Victor Pimentel: El populista de Genbeta

Ya hace años que llevo leyendo artículos malos en seguridad escritos por Víctor Pimentel en Genbeta. Es normal, él no trabaja en seguridad, se dedica a escribir en un blog sobre tecnología, que es distinto. Sin embargo, me ha sorprendido como asevera en su último post en el que critica nuestro documento sobre la seguridad en los navegadores algo como:

"Firefox es uno de los navegadores más seguros en la actualidad. En el Sistema Métrico Campofutbolero, diría que Firefox está en la Champions League de la seguridad si no hubiera más equipos participantes que navegadores."

Es curioso cómo ha aplicado todas las técnicas del técnicoless en una única frase. Es un crack. Después de haber currado cinco personas en mirar todo lo que hemos mirado en los navegadores, no nos hemos atrevido a hacer ninguna aseveración de que navegador es el más seguro de todos en entornos Windows y sólo hemos querido plasmar características técnicas. Así, su compañero de Genbeta, que sí nos brindó con el honor de asistir al evento de presentación del paper hizo un reporte mucho más ecuánime y técnico en Genbeta. Sobre ese mismo evento de presentación y el mismo documento técnico, otros periodistas tecnológicos sacaron más o menos las mismas conclusiones del trabajo, como Muy Computer, JavierPas, Incubaweb, Gizmodo o The Inquirer. Todos, más o menos, en la misma línea, mirando datos, aportando su visión y haciendo su trabajo con profesionalidad.

Sin embargo, Víctor Pimentel, que no vino al evento y que dudo que se haya leído (o entendido) el documento, nos sale con populismos. Muy bien Víctor, sobre tu artículo, como si me creyera que lo que tú querías hacer era un flame, te contesto desde aquí que registrarme en genbeta o darte mi facebook no me apetecía.

Más es mejor

Según nuestro experto técnicoless en seguridad:

“El modelo de desarrollo de software libre obtiene una mayor tasa de descubrimiento de fallos, sobre todo si la aplicación es popular entre los desarrolladores”

Vamos, decir esto, es como decir que todos los madrileños son unos chulos y que todos los catalanes son unos agarraos. Es una afirmación que te has sacado de la chistera sin ni tan siquiera mirar datos. Te puedo dar nombre de proyectos OpenSource con fallos de seguridad bajísimos porque tienen un código de calidad altísima.

" la seguridad por oscuridad no es la mejor de las compañeras de viaje"

Efectivamente, pero lo que tu propones, que es la seguridad por publicación del código es una absurdez como un piano. Si nadie revisa el código es una cagada XXL.
Ahí tienes el caso de OpenSSL: Software popular, usado por millones de personas y organizaciones alrededor del mundo (joder si hasta lo uso yo!) y tuvo un fallo gordísimo que tardó en descubrirse más de una año.

Según Víctor (este tipo debe ser humorista)

“contar el número de bugs encontrados [..] resulta más en un punto para Firefox que para Internet Explorer”

Mira, nosotros no lo hemos valorado, sólo lo hemos contado, pero pensar que porque haya más fallos es porque se ha mejorado más, es una chorrada. El número de fallos descubiertos es una buena inferencia del número de fallos cometidos por el equipo de desarrollo. Nada más. Y, haciendo un análisis global y de jefe de proyecto, es un síntoma del modelo de desarrollo que se utiliza.

Pero vamos, que si piensas que por tener más fallos es mejor, yo te recomiendo que uses Windows 95 que tiene más y seguro que es mejor.

Más comunidad

“Uno de los puntos por los que Firefox se puede considerar más seguro que otros es porque los mayores expertos en seguridad y los mejores desarrolladores del mundo pueden y han participado activamente en la búsqueda de fallos”

¿Tú no has ido a muchas conferencias de seguridad verdad? La mayoría de los bugs hihgly critical de Firefox no tienen presencia en las conferencias internacionales. Hay una comunidad enorme de empresas interesadas en la seguridad de Internet Explorer [Partners, MVPs, bug finders, security researchers que venden las vulnerabilidades a empresas, a ZDI o Tipping Point o Security Porn Stars que quieren dar una conferencia en Black Hat]

Además, piensas que para desarrollar en Spectra, sólo tienes que ir a una tómbola y que te toque el númerico. Que las, alrededor, de 10 entrevistas que hay que pasar se pasan con frases como las de tu artículo. Además, ¿quienes son Michael Howard, Mark Russinovich, Crispin Cowan o nuestro hispano Fermín J. Serna? Esta gente que trabaja en Spectra son unos paná seguro que no saben dar una patá a un bote. No sabén hacer el 0 day con un tubo.

Pero es que, según has ido escribiendo el artículo te has ido gustando y ahora, te contradices y pasas apuntártelo también como algo positivo.

“¿Qué creéis que es lo más probable, que reporten el fallo de seguridad a Microsoft o que vayan al mercado negro a vender un Zero Day Exploit?”

Según tu, irán a por el que tenga más pasta para pagar por las vulnerabilidades, que será Mozilla, seguro.

Sin embargo, esto ya es una falta de respeto a todos los que trabajan en la búsqueda de vulnerabilidades. Acabas de decir que la gran mayoría de los investigadores de seguridad son mercenarios. Creo que no es así, y hablo por mi caso, que nunca he vendido nada al mercado negro, he reportado varios casos a Spectra y múltiples veces a empresas y organismos a través de los cuerpos de seguridad del estado. Muchos prefieren cobrar menos por las vulnerabilidades y reportarlas a los que deben hacerlo.

Copio el siguiente párrafo entero porque no has leído el documento y te lo voy a volver a explicar:

“Lo más gracioso del informe de Microsoft es que reconoce que IE ha sido el único con vulnerabilidades extremadamente críticas, pero que no solo eran fallos de seguridad graves, sino que solo el último año hasta en siete ocasiones (conocidas) diversos maleantes se valieron de las mismas para atacar a usuarios con éxito.”

El informe es de Informática64, en primer lugar. En segundo lugar, las vulnerabilidades highly critical y extremly crítical, como pone en el informe son exactamente iguales en importancia, por eso en todos los informes salen juntas, pero… nosotros, para hacer honor a la catalogación de Secunia, hemos diferenciado. Si las unimos Firefox dobla las vulnerabilidades.

De esas 7 vulnerabilidades extremly crticial, como puedes comprobar en Secunia y mriando los CVE del documento, las 7 se reparten en dos advisories por el sistema de publicación de Microsoft. Se explotaron 2, pero las otras reciben el mismo nivel de gravedad ya que este nivel va a asociado al advisory.

De hecho, el informe dice “que se sabe a ciencia cierta que están siendo explotadas”. Algunas de las highly critcial de Firefox tenían exploit para ejecutarse antes del parche, pero como no lo habían querido meter en Secunia por que no supieron si se explotaron activamente, no lo hemos metido como extremly critical.

“al final los días que tarda Microsoft en actualizar su navegador no son tantos”

Creo recordar que FF ha tenido retrasado un parche este año varias veces, porque lo que no quiere una empresa es parchear 7 veces al mes (más o menos los bugs que viene teniendo de media FF). Y en media, creo que los días de Microsoft son bastante buenos.

Actualizaciones constantes

“Lo cierto es que las versiones de Firefox son mucho más constantes y cercanas en el tiempo, y al meter funcionalidad nueva también introducen nuevos fallos, pero corrigen bastantes viejos. Al mismo tiempo, el usuario de Firefox actualiza su navegador con mucha más frecuencia que el de IE.”

Macho si te lo dices tú todo. Nuevos fallos, y fallos de regresión que son muchos. Y sí, lo que quiere una empresa es estar parcheando todos los días, igual que el usuario final, actualizar todos los días.

Además de las actualizaciones constantes te has olvidado que ya no da soporte a las versiones anteriores a Julio de 2009, ahí es nada. 9 meses de parcheo. ¿Cuántas veces te has quejado tú del soporte de Microsoft a sus productos?

Lo que quiere el usuario y la empresa son productos estables que no interrumpan su uso y, a ser posible, que no tengan ni fallos ni parches.

“Aún teniendo todo esto en cuenta, IE sigue pareciendo estar a un nivel por debajo en cuestión de seguridad, y que se compare con Chrome en base a X características escogidas a dedo es una broma de mal gusto teniendo en cuenta que en concursos de seguridad como Pwn2own ha destacado por encima del resto. ¿Por qué siempre estos informes contienen afirmaciones que intentan que creamos aunque no tengan base en la realidad? Porque es su trabajo”

Esta es la parte que más me ha jodido. Léete el documento campeón y lo pruebas tú. Lo de las características escogidas a dedo, son las que nos han parecido de seguridad. ¿Alguna otra se te ocurre a ti o alguna te parece que no es de seguridad? Y lo del Pwn2own ya es el colmo de la gracieta en tu artículo.

Google Chrome uso su sistema de actualizaciones silenciosas (que es lo que quieren todas las empresas, que sus aplicaciones se actualicen solas si ningún control) para parchear Chrome 3 días antes de la Pwn2own y uno de los ganadores recurrente de la Pwn2own, Charlie Miller, dijo que el par más seguro es Windows 7 e Internet Explorer 8 o Google Chrome. Creo que del resto no dijo nada.

Está bien que aclares que en genbeta escribís varios, no vaya la gente a pensar que es una idea oficial. Pero es triste, que vengas a hacer un análisis del documento y te hayas olvidado de:

- La arquitectura de los navegadores.
- El informe de Symantec del malware en firefox.
- El informe NSS de detección de malware por URL.
- Las opciones de administración de seguridad.

