Un informático en el lado del mal

El ataque chop-chop a TKIP

noreply@blogger.com (Maligno) — Tue, 14 Jul 2009 08:03:00 +0000

A finales del año pasado saltó a la palestra un ataque realizado en una de esas famosas conferencias dónde los investigadores sorprenden al mundo con sus últimos descubrimientos. El trabajo presentado se llamaba “Gone in 900 Seconds, Some Crypto Issues with WPA” en el que se crackeaba un paquete TKIP en menos de 15 minutos. La idea del trabajo consiste en realizar un intento de inyectar paquetes sin conocer la clave y esperar a obtener la respuesta del punto de acceso para descifrar el resultado.

El objetivo del ataque era conseguir descifrar la respuesta de una petición ARP mediante un ataque chop-chop y así conocer la clave con que se ha cifrado ese paquete y reutilizarla para poder inyectar nuevos paquetes en la red.

Aunque es un avance en la inseguridad de redes Wifi el ataque sigue siendo cuando menos difícil de efectuar y difícil de sacar partido. El sistema TKIP utiliza el protocolo RC4 al igual que el sistema WEP pero con dos variaciones. La primera es que las claves de cifrado son derivadas de los valores snoce y anonce, luego son distintas a las claves de autenticación. La segunda es que el cifrado de un paquete no se realiza sólo con una clave más el vector de inicialización sino que se utiliza un vector de inicialización extendido, es decir el IV más un valor conocido como TSC [TKIP Sequence Counter]. Este valor de 48 bits varía al mismo tiempo que varía el IV haciendo que no se reutilice un IV+TSC en un canal en años.

Si se consigue conocer la clave con que se ha cifrado un paquete, ésta no podría ser reutilizada a no ser que se incremente el TSC. Si el TSC se incrementa, entonces la clave de cifrado del paquete queda invalidada. Para poder reutilizar la clave de un paquete éste ataque hace uso de las extensiones de calidad de servicio de los canales multimedia. Es necesario por tanto que el punto de acceso soporte las funcionalidades del IEEE 802.11e QoS (Calidad de Servicio) llamadas WMM (Wifi Multimedia) o WME (Wireless Multimedia Extensions) y que son parte de la certificación de la Wifi-Alliance para el estándar IEEE 802.11e. Estas extensiones dividen el ancho de banda en ocho canales con distinta prioridad en cada uno de ellos.

Imagen: WMM en routers Wifi
En el entorno del ataque si se descubre la clave con que se ha cifrado un paquete para un canal concreto, con un IV y un TSC concreto se podrá reutilizar esta clave para enviar un paquete por otro canal distinto. Luego con esta prueba de concepto se podrían llegar a inyectar hasta 7 paquetes válidos.

Para la realización de este ataque, los investigadores realizaron un ataque de fuerza bruta a la clave de cifrado de un paquete para una petición de respuesta ARP por un canal concreto. Lógicamente ese paquete lleva un IV y un TSC conocidos. Cuando la clave funciona el punto de acceso contesta con la respuesta a la petición ARP. A partir de ese momento, con ese IV, ese TSC, por otro canal y durante el tiempo que las claves TKIP no se renegocien se pueden inyectar 7 paquetes a la red suponiendo que el TSC de los otros canales sea superior a los utilizados allí. Lógicamente este ataque abre muchas posibilidades de futuro y es probable que TKIP vuelva a ser golpeado, pero no es ni mucho menos definitivo todavía.

Saludos Malignos!

La útima cena

noreply@blogger.com (Maligno) — Mon, 13 Jul 2009 05:26:00 +0000

Mañana es el último evento de la Mini-Gira "Summer of Security". Será en Barcelona y será momento hoy de cenar y/o tomar unas copas como despedida del verano, que ya va siendo hora de descansar un poco.

Para tomar algo, y no tener que llamar a nadie por teléfono, el que esté está y el que no asumimos que se ha puesto malito, así que vamos a quedar para tomar algo en el Mercado de Sant Antoni, en la esquina entre las calles de Manso y Sant Pau a las 20:30.

