jueves, 31 de julio de 2008

Pwnie Awards - nominados


Después de mencionar anteriormente los premios Pwnie Awards de las Blackhat, ¡pues no me voy a quedar sin postear también los que me llaman la atención!.

La categoría mass0wnage es la que tiene más candidatos interesantes, incluyendo las múltiples vulnerabilidades encontradas en Wordpress (que este año ha sido particularmente machacado), y el problemilla con los números aleatorios en Debian, entre otros (échale un vistazo). La de lamest vendor también tiene su aquél, con McAfee "Hacker Safe", que daba por seguros sitios con problemas, incluido el suyo propio, y algunos pensamientos de L.Torvalds. Entre los bugs que han hecho correr ríos de tinta (es un decir) está obviamente el problemilla con el DNS descubierto por Kaminsky, y a mi parecer es el seguro ganador.

Otra categoría que me ha llamado la atención es la del premio... ¡al fracaso épico!. ¿Por qué?. Porque entre los candidatos está Windows Vista, "por probar que la seguridad no vende". Hace unos días, tres de mis amigos [Eva, Sergio y Dani, ¡cómo os quiero! ;) ] se encargaron de que eso me quedara bien clarito... y de que me sintiera increíblemente frustado, precisamente con los mismos argumentos:
all customers care about is the annoyance of the UAC prompts, the confusing user interface and the insane hardware requirements
¿cómo dar en cinco minutos la educación en seguridad informática necesaria para que este aspecto sea valorado? Arrrg. Es una verdadera pena.

Y la respuesta a mi pregunta de la vez anterior: ¿cuál es la mejor canción? NO es el Javascrippy... ¡Aquí va un avance de lo que se presenta!


Slds!!

miércoles, 30 de julio de 2008

Evilgrade - actualizaciones falsas


A cuento del asunto del DNS que estamos viendo este verano, y por el cual se han escrito líneas y líneas en páginas web, correos electrónicos, etc (voy leyendo muchas), hay que decir algo de una nueva herramienta: ISR-evilgrade.

Es una herramienta que utiliza envenenamiento de la caché DNS (cuya última novedad es el ataque de Kaminsky, como ya sabéis), entre otras técnicas, con un objetivo: suplantar al servidor que proporciona las actualizaciones automáticas de un producto o sistema. De esta manera, se puede proporcionar la ilusión de que un sistema está completamente actualizado, y sin embargo seguir siendo vulnerable.

Está desarrollada en Perl, y su autor es Francisco Amato, de Infobyte.

También visto en (amplían información):
blog de metasploit
securityfocus
kriptópolis

lunes, 28 de julio de 2008

El DNS del verano


Más cosas han salido estos días sobre el problema del DNS. Metasploit ya ha lanzado un nuevo módulo para explotar la vulnerabilidad, y hay otros exploits conocidos circulando.

En casi todos los sitios web sobre seguridad informática que conozco nos han dado mil y una alertas para actualizar inmediatamente, o para ver si nuestro ISP ha actualizado ya o no (en cuyo caso recomiendan cambiar el servidor de nombres que use cada usuario a OpenDNS). Hubo discusiones sobre qué sería, y las inevitables filtraciones + las inevitables críticas...

Vaya, Dan, la que has montado...

Referencias (a bote pronto):
Sans Diary
heise-online
sahw
elladodelmal
kriptopolis

+ test para ver si nuestro DNS está actualizado:
Panda
dns-oarc

Redes para pobres


Si uno necesita preparar una red de pruebas, y no hay una red física que sirva de maqueta (algo en lo que sólo una empresa con mucho dinero gastaría), tenemos que invocar a San VMware para que nos salve la vida.

En RaDaJo nos presentan una red de pruebas basada en máquinas virtuales WMware, que han llamado NETinVM. Todas las máquinas de la red utilizan User-Mode-Linux. Ideal para crearnos entornos de simulación, probar herramientas, o crear una demo de una aplicación cliente-servidor.

Tiene buena pinta, así que un poquito de publicidad no le vendrá mal :)

martes, 22 de julio de 2008

Abusos sobre HTML5 client-side storage


Las nuevas soluciones de almacenamiento en el navegador de web, que aparecerán en HTML 5, son un caldo de cultivo muy bueno para ataques en el lado del cliente. Lo cuenta Alberto Trivero, en un artículo que ha enviado a varias listas de distribución de correo sobre seguridad. Se puede descargar en su sitio.

