jueves, abril 30, 2009

Security Porn Star

Estando en Amsterdam, en la Blackhat Europe 2009, tuve el placer de conocer a un par de piezas del MSRC de Spectra por medio de un pájaro del MSRC de Spectra nacional. Todos estaban cumpliendo su labor de formarse y, al mismo tiempo, controlar lo que por allí se cocía. La potencia mediática de Spectra es tal que cualquier incidente se magnifica por 20 o 30, así que había que estar atento a todas no fuera a ser que se escapase algún cero day chungo por allí. Esto no debe pasar en Blakchat ya que existe una protección firmada entre la organización y las empresas para que éstas sean avisadas antes de que se publique el fallo, dando por tanto tiempo a la empresa para que se corrija el fallo. Tal vez ese fue uno de los motivos que evitó que se llevara a efecto una de las charlas que estaban previstas.

Fue en el momento de conocer a esas personas cuando oí una forma muy peculiar de presentarme, que no había oído hasta ese momento:

“This is Chema Alonso, a famous Security Porn Star in Spain”

Sí, así tuvo la gracia de presentarme el supuesto “amigo” a su compañero del MSRC que repitió entre sorprendido y descojonado: “Security Porn Star?”. La verdad es que fue uno de esos momentos de frescura y espontaneidad que me hizo mucha, mucha gracia.

Poco sabía yo que esto se iba a traducir en algo, cuanto menos similar, con el reportaje en la televisión que algunos habéis visto. De vez en cuando participo en alguna cosa con medios de comunicación en prensa escrita no técnica y radio. No suelo dejar esto por aquí porque… ¡coño!, ¡Esto es el lado del mal!

Para dejar claro como fue la historia de acabar en un programa así os voy a contar las dos versiones. Una es verdad la otra no.

Versión 1: El que mal anda mal acaba

Que la noche me confunde y soy un perdido es algo conocido, así que si os digo que estaba saliendo de una de esos pubs nocturnos con gente que ha perdido algo más allá que dinero, sabréis a que me refiero. La espiral de autodestrucción sexual en la que me había visto envuelto en los últimos meses me estaba matando. No poder salir a la calle sin ser reconocido por una fan ávida de tener sexo conmigo me estaba carcomiendo. Como todo buen informático, acostumbrado a ser alabado por su inteligencia y erotismo, conocer a las mejores mujeres es algo común y constante en mi vida, pero además, el glamur de las conferencias me había convertido en un icono sexual del que no conseguí liberarte y bajo el que acabé sucumbiendo en orgía tras orgía. Cuando llegó Mercedes a la puerta del pub nocturno del principio con su cámara de investigación yo era la persona indicada para salir en su reportaje.

Versión 2: El que mal acaba mal anda

Que soy un adicto a dar charlas provocadoras y guerrilleras es harto conocido, así que cuando me invitaron a participar en el programa de voluntariado de Spectra para dar charlas a chavales sobre los riesgos de Internet busqué la forma de sacar tiempo en mi apretada agenda para ir a algunos centros. Esto me llevó al Instituto Cuatro Vientos en Pamplona, a unos institutos en Valladolid o a organizar una charla el día de Internet Seguro, el 10 de Febrero, en el instituto donde yo había estudiado. A esa charla vinieron a grabarla unos tipos más majos que las pesetas que estaban haciendo un reportaje de investigación sobre groming. De ahí me pidieron algún ejemplo de cómo se podía grabar con la webcam usando un troyano y les hice una demo con nuestro amigo Poison Ivy.

Al final el reportaje se convirtió en una revisión de un trabajo clásico que se lleva haciendo desde hace años sobre como utilizamos hoy en día Internet para satisfacer el deseo sexual. Y ahí aparecí yo.


Sexo en la Red

Entre peña que queda con desconocidos para chupar o ser chupados, jóvenes actores amateurs que buscan hacer un casting porno intentando aguantar más de 2 minutos sin correrse dentro, señoras mayores que se ponen cachondas cuando se corren entre su braga y el pubis, jubilados que buscan jovencitos para saciarse o “aficionados al sexo” que necesitan follar entre 5 o 15 veces al día. Vamos, como si fuera una Security Porn Star.

Saludos Malignos!

PD: Si Google te ha traído hasta esta página porque has buscado cualquiera de las frases que he puesto en el texto para contar esta historia vas a tener que seguir buscando pajiller@, lo siento.

miércoles, abril 29, 2009

LDAP Injector

Hace ya año y medio desde que se publicó el Reto Hacking IV sobre Blind LDAP Injection. Ese que ganó El gran Mandingo y que iba sobre la serie Alias. El solucionario del reto fue publicado y cualquiera puede jugar con él hoy en día.

Meses después pasamos, en Abril de 2008, por la Blackhat Europe 2008 donde publicamos un paper sobre LDAP Injection y Blind LDAP Injection junto con la charla. Para impartir la charla, yo, que soy amante de los GUIs en las charlas, pedí a Rodol que me preparase una pequeña tool para inyectar LDAP en la charla.

La utilidad se llamo LDAP Injector y es sólo eso, un GUI para realizar cuatro funciones que seguro que un amante de Pipper, curl o python puede sustituir, pero, como lo dejamos publicado en esta URL, voy a explicar brevemente como funciona. La herramienta realiza tres tipos de inyecciones a ciegas:

Ataque por diccionario

La primera es por diccionario y, simplemente, realiza una sustitución de la palabra que aparece en el fichero por el patrón [$0] que aparece en la URL de configuración. Si el "String to find" aparece en la página de respuesta se toma como una respuesta TRUE y aparecerá como un valor válido. Es útil para buscar atributos o valores de atributos en entornos en los que no está permitido el uso del carácter comodín. Mil herramientas hacen esta misma función.

Ataque a Strings

La segunda es un ataque a valores alfanuméricos booleanizando. Primero realiza una reducción del charset y luego pasa a ejecutar el proceso de booleanización. En el siguiente ejemplo se puede ver funcionando la herramienta con el Reto Hacking IV.

La web vulnerable

En el reto hacking el parámetro vulnerable estaba en la búsqueda de recursos. Una vez que se buscan objetos con algún valor en el atributo uid aparece una única impresora.


Valor True

Si se busca por un nombre de usuario que no existe, por ejemplo Maligno, obtendremos un valor falso sin ninguna impresora.


Valor False

A partir de ese momento se puede utilizar LDAP Injector para extraer el valor del usuario. Se configura la URL vulnerable, se pone [$0] en el valor a buscar y se utiliza como string to find en resultados positivos el nombre del fichero de la imagen de la impresora. Se selecciona búsqueda de valores string y para adelante.

Fase 1: Reducción del charset

Utilizando la idea de RoMaNSoFt se averigua que caracteres se encuentran en el valor buscado.


Buscando los caracteres que forman parte del valor

Fase 2: Booleanización

Una vez reducido el charset se procede a realizar la booleanización del valor para ordenar los caracteres en el valor.


Booleanización de los caracteres

Al final se obtiene el usuario buscado en el reto hacking.


Usuario del Reto Hacking IV

Búsqueda de valores numéricos

La tercera opción sirve para obtener valores numericos realizando búsqueda binaria. La opción requiere configurar el valor sin operador, es decir, si se quisiera averiguar el valor del atributo salario mediante búsqueda binaria se configuraría (salario[$0]) el resto ya lo hace la herramienta.

No soporta cookies, no soporta sesiones, no soporta proxy, es sólo un GUI para jugar en una conferencia, pero... servía para solucionar el Reto Hacking IV.

Saludos Malignos!

martes, abril 28, 2009

FOCA: Manual de Usuario [IV de IV]

*************************************************************************************************
- FOCA: Manual de Usuario [I de IV]
- FOCA: Manual de Usuario [II de IV]
- FOCA: Manual de Usuario [III de IV]
- FOCA: Manual de Usuario [IV de IV]
*************************************************************************************************

Análisis cruzado de datos

Una vez analizados todos los ficheros, se puede proceder a crear una imagen de la red de la organización a partir de la información extraída.


Mapa de red generado

En la imagen se puede ver que todos los documentos creados por el mismo autor en la misma máquina se agrupan para poder reconocer la máxima información de cada una de las máquinas.

