Mostrando entradas con la etiqueta Office. Mostrar todas las entradas
Mostrando entradas con la etiqueta Office. Mostrar todas las entradas

sábado, julio 27, 2013

Metadatos perdidos en archivos de MS Office perdidos

Las aplicaciones de Microsoft Office tienen una opción muy útil de generar una copia autoguardada del fichero con el que se está trabajando por si acaso se produce un error de la aplicación, poder recuperarse. Estos ficheros de autoguardado han ido cambiando con el tiempo, pero todos tienen dos características curiosas: Son en formato binario y conservan todos los metadatos.

Figura 1: Presentaciones PowerPoint en ficheros de autoguardado TMP

Los ficheros originales eran todos con extensión TMP, así que es muy habitual encontrar ficheros con extensión TMP que realmente sean reconocidos como documentos PPT, XLS o DOC. Cuando se busca con Google para hacer Hacking con buscadores, hay que tener en cuenta que con filetype:PPT no van a aparecer, así que hay que buscar esos documentos con extensión TMP.

Figura 2: Archivos EXCEL autoguardados en formato XAR

En el caso de Microsoft Excel, además de los archivos .TMP antiguos, está también el formato XAR. De nuevo se trata de un formato binario, y también conserva todos sus metadatos, información oculta y datos perdidos.

Figura 3: Archivos DOC autoguardados con formato ASD

En el caso de Microsoft Word, dependiendo de la versión que usemos vamos a encontrar ficheros con extensión .ASD o .WBK. No importa si estamos trabajando en Microsoft Office 2007 o superior con ficheros OOXML, en este caso los archivos son binarios también.

Figura 4: Archivos DOC autoguardados en formato WBK

Por supuesto, si bajamos uno de esos archivos y los subimos a la la FOCA Online, podremos ver cómo está lleno de sus metadatos, por lo que si estuviéramos haciendo una auditoría podrían venir de maravilla. Si queremos ver el documento, le cambiamos la extensión a .DOC (formato binario), para ver qué metadatos hay en él.

Figura 5: Análisis con FOCA Online de los metadatos de un archivo autoguardado

En definitiva, que si vas a buscar los metadatos, o hacer un análisis forense digital de los archivos de un sistema, acuérdate no solo de buscar las extensiones más comunes, y dale un vistazo a los TMP, XAR, ASD y WBK que puede que te den algún dato clave en la resolución del caso.

Saludos Malignos!

jueves, julio 25, 2013

Limpiar metadatos en Microsoft Office 2011 para Mac

En la versión de Microsoft Office 2013 para Windows existe una opción muy útil para evitar problemas con metadatos, información oculta y datos perdidos. Esa opción, que se llama Inspeccionar Documento y está dentro del menú Preparar, avisa de absolutamente cualquier dato que pueda irse junto con tu documento, además de dar la posibilidad de eliminarlos con un solo clic.

Figura 1: Opción de Inspeccionar Documento en Microsoft Office 2007 para Windows

Por el contrario, en Microsoft Office 2011 para Mac ese menú no está disponible, y lo único que existe es una opción en las Preferencias / Seguridad de cada aplicación - en este caso Word - para que se eliminen los datos personales al guardar el documento.

Figura 2: Opciones de Privacidad en Microsoft Office 2011 para Mac

Al ver esto, rápidamente me acordé de que esta era exactamente la misma opción que había en OpenOffice.org y que tan mal funcionaba, razón por la que acabamos creando el proyecto Open Source de OOMetaExtractor para limpiar correctamente este tipo de documentos ODF.

Figura 3: OOMetaExctrator para limpiar metadatos en documentos ODF

Para probar el funcionamiento de esta opción en Microsoft Office 2011 para Mac decidí utilizar el famoso documento de Tony Blair que tantos quebraderos de cabeza le propinó por culpa de los metadatos. En esta primera imagen se puede ver el documento original Blair.doc analizado por MetaShield Forensics - la antigua Forensic FOCA - con sus respectivos metadatos, información oculta y datos perdidos.

Figura 4: Documento Blair.doc original analizado con MetaShield Forensics

Ahora se hace una copia de este documento, y se guarda con Microsoft Office para Mac 2011 con la opción de eliminar datos personales al guardar.

Figura 5: Guardamos con Microsoft Office 2011 para Mac para limpiar la información oculta

Y de nuevo volvemos a pasarlo por MetaShield Forensics donde se puede observar que no todos los metadatos han sido eliminados. Entre la lista de datos aparece - en este caso - la plantilla que se está utilizando, la versión de software con que se manipuló el documento, y la fecha de impresión original, que como veis es anterior a la fecha de creación del documento dejando una muestra clara de esta manipulación realizada.

