábado, noviembre 21, 2009

Ser una estrella trabajando en seguridad

En el plazo de días que llevo fuera de España me he encontrado con dos noticias de hasta dónde puede llegar la celebridad de la gente que trabaja en seguridad.

La primera de ellas fue la consulta popular del periódido El Progreso en la que se buscaba a los más chupi guays del año en diversas categorías y, en una de ellas, en la de Personaje del año de Lugo, se encuentra nuesto amigo y compañero Ángelo Prado. Sí, el que hizo la demo esa del XSS con el Firefox y el Gmail.


Vota por Ángelo

Yo, por supuesto, le he votado, porque los otros es que no sé quiénes son...

La segunda de las noticias que me ha llamado la atención es la de que una empresa se está dedicando a hacer figuras de acción de personajes famosos y han hecho una de Bruce Schneier.


Cómprate un Bruce Schneier para tu Barbie

Toma ya, para que no se diga que no se puede ser una estrella con esto de dedicarse a la seguridad informática. ¿Para cuando un peluche del Maligno?

Si ya se pudiera ligar, este trabajo sería una bicoca y los pobres delfines se quedarían sin cuidadores....

Saludos Malignos!

viernes, noviembre 20, 2009

CONFidence VI Edition - Warszawa 2009

El primer día de la conferencia terminó y nosotros ya dimos nuestra charla. Fue, por suerte, la primera del track de Web & Database Security. Por suerte, me hicieron caso y nos pusieron la charla el primer día y lo más pronto posible, que a nosotros nos gusta librarnos pronto del estrés que supone preparar una charla en inglés y que todo funcione.

En la conferencia ha sido una sorpresa encontrarse a un compatriota de Castellón viviendo aquí y trabajando para un empresa en Irlanda. ¡Las vueltas que da la vida, coño! y lo que mola encontrarse en tierra extraña a uno de los nuestros. Al final, junto a Leonardo, de S21Sec, que se está dando la vuelta a todo el mundo con su charlita de jugar con los satélites, hemos juntado parejas para jugar al mus. ¡Qué digo parejas! Si al final el abuelo ha conocido a dos profesoras de Zaragoza y Cataluña en el Jacuzzi del hotel. Si este mundo cada día es más pequeño y hay un españolita por cualquier rincón de la tierra.

También tuvimos la suerte de conocer a uno de los cerebros polacos que nuestro amigo Berando Quintero tiene con teletrabajo en este país. Hipasec.pl, el abuelo y yo nos tiramos esta foto para el recuerdo, con la camiseta del VirusTotal (¡Toma cuñita publicitaria desde la CONFidence Julito!)


El abuelo y yo con Gynvael Coldwind, de Hispasec ¿.pl?

Nuestra charla salió con sufrimiento, debido a que el cañón no soportaba la resolución de la máquina virtual de las demos y tuve que sudar sangre para moverme por ella. Además, con todos los scanners, todos los motores de bases de datos, el IIS y el Apache, con su .NET y su PHP, la pobre estaba un poco saturada y he tenido que hacer todo con mucho cuidado, pero... con paciencia y saliva...

Como hay que dejar las diapositivas para los asistentes por ahí, pues la he subido a mi SlideShare, ahora que aun estoy consciente, que esta noche tenemos cena y fiesta. La suerte ha querido que nosotros fueramos los primeros de nuestro track y ya estemos libres. ¡Qué suerte!, ¿verdad?

Saludos!

jueves, noviembre 19, 2009

MetaShield Protector: Premio a la Innovación 2009

Vaya, hay una fiesta y una comilona gratis y voy y me lo pierdo... en fin, todo sea por defender el orgullo patrio en la lejana Polonia donde nos estamos calando hasta los huesos.

Esta vez la fiesta venía a razón de los "Trofeos de la Seguridad TIC 2009" que entrega la revista Red Seguridad desde hace 4 años. Y este año le han dado una nuestro querido MetaShield Protector. Para ser concretos, el premio ha sido a la Innovación Tecnológica.

