Hashtopolis: Cómo crackear contraseñas de forma distribuida

Una de las acciones más comunes durante la realización de un proyecto de Ethical Hacking, es el crackeo o descifrado de las contraseñas que el analista va encontrando en diferentes partes de los sistemas objetivo o intermedios, de los que va recabando hashes en diferentes algoritmos con una credencial válida que pueda dar paso al siguiente nivel. Y a veces es un proceso lento si la contraseña es robusta, el algoritmo de hashing es complejo o no tenemos suficiente potencia de cómputo.

Figura 1: Hashtopolis: Cómo crackear contraseñas de forma distribuida

En este artículo os traigo una herramienta muy interesante que nos permite, de una manera relativamente sencilla, utilizar hashcat para realizar tareas de descifrado distribuyendo el trabajo entre diferentes ordenadores que se encuentren en una misma red.

Instalando hashtopolis y configurando el entorno

La herramienta que vamos a utilizar para realizar esta tarea se llama Hashtopolis, y se puede acceder a ella en su repositorio de GitHub. Es un sistema cliente-servidor que permite distribuir tareas de hashcat entre diferentes ordenadores.

Figura 2: Hashtopolis en GitHub

Hashtopolis requiere la instalación de un servidor de aplicación (apache2) que albergará una aplicación web que permitirá al usuario gestionar todos los equipos que se estén utilizando para completar las tareas. En los equipos que se deseen utilizar para realizar las tareas, se debe instalar un agente, que no es más que un pequeño programa que se encargará de comunicarse con el servidor para recibir órdenes.

Instalando y configurando el servidor

Lo primero que vamos a hacer es instalar y configurar el servidor, para ello se recomienda utilizar una máquina virtual con un sistema operativo Ubuntu o Debian. Vamos a comenzar por la instalación de las dependencias principales que requerirá la aplicación, para ello ejecutamos los siguientes comandos:

$ sudo apt-get update 

$ sudo apt-get install mysql-server 

$ sudo apt-get install apache2 

$ sudo apt-get install libapache2-mod-php php-mcrypt php-mysql php * 

* (Si se utiliza php7.2 y se tiene problemas con la instalación de php-mcrypt, recomiendo que consultéis este enlace) 

$ sudo apt-get install git curl

Una vez instaladas todas estas dependencias, vamos a descargar hashtopolis desde su repositorio de GitHub para configurar la aplicación web. A continuación, se muestra el comando necesario para realizarlo.

$ git clone https://github.com/s3inlc/hashtopolis.git 

$ cd hashtopolis/src 

$ sudo mkdir /var/www/hashtopolis 

$ sudo cp -R * /var/www/hashtopolis/

$ cd /var/www 

$ sudo chown -R www-data:www-data hashtopolis

Una vez descargada la herramienta, y movida la aplicación web al directorio de servidor de aplicación, vamos a realizar algunas configuraciones en el directorio de apache2. Lo primero, abrimos el siguiente fichero e introducimos el nombre de archivo index.php a continuación de index.html.

$ sudo pico /etc/apache2/mods-available/dir.conf

También vamos a configurar el directorio (hashtopolis) que hemos creado dentro de /var/www como DocumentRoot. Para ello introducimos el comando que se muestra a continuación, y en la línea donde pone DocumentRoot /var/www/html lo modificamos por DocumentRoot /var/www/hashtopolis.

$ sudo pico /etc/apache2/sites-enabled/00*

Una vez realizadas estas configuraciones, si se han seguido todos los pasos, tras reiniciar apache2 mediante el comando sudo service apache2 restart deberíamos ver algo similar a la imagen que se muestra a continuación.

Figura 3: Inicio de la instalación de Hashtopolis

En este punto tenemos casi listo nuestro servidor, únicamente queda la configuración de la base de datos y añadir un usuario para utilizar la aplicación web, vamos a ello. Lo primero vamos a instalar phpmyadmin para que resulte más sencilla la administración.

$ sudo apt-get install phpMyAdmin

Dependiendo de la versión que estéis instalando es posible que tengáis que añadir la sentencia Include /etc/phpmyadmin/apache.conf al final del fichero /etc/apache2/apache2.conf. Una vez instalado phpmyadmin accedemos mediante el navegador introduciendo la dirección IP de nuestra máquina /phpmyadmin. Dentro de phpmyadmin vamos a añadir un nuevo usuario para que utilice hashtopolis, a continuación, se muestra la configuración del usuario.

Figura 4: Añadiendo un usuario en Hashtopolis

Una vez añadido el usuario, volvemos a la página de inicio de hashtopolis introduciendo la dirección IP de nuestra máquina en el navegador y comenzamos la instalación. Los parámetros que se requieren para la instalación se muestran en la siguiente imagen.

Figura 5: Parámetros de instalación

Si la creación de las tablas en la base de datos ha sido satisfactoria, hashtopolis nos mostrará una pantalla para crear un usuario administrador en la aplicación web.

Figura 6: Creación de usuario administrador

Tras crear el usuario administrador, nos aparecerá la pantalla de acceso en el navegador. Introduciendo los datos del usuario administrador tendremos acceso al sistema.

Figura 7: Sistema de Hastopolis

En este punto tendríamos el servidor completamente instalado y funcional. Ahora podemos pasar a la segunda parte. Añadir los agentes a nuestra red.

Instalación de los agentes

Los agentes son los programas que se encargarán de comunicarse con el servidor que hemos configurado previamente para recibir tareas que realizar, y deben instalarse en cada uno de los equipos de la red que queramos que participen en el proceso. Vamos a ver como instalar un agente en un equipo Ubuntu.

Lo primero que debemos tener instalado es hashcat, para ello, basta con ejecutar el siguiente comando:

$ sudo apt-get install hashcat

Una vez instalado hashcat, lo único que tendríamos que hacer es seguir las instrucciones que nos marca la Wiki del proyecto.

