viernes, abril 30, 2010

MOSS Wanted

Este miércoles se alertó en la lista de Bugtaq de la existencia de una vulnerabilidad de XSS en los portales de MS Microsoft Office SharePoint Server 2007, es decir, los MOSS. El fallo de XSS se encuentra en el componente utilizado en el programa utilizado para la ayuda help.aspx y, haciendo uso del archi-famoso .

http://host/_layouts/help.aspx?cid0=MS.WSS.manifest.xml%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E&tid=X

Si embargo, la vulnerabilidad no sólo afecta a los MOSS 2007, sino a todos los SharePoint Services, así, los portales con Windows SharePoint Services 3.0 también se ven afectados por ella.


Figura 1: XSS en WSS 3.0

Teniendo en cuenta que los ataques de XSS pueden utilizarse para realizar ataques que pueden ir desde lo auténticamente desternillante como los que se hicieron a la web de EU, SGAE, etc... hasta lo auténticamente peligroso, como en el caso del Hijacking a Apache, esto no es ninguna broma.


Figura 2: 40.000 resultados con la URL de la web vulnerable

Más, cuando basta con hacer una pequeña búsqueda en Google para descubrir 40.000 sitios en Internet con este componente cargado. A esto hay que sumar las intranets, los blogs corporativos, etc… Vamos, que si tienes clientes con SharePoint hagas como nosotros hoy y te dediques a avisarles.

Para poder arreglarlo, mientras que Microsoft saca el parche, lo mejor es deshabilitar la ayuda. Esa aplicación te muestra la ayuda sobre las opciones mostradas en cada una de las pantallas, así que nosotros hemos trincado el aspx, situado en:

"%Program Files%\Common Files\Microsoft Shared\web server extensions\12\TEMPLATE\LAYOUTS\"


Figura 3: Archivo modificado por FILEMASTER para deshabilitar la ayuda

Y le hemos puesto un bonito mensaje de que la ayuda está deshabilitada hasta que salga el parche.


Figura 4: Ayuda deshabilitada

No es la opción más elegante, pero hemos pensado que era lo mejor para evitar posibles flecos. Al mismo tiempo, si cuentas con un WAF, piénsate en poner alguna bonita y hermosa regla que deshabilite el acceso desde fuera a URL. Esto evitaría los ataques externos, pero no los internos. Por supuesto, filtros AntiXSS up and running que, por muchos fallos que puedan tener a día de hoy, dificultan muchos ataques y hacen más complicado el desarrollo de exploits funcionales.

Saludos Malignos!

jueves, abril 29, 2010

La OTAN y el Yoga compañeros de IP

Otra vez jugando ayer con la FOCA, me encontré con un dominio de la OTAN bastante curiosote. El dominio es la página web del cuartel general de ARRC de la OTAN, los Allied Rapid Reaction Corps, es decir, de los Cuerpos de Reacción Rápida de los Aliados. De todos los servidores y dominios de la OTAN que aparecieron, muchos estaban en sus propios servidores, pero, no éste.


Hoy está caido, pero os juro que hay una web superchula que podéis ver en la caché de Google

Una de las características que implementa la FOCA 2 es la búsqueda de nuevos dominios y servidores por medio del servicio de búsqueda por IP de BING. Así, FOCA resuelve la IP, que aquí hacemos con un sencillo ping:

La IP del servidor que aloja la web de los ARRC

Y busca en BING a ver que otros dominios están alojados en esos servidores, nada extraño.


Los compañeros de IP

La gracia de esta página web, que curiosamente hoy está caida, es que está alojada en un servidor de Hosting con muuuuuuuuchos otros dominios. Entre otros, este simpático, y primer resultado, del Yoga y la Naturaleza, sin contar que la lista parece bastante larga. Buscando en robtex por esa IP también sale una buena lista.

Como por muchos es sabidos, encontrar dominios que comparten servidor, ayuda a encontar otras posibles puertas de entrada a vulnerar la seguridad de lo que haya en el sitio web objetivo. ¿No debería la OTAN tener un servidor hiper-mega-la-hostia-de-seguro para evitar situaciones desagradables por el hackeo de un dominio que comparta IP?

Saludos Malignos!

miércoles, abril 28, 2010

¿Cuánto pagará la SGAE por su software?

Vaya por delante que tengo el convencimiento que han aprendido la lección del pasado y pagarán todo su software, pero como quería probar bien todas las funciones de la nueva FOCA 2.0.1. pensé que la SGAE podía ser un buen objetivo debido a que no tiene demasiados documentos ni demasiados servidores. Es decir, que me permitía probar todas las funciones en un corto espacio de tiempo.


FOCA con la SGAE

Sin embargo, tras recordar el incidente con el dirigente que usaba una MS Office pirata, me llamó la atención que la FOCA descubriera 68 versiones de software distinto en 380 documentos. Este síntoma revela que no parece que exista una política de versiones de software férrea, es decir, controlada y marcada desde dirección. La lista de software detectado en la SGAE se resume en la siguiente tabla:


Tabla de software más usado

He de suponer que la SGAE tiene compradas todas las licencias para todas las instalaciones que realiza de QuarkXPress, o Adobe Acrobat. Pero, sobre todo me ha llamado la atención de algún software que tradicionalmente la gente supone que es gratuito y no lo es.

Ejemplos de este tipo de software al que me refiero es Snagit o Solid Converter. Ambos tienen versiones de prueba. Snagit tiene una versión de prueba de 30 días de duración totalmente funcional pero, después de esos 30 días, ¿deberían poder publicarse documentos creados con ellos? Vaya por delante que asumo que la SGAE lo tiene comprado.

Solid Converter no te deja trabajar con ella y deja marcas de agua, si no registras el software (o la crackeas) así que hemos de suponer que han comprado también Solid Converter. Sería muy feo que los Estatutos de la SGAE, que están creados con este software, no se hicieran con una licencia comprada. Sólo por eso estoy convencido de que es software original y no crackeado.

El último que me ha encantado es esta carta escrita por Teddy Bautistas generada con PDFmachine, un software que es gratuito (si permites que te ponga publicidad al final del documento) así que hemos de suponer que, puesto que la carta no tiene ninguna publicidad también lo tienen comprado.


Hasta BING te muestra el software

En fin, que me ha llamado la atención de software que tienen en su web, múltiples versiones, mucho software gratis, mucho software libre, ninguna política y, en definitiva, un gasto en licencias excesivo para software bastante similar. ¿o no?

Saludos Malignos!

martes, abril 27, 2010

Calendario hasta el 7 de Mayo

Últimamente estoy un poco remolón para dejarme ver por ahí dando charlas, pero sólo es debido a que necesito todo el tiempo del mundo para acabar mis deberes. Sin embargo, voy a estar en un evento mañana en Villaviciosa de Odón y en un webcast el viernes. Además, aprovecho para dejaros la info de los Hands On Lab [en Madrid y Barna] y los Virtual Hols que están planificados para estos días.

28: [Villaviciosa] Presentación de Proyectos

Yo voy a dar una charla sobre seguridad y dos de mis grupos de alumnos presentarán proyectos:

- Marmita: Un detector/Bloqueador de ataques ARP-Spoofing para sistemas Windows
- GooBaHP: Google Bot as a Hacking Platform

NOTA: La hora de comienzo es a las 17:30, que yo lo puse mal en el post incial.

