Aracnofobia

En las sesiones de seguridad, cuando hablamos de código seguro siempre hacemos hincapié en lo chungo que es programar algo pensando en la seguridad del código que estas tirando y la inter-relación del mismo con el código que tiraste antes y tienes en bibliotecas, el código que tira otro compi, las librerias que desarrollamos hace tres meses o las que utilizamos de otros pallos.

Para validar la seguridad del código se utilizan herramientas que se leen el código y comprueban los fallos en los mismos. En el mundo del SL no había ninguna herrmaienta de este tipo y al final el gobierno americo, metido en muchos proyectos con SL, tuvo que poner la pasta para hacer un proyecto que se llama "Bug Hunting" y que se inspeccionen los principales proyectos SL. Esta semana han salido los primeros resultados, y son cuanto menos curiososos. De todos los proyectos han sacado 1.5 fallos de media por cada 1000 líneas de código: http://www.washingtontechnology.com/news/1_1/homeland/28134-1.html

Una lista más detallada de esto se encuentra en : http://scan.coverity.com/

"Tironcito de orejas" por tener 841 fallos en la última versión del kernel de linux y aplauso por reconocerlos. ;)

Pq no hay SL de esto y el gobierno ha tenido que pagar el proyecto? Dice un amiguete que programar cosas chulas y cortas te animas y lo haces, pero cosas chungas suele tener menos adeptos, por eso por ejemplo Linus Torvals [sigue usando] Updated: utilizó durante mucho tiempo SP para gestionar las fuentes del kernel ... y genera(ba) la polémica: http://www.gnu.org/philosophy/linux-gnu-freedom.es.html

"El asunto de Bitkeeper
El uso de Bitkeeper para las fuentes de Linux tiene un efecto grave sobre la comunidad del software libre, porque cualquiera que quiera mantenerse al día en los parches de Linux sólo lo puede hacer instalándose ese programa no libre. Debe de haber docenas o incluso cientos de hackers del núcleo que han hecho esto. Muchos de ellos se están convenciendo gradualmente de que está bien usar software no libre, para evitar un sentimiento de disonancia cognitiva sobre la presencia de Bitkeeper en sus máquinas. ¿Qué puede hacerse al respecto?"

En fin.

Batalla en el Correo

En el Periplo Bulgaro que nos lleva de cabeza (sin poder ni tan siquiera contestar todos los mails, sniff, lo siento, a ver si este finde por la noche....) nos llevó desde Barcelona a Malaga, donde dormíamos para ir a Ronda por la mañana en un flamante coche de alquiler. Entre medias de Malaga y Ronda nos fuimos a cenar (pagando ellos, claro) con la gente de Hispasec, como se había comprometido Bernardo en este blog.

Allí, se encontraban Bernardo, Sergio, Roman, otra vez Sergio, Antonio y Francisco por el lado de Hispasec y el abuelo pardovich y yo por nuestro lado.

La batalla fue brutal y perdieron los peces ya que nos pusimos ciegos, sobre todo nosotros, con el cazón, el purpo frito, los boquerones, las arañas (que ni puta que es pero estaba rico). En mitad de tres cervezas y varios tintos de verano se desató el debate tecnológico donde dos fuerzas de la naturaleza se enfrentaban con distintos argumentos, el abuelo, vena en cuello y Sergio con su sosegada calma controlada por las acusaciones que le lanzaban sus compañeros (medio en coña medio en broma) de talibán.

Al final gano ... el del pub donde servían los juanitos caminates con hielo y más acompañantes.

A la mañana siguiente ya con nuestros anfitriones en ronda Bernardo nos mandaba una al día en versión SMS al movil del abuelo hablando del fallito gordo de Sendmail: http://www.hispasec.com/unaaldia/2707

Así que nada, todo empezó con una batalla de correo y perdidas en los servidores de correo.

Bueno, os dejo desde Toledo, donde el abuelo sigue contando como peleó con un rootkit hackerdefender 0.7 y me toca trabajar otra vez.

Saludos Malignos!

