miércoles, octubre 31, 2007

Ortografía

Soy el primero que la caga con las prisas y demases, pero tengo que aplicarme el cuento.


Esto lo pongo con especial recuerdo para el gran "pajarrado" de los Santos, enamorado de los mensajes con kas!

Saludos Malignos!

ASLR + APPLE

A pesar de que muchos tecnicoless siguen recomendando Windows XP sobre Windows Vista sin tan siquierea haberlo probado, perdiendo el Ctrl+AlT+Supr y la verguenza, y descubriendo que la tecla de Windows servía para algo, lo cierto es que Vista trajo montones de tecnologías al gran público que en otros sistemas operativos ni existen, están en beta o en productos muy expecíficos. Una de estas tecnologías es el ASLR que ayuda a complicar cualquier intento de ataque por desbordamiento.

La idea es muy sencilla, cada librería del sistema es cargada en una dirección de memoria distinta, dentro de un rango de 256 valores, dependiendo del resultado que se obtenga a través de una función de entropia.

Esto permite que para los programadores de exploits sea más complejo realizar las llamadas a las funciones del sistema. De esto ya escribí, en cuatro posts tiempo ha, en el blog de Vista Técnica.

Conseguir un exploit remoto de ejecución arbitraria de código en Windows Vista creo que aún lo están buscando, pues aunque se consiga desbordar algun programa, el saber a que direcciones debes llamar hace casi imposible el programar este exploit.Si a esto añades que un exploit no llama a una sola función sino a varias las probabilidades de acertar todas las direcciones de todas las librerías tienden a la probabilidad e Hamilton de ganar el mundial de F1 2007. Esta tecnología junto a DEP tienen el inconveniente de que pueden hacer que muchas aplicaciones antiguas dejen de funcionar. Un problema de compatibilidad hacia atrás en pro de mayor Seguridad.

Hay planes de futuro para implementar estas tecnologías en el mainstream de las distribuciones de Linux y distribuciones fortificadas y especilizadas en sistemas robustos las implementan hace tiempo, pero el último que se ha subido al carro ha sido MacOSX.

Library Randomization

Defend against attackers with no effort at all. One of the most common security breaches occurs when a hacker’s code calls a known memory address to have a system function execute malicious code. Leopard frustrates this plan by relocating system libraries to one of several thousand possible randomly assigned addresses


No es la única novedad que trae la última versión del sistema operativo, pero parece que al final las características de algo tan maduro como los sistemas operativos tiende a juntarse.

Vista no solo trae ASLR y DEP, sino también dos tecnologías como UiPi y MIC que ayudan a mejorar la seguridad del sistema.

Windows Vista y el Malware I y Windows Vista y el Malware II

Por favor, instala lo que más te mole, pero... no digas tonterías, que ya les es suficientemente duro el trabajar como Directores de Seguridad en Spectra [Trabajas en Spectra?]

martes, octubre 30, 2007

Security Day: En Lista de Espera

El Security Day está lleno, sientolo mucho por todos aquellos que os habéis quedado sin plaza. De momento estaréis en la lista de espera, pero es que no se puede hacer mucho más. El evento está lleno. :(

La sala es muy grande, así que, si tenéis entrada os recomiendo que estéis allí prontito para coger buen sitio. En el evento de Getafe dimos entrada a todos, pero algunos ya sabéis que lo vieron desde la última fila sentados en sillas accesorias o desde la última altura del palco. Por cierto, el coche es una mala opción para ir allí, salvo que madrugueis muy mucho.

Nos vemos allí!

Nuevas Versiones de Viejos Juguetes
...y Alguno Nuevo

XSSDetect, El Nuevo.

Spectra ha liberado XSSDetect en versión beta. Esta herramienta es un pulgin para Visual Studio que ayuda a detectar fallos de XSS, qué siguen siendo la amenaza número uno, en las aplicaciones web. La herramienta la podéis descargar de esta URL y tenéis más información en el blog de ACE Team.

Cain & Abel, El Malo.

Desde la anterior versión que salió a finales de Julio ha pasado tres meses y ya hay disponible una nueva versión con nuevas opciones:

- Added support for new AES-128bit Keyfobs in RSA SecurID Token Calculator.
- Microsoft SQL Server 2005 Password Extractor via ODBC.
- Fixed a bug in Internet Explorer 7 AutoComplete password decoder.
- Default HTTP users and passwords fields updated.
- Automatic recognition of AirPcap TX capability based on channels.


Además la herramienta cuenta con un manual muy acabado respecto a las primeras versiones del mismo en la siguiente URL: Manual Cain&Abel

SQL Ninja, El Ciego.

Esta herramienta pensada para hacer ataques Blind SQL Injection basados en tiempos disfruta desde el día 08/10/2007 de una nueva versión que mejora el algoritmo de fingerprinting y optimiza el método de bruteforcear. Descargala de aquí.

Pipper, El Paiper.

La herramienta creada por Mandingo y rebautizada como “paiper” por RoMaNSoFt ha sido actualizada la semana pasada. La versión 1.24 dispone de una útil salida de resultados en formato XML y viene acompañada de nuevos conjuntos de diccionarios. Está disponible en la siguiente URL: Pipper v1.24

Y esto es todo amigos!

lunes, octubre 29, 2007

Aprende por el morro y si quieres... Certifícate!

Como ya es habitual en la compañía de la banderita de colores se ha vuelto a invertir pasta para lavar las cabezas de las mentes jovenes y con el único fin de que estos consigan aprender las tecnologías del mal para y se conivertan para siempre en acolitos de Spectra.

Son 10 certificaciones completas, que se van a Impartir totalmente GRATUITAS en Getafe. Cualquiera que esté desempleado puede acceder a ellas por la jeta. El nombre que se le ha dado al curso en Español puede confundiros un poco [el nombre de la izquierda en la tabla], por eso os he dejado el nombre interno [el de la derecha en la tabla].


Tenéis 2 certificaciones en Sorporte Técnico [Azul claro]:

- MCDST

Dos certificaciones en Sistemas [Color Rojo]:

- MCSA - Administrador de Sistemas
- MCSE - Ingeniero de Sistemas

Una Certificación en Productos Servidores [Color Verde]:

- SQL Server 2005 - Bases de Datos

Cuatro certificaciones para ganar pasta [Color Amarillo]. De estas hay tanta demanda, que es salir del curso y estar contratado al 99 %. Son las certificaciones de Dynamics y CRM.

Dos certificaciones en Desarrollo con Visual Studio [Color Azul]

- Desarrollador Windows.
- Desarrollador Web.

Los cursos son para grupos de 15 alumnos, y están formados por los cursos oficiales necesarios para que luego puedas hacer el examen de certificación. Todo es totalmente GRATUITO. Las duraciones varían entre 81 y 258 horas. Los cursos se van abriendo en cuanto el grupo de 15 personas está formado, pero en cuanto se cierre el cupo, ya no habrá más plazas. Si tienes en mente certificarte o aprender Windows Server, SQL Server, etc... o buscarte un curro en tecnología de Spectra ésta es una buena oportunidad. Para conseguir toda la información y registratarte tienes que rellenar un formulario y llamar por telefóno ya mismo. Toda la información la tienes en esta URL:

Microsoft y la Comunidad de Madrid han firmado un acuerdo por el que se ofrecerán cursos gratuitos de certificación oficial de Microsoft a los desempleados de la Comunidad de Madrid en el nuevo Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur.

Para los demás, ya conocéis las otras posibilidadades de formarse en las filas del mal:

- Todos los Recursos Online Gratuitos.
- Los Hands On Lab para profesionales de Sistemas.
- Los Hands On Lab para profesionales de Desarrollo.
- El Live Technology Tour.
- El University Tour para Estudiantes.

Saludos malignos!

domingo, octubre 28, 2007

¿Y tú por qué vienes?

Cuando me planteo escribir un post para el blog, algo que hago casi a diario, a pesar de que a diario pongo algo, siempre me hago la misma pregunta, ¿por qué cojones vendrá la gente? Durante este año y medio largo que lleva este sitio abierto he ido recapitulando mensajes que me habéis ido enviando sobre cuáles son las motivaciones para venir a pasarse por aquí.

La primera de todas las motivaciones que he visto ha sido la de ¿qué coño hago yo aquí? Amigo que busca en el google por Porno, como afeitarse los testículos o por cocaína y acaba en este pozo de inmundicia.

Esto a veces crea frustración, como demuestra el mensaje que me dejó un amigo cuando buscaba información sobre los sistemas operativos y cayó perdido en este “tontopost”.

Otros bien “buscando FUD del bueno” como me puso alguno en un comentario, para estar listo contra todas las armas del mal y poder fuddear todos los argumentos pecaminosos y lascivos.

Otros vienen solo para “ver qué tontería dice el subnormal este”, lo cual me preocupa, pues me siento cómo si mi opinión, personal, mediatizada y subversiva importara a alguien, cuando este blog nació solo por puro cachondeo, para alimentar la teoría de la conspiración y para partirme la caja. Para generar opinión ya hay gente más cualificada y no me refiero a la gente “qué se cree más cualificada”.