Víctor tu post es la rabieta de un gato panza-arriba, pero de conocimientos de seguridad vas muy justito.

Y sí, Firefox es uno de los mejores en seguridad, de hecho es uno de los 5 mejores según nuestra opinion.

Saludos Malignos!

Cemento Armado

La cara que tiene Enrique Dans está hecho de eso, de cemento armado. Durante años se ha pasado diciendo topicazos, populismos o directamente errores de bulto cuando ha hablado de seguridad... y ahora dice que "cuando no sabe de algo deja hablar a los expertos". Me parto la caja. Para comprobar esto sólo hay que ver el famoso post de "¿Google Caido?" en el que no sabe diferenciar un mensaje de error del ping o en el que descubría sorprendido los atajos de teclado y el uso de la tecla de Windows... en Noviembre del año 2006. ¡Eso es ser un experto en tecnología! Con dos "cohones".

Pero lo mejor de toda ha sido ya, como obligado por el destino a comerse todas sus palabras, el que su libro haya salido... con DRM. Es lo más parecido que he visto a la justicia divina. Eso sí, el alardeó durante mucho tiempo que su libro iba a salir con licencia Common Creative, pero... no dijo nada del DRM.

Lo que es genial es el trabajo que ha hecho Teleoperador recogiendo algunas de las afirmaciones que este tipo, que va de tecnologo y es el técnicoless mayor del reino, había dicho del DRM. Algunas perlas:

los consumidores jamás quisimos DRM. De hecho, nos opusimos a él, porque restringía nuestras posibilidades de utilizar los productos por los que habíamos pagado. Para introducir DRM en los productos, había que incurrir en un gasto adicional: un gasto efectuado para “estropear” el producto, no para mejorarlo.

Enrique Dans en su blog, 7 de enero de 2009

[el DRM sólo es] una manera estéril de fastidiar a los usuarios y lanzarlos en manos de ofertas más ventajosas.

Enrique Dans en Público, 9 de enero de 2009

Que fácil ha sido siempre para este tipo disparar con la pólvora del rey y hablar de los negocios ajenos, pero ahora, que es su negocio, la cosa cambia. Por favor, no os perdáis el momento de la contestación sobre el tema del DRM en la presentación del libro. La cara [de cemento armado] merece la pena. Creo que me voy a poner este vídeo todas las mañanas para empezar el día con alegría.


Saludos Malignos!

La OCU triunfa de nuevo

Otro maravilloso estudio detallado, profundo, y serio de la OCU. Otro informe en el que se cubre de "gloria" con el becario técnicoless después del sonado sobre los navegadores. Menos mal que los tags superiores son "Hablar Barato" y "A primera Vista".


Otro Best Seller de la OCU sobre tecnología
Y tonto de mí que me escribo séis posts explicando el funcionamiento de UAC, con lo fácil que es poner a una pareja de guaperas en la página y llenar el artículo. Desde luego el tipo que ha escrito esto es un talibancete redomao. Debe ser el mismo del de los navegadores. IE8 chungo cubata, Windows 7 inseguro, en fin...

Yo te voy a recomendar otras etiquetas: "Tonterías", "Hablar por Hablar", "Hablar sin tener ni puta idea", "Técnicoless Power Zone", "Tengo una calculadora ergo soy un experto en computación".

También te voy a recomendar una tienda para que te compres portátiles sin SSOO pre-instalado. Yo compro ahí muchos portátiles [AHTEC] y luego les meto mis licencias de Windows Vista y 7, y si no te gustan estos, no te preocupes TE BUSCO 20 TIENDAS MÁS.

De ahora en adelante cuando salga en la tele eso de: "Según un informe de la OCU"... me voy a tener que partir la caja..

Saludos Malignos!

Informe Técnicoless y amarillista de La OCU sobre Navegadores en Internet

Parece mentira que la OCU, la Organización de Consumidores y Usuarios sea capaz de sacar un informe como el que ha sacado un Análisis de los Navegadores en Internet. Me parece muy triste que una organización en la que prima la protección de los consumidores y los usuarios sea capaz de sacar un informe como ese con tan poca base técnica. Si realiza el resto de sus comparaciones de la misma manera estamos apañados y mejor que cierren el chiringuito y se dejen de hacer paripés, porque es lamentable que saque un artículo así sin firmar.

Las pruebas que han hecho son de lo más geniales. Han puesto a un pollo a navegar y le han dicho:

-“ Ale majete, y ahora valora en seguridad, usabilidad, facilidad y alguna otra cosa que también termine en –ad, que eso vende mucho”

El técnicoless que haya hecho este artículo, al más puro estilo Fuckowski ha preparado un informe sobre superficies cuadrúpedas en el que ha sacado el dedito y se ha dedicado a poner crucecitas y esas cosas según le ha venido bien. Que triste que alguien se sienta así de cómodo haciendo estas cosas porque los informáticos se lo permitimos.

Sorprendentemente, a pesar de que uno de los aspectos que más le preocupa a la OCU sea la seguridad, los tipos van y ponen que el mejor navegador es el Firefox 3.5 con un 85%. Me encanta el cuadro de resultados porque, como se puede ver, los peores, los peores, son los de los chavalotes de Microsoft que es que los pobrecitos no saben programar. Y esl resultado aplastante es queCualquier navegador es mejor que Internet Explorer 8. De Vergüenza.


Figura 1: Los resultados según los "ESTUDIOS DE LA OCU"
Que luego haga yo una Maligno-Comparativa sobre la arquitectura de seguridad de los navegadores midiendo el uso de Mandatory Integrity Control, el DEP, el ASLR, el Virtual Store y la arquitectura de procesos es totalmente tendenciero y parcialista. Tenía que haberlo hecho como estos chicos de la OCU, sacando el dedito y poniendo numeritos superchulos.


Figura 2: Arquitectura de Navegadores. Toda la info en "Hundir la flota"
Que Firefox 3.5 haya batido todos los records de fallos de seguridad en navegadores Web desde que salió el 30 de Junio de 2009 no cuenta. Un navegador que cuenta con 48 fallos de seguridad dejando una FANTASTICA MEDIA DE RECORD de 8 fallos mensuales de seguridad, y además de los gorditos, no ha puntuado nada mal. ¡Coño!, que ha sacado un Notable Alto de 8.5. No importa que Internet Explorer lleve la mitad de fallos en el doble de tiempo. Lo que mola es el de la zorrita.


Figura 3: Fecha de lanzamiento según Wikipedia y fallos de seguridad según SECUNIA
Nada cuenta y, por supuesto, tampoco que Firefox no haga uso de MIC, que no haga uso del Virtual Store, que no divida procesos, tampoco. ¿Por qué? Pues tan sencillo porque al técnicoless de turno que ha escrito ese artículo le molaba su Firefox y punto pelota.

OCU, es una vergüenza que publiquéis esos “supuestos estudios” sin ninguna base técnica, sin haber publicado la métrica, sin publicar pruebas ni los resultados de las mismas. ¿Qué sois, una revista de esas que regalan en el metro para ganar pasta con la publicidad de los anunciantes que queréis amarillismo y punto? VERGONZOSO.

Saludos Malignos!

El Ciclo de Vida del SW por Enrique Dans

Enrique Dans es nuestro técnicoless favorito. Es un usuario avanzado con variadas pretensiones técnicas. En su blog suele hablar de sus tendencias, de sus pájaros y sus flores, de lo guay que le va el Gmail, y sus cositas. Sin embargo, cuando habla de Spectra es lamentable el amor que tiene a esa compañía. No, no voy a hablar del mítico descubrimiento en el año 2006 de las funciones de la tecla que se añadió a los teclados en 1995. No, esta vez voy a hablar de su artículo: Los 7 pecados de Windows 7.

Éste es uno de sus últimos artículos y en él nos habla de la campaña de la FSF en contra de Windows 7 en la empresa. La campaña es la que es porque viene de dónde viene, pero él, animado por el tono de la misma, intenta “aportar valor” y lucha por poner su puntilla con dos frases mágicas.

“Tras el fiasco de Windows Vista ya reconocido por Microsoft dándole un ciclo de vida de poco más de dos años”

Señor Dans, el ciclo de vida de un producto de software acaba con la fase de retiro del mismo, que termina justo, justo cuando se deja de dar soporte, y a esa fase le queda todavía mucho, mucho, mucho tiempo. No hay que preocuparse, es normal no saber esto, para ello se tendría que haber estudiado Ingeniería del Software o haberse dedicado profesionalmente a ello.

Lo mínimo que tendrá de ciclo de vida Windows Vista será de entre 8 y 10 años, cosa que ya veremos si le da tanto tiempo algún otro de los gadgets tecnológicos que usa. Además, si hemos de ser rigurosos, el ciclo empieza con las primeras versiones pre-alpha, con lo que el ciclo de Vista es muuuy largo.

En segundo lugar, si se refiere sólo al periodo de venta del software, la versión final de Windows Vista se lanzó a nivel mundial en Noviembre de 2006, fecha desde la que estuvo disponible para todas las empresas. Este lanzamiento se hizo coincidiendo con el SIMO del año 2006. Si las cuentas no me fallan, con la salida de Windows 7, que será, si todo va bien, a finales de Octubre, me salen 2 años, 11 meses y algo, es decir, como dice el artículo … “poco más de dos años”. Sí, justo eso, un poco más de dos años.

