miércoles, junio 30, 2010

Trials forever con Sandboxie

Tras jugar con SandBoxie con el exploit PDF, una de las ideas que se nos pasó por la cabeza fue la de usar la sandbox para no dejar que el software de evaluación te caduque en la máquina y te llene el sistema de rastros de programas que probaste.

Manu "The Sur", se ha currado en el SOCTano las pruebas con MAGIC ASCII Studio y esto son los resultados:

En esta ejecución del programa, como se puede ver, sale una restricción de 10 ejecuciones o 15 días. Esto es debido a que el programa ya ha sido ejecutado varias veces en este equipo.


Figura 1: Restricción por número de uso y tiempo

Si se ejecuta el programa directamente sobre una Sandbox en Sandboxie, como se puede ver, se reinicia el contador a 14 ejecuciones.


Figura 2: Reinicio de contador de ejecuciones y tiempo

Si se vuleve a ejecutar dentro de la misma sandbox, se puede ver que el contador continúa descenciendo. Así ya estamos en 13 ejecuciones.


Figura 3: Contador descendiendo

Sin embargo, basta con eliminar todos los datos que se hayan guardado en esta sandbox para que el sistema quede totalmente limpio, tal y como se vé en la Figura 4:


Figura 4: Limpieza de datos en la Sandbox

... y si se vuelve a ejecutar el programa se vuelve a tener todas las ejecuciones. El contador ha quedado otra vez iniciado a 14.


Figura 5: Contador reiniciado

De esta forma puedes evitar que los programas que bajas y pruebas una vez no te dejen basura en tu equipo.

Saludos Malignos!

martes, junio 29, 2010

¿Quién es responsable?

Este siempre es uno de los temas que más polémicas levantan cuando te encuentras en una reunión de profesionales de la seguridad informática. ¿Hacer público un fallo o avisar al fabricante y esperar a que lo arregle aplicando un principio de Responsible Disclosure?

La verdad es que yo soy de los de descubrimiento responsable… (casi siempre) y abogo por avisar siempre al fabricante. Así, cuando nos topamos con el fallo del componente de Joomla (que al final parcheamos nosotros), los productos afectados por las técnicas de Connection String Parameter Pollution o el caso del "no-bug" de Google Chrome, por poner algunos ejemplos que han salido por aquí, siempre hemos avisado primero al fabricante de software.

En el tema de los fallos en las páginas web, yo hace tiempo que opté por no avisar a ninguna directamente y hacerlo siempre por medio de los cuerpos de seguridad del estado. Así, fallos que hemos sacado en organizaciones grandes han pasado por nuestros cuerpos de seguridad españoles para que estos les mandaran un aviso oficial.

Sin embargo, cuando estuve en la Troopers 2010 [vídeos disponibles!], Marsh Ray, uno de los descubridores del bug de SSL-Renegotiating, discutí sobre este tema. El argumento de Marsh es:

“OK, yo soy responsable porque aviso del fallo, pero… ¿Cuánto tiempo debe tomarse el fabricante para corregirlo? ¿Cuál es el tiempo “responsable” que debe tomarse un fabricante para corregir un bug? ¿Y si dice que no lo va arreglar? En caso de que un fabricante se tome más tiempo del que debe o en el caso de que diga que no lo va a corregir, entonces lo responsable es publicarlo para que la gente conozca el riesgo. Nunca tienes la seguridad de ser el único que conoce ese fallo”.

La verdad es que Marsh es único argumentando, y discutir con él durante toda la Troopers fue de lo mejor. Ellos publicaron la información sobre el fallo de SSL sin esperar que fuera corregido por todos. Lo cierto es que en su caso muchos dijeron que era un ataque "teórico" que no podría ser explotado o que sería muy dificil. Tiempo después se utilizó para atacar a Twitter o los firewalls CISCO, como hará Ben Feinstein en la próxima BlackHAT USA 2010 bajo el título "The Emperor Has No Clothes: Insecurities in Security Infrastructure". Estos acontecimientos han hecho que todo el mundo se ponga a corregir el "fallo-teórico".

Sin embargo, yo no tengo claro cuándo es “demasiado tiempo”. Hasta el momento, cuando nosotros hemos avisado, la respuesta ha sido “lo vamos a corregir” y se ha corregido en un tiempo “prudencial” o, como en el caso de Google Chrome… “esto funciona así y no lo vamos a corregir hasta futuras versiones” lo que nos llevó a publicarlo en full-disclosure porque pensamos que era una característica insegura.

A día de hoy seguimos creyendo en un descubrimiento responsable de los fallos como la mejor opción, pero… ¿cuál ha sido tu experiencia?

Saludos Malignos!

lunes, junio 28, 2010

Talibanismo Tecnológico

Lo de las guerras de religión en el mundo de la tecnología suele ser bastante divertido. Fue por eso que nació El lado del Mal. Sí, su origen fue para hacer sorna de las conspiranoias y las guerras de religión tecnológica donde unos son buenos, otros son malos, y hay una fe ciega en la tecnología de una compañía/distribución/secta.

Cuando me acusan de talibán windozer me hace mucha gracia, pues después de haber sido formador de Red Hat, estar enseñando a programar C sobre UNIX, haber currado tuneando Oracle sobre Solaris o ser partner de Esware Linux es muy divertido escuchar esas cosas.

Cuando ya uno descubre que mi página de inicio es Google o que el blog está en Blogspot suele ser más tronchante, pues la pregunta suele ser.. ¿Por qué no usas BING o pones el blog en MySpaces? Si te tengo que responder a esto es que no te has enterado de nada.

La realidad es que la gente suele o debería ser mucho más pragmática. En el mundo de los MVP de Spectra es bastante común que se premie a gente como Ricardo Varela, que estaba currando en Google o a Miguel de Icaza, responsable del proyecto de portar .NET a Linux. No pasa nada, ser MVP no implica nada de eso. En el mundo de la empresa, no he visto nunca a ningún compañero pegar o insultar a los miembros de Spectra que usan ay!fons.

Sin embargo, no creo que debiera haber pasado nada cuando, antes de Steve Jobs descubriera el ay!pad, Ian Murdock, uno de los fundadores de Debian, tuvo que dar explicaciones de por qué usaba Tablet PC con Windows XP y tampoco que el “empleador” recomendara a un MVP no aceptar el premio por ser de la competencia.

Jugando con la FOCA en Apple he visto que incluso, a nivel empresarial, las empresas tienen a ser más pragmáticas, y es posible encontrar en Apple estos dos servidores Windows en el segmento de red de la empresa.




Servidores de la red de Apple

¿De verdad alguien se cree que la gente de Spectra me ha dicho alguna vez algo por tener mi blog en Blogspot y ser MVP? ¿O que van a pegar a los que han puesto estos Windows?

Saludos Malignos!

domingo, junio 27, 2010

Verano de Ciclismo y Estudios

Durante años utilicé los meses de verano para dar clases. Era mi forma de ganarme la vida durante todo el año. Ser profesor de Matemáticas, Física, Química o Dibujo Técnico eran mis ingresos durante mi época de estudiante en la universidad. Daba clases durante todo el año, pero en Verano era durante las mañanas, para después por las tardes, ver la Vuelta, el Giro y el Tour de Francia.


L'Alpe d'Huez 1991

Perico Delgado, Laurent Fignon y Greg Lemond relevando a Bernard Hinault para ser superados por la siguiente genernación, con Gianni Bugno en el Giro arrasando y pinchando en el Tour, Tony Rominger en la Vuelta, Alex Zulle, Laurent Jalabert, Melchor Mauri y el super-equipo de la ONCE, Fabio Parra y Lucho Herrera escalando como locos por los montes de España, Claudio Chiapucci y Marco Pantani peleando en los Alpes y, cómo no, el gran Miguel Indurain.

Tanto he admirado a Miguel Indurain que cuando ganó el cuarto Tour fui a verle a Pamplona enseñarnos el mallot de campeón, cuando batió el record de la hora me compré una reproducción de la Espada que tengo ahora en mi poder, regresé cuando ganó el quinto Tour a Pamplona y fui a rendirle homenaje cuando la organización del Tour se plegó a la estrella haciendo pasar, por primera y única vez en la historia, el Tour de Francia por la puerta de Miguel Indurain en Villaba coincidiendo con los SanFermines. Todo empezó aquella tarde de verano en Val Louron y yo estaba en frente del televisor botando.


