martes, enero 31, 2012

Puedes borrar el blog pero Google Reader guarda el feed

Haciendo pruebas para encontrar un post de un blog que había sido borrado, nuestro compañero Francisco Oca se dio cuenta de que podía recuperarlo siempre desde Google Reader, es decir, desde la caché que allí se gestiona para todos los lectores.

Así, por ejemplo, es fácil probar esta teoría con un blog borrado, en este caso con el blog que gestionaba nuestro amigo Eduardo Abril de Hacking Avanzado. El dominio de este blog aún está disponible, aunque como se puede ver no cuenta con ningún post en la actualidad.

Figura 1: Status actual del blog, con ningún post publicado

Si se visita la URL donde estaba publicado el feed se puede ver que ya no hay ningún artículo allí tampoco, por lo que parece que el borrado ha sido permanente.

Figura 2: Status actual del feed RSS, sin ningún post publicado

Sin embargo, como descubrió nuestro compañero, basta con ir a cualquier Google Reader y solicitar suscribirse al extinto feed RSS.

Figura 3: Añadiendo el feed con los posts borrados

Como se puede ver, ya es posible acceder a todos los contenidos desde Google Reader, ya que el feed RSS lo carga desde la caché.


Para borrar definitivamente un blog, habrá que hablar con Google y solicitar el borrado del feed RSS de la caché de Google Reader, pero esto aún no tengo muy claro cómo se puede hacer. Además, esto podría permitir acceder a cualquier post pasado borrado de cualquier blog, lo que hay que tener presente.

Saludos Malignos!

lunes, enero 30, 2012

Febrero: Avance de actividades

Hasta que retorne la Gira Up To Secure en Marzo con el evento de Tenerife queda el mes de Febrero completo por delante. Por supuesto, durante este mes también va haber un buen número de actividades que os paso a relatar:

- Virtual HOLs de Windows 8: A través de Internet, y utilizando la infraestructura de Aulas Virtuales de Informática64, vamos a impartir dos seminarios el martes y el miércoles de la semana que viene:

-->31 de Enero:  Windows 8: Implementing
-->01 de Febrero; Windows 8: Administración. 

- FTSAI 8th: El 17 de Febrero dará comienzo la octava edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI). Esa formación, de 150 horas, se impartirá siguiendo la tradición en 6 módulos de 5 jornadas de viernes cada uno en horario de 16:00 a 21:00 horas en las oficinas de Informática 64. El curso durará hasta Noviembre de este año, con el obligado parón estival de por medio. El calendario es:

--> 17/02: Conceptos de Auditoría de Seguridad
--> 23/03: Auditoría de Servers & Clients
--> 04/05: Auditoría de Aplicaciones Web
-- > 08/06: Auditoría de Red
--> 07/09: Auditoría WiFi, IM, VoIP, VPNs
--> 19/10: Análisis Forense

- Magirus OpenHouse: El próximo día 21 de Febrero participaré con una pequeña ponencia en el evento de Magirus OpenHouse 2012, en Madrid. Tienes toda la información sobre dicho evento, que versará sobre seguridad y la nube, en la web.

- III Jornadas de Seguridad en A Coruña: Los días 23, 24 y 25 de Febrero tendrán lugar, en las instalaciones de la Facultad de Informática de la Universidad de A Coruña las Jornadas de Seguridad Informática. Allí, Pedro Sánchez, David Barroso, Miguel Gesteiro, Alfonso Muñoz, Angel Prado y yo entre otros, participaremos con charlas de seguridad y hacking. 

- RootedLabs en Madrid: Terminará nuestra lista de actividades del mes con la ejecución de los RootedLabs. Actualmente se encuentran llenos casi todos, pero aún quedan disponibles algunas plazas y siempre puedes ponerte en reserva por si hay alguna cancelación de última hora. Los profesores seremos Alejandro Ramos, Joxean Koret, Juan Luís Rambla, Silverhack, Sebastián Guerrero, Sergio de los Santos, Raúl Siles, Dani Romero y yo. Tienes un status de los seminarios y las plazas disponibles en la web de los RootedLabs.

--> 27/02: RLAB20 Fundamentos de Ingeniería Inversa I
--> 27/02: RLAB21 Analizando y explotando aplicaciones web con Samurai-WTF
--> 27/02: RLAB22 Ataques en redes de datos IPv4 e IPv6
--> 28/02: RLAB23 Ingeniería Inversa Práctica Básica
--> 28/02: RLAB24 Iniciación al Pentest
--> 28/02: RLAB25 Análisis Forense de iDevices (iPhone, iPad e iPod Touch)
--> 29/02: RLAB26 Máxima Seguridad en Windows
--> 29/92: RLAB27 Ingeniería Inversa en Android
--> 29/02: RLAB28 Pentesting Web Applications

Saludos Malignos!

domingo, enero 29, 2012

No Lusers: The Making off

La manera de cómo he ido haciendo los dibujos de No Lusers ha ido cambiando a lo largo de los años desde que comencé a dibujar el primero mientras atendíamos Palako y yo en las oficinas de Microsoft London a una conferencia sobre MS SharePoint Portal Server 2003.

En aquel entonces me dedicaba a dibujar en rincones de cualquier papel que encontraba que luego escaneaba y montaba cómo podía en el PaintBrush. Como le tomé gusto decidí comprarme unas cuartillas de tamaño A5 que llevaba conmigo a todas partes para tener los originales controlados - ahora los tengo guardados en un cajón que de vez en cuando reviso con nostalgia, como éste de hacking mom -.

Tiempo después, recibí como regalo para mi cumpleaños una tablet Wacom con la que empecé a hacer unos No Lusers distintos, y con los que me animé a comenzar con el color y todo, fue la DigiEvolución.

Aunque me gustaba mucho dibujar con la tablet, el problema residía en que dibujar consistía en tener que llevar la Wacom encima o buscar un momento libre para sentarme a dibujar, y lo apretado de mi agenda no me permite tener siempre esos huecos, así que dejé de dibujar largo tiempo.

Así, cuando me hice con un ay!Pad que se compró para jugar con él en temas de seguridad descubrí que se podía utilizar para dibujar, así que muerto de envidia por el trabajo de Agent-X, la empecé a usarlo como herramienta de dibujo, y hago los No Lusers con el dedo.

Cuando digo que lo hago con el dedo algunos suelen pensar que no es posible, pero lo cierto es que tras probar algún lápiz de ay!pad el resultado siempre es mejor con el dedo. De hecho, para los incrédulos no suele bastar con que se lo diga, sino que muchas veces me piden que les haga una quick-demo.

