Empadronamiento en Firewalls

La empresa Websense vende productos famosos por fastidiar los ratos de ocio de más de uno en la empresa. Su solución más famosa en appliance consiste en tener filtradas las conexiones que los empleados realizan hacia fuera de la empresa mediante una base de datos que cataloga, ampliamente Internet. Esta misma filosofía la realizan también otros productos como URL Filtering de Forefront TMG 2010 pero Websense es, quizá, el más famoso en este tipo de soluciones.

Es cierto que no se puede tener todas las direcciones de Internet en una base de datos, pero se puede conseguir una mejora en la productividad de los trabajadores filtran los periódicos deportivos, los juegos en flash o los foros de pornografía, así que, con tener una catalogación lo bastante extensa como para aumentar la productividad, y Websense dice reconocer más de 47.8 millones de sitios y más de 140 protocolos de red, se justifica la compra de este tipo de herramientas.

Dichos los preliminares, el otro día recibí un correo en el que me informaban que en una empresa que usa Websense se estaba empezando a filtrar este blog y los lectores se estaban quejando - ¡Que lectores más majos! - así que me picó la curiosidad para saber exactamente en qué categoría.

El pertenecer a una categoría o a otra hará que más o menos gente tenga filtrada la URL, ya que, por ejemplo, se pueden filtrar blogs y permitir computación. O filtrar hacking y dejar blogs. Así que quise saber en qué categoría había sido catalagado El lado del mal. La aplicación de testeo de URLs está en una zona restringida, pero la base de datos de Surfcontrol, uno de los productos de filtrado de Websense sí está disponible, así que me puse a enredar. Primero busquéalgunos blogs y sitios web para ver en qué categorías estaban, ya sabéis para cotillear un rato.


Como véis todos estaban en Computing and Internet, lo que es bastante normal, tratandose de sitos dedicados a tecnología. Sin embargo, cuando busqué este blog en la base de datos, con el nombre original del mismo, apareció en la misma categoría que ÉL.


El alarido silencioso que emití hizo que se le helara la sangre a Freddy Krueger. Por suerte, con el cambio al nuevo dominio, aun no estoy catalogado en esta base de datos (¿estaré en la que consulta directametne Websense?). ¿Por qué? ¿Qué hice mal en mi vida? Yo quiero empadronarme en otro sitio.


Así que, puestos a estar en la base de datos he hecho dos cosas: La primera, solicitar la baja elladodelmal.blogspot.com de la base de datos, ya que el dominio solo hace un redirect a www.elladodelmal.com y la segunda "entregarme" a la base de datos y autocatalogarme en otro barrio, a ver si me dejan. Prefiero empadronarme yo.


Saludos Malignos!

Premios Bitácoras 2010: Blog de Seguridad

Quedan unos pocos días, y ya no puedo resistirme más a escribir un post sobre esto. Además, sé que muchos lo estabais deseando. Antes de empezar a dar guerra y echar “mala baba” al asunto, voy a dejar claro que si hay un premio, sea de lo que sea, me lo merezco yo. Ahora que ha quedado claro que no hay segundas intenciones ya que las primeras están a la vista, vamos con lo que quería decir.

En la cuarta y última lista previa, antes de que salga la lista de ganadores, este blog está en tercera posición. La misma posición en la que estaba en la lista previa anterior, sólo que por detrás de otro blog, ya que es el segundo es el único que ha cambiado. Lo cierto es que esta votación se hace con votos de la gente, con lo que no tienes ni que presentarte, así que muy bien. Ya que estamos en la lista, vamos al grano.

Lo curioso de esta lista es que se supone que es de blogs de seguridad, así que, nada más mirar a los 10 primeros está claro que algo falla, pues están Genbeta y La Ciudad de los Krispis. No voy a hacer el chiste fácil de Genpeta, a pesar de la peta que tuve con Víctor Pimentel sobre un post en el que demostró sus "puntos de fuerza" para estar en la categoría de seguridad (y de que no aprendiera nada del debate y mira que yo insistí, pero nada), pero hay más gente currando allí y no voy a decir nada más. Sólo dejo el comentario éste de twitter que me hizo mucha gracia.

En cuanto a la Kriptopolimorfondulitis, la cosa me sorprende aún más, ya que primero no quiso participar y luego querían que les votaran, tal y como representa este twitt para enamarcar que hizo que me comprara las compresas esas que anunciaba la Concha Velasco para perdidas esporádicas.


Ese blog, que debió haber pegado el pelotazo en la época en que un portal de toros o uno de vinos se vendían por un potosí y no lo hizo, no ha dejado de hacer “hamijos” a lo largo del tiempo, entre profesionales de la seguridad, con los que va dejando buenos recuerdos, con sus antiguos colaboradores, que no hacen más que hablar “maravillas” o los gigantes como Google que le llevaron a llorar por las esquinas y con el que, después de tantos devaneos, insultos y actos de insurgencia para la galería a los César Alierta, acabó abriendo los brazos a su publicidad (¿no quieres que te ayudemos a poner un robots.txt en tu bló?).

Lo cierto es que Kripto¿qué? y su admin, que por el bien de la comunidad hace mucho que no comparte esos maravillosos scripts que creaba para descargar ISOS, esas fortificaciones de sistemas, ni brillantes estudios (este también es bueno y vamos, ni contaros cuando perdió el Ctrl+Alt+Supr), ni los comentarios manipulados (es gracioso, si no le gustaba el link que ponías, cambiaba el link y mantenía el comentario reformulado, que conozco a dos personas a las que se lo hizo), ni comentarios borrados (un hax0r me contó el truco para poder publicar comentarios en kriptopolis): “Por el bien de la comunidad y el libre pensamiento”.

En fin, que si queréis mi opinión debéis votar a El lado del Mal, por supuesto, que yo también voy a compartir el premio con la comunidad… de alguna manera, en cuanto me entere cuál es el jodido premio que va a compartir el hamijo. Eso sí, asumiendo que queréis votar, DE VERDAD, a buenos blogs de seguridad en lugar de a Kriptopoalgo, aquí van mis recomendaciones (He tenido que esforzarme para hacer una lista de SÓLO 10 blogs de seguridad mejores que Kriptopolis hoy en día):

- Security By Default
- Comunidad DragonJar
- InfoSpyware
- SpamLoco
- Conexión Inversa
- SecurityArtWork
- 48 bits
- S21Sec
- Laboratorio de Hispasec

Y para el 10, con dos cojones, creo que son mejor hasta los nuestros de Seguridad Apple o Seguros con Forefront.

En fin, que VOTA si crees que hay que poner las cosas en su sitio.

Saludos Malignos!

Cemento Armado

La cara que tiene Enrique Dans está hecho de eso, de cemento armado. Durante años se ha pasado diciendo topicazos, populismos o directamente errores de bulto cuando ha hablado de seguridad... y ahora dice que "cuando no sabe de algo deja hablar a los expertos". Me parto la caja. Para comprobar esto sólo hay que ver el famoso post de "¿Google Caido?" en el que no sabe diferenciar un mensaje de error del ping o en el que descubría sorprendido los atajos de teclado y el uso de la tecla de Windows... en Noviembre del año 2006. ¡Eso es ser un experto en tecnología! Con dos "cohones".

Pero lo mejor de toda ha sido ya, como obligado por el destino a comerse todas sus palabras, el que su libro haya salido... con DRM. Es lo más parecido que he visto a la justicia divina. Eso sí, el alardeó durante mucho tiempo que su libro iba a salir con licencia Common Creative, pero... no dijo nada del DRM.

Lo que es genial es el trabajo que ha hecho Teleoperador recogiendo algunas de las afirmaciones que este tipo, que va de tecnologo y es el técnicoless mayor del reino, había dicho del DRM. Algunas perlas:

los consumidores jamás quisimos DRM. De hecho, nos opusimos a él, porque restringía nuestras posibilidades de utilizar los productos por los que habíamos pagado. Para introducir DRM en los productos, había que incurrir en un gasto adicional: un gasto efectuado para “estropear” el producto, no para mejorarlo.

Enrique Dans en su blog, 7 de enero de 2009

[el DRM sólo es] una manera estéril de fastidiar a los usuarios y lanzarlos en manos de ofertas más ventajosas.

Enrique Dans en Público, 9 de enero de 2009

Que fácil ha sido siempre para este tipo disparar con la pólvora del rey y hablar de los negocios ajenos, pero ahora, que es su negocio, la cosa cambia. Por favor, no os perdáis el momento de la contestación sobre el tema del DRM en la presentación del libro. La cara [de cemento armado] merece la pena. Creo que me voy a poner este vídeo todas las mañanas para empezar el día con alegría.


Saludos Malignos!

La OCU triunfa de nuevo

Otro maravilloso estudio detallado, profundo, y serio de la OCU. Otro informe en el que se cubre de "gloria" con el becario técnicoless después del sonado sobre los navegadores. Menos mal que los tags superiores son "Hablar Barato" y "A primera Vista".


