viernes, diciembre 31, 2010

Prediegando en Seguridad Informática

Ya sabéis eso de Donde dije digo, digo Diego cuando no nos interesa algo, así que yo no voy a hacer predicciones para el año que entra (y que entre con vaselina por favor) sino que voy a hacer prediegadas, o lo que es lo mismo, una cosa que no vale para nada, que no tienes que tomar en serio ni hacer ni caso. Si eres capaz de cambiar tus acciones por esta ristra de prediegadas mías, entonces te mereces todo lo que te pase… avisado estás.

Sin embargo, los periodistas tienden a hacerme mucho esta pregunta y, para tener ya las respuestas he decidido dejarlas plasmadas en un post a lo Nostradamus para el 2011, y aquí van. - Es que no tenía otra cosa que publicar y ya sabes... cualquier basura es buena.... -

1) Éste no será el año de Linux en el desktop, sobre todo cuando iOS ya le gana en cuota de mercado en navegación de usuarios.

2) Este año habrá un gusanaco que se llevará por delante un cholón de ay!fones conectados a Internet y les pondrá algo más que el fondo de escritorio de Rick Asley como hicieron en Australia. Esto no sé si es una prediegada o más bien un deseo para echarme unas risas, pero aquí lo dejo.

3) La brecha que distancia a usuarios de Internet y multinacionales se agrandará más aún con temas como la nube. Vamos que lo de Wikileaks, Payb4ck, Anonymous, etcétera, no ha sido más que el principio de lo que se avecina. Y si no, me encargo de montarlo yo.

4) Los políticos seguirán diciéndonos mentiras mientras se forran. Esta prediegada me gustaría cagarla pero no sé porque me da a mí que no va a ser así…

5) Muchas empresas irán a la nube… y algunas volverán de allí porque también tendrán nubarrones y ningún cuello que apretar cuando haya un chaparrón.

6) El número de vulnerabilidades descubiertas en el software será peor que el de este año… porque yo lo valgo.

7) Tendremos incidentes como el de Stuxnet a porrillo y los gobiernos se acojonarán con la ciberguerra y el ciberterrorismo… de verdad.

8) Yo me haré un año más viejo y seguiré llevando mi gorro de rayas que “tanto os gusta”.

9) Llegarán las primeras alphas de Windows 8… y la gente se pondrá de uñas… ¡como Dios manda!

10) Habrá más malware para Mac OS X… y para Android, y para Windows y para cualquier cosa que corra software y detrás haya un usuario… o no.

11) Todos los que habéis comprado el Calendario Tórrido del 2011 seréis reconocidos como uno más de los nuestros, así que, cuando en el futuro quieras trabajar en Seguridad Informática y te pregunten… ¿Tienes el Calendario Tórrido 2011? Si tu respuesta es no, serás banneado.

12) La FOCA seguirá creciendo, ya que a finales de Enero tenemos prevista una nueva update, así que habrá una Botnet más grande.

13) Con el nuevo código penal en España, crecerán el número de “Anónimos”.

14) Dab estará a punto de terminar su libro de Pentesting, así que mientras podréis ir leyéndote los otros…, o si lo prefieres alguno bueno de Star Wars...

15) El lado del mal seguirá siendo un sitio parcial, subjetivo, maleducado y mentiroso donde se seguirá publicando basura.


Y poco más, que si no se acabó el mundo en el 2000, habrá que esperar, como prediegaron los Mayas, al 2012, así que lo mejor es que sigas trabajando y preparándote todo lo que puedas para este mundo que, como siempre, día a día es más competitivo.

Y... ¿cuáles son tus prediegadas para este año que entra? ¿Alguna buena?

Saludos Malignos!

miércoles, diciembre 29, 2010

Informáticos jugando a economistas: WTF?

Es lo que tienen los bares, empiezas tomándote una copa y acabas queriendo comprar el bar cuando no te quieren poner la penúltima porque tú eres el rey del barrio. Así, apoyados en una barra se han resuelto todos los problemas del mundo en tres patadas, y el que no los vea resueltos que se pida otra cerveza “ … y ponme unas olivitas niño, que las cortezas estaban rancias...” que verá como todo mejora.

En una de esas conversaciones el otro día tuve una “acalorada” discusión con un amigo sobre los bancos y la economía. Y montamos el pollo. Yo no soy un especialista en economía ni de lejos, pero me suelo basar por principios básicos con los banco como “Procura no deber nada y nada tendrás que pagar” o “cuanto antes devuelvas lo que debes, menos tendrás que pagar de intereses”. Sí, sé que hay hackers que hacen ingeniería financiera, y que jugando con los impuestos que tienes que pagar y el mercado son capaces de hacer maravillas, pero yo para estos asuntos soy muy dummy y acepto los consejos solo de los expertos con cuidado y con cuentagotas, que tampoco tengo que preocuparme tanto, que para mover los 2 o 3 milloncejos de Euros que tengo en el banco tampoco hay que molestarse tanto.

El caso es que la discusión la tuvimos entre dos informáticos y versaba sobre devolver la pasta anticipadamente de una hipoteca, es decir, adelantar unas cantidades y reducir tiempo. Uno, al que llamaremos nobody_1 sostenía que cuanto antes se devolviera la pasta "better than better" y el otro, al que llamaremos nobody_2, decía que convenía esperar a que los intereses estuvieran altos para quitarse más cuotas.

"WTF?", pensó nobody_1.

Tras discutir como se discute en los bares, nobody_2 mandó un fichero Excel que hace una simulación del cuadro de amortización de una hipoteca. En esa hoja Excel puedes poner los capitales, los intereses, y obtienes los resultados de lo que has pagado, lo que te queda, lo que llevas de intereses, etcétera. Como es un fichero muy currado, tiene la gracia de que permite hacer aportaciones a cuenta para reducir tiempo. En ese fichero se demostraba que era conveniente esperar a que los tipos de interés estuvieran altos. nobody_1, que como ya habréis supuesto, soy yo, flipó en colores, así que tuve que dedicar 45 minutos de mi tiempo, en encontrar la explicación de la situación. El culpable era el Excel que piensa por tí.

Para explicaros el ejemplo, vamos a poner este caso en el que tenemos un hipotecón de un pastizal al cual, por poner un ejemplo, sabemos que en el mes 10 sube el interés del 2,00 % al 3,00 %. En este caso, el Total a pagar, es decir, capital + Intereses, sale por 397.563,35 € en algo más de 36,1 año.


Caso 0: El Hipotecón

Supongamos un suponer que nobody_2 ha ahorrado una bonita cantidad de 50.000 € a base de quitarse “pequeños placeres de la vida” y quiere entregarlos a cuenta. Lo que nobody_1 propuso fue aplicar los principios básicos, es decir, cuanto antes devuelvas mejor. Con lo que se obtendría, según el fichero Excel del simulador, lo siguiente.


Caso 1: Devolvemos 50.000 € cuanto antes

Como se puede ver, el total a pagar según esta simulación sería de 353.758,65 €, con lo que te ahorras casi 45.000 euracos de intereses.

Por el contrario, lo que nobody_2 decía es que es mejor esperar al mes en que suben los intereses, es decir, al mes 10. Si se hace esa aportación durante el mes 10 se obtiene el siguiente resultado.


Caso 2: Aportamos 50.000 € cuando sube el interés

Y… joder! Sale una cantidad de 352.251,85 €, es decir, que se ahorraría 1.500 € más si espera al mes 10.

Como podéis imaginar, entre informáticos, que lo diga un Excel tiene su importancia, pero no tenía lógica. Así que ahí comenzó el misterio. Sí, si eres economista seguro que lo resuelves en un plisplas, pero nostros somos hombres de computadoras...

Al final, la respuesta es tan sencilla como volver a aplicar los principios básicos bancarios, devolver lo menos que se pueda y cuanto antes. El fichero Excel, cuando se hace una aportación de capital, calcula los meses que te quitas, aplicando el valor de la cuota que estás pagando ese mes, es decir, en el Caso 1, lo aplica con la cuota de 908,33 €, mientras que en el Caso 2, lo aplica con una cuota de 1.050,53 €, es decir, devuelves más dinero cada mes, con lo que la reducción en tiempo es 13 meses mayor. Al devolver en menos tiempo, pagas menos intereses. Esa es la respuesta al misterio.