Algunos, los más apirolaos, se pasan a ver si hay algún artículo técnico que merezca la pena, cosa que utilizo como mecanismo para poder tomar aire cuando estoy de peonza por España, así que me guardo los posts técnicos para cuando estoy subido en un avión, haciendo informes, rompiendo webs o dando una charla.

Otros se pasan solo por el puro cachondeo, hartos de escuchar las mismas cosas del lado del bien vienen aquí a unirse a las filas del mal, a coger su chapa de Spectra, encargar su camiseta y descojonarse un rato de los técnicoless al tiempo que se desahogan de la presión mediática del lado del bien en ciertos entornos.

Ciertos, vienen aquí como al doctor, a pedir “la segunda opinión” sobre algo que han leído o han dicho por ahí en otros sitios e incluso, uno con quién tuve una sonora peta, después de zanjar el asunto comilona de por medio, me confesó que su novia leía el blog porque “le parecía muy gracioso”.

Otro grupo de desaprensivos vienen por los Retos Hacking a practicar a algunos y a conversar con otros que intentan romper los retos también, haciendo que esto parezca casi el Salsa Rosa de destrozawebs.

Yo se que muchas chicas vienen aquí por “fuerza sexual” que se despide en todas y cada una de las palabras de un post, pero… ¿y tú, cuál es tu excusa?

sábado, octubre 27, 2007

Dilbert


Dilbert:"¿Por qué parece como si la mayoría de las decisiones en mi lugar de trabajo fueran hechas por Lemurs Borrachos?"

Basurero: "Las decisitones son hechas por gente que tiene tiempo, no por gente que tiene talento"

Dilbert: "¿Por qué la gente con talento está tan ocupada?"

Basurero: "Ellos están arreglando los problemas generados por la gente que tiene tiempo"


Dilbert, 26 de Octubre de 2007

Amor Castúo

Cuando se te ocurre una idea apirolado lo peor es que al final, si eres tú el que embarca a toda la gente, tienes que cumplirla. Así ha sucedido con el calendario Torrido. Ahora estamos en fase de retoque fotográfico, pero las fotos ya están hechas. Cada uno eligió su momento y su forma. Yo, amante de los animales (no al estilo del erotismo entre especies de Kinki Kelly), decidí declarar mi amor en una foto expresiva a mi Amor Castúo: Ubuntu.

Os voy a dejar una versión Shareware de una foto SIN RETOCAR, dónde se pueden apreciar los músculos que luzco en un rojo pasión.


No quería sacar ninguna foto de estas, pero creo que es el momento de declarar mi pasión por el pobre buen Ubuntu, que en estos momentos lo está pasando mal por culpa de alguna mala configuración por defecto que a alguien, en su afán de optimizar el consumo de energía, tal vez y solo tal vez, por no quedar mal en las pruebas de energía, ha dejado un pelín en riesgo los discos duros de algunas instalaciones en portátiles. Pero no os preocupéis, que no pasa nada. Todos tenéis copia de seguridad diaría de vuestros datos, y todos cambiais los scripts de configuración manualmente.

Además, tampoco había muchas noticias de esto, sólo han pasado 14 meses. En fin, no seais malos, y aquí os dejo esta declaración de Amor Castúo. Yo me uno a las comunidades que lo están defendiendo, que además no es solo un fallo de Ubuntu y que afecta a muchas distros de linux que tienen ese valor configurado por defecto para ahorrar pila.

PD: Y luego decían que Vista consumía recursos... uñao!!!

PD2: No olvidéis ir comprando el calendario tórrido cuando salga a la venta. Vete ahorrando!!

Ubuntu, aloviu!

viernes, octubre 26, 2007

El Secreto de la CocaCola

Como estamos ya cerca en fechas de que se vuelva a caldear Internet con el tema de ECMA 376, aka OOXML, decidí dedicarle el post de hoy a una de las cosas que más gracia me hacen de este tema. Un amigo mio, en la intimidad, siempre le llama El Secreto de la Cocacola y no son nada más que los formatos de archivos binarios en Spectra Office.

Las críticas:

1.- "Spectra solo ha creado esto para guardar los documentos anteriores."
2.- "Esas propiedades anteriores no están documentadas y no se pueden implementar"


Como pone en el estandar OOXML, éste nace para dar soporte y compatilidad hacia atrás a todos los documentos office de versiones anteriores. Para ello el estandar tiene propiedades relativas a formatos anteriores de office.

OpenXML was designed from the start to be capable of faithfully representing the pre-existing corpus of word-processing documents, presentations, and spreadsheets that are encoded in binary formats defined by Microsoft Corporation.

Sí, es cierto, Spectra ha creado el formato justo para eso, para dar compatibilidad hacia atrás a alrededor del 90 % de los documentos del mundo, quizá, solo quizá, porque parece de sentido común. Pero además de dar compatibilidad hacia atrás a formatos Spectra Office, OOXML permite dar compatibilidad hacia atrás a formatos de terceros, permitiendo la inclusión de esqumeas XML externos y a formatos de binarios antiguos de otros, mediante la inclusión binaria y la firma de los mismos. Pero no engaña a nadie, lo pone en la página 1 del estandar.

Además, esto que a algunos le parece tan mal, es algo que se ha hecho en ODF, dónde se definen propiedades de documentos de versiones anteriores de OpenOffice.

Pero no es a esto a lo que quiero dedicar el post de hoy, sino al famoso Secreto de la Cocacola. Al formato secretisimo de los documentos binarios que nadie conoce, que nadie puede implementar y que por tanto, hace "ilegítimo" su inclusión en OOXML.

Ese formato que nadie puede implementar... Bueno, nadie... menos OpenOffice, ellos si han sabido implementarlo, o por lo menos así lo anuncian en toda la web y dentro de la campaña "Get Legal" que apareció el siguiente texto:

OpenOffice.org 2 es una suite ofimática con todas las características necesarias, y de funcionamiento similar a MS-Office. OpenOffice.org 2 hace todo lo que necesitas: procesamiento de textos, hojas de calculo, presentaciones, bases de datos y mucho más.

Incluso pueden usarse los formatos de archivo de MS-Office (.doc, .xls, .ppt), así que no necesitas reelaborar tu trabajo.


Bueno, OpenOffice lo implementa pero será de casualidad, porque nadie tiene acceso al Secreto de la Cocacola ¿no?. Bueno, nadie más, excepto Sun con el StarOffice, dónde, incluso en su versión más barata (el de 69,95 USD) (y sin necesidad de pagar las extensiones a 9.95 USDs) tiene soporte a los documentos de Spectra Office. En la documentación de Writer dice, por ejemplo:

Microsoft Office Compatible

1. Your vendor sends you a Microsoft Word document.
2. You click once to convert it to StarOffice Writer.
3. Do your magic to the document with cool StarOffice features.
4. Click and convert it back to Word and hit "send." Those folks locked into Microsoft Office don't even have to know.


Wow!. Es tan perfecta la implementación que incluso los tipos encerrados en Spectra Office no lo notarán. Vaya, otro que tiene acceso al Secreto de la Cocacola. Esto es inaceptable!!

Espero que no haya nadie más que lo tenga... Bueno, queda uno que también lo tiene. IBM. Con Lotus Symphony tenemos lo siguiente:

Can Lotus Symphony handle my existing files?

With Lotus Symphony, you can import, edit and save a variety of file formats including Microsoft Office files.


Joder! si es que tienen todos el Secreto de la Cocacola, a lo mejor es que la publicación de los formatos de Office antiguos que hizo Spectra ha tenido que ver en esto. Porque... ¿de verdad alguien piensa que Sun, IBM y OpenOffice no tienen los formatos de archivos binarios de Spectra?

Entonces, ¿se podrá o no implementar OOXML? Desde luego el Secreto de la Cocacola no es el problema, pues todos parecen haberse hecho con él, pero... no, no creo que puedan implementarlo, porque IBM, después de decir que Sí, que "qué guay!", que "molón!" y que "nosotros ya lo vamos a poner", decidieron quitarlo de la web. Y la gente de OpenOffice, no creo, porque... tiene mucho trabajo aun To Do.

Venga, coño, seamos claros de una vez.

Saludos malignos!

jueves, octubre 25, 2007

El palco de Honor

Soy una pija y me molan esos pequeños detalles que sólo disfrutas tú, no, no hablo de masturbación o endogamia, sino de esos juguetes que te guardas para uso propio (no, tampoco hablo de consoladores, anillos, látigos o fustas, que tenéis la mente sucia). Hablo de esas herramientas que le pido a Rodol que me tunee, que las prepare para mi, que les añada los extras y esos pequeños detallitos que hacen que las cosas tengan más "Confort".

Durante este mes, le he dedicado muchos días al tema de LDAP. Desde el mes de Junio que empezó a tomar forma todo esto en la cabeza hasta el mes de Octubre ha pasado bastante tiempo, pero la necesidad de que todo estuviera hecho no me ha permitido publicar las cosas antes.

Como la mayoría sabéis, el Reto Hacking 4 estaba implantado sobre un árbol LDAP. Habéis podido leer los solucionarios de Pedro Laguna y de Mandingo al respecto. Pero no fueron los únicos que escribieron un solucionario. Dani Kachakil y RoMaNSoFt también escribieron solucionarios que podéis leer.

