martes, abril 29, 2008

Adoro mi buena Vista

Dice la frase de otros vendrán que bueno te harán y en mi caso me siento como Homer el día que le abandono su adorable esposa y que parecía un vagabudno sólo 24 horas más tarde.

Yo estoy igual. Ayer lunes llegué a la oficina y pregunte "¿Habéis bajado la Ubuntu para cumplir mi penitencia?" Y entre risillas me dijeron: "Sí".

Así que desde ayer estoy intentando trabajar con este sistema operativo y la experiencia es TOTALMENTE DECEPCIONANTE desde el primer minuto.

He de decir que no acepté hacer esta penitencia con Ubuntu porque fuera el mejor linux, sino porque se suponía que era el más fácil y el más usuable y tan usuable como Windows Vista. Si quisiera montar un servidor linux lo último que haría sería usar Ubuntu y me tiraría a mi viejo y querido RedHat que tan bien se ha portado siempre. La última experiencia con RedHat la tuve cuando escribí los artículos de fortificación de Apache y se portó como un campeón. Se suponía que cualquier usuario, hasta yo que no sé nada, debía sentirse cómodo con él.

Nuestro amigo Ubuntu ha sido instalado en la misma máquina dónde han vivido mi Windows XP SP2 y mi Windows Vista para que no sea cosa de recursos. Cuando arranca el Ubuntu, Windows Vista ya ha descargado el correo y está desayunando, ya sabéis, por esa tontería del ReadyBoot que trae Vista.

Desde que lo he instalado, el Firefox, que viene en su versión Beta 5 me ha petado 2 veces. Le cambié el nombre al equipo y dejó de funcionar Gnome y configurar la Wifi de mi casa ha sido imposible con ninguna de las herramientas gráficas que trae esta "fácil" Ubuntu.

Sí, ya sé que yo soy gilipollas y no sé. Pobre tonto de mi. Menos mal que mi vecino me ha "cedido temporalmente" su Wifi para poder postear esto desde mi Ubuntu.

Los botones de ayuda no existen en la mayoría de los cuadros de dialogo gráfico, cuando existen en la mayoría de los casos sólo ponen el "about" para que sepamos quien lo ha programado. En otros las opciones y las explicaciones aparecen medio en inglés medio en castellano.

Estoy muy decepcionado con el acabado del producto, pero tendré que seguir usándolo, a ver si es verdad que "el roce hace el cariño".

Me he levantado a las 7 y media de la mañana, y desde entonces llevo intentando trabajar con mi Ubuntu y me está matando su usabilidad. Iba a poneros las capturitas de todas las pantallas... pero el GIMP tampoco me está dando el cariño que necesito. (no encuentro la herramienta de cortar todo menos lo seleccionado de mi querido photoshop ni la del paint de "desea ampliar el lienzo?" que se hace de forma automática al tamaño de lo copiado. Así que... se me ha terminado el tiempo que tengo para dedicar al blog y tengo que hacer otras cosas, como por ejemplo, trabajar.

Tendré que seguir "aprendiendo", pero el que diga que el cambio es fácil y que "es igual de fácil" simplimente miente o no ha usado un Windows Vista en su vida.

Así que, de momento, el mayor de los sentimientos es añorar mi Windows Vista, snif. Si es que echo de menos hasta el flip 3D (y eso que no lo uso nunca!)

Saludos malignisimos desde Ubuntu!

lunes, abril 28, 2008

Entrevista a Luciano Bello @ Debian

Conocer en a Luciano Bello y no adorarle es imposible. Es un argentino que enamora, cariñoso, simpático, peleón de los que me gustan a mi, de esos que nunca llevan la sangre al río. De esos que disfrutan del juego verbal. Los dos días que pasé con él fueron muy divertidos y especiales. Ayuda también a Andrés Riancho, creador de la herramienta de análisis de web w3af, que Luciano intenta mantener en Debian.


Le hice esta entrevista, sólo para pegarnos un poco más de lo que ya nos pegamos...y, por supuesto, he decidido CENSURAR todo lo que es contrario a mis ideas, ya sabéis cómo las gastamos en el lado del mal.  Disfrutadla... y gracias Luciano!

1.- Venga va, ¿Por qué Informático?¿Por qué no... no sé.. psicólogo u odontólogo?

Ni psicólogo ni odontólogo por la sencilla razón de que no disfruto de traumar a las personas.Además, la profesión informática es la única cuya cultura ve al friki como algo casi bueno, incluso hasta rentable.

2.- ¿Stable o Current?

¡Current! Stable es para viejitas con problemas cardíacos.

3.- ¿Que es lo peor que puede hacer un Geek?

¡Escribir licencias! Es como hacer una apertura escocesa Gottschall sin saberte todos los movimientos, tarde o temprano la cagas. También hay otras falencias geeks, como realizar el saludo vulcaniano en una primera cita, pero ninguna es tan grave como la primera.

4.- ¿Y tú que hubieras hecho con el temita dichoso del logo del Firefox?

Es un tema complejo con el que no me gustaría aburrirte. La versión corta: El logo de firefox no es libre. Mozilla dice, "si no usan el logo, tampoco usen el nombre". Bajo este contexto hay pocas opciones:

- Ó firefox se va a repositorio de non-free y deja de ser parte de Debian
- Ó renombrar firefox con otro nombre (no se... digamos... iceweasel?)

Creo que la decisión del cambio de nombre fue acertada. Ahora Mozilla dejó de meter su nariz en particularidades del paquete y Debian le da a sus usuarios un software de excelente calidad y soporte.
Otra opción era etiquetar a con "wontfix", pero eso ya hubiese sido patear el tablero de los buenos modales...


5.- ¿Sirven para algo las lineas de los carriles en Buenos Aires o son sólo para medir el número de coches que caben?

¿Qué lineas? La palabra "carriles" no tiene traducción en el español mejorado que se habla en Buenos Aires.

6.- ¿Qué NO debe decir un "gallego" en Argentina o cómo debe hablar para que le entiendan allí?

Por lo primero, hay clásicos como 'coger' y 'acabar', todos con connotación sexual. Entre los menos comunes pero igual de importantes están: 'petar', 'mamar' y 'sobar'. Recientemente descubrí 'trola', y la lista podría nunca acabar^w terminar. Si de hablar como un argentino se trata, es cuestión de pronunciar la 's', la 'c' y la 'z' de igual forma, así como las equivalencias 'y' y 'll', sumadas a 'b' y 'v'. Estas dos últimas son "be larga" y "ve corta" respectivamente. Si uno dice "uve" se refiere a una 'u' seguida de una 'v'. Lo que digo... solo mejoramos su vulgar y cavernícola idioma.

7.- Y a parte de ser mantenedor de software en Debian...¿cómo te ganas la vida?

Trabajo para CITEFA (www.citefa.gov.ar), el instituto de investigación de las Fuerzas Armadas de Argentina. En particular, en el laboratorio de Seguridad Informática (www.citefa.gov.ar/si6). Si te doy más información tendré que matarte y no queremos eso.

8.- ¿Habías visto alguna vez un Vista o el mio fue el primero?

Una vez vi un XP con el skin de Vista, cuenta?

9.- ¿Qué debe saber cualquier apirolao que quiera montarse un Debian?