De todas formas, por si anda un poco perdido con las versiones, escribí un post sobre ellas: El bebé Prebeta.

Lo más gracioso es, que después de tomar como fallo un lanzamiento cada tres años de un sistema operativo, resulta que en muchos posts nos muestra su simpatía por MAC OS o Ubuntu, sistemas operativos que recomienda abiertamente para su uso en la empresa con ciclos de lanzamiento de versiones de …¿cada año? ¿Cada seis meses si no es una LTS? MAC OS X tiene un ciclo de versiones de cada 2 años ¡últimamente! Y Ubuntu, mi amigo Ubuntu… ha pasado de la versión 4 a la 9 en 5 años.. Se pueden echar las cuentas.

La sengunda frase mágica en el artículo es:

“el aparente caos de versiones con el que una vez más se lanza el producto”

El aparente caos de versiones es algo que se viene reclamando desde hace muchos años. Eso de no pagar por cosas que no se quieren usar o ajustar el software a las necesidades... vamos chorradas. Es como los medicamentos, ¿por qué los harán de 100 mg, 500 mg y 1 g? ¡Todos valium 1000!. Sin embargo, en la comunidad Linux no hacen eso y, por ejemplo, aquí hay una lista de distintas varientes de Ubuntu Linux:

Kubuntu, Edubuntu, Ubuntu Server Edition, Xubuntu, Ubuntu Studio, Mythbuntu, Ubuntu MID Edition, Ubuntu Netbook Remix, Gobuntu y Ubuntu JeOS.

Eso sin hablar de que Ubuntu es una derivada de Debian, así que, si hablamos de diferentes versiones de Debian… En fin, que es mejor que sus artículos sigan hablando de pájaros y flores…

Saludos Malignos!

Recomendaciones de Seguridad

El valor de la experiencia y el conocimiento es tenido en alta estima por los que desean aprender. Así, en algunas culturas africanas se compara la muerte de un anciano con una biblioteca en llamas, por aquello de que más sabe el diablo por viejo que por diablo. Hoy en día, el que quiere saber, cada vez más, pregunta a Internet buscando una respuesta de los sabios que allí hayan vertido su conocimiento. En esta Internet nuestra cada uno se puede autoproclamar en sabio debido a la aparición de la Web participativa, la web que hace al usuario interactuar activamente con los contenidos, permitiendo que todos podamos enseñar.

Así, henchido de orgullo y prepotencia, de vez en cuando me autoproclamo sabio en algo y escribo un artículo. Unas recomendaciones sobre un tema o una explicación con su correspondiente opinión personal sobre lo que yo creo, me gusta o disgusta.

Me he autoproclamado capaz de dar recomendaciones de cómo gestionar mejor el correo, de cómo securizar tu web, fortificar tu Apache o auditar tu WiFi. Me he autoproclamado sabio de cómo hacer muchas cosas y, en todds ellas, puedo errar o acertar. Tú tienes que ser capaz de saber que la persona que se autoproclama sabio, y con orgullo publica una lista de recomendaciones, puede tener más o menos tino. Esto no sólo pasa conmigo, por supuesto, y de hecho, debido a la repetición masiva de este suceso, nació mi amor a los Técnicoless.

Uno de esos lectores añejos de este blog me escribió un mail porque había descubierto en un blog unas recomendaciones para comprar un dominio de Internet de forma segura. Ya sabéis, para ir y registrar “soyuncapullointegral.com” a tu nombre. Cuando las vi pude imaginarme al “experto” que se econtraba detrás de ellas.

La primera de las recomendaciones que me llamó la atención soberanamente fue:

"Nunca registrar ni entrar al panel de control ni al correo desde software no-libre (como Windows). A diferencia del software libre, cuando ejecutas Windows no sabes realmente lo que está ejecutando tu computadora. Sin embargo utilizando software libre como GNU/Linux tenemos a nuestra disposición el código fuente y podemos saber lo que ejecutamos y asegurarnos de que no tenemos ningún troyano."

Este amigo técnicoless debe haberse leído todo el código de todo el software que utiliza, y se nota. Además escribe este artículo desde el entendimiento y suposición de que todos los que van a registrar un dominio tienen la capacidad de hacerlo también, pues no vale con saber que lo puedes leer para tener la garantía de que nada va a pasar… ¡hay que leérselo! Si no… ¿cómo vamos a asegurarnos de que no estamos ejecutando ningún troyano? ¿Será que no hay troyanos en Linux?

La segunda recomendación que me destrozó reza de la siguiente guisa:

“No tener ninguna partición con Windows u otro software propietario en el ordenador que utilizamos para el registro de dominios. Nunca sabemos los datos que puede leer de la partición de Linux”

Esto ya es el colmo de maldad, podríamos decir que Windows se convierte en un sistema operativo capaz de ejecutar troyanos sin estar arrancado. Pero no es eso lo peor, es que parece ser que es el propio Windows el que quiere leer los datos de la partición Linux. Pues si una partición Windows de un sistema operativo apagado te lee los datos de tu partición Linux sólo se me ocurre una cosa: Vaya mierda de seguridad en el sistema de ficheros que has puesto en tu Linux tienes.


Cómo contratar un dominio ¿seguro?

Tras ver las recomendaciones de este Técnicoless se me ocurre ofreceros, como aporte añadido, alguna más para conseguir contratar de forma segura un nombre de dominio:

- No tengas un CD pirata de Windows cerca: Se han oído casos en los que los bits del sistema operativo Windows han sido capaces de leer los datos de tu partición Linux desde la estantería. Parece ser que hay troyanos WiFi, Bluetooth o radio capaces de troyanizar tu equipo desde el CD sin estar incluso en el lector de CD.

- No contrates un dominio si tienes un amigo con un USB formateado en FAT cerca: FAT es inseguro y los troyanos utilizan ADS para guardar información que pueden robar de tu ordenador si el USB con FAT está lo suficientemente cerca.

- Controla a tus vecinos: Se han oído casos de ordenadores que iban mal sólo por la presencia de un Windows Vista funcionando cerca. Parece que consume tantos recursos este sistema operativo propietario de M$ que si tu vecino usa Vista y tú tienes una distro libre tuneada que consuma pocos recursos el Windows Vista puede troyanizar los ciclos de CPU que ve libres para utilizarlos en cansinas tareas de pintar gráficos en AERO.

- Pregunta a tus amigos antes de saludar: Saludar a un amigo que usa Windows puede hacer que te instalen un keylogger. Parece ser que hay keyloggers capaces de detectar las pulsaciones del teclado según los dedos. Los más evolucionados malwares de keylogger se copian en las yemas de los dedos de un usuario Windows y estos pueden contagiarte si te dan la mano. ¡Pregunta antes!

Seguro que a vosotros, enfermos lectores de este lado del mal maldito, se os ocurren más recomendaciones a la altura de éstas. Yo creo, que las recomendaciones se convierten en un poema con esa publicidad de Google en la misma página promocionando Windows.

Saludos Malignos!

¿Periodistas técnicos o Técnicas de periodismo?

Supongo que el mundo del periodismo está tan prostituido como el mundo de la informática. Un mundo dónde un faltón malhablado y una perra gritona se pueden llamar a sí mismos periodistas del corazón o un melenas que cuenta sus basuras todos los días en Internet se llame blogger hacen que las fuentes de noticias que usa la gente cada vez sean menos de fiar y más partidistas.

Partiendo de esa base, he de decir que es lo que tiene la libertad de los RSS, tú te levantas por la mañana y decides con qué mentiras vas a pintar tu realidad, con qué reafirmar tus convencimientos propios y con qué no. Es el mundo de los medios de comunicación. Los mass media, esos que en los Estados Unidos se consideran garantes de la democracia.

Especialmente me llaman la atención aquellos periodistas que consideran el mundo de la informática como el mundo del corazón. Son personas que tienen que escribir de informática igual que escriben de la prensa del corazón: “Fulanita se ve en secreto con el rey según un informante anónimo borracho” y después sueltan ese artículo para escribir otro que diga “Windows Vista es malo y además ronca”. Son los tecnicoless. No sé si por obligación o por devoción publican sus posts de toros y luego de seguridad informática.

Yo, que a veces me olvido el jabón, me encrespo con algunos artículos que generan ruido y desinformación sólo por el placer de escribir un titular. En este caso es uno publicado en El País sobre Windows 7. El titular es muy simpático: “Windows 7, una beta para olvidar Vista”

Y tiene tantas imprecisiones que da miedo que se publique un artículo así en un medio como El País. Vamos con algunas de ellas obviando que lo que va a salir no es una beta sino una Release Candidate pero eso ya sería de nota para un periodista que tiene que escribir de todo, incluso de toros.

“Si uno de los errores más reprochados en el sucesor de Windows XP fue su escasa compatibilidad con dispositivos de muchos fabricantes (los conocidos 'drivers') en esta ocasión se han asegurado que no se repetirá”

Sí, es cierto, y no lo es. La escasa compatibilidad con los drivers antiguos nada más salir ya que a día de hoy en Windows Vista hay más de 120.000 drivers siendo el sistema operativo con más drivers de la historia. En Windows 7 funcionarán todos los drivers de Windows Vista porque es una evolución de la misma rama del kernel.

“No sólo llama la atención la compatibilidad con aparatos”.

Ésta me encanta. Eso de llamar a la placa base aparato me ha parecido…no sé, muy básico, con fuerza, rudo, primario, con fundamento.