Quiero dejaros para "cerrar el círculo", el Palco de Honor que nos preparó Rodol. Normalmente siempre activamos las estadísticas para los servidores de los retos, pero luego el análisis es más largo. En este caso Rodol hizo un log a medida en las páginas interesantes del reto. Es decir, dónde se debía realizar la inyección y dónde se debía responder a la pregunta.

Los logs los puso en una ruta abierta, para que la pudieramos consultar fácilmente. Esto nos permitió ver en tiempo real lo que estaba realizando cada uno de los pájaros que estaba compitiendo.... y fue divertidisimo.

Ahora, os voy a dejar el acceso a los logs para los que queráis ver cosas chulas. En ellos se vé el uso de diccionarios, el uso de scaners, los trucos de cada uno para detectar sql injections, xpath injections y lógicamente LDAP Injections cuando la cosa se fue centrando un poco.

Para acceder a los logs solo tenéis que acceder a las siguientes rutas:

http://retohacking4.elladodelmal.com/logEntrada/log/retohacking4-20070904.txt

Dónde el númerito es: AñoMesDía

Espero que os de algo más de información, a nosotros nos ha sido muy útil!

Saludos Malignos!

miércoles, octubre 24, 2007

El colorado del verano

***************************************************************************************
Artículo publicado en Windows TI Magazine Oct'07: El colorado del Verano
***************************************************************************************

Ya ha pasado el tiempo estival del verano y ha sido un periodo especialmente movidito en el mundo de los servidores web en Internet. Este periodo es momento de visitar las playas de nuestras costas para poder practicar el inglés, el italiano, el francés y el alemán. Relajarnos leyendo esa novela de mil páginas que teníamos aparcada y dormir. Dormir hasta tarde, dormir la siesta y dormir la fiesta de la noche anterior.

Pero desde que existen los servicios direct push para el correo electrónico, los lectores RSS y las conexiones a Internet están disponibles hasta en el chiringuito de la salmonelosis de 12 gambas a 12 euralios es casi imposible abstraerse de lo que pasa en el mundo.

¿Tú has conseguido desconectar? Entonces tendrás que informarte de todo lo que ha pasado.

Resultados Fortune 1000 Webservers Survey

Durante este periodo se han hecho públicas las estadísticas sobre los servidores de la fortune 1000 en la que IIS sigue manteniendo la mayoría absoluta con un 55%, como desearía todo buen gobierno, manteniéndola desde enero de 2003.
[Spectra Web Wars]

Resultados Netcraft

En los resultados mensuales de Netcraft del mes de Septiembre, dónde Apache había mantenido una mayoría aplastante con casi el 70 % de cuota en su momento más álgido, los resultados en los servidores web activos dejan al servidor de código abierto con un 47,78% y a IIS con un 36,63%, llevando la distancia a poco más de 11 puntos, siendo ésta la más corta DE LA HISTORIA. Dicen las “malas lenguas” que esto es debido a las desdeñosas bloggers de los servicios de Spaces, pero después de años viviendo en muchos casos los Apaches de los hosting gratuitos para los www.frutos-secos-de-mi-barrio.com no es momento de hacer estas lecturas. ¿o sí?
[¿Caida Imparable de Apache?]

Sección Sucesos

Pero no solo ha habido datos de servidores web, también hemos tenido sección de sucesos. Así la web del ministerio de la vivienda se veía atacada por un defacement que dejaba su desactualizado gestor de contenidos Mambo en evidencia.
[No House?, I hack]

También se caían durante un fin de semana los servidores de WGA para autenticar las instalaciones de Windows Vista que dejaban a unas 12.000 instalaciones con necesidad de revalidarse.

Mientras tanto, los servidores de las comunidades Ubuntu eran hackeados. Este ataque tuvo cierta gracia pues en las explicaciones, los servidores que corrían resultaron ser de la distribución Linux Debian y como causas se dieron: 1)La total desactualización de todo el software que no se había parcheado porque 2) había un problema con el driver de la tarjeta de red con los nuevos kernels. Todo un poema. Bueno, 3) tampoco tenían política de seguridad de contraseñas y se logaban en remoto con la cuenta de administración sin cifrado alguno.
[Master en Gestión de Sistemas Ubuntu]

Como diversión tuvimos los servidores de información de Gentoo Linux que ante el descubrimiento de un bug, se decidió tirarlos abajo mientras que el que tenía que parchearlo regresaba de unas conferencias. Vamos, ver para creer. Los servidores estuvieron abajo más de diez días.
[Qué gente!]

A todo esto se decidía en España a finales del mes de Julio el apoyo o no a la aprobación de OOXML como estándar ISO. Al final en España el comité de Aenor votó abstenerse, pero el circo mediático que se montó en la web fue muy al más puro estilo Groucho Marx.
[ECMA 376 - OOXML - Spectra Office]

Y Linux ganando a Windows

A principios de septiembre se generó una cadena de información y posts en blogs porque unas estadísticas realizadas sobre treinta y tres millones de ordenadores utilizados para navegar por más de cinco mil sitios web mostraban que Linux había superado a Windows…. Bueno, realmente fue a Windows 98. Las cuotas de ambos eran del 1.34 % pero ciertas comunidades Linux se felicitaban por el éxito….aunque la cuota se la quitase Windows Vista a Windows 98, no dejaba de ser un éxito para algunos verse por delante casi diez años después.
[Linux Supera a Windows][Windows 98 vuelve a superar a Linux]

Y al final del verano regresó el Sol

Y es que, para cuando parecía que el sol se iba, apareció SUN Microsystems para anunciar un acuerdo en el que, después de llevar mucho tiempo soportándolo sus servidores, se decidía a vender Windows Server 2003 en OEM. De momento solo en las versiones x64, para que no se diga, que hay muchas malas lenguas por ahí sueltas.
[Al Sol que más calienta]

¿Y tú no has estado atento a este verano? Bueno, al menos estarás más sano mentalmente que los que no hemos desconectado. Este verano, no solo los “guiris” se han puesto colorados.

martes, octubre 23, 2007

Security Day: Ampliado el registro

Bueno, a día de hoy por la mañanita el número de regestrados al Spectra Security Day alcanzó los 1.200 número máximo permitido para la sala que se tenía reservada. Se ha cambiado la sala y se ha ampliado el límite. Pero no creo que dure mucho el nuevo aforo, así que si tienes pensado venir mejor que reserves la plaza ya!. Al final va a ser un buen fiestorro.

Vamos, nosotros estamos un poco acojonados, las cosas como son. Por cierto, además de la entrada del SIMO se va a regalar a todos los asistentes un Hub de conexiones USB.

Si es que Spectra sólo quiere comprarte! La info del evento en "Catch The Kinki".

Saludos malignos!

Temblad, Temblad!

Recuerdo los días de verano en el barrio bronxtolita con los colegas. Las modas iban cambiando, una época era tiempo de jugar a las chapas, pero a la semana jugábamos a las canicas, luego llovía y cambiábamos a la lima, a la peonza, al balón o a los juegos más macarras que acababan con palos, como “el bote” dónde uno llevaba el bote (botella de agua o cocacola vacía) y le daba a uno. Entonces todos podían hostiarle hasta que llevaba el bote al círculo de salvaguarda. Sí, muy divertido y tranquilo todo.

En esos vernanos, ya cuando contábamos con algún año más, descubrimos los juegos de mesa y de rol y uno de los que más molaba era el RISK. Batallas, complots, alianzas y…peleas. Cómo dicen en una pinicula “¿dormirán tranquilos los creadores de juegos como el parchís, el monopoly o el RISK que han roto tantas parejas y tantos grupos de amigos?”


RISK Classic

El RISK molaba, y tenía una carta mágica, la carta de “Refuerzos”. Saltos de alegría, estabas jodido y de repente a tirar los dados para ver cuántos ejércitos obtienes… ¡Molaba!

Y este es el caso… El Lado del Mal acaba de recibir una carta de refuerzos en este mundo de técnicoless y estoy contento. El pájaro en cuestión se llama Héctor S. Montenegro y es el NTO en Spectra, es decir, lo que se llama National Technology Officer, y además lleva años trabajando en el área de la seguridad. Y enseñandome cositas "malas".

Este tipo, ha llevado entre otras "tareillas", la firma de la apertura de código con el gobierno de España, la implantación del programa CETS para luchar contra la pornografía infantil, escribió parte del libro de La Protección de Datos Personales con Tecnología de Spectra, vamos, que se encarga de llevar todos los “detallitos” que necesita España de Spectra, como el DNI Electrónico o ahora la Ley de Acceso.

Vamos, que el lado del bien puede empezar a temblar, porque acabamos de recibir refuerzos y a los dos nos mola ……..LA CAÑA!!!

Ale, RSSeseate su blog si quieres enterarte de lo que realmente se cuece en Spectra Ibérica.

- Blog: http://www.hectormontenegro.com

Saludos …malignos!!

lunes, octubre 22, 2007

El "Listín de Teléfonos"

Las bases de datos basadas en directorios como LDAP cuentan hoy en día con un doble uso.

Uso 1:

El primero de ellos es más genérico y extenso. Utiliza un árbol LDAP como una base de datos más. Utilízalo como te plazca. Ten en cuenta que al ser una base de datos jerárquica tiene ventajas e inconvenientes con respecto a las bases de datos relacionales. Sus principales ventajas serán la velocidad de acceso y las búsquedas restringidas en aquellos entornos en los que la modificación y el alta de nuevos datos sea de un nivel muy bajo y dónde lo que más se potencie sea la operación de búsqueda.