Indurain en la Espada batiendo el record de la hora

Los meses de verano son meses de estudio y bicicletas en mi memoria. Desde entonces no concibo un verano sin estudiar y sin ciclismo. Fue un verano cuando decidí volver a la universidad a terminar el grado superior de la carrera. Es en verano cuando preparamos los papers de muchos de los trabajos. Es tiempo para aprovechar, que parece que el resto de la gente se para un poco, y puedes centrarte un poco más.

Así que, en I64 siempre, siempre, organizamos actividades de formación para este periodo que nos sirven a nosotros para mantenernos en la línea de fuego. Este es el calendario de actividades que tenemos para este verano.

Julio

Valencia: El día 5 de Julio comienza el III Curso de Verano de Seguridad Informática. Se alcanzó el cupo de plazas, pero, gracias a un cambio de sala de última hora, se ha conseguido una sala un poco más grande, con lo que quedan 3 plazas libres aun. El curso tiene 60 asistentes. El día 9 de Julio está el Asegúr@IT, con 190 registrados, el límite lo hemos puesto en 200 registros. La semana siguiente estará dedicada a los Hands On Lab de Microsoft, donde hay disponibles unos bonos de 5 plazas para los que quieran ir a muchos y, la última semana en Valencia es para la Certificación Oficial D-Link con la D-Link Academy donde, gracias al esfuerzo de todos, los alumnos de la UEM, asistentes del Curso de Verano y partners de D-Link podrán acceder a la certificación al 50% de su coste. Quiero dar las gracias a la UEM y a Eventos Creativos que se han currado la organización hasta el momento dejándonos todo hecho a nosotros. Gracias!

06 - III Curso de Verano de Seguridad Informátia
09 - Asegúr@IT! 8
12 - Migración de MS Exchange 2K3 a MS Exchange 2010
13 - MS Exchange 2010. Implantación, Mejoras y Novedades
14 - MS Exchange 2010. Alta disponibilidad y Planes de Contingencia
14 - MS System Center Operations Manager 2007. Servidores Exchange
15 - MS Exchange 2010. Colab., movilidad y mensajería unificada
16 - MS Exchange 2010. Seguridad, control información y legalidad
19 - DL02 Tecnologías Switching
21 - DL03 Tecnologías Firewalling
22 - DL04 Tecnología WiFi


Madrid: En Madrid en el mes de Julio sólo tendremos la campaña de Hands On Lab que está llegando a su término y, que el año que viene se va a reestructurar ya veremos cómo. De momento, tienes el calendario aquí y también puedes acceder a los bonos de plazas.

02 - MS System Center Essentials 2010. Implantación y Configuración
05 - MS Windows Server 2k8 R2. Virtualización de Servidores
07 - MS System Center Virtual Machine Manager 2008
12 - MS Exchange 2010. Implantación, Mejoras y Novedades
14 - MS Exchange 2010. Colab., movilidad y mensajería unificada
19 - MS SharePoint 2010. Arquitectura e Implantación
21 - MS SharePoint 2010. Entornos de colaboración
26 - MS Windows Server 2k8 R2. Active Directory Certificate Services
28 - MS Windows Server 2k8 R2. Servicios de Escritorio Remoto


Online: A través de Internet vas poder hacer varias cosas durante este mes de Julio. En primer lugar tenemos el calendario de Virtual Hols, que se parará en Agosto, y que tiene el siguiente Calendario. Además, hay programados un par de Webcasts de SharePoint 2010 gratuitos, uno para este lunes y otro para el día 22 de este mes.

01 - MS SharePoint 2010. Workflows y procesos de negocio
05 - Aplicación del Esquema Nacional de Seguridad en entornos MS
06 - MS System Center Essentials 2010. Implantación y Configuración
07 - MS Windows Server 2k8 R2. Active Directory
12 - MS SQL Server 2008. Gestión de Motor de Base de Datos
14 - MS SQL Server 2008. Entorno de Desarrollo
19 - Análisis forense I. Escenario Malware en entorno Windows
21 - Análisis forense III. Análisis de logs en Windows
22 - Webcast: Nuevas Funcionalidades en SharePoint 2010
26 - MS SharePoint 2010. Workflows y procesos de negocio
28 - WebParts: Desarrollo de funcionalidades en MS SharePoint 2010


Agosto

Para el mes de Agosto hemos preparado una formación para las nuevas generaciones de adoradores de Spectra, es decir, para todos aquellos que quieran ponerse las pilas con las tecnologías Microsoft. Es bastante común, por desgracia, ver como no hay muchos profesionales que sepan manejar bien el Active Directory, que no conozcan el funcionamiento de Exchange o cuáles son los pilares de una red Windows. Este curso está pensado para aquellos que tienen que aprender desde el principio y quieren dar un empujón en su formación para seguir después profundizando. Está pensado para estudiantes de últimos cursos o gente que se quiera reciclar y no sepa por donde comenzar. Durará todo el mes de Agosto, será en Madrid y estarán con nuestro equipo de Windows. Tienes más información en la siguiente URL: Ponte las Pilas

Septiembre

En Septiembre, el día 10, comienza el FTSAI 6. Ya están ocupadas el 60 % de las plazas, así que se abrirá sin retraso. Este curso, ya sabéis, es para profesionales, así que sí que hay que tener una base para empezar en él. Este curso es nuestro taller de trabajo y, todas las novedades, herramientas y cosas en las que estamos involucrados, acaban formando parte de las clases. Tienes más información en la siguiente URL: FTSAI 6

Y por lo demás, no olvides de disfrutar este verano de siestas, piscinas y mucho ciclismo. No quería despedirme sin poner este pequeño vídeo de una Contrarreloj en la que participaron Miguel Indurain y Lance Amstrong.


Indurain y Lance Amstrong en una crono

Saludos Malignos!

sábado, junio 26, 2010

Las cosas funcionan de casualidad

Dilbert es un referente continuo en el libro sobre "El Poder de la Estupidez" pero, desde que hace más de 10 años disfruté la lectura completa de "El Principio de Dilbert", que dice que "las compañías tienden a ascender sistemáticamente a sus empleados menos competentes a cargos directivos para limitar así la cantidad de daño que son capaces de provocar", siempre me ha mantenido despierto cuando llego a una empresa.

Nosotros, en Informática64, siempre hemos tenido unas reglas con visión crítica del mundo que nos han ayudado a mantenernos vivos cuando nos hemos relacionado con otras empresas, haciendo que mantuvieramos un nivel de escepticismo aceptable. De estas reglas os he hablado por aquí varias veces. La número 2 dice: "En las grandes empresas las cosas funcionan de casualidad".

Sí, sé que es un contrasentido, pero cuando ves que las empresas contratan inútiles para anunciar que "somos una empresa en expansión y crecimiento" o despiden gente competente por "aumentar los beneficios artíficialmente con ingeniería financiera" te das cuenta de que esta apreciación nuestra, medio irónica medio en serio, se aproxima a la verdad.

Viendo esta tira de Dilbert, me he visto reflejado haciendole estas preguntas a mi compañero sobre como actúan las empresas hace años:


Dilbert 20 de Junio de 2010

Viñeta 1: Un buen lider usa un proceso para la toma de decisiones.
Viñeta 2: Dilbert - ¿Me la dejaís a mí?
     Wally: Adelante.
     Alice: Haznos sentir orgullosos
Viñeta 3: Pregunta: Si tomar una decisión es sólo un proceso.. ¿por qué no lo hace un ordenador?
Viñeta 4: Porque algunas veces tengo que confiar en mis entrañas.
Viñeta 5: ¿Y qué parte de tus entrañas en la parte inteligente? ¿Es la parte del estómago, o quizá es el colon?
Viñeta 6: Estoy hablando de Instinto, una cualidad indefinible del liderazgo.
Viñeta 7: Dilbert: ¿Esa cosa indefinible es algo como una superstición?
      Wally: ¿O una enfermedad imaginaria?
Viñeta 8: ¡ES UN PROCESO! Dilbert: ¿Es tu colon el que está hablando?