Sin embargo, en los bancos, cuando tú haces una aportación de capital y una reducción en tiempo, se produce una regularización de la hipoteca donde puedes ponerte una nueva cuota, mayor o menor, que la que tenías, para reducir más o menos meses. Esto lo sé por experiencia personal, ya que yo, como me he forrado en estos años, he reducido hipoteca y me he subido la cuota para acabar cuanto antes.

En este ejemplo, para poder compararlo en igualdad, habría que hacer lo siguiente. Vamos a suponer que devuelves la cuota como en el Caso 1, es decir, “cuanto antes”. Hasta ese punto has pagado un total de 60.813,10, (tal y como se ve en la columna de acumulado del mes 4) más 1.820,30 €, (tal y como se ve en la columna de intereses del mes 4). Es decir, hasta ese punto has pagado 62.633,4 €.

Ahora, si quieres comparar con el Caso 2, deberías regularizar tu hipoteca para pagar todo lo que debes exactamente en el mismo número de meses que en el Caso 2. Así, en el caso 2, la hipoteca se devuelve en un total de 301 meses, con lo que deberíamos hacer una comparación con los 301 meses. Para ello, en el Caso 1 hemos hecho un cálculo de los 4 primeros meses, con lo que nos quedarían 297 meses que simular, en los que deberíamos aplicar el valor de lo que nos falta por devolver de capital, que se ve en la columna pendiente del Caso 1 en el mes 4, es decir, 219.654,86 €, y sabemos que los 6 primeros meses de este nuevo tramo tendremos un 2,00% de intereses nada más. El resultado de este caso sería el siguiente:


Caso 3: Devolvemos lo que nos queda del Caso 1 en los mismos meses que el Caso 2

Como se puede ver, en este Caso 3, al final se pagarán 289.401,45 €, con lo que para saber cuánto pagarías en total si devuelves el dinero “sin esperar” a que suban los intereses, se obtiene un total de 289.401,45 € más lo pagado en el Caso 1, que era de 62.633,4 €. Esto da una bonita cantidad de 352.034,85 €.

Si comparamos esta cantidad con la que se obtenía en el caso 1 (352.251,85 €) resulta que te has ahorrado 217 €.

En esto de devolver dinero en las hipotecas hay muchas fórmulas y muchos cálculos, suele ser conveniente devolver al principio porque es cuando más intereses se pagan o devolver en función de la legislación actual y la situación personal.

Lo que quiero contar con esta historieta, es que, igual que tenemos gente que no sabe que se mete a Informático, los informáticos tenemos que dejar esto en manos de los que saben y yo, para resolver el misterio que me planteó este Excel tuve que pedir ayuda a alguien que sabía de economía más que yo. Así que, no te sientas un día como el King de las finanzas porque te hayas bajado un Excel, consulta con tu farmacéutico.

Saludos Malignos!

martes, diciembre 28, 2010

Un gran libro de historia

He de reconocer que este es un proyecto muy personal, que tiene muy poco de objetivo comercial, y mucho de orgullo interno. El poder contar con la historia de la seguridad informática durante los últimos 12 años recogida por uno de los espectadores y narradores más influyentes en este panorama en castellano: Una al día.

Seguro que todos, o casi todos, estáis suscritos al boletín de noticias de Una al Día. Para muchos de nosotros ha sido una fuente de conocimiento, de aprendizaje, de seguimiento o de primer acercamiento al mundo de la seguridad. Con Una-al-día hemos ido aprendiendo conceptos, conociendo la historia de lo que ha pasado, por las referencias cruzadas de las noticias y asentando conceptos tras leerlos día a día. Ya me gustaría a mi tener la historia de una-al-día en mi boletín Technews.

Por ese boletín de noticias han ido pasando los textos de muchos buenos profesionales que nos han hecho espectadores de lujo del mundo de la seguridad informática. Es por eso que, tras leer el libro aniversario que compilaba los 10 años de historia, me pareció que era un texto increible que debía estar en las estánterías de todo aquel que se precie como trabajador de seguridad. Sin embargo, el coste era un poco superior que nuestros libros, y no muchos llegaron a hincarle los dientes.

Ahora, tras pelearme con Sergio "Pajarraco" de los Santos y hacerle una envolvente por medio de Bernardo (que ya tiene casi terminado su libro de Malware) Quintero, conseguimos adaptar la cronología del texto a 12 años de historia, es decir, desde 1998 a 2010 y sacar una edición de solo 500 ejemplares a un coste de 12 €. Sí, solo 12 € y 500 ejemplares.


El libro sale casi a precio de coste, y no creo que volvamos a hacer algo así en mucho tiempo, así que si lo quieres, desde ayer, es posible reservar tu ejemplar en la web de los libros de Informática64.

El libro pasa a formar parte de la colección de textos de Informática 64:

Libro 1: Análisis forense digital en entornos Windows
Libro 2: Aplicación de la LOPD en la empresa
Libro 3: MS Forefront Threat Management Gateway TMG 2010
Libro 4: MS SharePoint 2010: Seguridad
Libro 5: DNIe: Tecnología y usos
Libro 6: Una al día: 1998/2010 Doce años de seguridad informática

En mi estantería lucen todos los libros con orgullo, y el poder contar con el de Sergio de los Santos de Hispasec es un orgullo. ¡Gracias Pajarraco!

Saludos Malignos!

La FOCA es una Botnet

********************************************************************************

UPDATE: Este artículo es una inocentada del día 28 de Diciembre, si lo lees, leelo como tal. La FOCA no tiene ningún troyano.... pero podría crearse una botnet así, ¿verdad?

Chema Alonso.
********************************************************************************

La FOCA es una botnet, o algo más o menos. Así nació y hoy quiero que lo sepáis. Todo comenzó en el año que visité el CNI. Allí, en una reunión secreta estuvimos hablando de como detener a los malos desplegando una herramienta que todo el mundo, motu proprio, descargara en sus ordenadores personales y que permitiera, en caso de una investigación puntual, saber quién ha sido.

“Verás Chema, imagínate que estamos buscando a alguien que haya enviado un determinado e-mail, necesitamos un programa al que le podamos decir, ¿está este e-mail en tu equipo? Y que conteste solo el equipo con la dirección IP que tenga ese correo electrónico”

Yo, contesté: “Lo que necesitáis es una megabotnet, ¿no?”

Y ellos replicaron: “Algo así, pero que no sea con el software de hacer botnets, que así al final siempre te pillan los antimalware”

“Entonces, lo que necesitáis es que haya una Función Oculta en Cada Aplicación que ejecute el usuario”, repliqué.

“Más o menos esa sería la idea”… (Ellos).

“¿Y si creamos una aplicación que guste mucho a todo el mundo y que lleve esa Función Oculta en Cada Aplicación que queréis vosotros?, si conseguimos que haya muchos usuarios en el mundo usándola se podría conseguir. Hay aplicaciones gratuitas de escritorio que las usan millones de usuarios…”, propuse.

“Adelante, ¿cuánto dinero costará el proyecto?”

Así nació FOCA, como la Función Oculta en Cada Aplicación que necesitaba el CNI, una herramienta que los usuarios debían utilizar en sus casas y que debía ser capaz de recibir comandos, ejecutar acciones y devolver respuestas con los resultados, todo ello delante del usuario y sin que se diera cuenta… ¿cómo hacerlo?

La aplicación elegida

Para crear esta aplicación decidimos que lo mejor sería buscar algo sencillo, que todo el mundo pudiera usar, y fue por eso que pensamos en MetaExtractor (y su versión OS OOMetaExtractor), una herramienta que nosotros usábamos internamente para limpiar metadatos, y que podría ser útil.


Figura 1: MetaExtractor, la herramienta elegida para llevar la FOCA

Le cambiamos el nombre y listo. Por eso, cuando mucha gente me pregunta ¿por qué se llama FOCA? Y siempre busco respuestas peregrinas. ¿La realidad? Es la Función Oculta en Cada Aplicación que buscábamos.

Recepción de comandos desde el C&C

Uno de los problemas al que nos enfrentábamos era el problema del prisionero. ¿Cómo comunicarnos con la FOCA sin levantar sospechas? Para ello tiré de una idea personal que tenía yo para generar una botnet que decidí no publicar nunca. La idea era muy sencilla. ¿Cuántas aplicaciones conocéis que tengan publicidad en el GUI? Muchas. ¿Y si el anuncio lleva oculto comandos en las imágenes publicitarias con técnicas de esteganografía? Sería chupado crear una botnet que en las narices de todo el mundo se comunicara el bot con el master y nadie se diera cuenta… ¡solo es publicidad!