Falsos positivos

Hay que tener en cuenta, que en una web se pueden dar varias situaciones:

1) Datos de terceros: Puede ser que se esté publicando documentos que no tengan nada que ver con la organización pues sea un fichero de otra organización que se publica en la web.

2) Datos muy antiguos: Puede que un fichero tenga información muy antigua y que ya no sea relevante para la construcción de la imagen de la red.

Para mitigar esos dos problemas en el caso de querer tener un dibujo lo más real posible de la web se recomienda:

1) Hacer tracking de los datos externos para marcar los ficheros que no han sido creados en la organización. Esto se puede hacer mediante un rápido análisis a las listas creadas buscando mails que no tienen nada que ver con la organización o usuarios que aparecen en otras empresas.

2) Una vez analizados los ficheros se pueden observar las fechas de creación con lo que es posible detectar aquellos más antiguos.


Ordenación por fechas de modificación

Si se considera oportuno, todos esos ficheros se pueden eliminar del proyecto para crear un análisis más acertado y con menos falsos positivos.

Descubrimiento de nuevos nombres

Si la aplicación está trabajando con el almacenamiento del proyecto en una base de datos, entonces utiliza el método descrito por Jhonny Long en “DNS Name prediction with Google” de utilizar Google Sets. La idea es que si se descubre un nombre de equipo y se conocen uno o varios dominios, entonces la herramienta intenta buscar palabras relacionadas utilizando Google Sets e intenta descubrir nuevos nombres de servidores mediante consultas al DNS.


Predicción de nombres en sun.com

Consideraciones finales

La herramienta soporta el uso de proxy, pero este es tomado de las opciones de configuración de Internet Explorer, así que hay que configurar allí la conexión a Internet si se desea utilizar.

La carpeta de creación del proyecto, donde se van a almacenar los documentos, debe existir previamente, la herramienta, de momento, no crea la carpeta.

Se está trabajando en mejorar la herramienta, así que todos los comentarios, errores o sugerencias de mejora que se reciban serán tomados en cuenta. El mail para enviarlos es amigosdelafoca@informatica64.com.

La herramienta se encuentra disponible para descarga en la siguiente URL: http://www.informatica64.com/FOCA.

*************************************************************************************************
- FOCA: Manual de Usuario [I de IV]
- FOCA: Manual de Usuario [II de IV]
- FOCA: Manual de Usuario [III de IV]
- FOCA: Manual de Usuario [IV de IV]
*************************************************************************************************

lunes, abril 27, 2009

FOCA: Manual de Usuario [III de IV]

*************************************************************************************************
- FOCA: Manual de Usuario [I de IV]
- FOCA: Manual de Usuario [II de IV]
- FOCA: Manual de Usuario [III de IV]
- FOCA: Manual de Usuario [IV de IV]
*************************************************************************************************

Una vez analizados todos los metadatos de todos los ficheros que conforman un proyecto es posible acceder a cinco listas de datos que se crean dinámicamente durante el análisis.

Lista de Usuarios

Estos usuarios son extraídos de los campos creator, editor, autor, etc… de los metadatos y la información oculta pero además también son extraídos de las rutas encontradas. En este caso sería información perdida que se va a encontrar en las rutas del tipo c:\users\chema\mis documentos, c:\Documents and settings\chema\desktop o /home/chema/docs. Todos estos usuarios aparecerán en la lsita.

Lista de Software

Este software aparece tanto en los metadatos como en la información EXIF de documentos gráficos. En los metadatos XMP de los ficheros PDF aparecerá en dos sitios, como aplicación creadora del pdf y como aplicación productora del programa. También se busca software en datos XMP borrados pero no eliminados del fichero.


Software utilizado

¿Podría descubrir software pirata en una empresa? y también descubrir tecnologías utilizadas y software vulnerable

Lista de Rutas

Estas rutas se sacan de todas las referencias a ficheros por ejemplo en rutas a plantillas, rutas en links a archivos locales o imágenes incrustadas. Además, se realiza una búsqueda desestructurada, es decir, con una búsqueda de strings que cumplan patrones, por lo que aparecerán rutas también contenidas en el texto, en links, en títulos, etc…


Lista de rutas

Puede servir para descubrir: Usuarios, servidores internos, direccionamiento, recursos compartidos, ACLs, etc...

Lista de impresoras

La información de las impresoras suele ser de gran utilidad pues permite descubrir direccionamiento interno, rutas a servidores y listas de control de acceso. Se sacan de los documentos ofimáticos que almacenan info de la impresora. No suelen aparecer en documentos PDF.


Lista de impresoras

Puede permitir descubir servidores internos, direccionamiento, recursos compartidos y ACLs.

Lista de mails

Al igual que en el caso de las rutas se realiza una búsqueda en campos de metadatos personalizados y una búsqueda desestructurada, es decir, que busca mails que aparezcan dentro del contenido de los ficheros.


Mails encontrados

Seguimiento de datos

Al final, toda esa información va a permitir hacer un mejor seguimiento de la historia y uso de los ficheros. Si se desea, se puede averiguar de qué ficheros proceden los datos haciendo botón derecho sobre el dato. Aparecerá una ventana contextual con todos los ficheros en que ha aparecido ese dato y se podrá ir directamente a cada uno de ellos.


tracking de datos

Exportación a fichero de texto

Por último, en el caso de querer hacer uso de esos datos en otras herramientas o para crear un diccionario que pueda ser utilizado como base de otro ataque, se puede realizar una exportación de la lista completa a un fichero de texto.


Exportación de usuarios a fichero

*************************************************************************************************
- FOCA: Manual de Usuario [I de IV]
- FOCA: Manual de Usuario [II de IV]
- FOCA: Manual de Usuario [III de IV]
- FOCA: Manual de Usuario [IV de IV]
*************************************************************************************************

domingo, abril 26, 2009

Inquilinos respetables

A la hora de alquilar un piso los arrendatarios suelen exigir a sus inquilinos avales por si algo rompen. Además, no basta sólo con eso, y suelen ser muy exigentes con el tipo de inquilino y la gente que va a vivir en su piso. Ya sabéis, hay que evitar a aquellos que puedan dejarte el piso destrozado.

Supongo que cuando eres un hotel que alquilas unas salas debes tener más o menos las mismas precauciones. Y si lo que vas a dejar son tus instalaciones para una conferencia de hackers… algo deberías mirar.

Es normal que las WiFi de todos los hoteles donde se realiza una conferencia de hackers dejen instantáneamente de funcionar. Ya sabéis por qué suele pasar esto.
Si eres el hotel que va a acoger a la conferencia “más legendaria” y los chicos de la web de la conferencia te dicen: “Oye, ¿por qué no nos pasas un link de vuestro sistema de reservas online?” debes tener mucho cuidado.


Reserva de habitaciones para la Defcon17

Lo que pasa, es que las técnicas hacker evolucionando día a día y se ven nuevas formas de explotar sistemas. Por descuido, mientras estaba limpiando la estatua del gran Ramses II que me traje de Egipto, apoyé la base de la misma en el teclado numérico y se me llenó de numeritos la URL.


Arithmetic....

Es curioso lo que sucede con las operaciones aritméticas, de vez en cuando hay desbordamientos de tipos de datos muy peculiares que muestran información de los sitios.

Asi que recuerda, si vas a ceder unas instalaciones, vigilia a quién se las alquilas.

Saludos Malignos!

sábado, abril 25, 2009

Agenda de cosas, casos y copas

Parece que fue ayer cuando empezaba el año con la gira de seguridad Up To Secure y ya han pasado cuatro meses. El ritmo de combate es alto, como siempre, pero estoy contento porque he podido disfrutar de aprender bastantes cosas en estos meses. He asistido a muchas charlas como ponente pero también he podido ir a otras como asistente y, sobre todo, he podido ver muchos videos y leer bastantes cosas, así que hoy sé menos que nunca.

Sí, a pesar de todo, sé mucho menos porque en estos cuatro meses han aparecido infinidad de nuevas tecnologías, estudios, herramientas, productos, etc… De todos ellos, el porcentaje de lo que he podido asimilar en estos cuatro meses ha sido ínfimo. A veces me siento como un gato agarrándose como puede con las uñas por la pared de un precipicio. No importa lo mucho que lo intente, el gato siempre cae hacia abajo...