Saludos Malignos!

viernes, junio 25, 2010

Buscadores como arma de destrucción masiva [III de III]

*********************************************************************************************
- Buscadores como arma de destrucción masiva [I de III]
- Buscadores como arma de destrucción masiva [II de III]
- Buscadores como arma de destrucción masiva [III de III]
Autores: Chema Alonso & Enrique Rando
*********************************************************************************************

La última entrega de este artículo se la vamos a dedicar a los ataques Cross-Site Scripting no permanentes. Estos ataques permiten inyectar código en la página web que visualiza el cliente mediante la inyección de código script o html en los parámetros de llamada de la URL. La difusión de estos ataques se suele hacer a través de enlaces malformados que circulan por correos electrónicos o cualquier otro sitio de mensajería donde se puedan poner links.

Así, se puede poner a Mister Bean en la página de la EU2010, a Zapatero saludando a Rajoy o a Puyol en la web del Real Madrid. En todos ellos, el “engaño” está siendo renderizado en el cliente.

De XSS No Persistente a XSS Google-Persistente

Sin embargo, al no existir un filtrado de las URLS que se indexan en los buscadores… ¿Qué sucedería si alguien indexa en Google una URL con un ataque XSS? Pues la respuesta es bien sencilla, el buscador indexará los resultados del XSS asociados a ese sitio.

Por supuesto, si alguien accede a un sitio web a través de Google el ataque XSS se lo está dando directamente la página de resultados de Google y.. ¿va a sospechar la víctima de Google?

Es curioso ver la cantidad de enlaces con ataques XSS que están indexados en los buscadores, así, una sencilla búsqueda de script alert en el FBI muestra que tiene indexados ya resultados de ataque.


Figura 1: XSS del FBI indexados en Google

Y que, por supuesto, funcionan si accedes sin ningún filtro Anti-XSS en el navegador.


Figura 2: XSS en el FBI

En el ejemplo del FBI los enlaces resultan bastante llamativos al ojo, ya que, como se puede ver, el código script se puede ver en la URL, pero esto no tiene porque ser así, en la NASA, como se puede ver en la Figura 3, la inyección sólo se puede ver en la URL, dejando un resultado mucho más limpio en el título.


Figura 3: XSS en la NASA indexados en Google

Por supuesto, el XSS sigue siendo funcional.


Figura 4: XSS en la NASA indexado en Google

Estos ataques indexados en Google son todos basados en las pruebas de concepto de XSS “script alert”, pero… ¿Cuántos enlaces con ataques mucho más sutiles pueden estar indexados a día de hoy? ¿Qué pueden hacer con ello?

Ataques con XSS Google-Persistentes

La lista de ataques con URLs indexadas con XSS acaba donde acabe tu imaginación. Pueden ser utilizadas para todos los ataques XSS clásicos, pero para víctimas que buscan a través de Google, por ejemplo, un XSS en un Banco permitiría hacer un ataque de Phishing al mismo sólo con indexar la URL en los buscadores. Es el ejemplo típico de un XSS no persistente en una web puede convertirse en una vulnerabilidad mucho más crítica y explotable masivamente.

La lista de ataques puede seguir con Google-DOS en las que la web de la víctima no llegase a accederse nunca debido a que en ella se mete un redirect a otra web o se podría distribuir malware o se podría, y este es muy chulo, hacer un robo de Page-Rank, inyectando enlaces a otras páginas para conseguir posicionamiento con Black-SEO para los empresarios de moral relajada.

¿No vendría bien un filtrado de URLS a la hora de dar de alta los links en la base de datos de los buscadores?

Saludos Malignos!

*********************************************************************************************
- Buscadores como arma de destrucción masiva [I de III]
- Buscadores como arma de destrucción masiva [II de III]
- Buscadores como arma de destrucción masiva [III de III]
Autores: Chema Alonso & Enrique Rando
*********************************************************************************************

jueves, junio 24, 2010

Defcon 18: Nuevos Speakers

Defcon es una conferencia especial. Es especial porque es enorme, llena de gente de todos los rincones del mundo. Es especial porque cuesta un 10 % de la pasta que cuesta BlackHat. Es especial porque es una conferencia para todos. No voy a decir que es especial porque se hace en Las Vegas porque hay otras conferencias que también se hacen allí.

Ayer, en una actualización aparecieron nuevos ponentes, en una tercera oleada, y la lista va a quedar increíble. Al final, entre los ponentes de la Defcon de este año van a estar, entre otros el “winner” Charlie Miller, Moxie Marlinspike que dará una charla sobre las amenazas a la privacidad y hablará de por qué ser Anónimos ante Google, Felix “FX” Lindner y los peligros de Flash, Francisco Amato y sus evil-grades, César Cerrudo con las elevaciones de privilegio en las plataformas Windows con el token secuestrado, Fyodor y… sí nmap, Rsnake de hack.ers.org estará en un panel de EPIC Security Fails, Bruce Potter del ShmooGroup, Deviant Ollam y el lockpicking, Palako que vendrá conmigo, etcétera, etcétera y etcétera. Consulta la lista completa de speakers.

A todo esto le unes que estás en Las Vegas, que hay peña de todo el mundo con la que te vas a contar historias, tomar birras e intercambiar tricks e ideas y tienes una buena fiesta de cojones. Además, siempre puedes visitar el CTF, que un año más tendrá representación española, ir a ver el muro de la vergüenza donde la gente ha dejado su password o, si lo prefieres, casarte vestido de Elvis/Marilyn con cualquiera de las/los chicos/as de la familia “jandrez”. Tienes a Zri Jandrez, a For Jandrez, etc…

Y recuerda, los policías federales no entienden bien los chistes y no se puede usar el ordenador en la sala de máquinas de juego… Nos vemos en la Defcon 18.

Saludos Malignos!

miércoles, junio 23, 2010

La FOCA y los verbos inseguros

Dentro de las especificaciones del protocolo HTTP se definieron una serie de verbos para dialogar con el servidor web. Por supuesto, a parte de los archi-famosos GET y POST existe una lista de verbos definidos en el estándar y mecanismos para extender y crear nuevos verbos.

Algunos que se usan comúnmente son HEAD, que en la FOCA se usa para descubrir el tamaño del fichero en la búsqueda de documentos antes de descargarlos y OPTIONS que permite ver la lista de verbos habilitados en una web tal y como se puede ver en la siguiente captura.


Figura 1: Uso de Options para descubrir los verbos habilitados

Sin embargo, algunas aplicaciones web habilitan los verbos para la manipulación de ficheros en el servidor, tales como DELETE, MOVE, COPY o PUT, ambos habilitados en el servidor utilizado para hacer la captura de la figura 1.

PUT permite subir ficheros o reemplazarlos si se sube un fichero con PUT y éste existe. entonces se machacaría el anterior. Estos comportamientos pueden suponer un riesgo para la seguridad de un sitio si se dejan habilitados en directorios públicos. Por supuesto, a pesar de que esté habilitado el verbo PUT o DELETE, después debería tener permisos el usuario con que corre el pool de la aplicación para escribir en el sistema de ficheros, pero, si así fuera, subir un Shell Web en PHP, ASP, JSP o lo que soporte el sistema sería trivial. Con un sencillo PUT /fichero.php HTTP/1.1 ya te puedes poner a escribir el código fuente.

Además de estos verbos, si el servidor a habilitado el protocolo WebDAV [Web-based Distributed Authoring and Versioning] aparecerán los verbos de trabajo colaborativo con documentos como LOCK, UNLOCK, PROPFIND, PROPPATCH y MKCOL.

Lógicamente, cuando haces una auditoría de seguridad a un servidor web es conveniente revisar esto que, aunque parezca una burrada, puede que alguien haya cometido el error de dejar algún directorio publicado con estos verbos.

Para agilizar este proceso, la FOCA que tenemos interna ya realiza esta búsqueda. Por cada dominio web que se descubre se genera una lista de URLs detectadas en los buscadores. Estas URLs pueden venir de la búsqueda de documentos, de la búsqueda de servidores (usando el panel de DNS Search), buscando las tecnologías utilizadas en el dominio o, directamente, buscando todos los links en los buscadores relativos a ese dominio.

FOCA sacará todos los directorios y realizará dos pruebas: Si el directorio está abierto y cuáles son los verbos inseguros en ese dominio. Los resultados salen como se pueden ver en la imagen siguiente.


Figura 2: Verbos inseguros descubiertos por FOCA

Si estás a cargo de la seguridad de un sitio web, cuidado con los verbos que tienes habilitados.

Saludos Malignos!

martes, junio 22, 2010

Una imagen vale más que mil palabras

Especialmente cuando las mil palabras ocupan tanto como la publicidad que mete Gmail en su interfaz de lectura de correo en Gmail.