Uso 2:

En otra segunda utilización nos encontramos con un uso más concreto para la gestión de redes. No deja de ser un uso como el anterior, de una base de datos más, pero en este caso pensado en un entorno concreto, la gestión, la seguridad, la autorización y la autenticación de objetos y usuarios en un sistema informático. Entornos comunes para el famoso "singelsainon".

Hasta aquí todo bien, pero... hay algo que me llama la atención en esto. ¿Qué es? Pues el uso “compartido”. Me explico. Cuando tu montas un árbol LDAP lo siguiente que hay que hacer es decidir que uso le vas a dar y configurar “el esquema”. Es decir, las clases de objetos que vas a crear y mantener en este sistema. Si no vas a gestionar un sistema de seguridad de red no se debe cargar un esquema de seguridad de red…,y al revés, si tienes un sistema de gestión de red… no lo conviertas en un listín de teléfonos.

Hoy en día es común encontrase con “Listines de Teléfonos” LDAP totalmente públicos en los que se ofertan datos más que sensibles y útiles para atacantes a sistemas.

Veamos un ejemplo con la Universidad de Michigan. En ella, como en muchas otras universidades y organismos alrededor del mundo, se ofrece un “Listín de Teléfonos” a través de LDAP. En este caso en esta URL: http://directory.umich.edu/.

Este servicio es un buscador público al que se puede acceder sin ningún problema para consultar información sobre las personas de la universidad. Si ahí buscamos a alguien del sistema, por ejemplo, a “java” (por homenajear a George Lucas) vemos que nos salen los datos de un cierto usuario y del que se muestra, por ejemplo, el tipo de bebida que más le gusta. Información útil y necesario si vas a hacer una fiesta para CollegeFuckFest.

Bien, algunos datos están restringidos por el programador de la web y se nos han mostrado solo los atributos que parecen “más lógicos” para el “Listín de Teléfonos”, como por ejemplo la bebida que más le gusta a Java.

Java Bebe cerveza

Si vemos los datos que aparecen, nos damos cuenta rápidamente que las leyes de protección de datos no son iguales en todo el mundo…, pero continuemos.

Esta aplicación web nos ha mostrado los datos que le parecen pertinentes a este sitio y no solo eso, sino que también restringe el tipo de objetos sobre los que preguntar y los contenedores dónde ejecutar las cadenas de búsqueda. Es decir, “se protege” cierta información del árbol LDAP.

No obstante, la Universidad también permite conexiones al árbol LDAP mediante otro tipo de clientes, y basta con buscar en la guía de información y encontrar como se configuran las conexiones. En esta parte de la Guía de Información nos informan de cual es nombre del servidor LDAP: ldap://ldap.itd.umich.edu

El servidor está publicado en Internet y con acceso anónimo, es decir, público, como un buen “Listín de Teléfonos” al servicio de todo el mundo.

Sin embargo, al haber utilizado un esquema “más generalista”, hay información mucho más útil publicada. Utilizando un cliente LDAP puro, como LDAP Browser, se puede realizar la conexión al árbol LDAP público y ver qué información ofrece. Para conectarse a servidores LDAP públicos basta con conocer la dirección y el puerto. El puerto por defecto es el 389.

IP y puerto LDAP

y en segundo lugar acceder sólo a los objetos e información pública, para ello se marta la opción de enlace anónimo.

Conexión pública sin credenciales

Y el resto es navegar por el árbol para ver la información que se ofrece públicamente:

Navegando por el árbol LDAP

En muchos de estos árboles LDAP públicos se oferta mucha información que puede ser potencialmente peligrosa. Las versiones LDAP v2 en adelante ofertan todo un conjunto de permisos y privilegios que pueden utilizarse para restringir a nivel LDAP qué objetos, qué atributos y que clases pueden ser accedidas por qué usuarios y con que privilegios. Es decir, la gestión de la seguridad completa.

Como recomendaciones de seguridad añadidas habría que tener en cuenta el uso de LDAPs o SASL para autenticar las conexiones que hagan binding con credenciales para que no se puedan interceptar las credenciales como se vio en este ejemplo: "Capturando credenciales LDAP". Y por supuesto proteger las aplicaciones web contra LDAP Injection & Blind LDAP Injection.

Saludos malignos!!

Saludos Malignos!

domingo, octubre 21, 2007

Zaragoza - Sevilla

Zaragoza

Mañana lunes estamos en Zaragoza con el Live Technology Tour. Aún te puedes registrar ya que tenemos una pedazo de sala en el CTA. La sesión dura todo el día, así que puedes pasarte por la mañana y tomar café, venirte al tenteempié del medio día y a las sesiones de o por la mañana o por la tarde o a ambas.

La agenda y el registro están en la siguiente URL:

Zaragoza 22 de Octubre de 2007

Luego en Zaragoza continuarán los Hands On Lab en Noviembre:



Sevilla

Después de "cantar" en Zaragoza, toca Sevilla. La llegada es a las 11:00 de la noche y .... ¿tendremos fiesta, no?

Saludos malignos!

Snow Crash

Hiro sale, de regreso al Sol Negro.

Hay un tio dando vueltas por el Cuadrante Hacker que realmente llama la atención. Su avatar no es ninguna maravilla, y además le está costando controlarlo. Parece alguien que se haya enchufado en el Metaverso por primera vez y no sepa como desenvolverse. Choca con las mesas, y cuando quiere volverse da varias vueltas, como si no supiera como detenerse.

Hiro camina hacia él, porque la cara le resulta familiar. Cuando el tio se detiene el tiempo sufienciente para que Hiro pueda verlo con claridad, reconoce el avatar. Es un Clint. Suelen ir en compañía de una Brandy.

El Clint reconoce a Hiro y durante un instante la sorpresa asoma en su rostro, rápidamente sustituida por su habitual apariencia tosca y adusta, de labios apretados. Levanta las manos juntas frente a él y Hiro ve que sostiene un pergamino como el de la Brandy.

Hiro echa una mano a la Katana, pero el pergamino ya está abierto ante su rostro, mostrando el resplando azulado del bitmap que contiene. Se aparta un paso, poniendose a un lado del Clint. Levanta la katana frente a su cabeza y la descarga contra los brazos del Clint, cortándolos.

Al caer, el hechizo se abre todavía más. Hiro no se atreve a mirarlo. El Clint se ha dado la vuelta y trata de escapar del Sol Negro con torpeza, rebotando de mesa en mesa, como una bola de una máquina de millón.

Si Hiro pudiese matar al tipo, cortándole la cabeza, el avatar se quedaría en el Sol Negro, para ser retirado por los demonios sepultureros. Entonces Hiro podría hackear un poco y quizá llegar a adivinar quién es y de dónde ha venido.

Pero hay unas cuantas docenas de hackers vagando por el bar, observando toda la situación, y si se acercan a mirar el pergamino acabarán como Da5id.

Neal Stephenson

***************************************************************************************
Por si os apetece entreteneros un buen rato con una novela....Snow Crash

Saludos Malignos!
***************************************************************************************

sábado, octubre 20, 2007

Entra en la Familia

Me humillo ante ti ¿y me faltas al repeto?

Esta es la última frase que te gustaría oir del gran "Tío" Poli Galtieri, o del "Tío" Sylvio. Aunque puede ser peor el que inflinjas alguna de las viejas reglas delante de Chris Moltisanti y vaya puesto de caballo. Aunque quitarle una Bomar a Tony no es cosa ligera. Si no has visto la serie de Los Soprano, entonces no has visto una obra de arte sobre la Mafia Newyorkina hoy en día.

La serie muestra el sutil y complejo orden establecido de normas, reglas, límites, territorios, cadenas de venganza y repercusión de los actos. Como se mueven los hilos para una concecisón de una licencia, como se gestiona una obra social para sacar pasta y que es lo que tienes que hacer para ser uno de los nuestros o dejar de serlo.

Justo es así como veo el mundo este de la "informática política", las relaciones entre las empresas recuerdan a las concesiones y negociaciones entre las familias de la Mafia "Yo vendo Windows en OEM, pero tu desarrollas para servidores de 64 bits drivers para mi hardware", "ok, pero dile a tal que incremente el coste de los servidores con Linux". "Ey, vamos a concederte este proyecto a gran escala, pero necesitamos que este político suba en tantos puntos su imagen", "...".

Supongo que los continuos movimientos estratégicos de las empresas son para analizarlos con cuidado. El acuerdo Novell-Spectra, el acuerdo IBM-OpenOffice que acaba con el lanzamiento de Lotus Symphony, el acuerdo Sun-OpenOffice para distribuir OpenOffice con la última actualización de Java, la demanda a RedHat por patentes, las alianzas en la lucha ODF-OOXML, perdón, quiero decir, la lucha OpenOffice-StarOffice-Lotus Symphony, Spectra Office....(empieza la batalla definitiva) Me encanta jugar con las conspiraciones.