Como herramienta uso Autodesk Sketchbook Pro para iPad que me permite trabajar con capas, tiene un buen surtido de pinceles, y permite trabajar con la cantidad necesaria de zoom que necesito para el nivel de detalle que soy capaz de hacer en mis tiras.

¿Cómo se hace en un ejemplo?

Para los más curiosos, os dejo como ejemplo el proceso despiezado sobre el No Lusers 112. Para ello primero se hace una distribución esquemática con un color gris, que luego matizo más en otra capa con color rojo, para tener más o menos claro lo que voy a pintar.

Figura 1: Las capas de los bocetos

Después, haciendo uso del zoom hago en color negro el dibujo con los detalles. En este caso hice el fondo y el personaje en capas separadas. Aquí se ve la capa del color de fondo.

Figura 2: La capa final con el contorno del fondo

Después, con una capa por debajo me dedico a pintar los colorines para que la capa del contorno quede por encima y no me salga al dar color.

Figura 3: Las capas de color del fondo y el contorno

En capas por encima, utilizando el algoritmo del pintor - nunca mejor dicho - se dibujan los distintos personajes de la viñeta.

Figura 4: Capas de todos los elementos juntos

Luego una capa para poner el bocadillo con los textos, y el dibujo queda terminado.

Figura 5: El dibujo final con el bocadillo y los textos

Al final, el resultado queda con sus capas y listo.

Figura 6: El dibujo completo con todas las capas

Espero que con estos consejos los políticos de nuestro país puedan usar su ay!Pad para dibujar y así, si no quieren hacer nada bueno, pues que al menos no rompan nada más mientras tienen el cargo.

Saluos Malignos!

sábado, enero 28, 2012

El Hot-SEO de la cacha hace amigos en Facebook

No hace demasiado en una entrevista me preguntaron que cómo podían hacer para tener más visitas en un blog y yo les contesté con lo que tengo claro hace mucho tiempo: Con el porno, pero no sé si ese es el objetivo de vuestro de blog.

Lo cierto es que esto no lo dije por hacer una gracia, sino porque desde hace mucho tiempo se sabe que Internet es para descargar porno, algo que queda muy claro en las estadísticas, que los de la industria del porno tienen claro y por eso nos quieren meter un consolador leganal y que hizo que durante un tiempo una foto "porno" fuera lo más visitado de este blog.

Sin embargo, no se puede hacer uso del porno a la ligera para conseguir tráfico, ya que algunos sitios se ponen finolis de cara a la galería y se dedican a cerrar cuentas de servicios a aquellos usuarios que se han pasado un poco de la raya de los límites de la moral del que esté de turno. Algo que, los más hábiles diluyen con el arte del erotismo, haciendo que por ejemplo, YouTube esté lleno de "cine S".

En el mundo del SEO de redes sociales, y siempre dejando las técnicas de Black-SEO de empresarios de moral relajada aparte, han aparecido también trucos y técnicas variadas, como la de comerciar con los likes - que llevo a Facebook a demandar a Mark Zuckerberg - o la de poner contenido solo si has hecho un like antes de verlo.

Pero no es necesario irse tan lejos, ya que de nuevo, el viejo truco de la cacha sirve para hacer amigos, así, cuando de repente en mi cuenta Facebook me sale el gadget de Gente a la que suscribirse, siempre acaban saliendo la colección de leopardesas de turno.

Figura 1: "Leopardesas" propuestas a las que suscribirse

¿Por qué siempre leopardesas?, me pregunté un día entre ingenuo y perplejo. Es por ello, que como tengo alma de gato muerto por su curiosidad, decidí ver qué era eso que las hacía salir siempre en mis recomendaciones de suscripción.

En un primer momento pensé: "joder con el Facebook, va a ser verdad eso de que sabe todo lo que a ti te gusta", pero luego descubrí que es que son auténticas celebrities del Facebook, con un número de suscriptores a sus publicaciones brutal - algo entendible viendo la calidad de las fotos públicas que ahí salen -.

Figura 2: Leopardesa con más de 800.000 suscriptores

Y es que, Internet está hecho para el sexo, el porno y el calentón, con lo que es suficiente con hacer públicas las mejores fotos de tus cachas para hacer que todo el mundo en las redes sociales esté pendiente del próximo tetamen, culamen o certamen que se haga.
Así que si en las redes sociales quieres hacer buen SEO sólo tienes que enseñar el meo.
Autor: Tetón, Grecia, S III a.C.
Eso sí, si sigues los consejos de Tetón, que sea siempre porque tú quieres, y no porque vuelques en Facebook esas fotos de tu viaje a Praga tan chulas... sin censurar antes.

Saludos Malignos!

viernes, enero 27, 2012

No Lusers 120: El virus EULA de David Hasselhoff


Seguro que muchos de vosotros os habréis hecho la misma pregunta que yo.... ¿Qué llevó a David Hasselhoff a hacerse la famosa fotos con los perros? ¿Fue la foto con los perros la culpable de que cenase después hamburguesas con vodka? Esta es una explicación posible de mi invención sobre el posible germen que traería después el ataque David Hasselhoff...

Saludos Malignos!

jueves, enero 26, 2012

DUST: Manual de Usuario (III de IV)

**************************************************************************************************
- DUST: Manual de Usuario (I de IV)
- DUST: Manual de Usuario (II de IV)
- DUST: Manual de Usuario (III de IV)
- DUST: Manual de Usuario (IV de IV)
**************************************************************************************************

Añadir clave púbilca PGP a un blog (continuación)

Así, una vez creada, basta con seleccionar el fichero donde se ha guardado la clave pública que hemos visto cómo se generaba en el apartado anterior

Figura 11: Selección del fichero de la clave pública PGP
Ahora, si se mira la información del blog al que estamos suscritos, no solo habrá fuentes redundante Http, sino que también habrá una fuente redundante P2P con una clave Pública PGP.

Figura 12: Fuentes de datos para el blog al que estamos suscritos

A partir de este punto, cuando Dust actualice el blog buscará feeds tanto en las URLs especificadas cómo ficheros en la red P2P que contengan en el nombre el hash SHA-1 de la clave pública asociada. Se descargará esos ficheros y comprobará si están firmados por la clave privada asociada a esa clave pública. En tal caso actualizará el blog con los nuevos posts y buscará también las imágenes referenciadas por los posts. En la opción de Log podemos seguir una traza de todo lo que Dust va haciendo.