30: [Online] Show me: The FOCA 2.0

Y esta es la lista de las otras acciones que tenemos para estos días días:

Virtual HOLS

[28/04] VHOL-VS528 MS Visual Studio 2010: LINQ
[29/04] VHOL-VS529 MS Visual Studio 2010. Silverlight 4.0
[30/04] VHOL-WS706 Actualización de Windows XP a Windows 7
[04/05] VHOL-WIN51 MS Windows Server 2008 R2: Implementing
[05/05] VHOL-WIN70 MS Windows Server 2008 R2. Secure WiFi
[05/05] VHOL-WIN52 MS Windows Server 2008 R2 Server Core
[06/05] VHOL-WIN58 MS Windows Server Update Services

HOLS en Madrid

[28/04] HOL-FOR06 MS Forefront TMG 2010: Firewalling
[28/04] HOL-WIN70 MS Windows Server 2008 R2: Secure WiFi
[29/04] HOL-FOR07 MS Forefront TMG 2010: VPN y Branch Office
[30/04] HOL-FOR10 MS Forefront Unified Access Gateway 2010
[03/05] HOL-WIN53 MS Windows Server 2008 R2. PowerShell 2.0
[03/05] HOL-SQL31 MS SQL Server 2008. Business Intelligence
[04/05] HOL-WIN65 MS Windows Server 2008 R2. NAP Services
[05/05] HOL-WIN55 MS Windows Server 2008 R2. IPSec
[05/05] HOL-SQL36 Microsoft Search Server 2008
[06/05] HOL-SEG03 Análisis forense I. Malware en entorno Windows
[07/05] HOL-SEG05 Análisis forense III. Logs en Windows

HOLS en Barcelona

[28/04] HOL-SPS14 MS SharePoint Server 2010: Implementing
[28/04] HOL-SPS17 MS SharePoint Server 2010. Búsqueda e Indexación
[29/04] HOL-SPS16 MS SharePoint Server 2010. Content Management
[30/04] HOL-SPS18 MS SharePoint Server 2010. Business Intelligence

Saludos Malignos!

lunes, abril 26, 2010

Webcast: Show me the FOCA 2.0

Como hay muchos que aun no se aclaran con como funciona la FOCA 2.0, hemos decidido organizar un Webcast Gratuito para este viernes que daré yo. Está incluido dentro de la campaña de Virtual HOLs, pero en este caso haré yo solo las demos.


Webcast FOCA 2.0

¿Quieres ver como funciona la FOCA 2 de primera mano? ¿Quieres saber como funcionan todas las opciones? ¿Quieres conocer lo que se puede y no se puede hacer con la FOCA 2? ¿Quieres saber como será el futuro de la misma y lo que se irá añadiendo? Apúntate a este Webcast que tendrá lugar el próximo el próximo viernes 30 de Abril de 16:00 a 18:00 horas a través de Internet. Para ello rellena el fichero de registro y envíalo a registro at informatica64.com.

Aprovecho también para deciros que se han areglado un par de cosas que no iban bien en la FOCA 2.0 y que tenéis disponible la FOCA 2.0.1 para descarga ya.

Saludos Malignos!

Si es que van pidiendo guerra

En muchas auditorías que tenemos que hacer en el curro, la historia comienza con una llamada del tipo “me han cambiado la página de inicio”, “me han quitado de Google por estar sirviendo malware desde mi web” o el clásico “me han borrado todo y no tengo backup!”.

Cuando tienes que hacer una auditoría que empieza así… sabes que va a ser coser y cantar. Alguna cagada gorda tienen. Y sí, siempre sale un RFI, un panel de control con SQL Injection, una base de datos con contraseñas sin cifrar y alguna bonita forma de calzar una Shell. Sorprendentemente, no pasa todo lo que debería pasar, porque hay mucha gente que aún no ha tomado conciencia de los riesgos de no preocuparse por la seguridad. Y de eso va esta historia de domingo.

Estaba yo matando el tiempo en esas cosas que se suelen hacer, ya sabes, buscar alguna manera de dar por saco. Como dice el dicho, “Cuando el diablo no sabe qué hacer…”. En concreto quería hacer un conteo de cuantas bases de datos .mdb quedan publicadas y localizables con información sensible en España. Ya sabes, solo por jugar un rato.


Figura 1: Pues todavía quedan mdbs por ahí...

En uno de los links me apareció una URL con el puerto 8080 y pensé: “Coño, esos sitios sí que son graciosos. Vamos a buscar webs por el 8080 y así veo que puertos curiosos acaban indexados en Google”.


Figura 2: Buscando 8080s

Una vez ahí, me acordé de que en una auditoría nos había tocado un JBoss en el que el usuario era admin y la password [Una de las tres primeras que se te ocurra] y decidí buscar los Tomcat con el status abierto por el puerto 8080 y ver si esto era muy típico. Aparecieron un cerro de Tomcats, y … un montón de JBOSS.


Figura 3: Buscando el status del TomCat

En los JBOSS, normalmente se instala una consola de administración web y la consola JMX. Si el sitio tiene abierto el path por defecto basta con que pidas el directorio principal y te sale la ventana principal de JBOSS.


Figura 4: Página principal de JBOSS

Pero si no, es tan sencillo como pedir /web-console/ o /jmx-console/. Tras probar con los tres primeros al azar, los tres permitían entrar con admin[una de las tres primeras que se te ocurra]


Figura 5: Web-Console de un JBOSS

Tras jugar un poco con ellos, la gran mayoría son vulnerables a ese par de contraseñas por defecto en la que la password es igual que el nombre. De hecho, una vez que estás en ese punto de la consola de administración, basta con crear un Web Archiver [war file] y crear una nueva aplicación en el sitio web. Tienes un guía muy chula sobre cómo hacer esto en: Hacking JBOSS.

En la consola JMX puedes acceder a un montón de información chula. Para entrar, tan sencillo como pedir /jmx-console/ y listo.


Figura 6: JMX-console de un JBOSS

Y haciendo búsqueda por las configuraciones de la conexión a la base de datos, puedes ver las opciones seleccionadas.


Figura 7: Configuración de la base de datos

Sí, sa, y me lo he encontrado en varios que iban sobre Microsoft. Pero también he visto un JBOSS corriendo como root. Otra parte chula es la configuración de correo, en el servicio mail. Para montar una aplicación de SPAM es perfecto.

Mirando algo de información, he visto que esto lleva así desde tiempo ha, y hay un Google Dork para detectar sitios que directamente no piden usuario y contraseña. Es decir, para que subas tu Shell y… ¿vamos, es esto serio? ¿Esto es de coña, no?

intitle:”jboss management console” “application server” version inurl:”web-console”

Pues sí, el Google Dork busca la página se server-info. Y una vez que estés en el sitio, busca las consolas pidiendo /web-console/ y /jmx-console/ Si es que van pidiendo guerra…

Saludos Malignos!

domingo, abril 25, 2010

El Cine S en Youtube

Ya no sé si se harán películas de cine S o no, pero cuando yo era joven, era una avalncha. Esas películas, muchas de ellas procedentes de Italia o Alemania, eran emitidas en horarios tardíos y en ellas se veía a la gente practicando sexo pero nunca, nunca, se veía ningún organo sexual.