¿Fama, Gloria, Sexo? No es lo que busca un Jedi, pero que te den un premio a la innovación en tu país mola. Tal y como suele suceder uno espera que le den un premio por ser el primer producto que hace algo como esto antes en el extranjero que aquí. Ya sabéis que nadie suele ser profeta en su tierra, pero ya ves, que bien, nos dan un premio del sector de la seguridad y en España. El premio, en la nota de prensa oficial, reza como sigue:

A la innovación

El trofeo a la "Innovación en Seguridad TIC" fue para la empresa Informática 64, por su software “Metashield Protector”, que de forma automatizada y controlada por el administrador del servidor Web, es capaz de evitar la fuga de información. Informática 64, recibió el trofeo de parte de Emilio Aced, Emilio Aced, subdirector general de Ficheros y Consultoría de la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM).

El premio lleva asociado el reconomiento del sector, con lo que estamos muy contentos y nos anima a seguir currando en este camino. Buscando nuevas vías de romper las cosas para vender las soluciones.

Saludos Malignos!

Si quieres ser de provecho...

Mientras que yo estoy pasando frio y "sufiendo mucho" en Polonia con el abuelo, os dejo aquí la lista de cursos y eventos a los que puedes asistir durante esta semana para mejorar tus skils. Recuerda, hay que estudiar si quieres ser un hombre de provecho, así que a aprender, que hay cosas chulas que aprender y cerca de todos, porque en el peor de los casos te puedes hacer un Webcast.

Los Hols estárán en Pamlona con Juan Gárrido "Silverhack" que impartirá los hols dedicados a Análisis Forense. Todos los que hagan el track completo, es decir los tres HOLs de Análisis Forense, recibirán de regalo el libro escrito por él mismo de "Análisis Forense Digital en entornos Windows", y los asistentes al HOL Seg-33 recibirán el libro de "Aplicación de medidas técnicas y organizativas para la implantación de la LOPD en la empresa".

En Madrid estarán los Hands On Lab, dedicados a MOSS 2007, los últimos antes de pasar a MOSS 2010 en Enero y a MS SQL Server 2008. Además, el Mobility Show pasará por Madrid-Barcelona mientras que Biztalk 2009 tendrá su hueco en un evento en Madrid. En Sevilla, llegará por primera vez el ISMS Forum, con un evento dedicado a los responsables de seguridad.

Mientras tanto, la guerrilla comanche irá con el Innovation Tour y el Developer & Design Tour a las Islas Canarias, para terminar lo más calentito posibles.

La agenda, día por día, es la siguiente:

Lunes

23 [Pamlona] HOL-WS704 Implementación de MS Windows 7
23 [Madrid] HOL-SQL29 MS SQL Server 2k8. Gestión del SGDBR
23 [Madrid] HOL-SPS13 MS Office Sharepoint Server 2k7. Up'n Running
23 [Madrid] Mobility Road Show

Martes

24 [Las Palmas] Innovation Tour
24 [Madrid] HOL-SQL30 MS SQL Server 2k8. Desarrollo
24 [Madrid] ALM Visual Studio 2010
24 [Pamplona] HOL-SEG03 Análisis Forense I. Malware en Windows

Miercoles

25 [Madrid] HOL-SQL31 MS SQL Server 2k8. Business Intelligence
25 [Madrid] HOL-SPS11 MS Office Sharepoint Server 2k7. Workflows
25 [Madrid] Biztalk Server 2009
25 [Pamplona] HOL-SEG04 Análisis Forense II. Análisis de procesos
25 [Pamplona] HOL-WS705 MS Windows 7 en entornos corporativo
25 [Webcast] Cumplimiento legal en Exchange Server 2010

Jueves

26 [Tenerife] Innovation Tour
26 [Barcelona] Mobility Road Show
26 [Madrid] HOL-SQL33 Migración de Access a MS SQL Server 2k8
26 [Pamplona] HOL-SEG05 Análisis Forense III. Windows Logs
26 [Sevilla] ISMS Forum
26 [Santiago] Gestión de infraestructuras con Quest