Figura 13: Log de actividad en Dust

En la Figura 13 se puede ver cómo se ha intentado una actualización después de añadir la clave pública PGP a las fuentes del blog y que encuentra contenido por ambas URLs y, de momento, nada por P2P. Podemos apreciar que se busca una cadena de caracteres hexadecimales, esta cadena es el hash SHA-1 de la clave pública PGP.

Publicar un blog por P2P con Dust

Para que los usuarios que tienen asociada una clave pública a un blog reciban contenido de ese blog por la red P2P, es necesario que el dueño de la clave privada PGP asociada a esa clave pública de suscripción (éste puede ser el blogger original o terceras partes) publique el blog desde Dust. Este proceso realiza los siguientes pasos:
1.- Descarga las imágenes asociadas al feed actual.
2.- Firma cada imagen con la clave privada.
3.- Cambia el nombre de la imagen por el del SHA-1 de la URL de la imagen, que se obtiene del atributo src de cada img tag del contenido del post que la referencia.
4.- Guarda el fichero con la imagen generada en el directorio shared/ con nombre {hash}.{extension original}.asc
5.- Modifica el feed. Borra los atributos src de todas las imágenes y añade/modifica el atributo alt a los img tags de cada post para que contengan una referencia a la red donde buscar y la cadena a buscar.
6.-Firma el feed con la clave privada.
7.-Guarda el fichero feed firmado en shared/ bajo el nombre {canal}-{timestamp de la creación}-{hash de clave pública}.xml.asc
¿Por qué se le dan nombres tan raros a las imágenes? Era un método cómodo para evitar colisiones en el nombre del fichero, salvo que sea la misma imagen.

¿Por qué se le pone al feed el hash de la clave pública, no bastaba con el nombre del canal?. Es una forma de discriminar ficheros del mismo canal pero firmados por distintos autores. Quizás a alguien le interesa suscribirse a un blog que tiene canales de publicación X, Y y Z, cada uno con su clave pública, pero a otro solo interesa sólo suscribirte a lo que se dice en el blog por Y. En este caso sólo asocias a tu suscripción la clave pública de Y, de forma que las búsquedas por P2P sólo devolverían lo que firma Y y no lo que firman X y Z.

¿Por qué se modifica el feed a la hora de publicar? Se añade o modifica a las imágenes el atributo alt para que cuando alguien descargue ese feed pueda también buscar y descargar las imágenes relacionadas. El atributo src se borra debido a que a la hora de (re)publicar no se tiene en cuenta si el feed que se (re)publica se obtuvo a través de HTTP o de P2P. En el caso de un feed que viene por P2P, una vez descargado, se modifica el valor src de las imágenes para que apunten a la ruta local donde estarán esas imágenes cuando se descarguen. Es por ello que hace falta eliminar el valor de src al publicar, para evitar publicar en Internet el espacio de nombres de tu sistema de ficheros, ya que podría contener algo como “C:\Users\{tu usuario}\...” o “/home/{tu usuario}/...”.

Para publicar un blog tenemos que darle a la opción Publicate blog del menú emergente de un blog. A continuación irán apareciendo tres cuadros de diálogo. En el primero se especifica el archivo donde se encuentra contenida la clave privada PGP que se usará para firmar. En el segundo se introduce la contraseña para acceder a la clave privada. En el tercero se pide la clave pública PGP asociada a esa clave privada.

Figura 14: Opción de publicar el blog

Figura 15: Selección de clave privada PGP


Figura 16: Contraseña de acceso a la clave privada PGP
Figura 17: Selección de fichero que contiene la clave pública

**************************************************************************************************
- DUST: Manual de Usuario (I de IV)
- DUST: Manual de Usuario (II de IV)
- DUST: Manual de Usuario (III de IV)
- DUST: Manual de Usuario (IV de IV)
**************************************************************************************************

miércoles, enero 25, 2012

Libro Esquema Nacional de Seguridad con Microsoft

Ya tenemos publicado otro libro dentro de la colección de Informática64. En esta ocasión, Esquema Nacional de Seguridad con Microsoft, es un texto que ya conocéis pero que hemos sacado en un tirada pequeña para los que nos gusta tener la colección en papel. El libro cuenta cómo se debe aplicar el Esquema Nacional de Seguridad en la administración pública española y en los proyectos que tengan que realizarse en ella con tecnologías Microsoft.

Es un texto que nos ha venido muy bien como guía de referencia básica a la hora de entender qué sistemas de autenticación, monitorización o conexión remota, por poner algunos ejemplos, deben implementarse y cómo deben ser implementados, dependiendo de los requisitos de seguridad que marca el Esquema de Seguridad Nacional.


Saludos Malignos!

martes, enero 24, 2012

Windows 8, el interfaz Metro y la Start Screen, la ley de Fitts, los equipos híbridos y los sistemas operativos anfíbios

Una de las cosas que más echa para atrás de inicio a muchos IT Pros o CTOs es el famoso Interfaz Metro que se ha metido en la Start Screen de Windows 8. Con la estética de Windows Phone, a muchos informáticos les recuerda a un teléfono móvil o a un tablet para jugar más que un sistema operativo para trabajar. Aunque no hay que preocuparse en demasía, ya que uno de los botones mágicos de ese interfaz Metro de Windows 8 en la Start Screen es el de Desktop, que lleva directamente al famoso entorno gráfico que los amantes de Windows conocen, y que aún no sabemos cómo será en la ya cercana beta.

Figura 1: Start Screen de Metro en Windows 8. Desktop es una App en él.

Sí que es cierto que no existe la Barra de Inicio que lleva en los sistemas Microsoft Windows desde Windows 95 y Windows NT, y que cuando se pulsa sobre el botón situado en la misma ubicación se navega a la Start Screen. La pregunta que muchos se hacen es... ¿por qué ha hecho esto Microsoft? La respuesta a esta pregunta está en la Ley de Fitts y los equipos híbridos.

Ley de Fitts

La Ley de Fitts se utiliza como base de referencia a la hora de diseñar sistemas de interacción humano-máquina, es decir, cuando hay que diseñar interfaces de usuario. Los estudios de Paul Fitts son utilizados en la creación de sistemas ergonómicos, a la hora de medir la comodidad o la facilidad de uso de un sistema, teniendo en cuenta factores como la distancia, el movimiento a realizar o el tamaño del objetivo que debe utilizarse.

En sistemas informáticos, esta ley puede resumirse de una forma entendible por todos en algo como "cuanto menos haya que moverse y más gordo sea lo que hay que dar, más fácil será de manejar". Es por eso que interfaces como el de iPhone, con iconos gordos, en lugar de interfaces como el de Windows CE, son más cómodos de manejar. 