Figura 6: Documento Blair.doc limpiado con Microsoft Office 2011 para Mac

Para comprobar como debería funcionar esta opción correctamente, en este tercer caso utilizamos MetaShield Client, una versión para los sistemas operativos Windows que permite eliminar todos los metadatos de cualquier documento ofimático (PDF, Microsoft Office binarios, OOXML, ODF, etcétera) utilizando las opciones del botón derecho.

Figura 7: Limpiando el documento Blair.doc con MetaShield Client

Una vez limpio con MetaShield Client, utilizamos la herramienta MetaShield Forensics para ver qué información aparece, y como podéis ver sale limpio como la patena.

Figura 8: Análisis de Blair.doc con MetaShield Forensics tras ser limpiado con MetaShield Client

Al final, los metadatos pueden revelar mucha información, y en cualquier Análisis Forense Digital pueden resultar cruciales para responder a algunas preguntas. En el caso de Microsoft Office 2011 para Mac no parece tener mucho sentido que estando esta opción de Inspeccionar documento de serie desde Microsoft Office 2007 para Windows, no la hayan incorporado para solucionar el problema de raíz también en sus versiones para Mac OS X.

Saludos Malignos!

sábado, julio 07, 2012

La filtración del ERE del PSOE en La Razón y los metadatos que apuntan a la Ministra de Empleo del PP en El País

Nuevo escándalo político en que los metadatos juegan un papel importante, como ya pasó con anterioridad con el caso del dato del déficit de la Comunidad de Madrid, las facturas falsas del caso Gurtel que salpicó a Camps o el programa electoral del PP para salir de la crisis, por citar algunos de los ejemplos en los que los metadatos son protagonistas.

En esta ocasión la historia es un poco de Serie B, ya que la filtración comienza con un correo electrónico con un documento Microsoft Word adjunto, que la propia Ministra de Empleo Doña Fátima Báñez del Partido Popular, envía a un periodista de La Razón. No utiliza ninguna cuenta de correo extraña, sino la suya propia.

Figura 1: El correo electrónico enviado co el adjunto

El documento contiene los datos del ERE (Expediente de Regulación de Empleo) que el PSOE había presentado para despedir a algunos trabajadores. El periódico La Razón lo acaba publicando en portada junto con todos los detalles de los despidos, reducciones de jornadas y ajustes a realizar por el partido en la oposición.

No sabemos cómo, pero este correo electrónico cae en manos de El País que hace el exposed del correo electrónico y analiza los metadatos del fichero Microsoft Word, para saber quién fue el orgien de la filtración. En el campo autor aparece un núméro, que identifica a la persona que creo el fichero.

Figura 2: Los metadatos del adjunto con el autor

Ese número es un DNI (Documento Nacional de Identidad) que corresponde a Doña Nuria Paulina García, profesora universitaria, como se puede ver en la siguiente captura.

Figura 3: El DNI en el Boletín Oficial del Estado

Esta persona, es vocal-asesora de la Doña Fátima Bañez, y como tal aparece en el Directorio del Ministerio.

Figura 4: Doña Nuria Paulina en el organigrama del Ministerio de Empleo

Parece que a nuestros políticos no se le da bien trabajar con metadatos y a Doña Fátima Bañez especialmente las nuevas tecnologías, ya que  hay que recordar que esta misma Ministra protagonizó el famoso caso del iPad, el Twitter y mensaje del jueguito en pleno debate del "rescate" a los bancos.

Figura 5: El desafortunado twitt de la Ministra de Empleo en plena crisis

Como tiene entidad más que propia, paso a sumar esta historia como parte de mi colección de Ejemplos Ejemplares de la Importancia de los Metadatos.

Saludos Malignos!

viernes, junio 01, 2012

A Flame le importan los metadatos

Estos días el revuelo mediático lo ha conseguido Flame, la "nueva" cyberweapon que recoge el testigo de la Aurora, Stuxnet o Duqu en el mundo de los Advanced Persistent Threats. Los análisis que se están haciendo de este software son muchos, y para estar informados os recomiendo leer los artículos de Sergio de Los Santos en una al día o de Luís Delgado en Security By Default, donde se explican muchos detalles de él.

Sin embargo, hay un artículo que publicaron ayer sobre un componente de Flame, en concreto msglu32.ocx, que "el hermano que nunca tuve" Yago Jesús me pasó desde su cuenta Twitter (@Yjesus), que se dedica a recolectar los metadatos de los documentos de la máquina infectada.