Pero… como buen madrileño, y por tanto buen gato golfo y peleón, seguiré apretando las uñas e intentando que la caída sea lo más dulce posible, así que… para los que queráis intentar pegar la panza a la pared, clavar las uñas y hacer que la caída sea lo más lenta y pausada posible os dejo una lista de actividades que os ayudarán a ello. Formaciones para aprender todo lo que se pueda.

- Barcelona: AD Movies, el día 29 de Abril

Con el sorteo y regalo de Pleo, el robot Dino que si no va a morir. Allí se tocarán temas muy interesantes como el Super Directorio Activo, las tecnologías de Virtualización en Spectra o la integración de las Plataformas Linux en el mundo de la empresa. Por favor, fundamentalistas VMWare abstenerse de venir, que voy a dar yo la charla de Virtualización y claro, no me llaman el Maligno por nada. Habrá copas para los amantes de la vida a lo Jimbo Morrison.

- Logroño: Extreme Security, el día 5 de Mayo

Charlitas de seguridad para los amantes de Bobby tables y el resto de cosas. Vendrá Pedro Sánchez de Conexión Inversa, el gran Juan Garrido “Siverhack”, el temido Alejandro Ramos y estaré yo también. Vaya cuatro patas para un banco…

- Madrid: Seguridad en Redes Sociales, el día 6 de Mayo

El gran “Little Buda”, en su imparable trabajo de remover todo lo que tenga que ver con el conocimiento y divulgación de la seguridad informática haciendo de ello participe a la universidad, las empresas y los organismos del estado, preparan un evento sobre eso que no se debe hacer con el Facebook o Twenty.

- Madrid: Final de la Imagine Cup, el día 7 de Mayo

Si quieres ponerte las pilas viendo el futuro este es lugar. La Imagine Cup es una competición alentada por Spectra para premiar los mejores trabajos universitarios a nivel mundial. Para ello, cada país realiza una final en la que se presentan todos los trabajos que, este año, tienen que ir enmarcados con el objetivo de “¡Ayuda a cambiar el mundo!”. Entre los participantes se encontrará Iñaki Ayucar y su SIMAX, un ejemplo para los emprendedores tecnológicos.

- Madrid: Conferencia ISSA Seguridad, el día 8 de Mayo

El viernes por la tarde, Gonzalo Álvarez Marañón, Vicente Aceituno, Oscar Delgado y Víctor Manuel Fernández darán una sesión con tres ponencias de seguridad sobre “Métricas y Madurez de Procesos de Seguridad”, “Retos para la Seguridad de Cloud Computing”, “Seguridad de Servicios Web de Código Abierto”. Para ir hay que apuntarser enviando un correo a: eventos-issa+subscribe arroba googlegroups.com

¿Hay o no hay cosas que aprender?

Saludos Malignos!

viernes, abril 24, 2009

Vídeos & Slides de la ShmooCon 2009

Para todos los que no os podéis pagar un viaje a Washington D.C. y a ver a tipos super raros haciendo cosas raras, raras con los portátiles y tampoco disfrutar de los dos tipos más sexies y salados de toda la conferencia a.k.a. : Palako & Maligno o Maligno & Palako (que tanto monto, monto tanto) ya están disponibles todas las presentaciones de la conferencia. Ha sido un trabaja relamente rápido si se tiene en cuenta que la conferencia tuvo lugar a finales de Febrero, y ya están tanto las diapositivas como los videos.

ShmooCon 2009: Slides & Videos

- Keynote: Matt Blaze
- Are bad times good for security professionals?, G. Mark Hardy, Mark McGovern, Peter Guerra, Bruce Potter
- 802.11 ObgYn or "Spread Your Spectrum", Rick Farina
- All your packets are belong to us - Attacking backbone technologies, Enno Rey and Daniel Mende
- Automated Mapping of Large Binary Objects, Ben Sangster, Roy Ragsdale and Greg Conti
- Blinded By Flash: Widespread Security Risks Flash Developers Dont See, Prajakta Jagdale
- Building an All-Channel Bluetooth Monitor, Michael Ossmann and Dominic Spill
- Building the 2008 and 2009 ShmooBall Launchers, Larry Pesce and David Lauer
- Building Wireless Sensor Hardware and Software, Joshua Gourneau
- The Day Spam Stopped (The Srizbi Botnet Takedown), Julia Wolf
- Decoding the SmartKey, Shane Lawson
- Enough with the Insanity: Dictionary Based Rainbow Tables, Matt Weir
- EDL Cloning for $250, Chris Paget
- Exploring Novel Ways in Building Botnets, Enno Rey and Daniel Mende
- The Fast-Track Suite: Advanced Penetration techniques made easy, David Kennedy
- Fail 2.0: Further Musings on Attacking Social Networks, Nathan Hamiel and Shawn Moyer
- The Gentlemen's Agreement - Pwning Friends Legally for Fun, ????, and Profit!, Zachary Fasel, Matthew Jakubowski, and Josh Krueger
- Hack the Genome! The Age of Bimolecular Cryptology, R. Mark Adams
- Jsunpack: A Solution to Decode JavaScript Exploits as they Rapidly Evolve, Blake Hartstein
- Man in the Middling Everything with the Middler, Jay Beale
- Next Generation Wireless Recon, Visualizing the Airwaves, Joshua D. Abraham and Ben Smith
- Off the Shelf Security - Meeting Crime with an Open Source Mind, Nick Waite, Burke Cates, and Stephen Janansky
- Open Vulture - Scavenging the Friendly Skies Open Source UAV Platform, Matt Davis and Ethan O'Toole
- OWASP AntiSamy - Picking a fight with XSS, Arshan Dabirsiaghi and Jason Li
- 0wn the Con, The Shmoo Group
- Phishing Statistics and Intuitive Enumeration of Hosts and Roles, Sean Palka
- Pulling a John Connor: Defeating Android, Charlie MIller
- Radio Reconnaissance in Penetration Testing - All Your RF Are Belong to Us, Matt Neely
- Re-Playing with (Blind) SQL Injection, Chema Alonso and Palako
- Reinterpreting the Disclosure Debate for Web Infections, Oliver Day and Rachel Greenstadt
- RFID Unplugged, 3ric Johanson
- Security vs Usability - False Paradigms of Lazyness, Dead Addict
- Solve This Cipher and Win!, Michael "theprez98" Schearer
- Storming the Ivy Tower - How to hack your way into Academia, Sandy Clark
- Stranger in a Strange Land: Reflections on a Linux Guy's First Year at Microsoft, Crispin Cowan
- Ten Cool Things You Didn't Know About Your Hard Drive!, Scott Moulton
- They took my laptop! - U.S. Search and Seizure Explained, Tyler Pitchford
- Watching the Watcher: The Prevalence of Third-party Web Tracking, Brent Chapman, Tera Corbari and Matt Devers

Ale, para que no digas que este fin de semana no tenías nada que hacer....

Saludos Malignos!

jueves, abril 23, 2009

DefCon 17

Al más puro estilo de los Mundos de Waynne, de rodillas delante de Jeff Moss gritaremos eso de “No somos dignos”. No sé qué rara fortuna de la vida me llevó a meterme en estas cosas pero… es genial. Con mi inglés de Bronxtolex, los chistes malos, de la manita y acompañados de un FOCA nos iremos el Palako y yo a la Defcon17. Él con su manzana esa que no sé cómo usar porque está sin inicializar [¡no tiene botón de inicio! ¿Os lo imagináis?]


Defcon 17

Está bien que vayamos dos, no vaya a ser que a mí no me dejen entrar en los USA ya que antes de ir a Las Vegas voy a hacer una parada en Bogotá para participar en un Curso de formación de seguridad en la Universidad Javeriana, así que seguro que hago saltar todas las alertas de la frontera y si normalmente me hacían dos o tres registros antes de poder poner mi hispano trasero en Las Vegas, ahora creo que van a comprobarme las medidas.

No sé si podré, pero haré todo lo que esté en mis manos, por pasarme por Tenerfie para participar en la TNF Lan Party 2009. Como comprenderéis hasta que no cierre las fechas con la Universidad y los viajes a USA no sabré a ciencia cierta si me darán las horas para estar en tantos sitios a la vez.

El caso es que ya que voy a estar en la Defcon espero que Los Pandas más Sexy consigan su billete para el CTF. No, no es que piense ayudarles con el reto [¡qué más me gustaría que tener nivel para poder sentarme con ellos!] pero sí que molará tomarse unas birras con ellos.