Hace mucho tiempo que soy usuario de Hotmail y he de confesar que nunca me acabé de adaptar a Gmail. El sistema de tags me parece muy "modelno", pero yo quiero ver mis carpeticas y no puedo. Tampoco puedo ver la bandeja de entrada en un modo clásico, es decir, cada correo como un ente y no como una conversación. Sé que a alguno le gusta mucho eso, pero yo sigo prefiriendo en sistema clásico o, a ser posible, elegir uno u otro.

Sin embargo, una de las quejas más reiterativas con Hotmail es el banner publicitario del interfaz web para esos entornos donde no se ha instalado Windows Live Mail, el gestor de correo gratuito de Windows Live Essentials.


Windows Live Desktop

¿Y por qué la queja? Pues generalmente porque es una pedazo de imagen enorme. Ayer estando en Spectra tuve esta misma conversación y yo dije: "No sé, de verdad, yo creo que Gmail es más pesado que una vaca en brazos con la publicidad. Es grande está por todas partes". Todos me miraron extrañados, porque parece que la percepción popular de la gente es que la publicidad e Gmail es muy pequeña y no se ve. Nada más lejos de la realidad, es más grande y está por más sitios que la de Hotmail.

En la siguiente imagen he capturado la lectura de dos mails, uno con hotmail y su publicidad y otro con Gmail y sus ads. Como se puede ver Gmail coge mucho más espacio para meter sus "1.000 palabras" y, además, toma espacio en el centro del interfaz para taladrar tu mente con más anuncios.

Sin embargo, la publicidad de Hotmail es mucho más sincera con el usuario, mucho menos sibilina con tu mente, y está claramente localizada a la derecha del interfaz. Es más fácil defenderse de ella que de la que crees que no ves en medio del correo.


Comparativa visual de publicidad entre Gmail y Hotmail

¿Seguro que te molesta más la imagen publicitaria de Hotmail que el texto? Muchas de las críticas en la publicidad de Hotmail venían justo por poner publicidad al final de los correos en una línea de texto y, tras comprobar que a los usuarios les molestaba, se ha decidido quitar. ¿Es mejor texto por todas partes publicitario o el banner?

Saludos Malignos!

lunes, junio 21, 2010

El poder de la Estupidez

La ley de Parkinson suele citarse como: “El trabajo se expande hasta ocupar todo el tiempo disponible para su desarrollo completo”. Pero también explica cómo crecen las organizaciones sin relación coherente con ningún incremento o decremento en lo que se supone que deben hacer, como fruto de mecanismos jerárquicos y anomalías funcionales. […]

Parkinson explicó como una organización de mil personas puede emplear todo su tiempo y todos sus recursos sin más objeto que el de comunicarse consigo misma, sin generar nada valioso para el mundo exterior. En la actualidad, ese problema persiste, a la vez que han surgido complicaciones adicionales en el sentido contrario.

Con frecuencia, las reducciones de personal son un instrumento brutal y salvaje para incrementar el beneficio a corto plazo (más aún cuando tratamos con fusiones o adquisiciones). Así pues, el tamaño de la organización se reduce sin que existan razones funcionales para ello; y en muchos casos, se hace sin reducir los excesos de plantilla en cargos inútiles y entorpecedores.

Esta extraña combinación de bulimia y anorexia es una de las enfermedades más graves que pueden sufrirse en toda clase de organizaciones: negocios, gobierno, política, servicios públicos y privados. Y cuanto mayores son las dimensiones, más se agrava el problema. […]

Otra de las observaciones de Parkinson indica que la cantidad de tiempo y atención empleados por la dirección en dar respuesta a un problema se halla en relación inversa con su importancia real. […]

También hay una enfermedad denominada la “ley del retraso”. Cuando un problema es urgente, grave, exigente y complejo, los gestores huyen de la responsabilidad delegando y retrasando, dudando y vacilando, etcétera. […]

Es frecuente que urgencias imaginarias y prisas sin razón de existir lleven a dejar de lado lo que no parece solucionable de inmediato. El resultado es la combinación de dos errores: decidir a toda prisa sobre cosas que necesitan de una mayor reflexión y posponer decisiones que habría sido mejor adoptar en el momento preciso. […]

Otra enfermedad descrita por Parkinson es la “ingelitencia”: El ascenso a los puestos de autoridad de personas que sienten celos ingentes del éxito ajeno al par que se caracterizan por su incompetencia. Según el autor, “reconocemos a la persona ingelitente por la terquedad con que se esfuerza por expulsar a todos los que son más capaces que él mismo. […]

Otra de las leyes de Parkinson: “el gasto se eleva hasta igualarse con los ingresos”. La experiencia nos indica que con frecuencia llega a superarlo.


Este extracto está sacado del libro “El poder de la estupidez”. ¿Os ha recordado a algo o a alguien de tu vida laboral, profesional, social? No te preocupes. Según el libro, las sociedades son estúpidas por necesidad y como dice el primer corolario de Livraghi: En cada uno de nosotros existe un factor de estupidez que siempre es mayor de lo que creemos.

Tienes el primer estudio de Livraghi en español en: The power of stupidiy y puedes comprar el libro revisado, ampliado y actualizado a Mayo de 2010: El poder de la estupidez.

Saludos Malignos!

domingo, junio 20, 2010

El mundo contra Google

Así parece que va a terminar esta historia, con un macro-mega-juicio en el que los países demanden a Google por todos los cargos que puedan. Y es que la historia tiene miga. El que una compañía pida permiso para tomar fotos de las ciudades y, al mismo tiempo y sin decir nada, decide que, aplicando el famoso “ya que estamos…”, no le vendría mal capturar información de las redes WiFi de los ciudadanos, no le ha gustado a nadie.

Para los que sean nuevos en esta historia, la película puede resumirse en que Google quería tomar fotos para el servicio Google Street View, por lo que pidió permiso a las ciudades para pasear el coche tomando fotos. Tras la controversia que ya eso ocasionó para muchos ciudadanos ese servicio, que alegaban que podrían descubrirse zonas poco protegidas en los barrios, que el punto de toma de las fotos era alto y se metía dentro de las casas por encima de las vallas, o que podría atentar directamente a la privacidad de las personas ya que pudieran ser reconocidas por su ropas, accesorios o vehículos, se descubrió que el sistema tenía un sistema para capturar datos de las redes WiFi por donde pasaba. Google reconoció este hecho alegando que fue algún proyecto de algún ingeniero que se había colado en el código “sin querer”.

- Google Street View: War Driving & Sniffing

Sin embargo, un despacho de abogados en Oregón alega que para nada había sido realizado sin querer, que Google había solicitado una patente para vender publicidad conociendo los dispositivos WiFi en zonas geográficas.

- Google demandado por Sniffar WiFis

Tras conocerse esta cuestión muchos países, entre ellos España, Francia, Alemania y USA, solicitaron los datos capturados a Google para analizarlos. Google se apresuró a solicitar una auditoría de código en la que, con muy poca fuerza se defendía que había sido un problema por utilizar una librería sin optimizar que limpiara los payloads de las redes WiFi. Al mismo tiempo, Google entregaba los datos a los países.

- Google se "explica" en el caso de la captura de datos WiFi del Google Street View Car

Y aquí estamos ahora, a punto de que el Tsunami llegue a las costas de Google. En Estados Unidos se están coordinando los fiscales de todo el país para ver como afrontan esta situación ya que se han encontrado con 600 Gigabytes de datos capturados de las redes de ciudadanos americanos sin su consentimiento.

- EEUU: Google, en el ojo de la tormenta por captar datos de usuarios

En Francia, que ya recibieron los datos capturados en las ciudades francesas y ya los están analizando, han confirmado que contienen contraseñas, e-mails, conversaciones de mensajería instantánea, etc… pero que todavía no han terminado de analizar todo ni tomar una decisión al respecto.

- Google's Wi-Fi snoop nabbed passwords and emails

La cosa no huele bien para Google y puede que se enfrente a uno de esos juicios públicos a nivel mundial que suelen cambiar la dirección de las compañías. Al final, la idea de poner el sniffer WiFi en el coche del servicio Google Street View les va a costar caro de una manera o de otra.

Saludos Malignos!

sábado, junio 19, 2010

Silla de trabajo

Últimamente venía padeciendo unas molestias en la espalda debido, según el médico, a la posición en la silla de trabajo. Es por eso que me ha recomendado que busque algún diseño nuevo para mi butaca de trabajo, así que os pido consejo.