Será obligatorio presentar el papel de registro del evento del día siguiente y el que venga sin él deberá pagar una ronda y no tendrá derecho a tirarse fotos con el Maligno. Esta será la regla, sólo modificable por el corolario de discriminación positiva: "...salvo que seas mujer y seas fan del Maligno". En ese caso tendrás derecho a la foto. También hay excepción si traes la camiseta de R7 puesta.

A los que no podáis venir a este evento no pasa nada, podéis acercaros a verme en Las Vegas en Agosto o a Buenos Aires en Septiembre ... o luego ya si eso...

Saludos Malignos!

Curso de Verano en Salamanca: Día 1

noreply@blogger.com (Maligno) — Sun, 12 Jul 2009 06:42:00 +0000

Tras la salida nocturna de la noche 0 empezaron los festejos tecnológicos del curso de verano. Fue para mi una sopresa ver que había venido gente de toda España. Personas que llegaron de Barcelona, Vigo, Bilbao, Vitoria, Pamplona, Sevilla, Aliante, Gran Canaria, Zaragoza, Valladolid, Madrid, etc... reunidas tres días para disfrutar de la pasión de la seguridad informática. Reconozco que estaba emocionado por la idea.

La Presentación de Apertura

No queríamos robar mucho tiempo al primer ponente así que Fran, o lo que es lo mismo, nuestro querido Vice-Rector de Innovación Tecnológica de la Universidad de Salamanca nos dio la bienvenida a la Universidad. Yo le robé unos minutos de tiempo para contarle a los asistentes que es lo que se iban a encontrar durante estos tres días.

¿Hacíamos o no un buen contraste?

Sesión 1: Alejandro Ramos - C[R]APTCHAS

Empezó Alejandro Ramos, de SecurityByDefault, con una amena e interesante sesión sobre el funcionamiento y las debilidades de los Captchas.

Alejandro Ramos

Crapcha Sv1.0 Slide Share

View more documents from Alejandro Ramos.

Sesión 2: Antonio Guzmán - Métricas de Seguridad

La segunda fue dura, de esas de Gestión de la Seguridad en la empresa. Antonio la dedicó a explicar como se construye una métria de seguridad sobre un sistema.

Antonio Guzmán

Sistemas De Evaluacion De Seguridad

View more presentations from chemai64.

Sesión 3: Alfonso Tapia - Evolución del Malware

Tercera sesión y tercer cambio de tercio, en este caso para entrar en el tema del malware. Alfonso Tapia, de Bitdefender, dio una charla sobre como ha ido evolucionando el malware en los últimos tiempos y como ha sido la situación el año pasado. En un par de demos me pidió que le echara un cable.

Alfonso Tapia

Evolución del Malware

View more presentations from chemai64.

Sesión 4: Fernando Guillot - Es tiempo para IPv6

Tras la comida, Fernando Guillot, IT Pro Evangelist del programa Microsoft Technet dio una completa charla técnica sobre IPv6 consiguiendo hacerla amena.

Fernando Guillot

Ha Llegado El Momento De I Pv6

View more presentations from chemai64.

Sesión 5: Pedro Sánchez - Autopsia de una intrusión

La quinta y última de la jornada fue de Pedro Sánchez, director de seguridad de ATCA. Tras un viaje de película, el autor del blog de Conexión Inversa, llegó para dar una amena charla sobre como funcionan las intrusiones y sobre las técnicas de Análisis Forenses.

Pedro Sánchez

Autopsia de Una Intrusión

View more presentations from chemai64.

Reto Hacking: Día 1
La gente de D-Link, es decir, los D-linkuentes, nos habían patrocinado el reto con dos discos multimedia que se pusieron en juego con dos retos, uno la noche del miercoles, otro la noche del jueves. La gente estuvo jugando desde las 18:45 hasta las 21:00 más o menos.

El grupo que al final ganó
Post-día

Al final de la jornada aún quedó tiempo para ir a ver la noche salmantina y, un grupo de los allí presentes, tomamos las riendas....

The Warriors...[EOF Day 1]
Saludos Malignos!