Si hasta ese punto el artículo es más o menos feote y desgarbado técnicamente, el final es un éxito total. Con la siguiente apreciación:

“En el aspecto de la seguridad, uno de los puntos débiles, también se notan mejoras:”

¿Uno de los puntos débiles? Tú no te has enterado de nada. Sigues usando Windows XP porque no te apañas con Vista, pero desde luego no conoces ni una de las mejoras de seguridad en Windows Vista. Decir que la seguridad es uno de los puntos débiles de Vista es no haber leído nada que no sea “tomate” y “salsa rosa” sobre Windows Vista y por supuesto, no haber probado ninguna de las tecnologías que se citan en el artículo.

Pero el final es muy divertido:

“Este tipo de estrategia, el lanzamiento de una versión preliminar gratuita muy habitual en el mundo del software libre pero novedosa en una compañía como Microsoft ya se utilizó con su última versión de Windows para móviles y el navegador Explorer 8.”

Claro, Spectra ha copiado del mundo del software libre el concepto de versiones beta, que en este caso es RC, una versión que sale justo antes que la RTM. Spectra lleva lanzando betas siglos ha, de hecho, tiene uno de los programas más fuerte, si no el más, de beta testers. Creo que tengo guardada aun una beta de NT5 en casa. Lo que sucede, es que tú llevas tan sólo en ésto ese tiempo, es decir, desde la beta de Windows Mobile e IE8, antes estabas... a otras cosas.

En definitiva, este artículo podría haberse resumido en un twitter de ésos, entre el típico update de “me levanto” y “haciéndome un café”:

“Olé, olé, olé, Vista es malo y con la beta del 7 se vuelve a XP, olé, olé, olé!”

Tiene fuerza, ¿no?

Saludos Malignos!

El Maligno TV

El mundo está cambiando y se necesitan nuevas ideas brillantes para ganar dinero reduciendo los costes. Esta es la idea base que me ha llevado a tomar la decisión de evolucionar en pro de los negocios 2.0. Para ello, he pensado dar el salto a la micro pantalla con una evolución de este blog.

Este blog se ha convertido en un punto de referencia para los enamorados de la tecnología web 2.0 ansiosos de conocimiento y contenidos tecnológicos de calidad. Con un lenguaje cercano y fácil de entender por todos hemos dado cabida a todo aquel que se ha acercado sin discriminar a ninguno de ellos, dando igual que seas un administrador de sistemas Windows que un pobre confundido linuxero….aquí os queremos igual.

Por ello, vamos a crear, a partir del día 1 de Enero de 2009 un canal de televisión en Internet para que puedas disfrutar de este ambiente más y mejor. El canal en Internet se llamará El Maligno TV y podrás disfrutar desde el año que viene de una parrilla de programación de 6 horas al día con contenidos variados. Hemos estado trabajando con cariño en la programación y ha costado mucho decidir que íbamos a incluir y que no, pero al final creo que nos ha quedado perfecta. Esta serán algunos de los programas que decorarán la parrilla de nuestro canal:


Mala gente, mala vida, poco más

En esta sección el Maligno in person entrevistará a los personajes más variados de la blogosfera. Desde hackers malos malosos hasta los técnicoless bloggeros más rocambolescos. Será una sección diaria de mucha fuerza.

I am sorry but..

¿Has hackeado una web, les has avisado y la respuesta ha sido enfadarse o no hacerte ni puto caso? En esta sección puedes malignear a gusto, graba tu video con kantasia (crackeado por supuesto) y envíanoslo step by step, que se jodan, ¡tú ya les avisaste!

How to tururú

En How to tururú podrás aprender los conceptos básicos para ser un malo malote. Dónde calzar una comilla o como meter una Shell en PHP sin tener que preocuparte de complejos procesos con pantallas negras y letras en verde. Empezaremos por “No llamaré usuarios.mdb a mi base de datos”.

Técnicoless a Gogo

Cada semana seleccionaremos el post con más fuerza técnicoless en él, es decir, aquel que cumpla más estereotipos para recibir el premio “Habló de puta la tacones” que le reconocerá como el más de los mases de esa semana. Al final del mes habrá una gala mensual para elegir al mejor del mes y a final de año se realizará un Calendario Tórrido con los 12 técnicoless elegidos. Podrás votar mediante el sistema menéamela que tenemos online por el que moviendo el mando de la wii como si te la cascaras podrás subir el buzz del técnicoless elegido. Todo interacción Web 2.0… no,no, ¡qué digo! Esto es Web 3.11

Mmmm? I don´t know what it is, but i wanna break it

Los más mañosos, amantes de los cacharrines, podrán disfrutar de un programa en el que se destrozará ese ay!fon para ver cómo ponerle una batería de larga duración, como añadirle una webcam o como conseguir un soporte percha para su ay!sock. Pero no sólo eso, en esta sección se destriparán los últimos gadgets para que tú puedas hacerlo al mismo tiempo en tu casa.

No Lusers

Para los más pequeños, habrá un capítulo de humor en el que los personajes del comic saltarán a la micro pantalla con las más diversas aventuras. Podremos disfrutar también de los episodios de larga duración de “Josemaricariño conoce a Tricia”, “¿Crucifixión o no Crucifixión?” y la tan esperada “El retorno del Jacker” (aunque todo el mundo sabe que sólo hay un retorno …)

Triple X

Y en este caso no será la película, sino porno del bueno. El mejor video de pornotube, youporn y youtube X para que puedas relajarte.

3,2,1… ¡Shutdown!

Será la despedida del día. Todas las noches, antes de la desconexión haremos un recorrido por los RSS de los blogs más cool y los menos cool, para que puedas irte a reflexionar.

Fantástica la programación, ¿no? Pues esto es lo mejor, hemos creado un plan de negocio genial. El objetivo es dar divulgación de nuestro programa de televisión en todos los blogs de los tipos más influyentes y después de un tiempo dejando la televisión en versión trial (es decir, 120 días sin pagar nada), codificaremos la señal. En paralelo crearemos una web de piratones para piratear el canal y todo el que quiera el código de decodificación tendrá que enviar un SMS. Cada SMS será un micropago y con los miles de micro pagos conseguiremos financiar este canal y ponerlo en las cotas más altas de audiencia… CBS, FOX,.. here we go!!

Nos vemos pronto en todas las pantallas, en tu porátil, tu notebook o tu ay!fon.

Nota: Por motivos técnicos no tendremos plug-in para que podáis vernos desde Linux ya que hemos tenido unos problemas con los drivers, pero lo subsanaremos pronto...

Saludos Malignos!

Cons-pirados

Hola a todos!

Supongo que vosotros ya lo sabéis, que estáis en el mundo, pero un amigo de un primo del vecino del cuarto de la casa de una tipa que conozco porque viene a mis charlas me lo ha confirmado, y ella lo sabe de buena tinta porque se cepilla al conserje del portal dónde vive uno que trabaja en los cuerpos de seguridad del estado: El gobierno americano tiene la clave del bitlocker de Vista.

Sí, sí, seguro que te parece raro, pero es cierto, y además, me dice, que cuando apareció el bug aquel en Hotmail, si hombre, aquel en el cual se podría haber accedido a los mensajes de correo de otra cuenta. Sí, ese, pues no te lo vas a creer, pero resulta que en una conferencias, el último día, salieron de copas Steve "yasabesquien" y el Mayor McChicken "de la ene ese aaaa" y resulta que acabaron en un garito de malamuerte de esos. Ya sabes que yo soy de menteabierta, pero hay algunas cosas que ... no están bien, no señor, porque tu me dirás que es lo normal, que se vayan de conferencias y cenen y tal, pero acabar en un garito con el aspecto del BING (deberías ver los soprano) pues no está bien.

El caso es que entre copa y copa, se les fue yendo de las manos, y al final Steve "yasabesquien" le dijo a McPollo: "Sí, me dejas a la rubia de las tetas operadas yo te abro el hotmail de todos los usuarios del mundo". A lo cual el Mayor dijo: "Si me la dejas tú a mi te permito que troyanices todos los ordenadores del mundo".

Y luego claro, de esos polvos llegan estos lodos, porque lo que no se puede hacer es portarse mal. Pero lo que no sabes es que con el caso este del certificado del Debian, ha pasado más o menos lo mismo. Sí, resulta, que tengo un amigo que trabaja en Faunia, ahí, sí, dónde los pingüinos en Madrid. Y tu dirás... ¿y que tiene que ver eso? Pues resulta que la última vez que vinieron a la Intergalactic-Kree-Skrul-Linux-Conference, se fue Ian "yasabesquienquemevoyaSunaganarpasta" a hacerse unas fotos con los pingüinos para una de esas campañas que hacen en la revista "Pengüin", sí, esa que es como el Man pero para...bueno, que me lio, y a mi no me gusta que de criticar leches. El caso es que mi amigo, estaba con la real cagada de un pingüino cunando vio que un tipo marcial, de pelo bien cortadito, le daba un sobre al tal Ian y este le dijo algo así como: "esto te lo descifro yo en el próximo parche".

Así que, con un simple comentario (valga el juego de palabras) se arregló el asunto, y es que por lo visto, aunque tu no lo creas, habían descubierto que Bin Laden enviaba su clave PGP con Debian, sí, y no seré yo quien te lo diga, que luego dicen que yo digo muchas cosas, pero a mi me da, a mi me da, a mi me da... que ese del pelito corto y pinta de marcial era algún pez gordo de esos de los que disfrutan más con un jeep verde que una maruja con los programas de tarde.