Otro Best Seller de la OCU sobre tecnología
Y tonto de mí que me escribo séis posts explicando el funcionamiento de UAC, con lo fácil que es poner a una pareja de guaperas en la página y llenar el artículo. Desde luego el tipo que ha escrito esto es un talibancete redomao. Debe ser el mismo del de los navegadores. IE8 chungo cubata, Windows 7 inseguro, en fin...

Yo te voy a recomendar otras etiquetas: "Tonterías", "Hablar por Hablar", "Hablar sin tener ni puta idea", "Técnicoless Power Zone", "Tengo una calculadora ergo soy un experto en computación".

También te voy a recomendar una tienda para que te compres portátiles sin SSOO pre-instalado. Yo compro ahí muchos portátiles [AHTEC] y luego les meto mis licencias de Windows Vista y 7, y si no te gustan estos, no te preocupes TE BUSCO 20 TIENDAS MÁS.

De ahora en adelante cuando salga en la tele eso de: "Según un informe de la OCU"... me voy a tener que partir la caja..

Saludos Malignos!

Informe Técnicoless y amarillista de La OCU sobre Navegadores en Internet

Parece mentira que la OCU, la Organización de Consumidores y Usuarios sea capaz de sacar un informe como el que ha sacado un Análisis de los Navegadores en Internet. Me parece muy triste que una organización en la que prima la protección de los consumidores y los usuarios sea capaz de sacar un informe como ese con tan poca base técnica. Si realiza el resto de sus comparaciones de la misma manera estamos apañados y mejor que cierren el chiringuito y se dejen de hacer paripés, porque es lamentable que saque un artículo así sin firmar.

Las pruebas que han hecho son de lo más geniales. Han puesto a un pollo a navegar y le han dicho:

-“ Ale majete, y ahora valora en seguridad, usabilidad, facilidad y alguna otra cosa que también termine en –ad, que eso vende mucho”

El técnicoless que haya hecho este artículo, al más puro estilo Fuckowski ha preparado un informe sobre superficies cuadrúpedas en el que ha sacado el dedito y se ha dedicado a poner crucecitas y esas cosas según le ha venido bien. Que triste que alguien se sienta así de cómodo haciendo estas cosas porque los informáticos se lo permitimos.

Sorprendentemente, a pesar de que uno de los aspectos que más le preocupa a la OCU sea la seguridad, los tipos van y ponen que el mejor navegador es el Firefox 3.5 con un 85%. Me encanta el cuadro de resultados porque, como se puede ver, los peores, los peores, son los de los chavalotes de Microsoft que es que los pobrecitos no saben programar. Y esl resultado aplastante es queCualquier navegador es mejor que Internet Explorer 8. De Vergüenza.


Figura 1: Los resultados según los "ESTUDIOS DE LA OCU"
Que luego haga yo una Maligno-Comparativa sobre la arquitectura de seguridad de los navegadores midiendo el uso de Mandatory Integrity Control, el DEP, el ASLR, el Virtual Store y la arquitectura de procesos es totalmente tendenciero y parcialista. Tenía que haberlo hecho como estos chicos de la OCU, sacando el dedito y poniendo numeritos superchulos.


Figura 2: Arquitectura de Navegadores. Toda la info en "Hundir la flota"
Que Firefox 3.5 haya batido todos los records de fallos de seguridad en navegadores Web desde que salió el 30 de Junio de 2009 no cuenta. Un navegador que cuenta con 48 fallos de seguridad dejando una FANTASTICA MEDIA DE RECORD de 8 fallos mensuales de seguridad, y además de los gorditos, no ha puntuado nada mal. ¡Coño!, que ha sacado un Notable Alto de 8.5. No importa que Internet Explorer lleve la mitad de fallos en el doble de tiempo. Lo que mola es el de la zorrita.


Figura 3: Fecha de lanzamiento según Wikipedia y fallos de seguridad según SECUNIA
Nada cuenta y, por supuesto, tampoco que Firefox no haga uso de MIC, que no haga uso del Virtual Store, que no divida procesos, tampoco. ¿Por qué? Pues tan sencillo porque al técnicoless de turno que ha escrito ese artículo le molaba su Firefox y punto pelota.

OCU, es una vergüenza que publiquéis esos “supuestos estudios” sin ninguna base técnica, sin haber publicado la métrica, sin publicar pruebas ni los resultados de las mismas. ¿Qué sois, una revista de esas que regalan en el metro para ganar pasta con la publicidad de los anunciantes que queréis amarillismo y punto? VERGONZOSO.

Saludos Malignos!

El Ciclo de Vida del SW por Enrique Dans

Enrique Dans es nuestro técnicoless favorito. Es un usuario avanzado con variadas pretensiones técnicas. En su blog suele hablar de sus tendencias, de sus pájaros y sus flores, de lo guay que le va el Gmail, y sus cositas. Sin embargo, cuando habla de Spectra es lamentable el amor que tiene a esa compañía. No, no voy a hablar del mítico descubrimiento en el año 2006 de las funciones de la tecla que se añadió a los teclados en 1995. No, esta vez voy a hablar de su artículo: Los 7 pecados de Windows 7.

Éste es uno de sus últimos artículos y en él nos habla de la campaña de la FSF en contra de Windows 7 en la empresa. La campaña es la que es porque viene de dónde viene, pero él, animado por el tono de la misma, intenta “aportar valor” y lucha por poner su puntilla con dos frases mágicas.

“Tras el fiasco de Windows Vista ya reconocido por Microsoft dándole un ciclo de vida de poco más de dos años”

Señor Dans, el ciclo de vida de un producto de software acaba con la fase de retiro del mismo, que termina justo, justo cuando se deja de dar soporte, y a esa fase le queda todavía mucho, mucho, mucho tiempo. No hay que preocuparse, es normal no saber esto, para ello se tendría que haber estudiado Ingeniería del Software o haberse dedicado profesionalmente a ello.

Lo mínimo que tendrá de ciclo de vida Windows Vista será de entre 8 y 10 años, cosa que ya veremos si le da tanto tiempo algún otro de los gadgets tecnológicos que usa. Además, si hemos de ser rigurosos, el ciclo empieza con las primeras versiones pre-alpha, con lo que el ciclo de Vista es muuuy largo.

En segundo lugar, si se refiere sólo al periodo de venta del software, la versión final de Windows Vista se lanzó a nivel mundial en Noviembre de 2006, fecha desde la que estuvo disponible para todas las empresas. Este lanzamiento se hizo coincidiendo con el SIMO del año 2006. Si las cuentas no me fallan, con la salida de Windows 7, que será, si todo va bien, a finales de Octubre, me salen 2 años, 11 meses y algo, es decir, como dice el artículo … “poco más de dos años”. Sí, justo eso, un poco más de dos años.

De todas formas, por si anda un poco perdido con las versiones, escribí un post sobre ellas: El bebé Prebeta.

Lo más gracioso es, que después de tomar como fallo un lanzamiento cada tres años de un sistema operativo, resulta que en muchos posts nos muestra su simpatía por MAC OS o Ubuntu, sistemas operativos que recomienda abiertamente para su uso en la empresa con ciclos de lanzamiento de versiones de …¿cada año? ¿Cada seis meses si no es una LTS? MAC OS X tiene un ciclo de versiones de cada 2 años ¡últimamente! Y Ubuntu, mi amigo Ubuntu… ha pasado de la versión 4 a la 9 en 5 años.. Se pueden echar las cuentas.

La sengunda frase mágica en el artículo es:

“el aparente caos de versiones con el que una vez más se lanza el producto”

El aparente caos de versiones es algo que se viene reclamando desde hace muchos años. Eso de no pagar por cosas que no se quieren usar o ajustar el software a las necesidades... vamos chorradas. Es como los medicamentos, ¿por qué los harán de 100 mg, 500 mg y 1 g? ¡Todos valium 1000!. Sin embargo, en la comunidad Linux no hacen eso y, por ejemplo, aquí hay una lista de distintas varientes de Ubuntu Linux:

Kubuntu, Edubuntu, Ubuntu Server Edition, Xubuntu, Ubuntu Studio, Mythbuntu, Ubuntu MID Edition, Ubuntu Netbook Remix, Gobuntu y Ubuntu JeOS.

Eso sin hablar de que Ubuntu es una derivada de Debian, así que, si hablamos de diferentes versiones de Debian… En fin, que es mejor que sus artículos sigan hablando de pájaros y flores…

Saludos Malignos!

Recomendaciones de Seguridad

El valor de la experiencia y el conocimiento es tenido en alta estima por los que desean aprender. Así, en algunas culturas africanas se compara la muerte de un anciano con una biblioteca en llamas, por aquello de que más sabe el diablo por viejo que por diablo. Hoy en día, el que quiere saber, cada vez más, pregunta a Internet buscando una respuesta de los sabios que allí hayan vertido su conocimiento. En esta Internet nuestra cada uno se puede autoproclamar en sabio debido a la aparición de la Web participativa, la web que hace al usuario interactuar activamente con los contenidos, permitiendo que todos podamos enseñar.