Envío de comandos por publicidad

Por eso, la FOCA, desde el momento en que se empezó a desplegar lleva incrustada publicidad. Una publicidad que encubre los comandos que nosotros enviamos a todos los FOCAbots desde nuestros paneles de control.


Figura 2: FOCA Free con publicidad recibiendo comandos

La alerta saltó cuando alguien, jugando con Mitm, cambió la publicidad simplemente cambiando los DNS. Era fácil, no iba firmada digitalmente la transmisión de la publicidad, por lo que decidimos sacar una nueva versión en la que firmamos con https y autenticación del certificado la conexión. Esta medida tenía dos finalidades:

1) hacer más difíciles los análisis de seguridad de alguien que sospechara
2) hacer más difícil que, en el futuro, alguien nos pudiera quitar la botnet.


Recepción de resultados

Para recibir los datos enviados desde los clientes, decidimos usar el truco más viejo: Un simple GET que carga el fichero XML de la publicidad donde, el que tiene que decir algo añade las respuestas cifradas en un parámetro que se procesa en servidor. Sencillo y claro. ¿Quién lo iba a mirar si esto se produce solo de vez en cuando? Para hacer esto más rápido e interactivo, decidimos que la publicidad cambiase cada minuto, con lo que nos garantizamos que, cada minuto, tenemos una respuesta desde nuestros clientes.


Figura 3: Esquema de la Botnet FOCA

Ruptura de relaciones

Con esta arquitectura, conseguimos sacar información sobre muchos casos, o eso nos dijeron. Al principio nos pasaban los comandos a ejecutar y nosotros los metíamos en los ficheros de la publicidad con nuestra herramienta de esteganografía. Después les pasábamos los resultados. Pero la cosa se complicó.

Hubo un cambio en el ministerio del interior, y ya no nos dejaban ver los comandos. A partir de ese momento nosotros colocábamos las imágenes en un servidor, y ellos las modificaban para meter los comandos. Teníamos los accesos controlados, para evitar que viéramos los ficheros con los comandos. Los subían, los ejecutaban y tomaban los resultados sin que nosotros nos enteráramos. Hasta que nos cansamos.

Sin quererlo ni beberlo, nos habíamos convertido en una herramienta para no sabemos qué. Una herramienta de espionaje por parte del estado para investigar y detener a no sabemos qué. Éramos algo parecido a Echelon, pero en menor escala. Y yo no soportaba la presión.

Contraespionaje

Cada día querían más y más equipos y nos presionaban para seguir desarrollando nuevas funciones, para que diera más y más conferencias promocionándola, desplegando la FOCA por todo el mundo… por todo el mundo.

Harto de esa situación, decidí que había llegado la hora de enterarse de qué estaba pasando. Sin decir nada, creamos una FOCA modificada que pusimos en un FOCA Server. Esta FOCA, colgada a un conjunto de WiFis varias, estaba encendida 24x7 y su misión era descargar la publicidad, decodificar el mensaje e imprimirlo en un fichero de texto que cada día revisaba yo personalmente. Y me asusté.

Los comandos que pude leer eran puro espionaje, buscaban ordenadores concretos y personas concretas. Trucos tan sencillos como mirar la cuenta de correo configurada en el cliente de email para saber la IP de una persona. Y no buscaban a cualquiera. Buscaban a cargos de confianza de políticos, a los informáticos de determinadas empresas, y les obligaban a ejecutar programas en el equipo. Hasta a Letizia Ortiz le habían puesto una FOCA, supongo que con algún engaño se la enseñarían a usar, y ahora la tenían bajo sospecha.

Cuando vi todo lo que hacían, me enfadé, me enfadé mucho y conduje el malignomovil hasta la Carretera de la Coruña, lo dejé mal aparcado en la puerta y, mientras me apuntaban con pistolas grité para que me recibieran. Se estaban pasando y yo estaba desesperado.

Nacimiento de FOCA Pro

Tras hablar –discutir- de lo que estaban haciendo y de lo que había descubierto decidieron que deberíamos sacar una FOCA sin troyanizar, para que los profesionales de la seguridad no detectaran nunca esto, con lo que apareció la FOCA Pro… sin publicidad. Eso fue todo lo que conseguí y un montón de amenazas y oferta de dinero por mi silencio…


Figura 4: FOCA Pro, sin publicidad... y sin "el resto del paquete"

Denuncia Pública

Tras no dormir bien durante los últimos meses, creo que ya ha llegado la hora de contar esta historia. Tal vez mañana no pueda seguir escribiendo este blog, o tal vez mañana hayan conseguido cerrarlo, pero espero que esta historia sirva como advertencia a los que quieran jugar con los poderes fácticos de esta sociedad. Una vez que entras en el sistema, eres una pieza más, solo una pieza que, si da problemas o se rompe, simplemente se sustituye…

Saludos Malignos!

lunes, diciembre 27, 2010

Flame para Nochevieja: Políticos & Crisis

Un preocupado lector, después de ver los flames que proponía para Nochebuena, me ha enviado un correo que circula por la red que yo no había leído. Por si te viene bien para seguir montando un flame montado en tu caballo alado y con la espada de fuego ardiente en ristre, te lo dejo escrito...Y a esto hay que añadir la medallita de nuestra querida Ex-Ministra de "igualdod" a la Real Orden de Carlos III:

Políticos en España & Crisis

1.- Con lo que ganan Zapatero o Rajoy en un mes, una pensionista con cuatro hijos vive durante dos años y medio.

2.- Tal es el descontrol, que en España no hay ni una sola institución que conozca cuántos políticos cobran del Estado.

3.- Un español tiene una pensión máxima de 32.000 euros anuales, pero los políticos tienen derecho a pensiones vitalicias muy superiores. 74.000 euros en el caso de los primeros espadas de La Casta. Además estas pensiones no son incompatibles con otros sueldos de la Administración o con otras actividades económicas. Un diputado o senador tiene que estar sólo siete años en el cargo para optar a la pensión máxima, mientras que un trabajador autónomo o por cuenta ajena necesita 35 años cotizados.

4.- La retención de las nóminas de diputados y senadores es sólo del 4,5%

5.- ¿Sabía usted que paga de su bolsillo las multas que la DGT impone a los políticos? ¿Y que además las paga con recargo?

6.- ¿Viajes innecesarios? Una comisión del Congreso pide permiso para que 60 diputados viajen cuatro días a Canarias a estudiar el cultivo del plátano.

7.- Zapatero es el único presidente de la UE que carga sus gastos vacacionales a los presupuestos estatales. Viaja con 100 personas durante tres semanas.

8.- AZNAR, JOSÉ MARÍA: es el único ex presidente del Gobierno que ha solicitado el sueldo vitalicio que supone sentarse en el Consejo de Estado: 74.000 euros anuales. Nómina que pretendía sumar a la de ejecutivo del magnate de la prensa Rupert Murdoch. Se lo denegaron pero le salió rentable. Aznar renunció por un sueldo de 220.000 euros al año, tres veces más de lo que cobraba como consejero de Estado. [Resulta difícil cifrar, como en el caso de otros ex presidentes, cuánto dinero suman sus actividades privadas y públicas].

9.-ABSENTISMO: no existen datos oficiales sobre la falta al trabajo de los políticos o al menos no se han hecho públicos.

10.-AVIONES: los diputados pueden utilizar a su antojo con cargo a las arcas del Estado aviones, trenes o barcos. Disponen de 5.000.000 de euros al año para viajes.

11.-BONO, JOSÉ: entre sueldo y complementos, el presidente del Congreso cobra 13.856 euros al mes: 3.126 por diputado, 3.605 como complemento, 3.915 para gastos de representación y 3.210 de libre disposición. Las dos últimas partidas suman más de 6.000 euros mensuales para comidas, regalos y actos de protocolo. Todo este dinero sin contar las indemnizaciones previstas por ley para sufragar «gastos que sean indispensables para el ejercicio de su función».

12.-BOTELLA, JOSÉ: el cuñado de José María Aznar fue fichado en Bruselas, desde las oficinas del PP en esa capital. En el tribunal que lo examinó para funcionario estaba un miembro determinante, Gerardo Galeote, que presidía la delegación popular en Europa. En menos de dos años el hermano de Ana Botella se blindó con un sueldo europeo para toda la vida.