Si es que somos marionetas en este mundo, totalmente dominados, y esperate y verás, que tengo un conocimiento que trabaja empaquetando regalos en el Toys'r us y me ha dicho que el autónomo que trae las cajas de la distribuidora de Sony de la PSP le ha comentado que el nuevo modelo viene con una microcamara para vigilar a la gente en sus casas.. Si es que ya lo decía yo, como la sopa de letras no hay nada.

Bueno, me voy, que tengo la empanadilla haciendo la mili en Móstoles y se me va a quemar el hijo en la sarten.

Saludos Malignos!

La puerta trasera

Esto es lo que pasa cuando alguien tiene un Blog de investigación basado en leer cosas de Internet y no tener ni puta idea de Seguridad Informática.

Todos habréis oido, o leído, sobre la famosa "puerta trasera" que el equipo de Spectra "ha abierto" a los cuerpos de seguridad del estado para que investigen sobre que películas porno te has bajado, con quién chateas en el messenger o si tienes pagada la licencia del Office 2003.

Esa supuesta "puerta trasera" no son más que un recopilatorio de herramientas de análisis forense tuneadas para ayudar en la labor a un profesional que tiene que hacer un análisis forense Online de una máquina. Sí, el "Computer Online Forensic Evidence Extractor"es un conjunto de herramientas, las cuales tuve la oportunidad de ver en vivo hace ya más de tres años (sí, una versión mucho más vieja) en un MVP Security Summit en RedMon, que lo único que recogen es la información que cualquier analista recogería.

Yo vi "la puerta trasera" en acción para detectar un malware y hacía cosas "tan fraudulentas y malosas" como sacar las conexiones TCP/UDP, como mirar la tabla caché de direcciones ARP, como sacar listados de los ficheros más importantes del sistema ordenados por fechas, buscar archivos en cachés, listados de procesos (esto debe ser muy chungo), etc... Luego lo metían en una herramientita que hacía cosas malas, como ordenar por fechas, por procesos, por accesos, etc... y en mi caso, descubrir como un bicho se había colado en la papelera de reciclaje de forma oculta.

Sólo cosas que un analísta, con permisos de administración de una máquina, puede buscar Online. Sí, la O de Cofee es Online e implica acceso a comandos a nivel de administración. Podría haber sido O de Offline y realizar lo mismo que miles de herramientas realizan Offline, como por ejemplo copiar el pagefile, ordenar por fechas, buscar ficheros en caché, sacar los procesos de la memoria RAM, etc..., pero no es el caso. (Aunque me ha parecido oir en un rincón que hay gente en Spectra que tiene pendrives con herramientas de análisis forense offline y le llama CÖFEE...o tal vez no).

Para todos los fantasticos que buscan el fin de la encriptación, sólo quisiera recordaros que, si la máquina está arrancada... Bitlocker ya desencripta el disco duro, pues, como muchos sabéis (algún técnicoless aún no) Bitlocker protege el sistema contra atáques, y análisis forenses, Offline.

No creo que haya que justificar que un equipo de seguridad recapitule un montón de herramientas forenses en un pendrive y se lo entregue a alguien (creo que existen cientos de distros y conjuntos de herramientas para auditoría y análisis forense en Internet tanto para Windows como para Linux), pero en mi opinión creo que lo único que ha hecho el equipo de seguridad es intentar ayudar a los analistas forenses que tan puteados se encuentran (y lo digo con conocimiento de causa..) con el análisis forense offline de las máquinas con Bitlocker porqué... NO, tampoco hay una "puerta trasera" (cómo muchos especulaban) que Spectra haya dado a ningún país/estado/dictadura/Republica_Independiente_de_mi_casa que permita descifrar el Bitlocker de forma automática.

Sin embargo, los técnicoless de turno, los bloggers de postín y mal follamiento, los amantes de la conspiranóia que Investigan/Opinan y se kriptonizan cuando se encuentran con palabros complejos como FORENSE ONLINE, rápidamente descubren "la puerta trasera de Windows". Por favor, como seguro que ya estará en algún sitio publicada (a pesar de ir bajo NDA, como el que tienen los MVPs), que alguien haga un debugger en ASM y publique... "LA PUERTA TRASERA".

Yo recuerdo una película que me gustaba que también tenía una puerta, se llamaba... "Detrás de la Puerta Verde" y ahí si que vi meter cosas por la puerta trasera.

PD: ¡Qué triste ver cómo muchos copian y pegan las mismas tonterías!

Saludos Malignos!

Pero, de verdad, por favor, ¿Por qué no te callas?

Sí, es algo generalizado. El hastío es generalizado. En Madrid tenemos alguna frase más castiza para expresar esta situación que tiene que ver con parte de la eterna duda “El huevo o la gallina”. Creo que era algo así como “no me toques las gallinas”…o algo parecido. Los voceristas, los copiaerreeseeses, los leístas y amantes de los malos servicios de traducción, los ponejetas en trajes para la foto, los posistas de postín que se calzan en cualquier sitio dónde abunden los canapés, las sonrisas, los parabienes y la ausencia de chamarileros.

Sí, chamarileros, así fue como una vez hoy definir a esos locos que se aprenden los entresijos de las tecnologías, que aprenden a manejar los sistemas y conocen como funcionan las cosas por dentro. En otras épocas de mejor esplendor que hoy a esos los llamaban hackers con cierto respecto, pero ahora se han quedado en tristes chamarileros.

“joder que bien he estado”, “He quedado como dios”, “soy la polla con orejas”. Eso deben de pensar después de ver lo bonita que queda su foto o como todos les miramos estupefactos tras una charla insulsa y anodina sobre… ¡nada!.
Sí, me ha sorprendido. Me ha sorprendido la poca vergüenza que tienes de venir a contarnos esta milonga, de no tener ni flores y subirte a un escenario a hablar a técnicos de la innovación.

Técnicoless les he llamado, con desprecio, con admiración de cómo se puede ser tan feliz en su ignorancia. “Hablo de virtualización porque soy un tipo Loreal, pero también soy un experto en seguridad informática y, cómo no, futurólogo y biólogo de los órganos genitales”.

Son los que viven en busca de la predicción pasada, del como yo ya dije, del dónde dije digo, digo Diego, del ¿no te lo dije?, del yo no dije eso, del yo no dije eso, del lo que quería decir es o del borro este post que ya no me gusta como lo dije.
Expertos visionarios de segunda, sarro de esta profesión, vergüenza del periodismo, repulsa de los técnicos. Ni informáticos ni na de na. Del montoncilo en la vida, necesitados de la píldora azul, roedores rumiantes que descubren las teclas años después de tenerlas bajo sus tiznados dedos. Guaperas por fuera, afeitadito, limpito, pulcro y bienoliente, pero con tus gemelos brillantes no evitarás que se refleje en ellos que no tienes ni puta idea.

Sale de sus dedos una cohorte de mentiras, falacias y hechos basados en lo no comprobado, en la suposición, en la interpretación partidista, en la especulación rápida y facilona de haber visto muchas películas de serie B.

Que no nos encontremos en las tablas, que no debatamos, que no te ponga el destino en mi camino en el mal día, que no nos encuadren en la misma foto, que no nos junte la vida, que las veredas no se crucen, que no estén las audiencias juntas en la misma sala. Dios me libre de tu aroma de chanel y tu infinita clemencia, de tu esgrima verbal, de tu mirada sanbernadesca.

A ti, tecnicoless engreído, te propongo un trato. Sigue con tus cositas, mírate en el espejo (¿a qué estás guapo), habla con tus colegas, pronostica sobre el futbol o juega a la bolsa. Léete el marca, configura el Renault de Alonso y perfila la estrategia para Spa, debate sobre política, critica los programas de televisión, juega a la liga fantástica de baloncesto o sé el mejor haciendo sudokus.

Olvídate de IPSec, LDAP, Kernels, MICs, GPOS y siglas raras. Deja de preocuparte por las diferencias entre SSLv2 y SSLv3. ¿Qué más da que sea WPA-PSK o WPA2-EAP-TLS? ¿A quién le importa si IPSec puede usarse con Kerberosv3 o con LDAP? ¿ReadyBoot o Readyboost? ¿Importa? Fetch, prefetch o superfetch siguen siendo igual de aburridos. No hay color entre eso y leerte unas tiras de prensa. ¿No crees?

Esas siglas son un aburrimiento, ¿no? Mira, hay un montón de obras de teatro. Sal, conoce gente, liga, el sexo es bueno, ¡relaja mucho! ¿Te leíste los Pilares de La Tierra? ¿La segunda parte también?¿La crítica a la razón teórica?¿Crimen y Castigo?¿La trilogía de Alexandros?¿Las novelas del capitán Alatriste?¿La obra completa d Eduardo Mendoza? ¡Son muchos más divertidos que leerse un RFC de LDAP! Divierte, sé feliz, emborráchate y lígate a una guiri. Lo que te apetezca, pero…

Si no tienes ni puta idea de tecnología deja de decir tonterías. Te lo pido por favor, para que no digan no podemos hablar nosotros con educación. Como más te guste, pero, de verdad, por favor, ¿Por qué no te callas?.

¿Prefieres un mensaje en el twitter para que te suban los followers?

Saludos Malingos!