Suponiendo que "apirolao" sea un chaval, un tipo, un muchacho, lo que él tendría que saber es cómo pedir ayuda y soporte en la comunidad o a una empresa si llegara a necesitarla. Por otro lado podría olvidarse de tener que cambiar su hardware cada vez que una versión deja de estar soportada, de rezar que el primer lunes de cada mes su máquina no sea parte de una botnet, de que los archivos que guarde con la nueva versión de su Office pesen 8 veces más de lo que solían pesar, /etc, /etc, /etc

10.- ¿Qué tres pecados capitales no debe cometer un "gallego" en Argentina?

El primero y fundamental es preguntar: "¿Qué Diego?" cuando alguien habla de "EL Diego". El segundo tiene cierta relación con el anterior, y consiste en insinuar que Gardel es uruguayo. Por último, declararte vegetariano puede ser castigado con empalamiento en plaza pública y cosas del estilo.

11.- ¿A quién has conocido que te haya impresionado?

Por suerte he conocido a mucha gente admirable que me a impresionado. Para nombrar algunos: Joey Hess, Wietse Venema, Jon "Maddog" Hall, y un largo etcétera. Gente inteligente, muy humilde, con quien uno pasaría horas hablando de la vida. En otro orden de "celibridismo", tengo mucho conocidos cercanos que me impresionan a diario, como JuanJo Ciarlante, Enrique Chaparro y Kragen Sitaker por poner solo tres ejemplos.

12.- ¿Qué debe comer y beber todo buen visitante de Buenos Aires?

Pues.. asado de vaca, en todas sus variedades. Para beber, vino tinto. Aunque hay otros "must" menos obvios, como las facturas, el submarino, el dulce de leche, las empanadas, el arroz con leche y el alfajor.

13.- ¿Por qué le llaman Buenos Aires si está lleno de polución de coches?

El nombre original era "Nuestra Señora del Buen Ayre" y data de cuando los motores a explosión no eran ni una idea. Si te molesta la polución es porque nunca estuviste en México DF.

14.- Venga va, tengamos un pollo... ¿Por qué tú no hubieras aprobado OOXML en ISO?

Es un tema en el que la mayoría de los geeks se limita a repetir la historia de blogosfera que más le guste. Pegarle a MS, la empresa políticamente incorrecta por excelencia, es fácil. Voy a tratar de no caer en esa. Para tener una opinión propia tendría que leerme las 6000 fojas, y tengo cosas más divertidas que hacer.

15.- ¿Qué coño significa el logo ese de Debian que parece una manchita de vino?

Tengo entendido que es una galaxia, por eso del sistema operativo universal. Pero es un rumor de por ahí. También escuche a alguien decir que la espiral intenta reflejar el crecimiento continuo de la comunidad. O el crecimiento continuo del universo en expansión. O vaya uno saber...

16.- ¿Ligan los informáticos en Argentina o el doble de lo que se liga en España? ¿Aquí nada, allí nada de nada?

Distingamos algo. Una cosa es el informático corte Yuppie, de puntocom pujante y traje con camisa sin corbata. Ese sí liga... Existe otro tipo informático, el cuasi-nerd/geek, cuyo tema de conversación favorito es A*. Este último...pues... ese lo único que puede ligar son dos páginas webs entre sí.

17.- ¿Cuando te pasarás a Windows?

Para que eso pase tendrían que ocurrir las siguiente cosas en forma simultánea:

- Me tendría que permitir usarlo para cualquier propósito.
- Me tendría que permitir estudiarlo y modificarlo.
- Me tendría que permitir copiarlo.
- Me tendría que permitir mejorarlo y compartir esas mejoras quien quiera.

Y no solo a mí, sino a todos. Además, esto de tener el programa que necesito a un apt-get de distancia me es cómodo, sin necesidad de pantallas con el botón "I agree" que uno aprieta a ciegas. Por último me gustaría poder colaborar con el software y su gente de forma afable, que pueda declarar un bug o solicitar un feature y sea escuchado. Dame un Windows con todo esto y ese día Windows tendrá un usuario más.


18.- ¿Os da mucha guerra Linus Torvalds?

El flamer favorito de Debian es Stallman, por aquello del non-free. Torvalds tiene poco que ver en Debian, el hecho de que sea su kernel es casi accidental. Tengo entendido que no le gusta Debian, pues que use otra cosa.

19.- ¿Cuantos tipos de licencias Open Source/Free Software te sabes de memoria?

Pues.. de memoria, solo una. Mi favorita. La única licencia que un geek puede escribir, aplicar y entender sin liarse. La "DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE". En el resto lo importante es saberse las diferencias grandes. Para lo sutil está Debian Legal.

20.- ¿Si te regalo una pegatina de Windows la pones en tu coche Rojo "Red HAT"?

Se ve que tanto tiempo entre pantallas azules afectó tu capacidad de distinguir colores. Mi auto es rojo DEBIAN, claramente. Y no.. no creo que la pegue.

Saludos Malignos!

¿Debianizador?

Las aventuras y anecdotas que se fueron sucediendo en mi último viaje por Argentina aún están frescas en mi retina y voy contándolas cena tras cena, charla tras charla, orgía tras orgía.

Allí conocí muchas personas interesantes, cariñosas y dignas de mantener en la retina y en el corazón. Ya os he hablado de muchos de ellos y hoy quiero hablar de otro. El amigo Luciano, un Debianita. ¿Os podéis imaginar al Maligno conviviendo durante dos días completos con un Debianita? Esta es la historia.

Nos habíamos conocido en una charla dos días antes y teníamos que viajar a Santa Fé para participar en otras charlas. La idea era que yo fuera en su coche descansando, pero el sueño era intranquilo... y no sabía por qué.

Sueño intranquilo

El coche era manejado por el "salvaje" en cuestión, el cual utilizaba un sistema poco más que acojante para mi tranquila forma de conducir el maligno-movil:

El Debianita manejando

Después de levantarme con el estomago revuelto descubrí que es lo que había sucedido: Me habían estado realizando un sortilegio con el coche. Resulta que ese coche, Rojo Windows Vista, había sido "profanado" con una sospechosa "mancha de vino".

Hechizado

Esa misma sensación la había tenido mi querido "josemaricariño" con anterioridad:

Josemaricariño sufriendo

Una vez descubierto todo el entramado, tuve que partirle las piernas para que todo volviera al redil:

Luciano pillando cacho

Al final, tras acabarnos el vino, por la noche hubo que discutir largo y tendido, pero al final, conseguí instalar un Windows Vista en la máquina esa que me dejó el amigo Luciano. Para poner las cosas en su sito, por supuesto.

¿Quién convence a quién?

Después, durante el proceso de la instalación, le fui explicando los pormenores y maravillas de la versión Home Edition.

...Y este es el UAC..

Y para que quede constancia de todo, le he hecho una entrevista.

Saludos Malignos!

domingo, abril 27, 2008

¿Leyendas Urbanas?

Hace tiempo que procuro estar con el ojo avizor respecto a las leyendas urbanas. Ya sabéis, la de Ricky Martin y perro de la mantequilla, la del posabasos, la de "aquel" que dijo saquespeare y le rectificaron con "sespir" y dio la charla en ínglés, etc...

Todas esas leyendas urbanas tienen como soporte vírico es ser graciosas, aleccionadoras y un punto de mala leche. Por eso sobreviven, ¿no?