En el caso concreto de la Barra de Inicio de Windows que muchos echan de menos, a Microsoft le bastó con poner sistemas para medir dónde hacían clic los usuarios cuando abrían la aplicación para descubrir que prácticamente nadie hace la ruta de:
 Inico -> Todas las Aplicaciones -> Herramientas de administración -> {puntero de ratón que se sale y se cierra la barra de aplicaciones} -> Inicio -> Todas las Aplicaciones...
Al final, la mayoría de los usuarios hacían uso de los atajos de teclado conocidos, como Windows+e, de las pinned-apps en la barra de tareas, las que salen en la Barra de Inicio tras hacer clic en el Botón de Inicio, o directamente invocan la aplicación con el cuadro de dialogo de buscar o con tecla de Windows + R para lanzarlas por el nombre del fichero: winword.exe, mmc.exe, pbrush, notepad, etc...

Figura 2: Comparación de zonas de uso entre Barra de Inicio y Start Screen

Esto en el mundo Mac OS X es similar, por eso casi todo el mundo hace uso de las aplicaciones de la barra de aplicaciones, del servicio de Spotlight o del arhiqueridisimo Alfred. Es decir, pocos hacen uso de ir a buscar las aplicaciones.

Los equipos híbridos

No obstante, no solo esta ha sido la motivación de Microsoft a la hora de añadir la Start Screen, sino que además es innegable el éxito de los tablets, y en especial de iPad entre empleados de empresas y particulares, que o tienen un iPad, o sueñan con tenerlo o tienen un amigo que lo tiene ya - hasta los jueces la adoran -. Algo que hace las delicias de los usuarios y que convierte la vida de los administradores de sistemas en auténticos infiernos, llegando la cosa a situaciones como la de los diputados a los que se les da un iPad y luego son baneados de la red del congreso de los diputados por no poder cumplir las políticas de seguridad.

Debido a esto, el mercado demanda cada vez más los equipos híbridos, es decir, aquellos que puedan ser un tablet o un equipo de red completo a demanda del usuario, y eso tiene que correr algún sistema operativo que sea capaz de sacar lo mejor de los dos entornos. A día de hoy los equipos híbridos son meros tablets con un teclado bien acoplado, pero el objetivo del futuro es que sea un tablet más un equipo bien potente, con sus microprocesadores, discos duros, etc...

Figura 3: Equipo híbrido de Lenovo

Los sistemas operativos anfibios

En un primer movimiento Apple ha metido en Mac OS X Lion el LaunchPad, es decir, el interfaz de aplicaciones iOS - el sistema operativo de iPad - en su sistema operativo para Mac. Este movimiento tiene perplejo a muchos usuarios que, mientras que no esté disponible un hardware híbrido tablet/Mac parece que no tiene mucho sentido.

Figura 4: LaunchPad de Mac OS X Lion

Por su parte, Microsoft con Windows 8 y el interfaz Metro quiere tener ese sistema operativo anfibio que sea capaz de correr en entornos híbridos de manera cómoda, dando a los administradores toda la potencia de gestionar un Windows dentro de la red, ya sea en formato tablet o en formato PC.

Es por eso fácil entender todos los esfuerzos de Microsoft por sacar un Windows 8 que funcione en sistemas con ARM o de investigar las posibilidades de los sistemas con hardware heterogeneo con microprocesadores de distintas arquitecturas, como es el caso del sistema operativo BarrelFish.

Figura 5: Arquitectura de BarrelFish con hardware heterogeneo

El objetivo de Metro es ser ese entorno para usar en equipos híbridos cuando se comportan como tablets y que pueda permitir, gracias a la Ley de Fitts, ser una barra de inicio cómoda de botones gordas desde la que un usuario de Windows pueda abrir sus aplicaciones.

Figura 6: TaskManager en Windows 8

Serán estas las que deberán adaptarse a estos entornos, como el TaskManager de toda la vida, que se además de tener su interfaz de toda la vida, un poco más mejorado, tendrá su versión de dedo.

Figura 7: TaskManager versión minimalista

Al final, ya sea con LaunchPad o con Metro, parece que en cuanto los sistemas operativos estén finalmente afinados, nos encontraremos con un buen ecosistema de equipos híbridos que nos obligarán a manejar las aplicaciones anfibias con el dedo gordo y con el ratón de toda la vida. 

Saludos Malignos!

PD: Si quieres ir acostumbrándote, ya puedes instalar el UI Metro en Windows 7

lunes, enero 23, 2012

Gira Up To Secure 2012: Tercera semana

Entramos ya en la tercera semana de la Gira Up To Secure 2012, en la que visitaremos las ciudades de Madrid, Valencia y Sevilla. Estamos muy agradecidos de la respuesta que está habiendo de asistencia, ya que se ha superado en un 25 % el número de registrados y asistentes en todas las ciudades, con lo que sabemos que cuesta conseguir una mañana libre en las ocupaciones actuales.

Como siempre, yo llevaré algunos libros a las ciudades, pero si no quieres quedarte sin el tuyo, como ya ha pasado en anteriores eventos, a mí no me importa si me pones un correo electrónico y me dices si quieres una camiseta de la FOCA, camiseta de No Lusers o cualquier libro, para que te lo reserve. Los eventos son:

- 24 de Enero: Gira Up To Secure 2012 en Valencia
- 25 de Enero: Gira Up To Secure 2012 en Madrid
- 26 de Enero: Gira Up To Secure 2012 en Sevilla

Al mismo tiempo, estaremos en Pamplona haciendo una semana de Hands On Lab dedicado a SQL Server 2012, gracias a la colaboración con EGA Informática - nuestro partner en Pamplona de siempre -, que impartirá Rubén Alonso, a los que puedes apuntarte, y también llevará encantado algún libro si nos lo pides antes de que salga de viaje.

- 23 al 27 de Enero: Hands On Lab SQL Server 2012 en Pamplona

Por último, esta semana terminaré impartiendo un Seminario Online de la FOCA 3 en Español al que puedes apuntarte todavía si quieres conseguir una versión PRO de la FOCA 3.