Viernes

27 [Tenerife] Developer & Design Tour
27 [Pamplona] HOL-SEG33 Gestión de riesgos de seguridad
27 [Madrid] HOL-SQL36 Búsquedas federadas con MS Search Server 2k8

Saludos Malignos!

miércoles, noviembre 18, 2009

Mima a tu administrador/a de correo

Hace muy poco me he visto envuelto en una de esas típicas aventuras de consultoría de sistemas que todos los que trabajamos en esto “deseamos”. Son de esas en las que te meten y no sabes muy bien cómo vas a salir de ella. En mi vida tengo algunas curiosas que algún día, ya prescrita la consiguiente prudencia de tiempo, os contaré, que no tienen desperdicio.

Una de ellas, para la que estuve metido durante una semana, acabó con que tuve que tocar un clic en el equipo, y no toqué el servidor ninguna vez más. Sin embargo, como suele suceder en estas cosas me pasé una semana al más puro estilo House buscando síntomas, elucubrando hipótesis, diseñando pruebas para confirmar o rechazar la teoría, viendo los resultados realizados de las pruebas y volviendo a realizar nuevas hipótesis.

En aquel entonces la consultoría empezó porque el servidor de correo iba “lento”. Ese era todo el síntoma que tenía para empezar a trabajar y optimizarlo. Al final, tras el clic todo fue bien, pero os voy a dejar con el misterio hasta que decida contaros esa historia.

En esta ocasión el marrón no era mío, y el síntoma es otro de los más famosos cuando alguien gestiona sus propios servidores de correo electrónico: “A algunos buzones les entra mucho Spam”.

Hoy en día, para reducir el impacto del Spam, las reglas que se deben seguir en los servidores de correo Spectra Exchange, como era el caso, son bastante comunes. Lo primero, por costumbre, hacer los test de protección de Relay. Esto no es porque reduzca la entrada de Spam, pero no comprobarlo cuando estás con una consultoría que tiene de por medio servidores de correos es mandatory. Con Spectra Exchange es fácil, “permitir relay sólo para usuarios autenticados” y se acabó la broma.

Después nada, activar el IMF con unos rangos más o menos restrictivos, configurar Sender ID para validar los registros SPF [que deberías tener configurado], aplicar el filtro de reputación de servidores que genera un valor medio del servidor teniendo en cuenta el SCL y el PCL de los últimos correos recibidos, la activación de las RBLs, las menos hardcore si es posible, y añadir las excepciones con los filtros de remitente, de emisor o por bloqueos de IP.

Por encima de ello, lo mejor que se puede poner con Spectra Exchange es añadir el Spectra Forefront Security Server para Exchange que lleva n motores antimalware y los filtros heurísticos basados en el antiguo motor STAR [Spammer Tricks Analysis and Response] de la absorbida Sybari.

Y… poco más. En la versión de Spectra Forefront Threat Management Gateway 2010, es decir, la nueva versión de Spectra ISA Server, además, se puede poner toda esta carga de filtrado de conexiones SMTP en el firewall, lo cual es guay.

Pero si aun así te sigue llegando mucho correo… revisa tus logs. Si tu servidor está recibiendo 20.000 correos de Spam al día es que la has cagado en otra parte y no tiene nada que ver con tu servidor de correo.

Este era el caso de esta consultoría. La batalla era así, como suele suceder en estos casos. Si subes mucho las restricciones de los filtros, pierdes correos legítimos con falsos positivos, y si lo bajabas un poco, entra mucho Spam. No un poco, mucho Spam. Es la ley de los grandes números, si paras el 90 % del Spam, pero recibes 2.000 correos al día, te vas a comer unos 200 correos por día de Spam.