Así, henchido de orgullo y prepotencia, de vez en cuando me autoproclamo sabio en algo y escribo un artículo. Unas recomendaciones sobre un tema o una explicación con su correspondiente opinión personal sobre lo que yo creo, me gusta o disgusta.

Me he autoproclamado capaz de dar recomendaciones de cómo gestionar mejor el correo, de cómo securizar tu web, fortificar tu Apache o auditar tu WiFi. Me he autoproclamado sabio de cómo hacer muchas cosas y, en todds ellas, puedo errar o acertar. Tú tienes que ser capaz de saber que la persona que se autoproclama sabio, y con orgullo publica una lista de recomendaciones, puede tener más o menos tino. Esto no sólo pasa conmigo, por supuesto, y de hecho, debido a la repetición masiva de este suceso, nació mi amor a los Técnicoless.

Uno de esos lectores añejos de este blog me escribió un mail porque había descubierto en un blog unas recomendaciones para comprar un dominio de Internet de forma segura. Ya sabéis, para ir y registrar “soyuncapullointegral.com” a tu nombre. Cuando las vi pude imaginarme al “experto” que se econtraba detrás de ellas.

La primera de las recomendaciones que me llamó la atención soberanamente fue:

"Nunca registrar ni entrar al panel de control ni al correo desde software no-libre (como Windows). A diferencia del software libre, cuando ejecutas Windows no sabes realmente lo que está ejecutando tu computadora. Sin embargo utilizando software libre como GNU/Linux tenemos a nuestra disposición el código fuente y podemos saber lo que ejecutamos y asegurarnos de que no tenemos ningún troyano."

Este amigo técnicoless debe haberse leído todo el código de todo el software que utiliza, y se nota. Además escribe este artículo desde el entendimiento y suposición de que todos los que van a registrar un dominio tienen la capacidad de hacerlo también, pues no vale con saber que lo puedes leer para tener la garantía de que nada va a pasar… ¡hay que leérselo! Si no… ¿cómo vamos a asegurarnos de que no estamos ejecutando ningún troyano? ¿Será que no hay troyanos en Linux?

La segunda recomendación que me destrozó reza de la siguiente guisa:

“No tener ninguna partición con Windows u otro software propietario en el ordenador que utilizamos para el registro de dominios. Nunca sabemos los datos que puede leer de la partición de Linux”

Esto ya es el colmo de maldad, podríamos decir que Windows se convierte en un sistema operativo capaz de ejecutar troyanos sin estar arrancado. Pero no es eso lo peor, es que parece ser que es el propio Windows el que quiere leer los datos de la partición Linux. Pues si una partición Windows de un sistema operativo apagado te lee los datos de tu partición Linux sólo se me ocurre una cosa: Vaya mierda de seguridad en el sistema de ficheros que has puesto en tu Linux tienes.


Cómo contratar un dominio ¿seguro?

Tras ver las recomendaciones de este Técnicoless se me ocurre ofreceros, como aporte añadido, alguna más para conseguir contratar de forma segura un nombre de dominio:

- No tengas un CD pirata de Windows cerca: Se han oído casos en los que los bits del sistema operativo Windows han sido capaces de leer los datos de tu partición Linux desde la estantería. Parece ser que hay troyanos WiFi, Bluetooth o radio capaces de troyanizar tu equipo desde el CD sin estar incluso en el lector de CD.

- No contrates un dominio si tienes un amigo con un USB formateado en FAT cerca: FAT es inseguro y los troyanos utilizan ADS para guardar información que pueden robar de tu ordenador si el USB con FAT está lo suficientemente cerca.

- Controla a tus vecinos: Se han oído casos de ordenadores que iban mal sólo por la presencia de un Windows Vista funcionando cerca. Parece que consume tantos recursos este sistema operativo propietario de M$ que si tu vecino usa Vista y tú tienes una distro libre tuneada que consuma pocos recursos el Windows Vista puede troyanizar los ciclos de CPU que ve libres para utilizarlos en cansinas tareas de pintar gráficos en AERO.

- Pregunta a tus amigos antes de saludar: Saludar a un amigo que usa Windows puede hacer que te instalen un keylogger. Parece ser que hay keyloggers capaces de detectar las pulsaciones del teclado según los dedos. Los más evolucionados malwares de keylogger se copian en las yemas de los dedos de un usuario Windows y estos pueden contagiarte si te dan la mano. ¡Pregunta antes!

Seguro que a vosotros, enfermos lectores de este lado del mal maldito, se os ocurren más recomendaciones a la altura de éstas. Yo creo, que las recomendaciones se convierten en un poema con esa publicidad de Google en la misma página promocionando Windows.

Saludos Malignos!

¿Periodistas técnicos o Técnicas de periodismo?

Supongo que el mundo del periodismo está tan prostituido como el mundo de la informática. Un mundo dónde un faltón malhablado y una perra gritona se pueden llamar a sí mismos periodistas del corazón o un melenas que cuenta sus basuras todos los días en Internet se llame blogger hacen que las fuentes de noticias que usa la gente cada vez sean menos de fiar y más partidistas.

Partiendo de esa base, he de decir que es lo que tiene la libertad de los RSS, tú te levantas por la mañana y decides con qué mentiras vas a pintar tu realidad, con qué reafirmar tus convencimientos propios y con qué no. Es el mundo de los medios de comunicación. Los mass media, esos que en los Estados Unidos se consideran garantes de la democracia.

Especialmente me llaman la atención aquellos periodistas que consideran el mundo de la informática como el mundo del corazón. Son personas que tienen que escribir de informática igual que escriben de la prensa del corazón: “Fulanita se ve en secreto con el rey según un informante anónimo borracho” y después sueltan ese artículo para escribir otro que diga “Windows Vista es malo y además ronca”. Son los tecnicoless. No sé si por obligación o por devoción publican sus posts de toros y luego de seguridad informática.

Yo, que a veces me olvido el jabón, me encrespo con algunos artículos que generan ruido y desinformación sólo por el placer de escribir un titular. En este caso es uno publicado en El País sobre Windows 7. El titular es muy simpático: “Windows 7, una beta para olvidar Vista”

Y tiene tantas imprecisiones que da miedo que se publique un artículo así en un medio como El País. Vamos con algunas de ellas obviando que lo que va a salir no es una beta sino una Release Candidate pero eso ya sería de nota para un periodista que tiene que escribir de todo, incluso de toros.

“Si uno de los errores más reprochados en el sucesor de Windows XP fue su escasa compatibilidad con dispositivos de muchos fabricantes (los conocidos 'drivers') en esta ocasión se han asegurado que no se repetirá”

Sí, es cierto, y no lo es. La escasa compatibilidad con los drivers antiguos nada más salir ya que a día de hoy en Windows Vista hay más de 120.000 drivers siendo el sistema operativo con más drivers de la historia. En Windows 7 funcionarán todos los drivers de Windows Vista porque es una evolución de la misma rama del kernel.

“No sólo llama la atención la compatibilidad con aparatos”.

Ésta me encanta. Eso de llamar a la placa base aparato me ha parecido…no sé, muy básico, con fuerza, rudo, primario, con fundamento.

Si hasta ese punto el artículo es más o menos feote y desgarbado técnicamente, el final es un éxito total. Con la siguiente apreciación:

“En el aspecto de la seguridad, uno de los puntos débiles, también se notan mejoras:”

¿Uno de los puntos débiles? Tú no te has enterado de nada. Sigues usando Windows XP porque no te apañas con Vista, pero desde luego no conoces ni una de las mejoras de seguridad en Windows Vista. Decir que la seguridad es uno de los puntos débiles de Vista es no haber leído nada que no sea “tomate” y “salsa rosa” sobre Windows Vista y por supuesto, no haber probado ninguna de las tecnologías que se citan en el artículo.

Pero el final es muy divertido:

“Este tipo de estrategia, el lanzamiento de una versión preliminar gratuita muy habitual en el mundo del software libre pero novedosa en una compañía como Microsoft ya se utilizó con su última versión de Windows para móviles y el navegador Explorer 8.”

Claro, Spectra ha copiado del mundo del software libre el concepto de versiones beta, que en este caso es RC, una versión que sale justo antes que la RTM. Spectra lleva lanzando betas siglos ha, de hecho, tiene uno de los programas más fuerte, si no el más, de beta testers. Creo que tengo guardada aun una beta de NT5 en casa. Lo que sucede, es que tú llevas tan sólo en ésto ese tiempo, es decir, desde la beta de Windows Mobile e IE8, antes estabas... a otras cosas.

En definitiva, este artículo podría haberse resumido en un twitter de ésos, entre el típico update de “me levanto” y “haciéndome un café”:

“Olé, olé, olé, Vista es malo y con la beta del 7 se vuelve a XP, olé, olé, olé!”

Tiene fuerza, ¿no?

Saludos Malignos!

El Maligno TV

El mundo está cambiando y se necesitan nuevas ideas brillantes para ganar dinero reduciendo los costes. Esta es la idea base que me ha llevado a tomar la decisión de evolucionar en pro de los negocios 2.0. Para ello, he pensado dar el salto a la micro pantalla con una evolución de este blog.