- 27 de Enero: Seminario Online de FOCA PRO 3

Saludos Malignos!

domingo, enero 22, 2012

DUST: Manual de Usuario (II de IV)

**************************************************************************************************
- DUST: Manual de Usuario (I de IV)
- DUST: Manual de Usuario (II de IV)
- DUST: Manual de Usuario (III de IV)
- DUST: Manual de Usuario (IV de IV)
**************************************************************************************************

Añadir fuente HTTP

Como ya se ha comentado, la idea de Dust es tener fuentes redundantes para intentar evitar la censura y el corte de la conexión entre publicador y audiencia - a la par que se consigue un mayor grado de disponibilidad de la fuente de información RSS. Si tenemos un blog que tiene varias fuentes RSS en servidores HTTP donde se publican de forma redundante sus feeds, podemos añadírselos a Dust haciendo clic con el botón derecho sobre un blog al que ya estemos suscrito y pulsando en la opción de Add a new HTTP source. En el cuadro de dialogo se introduce la URL en la que está ubicado el fichero XML de la fuente y listo.

En este caso vamos a añadir como ubicación alternativa de los feeds RSS la fuente “http://feeds.feedburner.com/ElLadoDelMal” al canal que ya habíamos creado con una fuente local.

Figura 7: Añadiendo fuente redundante Http al canal del blog

Esto lo que provoca es que, cuando se intenta actualizar un blog, Dust descargará los feeds de todas las fuentes asociadas a un blog. Si encuentra posts nuevos en cualquiera de esas fuentes que no tenía antes entonces añade los nuevos post. Esto da más libertad de la que parece, ya que podemos incluso “unir” varios blogs en uno o seguir al día un canal aunque alguna de las fuentes esté caída o boqueada.

Por ejemplo si añadimos al blog de “El lado del mal” que usamos antes de ejemplo, la fuente “http://feeds2.feedburner.com/SecurityByDefault”, lo que vamos a acabar teniendo es la mezcla de “El lado del mal” y “Security by default”. Se puede también tener una misma fuente para más de un blog, con lo que tendríamos post repetidos por distintos blogs. A partir de aquí lo que a uno se le ocurra.

Actualizar un blog

Dust intenta actualizar los blogs a los que está suscrito cada hora y nada más arrancar, pero si queremos forzar a una actualización inmediata podemos hacer clic con el botón derecho sobre el blog y darle a la opción de Update this blog. Dust se conectará a todas las URLs fuentes de ese blog y también tratará de buscar a través de la red P2P si tiene asociado para ese blog alguna clave pública, como veremos más adelante en este manual.

Figura 8: Actualizando el blog de manera manual

Figura 9: Nuevos posts después de actualizar con todas las fuentes redundantes

Añadir clave pública PGP a un blog

Las claves públicas PGP asociadas a un blog se utilizan para realizar la búsqueda de nuevos feeds a través de redes P2P. La idea es que los bloggers deben poner disponibles sus claves públicas de los blogs, que deberán ser obtenidas por los lectores de los blogs, con las que van a firmar la distribución de sus feeds RSS por redes P2P.

La distribución de las claves públicas PGP de los blogs no es algo que realice Dust, por lo que deberá hacerse por canales tradicionales de "confianza", es decir, que deberá ser compartida desde el publicador al lector siguiendo una cadena de confianza.

En el mejor de los casos, cuando hablamos de un blog, éste podrá compartir sus claves públicas en sus primeros posts, asumiendo que en ese momento no está bajo censura, con lo que comienza el germen de la cadena para que otros lectores las compartan. También se podría hacer uso de servicios de publicación de claves públicas de blogs, como listas en la web, o ficheros compartidos por redes P2P en los que circulen las claves públicas  PGP de publicación de los blogs que hacen uso de este servicio, etc...

La idea es que el feed RSS de un blog será firmado por una clave PGP por el autor - o cualquier publicador - y será puesto en una red P2P. Dust buscará, como fuente alternativa redundante, un feed RSS firmado con una determinada clave pública PGP para actualizar su canal del blog.

Para ello es necesario asociar la clave pública PGP de un blog a Dust haciendo clic con el botón derecho sobre el blog y seleccionar la opción Add a new public key source. Con esto, cuando se realicen actualizaciones del blog, se buscarán no sólo los feeds RSS en las URLs HTTP que se tienen como fuentes del blog, sino también se hará una búsqueda por las redes P2P buscado feeds RSS firmados con esa clave pública PGP.

Figura 10: Añadir una clave PGP de lectura de un blog


Generación de claves para ser usadas en Dust

Las claves públicas PGP que se asocian a Dust pueden estar en formato binario o con armadura (PEM), para profundizar en ello debes consultar la documentación del programa de generación de pares de claves PGP que estés utilizando.

Como ejemplo, los pasos que se han seguido para obtener la clave que se va a utilizar en los ejemplos  de la siguiente parte se ha generado mediante el uso de la utilidad gpg haciendo uso de los comandos:

$ gpg --gen-keys

Seguir los pasos del asistente rellenando la información apropiada.

$ gpg -a -o ole-public.pem --export

**************************************************************************************************
- DUST: Manual de Usuario (I de IV)
- DUST: Manual de Usuario (II de IV)
- DUST: Manual de Usuario (III de IV)
- DUST: Manual de Usuario (IV de IV)
**************************************************************************************************

sábado, enero 21, 2012

Vota y ayuda a que Intypedia siga vivo en Internet

Como sabéis, muchos de nosotros hemos colaborado con el Proyecto Intypedia - yo lo hice con un módulo de SQL Injection aunque me censuraran la tórrida historia de amor behind the scenes -, y que está impulsado por Jorge Ramió, mi querido "little Budda". Ahora, con la situación económica que atraviesa Europa y España en concreto, se hace complicado conseguir fondos para continuar con el trabajo. Es por eso que para conseguir fondos de patrocinadores es importante que la gente valore positivamente el trabajo que allí se ha realizado, por lo que Jorge ha presentado el proyecto a los Premios de Internet.

Con tu voto y tu ayuda para la difusión puedes ayudar a que el proyecto continúe vivo. Aquí os dejo la carta de Jorge Ramió pidiendo la colaboración de todos.

Saludos Malignos!

Como seguramente sabes, Intypedia es un proyecto dentro de la red temática Criptored, sin ánimo de lucro y que ha venido a llenar el vacío que existía en la Red con respecto a material multimedia con contenidos de primera calidad en seguridad de la información.

Su éxito lo avalan las más de 140.000 reproducciones de sus vídeos en menos de año y medio, en tanto que a 17 de enero de 2012 se contabilizan más de 10.000 reproducciones nuevas en este mes.

Conociendo la convocatoria de la XIV edición de premios de Internet 2012, y que dichos premios consisten en una estatuilla de diseño exclusivo, sin llevar asociada ninguna asignación económica, hemos presentado el proyecto Intypedia a esta edición de los premios en las categorías de Mejor Web y Mejor Iniciativa.