De entre las "leyendas urbanas" hay una que me tenía loco, y es la de poner la contraseña en el postit pegado en el monitor. Sí, lo hemos oido muchas veces, pero será por lo que sea, yo no lo había visto nunca... hasta esta semana.

Había visto a cierto apirolado sacar el pin de la tarjeta de crédito de la cartera escrito en el mismo papelito que te dan en el banco, pero lo de la password en el postit nunca. Pero... como todo en esta vida... llegó.

El otro día me estaban haciendo unas fotos para una entrevista que me habían realizo y me dijero.... "hagamos que salgas con un ordendor de fondo", ya sabéis, por eso de que soy informático... Así que nada.... me siento y... ¿Qué creeis que me encuentro en el ordenador que me ponen de fondo?

El "informático" y su Blog

Pués sí, un ordenador con un monitor lleno de postits...No, no puede ser....pero sí, lo era... en uno de los postit me encontré esto:

La password del PC...

He borrado parte de los datos para que no queden "expuestos" pero no me he recuperado del shock... ¿Será verdad también lo de la tienda de chinos que roban organos?.

En fi,...Saludos Malignos!

sábado, abril 26, 2008

No Lusers 42: WifiSegura

***************************************************************************************
Publicado en TechNet Flash Volumen 10, edición 5. 10 de Abril de 2008
***************************************************************************************




***************************************************************************************
Publicado en TechNet Flash Volumen 10, edición 5. 10 de Abril de 2008
***************************************************************************************

Dibujando Música


Hola amig@s,

Hoy os quiero trasladar una peocupación de esas mundiales. De esas que son tan importantes que debería ocuparse la ONU.

¿Cómo *$%&! "pinta" el Winamp sus skins en el sistema?


Es con la única aplicación que me ha pasado esto y me intriga, aunque supongo que no es la única. El misterio se produce cuando se cambia el skin por defecto del Winamp (ya sabéis, ese programita para escuchar música, la radio por internet y los canales de televisión... incluidos los porno, sí.)

En la representación normal del Winamp se ve el skin moderno, mirad que bonito que está, con sus canciones y todo.

Imagen 1: Winamp con el skin “moderno”

Ahí se ve el nivel musical que uno gasta… Fito, el live in Alkobendas de los Sublevados, los Bloc Party,… vamos, todos los clásicos. La “cream” de la “cream”.

Este es el aspecto que tiene este programa en mi ordenador, luego se supone que las representaciones internas que Window Vista tiene de él serán la misma, pero sin embargo, cuando miramos los “snatchos” que aparecen en la barra de tareas, en el flip 3D y en el Alt+Tab aparece el skin clásico .

Imagen 2: Captura de pantalla con Alt+Tab y Snatcho en barra de tareas

Nótense las friki tools: Explorador de archivos, bloc de notas y Paint. ¡A lo grande!

Imagen 3: Bailando el Winamp con el interfaz clásico en el Flip 3D

¿Alguien sabe por qué pasa esto con el Winamp? ¿A alguien le ha pasado con alguna otra herramienta? ¿Será la forma de pintar el Skin del Winamp? Parece que está pintando el skin clásico también o... ¿será mi Vista?

Saludos Malignos!

viernes, abril 25, 2008

¡No soy gordo, soy de pecho bajo!

Ayer mismo envié mi artículo mensual a Windows TI Magazine, alentado por mi compi Juanito, sobre "los gordos". Sí, como muchos ya sabéis, yo llegué a pasar los 100 kilos aunque tras "un desafortunado" viaje por la China quedé reducido a los 76 que ahora peso, pero no es de nosotros, los gordos humanoides unidos, de quien quiero hablar en este artículo sino de otros de los acusados de gordos. Los windows y el amigo Vista.

Ya sabéis que Vista requiere un hardware enorme para correr … o no. Vista es un sistema operativo que trae mil movidas y a los amantes del término “comodidad” como yo, nos pone “gorilón” cada vez que Vista te sorprende con una nueva pijada super-útil que justo, justo, justo necesitas en ese momento. Me encanta (y pensar que tengo que pasar a Ubuntu ya este lunes… sniff). Claro, si no las necesitas… no hay porque tenerlas.

Ya sabéis que hay una web de frikis dónde se dedican a meter sistemas operativos en sitios “inverosímiles” sólo para comprobar si se puede. Y ya os enseñé la captura de un Vista “sin tunear nada” metido en una máquina con 479 megas de RAM aunque la versión Starter puede meterse (sin hacer nada raro) en equipos con 384 Mbs de memoria RAM.

El caso es que Windows Vista tiene dos versiones evolucionadas del antiguo Windows XP Embedded Edition preparadas para ser modularizadas y dar soluciones en hardware concreto y con funcionalidades concretas. Esas versiones, llamadas Windows Vista Ultimate Embedded y Windows Vista Buiseness Embedded permiten, a compañías que van a sacar una solución empotrada con Windows Vista sobre un hardware determinado, el poder quitar a gusto todo aquello no sea estrictamente necesario para su solución.

Esto ha hecho que existan cacharritos como el Wildom D4 que corra un Windows Vista en 18 cms de largo, por 8,5 cms de ancho, con un micro a 1.5 Ghz y 1Gb de RAM.


Wildom D4 con Vista

Ahora, la última sorpresa sobre la eterna gordura de las soluciones Windows nos llega de manos del ordenador de 100 dólares desarrollado por el MIT. EL OLPC debe correr una solución para fomentar el aprendizaje llamada Sugar. Pues bien, Spectra, en su afán por gobernar todos los sistemas operativos del mundo se ofreció a desarrollar un Windows aligerado que corriera sobre el famoso XO. Y corre bien… así que.. Negroponte, el padre del proyecto, está en conversaciones con Spectra para que estos ordenadores corran con arranque dual y haya un Sugar sobre Windows en los ordenadores XO.

Es curioso porque en sus explicaciones a “la comunidad” sobre esto dice cosas como:

"There are several examples like that, that we have to address without worrying about the fundamentalism in some of the open-source community. One can be an open-source advocate without being an open-source fundamentalist."

Que viene a ser algo como:

“Existen varios ejemplos como este que tenemos que tratar sin preocuparnos por los fundamentalismos en algunas comunidades open source. Alguien puede ser un defensor del open-source sin ser un fundamentalista del open-source”

Antes ya había publicado ciertos lamentos con la version de Sugar que tenían:

He lamented that an overriding insistence on open-source had hampered the XOs, saying Sugar "grew amorphously" and "didn't have a software architect who did it in a crisp way." For instance, the laptops do not support Flash animation, widely used on the Web.

Que viene a ser algo como:

Él (Negroponte) se lamentaba de que una creciente insistencia en Open-Source haya limitado los XO diciendo que sugar “crece amorfamente” y “no hay ningún arquitecto de software que lo haga de una manera tajante”. Por ejmplo, los ordenadores no soportan animación flash, ampliamente utilizada en la web.

Así que, tras su planeada portación de Sugar a Windows ha dicho:

Sugar is a very good idea, less than perfectly executed. I attribute our weakness to unrealistic development goals and practices. Our mission has never changed. It has been to bring connected laptops for learning to children in the poorest and most remote locations of the world. Our mission has never been to advocate the perfect learning model or pure Open Source.