No Lusers - Nº 5: Espejismo de Técnicoless

La Justificación del Técnicoless

Es de noche, ayer te acostarte tarde, no has dormido muchas horas, tienes más legañas que un perro pulgoso, enciendes el portátil, abres el RSS y sale esta maravilla que me recuerda a cierta situación con cierto asesor:

Dilbert 24 de Enero 2008
Viñeta 1:

- El nuevo Software es un desastre.
- Entonces ¿Por qué lo recomendaste?

Viñeta 2:

- Este software es idea tuya. Mi recomendación fue en contra de él.

Viñeta 3:

- ¿De quien es el fallo?
- De la persona con recomendaciones menos persuasivas.

Vamos a por un café que hay que pelear el día.

Saludos Malignos!

¿Por qué Linux es Más Seguro que Windows?

Cómo uno es un poco enfermo con esto de la seguridad, se leen muchas cosas y de vez en cuando encuentras artículos como éste que son enlazados por todo el mundo, traducidos y tomados como dogmas de fe que me dejan un poco helado. En este caso se trata de un post titulado “Why Linux is more secure than Windows” y trae 6 axiomas divertidísimos, que me han llamado la atención y creo que voy a comentarlos:

Axioma 1: “Mejor gestión de actualizaciones de seguridad”. Este es el axioma de “una distro gobierna todo el software”.

Según este axioma las plataformas Windows, con Windows Update, sólo actualizan el software de Windows mientras que con el actualizador de la distro se mantiene actualizado todo el software. Si quieres actualizar el software de otros productos en Windows, como por ejemplo el Acrobat, la máquina java, la máquina flash, etc… entonces debes realizarlo mediante el propio producto. Esto en Linux no es así, pq es l propia distro la que te lo provee.

Sí, que bonito, que lindo. Voy a llorar. En primer lugar, hemos de suponer que estamos hablando de una distro en concreto en un PC concreto y no de una red de equipos “heterogénea” en Linux. Digo esto porque en el último axioma, en el número 6 habla de las ventajas de la heterogeneidad y una de las ventajas es que si tengo una red con 50 RHES y 50 Centos tendré que tener un servidor de actualizaciones distinto para cada uno de ellos, pero lo más gracioso es que, como las distros paquetizan actualizaciones de proyectos vivos es casi imposible garantizar que dos distros distintas tengan la misma versión de un paquete recién actualizado. Es bastante divertido esto.

Por otro lado, desde el punto de vista de Spectra, todo el software de Windows, todo el de office y todo el de los productos servidores, e incluso el antimalware se actualizan con el mismo cliente. No solo Windows, sino todo el software de Spectra.
Sí es cierto que en una plataforma en standalone el software no Spectra debe ser actualizado por cada producto, pero esto sucede igual con todos los productos no instalados directamente desde la propia distribución y los que son actualizados desde la distribución son un riesgo, pues existe una ventana de tiempo grande que va desde que el parche ( y por tanto el fallo de seguridad) es público hasta que la distro lo ha paquetizado.

En el caso de las redes en Spectra se usan los servidores Spectra System Center que permiten distribuir todo tipo de actualizaciones de seguridad de cualquier producto, incluido para Linux. En el caso de que tengas una red de equipos Linux y quieras gestionar las actualizaciones remotamente de todo el software (porque a lo mejor tienes software que no está en la distro del producto o porque deseas realizar actualizaciones Push en lugar de Pull) tienes que tirarte a productos comerciales como System Center, Tivoli, etc… y tener cuidado con la heterogeneidad del entorno pues entonces vas a tener que paquetizar un parche para cada cliente.

Tiens más sobre esto en: De Cañas


Axioma 2: Mucha más seguro por defecto. ¿El de soy mejor por defecto que XP…pero nada de Vista?

Este me encanta. Windows XP salió en Octubre de 2001 y fue construido como una evolución de Windows 2000. Esto hay que tenerlo en cuenta pues este sistema operativo no estuvo diseñado pensando en la máxima fortificación del sistema. En el año 2002, Spectra comenzó la Trustworthy Computing Iniciative, una iniciativa a 10 años en la que el objetivo era desarrollar software seguro. Para ello se contrató a gente especializada en seguridad, se desarrolló el SDL (Secure Development Lifecycle), se generó el ciclo de vida de actualizaciones de seguridad, Windows Update services, los servidores WSUS gratuitos, MBSA gratuito, el ExBPA gratuito, SBPA gratuito y se fortificaron los productos. XP, por tanto, se diseño fuera de esta campaña. Lo primero que se hizo con XP fue sacar una versión más fortificada que tuvo el bonito nombre de SP2, con su DEP, con una recompilación del código después de haber aplicado herramientas de Análisis de Código Estático, con su FXCop, etc… Esto fue un avance en Seguridad pero aún así no había sido diseñado desde cero pensando en Seguridad. Sin embargo eso sí se hizo con Vista, y por tanto su arquitectura está más fortificada desde la base.

Bien, hasta aquí la introducción histórica. El axioma dice que Linux es más seguro que XP pq si hay una ejecución remota de código en un Linux este sólo tendrá impacto localmente. ¿comorl? Perdona waperas, pero si peta un servicio que usa una cuenta con permisos en un Linux podrás hacer todo lo que los permisos de esa cuenta te permitan. ¿Nunca has visto shells remotas en Linux? Pero lo más chulo es lo que dice después con lo de Vista. “Vista corre en un entorno más limitado también y por lo tanto es más seguro que su predecesor” ¿Y qué Linux? Te recuerdo que el título pone “Why Linux is more Secure than Windows” no que Windows XP. Te recuerdo que Windows Vista es de Noviembre de 2006, ha pasado un año y pico, es el SO de Spectra y los planes de abandono de soporte en XP están en marcha… cambia el título si quieres de tu post amigo.

Axioma 3: Diseño Modular o… ¡No puedo quitar Internet Explorer!

No, no puedes quitarlo, pero si no quieres no lo uses, siempre puedes instalarte un firefox. Tampoco puedes quitar la Win32, pero en Windows Server R2 puedes correr todo tu software sobre el UNIX POSIX que trae (Interix) en lugar de sobre la Win32.

No obstante, si quieres hacerte un sistema a tu gusto siempre puedes usar la versión Windows XP Embeded Edition en la que eliges los componentes (para Vista igual, pero cómo parece que sólo hablas de XP…) para el caso de los servidores Windows Server 2003 trae el SCW (Security Configuration Wizard) para que fortifiques el servidor mediante el uso de Roles y puedes habilitar y deshabilitar todos los componentes servidores que desees y en Windows Server 2008 Core Server puedes quitar el interfaz gráfico e Internet Explorer también.

Axioma 4: Mejores herramientas para protegerse contra ataques de Zero-Days. O “No sé qué es eso de SELinux y AppArmor y en el otro lado no hay nada tan cool ¿verdad?”.

Esta es genial, dice que Linux es mejor que Windows porque para evitar los ataques de Zero Days en Linux hay SELinux y Apparmor y que en Windows XP no hay nada y en Vista sólo el modo protegido de IE7. A ver colega, que te veo un poco perdido. SELinux y AppArmor, a pesar de llevar tiempo, no se han incluido en la línea del kernel hasta el año 2003 en caso de SELinux y hasta el año 2005 en el caso de AppArmor. Te recuerdo que XP es del año 2001. Algunas de las cosas que aportan son ACLs (vaya, como lo que traía XP en el año 2001) soporte para DEP (vaya, como lo que trae XP desde el año 2003) y en las últimas versiones ASLR, vaya como lo que trae Vista desde fábrica y activo. Además, permite contextos de seguridad que deben ser configurados y utilizados para objetos del sistema, ficheros, descriptores, etc… “muy cómodo todo de configurar” ¿Alguien lo ha hecho de por aquí?.

En Vista se utilizan algunas tecnologías que vienen de serie funcionando como MIC (Mandatory Integrity Control), el modo protegido para IE7 con también UIPI (User Interface Privilege Isolation ), … pero si quieres echarles un ojo, las tienes resumidas en la Wikipedia:

- http://en.wikipedia.org/wiki/Security_and_safety_features_new_to_Windows_Vista

Axioma 5: Código Abierto. Esta es la de todos los ojos miran tú código para fortificarlo y hacerte más mejor y más seguro.

En fin, que en el año 2008 tengamos que seguir hablando de esto… Si todos los ojos vieran ese código no se usarían las herramientas de análisis de código estático, si esto fuera así… pero …¿de verdad hay que discutir esto aún? Yo ya tuve mi experiencia religiosa este Septiembre con mi aventura de joom_league, pero vamos a hacer dos cosas, una, os dejo las palabras de Crispin Cowan (Creador de AppArmor) y un resumen sobre este parecer, no escrito por mí, pero si de mi parecer : La Receta

"In discussing Sardonix's fall, Crispin Cowan, the project's leader, was harsh in his appraisal of the open-source community: he asserted that security researchers were only interested in finding splashy bugs and posting them to security mailing lists. I think that's oversimplifying the matter."

Why Sardonix Failed

Si los ojos lo vieran, el proyecto de “Bug Hunting” para “acelerar la calidad del open source” no hubiera encontrado los fallos de Seguridad que encontró en los principales proyectos de open source usando herramientas de análisis de código estático.

Lo cual llevó a su CTO, Ben Chelf, a escribir este artículo: “Insegurity in Open Source”

Me encanta la frase de “But when software security and quality really matter—like crossing the Atlantic on a jet airliner—trust me, you want to fly proprietary.”