Los Premios de Internet tienen como objetivo reconocer a los mejores de Internet de la Comunidad Iberoamericana. Son convocados anualmente por Asociaciones de Usuarios de Internet e Internautas de Iberoamérica, con motivo de la celebración del Día Mundial de la Sociedad de la Información que se celebra el 17 de Mayo.

Se ha abierto el periodo de votación on-line, que durará hasta el 30 de abril de 2012. Del 6 al 10 de Mayo de 2102 se comunican los finalistas seleccionados en cada categoría y el 17 de Mayo de 2012 se darán a conocerlos ganadores y se les hace entrega de los premios, coincidiendo con el Día Mundial de Internet.

Necesitamos tu colaboración para que, además de brindarnos tu voto si así lo estimas oportuno, lo envíes a la mayor cantidad de direcciones posibles, se lo comentes a tus alumnos en clase, amigos, etc...

Te informo que participamos en las siguientes categorías:

- Mejor Web 2012
- Mejor Iniciativa 2012

Simplemente hay que entrar en esas URL, pinchar el icono azul Votar y luego confirmar la votación. Desgraciadamente no se recibe ningún mensaje de voto recibido desde dicha Web. Se puede votar desde cualquier lugar del mundo.

Un abrazo y muchas gracias por tu colaboración.

Jorge Ramió

viernes, enero 20, 2012

DUST: Manual de Usuario (I de IV)

**************************************************************************************************
- DUST: Manual de Usuario (I de IV)
- DUST: Manual de Usuario (II de IV)
- DUST: Manual de Usuario (III de IV)
- DUST: Manual de Usuario (IV de IV)
**************************************************************************************************

Tras los recientes acontecimientos de la famosa ley SOPA y el cierre de Megaupload creo que es momento de empujar un poco más el Proyecto DUST. La idea del porqué del nacimiento de DUST RSS ya los dejé publicada en el artículo DUST: Tú feed RSS es tuyo, y tenéis el vídeo de presentación de DUST en la RootedCON 2011 y en inglés también DUST en Defcon 19.

El proyecto se programó en Java, y por eso muchos no habéis encontrado la "Release" del mismo en la web del proyecto DUST en CodePlex, pero está disponible desde Agosto de este año allí. Solo tenéis que ir a la parte de Source y descargar el código - el proyecto es totalmente Software Libre con licencia Apache 2.0 - y correrlo en vuestra máquina.

Figura 1: Código fuente de DUST en CodePlex

No lo había empujado más por que se tienen que limar muchos flecos, y no es más que un prototipo que puede dar problemas con algunos formatos de feed o codificación no testeadas, pero el código ya está disponible y si alguien se anima a colaborar con él, empujarlo o transformarlo en algo que tenga el mismo espíritu que se ponga en contacto conmigo.

Ole (David Luengo López), estuvo realizando la codificación de DUST en Java en el SOCtano de Informática64, y éste es un manual de usuario de la versión que tenéis disponible, para que podáis empezar a probarlo y utilizarlo desde ya.

Qué es Dust y qué no es

Dust es un lector de RSS. Su objetivo es que lo usemos para ver los posts de nuestros feeds favoritos de forma centralizada. Lo novedoso es la capacidad que añade para darle redundancia a estos feeds. Dust puede mantener un blog que tiene múltiples fuentes HTTP, esto es que el feed de dicho blog está replicado en varias URLs. De esta forma se dificulta la posibilidad de que una entidad (empresa, gobierno, etc...) pueda cerrar de manera directa un blog mediante el bloqueo de la URL del feed, ya que se deberían cerrar todas las URLs que contienen el feed del blog (bastante más complejo si el hosting está en distintos países). Aunque algunos de estos feeds se encuentren desactualizados Dust es capaz de manejar de manera inteligente esta casuística.

Pero la parte más novedosa (y a la vez compleja) de Dust es que permite a los usuarios publicar y republicar los feeds a través de redes P2P (actualmente a través de GNUTella, en el futuro esperamos añadirle soporte para más redes). Esta publicación se hace firmando tanto el feed como las imágenes con claves PGP, de forma que cuando algún usuario encuentre un feed actualizado por la red P2P y se descargue el archivo pueda confirmar que dicho feed (o imagen) ha sido publicado por una persona de confianza, bien uno de los autores del blog que ha publicado el feed con Dust, bien un mediador de confianza para ese cliente y que ha republicado el feed.


Demo de Dust funcionando


Dust en ningún caso pretende ser una herramienta de criptografía, sino que se apoya en ellas para su cometido (firma y verificación de feeds e imágenes). Las claves PGP que Dust requerirá deberán generarse con terceras herramientas destinadas a ello (por ejemplo gpg).

Dust no es un editor de feeds. No se pretende que un blogger pueda escribir sus posts desde Dust, darles formato, etc... Sino que una vez creado su feed, lo importe con Dust y lo publique. Dust es Software Libre publicado bajo licencia Apache 2.0, es por ello que cualquiera puede contribuir a su ampliación, corrección y mejora, la cuál es muy bienvenida y agradecida.

Arrancando Dust

Una vez nos hayamos descargado el paquete correspondiente a nuestra arquitectura lo descomprimimos y accedemos al directorio, dependiendo de si estamos en GNU/Linux o Windows tendremos un fichero dust.sh o dust.bat respectivamente, que al ejecutarlo abrirá Dust. Este no contendrá ninguna suscripción a ningún blog.

Figura 2: Paquetes de DUST

Figura 3: DUST arrancado

Suscribirse a un blog

Una de las opciones de la parte superior es la de Subscription. Aquí es donde podremos leer los blogs a los que nos hemos suscrito y añadir nuevas suscripciones.

Para suscribirse a un nuevo blog hay que hacer clic en Add subscription y en el diálogo que aparece, en Feed URL introducimos la URL del blog al que nos vamos a suscribir (una de ellas). Por ejemplo aquí nos suscribimos al blog que hay en http://localhost/feed1.xml y le damos de nombre de canal “el lado del mal”. El canal es un nombre necesario para la publicación por P2P. Debido a que una misma persona puede publicar diferentes blogs es necesario algún mecanismo para poder diferenciar feeds de distintos blogs pero de una misma persona por P2P.

Figura 4: Añadiendo una subscripción

Suscribiéndonos a un blog

Con esto Dust recuperará la información de la URL especificada y tendremos en la parte de la izquierda un árbol con todas las suscripciones y dentro de cada suscripción (cada blog) los post del mismo (los que había en el feed recuperado). A partir de ahí ya podremos empezar a leer los post del blog. Suscripción a blog realizada.