Los camaras eran auténticos profesionales del angular y tomaban las imagenes desde los puntos exactos para que no se viera nada, y, si algo se iba a ver, entonces se cortaba la imagen y santas pascuas.

Con un objetivo publicitario por parte de los creadores de porno en Internet hacen algo similar en Youtube y yo sin haberme enterado. Tras seguir el link del artículo de Cyberhades en el publicaban las imagenes prohbidas del cine mudo, me sorprendió ver los videos relacionados.

Así, basta con buscar por porn, sex, o cualquiera de los términos que se te ocurran para buscar algo así, y que aparezcan mogollón de videos de películas X, todos ellos cortados en el momento justo para no incumplir la política de Youtube.


El objetivo es puramente marketing y publicidad, pero me ha sorprendido que haya otros tipos de servicios detrás de algunos de ellos :(

Saludos Malignos!

sábado, abril 24, 2010

Fabricando Héroes

Decía Santo Tomás de Aquino o San Aguistín o San Anselmo (uno de ellos) que Superman existe porque la idea de Superman es perfecta mientras que el hombre es imperfecto, luego, como nada imperfecto puede crear algo perfecto, entonces Superman existe. La verdad es que no sé si esto era lo que decía realmente San*, que en COU sólo estaba pensando en pasar a la universidad y centrarme de lleno en la carrera de Informática, pero me suena que era algo parecido.

La realidad es que el ser humano parece necesitado de heroes y es por eso que yo me he gastado toda mi pasta en comics, para pasar horas y horas entre ellos. Me hubiera gustado saber dibujar mejor y no quedarme en mis dibujetes de No Lusers, pero, hoy en día, y gracias a la informatica, hasta los que no sabemos dibujar podemos crearnos nuestros héroes.



Existen en Internet multitud de sitios para crearse personajes, y yo he estado perdiendo el tiempo con algunas de estas Hero Machines. Así, me he construido a Malignera, una heroina que viene desde un mundo lleno de tencnología donde se ha erradicado a los técnicoless a base de dar leches como panes.



En ese sitio puedes convertirte hasta en una estrella de Rock o un Zombie, tienes varias máquinas chulas para hacer tus personajes y yo he querido jugar con al de Zombies. El resultado me trae a la memoria las historias en Blanco y Negro (a pesar de que yo lo he pintado) que venían el Creppy, el Dossier Negro o la Tumba de Drácula.



Si eres un freak y un enganchado a los comics como yo, seguro que te molan estos juguetes. };P

Saludos Malignos!

viernes, abril 23, 2010

Webcast con Ben Feinstein grautito hoy a las 19:00 horas

Ben Feinstein es uno de los speakers que te encuentras en las grandes conferencias de seguridad. Es normal que esté en la lista de speakers en la ShmooCon, la Defcon, la ToorCon y, por supuesto, BlackHat.

Este año ha sido seleccionado para hablar en la BlackHat USA 2010 en Las Vegas, pero antes, ha pasado por España. Tuve la suerte de conocerle ya hace un par de años y desde entonces mantenemos una cordial relación tal que, con la celebración de la International Week en la Universidad Europea de Madrid, decidí que era una buena ocasión para invitarle a España.

Ha impartido una conferencia y un par de Workshops de seguridad y, esta tarde, le hemos liado para que de un Webcast desde Informática64.

Es gratuito, de 1 hora de duración y sólo necesitas enviar un e-mail a registro@informatica64.com con el asunto: Webcast INFOSEC y en el cuerpo del mensaje pon tus datos de contacto para que podamos confirmarte la plaza.

El Webcast empezará a las 19:00 horas y estaremos Ben y yo por aquí. Después, a eso de las 20:30 va a haber un cervezada en Móstoles, enfrente del SOCtano, que pagaré yo, así que si te apetece venirte a tomar cervezas, conocer a Ben o a cualquiera de los miembros del SOCtano, estás invitado.

Los datos del Webcast son:

Título: "Discussion of Trends in Infosec"
Idioma: Inglés
Abstract: "We will have a back and forth discussion of the state of information security today, and identified and emerging trends."
Hora comienzo: 19:00 horas
Duración: 1 hora.

Saludos Malignos!

jueves, abril 22, 2010

Victor Pimentel: El populista de Genbeta

Ya hace años que llevo leyendo artículos malos en seguridad escritos por Víctor Pimentel en Genbeta. Es normal, él no trabaja en seguridad, se dedica a escribir en un blog sobre tecnología, que es distinto. Sin embargo, me ha sorprendido como asevera en su último post en el que critica nuestro documento sobre la seguridad en los navegadores algo como:

"Firefox es uno de los navegadores más seguros en la actualidad. En el Sistema Métrico Campofutbolero, diría que Firefox está en la Champions League de la seguridad si no hubiera más equipos participantes que navegadores."

Es curioso cómo ha aplicado todas las técnicas del técnicoless en una única frase. Es un crack. Después de haber currado cinco personas en mirar todo lo que hemos mirado en los navegadores, no nos hemos atrevido a hacer ninguna aseveración de que navegador es el más seguro de todos en entornos Windows y sólo hemos querido plasmar características técnicas. Así, su compañero de Genbeta, que sí nos brindó con el honor de asistir al evento de presentación del paper hizo un reporte mucho más ecuánime y técnico en Genbeta. Sobre ese mismo evento de presentación y el mismo documento técnico, otros periodistas tecnológicos sacaron más o menos las mismas conclusiones del trabajo, como Muy Computer, JavierPas, Incubaweb, Gizmodo o The Inquirer. Todos, más o menos, en la misma línea, mirando datos, aportando su visión y haciendo su trabajo con profesionalidad.

Sin embargo, Víctor Pimentel, que no vino al evento y que dudo que se haya leído (o entendido) el documento, nos sale con populismos. Muy bien Víctor, sobre tu artículo, como si me creyera que lo que tú querías hacer era un flame, te contesto desde aquí que registrarme en genbeta o darte mi facebook no me apetecía.

Más es mejor

Según nuestro experto técnicoless en seguridad:

“El modelo de desarrollo de software libre obtiene una mayor tasa de descubrimiento de fallos, sobre todo si la aplicación es popular entre los desarrolladores”

Vamos, decir esto, es como decir que todos los madrileños son unos chulos y que todos los catalanes son unos agarraos. Es una afirmación que te has sacado de la chistera sin ni tan siquiera mirar datos. Te puedo dar nombre de proyectos OpenSource con fallos de seguridad bajísimos porque tienen un código de calidad altísima.

" la seguridad por oscuridad no es la mejor de las compañeras de viaje"

Efectivamente, pero lo que tu propones, que es la seguridad por publicación del código es una absurdez como un piano. Si nadie revisa el código es una cagada XXL.
Ahí tienes el caso de OpenSSL: Software popular, usado por millones de personas y organizaciones alrededor del mundo (joder si hasta lo uso yo!) y tuvo un fallo gordísimo que tardó en descubrirse más de una año.