Figura 8: Wiki de hashtopolis

Tras ejecutar ese conjunto de comandos, vamos a la aplicación web que hemos configurando anteriormente y pulsamos sobre crear nuevo agente.

Figura 9: Añadir nuevo agente

Como puede observarse hay dos agentes disponibles, uno escrito en C Sharp y otro en Python. Vamos a utilizar el de C Sharp. Pulsamos el botón Create del New voucher y a continuación ejecutamos el siguiente conjunto de comandos.

Figura 10: Creación del agente de C# usando Mono

Si se han seguido todos los pasos anteriores, en este punto el agente estaría activo haciendo pulling cada ciertos segundos al servidor para recibir tareas.

Creación de una tarea para probar el agente

La características principales de la creación de tareas pueden encontrase en la Wiki del proyecto de hashtopolis, en este caso, veremos como crear una tarea sencilla para descifrar un Hash md5. En el siguiente video se muestra como crear una tarea y asignársela a un agente Python para que crackee una lista de hashes md5 haciendo fuerza bruta con un diccionario. Hay que tener en cuenta que el servidor y el agente no están en la misma máquina.

Figura 11: Demo de Hashtopolis

Como puede observarse, el uso de esta herramienta es una forma muy buena de aprovechar todos los recursos computacionales que tengamos para realizar una única acción de manera distribuida. Podemos crear listas muy amplias de contraseñas cifradas y asignarle la tarea a varios agentes que comenzaran a descifrar de manera coordinada, sin estar alojados sobre el mismo ordenador y sin disponer del mismo hardware o arquitectura.

Autor: Santiago Hernández, Security Researcher en ElevenPaths

Si te interesa Tor o Linux eres Person of Interest en la NSA

Dentro de los proyectos de la NSA para poder investigar lo que estaba pasando en Internet que pudieron ser conocidos tras las filtración de documentos de Edward Snowden apareció X-Keyscore, un sistema distribuido para el análisis de los datos capturados por medio de los programas PRISM o Tempora, orientados a la recolección de información.

Figura 1: Distribución de los servidores de X-Keyscore por el mundo

X-Keyscore es un sistema de análisis de información distribuido, con servidores en multiples puntos del mundo al cuál los investigadores se conectan para localizar a los posibles sospechosos. Como vimos, entre las cosas que podía preguntar un analista para encontrar esas anomalías, estaba el uso de criptografía o el uso de determinados idiomas en ubicaciones no habituales para esa lengua.

Dentro de todos los documentos que se han podido ir conociendo después, en algunos ficheros de reglas de configuración de X-Keyscore, tal y como se puede ver a continuación, los agentes de la NSA estaban registrando las direcciones IP de la gente que estaba conectándose a sitios que ofrecen a los usuarios alguna información sobre criptografía, tales como el sitio web de Tails (The Amnesic Incognito Live System), una distribución de Linux basada en Debian y centrada en el anonimato.

Figura 2: Tails, Live Debian Linux enfocada en privacidad y anonimato

Esa distribución es un sistema operativo live que se puede correr desde un USB, una smartcard o un DVD y que realiza absolutamente todas las conexiones a través de la red TOR, con la idea de conectarse a TOR sin usar Internet en el mismo equipo.

Figura 3: Reglas de X-Keyscore para detectar conexiones a Tails y Linux Journal 

A pesar de que la NSA tiene ya muchos proyectos de investigación de TOR, que van desde el uso de servidores infiltrados hasta el estudio estadístico de las conexiones y los saltos de routers, parece que una buena idea es registrar las direcciones IP de los usuarios que se conectan a los servidores web y tenerlos "fichados" desde el principio.

Figura 4: Reglas de X-Keyscore para gente que se conecta a servidores de Tor en la web

La cosa va más allá aún, ya que en el fichero de reglas se puede ver que simplemente con conectarse a la web de Linux Journal te convierte en sospechoso y una "person of interest" para ser investigado dentro de la plataforma X-Keyscore. Es decir, el mero hecho de estar interesado en criptografía, anonimato o Linux te convertía en investigable para la NSA.

Saludos Malignos!

Debian y su árbol LDAP: ¿Más chulos que un ocho?

Estaba yo pasando el rato analizando las configuraciones de algunos árboles LDAP para ver cómo analizar su robustez frente a un ataque de man in the middle, cuando me topé con uno de ellos que me sorprendió. Resulta que si te descargas la versión LDAP Browser de Softerra, y la instalas de forma completa, se agregan una serie de perfiles por defecto de servidores LDAP públicos en Internet. Y mi sorpresa fue encontrar entre ellos a Debian.

Figura 1: árbol LDAP de Debian entre los servidores públicos

Por supuesto, la curiosidad y el anhelo de volver a mi amigo Luciano Bello - además de comprobar si esto es un honney pot o no - me hizo buscarle entre los cientos y cientos de usuarios del sistema, para encontrarle allí.

Figura 2: La entrada de Luciano Bello en el árbol LDAP de Debian

Lo siguiente que me vino a la mente fue:

"Joder que chulos estos de Debian, ahí, con dos huevos publicando la lista de usuarios, la lista de todos los correos electrónicos, qué usuarios son los administradores, qué servidores tienen, qué versiones de software tienen instalado con la configuración de seguridad de sus servidor LDAP y todo. ¡Qué no se diga que no son Open, leñe!"

Figura 3: Información de todos los hosts de Debian

Claro que a mí, por deformación profesional, esto me parece algo erróneo en cualquier caso. más cuando Debian ya sufrió ataque graves y elaborados de seguridad en el pasado, como el Owned de Gluck. No entiendo por qué debe tener acceso anónimo habilitado y regalar los datos de todos los miembros, por pequeños que sean los datos. Pero... tal vez esté yo equivocado y no haya que preocuparse tanto de esto.