Figura 5: El lado del mal en DUST

Figura 6: Leyendo el blog desde DUST

**************************************************************************************************
- DUST: Manual de Usuario (I de IV)
- DUST: Manual de Usuario (II de IV)
- DUST: Manual de Usuario (III de IV)
- DUST: Manual de Usuario (IV de IV)
**************************************************************************************************

jueves, enero 19, 2012

BootKits: Windows 8, UEFI Secure Boot y Stoned Bootkit

Mucho se ha hablado ya sobre UEFI y Secure Boot, pero sigue siendo una de las cosas que más llama la atención cuando se habla de las novedades de Windows 8, como ya sucediera en el pasado con la necesidad de contar con un certificado digital especial para poder meter un driver en Windows Vista. Todas ellas son tecnologías pensadas para luchar contra el malware, pero que evidentemente tienen sus efectos colaterales.

Firmado de drivers a partir de Windows Vista

En el caso de Windows Vista y el firmado de drivers con un certificado emitido por Microsoft el objetivo era acabar con todo el malware que se paseaba por ring0 en Windows XP. Rootkits y botnets hacían del modo kernel su particular palacete de verano para hacer la vida un poco más incómoda a los usuarios que los sufrían.

A partir de Windows Vista, cada driver que se va a meter en modo kernel necesita venir firmado por una entidad con un certificado especial emitido por Microsoft, lo que hizo que muchas universidades y/o investigadores particulares vieran como tenían que cambiar sus procesos para poder seguir haciendo drivers para Windows Vista.

Figura 1: Driver no firmado bloqueado en Windows

Esta medida, aunque sí dificultó y acabó con muchos de los canales de explotación tradicionales siendo una buena medida de fortificación, no fue una medida definitiva para siempre, ya aparecieron formas de saltarse esas protecciones. 

Entre las técnicas para saltarse la protección del kernel para meter drivers firmados, una primera aproximación evidente eviente fue hacerse con certificados de fabricantes de drivers autorizados y utilizarlos para firmar malware, algo que pasó y que llegó hasta el propio servicio de Windows Update, con lo que la propia Microsoft distribuyó malware.

Bootkits

La segunda aproximación, mucho más efectiva, es similar a la que se hace en el mundo del jailbreak de dispositivos iPhone, iPod o iPad de Apple, es decir, parchear el propio kernel para quitar esa comprobación. Por supuesto, para conseguir quitar esa comprobación con el sistema arrancado hace falta encontrar un fallo en el kernel que permita parchearlo - algo bastante complejo, pero que puede llegar a pasar aprovechando una ventana de tiempo -. La otra opción es quitarla antes de que el sistema arranque.

Para quitar la protección contra la inclusión de drivers no firmados en modo kernel, se utiliza un tipo de malware especial que infecta el sector de arranque para, en el siguiente reinicio del equipo arrancar con un programa que parchee el kernel antes de arrancarlo, y ya poder meter cualquier driver en modo kernel. Este  tipo de malware se llama Bootkit.

Así, con un bootkit y un poco de ingenio se atacan también los sistemas protegidos con TrueCrypt o BitLocker, detectando si el disco está cifrado en arranque, e infectando el proceso de solicitud de contraseña, para robarla de manera definitiva, y que solo podría ser protegido en aquellos equipos en los que el disco cifrado tuviera protegidas las claves por el chip TPM [Trusted Platform Module].

Uno de este tipo de malware que más famoso se hizo fue Stoned Bootkit, una solución presentada en un paper de 46 páginas de Peter Kleissner,  más que interesante de leer, y en que no sólo explica cómo está desarrollado, sino sus usos:
It [Stoned Bootkit] can also be used for malware developers to get full access to the system. It should be the most used bootkit in the wild for 2010.
Stoned Bootkit es una solución completa, que viene con un API y una completa guía de cómo adaptar el sistema para las necesidades de cualquiera que lo quiera implementar, enseñando desde cómo se ha hecho el debugging a cómo crear los ficheros para que arranque cualquier bootkit creado con él.

Figura 2: Debugging de Stoned Bootkit

UEFI y Secure Boot

Debido a esto, la industria trabajó en un sistema de protección contra este tipo de actividades maliciosas, y generó lo que hoy en día se conoce como Secure Boot, una protección que viene implementada y basada en el propio firmware del equipo, que vendrá de serie en todos los que vengan con UEFI, la evolución de las antiguas BIOS.

Esta protección que viene de serie en la UEFI del equipo, lo que hace es evitar que se cargue un MBR de un sistema no conocido, por lo que el arranque de los sistemas operativos vendrán firmados digitalmente, y el equipo comprobará la firma del MBR antes de lanzar el arranque del sistema o liberar las claves de cifrado desde el chip TPM para que se descifren los discos con Bitlocker.

Figura 3: Integridad de plataforma en Windows 8 con Secure Boot y TPM

Lo que generó alarma de esta tecnología, y de lo que se quejaron algunas organizaciones tras conocer que Windows 8 soportará Secure Boot, es de que los fabricantes de software como Microsoft podrían llegar a acuerdos con integradores de hardware para que no permitan arrancar sistemas que no sean Windows - o que los equipos con Apple solo puedan ejecutar Mac OS X -.

Secure Boot como Opt-in u Opt-out

Aunque esto podría llegar a suceder, y los que quieran instalar otro sistema en el equipo puedan verse incapacitados, parece que muchos fabricantes están dispuesto a dejar Secure Boot como una opción activable desde la UEFI o que venga con un selector, para que sea el propio usuario el que decida si lo quiere utilizar o no, pero que por defecto lo pondrán activo.

En mi opinión, tras haber visto como funciona el mundo del fraude online en el libro de Mikel Gastesi y Dani Creus, si el usuario tiene la posibilidad de desactivarlo fácilmente, ya se encargará la industria del malware convencer al usuario para que lo deshabilite.

Donde no hay que apostar mucho en contra, porque sí que parece que vendrán estas protecciones puestas de serie, será en consolas de vídeo juegos o plataformas empotradas, y algunos equipos puede que la traigan también cerrada, incluso con Windows - yo así, sin conocimiento de causa y haciendo mera especulación apuesto una cerveza a que en Apple la tendrá en sus equipos portátiles sin poder deshabilitarla -. Por otro lado, hay que decir, que muchos equipos portátiles, especialmente los ultraligeros, no cuentan con chip TPM, por lo que se debilita un poco toda esta arquitectura.