Me ha venido genial, porque ahora no empleo tanto tiempo como antes en aprender novedades de programación y hacking [ :( ] por cuestiones de trabajo. Muy ilustrativo, cuenta las novedades en HTML 5 (en fase de draft) respecto a cómo almacenar datos en el lado de cliente, que ahora tendrá tres tipos de almacenamiento diferentes:
  • session storage: para guardar los datos propios de la sesión del usuario en la aplicación
  • local storage: para guardar datos persistentes, es decir, que no se borren al cerrar la aplicación o el navegador
  • database storage: ahora se tendrá la posibilidad de guardar datos en una bbdd relacional propia del navegador
Alberto explica la manera (código demo incluido) en que estas novedades amplian enormemente las posibilidades de un XSS, o que algunos problemas (SQL Injection) que antes afectaban al lado servidor de una aplicación de web, ahora afectarán también al lado cliente. Además, las enormes espectativas que estas novedades en HTML5 han despertado entre los desarrolladores web (lógicas, por otra parte), hace pensar que serán ampliamente utilizadas, sean seguras o no.

Lectura interesantísima :)

lunes, 21 de julio de 2008

Movidas de licencias


Con la que (me parece a mí) está cayendo desde hace tiempo acerca de derechos de autor, que si tienes permiso para usar mis obras, que si no lo tienes, que por qué salen fotos mías en internet qué cara más dura tienes... pues es obligado para todos un cierto conocimiento acerca de tipos de licencia sobre las creaciones de uno. Por ejemplo, los contenidos que uno publica en su blog. Para poder oír las campanas, aunque no sepamos dónde suenan.

Lo más normal, cuando uno se hace su pequeño espacio en Internet y empieza a ser consciente de estas cosas, ya sabeis, que hay que indicar quién es el autor de un determinado post que enlazas, si es una imagen también, qué pasa con lo que posteas tú... pues suele ser utilizar las licencias Creative Commons.

CC es un estándar de facto para los blogueros novatos (entre los que me incluyo), y entre mucha más gente, por ejemplo, del gremio de la música. Ayer, sin ir más lejos, salía esta noticia sobre unos DJ que han perdido un juicio por derechos de autor. Alegaron que ponían música con licencia CC, pero se estimó que no toda la música puesta estaba bajo esa licencia. Esta vez se ha tenido en consideración a CC, pero hay casos en los que se ha considerado que esto del Creative Commons es una barbaridad, "papel mojado" (lo contaban aquí).

Hace tiempo que quería poner tres líneas sobre otro tipo de licencia, porque fue creada aquí en España, y cuando la vi me llamó la atención: son las licencias ColorIURIS (también en Wikipedia). Si lo buscas en Google saldrán cincuenta mil cosas sobre ella ya, pues lleva funcionando desde 2005. Sin embargo, hay mucha gente que no las conoce, y divulgarlo me parece interesante (y oportuno). Legalmente, tiene pinta de estar pero que muy bien (para un profano como yo). Es mejor que leas los detalles directamente en su sitio web, pero, para resumir, hay que indicar algunos detalles fundamentales:
  • no son una licencia unilateral, como CC, sino un acuerdo entre dos partes. Es decir: si el usuario quiere utilizar algo de contenido protegido por esta licencia, tiene que aceptar primero el contrato de cesión de derechos. Esta aceptación queda adecuadamente registrada.
  • no se basan en el modelo anglosajón, como CC, sino que siguen el llamado modelo continental (de acuerdo a la página web).
  • emplean distintas herramientas informáticas, entre ellas, un sello que indica a partir de cuándo una creación está bajo esa licencia.
Cuando decidí comenzar este blog me planteé poner yo esta licencia, en vez de Creative Commons. No lo hice por el siguiente motivo: el texto legal es tan bueno que acojona. Así que me pareció mejor usar algo que la comunidad internauta ya conociera. Tampoco quería que alguien que quiera enlazar mi blog tuviera que andar con rollos. Pero quién sabe, puede que algún día me pase, si lo veo más arraigado que ahora.

A lo mejor ya habías oído hablar de esto (seguro que mejor que aquí)... si no ha sido así, espero que esto te sirva ;)

Slds!

jueves, 17 de julio de 2008

Lo que entra en Internet no sale


O sí… según un juzgado argentino. Lo contaban en seguinfo, y postean después un debate (no se quienes son los que intervienen, pero algunas ideas son interesantes).