La semana pasada se produjo otro movimiento de las familias, en este caso la incorporación y pública aceptación de 2 licencias del proyecto Shared Source de Spectra por parte del Open Source Initiative. Las licencias cumplían los 10 criterios y han sido aprobadas como parte de "la familia".

En la noticia publicada por "la familia OSI" ha habido que explicar algo que ya era evidente, que sí ha sido aprovada ha sido porque ha cumplido los requisitos.

"The formal evaluation of these licenses began in August and the discussion of these licenses was vigourous and thorough. The community raised questions that Microsoft (and others) answered; they raised issues that, when germane to the licenses in question, Microsoft addressed."

¿Es que alguien puede pensar que ha entrado alguna licencia, o éstas mismamente, sin cumplir los pasos? Esto ya se supone, ¿no?

Y recuerda, de la Mafia solo se sale de una forma....

Saludos Malignos!

viernes, octubre 19, 2007

Para ti tol premio

Después de criarme en Bronxtolex, la ciudad dónde el reportereo más dicharachero de Barrio Sesamo no se llama como se llama, ni cuatro más uno suman lo que suman ni la la ensalada lleva esa cosa redonda y que pica siempre por miedo a la rima fácil.

Si no te sabes las rimas, te vienes un viernes a Bronxtolex y te coges a algún colega de por aquí y le dices...:

"Ey, ¿dónde puedo comprar cebolla?, es que me he entretenido viendo a Gustavo y fijate, ya son y cinco"

y luego me cuentas lo que te ha contestado él. Y cuidado con enfadarte!.

Ahora como ya estamos en Europa, en la zona Euro y en el siglo XXI se ha pasado a un elegante "pa ti tol premio".

- ¿Tienes hora?
- Sí, son menos cinco.
- PA TI TOL PREMIO!
- ¿comorl?
- Nada, que tu no eres de por aquí, ¿verdad?


El martes pasado, en Zaragoza, no pude dejar de sonreir al ver la siguiente campaña de ORACLE:



Así, que nada más verlo, será por haber visto ya varias demos de estas de las que hace el amigo Gospel, será por haberme criado en Bronxtolex, no pude sino pensar:

"Eso, abre el bluetooth, acepta el mensajito que te llega... y para tí todo el premio.."

Saludos Malignos!!

jueves, octubre 18, 2007

Estas cosas hay que estudiarlas .... a fondo

Me encantan los estudios, las estadísticas y los numerajos. Son tope de divertidos. Además, si los juntamos con la realidad de Internet (solo hay que ver las cifras...), que como ya sabéis se creo para el porno, pues son geniales.

Resulta que las chicas que ponen fotos en sus blogs, espacios de contactos y webs, (ya sabéis, para el rollo eso de las citas y el quedar) etc... reciben muchos más mensajes y ofertas de contacto que las que no ponen su foto.

Lectores cabrones, que solo queréis sexo, que no venís aquí nada más que buscando lo que buscaís. Sniff. Los datos del estudio los tenéis en esta gráfica tan chula.


Girls with Online Photos Get More Attention than Guys. Really?

Yo, en mi infinito afán por el conocimiento he proseguido el estudio y he podido constatar CIENTIFICAMENTE que las que están buenas tienen mogollón de mensajes más que las que ponen fotos y no están tan buenorras. Además si las fotos son morbosas y subidas de tono (o se ve cacha) no sabemos por qué rara ecuación matemática universal, el número de mensajes se dispara.

Tiempo ha, se recogieron en un post la lista de las Bloggers más guapas de aquí y de fuera. Yo las fuí a vistar, ya sabéis, solo como "curiosidad cientifica"... y sí, es cierto, tienen porrón de mensajes....y fotos chulas.

Yo he de confesar que a día de hoy soy fan de un par de chicas bloggers...ya véis lo que es la vida.

En fin, menos mal que tenemos estudios que nos ayudan a entendernos....

miércoles, octubre 17, 2007

Recordatorio: Vigo

Simplemente recordaros que mañana, día 18 estamos en Vigo, Todo el día, hay sesión de mañana y sesiónd de tarde. La agenda y el registro en esta URL: 18 Octubre: Vigo

... y la semana que viene, gracias a la colaboración de la Fundación Caixnova la campaña de Hands On Lab estará allí, en Vigo, con formaciones de Contramedidas Hacker, ISA Server 2006 y Análisis Forense. La información y el registro en la siguiente URL: Vigo: 22/10 al 26/10


Saludos Malignos!

Cansancio por Carles del Collado

****************************************************************************************
Carles del Collado es editor de Windows TI Magazine en España, es un tipo con ese raro sentido del humor digno al más puro estilo Eugenio, serio, con flema y duro, me encanta. Mes a mes me pego mis parrafadas en la sección de Firmas de su revista mientras él, entre muchas cosas, se curra un editorial. Este que ha escrito en la revista del mes de Octubre, me ha sacado una sonrisa y creo que merece que lo leáis y que además esté en El Lado del Mal. Saludos Malignos!

PD: Yo le hubiera titulado directamente Analistas de Salsa Rosa. jeje.
****************************************************************************************
Cansancio

Hará un par de años, a los empleados de Microsoft se les hacía tan insoportable ser asediados en las celebraciones y reuniones con amigos que la compañía fue advertida de que muchos evitaban decir que trabajaban en Microsoft. Era cosa de ver un empleado, y caer sobre él toda la mala prensa, las quejas, las peticiones de software gratis, y por qué no, de una consola. Está claro que hay cosas que un empleado puede hacer y entre ellas no está –por lo general– ir consiguiendo consolas ni copias de Windows, pero tampoco tienen por qué aguantar los problemas particulares de cada una de las instalaciones de los amigos de sus amigos con la pretensión de que alguien que no sea de soporte tenga ni los conocimientos ni las ganas de ir haciendo de help desk de cualquiera, con el sambenito de ser culpable de forma invariable.

Puesto que era inevitable y casi conveniente que los empleados de la casa tuvieran vida social, y a ser posible, satisfactoria, se les ocurrió la idea de dar a cada uno de ellos unas cuantas tarjetas que –en casos desesperados– podían sacarles de un apuro. Se trataba de vales por los cuales los poseedores podían hacer una llamada al centro de soporte de Microsoft de forma gratuita. Era una forma resultona de quitarse de encima al pesado y de paso, descubrir por casualidad que el amigo tenía el XP pirata y que seguro se merecía todo lo que le pasase.

Las cosas habrán mejorado en este aspecto. Pero hay una cosa para que los vales no sirven, que es evitar los análisis felices que cualquiera (normalmente indocumentado) hace sobre las ventas de Windows Vista, o acerca del imparable avance de Firefox, o del fin de Microsoft como compañía ante la amenaza real e inmediata de Ubuntu.

Estoy convencido de que muchos empleados de Microsoft han elaborado una técnica para poder evadirse de hacer de evangelistas ante audiencias tan condicionadas, pero admito que me ha llegado el turno. Estoy harto. Harto de tener que justificar la estrategia de Microsoft, harto de dar cifras sobre penetraciones de mercado, de ventas, de base instalada, de descubrir ante tanto usuario pelado el vasto mundo de los entornos empresariales y de lo que gira alrededor de él, etcétera. Porque tal audiencia, cuando les dices que Windows Vista vendió en cinco semanas más que toda la base instalada de Mac, lo niegan. Y tanto aseguran amar el modo carácter y la línea de mandatos (signo evidente de que eres un geek de los buenos) como a la vez el último interfaz gráfico.

Se trata de un estadio más hacia la santidad. No hay duda. Después de habernos convertido en “el solucionador” de problemas informáticos de familia, amigos y otros varios, ahora además nos las tenemos que ver con analistas del salsa rosa de las tic que rezuman las informaciones de los mass media, que repiten clichés sobre el desastre que se nos avecina, desprendiendo satisfacción –la del ignorante– como si en esta guerra él tuviera acciones y su éxito personal y profesional estuviera ligado a eso.

Artículo en Site Original: Cansancio

martes, octubre 16, 2007

A la “piuta” calle

En esto de los cambios laborales, normalmente suele haber “nuevas orientaciones profesionales”, buenas palabras y parabienes dónde un tipo pacta su salida de una compañía de tal forma que todo quede bonito de cara a la prensa. No son muchos los que se van haciendo ruido porque es algo que no interesa ni a la empresa ni a la persona que se va.

En este caso el despido es de Crispin Cowan, un viejo conocido en esto de la seguridad, y es despedido de Novell, dónde actualmente curraba en un proyecto de seguridad [Novell Apparmor]. Su currículo completo lo tenéis en su página web personal.

Crispin Cowan es famoso en este mundo de la seguridad desde hace bastante tiempo, de hecho, la primera implementación de la teoría de los canarios para proteger la memoria frente a sobreescritura (stack smashing protection), técnica utilizada en ataques de buffer overflow sobre variables apiladas para gcc, allá por el año 1997.

Tiempo después, se embarcó en dos grandes proyectos, en primer lugar la compañía Inmunix, cuyo objetivo era integrar todos los mecanismos de control y auditoría de seguridad en un único sistema y Sardonix, un proyecto cuyo objetivo era auditar y medir la auditoría realizada en los proyectos open source.