Veremos qué pasa en el futuro, pero i quieres aprender de todo esto, te recomiendo el libro de Sergio de los Santos "Máxima Seguridad en Windows" que habla de temas que tienen que ver con todo esto y de mucho más en la plataforma Windows.

miércoles, enero 18, 2012

Tiko y Rigodón de paseo por la Troopers 2012 de bellón

Como ya pasara en la Defcon, Tiko y Rigodón vamos a estar cantando en la Troopers 2012, una de las CON más chulas a las que he ido, y donde se trata a todo el mundo como una rock'n roll star. Aprovechando eso, a los speakers, es decir, a Juan Garrido "Silverhack" y a mí, nos han dado unos códigos de descuento para los asistentes, que ha quedado representado en este comic hecho por Florian

- Sí, debía haber publicado esto antes, en navidad -

En la Troopers el año pasado hubo un concurso de hardware hacking con unos badges más que chulos. A parte de las charlas, hay un ambiente único en una ciudad increible, como es Heidelberg, y el número de asistentes, unos 200, permite que al final conozcas a mucha de la gente que por allí está, como Mariano Nuñez di Croce de Onapsis, que repite este año, Dani Mende, creador de Loki, Enno Rey, que ha dado mil charlas de "All your packets are belongs to us", y un largo etcétera de buenos ponentes.

Hace dos años hablé de Connection String Parameter Pollution, y el año pasado di una charla que se llamó: I Foca a .mil domain, que podéis ver aquí, para que veáis el ambiente que allí se cuece.


Si os va bien, nos vemos en Marzo por "Yermani", donde les pondré, como siempre, unas fotos de fútbol, que tanto nos gusta a los españoles.

Saludos Malignos!

martes, enero 17, 2012

Sticky Keys en los kioskos del DNIe

Las Sticky Keys de los sistemas Windows dan mucho juego a la hora de saltarse las aplicaciones de bloqueo del sistema. Son muy útiles por ejemplo en entornos Citrix o Terminal Services con Windows Server 2008 para hacer el jailbreak - en los sistemas con Windows Server 2000 o 2003 se pueden utilizar para llegar al menú de impresora y hacer el jailbreak también -. Incluso pueden ayudar a saltar la protección de máquina caducada y permitir acceder al rearme de Windows con las Sticky Keys.

Por supuesto, en los kioskos, también pueden ser utilizadas para jugar un poco, como en este ejemplo que me ha enviado un lector - ¡Gracias s3ik0tr0n! - en el que se le ocurrió probarlo con los kioskos del DNIe.

Figura 1: Kiosko del DNIe con las Sticky Keys habilitadas

Así, mientras estás cambiando la clave del DNIe alguien se podría estar dando un paseo por la red y por los servidores que aparecieron en el árbol LDAP de la Policia....o hacer un David Hasselhoff al kiosko. En cualquier caso, por si alguien lo piensa, las Sticky Keys deben estar activadas en el kiosko para ser utilizadas, lo que habría que cancelar es la parte de configuración de las mismas.

En cualquier caso, si tienes un DNIe, yo no te recomiendo que lo hagas, puede que no les le haga gracia a alguien, así que te recomiendo mejor comprar el libro de Rames Sarwat sobre la tecnología del DNIe y lo usarlo para otras cosas.

Saludos Malignos!

lunes, enero 16, 2012

¿Están ciegos en Edmodo?

Edmodo es una red social educativa en la que se encuentran alumnos y profesores, que sirve para mandar y calificar trabajos, notificar cosas, etcétera. Uno de mis profesores se decidió usarla y, la verdad, hay que reconocer que es muy cómoda. Tranquilos, lectores del lado del mal, este artículo no es un publirreportaje…

Centrándonos en la seguridad, lo primero que llama poderosamente la atención es la ausencia de Https por defecto, incluso para el envío de la contraseña en el login con lo que lo hace especialmente sensible a ataques de man in the middle y hijacking de sesiones con Firesheep, pero si a Facebook le costó años y Tuenti aún está así, no es para rasgarse las vestiduras... ¿o deberíamos?

Sin embargo, de lo que quiero hablaros es de que, estando registrado como alumno fui a ver el perfil de un compañero. La URL era del perfil de un usuario es: edmodo.com/user?uid=SuID y claro, como os podéis imaginar vosotros que leéis este blog, uno no es de piedra…, así que ya podréis entender que probara las tres o cuatro cosas más habituales. Así, sin darle duro:

- edmodo.com/user?uid=SuID and 1=1
- edmodo.com/user?uid=SuID and 1=0

Seguro que alguno estaréis pensando que cómo soy tan maligno de no avisarles, pobrecicos, un error lo tiene cualquiera, etcétera. Y es cierto, no soy tan maligno... al menos no tanto.

Conversación de día 2 de Diciembre. Abajo un resumen en Español -:

Yo:
Dear admin, 
As you can see... 
   http://www.edmodo.com/user?uid=YOURFRIENDID%20and%201=1
   http://www.edmodo.com/user?uid=YOURFRIENDID%20and%201=0
 
It's really important that you fix it because altough you can't see a profile without permission you can get any info from the database.
Tío raro de soporte:
Hi Juan, 
Can you clarify what kind of info you are able to get from the database?
Kevyn
Yo:
Hi Kevyn,
I haven't tested further because would take me a lot of time and probably wouldn't be legal. Breaking the law and spending hours without profit? Obviously not.
All I can tell you is that this kind of vulnerability would make possible extract ANY information in the database such as user emails, user passwords (altought I suppose and hope that they are hashed/salted) and documents. 
Please forward it to your backend/technical department as fast as you can, this is very serious.
Tio raro de soporte: 
will do.  Jason, please see the following email thread.
Resumen cutre en Español:
Yo: Hola teneis un agujero, es bastante grave se puede acceder a cualquier dato.
Tio raro: ¿Qué datos puedes coger?
Yo: ¿No te he dicho que cualquiera? Ponme con un informático anda…
Lo más grave no es que tenga más agujeros que las mozas de meter.com, sino que un mes después todo siga igual. Como muestra de su gran preocupación por la seguridad podemos cambiar el email y la contraseña sin poner la contraseña actual y sin confirmar los cambios en un correo.

¿Es todo malo? No del todo. El resto de las cosas no parece que estén demasiado mal a priori, pero tener un fallo de seguridad de Blind SQL Injection en un parámetro numérico que va a probar hasta el más aburrido de turno, hace que plantearse en dejar tus datos o tu información, junto con el resto de los 4.5 millones de usuarios que ya lo han hecho, se convierta en algo temerario... ¿cuantos SQLi o BSQLi habrá en el resto de todos los parámetros de todas las partes de la web?

Autor: Juan Luís Valadas

Entradas populares