Sniffers

En muchas de las sesiones comentamos como se puede detectar que alguien está snifando (mirandole si tiene los ojos rojos...) mediante diferentes test como el de ICMP, DNS o el de ARP. Este último test lo que hace es enviar una petición de resolución ARP sobre una IP falsa a una MAC que no existe. En teoría nadie debería contestar pero el que está chupando tarjeta sí que contesta. Esto lo hace por como está programado el modulo de respuesta ARP.

Pero..... no, el post este no va de esos sniffers ni de detectores de ningún tipo.

En la última newsletter que envié, en la noticia de "fondo" iba una entrevista a ..... bueno, a él: http://www.youtube.com/watch.php?v=3uAH81SU0aE

Lo malo de esto es que tienes que verlo online y a veces mola tenerlo ofline para enseñarselo a un colega o una colega en un bar o reirte en el tren o pasarlo (pasalo, pasaselo). Asín que os paso un link de un sniffer, llamado El aspirador para que los podais bajar al ordenadorete.

http://www.elaspirador.com/

Malignos saludos

Enseñame la Pasta

Aún sigo vivo, y no creais que ha costado poco. Los virus están remitiendo, el parche de aspirina no fue mal para la batalla en la nariz media, pero la oleada de orcos de Laguardia hizo que casi perdiera la voz ayer. En fín, que vida.

El caso es que ya está acabando la gira de Seguridad (con la de hoy en Valladolid queda solo 1 ciudad) y ya estamos viendo ir a Barcelona, Pamplona (seguro el 19 de abril), Santander, San Sebastián y repetir en Madrid otra vez. En fín, más fiesta!.

Hoy de regreso voy a un programa en Radio 3 sobre "Luces y Sombras en Internet" en el espacio "En un mundo feliz". Supongo que me han invitado para que yo sea la sombra, que vida, pero cuando regrese pienso descanasar o algo que ya es hora!

El caso, y asunto del post de hoy, es que me he puesto a leer, as ever, las noticias del mundo de la seguridad y ha aparecido una que me ha vuelto a impactar. Desde hace tiempo, cuando preparo mis demos, pruebo exploits desarrollados por la comunidad, para poder ilustrar algún problema de seguridad. Las webs que suelo usar siempre son las mismas:

- http://www.elhacker.net: Brujo y Anelkaos tienen mi cariño y respeto profesional, al primero le debo una cena y al segundo (si se pone en contacto conmigo) una proposición indecende no de ley (sabes mi email). En español y con buena gente colaborando en todo lo que puede.

- http://packetstormsecurity.org/: La meca del cine, el corazón, tanta información que es dificil digerir, pero ahí suelen estar las mejores POC.

- http://cyruxnet.org/ : En castellano tb, muy buena, con buenas tools, buenas noticias y algún exploit POC muy majete. Conocí en Zaragoza a uno de los chavales que escribía allí (3 puntos tb).

Bueno, son muchas más, algunas para cosas concretas: infohacking, zone-h, securityfocus, etc.... pero hay una que me molaba mucho por la seriedad y facilidad de su sistema de organización. En origen se llamaban k-otik, luego la compró una empresa y le puso el nombre de FrSIRT (http://www.frsirt.com), allí hay mogollón de buenos códigos POC de exploits donde yo he cogido más de alguno...s.

En fin, después de que Nessus abandonara la licencia GPL y Snort se vendiera a CheckPoint (http://www.hispasec.com/unaaldia/2543) ahora FrSirt vende los exploits (http://www.eweek.com/article2/0,1759,1938511,00.asp?kc=EWRSS03129TX1K0000614).

Parece que se me acabó una fuente gratuita, pero... si los exploits cuestan pasta serán buenos y los tendrá menos gente, sus efectos durarán más tiempo pq se quemarán menos, luego... mmmm. No se, no se. ¿Qué significa? ¿Hacia dónde vamos?

Como decía Jay y su colega Silent Bob: "20 pavos chavalín, pon la pasta justo akí, si no tienes me los debes debes debes"

¿Opiniones?