Después de abandonar ambos proyectos, no sin polémica sobre todo por la caída de Sardonix donde dijo: “security researchers were only interested in finding splashy bugs and posting them to security mailing lists” pasó a ingresar en la nómina de Novell para trabajar en Apparmor después de que esta comprara Inmunix. Manteniendo el trabajo en Apparmor, el objetivo es ofrecer una solución de fortificación para servidores Linux mediante el perfilado de seguridad de los componentes del sistema. Es una alternativa distinta a SELinux que integran los Servidores SUSE.

El 28 de Septiembre le han largado a la piuta calle y ha montado la empresa Mercenary Linux especializada en fortificar servidores Linux, con Apparmor y cualquier otra herramienta de fortificación. [http://www.mercenarylinux.com/]

En declaraciones sobre su despido Crispin ha dicho:

“I'm stunned. I was getting bonuses and raises and awards up until the time I was laid off."

Algo así, como estoy filpando. Estaba obteniendo pasta en bonus, ascensos y premios hasta que me largaron. Y parece que la discusión podría ser por cómo llevar el proyecto.

"Novell wants the community to pick up maintenance and development of AppArmor. But tossing it in the wind and hoping is not good enough assurance for me, so now it's my business to go find sponsors who are willing to pay for AppArmor development”

Amos, que Novell quiere que lo mantenga la comunidad y no directamente ellos, según Cowan. Novell por su parte alega que ha sido una reestructuración normal, pero parece algo sospechoso. Ubuntu se centró en Apparmor este año y Mandriva ya la usa, así que un proyecto que parece tan goloso se queda un poco desangelado. El proyecto continuará, pero es una pena perder el empuje de Novell.

La pregunta es, ¿Por qué cuando muchas empresas quieren mantener el control de los proyectos Open Source, véase la competición SUN, IBM por OpenOffice, como uno de muchos ejemplos, Novell prefiere quitarse control?

lunes, octubre 15, 2007

"Parrajaco" De los Santos en el DISI II
Día Internacional de la Seguridad Informática II

Sí, así como lo oyes, el próximo día 3 de Diciembre, lunes, laborable para más pistas, actuará como cabeza de cartel en el Día Internacional de La Seguridad Informática II. Unas charlas promovidad, gestionadas y peleadas por nuestro querido Jorge "Little Buda" Ramió [ojo!, que tiene la foto actualizada!], quien se empeña en dedicar un día al año para montar un sarao futa Madre.

Como "teloneros" de nuestra aclamada estrella, de Hispasec Sistemas, vendrá algunas "jovenes promesas" de la canción, como el Doctor Martin Hellman (no, no es el de la mahoneas), y el Doctor Hugo Scolnik.

También tendremos a "chavalines" como Juan Carlos García Cuartango, Manuel Ballester y un montón de gente que viene a cantar cosas Chulas.

El concierto tendrá lugar en la Escuela Universitaría de Informática de la Universidad Politécnica de Madrid (dónde yo estudié hace ya tantos años!! snif!!) y teneis que registraros cuanto antes porque hay solo 525 plazas, y, sólo con la presencia de la estrella se va a llenar seguro!

Ah, y antes, recuerda, que el día 7 de Noviembre, con entrada gratis para el SIMO tenéis otro concierto, el Spectra Technet Security Day y el Live Technology Tour!.

Madrid: DISI II.
Madrid: Spectra Technet Security Day.
Vigo y Zaragoza: Live Technology Tour.

Nos vemos en los tres fiestorros ... y las noches antes en los bares!

¿Caida imparable de Apache?

Han salido las estadisticas de Netcraft hasta el mes de Septiembre de 2007 sobre los WebServers. Apache ha crecido en 1 millón de sitios nuevso mientras que IIS ha crecido en 3 millones (de los cuales 1 millón son de Live.com) dejando la distancia en 7.5 puntos entre ámbos.

Como las estadísticas nunca caen a gusto de todos, durante años la queja de los partidarios de Spectra IIS ha sido "claro, los servidores de Hosting gratuito usan Apache" y ahora los partidarios de Apache dicen "claro, son las locas fanáticas de la "gruirgni espiiirs" que se sacan blogs en MSN". En los sitios activos Blogger, de Google ha crecido, pero menos que IIS. Mientras Google crece un 0.65, Spectra IIS gana un 1.60. Ambos son los únicos que suben quitándole cuota a todos los demás.


Netcraft Survery Sep 2007

¿Acabarán las bloggers fanáticas con Apache? ¿Remontará Apache? ¿Dominará IIS como domina en los servidores de la Fortune 1000?.

Saludos malignos!

domingo, octubre 14, 2007

El Top Ten

Acabo de leerme el documento de OWASP en el que se publican las diez vulnerabilidades más explotadas y peligrosas en aplicaciones Web hoy en día. Dicha lista está encabezada por el XSS (Cross-Site Scripting) sorprendentemente. También es destacable ver como CSRF (Cross-Site Request Forgery) se situa en el quinto lugar. Sigue llamando poderosamente la atención como SQL Injection sigue siento tan peligroso y tan activo a día de hoy.

La lista completa es la siguiente:

1.- Cross Site Scripting (XSS): Persistentes, No-persistentes.
2.- Injection Flaws: Especialmente SQL Injection.
3.- Malicious File Execution: Ataques RFI
4.- Insecure Direct Object Reference. Manipulación de rutas a objetos. Cucharones y demases.
5.- Cross Site Request Forgery (CSRF): Forzado de acciones de usuario.
6.- Information Leakage and Improper Error Handling. Mala gestión de mensajes de error.
7.- Broken Authentication and Session Management: Robo de identidades. Hijackings, etc...
8.- Insecure Cryptographic Storage: Almacenamiento inseguro.
9.- Insecure Communications
10.- Failure to Restrict URL Access: URLS mal ocultadas. Spidering, bruteforce, etc...


Han emitido un documento PDF de 35 paginitas muy chulo en el que explican cada uno de los ataques, su impacto y como mitigarlo. Además, dan urls para profundizar el acceso.

THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES

Tras leerlo hay dos cosas que creo que deberían estar y no están, que le vamos a hacer:

1.- Mención de los ataques a ciegas: En todo el documento no se hace ninguna referencia a la posibilidad de que los ataques sean realizados a ciegas. No es absolutamente necesario pues si no hay vulnerabilidad en el código no hay forma de explotarlos ni de forma visible ni a ciegas, pero creo que se debería haber citado las explotaciones "Blind" SQL Injection y "Blind" XPath Injection, documentadas hace ya bastaten tiempo.

2.- LDAP Injection. Las referencias que se hace sobre LDAP Injection son someras y se linka un documento cuya única injección mostrada consiste en poner un *. Dicho documento referencia al documento de Sacha Faust, cuyas inyecciones propuestas no funcionan igual en OpenLDAP ni en ADAM con lo cual queda bastante "escueto". Lógicamente tampoco se habla de Blind LDAP Injection.

Por lo demás, lectura recomendada para tener en cuenta si vas a realizar una aplicación Web.

Saludos malignos!

sábado, octubre 13, 2007

El profeta Jeremías. Redhat demandada.

Ahora sí que se ha montado la gorda con RedHat. La historia comienza con un ligero retraso en el lanzamiento de RedHat Global Desktop. Ayer, la compañía del sombrero rojo, dijo que solo se debe, en principio, a querer dar soporte a todas las arquitecturas Intel.

La semana pasada, el Profeta Jeremías, o mejor dicho, un bien informado Steve Ballmer, en una charla en Londres, contaba muchas cosas, pero básicamente daba dos mensajes:

1.- Red Hat inflinge la Propiedad Intellectual de las empresas sin importarle.



El equipo de propiedad intelectual de Red Hat había respondido con un mensaje de confianza ya meses antes sobre las agoreras profecías del profeta Jeremías. “Despliega con confianza” se titulaba el post en el que básicamente decía que para proteger las patentes usadas en Red Hat está la Open Innovation Network y además redirigía a los visitantes hacia un documento de Gartner titulado “Microsoft Patent Claims Pose No Immediate Risk for Users”, algo así, como la posición de reclamo de patentes por parte de Spectra no supone un riesgo inmediato para los usuarios. Sí, es cierto, no ha dicho que No suponga un riesgo, sino que no supone un Riesgo Inmediato… para los usuarios.

Dicho y hecho… el día 9 de Octubre, casi siguiendo a las palabras de Jeremías en Londres demanda al canto para Red Hat...y Novell por violación de Propiedad Intelectual:

Oct. 9: IP Innovation LLC et al vs. Red Hat Inc. et al

Plaintiffs IP Innovation and Technology Licensing Corp. claim to have the rights to U.S. Patent No. 5,072,412 for a User Interface with Multiple Workspaces for Sharing Display System Objects issued Dec. 10, 1991 along with two other similar patents.

Defendants Red Hat Inc. and Novell have allegedly committed acts of infringement through products including the Red Hat Linux system, the Novell Suse Linex Enterprise Desktop and the Novell Suse Linex Enterprise Server.


El origen de la disputa es una patente sobre el interfaz de usuario con múltiples espacios de trabajo (“User Interface with Multiple Workspaces for Sharing Display System”). Esta mismita patente ya le tocó sufrirla a Apple que fue demandada y además al final claudicó con ella.

Todos están buscando la mano de Spectra por detrás de toda esta situación y se ha montado un thread que he sido incapaz de terminar de leer.