13.-CALDERA, JESÚS: el ex ministro de Trabajo y Asuntos Sociales recibe 6.319 euros mensuales por su escaño en la cámara baja, donde redondea su sueldo como vocal de la Diputación Permanente y presidente de una comisión. Cuando era ministro subió el salario mínimo a 600 euros. Cuatro años después, su sueldo es 10 veces superior a esa cifra, que recibe simplemente por no abrir la boca. Caldera no ha presentado ni una sola iniciativa ni ha intervenido en el Congreso desde que comenzó la actual legislatura. Al final, cobró en 2009 más de 120.000 euros por los servicios prestados.

14.-CARGOS: Hay 8.112 alcaldes, 65.896 concejales, 1.206 parlamentarios autonómicos, 1.031 diputados provinciales, 650 diputados y senadores, 139 responsables de Cabildos y Consejos insulares y 13 consejeros del Valle de Arán.

15.-CASTIGO: nunca se ha sancionado a ningún político por incumplir el Código del Buen Gobierno, que se supone que controla las buenas prácticas del Ejecutivo.

16.-COCHES: el lujo de muchos dirigentes autonómicos les lleva a sentar sus posaderas en automóviles de más de 100.000 euros. Gallardón, el alcalde de Madrid, se mueve en un Audi A8 de 591.624 euros. Fue contratado en arrendamiento hasta 2011, así que el alcalde gasta 150.000 euros al año del bolsillo de sus ciudadanos para moverse por la ciudad y alrededores. Catorce de los 17 presidentes autonómicos usan Audi. El valenciano Francisco Camps tiene varios a su disposición (esa comunidad dispone de 200 vehículos para sus altos cargos, la mayoría de ellos Volvo S80, de 40.000 euros), lo mismo que sucedía con Chaves en Andalucía, cuyo Gobierno cuenta con 234 coches oficiales.

17.-CHAVES, MANUEL: cobra al año 81.155 euros por ser ministro más una indemnización de 46.000 al año por abandonar la presidencia de Andalucía. O sea, 127.155 euros anuales. Dos sueldos del Estado compatibles sólo para altos cargos. Para los demás españoles está prohibido por ley.

18.- DESPILFARRO: el Congreso gasta cada año 160.000 euros en regalos navideños. 11.000 cargos públicos reciben obsequios por esas fechas, un gasto que suma al año 2.200.000 euros.

19.-DEUDAS: cada español debe a los bancos 566 euros por la deuda de los ayuntamientos.

20.-DESCONTROL: es tal en la administración de fondos públicos que en España no hay ni una sola institución que conozca cuántos políticos cobran del Estado.

21.-DIETAS: los parlamentarios que no viven en Madrid reciben, además del sueldo, otros 1.823 euros al mes por sus supuestos gastos de manutención y alojamiento. Los locales, 870 para gastos, libres de impuestos. La suma de estos sencillos complementos supera el sueldo de 12 millones de ciudadanos. Además, cobran 150 euros cada día si salen al extranjero, y 120 si viajan por el país.

22.-ENCHUFADOS: hasta hace tres meses, cada eurodiputado disponía de 17.140 euros al mes para contratar a familiares. El ex presidente del PP de Cataluña y vicepresidente de la cámara europea, Alejo Vidal-Quadras, puso en nómina como secretario en Bruselas a Albert Fuertes, hermano de su esposa. Y el eurodiputado cacereño del PP, Felipe Camisón (fallecido en mayo de 2009) contrató a su cónyuge como asistente, al igual que hizo la también diputada popular Cristina Gutiérrez-Cortines con su hija. Y lo mismo hizo el socialista Enrique Barón con la hija de un militante afín. [En la actualidad, los familiares directos han sido eliminados de las plantillas de los diputados españoles. Sin embargo, los parientes de sangre han sido reemplazados por personal próximo al partido].

23.- FUNDACIONES: 52 políticos nacionales ocupan cargos en 74 fundaciones distintas: 31 por el PSOE, 28 por el PP y 4 por el resto de grupos. La conservadora Soledad Becerril parece la más activa: es miembro del patronato de seis fundaciones. No todas tienen un marcado carácter político.

24.-GUERRA REINA, ALFONSO: hijo del ex vicepresidente del Gobierno, Alfonso Guerra. Fue elegido a dedo como asistente del vicepresidente del Parlamento Europeo, el socialista Miguel Ángel Martínez. Más de 140 millones al año se van en sueldos de 1.200 recomendados. Con ese dinero se podrían mantener los servicios de una ciudad española de 115.000 habitantes durante un año.

25.- HACIENDA: la retención de las nóminas de los diputados y senadores es sólo del 4,5%.

26.-HORAS EXTRAS: en 2008 el Gobierno de La Rioja pagó 200.000 euros extras a sus conductores. Realizaron 870.182 kilómetros, unos 2.300 al día, lo suficiente para cruzar tres veces España de este a oeste. Un gasto curioso ya que es la comunidad más pequeña del país y que su población es inferior a la de cualquier ciudad dormitorio de Madrid. El uso de coches oficiales para asuntos particulares es una práctica tan común como soterrada.

27.-IBARRETXE, JUAN JOSÉ: el ex lehendakari del Gobierno vasco recibe unos 45.000 euros al año, la mitad de lo que ingresaba cuando era presidente. Y lo cobrará de por vida, igual que todos los miembros de su ejecutivo. Este tipo de jubilaciones están muy por encima del límite legal para el resto de los españoles, que no pueden cobrar más de 32.000 euros anuales, por mucho que hayan cotizado toda su vida.

28.-IMPUESTOS: un ciudadano, por ejemplo, de Madrid sustenta con sus impuestos el salario de 27 concejales, 120 parlamentarios de la Asamblea madrileña, 264 senadores, 350 diputados nacionales y 54 del Parlamento Europeo. En total, 815 cargos electos con un sueldo base que supera los 3.000 euros. Y sin contar los puestos de confianza que arrastra cada uno.

29.-JUBILADO DE ORO: tras abandonar el FMI, Rodrigo Rato regresó a España con una pensión vitalicia de 80.000 dólares anuales. Sumados al sueldo de ex ministro, en 2006 percibía 37.070 euros mensuales. [Un español necesita cotizar al menos 35 años, 15 con la base más alta, para poder cobrar la jubilación máxima de 32.000 euros al año].

30.-MARISCADAS: no hay límite legal para las comidas de representación de los políticos españoles. Tampoco hay fiscalización previa a la hora de comprar jamón, champán o puros de alta cava. Ejemplo descontrol es el socialista valenciano Vicent Costa. Acababa de perder las elecciones municipales a favor del PP, pero seguía siendo alcalde en funciones. Y como tal se gastó casi 500 euros del dinero público en gambas, cigalas, langosta, navajas, jamón y caldereta. Una buena despedida.

31.-MÓVILES: los senadores cuentan con 1,7 millones de euros al año para gastos de teléfono. El ayuntamiento de San Lúcar de Barrameda tenía 270 dados de alta. Entre los servicios que pagó figuran descargas de juegos, llamadas a Cuba y a varias líneas eróticas.

32.-MOROSOS: los miembros de La Casta invirtieron 66,6 millones de euros en la celebración de las elecciones general de 2008. De ese dinero, 44 millones fueron prestados por bancos españoles para financiar campañas publicitarias megalógamas. Las mismas entidades que ese año de crisis embargó las casas a 60.000 familias por falta de liquidez. 180.000 personas se quedaron sin techo. Sin embargo, los partidos de La Casta deben a los bancos 144,8 millones de euros.

33.-NEGOCIOS: sólo el 33% de los diputados del Congreso se dedica en exclusiva a su labor política. El resto engorda sus cuentas corrientes con la participación en empresas privadas, fundaciones y colaboraciones varias. Algunos, como el diputado del PP Miguel Ángel Cortés, aglutinan hasta 12 actividades extraparlamentarias.

34.- NÓMINAS: los sueldos de los políticos electos (80.000 miembros de La Casta, que llenarían un estadio como el del Real Madrid) cuestan a los ciudadanos unos 720 millones de euros al año, más que el presupuesto anual de toda la red ferroviaria, tres veces superior al dinero dedicado a cuidar el patrimonio nacional y 60 veces más que lo que gasta el país en salud bucodental para jóvenes.