¿Y tú que opinas? Desde luego, tengo claro que ya no le voy a lanzar la FOCA... ¿Para qué? si ya es pública toda la red de la organización. No tiene gracia.

Saludos Malignos!

No Lusers 126 - Linuxeros

Una mala noche de esas que me desvelé comencé a releer los comics de Frank Miller en Daredevil en los que luchaban contra la Mano. Toda aquella historia tendría un punto épico en el que Bullseye acaba matando a Elektra y con Daredevil soltando a Bullseye de la mano y... - se me pone la carne de gallina sólo con recordarlo -.

Ver esos comics y no querer dibujar ninjas es imposible. Así que me puse a tirar, con nocturnidad y alevosía, unas rayas y pintar a unos ninjas atacando a Josemaricariño. En lugar de La Mano, los ninja debían ser linuxeros, es evidente, pero nada de cualquier linuxero, sino de los duros y peligrosos.... }:P

Saludos Malignos!

Conferencias de Seguridad de la UOC en Youtube

La Universidad Oberta de Catalunya, en su canal Youtube, ha puesto disponible para todo el mundo la sesión que grabé sobre Metadata Security. Está dividida en dos partes y puedes ver la misma sesión que preparamos para Defcon17 pero en castellano. El video y el audio se oyen bastante bien.


Metadata Security: Parte I


Metadata Security: Parte II
Hay que agradecer a la UOC que tenga este tipo de inicativas de publicación de conferencias tanto para estudiantes como para no estudiantes. Allí, además, se puede encontrar la sesión que grabó Luciano Bello sobre el fallo de OpenSSH explicando además toda la criptografía asociada.


Módulo I: Introducción


Módulo II: El error


Módulo III: Explotación del Bug - Autenticación por desafío


Módulo IV: Explotación del Bug - Descifrando PFS en EDH


Módulo V: Explotación del Bug - MitM, DSA y Conclusión
Saludos Malignos!

Asegúr@IT IV - Online

Alfonso Muñoz - Esteganografía en la web

Asegúr@IT IV - Esteganografía en la web

View SlideShare presentation or Upload your own. (tags: informática hacking)

David Barroso - Botnets 2.0

Asegúr@IT IV - Botnets 2.0

View SlideShare presentation or Upload your own. (tags: botnets malware)

Chema Alonso - Remote File Downloading

Asegúr@IT IV - Remote File Downloading

View SlideShare presentation or Upload your own. (tags: hacking server)

Luciano Bello - Debian OpenSSL Bug

Asegúr@IT IV - Debian OpenSSL bug

View SlideShare presentation or Upload your own. (tags: hacking bug)

Héctor Sánchez Montenegro - Microsoft y la Seguridad

Asegúr@IT IV - Microsoft y Seguridad

View SlideShare presentation or Upload your own. (tags: informática seguridad)

Saludos Malignos!

Menos samba y mas trabajar

La verdad es que los montajes han tenido su gracia, pero reconozco que cuando estás currando en fechas y horas en las que no deberías y te encuentras con un gracioso que no deja avanzar... es una putada. Tú quieres terminar, cerrar el trabajo e irte a disfrutar de una interesante e inteligente sesión de espanzurrarse en el sofá y no hacer nada, pero, mientras tú deseas eso, otros con más ganas de fiesta deciden que es mejor descojonarse un poco.

Algo así ha debido pasarle al amigo Manoj Srivastava, secreatario del proyecto Debian. Nuestro portagonista estaba intentando cerrar un asunto de esos que a los amantes de las licencias en Debian les ponen a mil. La idea era decidir que hacer en la nueva versión con las imagenes binarias de firmware. ¿Son abiertas, lo ignoramos o nos ponemos pijos y los echamos del proyecto?. Hasta siete alternativas se curró para que la gente se comunicara, debatiese y votase....

Pero algunos decidieron tomarselo por otro lado y jugar un poco con las críticas. Los montajes que han hecho con las fotos han sido, cuanto menos, graciosos...


Miembro de los Manowar y los Judas Priest


A lo Catwoman
Al final, con no mucho sentido del humor, y después de todo lo que le han dicho, anuncia, incluso antes de que se acabe la votación, que se pira.

Yo le diría que no se fuera hombre, que estamos en navidad y que siempre habrá gente que te critique en cualquier puesto y que debería importarle más el resto de gente por la que ha estado realizando su trabajo, ¿no?

Saludos Malignos!

Asegúr@IT IV

Fue hace apenas 10 días que tuvo lugar el Asegúr@IT III en Bilbao y aun mantengo partes de la presentación en mi memoria reciente. Los videos y las presentaciones están siendo editados por la gente de multimedia de la Universidad de Deusto y aun no he podido ni colgarlos cuando ya tenemos lista la próxima edición del Asegúr@IT en Madrid.

En las jornadas de Asegúr@IT han pasado para dar ponencias “personajes” de lo más diverso dentro de esto de la seguridad informática como RoMaNSoFt, Mandingo, Dani Kachakil, Pedro Laguna, José “el abuelo” Parada, Andrés Tarascó “Atar”, Juan Luís Rambla, Mikel Gastesi, Pablo Catalina, Juan Garrido “silverhack”, Pablo Garaitzar “Txipi”, David Carmona, Palako o Iñaki Etxeberría haciendo que cada charla por separado y todas en conjunto sean de lo más interesantes.

Ahora, aprovechando que Luciano Bello salta el charco para ir a hablar a la DeepSec se ha confeccionado una agenda de actividades digna del mismísimo diablo. Yo, para recibirle como se merece y, currando con Spectra Technet, S21Sec, mis compis de Informática64 y Little Budda de Criptored hemos montado un fiestorro para el próximo día 27 de Octubre: El Asegúr@IT IV.