Como si fuera una Forensic FOCA, Flame realiza una búsqueda por todo el sistema de ficheros del equipo buscando documentos de Microsoft Office, PDF, Visio y archivos gráficos, recolectando los metadatos asociados a ellos, tales como fechas, autores, historial del documento, etcétera. 

De los archivos gráficos, el componente recolecta información EXIF relativa a coordenadas GPS para, según especulaciones sobre el tema, poder averiguar, más o menos, donde está localizado ese equipo. Supongo que realizando un cálculo junto con la dirección IP y la dirección MAC (por si estuviese esta geolocalizada también), pretenden tener mucha más información en concreto de una máquina.

Figura 1: Código de msglu32.ocx recolectando datos GPS

Yo creo que es la primera vez que veo un malware interesado en los metadatos y no en los documentos en sí. Por supuesto, una vez que está dentro de la máquina, llevarse ficheros es una de las opciones de Flame, pero el llevarse primero los metadatos es algo especial. Supongo que podrían elegir mejor qué ficheros llevarse, o aprovechar la información de los metadatos para tener más información de la red dónde está trabajando el equipo, o información táctica del entorno para preparar un ataque.

Desde luego, hay que reconocer que si se ha pensado en hacer un módulo especial para los metadatos, esta herramienta muestra que hay algunos detalles muy finos en los módulos de Flame. Veremos qué más sorpresas nos depara esta historia.

Saludos Malignos!

lunes, diciembre 26, 2011

Hacking Remote Applications: Escaneando la red con Connection Strings en Excel (III de III)

**************************************************************************************************
- Escaneando la red con Connection Strings en Excel (III de III)
Autores: Juan Garrido "Silverhack" & Chema Alonso
**************************************************************************************************

Escaneo de puertos de servidores internos de la red

Uno de los trucos que utilizamos en la técnica de Connection String Parameter Pollution era el de mover el parametro Data Source de una cadena de conexión por los distintos puertos de un servidor para obtener distintos mensajes que nos permitiera detectar si allí había un puerto abierto TCP o no.

Ese mismo truco lo podemos aplicar desde Excel para descubrir las sorpresas de la DMZ. En este caso, en la cadena de conexión se puede ver que si intentamos conectarnos a un servidor por un puerto que está cerrado se va a obtener un mensaje de error que nos indica que hay un problema en la conexión.

Figura 11: Si abre el puerto 80000 le damos un premio

Si intentamos la conexión con un puerto de un servidor que lo tiene abierto, como en este ejemplo por el 80, pero en el que no se encuentra un servidor SQL Server, lo que obtenemos es un bonito mensaje que nos indica que allí no se encuentra el esperado servicio de bases de datos, pero que delata que está abierto.

Figura 12: El puerto 80 de este servidor

Así, con un poco de paciencia desde un Excel podríamos hacer un mapa completo de los servidores y puertos de la DMZ, y sin necesidad de usar VBA.

Navegando por la Intranet

La gracia es que si somos capaces de encontrar servidores internos que tengan servicios HTTP o FTP, seremos capaces de navegar por ellos usando el truco de "navegar sin navegador" que ya vimos anteriormente. Así, ya sea porque se puede consultar el Active Directory o simplemente escaneando las direcciones IP de la red, se descubren los servidores web internos.

Figura 13: Búsqueda de servidores IIS

Una vez descubiertos, solo tendríamos que ir a la opción de Abrir Archivo, y seleccionar esa URL, para navegar por la Intranet.

Figura 14: Navegando internamente por la Intranet

Ahora ya no solo podríamos escanear la DMZ, sino navegar por ella, y lo que es mejor, lanzar directamente los ataques SQLi desde el Excel o el Word que estemos usando en el servidor Terminal Services o Citrix. Incluso ver lo que hay en http://localhost/


Figura 15: Un IIS 7 en http://localhost/

Robar el hash del usuario de la conexión Citrix

Por supuesto, el último de los ataques es otro que también hacíamos en Connection String Pararameter Pollution: Dirigir el valor de Data Source hacia un servidor Rogue controlado por nosotros en el que activamos un sniffer para capturar los hashes de autenticación de la cuenta.

Esto nos permite saltar el problema de que el hash usado en la contraseñas de Citrix o RDP no pueda ser crackeado, ya que al hacer esta re-dirección obtendremos los hashes NTLM contra los que sí podremos lanzar ataques de diccionario o fuerza bruta.

Conclusiones

Las técnicas de ataque de las cadenas de conexión se pueden aplicar desde cualquier aplicativo que tenga un importador de datos y use los componentes estándar del sistema para conexiones ODBC, OLEDB, etc... hay que tener en cuenta que los drivers están cargados a nivel de sistema operativo, por lo que solo deberemos encontrar una aplicación que llame a estas librerías para poder hacer todas estas cosas.