Este año, para organizarlo bien voy a crear una lista de contacto, así que, si vas a venirte y quieres estar en la “lista del mal” ponme un mail con tus datos de contacto, ya sabes: Nombre, Nick, descripción de quién coño eres, tu mail, tu teléfono (con el prefijo internacional), cuando vuelas, dónde te vas a alojar y la talla de tu camiseta.

Para que se nos note bien vamos a hacer unas camisetas que será OBLIGATORIO llevar LOS DOS DÍAS de la CON y, para que se nos note bien, serán de un discreto color NARANJA o ROJO. Habrá que pensar el diseño de la camiseta. Todos los que participen en este Tour deberán:

- Animar al Palako y al Maligno en su charla en primera fila y hacerse unas fotos en plan gruppie buenorra con ellos.
- Asustar a los contrincantes de los Sexy Pandas en el CTF. Habrá premio para el que consiga besos en los morros del Dreyer, Uri, Fermín o Sah0. [De Ero no cuentan los besos porque a Ero se lo daba hasta yo].
- Tomar unas birras el primer viernes en el bar del casino del Riviera.
- Parada el sábado para que los viciosos se fundan la pasta jugando al Texas Hold’em.
- Visita turística y con ánimo cultural al club Play-Boy el sábado a mover el /etc/skel. [No, no es un club de alterne, es sólo un pub para bailar, tomar copas y arrimar cebolleta]
- Resaca el domingo y visita de ánimo a los Pandas para recoger el entorchado.

Para los que no tengáis la suerte de venir, no os preocupéis, haremos fotografías que serán censuradas como dios manda porque ya sabéis: “Lo que pasa en las Vegas…” Esperamos ansiosamente que los chicos de la prensa confirmen su asistencia, que siempre he querido tener un biógrafo.

Saludos Malignos!

miércoles, abril 22, 2009

MyOracle

Esto de sacar el pito al aire, olisquear el ambiente y convertirse en el pitoniso de turno sobre que pasa tras la fusión,…no, coño, tras la compra con dos cojones y un palito de Oracle hacia Sun se ha puesto muy de moda y he visto los comentarios de, como diría Rosendo Mercado, “los de siempre” con visiones como “las de siempre”.

Estas visiones han sido de lo más guay dónde se han dado algunas pautas graciosas como A) esto es una apuesta por el mundo libre por parte de Oracle para moverse hacia los servicios, B) esto hará que Java, OpenSolaris y MySQL sea mucho mejor y C)Arrasará a la malévola competencia de Spectra. Les ha faltado decir que es un paso para sacar un desktop, pero... todo se andará.

La verdad es que no tengo ni puta idea de las implicaciones que tendrá esto, pero lo de jugar a ser pitonismo mola. Yo tengo en mi blog algunos comentarios graciosos, como “cuando lleve un año Ubuntu vendiéndose en DELL ya veremos la cuenta”, la famosa predicción de Novell “nos queda poco para terminar la migración a Linux de todos nuestros puestos de trabajo” o la de “dentro de un año seremos el único jugador Linux” del presidente de Red Hat a raíz de otro movimiento de Oracle con el Software libre.

Lo dicho, no tengo ni puta idea de que deparará el futuro, pero vamos a jugar a la teoría de la conspiranoia en el otro lado, como lo vería “El lado del Mal”. Vamos allá que dicto.

MyOracle
***************************************************************************************************

La reciente adquisición de Sun Microsystems por parte de Oracle demuestra un claro fracaso en la política de hacer negocio con el software libre. De nuevo una compañía que basa su éxito en la política de protección de su código, el software de calidad y la venta de licencias (nada baratas por cierto) se come a una empresa que jujanea con el mundo del Software Libre. De nada le ha servido a Sun haber creado un lenguaje que muchos adoran como es Java ya que el negocio lo sacan de él empresas como IBM con su Websphere o BEA con su WebLogic. De nada le sirvió la compra de MySQL que no generó ni un incremento en las acciones de la compañía que se quedaron en su mínimo valor todo el tiempo. De nada le sirvió a Sun liberar StarOffice para conseguir una comunidad inexistente de desarrolladores externos a su lado como denunciaba el año pasado uno de los desarrolladores y de la que intentan sacar negocio Novell con uno servicios e IBM con su Symphony en licencia comercial.

Oracle ya demostró cual es su interés en el software libre: vender licencias de Oracle. Esto lo hizo público con su famoso soporte de 100 dolares de Linux en servidores que llevaran Oracle Linux y Oracle Database Enterprise, el de ….”son 60.000 € la licencia”.

¿Va a apostar Oracle por StarOffice? La respuesta la haría desde otra punto de vista…¿alguien cree que Oracle ha comprado Sun por StarOffice? Yo creo que no, creo que va a dejar de gastar pasta en los desarrolladores pagados por Sun actualmente y les va a llevar a programar cositas chulas con Java alrededor de su business: Oracle Database, pero no hay problema, seguro que alguno otro de la comunidad se pone a implementar estándares en OpenOffice…

¿Va a apostar Oracle por Java? Por supuesto que sí, creo que va a apostar y a sacar muchas cosas chulas, pero con una c dentro de un circulito al más puro estilo arroba y con una letra ese mayúscula tachada verticalmente por dos tuberías.

¿Va a apostar Oracle por MySQL? Sí, limitando sus funcionalidades y haciendo un movimiento muy paulatino hacia…¿Oracle Database? ¿De verdad alguien se piensa que Oracle quiere ganar pasta vendiendo servicios de MySQL cuando Sun no ha sacado un pavo de eso?

La realidad es que después de esto parece como que para ganar pasta con el software libre hay que convencer a muchos de que eso va a dar mucha pasta y venderlo a una empresa comercial por mucha pasta y luego… ya si eso… Y si no que se lo digan a Sun que ni con Java, ni con StarOffice, ni con OpenSolaris, ni con su intento del SunLinux, ni con nada así se libró de intentar ganar pasta con la venta de licencias de Windows Server en sus hierros...

Saludos Malignos!

***************************************************************************************************

¿Os ha gustado? ¿No? Joder!, no os preocupéis, es sólo un ejercicio de conspiranoia hacia el otro lado, ¿habéis visto que fácil es hacerlo? Venga, sácate un dedito y haz tu propia predicción que no es tan difícil.

lunes, abril 20, 2009

La firma de ODF en OpenOffice.org es insegura y el cifrado no protege contra inyección de malware


Entre las charlas que se impartieron en Blackhat Europe 2009 llamaba poderosamente la atención una charla doble sobe OpenOffice v.3.x security desing weaknesses. En ella el autor la presentaba con una frase lapidaria en la que afirmaba que hoy en día era más fácil hacer malware para documentos ODF que para documentos OOXML.

“At the present time, it seems far easier to develop sophisticated document malware for OpenOffice than for Microsoft Office”

Y vaya si lo demostró. El autor, para aquellos que confunden descripciones técnicas con fundamentalismo, comenzó su charla con una advertencia:


No me seas técnicoless

La charla que se impartió demostró lo sencillo que es hacer documentos con malware incrustado en documentos ODF que no están ni cifrados ni firmados, en los que están cifrados y en los que están firmados. En la presentación los autores realizaron un resumen de la historia de inseguridad en OpenOffice en el que recogieron tres papers técnicos publicados sobre la posibilidad de desarrollar virus para ODF que, como ellos afirman generaron: “A lot of «hot» reactions. Many stupid, ideologic comments but who did really read the papers?”

La version 3.x no vino acompañada de mejoras significativas de seguridad por lo que, en el White Paper de 70 páginas que publicaron durante la conferencia demuestran cómo es posible coger un documento firmado y encriptado e inyectarlo con malware sin que se genere ningún problema en la comprobación de la firma y el cifrado del mismo.

Manifest.xml no firmando ni cifrado

En el Whitepaper, cuya lectura es de lo más claro, los autores se basan en explotar varias debilidades. La primera de ella es el no cifrado ni firmado en ningún caso del fichero manifest.xml. Este fichero, dentro de la estructura de cualquier documento ODF, es la espina dorsal del documento pues es el que lista todos los archivos que componen el documento, incluidos los ficheros que puedan llevar el malware.