Descuidos

noreply@blogger.com (Maligno) — Sat, 11 Jul 2009 05:59:00 +0000

**********************************************************************************************
Artículo publicado en Red Segurid@d
**********************************************************************************************

En esto de la informática, Internet y los problemas de seguridad hay anécdotas para todos los gustos. Yo, como ser morboso y de baja estofa, disfruto comentando la jugada con los amigotes que cuentan, con pelos y señales, todos los pormenores de una buena metida de pata.

Sonría, por favor

Hace poco ha sido famosa la metida de pata del jefe de la lucha antiterrorista británico por dejarse tirar una foto a la salida del coche cuando iba a ver al señor primer ministro británico. Bueno, por dejarse fotografiar junto con un documento en el que se describían con pelos y señales los datos de una operación que iba a tener lugar en poco tiempo. No hace falta recordar que el número de supermegapixeles que tienen hoy en día las cámaras fotográficas profesionales hace que esas fotos sean de la misma calidad que si hubieran pasado un escáner profesional. El descuidillo obligó a adelantar la misión en el tiempo por el riesgo de que algún periodista, ávido de pagerank en su blog, decidiera publicarlo. Esto pasa por ir repasando los asuntos de última hora en el metro... digo en el Rols Royce camino de ver al jefazo. Al final la vergüenza hizo que dimitiera el bueno de Bob Quick.

Los documentos fotografiados a la salida en la mano de Bob Quick
La seriedad de esta metedura de pata recorta las ansias de disfrutar a mandíbula batiente de tamaño error, pero hay otros ejemplos más mundanos que obligan a sonreírse.

Rosa Díez ubicua

La moderna Rosa Díez, nuestra quería amiga que hizo un fork de proyecto PSOE para montar su nuevo UPyD, fue cogida en otro renuncio por Internet, de menor impacto en seguridad, pero mucho más risueño. Rosa mantenía, o eso decía ella, su cuenta de Twitter, al más puro estilo de Aston Kutcher, con sus followers y sus cosas. La gente se maravillaba de cómo una política tan moderna y ocupada aún sacaba tiempo para mantener su cuenta de twitter con acertados mensajes entre mundanos y reflexivos. Lo hará desde el taxi con su “blackberry”, o directamente desde alguna extensión de firefox, o simplemente es que está al día en lo que se cuece en Internet, pensaban algunos.

El chasco fue que un día, mientras opinaba acertadamente sobre algo en uno de esos programas de desayunos en la tele, donde hablan y hablan y nunca desayunan, su twitter se actualizó. La vergüenza que produjo que se descubriera que, o era Dios y disfrutaba de la omnipresencia o su cuenta de twitter no era más que un engaño gestionado por una agencia de comunicación, hizo que se cerrara de golpe la cuenta del twitter … y nunca más se supo.

El último mensaje del twitter de Rosa Díez
Y es que estar en “la onda” requiere tiempo y no siempre se disfruta de todo el que quisiéramos para nuestras cosas.

¿Seguro que estás seguro?

Esto de caer en meteduras de pata se nos da muy bien a todos, pero es cierto que cuando más alto estás más ruidosa es la caída. Esto es cierto como que el sol es amarillo (al menos en los dibujos de los niños que pintan el sol de amarillo).
Uno de los más buscados a la hora de hackear webs ha sido, sin lugar a dudas, Kevin Mitnick. Como en toda lucha generacional, las nuevas hornadas de hackers han querido golpear a la vieja escuela donde más duele: en el ego. Así, no era de extrañar que el hacker más ingenioso a la hora de colarse en los sistemas fuera a ser atacado. Lo que sí fue gracioso es que le hackearan la web de la empresa que tiene de securizar empresas para ponerle mensajes muy, muy, muy feos… Si es que estos hackers…

Kevinmitnick.com hackeada
No, no, no y mil veces no

Para acabar de poner ejemplos, he de volver al famoso documento del gobierno británico referente a las armas de destrucción masivas en Irak. Aquel documento que Tony Blair dijo que nadie, nunca jamás, de ninguna manera había sido editado en su gabinete y que, después de analizar los metadatos cuando éste fue publicado, oh sorpresa, había sido editado seis veces por cuatro usuarios de su equipo. Sí, como os imagináis alguien tuvo que firmar una de esas cartas de dimisión.