**************************************************************************************************
- Escaneando la red con Connection Strings en Excel (III de III)
**************************************************************************************************

jueves, diciembre 22, 2011

Cómo navegar sin navegador y saltándose los filtros de contenido para ver porno, fútbol y hasta El lado del mal

Podríamos tomar esta entrada como un anexo a la serie dedicada a Terminal Services, Citrix y Excel, pero he decidido darle un post propio porque me ha hecho mucha gracia esto de poder navegar por Internet sin navegador de Internet y cómo usar esto en un entorno de Terminal Services o Citrix con Excel para hacer cosas regularmente malitas.

Navegar desde MS Office

La historia radica en que desde los cuadros de diálogo de Windows es posible, en el nombre del archivo, utilizar una URL de Internet completa. Así, desde cualquier cuadro de dialogo, ya sea desde el bloc de notas, el Microsoft Excel o lo que tengas abierto en tu equipo, que haya invocado este componente de abrir que se ve en la figura siguiente puedes solicitar una URL de Internet.

Figura 1: Abriendo una URL de Internet desde el nombre de archivo

Esto, en el caso de Microsoft Office - y por supuesto nuestro querido Excel - en el que se puede seleccionar la opción de abrir documentos en formato página web, permite que se pueda navegar a cualquier URL, en este caso El lado del mal.

Figura 2: Leyendo El lado del mal desde Word

El primer uso que pensamos para esta opción era, por supuesto, meter en un Excel remoto ejecutándose en un Terminal Services o Citrix nuestro archivo Excel - o el de Didier Stevens - para hacer cosas buenas... y por supuesto funciona, pero además se da una curiosa circunstancia, y es que no pasa por Internet Explorer.

El filtro de control parental en Internet Explorer y MS Office

Supongamos un entorno en el que tenemos un servidor solo con Internet Explorer en el que, por motivos de seguridad, se ha decidido capar toda URL de conexión mediante el filtro de contenido del Control Parental, como se ve en la figura siguiente.

Figura 3: Sitio bloqueado en Internet Explorer

En esa situación no sería posible usar el navegador para ir a ningún sitio, pero navegando con Word o Excel, se puede visitar cualquier página, aunque esté activo el control parental. 

Figura 4: sitio bloqueado visitado desde MS Word

Por supuesto, si en tu empresa tienen filtrada la URL para que no sigas el fútbol en horario de un partido a nivel de firewall, siempre puedes buscar una máquina con Citrix o Términal Services que tenga encapsulado el tráfico a través de HTTP-s para poder conectarte desde ella y seguir, minuto a minuto como va el partido en el Santiago Beranabéu.

Saludos Malignos!

jueves, octubre 27, 2011

DefCon 19: Bosses Love Excel, Hackers Too

Han publicado ya en la web de Defcon 19 los Vídeo Slides, una composición que mezcla la salida del proyector de la conferencia con el audio de la sesión. Yo he subido la que impartimos mi compañero en Informática64 Juan Garrido "Silverhack" y yo, titulada "Bosses Love Excel, Hackers Too", centrada en Terminal Services, Citrix, y un poco de hacking con Excel.

Aún no he terminado de publicar todo en el blog sobre los contenidos en esta charla, pero sí que tienes gran parte publicado y detallado en los siguientes artículos.

jueves, octubre 13, 2011

Jugando con RoundCube (3 de 5)

************************************************************************************************
Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
Jugando con RoundCube (3 de 5)
Jugando con RoundCube (4 de 5)
Jugando con RoundCube (5 de 5)
Autor: Enrique Rando
************************************************************************************************

Episodio 4. Esnifando XSS fantasmas

Digamos que estamos hablando de una compañía llamada Example.Com, que tiene su página web http://www.example.com. Y supongamos, por decir algo, que alguien está realizándoles un test de penetración. FOCA en mano, analiza algunos documentos y encuentra joyas como esta:

Figura 13: Informe realizado con FOCA

Interesante… un usuario “big.boss” ha creado recientemente un documento de Word, seguramente usando Word 2003, en un equipo con Windows XP. Esto de “Windows XP” puede ser muy, pero que muy relevante. Porque Internet Explorer 9 no se instala sobre Windows XP.