Infectado

Sí, así estoy, así me encuentro, tanto trabajar con ficheros de barrios bajos de la gran manzana que es Internet que al final alguno ha saltado de este viejo portatil (que ya hay que darle la medalla al trabajo) y ahora estoy con pañuelos, dolor de garganta e hinchadome a drog... medicamentos.

Pero no he sido el único, por fin un antivirus ha reconocido uno de los autenticos virus informáticos, uno de los peores, ese que hace reportar a todos los trabajadores lo que ha realizado al finalizar su jornada y que recibe el bonito nombre de fiscalización del tiempo, uno que hace que patanes mediocres suban en escalafones en las organizaciones a base de jugar con esas matemáticas que nunca aprobaron en sus épocas de estudio, un virus que martiriza a todo el mundo con presupuestos, margenes, etc...

Sí, hablo del Excel, por fin un fabricante de antivirus se ha atravido a firmarlo como tal y ha montado un pollo de agarrate y no te menees!.

¿No tendrás McAffe en tu organización?? Pues cuentanos la experiencia, pq no se cuantos equipos habría sin Excel.

http://www.techworld.com/security/news/index.cfm?RSS&NewsID=5555

El errorcito, sin importancia, solo ha hecho que se detecten 7 PÁGINAS DE FALSOS POSITIVOS!

http://vil.nai.com/images/CTX_file_list.pdf

Ná, pelillos a la mar. Voy a seguir poniendome fino que a mi los medicamentos me afectan poco. ¿por qué será?

PD: De lo de la password de root en texto claro en Ubuntu legible por todo el mundo no digo nada pq os enteraréis por todas partes.

http://www.securityfocus.com/brief/161?ref=rss

Pero no pasará nada, pq son de los buenos, si lo hiciera Microsoft...... (vaya, dije que no iba a decir nada y ya lo dije, soy más torpe que John, el dueño de Garfield)

Mamá, hay un monstruo debajo de la cama

Cuando vi la peli de Monstruos S.A me sentí identificado con esos pobres niños que no querían mirar dentro del armario. Cuando me asustaba, me comía la cabeza y no podía dormir entonces me escondía debajo de las sabanas para protegerme, contento de tener controlado todo lo que era mi mundo en esos momentos, es decir, el mundo debajo de la sabana, pero no debajo de la cama ni el armario, eso no existía en mi mundo. Era como si pudiera controlarlo todo y tenerlo seguro. De aquella époco saqué una afición a hacerme el bicho bola y acampar debajo de las sabanas.

Hoy iba a poner un post sobre los concursos de seguridad, pero he visto esta noticia y me he acojonao más que Schumi viendo salir a Alonso de boxes hoy al medio día.

Comentaba hace unos posts los rootkits de BIOS que se presentaron en la BlackHat de enero de este año y sobre como troyanizar los sistemas.

http://elladodelmal.blogspot.com/2006/01/rootkits-para-bios.html

Hoy leo que los chicos de investigación de Microsoft junto con la universidad de Michigan han estado trabajando sobre una nueva tecnología Rootkit. Esta consiste en entrar en un sistema y virtualizarlo, es decir, el rootkit ya no corre a nivel de usuario, no corre a nivel de kernel, sino que corre por debajo del propio sistema operativo.

De momento solo es una prueba de concepto, pero la idea es la pera, sería como vivir siempre en el mundo de la sabana, con el monstruo debajo de la cama tocando los "servicios".

http://www.eweek.com/article2/0,1759,1936666,00.asp?kc=EWRSS03129TX1K0000614

Sniff. ¡Mamá, no quiero ir al cole!

Perdido

La Gira de Seguridad que me está llevando al rededor de España está llegando a su primer final, parece ser que vamos a continuar por alguna ciudad más (Barcelona, Pamplona, Santader y Bilbao) pero todavía no está cerrado del todo.