En fin…

Axioma 6: Heterogeneidad. ¡Qué guay somos todos diferentes!

Bien, es una ventaja. Como hay muchos Linux, es poco probable que no se pueda hacer un troyano, un virus, un malware que funcione en todos. Cierto, pero también, es muy difícil hacer un parche que funcione en todos, hacer un driver que funcione en todos, hacer una agente de políticas de seguridad que funcione en todos, hacer un script que funcione en todos y hacer cualquier herramienta de seguridad que funcione en todos. Justo lo que quiere un administrador de sistemas para tenerlos seguros.

Así, siempre tiene menos herramientas, las pruebas de testeo se pueden hacer peor (no se pueden testear todas las distros), no se pueden gestionar correctametne todos porque no hay agentes desarrollados, etc, etc, etc… ¿Es realmente una ventaja o un inconveniente?)

Además, yo creo que se te han olvidado algunos motivos más. Tenías que decir:

7.- Linux no permite acceder sin usuario al sistema y Windows (98) sí.
8.- Linux arranca sin otro sistema operativo y Windows (3.11) no.

En fin, simplificar a que un producto es más seguro que otro cuando, como tu bien dices al principio la seguridad es un proceso... La seguridad depende de las personas que usan y administran los sistmeas, los procesos que se apliquen y la tecnología utilizada (estándares, productos y software propio) y por desgracia fallan más los dos primeros que el último (aunque parezca mentira).

Saludos Malignos!

Guía de Supervivencia para este Blog

Este blog es totalmente personal, subjetivo, torticero y lleno de porquería y… para que sea más difícil de entender tiene algunos términos que debes conocer. Si eres un “veterano” esto ya te lo sabes, si no.. te vendrá bien.

- El Lado del Mal: El mundo de la informática está dividido entre buenos y malos. Los buenos son los que quieren salvar a la humanidad, arreglar los problemas de todos los seres humanos y programar y administrar con ética y moral. En el lado del bien se encuentra el software libre, el open source y las empresas sin ánimo de lucro, como IBM, SUN, Oracle, HP o las empresas de millonarios hinchados a ganar pasta con su empresa que luego se pegan una semanita en un viaje programado al espacio para luego ser totalmente altruista. También caen en el lado del bien aquellas empresas que, pese a no ser altruistas, son cool, es decir, empresas como Google, Apple (y ahora la wii).

En el otro lado, en El Lado del Mal, se encuentra la única empresa a la que no le importa la pasta y cuyo único objetivo es gobernar el mundo: Spectra.

- Spectra: Nombre real interno. Sólo es utilizado este nombre entre los grupos de adoradores, seguidores, esbirros y miembros de puro derecho. Su único objetivo es la dominación mundial, acabar con el planeta, destrozar a los enemigos y… para hacer esto… programar mal. Tiene mucho dinero y podría contratar a los mejores programadores, arquitectos, diseñadores y expertos de seguridad… ¿pero lo hace? No, prefiere, como todo los técnicoless saben, hacer software malo y siempre dejan puertas traseras para poder leer tu correo electrónico y pasarle a los gobiernos la información de tus actos. Su nombre público es ... Microsoft.

- Técnicoless: Después de un Request For Comments se llegó a un consenso en la definición del término.

- Maligno: No, no me lo puse yo, en un mail dijeron de mí tras haber ido a dar una charla en un instituto en Pamplona: “..es como si en la parroquia de mi barrio, en pos de esa libertad de expresión invitaran "al maligno" a dar una charla pero tomando la forma de "Carmelita Descalza"”.Y como me hizo gracia… pues me lo quedé.

- ¿De qué va este blog?: Pués de los topics que pone, y de lo que pone debajo del título: Spectra, Técnicoless, Técnico-Less, Blind SQL Injection, LDAP Injection & Blind LDAP Injection, Retos Hacking, Maligno, Seguridad Informática, tocar los webos...y Chema Alonso.

Espero que ahora sepas el tipo de basura que estás leyendo.

Saludos Malignos!

Buscando_Trinchera

Había una vez una “pinicula” que muchos de vosotros odiaréis pero que a una mente enferma y obsesiva como la mía le gustó. En ella pasaban muchas cosas raras y había personajes, escenas y situaciones a cada cual más impactantes y todas marcadas con las obsesiones. Una de las frases que nunca olvidaré fue “matar es como cortarse las uñas de los pies” (bueno, y el gajo...). El trasfondo de la frase en la película es mucho más amplio que el que se puede extraer en un vistazo rápido, pero define lo que son las necesidades y obsesiones perennes y perentorias. Follar te aplaca en el momento, pero seguro que en un tiempo vas a tener ganas de follar otra vez.

La explicación más técnica de esto la leí en el Criptonomicón, dónde uno de los protagonistas se hace una gráfica en la que pone en el eje de ordenadas el tiempo y en el eje de abscisas las "Ganas_de_Follar". En el nivel de abscisas marca un límite, que podremos llamar "buscando_trinchera", a partir del cual su cabeza no puede trabajar en la criptografía y necesita reducir el nivel "Ganas_de_Follar". Para ello aplica la función reductora “masturbación()” que consigue un decremento en la medida "Ganas_de_Follar". Sin embargo el nivel de decremento va siendo de un valor absoluto menor a medida que se va acumulando el uso de la función reductora "masturbación" por lo que necesita aplicar una función de reset que deje los niveles de la medida "Ganas_de_Follar" en los límites más bajos. Esa función que necesita aplicar se llama “follar(mujer)”.

Gracias al uso de los recursos, es decir, la función reductora “masturbación()” y la función de reset “follar(mujer)” usando como parámetro de entrada el valor "espía_nazi", el protagonista puede realizar una meticulosa planificación, para maximizar el tiempo dedicado a la criptografía, repartiendo uso de las dos funciones a lo largo del tiempo.

A mí me pasa esto constantemente, no, no me refiero a lo del sexo (que también), ni tampoco a lo de matar (joder, a ver si me explico) sino con todas las necesidades por las que nació este blog. A veces necesito desesperadamente escribir sobre temas de seguridad, otras veces necesito desesperadamente descojonarme un rato y otras veces necesito desesperadamente aplacar mi ánimo con la recua de gilipollas y técnicoless que escriben tonterías. En esta última medida necesito aplicar ya la función reset “follar()” con el valor de algún "técnicoless", bueno… o su equivalente porque de lo contrario me va a salir un herpes en el páncreas.

Sin embargo, hoy es sábado, y no creo que sea el día de hacerlo, así que lo voy a escribir, es decir, voy a aplicar la función reductora “masturbación()” y el martes, día mucho más mundano, lo hago público.

Saludos Malignos!

He pensado que…

***************************************************************************************
Artículo publicado en ISV Magazine Noviembre de 2007: "He pensado qué..."
***************************************************************************************

He pensado que… ¡Vamos a meternos en el comercio Online!

Así; sonriente; con los dientes deslumbrando cual villano antes de recibir la paliza del héroe en la batalla final, se presenta el Jefe [de sonrisa] Profident una tarde, después de haberse tomado un orujito de hierbas y haber fardado con otro(s) jefe(s) sobre los servicios de la compañía, de lo bien que va la empresa y del excelso crecimiento en ventas que llevamos este año en el Q2, H1 o el parcial que toque del año fiscal.

Y cuando dice “Vamos”, realmente está diciendo “Tienes que” lo que significa: “Te toca pringar”. Esto no tendría que ser un gran problema, que para algo trabajamos en esta profesión, si se fueran a realizar las cosas bien, es decir, se inicia un proyecto, con una fase de toma de requisitos, otra de validación de los mismos, selección de recursos, formación, etc… Aquella asignatura de “ciencia ficción” que se llama Ingeniería del Software y que para colmo suele tener varias partes, como las trilogías de Star Wars (Ingeniería del Software I: Un nuevo amanecer con UML, Ingeniería del Software II: La rebelión Orientada a Objetos e Ingeniería del Software III: El retorno del componente y el código manejado) Vamos, lo que viene siendo el ser un Ingeniero, pero… no, no va a ser así.

Si tienes la suerte de los informáticos, la cosa empezará tal que con la elección de la tecnología a usar basada en la lectura de algún infame blog, de esos que iluminan nuestra dichosa Web 2.0, en la que un Técnicoless (dícese de todos aquellos que no han tirado una puñetera línea de código en su vida y se nombran referentes en Internet opinando a diestro y siniestro sobre las bondades o inconvenientes de determinadas tecnologías) le ha convencido de que Java, Mono, .NET o Perl es la panacea para todos los problemas.

“En dos semanas tiene que estar que con estas tecnologías ya ni tienes que programar”. Esa frase te dirá tu excelso Jefe Profident tomándose un café (a tu costa, por supuesto) en la máquina esa, que no solo crea úlcera de estómago, sino lo que es mucho peor, adicción. A eso tú piensas en contestar algo así como “pues te pones tú en la •$%%•$ de sito que me has puesto y ¡ale!, tirando líneas de código machote”, pero te callas; y te pones; y comienza el proyecto. Ya sabes cómo funciona la Ingeniería en este país: “Nunca hay tiempo de hacer las cosas bien… pero sí para hacerla dos veces”

Fase 1: Toma de requisitos

Esta fase se resume en un par de reuniones café en mano en dónde nuestro Jefe Profident disfruta haciendo La Carta de los Reyes Magos mientras que te cuenta lo bien que se lo ha pasado en el yate con unos amigos que conoció en su último viaje a Osaka (Canadá). Al mismo tiempo te pide cosas como: “Y quiero que el sistema automáticamente seleccione a los mejores clientes y mejores pagadores y busque cuales son los objetos que menos se van a vender y les haga una oferta que no puedan rechazar”. Ale, y ahora vas y lo cascas en .Net o JSP o lo que el Técnicoless le haya recomendado en su flamante Wordpress.