Y ¿qué hay que hacer para recibir tanto Spam? Pues muy sencillo, pónselo fácil a los que construyen las bases de datos para los spammers. Para ello responde las cadenetas, deja tu e-mail en cualquier foro, etc…

En este caso, la cagada había sido tan fácil como publicar los e-mails de todos los trabajadores de la empresa en la web usando el link mailto:. Estos links son los que buscan todos los crawlers de creación de bases de datos de e-mails. Sí, los hay más elaborados, otros buscan patrones cadena@cadena.com, con uno varios subdominios, o los que buscan dentro de formatos de ficheros, etc…


Email Crawler con la web de Renfe.es

Haciendo esto, el diseñador de la página web está diciendo algo como:

“Queridos spammers,

les autorizo que me manden toda la mierda que quieran a las siguientes direcciones de correo.

Firmado: El diseñador web”


Si esto no lo sabe el administrador/a de correo, es decir, que se están haciendo páginas web con direcciones de correo, le va a hacer mucha gracia empezar a recibir mucho Spam en todas esas direcciones de correo.

Diseñador web, pon algo tan fácil como un formulario, con un programita en el lado del servidor, sin SQL Injection, RFI, LFI ni demás cagadas, y ayudas a tu administrador de correo a ser mucho más feliz.

Saludos Malignos!

martes, noviembre 17, 2009

El proyecto Apolo

Aunque os pueda parecer mentira, el nombre de este proyecto no lo puse yo. Siempre suelo ser el que pone los nombres a las cosas, el que se inventa los palabros raros y decide que algo se llame MetaShield Protector, FOCA o Asegúr@IT, pero en este caso, no tengo nada que ver.

El proyecto Apolo si que parte de una idea mia, una idea que se me ocurrió al terminar de escribir el artículo sobre las Correos falsos en Gmail, Yahoo! y Hotmail. Dicho artículo termina con un algoritmo que se debería comprobar para, en uno de estos tres motores de correo, eliminar las carencias que tienen a la hora de comprobar la autenticidad de los mensajes que llegan.

- Hotmail no da sorporte a DKIM, lo que no me parece bien, pero hay que reconocer que es quizá el menos extendido y que para el futuro, el camino que seguirá será el de Mutual TLS, más que DKIM.

- Yahoo! no da soporte a SPF, lo que es algo bastante malo cuando se trata de algo muy extendido hoy en día.

- Gmail da soporte a medias a DKIM, ya que no tiene establecida la política de DKIM y, aunque implementa y comprueba SPF, luego no utiliza el valor de la comprobación. Fail total, que permite que entren correos en Gmail que jamás deberían haber entrado [y 2].

Conociendo estas carencias, y añadiendo un filtro de comprobación MX para identificar correos legítimos en servidores sin SPF ni DKIM, construimos un algoritmo para identificar en estos correos aquellos que son falsos. Eso es Apolo.

El nombre se lo puso mi compañero Joshua Saenz [MVP de Exchange Server], tras presentarlo por primera vez al público en la charla de los Diez años de Informática64 que dio sobre MS Exchange Server 2010, Quest Message Stats y el propio Apolo.

A día de hoy tenemos el proyecto en Beta, pero ya tiene cierto soporte para Gmail. Se instala sobre Internet Explorer 8, por supuesto, como un BHO (Browser Helper Object) y, como somos buenos y queremos que os fiéis de él el día que lo publiquemos, va firmado digitalmente.


Figura 1: Apolo instalado como complemento

Después, funciona automáticamente cuando estás en la bandeja de entrada de tu correo. El componente realiza las comprobaciones descritas en el algoritmo que describimos en la última parte del artículo y pone varios iconos de colores.


Figura 2: Icono rojo, en este caso Hardfail de SPF

El correo de la Figura 2, lo he enviado suplantando mi propia dirección de Informática64. En Hotmail no entra, en Yahoo! entra porque no hay soporte para SPF y en Gmail, a pesar de que recibe una alerta de SPF Fail, por su cara bonita lo casca en el inbox. Apolo detecta que es un correo falso y le pone "la cara colorada" al Gmail.


Figura 3: Icono verte, SPF Pass

Este es un correito auténtico, enviado desde mi querido y amado Exchange Server, desde una de las IP del registro SPF, autenticado y correcto. Y Apolo le da la razón a Gmail poniendo un iconito verde.