En Valencia, no pude participar en el evento, pero estuvo Juan Luís, que es un máquina y mucho más serio que yo, así que para que no se diga que no trabajo nada os dejo dos links curiosos, el primero va a colación del tema de Briggind HTTPs que hemos hablado tanto durante este año en los firewalls de aplicación. El segundo para aquellos que se quedan un poco preocupados con la sesión de seguridad en web. Ahí van algunas herramientas, aunque yo cambiaría Nessus por Shadow Security Scanner o Retina, añadiría Acunetix Web Security Scanner a Webfuzzer y sustituiría Achilles por Burpsuite o Odysseus... los veteranos de las sesiones ya lo sabríais. ahps, el link: http://caffeinatedsecurity.com/blog/archives/2006/03/08/web-application-security-testing-tools/

[si no te interesan las chorradas, hastá aquí puedes leer, el resto es basura mia]

El tema del post de hoy es simplemente pedir disculpas a todos los que no os he atendido ya que desde mi estancia en Tenerife he estado perdido. Me perdí la comida en Las Palmas pq me retrasé y llegaba tarde al avión. Perdió el Madrid la Champions cuando llegué a Madrid, al día siguiente me perdí en copazos y una discusión política antes de salir para Aragón y perdí mi cargador del portatil (así que out inet). Esa noche perdí mi movil con todos vuestros teléfonos
y correos (incomunicación total) así como de dormir. Lo malo es que perdí el despertador tb y me levanté muy tarde después de dormir solo 4 horas. Tuve que venir a 200 para llegar al juicio donde casi pierdo los nervios con el abogado defensor. (Ey tomad nota!, mi segundo juicio y aún no voy de acusado!) Me perdí devorando un buffet libre japones con otro colega que había perdido a la novia. Y ayer me perdí en la cama como un bebé a las 9 de la noche. Incomunicación y aislamiento.

Y lo peor de todo es que esta mañana he currado y me he perdido la clasificación de Fernando Alonso. Sniff.

Bueno, en Canarias lo pasé guay, y en la sesión de Las Palmas comenté el tema del concurso del MAC que .... Bueno, mañana os pongo un post sobre los concursos de seguridad en sistemas operativos. Hoy es sabado, y hay futbol y colegas, me piro a esparcirme un poco.

Malditas noches para todos los que salís de marcha este sabado y no olvidéis mandarme un sms con vuestros número, he perdido toda la agenda (TODA)

PD: Al que me hable de copias de seguridad de agenda, le c....

;)

Dime con quien andas...

Hola Malditos,

Estoy ahora mismo en Tenerife oyendo cantar al abuelo y con muchos re-asistentes, es decir, que ya han vendio a otras sesiones. Yo me siento como en casa, pero los miro y pienso: "Dios, somos unos frikis, todos aki intercambiando pensamientos y movidas tecnológicas", y además, mientras estoy, escribiendo el blog, leyendo el correo y chateando con compañer@s/amig@s para confirmar si hay papeo en el próximo evento del lanzamiento de SQL Server y Visual Studio en Valladolid, si se ha publicado la sesión de la tarde del Training Day de Vigo, leyendo una noticia sobre la negativa de Microsoft a permitir a los gobiernos un backdoor en los sitemas operativos y preparando mi ponencia..

Y en mitad de esta vorágine me llega un test para comprobar si realmente soy un freak. Dios, no os cuento el resultado, ya sabéis lo que ha salido.

Y vosotros????, dime con quien andas y te dire quien eres, si yo soy un ........, vosotros no os salvais, estais malditos tambien!! jajaja.

http://club.telepolis.com/docz/frikitest.htm

Formación Reglada (o con la regla)

Los que han estado en mis sesiones reducidas, menos de 100 personas, y algunos de las grandes sesiones, me habrán oido alguna vez comentar ciertas aventurillas y desventurillas con las universidades.

Durante las azarosas sesiones que impartimos durante el año pasado en 5 universidades Madrileñas sobre Rootkits y Troyanos conseguimos que en una de ellas, adaliz de la libertad de expresión, decidiera mandar una carta indicando que preferían romper las relaciones para la realización de jornadas pq les había parecido que mi lenguaje era "poco apropiado" para la audiencia e innecesario. Una universidad de Lago Ness (Leganes para los no nacidos en el sur de Madrid), donde los AC/DC y Rosendo (dios le guarde muchos años) tienen una calle dedicada y que dio al gran público el placer de disfrutar a Florentino Fernandez.