Según Víctor (este tipo debe ser humorista)

“contar el número de bugs encontrados [..] resulta más en un punto para Firefox que para Internet Explorer”

Mira, nosotros no lo hemos valorado, sólo lo hemos contado, pero pensar que porque haya más fallos es porque se ha mejorado más, es una chorrada. El número de fallos descubiertos es una buena inferencia del número de fallos cometidos por el equipo de desarrollo. Nada más. Y, haciendo un análisis global y de jefe de proyecto, es un síntoma del modelo de desarrollo que se utiliza.

Pero vamos, que si piensas que por tener más fallos es mejor, yo te recomiendo que uses Windows 95 que tiene más y seguro que es mejor.

Más comunidad

“Uno de los puntos por los que Firefox se puede considerar más seguro que otros es porque los mayores expertos en seguridad y los mejores desarrolladores del mundo pueden y han participado activamente en la búsqueda de fallos”

¿Tú no has ido a muchas conferencias de seguridad verdad? La mayoría de los bugs hihgly critical de Firefox no tienen presencia en las conferencias internacionales. Hay una comunidad enorme de empresas interesadas en la seguridad de Internet Explorer [Partners, MVPs, bug finders, security researchers que venden las vulnerabilidades a empresas, a ZDI o Tipping Point o Security Porn Stars que quieren dar una conferencia en Black Hat]

Además, piensas que para desarrollar en Spectra, sólo tienes que ir a una tómbola y que te toque el númerico. Que las, alrededor, de 10 entrevistas que hay que pasar se pasan con frases como las de tu artículo. Además, ¿quienes son Michael Howard, Mark Russinovich, Crispin Cowan o nuestro hispano Fermín J. Serna? Esta gente que trabaja en Spectra son unos paná seguro que no saben dar una patá a un bote. No sabén hacer el 0 day con un tubo.

Pero es que, según has ido escribiendo el artículo te has ido gustando y ahora, te contradices y pasas apuntártelo también como algo positivo.

“¿Qué creéis que es lo más probable, que reporten el fallo de seguridad a Microsoft o que vayan al mercado negro a vender un Zero Day Exploit?”

Según tu, irán a por el que tenga más pasta para pagar por las vulnerabilidades, que será Mozilla, seguro.

Sin embargo, esto ya es una falta de respeto a todos los que trabajan en la búsqueda de vulnerabilidades. Acabas de decir que la gran mayoría de los investigadores de seguridad son mercenarios. Creo que no es así, y hablo por mi caso, que nunca he vendido nada al mercado negro, he reportado varios casos a Spectra y múltiples veces a empresas y organismos a través de los cuerpos de seguridad del estado. Muchos prefieren cobrar menos por las vulnerabilidades y reportarlas a los que deben hacerlo.

Copio el siguiente párrafo entero porque no has leído el documento y te lo voy a volver a explicar:

“Lo más gracioso del informe de Microsoft es que reconoce que IE ha sido el único con vulnerabilidades extremadamente críticas, pero que no solo eran fallos de seguridad graves, sino que solo el último año hasta en siete ocasiones (conocidas) diversos maleantes se valieron de las mismas para atacar a usuarios con éxito.”

El informe es de Informática64, en primer lugar. En segundo lugar, las vulnerabilidades highly critical y extremly crítical, como pone en el informe son exactamente iguales en importancia, por eso en todos los informes salen juntas, pero… nosotros, para hacer honor a la catalogación de Secunia, hemos diferenciado. Si las unimos Firefox dobla las vulnerabilidades.

De esas 7 vulnerabilidades extremly crticial, como puedes comprobar en Secunia y mriando los CVE del documento, las 7 se reparten en dos advisories por el sistema de publicación de Microsoft. Se explotaron 2, pero las otras reciben el mismo nivel de gravedad ya que este nivel va a asociado al advisory.

De hecho, el informe dice “que se sabe a ciencia cierta que están siendo explotadas”. Algunas de las highly critcial de Firefox tenían exploit para ejecutarse antes del parche, pero como no lo habían querido meter en Secunia por que no supieron si se explotaron activamente, no lo hemos metido como extremly critical.

“al final los días que tarda Microsoft en actualizar su navegador no son tantos”

Creo recordar que FF ha tenido retrasado un parche este año varias veces, porque lo que no quiere una empresa es parchear 7 veces al mes (más o menos los bugs que viene teniendo de media FF). Y en media, creo que los días de Microsoft son bastante buenos.

Actualizaciones constantes

“Lo cierto es que las versiones de Firefox son mucho más constantes y cercanas en el tiempo, y al meter funcionalidad nueva también introducen nuevos fallos, pero corrigen bastantes viejos. Al mismo tiempo, el usuario de Firefox actualiza su navegador con mucha más frecuencia que el de IE.”

Macho si te lo dices tú todo. Nuevos fallos, y fallos de regresión que son muchos. Y sí, lo que quiere una empresa es estar parcheando todos los días, igual que el usuario final, actualizar todos los días.

Además de las actualizaciones constantes te has olvidado que ya no da soporte a las versiones anteriores a Julio de 2009, ahí es nada. 9 meses de parcheo. ¿Cuántas veces te has quejado tú del soporte de Microsoft a sus productos?

Lo que quiere el usuario y la empresa son productos estables que no interrumpan su uso y, a ser posible, que no tengan ni fallos ni parches.

“Aún teniendo todo esto en cuenta, IE sigue pareciendo estar a un nivel por debajo en cuestión de seguridad, y que se compare con Chrome en base a X características escogidas a dedo es una broma de mal gusto teniendo en cuenta que en concursos de seguridad como Pwn2own ha destacado por encima del resto. ¿Por qué siempre estos informes contienen afirmaciones que intentan que creamos aunque no tengan base en la realidad? Porque es su trabajo”

Esta es la parte que más me ha jodido. Léete el documento campeón y lo pruebas tú. Lo de las características escogidas a dedo, son las que nos han parecido de seguridad. ¿Alguna otra se te ocurre a ti o alguna te parece que no es de seguridad? Y lo del Pwn2own ya es el colmo de la gracieta en tu artículo.

Google Chrome uso su sistema de actualizaciones silenciosas (que es lo que quieren todas las empresas, que sus aplicaciones se actualicen solas si ningún control) para parchear Chrome 3 días antes de la Pwn2own y uno de los ganadores recurrente de la Pwn2own, Charlie Miller, dijo que el par más seguro es Windows 7 e Internet Explorer 8 o Google Chrome. Creo que del resto no dijo nada.

Está bien que aclares que en genbeta escribís varios, no vaya la gente a pensar que es una idea oficial. Pero es triste, que vengas a hacer un análisis del documento y te hayas olvidado de:

- La arquitectura de los navegadores.
- El informe de Symantec del malware en firefox.
- El informe NSS de detección de malware por URL.
- Las opciones de administración de seguridad.

Víctor tu post es la rabieta de un gato panza-arriba, pero de conocimientos de seguridad vas muy justito.

Y sí, Firefox es uno de los mejores en seguridad, de hecho es uno de los 5 mejores según nuestra opinion.

Saludos Malignos!