Documentsignatures.xml no firmado ni cifrado

Otra de las debilidades que aprovecha este trabajo de investigación es que el fichero que almacena las firmas de los ficheros no está firmado, es decir, documentsignatures.xml puede ser modificado porque no se comprueba su firma. Además, en caso de cifrarse el documento, de nuevo éste, al igual que manifest.xml, queda sin cifrar.

Firmado de macros

Otra de las características curiosas es el funcionamiento del firmado de macros. En OpenOffice 2.x los ficheros de macros no estaban firmados, por lo que era posible sustituir el contenido de un fichero de macro por otro y el documento permanecía perfectamente firmado. Para evitar ello se añade un firmado fuerte de macros en OpenOffice 3.x que hace que el fichero de la macro esté firmado él mismo. El whitepaper recalca que si el usuario confunde un firmado con otro entonces el fichero no está protegido para nada. No obstante, aunque el usuario acierte a firmar el documento con la firma del mismo, esa protección, es sólo aparente, pues se puede saltar con ataques de man in the middle.

Inyectando malware en ficheros cifrados

Supongamos que existe el fichero que lleva el contenido de la macro está cifrado y la referencia del cifrado se encuentra en manifest.xml. Sustituir esta macro firmada por una macro peligrosa sería tan sencillo como cambiar el contenido cifrado del fichero de la macro por un contenido sin cifrar de una macro-malware y eliminar la información del cifrado en manifest.xml. Tan simple, tan jodido.

Inyectando malware en ficheros firmados

La idea es tan simple que asusta. El problema es que OpenOffice no comprueba contra ningún certificado que la entidad que ha firmado el documento es una entidad de confianza. Es decir, cuando Alice manda un certificado a Bob firmado por la EntidadCertificadora, el programa de BOB debe comprobar que la el documento enviado por Alice ha sido firmado por EntidadCertificadora y no por otra. OpenOffice no lo hace, así que basta copiar los datos de la firma de Alice y crear una nueva falsa que OpenOffice no lo va a detectar, el resto es… trivial.

Conclusiones

El firmado de documentos es inseguro en cualquier situació e incluso ni el cifrado del mismo protege contra la inyección de malware en un documento firmado.

Saludos Malignos!

domingo, abril 19, 2009

FOCA: Manual de Usuario [II de IV]

*************************************************************************************************
- FOCA: Manual de Usuario [I de IV]
- FOCA: Manual de Usuario [II de IV]
- FOCA: Manual de Usuario [III de IV]]
- FOCA: Manual de Usuario [IV de IV]
*************************************************************************************************

Análisis de Metadatos de un fichero

Una vez que tenemos todos los documentos descargados podemos analizar los metadatos de uno, varios ficheros o todos a la vez. De cada fichero va buscar, en la última versión disponible, por la siguiente lista de características:

Ficheros DOC, XLS, PPT, PPS

Los ficheros antiguos de Microsoft Office suelen ofrecer bastante información, sobre todo sin han sido creados con versiones antiguas y editados con las nuevas versiones. De estos documentos se extrae:

- Datos de usuarios de creador, editor
- Historia de uso del documento
- Impresoras
- Plantillas
- Versiones de software
- PID
- Datos personalizados



Información en un DOC de David Litchield publicado en Blackhat.com

Ficheros PDF:

Los ficheros PDF no suelen tener informaicón sobre impresoras o plantillas, sin embargo suelen ofrecer mucha información de software. Además, muchos documentos tienen datos XMP borrados que símplemente han sido eliminados del árbol PDF pero que siguen persistiendo en el documento. Se extrae:

- URLs y rutas en el texto del documento
- URLS en los links
- Datos XMP del documento:
o Autor
o Email
o Software creador
o Aplicación
o Datos personalizados
- Datos XMP borrados en el documento



Información extraida de un PDF publicado

Ficheros OOXML, SWX y ODF

De los ficheros basados en XML se estrae la información del fichero, pero también de todas las versiones antiguas embebidas y los datos EXIF de las imágenes embebidas. Se extrae:

- Metadatos personalizados
- URLs en Links
- Historial de uso
- Rutas a impresoras
- Rutas a versiones
- Datos EXIF en imágenes



Información EXIF embebida en ODF

En este ejemplo se puede extraer información de una foto bajo copyright en una presentación de Novell.

Ficheros WPD

De los ficheros WordPerfect aun no se extráe toda la información que estos documentos tienen, pero de momento se extrae lo siguiente:

- Usuarios
- URLS en documentos
- Rutas a impresoras



Metadatos en fichero WPD


*************************************************************************************************
- FOCA: Manual de Usuario [I de IV]
- FOCA: Manual de Usuario [II de IV]
- FOCA: Manual de Usuario [III de IV]
- FOCA: Manual de Usuario [IV de IV]
*************************************************************************************************

sábado, abril 18, 2009

La Foca sale libre

Ayer tuvo lugar la presentación en sociedad de la FOCA en las conferencias BlackHat EU 2009. La chalra estuvo muy bien y he de reconocer que me lo he pasado muy, muy, muy bien. El año pasado, el que fuera mi primera charla allí me tenía muy nervioso y preocupado. Ya escribí un post de todo el trabajo previo que realicé para dar mi primera charla en Blackhat en el año 2008 en una serie de posts que titulé "Historia de una charla". Esta año la cosa ha sido muy diferente.

Me sentí más cómodo desde el principio, más seguro con el inglés y me permitió disfrutar de la compañía que se juntó por allí. Estuvo muy bien el grupo de 14 hispanos que nos juntamos por allí en la BH más el grupo de desplazados de Spectra, liderados por el abuelo, que vinieron a hacer piña la noche del jueves "cuando la cobra salió a pasear". Sí, sé que no te enteras de lo que digo, pero para los que estuvimos esa noche allí tiene mucha gracia. ;)

Al llegar el momento de la charla fuimos tranquilos y relajados, y yo había decidido darle un punto maligno a la charla para que la gente se relajara ya que nos había tocado la hora de la siesta. Como está grabada, ya la veréis. Dejaron constancia de la charla [1, 2,3] los chicos de la prensa de Secury By Deface... digo.. By Default que andaban por allí en primera fila.


Las Slides de Blackhat Europe 2009

La gente se dejó llevar y al final tuvimos la sala llena y un público muy agradecido que nos devolvió el esfuerzo con aplausos y risas. Me lo pasé dabuti. Han escrito algunas reseñas sobre la charla que os dejo por aquí.

- Naked to the eye, documents tell a network story
- Blackhat Europe Day 2 Roundup
- Black Hat Europe is Over…"

Al final, la FOCA se liberó, y está libre para descarga, cualquiera de vosotros puede bajarse a nuestra querida FOCA. Ya os iré contando en el manual de uso de la FOCA todas las utilizades que hemmos ido introduciendo en ella, (y que iremos añadiendo), pero de momento sólo os pido una cosa: Tratadla con cariño.

La FOCA ha estado siempre bien cuidada, en buenos Windows Vistas sobre máquinas de calidad (no vale una mierda-máquina pero "con 2 gigas de RAM") con todos los updates actualizados, con el Framework en la última versión, recibiendo los mejores documentos de primera calidad. No me le deis PDFS de esos que vienen con exploits o documentos malos, malos, malos... Sed buenos... (especialmente tú Fermín... que nos conocemos....)

Recordad que tenemos un mail para recibir feedback de la FOCA sobre posibles fallos, nuevas mejoras, etc... Todo será bien recibido: amigosdelafoca@informatica64.com

PD: Ya podéis descargar los Whitepapers y tools de todas las charlas desde esta URL:
BH Europe 2k9 archvies.

Saludos Malignos!

viernes, abril 17, 2009

Lost Data, dos ejemplos

Para preparar la charla que tenemos que dar en tres horas hemos analizado miles y miles y miles de ficheros con la FOCA y hemos encontrado algunas cosas curisoas. Hoy os dejo dos ejemplos de Lost Data en documentos publicados en la web de nuestro amigo de hoy: Novell.com

Ejemplo 1: Link a local

En este PDF el creador ha creado un documento en el que el último link debería apuntar a http://www.novell.pl, pero el copy and paste le jugó una mala pasada y apunta a un fichero en su profile personal, con lo que queda al descubierto el usuario que lo creo.