Allí vamos a participar algunos “buenos” elementos de tipo persona para la diversión de todos.

- Alfonso “steganopaulos” Muñoz: Este es el friki aficionado a la teoría de la conspiración que tuve el gusto de conocer en el CIBSI 2007 en Argentina, que se encargó de putearos con la prueba de steganografía del nivel 5, que escribió este pequeño tutorial de lo mismo, que liberó la herramienta stegosecret para stegoanálisis y que va a hablarnos de… ¿lo adivinas?

- David “ojosdeniño” Barroso: Sí, el cheriff del e-crime en S21sec, el browner dispatcher de curro en S21Sec, el que dice: “Encárgate de esto que yo me voy a una conferencia muy, muy,muy,muy importante en…. Las Vegas”. Je, pero también es el que se come los browns con los altos gerifaltes de los clientes, esos que manejan más presupuesto en un año del que vamos a ganar muchos de nosotros en toda nuestra vida. Ojosdeniño Barroso vendrá a hablarnos de mafias y botnets 2.0. Es decir… como nos joden.

- El menda lerenda, sólo para rellenar el hueco, y para que no se diga que hago currar a todos y yo no doy ni chapa, voy a dar la charla que di en la ToorCon X pero en idioma bronxtolita. La charla es de cómo descargar ficheros del servidor usando Blind SQL Injection.

- Luego, Luciano “melenas” Bello (¿bello no es sinónimo de pelo?), el que consiguió que un logo de Debian luciera en la web de Informática 64, vendrá a contarnos como el mundo se puso del revés por un par de comentarios puestos en el momento menos apropiado y en el lugar justo. Algo así como “¿Te acuerdas que te dije que no hacía falta que te pusieras condón que tenía el DIU? Pues me han dicho que no estaba bien puesto….” El gran Luciano que vendrá a tierras españolas (para luego bajarse al moro el muy pájaro!) sin su coche Rojo color Windows Vista.

- Y por último, para poner un poco de orden, para que todo no sea alboroto y cachondeo vendrá el señor Héctor-bando Sánchez Montenegro, el que se las tiene que ver y pelear en los comités del OOXML, las certificaciones de seguridad y el que negocia en el mercado como pasarle el código bajo cuerda al estado español : “venga, te paso 3k de líneas del kernel de Windows 7 si me haces una ley que obligue a todos los niños a llevarlo implantado en un chip cerebral”. El que se encarga de comprometer a Spectra con este país que vendrá a contarnos… ¿Qué está haciendo Spectra en seguridad informática… .para gobernar el planeta?

Así que, si crees que todo esto es poco, tendrás el desayuno gratis y la entrada del evento es totalmente gratuita (hasta que se acaben las butacas).

Fecha: lunes, 27 de octubre de 2008

Lugar: Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur, Avenida Arcas del Agua s/n – Sector 3, Getafe Madrid 28905, España

Agenda

09:00-09:15 Registro

09:15-10:00 Alfonso Muñoz (UPM): Esteganografía 2.0: Pasado, presente y futuro de la ocultación de las comunicaciones

¿Al Qaeda utiliza procedimientos para ocultar comunicaciones en Internet?, ¿la celestina contiene mensajes ocultos?, ¿puede un acróstico cambiar el rumbo de una investigación?... Esta charla pretende mediante un repaso de las técnicas esteganográficas más interesantes analizar como ha evolucionado está ciencia desde las técnicas puramente artesanales a procedimientos de gran complejidad que facilitan la ocultación de comunicaciones en múltiples formatos, analógicos y digitales, con diversos propósitos. La ocultación de información puede tener implicaciones en la seguridad coorporativa de una organización, por ejemplo, en la ocultación de malware, canales encubiertos que extraen información de forma subrepticia a través de cortafuegos, gestión de la autenticación de contenidos, etc. En la charla se analizan diferentes técnicas esteganográficas de ocultación y detección con diferentes demos y se razona un posible futuro de esta ciencia relacionado con el avance de la web 2.0 y las redes sociales.

10:00-10:45 David Barroso (S21Sec): Botnets 2.0: adquiriendo el control de Internet (la amenaza silenciosa)

Quién tenga el control de Internet y de la información que fluye dominará el mundo; es el objetivo principal de las botnets hoy en día, controlar el mayor número de máquinas posibles para utilizarlos en la consecución de sus objetivos: infection kits, C&C, ISP a prueba de balas, criptografía, redes P2P, data mining, DDoS, ... todas estas técnicas (y muchas más) se entremezclan para formar el escenario actual con el que nos enfrentamos. ¿Somos conscientes de ello?

10:45 - 11:15: Café envenenado por Spectra Technet

11:15 - 12:00: Chema Alonso (Informática64): RFD. Descarga de ficheros con Blind SQL Injection

El lenguaje SQL es un potente elemento dentro de los avanzados motores de bases de datos, con los privilegios adecuados y utilizando las herramientas precisas es posible descargar ficheros de los servidores sólo usando los sistemas de booleanización de ficheros con técnicas de Blind SQL Injection. En esta sesión se verán demos con SQL Server 2000, SQL Server 2005, Oracle 10g y MySQL 5.

12:00 - 12:45 Luciano Bello (Debian). Debian OpenSSL Bug, el cómo, el porqué y las consecuencias

A principios de este año el mundo se conmocionó con el fallo descubierto por este argentino que permitía, gracias a un fallo en el código del paquete OpenSSL, descifrar todas las claves criptográficas generadas en los últimos dos años por este software. El propio Luciano Bello, en España, nos contará cómo funciona, porqué pasó esto y cuales son las consecuencias.

12:45 - 13:30 Héctor Sánchez Montenegro (Microsoft) ¿Qué está haciendo Microsoft en Seguridad?