Metadatos en el documento Blair.doc
Como demuestran todas estas meteduras de pata, el ruido mediático que generan es suficiente para hacer daño al afectado. Descuidos al salir de un coche, descuidos a la hora de mirar la hora, descuidos a la hora de securizar la web cuando lo que vendes es precisamente securizar webs, descuidos de espías que dejan huellas … Tiene su gracia, ¿no?

Saludos Malignos!

**********************************************************************************************
Artículo publicado en Red Segurid@d
**********************************************************************************************

El sistema operativo en el navegador

noreply@blogger.com (Maligno) — Fri, 10 Jul 2009 08:05:00 +0000

Debe ser que yo uso intensivamente mi equipo en local y que por eso soy diferente a los demás… pero no se vivir sin un servidor en mi mochila. Sí, un servidor, porque busco llevar el ordenador cuanto más potente mejor y no me gustan los ordenadores chiquititos, los lowcosts, los EPC o como sea mejor llamarlos. Ya lo dije hace mucho tiempo cuando os hablé del “marrano gordo”.

He tenido, o tengo dejados a amigos, dos ordenadores de esos de dibujos animados que son tan bonitos y tan chulos y que se que a todos gustan tanto, pero no he sido capaz de enamorarme de ellos y los tengo en el exilio.

Prefiero mis portátiles con 4Gb (con 8Gb el nuevo que voy a tener para Windows 7/2k8R2), con disco duro enorme y ultrarápido (no importa que pese más que uno de esos sólidos), con pantalla panorámica grande, con su webcam, micrófono, lector de huella, bluetooth, Wifi, soporte para Hyper-V, cargadores de dispositivos USB con equipo desconectado, batería de duración extra, lectores de tarjetas de memoria de todos los tipos, lector de DVD, etc, etc… Quiero un servidor. Yo como Fernando Alonso, quiero el coche más rápido.

Sí, sé que hay cosas para las que basta con un navegador, pero hay otras que no. Yo trabajo en sitios desconectado, como en trenes, aviones, el coche, etc… así que cualquier solución basada sólo en navegadores… me va mal. Además, el uso que le doy yo al sistema es brutal en cuanto al número de periféricos que le enchufo (hasta la Wacom cuando voy en el tren últimamente para dibujar), en cuanto al número de formatos de documento que uso y las herramientas que necesito, las máquinas virtuales, los laboratorios que llevo montados para probar con los discos USB externos, etc… . Necesito potencia, flexibilidad y conectividad allá donde voy.

Sí, hay momentos en los que sólo necesito leer el correo, consultar la agenda o utilizar el navegador, pero para eso ya llevo un SmartPhone que además uso para hablar por teléfono, todo lo demás que necesito es …potencia. No, no es una crítica, entiendo que hay cosas que vale con un ordenador de esos chiquitos, y que a otros les baste sólo con el Google Docs y el chrome… pero a mí ni de coña.

Si pienso ya en otros entornos, como que tengo que administrar los equipos informáticos de mis usuarios tengo una pesadilla recurrente. En ella soy el responsable IT de una gran organización y todos mis usuarios han decidido utilizar equipos EPC con Chrome OS, móviles ay!fon y equipos de sobremesa con Mac OS… Y yo tengo que gestionar todo eso…. Nooooooooooooo!!

Utilidades online, sí, por favor, ponedme muchas, que cuantas más tenga mejor. Ordenador pequeño, poco potente, con poco hardware, o tonto… no, gracias, ya tuve terminales tontas tiempo ha y prefiero un servidor en mi chepa que no me dedico a twittear con un ay!fon en mi vida laboral.

Saludos Malignos!

Enhorabuena, eres un enfermo

noreply@blogger.com (Maligno) — Thu, 09 Jul 2009 15:47:00 +0000

Si estás suscrito a este blog por RSS... por algo será. Enhorabuena, eres un@ enferm@ y te ha tocado un video freak sin ni siquiera enviar un SMS con la palabra ENFERMO al 666999666.