Fase 2: La formación

“¿Formación? ¿pa qué? ¡Si está todo en Internet! Mírame a mí, todo el día trabajando y aún me queda tiempo para ponerme al día a través de Intenet. Usa Google chaval”.

Éste es el momento que marca la diferencia entre un trabajador y alguien encerrado en la cárcel por “Jeficidio”. ¡Aguanta!

Fase 3: La cagada

Es normal; yendo el proyecto como va, lo primero que sucede es que se va al garete. Tu primer sistema de login tiene SQL Injection y se cuela hasta el Pato Lucas (el cual amablemente se registra y deja su mail patolucas@warnerbros.com). Lo arreglas (mirando en algún sitio de Internet como dijo nuestro ilustre Jefe Profident) pero te olvidas del parámetro del buscador con el que te tiran el servidor de base datos inyectándote un shutdown.

Cambias los privilegios de la cuenta, pero en el archivo de descarga del folleto informativo alguien te inyecta un cambio de directorios y te hace un cucharón para bajarte la sam o el /etc/passwd del sistema. Tras leer como funciona en profundidad el SQL Injection ya estás listo para que la web funcione. Sin embargo, todos los datos de tus usuarios aparecen publicados en un foro porque te los sacan con Blind SQL Injection (a pesar de que ya sabías SQL Injection).

Te lo planteas y quitas la base de datos para trabajar con documentos XML. Na, un poco de DOM, un poco de SAX y listo. Te cepillan la web con Xpath Injection. La integras con LDAP y alguien usa las consultas apropiadas para sacarte la estructura de tu árbol LDAP.

Cuando ya eres el rey de las inyecciones decides poner bonita la web: Te comes un Cross-Site Scripting Persistente y te mangan la cuenta tuya del sistema, la de tu correo del trabajo y la del mail para ligar. Te quedas sin el Messenger y tu mujer descubre a tus amiguitas.

Tiras de backup y lo arreglas, pero quitando el Hijacking que te habían metido para quitarte la cuenta. Recibes un mail con un link a tu Web y te vuelven a quitar la cuenta con un XSS No Persistente.

Acabas de arreglarlo tras recuperar otra copia de seguridad y perder una semana de curro porque el Sistema de Backup (que le recomendó un blogger a tu Jefe Profident basado en Pendrives USB no ha funcionado).

Llegas a la fase de alimentar la Web y te implantas un gestor de ficheros. Te comes otro Cucharón. Lo arreglas. Tu competencia tiene los precios que los ha sacado mediante una vulnerabilidad RFI (Remote File Inclusion) que les ha permitido meter una Shell. Recuperas del sistema de copias de seguridad (pendrive) otra vez tu web.

Cambias la arquitectura del sitio y realizas unas comprobaciones meticulosas. Tu Jefe Profident sube ficheros al servidor y resulta que tiene un Troyano Reverso adjuntado: alguien se dedica a tirar tu web cada tres minutos y te toma una foto con la Webcam (esa que tu Jefe Profident instaló en el servidor como Sistema de Seguridad del CPD – compuesto por un ordenata clónico con un monitor en blanco y negro “qué como nadie va a trabajar ahí da lo mismo”-) y aparece publicada en un foro con el siguiente mensaje “POWNED” junto con un tutorial de cómo usar el Posion Ivy.

Fase 4: El fin

Han pasado tres meses, no has conseguido sacar el proyecto adelante en tiempo pero al final rula, has sudado tinta china, has recibido mil palos y tu Jefe Profident saca conclusiones. “No has estado a la altura, pero claro, es normal, solo eres un desarrollador informático”. Decide que para el siguiente proyecto lo mejor es cambiar el lenguaje que no se te ha visto suelto.

Conclusiones

Es evidente que una buena herramienta con una buena tecnología ayuda a tener buenos desarrollos. Es fácil encontrar buenos ejemplos de desarrollos grandes con JSP o ASP.NET o con otra cantidad de lenguajes. Creo, encarecidamente que el verdadero problema de los proyectos está en quien los gestiona. Una buena gestión de un proyecto, incluso con recursos mediocres puede dar buenos resultados. Conoce y explota lo que tengas y apóyate en profesionales. Y por favor… ¡¡Huye de los Tecnicoless!!

Qué putada ser técnico

Nunca se ma ha dado bien la microeconomía, la macroeconomía ni la tricoeconomía. Con 17 años me saqué el título de Contabilidad por el colegio de no se que leches en Madrid, que era algo que las mamas nos hacían hacer. Con 12 años me apuntaron a Basic en la academia y desde entonces los cursos fueron cayendo curos tras curso: Basic + Logo, Basic para PC, MSDOS, Ofimática (WodPerfect, Write Assistant, Symphony, DBase y Havard Graphics), Cobol, Pascal, C, por el lado de la informática hasta que llegué a la universidad, pero al mismo tiempo tocaban los cursos de mecanografía, con las famososa Olivetti, hasta sacar los tres niveles que había, inglés, que nunca me gustó mucho, y los cursos de contabilidad I y II para poder sacar el título por el Colegio de ¿Contables? de la Comunidad de Madrid [me falla un poco la almedra, pero creo que era así].

Con esta máquina aprendí mecanografía, entiéndase ahora el muestrario de "cosas" que tengo por dedos
De toda aquella época la contabilidad nunca me enganchó lo que hizo que nunca me apasionara la bolsa ni las inversiones ni esas cosas. Hace un año me dijeron:

"Tio, compra acciones de Spectra, que te vas a forrar con ellas, que van a subir por lo menos a 32"

¿Jarl? ¿A 32? ¿32 qué? ¿Subir de dónde?. Vale, soy un puto ignorante de la bolsa, nunca lo he entendido bien porque supongo que nunca me ha parecido divertido (para gustos los colores) así que nunca me forraré dándo un pelotazo (me queda la opción de pegar un palo a alguien).

El caso es que ayer me encontré con alguno que me dijo: "Vaya pelotazo las acciones de Spectra, yo he estado a punto de vender"

¿Vender? ¿Pero no dices que van bien? El caso es que desde que Spectra sacó Windows Vista, y muy a pesar de los grandes técnicoless y futurólogos, a nivel nacional e internacional, que auguraban que Vista era el Fin del Imperio parece que no han acertado un año después.

Sí, parece que Spectra va bien...para los que han sabido invertir, no como yo.

Gráfico en MoneyCentral
Resulta que está por encima de 35, sea es lo que sea, y que por lo que parece muchos han ganado mucha pasta, y yo aquí, con mi cerdito.

Sniff, en fin, ya no me queda otra, así que seguiré con mi cerdito. Sniff.

Saludos Malignos!

Dilbert

Dilbert:"¿Por qué parece como si la mayoría de las decisiones en mi lugar de trabajo fueran hechas por Lemurs Borrachos?"

Basurero: "Las decisitones son hechas por gente que tiene tiempo, no por gente que tiene talento"

Dilbert: "¿Por qué la gente con talento está tan ocupada?"

Basurero: "Ellos están arreglando los problemas generados por la gente que tiene tiempo"

Dilbert, 26 de Octubre de 2007

Hoy toca…

Qué me gusta madrugar es algo que muchos sabéis y otros podríais haber intuido viendo los horarios de mis posts. Es en esa hora de la mañana cuando las calles aún no están puestas cuando mi cerebro mejor funciona. En ese momento, justo antes de poner el post del día es cuando decido el día que me quiero dar.

Si es un día en el que tengo ganas de cachondeo o me levanto peleón toca un día de Caña, para no olvidarme de mis amigos los Técnicoless, que siempre dicen cosas divertidas.

- Armas de doble Filo, por silverhack. Rootkits en Linux y la ciudad de los Kispis.

Si es un día en el que voy a estar ocupado de viaje o conferencias entonces toca un día de Post técnico. No hay como poner un post sobre Oracle o un artículo de 7 páginas para tomarnos el día con cierto relax.

- A Multi-perspective Analysis of the Storm (Peacomm)Worm. A debuggear gusanos.

Los días de poco curro, o en los que voy a tener tiempo para contestar mails saquemos algunos números de esos que tanto o tan poco gustan, para discutir sobre los valores incontables.

- eBay: Phishers getting better organised, using Linux. ¿Phishers usando servidores Linux zombies? ¡Eso es imposible! ¿o no?

Luego queda la opción del día tener un día cómodo y contar algún truco medio olvidado, alguna tool que está por ahí en el canasto o un artículo interesante.

- SQL Injection en MySQL, nuevos viejos trucos. Averiguar la versión usando comentarios.

…o recordaros algún evento:

- El próximo 18 de Octubre, cumpleaños del abuelo, estamos en Vigo!

Y si no, siempre puedes hacer el capullo con alguna cosa chula para que la gente encuentre “el chiste”.

- ING. Vence a la pereza, y como dice Mandingo, "no dejes que los árboles te impidan ver el bosque".

Hoy, solo por el placer de tocar las narices, voy a hacer un poco de todo, para estar “a tutiplén”.

¡Saludos malignos!