Presentación de Proyectos: Puertas Abiertas

En el "Máster Universitario en Seguridad de Tecnologías de la Información y Comunicaciones", en el que soy uno de los malvados profesores que abruma a sus alumnos con exámenes rarunos, les manda trabajos, y les obliga a hacer Proyectos de Fin de Master como el Blind XPath Injector del año pasado, se llega a otra fecha clave: La presentación de los proyectos de este año.

Para ello el día 28 de Abril, a partir de las 17:30 horas de la tarde, tendrá lugar un evento en el Auditorio del Bloque A del Campus de Villaviciosa de Odon de la Universidad UEM de puertas abiertas al que puedes asistir.

Allí se presentarán los siguientes trabajos:

Marmita: Un detector de ataques ARP Spoofing
Autores: Daniel Romero & Ignacio Merino

Detección del abuso de redes inalámbricas a través de sensores trampa: Un ejmemplo con la RootedCON
Alexander García Fernández

Técnicas avanzadas para el acceso seguro a Internet
Odín Rodríguez & Javier González

Análisis de Riesgos para el cumplimiento de las Medidas de Seguridad indicadas en el Reglamento 1720/2007 en PYMES
Antonio Carmona Rosanes y Fernando de Castro Blasco

Google Bot as a Hacking Platform (GooBaHP)
Rafael Montero Montero, Hesaul Sánchez Raya & Francisco Fernández Melchor

Herramienta de Gestión de Claves
Nuria Acinas & Jacobo Expósito

Además, para ponerlos un poco más nerviosos a todos, me han pedido que haga una charla yo al principio, de ya veré qué.

El año pasado la gente que vino a la presentación de los trabajos disfrutó, así que hemos querido hacerla de puertas abiertas. Si estás pensado en hacer un Master Oficial de Seguridad y quieres conocer las opiniones de los alumnos o hablar con los responsables de la universidad, si te apetece venir a aprender algunas cosas y pasar un rato con nosotros, o si tienes curiosidad por alguno de los temas, estás invitado a asistir. Símplemente ven, no tienes que registrarte en ningún sitio.

Saludos Malignos!

miércoles, abril 21, 2010

FOCA 2 disponible para descarga

Hola amigos,

Hoy a las 15:30, es decir, en unos 10 minutos, tendréis disponible la versión alpha de la FOCA 2.0. Cualquier duda, sugerencia, bug, o idea de mejora se agradecerá, así que ponednos un correo electrónico a:
amigosdelafoca@informatica64.com

La URL de descarga, en tu proveedor habitual: FOCA

Saludos Malignos!

PD: Os dejo este párrafo que me ha pasado un "hamijo" de parte un amigo suyo que me ha hecho mucha gracia.

"La foca es un animal sanguinario, una peligrosa máquina de matar, un submarino de guerra aficionado al sexo duro y brutal [Singularidares extraordinarias de animales ordinarios]"

La FOCA se está peinando

Ayer debería haber salido la alpha de la FOCA 2, pero no fue posible porque queremos que esté, al menos, para que podáis probarla a gusto. Por eso no estuvo ayer. Esperamos, si las pruebas son satisfactorias, que hoy esté disponible, pero mientras tanto, os cuento algunas cosas que veréis nuevas en la nueva versión de la FOCA 2.0

El Panel de búsqueda de dominios

Utiliza los siguietes mecanismos en una algoritmo recursivo que intenta sacar todos los nombres asociados a todas las IP y todas las IP asociadas a todos los nombres. Los mecanismos que usa son:

- Nombres e IPs descubiertos en Metadatos
- Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o API]
- Busqueda de registros Well-Known en servidor DNS
- Búsqueda de nombres comunes en servidor DNS
- Búsqueda de IPs con resolución DNS
- Búsqueda de nombres de dominio con BingSearch ip:
- Búsqueda de nombres con PTR Scanning del segmento de red con DNS interno.
- Transferencia de Zonas [¡Ojo! puede ser ilegal en algunos países]

El método que quieras activar, si no quieres alguno de estos mecanismos, sólo tienes que desactivarlo en el panel de búsquedas.


Figura 1: Panel de búsquedas

La vista de Dominios

Se ha organizado la vista de dominios para dejar claro cuales son los nombres de dominio dentro del dominio del principal del proyecto y cuales son los relativos al mismo, es decir, que están a meno distancia de la configurada en el panel de opciones. Por defecto la distancia es de 2 niveles de recursividad de dominio.


Figura 2: Panel de vista de dominio

Panel de red

Se llama PC/Servers, y en él se resume la infraestructura de servidores y PCs descubiertos usando el algoritmo de búsqueda de DNS y los metadatos. Esta vista es la que pretende representar el mápa físico de la red de una organización. En este ejemplo sólo se ha hecho una prueba parcial con un dominio (sin transferencia de zona, ni metadatos, ni se ha dejado terminar) para tomar la captura.

Toda la información relativa a un equipo [metadatos, nombres de dominios, software, etc...] será representada en esta vista.


Figura 3: Mapa de red

Webcast

Y para que el que quiera entenderlo mejor, os publicaremos un manual completo de uso y haremos un webcast gratuito sobre su funcionamiento utilizando la plataforma de Virtual HOLS.

Saludos Malignos!

martes, abril 20, 2010

Navegadores: Una cuenta de seguridad

Ayer presentamos la Comparativa de seguridad de navegadores en sistemas Windows, un documento donde se han mirado muchos aspectos de la seguridad de los navegadores. Sí, muchos ya me habéis oido hablar de ellos y de otros he hablado ya aquí, pero ayer quisimos actualizar el conteo de vulnerabilidades que hicimos, y estos son los resultados. El documento está disponible en la web de Informática64 en la siguiente URL: Comparativa de seguridad de navegadores en entornos Windows.

Periodo y versiones de estudio

Hacer una comparativa de vulnerabilidades de navegadores es dificil cuando Firefox no da soporte más atrás de la versión 3.5 y esta es del 30 de Julio de 2009 mientras que Internet Explorer 8 ha cumplido ya un año. La cosa se complica cuando tenemos a Google que con Chrome, de vivir en la beta perenne de Gmail, ha pasado a tener una versión final cada 4 meses. Así que tuvimos que hacer un cálculo de compromiso y luego prorratearlo por meses para hacernos una idea de las vulnerabilidades medias. Así, se han contado las vulnerabilidades de:

- Internet Explorer 8: 12 meses
- Chrome 2, 3 y 4: 10 meses
- Firefox >= 3.5: 9 meses
- Opera >=9.6: 14 meses
- Apple Safari 4.0: 9 meses

A unos les parecerá bien, a otros les parecerá mal, pero este documento no pretende nada más que ilustrar un poco que ha pasado en ese tiempo.

Vulnerabilidades

En primer lugar se han contado las vulnerabilidades que han tenido en esas versiones en ese periodo de tiempo.


Gráfico 1: Número total de vulnerabilidades contadas

Este resultado, prorrateándolo entre el número de meses nos deja un valor mensual de:


Gráfico 2: Vulnerabilidades media por mes

Estos datos dan una imagen de los parches que pueden ser esperados cada mes de cada uno de los navegadores, nada más.