Que viene a ser algo como:

Sugar es una muy buena idea, menos que perfectamente ejecutada. Yo atribuyo nuestra debilidad a objetivos de desarrollo y prácticas no realistas. Nuestra misión nunca ha cambiado. Ha sido traer portátiles conectados para el aprendizaje de los niños en las localizaciones más pobres y más remotas del mundo. Nuestra misión nunca ha sido defender el perfecto modelo de aprendizaje o el Open Source puro.

Y justo se está ganando los mejores comentarios del día (no os los perdáis en la sección de comentarios), descubriendo que algún que otro fundamentalista había suelto por ahí.

Y yo digo… ¿Es malo que los niños usen Windows para aprender con Sugar? o ¿deben tener también conocimientos de la sh? Me juego algo a que ese Windows no lleva Powershell.

Saludos Malignos!

jueves, abril 24, 2008

Jugando con LDAP (III de III)

***************************************************************************************
- Jugando con LDAP (I de III)
- Jugando con LDAP (II de III)
- Jugando con LDAP (III de III)
***************************************************************************************

Los clientes

Cuando parecía que todo estaba visto sobre como procesan las implementaciones de ADAM y OpenLDAP los mensajes que llevan más de un filtro LDAP nos dimos cuenta de que algo no estaba funcionando como debía. Al realizar una aplicación web y lanzar dos filtros contra ADAM vimos que no estábamos recibiendo ningún error y que el primer filtro estaba siendo procesado. Vamos, como si fuera un OpenLDAP. No puede ser, alguien no está haciendo trampas. ¿Quién era el culpable?

En esta aplicación para probar consultas LDAP se puede ver el resultado de una consulta lanzada sobre el árbol LDAP del Retohacking IV, que funciona sobre ADAM, en color rojo. Como se puede ver son dos filtros pero sólo se está ejecutando el primero.

Aplicación Web enviando 2 filtros a ADAM

Pero esto no puede ser, hemos visto en la parte II, que cuando se lanza un mensaje con más de 1 filtro a un árbol ADAM nos devuelve un mensaje de desconexión. ¿Dónde está el misterio?

El componente web para clientes LDAP

Para reconstruir el entorno utilizamos el componente IPWorks de NSoftware y nuestro amigo, estaba tomando una tercera decisión de diseño. Así como OpenLdap ejecuta sólo el primer filtro correcto y ADAM termina la conexión, el componente IPWorks, elimina cualquier carácter por detrás del primer filtro correctamente construido. Es decir, si el programador carga dos filtros en el método de envío de la query LDAP, como se puede ver en la captura de abajo.

Visualización Valores en Visual Studio

El componente sólo lanza una consulta con el primero, como se puede ver en la captura realizada con Wireshark.

Captura envío con Wireshark

Este comportamiento es un tanto peculiar, ya que permite que un programador envíe datos erróneos, siempre y cuando haya un filtro correcto al principio.

La historia por debajo

Este comportamiento no dejaba de mantenerme un poco perplejo, ya que en OWASP se explica la inyección LDAP siguiendo los ejemplos de Sacha Faust, es decir, con dos filtros en un único mensaje y, en los ejemplos de Sacha se utiliza el componente IPWorks. ¿Sorprendido?

Ejemplo en documento de Sacha Faust

La idea parece ser, que, la gente de NSoftware, tras verse convertidos en ejemplo público de inyección LDAP con su componente IPWorks, optó por salirse de los ejemplos eliminando la posibilidad de inyectar código….con dos filtros. Sin embargo esta decisión de diseño favorece la inyección en consultas AND y OR pues hace que todos los parámetros a la derecha del parámetro inyectable puedan ser fácilmente excluidos de la consulta.

Preguntas Malignas

¿Es esta una buena decisión de diseño? ¿No hubiera sido mejor generar un error de aplicación? ¿Y dejarlo y enviar en bruto y que sea el error del servidor el que responda? Total, si la caga la aplicación es culpa del desarrollador, y si la caga el servidor es culpa del fabricante, ¿por qué tomar partido? ¿Es ahora algo más culpable? Yo creo que no, pero ….no me gusta esa decisión desde el punto de vista de seguridad. ¿Qué opináis vosotros?

Saludos Malignos!

***************************************************************************************
- Jugando con LDAP (I de III)
- Jugando con LDAP (II de III)
- Jugando con LDAP (III de III)
***************************************************************************************

miércoles, abril 23, 2008

Formación Técnica en Seguridad y Auditoría


Hola a tod@s!

Esto es publicidad y de la buena, así que ya sabéis, podéis parar de leer justo aquí. Sólo quiero anunciaros lo que un buen observador de cierta captura de cierto correo que le dejé a RoMaNSoFt ya sabía. Estabamos preparando una formación para técnicos sobre "Técnicas de Auditoría y Seguridad Informática".

Estoy muy contento porque allí vamos a estar metidos todos los pájaros con los que tengo el gusto de trabajar.

Estará Juan Luís Rambla, que a parte de saber un huevo, habla de maravilla y es un encanto de persona. Juan Luís lleva batiendose el cobre años a mi lado y siempre consigue ser mejor valorado que yo en las encuestas (vaaaale... eso no es tan dificil).

También estará Juan Garrido, el amigo "silverhack" a.k.a "el trianero". De hecho, el empujón definitivo para organizar esto fue oir su charla en el Asegur@IT II en Barcelona sobre análisis forense en memoria RAM. El amigo Garrido después de llevar tiempo en elhacker.net y de haber jugado con las técnicas forenses hasta saciarse es una maravilla que merece la pena ver jugar con las imagenes offline de sistemas.

Pedro Laguna también participará. El pobre está triste porque por motivos de trabajo (el jefe es un capullo y le tiene dando vueltas por las Españas) no ha podido jugar en los últimos retos hacking (aunque hubiera jugado no creo que hubiera ganado pero al menos se hubiera divertido :P) así que teníamos que hacer algo chulo y estará en esta formación también.

Alekusu, Alex, Alejandro Martin, el que me ayuda a definir la arquitectura de muchos de los retos hacking y en algunos los implementa. Hace años en una master de seguridad informática nos encontramos en Salamanca, se vino para Madrid y desde entonces ha estado participando en mil batallas. Es el creador de muchos de los juguetes utilizados en las auditorías informáticas que llevamos a cabo en la empresa y el que dirige la mayoría de ellas (o casi todas).

Y estaré yo... dando alguna parte y disfrutando de oirlos en otras, porque yo me voy a guardar un sitio de espectador de lujo.

La idea es realizar una formación de 6 semanas tocando muchas cosas. Hemos puesto una lista de los temas principales, pero nos guardamos bajo la manga muchos "juguetes" y "demos" internas.

Será una formación con una alta carga práctica, para técnicos [abstenerse Técnicoless] y en la que es necesario pasar una entrevista personal antes para asegurarnos que nadie entorpece a nadie en el aprendizaje. No, no hay que ser Einstein para entrar, simplemente saber algunas cosas básicas de redes, de programación, de sistemas operativos, etc... y tener capacidad de aprendizaje.

Sólo será para un grupo de 6 a 12 personas y será en horario de mañana (Sí, lo siento, veréis, es verano, y eso de currar mucho por las tardes, noches o fines de semana.... es un poco duro).

Será en Madrid y no, no lo grabaremos en vídeo... lo siento. Sniff..