Situación Actúal

Hasta el momento yo cuento con un sistema clásico adaptado. Hasta este momento no había pensado que necesitase nada nuevo, y he tirado, como hemos hecho y hacemos muchos con el sitema de torre de toda la vida. Con este sistema todos nos solemos apañar tanto en el trabajo con en nuestro entorno de ocio, así que es común encontrarlo al rededor nuestro en cualquier ubicación donde haya un ordenador.


Figura 1: Sistema Clásico

Modernización

Según los especilistas médicos, el problema es que el sistema que utilizamos no tienen reposabrazos, así que los brazos tienen a forzar la estructura ósea de la columna, forzando malas posiciones que cargan los múculos de la espalda. Debido a esto, las recomendaciones que me han hecho es que busque un moderno sistema con reposabrazos regulable.

Las opciones que me han ofrecido en la tienda, han sido las de siempre. Modelos de Apple o Modelos PC con el OS pre-instalado.


Figura 2: ¿PC o MAC? Dura elección

La verdad es que el sistema de Apple parece más cool, pero parece como menos modular. No sé si luego podría ampliarlo facilmente o tendría problemas con los accesorios. He visto que las i-escobillas y los i-paper son bastante caros y no estoy para tirar la casa por la ventana con tantos lujos.

Adaptación

La última solución que me ha propuesto un amigo de la tienda de abajo del barrio, es la intentar buscar alguna solución adaptada. Me ha dicho que sí, que a lo mejor la falta de reposabrazos es un problema, pero que generalmente esto se soluciona con una alfombrilla en la zona de apoyo de las piernas.

Parece ser, según mi amigo experto, que la sangre no circula bien y por eso el cuerpo adopta malas posturas. Que poniendo la alfombrilla notaré la diferencia en pocos días.

De esta solución me ha ofrecido dos diseños, uno clásico un poco más caro, y uno moderno que, con unos kits que vienen de china, te lo dejan igual de funcional en dos patadas y a mitad de precio.


Figura 3: Adaptación Clásica o con kit Chino

El caso es que estoy hecho un lio, ¿alguien me podría ayudar a tomar la mejor decisión? Es mi salud la que está en juego y no me gustaría equivocarme.

Saludos Malignos!

viernes, junio 18, 2010

Donde el mundo habla de seguridad

Algo así reza el slogan de una de las conferencias más importantes de Seguridad Informática a nivel mundial. La RSA Conference. Es una conferencia que tiene fama de reunir a los fabricantes de seguridad de todo el mundo para hablar de seguridad en enecientos tracks y con enecientos temas de actualidad relativos a la seguridad informática. Es una de las conferencias en las que me gustaría poder hablar algún día emulando al gran David "ojitos" Barroso.

El Call For Speakers está ahora mismo abierto hasta el próximo 7 de Julio para la conferenica que tendrá lugar en San Francisco. Lo mismo me animo y envío algo, pero de lo que quería hablaros no es de que esté abierto el CFS, sino de el fichero que han utilizado para el formulario de aplicación.


Resultados de la FOCA con el fichero del CFS de la RSA 2011

Es un bonito fichero .doc que se puede descargar desde la web del CFS y que, sorprendentemente, no está limpio de metadatos. La información que ofrece el documento es anecdótica. Se puede ver que hay un par de usuarios que han editado el fichero como Rex y Bree LaBollita. Me encanta el apodo de este segundo usuario.

Lo curiso es que los nombres de los dos usuarios corresponden a los del matrimonio Van de Kamp de Mujeres Desesperadas, donde este matrimonio Republicano hacía las delicias de la audiencia (I love Bree!!). ¿Será una broma de la RSA, un chiste, una casualidad cachonda del destino?

El resto del documento tiene información sobre el software (Office & Windows XP) y la que más me ha gustado... el título del documento. Como se puede ver, este docuemnto se creo para la RSA del 2006 y, desde entonces, nadie lo ha limpiado de metadatos ni se ha molestado en editarlo. Éste es un claro ejemplo de como los metadatos perduran más que una mosca en ambar.

Creo que voy a enviar una proposición hablando de MetaShield Protector...

Saludos Malignos!

jueves, junio 17, 2010

No Lusers: Transformers & Foquetta

Sorian siempre consigue sorprenderme con sus láminas A3 con las evoluciones de No Lusers. Últimamente, que no he tenido tiempo de dibujar, hace que me muera de envidia y me muera de ganas de encontrar una horita para dibujar otra vez.


Sorian, mil gracias, es un grandioso regalo de cumpleaños!!

Saludos Malignos!

Ahorrando con Renfe [III de III]

***********************************************************************************************
- Ahorrando con Renfe [I de III]
- Ahorrando con Renfe [II de III]
- Ahorrando con Renfe [III de III]
***********************************************************************************************

El Parking de Atocha

El tema del parking en Atocha es, junto a los enchufes, uno de los bienes más demandados. Éste es gratuito durante 24 horas si tienes tarjeta AVE y billete preferente o si vas en clase turista si tienes la tarjeta AVE ORO.

Así, cuando llevas un billete preferente, lo pasan por la máquina y te dan el parking gratis, pero si llevas tarjeta AVE ORO, fotocopian el billete y la tarjeta juntos para darte el parking gratis. Sí, fotocopian los billetes. Así, a final de día, anotan que tal tarjeta AVE ha hecho uso del parking. Bastaría un billete de palo y una tarjeta AVE ORO para tener el parking gratis.

Conseguir una AVE ORO

A estas alturas, tras el ejemplo del Atacante Glotón y el ataque al Parking, tal vez os estéis preguntando… ¿y cómo se puede conseguir una tarjeta AVE ORO? Bueno, pues hay varias posibilidades:

1) Más falsa que Judas: La AVE ORO no te la pasan en ningún sitio, así que basta con que copies una AVE ORO existente, el diseño, y te la hagas a tu nombre. Ni en la sala VIP, ni en el Parking la pasan por ningún sitio. Un atacante podría sacarse una tarjeta AVE normal y luego… “overclockearla” a AVE ORO con una máquina de imprimir tarjetas.


Figura 8: Los diseños no son muy difíciles

2) Tarjeta AVE for Workgroups 3.1. : Este método es bastante divertido. La tarjeta AVE es personal e instransferible, pero… los billetes de tren AVE no tienen nombre ni apellidos así que no hay forma de saber quién ha comprado un billete.

Si se hace la compra por Internet se conoce el comprador, pero no el pasajero. Cuando se realiza la compra por Internet se puede asociar el billete a una tarjeta AVE, pero si no se hace, luego el pasajero puede ir y asociar el billete a una tarjeta AVE cualquiera en las máquinas de puntos del AVE.

Un equipo podría asociar tantos billetes como quisiera a una tarjeta de AVE… ¿qué se necesita para hacerlo? Pues sólo dos cosas, el número del billete y el número de la tarjeta.

Cuando vas a asociar billetes a tarjetas AVE en las máquinas de puntos, primero te pide el número de billete y después la tarjeta. Pero.. ¿qué sucede si no puede leer la tarjeta? Pues que te pide el número de la tarjeta. Un equipo de trabajo podría recolectar todos los números de billetes de AVE… (usa tu imaginación para conseguir esos números de billetes) e ir con cualquier cosa del tamaño de una tarjeta a la máquina de puntos. Cuando pida la tarjeta, metes “esa cosa”, dará un error y pones el número de la tarjeta AVE for Workgroup que estáis compartiendo.

Una vez overclockeada una tarjeta, dura durante un año, así que se puede empezar a overclockear otra y no meter más puntos en esta que es ya, una AVE ORO. En la web puedes seguir el status de tus puntos.

3) Acércate con amor a las máquinas de puntos y hazles un ataque David Hasselhoff. Esta opción es sólo por si eres un killer al que le van las emociones fuertes. Yo no lo haría nunca. El método 2 es el más más fácil, pero si una atacante quisiera hacerlo, todas las máquinas de Atocha, tanto Cercanías como Puntos AVE corren en Windows y algunas están en sitios bastante ocultos como para jugar con ellas.


Figura 9: Windows XP en máquinas de cercanías

Espero que tras leer esta serie de posts no os dé por poner nada de esto en práctica. Hay que pagar los billetes para que el transporte público sea el mejor del mundo, que es el transporte de todos.