Figura 14: Si usas XP… no hay Internet Explorer 9

O sea, que “big.boss” tiene, como mucho, Internet Explorer 8 (quizá use Firefox o Chrome pero siendo un “gran jefe”…). Y aquí es donde entra en juego una de las características de Internet Explorer: el MIME sniffing. Este navegador, a la hora de determinar el tipo de un archivo, no se contenta con examinar su extensión, sino que analiza su contenido. ¿Qué quiere decir esto? Pues, a efectos prácticos, que si tenemos un fichero llamado “texto.txt” con el siguiente contenido:

<html> <body>
Esto es una <b>prueba</b>
</body> </html>
<script language="javascript">
alert("Ejecuta el script");
</script>

Figura 15: Si se abre con Internet Explorer 8 se come el XSS

Internet Explorer ve que lo que tiene el fichero parece más propio de una página web que de un fichero de texto plano y actúa en consecuencia. Esto, como estaréis pensando, no es necesariamente bueno para la seguridad y, de hecho, en Internet Explorer 9 se introducen algunos cambios para evitar que un inocente fichero de texto pueda realizar su particular “escalada de privilegios” y convertirse en un script de forma tan sencilla.

Figura 16: El XSS no se ejecuta en Internet Explorer 9 en este caso

En definitiva, que si el “big.boss” usa IE 8, posiblemente se la pueden jugar. Siguiendo con el análisis de Example.com, del análisis de los registros DNS realizado por FOCA se deduce que la organización tiene un servicio de webmail accesible mediante la URL “htttp://webmail.example.com”. Al visitar dicha URL, el usuario es redirigido a http://webmail.example.com/roundcubemail-0.6-beta/

Figura 17: Webmail de RoundCube

La URL, y la apariencia de la página revelan que se está usando RoundCube. ¿Estará bien configurado?

Figura 18: Pues va a ser que no

Episodio 5. El amigo del jefe

Hace poco que estuve viendo una charla sobre XSS. Creo que era de Raúl Siles (y si no, ruego que me disculpen tanto el ponente como Raúl Siles). El caso es que decía que esto del XSS no está bien vendido. Aparte de proponer un nombre alternativo, más impactante y acorde con la realidad, señalaba que los ejemplos de explotación habituales no suelen ser demasiado afortunados. Por ejemplo:


Figura 19: Tipico XSS

Muéstrale esto a un directivo e imagina qué estará pensando: “¡Oh! ¡Dios mío! ¡Esta gente es capaz de hacer que nuestras páginas muestren un mensaje al usuario! ¡Qué miedo! ¡Qué horror! ¡Qué va a ser de nuestros planes de negocio, de nuestro futuro, cuando la gente lo sepa! ¡Estamos perdidos! ¡Por favor, que alguien lo arregle!”.

O eso, o quizá: “Vaya chorrada que me trae éste… mensajitos”. Pensemos ¿Podría hacer algo con esto un usuario malicioso para fastidiar al jefe? Pues, como veremos, no poca cosa. Supongamos que este usuario se llama “Evil”, que pertenece a la organización y que es un topo, infiltrado por la competencia. Un día comienza a construir un mensaje de correo que contiene un fichero adjunto, “script.htm” con el siguiente contenido:

Figura 20:  Adjunto en  formato HTML 

Figura 21: Correo como adjunto HTML

Por las buenas o por las malas, Evil tiene bajo su control el servidor “evil.example.com” y ha puesto en él un fichero “evil.js” con este regalito:

Figura 22: evil.js

Donde tanto la URL base del webmail como el nombre de la carpeta de la que sacar los mensajes puede variar según la implementación particular de RoundCube. A estas alturas, supongo que ya sabréis en qué estoy pensando.

************************************************************************************************
Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
Jugando con RoundCube (3 de 5)
Jugando con RoundCube (4 de 5)
Jugando con RoundCube (5 de 5)
************************************************************************************************

martes, agosto 09, 2011

Bosses Love Excel, Hackers Too

Ese es el nombre que al final decidimos poner a la charla sobre cómo saltarse la seguridad de entornos de Terminal Services o Citrix. La verdad es que lo que hicimos con Excel vale también para Power Point, Word o Access, pero nos centramos en Excel por ser quizá uno de los entornos que más tira de VBA para hacer cosas complejas.

Por si tenéis interés, la primera parte de la charla versó sobre lo que habíamos publicado en el artículo de Fingerprinting Terminanl Services y Citrix, luego pasamos a la parte de fingerprinting de aplicaciones en servidores Terminal Services y Citrix, y luego acabamos con la fase elevación de privilegios vía Excel, que aún no os he publicado por aquí, pero que no tardará en aparecer.

Las diapositivas de la charla están junto a todas las demás presentaciones de la Defcon19, que alguien ya se ha encargado de volcar en Internet, como publican en Cyberhades. Sin embargo, asumo que muchos ponentes, como es nuestro caso, harían cambios al final, con lo que lo mejor será esperar a los vídeos. En nuestro caso, entre las diapos iniciales y las que usamos hay una gran diferencia, así que os he subido a SlideShare las finales.