Este blog se ha convertido en un punto de referencia para los enamorados de la tecnología web 2.0 ansiosos de conocimiento y contenidos tecnológicos de calidad. Con un lenguaje cercano y fácil de entender por todos hemos dado cabida a todo aquel que se ha acercado sin discriminar a ninguno de ellos, dando igual que seas un administrador de sistemas Windows que un pobre confundido linuxero….aquí os queremos igual.

Por ello, vamos a crear, a partir del día 1 de Enero de 2009 un canal de televisión en Internet para que puedas disfrutar de este ambiente más y mejor. El canal en Internet se llamará El Maligno TV y podrás disfrutar desde el año que viene de una parrilla de programación de 6 horas al día con contenidos variados. Hemos estado trabajando con cariño en la programación y ha costado mucho decidir que íbamos a incluir y que no, pero al final creo que nos ha quedado perfecta. Esta serán algunos de los programas que decorarán la parrilla de nuestro canal:


Mala gente, mala vida, poco más

En esta sección el Maligno in person entrevistará a los personajes más variados de la blogosfera. Desde hackers malos malosos hasta los técnicoless bloggeros más rocambolescos. Será una sección diaria de mucha fuerza.

I am sorry but..

¿Has hackeado una web, les has avisado y la respuesta ha sido enfadarse o no hacerte ni puto caso? En esta sección puedes malignear a gusto, graba tu video con kantasia (crackeado por supuesto) y envíanoslo step by step, que se jodan, ¡tú ya les avisaste!

How to tururú

En How to tururú podrás aprender los conceptos básicos para ser un malo malote. Dónde calzar una comilla o como meter una Shell en PHP sin tener que preocuparte de complejos procesos con pantallas negras y letras en verde. Empezaremos por “No llamaré usuarios.mdb a mi base de datos”.

Técnicoless a Gogo

Cada semana seleccionaremos el post con más fuerza técnicoless en él, es decir, aquel que cumpla más estereotipos para recibir el premio “Habló de puta la tacones” que le reconocerá como el más de los mases de esa semana. Al final del mes habrá una gala mensual para elegir al mejor del mes y a final de año se realizará un Calendario Tórrido con los 12 técnicoless elegidos. Podrás votar mediante el sistema menéamela que tenemos online por el que moviendo el mando de la wii como si te la cascaras podrás subir el buzz del técnicoless elegido. Todo interacción Web 2.0… no,no, ¡qué digo! Esto es Web 3.11

Mmmm? I don´t know what it is, but i wanna break it

Los más mañosos, amantes de los cacharrines, podrán disfrutar de un programa en el que se destrozará ese ay!fon para ver cómo ponerle una batería de larga duración, como añadirle una webcam o como conseguir un soporte percha para su ay!sock. Pero no sólo eso, en esta sección se destriparán los últimos gadgets para que tú puedas hacerlo al mismo tiempo en tu casa.

No Lusers

Para los más pequeños, habrá un capítulo de humor en el que los personajes del comic saltarán a la micro pantalla con las más diversas aventuras. Podremos disfrutar también de los episodios de larga duración de “Josemaricariño conoce a Tricia”, “¿Crucifixión o no Crucifixión?” y la tan esperada “El retorno del Jacker” (aunque todo el mundo sabe que sólo hay un retorno …)

Triple X

Y en este caso no será la película, sino porno del bueno. El mejor video de pornotube, youporn y youtube X para que puedas relajarte.

3,2,1… ¡Shutdown!

Será la despedida del día. Todas las noches, antes de la desconexión haremos un recorrido por los RSS de los blogs más cool y los menos cool, para que puedas irte a reflexionar.

Fantástica la programación, ¿no? Pues esto es lo mejor, hemos creado un plan de negocio genial. El objetivo es dar divulgación de nuestro programa de televisión en todos los blogs de los tipos más influyentes y después de un tiempo dejando la televisión en versión trial (es decir, 120 días sin pagar nada), codificaremos la señal. En paralelo crearemos una web de piratones para piratear el canal y todo el que quiera el código de decodificación tendrá que enviar un SMS. Cada SMS será un micropago y con los miles de micro pagos conseguiremos financiar este canal y ponerlo en las cotas más altas de audiencia… CBS, FOX,.. here we go!!

Nos vemos pronto en todas las pantallas, en tu porátil, tu notebook o tu ay!fon.

Nota: Por motivos técnicos no tendremos plug-in para que podáis vernos desde Linux ya que hemos tenido unos problemas con los drivers, pero lo subsanaremos pronto...

Saludos Malignos!

Cons-pirados

Hola a todos!

Supongo que vosotros ya lo sabéis, que estáis en el mundo, pero un amigo de un primo del vecino del cuarto de la casa de una tipa que conozco porque viene a mis charlas me lo ha confirmado, y ella lo sabe de buena tinta porque se cepilla al conserje del portal dónde vive uno que trabaja en los cuerpos de seguridad del estado: El gobierno americano tiene la clave del bitlocker de Vista.

Sí, sí, seguro que te parece raro, pero es cierto, y además, me dice, que cuando apareció el bug aquel en Hotmail, si hombre, aquel en el cual se podría haber accedido a los mensajes de correo de otra cuenta. Sí, ese, pues no te lo vas a creer, pero resulta que en una conferencias, el último día, salieron de copas Steve "yasabesquien" y el Mayor McChicken "de la ene ese aaaa" y resulta que acabaron en un garito de malamuerte de esos. Ya sabes que yo soy de menteabierta, pero hay algunas cosas que ... no están bien, no señor, porque tu me dirás que es lo normal, que se vayan de conferencias y cenen y tal, pero acabar en un garito con el aspecto del BING (deberías ver los soprano) pues no está bien.

El caso es que entre copa y copa, se les fue yendo de las manos, y al final Steve "yasabesquien" le dijo a McPollo: "Sí, me dejas a la rubia de las tetas operadas yo te abro el hotmail de todos los usuarios del mundo". A lo cual el Mayor dijo: "Si me la dejas tú a mi te permito que troyanices todos los ordenadores del mundo".

Y luego claro, de esos polvos llegan estos lodos, porque lo que no se puede hacer es portarse mal. Pero lo que no sabes es que con el caso este del certificado del Debian, ha pasado más o menos lo mismo. Sí, resulta, que tengo un amigo que trabaja en Faunia, ahí, sí, dónde los pingüinos en Madrid. Y tu dirás... ¿y que tiene que ver eso? Pues resulta que la última vez que vinieron a la Intergalactic-Kree-Skrul-Linux-Conference, se fue Ian "yasabesquienquemevoyaSunaganarpasta" a hacerse unas fotos con los pingüinos para una de esas campañas que hacen en la revista "Pengüin", sí, esa que es como el Man pero para...bueno, que me lio, y a mi no me gusta que de criticar leches. El caso es que mi amigo, estaba con la real cagada de un pingüino cunando vio que un tipo marcial, de pelo bien cortadito, le daba un sobre al tal Ian y este le dijo algo así como: "esto te lo descifro yo en el próximo parche".

Así que, con un simple comentario (valga el juego de palabras) se arregló el asunto, y es que por lo visto, aunque tu no lo creas, habían descubierto que Bin Laden enviaba su clave PGP con Debian, sí, y no seré yo quien te lo diga, que luego dicen que yo digo muchas cosas, pero a mi me da, a mi me da, a mi me da... que ese del pelito corto y pinta de marcial era algún pez gordo de esos de los que disfrutan más con un jeep verde que una maruja con los programas de tarde.

Si es que somos marionetas en este mundo, totalmente dominados, y esperate y verás, que tengo un conocimiento que trabaja empaquetando regalos en el Toys'r us y me ha dicho que el autónomo que trae las cajas de la distribuidora de Sony de la PSP le ha comentado que el nuevo modelo viene con una microcamara para vigilar a la gente en sus casas.. Si es que ya lo decía yo, como la sopa de letras no hay nada.

Bueno, me voy, que tengo la empanadilla haciendo la mili en Móstoles y se me va a quemar el hijo en la sarten.

Saludos Malignos!

La puerta trasera

Esto es lo que pasa cuando alguien tiene un Blog de investigación basado en leer cosas de Internet y no tener ni puta idea de Seguridad Informática.

Todos habréis oido, o leído, sobre la famosa "puerta trasera" que el equipo de Spectra "ha abierto" a los cuerpos de seguridad del estado para que investigen sobre que películas porno te has bajado, con quién chateas en el messenger o si tienes pagada la licencia del Office 2003.

Esa supuesta "puerta trasera" no son más que un recopilatorio de herramientas de análisis forense tuneadas para ayudar en la labor a un profesional que tiene que hacer un análisis forense Online de una máquina. Sí, el "Computer Online Forensic Evidence Extractor"es un conjunto de herramientas, las cuales tuve la oportunidad de ver en vivo hace ya más de tres años (sí, una versión mucho más vieja) en un MVP Security Summit en RedMon, que lo único que recogen es la información que cualquier analista recogería.