Saludos Malignos!

***********************************************************************************************
- Ahorrando con Renfe [I de III]
- Ahorrando con Renfe [II de III]
- Ahorrando con Renfe [III de III]
***********************************************************************************************

miércoles, junio 16, 2010

Ahorrando con Renfe [II de III]

***********************************************************************************************
- Ahorrando con Renfe [I de III]
- Ahorrando con Renfe [II de III]
- Ahorrando con Renfe [III de III]
***********************************************************************************************

Entrada al Vestíbulo del AVE

La zona del vestíbulo del AVE está protegida por un sistema de inspección de maletas, del que podríamos hablar largo y tendido, y un control realizado por una persona que mira que tu billete sea de hoy. Sí, sólo mira eso. Un billete falso creado podría permitir a una persona entrar a la zona del vestíbulo del AVE. En esta foto se ve la zona de acceso al vestíbulo del AVE.


Figura 5: Accesos al AVE vistos en esta foto

Si se hace un poco de Zoom se puede ver la silueta de un señor de verde, que es el que mira los billetes, mientras el guarda de seguridad ve los resultados del scanner de maletas. Nada, billete made in 48bits y adentro.


Figura 6: Control visual del billete

¿Para qué entrar al vestíbulo del AVE?

Pues la primera respuesta que os daría es simplemente por entrar y demostrar que vale de poco el sistema que se usa, pero, para darle algún efecto práctico os paso algunas sugerencias. Si yo hiciera alguna vez algo así, lo haría para acompañar a mi mamá, o a una persona que no se apañase bien sola, hasta la misma puerta del tren. ¡Hackers for Charity Rulez!

Acceso a máquinas de red interna

Sin embargo, una vez dentro, hay otras cosas que podrían ser de interés para un atacante, como por ejemplo los ordenadores conectados a la red de RENFE que sí que comprueban los billetes. Estos están situados en las entradas de los andenes, así, cuando hay que cargar un tren con los pasajeros del vestíbulo, viene el personal de RENFE y se ponen a pasar billetes como locos. Sin embargo, cuando no hay tren por ese anden, la máquina se abandona solita… y sin cerrar sesión.

Como se puede ver en la siguiente imagen, la máquina funciona con Windows XP y la sesión en Windows XP no está cerrada. ¿A alguien se le ocurre que podría hacer un atacante?


Figura 7: Máquinas con sesiones abiertas, al alcance de cualquiera

Y por supuesto, si te pillan con las manos en la masa, ingeniería social y a decir que eres del CNPIC y que les vas a meter un paquete por tener los servicios así, al alcance de cualquiera. Al más puro estilo “Hospital Central”.

Además, esas terminales están tan cercanas, que un atacante, con vista podría manipular los cables para dejarlas inservibles y entones... ¿cómo comprobarían los billetes? ¿Y si luego viene un técnico a llevársela para reparar? ¿o la repara allí mismo, delante de todos?

- "Hola, soy de Inves, hemos detectado desde la central de monitorización que la terminal del andén 4 está averiada. ¿Lo comprueban para que pueda arreglarla e irme?"

Desayunar Gratis: El Atacante Glotón

Otra de las cosas que podría hacer un “Atacante Glotón” una vez se estuviera en el vestíbulo del AVE es intentar desayunar gratis en la sala VIP del AVE. Allí hay café, zumos, cervezas, panchitos, televisión, sofás, periódicos, galletas, bollos, agua, servicios limpios y enchufes (que es lo más importante). Sin embargo, el acceso está restringido y para entrar en la zona VIP se necesita:

a) Billete Preferente o Club: En este caso no se podría falsificar, ya que el ordenador está conectado a la red y pasan el billete por el scanner.

b) Tarjeta AVE ORO: Si se da el caso de que tienes una tarjeta AVE Oro, entonces basta con un billete clase turista. En este caso el acceso a la sala va asociado a la tarjeta y no al billete, por lo que miran si el tren es correcto, te piden el DNI (las menos veces), anotan el número de tarjeta (casi nunca) o que se yo, pero… el billete sólo lo miran con los ojos. Así que el Atacante Glotón con tarjeta AVE Oro podría entrar a desayunar, comer, merendar, etc… sólo con conocerse los trenes del día y prepararse un billetico de esos de cartón piedra.

¡OJO!: La sala VIP tiene cámaras de seguridad y no se podría robar galletas para casa, sólo comérselas allí. La normativa de la sala VIP prohíbe sacar alimentos.

Saludos Malignos!

***********************************************************************************************
- Ahorrando con Renfe [I de III]
- Ahorrando con Renfe [II de III]
- Ahorrando con Renfe [III de III]
***********************************************************************************************

martes, junio 15, 2010

Ahorrando con Renfe [I de III]

***********************************************************************************************
- Ahorrando con Renfe [I de III]
- Ahorrando con Renfe [II de III]
- Ahorrando con Renfe [III de III]
***********************************************************************************************

Ayer, uno de los ilustres ganadores del boquerón de la LaCon, Rubén Santamarta, publicaba en 48bits la historia de cómo funcionan los billetes de la Renfe, como estos no pueden ser comprobados en muchos trayectos, y como bastaría con llevar un supuesto billete impreso para que el revisor le diera el visto bueno.

Este estudio, nos contaba, lo había realizado fijándose en el modus operandi de los revisores en sus innumerables viajes, todos ellos pagando por supuesto, por la cornisa norte de España.

Yo, como cliente habitual de la estación de Atocha, llevo mucho tiempo viendo como se podrían usar billetes falsos de RENFE impresos en la estación de Atocha para lo que fuera, y, tras leer el post de Rubén, me he animado a compartirlo.

Vaya por delante que yo nunca he experimentado nada de esto y que todo se basa en la observación del funcionamiento de los sistemas después de llevar más de 15 años siendo un usuario habitual de Atocha y que alguien, en estos tiempos de crisis, quizá utilice o haya utilizado. Es sólamente un ejercicio de estudio de seguridad.

Viajar gratis en Cercanías

El viaje en Cercanías en Madrid entre Móstoles y Atocha está ahora por 2,10 €, lo cual podría justificar para muchos la impresión de un billete falso utilizando el sistema de Rubén. Sin embargo, los billetes de Cercanías no son los billetes de Renfe que se imprimen por la web. Por el contrario, aunque no valdrían para solventar un eventual revisor, si podrían utilizarse para entrar gratis a la red de cercanías.


Figura 1: Trenes de cercanías

Para ello, el truco es usar la entrada por la zona de media distancia. Los trenes de media distancia salen por los andenes de cercanías. En la siguiente imagen, esta zona de andenes es la que está rodeada con el recuadro azul, mientras que la zona de larga distancia es la del recuadro verde.


Figura 2: Plano zonas de Atocha

Entrar a los andenes de cercanías por los tornos principales es casi una odisea, hay un montón de personal y guardias de seguridad que comprueban estos tornos, que pueden verse en esta foto.


Figura 3: Tornos del vestíbulo superior de cercanías

Sin embargo, Atocha, en la zona de cercanías tiene otra entrada de tornos, a la zona de nivel intermedio. Esa zona de tornos da acceso a un vestíbulo que está en la planta intermedia y que también puede utilizarse para acceder a la zona de Cercanías. Es éste el vestíbulo que se usa para la entrada a los trenes de media distancia. En este vídeo, se puede ver a la señorita dando acceso al vestíbulo intermedio, que comunica con los andenes de Cercanías, a aquellos viajeros que lleven un billete impreso. Está situado en la X morada de la Figura 2.


Figura 4: Acceso a trenes de media distancia

Como se puede ver en la foto, la señorita que está atendiendo no tiene nunca máquina para comprobar si el billete es auténtico o falso, por lo que utiliza sus ojos para ver si la fecha y el tren es el de hoy. Un atacante podría mirar los trenes del día en la web e imprimirse su billete de media distancia antes de salir de casa.

El problema viene a la hora de salir en las estaciones. Este problema se debe resolver, dependiendo de tu estación, con el método que más se adecúe. Las salidas están menos controladas, así que si sale mucha gente, basta con usar el truco de pegarse. Esto, que es una cutrada, en horas punta lo hace hasta la gente aun llevando billete, porque el sistema de salida es lento, así que no llama la atención a nadie.