El link a local

Ejemplo 2: Borrar lo que se vé, dejar lo que no sé

En este odt se describe un script para hacer una configuración de un software. El técnico aprovecha el fichero que a él le está funcionando y lo pega en el fichero. OpenOffice automáticamente convierte la URL en un link. Después el usuario decide que mejor sustituir la IP de su servidor por una constante IP, pero... el link sigue apuntando a la IP interna donde está ese software funcionando


Link a la IP interna

Resulta además que ese servidor responde por Internet y tiene un Apache corriendo sobre Windows.


El servidor respondiendo

Saludos Malignos!

jueves, abril 16, 2009

Españoles por el mundo

En un ratito comienzan las conferencias de la BlackHat Europe 2009 en el mismo hotel y el mismo lugar que el año pasado y parece que van a ser igual de entretenidas, al menos, que las del año pasado. Otra año en Amsterdam, aunque parece que la próxima vez será en Barcelona. Cualquiera de las dos ciudades me parece muy bien como sede. Aquí, en la ciudad que huele a porro, uno se siente cómodo porque es pequeña, caminable, entrañable y siempre se puede dar rienda suelta a una juerguecita. En Barna, jeje, en Barna se está de puta madre siempre.

Este año vienen bastantes amigos, algunos de ellos inesperados totalmente, como el pack que nos mandan desde Spectra ibérica formado por un Sexy Panda y un abuelo, o el team al puro estilo del Buggle que nos trae al señor Guasch y al señor Ramos de Security By Default para hacer las delicias de los más cotillas (lo que hace alguno con tal de viajar gratis...). También tendremos alguno que repite entre los asistentes que ya se ha puesto en contacto con nosotros y, por supuesto, Enrique Rando y yo.

Las conferencias BlackHat siempre tienen algo distinto. Siempre hay algún buen truco, o alguna charla buena. Nosotros intentaremos poner nuestro pequeño granito de arena con la FOCA y alguna demo que, tal vez, para los que leéis este blog ya no es tan nueva y otra que tal vez sí.

Este año hay charlas para dar y tomar. Una dedicada al I-phone y el MAC “Fun and Games with Mac OS X and iPhone Payloads”, otra, y en esta ocasión con dos slots de tiempo, sobre inseguridad en los formatos de ficheros OpenOffice “OpenOffice Security Design Weaknesses” en la que viene una frase lapidaria: “At the present time, it seems far easier to develop sophisticated document malware for OpenOffice than for Microsoft Office”, otra sesión dedicada a dar una vuelta de tuerca más a los ataques de SQL Injection “Advanced SQL Injection Exploitation to Operating System Full Control”, alguna dedicada a los exploits en Linux “Stack Smashing as of Today: A State-of-the-Art Overview on Buffer Overflow Protections on linux_x86_64” o “Alice in User-Land: Hijacking the Linux Kernel via /dev/mem”, una sobre rootkits en .NET “.NET Framework Rootkits: Backdoors Inside Your Framework”, otra dedicada al hijacking de sesiones en conexiones de dispositivos móviles, ataques MITM con SSLTrip para simular que sigue habiendo conexiones SSL mediante engaños, la charla de All your packets belongs to us sobre como redirigir tráfico MPLS, una sobre detección de Wifis mediante dispositivos legacy, una charla sobre como atacar sistemas con SAP, una dedicada a las redes con servidores VNC, otra de fingerprinting con Maltego y alguna cosa más...

Como se puede ver, es casi imposible que en una Blackhat no haya siempre alguna charla que te interese ver (a no ser que seas un buen técnicoless).

Si a eso añades que estás en la ciudad que huele a porro, que estos días está haciendo unos días de sol que hace que parezca que estás en Málaga y que por las noches hay fiestas con bebida y comida gratis… ¿quién no se quiere venir a unas conferencias en la BlackHat?

Saludos Malignos!

PD: Sí, tiraré fotos.
PD2: Sí, os contaré cotilleos. (Tranquilo Román)
PD3: Qué sí…

miércoles, abril 15, 2009

O pagas o Pleo morirá....

Lo siento fellows, pero la crisis económica nos ha llevado a esto. Hemos secuestrado al "Simpatico Dino". Sí, ese animalito tan chulo que sacaba Carles en sus charlas del Up to Secure y Asegúr@IT V (pa ti tol premio) y queremos la recompensa. Éste es Pleo, un simpátiquisimo dinosaurio....


¡Qué feliz era!

Pero llegamos nosotros, que necesitamos pasta.... y lo secuestramos. En esta foto le podéis ver, aun vivo, el día 13 de Abril de 2009.


Pleo secuestrado

Está un poco desorientado porque le tenemos con los ojos vendados y ha perdido algo de peso, pero aun está bien. Pleo será subastado "cual esclavo sin valor" en el próximo evento AD Movies, en el que Carles y yo, acompañados de otros banderilleros y monosabios, daremos un espectáculo en Barcelona durante el día 29 de Abil. En dicho evento, cual bacanal formada por los mejores cuerpos escultares que un departamento de marketing pueda dar (veanse los de Carles y mio), habrá papeo gratis, charlas sobre directorio activo, película por la patilla, sex... no eso no, eso va a ser que lo tendréis que traer de casa, un cocktail, y además, es posible que te lleves a Pleo a casa.

Si no vienes a por Pleo, será mandado cual protagonista de otra película (a elegir entre Ben Hur o Gladiator) a la arena, a luchar contra personajes muy, muy, muy malos....y el final puede ser como el del video:


Pleo como Gladiator...

Además, a lo mejor, la noche antes y/o la noche después del evento, los protagonistas de El misterio de Salem´s Lot podrán juntarse para disfrutar de... ya sabes qué.

Si quieres salvar a Pleo...: AD Movies, 29 de Abril, Barcelona

UPDATE: Hay una instantánea del momento en que es secuestrado del lado de su feliz dinomamá.


El asaltante de dinomama

Saludos Malignos!

Nota 1: En este artículo no se ha dañado a ningún animal.
Nota 2: Recuerda venir con el sexo de casa.

martes, abril 14, 2009

FOCA: Manual de Usuario [I de IV]

*************************************************************************************************
- FOCA: Manual de Usuario [I de IV]
- FOCA: Manual de Usuario [II de IV]
- FOCA: Manual de Usuario [III de IV]
- FOCA: Manual de Usuario [IV de IV]
*************************************************************************************************

FOCA es una herramienta para ayudar en la recolección de ficheros publicados en websites, la extracción de metadatos y el análisis de los mismos. A lo largo de este artículo se va a ir viendo cómo funciona esta herramienta para ayudar en las labores de Footprinting y Fingerprinting a los auditores de seguridad.

Proyectos

FOCA trabaja en modo proyecto que implica que todos los documentos han sido o van a ser extraídos de una misma organización, con lo que se supone que la información que se obtenga podrá ser cruzada en un proceso de análisis. Para ello, la herramienta permite trabajar con una base de datos SQL Server para almacenar la información del proyecto. Esta información permitirá volver a trabajar con ese proyecto. No se almacena ningún fichero en el servidor de base de datos, simplemente se mantienen opciones de información del proyecto, como los dominios, la fecha de creación y el estado. La conexión a la base de datos se configura desde el menú Opciones, dónde además, como puede verse en la imagen, se pueden configurar el número de hilos concurrentes para los procesos de descarga.


Creación de un proyecto

La herramienta permite trabajar también si almacenamiento en base de datos, la única diferencia será que cuando se analicen los ficheros descargados no se podrá saber cuál es el dominio al que pertenecen.

Una vez decidido si se quiere trabajar con o sin base de datos, se puede crear un nuevo proyecto. Para ello hay que establecer el nombre del proyecto, el nombre del dominio base y la carpeta dónde se van a almacenar todos los documentos que se descarguen.

Proyecto Rápido

Si se desea realizar un análisis rápido de documentos ya existentes en el sistema, se puede crear un proyecto sin nombre, sin dominio y sin carpeta. Se creará un proyecto vacío que puede ser utilizado para analizar documentos sueltos o carpetas pre existenes.

Búsquedas

Una vez creado el proyecto, FOCA puede buscar todos los links de los ficheros simplemente marcando las opciones de buscadores [Google o Live] y los tipos de ficheros a buscar. Además, por comodidad se han añadido opciones de parada de la búsqueda.