Modificadores

Por supuesto, el número de vulnerabilidades no es el factor determinante, hay muchas otras características que mirar, como su grado de criticidad, su estado de parcheo, etc... Además, hay que tener en cuenta, que no todos los navegadores despiertan el mismo grado de interés dentro de la comunidad de investigación donde Opera, por ejemplo, está un poco olvidado. Por supuesto, las vulnerabilidades en navegadores más utilizados son las más deseadas por las mafias para la distribución de malware. La cuota de mercado por familias, comprobada ayer, dejaba estos resultados:


Gráfico 3: Cuota de mercado de uso por familias

Como se puede apreciar, tanto Firefox con Internet Explorer, son los más apetecibles hoy en día para la industria del malware.

Otro factor, que no hemos querido tocar, es la curva de descubrimiento de vulnerabilidades a lo largo de la historia. Según un varia la antigüedad de un producto varía su grado de descubrimiento de vulnerabilidades. Todos estos aspectos no se han evaluado, porque el objetivo no es sacar un valor que responda a todas las preguntas del universo, sino traer un poco de luz al asunto.

Niveles de Criticidad

Para tomar estas medidas se ha optado por utilizar el sistema de medición y la terminología de Secunia. Y este es el gráfico por niveles SIN prorratear por meses.


Gráfico 4: Niveles de criticidad

Como se puede ver Internet Explorer 8 tiene 7 vulnerabilidades marcadas como Extremly Critical. Sin embargo, este resultado merece una explicación.

La única diferencia entre una vulnerabilidad Highly Critical y una Extremly Critical es que de la Highly Critical se sabe a ciencia cierta que existe un exploit público que se ha utilizado antes de que exista el parche. Sin embargo, estructuralmente, las vulnerabilidades Highly Critical y Extemly Critical son iguales.

En segundo lugar, en la cuenta sale perjudicado el sistema de publicación acumalado, tal y como hace Internet Explorer - y Firefox en Marzo - en el que salen varias vulnerabilidades juntas en un mismo advisory. Esto implica que el nivel de criticidad de todas las vulnerabilidades fuera el del advirosy, y éste tiene el de la vulnerabilidad de mayor criticidad.

En la mayoría de los estudios en los que se evalúan las prácticas de desrrollo las vulnerabilidades Highly Critical y Extremly Critical, al ser identicas y depender su diferencia sólo de factores externos, estas se unifican, pero nosotros hemos querido dejarlas separadas.

La presentación

Las diapositivas recogen los otros apartados evaluados en el paper dentro de las opciones de seguridad del navegador y están recogidos en la siguiente presentación.


Saludos Malignos!

lunes, abril 19, 2010

(Des) Proteger un documento Excel 2007

Ayer por la noche un amigo me escribió un mail con una consulta técnica. Normalmente este tipo de mails están en mi buzón con prioridad 2, es decir, cuando tenga algo de tiempo, pero este amigo es un buen amigo y además el tema era curioso. La historia es que quería pasarles un documento Excel 2007 a unas personas pero, al mismo tiempo, quería asegurarse de que no le modificaban el fichero. Es decir, quería protegerlo.

Vaya por delante que la mejor forma de gestionar los permisos de los usuarios en documentos compartidos son los Information Rights Management que se usan en las compañías, pero para usuarios desconectados hay que usar las opciones de protección de celda, hoja y libro que, para darle la mejor de las respuestas a mi amigo, he estado probando durante una horita.

Protección de celda

La opción de protección de celda se activa a nivel de celda. Con esta opción sólo se marca la celda como bloqueada – u oculta – pero no tendrá efecto hasta que no se proteja, igualmente, la hoja de cálculo.


Figura 1: Protección de celda

Protección de hoja

Dentro de las opciones de revisar se encuentra la opción de proteger una hoja de cálculo, que no el libro completo, y que permitirá limitar las opciones que se pueden realizar con esa celda.


Figura 2: Opciones de protección de celda


Figura 3: Protección contra edición

Hay que tener en cuenta que las opciones de proteger una celda se crearon para evitar modificaciones accidentales de documentos y no como medida “anti-copy” por lo que, por defecto, se pueden seleccionar las celdas bloqueadas. En la imagen se puede ver como, al seleccionar la opción de proteger la hoja, se permite la opción de selección.


Figura 4: Protección de hoja. Por defecto se permite seleccionar

Y si se puede seleccionar, se puede copiar y pegar en cualquier otra hoja, completamente, con fórmulas y todo.


Figura 5: Se puede seleccionar, se puede copiar

Sin embargo, es posible, deseleccionar esas opciones y evitar que las celdas bloqueadas sean copiadas y enviadas a otra hoja u otro libro de Excel.

La selección activa

Una curiosidad con la protección de hoja se produce con la selección activa cuando se protege una hoja. Si al seleccionar la opción de protección de hoja se decide prohibir la selección de celdas protegidas, estas no van a poder ser copiadas…salvo que ya estén seleccionadas. El sistema de Excel, por defecto, recuerda la selección activa al guardar un documento luego, si se protege una celda pero se ha guardado el libro con esa celda seleccionada, el usuario que abra el documento sólo tendrá que copiar y pegar, sin necesidad de seleccionar nada, porque ya está seleccionado – incluso si no se ve en la hoja la selección.


Figura 6: Protegiendo una hoja de cálculo con una celda seleccionada


Figura 7: La celda seleccionada se guarda en el documento

Además de ese problema con la selección activa, si no se protege el libro, las passwords de protección de hoja pueden ser fácilmente eliminadas. Al igual que sucedía con las contraseñas de sólo escritura del documento, tal y como os puse en este post [Eliminar la password de escritura de Excel 2007] se pueden ver en el fichero xml de la hoja Excel y, basta con eliminarla, para que no haya protección.


Figura 8: La password de la hoja de cálculo está en el xml

Protección de Libro

Como una medida alternativa y conjunta, se puede seleccionar la opción de protección de libro. Si se usa, el libro va a ser cifrado, con lo que ya no será posible acceder al contenido de los ficheros xml.


Figura 9: Protección de libro


Figura 10: Documento xlsx cifrado

Sin embargo, al poder abrir el documento, se puede saltar la protección, ya que esa protección es a nivel protección del documento y no de cifrado de lectura, así que, haciendo unos sencillos pasos se omite.

1.- Primero se guarda el documento como una versión anterior, es decir, como fichero xls de Excel 97/2000/XP/2003.

2.- Después se abre con OpenOffice que nos informa de que el libro viene protegido por password, al mismo tiempo que pregunta si se quiere abrir de lectura – no se modificaría el fichero – o abrir una copia para poder modificarlo. Lógicamente elegimos abrir una copia.


Figura 11: Abrir una copia del documento

3.- Una vez abierto, basta volver a guardarlo como libro de xls de Excel 97/2000/XP/2003. Al hacerlo aparecerá la siguiente alerta y, lógicamente, seleccionamos la opción de guardar sin password y listo.


Figura 12: Guardar el documento sin password

Si no has tenido problemas en las conversiones de xlsx a xls en el Excel 2007 ni al leer el xls en OpenOffice, entonces el documento se ha podido abrir, tal y como estaba al principio pero sin ninguna protección.

Final

Si no deseas que nadie lea el fichero, entoces guarda el fichero con contraseña de lectura. Sólo se podrá abrir si tienen la password o utilizando un sistema de fuerza bruta, así que pon la password lo más compleja que puedas.