Para muchos esto implica la necesidad de cambio en los sistemas de patentes, para otros significa que el copyright hay que respetarlo y si no pagar la multa. Opiniones como la de Linus Torvalds son analizadas en detalle en estos casos, que con frases como "Linux is not free software" hace temblar Internet.

El caso es que RedHat, parece ser el único que se está quedando fuera de todas las jugadas, mientras Sun se acerca a Linux, libera sus productos e intenta colocarse bien con StarOffice y se pone a vender Windows, IBM busca sus aliados con OpenOffice, ODF o Lotus Symphony, Ubuntu busca sus acuerdos con los fabricantes de hardware y Oracle busca quedarse con las instalaciones Linux de sus servidores Oracle, RedHat se centra en sus planes para sacar su sistema operativo Web y se le acaba ya el tiempo para ser, como dijo hace un año, el único “Linux Player”.

2.- El correo electrónico tiene información valiosísima para los sistemas de publicidad y mientras Google lee el correo, Spectra no lo hace.



Por otro lado, las explicaciones que da Google relativas a la frase de Ballmer son:

"Google's computers process the information in your messages for various purposes, including formatting and displaying the information to you, delivering advertisements and related links, preventing unsolicited bulk email (spam), backing up your messages, and other purposes relating to offering you Gmail."

¿Crees que analiza el correo para ofrecer publicidad dirigida? ¿Es eso un riesgo de privacidad?

¿Cuál es tu opinión? ¿Irán a por Google ahora por leer los correos?¿Volverá Raúl a la selección? ¿Ganará Fernando Alonso el Mundial?

Saludos Malignos!

PD: Vaya post de sabado de puente...

viernes, octubre 12, 2007

Momentus Ridiculous X

La vida de un superheroe es dura, perder a un familiar que te trastorne para siempre, ser picado por un bicho radiactivo, nacer diferente y ser perseguido... ser como el motorista fantasma, la cosa del pantano o la cosa de los 4f, que, entre nosotros, no tiene mucho glamour....

Luego vienen la metafísica de una sola frase: "Un gran poder conlleva una gran responsabilidad", "es un trabajo duro, pero alguien tiene que hacerlo", "Es la hora de las tortas", "soy el mejor en lo que hago", "te voy a dar más hostias que copias piratas tiene windows", etc...

Pero lo peor de todo es mantener la identidad secreta. Ahí tenemos a Superman, con el duro trabajo de ponerse un sombrero, unas gafas y retorcerse el caracolillo del flequillo en una cabina de telefonos a supervelocidad o Spiderman, llenando de tela de araña los gallumbos limpios y colgandolo en lo alto de edificios, que cuando los recoja estarán llenos de cagadas de pájaros.

Nosotros no aguantamos más y tuvimos que desvelar la verdad.

5 de Octubre de 2007. Las cuatro Fantasticas

En la última charla del Open Day tuvimos que confesarnos los 4 y soltar todo lo que llevabamos dentro.


Momento de la confesión

Allí, La Chica No-Visible, que vino en pelotas, El Chico Llama de Mechero, La Cosa esa del Windows Vista y yo, El Hombre Cuasi-Elastico (que solo me crecen algunas partes del cuerpo...) nos confesamos y públicamente desvelamos nuestra identidad secreta.


Cambiando el traje

Ya liberados, nos hicimos unas fotos La Chica No-Visible desnuda, El Chico Llama de Mechero y yo.

Izda. a dcha: Chica No-Visible, Llama de Mechero,Cuasi-Elastico

Todo fue mucho más fácil desde ese momento, solo que, al cambiarnos a super-velocidad no me di cuenta y confundí el cinturón de Otra de mis Identidades Secretas . Al final el Bien triunfó y, como se puede ver en la foto la Chica No-Visible le recompensó cariñosamente al Hombre Cuasi-Elastico, como se puede ver en la foto.

Hombre Cuasi-Elastico siendo recompensado por Chica No-Visible


A partir de ahora el mundo estará un poco más seguro... ¿o no?

Saludos malignos!

jueves, octubre 11, 2007

Pedro Laguna

PL. Sevillano, pelirrojo, alto, amigo del XSS y javascript (geek). En su haber cuenta con haber dado una charla con Dani Kachakil en el famoso evento con resaca (ya veréis los videos). Actualmente curra conmigo (gracias!) y hasta el momento no ha conseguido ganar ninguno de los retos, pero espero que gane el siguiente :P. Le hice fan de una de mis pelis preferidas y ha hecho el solucionario del Reto Hacking IV, del que fue 4º, por delante de RoMaNSoFt, (juas!) (vale, Román estaba de vacaciones y lo hizo cuando llegó, jeje...pero firmó por delante...) haciendo un homenaje a la película. Os lo dejo aquí. Solucionario.

Si alguien quiere aprender de él, la semana del 22 de Octubre va a impartir unas formaciones de seguridad en Madrid sobre Ataques Remotos y Análisis Forense. Promete no ir resacoso (XD,XD)

Saludos Malignos!

Solucionario del Reto Hacking 4
por Pedro Laguna

El reto comenzó como Chema había prometido, a las 20:00 del día 31 de agosto de 2007… ¡¡¡justo cuando estaba mudándome!!! No se como se las apaña para que siempre que publica un reto a mi me pille en mitad de algo y no pueda ponerme 100% con el… no se, el próximo debería de publicarlo un 31 de diciembre a las 23:55, seguro que no me pilla haciendo nada…


Syntax

Entramos en la página del reto… Y nos encontramos que esta ambientada en la serie de Alias. Muy bien, para una serie que no sigo y ahora me va a tocar ponerme al día… Menos mal que para los primeros compases se nos pone en antecedentes… Somos una espía que esta trozo de potable y que debemos entrar en la red de Profeta 5. La cosa pinta bien.

Observamos tres apartados:

• Acceso: Nos ofrece el típico usuario/contraseña. Esta parte tiene pinta de que no vamos a tener que tocarla hasta el final del reto

• Recursos: Aquí observamos que podemos listar los recursos de tipo impresora o terminal que hay en las distintas plantas. Tiene buena pinta y parece el punto critico de la aplicación

• Recuperar contraseña: Interesante funcionalidad para un servicio de alta seguridad como se presupone a una organización ultra secreta. De todas formas seguro que llegado el momento podemos sacarle alguna utilidad.

Vagary

Vamos a empezar a jugar con la aplicación, a ver que tiene para ofrecernos. Vamos a empezar por realizar un listado de los parámetros que puede recibir la pagina Default.aspx

• usuario
• password
• recurso – Puede tomar de la aplicación los valores Impresora y Terminal
• planta – Toma los valores de Primera Planta, Segunda Planta y Tercera Planta
• uid
• rPassword – Este parámetro recibe por defecto un valor true
• respuesta

De aquí podemos empezar a jugar con algunas cosas. Para empezar vamos a ver que pasa si modificamos alguno de los parámetros del buscador, por ejemplo:

http://retohacking4.elladodelmal.com/Default.aspx?recurso=Terminal&planta=Primera+Planta and 1=1

Vaya, parece que esta vez no va a ir de Blind SQL Injection…

Purgation

Ok, parece que esto no es vulnerable a Blind SQL Injection… pero… ¿es que acaso hay algo más? Pues si, hay muchísimos más tipos de vulnerabilidades, como por ejemplo el XSS o el CSRF.

La OWASP (The Open Web Application Security Project) tiene una guía sobre vulnerabilidades, soluciones y recomendaciones donde podemos encontrar todo un listado con los últimos fallos de seguridad y una explicación teórica de su fundamento y su manera de explotarlos.

http://www.owasp.org/index.php/Guide_Table_of_Contents

Ahora tenemos una lista con un montón de fallos y una pagina vulnerable. Veamos como podemos asociarlas… Aparte de los parámetros que tenemos para hacer las búsquedas en los recursos de la sociedad secreta vemos que hay uno que nos puede servir de pista: uid. Vamos a usar el buscador del Wiki de la OWASP para buscar si hay alguna técnica que use un parámetro llamado uid… ¡Bingo! ¡Los primeros resultados que nos muestra mencionan LDAP Injection!

Harbinger

¿Y si estuviésemos consultando un árbol LDAP? Bien, vale, espera… ¿No sabes lo que es LDAP? Así para resumirlo un poco y que al menos sepas de lo que vamos a hablar te comentare que un árbol LDAP es una estructura que guarda datos referentes a la configuración física y lógica de un conjunto de ordenadores, personas, impresoras y resto de dispositivos que puedan conectarse a una red.

Este árbol puede ser consultado para que nos devuelva los datos que contiene. Esto se hace mendiante sentencias LDAP que pueden ser algo como: (cn=retos) y nos devolvería todo aquello que perteneciese al atributo reto o por ejemplo… (recurso=Impresora)(planta=Primera+Planta), que podría ser lo que estuviera haciendo por debajo la aplicación.