Microsoft estuvo años en el punto de mira de los expertos de seguridad y hoy en día en el punto de mira de las mafias. Desde el año 2002 Microsoft tomó conciencia de esta responsabilidad que tenía y decidió atacarlo con la iniciativa a 10 años de Trustworthy Computing. Hoy 6 años después, las mejoras son sustanciales, pero.. ¿cuáles han sido los esfuerzos de Microsoft en materia de seguriad? ¿Cuáles son los planes para el futuro? ¿Y respecto al gobierno nacional?

13:30 - 13:45 Preguntas a los ponentes

Registrate para este envento en la siguiente URL: Asegúr@IT IV

Saludos Malignos!

No Lusers 49: La cena fría

Más juguetes

Hola amig@s,

con el acercamiento de las conferencias de BlackHat USA y Defcon 16 en Las Vegas todos los ponentes estarán haciendo los deberes y preparando los entornos y las demos. Entre ellos, nuestro amigo Luciano Bello, del que somos abiertamente fan ;) el cual se está preparando una buena demo.

Luciano Bello descubrió el fallito en el paquete OpenSSL y tras la aparición de los OpenSSL PRNG Toys de H.D. Moore él ha estado trabajando en un añadido para Wireshark que permita descibrar el tráfico SSL cifrado mediante el uso de certificados digitales creados con los paquetes inseguros. Desde ayer está publicada la explicación y el parche.

La idea es aplicar una aproximación de fuerza bruta que permita probar todas las posibles claves privadas que se pueden generar con ese paquete buscando la clave de sesión negociada en el handshake SSL. Para ello el parche se aprovecha de que todas las claves privadas que genera el paquete OpenSSL vulnerable pueden ser precalculadas. Luciano, para ayudarnos, nos entrega un fichero con ellas ya calculadas. En la siguiente captura que nos ha dejado se puede ver en funcionamiento el parche:

Decodificando SSL con Wireshark
Luciano & Friends han sacado el parche para la versión 1.0.2 de Wireshark y aunque cómo él explica hay cosas mejorables en la herramienta, creo que el concepto quedá más que claro y para poder probarlo ha dejado una captura de red con tráfico SSL inseguro que permite probar el parche. Tenéis una explicación en Castellano y en Inglés.

Luciano, Paolo y Maximiliano han creado con esto una clase perfecta y una práctica maravillosa que puede ser realizada en las prácticas de las clases de criptografía y que permitirán, a los profesores que lo deseen, ilustrar de forma práctica este asunto, así que... ¡enhorabuena y gracias!

Y ya que os ponéis... ¿Qué tal un parche para el IPSec?. A ver si nuestro amigo Maximiliano Montoro, ilustre programador de CAIN nos introduce estas funcionalidades en nuestra herramienta favorita para Windows ;)

Saludos Malignos!

No Lusers 47: Idolatría

No Lusers 46: Random

***************************************************************************************
Publicada en Windows TI Magazine Nº 133 May'08
***************************************************************************************




***************************************************************************************
Publicada en Windows TI Magazine Nº 133 May'08
***************************************************************************************

Cons-pirados

Hola a todos!

Supongo que vosotros ya lo sabéis, que estáis en el mundo, pero un amigo de un primo del vecino del cuarto de la casa de una tipa que conozco porque viene a mis charlas me lo ha confirmado, y ella lo sabe de buena tinta porque se cepilla al conserje del portal dónde vive uno que trabaja en los cuerpos de seguridad del estado: El gobierno americano tiene la clave del bitlocker de Vista.

Sí, sí, seguro que te parece raro, pero es cierto, y además, me dice, que cuando apareció el bug aquel en Hotmail, si hombre, aquel en el cual se podría haber accedido a los mensajes de correo de otra cuenta. Sí, ese, pues no te lo vas a creer, pero resulta que en una conferencias, el último día, salieron de copas Steve "yasabesquien" y el Mayor McChicken "de la ene ese aaaa" y resulta que acabaron en un garito de malamuerte de esos. Ya sabes que yo soy de menteabierta, pero hay algunas cosas que ... no están bien, no señor, porque tu me dirás que es lo normal, que se vayan de conferencias y cenen y tal, pero acabar en un garito con el aspecto del BING (deberías ver los soprano) pues no está bien.

El caso es que entre copa y copa, se les fue yendo de las manos, y al final Steve "yasabesquien" le dijo a McPollo: "Sí, me dejas a la rubia de las tetas operadas yo te abro el hotmail de todos los usuarios del mundo". A lo cual el Mayor dijo: "Si me la dejas tú a mi te permito que troyanices todos los ordenadores del mundo".

Y luego claro, de esos polvos llegan estos lodos, porque lo que no se puede hacer es portarse mal. Pero lo que no sabes es que con el caso este del certificado del Debian, ha pasado más o menos lo mismo. Sí, resulta, que tengo un amigo que trabaja en Faunia, ahí, sí, dónde los pingüinos en Madrid. Y tu dirás... ¿y que tiene que ver eso? Pues resulta que la última vez que vinieron a la Intergalactic-Kree-Skrul-Linux-Conference, se fue Ian "yasabesquienquemevoyaSunaganarpasta" a hacerse unas fotos con los pingüinos para una de esas campañas que hacen en la revista "Pengüin", sí, esa que es como el Man pero para...bueno, que me lio, y a mi no me gusta que de criticar leches. El caso es que mi amigo, estaba con la real cagada de un pingüino cunando vio que un tipo marcial, de pelo bien cortadito, le daba un sobre al tal Ian y este le dijo algo así como: "esto te lo descifro yo en el próximo parche".