Saludos Malignos!

Arithmetic Blind SQL Injection (II de II)

noreply@blogger.com (Maligno) — Thu, 09 Jul 2009 07:18:00 +0000

***************************************************************************************************
- Arithmetic Blind SQL Injection (I de II)
- Arithmetic Blind SQL Injection (II de II)
***************************************************************************************************

3.- Solución 2: Desbordamiento de tipo de datos

Otra de las formas de construir una lógica binaria en este entorno es utilizar los errores de desbordamiento de tipo como inyección de cambio de comportamiento positivo. El objetivo es sumar un valor al parámetro que desborde el tipo de dato del parámetro si la condición es cierta, para ello, se pueden probar las inyecciones de cambio de comportamiento positivo simplemente sumando un valor que desborde el tipo de datos.

En este entorno

id=1-(99999999999999999*9999999999999999999)

desbordará el tipo de datos del parámetro id y se obtendrá un mensaje de error.

Imagen 7: El parámetro id desbordado genera un error
A partir de este entorno se podría construir toda la lógica y extraer la información de igual forma que con el ejemplo de la división por cero. Así, para obtener el valor ASCII de la primer letra del nombre del primer usuario en la tabla sysusers se puede construir una consulta como:

id=1-((contador/(select top 1 ASCII(substring(name,1,1)) from sysusers order by name asc))*(99999999999999999*9999999999999999999))

El valor de valor de “contador” irá creciendo desde 1 hasta que se iguale con el valor ASCII del valor que se está buscando. Mientras contador sea menor, la división generará un valor 0 que anulará las constantes que desbordan el tipo del parámetro vulnerable.

Como se puede apreciar, la constante que desborda el tipo de datos se ha puesto como una multiplicación de dos valores, pues si se hubiera puesto como un único valor dependiendo del motor de base de datos hubiera podido dar un error en tiempo de evaluación de la consulta y no en tiempo de ejecución como es el objetivo de esta prueba.

Imagen 8: El parámetro no es desbordado porque la división vale 0
Sin embargo, en el momento en que el valor de contador se iguala con el valor ASCII que se está buscando, se obtiene un mensaje de error que indica que la condición es cierta.

Imagen 9: El tipo de datos se desborda cuando la condición es cierta
Como se puede apreciar, el desbordamiento de tipos de datos es igual de válido para la explotación a ciegas en estos entornos. A partir de la determinación de este comportamiento es fácil construir la lógica booleana necesaria para automatizar la extracción de de datos y, como se puede ver, cumple perfectamente los requisitos sintácticos definidos en el apartado 1.

4.- Solución 3: Sumas y restas

Una tercera forma de explotar las vulnerabilidades de inyección de código SQL en funciones matemáticas consiste en utilizar la aplicación como si fuese una máquina de Turing. El objetivo es marcar la posición actual como el valor cierto. Después se suma el valor buscado al parámetro vulnerable y se resta el valor de un contador. La condición será cierta cuando se obtenga la notica original.

En este entorno se podría obtener, al igual que en los ejemplos anteriores, el valor de ASCII de la primera letra del primer usuario de la tabla sysusers con la siguiente inyección:

Id=1-(-(select top 1 ascii(substring(name,1,1)) from sysusers order by name asc))-contador

En este caso, mientras que contador no se iguale con el valor buscado se estarán pasando otros valores distintos al parámetro id e irán apareciendo distintos resultados.

Imagen 10: Resultados obtenido equivalente a id=2

Imagen 11: Respuesta original obtenida vía sumas y restas
Sólo cuando se iguale el valor de contador con el valor buscado se obtendrá la respuesta original. De esta sencilla forma será posible establecer respuestas distintas a condiciones ciertas y condiciones falsas para extraer toda la información de la base de datos.

5.- Conclusiones

Como se ha podido ver con estas técnicas, es posible, mediante operaciones matemáticas, extraer la información de una base de datos en un entorno vulnerable a Blind SQL Injection dentro de funciones matemáticas. No ha sido necesario utilizar los operadores lógicos AND u OR para construir la lógica booleana y de igual forma se puede extraer toda la información almacenada en la base de datos.