Yo vi "la puerta trasera" en acción para detectar un malware y hacía cosas "tan fraudulentas y malosas" como sacar las conexiones TCP/UDP, como mirar la tabla caché de direcciones ARP, como sacar listados de los ficheros más importantes del sistema ordenados por fechas, buscar archivos en cachés, listados de procesos (esto debe ser muy chungo), etc... Luego lo metían en una herramientita que hacía cosas malas, como ordenar por fechas, por procesos, por accesos, etc... y en mi caso, descubrir como un bicho se había colado en la papelera de reciclaje de forma oculta.

Sólo cosas que un analísta, con permisos de administración de una máquina, puede buscar Online. Sí, la O de Cofee es Online e implica acceso a comandos a nivel de administración. Podría haber sido O de Offline y realizar lo mismo que miles de herramientas realizan Offline, como por ejemplo copiar el pagefile, ordenar por fechas, buscar ficheros en caché, sacar los procesos de la memoria RAM, etc..., pero no es el caso. (Aunque me ha parecido oir en un rincón que hay gente en Spectra que tiene pendrives con herramientas de análisis forense offline y le llama CÖFEE...o tal vez no).

Para todos los fantasticos que buscan el fin de la encriptación, sólo quisiera recordaros que, si la máquina está arrancada... Bitlocker ya desencripta el disco duro, pues, como muchos sabéis (algún técnicoless aún no) Bitlocker protege el sistema contra atáques, y análisis forenses, Offline.

No creo que haya que justificar que un equipo de seguridad recapitule un montón de herramientas forenses en un pendrive y se lo entregue a alguien (creo que existen cientos de distros y conjuntos de herramientas para auditoría y análisis forense en Internet tanto para Windows como para Linux), pero en mi opinión creo que lo único que ha hecho el equipo de seguridad es intentar ayudar a los analistas forenses que tan puteados se encuentran (y lo digo con conocimiento de causa..) con el análisis forense offline de las máquinas con Bitlocker porqué... NO, tampoco hay una "puerta trasera" (cómo muchos especulaban) que Spectra haya dado a ningún país/estado/dictadura/Republica_Independiente_de_mi_casa que permita descifrar el Bitlocker de forma automática.

Sin embargo, los técnicoless de turno, los bloggers de postín y mal follamiento, los amantes de la conspiranóia que Investigan/Opinan y se kriptonizan cuando se encuentran con palabros complejos como FORENSE ONLINE, rápidamente descubren "la puerta trasera de Windows". Por favor, como seguro que ya estará en algún sitio publicada (a pesar de ir bajo NDA, como el que tienen los MVPs), que alguien haga un debugger en ASM y publique... "LA PUERTA TRASERA".

Yo recuerdo una película que me gustaba que también tenía una puerta, se llamaba... "Detrás de la Puerta Verde" y ahí si que vi meter cosas por la puerta trasera.

PD: ¡Qué triste ver cómo muchos copian y pegan las mismas tonterías!

Saludos Malignos!

¿Está Google caido?

Hola amigos!!

Esto de mantener un blog es algo divertido, muchas veces estás tentado a ser "el aplausos" (creo que ya os he contado esa historia en algún otro post) y ser el primero en contar la gran supernoticia que va a hacerte famoso y ganar el Pulitzer (para los de la LOGSE... un premio muy gordo - Gracias Goyo Jiménez por hacerme reir -). Para eso la profesión consiste en leer todas las noticias con tiempo antes, ya sea visitando periodicos en franja horarias distintas o blogs madrugadores. Todo por mantener tu nivel de authority, tu bloguzz o tu pinopuente alto.

Este blog al principio nació con ganas de dar guerra, ser peleón y con mala leche, pero poco a poco se ha ido convirtiendo en un batiburillo de basuras relativas a lo que me viene saliendo en gana. Poca actualidad y muchas cosas personales, dibujos, artículos, avisos de conferencias, amigos y mala leche de vez en cuando con los técnicoless. Al final el único nexo común es que todo tiene "algo" que ver con la informática (o a veces incluso ni eso) con lo que cada vez la actualidad ha tomado menos importancia aquí.

Hoy quiero, imitando el famoso post de nuestro querido e inimitable campeón de los técnicoless hacer un post que ayudará a nuevas generaciones de bloggers a NO cometer el error de "¿¿Google Caido??".

Sí, yo sé que tú por lo menos sabes diferenciar entre un mensaje del ping de "no se ha podido resolver el nombre" y "host unreachable", pero algunos, pobres alma de cantarus, no son capaces.

Para todos ellos, y especialmente para nuestro campeón técnicoless, ha nacido una herramienta que les permitirá chequear, antes de publicar soberana gilipollez sí un sitio de verdad está caido o es que te ha fallado, a saber: El DNS, la caché, el proxy, la conexión a internet, te están realizando un ataque de MITM o la madre que pario al canario...

Esta herramienta se llama: Is - el sito que sea, que cómo el cine que me gusta a mí llamésmolo X - down for everyone or just me?

¿Está caido Google
Pues visto lo visto...

...no creo esquimal..
Con ella nuestro querido amigo habría podido comprobar que no, que no estaba caido para todo el mundo. Claro, el problema está que si tampoco tiene conexión hasta la herramienta entonces podría pensar ... ¡Se ha caido Internet!, pero no, porque si se cae Internet el problema sería aun mayor ya que ÉL (the main man como nuestro amigo LOBO) no podría postear y eso sí que sería un problema.

En fin, que esto demuestra que la humanidad avanza gracias a la sapiencia de tales especímenes.

Saludos malignos!

Pero, de verdad, por favor, ¿Por qué no te callas?

Sí, es algo generalizado. El hastío es generalizado. En Madrid tenemos alguna frase más castiza para expresar esta situación que tiene que ver con parte de la eterna duda “El huevo o la gallina”. Creo que era algo así como “no me toques las gallinas”…o algo parecido. Los voceristas, los copiaerreeseeses, los leístas y amantes de los malos servicios de traducción, los ponejetas en trajes para la foto, los posistas de postín que se calzan en cualquier sitio dónde abunden los canapés, las sonrisas, los parabienes y la ausencia de chamarileros.

Sí, chamarileros, así fue como una vez hoy definir a esos locos que se aprenden los entresijos de las tecnologías, que aprenden a manejar los sistemas y conocen como funcionan las cosas por dentro. En otras épocas de mejor esplendor que hoy a esos los llamaban hackers con cierto respecto, pero ahora se han quedado en tristes chamarileros.

“joder que bien he estado”, “He quedado como dios”, “soy la polla con orejas”. Eso deben de pensar después de ver lo bonita que queda su foto o como todos les miramos estupefactos tras una charla insulsa y anodina sobre… ¡nada!.
Sí, me ha sorprendido. Me ha sorprendido la poca vergüenza que tienes de venir a contarnos esta milonga, de no tener ni flores y subirte a un escenario a hablar a técnicos de la innovación.

Técnicoless les he llamado, con desprecio, con admiración de cómo se puede ser tan feliz en su ignorancia. “Hablo de virtualización porque soy un tipo Loreal, pero también soy un experto en seguridad informática y, cómo no, futurólogo y biólogo de los órganos genitales”.

Son los que viven en busca de la predicción pasada, del como yo ya dije, del dónde dije digo, digo Diego, del ¿no te lo dije?, del yo no dije eso, del yo no dije eso, del lo que quería decir es o del borro este post que ya no me gusta como lo dije.
Expertos visionarios de segunda, sarro de esta profesión, vergüenza del periodismo, repulsa de los técnicos. Ni informáticos ni na de na. Del montoncilo en la vida, necesitados de la píldora azul, roedores rumiantes que descubren las teclas años después de tenerlas bajo sus tiznados dedos. Guaperas por fuera, afeitadito, limpito, pulcro y bienoliente, pero con tus gemelos brillantes no evitarás que se refleje en ellos que no tienes ni puta idea.

Sale de sus dedos una cohorte de mentiras, falacias y hechos basados en lo no comprobado, en la suposición, en la interpretación partidista, en la especulación rápida y facilona de haber visto muchas películas de serie B.

Que no nos encontremos en las tablas, que no debatamos, que no te ponga el destino en mi camino en el mal día, que no nos encuadren en la misma foto, que no nos junte la vida, que las veredas no se crucen, que no estén las audiencias juntas en la misma sala. Dios me libre de tu aroma de chanel y tu infinita clemencia, de tu esgrima verbal, de tu mirada sanbernadesca.

A ti, tecnicoless engreído, te propongo un trato. Sigue con tus cositas, mírate en el espejo (¿a qué estás guapo), habla con tus colegas, pronostica sobre el futbol o juega a la bolsa. Léete el marca, configura el Renault de Alonso y perfila la estrategia para Spa, debate sobre política, critica los programas de televisión, juega a la liga fantástica de baloncesto o sé el mejor haciendo sudokus.