Si se quisiera crear un proyecto multidominio se pueden realizar múltiples búsquedas, es decir, una vez terminada la primera búsqueda se puede personalizar la cadena de búsqueda para que la herramienta añada una nueva lista de ficheros al servidor. Esto puede ser muy útil también para aquellos casos en los que se alcance el límite de resultados devuelto por un buscador y haya que segmentar la búsqueda.


Búsqueda de ficheros


Descargas

Una vez decididos todos los ficheros que se desean descargar se puede dar a la opción de descargar uno o todos. Esto arrancará la ejecución en paralelo de varios hilos de proceso, uno por cada fichero, y creará un fichero vacío en la carpeta por cada fichero que se va a descargar.

En el caso de que todos los hilos de ejecución se quedaran bloqueados por el servidor, se pueden añadir dinámicamente nuevos hilos de proceso desde el menú de opciones, esto liberará la herramienta y permitirá seguir descargando ficheros.
Si se han descargado otros archivos que formaran parte del mismo proyecto y se encuentran ya en el sistema se pueden añadir con la opción del menú contextual de añadir un fichero o simplemente arrastrándolos al proyecto.


FOCA descargando ficheros

Al final de esta parte, el sistema estará listo para empezar a analizar los ficheros.

*************************************************************************************************
- FOCA: Manual de Usuario [I de IV]
- FOCA: Manual de Usuario [II de IV]
- FOCA: Manual de Usuario [III de IV]
- FOCA: Manual de Usuario [IV de IV]
*************************************************************************************************

lunes, abril 13, 2009

Entrevista a Andrea Lapique aka "Frikiñeka"

Cuando das muchas charlas al año, llega un momento que es difícil retener el lugar y las caras de la gente. Es cierto que yo miro mucho a la audiencia, y suelo tener buena retentiva, pero como esté cambiada de sitio es difícil de recordar. Esto, por razones obvias no sucede con algunos colectivos de asistentes tales como los brasas, los extraños y las mujeres. Lo de las mujeres es por simple cuestión de número, no son muchas aún las que vienen a los eventos de sistemas - por lo que tendremos que trabajar más fuerte - y, menos aun, las que vienen a eventos de sistemas de tecnologías de Spectra


Andrea Lapique es una de ellas, pero no sólo viene a los eventos de sistemas, sino que un día, en uno de los eventos privados que dábamos para partners seleccionados, apareció ella. Ese evento no era para cualquiera, no. Era para partners top y técnicos seleccionados que fueran a trabajar con proyectos de seguridad... ¡y había una mujer! En ese punto pensamos que había esperanza para los informáticos y lloramos de alegría.
 
 
Figura 2: Andrea Lapique "La frikiñeka"

Cuando conoces a Andrea Lapique aun es peor, porque te das cuenta de que pocas veces puedes tan siquiera ayudarla: "Acabo de tener que desmmontar el almacenamiento de un pu*!$%%&$ VMWare", "Joder, he tenido que montar un pollo para restaurar un buzón de hace 3 años con un Exchange Server 2000", "Ahora me voy a un proyecto que tengo que migrar dos directorios activos a una nueva estructura federada...", y cosas así.. 

 Y cuando te cuenta sus cosas personales te dice: "He migrado el Debian otra vez a Ubuntu...", "me voy a hacer de voluntaria a...." Andrea Lapique tiene la energía, el conocimiento, la osadía y la experiencia para agarrar un sistema que está hecho un desastre y morderlo, masticarlo, volver a morderlo, patearlo y escupirle hasta que el sistema dobla y hace lo que ella quiere. Y esas cosas no sé yo si se aprenden de alguna forma. Espero que os guste esta entrevista.

  1.- La primera directa, ¿qué se siente siendo socia de la SGAE? ¿Te pegan por la calle? 

Jaja .En realidad no soy socia de la Sgae, soy socia hereditaria porque he heredado los derechos de autor de mi padre, lo que es lo mismo pero no es igual . Creo que es un rasgo muy peculiar de mí, en más de una charla contra el canon en las que he participado he empezado en plan .." Hola soy tal, y soy socia de la SGAE " es una risa... A mí me dejan entrar en la SGAE porque les caigo bien, si no ya me habrían cerrado la puerta. Si me preguntas si estoy de acuerdo con el CANON te diría que no, y que la SGAE y todos los organismos que de ella maman deberían cambiar el modelo de negocio ya. Confundimos CANON con Derechos de Autor, todos lo hacemos y es que son cosas bien distintas.

2.- ¿Son las tetas un hándicap para manejar ordenadores o realmente no molesta para mover el ratón y dar a las teclas?

Veo que estas esperando que te de cera... en fin… :D ¿Te sabes este chiste? "¿En qué se parecen las tetas a los dibujos animados? En que están hechas para los niños y entretienen a los mayores" Pues eso, estoy segura de que sí son un handicap para mantener la concentración de alguno de mis compañeros y en cuanto se despistan yo lo aprovecho para meterles cera, así que si algún día acabas trabajando conmigo mejor no te despistes. 

Ahora en serio, puede ser un handicap a la hora de buscar trabajo. Si aspiras a un puesto y te cogen, alguno piensa que es por ser tía. Y en otros casos directamente no te lo dan por la misma razón. Lo que hay que hacer en estos casos es demostrar lo que vales. Llega un día que nadie te mira porque eres mujer y te valoran por ser técnico.

3.- Venga, va, confiesa… tú eres de las del lado del bien... ¿cómo es eso que estás haciendo ahora para promocionar “no sé qué”? 

La verdad es que llevo años trabajando como técnico, y he tocado todos los palos, reconozco que el mundo del software libre me encanta, por su filosofía, por su manera de ver el mundo y de compartir el conocimiento. En cuanto a promocionar “no sé qué” supongo que te refieres a Iniciativa Focus :D la verdad es que llevo colaborando con ellos solo un par de años, pero ellos llevan ya unos cuantos dando guerra.

Nuestra finalidad es fomentar el conocimiento libre, es decir que el conocimiento esté al alcance de todos. Tenemos que compartir el conocimiento, aprovechar lo que la tecnología nos brinda para acercárselo a toda la sociedad. Para adquirir este conocimiento el acceso a la información debe ser fluido. Todos tenemos que trabajar en crear una sociedad del conocimiento no de la información. Todos los años participamos/organizamos varios eventos como E-verano.org, jtasl.org, y la Oswc donde coordinamos todo el voluntariado.

Son días duros pero todos aprovechamos para conocer gente, empaparnos de nuevas tecnologías, divertirnos y hacer contactos para futuros proyectos. Este año se ha constituido Focus Madrid de la que Juan Tomas García (Ex presidente de Hispalinux) es el Presidente y yo la Vicepresidenta. Tenemos muchos proyectos en mente y ya estamos empezando a darles fuerza así que si alguien se anima... (Te iba a decir que puedes darles mi número de teléfono pero mejor no). Bueno, si alguien se anima que se dé de alta como socio de Focus en la web.

4.- ¿Y lo de administrar los Directorios Activos y los CPDs es sólo por la pasta? 

No, no es sólo por la pasta como tú dices, supongo que es pasión por la tecnología aunque también cierto masoquismo. Tenias que verme en la OCSW con los de Apache cuando me preguntaban que qué tecnología manejaba yo. Lo único que acerté a decir fue virtualización y cuando me preguntaron que si con Xen tuve que asentir. Después de tres días de cañas conmigo ya hacían bromas acerca de mi condición tecnológica como técnico de Microsoft.

5.- ¿Cómo fueron tus orígenes con los ordenadores? ¿Cómo caíste en el virus del "sudo Háztelo tú"?

La verdad es que no tenía mucha escapatoria, supongo que soy friki o geek por naturaleza. Mis primeras películas de cine fueron Blade Runner y Juegos de Guerra, recuerdo que salí de la primera muertita de miedo y que no he podido volver a verla hasta hace bien poco, aunque ahora es una películas favoritas. Ese mismo año mis padres me compraron un Spectrum Zx, supongo que para que estuviéramos callados: Mi hermano Andrés y yo nos tirábamos las horas muertas metiendo código, ya sabes, tropecientas líneas sólo para cambiar el color del borde y que un puntito recorriera toda la pantalla ¡me he tirado años soñando con las dichosas rayitas de colores!