El estudio continuado de las técnicas de SQL Injection está demostrando que el nivel de riesgo de las mismas está en alza. Es por tanto priorizar los esfuerzos en la detección, mitigación y erradicación de este tipo de vulnerabilidades mediante técnicas de auditoría, filtrado y aplicación de metodologías de desarrollo intensivas en la seguridad del código generado.

***************************************************************************************************
- Arithmetic Blind SQL Injection (I de II)
- Arithmetic Blind SQL Injection (II de II)
***************************************************************************************************

Salamanca night0: La noche nos confunde

noreply@blogger.com (Maligno) — Wed, 08 Jul 2009 14:12:00 +0000

Antes

Después

Blind XPath Injector (BXPI)

noreply@blogger.com (Maligno) — Wed, 08 Jul 2009 08:11:00 +0000

A parte de dedicarme a dar charlitas en plan "Security Porn Star" por cualquier escenario que me dejan, practico la docencia en Masters de Seguridad. En estos masters me suelo enredar en la dirección de algún proyecto de finalización para hacer alguna cosa que me esté rondando el melón. Ya sabéis, esclavos, mano de obra de low cost, y esas cosas que se hacen con los alumnos.

En este caso es el Master de Seguridad de la Información de la Universidad Europea de Madrid el que está terminando y ahí he tenido la suerte de dirigir a David, que ha resultado ser una de esas personas que se toman su trabajo en serio. David trabaja en seguridad de lunes a viernes y, como el resto de sus compañeros del curso, dedica los viernes por la tarde y el sábado hasta las 16:30 de la tarde a estudiar el postgrado. Aún así, sacan tiempo por las tardes de entre semana para hacer los trabajos y el proyecto fin de master.

Yo propuse hacer una POC para implementar el mecanismo de Blind XPath Injection descrito por Amit Klein en el año 2004. David se ha estado pegando con las consultas XPath y ha terminado ya la primera versión de la herramienta que ha puesto a disposición de todo el mundo como un proyecto en Codeplex. Puedes descargarte Blind XPath Injector y también el código fuente por si quieres leértelo para garantizar que no hay ningún troyano, aprender cómo está desarrollado e incluso mejorarlo.

Blind XPath Injector
Si quieres, además, puedes venir a ver la presentación oficial de la herramienta en la presentación de proyectos que tendrá lugar este sábado día 11 de Julio, por la mañana en Villaviciosa y en la que se presentarán más proyectos.

Saludos Malignos!

La aventura salmantina: día 0

noreply@blogger.com (Maligno) — Tue, 07 Jul 2009 07:32:00 +0000

Hoy llegamos la primera hornada de ponentes y amigos a Salamanca, y supongo que muchos de los asistentes al Curso de Verano. El número de apuntados este año está siendo muy alto, ya que de momento hay 45 registrados confirmados aunque hoy seguramente crezca aún más, y esto hará que el ambiente sea divertido.

En este tipo de ocasiones, cuando se junta tanta gente durante tres días, con una afición común como es la Seguridad Informática, siempre acaban surgiendo mil veinticuatro conversaciones y de ellas mil veinticuatro ideas.

Aprovechando que estamos allí juntos varios amigos, hemos convocado varias reuniones paralelas para debatir sobre nuevas vías de investigación entre aquellos interesados que estamos, están o empiezan este año con el maratón del doctorado, pero sobre todo, sobre todo, tendremos reuniones para comentar ideas, proyectos conjuntos, anécdotas y tomar cervecitas en el momento del Reto Hacking.

Esta noche nos juntaremos ya allí cinco buenos pájaros (más el que quiera apuntarse) como son Mikel Gastesi de S21Sec, Miguel Gesteiro que se encargará del Reto Hacking, Alejandro Ramos “dab” de SecurityByDefault y Antonio Guzmán de la Universidad Rey Juan Carlos (que es mi tutor del doctorado y le tengo que tratar bien).