Olvídate de IPSec, LDAP, Kernels, MICs, GPOS y siglas raras. Deja de preocuparte por las diferencias entre SSLv2 y SSLv3. ¿Qué más da que sea WPA-PSK o WPA2-EAP-TLS? ¿A quién le importa si IPSec puede usarse con Kerberosv3 o con LDAP? ¿ReadyBoot o Readyboost? ¿Importa? Fetch, prefetch o superfetch siguen siendo igual de aburridos. No hay color entre eso y leerte unas tiras de prensa. ¿No crees?

Esas siglas son un aburrimiento, ¿no? Mira, hay un montón de obras de teatro. Sal, conoce gente, liga, el sexo es bueno, ¡relaja mucho! ¿Te leíste los Pilares de La Tierra? ¿La segunda parte también?¿La crítica a la razón teórica?¿Crimen y Castigo?¿La trilogía de Alexandros?¿Las novelas del capitán Alatriste?¿La obra completa d Eduardo Mendoza? ¡Son muchos más divertidos que leerse un RFC de LDAP! Divierte, sé feliz, emborráchate y lígate a una guiri. Lo que te apetezca, pero…

Si no tienes ni puta idea de tecnología deja de decir tonterías. Te lo pido por favor, para que no digan no podemos hablar nosotros con educación. Como más te guste, pero, de verdad, por favor, ¿Por qué no te callas?.

¿Prefieres un mensaje en el twitter para que te suban los followers?

Saludos Malingos!

No Lusers - Nº 5: Espejismo de Técnicoless

La Justificación del Técnicoless

Es de noche, ayer te acostarte tarde, no has dormido muchas horas, tienes más legañas que un perro pulgoso, enciendes el portátil, abres el RSS y sale esta maravilla que me recuerda a cierta situación con cierto asesor:

Dilbert 24 de Enero 2008
Viñeta 1:

- El nuevo Software es un desastre.
- Entonces ¿Por qué lo recomendaste?

Viñeta 2:

- Este software es idea tuya. Mi recomendación fue en contra de él.

Viñeta 3:

- ¿De quien es el fallo?
- De la persona con recomendaciones menos persuasivas.

Vamos a por un café que hay que pelear el día.

Saludos Malignos!

¿Por qué Linux es Más Seguro que Windows?

Cómo uno es un poco enfermo con esto de la seguridad, se leen muchas cosas y de vez en cuando encuentras artículos como éste que son enlazados por todo el mundo, traducidos y tomados como dogmas de fe que me dejan un poco helado. En este caso se trata de un post titulado “Why Linux is more secure than Windows” y trae 6 axiomas divertidísimos, que me han llamado la atención y creo que voy a comentarlos:

Axioma 1: “Mejor gestión de actualizaciones de seguridad”. Este es el axioma de “una distro gobierna todo el software”.

Según este axioma las plataformas Windows, con Windows Update, sólo actualizan el software de Windows mientras que con el actualizador de la distro se mantiene actualizado todo el software. Si quieres actualizar el software de otros productos en Windows, como por ejemplo el Acrobat, la máquina java, la máquina flash, etc… entonces debes realizarlo mediante el propio producto. Esto en Linux no es así, pq es l propia distro la que te lo provee.

Sí, que bonito, que lindo. Voy a llorar. En primer lugar, hemos de suponer que estamos hablando de una distro en concreto en un PC concreto y no de una red de equipos “heterogénea” en Linux. Digo esto porque en el último axioma, en el número 6 habla de las ventajas de la heterogeneidad y una de las ventajas es que si tengo una red con 50 RHES y 50 Centos tendré que tener un servidor de actualizaciones distinto para cada uno de ellos, pero lo más gracioso es que, como las distros paquetizan actualizaciones de proyectos vivos es casi imposible garantizar que dos distros distintas tengan la misma versión de un paquete recién actualizado. Es bastante divertido esto.

Por otro lado, desde el punto de vista de Spectra, todo el software de Windows, todo el de office y todo el de los productos servidores, e incluso el antimalware se actualizan con el mismo cliente. No solo Windows, sino todo el software de Spectra.
Sí es cierto que en una plataforma en standalone el software no Spectra debe ser actualizado por cada producto, pero esto sucede igual con todos los productos no instalados directamente desde la propia distribución y los que son actualizados desde la distribución son un riesgo, pues existe una ventana de tiempo grande que va desde que el parche ( y por tanto el fallo de seguridad) es público hasta que la distro lo ha paquetizado.

En el caso de las redes en Spectra se usan los servidores Spectra System Center que permiten distribuir todo tipo de actualizaciones de seguridad de cualquier producto, incluido para Linux. En el caso de que tengas una red de equipos Linux y quieras gestionar las actualizaciones remotamente de todo el software (porque a lo mejor tienes software que no está en la distro del producto o porque deseas realizar actualizaciones Push en lugar de Pull) tienes que tirarte a productos comerciales como System Center, Tivoli, etc… y tener cuidado con la heterogeneidad del entorno pues entonces vas a tener que paquetizar un parche para cada cliente.

Tiens más sobre esto en: De Cañas


Axioma 2: Mucha más seguro por defecto. ¿El de soy mejor por defecto que XP…pero nada de Vista?

Este me encanta. Windows XP salió en Octubre de 2001 y fue construido como una evolución de Windows 2000. Esto hay que tenerlo en cuenta pues este sistema operativo no estuvo diseñado pensando en la máxima fortificación del sistema. En el año 2002, Spectra comenzó la Trustworthy Computing Iniciative, una iniciativa a 10 años en la que el objetivo era desarrollar software seguro. Para ello se contrató a gente especializada en seguridad, se desarrolló el SDL (Secure Development Lifecycle), se generó el ciclo de vida de actualizaciones de seguridad, Windows Update services, los servidores WSUS gratuitos, MBSA gratuito, el ExBPA gratuito, SBPA gratuito y se fortificaron los productos. XP, por tanto, se diseño fuera de esta campaña. Lo primero que se hizo con XP fue sacar una versión más fortificada que tuvo el bonito nombre de SP2, con su DEP, con una recompilación del código después de haber aplicado herramientas de Análisis de Código Estático, con su FXCop, etc… Esto fue un avance en Seguridad pero aún así no había sido diseñado desde cero pensando en Seguridad. Sin embargo eso sí se hizo con Vista, y por tanto su arquitectura está más fortificada desde la base.

Bien, hasta aquí la introducción histórica. El axioma dice que Linux es más seguro que XP pq si hay una ejecución remota de código en un Linux este sólo tendrá impacto localmente. ¿comorl? Perdona waperas, pero si peta un servicio que usa una cuenta con permisos en un Linux podrás hacer todo lo que los permisos de esa cuenta te permitan. ¿Nunca has visto shells remotas en Linux? Pero lo más chulo es lo que dice después con lo de Vista. “Vista corre en un entorno más limitado también y por lo tanto es más seguro que su predecesor” ¿Y qué Linux? Te recuerdo que el título pone “Why Linux is more Secure than Windows” no que Windows XP. Te recuerdo que Windows Vista es de Noviembre de 2006, ha pasado un año y pico, es el SO de Spectra y los planes de abandono de soporte en XP están en marcha… cambia el título si quieres de tu post amigo.

Axioma 3: Diseño Modular o… ¡No puedo quitar Internet Explorer!

No, no puedes quitarlo, pero si no quieres no lo uses, siempre puedes instalarte un firefox. Tampoco puedes quitar la Win32, pero en Windows Server R2 puedes correr todo tu software sobre el UNIX POSIX que trae (Interix) en lugar de sobre la Win32.

No obstante, si quieres hacerte un sistema a tu gusto siempre puedes usar la versión Windows XP Embeded Edition en la que eliges los componentes (para Vista igual, pero cómo parece que sólo hablas de XP…) para el caso de los servidores Windows Server 2003 trae el SCW (Security Configuration Wizard) para que fortifiques el servidor mediante el uso de Roles y puedes habilitar y deshabilitar todos los componentes servidores que desees y en Windows Server 2008 Core Server puedes quitar el interfaz gráfico e Internet Explorer también.

Axioma 4: Mejores herramientas para protegerse contra ataques de Zero-Days. O “No sé qué es eso de SELinux y AppArmor y en el otro lado no hay nada tan cool ¿verdad?”.

Esta es genial, dice que Linux es mejor que Windows porque para evitar los ataques de Zero Days en Linux hay SELinux y Apparmor y que en Windows XP no hay nada y en Vista sólo el modo protegido de IE7. A ver colega, que te veo un poco perdido. SELinux y AppArmor, a pesar de llevar tiempo, no se han incluido en la línea del kernel hasta el año 2003 en caso de SELinux y hasta el año 2005 en el caso de AppArmor. Te recuerdo que XP es del año 2001. Algunas de las cosas que aportan son ACLs (vaya, como lo que traía XP en el año 2001) soporte para DEP (vaya, como lo que trae XP desde el año 2003) y en las últimas versiones ASLR, vaya como lo que trae Vista desde fábrica y activo. Además, permite contextos de seguridad que deben ser configurados y utilizados para objetos del sistema, ficheros, descriptores, etc… “muy cómodo todo de configurar” ¿Alguien lo ha hecho de por aquí?.