Los temas que se tocarán las 6 semanas son:

Primera semana: Conceptos de Auditoría de seguridad
Durante esta semana se verán los conceptos de seguridad, las herramientas de status, la misión del auditor técnico, los tipos de auditoría. Como se afronta una auditoría de caja blanca, de caja negra, que mirar, como hacer un estatus del sistema, como evaluar la situación inicial. Cuáles son las fuentes de información a contar en una auditoría. Cuáles son las fuentes de información y como poder utilizarlas. Es una semana de puesta al día en conceptos de redes, servidores, clientes, tecnologías e internet.

Segunda semana: Auditoría de seguridad de servidores y clientes
La segunda semana estará centrada en el análisis de seguridad de servidores y clientes. Como entender la información que utilizan. Las arquitecturas de seguridad de Sistemas Microsoft y Sistemas Linux. Cuáles son los almacenes de información importante en el sistema. Vulnerabilidades. Scanners de información. Exploits. Scanners de caja blanca y scanners de caja negra. Parches. Rootkits. Troyanos. Detección. Fortificación de servidores. Herramientas de fortificación de servidores.

Tercera semana: Auditoría de Aplicaciones Web
Arquitectura de aplicaciones Web. Arquitecturas Apache/IIS. Análisis de servidores web. Scanners de vulnerabilidades web. Ataques a aplicaciones web. Inyecciones de Código. Ataques RFI y LFI. Ataques XSS y CSRF. Herramientas de análisis de código estático. Web Application Firewalls. Mod_security. Request Filtering.

Cuarta Semana: Auditoría y Seguridad de Red
Arquitectura de conexiones de red. Protocolos de envío L2. Sniffers. Reconstrucción de protocolos. Análisis de red. Inyección de tráfico. Spoofing de comunicaciones. Ataques MITM. Cifrado y autenticación de paquetes. Sistemas de cifrado SSL. IPSec.

Quinta semana: Auditoría Wireless, IM, VoIP y VPNs
Tecnologías Wireless: WEP, WEP2, WPA, WPA2. Inyección de paquetes. Ataques a routers Wireless. Inyección de tráfico. AP spoofing. Tecnologías VoIP. Arquitectura SIP. Intercepción de comunicaciones. Reconstrucción de conversaciones. Comunicaciones en Sistemas de Mensajería instantánea. Sistemas de voz, video y conversaciones instantáneas. VPNs.

Sexta semana: Análisis Forense
Definiciones. Aplicaciones prácticas. Recogida de datos. Recogida offline y Online. Cadena de custodia. Logs. Análisis de logs del sistema operativo. Análisis de logs de aplicativos. Análisis forense de Malware. Seguimiento del malware para poder denunciar. Sistema de recogida y firmado de logs. Análisis de memoria RAM. Volcado y búsqueda de estructuras. Documentos. Informes de análisis.

Pues eso, serán 150 horas jugando. Si hay plazas se dejará matricular a la gente semanas sueltas (bajo las mismas condiciones de entrada).

Toda la información detallada del curso la tenéis en:

FORMACIÓN TÉCNICA EN SEGURIDAD Y AUDITORÍA INFORMÁTICA

Saludos Malignos!

martes, abril 22, 2008

No Lusers 41: QuadCore

***************************************************************************************
Publicado en Windows TI Magazine Ab'08
***************************************************************************************






***************************************************************************************
Publicado en Windows TI Magazine Ab'08
***************************************************************************************

lunes, abril 21, 2008

24 de Abril en Logroño

Hola amig@s!

El próximo día 24 de Abril a las 19:00 horas estaré en Logroño en un evento en la Universidad de Rioja. Es una charla sobre Windows Server 2008 que tendrá lugar en la Sala Informática del Edificio Vives. Me han pedido que vaya y cómo el miercoles voy a estar en Bilbao, pues aprovecho y la hago. Si os apetece venir, pues encantado. Más información en la siguiente URL: Window Server 2008

Saludos Malignos!

Cagadas II

Corria el año 2005. Era una noche cualquiera en una ciudad cualquiera, en este caso Vigo. Eramos los pájaros de siempre, más o menos y estabamos de cena. Como siempre, salimos a tomar algo. Y ese algo hizo un join con algo as algo1, y con algo as algo2. Al final llegamos a las 6 a la cama y como ya os narré hace tiempo, fue la peor charla de mi vida.

No encontraba las palabras, no encontraba los canales, no encontraba ni mi vida. La cosa acabó y yo regresaba de viaje en el maligno-movil. Con unas ojeras más negras que el futuro de muchos. Con los pelos sucios. Con una resaca de esas que no sabes si tienes la regla o si has estado viendo siete veces el debate entre Zapatero y Rajoi.

A la altura de la salida del peaje de la A6 la benemerita estaba a la derecha de la carretera en el arcén y, cómo casi todo el mundo, pensé: "¿Qué te juegas a que me paran?"

Dicho y hecho, el alto y al arcén. "¿Daré aun positivo?. No, creo que tengo resaca pero hace ya muchas horas que tomé la última copa..."

- "Buenos días agentes" (Voz y sonrisa lo más linda posible, ya sabéis...)

- "Buenos días. Estamos realizando un control preventivo de armas y drogas y queríamos revisar su vehículo".

Vaya, drogas y armas. Debo llevar una pinta de cojones en el maligno-movil, con esta cinta de colores en el pelo, con las barbas y con la resaca. Seguro que me acusan de lo de Laura Palmer y con razón....

- (musica de Mocedades) "Claro, por supuesto agente, ¿Qué necesita?"

- "Los papeles del vehículo, que salga del coche y nos abra el maletero"

Entrego los papeles, salgo del vehículo, no sin dolor de articulaciones y dolor de cabeza y me voy con el agente hacia el maletero. Y lo abro...

Y de repente la imagen no podía ser más dantesca. Un melenas resacoso abriendo el maletero del maligno-movil con dos guardias civiles a los lados buscando armas y drogas y aparece en el maletero dos pelucas de colores y un hacha de metro y algo.

Acto seguido, el guardia civil tira el palillo de la boca y se echa mano a la cartuchera, me mira sorprendido y me dice:

- "¿Y esto?"

Joder hermano, y ahora como se lo explico yo...

- "Esto.. bueno.. verá... es que soy ponente"

El guardia civil, extrañado por la palabra me respondió ipso-facto (para los de la LOGSE: al instante).

- "¿Ponente? ¿Ponente de qué?"

Vale, a explicarle la vida de uno:

- "No, mire usted, verá, es que damos charlas de informática y en algunas de ellas nos gusta hacer un poco el tonto y nos difrazamos de cosas, ya sabes, para que la gente se divierta y ...."

Bueno, el resto os lo podéis imaginar, tuve que dar mil explicaciones, me registraron el coche de arriba abajo y al final ... me perdonaron la multa por una cosilla que había por ahí.... En fin, para no olvidar esta historia.

Moraleja: Si te disfrazas de Gimly, no dejes el hacha en el maletero...

Saludos Malignos!

domingo, abril 20, 2008

Quién me mandaría!

Hola tod@s!

Soy un apirolao y me meto, como los gochos, en todos los barrizales. Ahora, desde que anuncié que iba a cumplir la penitencia de trabajar diariamente con el Ubuntu de las narices durante..joder! ¿3 meses? [¿cómo se me va tanto la olla?], estoy que no duermo bien.