Así que, con un simple comentario (valga el juego de palabras) se arregló el asunto, y es que por lo visto, aunque tu no lo creas, habían descubierto que Bin Laden enviaba su clave PGP con Debian, sí, y no seré yo quien te lo diga, que luego dicen que yo digo muchas cosas, pero a mi me da, a mi me da, a mi me da... que ese del pelito corto y pinta de marcial era algún pez gordo de esos de los que disfrutan más con un jeep verde que una maruja con los programas de tarde.

Si es que somos marionetas en este mundo, totalmente dominados, y esperate y verás, que tengo un conocimiento que trabaja empaquetando regalos en el Toys'r us y me ha dicho que el autónomo que trae las cajas de la distribuidora de Sony de la PSP le ha comentado que el nuevo modelo viene con una microcamara para vigilar a la gente en sus casas.. Si es que ya lo decía yo, como la sopa de letras no hay nada.

Bueno, me voy, que tengo la empanadilla haciendo la mili en Móstoles y se me va a quemar el hijo en la sarten.

Saludos Malignos!

Juguetes para Debian

Uff, esto se está poniendo calentito!

Ya existen exploits por todas partes, hay exploits para los servicios SSH, pero claro, también hay para descifrar sesiones VPN-SSL o HTTP-s grabadas (¡Un plugin para Wireshark ya!) o para poder realizar ataques MITM en tiempo real (¿estarán añadiendo esta utilidad ya a Cain?) o para mil cosas.

Hablando con Luciano me comenta que la gente ha empezado a desparramar con la teoría de la conspiración (¿recordaís los bugs de Spectra que dejaba a drede para que el gobierno tomara el control?).

H.D. More ya tiene publicados un juguetitos especiales para Debian...y derivados.

OpenSSL PRNG Debian Toys
Este fallo lleva ya un buen tiempo, y, pese a disponerse del código fuente, ha pasado mucho tiempo sin descubrirse. La solución ha sido rápida, pero parece que no ha sido tan fina como debiera y están empezarse a darse situaciones complejas.

Esto huele a que el título que puso Luciano en su blog no va a ser tan descabellado.

Un buena fiesta. Suerte a los Debianitas que me imagino el curro que tenéis.

Saludos Malignos!

Qué bello!

El gran Lucciano Bello, en su caida en picado hacia el lado del mal ha encontrado una vulnerabilidad en el paquetito OpenSSL que se mantiene en Debian [DSA-1571-1 Openssl], ese que se utiliza para la generación de las claves. Me encanta el título que ha puesto Luciano al post: cryptographic apocalypse.

El reveulo que se ha generado a nivel mundial ha sido de ordago, lo que demuestra que cuando un argentino se pone a tocar las bolas...., lo hace de verdad. ;)

He de decir que me siento doblemente feliz, en primer lugar porque me encanta que Luciano, que es un tipo genial, tenga el crédito de haberse currado este trabajo. Espero que ahora nos haga algún paper extenso sobre que ha pasado, cómo y porqué ha sucedido esto que yo con el código fuente no me apaño para entender bien estas cosas de poner mal escritas las palabras. (Ramió, please HELP!!!). En el blog de nuestro amigo, en el expediente de seguridad de Debian y, por supuesto, tampoco en la web del proyecto, que parece que está todo muy tranquilo..(desde noviembre del 2007), no hay ninguna explicación detallada del problema y su posible explotación (vale, sí, que las claves pueden ser predecibles). En segundo lugar estoy feliz, porqué....¿mmm que iba yo a decir?

El caso es que la cagada fue producida por un mantenedor de Debian, alguien que hace la misma labor que hace Luciano. A menudo hay petas entre los mantenedores y los desarrolladores del proyecto y muchas veces, bugs corregidos por los mantenedores no son reintegrados al proyecto original. Esto hace que la heterogenéidad de versiones crezca, que el mantenimiento se multiplique y que el trabajo de mantenimiento de una misma utilidad cada vez sea mayor, pues hay que empezar a mantener muchos proyectos similares que podrían ser el mismo. En este caso ha provocado una buena reacción en cadena. ¿Es esto una buena forma de crecer y avanzar? Si cuando haya que añadir una nueva función o haya que cambiar una nueva cosa hay que cambiarla en 10 paquetes OpenSSL que son muy similares, pero no iguales... al final, hay que repetir el desarrollo, hay que repetetir los tests y hay que repetir ...absolutamente todas las tareas.

¿Cuantas distribuciones hay basadas en Debian? ¿Cuantos se verán afectados por esto? De momento se ha publicado un método para comprobar y recrear claves vulnerables: Key Rollover.

Bueno Luciano, ahora, que tal cepillarse... no sé, ¿el FTP?. Mis respetos enhorabuena una vez más ¡guapetón!.

Saludos Malignos!

Spaghettis con tomate

Hola, hola!

Seguro que habéis leido alguna vez eso de "spaghetti code, but it works!". Es una forma de decir: "lo hice para mi, así que no me pidas que lo haga como tú quieres, si quieres, te lo programas tú, waperas". Esto es algo común en los exploits y en otros programas en los que los usuarios no pueden exigir más.

En mi odisea repasando los ficheros de configuración de todas las herramientas wifi de mi Ubuntu 8.04 me tope con el fichero de configuración Glade del applet del network manager dónde me encontré con el identificador de un cuadro de diálogo como este:

El dialago del driver
Reconozco que me hizo gracia ver esto. Siempre he oido eso de que los didentificadores deben ser autoinformativos, pero en este caso se lo han pasado por el forro. Digamos que esto es un "spaghetti identifier".

Algo similar ha pasado en uno de los paquetes de Debian, en este caso el programador ha aprovechado para dejarle en el código un mensaje a "un amigo".

Sebastian enfadadito
Como se puede ver, en el paquete de quodlibet, el programador ha dejado una ruta a un fichero que dice algo así como "Sebastian Droge, por favor, ahogate en un cubo de pollas". Vamos, ha añadido tomate a su "spaghetti code".