En Vista se utilizan algunas tecnologías que vienen de serie funcionando como MIC (Mandatory Integrity Control), el modo protegido para IE7 con también UIPI (User Interface Privilege Isolation ), … pero si quieres echarles un ojo, las tienes resumidas en la Wikipedia:

- http://en.wikipedia.org/wiki/Security_and_safety_features_new_to_Windows_Vista

Axioma 5: Código Abierto. Esta es la de todos los ojos miran tú código para fortificarlo y hacerte más mejor y más seguro.

En fin, que en el año 2008 tengamos que seguir hablando de esto… Si todos los ojos vieran ese código no se usarían las herramientas de análisis de código estático, si esto fuera así… pero …¿de verdad hay que discutir esto aún? Yo ya tuve mi experiencia religiosa este Septiembre con mi aventura de joom_league, pero vamos a hacer dos cosas, una, os dejo las palabras de Crispin Cowan (Creador de AppArmor) y un resumen sobre este parecer, no escrito por mí, pero si de mi parecer : La Receta

"In discussing Sardonix's fall, Crispin Cowan, the project's leader, was harsh in his appraisal of the open-source community: he asserted that security researchers were only interested in finding splashy bugs and posting them to security mailing lists. I think that's oversimplifying the matter."

Why Sardonix Failed

Si los ojos lo vieran, el proyecto de “Bug Hunting” para “acelerar la calidad del open source” no hubiera encontrado los fallos de Seguridad que encontró en los principales proyectos de open source usando herramientas de análisis de código estático.

Lo cual llevó a su CTO, Ben Chelf, a escribir este artículo: “Insegurity in Open Source”

Me encanta la frase de “But when software security and quality really matter—like crossing the Atlantic on a jet airliner—trust me, you want to fly proprietary.”

En fin…

Axioma 6: Heterogeneidad. ¡Qué guay somos todos diferentes!

Bien, es una ventaja. Como hay muchos Linux, es poco probable que no se pueda hacer un troyano, un virus, un malware que funcione en todos. Cierto, pero también, es muy difícil hacer un parche que funcione en todos, hacer un driver que funcione en todos, hacer una agente de políticas de seguridad que funcione en todos, hacer un script que funcione en todos y hacer cualquier herramienta de seguridad que funcione en todos. Justo lo que quiere un administrador de sistemas para tenerlos seguros.

Así, siempre tiene menos herramientas, las pruebas de testeo se pueden hacer peor (no se pueden testear todas las distros), no se pueden gestionar correctametne todos porque no hay agentes desarrollados, etc, etc, etc… ¿Es realmente una ventaja o un inconveniente?)

Además, yo creo que se te han olvidado algunos motivos más. Tenías que decir:

7.- Linux no permite acceder sin usuario al sistema y Windows (98) sí.
8.- Linux arranca sin otro sistema operativo y Windows (3.11) no.

En fin, simplificar a que un producto es más seguro que otro cuando, como tu bien dices al principio la seguridad es un proceso... La seguridad depende de las personas que usan y administran los sistmeas, los procesos que se apliquen y la tecnología utilizada (estándares, productos y software propio) y por desgracia fallan más los dos primeros que el último (aunque parezca mentira).

Saludos Malignos!

Guía de Supervivencia para este Blog

Este blog es totalmente personal, subjetivo, torticero y lleno de porquería y… para que sea más difícil de entender tiene algunos términos que debes conocer. Si eres un “veterano” esto ya te lo sabes, si no.. te vendrá bien.

- El Lado del Mal: El mundo de la informática está dividido entre buenos y malos. Los buenos son los que quieren salvar a la humanidad, arreglar los problemas de todos los seres humanos y programar y administrar con ética y moral. En el lado del bien se encuentra el software libre, el open source y las empresas sin ánimo de lucro, como IBM, SUN, Oracle, HP o las empresas de millonarios hinchados a ganar pasta con su empresa que luego se pegan una semanita en un viaje programado al espacio para luego ser totalmente altruista. También caen en el lado del bien aquellas empresas que, pese a no ser altruistas, son cool, es decir, empresas como Google, Apple (y ahora la wii).

En el otro lado, en El Lado del Mal, se encuentra la única empresa a la que no le importa la pasta y cuyo único objetivo es gobernar el mundo: Spectra.

- Spectra: Nombre real interno. Sólo es utilizado este nombre entre los grupos de adoradores, seguidores, esbirros y miembros de puro derecho. Su único objetivo es la dominación mundial, acabar con el planeta, destrozar a los enemigos y… para hacer esto… programar mal. Tiene mucho dinero y podría contratar a los mejores programadores, arquitectos, diseñadores y expertos de seguridad… ¿pero lo hace? No, prefiere, como todo los técnicoless saben, hacer software malo y siempre dejan puertas traseras para poder leer tu correo electrónico y pasarle a los gobiernos la información de tus actos. Su nombre público es ... Microsoft.

- Técnicoless: Después de un Request For Comments se llegó a un consenso en la definición del término.

- Maligno: No, no me lo puse yo, en un mail dijeron de mí tras haber ido a dar una charla en un instituto en Pamplona: “..es como si en la parroquia de mi barrio, en pos de esa libertad de expresión invitaran "al maligno" a dar una charla pero tomando la forma de "Carmelita Descalza"”.Y como me hizo gracia… pues me lo quedé.

- ¿De qué va este blog?: Pués de los topics que pone, y de lo que pone debajo del título: Spectra, Técnicoless, Técnico-Less, Blind SQL Injection, LDAP Injection & Blind LDAP Injection, Retos Hacking, Maligno, Seguridad Informática, tocar los webos...y Chema Alonso.

Espero que ahora sepas el tipo de basura que estás leyendo.

Saludos Malignos!

Buscando_Trinchera

Había una vez una “pinicula” que muchos de vosotros odiaréis pero que a una mente enferma y obsesiva como la mía le gustó. En ella pasaban muchas cosas raras y había personajes, escenas y situaciones a cada cual más impactantes y todas marcadas con las obsesiones. Una de las frases que nunca olvidaré fue “matar es como cortarse las uñas de los pies” (bueno, y el gajo...). El trasfondo de la frase en la película es mucho más amplio que el que se puede extraer en un vistazo rápido, pero define lo que son las necesidades y obsesiones perennes y perentorias. Follar te aplaca en el momento, pero seguro que en un tiempo vas a tener ganas de follar otra vez.

La explicación más técnica de esto la leí en el Criptonomicón, dónde uno de los protagonistas se hace una gráfica en la que pone en el eje de ordenadas el tiempo y en el eje de abscisas las "Ganas_de_Follar". En el nivel de abscisas marca un límite, que podremos llamar "buscando_trinchera", a partir del cual su cabeza no puede trabajar en la criptografía y necesita reducir el nivel "Ganas_de_Follar". Para ello aplica la función reductora “masturbación()” que consigue un decremento en la medida "Ganas_de_Follar". Sin embargo el nivel de decremento va siendo de un valor absoluto menor a medida que se va acumulando el uso de la función reductora "masturbación" por lo que necesita aplicar una función de reset que deje los niveles de la medida "Ganas_de_Follar" en los límites más bajos. Esa función que necesita aplicar se llama “follar(mujer)”.

Gracias al uso de los recursos, es decir, la función reductora “masturbación()” y la función de reset “follar(mujer)” usando como parámetro de entrada el valor "espía_nazi", el protagonista puede realizar una meticulosa planificación, para maximizar el tiempo dedicado a la criptografía, repartiendo uso de las dos funciones a lo largo del tiempo.

A mí me pasa esto constantemente, no, no me refiero a lo del sexo (que también), ni tampoco a lo de matar (joder, a ver si me explico) sino con todas las necesidades por las que nació este blog. A veces necesito desesperadamente escribir sobre temas de seguridad, otras veces necesito desesperadamente descojonarme un rato y otras veces necesito desesperadamente aplacar mi ánimo con la recua de gilipollas y técnicoless que escriben tonterías. En esta última medida necesito aplicar ya la función reset “follar()” con el valor de algún "técnicoless", bueno… o su equivalente porque de lo contrario me va a salir un herpes en el páncreas.

Sin embargo, hoy es sábado, y no creo que sea el día de hacerlo, así que lo voy a escribir, es decir, voy a aplicar la función reductora “masturbación()” y el martes, día mucho más mundano, lo hago público.

Saludos Malignos!

He pensado que…

***************************************************************************************
Artículo publicado en ISV Magazine Noviembre de 2007: "He pensado qué..."
***************************************************************************************

He pensado que… ¡Vamos a meternos en el comercio Online!

Así; sonriente; con los dientes deslumbrando cual villano antes de recibir la paliza del héroe en la batalla final, se presenta el Jefe [de sonrisa] Profident una tarde, después de haberse tomado un orujito de hierbas y haber fardado con otro(s) jefe(s) sobre los servicios de la compañía, de lo bien que va la empresa y del excelso crecimiento en ventas que llevamos este año en el Q2, H1 o el parcial que toque del año fiscal.