De ahí al Windows 3.11, luego el 95 beta, el IRC, Windows 98, y ESware Linux… Años más tarde trabajaba como secretaria de dirección en una empresa, y mis hojas de cálculo hacían que mi viejo PC se quedara tieso, un día me harté, desmoté dos PCs que tenía cerca, y le puse mas memoria al mío y ya que estaba… la tarjeta de sonido y el lector CD. Los de sistemas lo fliparon conmigo y en menos de un año ya era técnico de sistemas en la misma empresa.

De ahí al software libre un paso, mi mejor amigo Iokese se aburría cada vez que le contaba lo que hacía en el trabajo y él no paraba de hablarme de Asterisk, Debian, y cosas que me sonaban muy raro. Empezó a llevarme a los hamlabs, y a todos los eventos frikis por excelencia. Para colmo conocí a Juan Tomas y empecé con todo el lio. Me falta aprender mucho pero supongo que tan buenos técnicos cerca no tardaré mucho en estar a su altura.

6.- ¿Y cómo haces para tocar tantos palos: VMWare, AD, Exchange, o lo que te metes entre pecho y espalda? 

Estudiando mucho, montándome entornos virtualizados en mi casa, leyendo en foros, etc... Lo malo de tocar tantos palos es que das la sensación de ser muy buena pero no eres experta en nada. No sé si entiendes esa sensación, la de que siempre te falta algo por aprender, ¿que sale un producto nuevo que no conoces? pues hala, a bajarse la Beta y a probarlo. Algún día tendré que parar y cuando lo haga será para alejarme de la tecnología definitivamente. Pero creo que eso será en otra vida.

7.- ¿Y en tu portátil corre?

Tengo un arranque dual, Todo betas. Windows 7 y Ubuntu Studio (Jaunty). Mis datos, por supuesto, en un disco externo.

8.- Todas las mujeres técnicas que he conocido han sido unas máquinas, ¿por qué no sois más dando guerra por aquí (y por aquí quiero decir mundo de frikis tecnológicos)?

Supongo que nos das miedo. La verdad es que esto sigue siendo un mundo de chicos. En los últimos eventos que he participado es verdad que me he encontrado con grandes listillas (ya sabes a lo que me refiero) pero seguimos siendo muy pocas. A lo mejor tiene algo que ver la falsa idea de que la mayoría de los frikis son bajitos y con gafas, jaja… pero no creo. 

La verdad es que yo me cuestiono muchas veces porque hay tantas administradoras de BBDD y tan pocas de sistemas. A mí misma me preguntan cada vez que entro en un proyecto: “¿Vienes a administrar el Oracle?” y lo flipan cuando les digo que soy de sistemas. Creo que el mundo está cambiando, y en breve seremos muchas más. Por lo menos eso espero porque no sé si voy a poder seguir sobreviviendo a chistes del tipo: -¿Sabes el chiste de la administradora de sistemas? - no.

 9.- ¿Te animarás a formar parte del Calendario Tórrido 2010 que quiero hacer? 

Sí, si es para una buena causa del tipo, salvar a los pingüinos, sí.. es broma, cualquier causa justa me vale. ¿Quién va a hacer las fotos? ¿Tú? jajaja

10.- Y cuando sueltas el portátil... ¿a qué te dedicas, cómo pierdes el tiempo?

Supongo que te también te refieres a cuando no estoy participando en ningún evento o fiesta geek, ¿no? (Como la OCSW o la fiesta firefox) pues... La verdad, a cosas creativas, leo, escribo, doy clases de canto, bailo funky, y en cuanto puedo me escapo a Galicia a desintoxicarme un poco...

11.- Después de tantos años en esto… (Te estoy llamando "señora mayor") y de conocer a tanta gente.... ¿quiénes te han impresionado?

Pues la verdad la lista es gigantesca, sobre todo Juan Tomas García y Marcelo Branco, por su manera de ser, de vivir el software libre, y por su calidad humana. La gente del hamlab del patio maravillas por demostrarnos que se pueden hacer las cosas de otro modo y te diría que tú pero mis amigos dejarían de hablarme jaja...

12.- Dime la verdad... ¿Hay algo mejor que el directorio activo? (y no vale decir que el sexo)

El Windows Vista jaja. Samba 4, OpenLDAP y un buen script. 13.- ...y esto... lo de las pruebas de acceso en Spectra... ¿cómo encajan con esto de la directiva esa dónde estás metida y hacer de voluntaria en el OSWC? Bien, aunque supongo que si entro en uno tendré que dejar el otro. De hecho tengo una anécdota graciosa. Cuando fuimos a firmar los Estatutos no los pudimos entregar porque yo me había dejado el DNI en Spectra y claro, quedó como que Microsoft siempre anda por ahí jodi.. :D En cuanto a la OSWC… ¿No eras tú el que acudió a dar una charla sobre los Metadatos?

14.- ¿Qué les recomendarías a los chavales que están ahora estudiando y quieren dedicarse a administrar sistemas?

Primero que estudien, es super importante, la verdad, puedes ser muy bueno que si no tienes estudios no vas a llegar a ninguna parte, los golpes de suerte no caen del cielo, y si además de ser bueno tienes unos estudios que te avalen lo tienes hecho. Yo me he quedado fuera de muchos procesos de selección aun siendo de las más capacitadas sólo por no tener el título, así que me he visto obligada a retomar la carrera, sí, sí a mi edad... Y por otro lado que pierdan el miedo a los sistemas, que molan.

15.- ¿Qué hubieras sido si no hubieses caído en el mundo de la informática?

Seguramente me estaría dedicando a escribir o a componer.

16.- ¿Has sido jugona? ¿Qué juego te ha comido más horas de tu vida?

Del Spectrum me encantaba el Chukie Egg pero sin duda el juego que más horas me ha quitado ha sido "El día del tentáculo”. Hubo una época en que me quedé enganchada con el DOOM, pero tuve que dejar de jugar porque me ponía muy violenta. Ahora estoy enganchadííííísima al Rock Band de la Wii.

17.- ¿Qué te gusta leer para estar al día? ¿Y leer por leer?

Tengo millones de RSS pendientes de leer, antes invertía mucho dinero en comprar revistas de tecnología, pero ahora con las RSS es mucho más rápido. Blogs de tecnología, de seguridad, de gadgets, y de diseño. En cuanto a la vida real no leo periódicos y no veo telediarios, para eso tengo a mi madre que es como una esponja y te lo transmite con mucha facilidad dándote dos versiones distintas de la noticia dependiendo de donde lo haya leído u oído. Con mi madre es lo mismo que verlo en la tele: "Tienes que interpretar lo que ha pasado en realidad." Y leer por leer me encanta la literatura fantástica, histórica y también los de ciencia ficción. Para agilizar la memoria hago crucigramas.

18.- ¿Qué se te da peor, los ordenadores o conducir? (Y no es machismo es que aparcas fatal!!)

Conducir, sin duda.

19.- ¿Hay machismo en el mundo de la informática o contigo se han portado bien?

La respuesta es complicada, yo no he tenido problemas en ningún proyecto por el hecho de ser mujer, es más, siempre me han tratado muy bien y he estado muy mimada. Pero sí hay machismo, sí. He llegado a trabajar con chicas que estaban en sus puestos sólo por tener un buen par de tetas. Es muy fácil aguantar así, lo que no sabes, consigues que alguien te lo haga. Lo malo es que luego intentan medirnos a todas por el mismo rasero y claro, no me conocen. Dos borderías, dos cortes, y a la tercera te quedas sin correo y si quieres que te lo arreglen se lo pides a la tetona que seguro consigue que alguien te lo haga. En fin. Supongo que como en todas las profesiones, ¿no?

20.- Venga, te dejo que promociones algo: ¿A dónde les recomendarías a l@s frikis que hay por aquí que asistan?

¿Sólo uno? pues entonces a las jornadas e-verano.org, son unos cursos talleres sobre el conocimiento libre, las redes sociales, nuevas tecnologías, etc… Creo que este año se va a realizar en Ceulaj, en Málaga, del 6 al 12 de julio. Y a los dorkbot, el Hackmeeting de este año, la OSWC que este año será en Extremadura, y si podéis ir a Brasil, al FISL 10, pues también. :D

Saludos Malignos!