Saludos Malignos!

PD: Ya os iré narrando las aventuras en Defcon, BlackHat y HackCup poco a poco...

viernes, marzo 25, 2011

¿Un buen ejemplo?

Una de las cosas que se me habían ocurrido hace tiempo era escribir sobre los metadatos que se distribuyen con los programas comerciales, para ver si encontraba alguna cosa curiosa o divertida en ellos que ya sabéis que yo con tal de dar por saco... ¡lo que haga falta!. Pensar en montar algún flame o hacer alguna maldad siempre hace que mi cuerpo segregue algo de adrenalina y me anime, así que es una buena idéa para venirme arriba en momentos de cansancio. Así que nada, abri la FOCA y empecé a buscar los documentos ofimáticos en Windows y Archivos de Programa a ver que aparecía.

Salieron muchos con metadatos, algunos curiosos en manuales PDF de herramientas de hacking, pero el que más me llamó la atención, sin duda, fue este archivo de ejemplo que viene en Office 14, a.k.a. MS Office 2010, sobre cómo hacer un uso avanzado de la utilidad Solver de Microsoft Excel. Esta herramienta, junto con las Pivot Tables, quizá son de las cosas más avanzadas que trae Excel y que hacen que los Power Users de esta herramientas estén enamorados de ella.


Ejemplo de Solver en Office 2010

El caso es que, al analizar los metadatos del fichero en concreto salen cosas muy curisosas. Ya es raro que tengan metadatos, trayendo Office 2007 y 2010 una opción para borrar los datos, pero es que resulta que ¡este ejemplo se creo el siglo XX!. Si este ejemplo lleva tanto tiempo en el paquete será porque es muy bueno, ¿no?.


Metadatos en SolvSamp.xls

La última vez que se modificó fue en el año 2003, es decir, con un Windows XP y, probablemente, la vesión de MS Office 2003, que no traía de serie la herramienta de limpieza de metadatos, y es necesario descargársela de internet [Limpieza de metadatos en Office].

Lo último que llama la atención en este fichero de ejemplo es, por supuesto, que las impresoras que aparecen en la historia del documento sean Apple LaserWritter II. Supongo que Apple estará encantada de que Microsoft utilice su hardware desde tanto tiempo atrás, así que ya no hay excusa para que los empelados de Spectra puedan comprarse un MacBook Pro... - siempre que le instalen Windows 7, claro está -.

Saludos Malignos!

miércoles, diciembre 29, 2010

Informáticos jugando a economistas: WTF?

Es lo que tienen los bares, empiezas tomándote una copa y acabas queriendo comprar el bar cuando no te quieren poner la penúltima porque tú eres el rey del barrio. Así, apoyados en una barra se han resuelto todos los problemas del mundo en tres patadas, y el que no los vea resueltos que se pida otra cerveza “ … y ponme unas olivitas niño, que las cortezas estaban rancias...” que verá como todo mejora.

En una de esas conversaciones el otro día tuve una “acalorada” discusión con un amigo sobre los bancos y la economía. Y montamos el pollo. Yo no soy un especialista en economía ni de lejos, pero me suelo basar por principios básicos con los banco como “Procura no deber nada y nada tendrás que pagar” o “cuanto antes devuelvas lo que debes, menos tendrás que pagar de intereses”. Sí, sé que hay hackers que hacen ingeniería financiera, y que jugando con los impuestos que tienes que pagar y el mercado son capaces de hacer maravillas, pero yo para estos asuntos soy muy dummy y acepto los consejos solo de los expertos con cuidado y con cuentagotas, que tampoco tengo que preocuparme tanto, que para mover los 2 o 3 milloncejos de Euros que tengo en el banco tampoco hay que molestarse tanto.

El caso es que la discusión la tuvimos entre dos informáticos y versaba sobre devolver la pasta anticipadamente de una hipoteca, es decir, adelantar unas cantidades y reducir tiempo. Uno, al que llamaremos nobody_1 sostenía que cuanto antes se devolviera la pasta "better than better" y el otro, al que llamaremos nobody_2, decía que convenía esperar a que los intereses estuvieran altos para quitarse más cuotas.

"WTF?", pensó nobody_1.