Y cuando dice “Vamos”, realmente está diciendo “Tienes que” lo que significa: “Te toca pringar”. Esto no tendría que ser un gran problema, que para algo trabajamos en esta profesión, si se fueran a realizar las cosas bien, es decir, se inicia un proyecto, con una fase de toma de requisitos, otra de validación de los mismos, selección de recursos, formación, etc… Aquella asignatura de “ciencia ficción” que se llama Ingeniería del Software y que para colmo suele tener varias partes, como las trilogías de Star Wars (Ingeniería del Software I: Un nuevo amanecer con UML, Ingeniería del Software II: La rebelión Orientada a Objetos e Ingeniería del Software III: El retorno del componente y el código manejado) Vamos, lo que viene siendo el ser un Ingeniero, pero… no, no va a ser así.

Si tienes la suerte de los informáticos, la cosa empezará tal que con la elección de la tecnología a usar basada en la lectura de algún infame blog, de esos que iluminan nuestra dichosa Web 2.0, en la que un Técnicoless (dícese de todos aquellos que no han tirado una puñetera línea de código en su vida y se nombran referentes en Internet opinando a diestro y siniestro sobre las bondades o inconvenientes de determinadas tecnologías) le ha convencido de que Java, Mono, .NET o Perl es la panacea para todos los problemas.

“En dos semanas tiene que estar que con estas tecnologías ya ni tienes que programar”. Esa frase te dirá tu excelso Jefe Profident tomándose un café (a tu costa, por supuesto) en la máquina esa, que no solo crea úlcera de estómago, sino lo que es mucho peor, adicción. A eso tú piensas en contestar algo así como “pues te pones tú en la •$%%•$ de sito que me has puesto y ¡ale!, tirando líneas de código machote”, pero te callas; y te pones; y comienza el proyecto. Ya sabes cómo funciona la Ingeniería en este país: “Nunca hay tiempo de hacer las cosas bien… pero sí para hacerla dos veces”

Fase 1: Toma de requisitos

Esta fase se resume en un par de reuniones café en mano en dónde nuestro Jefe Profident disfruta haciendo La Carta de los Reyes Magos mientras que te cuenta lo bien que se lo ha pasado en el yate con unos amigos que conoció en su último viaje a Osaka (Canadá). Al mismo tiempo te pide cosas como: “Y quiero que el sistema automáticamente seleccione a los mejores clientes y mejores pagadores y busque cuales son los objetos que menos se van a vender y les haga una oferta que no puedan rechazar”. Ale, y ahora vas y lo cascas en .Net o JSP o lo que el Técnicoless le haya recomendado en su flamante Wordpress.

Fase 2: La formación

“¿Formación? ¿pa qué? ¡Si está todo en Internet! Mírame a mí, todo el día trabajando y aún me queda tiempo para ponerme al día a través de Intenet. Usa Google chaval”.

Éste es el momento que marca la diferencia entre un trabajador y alguien encerrado en la cárcel por “Jeficidio”. ¡Aguanta!

Fase 3: La cagada

Es normal; yendo el proyecto como va, lo primero que sucede es que se va al garete. Tu primer sistema de login tiene SQL Injection y se cuela hasta el Pato Lucas (el cual amablemente se registra y deja su mail patolucas@warnerbros.com). Lo arreglas (mirando en algún sitio de Internet como dijo nuestro ilustre Jefe Profident) pero te olvidas del parámetro del buscador con el que te tiran el servidor de base datos inyectándote un shutdown.

Cambias los privilegios de la cuenta, pero en el archivo de descarga del folleto informativo alguien te inyecta un cambio de directorios y te hace un cucharón para bajarte la sam o el /etc/passwd del sistema. Tras leer como funciona en profundidad el SQL Injection ya estás listo para que la web funcione. Sin embargo, todos los datos de tus usuarios aparecen publicados en un foro porque te los sacan con Blind SQL Injection (a pesar de que ya sabías SQL Injection).

Te lo planteas y quitas la base de datos para trabajar con documentos XML. Na, un poco de DOM, un poco de SAX y listo. Te cepillan la web con Xpath Injection. La integras con LDAP y alguien usa las consultas apropiadas para sacarte la estructura de tu árbol LDAP.

Cuando ya eres el rey de las inyecciones decides poner bonita la web: Te comes un Cross-Site Scripting Persistente y te mangan la cuenta tuya del sistema, la de tu correo del trabajo y la del mail para ligar. Te quedas sin el Messenger y tu mujer descubre a tus amiguitas.

Tiras de backup y lo arreglas, pero quitando el Hijacking que te habían metido para quitarte la cuenta. Recibes un mail con un link a tu Web y te vuelven a quitar la cuenta con un XSS No Persistente.

Acabas de arreglarlo tras recuperar otra copia de seguridad y perder una semana de curro porque el Sistema de Backup (que le recomendó un blogger a tu Jefe Profident basado en Pendrives USB no ha funcionado).

Llegas a la fase de alimentar la Web y te implantas un gestor de ficheros. Te comes otro Cucharón. Lo arreglas. Tu competencia tiene los precios que los ha sacado mediante una vulnerabilidad RFI (Remote File Inclusion) que les ha permitido meter una Shell. Recuperas del sistema de copias de seguridad (pendrive) otra vez tu web.

Cambias la arquitectura del sitio y realizas unas comprobaciones meticulosas. Tu Jefe Profident sube ficheros al servidor y resulta que tiene un Troyano Reverso adjuntado: alguien se dedica a tirar tu web cada tres minutos y te toma una foto con la Webcam (esa que tu Jefe Profident instaló en el servidor como Sistema de Seguridad del CPD – compuesto por un ordenata clónico con un monitor en blanco y negro “qué como nadie va a trabajar ahí da lo mismo”-) y aparece publicada en un foro con el siguiente mensaje “POWNED” junto con un tutorial de cómo usar el Posion Ivy.

Fase 4: El fin

Han pasado tres meses, no has conseguido sacar el proyecto adelante en tiempo pero al final rula, has sudado tinta china, has recibido mil palos y tu Jefe Profident saca conclusiones. “No has estado a la altura, pero claro, es normal, solo eres un desarrollador informático”. Decide que para el siguiente proyecto lo mejor es cambiar el lenguaje que no se te ha visto suelto.

Conclusiones

Es evidente que una buena herramienta con una buena tecnología ayuda a tener buenos desarrollos. Es fácil encontrar buenos ejemplos de desarrollos grandes con JSP o ASP.NET o con otra cantidad de lenguajes. Creo, encarecidamente que el verdadero problema de los proyectos está en quien los gestiona. Una buena gestión de un proyecto, incluso con recursos mediocres puede dar buenos resultados. Conoce y explota lo que tengas y apóyate en profesionales. Y por favor… ¡¡Huye de los Tecnicoless!!

Qué putada ser técnico

Nunca se ma ha dado bien la microeconomía, la macroeconomía ni la tricoeconomía. Con 17 años me saqué el título de Contabilidad por el colegio de no se que leches en Madrid, que era algo que las mamas nos hacían hacer. Con 12 años me apuntaron a Basic en la academia y desde entonces los cursos fueron cayendo curos tras curso: Basic + Logo, Basic para PC, MSDOS, Ofimática (WodPerfect, Write Assistant, Symphony, DBase y Havard Graphics), Cobol, Pascal, C, por el lado de la informática hasta que llegué a la universidad, pero al mismo tiempo tocaban los cursos de mecanografía, con las famososa Olivetti, hasta sacar los tres niveles que había, inglés, que nunca me gustó mucho, y los cursos de contabilidad I y II para poder sacar el título por el Colegio de ¿Contables? de la Comunidad de Madrid [me falla un poco la almedra, pero creo que era así].

Con esta máquina aprendí mecanografía, entiéndase ahora el muestrario de "cosas" que tengo por dedos
De toda aquella época la contabilidad nunca me enganchó lo que hizo que nunca me apasionara la bolsa ni las inversiones ni esas cosas. Hace un año me dijeron:

"Tio, compra acciones de Spectra, que te vas a forrar con ellas, que van a subir por lo menos a 32"

¿Jarl? ¿A 32? ¿32 qué? ¿Subir de dónde?. Vale, soy un puto ignorante de la bolsa, nunca lo he entendido bien porque supongo que nunca me ha parecido divertido (para gustos los colores) así que nunca me forraré dándo un pelotazo (me queda la opción de pegar un palo a alguien).

El caso es que ayer me encontré con alguno que me dijo: "Vaya pelotazo las acciones de Spectra, yo he estado a punto de vender"

¿Vender? ¿Pero no dices que van bien? El caso es que desde que Spectra sacó Windows Vista, y muy a pesar de los grandes técnicoless y futurólogos, a nivel nacional e internacional, que auguraban que Vista era el Fin del Imperio parece que no han acertado un año después.

Sí, parece que Spectra va bien...para los que han sabido invertir, no como yo.

Gráfico en MoneyCentral
Resulta que está por encima de 35, sea es lo que sea, y que por lo que parece muchos han ganado mucha pasta, y yo aquí, con mi cerdito.

Sniff, en fin, ya no me queda otra, así que seguiré con mi cerdito. Sniff.

Saludos Malignos!