Figura 4: Cuidadín

En este caso el correo es falso, pero está suplantando a un dominio que no tiene política DKIM ni política SPF, así que no hay herramientas para poder comprobarlo. No está en verde porque no viene de una de las IP del registro MX, así que tiene que quedarse con una alerta que informa de todo esto.

Al final, lo que está haciendo Apolo deberían hacerlo los propios interfaces de los clientes web, ¿no creéis?.

Hoy, junto a MetaShield Protector, van a ser presentados en sociedad en CEUS V y cuando esté más crecidito lo pondremos a disposición de todos aquellos que deseen ser monitorizados por Informática64 y su malévolo BHO.

Saludos Malignos!

lunes, noviembre 16, 2009

No Lusers 79: 2012





¿Te parece malo el guión de esta tira? Pues espera a ver la película....

Saludos Malignos!

domingo, noviembre 15, 2009

Clientes de Black SEO

Estaba hoy con la quinta parte del artículo dedicado a las Técnicas SEO para gente de moral relajada, cuando en uno de los buzones me ha entrado este bonito e-mail.


Una oferta que no se puede rechazar

En él me ofrece sus servicios una compañía de SEO que dice "estár en la primera página de resultados de Google" cuando se busca por SEO Company. Sin embargo yo no lo he encontrado. Más que nada, porque en este e-mail de una supuesta compañía de SEO ¡No va el link de la empresa!

Vaya mierda de posicionador debes estar tú hecho my friend. Cuando alguien trabaja en SEO debe poner su link hasta en las felicitaciones navideñas que envía por servicio postal del de cartero a pata. Eso es como lo que nos pasa a los que trabajamos en seguridad web que vemos un prog.php?id=1 y ya tenemos que estar introduciendo... otras cosas después del 1.

Aun así, he de confesar que me ha encantado el nombre de Kenneth Kenneth. Me sentía como si estuviera leyendo (e imaginándome a Silverhack haciendo los ruiditos) de los posts de Estafa a las 3 y su Nicolai Prochenko.

Kenneth Kenneth, con dirección de correo de Rusia, y dominio de la empresa en él ni link a la compañía en el mensaje. ¡Para que busques en Google y lo encuentres en la primera página de resultados si tienes cohones!

Eso sí, tú pon pasta, que te llega tráfico seguro, aunque sea te calzamos un par de botnets para que tengas visitas y punto. Luego, si no compra nadie nada, es que simplemente tus ofertas son..."inaceptables". En fin, a veces veo negocios...

Saludos Malignos!

sábado, noviembre 14, 2009

Todo el material de la Defcon 17 Online

Como casi regalo de navidades, la gente de la Defcon 17 ha preparado al final TODO el material que se generó durante la conferencia de Agosto (en la que tuvimos que trabajar y sacrificarnos tanto) y ya está colgado Online. Tienes las diapositivas, los whitepapers, los vídeos de algunas charlas, los audios y las herramientas.

El montaje de See it! que realizan de la charla mezcla las diapositivas con el vídeo de el/los speaker/s, con lo que es casi como si hubieras estado allí en la Defcon. De hecho, no es necesario si no quieres, venirte a Las Vegas, esa ciudad tan aburrida y llena de nada que hacer, nada más que jugar, bailar, ir a atracciones, comer o conocer gente de mal vivir de todo el mundo. Con estos vídeos es más que suficiente para que se te quite el mono de ir a la Defcon el próximo Verano.

La única pena es que no están los pasillos, las visitas al CTF o al muro de las ovejas de este año, que tampoco estén las charlas en los restaurantes, los baños en la piscina o los debates en el bar al abrigo de una cerveza. Abrazar a compañeros, conocer a gente de por todo o el mundo.... Pero... ¿a quién le importan esos detallitos?