Si deseas que lo puedan abrir, pero quieres limitar las acciones que hagan con él, entonces no te queda más remedio que ir a las Information Rights Management y gestionar los privilegios del documento asociado.

Saludos Malignos!

domingo, abril 18, 2010

Seguridad por un tubo

Desde que youtube sobrepasara a todas las webs de descarga y visualización de videos, toda web que se precie que de un servicio de vídeos tiene que tener el sufijo “tube” así, tenemos el pornotube, el redtube...

Además de esos tipos de vídeos, una forma de autoformarse en seguridad es asistir a las conferencias de seguridad de todo el mundo a través de webs de distribución de vídeos. La mayoría de las conferencias graban las sesiones y, en la web de SecurityTube.NET, se intentan recoger de todos los sitios, guardar y catalogar. Esto permite que cualquiera pueda asistir a la ShmooCon 2010, a la BlackHat o, incluso, a la BlueHat de Spectra.


Charla de Moxie en la Defcon 17 sobre el null-byte

Te puedes “jartar” de ver vídeos de seguridad, así que selecciona los temas y los ponentes. Puedes ver charlas de Mark Russinovich, de Alexander Sotirov, de Dan Kaminsky, de Moxie Marlinspike, de FX, etc… un paraíso para los geeks que no tienen pasta para ir al extranjero. Además, al ser en vídeo y poder descargarlo a gusto, lo puedes parar y ver en varias veces, probar al mismo tiempo que ves la charal y repetirlo hasta que lo entiendas bien… y si es aburrida… Fast Forward, que esto no lo puedes hacer en la vida real. }:)

Saludos Malignos!

sábado, abril 17, 2010

A quién saludar en la Campus Party EU

Ayer tuve la suerte, gracias a la gente de la organización de pasar a ver y saludar a la gente dentro de la Campus Party EU y descubrí que hay gente muy interesante revoloteando por lo que muchos han denominado la “Campus Pija”. Aquí os voy a dejar una lista de gente/uza que, dentro de mis posibilidades y conocimientos, creo que deberías asaltar. La idea es fácil es llegar, acercarte y preguntarle algo “Hola, me gustaría saludarte y/o hacerme una foto contigo y/o conocerte” o lo que se te ocurra, aquí va la lista:

- SecurityByDefault: La gente de este fantástico Blog dedicado a temas de seguridad va a estar todo el tiempo que dure el WarGame vagabundeando por la zona de Innovación. Ellos son los responsables del Wargame y de la parte dedicada a Seguridad en la Campus Party EU así que no puedes perderte conocer a José Antonio Guasch, Alejandro Ramos, Yago Jesús, Lorenzo y Laura. Todos ellos son muy accesibles y cercanos, sólo ve a la zona del WarGame y pregunta por ellos.

- Trupé Española: Como es de esperar, hay una alta representación española de buena gente por allí, así que asalta a Rubén Santarmarta o Vierito, ambos ponentes de la RootedCON de este año o busca a RoMaNSoFt o Frikiñeka que han prometido pasarse hoy sábado por la conferencia.

- Forza Italiana: Hay una buena representación italiana, con la presencia de Stefano Di Paola y Luca Caretoni, ambos expertos de seguridad y, entre otras muchas cosas, creadores de la técnica de HPP (Http Parameter Pollution). Además, forman el grupo Italiano, Claudio Criscione, ponente internacional que ha estado este año en la CONFidence 2.0 en Varsovia y la Troopers 2010 en Alemania. Si quieres un italiano debianita divertido, Claudio es tu target. Para terminar la nutrida representación italiana Sandro Gauci está también por la party. Sandro es un experto en Seguridad VoIP, creador de SIPVicious o VOIPScanner, que ha hablado en mil conferencias. Ha estado varios años en la CONFidence, también en la HackCON y es un tipo amable y de buen carácter. Todos, por supuesto, unos crases de la seguridad.

- De Centro Europa no tengo localizados a todos los que vienen, pero sí sé que está Didier Stevens de Bélgica, que fue el que se sacó de la manga el truco del PDF Launch, y que revolucionó el mundo y Daniel Mende, recién llegado de salir de copas…digo… de dar una charla en la BlackHat EU 2010. Trabaja en ENRW que es la empresa alemana detrás de la Troopers y es un activo miembro “linuxero del demonio” de los HackerSpaces. Es el que se parece a James Heilfield con 23 años.

Y para terminar, como buen miembro de Spectra, no dejes de pasarte por la zona de Microsoft donde hay una nutrida representación de los “Hijos de Spectra”, es decir, los chicos de los Club .NET y además está Alfonso Rodríguez, una de las personas que más años lleva trabajando en Microsoft, responsable durante años del programa MSDN y que ahora lleva Academic. Alfonso, cuando lo conozcas, cambiará cualquier mala impresión que tengas sobre los trabajadores de Microsoft. Es un tipo increíblemente genial y de buen trato. Junto a él, Elisa, la evangelista de Academic que irá a tu universidad a apoyarte en lo que quieras.

Y nada más, que disfrutes del fin de semana en Madrid y por la noche te vayas a golfear a Tribunal.

PD: Si hay alguien más que me haya saltado ponlo en los comentarios };)

Saludos Malignos!

viernes, abril 16, 2010

Filtrado de URLS en WebBrowsers

El volumen de malware desplegado en el mundo hoy en día es brutal. Basta con seguir un poco las noticias para leer que se está utilizando cualquier noticia de actualizada para utilizar Black SEO y conseguir visitas a URL maliciosas que contienen malware, campañas de spam o trucos de ingeniería social en anuncios y redes sociales para conseguir que un usuario haga clic en un link y vaya a una URL que lo intente infectar [que se lo digan a los sysadmin de Apache].

Para evitar esto los navegadores incorporan sistemas de protección contra URLS maliciosas basados en técnicas heurísticas y en listas negras que intentarán proteger al usuario de la navegación a esa URL. En ese caso aparecerán alertas, bloqueos en los navegadores etc...

La empresa NSSLab ha estado trabajando activamente en comparar los resultados de los filtros de protección contra URLs maliciosas que utilizan los distintos navegadores y, durante el mes de febrero, publicaron sus resultados.

El estudio se hizo sobre 1.750 URLS maliciosas que iban siendo recogidas y que estaban activamente siendo utilizadas para intentar infectar a los usuarios que las visitaran. Y, los resultados hablan por si sólo.


Internet Explorer 8 a gran distancia

En este caso, como se puede ver, los acuerdos que los equipos de seguridad que Microsoft ha realizada con todos los organismos implicados en la protección de los sitemas: Gobiernos, organizaciones de usuarios, CERTS, empresas dedicadas a seguridad, etc... hace que tengan una base de datos muy actualizada de URLs maliciosas. Yo aquí, en España conozco a bastantes empresas/organizaciones que colaboran con la alimentación de estas bases de datos de forma activa.

Esta alimentación activa hace que, a lo largo del tiempo, Internet Explorer 8 sea el que más ratio alcanza en la detección de estas URLs en virtud a su tecnología SmartScreen y, como se puede ver, con el sistema heurístico ya reconoce más en hora 0 que lo que alcanza todos los demás en día 5.