El segundo sistema es conocer tu estación, en muchas ni tan siquiera se pide el billete para salir, en Madrid, pasa en muchas de ellas. El último, que es el que se puede emplear en Móstoles, es el del botoncito de ayuda. Muchas veces falla el billete, así que en la salida hay un botón para que llames al empleado, venga de desayunar, le cuentes que el billete no funciona, lo mire, lo lleve a una máquina, lo compruebe y te abra.

Con una ciudad como Móstoles, con 250.000 ciudadanos, hemos optimizado el sistema para que funcione de una manera mucho más eficiente, así que, llamas al botón, y sin ni tan siquiera contestar,... te abren el torno. Bronxtolex es genial.

Saludos Malignos!

Nota: Todas las imágenes de este post está sacadas de Internet buscando por "Atocha" en Google Images.

***********************************************************************************************
- Ahorrando con Renfe [I de III]
- Ahorrando con Renfe [II de III]
- Ahorrando con Renfe [III de III]
***********************************************************************************************

lunes, junio 14, 2010

Algunos Ubuntus de Ubuntu

Ayer me entretuve un rato usando la FOCA con el dominio de ubuntu.com. Ya sabéis, por eso de perder el tiempo haciendo de beta-tester de la FOCA para que se me ocurran maldades.

El caso es que recordé que hace un par de años, también por verano, había sucedido un incidente de seguridad con los servidores de las Comunidades Ubuntu. Aquella historia fue un poco hilarante, ya que las Comunidades Ubuntu corrían sobre servidores Debian sin actualizar ya que Ubuntu no daba soporte al driver del servidor que usaban las comunidades Ubuntu. Si, a mí también me pareció un WTF.

El caso es que, al probar la FOCA con Ubuntu.com pensé... estos tipos dijeron que iban a pasar todo a Ubuntu server.... ¿lo habrán hecho? Ya sabía que la respuesta iba a ser que no, pero...le pasé la FOCA un rato... y estos son algunos de los Servidores Ubuntu que salieron.

El IRC y otros tantos en Debian

Todos los servidores IRC y bastantes más, corren en distros Debian. En total, más de 30 servidores de Ubuntu.com corren en distribuciones Debian.... como corrían las comunidades Ubuntu hace 2 años.


Figura 1: Muchos de los servidores Ubuntu son Debian

FreeBSDs

En la lista inical de, aproximadamente, 130 servidores que saco la FOCA en un ratito aparecieron un par de FreeBSDs http://tr.archive.ubuntu.com/ y http://fr.archive.ubuntu.com/.


Figura 2: FreeBSDs en Ubuntu.com

RedHat

Y por último, un RedHat para el servicio http://de.archive.ubuntu.com.


RedHat da soporte a http://de.archive.ubuntu.com

Al final, no deja de ser más que una curiosidad, pero... supongo que cuando intentas vender un servicio de soporte para tus servidores y quieres promocionar tu tecnología, no hay nada mejor que hacer dogfooding, y parece que a Ubuntu.com se la trae un poco al pairo. Luego, si algún día pasa algo, alguno saldrá otra vez con el chiste del "driver".

Saludos Malignos!

domingo, junio 13, 2010

Google se "explica" en el caso de la captura de datos WiFi del Google Street View Car

Google está consiguiendo meterse en un buen problema con el caso del coche usado para recoger datos para el servicio de Google Street View. El famoso proyecto permite visitar ciudades con fotos tomadas a pie de calle. Ya, simplemente por eso, generó mucha polémica entre los vecinos que no deseaban que se vieran sus zonas, alegando que un criminal podría detectar fallos en la seguridad de las zonas, descubrir puertas inseguras, zonas no vigiladas o, simplemente, por la altura a la que se tomaban las fotos, ya que se colaba por encima de muchos muros en casas, permitiendo ver con facilidad el interior. Esto llevó, incluso, a gobiernos como el de Suiza a demandarle por invadir la privacidad de los ciudadanos y a ciudadanos a bloquear el acceso del coche. Además, la tecnología de pixelación de caras y matrículas, en muchas ocasiones falló y dejó, por error, expuesta la intimidad de personas a las que llegó a pillar hasta meando en la calle.

La cosa se complicó este año cuando desde Google se confirmó que se habían capturado datos de las redes WiFi de las regiones a medida que pasaba el coche. La primera respuesta que se dio a este incidente fue que, simplemente, había sido por equivocación.

Ante el anuncio de esta situación, los países europeos en los que las leyes de protección de datos son más avanzadas, como es el caso de España, Alemania [donde te pueden multar incluso por tener la WiFi insegura] y Francia, solicitaron, por medio de la Agenda de Protección de Datos en el caso de España, todos los datos capturados por el coche en las ciudades Españolas.

Al mismo tiempo, en Orlando, un bufete de abogados demandaba a Google, alegando que no había sido para nada un error, sino una planificación premeditada de capturar datos para un servicio que pretendía ofrecer de marketing directo geoposicionando clientes y dispositivos, tal y como había descrito en la solicitud de patente 766 que Google había hecho en el año 2008.

El gobierno Australiano, por su parte, ya ha denunciado a Google por este hecho y se ha abierto una investigación, mientras que en Europa se está pensado que hacer.
Google, anticipando lo que se le venía, ha encargado un análisis del código del programa utilizado en la captura de datos. Dicho programa se llama Gslite y en el informe encargado por Google, que puedes leer en la siguiente URL [Source Code Analysis of Gstumbler], se dice que sí, que se guardaban los datos de las redes inseguras en un disco duro, pero que no se analizaban a posteriori.

Es curioso que se guardase el tráfico inseguro y no el que iba cifrado y, la explicación se puede recoger en los siguientes puntos.
El apartado 5 se confirma este hecho:

“5. While gslite parses the header information from all wireless networks, it does not attempt to parse the body of any wireless data packets. The body of wireless data packets is where user-created content, such as e-mails or file transfers, or evidence of user activity, such as Internet browsing, may be found. While running in memory, gslite permanently drops the bodies of all data traffic transmitted over encrypted wireless networks. The gslite program does write to a hard drive the bodies of wireless data packets from unencrypted networks. However, it does not attempt to analyze or parse that data.

Lo curioso es que dice que sólo se parsean las tramas de control, pero no las de datos. Sin embargo, en el caso de redes abiertas, los cuerpos de los paquetes de datos son almacenados.

En el punto 42 se puede leer la explicación del código, paso a paso:

"42. During the TruncateParserImpl::Parse() parsing function, gslite reads the encryption flag on each frame. That bit is located within the second byte of the Frame Control on an 802.11 frame. If the encryption flag is set to “true,” then the frame’s body, or payload, is cleared from memory and permanently discarded. If it is “false” the frame’s body is retained for writing to disk."

Es decir, si no está activo el bit de cifrado, entonces se almacena. En el punto 43 se confirma que esos datos son geoposicionados y el 44 viene la explicación de por qué.

"44. The parsed 802.11 frame object is written to disk using WriteProtocolMessage() method of the RecordWriter object. In the case of Management frames, the body is written to disk as parsed Information Elements, while in the case of unencrypted Data frames, the body is written to disk in unparsed format. It is our understanding based upon representations from Google that the RecordIO module, used to write the Dot11Frame objects to disk, is a common shared library within Google, and it is utilized unchanged in gslite."

La parte subrayada del punto 44 viene a decir:

"A nuestro entender, basándonos en representaciones de Google, que el módulo RecordIO, usado para escribir los objetos Dot11Frame a disco, es una biblioteca compartida comúnmente en Google y que se usa sin realizar cambios en gslite."

Bueno, esa es la explicación de Google, que fue un “error informático” por no cambiar el comportamiento de la biblioteca. Ahora, parece ser, que tendrán que decidir los jueces y la opinión pública sobre si estas explicaciones son suficientes.

Saludos Malignos!

sábado, junio 12, 2010

La Futura FOCA en alpha

La próxima versión que estará disponible de la FOCA, será la versión 2.5. Esta nueva versión está creciendo en la parte de Fingerprinting dirigido y recogida de información gracias a todas las idéas que vais pasándonos. La herramienta ya recoge una cantidad de información considerable que esperamos que os ayuden en vuestros procesos de Pentesting.

Para hacer este ejemplillo, nada mejor que la web de CloudSecurityAlliance.org de la que hablé ayer mismo ya que, curiosamente, no limpia los metadatos [ Tiene su gracia, ¿no?]. Para este ejemplo sólo he descargado unos cuantos ficheros de MS Office.