Como ya sabéis, nosotros cantamos allí, y cómo seguro que ya sabéis, hay que hacerlo en inglés. De nuestra charla [139 MB en montaje See it!] quiero que os fijéis sólo en que uno de los que habla, el que peor inglés habla, en uno de los momentos de la charla confiesa su verdadero nombre (XD).

A parte de escuchar los chistes malos del que suscribe, o lo mal que habla inglés, podéis descargaros charlas muy chulas. Por si algún día se aburren y lo quitan, sabéis que existen unas herramientas muy, muy chulas que descargan todo y otras muy chulas que graban DVDs como tu Windows 7 [ya tuve que meter la cuña publicitaria...]

Incluso si estuviste allí, como ver todas es imposible, puedes disfrutar las que no viste o re-disfrutar las que te gustaron viendolas una vez más. Yo me las voy a llevar en el portátil para esos viajes interminables en tren o avión, que hay que sacar el tiempo de donde se pueda para seguir aprendiendo.

Palako, como tú y yo tenemos que hablar por el Blog, por aquello de nuestro pequeño problema de Incomunicación 2.0, por favor, bájate el "peazo documento vídeo y audio de nuestra charla", para que veas que el más feliz en nuestra luna de miel en Las Vegas soy yo, y por eso estoy más sexy...

Saludos Malignos!

viernes, noviembre 13, 2009

Entrevistas al Core Team de RootedCON:
Roman "PatoWC"

Un buen día recibí una llamada al móvil de un querido amigo. En ella me dijo: “Vente a cenar que tenemos una reunión para organizar una Con y queremos ver cómo y en qué podemos liarte”. Allí me presenté, estábamos sólo cinco y escuché como me contaban lo que estaban tramando. Una Con al estilo de las conferencias hackers. Estaban emocionados, contentos. Se encontraba entre ellos este personaje: “PatoWC”.


Román aka "PatoWC" y sus legiones

Dicho así parece que cuando hablo de PatoWC hablo de un cualquiera, pero Román - si es que realmente se llama Román, que con estos hackers uno nunca sabe – lleva ya unos cuantos añitos en este mundo.

Él estaba lleno de energía, con muchas ganas de tirar para adelante, de organizarlo, lleno de ideas en su cabeza – aún sin hilvanar – sobre cosas que se podían hacer, organizar o planificar. Viendo la energía que tenían decidí que era mejor ayudarles en lo que pudiera, pero dejarles que la organizaran ellos, que se valían y tenían las ideas claras.

Hoy en día la RootedCon está más cerca y creo que ya es hora de se vaya sabiendo más cosas sobre quién está realmente detrás de este trabajo y esa lista de correo que lleva ya más de 2.000 correos intercambiados para organizar los asuntos de esta RootedCon. Hoy le toca a Román “PatoWC”, pronto le tocará a otro.

1.- Vale, para los que no te conozcan, ¿cómo es PatoWC cuando no está enredando con los ordenadores?

Pues como cualquier otro, leo, veo películas, salgo con mis amigos... Ahora me ha dado por aprender a tocar el piano... lo normal como te digo.

2.- ¿Es verdad que tú eres un fake del auténtico Román?

Soy y siempre he sido el auténtico Román. Más mayor, más guapo, más sexy, ¿es que acaso queda alguna duda sobre este tema? :)

3.-¿Qué le lleva a un grupo de pirados a decir: Venga, vamos a gastar mil horas de nuestro tiempo para organizar la RootedCon?

La sensación de que en España no se hacen las cosas que se deberían hacer. Hemos discutido tantas veces sobre el complejo de inferioridad español frente a los anglosajones, cuando aquí hay tanta gente excelente que hace cosas tantas cosas impresionantes que... pienso que era la conclusión lógica - e inevitable :) -

4.- ¿Cómo empezaste a trastear con los ordenadores? ¿Y cómo se acaba en la seguridad informática de forma profesional?

Hace tiempo conseguí un Pc 486 Cyrix con 120 mb de disco duro y 16 MB de RAM. Cometí el grave error de comprarme un modem 2400 (me costó 25.000 pesetas de hace quince años), accedí a mi primera BBS, Public NME (2:342/1), tuve la buena fortuna de relacionarme muy bien y... una cosa llevó a otra hasta trabajar en seguridad.