Tras discutir como se discute en los bares, nobody_2 mandó un fichero Excel que hace una simulación del cuadro de amortización de una hipoteca. En esa hoja Excel puedes poner los capitales, los intereses, y obtienes los resultados de lo que has pagado, lo que te queda, lo que llevas de intereses, etcétera. Como es un fichero muy currado, tiene la gracia de que permite hacer aportaciones a cuenta para reducir tiempo. En ese fichero se demostraba que era conveniente esperar a que los tipos de interés estuvieran altos. nobody_1, que como ya habréis supuesto, soy yo, flipó en colores, así que tuve que dedicar 45 minutos de mi tiempo, en encontrar la explicación de la situación. El culpable era el Excel que piensa por tí.

Para explicaros el ejemplo, vamos a poner este caso en el que tenemos un hipotecón de un pastizal al cual, por poner un ejemplo, sabemos que en el mes 10 sube el interés del 2,00 % al 3,00 %. En este caso, el Total a pagar, es decir, capital + Intereses, sale por 397.563,35 € en algo más de 36,1 año.


Caso 0: El Hipotecón

Supongamos un suponer que nobody_2 ha ahorrado una bonita cantidad de 50.000 € a base de quitarse “pequeños placeres de la vida” y quiere entregarlos a cuenta. Lo que nobody_1 propuso fue aplicar los principios básicos, es decir, cuanto antes devuelvas mejor. Con lo que se obtendría, según el fichero Excel del simulador, lo siguiente.


Caso 1: Devolvemos 50.000 € cuanto antes

Como se puede ver, el total a pagar según esta simulación sería de 353.758,65 €, con lo que te ahorras casi 45.000 euracos de intereses.

Por el contrario, lo que nobody_2 decía es que es mejor esperar al mes en que suben los intereses, es decir, al mes 10. Si se hace esa aportación durante el mes 10 se obtiene el siguiente resultado.


Caso 2: Aportamos 50.000 € cuando sube el interés

Y… joder! Sale una cantidad de 352.251,85 €, es decir, que se ahorraría 1.500 € más si espera al mes 10.

Como podéis imaginar, entre informáticos, que lo diga un Excel tiene su importancia, pero no tenía lógica. Así que ahí comenzó el misterio. Sí, si eres economista seguro que lo resuelves en un plisplas, pero nostros somos hombres de computadoras...

Al final, la respuesta es tan sencilla como volver a aplicar los principios básicos bancarios, devolver lo menos que se pueda y cuanto antes. El fichero Excel, cuando se hace una aportación de capital, calcula los meses que te quitas, aplicando el valor de la cuota que estás pagando ese mes, es decir, en el Caso 1, lo aplica con la cuota de 908,33 €, mientras que en el Caso 2, lo aplica con una cuota de 1.050,53 €, es decir, devuelves más dinero cada mes, con lo que la reducción en tiempo es 13 meses mayor. Al devolver en menos tiempo, pagas menos intereses. Esa es la respuesta al misterio.

Sin embargo, en los bancos, cuando tú haces una aportación de capital y una reducción en tiempo, se produce una regularización de la hipoteca donde puedes ponerte una nueva cuota, mayor o menor, que la que tenías, para reducir más o menos meses. Esto lo sé por experiencia personal, ya que yo, como me he forrado en estos años, he reducido hipoteca y me he subido la cuota para acabar cuanto antes.

En este ejemplo, para poder compararlo en igualdad, habría que hacer lo siguiente. Vamos a suponer que devuelves la cuota como en el Caso 1, es decir, “cuanto antes”. Hasta ese punto has pagado un total de 60.813,10, (tal y como se ve en la columna de acumulado del mes 4) más 1.820,30 €, (tal y como se ve en la columna de intereses del mes 4). Es decir, hasta ese punto has pagado 62.633,4 €.

Ahora, si quieres comparar con el Caso 2, deberías regularizar tu hipoteca para pagar todo lo que debes exactamente en el mismo número de meses que en el Caso 2. Así, en el caso 2, la hipoteca se devuelve en un total de 301 meses, con lo que deberíamos hacer una comparación con los 301 meses. Para ello, en el Caso 1 hemos hecho un cálculo de los 4 primeros meses, con lo que nos quedarían 297 meses que simular, en los que deberíamos aplicar el valor de lo que nos falta por devolver de capital, que se ve en la columna pendiente del Caso 1 en el mes 4, es decir, 219.654,86 €, y sabemos que los 6 primeros meses de este nuevo tramo tendremos un 2,00% de intereses nada más. El resultado de este caso sería el siguiente:


Caso 3: Devolvemos lo que nos queda del Caso 1 en los mismos meses que el Caso 2

Como se puede ver, en este Caso 3, al final se pagarán 289.401,45 €, con lo que para saber cuánto pagarías en total si devuelves el dinero “sin esperar” a que suban los intereses, se obtiene un total de 289.401,45 € más lo pagado en el Caso 1, que era de 62.633,4 €. Esto da una bonita cantidad de 352.034,85 €.