La cosa es que el nombre de dos modelos fue asociado a movidas un tanto oscuras, por decirlo de alguna manera. Obviamente sus nombres fueron utilizados sin consentimiento de ningún tipo. Denunciaron a Yahoo y Google para que no apareciera lo relacionado con ello en las búsquedas, y han ganado el juicio. Creo que no es la primera demanda de este estilo que los buscadores más famosos pierden, es más, juraría que en España se han dado casos similares... tendré que buscar un poco más.

No os lo perdáis, es interesante. Quien sabe, si este tipo de demandas proliferan, podría darse un cambio legal importante...

martes, 15 de julio de 2008

El futuro de la mula y similares


Estos días han salido bastantes cosillas sobre el uso y la regulación del P2P aquí en España. Primero, que iban a promulgar nuevas leyes para combatirlo, implicando a las operadoras en la lucha. Luego, que no sólo no iban a hacer nada, sino que se va a obligar a las operadoras a dar realmente el ancho de banda que prometen (mínimo de un 80% de lo prometido) lo que viene de perlas para el P2P.

En otros sitios ya hay medidas aplicadas, parece ser: en Francia está el modelo de los tres avisos, y en Reino Unido, se lo guisan y se lo comen las propias operadoras, sin que nadie les diga que tienen que hacerlo. Los suecos también hacen sus pinitos, aunque sólo para husmear en lo que la gente se descarga, y por eso ya hay iniciativas para dar soluciones criptográficas al P2P.

Veremos en qué queda...

jueves, 10 de julio de 2008

OSBR


El post de hoy es para recomendar un sitio web, sobre software open source y cómo este se desarrolla y comercializa, o mejor dicho, casos de empresas que basan su modelo de negocio en el software libre. El portal es OSBR.

Publican mensualmente una revista gratuita sobre los temas de la web. El número de junio está dedicado a seguridad informática, y habla de OSVDB, sobre análisis de código fuente para buscar problemas de implementación(buffer overflow, etc), securización de sistemas... entre otras cosas.

Slds!

miércoles, 9 de julio de 2008

¿Vivo en una burbuja?


"Debo vivir en una burbuja", pensaba esta mañana: me he enterado por casualidad de la noticia del día. ¡Por los periódicos!. Dedico mucho tiempo todos los días a leer noticias de seguridad, blogs y foros varios, pero de esto nada había leído. Me refiero al nuevo problema de seguridad en el servicio DNS, por deficiencia en el propio protocolo, descubierto por Dan Kaminsky.

Los compañeros del curro lo comentaban hoy, preguntándose si sería por eso que ayer la conexión a Internet iba francamente mal... yo mismo, no pudiéndome creer lo que me decían, me decía a mí mismo si no sería alguno de los problemas ya reportados por el descubridor de este último, mientras me ponía a leer... no podía salir de mi asombro. Después de leer la novedad, pensé que, un informático dedicado a su humilde curro (no veais lo pequeño que me he sentido), no lo supiera no es algo ni mucho menos sorprendente, pero... ¡nadie lo sabía!.

Ahora estoy aún más alucinado porque no se haya filtrado prácticamente nada de información sobre esto. Porque haya sido posible que todos los desarrolladores de servidores DNS se hayan puesto de acuerdo para emitir, a la vez, una actualización que mitigue el problema. El esfuerzo para lograr estas dos cosas ha tenido que ser muy grande. También porque los periódicos no-dedicados-a-seguridad se hayan enterado al instante, y hayan informado sobre ello (cosa que no siempre ocurre). ¿Qué ocurriría si estos tres hechos se dieran más a menudo?.

Como dije cuando empecé este blog, hay gente mucho mejor que yo que escribirá toda la información posible sobre esto conforme vaya saliendo. Aquí sólo verás mis pocos pensamientos sobre lo que leo. Para los detalles técnicos hay que esperar un mes, a las Blackhat.

Slds!

Más información:
Una al día
CERT
sitio de D.Kaminsky sobre su descubrimiento
Securosis
Otros sitios no-de-seguridad que he leído:
RTVE
BBC

martes, 8 de julio de 2008

Panda betatester


Panda (cuyo blog suelo mencionar) lanzó la semana pasada una promoción para dar a conocer su nuevo Panda Internet Security 2009 (versión Beta), para lo cual, entre otras cosas, se han puesto en contacto con muchísimos de los que escribimos algo sobre seguridad (y otros, supongo), pidiéndonos que demos publicidad a la promoción, y de paso, que nos unamos a su comunidad de betatesters.