5.- ¿Cuántos estáis en el “Core Team” de la RootedCon ahora mismo?

Ahora mismo, ¿incluyéndote a ti? };), trece personas más o menos.

6.- Y digo yo, que esto de organizar eventos no será muy complicado, ¿no?

No lo veo especialmente complicado. Todos hemos resuelto problemas mucho más grandes en nuestras diversas carreras profesionales e incluso ya habíamos organizado otros eventos antes.

La parte complicada era dar el primer paso, ese que llaman: "echarle un par".

7.- ¿Hay conversaciones con algún speaker internacional para que venga a la RootedCon?

Sí, por supuesto. Aunque queremos reivindicar que en España se hacen bastantes cosas, de mucho más nivel que fuera en muchas ocasiones, vemos importante traer a figuras internacionales. Casi todos tenemos buenas relaciones con gente muy importante internacional, por lo que esperamos sorprender gratamente.

8.- ¿Cuántas propuestas de charlas habéis recibido ya para “cantar” en la RootedCon?

Hasta la fecha, unas cincuenta, alguna arriba o abajo. Esperamos que lleguen algunas más antes de que se acabe el plazo, que ya aprovecho y lo recuerdo, termina el 20 de diciembre de 2009.

9.- ¿De quién fue la idea del nombre? He decir que personalmente me encanta.

Fue una decisión de equipo. Se barajaron muchos y diversos y se fueron acotando algunos más populares.

10.- Dime tres hobbies que no tengan que ver con ordenadores a los que PatoWC dedique tiempo.

- Aprender a tocar el piano, armonía, lenguaje musical y, sobre todo, a jazzear.

- Discutir - me encanta opinar sobre todo, aunque no tenga ni idea :) -

- Leer, mucho y sobre cualquier tema.


11.- ¿Cuántas listas de correo administras y en cuantas andas metido?

Administro varias listas de correo, alguna de humor, alguna de temas generales y, la más importante, una técnica generalista - no dedicada a seguridad exclusivamente - . Estoy metido en muchas, muchísimas... en algunas soy más activo, en otras como voyeur.

La lista en la que llevo más tiempo es la de SAGE-USENIX, salvando las mías propias, claro, que llevo diez años con ellas.

12.- Recomiéndanos tres lecturas técnicas y tres no técnicas.

Lecturas técnicas:

- "Criminalistics", Richard Saferstein. Muy recomendable para todo el que quiera saber de forense.

- "Advanced programming in the UNIX environment", W. Richard Stevens. Todo un clasicazo.

- "Effective Perl Programming", Joseph N. Hall y Randall L. Schwartz. Disfruté mucho leyendo este libro.

Lecturas no técnicas - elegir tres es muy complicado -:

- "La fuerza de su mirada", Tim Powers. Probablemente, mi escritor favorito.

- "Los pilares de la tierra", Ken Follet. Típico.

- "Sandman", Neil Gaiman. No hay palabras.


13.- ¿Cuántas ponencias se esperan, más o menos en la RootedCon?

Aunque tenemos la estructura organizada, todavía estamos discutiendo internamente sobre cuántas ponencias cortas queremos (de unos 20 minutos), diversas actividades que están por confirmar y una serie de detalles que iremos comentando.

Por ahora, te puedo confirmar que tendremos una única línea de ponencias, lo que se conoce como un único "track", y que tendremos un descanso para comer ;)

14.- ¿Qué no puede faltar nunca en tu equipo de personas con el que trabajas?

Perspectiva.

15.- ¿Quién fue el primero que tiró la piedra para liar al resto con la idea de montar la RootedCon?

Pienso que fue un poco idea de los cuatro iniciadores, Javier Olascoaga, Raúl Jover, Román Medina - el postizo - y yo - el verdadero, único y auténtico -.

16.- ¿El espíritu de la RootedCon sería más parecido a la Defcon o la BlackHat?