35.- PAJÍN, LEIRE: en 2000 se coronó como la diputada más joven de España. Ocho años después, con 33 de edad, ya tiene derecho a una indemnización de 85.000 euros anuales del Estado. Recibe 5.500 euros al mes por su trabajo al frente del PSOE, tiene derecho al 80% de su sueldo como ex secretaria de Estado de Cooperación, 103.000 euros anuales con todos los complementos, a lo que hay que sumar 3.126 como senadora.

36.-PENSIÓN DE ESCÁNDALO: los ex ministros mantienen durante dos años una pensión por cese de 58.000 euros anuales, cifra seis veces superior a la pensión media española. En la actualidad, cuatro ex ministros compatibilizan ese dinero con el sueldo de diputado: José Antonio Alonso, Fernández Bermejo, María Antonia Trujillo y Jesús Caldera.

37.-PROSTITUTAS: el concejal de Palma de Mallorca, Rodrigo de Santos, gastó más de 50.000 euros en prostibulos y bares de ambiente. En Estepona, varios miembros municipales están siendo investigados por cobrar 42.000 euros a una red investigada por la Audiencia Nacional para abrir un local de alterne. En 2002, el ex alcalde de Dolores (Alicante) fue condenado a seis meses de prisión por abonar la factura de un local de alterne, al que acudió con siete comensales.

38.-REGALOS: no hay una ley concreta sobre los obsequios que pueden aceptar o no los políticos. En EEUU, por ejemplo, pasan al Estado. Condolezza Rice recibió el año pasado en sus viajes oficiales joyas por valor de 360.000 euros. Aquí nadie tiene obligación de declararlos. Se pueden quedar con ellos. Sin más.

39.-SOLBES, PEDRO: tras dejar la política en abril de 2009, el ex ministro de Economía se encontró con un retiro de unos 12.000 euros mensuales (una pensión de 2.725 euros por ser funcionario, su pensión vitalicia como ex comisario europeo y otros 5.700 al mes como compensación, durante dos años, por ex ministro). A Solbes, pues, le esperaba una jubilación cinco veces mayor que la de cualquier español.

40.-SECRETOS: el oscurantismo sobre los gastos llega al absurdo. El Parlamento Europeo cuenta con una Oficina de Lucha Contra el Fraude (OLAF, por su siglas en inglés). Sin embargo, sus informes son confidenciales y su contenido completo sólo es conocido por los parlamentarios. Los votantes pueden saber de las buenas acciones de los políticos, pero sólo La Casta conoce datos sobre el fraude.

41.-SIN LÍMITES: cada parlamento autonómico, diputación o ayuntamiento fija el sueldo de sus cargos electos sin límite ni baremo alguno. José Bolarín, alcalde de Ulea (Murcia), con 900 habitantes, cobra unos 4.000 euros. El de Ricote, cerca del pueblo anterior, se lleva 40.000 al año en una población que no alcanza los 1.300 vecinos. Y la alcaldesa de Marbella, Marisol Yagüe, cobraba más que el presidente del Gobierno: 84.462 euros al año en un ayuntamiento que estaba en bancarrota.

42.-TAXIS: la comodidad de sus señorías para hacer su trabajo es tal que el Congreso regala a los que no disponen de coche propio una tarjeta personalizada con un saldo de 250 mensuales para que viajen en taxi por Madrid.


Saludos Malignos!

domingo, diciembre 26, 2010

BBB64: Buscando Bujeros en Base64 (2 de 4)

***************************************************************************************
- BBB64: Buscando Bujeros en Base64 (1 de 4)
- BBB64: Buscando Bujeros en Base64 (2 de 4)
- BBB64: Buscando Bujeros en Base64 (3 de 4)
- BBB64: Buscando Bujeros en Base64 (4 de 4)
***************************************************************************************

Jugando con localhost

Otra de las cadenas chulas para encontrar cosas curisosas es la palabra localhost: bG9jYWxob3N0. Con esta cadena aparecen cosas muy curiosas como la cadena de conexión a una base de datos configurada en local.


Figura 8: Configuración de conexión a base de datos

Otra cosa curiosa que ha aparecido por Internet ha sido esta URL en la que se comprueba la disponibilidad de un nombre para utilizar en una aplicación web. En los parámetros de la URL va la dirección del servidor, en este caso localhost, y el nombre de la base de datos.


Figura 9: Conexión a base de datos con parámetros GET en Base 64

Por supuesto, encontrar ficheros de configuración general, como este domain.xml que no tengo ni idea de que configura...


Figura 10: Ficheros de configuración en xml

Jugando con direcciones IP en concreto

Otra de las cosas curiosas que se pueden hacer consiste en buscar direcciones IP concretas puestas en formato Base64. Esto puede servir para detectar fallos de configuración, encontrar ficheros de log, o encontrar más información de una determinada dirección IP en Internet que se esté traceando.


Figura 11: GuestBook encontrado con 127.0.0.1



Figura 12: Log de conexiones a bases de datos descubierto con 192.168.0.1

***************************************************************************************
- BBB64: Buscando Bujeros en Base64 (1 de 4)
- BBB64: Buscando Bujeros en Base64 (2 de 4)
- BBB64: Buscando Bujeros en Base64 (3 de 4)
- BBB64: Buscando Bujeros en Base64 (4 de 4)
***************************************************************************************

sábado, diciembre 25, 2010

Felicitación navideña

Ya se está convirtiendo en regla el que me tenga que encargar de hacer algún dibujo en Informática64 para que me lo modifiquen y cambien a su antojo y me la censuren, como hicieron en 2008 y en 2009. Este año, directamente me la han destrozado, poniéndole un gorrito de Papá Noel rojo y llenándola de colores rosas y moraditos... Así que os dejo la felicitación de este año tal y como yo la pensé. Felices Fiestas!




Saludos Malignos!

viernes, diciembre 24, 2010

Cómo reventar la cena de Nochebuena

Los que ya me conocéis, sabéis que soy un especialista en crear flames, es decir, en montar un pollo de cualquier cosa, que si me meto con Linux, que si me meto con Google, que si me meto con el ay!fon, que si me meto con los futbolines de dos patas, que si me meto con Luís Aragonés por no llevar a Raúl a la selección, que si me meto con el “usurpador”, etc… vamos, uno que tiene un “don”.

El caso es que llegando la Nochebuena, como podéis imaginar, no suelo desaprovechar el momento para montar, todos los años, algún flame digno de considerar. Normalmente los clásicos suelen ser los temas sociales y políticos de turno, así que para este año, tengo ya preparados mis flames. Como sé que vosotros venís aquí, en cierto modo, porque también os gusta la caña, voy a compartir con vosotros los tres temas de los que voy empapado para defender el fuerte.

Como siempre, en estos asuntos, yo suelo optar por elegir el bando en solitario, me gusta subirme a la mesa y defender el trozo de cordero sin más defensa que tenedor y copa de vino en mano al tiempo que grito el Santiago y Cierra España. Soy un profesional en estas lides.

Flame 1: Wikileaks ¿importa el mensaje o el mensajero?

Esto me tiene intrigadísimo, ya que El Mundo, uno de los periódicos más serios y más respetados por mí, no está tomando cartas en la información publicada por Wikileaks. ¿Es más importante el caso de wikileaks que toda la mierda que está destapando? ¿No son pruebas o indicios de corrupción muchas de las cosas que se han puesto a disposición pública para que se le pueda meter mano a muchos de los que aparecen con “intenciones” de interferir en causas como las de José Couso? Vamos, que muchos políticos están quedando como peleles y NO PASA NADA. ¿Acabará el nuevo Código penal con proyectos como este? ¿Nos subiremos al carro del control total de Internet? ¿Lograré montar un flame?

Flame 2: ¿Controladores aéreos culpables o inocentes?

Este tema va a molar discutirlo y yo, pienso preparar mi defensa argumentando que es vergonzoso que los que se supone que defienden los derechos de los trabajadores puedan estar de acuerdo en que 1) a un colectivo laboral le regulen su convenio a golpe de decreto ley, 2) que les hayan quitado el derecho a ponerse enfermo, ya que las bajas no cuentan como jornada laboral, lo que significa que si pillas una gripe durante 3 días, son 3 días de vacaciones que pierdes 3) que les hayan puesto a turnos exprés sin poder negarse y que algunos llevasen 5 semanas a turno de mañana, tarde y noche sin poder faltar. Entiendo que antes eran unos privilegiados, y que ganaron mucho pasta a base de hacer jornadas de 18 y 20 horas para que se pudiera sacar la T4 de Madrid, la T1 de Barcelona o el aeropuerto de Ciudad Real, pero lo que no se puede es darles cartas de agradecimiento por el esfuerzo y luego decir que cobran mucho. Además, estos tipos, por su jornada de 1.600 horas (desde febrero) que son currando de verdad, tienen unos sueldos de unos 150.000 € pero los trabajan, mientras que hay montones de funcionarios (montones) que ganan 50.000 € que no trabajan ni una quinta parte y que en suma nos salen mucho más caros. Además, si estos tipos juegan con mi vida, deberán tener más responsabilidad. En la administración pública tenemos puestos como Registradores de la Propiedad o Consejeros puestos a dedo por políticos que cobran lo mismo o más. Además, no estaremos tan mal de pasta cuando el gobierno le ha concedido una medalla a la Real Orden de Carlos III a una exministra.

Por otro lado, creo que la acción que tomaron los controladores fue desmesurada y equivocada, por lo que no pienso defender su actitud en el cierre del espacio aéreo. Se pasaron en canoa…. Pero vamos, que lo que ha ido haciendo el gobierno ha sido de coña. Y el que estuviera España, por primera vez en democracia en estado de Alarma y que el presi no diera la cara en el minuto 1… ¿Habrá o no habrá flame? }:))

Flame 3: Próximas elecciones y política

En España, con la situación actual, normalmente te encuentras con los que están a favor del Psoe que dicen cosas “¿y lo que viene es mejor?”, los que están a favor del PP que dicen “Zapatero es un desastre”, y los que estamos a favor de tocar los huevos, que decimos “Zapatero es un desastre y lo que viene no le queríais ni vosotros, que todos decíais que no valía y había que cambiarle el día que perdió las últimas elecciones y ahora decís que es un líder sólido”. El caso es que éste es un tema clásico que siempre puedes sacar. No hay solución, y al final, siempre puedes amigarte diciendo: “Con el nivel de estudios de nuestros políticos no me extraña que sean tan inútiles”, y todos tan amigos.

Falme 4: Deportes.

Aquí hay que tocar los huevos a los grandes mitos, es duro, pero hay que hacerlo. Ya sabéis, con el tema del dopaje… ¿Fue un chuletonazo lo que descubrieron en la sangre de Contador, o realmente es el conde Drácula y se chupa la sangre a sí mismo, la cógela y cuando necesita sangre nueva se la vuelve a insuflar? … o sí, sí, Guardiola será muy buen entrenador, cuando te toca en el equipo un Messi, Xavi e Iniesta, que si tuviera que construir él un equipo galáctico con su ojo clínico de jugadores como Ibra o “Chigüirinsky” iba a haber ganado tanto. O los clásicos de “nosotros apostamos por la cantera”… como hizo Cruiff con Zubizarreta de Granollers, Bakero de “Villadomat” o Stoichkov de la Barceloneta…. Luego me pongo en el otro bando y les digo que sí, que un club señor, pero que tenemos a algunos jugadores que últimamente se les ha ido un poco la pinza con acciones violentas o que el Madrid solo tiene 6 copas de Europa, ya que las 6 primeras valen la mitad debido a que jugaban solo la mitad de equipos que ahora. El caso es tocar los huevos. Luego ya sabéis, si tenéis algún argentino de Boca cerca que esté contento porque Palermo haya marcado 300 goles, recordadle que Raúl lleva 334 en campeonatos de los que echaron a Palermo por manta. Los deportes siempre tienen para flamear. Eso sí, Raúl, Indurain y Rafa Nadal son intocables. Si alguien me los toca, entonces “la guerra clon, comenzado ha”.

Espero que con estos pequeños consejos podáis reventar y animar un poco más la cena de Nochebuena porque… ¿no me digáis que vosotros sois de los que cantáis villancicos en vez de discutir, no?

Saludos Malignos!

PD: No flamees conmigo, guardatelo para por la noche.

jueves, diciembre 23, 2010

Ha pasado tanto

Aquellos de vosotros que lleváis tiempo leyendo mis tontunas, sabéis que tenía costumbre de hacer balance cada 6 meses de los momentos que había pasado, para recordarme a mí mismo el porqué de lo que hago. Sin embargo, hace mucho tiempo que no hago recuento. Hace tiempo que no miro atrás, que en un sprint al infinito en el que voy saltando de una cosa a otra cosa.

Hoy he querido mirar un poco hacia atrás momentos que me han llenado de este último año... y descubierto que he vivido uno montón de ellos que valían la pena... Me he reido recordando los momentos de este año que me han llevado por toda España, casi todos lo países de un continente maravilloso con gente que me trata genial como es sudamérica, viajes a múltiples paises de Europa o a Estados únidos....

Os juro que viendo las fotos me he reido, me he sonreido y hasta casi se me ha escapado alguna lagrimilla por alguna cosa mía.... Así que, a pesar de que este sea el año que menos he escrito en el blog, quizá haya sido el que más cosas he hecho, sin duda.

Os dejo algunas fotos, como hacía antes, solo para que yo, que me leo mi blog de vez en cuando para saber si he perdido o no la cabeza, disfrute cuando llegue a este post y me recuerde algunas cosas geniales de este trabajo. No pienso quejarme.


Foto 1: Este año me he sentido como un vagabundo con la FOCA. Viejo, cansado, sucio y siempre con la FOCA a cuestas. Me la hicieron en México, donde me trataron de maravilla. Chicos y Chicas... Mil gracias. No me olvidaré de vosotros.


Foto 2: Pamplona... un grupo de gente genial que me hizo una presentación a mí sobre mí. Me regalaron la biografía de Darth Vader, me dieron cariño, me hicieron reir...geniales


Foto 3: Que yo os diga que a mi grupo de compañeros del SOCtano los adoro o que Palako es una de las personas más brillantes que he conocido en mi vida sería redundarme en algo que sabéis. Que el chico de gafas, John Mattherly, creara Shodan y yo le admire es poco, pero es que John es cercano, de trato fácil, humilde, sencillo... Me encanta esta foto con todos ellos


Foto 4: La BlackHat es una CON en la que ves a todo el mundo, esta foto con el gran Fermín en el stand de Google me recuerda las ganas de fiesta que nos llevamos siempre todos a Las Vegas. Además este año un par de amigos fueron drogados en un pub y... [CENSORED]


Foto 5: La Ekoparty. Argentina. Amigos de toda sudamérica. Victor, un brasileño afincado en Chile, como Batman y yo haciendo el subnormal como Superman


Foto 6: Fede y amigos de la universidad, en la fiesta de la Eko... Me falta en esta foto Mat "el de los ojos claros", "el niño de la botnet", y el resto de los del grupo, - hay uno que me imita y me parto con él-, pero estoy con Fede, un hacker hiperactivo de lo más simpático y cariñoso, que es la niña de mis ojos en Argentina


Foto 7: Y al final... disfrutando con mi trabajo. Esta foto representa como me lo paso cuando doy una charla. La persona que me la tomó, recogió la esencia de lo que siento sin saberlo. Estoy feliz en ella.

Y eso... a todos vosotros, os deseo que echéis la vista atrás en estas fiestas, y, a pesar de los disgustos, - que los he tenido, y algunos duros de verdad - y los momentos tristes, al final saquéis un balance positivo. Yo lo saco.

Saludos Malignos!

miércoles, diciembre 22, 2010

Demasiado minimalista para mi gusto

Desde hace un poco de tiempo trabajo con la última versión de IE9 y estoy muy contento con la herramienta en cuando a su rendimiento y las nuevas funcionalidades. Sin embargo, hay una cosa que no me gusta y creo que habría que ver como arreglarlo. El excesivo mimimalismo en la visualización de las opciones del navegador.

Sí, sé que es una tendencia muy social, muy tablet, muy iPad, muy mobile y muy cool lo de aprovechar al máximo de la zona de visualización del contenido, pero ya con iOS se ha demostrado que un exceso de minimalismo puede ser una cagada para la seguriad, como el phishing en iPhone. Además, para tener todo el espacio ya tenemos los usuarios la opción de utilizar la vista F11 a pantalla completa y el Ctrl+Tab para ir pasando pestañas, si tan crucial fuera aprovechar al máximo la zona de renderizado de la página. Sin embargo, el que por defecto todos los elementos del navegador compitan por el mismo espacio lo considero un detrimento en la seguridad.

Al final, en la anchura de la pantalla tienen que entrar los botones de Ir Atrás, Ir Adelante, Vista Compatibilidad, Actualizar, Cerrar Pestaña, Favoritos, Inicio y Herramientas con lo que es peor, el Espacio de las Pestañas y la Barra de direcciones, con el Icono de la web y la Información del certificado digital. ¿Conclusión? Pues que la dirección del servidor casi no se ve.

En una resolución de 800X600 yo casi no veo la dirección, tal y como se puede ver en la imagen siguiente.


Figura 1: Visualización en 800x600

Pero la cosa se complica, cuando se muestra la información del certificado digital. En una resolución de 1024X768 el espacion que queda para la barra de direcciones es para llorar.


Figura 2: Visualización en 1024x768

Sí, se lo podemos quitar al de las pestañas, pero... ¿entonces quién ve las pestañas? Esta competitividad por maximizar el espacio de visualización de la página hace que los ataques basados en URLS como son los XSS, los phishing o los de tabnabbing sean mucho más difíciles de detectar. Además, el que por defecto la barra de estado no esté activada ayuda más bien poco a la hora de detectar un ataque de Phishing. Es cierto que se está trabajando en contra de los ataques dirigidos por URL con SmartScreen y que sus protecciones están dando muy buenos resultados, pero para alguien como yo que lleva la webcam tapada con un papel, cualquier medida es poca.

Yo tengo una computadora con un monitor panorámico, y me sobra espacio por los lados en la mayoría de las páginas web para aburrir. ¿No puedo configurarme las pestañas a un lado? Vamos, como cuando me dejo los favoritos pegados a un lateral ¡me gusta esa feature para mi monitor panorámico! ¿Habrá que hacer un addin para mover las pestañas o mostrar mejor la barra de direcciones?

Saludos Malignos!

martes, diciembre 21, 2010

¿Cuál te gusta más: SPF o SenderID? (2 de 2)

*********************************************************************************************
- ¿Cuál te gusta más: SPF o SenderID? (1 de 2)
- ¿Cuál te gusta más: SPF o SenderID? (2 de 2)
*********************************************************************************************

En el caso de Hotmail, la diferencia es sutil con Gmail.com, pero importante. Como podéis ver el mensaje llega también de lacaixa.es pero con una bonita alerta que deja muy claro quién lo ha enviado.


Figura 5: Mensaje en Hotmail.com con identificación de Sender:

Esto quiere decir que el mensaje llega con un mail from desde lacaixa.es pero que ha sido enviado desde un Sender: de sharethis.com. Como podéis imaginaros, esto también puede ser utilizado por los spammers y phishers para engañar a los clientes de La Caixa que no estén muy familiarizados con estos conceptos. La pregunta es ¿podría hacer algo lacaixa.es para evitar esto?

Por supuesto, puede hacer uso de SenderID para fortificar un poco más su dominio. Esta tecnología utiliza un algoritmo para dejar claro quién ha enviado el mensaje que se llama Purpoted Responsible Address. Esto, lo que trata es de averiguar de forma nítica es quién es el Sender del mensaje. El algoritmo está descrito en el RFC 4407 y es éste:

1.- Seleccionar el primer valor no vacío de Resent-Sender: en el mensaje.
->Si no existe ese campo, continuar con el paso 2.
->Si está precedido por un campo no vacío de Resent-form y una o más ocurrencias de campos de Recived: o Return-Path: detrás de Resent-From: y después de Resent-Sender:, continúa con el paso 2.
-> En otro caso ir al paso 5.

2.- Seleccionar el primer valor no vacío de Resent-From: en el mensaje.
-> Si existe ir al paso 5.
-> En otro caso ir al paso 3.

3.- Seleccionar todos los valores no vacíos de Sender: en el mensaje.
-> Si no hay ninguno ir al paso 4.
-> Si hay 1 y nada más que 1 ir al paso 5.
-> En otro caso ir al paso 6.

4.- Seleccionar todos los valores no vacíos de From:.
-> Si hay exactamente 1 valor, continuar con el paso 5.
-> En otro caso ir con el paso 6.

5.- Un paso anterior ha seleccionado un único valor en la cabecera.
-> Si el mensaje está malformado - por ejemplo, contiene múltiples buzones, o el buzón está desesperanzadamente malformado, o el buzón no contiene ningún nombre de dominio, continuar con el paso 6.
-> En otro caso devolver ese valor único de buzón como PRA.

6. El mensaje está manipulado/enfermo y es imposible determinar un valor PRA.


Bien, una vez determinado correctamente el valor de PRA, y saber quién es el que envía el mensaje, se debe elegir una política. Las políticas que puede usar el administrador del dominio son:

- Spf2.0/mfrom -> Mirando si el "sender", que será Sender:, o en su ausencia, From:, está autorizado en el domino del "sender".
- Spf2.0/pra-> Mirando si el valor PRA está autorizado en el dominio del "sender".
- Spf2.0/pra,mfrom o spf2.0/mfrom,pra -> Mirando si el valor de From: y pra están autorizados.

Si miramos la cabecera de Hotmail, vemos que el valor de PRA en este ejemplo está marcado para sharethis.com y el servidor es un sender autorizado en ese dominio. Sin embargo, la política de lacaixa.es es spf1, es decir que solo evita que alguien se identifique como "sender" de lacaixa.es y. no sea de sus servidors. En este caso queda claro que no es un "sender" de lacaixa.es, así que esa política no hace nada, ya que ese "sender" no es de su dominio y está autorizado en sharethis.com.


Figura 6: Mensaje original en Hotmail con cálculo de valor PRA

Para bloquear este tipo de comportamientos, hay que utilizar el registro spf2.0/pra,mfrom o spf2.0/pra,mfrom y, por supuesto, el servidor de correo que reciba este mensaje tiene que implementar SenderID.

Por desgracia, a día de hoy, no todos los servidores implementan este filtro, y muchos siguen aún con el filtro de SPF. Sin embargo, si la implementación SPF trata de evitar el Spoofing debería comprobar los valores de Sender:, X-Sender: o Return-Path:.

Lógicamente, si un servidor de correo entrante implementa SPF y lee en tu dominio un registro spf2.0 lo va a ignorar. Es por ello que la solución pasa por establecer 2 registros SPF y que el servidor de correo entrante decida si aplica spf1 o spf2.0 ya que el estándar de SenderID [RFC4406] contempla esta situación. De esta forma, un pequeño porcentaje de destinatarios tendrá la política más estricta, si así lo desea el dueño del dominio.

La controversia radica en que, los partidarios de SenderID solicitan que cuando sus filtros se encuentren con spf1 les dejen aplicar la política como spf2.0/pra,mfrom, pero a día de hoy, la política que se sigue aplicando es spf2.0/mfrom.

Espero que hayan quedado claras las “sutiles” e importantes diferencias entre SPF y SenderID. Y ahora la pregunta: ¿Cuál te gusta más: SPF o SenderID?

Saludos Malignos!

*********************************************************************************************
- ¿Cuál te gusta más: SPF o SenderID? (1 de 2)
- ¿Cuál te gusta más: SPF o SenderID? (2 de 2)
*********************************************************************************************

lunes, diciembre 20, 2010

¿Cuál te gusta más: SPF o SenderID? (1 de 2)

*********************************************************************************************
- ¿Cuál te gusta más: SPF o SenderID? (1 de 2)
- ¿Cuál te gusta más: SPF o SenderID? (2 de 2)
*********************************************************************************************

Muchas veces, por falta de tiempo, no me meto en todos los detalles del funcionamiento de SenderID y Sender Policy Framework, es decir, en las pequeñas diferencias que existen entre ellos, pero a raíz de una petición de explicación sobre un caso concreto, he creído que era conveniente pararse un poco sobre ello. El asunto comienza con un mail enviado a Hotmail en el que, aparentemente, el mail llega desde un dominio con una política –all en el registro SPF.


Figura 1: Correo con dirección falsa en la bandeja de entrada de Hotmail.

Para replicar este caso, como habéis visto en la figura 1, he seleccionado el dominio de lacaixa.es que tienen esa política en su registro SPF de tipo Hardfail y el servicio de Enviar a un amgio de una web que re-escribe los campos necesarios para explicar como funcionan los registros.


Figura 2: Registro SPF de lacaixa.es

Sin embargo, enviamos un correo falso a Gmail y a Hotmail y obtenemos que entra en ambos, pero con algunas diferencias, que nos servirán para explicar los sutiles detalles de estas implementaciones. Si observamos, el correo, además de entrar perfectamente en la bandeja de entrada de Hotmail, entra también en la bandeja de Gmail. Como se puede ver, si vemos los detalles del mensaje se están mostrando los campos From: y Reply to: que, como se puede ver, ambos tienen la información es la misma, una dirección de correo de lacaixa.es.


Figura 3: Correo visto en Gmail con detalles mostrados

Sin embargo, si miramos el correo original, vamos a entender porque Gmail lo hace tan rematadamente mal - ¡Alerta: opinión personal! -.


Figura 4: Original del correo mostrado en Gmail.com

Como se puede ver, el cálculo del valor SPF dice que la política es hardfail, y por lo tanto, siguiendo la política del registro SPF de lacaixa.es debería eliminarlo. ¿Esto es así? Vamos a pensar un poco sobre ello.

Si echamos un vistazo al RFC2822 donde se definen los campos de un mensaje, podremos ver que en el apartado 3.6. se definen varios posibles campos para el originario de un mensaje.


Figura 5: Campos de posibles originarios de un mensaje

Para ello, hay que entender una sutil diferencia entre quién se supone que escribe el mensaje y quién se supone que lo envía. Para entender el orden de prioridad de los campos vamos a analizar la diferencia entre From: y Sender:. Tal y como dice el estándar, se supone que mail from es el originario de la carta, el contenido, del mensaje en sí, mientras que sender, es el originario de enviar ese mensaje. Es decir, ¿quién se supone que creo el mensaje? From:. ¿Quién se supone que lo envío? Sender:. Así, este orden de precedencia, a la hora de averigüar quién envía un mensaje, hay que entenderlo para Resent-sender:, Resent-From:, From: y Sender:. Por supuesto, a esto hay que añadir las implicaciones de los campos "X" com X-Sender:, X-Resent-Sender:, etc… ya que los campos "X", implican extensiones al estándar que algunos servidores de correo electrónico implementan de manera distinta. Por spuesto, si no hay ningún valor más, el valor que vale es el de From:.

Bien, dicho esto… ¿debería Gmail bloquear ese mensaje? Mi respuesta es que no, pero que lo hace aún peor que peor - ¡Alerta: Opinión personal!. Vamos por partes.

Si analizamos ese mensaje de correo, podemos ver que tiene tres campos muy significativos con valores, que son Sender:, X-Sender: y Return-Path:. El campo Sender: - y su versión extendida X-Sender: - marcan la dirección del que envió este correo a nuestro servidor, mientras que Return-Path: es un campo de traceo y monitorización que utilizan los servidores de correo para dejar claro que ese mensaje se originó en ellos. Así, Return-Path: lo añade el servidor que genera el primer mensaje de correo, dejando claro dónde se originó.

Conociendo esto, si Gmail aplica la política hardfail con el campo From:, estará impidiendo que ningún Sender:, envíe un correo en su nombre… y entonces se le acabaron las listas de correo a esta dirección de correo. Si jesus@lacaixa.es intentara suscribirse a alguna lista de correo en la que hubiera un reenviador de los correos, sus mensajes nunca llegarían a las direcciones destino de Gmail.

Dicho esto, el siguiente paso es buscar información sobre este caso, pues la cosa se torna muy turbia aquí. Si miramos la Wikipedia [Sender Policy Framework], en la información sobre el filtro SPF dice claramente:

“the owner of the example.com domain can designate which machines are authorized to send e-mail with the sender e-mail address ending in "@example.com"”

Así que hay que mirar quién es el sender y, tal y como dice la Wikipedia y en todas las explicaciones, esto debe ser mirado en los campos From: y Sender:. Lo suyo sería mirarlo en el campo Return-Path:, pero muchas implementaciones decidieron hacerlo con Sender: y From:, porque son los primeros valores que hay que entregar del mensaje y se puede bloquear el correo al principio. Ahora bien, si aparecen los dos… ¿cuál es el que debería utilizarse?

Según el RFC4408 del estándar SPF debería ser solo la dirección en From:, pero si quieres que te funcione el filtro SPF sin cepillarte las listas de correo, lo que deberías hacer es aplicar el valor Sender:, como hacen muchos servidores de correo y From: solo cuando no aparezca Sender:.

Por el contrario, si aplicamos el valor de Sender:, esto implicaría que hay que comprobar el registro SPF del dominio que aparezca en el Sender:, por lo que si el DominioB está enviando un correo en nombre de un usuario del DominioA, entonces se aplicaría la política SPF del DominioB y si ese usuario de Sender: lo hace desde un servidor autorizado por el SFP del DominioB, entonces podría enviar un correo del DominoA.

Como puedes observar Gmail:

PRIMERO: Gmail aplica From: y no Sender:.
SEGUNDO: No elimina el correo aún cuando lee la política del dominio que él ha decidio.
TERCERO: No muestra ninguna alerta al usuario.

Divertido, ¿verdad? Tranquilo, que aún aún hay mucho más, espera a ver la segunda parte para tomar partido.

Saludos Malignos!

*********************************************************************************************
- ¿Cuál te gusta más: SPF o SenderID? (1 de 2)
- ¿Cuál te gusta más: SPF o SenderID? (2 de 2)
*********************************************************************************************

domingo, diciembre 19, 2010

BBB64: Buscando Bujeros en Base64 (1 de 4)

***************************************************************************************
- BBB64: Buscando Bujeros en Base64 (1 de 4)
- BBB64: Buscando Bujeros en Base64 (2 de 4)
- BBB64: Buscando Bujeros en Base64 (3 de 4)
- BBB64: Buscando Bujeros en Base64 (4 de 4)
***************************************************************************************

Base 64 es un sistema de numeración posicional que usa 64 como base. Es la mayor potencia de dos que puede ser representada usando únicamente los caracteres imprimibles de ASCII. [Wikipedia]

Como tal, es un sistema de codificación de información y no de cifrado de la misma, es decir, es una forma distinta de representar la misma información, que no añade ninguna medida de seguridad extra. Es por eso, que me llamó mucho la atención cuando encontré que el diccionario de sinónimos de Word propone codificar como sinónimo de cifrado. Para ilustrar aquel rápido post desde un aeropuerto, se me ocurrió buscar algunos ejemplos que ilustraran ese hecho, algo rápido. Sin embargo, al hacer las pruebas, me encontré con la sorpresa de que se puede encontrar mucho más de lo que al principio supuse. Es por ello, que pospuse los ejemplos hasta tener realizadas más pruebas. Y estas van en este artículo

Jugando con Admin

La primera de las pruebas que hice fue buscar la codificación de admin, que en base64 es YWRtaW4= a ver que salía, y me hizo gracia encontrar cosas como estas:

Figura 1: Lista de usuarios en un sistema. Es un servidor de chats

Figura 2: Metadatos en la página de la UGT con el usuario admin como creador

Figura 3: Log de ficheros subidos por el usuario admin

Figura 4: "Extraño" valor en la cookie de una aplicación de la rfef

Por supuesto, de jugar con la palabra admin, a utilizar este truco para buscar credenciales, solo iba un paso, así que, a por ello.

Jugando con Username y Password

Tras ver la cantidad de información que aparecía codificada en Base64, decidí que era momento de buscar ficheros de log que guardasen datos de conexiones. Para ello basta con utilizar las palabras Username (VXNlcm5hbWU=) y Password (UGFzc3dvcmQ6) - ojo que Base64 es case-sensitive - en las búsquedas de ficheros de texto o lde tipo log, y esto es lo que apareció.

Figura 5: Usuario autenticado. Password en Base64

Figura 6: Usuario admin autenticado. Password en Base64

En algunos casos no es necesario ni decodificar los valores, basta con seguir leyendo el log.

Figura 7: Password decoficada

Al final, éste es el más sincero de todos los logs, ya que el que aparezca la password en los anteriores codificada en base64 y no en texto claro crea una falsa sensación de seguridad.

***************************************************************************************
- BBB64: Buscando Bujeros en Base64 (1 de 4)
- BBB64: Buscando Bujeros en Base64 (2 de 4)
- BBB64: Buscando Bujeros en Base64 (3 de 4)
- BBB64: Buscando Bujeros en Base64 (4 de 4)
***************************************************************************************