Figura 1: Ficheros MS Office en cloudsecurityalliance.org

Hasta aquí nada nuevo que no se pudiera hacer con la FOCA RC3 o la FOCA 2.0.3. Pero, sí que hay cambios en el análisis posterior de la información.

Rutas, rutas, rutas

Una de las cosas que estamos intentando explotar al máximo es el descubrimiento de rutas, ya que las rutas nos van a permitir las siguientes cosas:

1) Descubrir servidores.
2) Descubrir ficheros publicados en servidores.
3) Descubrir directorios en servidores.

Esta información se almacena en el proyecto para, posteriormente, poder ampliar la información de un servidor web que publica ficheros buscando:

1) Que directorios de los descubiertos están abiertos, es decir, que no tiene protegido el listado de ficheros.
2) Cuáles de esos directorios tienen configurados métodos HTTP inseguros.

Toda esta información se va añadiendo a la ficha de un dominio.

Reconocimiento de tecnología

Aparte de que ya tiene implementada la lectura de banner HTTP y SMTP, más la información que ofrezca Shodan, se ha añadido, la posibilidad de buscar ficheros de tecnologías en servidor web. Así, con unas sencillas búsquedas se obtienen las rutas donde hay ficheros ASP, JSP, ASPX, PHP, etc... en un servidor web.


Figura 2: Tecnologías buscadas en dominios

Este escaneo tendrá dos métodos de funcionamiento, uno rápido, que sólo obtendrá si hay algún fichero de esa tecnología, y otro detallado, que devolverá las rutas de los ficheros.


Figura 3: Ficheros, tecnología e información de un dominio

Por supuesto, las rutas de los ficheros se analizarán para descubrir directorios, y, en cada directorio se probará si está el listado de archivos habilitado y si tiene métodos inseguros HTTP.

Cuanta más información mejor

Al final, la ficha del servidor, mostrará toda la información que se ha podido sacar de el servidor, utilizando todos los tests que se hayan usado. Además, para sacar más servidores, la búsqueda en Google Sets es automática, por lo que no es necesario hacerlo manualmente sino que la FOCA va a probar con todos los nombres de dominios descubiertos.


Figura 4: Información de un servidor. Descubrimiento con Google Sets

Aun seguiremos añadiendo alguna cosa hasta finales de Junio, momento en que se cerrarán las funciones y sólo nos dedicaremos a testeo y estabilización para que en la próximas conferencias luzca bien y la podáis descargar con garantías.

De nuevo, cualquier sugerencia, ayuda o idea será bienvenida, zoofílicos amantes de la FOCA.

Saludos Malignos!

viernes, junio 11, 2010

Nubarrones en mi mente

Desde hace muchos años llevo oyendo esa historia del cliente ligero. La vuelta a los terminales con más o menos potencia, pero un regreso a una arquitectura donde datos y aplicaciones se encuentren en unos servidores remotos a los que se accede mediante un terminal, que puede llamarse Navegador de Internet.

Los intentos por vender esta arquitectura a los clientes han seguido distintas estrategias que han ido por el ahorro de costes en el mantenimiento, el ahorro de costes en la adquisición, la potencia de cómputo, la disponibilidad, etc… Primero fueron sólo intentos de vender las aplicaciones en Internet, VPS, que si el SaaS, los megaclusters distribuidos o el Grid computing y por fin…. la nube.

Dice un amigo mío que es el mismo regalo con distinto lazo y que, el autentico problema ha sido durante mucho tiempo el buscar un nombre bonito para arreglar el asunto de la sinestesia en los términos elegidos. Había que buscar algo que sonara bien y… la nube llegó.

Sin embargo, yo, como hombre del siglo pasado sigo teniendo mis miedos y mis reticencias a estar en las nubes. Entiendo que los servicios que no sean Core de la empresa son ideales para que se coma la responsabilidad otro. Pero… con mis “cosicas” no se juega.

El gran Héctor, artista del surf informático, que siempre consigue encontrarse con la tabla donde rompe la ola, me comentaba el top de riesgos en seguridad en la nube descritos por la Cloud Security Alliance cuando le comentaba algún incidente mío. Puedes leerte los que se han descrito allí y, si lo prefieres, también mis temores:

- Durmiendo con su enemigo: Marco, de SensePost, dio en la Troopers 2010 una charla en la que hacía virguerías con los servicios en la nube. En muchos de esos ejemplos bastaba con sacarse una cuenta, y al viejo estilo de hosting compartido colarse de un sitio a otro buscando alguna debilidad en la arquitectura o en la configuración. No es un CPD aislado, es una nube donde habitan muchos pájaros.

- Aquí y Ahora: Si datos y aplicaciones están en la nube… que pasa si se quedan ellos sin conexión o si alguien realiza un D.D.O.S. contra las líneas de comunicaciones de salida de la compañía. Eso de trabajar dentro de casa, aislado del mundanal ruido permite trabajar mientras tengas luz en casa al menos con los datos mínimos.

- Insiders: En estas épocas de crisis… ¿no podría darse el caso de que alguien quisiera ganarse alguien un sobresueldo vendiendo alguno de los datos que se encuentren en la nube? No sé, a competidores, enemigos o estafadores.

- Seguro que es seguro: Estando como están de expuestos los servicios en Internet, es probable que muchos malos se centren en auditar estos servicios hasta encontrar los últimos fallitos. ¿Cómo me afectaría un ataque gordo y en serio a ellos?

- Control de entrada: ¿Y si alguien roba una password? Al estar la aplicación en la nube, cualquiera de allí podría acceder, simplemente con ella. ¿Y eso de que la app esté filtrada en el firewall y sólo se pueda acceder desde la red interna? Eso de tirar una VPN autenticada con smartcards, o el uso de NAP o DirectAccess con su UAG y, una vez dentro… ya hablamos de la aplicación.

Son sólo miedos personales, a los que a lo mejor hay una respuesta técnica satisfactoria, pero todavía los tengo (¿tenemos?) que superar. Esto no quiere decir que no me guste el que haya muchas aplicaciones en la nube que puedan ser contratadas como servicio, pero, desde luego, todo lo que tenga que ver con el core de mi empresa lo quiero corriendo en MI nube, que sea grande o pequeña, está debajo del colchón, la tengo a la vista y sé lo que hago con ella.

Saludos Malignos!

jueves, junio 10, 2010

Estado del expediente de Google Chrome

El 25 de Mayo reportamos al proyecto de Chromium, lo que a nuestro entender era, un fallo de seguridad respecto a una funcionalidad de las opciones de privacidad. Aunque nosotros lo reportamos para la versión 4, dicho funcionamiento es idéntico en la nueva versión 5. Dicha opción existe para bloquear el Javascript en todos los sitios menos en una lista de excepciones o viceversa. Sin embargo, cuando el sitio está metido dentro de un iframe esta opción no funciona ya que se aplica solo la URL de la top window.

La respuesta inicial al reporte fue que no era un fallo sino una característica del funcionamiento y que, al final, un usuario medio, no sabe que es un iframe. En este post os quiero poner un poco al día de cómo ha evolucionado la historia ya que no parece que vaya a haber sangre con esta "issue".

En primer lugar, la issue 44985 ha recibido un nuevo nombre y ha pasado a tener el nombre de “Make content settings restrictions apply to resources (as well as the top frame)”. Además, de la catalogación inical de Wonfix ha pasado a un estado de prioridad 3 y ser un caso abierto.


Figura 1: Status actual del expediente

Este cambio se produjo al poco tiempo, por parte de uno los que revisó el caso a posteriori, (por privacidad voy a mantenerle en el anonimato). Como se puede ver, la issue 44958 la catalogaron como una “petición de característica”.


Figura 2: Reapertura del expediente

Sin embargo, sirdarckcat vino a poner algo de orden a esto, explicándolo para que todo el mundo lo entendiese.


Figura 3: Explicación rápida

Al final, parece que se está trabajando en modificar la funcionalidad para que funcione en todas las URL de recursos además de que se pueda elegir puntualmente si se permiten los scripts de una web cuando están cargados de distintos sitos. Algo similar a lo que tiene Internet Explorer 8 con el filtro InPrivate.


Figura 4: Filtro inPrivate de Internet Explorer 8

Seguiremos a la espera hasta ver como termina esta historia y cuando tendremos disponible esta opción de privacidad en Google Chrome.

Saludos Malignos!

Entradas populares