Claro, el amigo Sebastian se ha enfadado, pero... si no te gusta...¡no uses este programa!. Claro, esa no es la solución y en Debian muchos han dicho que no es buen estilo, que Debian no debe permitir esto, etc.. Además, hay voces que han empezado a preguntarse si esto podría terminar en una demanda a Debian y debatir sobre cual es la responsabilidad del código, etc...

Puedes seguir todo el debate en la indidencia abierta sobre este suceso.

En fin, la pena, anecdota a parte, es que en muchos proyectos nos vamos a encontrar "spaghetti code" y esto es malo para depurar y configurar cosas.

Saludos Malignos!

Entrevista a Luciano Bello @ Debian

Conocer en a Luciano Bello y no adorarle es imposible. Es un argentino que enamora, cariñoso, simpático, peleón de los que me gustan a mi, de esos que nunca llevan la sangre al río. De esos que disfrutan del juego verbal. Los dos días que pasé con él fueron muy divertidos y especiales. Ayuda también a Andrés Riancho, creador de la herramienta de análisis de web w3af, que Luciano intenta mantener en Debian.

Figura 1: Contactar con Luciano Bello

Le hice esta entrevista, sólo para pegarnos un poco más de lo que ya nos pegamos...y, por supuesto, he decidido CENSURAR todo lo que es contrario a mis ideas, ya sabéis cómo las gastamos en el lado del mal.  Disfrutadla... y gracias Luciano!

1.- Venga va, ¿Por qué Informático?¿Por qué no... no sé.. psicólogo u odontólogo?

Ni psicólogo ni odontólogo por la sencilla razón de que no disfruto de traumar a las personas.Además, la profesión informática es la única cuya cultura ve al friki como algo casi bueno, incluso hasta rentable.

2.- ¿Stable o Current?

¡Current! Stable es para viejitas con problemas cardíacos.

3.- ¿Que es lo peor que puede hacer un Geek?

¡Escribir licencias! Es como hacer una apertura escocesa Gottschall sin saberte todos los movimientos, tarde o temprano la cagas. También hay otras falencias geeks, como realizar el saludo vulcaniano en una primera cita, pero ninguna es tan grave como la primera.

4.- ¿Y tú que hubieras hecho con el temita dichoso del logo del Firefox?

Es un tema complejo con el que no me gustaría aburrirte. La versión corta: El logo de firefox no es libre. Mozilla dice, "si no usan el logo, tampoco usen el nombre". Bajo este contexto hay pocas opciones:

- Ó firefox se va a repositorio de non-free y deja de ser parte de Debian
- Ó renombrar firefox con otro nombre (no se... digamos... iceweasel?)

Creo que la decisión del cambio de nombre fue acertada. Ahora Mozilla dejó de meter su nariz en particularidades del paquete y Debian le da a sus usuarios un software de excelente calidad y soporte.
Otra opción era etiquetar a con "wontfix", pero eso ya hubiese sido patear el tablero de los buenos modales...

5.- ¿Sirven para algo las lineas de los carriles en Buenos Aires o son sólo para medir el número de coches que caben?

¿Qué lineas? La palabra "carriles" no tiene traducción en el español mejorado que se habla en Buenos Aires.

6.- ¿Qué NO debe decir un "gallego" en Argentina o cómo debe hablar para que le entiendan allí?

Por lo primero, hay clásicos como 'coger' y 'acabar', todos con connotación sexual. Entre los menos comunes pero igual de importantes están: 'petar', 'mamar' y 'sobar'. Recientemente descubrí 'trola', y la lista podría nunca acabar^w terminar. Si de hablar como un argentino se trata, es cuestión de pronunciar la 's', la 'c' y la 'z' de igual forma, así como las equivalencias 'y' y 'll', sumadas a 'b' y 'v'. Estas dos últimas son "be larga" y "ve corta" respectivamente. Si uno dice "uve" se refiere a una 'u' seguida de una 'v'. Lo que digo... solo mejoramos su vulgar y cavernícola idioma.

7.- Y a parte de ser mantenedor de software en Debian...¿cómo te ganas la vida?

Trabajo para CITEFA (www.citefa.gov.ar), el instituto de investigación de las Fuerzas Armadas de Argentina. En particular, en el laboratorio de Seguridad Informática (www.citefa.gov.ar/si6). Si te doy más información tendré que matarte y no queremos eso.

8.- ¿Habías visto alguna vez un Vista o el mio fue el primero?

Una vez vi un XP con el skin de Vista, cuenta?

9.- ¿Qué debe saber cualquier apirolao que quiera montarse un Debian?

Suponiendo que "apirolao" sea un chaval, un tipo, un muchacho, lo que él tendría que saber es cómo pedir ayuda y soporte en la comunidad o a una empresa si llegara a necesitarla. Por otro lado podría olvidarse de tener que cambiar su hardware cada vez que una versión deja de estar soportada, de rezar que el primer lunes de cada mes su máquina no sea parte de una botnet, de que los archivos que guarde con la nueva versión de su Office pesen 8 veces más de lo que solían pesar, /etc, /etc, /etc

10.- ¿Qué tres pecados capitales no debe cometer un "gallego" en Argentina?

El primero y fundamental es preguntar: "¿Qué Diego?" cuando alguien habla de "EL Diego". El segundo tiene cierta relación con el anterior, y consiste en insinuar que Gardel es uruguayo. Por último, declararte vegetariano puede ser castigado con empalamiento en plaza pública y cosas del estilo.

11.- ¿A quién has conocido que te haya impresionado?