Si comparamos esta cantidad con la que se obtenía en el caso 1 (352.251,85 €) resulta que te has ahorrado 217 €.

En esto de devolver dinero en las hipotecas hay muchas fórmulas y muchos cálculos, suele ser conveniente devolver al principio porque es cuando más intereses se pagan o devolver en función de la legislación actual y la situación personal.

Lo que quiero contar con esta historieta, es que, igual que tenemos gente que no sabe que se mete a Informático, los informáticos tenemos que dejar esto en manos de los que saben y yo, para resolver el misterio que me planteó este Excel tuve que pedir ayuda a alguien que sabía de economía más que yo. Así que, no te sientas un día como el King de las finanzas porque te hayas bajado un Excel, consulta con tu farmacéutico.

Saludos Malignos!

viernes, diciembre 17, 2010

Culpable descubierto: Es Office

En muchos traduciones de manuales he visto que cifrar y codificar se trataban a la ligera, como si fueran lo mismo, sin entender bien la diferencia y confundiendo al lector. Hoy, mientras traducía la presentación al inglés para impartirla en Brasil, descubrí al culpalbe de esta confusión: Es Microsoft Offce... ¡noooooooooooooooooooooo!


Nos vemos en España, que cuando estés leyendo este mensaje estaré a punto de pisar Madrid.

Saludos Malignos!

viernes, noviembre 19, 2010

Viviendo en la paranoia

Con la proliferación de los ataques por medio de malware, he llegado a un estado de paranoia bastante exacerbado cuando recibió un correo. Ésta es la historia de cómo me afecta a mi vida profesional.

El otro día, en el buzón de registro que usamos para recibir los ficheros con los datos de los estudiantes había un correo con un adjunto en formato Excel, el que nosotros utilizamos, pero con un nombre Chino o similares – perdonad mi incultura en el tema de las lenguas-. El caso es que el próximo día 25 de Noviembre tenemos un training de la FOCA en inglés, y en el anterior ya se apuntó gente de todo el mundo, por lo que pudiera ser un registro para este seminario.


Figura 1: El sospechoso

El antivirus/antispam del servidor de correo no lo había eliminado, por lo que había pasado el primer filtro de seguridad, pero aun así… ¿hay cojones de abrirlo a la ligera? Pues en mi caso no. Lo siguiente que hice fue descargarlo y analizarlo con el antivirus de mi máquina y nada. Pasó el segundo filtro.

Si el fichero no pasa alguno de los filtros de seguridad, la opción es fácil. Se elimina o se pasa al SOCtano para que le hagan un análisis forense al malware, pero si pasa todos los filtros… tendría que enfrentarme con la dura decisión de abrirlo o no.

La siguiente opción fue enviarlo a VirusTotal y a ver si algún motor de Antivirus tenía información relevante para ver si era o no un malware


Figura 2: 43 motores antimalware dicen que no hay malware

Y nada, el puto fichero seguía pasando filtros de seguridad e iba a tener que abrirlo. Pero… ¿y si es un 0day de MS Office? Mmm… vamos a enviárselo a la FOCA y que me dé información de metadatos


Figura 3: Metadatos extraidos por la FOCA

Vaya, tiene un usuario y configurada una impresora, lo que significa que ha configurado las opciones de impresión de este documento. La fecha de creación es reciente y la de última modificación es de hace unos días, con lo cual si es un 0day lleva tiempo creado, o han estado manipulando esta información con un editor hexadecimal adrede para engañar a los que busquemos esta información… mmm… poco probable. Además está bien formado el fichero Excel y se ha sacado el sistema operativo con los OLE Streams.

Mirando las fechas, pudiera ser un exploit para la vulnerabilidad de MS Office que se explotó activamente, pero ya está parcheada en mi versión.

En fin, que va a tocar abrir el fichero pero… ni de coña en mi máquina, así que será una máquina virtual, con Office 2010 parcheado y la sandbox activada.... y aver por dónde canta la rana. Vamos allá, a dar el salto de fe.


Figura 4: Apertura en Sandbox con Office 2010

Me cago en su padre, es un correo de alguien que está buscando curro y nos envía su currículo… en chino. Lo que hace la crisis...

Al final, después de todo el tiempo invertido, era un spam y me ha hecho poner toda la paranoia activa. Y tal y como va esto… creo que cada vez acabaremos siendo más paranoicos. ¿No te da grima cuando un colega te manda una URL o un PDF?

Saludos Malignos!

Entradas populares