Las noches me las paso pensando en: "¡Coño!, ¿me quedaré también sin RCP/HTTPS?"... y es que estoy haciendo una lista de las cosas que utilizo diariamente que no se como me lo voy a montar....a ver, necesito expertos que me ayuden:

- Uso Outlook 2007 con RPC/HTTPS para conectarme al buzón de mi Exchange Server 2003 (que ya está en fase de migrarse a 2007). ¿Deberé migrar a POPs o IMAPoSSL?. Eso será una gracia, graciosa poco divertida. RPC/HTTPS es una caña y pasar a tener un tunel SSL sobre POP o IMAP me da cifrado y autenticación del server pero pierdo mil funcionalidades de rendimiento y gestión de carpetas... Sniff.

- En algunas conexiones uso OWA 2003 con el interfaz avanzado, ¿deberé usar el interfaz "reducido"? La implementación Premium de OWA con sus ActiveX que me permiten volar con el OWA y hacer mil cositas...

- Escritorio remoto, he visto que hay herramientas de escritorio remoto, pero.. ¿con soporte también para Vistas y Windows Server 2008? Espero que sí!

Y ya pensar en las tareitas... me anima mucho.

- Meter el Ubuntu en el dominio.

- Instalar soporte para máquinas Virtuales Virtual PC. (me veo migrando a WMWare).

- Configurar la 3G por USB de telefónica.... (¿tendrá soporte para Linux?).

- Configurar la Wifi con WPA2/AES

- ¡Dios! La Base de datos en Comics corre sobre... ¡ACCESS! y... ¡joder! los documentos de mi tesis doctoral están todos superchulos en ¡.docx! ... ¡Voy a tener que pasarlos a ODF!

Pase lo de la tesis, pase lo de la 3G, pero... ¡quedarme sin mi base de datos de comics... eso no es negociable!

Bueno... al menos espero poder tener soporte para el Photoshop que me quiero comprar con una tableta digitalizadora que me gustaría utilizar diariamente para dibujar mis tiras...

- Joder... ¡Las webcasts necesitan ActiveX!...

Sí, definitivamente va a ser una buena penitencia.... Y luego me encuentro a muchos que le dicen a una empresa:

¡Naaaa... no te preocupes... te migramos todo a Linux en dos patás!

Joder... Yo tengo un movil HTC... ¿Cómo coño lo voy a sincronizar ahora?

¿¿¿3 meses usando Linux????. Creo que voy a hacer como Novell (arranque dual) o como el ayuntamiento de Munich (virtualizando Vista) porque cada vez que me acuerdo de una cosa que utilizo me dan los siete males...

Por lo menos tendré messenger con soporte de video... ¿no?

PS: Ya puedes ser bueno Ubuntu... porque si no....

Saludos malignos!

sábado, abril 19, 2008

:O

Hola fe@s!

Hoy ha sido un día durillo. Me he visto con el mono de pintar y me ha tocado coger la brocha y el rodillo como antaño y, cómo uno ya no está acostumbrado a mover el lomo, estoy cansado (si es que a esto de no currar nada uno se acostumbra rápido!).

Así que, tras quitarme la pintura y darme un duchazo (y vestido con mi maligno-pijama) me voy a descansar que mañana me toca currar un poquito más con "los pinceles" pero... ¿cómo irse sin concectarse antes a "la Interné"?. ¡Y menos mal!, porque ver el vídeo que me han dejado en uno de los comentarios ha sido lo más divertido del día. Voy a ver dónde puedo comprar esta canción y la de "la Powelchel" para meterlos en el "Itontes".


Saludos Malignos!

PD: ¿A qué no sabéis quien era un crá con el "gotelé"?

Jugando con LDAP (II de III)


***************************************************************************************
- Jugando con LDAP (I de III)
- Jugando con LDAP (II de III)
- Jugando con LDAP (III de III)
***************************************************************************************

ADAM

¿Y qué pasa con ADAM si recibe dos filtros LDAP en un único mensaje? La respuesta a esto es fácil de comprobar. Vamos a hacer exactamente el mismo proceso que con OpenLDAP. En este caso nos vamos a conectar al árbol LDAP del RetoHacking IV para ver que sucede y vamos a lanzar dos filtros en un único mensaje. En este caso; (uid=*)(uid=*).

Como se puede ver en la captura la herramienta LDAP Browser nos da un error de conexión con el servidor LDAP ¿Qué es lo que ha pasado realmente?

2 Filtros a ADAM

Para saber que ha pasado por debajo vamos a utilizar un sniffer y vemos que se intercambian. Al utilizar WireShark y capturar la respuesta que da ADAM a esta situación obtenemos un mensaje de error que dice:

"LdapErr: DSID-0C 0C0B4C: The server was unable to decode a search request attribute description list, the filter may have been invalid"

Error y Desconexión

Además, el servidor ADAM nos manda un mensaje de desconexión que es lo que LDAP Browser nos muestra como que no se puede conectar con el servidor.

SunOne Directory Server 5.0

En el paper de Sacha Faust sobre LDAP Injection, las pruebas realizas sobre él y que vienen documentadas, muestran que el comportamiento de este servidor era diferente y ante la llegada de dos filtros LDAP en un único mensaje el servidor ejecuta ambos y devuelve la lista completa de objetos en un única lista.

Ejemplo en SUN

Resumen de Implementaciones

Tras ver esto nos queda que cuando llega un mensaje con dos filtros LDAP a una implementación OpenLDAP este ejecuta sólo el primero, cuando llega a ADAM nos da un mensaje de error y nos desconecta y cuando llega a un SUN Directory Server 5.0 se ejecutan ambos. Curioso, tres implementaciones distintas con tres comportamientos distintos. Esto hará que los entornos de inyección en aplicaciones web con LDAP Injection sean totalmente dispares. ¿Es esto todo? No, aun tenemos alguna curiosidad más.

Saludos Malignos!

***************************************************************************************
- Jugando con LDAP (I de III)
- Jugando con LDAP (II de III)
- Jugando con LDAP (III de III)
***************************************************************************************

viernes, abril 18, 2008

Extractos de un Jueves

El día de ayer fue el típico día en el que no paras de oír y de rememorar cosas con la informática. Ese día en el que te juntas con personas o lees cosas y todo te hace recordar cosas del pasado con momentos…curiosos. A ver qué os dice a vosotros:

La adivinanza por Marcelino Madrigal:

Esto me recuerda tanto a cuando presentabamos el XP que no puedo dejar de ponerlo:

Les propongo un juego, adivinen a quien se refieren cuando escribo Windows Malo, y Windows Bueno, y con un bonus si aciertan la fecha, en un texto basado en un informe de Gartner donde he modificado las partes subrayadas:

"On the first anniversary of Windows Malo, Microsoft (NSDQ:MSFT) has little to celebrate. Less than 10 percent of Microsoft's installed base has upgraded to Windows Malo since its release last October. That matches a 2008 Gartner prediction that nearly 75 percent of all corporate PCs would still be running Windows Bueno by the end of 2009. The adoption rate for the installed base of 250 million Windows users is "pretty small," said Rogers Weed, vice president of Windows client product management at Spectra. "We're trying to kick-start some momentum." One solution provider said Windows Malo hasn't had any impact on his sales over the past year. "I've not had a single client that wanted to upgrade from any previous version to Windows Malo, especially from Windows Bueno. There's just so little difference," said Jeffrey Sherman, president of Warever Computing, a Los Angeles-based solution provider specializing in networks."