El espíritu de la RootedCon será parecido al espíritu de la RootedCon, ¿necesitamos que se nos valore por la referencialidad con algo que organizan otros?

17.- ¿Qué os dice la gente cuando le contáis la historia ésta?

La respuesta varía en formatos y contenidos, pero el fondo es: "GENIAL". Mucha gente del entorno más empresarial me comenta que les parece una muy buena idea y nos dan muchos ánimos, y mucha gente más de círculos underground nos dice: "ya era hora".

18.- Dime algunos otros nombre que barajasteis antes de llegar al de RootedCon, a ver como ibais de creatividad … :P

Puf. El primer nombre que barajamos, de hecho fue el nombre de la primera lista de correo que montamos para este tema, fue "Neutral", porque queremos mantener la balanza de la neutralidad total con hackers, empresa y todo el que quiera venir.

Otros nombres... es que ahora que los empiezo a recordar me dan hasta risa :) Mejor no comento nada más.

19.- Confiesa, ¿no acojona un poco ver que hay tanta gente esperando la RootedCon?

No creas. Si te soy sincero lo que más siento es orgullo y ganas de decir "Bienvenidos". La gente se está volcando y nos hacen llegar comentarios, nos dan ánimos y ¡¡hasta hacen donaciones!! No las esperábamos y de verdad ¡¡MUCHAS GRACIAS!!

Con semejante respuesta por parte del público, ¿no es para querer lanzarse ya mismo?

20.- Si quisiera sacar más información sobre la RootedCon... ¿a quién que no haya entrevistado más debería tirar de la lengua?

¿Buscas que te facilite el camino? :DD Yo le echaría el lazo a Ricardo Galán o a Gandalf ;)

Ricardo y Gandalf...ya sabéis lo que os espera ;)

jueves, noviembre 12, 2009

Eventos para la semana que viene

Tras el subidón que tengo con la aceptación de la charla en la Black Hat os voy a dejar una lista de cosas que tenemos para la semana que viene, para seguir estudiando ;)

Si te pilla bie Polonia, José "el abuelo" Parada y yo estaremos cantando en la CONFidence 2009 en Varsovia para hablar de Arithmetic Blind SQL Injection, Inverted SQL Injection y Time-Based Blind SQL Injection using Heavy queries. Para que nos salga muy bien, muy bien, pero que muy bien la charla nos iremos del miercoles a domingo, ya sabéis, para estar "en ambiente" allí, que creo que hay gente muy agradable...

Antes de irme estaré el lunes por la tarde dando una charla a través de Internet en e-Gaelica (que trae una agenda cuato menos "peculiar") y el martes en Palma de Mallorca en el Innovation Tour.

Mis compañeros se encargarán de llevar la Azlan D-Link Academy a Pamplona por primera vez. También estaremos en CEUS V, la 5ª edición de la Conferencia Española de Usuarios de SharePoint, que se celebrará en Madrid y que tiene charlas para todos los gustos, en sesiones plenarias y tracks en paralelo. Allí estaremos presentando Exchange Server 2010, Apolo (ya os hablaré más de él en futuros posts) y MetaShield Protector. Por último, para los amantes de los HOLs habrá dos Hands On Lab en Madrid esta semana y el día 18 nuestros amigos de Quest tienen un evento sobre VDI ...con magia...

Este es el resumen día a día:

- 16 [Pamplona] DL05 Cámaras de Video Vigilancia IP
- 17 [Pamplona] DL04 Tecnología WiFi
- 17 [Palma de Mallorca] Innovation Tour Palma de Mallorca
- 17 [Madrid] CEUS V
- 18 [Pamplona] DL03 Tecnología Firewalling
- 18 [Madrid] Quest VDI- 19 [Pamplona] DL02 Tecnología Switching
- 19 [Madrid] HOL-WIN58 MS Windows Server Update Services
- 20 [Madrid] HOL-WIN55 MS Windows Server 2K8R2. IPSec

Saludos Malignos!

Entradas populares