Prometen 150 Nintendo DS, a aquellos que encuentren incidencias de seguridad, de las cuáles, a día de hoy, han entregado 18.

Yo me animaré a descargarlo y probarlo, me den o no una Nintendo DS (que cambiaría gustoso por una pata de jamón, la verdad, aunque la agradeceré si toca).

¡Anímate!

lunes, 7 de julio de 2008

IE Blog


A veces uno desconoce las cosas más básicas sobre el software que usa todos los días, o las que usa la gente a su alrededor, o las que usarán... por ejemplo, las próximas versiones de Internet Explorer.

El caso es que hoy en una de mis lecturas blogueras, pues me he encontrado con una referencia: IEblog. Mira que era fácil de encontrar: el sitio de los blogs de Microsoft + "ie"... y encima lleva 4 años en funcionamiento. He estado cacharreando por sus contenidos, y me he encontrado con muchísimas cosas sobre Internet Explorer 8, con muchos detalles acerca de las medidas de seguridad que está implementando. Seguramente pruebe la beta 1 ;) , y ya contaré qué tal.

¡Dadle un veo!

sábado, 5 de julio de 2008

Frases célebres


A veces siento que la gente tiene el imaginario que “hackear hotmail” es como hacer una fatality en el Mortal Kombat, y esperan un diálogo por el estilo…

- ¿Me podrías decir cómo hackear hotmail?
- Sí, es así: Entrá a la web de hotmail, escribí la dirección de correo que queres hackear, en password escribí “soyunsuperhacker” y después apretá la siguiente combinación de teclas “Alt + Supr + q + i + 3″. Posteriormente mantené presionado durante 7,5 segundos la tecla F9 y listo, ya estás adentro.


MundoBinario nos suele hacer reír con frases humorísticas que ha leído por ahí... ¡alguna vez tenía que tocar una suya!.

Slds amigo.

viernes, 4 de julio de 2008

LiveCD para recuperación y reparación de sistemas Windows


Se llama Trinity Rescue Kit o TRK. Es una distribución Linux pensada para labores de recuperación y reparación en máquinas con Windows. (También vale para sistemas Linux, según se indica en la página web, pero el autor no tenía eso en mente).

Básicamente, es una recopilación de utilidades que podríamos conseguir por otras vías, que puestas todas juntas resultan en un CD que viene muy a mano.

Entre las cositas que facilita, están:
  • borrar la contraseña de un usuario de Windows
  • emplear distintos antivirus para hacer una limpieza del disco (Bitdefender, ClamAV, F-Prot, AVG y Verixa), utilizando un único comando para ejecutar cualquiera de ellos y/o actualizar sus ficheros de firmas
  • escribir en particiones NTFS (y clonarlas si se desea)
  • recuperación de ficheros eliminados
  • recuperación de particiones dañadas
  • detección de rootkits (hay dos utilidades para esto en la distro)
  • etc
Tiene buena pinta ;)

Visto en: Gurú de la informática, y en DragonJAR.

Actualización 28/07/2008: leo hoy en Sahw que F-Secure lanzó un liveCD para hacer limpieza del disco, también basado en Linux, usando sus productos. Otra opción más :)

Autenticación hardware para juegos


Lo último de Blizzard, para proteger a sus usuarios frente a jetas que suplanten su identidad para jugar online, es proporcionarles un token de autenticación. De momento, sólo para World of Warcraft. En la tienda online, cuesta 6'50$.


Como medida, me parece buenísima, la verdad. Y quien la tenga podrá quedar como un absoluto friki llevándolo en el llavero, cosa que gustará a muchos ;) . En cualquier caso, es sorprendente que este tipo de medidas de seguridad hayan llegado a los juegos de ordenador.

Lo cuentan en Panda: World of Authentication.

jueves, 3 de julio de 2008

Cracktivismo


Sólo poner un enlace a este artículo de Mercè Molist sobre los ciberataques por motivos políticos.

Relacionado con la Eurocámara sienta las bases para regular los blogs (a mi modo de ver), comenta incidentes de seguridad informática hechos por motivos políticos, por ejemplo sobre Estonia, país del que parte la propuesta de regulación de los blogs.

Me entero vía txipinet.

Actualización: artículo relacionado.