Respuesta: Hiro, el japonés de la serie Heroes trabaja en Gartner, y dice que Microsoft se derrumba por lo malo malo que es Windows Vista

El piropo bestia:

“Como te coja vas a detectar nuevo hardware”.

(Lo que uno oye en Almería).

La putada graciosa en la web:

Una de las “gracias”, que en tiempos más oscuros y mozos practicamos un par de veces consistía en hacer un defacement a la web únicamente añadiendo una capa por encima con un gif transparente que ocupaba toda la pantalla, esta “gracia” impide hacer clic sobre ningún botón en la página.

La putada graciosa en el PC:

Ayer me comentaba que una gracia similar la hacía un pájaro similar pero con los iconos del escritorio. Alguien se deja el ordenata abierto, se hace una captura de pantalla, se quitan todos los iconos del escritorio y se pone como fondo de pantalla la captura para que el amigo en cuestión arregle el problema.

La putada menos graciosa en la BIOS:

Esto me trajo a la mente como otro con muchos “cuennos” le deshabilitó en la BIOS la tarjeta de sonido a una compañera que estaba escribiendo un artículo sobre multimedia. Claro, primero tenía la tarjeta sonando y al día siguiente no, lo último que pensó es que le habían jodido la BIOS.

El chiste:

Después del chiste del pavo, el de la sacarina o el del animal con “entre tres y cuatro ojos”, este acaba de situarse en el top *1*:

Se abre el telón y aparecen el PowerPoint y el Access llamando a una puerta, ¿Cómo se llama la película?

Respuesta: “esta’rword?”

Salir los jueves tiene estas cosas…

Saludos Maligos!

jueves, abril 17, 2008

Hoy no hay nada, lee otra cosa

Y allí estaba yo, cocido al sol, con una mala resaca. Había sido una noche mala, me había tenido que encontrar esa noche con todo pájaro viviente y, como siempre, me había apuntado a todo. A una cerveza en el bar de al lado, a una copa con la rubia de enfrente, a una conferencia la semana que viene en una universidad, a montar un nuevo juego y a ver quien se hacía una “ele” mejor.

Esa mañana siguiente, cuando el sol seguía haciendo efervescer el alcohol de las neuronas de mi cabeza fue cuando tuve la visión. San CP/M, patrón de los desamparados en el mundo de la tecnología, de los descreídos, de los de que han visto muchas veces la eterna promesa de “mejor, más rápido, más chulo, más guay, más barato” en el mundo de la informática, se apareció ante mí.

- “Joder”, pensé, como dice la canción de “La Fuga”, “tengo que cambiar de vida”.

- “Sí, hijo mío, tienes que cambiar de vida”.

- “Me cago en la puta, ¿me lee la mente o es que está en mi cerebro?”

- “Todos los que vivís pegados a la tecnología somos uno. El uno es todo. Todo es el uno. El amor fluye, fluye el amor. ¿Quieres una margarita?.”

- “Dejate de cocktails y dime a que has venido, que yo sigo pensando que creo que me pasé con la sustancia esa que me trajo mi colega de la India, (nota mental: “Cuando pille al Rana se entera”).

- “Vas a hacer 33 años y eres un crapulilla, eres la vergüenza de la profesión. Debes encontrar el camino, enderezar tu futuro y acabar los asuntos a medias”

- “¿Y no tengo que dejar las drogas?”

- “Mmm, …pues Bill no me ha dicho nada, ¿te sientan mal?”

- “¡Joder!, ¡estoy hablando con San CP/M…¿Tú crees que me sientan bien?”

- “Aps… pues… no sé, mira tú a ver qué te parece”

Y así como vino… se fue. Tomé conciencia horas después, cuando noté que había bajado la temperatura y la tarde del domingo empezaba a tornarse en noche.

- “Joder hermano, sólo me faltan ver pingüinos verdes…”, pensé. Y tomé una decisión… tengo que acabar los asuntos pendientes. Lo de las drogas lo voy a meditar dos veces no sea que tome una decisión equivocada… Así que hoy, para no meter la pata… no diré nada en el blog….

Saludos malignos!

miércoles, abril 16, 2008

El amor ... a la pasta

Más de una vez me he quejado de todo lo que va en contra de lo que viene siendo “el folleteo”. Es decir, el arte del orgasmo, el desahogo o la felicidad puntual. A sitios como Youporn, Pornotube, Adultfriendfinder, Metic, Match o Facebook habría que darles el premio Nobel de la Paz pues la gente, cuando mejor follada está, más feliz va por el mundo.

Así, no puede ser que se permitan esta serie de aberraciones y maldades, dignas del más malo de los supervillanos. Esto es más malo que el Doctor Doom con almorranas o que Magneto tras la muerte de su amada Magda.

En este caso es una estafa dirigida a una parte de la sociedad muy concreta por medio del envio masivo de mails. Es decir, nuestro amigo el Spam. Se busca a los hombres solitarios, con dinero y ganas de lo que viene siendo "de follar" simulando ser una sencilla chica que busca una mejor vida en España.

Nadya, la sencilla chica

Esta sencilla chica, además de estar trozo de potable, es buena y honraday la pobre chica sólo quiere: “Buscar a si bueno al hombre para las relaciones serias y la posibilidad del encuentro.”

Claro, la pobre sólo tendrá un pequeño problema con: “Todavia hace un mes daba los documentos en la embajada para la formalización del visado turistico. Algunos dias atras debieron comunicarme la respuesta, pero mientras que no recibia de ellos la notificacion escrita. Manana ire en estimare todos los conozco precisamente.”

Vale, no está bien escrito, pero está claro que va a necesitar un poco de ayuda para pagar alguna cosita que deberé enviarle. Snif.. Todo por el sexo.

Me imagino una conversación con Nadya por messnger intentando sacarme la pasta:

Nadya: Yo sólo busco a hombre bueno para familia.
Maligno: Bueno, pero es que yo soy feo.
Nadya: No importa si bueno. Yo amaré.
Maligno: Esto… verás… es que a mí.. me huele a requesón.
Nadya: No importa amor supera todo.
Maligno: Ya, pero.. es que sabe a bacalao con roquefort.
Nadya: Yo querré ti y amor ayudará a mí.


En fin… todo por la pasta…Si tienes un tío feo o un amigo solitario que no sabe mucho de estas cosas de Internet y de repente notas que no suelta el ordenador revísale los logs. Si ha descubierto el Youporn dale una palmada en la espalda y dile: “Así se hace!”. Si por el contrario notas que está mirando páginas de Western Union… avísale!

Saludos Malignos!

martes, abril 15, 2008

¡Qué difícil es gestionar la seguridad!

Aun recuerdo las guerras por la política de Spectra de sacar los parches regularmente. Fueron momentos agitados. En aquel entonces Spectra se encontraba recibiendo un volumen de trabajo enorme en los departamentos de soporte por lo que quizás ha podido ser la mayor amenaza para sacar a Windows de la empresa: Los gusanos de rápida propagación y con efectos palpables. Sí, RedCode, Sasser, Blaster, y demás mutaciones pusieron a Spectra contra las cuerdas en muchos clientes. Pensad en una empresa con 1.000 equipos dónde se colara el Blaster o el Sasser o… uff, no me hubiera gustado ser del equipo IT en esos días.