En otra de las universidades, después de nuestra sesión montaron un pollo a los organizadores porque consideraban que nuestras sesiones alentaban a que se produjeran muchos ataques en la red de la universidad y que era mejor que no estuVieran informados sobre esas cosas.

Es de suponer que los ingenieros informáticos no necesitan saber que es un rootkit, un troyano, como se hackea una wireless, como se mangan contraseñas, se realizan ataques de phising o como se vulnera un servidor web.

¿¿O a lo mejor es que solo es el lenguaje?? Será que el bronxtolita no entra en la libertad de expresión? ¿y si me cargo una embajada alegando que no se respeta mi lenguaje bronxtolita? ¿o si me monto un estatuto de municipio para que por lo menos, en la universidad de mostoles, que fue una de las que se quejó, me dejaran hablar el bronxtolita? ¿O es que no es el lenguaje y molesta otra cosa?

Bueno, según parece yo incito a la gente a hacer el mal por hacer demos con cosas que están en una red que se llama Internet. Ahora leo una noticia y veo que a otro profe le pasa algo similar.

http://www.securityfocus.com/brief/151?ref=rss

Bueno, que conste que nosotros siempre decimos que no se deben cometer delitos, pues los hackers van a la carcel. ¿o no?

Políticamente Incorrecto

Hola malditos,

currando, de viernes? Qué putada!!! (dios el filtro de ie7 beta 2 ya me ha puesto de sospechoso, espero que no pasemos de ser herramientas de seguridad a ser herramientas de censura - esto solo es una reflexión ad-hoc, no tiene nada que ver como el post de hoy-).

Como todos los que habéis venido a alguna de las sesiones del lado del mal, sabéis que yo precisamente no suelo ser políticamente correcto, alguna vez se me escapa algún taquito, algún chiste malo haciendo el macarra torrentiano, o alguna demo capuya. Mis compañeros de aventuras tampoco se quedan a la zaga y en tiempos tan revueltos políticamente es poco menos que casi a dirio que montamos un pollo en un taxi o en un restaurante pegandonos entre nosotros, solo por el placer de tocarnos los huevos con la politica.

El caso es que estamos preparando un Security Day 2006, ya sabéis, un macroevento de día entero para 1000 personas con show, demos, regalitos, y mucho ambiente. El acontecimiento será para finales de Mayo (esperemos que nos entre en la agenda) y versará sobre malware y tecnologías de detección. Como siempre, primero veremos demos de como se hace el canalla y luego de como protegerte ante canallas. En este caso, desde el desktop y desde el server.

Allí estabamos terminado la agenda de la sesión y pensando en diversos títulos: "Tecnologías de Protección contra Malware" o "Seguridad Anti-Malware" o .... cuando empezaron a surgir los turbios entornos políticos y los títulos que acordamos fueron: "Basta Ya" o "Queremos una Tregua con el Malware" hasta que llegamos al definitvo "Manifestación de las Victimas del Malware. No en Mi Ordenador".

Como os podéis imaginar, en un esfuerzo ecónomico de unos 150.000 euralios para montar un fiestorro como un Security Day no nos van a dejar a nosotros poner ese título, pero por si cuela, es el que hemos propuesto.

De todas formas lo nuestro son minucias comparados con otros sitios. Ayer leia el comentario de lo que ya he puesto nombre como "OSPI" Open Source Politicamente Incorrecto. En este caso la explicación que hago yo medio coña medio en broma sobre las eras de la informática (Primero fuimos ingenieros informáticos, luego fuimos artesanos informáticos, nos hicimos misticos cuando nos convertimos en religiososo informáticos y hoy somos políticos informáticos) cobra más vida con Stalinux (el linux del pueblo revolucionario) y uno que no existe, pero que me he tronchado al leer en un post Windows XP y de las Jons, (son las 7 de la mañana y estoy descojonao con el portatil solo de volver a leerlo).

Os dejo el link:

http://www.stalinvive.com/comments.php?id=242_0_1_0_C#comentarios