Por suerte he conocido a mucha gente admirable que me a impresionado. Para nombrar algunos: Joey Hess, Wietse Venema, Jon "Maddog" Hall, y un largo etcétera. Gente inteligente, muy humilde, con quien uno pasaría horas hablando de la vida. En otro orden de "celibridismo", tengo mucho conocidos cercanos que me impresionan a diario, como JuanJo Ciarlante, Enrique Chaparro y Kragen Sitaker por poner solo tres ejemplos.

12.- ¿Qué debe comer y beber todo buen visitante de Buenos Aires?

Pues.. asado de vaca, en todas sus variedades. Para beber, vino tinto. Aunque hay otros "must" menos obvios, como las facturas, el submarino, el dulce de leche, las empanadas, el arroz con leche y el alfajor.

13.- ¿Por qué le llaman Buenos Aires si está lleno de polución de coches?

El nombre original era "Nuestra Señora del Buen Ayre" y data de cuando los motores a explosión no eran ni una idea. Si te molesta la polución es porque nunca estuviste en México DF.

14.- Venga va, tengamos un pollo... ¿Por qué tú no hubieras aprobado OOXML en ISO?

Es un tema en el que la mayoría de los geeks se limita a repetir la historia de blogosfera que más le guste. Pegarle a MS, la empresa políticamente incorrecta por excelencia, es fácil. Voy a tratar de no caer en esa. Para tener una opinión propia tendría que leerme las 6000 fojas, y tengo cosas más divertidas que hacer.

15.- ¿Qué coño significa el logo ese de Debian que parece una manchita de vino?

Tengo entendido que es una galaxia, por eso del sistema operativo universal. Pero es un rumor de por ahí. También escuche a alguien decir que la espiral intenta reflejar el crecimiento continuo de la comunidad. O el crecimiento continuo del universo en expansión. O vaya uno saber...

16.- ¿Ligan los informáticos en Argentina o el doble de lo que se liga en España? ¿Aquí nada, allí nada de nada?

Distingamos algo. Una cosa es el informático corte Yuppie, de puntocom pujante y traje con camisa sin corbata. Ese sí liga... Existe otro tipo informático, el cuasi-nerd/geek, cuyo tema de conversación favorito es A*. Este último...pues... ese lo único que puede ligar son dos páginas webs entre sí.

17.- ¿Cuando te pasarás a Windows?

Para que eso pase tendrían que ocurrir las siguiente cosas en forma simultánea:

- Me tendría que permitir usarlo para cualquier propósito.
- Me tendría que permitir estudiarlo y modificarlo.
- Me tendría que permitir copiarlo.
- Me tendría que permitir mejorarlo y compartir esas mejoras quien quiera.

Y no solo a mí, sino a todos. Además, esto de tener el programa que necesito a un apt-get de distancia me es cómodo, sin necesidad de pantallas con el botón "I agree" que uno aprieta a ciegas. Por último me gustaría poder colaborar con el software y su gente de forma afable, que pueda declarar un bug o solicitar un feature y sea escuchado. Dame un Windows con todo esto y ese día Windows tendrá un usuario más.

18.- ¿Os da mucha guerra Linus Torvalds?

El flamer favorito de Debian es Stallman, por aquello del non-free. Torvalds tiene poco que ver en Debian, el hecho de que sea su kernel es casi accidental. Tengo entendido que no le gusta Debian, pues que use otra cosa.

19.- ¿Cuantos tipos de licencias Open Source/Free Software te sabes de memoria?

Pues.. de memoria, solo una. Mi favorita. La única licencia que un geek puede escribir, aplicar y entender sin liarse. La "DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE". En el resto lo importante es saberse las diferencias grandes. Para lo sutil está Debian Legal.

20.- ¿Si te regalo una pegatina de Windows la pones en tu coche Rojo "Red HAT"?

Se ve que tanto tiempo entre pantallas azules afectó tu capacidad de distinguir colores. Mi auto es rojo DEBIAN, claramente. Y no.. no creo que la pegue.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso) (Consigue 100 Tempos gratis con ESET)

Chema Alonso en MyPublicInbox

¿Debianizador?

Las aventuras y anecdotas que se fueron sucediendo en mi último viaje por Argentina aún están frescas en mi retina y voy contándolas cena tras cena, charla tras charla, orgía tras orgía.

Allí conocí muchas personas interesantes, cariñosas y dignas de mantener en la retina y en el corazón. Ya os he hablado de muchos de ellos y hoy quiero hablar de otro. El amigo Luciano, un Debianita. ¿Os podéis imaginar al Maligno conviviendo durante dos días completos con un Debianita? Esta es la historia.

Nos habíamos conocido en una charla dos días antes y teníamos que viajar a Santa Fé para participar en otras charlas. La idea era que yo fuera en su coche descansando, pero el sueño era intranquilo... y no sabía por qué.

Sueño intranquilo
El coche era manejado por el "salvaje" en cuestión, el cual utilizaba un sistema poco más que acojante para mi tranquila forma de conducir el maligno-movil:

El Debianita manejando
Después de levantarme con el estomago revuelto descubrí que es lo que había sucedido: Me habían estado realizando un sortilegio con el coche. Resulta que ese coche, Rojo Windows Vista, había sido "profanado" con una sospechosa "mancha de vino".

Hechizado
Esa misma sensación la había tenido mi querido "josemaricariño" con anterioridad:

Josemaricariño sufriendo
Una vez descubierto todo el entramado, tuve que partirle las piernas para que todo volviera al redil:

Luciano pillando cacho
Al final, tras acabarnos el vino, por la noche hubo que discutir largo y tendido, pero al final, conseguí instalar un Windows Vista en la máquina esa que me dejó el amigo Luciano. Para poner las cosas en su sito, por supuesto.

¿Quién convence a quién?
Después, durante el proceso de la instalación, le fui explicando los pormenores y maravillas de la versión Home Edition.

...Y este es el UAC..
Y para que quede constancia de todo, le he hecho una entrevista.

Saludos Malignos!