Había que acabar con aquello, y por eso se comenzó la famosa TWC (Trustworthy Computing Initiative) y con ella la política de actualizaciones. Había que conseguir que los clientes parchearan los sistemas y para ello, la única forma era “alineándose” con su negocio. Había que desarrollar un sistema que los administradores IT de los clientes pudieran gestionar, que fuera escalable y a ser posible que ni se notara.

A partir de ahí comenzó la historia que muchos os sabéis. Spectra sacó el Windows Update, el SUS, luego el WSUS, el SMS integrado, e incluso recuerdo presentaciones nuestras en las que decíamos: “Oye, da igual, si no os gusta nada de esto, podéis usar cualquiera de estos programas, pero por favor actualizar el software”.

Después de demostrarse el éxito de la política de parches programada, y digo demostrarse porque los clientes así lo han mostrado en las encuestas de satisfacción que Spectra realiza continuamente para evaluar la calidad de sus servicios, muchas han sido las empresas que se han ido sumando a esta iniciativa. Incluso empresas que al principio lo criticaron. Hoy Cisco tiene ciclos programados, Oracle tiene ciclos programados, etc…

Sin embargo, esta no es la única tarea a realizar para gestionar la seguridad. La mejor política de parches es que no haya parches que aplicar. Para eso Spectra ha aplicado múltiples controles con el SDL (Secure Development Lifecycle), ha aplicado análisis por medio de herramientas de análisis de código estático, testing, etc… Estos métodos no implicarán que los sistemas no tengan algún fallo en el futuro, pero si consiguen que se minimice el número de estos.

En el caso de Oracle, nos encontramos que la política de actualizaciones de software sigue un modelo de ciclo programado. En este caso son parches trimestrales, pero aun le falta a la compañía aplicar otros controles. Es de notar como por ejemplo, SQL Server 2005, la principal competencia de Oracle en muchos entornos, a día de hoy, y ya con SQL Server 2008 sobre la mesa, sigue con 0 fallos de seguridad, mientras que Oracle Database 10g, con sólo un poco más de antigüedad, cuenta con 20 fallos de seguridad publicados más alguno más que sale en el ciclo de parches de este trismestre, dónde además se estrena Oracle Database 11g.

Estos resultados de Oracle ponen de manifiesto la buena labor que el equipo de Spectra que está detrás del diseño, desarrollo y mantenimiento de la seguridad de SQL Server está realizando, pues, como se demuestra con Oracle, no es nada fácil.

Por otra parte, me gustaría volver a hacer hincapié en la necesidad de que todo el software esté actualizado y cualquier política de actualización de parches que ayude a que sean aplicados es buena. En el caso de los ordenadores personales, Spectra no actualiza software de terceros, y es por eso necesario usar las propias herramientas de la empresa fabricante o utilizar software de análisis de versiones en el equipo. La gente de Secunia tiene PSI (Personal Software Inspector) o NSI (Network Software Inspector) para ayudar a mantener el software de terceros actualizado. Yo uso PSI y estoy contento, es cómodo, rápido y me ayuda a tener actualizado software que hoy en día está en el ojo de mira, como Acrobat Reader, Winamp, Quick Time, etc… Y para ejemplo tenéis el reto Pwned!

Saludos Malignos!

lunes, abril 14, 2008

ISR-sqlget por F. Amato

Hola piezas!

Para la charla en la Universidad de Buenos Aires tuve la ocasión de poder disfrutar de la compañía de Francisco Amato. ¡Gracias! Aquí os dejo una foto de un momento sobre el escenario.

Explicándose con las manos

Este “pallo” argentino dio en el mes de Noviembre una charla en la Ekoparty del 2007 sobre “evilgrade” en la que explicaba como saltarse los procesos de actualización de software mal implementados para poder introducir troyanos, conseguir una Shell remota o cualquier otra “guarangada”.

Allí además de explicarme cositas y detalles sobre el funcionamiento de su framework para evilgrade también me dedicó unos minutos para analizar los últimos ejemplos de ataques a resolución DNS y por supuesto para explicarme su herramienta de SQL Injection.

Esta herramienta, llamada ISR-sqlget, está pensada para entornos de inyección en recordsets, es decir, en una aplicación web que va a generar una llamada SQL a la base de datos esperando un recordset y que va a ser "pintado" en pantalla. En esos entornos se puede utilizar un ataque de UNION para añadir al recordset original un recordet al gusto del atacante. Por ejemplo, supongamos que el programador espera un día de la semana para mostrar el horario y el título de las películas que se van a emitir ese día en el cine:

http://www.server.com/peliculas.php?dia=12

Esta llamada generaría algo como:

Select horario, título from piniculas where dia=12;

Y en este entorno un atacante podría hacer algo como:

http://www.server.com/peliculas.php?dia=12 union select user, password from usuarios

Nos quedaría algo cómo esto:

Select horario, título from piniculas where dia=12 union select user, password from usuarios

La herramienta que Francisco ha desarrollado está en Perl, y está disponible en la web de Infobyte y realiza justo esto. Primero hace una llamada de este tipo para traer la estructura de la base de datos. Para ello ha analizado los diccionarios de datos de las siguientes bases de datos: IBM DB2, Microsoft SQL Server, Oracle, Postgres, Mysql, IBM Informix, Sybase, Hsqldb, Mimer, Pervasive, Virtuoso, SQLite, Interbase/Yaffil/Firebird, H2, Mckoi, Ingres, MonetDB, MaxDB, ThinkSQL y SQLBase.

Una vez descargada la estructura se puede descargar todo el contenido de cada tabla con diferentes llamadas.

Para poder hacerlo más legible la herramienta formatea los resultados, pues los datos deben ser extraídos de una respuesta HTML e incluso saca una representación gráfica de la estructura de la base de datos. ¿Es o no un crack el amigo Amato? Junto con la herramienta hay unos ejemplos de cómo configurar los ficheros para distintas bases de datos. No obstante ya os prepararé un ejemplo step by step.

Ahora él, junto a un grupo de personas excelentes y capaces, están embarcados en la organización de la próxima EkoParty que se realizará en Buenos Aires el próximo 2 y 3 de Otubre y ya han abierto el Call For Papers… ¿os animáis a conocer Argentina y a estos tipos?

Saludos Malignos!

domingo, abril 13, 2008

Salvajes!

A punto de coger el avión... vale, a punto de tomar el avion he decidido acabar ..., ¡vale, coño!, ... he decidio terminar mi estancia en este quilombo de país en el que las líneas de las calles no sirven para marcar por dónde deben ir los coches, dónde todo el mundo me acojona con que tenga cuidado, con un post sobre otra "salvajada".

Oferta!

Me mandó El brujo, de elhacker.net, este anuncio por parte de un argentino.... ¿es o no es una salvajada?

Que esto del malware es una industria estaba ya claro, pero dentro de poco esto va a pasar de ser un negocio de mafias a convertirse en el Carrefour.

- "Si te llevas un pack de seis cervezas te damos una victima con una botnet"
- "Dos paquetes de salami y un Poisson Ivy instalado en tu vecino"


Ya hablaba de esto tiempo ha nuestro amigo "pajarraco".

- De compras en el Supermercado del Malware

En fin, ¡Qué de guarangadas! ¿Son o no son unos salvajes?

Saludos Malignos!