Evolución en la detección de URLs maliciosas

Puedes descargarte el estudio actualizado de Febrero de 2010 y la versión anterior de Julio de 2009.

Saludos Malignos!

jueves, abril 15, 2010

Un problema de Padre y muy señor mío

Esta historia que os voy a dejar aquí es la indignación de un compañero y amigo, al que de momento voy a dejar en el "economato" que me ha mandado sobre como intentar entregar la renta con el Programa PADRE, a través de Internet con un sitema Windows 7. La lectura no tiene desperdicio.

Saludos Malignos!

Entregar la Renta 2009 con PADRE en Windows 7 e IE8

Llevo más de 1 hora intentando hacer mi declaración de la renta con el programa PADRE de este año. A primera vista, parecía que todo iba a ir como la seda, pero nada más lejos de la realidad.

Os pongo en antecedentes, soy un usuario normal en esto de hacer la declaración, utilizo Windows 7 e Internet Explorer 8, nada raro, digo yo. Ya el año pasado me tocó hacer la declaración desde un Windows XP porque el programa PADRE resulta que no le iba mucho eso del UAC, del MIC o de UIPI como medidas de seguridad, es más, si lo ejecutamos como Administradores, mejor que mejor.

Pensaba que este año, casi tres años y medio después de que saliera Windows Vista, las cosas iban a ir mejor, creo que es tiempo suficiente para que la gente responsable del desarrollo de la AEAT se ponga las pilas y adapte su aplicación a las necesidades de seguridad actual.

Sin embargo, me bajo el programa PADRE y lo primero que observo es que se sigue instalando en C:\AEAT. ¿No habíamos quedado que la raíz del volumen del sistema no se toca? ¿No se puede instalar en %PROGRAMFILES% como hacen el resto de las aplicaciones?



Si el programa tiene que trabajar en C:\AEAT, deberemos de tener como mínimo privilegios de administradores locales del equipo. ¿Por qué no puede simplemente crear una carpeta de datos en el perfil del usuario? Esto, entre otras cosas, aislaría los datos de un usuario y de otro en un equipo compartido. Pero claro, eso parece que es muy complicado para los desarrolladores de la AEAT. Señores que llevamos ya más de 10 años (incluyendo Windows XP) con gestión de perfiles de usuarios. La carpeta “Documents and settings” (en Windows XP) o “Users” (en Windows Vista y 7) no está ahí de adorno.

Claro, otra opción es cambiar las ACLs de la carpeta C:\AEAT y otorgar permisos completos al usuario en cuestión. Nada, esas cosas que hacen todos los españoles a diario cuando llegan de trabajar para entregar la declaración de la renta una vez al año.

Bueno, ya me temía yo que esto no iba a ser fácil. Aun así, yo continúo con mi declaración y ahora me toca descargarme los datos fiscales desde la Web de la AEAT. Aparentemente todo va bien, me conecta a la Web, me permite seleccionar el certificado, pero cuando quiero descargarme los datos sale este mensaje de error.





¿Restricciones en mi sistema? ¿No será que se está intentando descargar un fichero en C:\AEAT y no se tienen los privilegios necesarios? A ver, explicación rapidita para los desarrolladores del programa PADRE: desde Windows Vista Internet Explorer se ejecuta con bajos privilegios (low) para precisamente evitar que un usuario simplemente navegando se le pueda instalar un malware en el sistema sin su intervención. Por lo tanto no es posible descargar nada en zonas protegidas y resulta que la raíz de C:, incluyendo todas sus carpetas son zonas protegidas. A esto se les llama Nivele de Integridad.

¿Es tan difícil hacer que se descarguen los datos en el perfil de usuario?, o por lo menos permitir que el usuario seleccione el destino de descarga, porque no se puede ni hacer eso.

Eso sí, la versión de este año te permite cambiar los colores y la apariencia. Seguro que es importantísimo para la declaración de la renta… A cuantos funcionarios desarrolladores habremos tenido que pagar con nuestros impuestos para que se pueda cambiar el colorcito del programa.



Bueno, yo sigo intentándolo, ahora no me voy a dar por vencido. Así que intento un workaround, ingreso directamente a la página Web e intento la descarga manualmente Y me encuentro con esto…



¿Cómo? ¿Solo puedo descargar mis datos fiscales si uso Firefox? ¿Y qué pasa con el resto de los usuarios (incluyendo Opera, Safari, Konkeror, etc.)? Aun así, yo soy muy tozudo y lo intento desde IE 8… pero creo que hoy no es mi día.



Bueno, afortunadamente yo tengo instalado Firefox para estos casos, así que me conecto con Firefox 3.6 y mi sorpresa es mayúscula…. ¡El certificado de la AEAT no es válido para Firefox!, si me lo cuentan no me lo creo. O sea que me obligan a usar Firefox para descargarme mis datos fiscales y ahora no me pueden garantizar la seguridad de la conexión. ¿Cómo voy a confiar en un certificado cuya entidad certificadora no es de confianza en el navegador?. Ahh es que Firefox no utiliza el repositorio central de CAs de confianza de Windows, nooo, ellos van por su lado y les da igual que en el sistema operativo si esté instalada la CA de la FNMT y tampoco tienen interés en cumplir la normativa Europea y aceptar a las Entidades de Certificación Nacionales.



Entonces, no puedo descargarme mis datos fiscales con IE 8 por las restricciones de seguridad, ni tampoco con Firefox por un problema de confianza. Podría añadir una excepción, ya lo sé, pero no debería de ser así. Entre medias de todo esto, he necesitado renovar mi certificado de la FNMT porque este mes se me caducaba y cuando quiero realizar el proceso de renovación, me encuentro con esto



• Importante: para usuarios de Windows Vista con Internet Explorer 7 o Internet Explorer 8

Vamos a ver, que nos dicen, tal vez el procedimiento cambia en estas versiones de navegador.



A ver si lo entiendo. Me dicen que tengo que desactivar UAC, modificar el nivel de seguridad de sitios de confianza a nivel bajo, quitar la opción de requerir comprobación de servidor https, permitir la descarga y ejecución de controles Active X sin firmar y que se ejecuten todos los controles Active X sin preguntar, etc. ¿Que mas queda?, ¿qué me tire por un puente?

Es increíble que una entidad de gobierno que se supone que vela por la seguridad de las comunicaciones en España, recomiende deshabilitar cualquier tipo de seguridad que viene por defecto en IE 7 e IE 8 para poder descargarse un certificado de “seguridad”. Esto es España señores, qué más da. Aquí vale todo.

Ya no se ni cuánto tiempo llevo con esto, creo que hacer la declaración de la renta debería de ser un proceso sencillo, aplicable a todas las plataformas y navegadores y sobre todo pensado para usuarios que no son informáticos.

Entonces que me queda. Creo que este año seguiré utilizando el obsoleto e inseguro Windows XP para hacer mi declaración y para renovar los certificados de la FNMT. Esperemos que el próximo año la AEAT y la FNMT se den cuenta de que la seguridad va en otro sentido, que han perdido el tren y sobre todo que contraten a gente competente y que sepa hacer las cosas bien.