Perspicacity

Bien, ahora que sabemos que la sentencia LDAP (si es que es LDAP) debería de ser una cosa como “(cn=”.$recurso.”)(planta=”.$planta.”)” podríamos pensar que si sustituimos el valor de los recursos y las plantas por el comodín (*) nos debería de devolver todos los recursos disponibles en todas las plantas. Probemos:

http://retohacking4.elladodelmal.com/Default.aspx?recurso=*&planta=*

Total: 12 O lo que es lo mismo… ¡Todas las impresoras y todos los terminales que hay en todas las plantas! (Compruébalo si no me crees) Parece que vamos bien…

Paradigm

Antes de empezar a meter asteriscos, paréntesis e iguales como locos vamos a pararnos a pensar… Si hemos afirmado que la sentencia es “(cn=”.$recurso.”)(planta=”.$planta.”)” si introdujésemos en el valor de $recurso la cadena “Impresora)(planta=Primera Planta)” y eliminásemos el parámetro planta deberíamos de obtener los mismos resultados que si seleccionásemos la búsqueda por defecto, ¿no?

http://retohacking4.elladodelmal.com/Default.aspx?recurso=Impresora)(planta=Primera%20Planta)

Total: 3 Por lo que nuestra suposición parece correcta, parece que hemos acertado acerca de la sentencia que ejecuta la aplicación contra el árbol LDAP.

Whimsy

Ahora que sabemos que nos enfrentamos a un árbol LDAP y que según la introducción al reto debemos de encontrar un usuario valido del sistema, se nos plantea la duda de como conseguirlo.

Muy bien, sabemos que con el carácter * podemos completar todo o una parte de un campo y que a Chema le encanta ir ciego… por lo tanto, ¿porque no pensar en Blind LDAP Injection?

Quizás si vamos preguntando poco a poco a la aplicación sobre si un determinado campo empieza con una determinada letra y nos devuelve cierto (numero de impresoras/terminales conocidos) o nos devuelve falso (Total: 0) podamos determinar los valores de ciertos campos del árbol.

Quandary

¿Que campos contendrá el árbol LDAP? ¿Cuál podrá sernos útil? ¿Cuál es el sentido de la vida, el universo y todo lo demás?

Para la ultima pregunta la respuesta es fácil, 42. Para las otras dos la respuesta la vuelve a tener la aplicación: uid

http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=*)

Total: 1

¡Esto marcha!

Lamentation

La informática es la ciencia de automatizar las áreas repetitivas, así que vamos a buscar algo en Google que haga lo que nosotros queremos.

http://www.google.com/search?hl=en&q=%22blind+ldap+injection%22&btnG=Google+Search

Vaya, parece que no hay nada sobre este tema… Tendremos que trabajar nosotros.

Juxtaposition

Si en el Blind SQL Injection íbamos preguntando carácter a carácter, aquí vamos a realizar lo mismo, iremos probando sentencias como sigue:

http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=*) – Total: 1
http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=a*) – Total: 0
http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=b*) – Total: 0
http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=s*) – Total: 1


Por tanto vamos a seguir el mismo proceso que para el Blind SQL Injection. (Realmente no es el mismo, pues en SQL podemos preguntar por el valor ASCII de un determinado carácter, aquí debemos probar uno a uno)

Catharsis

Ha llegado el momento de abrir nuestro IDE favorito (si, el notepad también vale, o el emacs…) y programarnos nuestra pequeña aplicación que automatice este proceso (También puedes hacerlo a mano…).

Yo en mi caso he usado C#, con un simple WebClient que realizaba las peticiones y comprobaba si estas contenían el texto “Total: 1” para comprobar si habíamos encontrado un valor válido.


Vilification

¡Genial! Con este usuario (sd6.sloane.arvin) ya podemos irnos a la parte de recuperación de contraseñas…

Denouement

Una vez introducimos el usuario y pulsamos el botón de Check , nos muestra la pregunta secreta del usuario, en este caso: “¿Dónde se cerro el Circulo?”

Para responder a esta pregunta deberíamos de habernos visto la serie, los 105 capítulos de los que se compone, pero haciendo un uso apropiado de Google podremos encontrar la respuesta fácilmente… ¡Y esto ya os lo dejo a vosotros!

Pedro Laguna Durán

miércoles, octubre 10, 2007

Otro discursito del abuelo Parada

En otra de sus grandes intervenciones radiofónicas, el abuelo nos deslumbro con esta presentación para los Terminal Services Gateways:

"Sin sencillez y seguridad inútil se vuelve el acceso….Cuantos segundos, minutos, horas y largas veladas, no hemos dedicado los administradores a configurar el acceso remoto a los equipos de nuestra red. Difícil tarea la de vencer a los Routers y firewalls interpuestos en nuestro camino. Agridulce la labor a menudo infecunda de convencer a los que sostienen la responsabilidad sobre equipos de comunicaciones de nuestros propósitos. Inútil y frustrante la de explicar al usuario incapaz, la vereda a seguir para procurarse acceso a todas sus aplicaciones y datos. Cuan ingrata la sensación de verse solo, acosado, perseguido y repudiado por todos.

Pero cuando prende en nuestra mentalidad científica la llama de un objetivo, cuando seducidos por la belleza de lo efectivo y novedoso nos fijamos una meta, deja de tener valor el tiempo y toda adversidad es pequeña, pues el hombre tiene esa capacidad extrema para sobreponerse a las contrariedades, para pelear contra su destino, y así, cuanto más alta es la cumbre, cuanto más inalcanzable el meta, tanto más arrojo mostramos, tanto más firme y terca se muestra nuestra voluntad férrea.

Pero no se detiene la voluntad humana al alcanzar una meta. Y al igual que el Record no es el final del camino, sino el inicio de un nuevo sueño, así, conseguida nuestra meta tecnológica de la comunicación, pretendemos siempre alcanzarla de nueva manera más sencilla, más efectiva más rápida, menos molesta e incómoda para todos.

Para los no quieren configurar por enésima vez el router, para los que no quieren pegarse con los de el equipo de comunicaciones ni dejar el Firewall como un queso grouller, para los que quieren mantenerse a una distancia prudencial de los incómodos usuarios, para los que buscan soluciones sencillas a problemas complejos, para todos vosotros presentamos hoy TS Gateway…… porque sin sencillez y seguridad inútil se vuelvo acceso…."


Fdo: Pepe el evangelista.

Hoy toca…

Qué me gusta madrugar es algo que muchos sabéis y otros podríais haber intuido viendo los horarios de mis posts. Es en esa hora de la mañana cuando las calles aún no están puestas cuando mi cerebro mejor funciona. En ese momento, justo antes de poner el post del día es cuando decido el día que me quiero dar.

Si es un día en el que tengo ganas de cachondeo o me levanto peleón toca un día de Caña, para no olvidarme de mis amigos los Técnicoless, que siempre dicen cosas divertidas.

- Armas de doble Filo, por silverhack. Rootkits en Linux y la ciudad de los Kispis.

Si es un día en el que voy a estar ocupado de viaje o conferencias entonces toca un día de Post técnico. No hay como poner un post sobre Oracle o un artículo de 7 páginas para tomarnos el día con cierto relax.

- A Multi-perspective Analysis of the Storm (Peacomm)Worm. A debuggear gusanos.

Los días de poco curro, o en los que voy a tener tiempo para contestar mails saquemos algunos números de esos que tanto o tan poco gustan, para discutir sobre los valores incontables.

- eBay: Phishers getting better organised, using Linux. ¿Phishers usando servidores Linux zombies? ¡Eso es imposible! ¿o no?

Luego queda la opción del día tener un día cómodo y contar algún truco medio olvidado, alguna tool que está por ahí en el canasto o un artículo interesante.

- SQL Injection en MySQL, nuevos viejos trucos. Averiguar la versión usando comentarios.

…o recordaros algún evento:

- El próximo 18 de Octubre, cumpleaños del abuelo, estamos en Vigo!

Y si no, siempre puedes hacer el capullo con alguna cosa chula para que la gente encuentre “el chiste”.

- ING. Vence a la pereza, y como dice Mandingo, "no dejes que los árboles te impidan ver el bosque".

Hoy, solo por el placer de tocar las narices, voy a hacer un poco de todo, para estar “a tutiplén”.

¡Saludos malignos!

martes, octubre 09, 2007

Catch the "KINKI"


Todos los años fiscales se realiza el Spectra Security Day, que es el evento más grande en seguridad que realiza Spectra en España para lavar la mente de los usuarios. Este año el objetivo se va a centrar en Estafas en Internet. El objetivo es analizar el funcionamiento de alguna de las estafas más comunes en Internet y que herramientas tenemos para protegernos ante ellas.

Ya veremos que os parece lo que vamos a preparar. Además, como lo vamos a celebrar coincidiendo con el SIMO, todos los asistentes tendrán derecho a invitación para entrar en la feria, con lo que por la tarde podrán entrar en el SIMO a apren... digo... a recoger goodies y visitar a los azafatos y azafatas que amablemente os enseñarán cosas.

La fecha para la que está previsto el evento es el día 7 de Noviembre de 2007 y para intentar que nadie se quede fuera os dejo el registro ahora mismo.

Spectra Technet Security Day

Lo hemos planificado para que vengáis a vernos, os invitamos a desayunar, os damos la entrada, veis el SIMO y a casita que llueve. Y si venís de fuera de Madrid, pues añadid la noche antes un paseo por Tribunal, Chueca o Lavapies para tomaros "un algo". ;)

¡Saludos malignos!

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares