Mi maligna selección de Julio a Diciembre de 2012

Con este segundo post os termino de recuperar los posts de El lado del mal que, desde el punto de vista de lector, más me han gustado cada mes. Espero que durante estas vacaciones os los estudiéis de memoria que el año que viene os pienso pasar lista para ver si os acordáis de lo que yo publico y comprobar si estáis totalmente malignizados o no. La primera parte de la selección del año 2012 la tienes en Enero a Junio.

Julio

- Listado de ficheros en IIS utilizando nombres acortados 8:3
- Un año más: MVP Enterprise Security
- Publica tu tarjeta de crédito en redes sociales y sé popular
- Los hackers son malo... o todo lo contrario
- El luser que vive en la basura de mi Mac OS X
- Buscas criminales, no hackers
- Robots en el sofá del Bank of America avistados en Google
- Drop Box Public Folder y Mac OS X en la Caesar's WiFi
- Ataque dirigido con JavaScript Botnet
- Este es mi pasaporte, ¿te gusta?
- DefCON 20: Crónica maligna de una muerte anunciada

Agosto

- Aplicaciones de Facebook y Privacidad
- Buscando passwords en servidores
- Memento: Límite 24 horas
- Minority Report: Pre-visualizando el futuro de Blogger 
- Analizando hosts Windows y *NIX* con SNMP
- Pull the Plug: Bureaucratic Denial of Service
- Entrevista a John Matherly, creador de Shodan
- Entrevista a Charlie Miller (0xCharlie)
- Video Tutorial de Forensic FOCA en Español e Inglés
- Un parpadeo en Android 4.0.4 que muestra mi escritorio

Septiembre

- Brain Dump: mi grito en "demo"-cracia
- Stolen Camera Finder: Un buscador de cámaras digitales robadas usando metadatos EXIF en fotografías de Internet
- Mundo Hacker TV: Bring Your Own Device
- Google compra Virus Total: Tecnología made in Málaga
- Entrevista a Dani Mende, creador de Loki
- Aviones de famosos, ¿dónde están?
- eGarante: un perito digital online que sella webs y correos electrónicos
- El discurso de la servilleta
- Hieroglyphy: Ofuscar ataques XSS con ()[]{}!+
- Immunity Stalker: Analizando ficheros de tráfico de red en la nube

Octubre

- ONO: La insegura estructura de la red de clientes
- Cheaters: Community managers de cartón piedra
- FakeBook: Pilla scammers en Facebook con Google Images
- Depredadores de canales chat en busca de víctimas
- Tu vida online permite que te lean la mente
- Instalación de extensiones en Firefox de manera silenciosa
- Entrevista a José Selvi de Pentester.es
- Mis problemas con el DNIe en la renovación de certificados
- Hacking en redes de datos IPv6: Conceptos básicos de iPv6

Noviembre

- Cyber-espía ruso grabado en webcam con su malware
- Hacking en redes de datos IPv6: Neighbor Spoofing
- Educación a trompicones para "malincuentes"
- Un .SVN/Entries en Apple descubierto con la FOCA
- No aprendas SAP... si quieres transformar el mundo...
- Tus passwords son suprayectivas
- 10 cosas que puedes revisar en tu Apache
- Un ejemplo para un amigo: El par de puntos más próximo
- Mejor Blog de Seguridad Informática
- 10 formas de robarle la agenda de contactos a Pipi
- Dile cositas bonitas al oído a los chicos de Apple

Diciembre

- Ataque David Hasselhoff a un Cisco VoIP Phone
- Hacking Webs en .NET: Trucos para una auditoría
- Un address bar spoofing de libro en Twitter para iPhone
- "Descuido" gordo en la Web del Senado de los 500.000 €
- El caso Santiago Cervera y el correo anónimo de la red TOR
- Estafa del hacker para cambiar notas de la universidad
- ¿Cuánto cuesta contratar a un asesino en Internet?
- ¿Desde cuándo tengo yo Instagram? ¿Y ahora soy así?
- No te fies de un extraño ni aunque lo veas por la webcam
- ¿Adios?
- Un par de charlas divulgativas sobre seguridad informática
- No he perdido la cabeza, he perdido mi gorro

Y hasta aquí, más o menos, ha dado este año 2012 en El lado del mal. En este año he vuelto a igual el número de posts del año que menos he escrito en el blog desde que hago años completos. Aún aís espero que el siguiente pueda escribir al menos lo mismo, que cada vez parece que mis horas tienen menos minutos y me cuesta más llegar a este compromiso de cita auto-impuesto de escribir todos los días.

Saludos Malignos!

La culpa es del pu$·" Cartman de los ·"$"·%

Hace unos días un amigo por Twitter me avisó de que Google Chrome alertaba a los usuarios de que en El lado del mal se estaba distribuyendo malware. Tras conectarme a probarlo en mi equipo no encontré la misma alerta, así que pensé que sería algo como cuando empadronaron este blog como un sitio peligroso de "hacking" pero al no ser global, pensé en algún ataque man in the middle tipo al de Linux/Chapro.A o al que contaba Thor con el malware que hacía de rogue DHCP en la conexión del amigo que me avisó.

Sin embargo, al probar la URL concreta de la web que me reportó, pude comprobar que a mí también me salía la alerta, así que le dediqué un poco más de tiempo a investigar qué pasaba. Al final descubrí que la culpa de todo la tiene el pu$·% Cartman de los ·$"$3 y un antiguo fallo de diseño de Blogger que ya parece que está subsanado. Os cuento la historia para que saquéis de ella "malignas" y "benignas" ideas.

Si entras en el artículo de "Oracle se olvidó del .es" con Google Chrome verás que te sale una alerta de seguridad que dice que puedes infectarte de malware o cosas peores - como leer el post -.

Figura 1: Alerta de software malicioso en El lado del mal

La alerta, en detalle, hace referencia a un contenido que viene desde Lycos, así que solo hay que analizar el contenido con las herramientas del desarrollador para ver qué es lo que está viniendo desde esa ubicación.

Figura 2: El contenido que viene desde Lycos es una foto de Cartman

Al final resultó ser un avatar, subido por el amigo Borja Lanseros que se había puesto una imagen de Cartman hace mucho tiempo, que era cargada desde esa ubicación, y ahora Google Chrome está bloqueado dicha ubicación.

Figura 3: Pidiendo la ruta de la imagen en Lycos desde Google Chrome

Por supuesto quise probar si esto se podía hacer a día de hoy [el post es del año 2007] y fui a configurarme una imagen remota en mi avatar de Blogger, pero lo que hace el sistema hoy en día es copiar la imagen, con lo que no hace carga remota de ficheros.

Viendo esto, cualquier sitio que permita cargar imágenes remotas en avatares puede ser "trolleado" con un avatar desde esa URL, ya que hará que los visitantes de Google Chrome reciban una alerta como esta de malware.

Saludos Malignos!

Mi maligna selección de Enero a Junio de 2012

Desde que abrí El lado del Mal escribo mucho y sobre muchas cosas. En 2012 no ha sido distinto y he publicado una buena jartá de chorradas, tontunas, estulticias, ensoñaciones, preocupaciones o curiosidades técnicas. Lo más sorprendente es que la totalidad de las cosas que escribo lo hago porque me gusta, y ya no me extraño cuando me veo releyendo cosas que escribí meses - o años - atrás. Me pongo más contento aún cuando recibo un comentario en un post del año 2009 o 2010 sobre lo útil que le ha sido esa información... y no es spam.

En este año 2012 he cambiado de punto de vista otra vez para pasar de ser publicador a lector y he seleccionado los artículos que más me ha gustado leer, para poder compartirlos con vosotros como un lector más de El lado del Mal. Qué los disfrutéis. Aquí va la primera mitad del año.

Enero

- Averiguar el Nombre de un Servidor SQL Server con Excel, Cadenas de Conexión, y Autenticación Integrada NTLM
- Hacking Remote Applications: Sticky Keys en Windows Server 2000/2003 y un Tooltip de gran ayuda en Citrix
- Entrevista a Didider Stevens
- BootKits: Windows 8, UEFI Secure Boot y Stoned Bootkit
- DUST: Manual de Usuario
- ¿Están ciegos en Edmodo?
- Sticky keys en los kioskos del DNIe
- Windows 8, el interfaz Metro y la Start Screen, la ley de Fitts, los equipos híbridos y los sistemas operativos anfíbios

Febrero

- Examen 2011-2012 del Master de Seguridad de la UEM
- Robar Cookies HTTPOnly con XSS en webs con Apache
- Un sábado cualquiera: Jugando con un Applet Java
- AirOS vulnerables: ISPs en España sin actualizar
- El algoritmo de Melkman, la marcha de Jarvis y Estadística
- Serialized SQL Injection con errores ODBC
- En el nombre de J. R. R. Tolkien, yo te bautizo
- Paypal cambia su política AntiSpam y el fraude lo explota
- Encontrar los servidores SQL Server de la intranet con DSN
- Un decálogo de seguridad maligna

Marzo

- Localización física de personas usando GSM
- Owning bad guys {and mafia} with JavaScript Botnets
- Marmita 1.3: Detector de ataques man in the middle
- ¡Alguien me espía en el equipo!
- La FOCA se merece un iPad
- Wayra

Abril

- UIPI (User Interface Privilege Isolation) en Windows 8
- Optimización de ataques Blind SQL Injection en MySQL
- Hacking de aplicaciones Lasso
- How to impress with FOCA, Connection Strings and Citrix
- Captura de ficheros transmitidos por SMB con ataques man in the middle en IPv6 usando Evil FOCA... toma título
- Hacking, Ciberguerra y otros palabros raros
- Análisis Forense de Metadatos: Ejemplos ejemplares
- Man in the middle en redes IPv4 por medio de IPv6

Mayo

- All input is evil
- Ejecutar código remoto en Apache con PHP en modo CGI
- Dopado hasta el gorro
- Gira Up To Secure 2012 online
- Def CON me gusta mogollÓN
- SmartBouncer: Control de accesos usando RFID, NFC y BlueTooth
- Suplantación de identidad en Facebook
- Hall of Shame de Ladrones en Modo #EPIC_FAIL
- Pruebas para descubrir un LFI al estilo FOCA

Junio

- Explorando la DMZ de una red
- ¡Que no te hagan la cobra en Sexy o No!
- LinkedIN: Mata tus cookies... y cambia la password
- Ping 1 en Windows, Mac OS X y Linux
- NBNS Sniffer: Capturar búsquedas en Superbar de Chrome
- No le vemos reporte alguno a los problemas que nos envías
- Una charla con Nico Waisman en Red Innova
- Acceder a una cookie HTTPOnly con un Applet Java
- Me ha entrado una Titi... ¿habré ligado?

De estos 50 que os he seleccionado, algunos son noticias, otros son textos curiosos, algunos son papers técnicos o conferencias en vídeo. Está variada la selección que os he hecho de estos primeros seis meses. Ya tenéis aquí la Selección de Julio a Diciembre de 2012.

Saludos Malignos!

No he perdido la cabeza, he perdido mi gorro

Hoy es un día triste para mí, ya que después de una intensa búsqueda por tierra, mar, aire e Internet, he sido incapaz de encontrar mi desaparecido gorro de rayas. La última vez que me lo llevé de viaje fue al charla que di en la Universidad de Castilla La Mancha. Después de ese momento, recuerdo clara y nitidamente, haberlo metido en mi mochila de ruedas... y nunca más supe de él.

La verdad es que seguí usando la mochila en diversos viajes en taxi, tren y maligno-móvil, pero no fue hasta tres días después, preparando la mochila para pasar unos días con mi madre, cuando eché realmente en falta mi gorro. Mi querido gorro.

Figura 1: Con mi gorro en el último TechDay

Rebusqué en todos los rincones donde he plantado mi culo los últimos días, revisé el SOCtano, el maligno-movil, llamé a objetos perdidos de la RENFE, a los servicios de emergencia, y puse anuncios en las webs ofreciendo cuantiosas recompensas económicas... y nada. No aparece. 

Desde entonces tengo pesadillas a media noche. Me levanto asustado. Tembloroso. He perdio un poco de voz cayendo en una afonía nerviosa. Mi color de piel se ha aclarado, y me han salido unas extrañas machas rojas en la piel. Mi pelo se ha poblado de canas, y no tengo fuerzas para levantarme por las mañanas. Postear a diario se me hace cada vez más cuesta arriba y no llego a terminar mis quehaceres diarios. Es como si me hubieran robado la energía. 

Figura 2: Mi gorro siempre en mi equipaje

Llevo años con ese gorro, viajando con él por todo el mundo, e incluso soñé en un futuro morirme con él, pero ahora... no parece posible ese idílico final y no sé si voy a ser capaz de continuar igual sin él. Creo que ya nunca será lo mismo. A partir de ahora creo que me cortaré el pelo, me afeitaré a diario y daré charlas - cuando sea capaz de recuperarme - sentado y con traje, ya que sin mi gorro de rayas me sentiré desnudo. Si lo ves, por favor, haz que vuelva a mí.

Saludos Malignos!

Gira Up To Secure 2013

Ya está cerrado el calendario de la Gira Up To Secure 2013, que un año más nos llevará por 10 ciudades por España para pasar una jornada dedicada a las tecnologías IT del 15 de Enero al 6 de Febrero. Este es el calendario de ciudades donde te puedes registrar ya de forma gratuita.

15 de Enero: Pamplona
16 de Enero: Zaragoza
17 de Enero: Barcelona
22 de Enero: Bilbao
24 de Enero: Valladolid
25 de Enero: Palma de Mallorca
29 de Enero: Madrid
30 de Enero: Málaga
5 de Febrero: Vigo
6 de Febrero: A Coruña

Sí, sé que no vamos a Sevilla, Tenerife, Las Palmas, Murcia, Valencia o tantas y tantas ciudades que nos gustaría visitar, pero es que solo tenemos presupuesto para ir a 10 ciudades y vamos a las que podemos y que más ayudas tenemos para la organización. Por otro lado, este año vamos a Bilbao y Palma, que hace muuucho tiempo que no las visito con la gira.

La Agenda

El evento que hemos preparado tiene además una estructura muy especial, ya que tiene tres partes bien diferenciadas. La primera es la parte de conferencias de por la mañana, que a partir de las 9 tendrá demos de Microsoft y sistemas de virtualización, de Informática64 y algo de seguridad, de Veeam Software y sus soluciones de gestión de Private Cloud y de Telefónica Talentum Startups y sus proyectos de tecnología. En Málaga, además, tendremos a Hispasec Sistemas que completará la jornada con una charla sobre seguridad, que para algo es su fuerte.

Después tendremos una segunda parte, justo antes de comer, donde los universitarios que quieran acceder a las becas Talentum Startup podrán realizar la prueba de selección para los proyectos Talentum Startup Short Track y Long Track. Unas becas que podrán realizar en verano a jornada completa o a media jornada en una Startup.

Por último, el día se va a completar con un training gratuito de Despliegue de Aplicaciones en Windows 8 que tendrá lugar de 15:00 a 18:00 horas y donde deberás llevar tu equipo para hacer las prácticas. Esta sesión de tarde tiene un registro individual.

Registro

Aún faltan por cerrar las ubicaciones definitivas de algunas ciudades, pero ya puedes registrarte al evento de la mañana y el training de por la tarde en los enlaces que tienes en la web que hemos publicado para la Gira Up To Secure 2013.

Saludos Malignos!

Averiguar la versión de un SQL Server

Para este día de Navidad, Nelson Brito (@nbrito) tenía preparada una nueva versión de SQL Fingerprinting Next Generation, una herramienta de la que ya os había hablado aquí para hacer Fingerprinting a servidores SQL Server. Como yo también soy un enganchado a esto del hacking y las tecnologías, aproveché el día de Navidad para probar la herramienta, así que igual que hice en la anterior ocasión, escanee unos segmentos buscando servidores SQL Server con el puerto 1433 abierto en Internet y lancé la herramienta.

Figura 1: Buscando servidores SQL Server con el puerto 1433 abierto a Internet

Esta versión está escrita en Perl y según cuenta en la descripción, es capaz de reconocer más de 500 versiones distintas de SQL Server con su Service Pack y conjunto de parches de actualización instalados. Basta con invocarlo con el nombre del fichero en Perl y la dirección IP a realizar el proceso de fingerprinting para obtener una versión y un grado de porcentaje de certidumbre, tal y como se ve en la figura 2.

Figura 2: MS SQL Server 2008 R2 RTM descubierto con ESF.pl

Si se quiere conocer el nombre del servidor SQL Server en la red, hay que establecer una cadena de conexión y analizar la respuesta, tal y como ya vimos en "Cómo conocer el nombre de un servidor SQL Server con una cadena de conexión". En esta herramienta, basta con utilizar la opción -d  de debug, y analizar la respuesta obtenida. En la Figura 3 ZitrXXXXX7C1.

Figura 3: Modo debugging de la herramienta. Permite averiguar el nombre del servidor SQL Server

Tal vez hubiera sido más cómodo que el nombre del servidor saliera en la respuesta por defecto de la aplicación al hacer el proceso de fingerprinting, pero hay que reconocer que parece funcionar muy bien con diferentes versiones de SQL Server.

Figura 4: Servidor MS SQL Server 2008 SP3 descubierto con ESF.pl

Para descubrir los servidores SQL Server en una red, además de hacer el escaneo con nmap que os he puesto en este ejemplo, se puede utilizar un escaner IPv6 como Topera para descubrir qué equipos están respondiendo por ese puerto, o utilizar trucos como la creación de un DSN en una red local o herramientas de administración como MyLittleBackup. La herramienta merece tenerla en cuenta para analizar las versiones de SQL Server, así que tenla presente en tu próximo pentesting.

Saludos Malignos!

Felices Fiestas y Próspero año 2013

Como ya es tradición desde hace algunos años, yo suelo hacer un garabato para enviar a todos nuestros clientes y amigos de Informática64 para felicitar estas fiestas. En años anteriores ya os he contado como me censuraban la creatividad, como me hicieron en el año 2008, me lo volvieron a hacer con la felicitación de las navidades del 2009, no me la cambiaron mucho en 2010, pero sí que lo hicieron en 2011 otra vez.  - coñas internas, por supuesto - Este año he preparado un dibujillo más normal con un par de borrachuzos que ya se ha enviado a vuestros buzones.

Figura 1: Felicitación de navidad de Informática 64 en 2012

Valga esto como excusa para desearos unas felices fiestas a todos y un próspero 2013, ya tengáis nieve en vuestra tierra o estéis disfrutando de un clima primaveral o veraniego en Latino América.

Saludos Malignos!

Linux/Chapro.A un módulo de malware para Apache

El mundo del malware destinado al fraude online y/o e-crime no para de adaptarse para buscar nuevas formas de infectar equipos, y hacerlo desde servidores web es algo de lo más común desde hace ya más de un lustro usando kits de explotación, como el archifamoso Black Hole. La idea es sencilla, desde un servidor web comprometido - si es popular como la web del sistema postal americano mejor - lanzar un exploit que afecte al software de un cliente que se conecta e inyectar un bot para controlar la máquina desde un panel de control. Sencillo y funcional, así que se sigue haciendo.

Figura 1: Aspecto de un panel de control de Black Hole

Una de las primeras formas de conseguir comprometer los servidores web han sido los bugs de aplicación tipo SQL Injection, RFI, o incluso XSS persistentes para lanzar el exploit a los clientes. Sin embargo no se quedaron ahí, y los bugs en gestores de contenidos populares de blogs, CMS, etcétera, pasaron a ser de los más utilizados - que se lo digan a WordPress, Joomla e incluso a los Moodle -. Con este tipo de ataques se realizaron campañas de infección masiva usando los buscadores - llegando a infectar sitios de renombre como Apple.com en operaciones como Lizamoon -.

Figura 2: La web de Apple fue infectada en un ataque SQLi masivo para distribuir malware

Sin embargo, las cosas no se quedaron ahí y han evolucionado hasta aprovechar cualquier punto de apoyo para conseguir lanzar los exploits desde los servidores web. En el caso de Linux, aparecieron cosas como Linux/Snakso.A, un rootkit a nivel de kernel que modificaba las páginas web enviadas desde servidores nginx o Apache para añadir un iframe que apuntaba al kit de exploits.

El último que ha salido a la primera plana de actualidad en el mundo del e-crime es Linux/Chapro.A, un malware en forma de módulo malicioso de Apache pensado para infectar con un iframe que apunta a un kit de exploits en todas las páginas que sirve el servidor web infectado para instalar bots de Zeus en los clientes que se infecten.

Figura 3: Esquema de Linux/Chapro.A

En este caso en concreto, el kit de exploits que se estaba utilizando era Sweet Orange que, por supuesto, tiene malware y exploits disponibles para equipos con sistemas operativos Windows, Mac OS X y Linux.

Figura 4: Kit de exploits Sweet Orange

Esta idea de utilizar un módulo malicioso de Apache no es nueva, y de hecho se usan como manera de mantener un servidor troyanizado después de una intrusión, como es el caso de mod_rootme, del que ya os hablé por aquí. Si quieres revisar los módulos cargados en tu Apache, en el artículo de Fortificar Apache tienes los comandos para revisar los módulos cargados en tu servidor web.

Saludos Malignos!

Un par de charlas divulgativas sobre seguridad informática

Hoy os voy a dejar aquí un par de charlas por si no tienes mucho que hacer este domingo antes de que llegue la Nochebuena. En ellas no cuento nada que no hayas podido leer en este blog, pero si tienes tiempo y te apetece perderlo, aquí te las dejo. Una es una "película" de hora y media y la otra un "capítulo de una serie de televisión" de  apenas 17 minutos.

Thinking About Security

Es la última charla que he dado este año esta misma semana. La impartí en la Escuela Superior de Informática de la Universidad de Castilla La Mancha en Ciudad Real. Dura 1 hora y 36 minutos y hablo sobre seguridad informática en general.

Hacking y anonimato para pasar un buen rato

Esta es la charla que impartí en TEDxRetiro durante el mes de Octubre. Me escapé del Asegúr@IT Camp 4 para dar la charla de 17 minutillos que tenéis aquí, y hablé un poco de hackers y delincuentes, resumiendo de forma rápida el trabajo de Owning bad guys {and mafia} using JavaScript Botnets.

En ninguna de estas conferencias cuento nada nuevo, así que tómalas como son, un poco de entretenimiento y divulgación con el tema de la seguridad informática dando sentido a todo.

Saludos Malignos!

Tiras de prensa Deili Electrónico: 25 a 28

Ya pasó otro mes, y mientras recuperamos los 50 vídeos de Mundo Cálico en HD a ful, y abrimos la sección Trabajos de Cálico Electronico para que podáis tener en la web todos los vídeos de vuestro gordito favorito, tenemos ya otro grupo de 4 tiras de Deili Electrónico que publicamos todos los miércoles gracias a ESET y a Ediciones Babylon. 

Las tiras anteriores las podéis ver en los siguientes posts o en la web de Deili Electrónico:

- Tiras Deili Electrónico [01 - 04]
- Tiras Deili Electrónico [05 - 08]
- Tiras Deili Electrónico [09 - 12]
- Tiras Deili Electrónico [13 - 16]
- Tiras Deili Electrónico [17 - 20]
- Tiras Deili Electrónico [21 - 24]

Para que te puedas enterar de todo esto con facilidad, recuerda que tienes una aplicación de Cálico Electrónico para Windows Phone - además de la que ya hizo un fan para Android - donde podrás saber cuándo hemos publicado una nueva tira de comic de Deili Elecrónico o un nuevo capítulo de Cálico Electrónico. En breve tendrás también una aplicación para Windows 8 y otra para dispositivos iOS.

Si eres fan del mayor superjiro del mundo y te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, en Tuenti, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico.

Saludos Malignos!

¿Adios?

Se acaba el mundo y yo sin despedirme, ¡qué desastre! He visto que para esta noche el hombre del tiempo ha pronosticado unas temperaturas que o bien superarán los 600 º Centígrados o bien serán de 0  º Kelvin, no está aún claro. Puestos a elegir prefiero eso del 0 Kelvin, que según un libro de ciencia ficción que leí hace mucho tiempo - llamado Cero Absoluto - haría que los electrones dejaran de girar y se podría aplicar cirugía a nivel atómico, lo que ayudaría a poder arreglar cualquier enfermedad dentro de, por ejemplo, un cerebro o un cuerpo criogenizado. Pero vamos, eso es por si después nos van a despertar en un Valhala, que si no, casi me da igual una cosa que otra, que como dirían los estadísticos, en media no se está mal.

El caso es que aprovechando la fecha quería hacer un poco de balance sobre este 2012 que me ha dejado muchas cosas buenas... y alguna mala. He tenido algún sufrimiento y algún momento muy duro, pero haciendo balance ha estado para sacar muy buena nota.

Profesionalmente este año he disfrutado como hacia tiempo que no hacía con Informática64, donde hemos tenido muchos y variados proyectos, lo cual agradezco sobremanera a todos los clientes. Por supuesto, no hay que olvidar el trabajo de todos los compañeros de Informática64 que renovaron el Gold Partner de Microsoft en Identity and Security y han sacado todos los proyectos como unos auténticos jabatos. Bien por vosotros, ¡máquinas!

Además, nuestra biblioteca de libros está mucho más allá de donde yo soñé cuando comenzamos con ella hace ya más de 3 años, y se han vendido ya casi 11.000 libros además de haberse publicado 7 nuevos títulos durante 2012. Todo esto se ha debido en gran medida a los lectores, que han sido los principales altavoces de sus lecturas, y a los partners que tenemos en Colombia, Ecuador y Argentina, que gracias a su labor llevan nuestros libros y nuestros servicios más allá de nuestras fronteras. Entre las cosas que también han salido este año de Informática64 están la Forensic FOCA y la nueva versión de la FOCA, que ya estamos evolucionando para tener en 2013 nuevas evoluciones.

Dentro del trabajo de Informática 64 este año es imposible no hablar de la experiencia de tener a Cálico Electrónico entre nosotros. Aún me parece mentira ver la cartela de nuestra ya adolescente empresa al comienzo de cada capítulo y, el verme a mí como personaje en el capítulo 4 me emociona. No solo hemos sacado una cuarta temporada, sino que hemos publicado una aplicación en Windows Phone, una aplicación para Windows 8, otra que aún no está publicada por cosas de Apple para iOS, las tiras de  comic de Deili Electrónico y algún trabajo en el mundo de la publicidad que podéis ver en la web.

Trabajar con Cálico Electrónico ha sido bonito y duro, y no creo que hubiera sido posible hacerlo este año sin el buen hacer de  Nikotxan y la colaboración maravillosa de Ediciones Babylon (¡Gracias!) y ESET España, que nos han apoyado económica y anímicamente (Vosotros también sois Cálico Electrónico)

A un nivel profesional un poco más personal, el trabajo con Talentum Startup y la colaboración con Blog ThinkBig me ha reportado muchas gratificaciones emocionales. El convivir y conocer al grupo que pasó todo el verano en Wayra conmigo y/o con Rodol dejándose la piel, me hizo ver el mundo con otros ojos. Unos que ya tenía guardados en el cajón hace tiempo y que gracias a José María, Javier Santiso, Rosalía y Critina - mis compis de Talentum - recuperé.

También tuve la ocasión de volver a la Universidad mucho más, no solo con las clases en los Masters de Seguridad de la UEM o de la UOC, sino también con el Talentum Tour y las Becas Talentum y a recoger el título con que mi Escuela Universitaria de Informática de la UPM me honró como Embajador, algo que no sé si transmití lo contento que me hizo. También, por alguna petición puntual acabé ayer en la UCLM o di alguna charla en la UPM.

En verano tuve también otra grata muestra de cariño desde Microsoft, renovándome un año más el premio como Most Valuable Professional en el area de Enterprise Security. Son ya 8 años creo, pero sigo disfrutando de él y de mis compañeros. No sé cuantos abrazos repartí en el TechDay y el Lanzamiento de Windows Server 2012 a mis amigos MVP de toda la geografía, - incluido el gran andorrano Luis Franco, o el ex Paniagüa, que fue el que me bautizó a mí en un lejano TechED en Amsterdam -. ¡Qué gente más genial!

Ya a finales de año, gracias a los lectores de este blog, me dieron el premio al mejor blog de Seguridad Informática en los Premios Bitácoras, algo que me pilló un poco por sorpresa, pero que os agradezco de verdad, ya que me transmitió vuestro cariño y me dio fuerzas para continuar trabajando con el blog. Y a aprovecharme de él para seguir publicando mis dibujitos de No Lusers.

Otra grata experiencia de este año ha sido el entrar a trabajar en la radio con Javi Nieves, donde han tenido toda la paciencia conmigo, para enseñarme - aún a día de hoy - que cuando la luz está roja en el estudio no se puede hablar de nuestras cosas. Gracias a todas las chicas y chicos del equipo de allí que me tratáis siempre con cariño. Si no se acaba el mundo, prometo aprender más de cómo funciona la radio.

Por último en este area, no puedo olvidarme de la seguridad informática y el hacking, que me llenan la vida desde hace años y que durante el presente me han llevado a Troopers, Hack In The Box, RootedCON, DefCON, BlackHat, Sec-T, Jornadas de Seguridad de A Coruña o NoCONname a dar charlas, disfrutando de amigos y compañeros en LaCON, y a mantener este blog día a día, solo por estar en contacto con vosotros.

El año aún me dio para participar en la Gira Up To Secure 2012, en TedXRetiro, en Red Innova, AppFest, Campus Party Europa en Berlin, Wayra Week, el curso de especialización de la Universidad de A Coruña en dispositivos móviles, Internet es Tuyo 3, el Asegúr@IT Camp 4 y alguna que otra charla que me llevó a Colombia (2 veces), México y Venezuela, Alicante y Tenerife o cursos como el FTSAI, o Seguridad Web Online en que me he implicado con alguna charla.

Veo todo lo que he disfrutado este año con todas estas cosas y me encuentro feliz. Cansado, muy cansado porque ha sido un año largo, pero feliz. Es por eso que creo que si se acaba el mundo puedo irme tras un año pleno, y lleno de cosas buenas. 

No, no soy ajeno a las penas, y por supuesto este año también he tenido sinsabores, dolores de corazón, alguna lágrima derramada que no he podido contener y ataques de enfado por cosas que me han dolido. A pesar de ser Maligno tengo una parte humana, así que también me llevo unas cuantas cicatrices en mi corazón de cosas tristes que irremediablemente acaban pasando, pero en esto consiste vivir, en que te pasen cosas buenas y malas... hasta que ya no te pase nada.

Hoy, por si acaso se acaba el mundo, es la fecha que hemos elegido para la cena de empresa de Informática64, así que saldremos de fiesta por los garitos de Bronxtolex... hasta que se acabe el mundo o mis baterías. Nos vemos en el más allá o en el más acá. Quién sabe...

Saludos Malignos!

No te fíes de un extraño ni aunque lo veas por la webcam

El martes pasé por un instituto en el que tuve una audiencia muy especial: jóvenes de entre 12 y 15 años que, por supuesto, tienen contacto con Internet desde hace mucho, mucho, mucho tiempo. Entre las cosas que quería explicarles era que si no conoces a la otra persona con la que estás chateando puede que esa persona no sea quien dice que es. 

Fiarse de un nickname en el que ponga algo como marcos_17_BCN no garantiza que se llame realmente Marcos, ni que tenga 17 años, y por supuesto tampoco que sea de Barcelona. Un nickname no identifica a nadie. Esto es evidente para todo el mundo.

Fiarse de unas fotos que se envían para conocerse cómo son, tampoco identifica a ninguna persona.  Si te envían una foto, tal vez deberías buscarla en Internet no vaya a ser que sea una foto pública. 

Figura 1: Foto usadas en perfiles falsos

Si la foto no aparece, no tiene porque ser verdad. Las fotos de chicos y chicas robadas de equipos troyanizados con malware se comercializan en el mundo del e-crime y el fraude online para usarlas en suplantación de identidades.

Por último, fiarse de la webcam es para muchos determinante, pero resulta que tampoco te puedes fiar, ya que existen programas como ManyCam que te permiten configurar qué vídeos quieres mostrar por tu webcam en una sesión de chat.

Figura 2: ManyCam permite poner fotos, efectos y vídeos por la webcam

Es por ello que para conseguir un efecto convincente se realizan grabaciones mediante R.A.T.s usando la webcam sin que lo sepa la víctima, que luego se venden y utilizan para romper cualquier barrera de duda que tenga la víctima.

Una vez ganada la confianza de la víctima, los siguientes pasos son conseguir alguna foto o vídeo comprometido de la víctima, que caerá en un esquema de Grooming, que llevará desde la petición de más fotos o vídeos comprometedores para terminar en delitos de extorsión en los que se pide dinero a cambio de no publicarlas.

Por eso, ten cuidado y no te fíes de la gente que no conozcas en persona, y desconfía de extraños que conociste por Internet, desconfía, aunque los veas por la webcam.

Saludos Malignos!

Un hipervínculo para cerrar las sesiones de Facebook

Como siempre en Facebook, y por esas "casualidades" de la vida que llegan cuando se está enredando un poco - como ya me sucedió en el articulo de Aplicaciones de Facebook y Privacidad -, logré generar una URL que apenas es visitada, si tienes la sesión de Facebook abierta, te la cierra automaticamente. Algo así como si fuera un CSRF a la página logout de Facebook, algo que se bloquea para evitar que se envien enlaces acortados con el link de logout a personas para causar molestias.

Sin embargo, como os contaba,  de pura casualidad - nada de brujería - pude hacer un enlace que realiza el logout automatico de cualquier cuenta. Os cuento a qué se debe esto. ¿Alguno de ustedes tiene dos cuentas en caralibro? Bueno yo soy una de esas personas, pongámosle nombre a las cuentas de la siguiente forma:

- Mi primer cuenta = c1
- Mi segunda cuenta = c2

Estando yo en c1 me diriji a mi correo donde me llegan las notificaciones de c2, y como siempre cada notificación tiene un enlace que lleva a la publicación en Facebook pero primero obviamente a la pagina para logearse en este caso en c2. Ingresamos en c2 y como es de esperarse lleva al login, pero la pregunta es, si ya tenia abierta mi sesión en c1 y estoy apunto de iniciar sesión con c2, ¿qué pasará con c1? La respuesta es sencilla: se cierra la sesión en c1, hayas o no ingresado en c2.

Les dejo una URL para que ustedes mismos prueben - no seaís malvados -, y ojo con el correo que figura en el login, no sea cosa que aparezca en las noticias que el Facebook de Sean Parker - primer presidente de caralibro - fue 'hackeado' o suplantadada su identidad:

http://www.facebook.com/n/?home.php&clk_loc=5&mid=72b01a8G5af400143243G0Gd4&bcode=1.1354826874.AbllucLcWqHQbSNM&n_m=sean%40foundersfund.com

Si navegan a ella se les cerrará su sesión de Facebook. Esto se debe a que tal vez, cómo se observa en la URL hay un código que indica que efectivamente ese hipervínculo no fue generado por nadie ajeno, por lo que es seguro abortar toda conexión al servidor y logearse nuevamente.

De parte de Facebook - estuve en contacto con ellos -, no han hecho nada para arreglar esto, y como siempre,  me dijieron que no es una falla de seguridad - que en parte tienen razón - pero es medio contradictorio que prohiban hacer logout automáticamente y en otros no.

Para terminar, solo comentaros que no es necesario tener dos cuentas para obtener el enlace, pero si para comprobar uno mismo que efectivamente el enlace cierra la sesión, que fue como lo descubrí. 
Podéis buscar tu propio enlace en el correo, y mediante Facebook mandarselo a algun amigo para que pruebe si su sesión se cierra.

Saludos
--
Ariel Ignacio La Cono
Microsoft Student Partner
ignataur@hotmail.com

Última charla del 2012: Universidad de Castilla La Mancha

Quedan un par de semanas más o menos de este año, pero toca ir cerrando la actividad pública, así que hoy por la mañana daré la penúltima charla en un colegio donde me han pedido que vaya a hablar con los estudiantes y después estaré en la radio a las 11:30. Tras eso, solo me queda una charla en la agenda del 2012 para acabar de cerrar ya en definitivo el año vigente, y si no pasa nada raro, ya no volveré a dar guerra hasta el año que viene en la Gira Up To Secure 2013  y el FTSAI.

La charla cerrará un ciclo de conferencias en la Escuela Superior de Informática de la Universidad de Castilla La Mancha en Ciudad Real. Será el jueves día 20 de Diciembre a las 12:30 horas de la mañana en el Salón de Actos del edificio Fermín Caballero, sito en el Paseo de la Universidad 4.

Figura 1: La última charla "Thinking about Security"

Después de ahí, ya solo me queda la cena {and drinks & more} de empresa con los compañeros de Informática64, y pensar en nuevo año 2013, donde ya estamos trabajando hace más de un mes en la preparación de muchas cosas.

Saludos Malignos!

Hacker Épico llega ya a tus manos (y a 200 más)

Ya lo tengo aquí, encima de mi mesa. Y ya están viniendo Alejandro Ramos y Rodri a Informática64 para firmar esta tarde todos los libros que se han comprado hasta el momento - que al final han sido ya más de 250 -. Así que estad atentos que Hacker Épico os llegará hoy mismo o mañana por la mañana. 

Figura 1: Los libros de Hacker Épico ya en mi poder. Estos son para mí }:))

Queríamos haberlos entregado el viernes, pero con el tiempo tan frío que hemos tenido ha habido que esperar un día más de secado de la tinta para que los libros quedaran como han quedado. Preciosos.

Saludos Malignos!

¿Desde cuándo tengo yo Instagram? ¿Y ahora soy así?

Que los informáticos somos gente de costumbres no es algo que sorprenda a nadie. Cada mañana al llegar a la oficina enciendo mi equipo, abro el lector RSS, Twitter y miro lo que me caído esta noche en el correo - esperando que al jefe no se le haya ocurrido alguna nueva idea -. Con unas buenas reglas antispam es raro encontrar correo no deseado en la bandeja de entrada, aunque alguno se puede “colar”.

En ocasiones, como la de hoy, y haciendo caso omiso al refrán “La curiosidad mató al gato” abro esos correos para ver qué me intentan vender, cuántos centímetros se ofrecen a alargarme cosas, o las contraseñas de qué cuentas quieren conseguir mediante ataques de phishing. En este caso concreto, el origen del correo al que me voy a referir supuestamente venía de la popular red de publicación de fotografías Instragram, y venía desde la dirección support@instagram.com con el asunto Password reset on Instagram.

Figura 1: El correo de recuperación de contraseña de Instagram que apareció en la bandeja de entrada

He de reconocer que el correo está muy bien formado, con el típico formato de recordar contraseña de una cuenta, y un enlace de confirmación de reseteo. De hecho, lo hubiera podido considerar como lícito si no fuese porque NO tengo cuenta de Instagram... o eso creía.

Profundizando un poco en el correo, alimentado por mi sed de curiosidad, mediante el código fuente verifico que el texto que se ve en el enlace es realmente el enlace de destino, con lo que me sorprendo aún más. De todas maneras, a pesar de todo lo lícito que pueda parecer el correo, sigo desconfiando de él - basada esta sospecha en el hecho de que creo que nunca me he sacado una cuenta en este servicio -, así que hago una última prueba.

Me dirijo al formulario de recuperar contraseña de la web oficial de Instagram, e introduzco mi dirección de e-mail. Para mi sorpresa, la web me dice que ¡me han enviado un e-mail de cómo recuperar la contraseña!

Figura 2: Confirmación de que se ha enviado un correo para recupera la contraseña

¿Pero si no tengo cuenta, qué voy a recuperar?

¿Será un nuevo método de captación de usuarios? Verifico mi bandeja de entrada y, efectivamente, tengo un nuevo correo electrónico de Instagram, exactamente igual al anterior, aunque este último en  el idioma de Cervantes.

Figura 3: El correo que llegó con la nueva petición de recuperación de contraseña

Estando seguro de la legitimidad del correo, voy al enlace indicado para recuperar mi contraseña, y efectivamente funciona, introduzco una contraseña nueva, y accedo a mi cuenta. Curiosamente, la cuenta no tiene datos más allá del nombre de usuario y el e-mail.

¿Quiere decir esto que acabo de crear una cuenta?

Más bien no. La cuenta de Instagram guarda una sorpresa para mi… ¡Existen fotos en la cuenta! Y por lo que se ve, no parecen sacadas en la península ibérica…

Figura 4: La foto que estaba subida en la zona privada de la cuenta

Con lo visto hasta ahora puedo llegar a la conclusión de que alguien ha creado una cuenta de Instagram introduciendo mi dirección de e-mail.Entonces...

¿Instagram no valida el email a la hora de crear una cuenta? 

¿Yendo más allá, ni siquiera notifica de la creación de la cuenta? Es hora de comprobarlo, voy a crearme una cuenta de Instagram. Lo primero que me llama la atención es que desde la propia web es posible consultar la cuenta, modificarla, ver las fotos... pero no es posible crearla.  Para esto es necesario hacerlo a través de la aplicación para móviles.

Así que una vez más, manos a la obra. Instalo la aplicación en mi smartphone, pulso en crear nueva cuenta, introduzco los datos, entre ellos mi e-mail… y, efectivamente, la aplicación me dice que ese e-mail ya está siendo utilizado, así que utilizo el e-mail de reserva. Siguiente, siguiente… y cuenta creada. La cuenta queda creada y se hace sin ni siquiera enviar un e-mail de confirmación. Ni de información de email asociado a la cuenta de Instagram.

Visto esto, me surgen varias ideas, ¿se puede considerar suplantación de identidad el hecho de haber recuperado la cuenta que está asociada a mi email, aunque no haya sido yo quien la ha creado? ¿Puedo suplantar la identidad de otros utilizando su email, ya que no se valida? Personalmente creo que Instagram debería darle un repaso a su política de creación de cuentas.

Figura 5: La foto no estaba indexada en Google Images

Por cierto, hemos buscado en Internet a ver si era posible localizar a las personas de la foto, pero no fue posible ya que no tenían metadatos ni pudimos encontrar una copia de la misma en Google Images.

Ioseba Palop
Informática 64

Estafa del hacker para cambiar notas de la universidad

Como buen abuelo cebolletas que soy ya, he contado muchas veces la diferencia entre pasar por la universidad y que la universidad pase por uno. Sacarse un título universitario no se trata de aprobar créditos, sino de llevarse conocimientos  y ganas de tansformar el mundo que más tarde se traducen por sí solos en créditos aprobados. 

Al final lo que se espera de un ingeniero es que sea capaz de resolver problemas utilizando herramientas y habilidades desarrolladas durante su periodo en la universidad, como el ejemplo que os ponía del par de puntos más próximo. Por supuesto que no será fácil, y por supuesto que habrá que pensar cómo resolverlo, pero es que si no fuera así nos sustituirían por un script en bash muy, muy, muy pequeñito.

De todos los que quieren pasar por la universidad sin que la universidad pase por ella, los peores son los que compran títulos en universidades de esas ficticias, títulos falsos de universidades reales o los que quieren contratar hackers ciberdelincuentes para que les aprueben las notas, como ya os he contado en alguna ocasión. Son muchos los casos que tenemos en los medios de comunicación que retratan esta situación, como la academia en Málaga que los expedía por 200 € o los trabajadores del congreso de Perú.

Figura 1: Más de 500 investigados en la operación de falsificación de títulos

Sobre este tema, Alejandro Eguía, el alma y el corazón en Spamloco.net, ha hecho una curiosa investigación, siguiendo el juego a uno de esos ciber delincuentes que ofrecen sus servicios para cambiar notas en las universidades, algo que es delito en la mayoría de los países - si no en todos -. Todo comenzó con un mensaje de spam que decía lo siguiente.

Figura 2: El spam del ciber delincuente

Alejandro se hizo pasar por un interesado y le siguió el juego, recibiendo una petición de 200 USD a cambio de los servicios de cambio de calificaciones en la Universidad de Palermo. Por supuesto, el ciber delincuente iba hacer el trabajo y le iba a enviar desde los servidores de la Universidad de Palermos pruebas feacientes de que se había colado allí, por medio de un mensaje de correo electrónico que enviaría desde la universidad (WTF?).

Además, todo va a estar bien, porque va a borrar el "proxi, la IP, ID y las WED Cookies de la Base de datos para no dejar rastro". Toma ya. 

Figura 3: El mail desde alguien que firma como "Asociación de hackers"

Una vez enviado el mensaje, por supuesto, Alejandro pudo comprobar que era más falso que una moneda de madera o un billete de 505 €, ya que solo estaba haciendo un e-mail spoofing. Un caso más de Fraude Online de andar por casa.

Figura 4: El e-mail enviado desde "dentro del sistema" de la Universidad de Palermo

Al final es una estafa más, al estilo nigeriano, que te puedes encontrar aquí, en el ligoteo por Internet, o incluso en la contratación de asesinos - vete tú a saber -. Así que, lo mejor, es que pases por la universidad y que la universidad pase por ti, consiguiendo que te hagas un buen profesional, y déjate de historias rarunas. Sacrifícate como los demás, que veo a mucha gente con ganas de hacerse un buen profesional pasando por el FTSAI los viernes por la tarde/noche y por el Master de Seguridad de la UEM los viernes por noche y los sábados todo el día con tal de aprender.

Saludos Malignos!