Además sube Enrique Rando también subirá desde Málaga que dará una charla de DLP con metadatos (y hablar de nuevas evoluciones de la FOCA) y estará Inmaculada Bravo “aka Inamcula” de la Universidad de Salamanca con la que tendremos alguna reunión para ver cómo puede evolucionar su OpenLDAP Baseline Security Analyzer mientras ella asiste al curso. Después irá viniendo el resto de ponentes, vendrá Ferando Guillot de Spectra, con el que estuve en Oslo "cantando", Xavi Campos y Rames Sarwat que comparten escenario conmigo en el próximo Summer of Security en Barna, Pablo Garaizar "Txipi" baja desde Bilbao para tener una reunión de trabajo con nostros (y sus cerves), Pedro Sánchez amigo y ponente habitual conmigo en charlas se acerca desde Zaragoza, Gonzalo Álvarez vendrá el viernes desde Madrid al igual que mi compi en Informática64 Alex y Alberto Escolá desde el Centro de Innovación en Valladolidad... ¿es o no es de flipar la reunión de amigos?

Será hoy un día de salir a la plaza, sentarse al anochecer a la luz de las farolas y disfrutar del espectáculo que se produce con el rebote de la noche en las fachadas de la ciudad. El color de la piedra salmantina al abrigo de una cervecita y pegan…digo… debatiendo con amigos…me motiva. Para mi serán como unas vacaciones fantásticas. Un puente en mitad de Julio para disfrutar y sentarme a escuchar las charlas que uno tras uno, mis amigos, irán pasando a contarnos. 15 charlas que serán una forma de estar al día de lo último de forma cómoda y tranquila...

Para los que no podáis venir, yo voy a recoger todas las presentaciones y las voy a colgar en Slideshare para que podáis, al menos, tener la información que allí se cuente… aunque os perdáis todo lo periférico.

Saludos Malignos!

Eventos y Actividades de Julio

noreply@blogger.com (Maligno) — Mon, 06 Jul 2009 12:05:00 +0000

Hola a todos, este fin de semana os iba a hacer el resumen de actividades, pero...mi cuerpo no daba para más después del castigo del viernes, así que os dejo aquí una lista de cosas para llenar la existencia esta semana y la que viene:

- Curso de Verano en Salamanca: Empieza el miércoles y hay que disfrutar Salamanca por el día, por la tarde y por la noche. Ven con energía y pasta… que comer y beber tiene su precio. ¡Aún te puedes apuntar para estar con nosotros!

- Hands On Lab en Madrid: Ya empieza el calendario de Julio con un montón de novedades que nos llevarán al lanzamiento de los hols con las versiones finales de los nuevos productos. La lista completa en esta URL: HOLS Madrid.

- Webcasts de Virtualización: El ex evangelista más glotón, el Cervi, el tipo más virtualizado de esta noble piel de toro, está realizando una serie de Webcasts sobre Virtualización. Toda la info en su blog.

- Summer of Security en Barna: El ultimo evento de esta mini-gira que tendrá lugar en Barcelona y que llevará una cena/copas la noche antes, el día 13 la fiesta, el 14 el eventaco. La info en esta URL: Summer of Security.

- Curso de Seguridad de Aplicaciones Web: El día después del evento, es decir, el día 15, impartiré un curso durante tres días en la Escola de Protecciò i Seguretat Integral de la UAB. La info… habrá que llamar a la Escola… porque yo no la tengo.

- Hands On Lab en Barna: Después del evento y del curso habrá dos semanitas de Hands On Lab en Barcelona, que hacía mucho tiempo que no se llevaban los HOLS allí. La lista completa en esta URL: HOLS Barna.

Y eso es todo, que no es poco, que luego en Agosto hay que descansar...

Saludos Malignos!

No Lusers 72: Features Futuristas

noreply@blogger.com (Maligno) — Sun, 05 Jul 2009 22:01:00 +0000

Arithmetic Blind SQL Injection (I de II)

noreply@blogger.com (Maligno) — Sun, 05 Jul 2009 06:43:00 +0000

***************************************************************************************************
- Arithmetic Blind SQL Injection (I de II)
- Arithmetic Blind SQL Injection (II de II)
***************************************************************************************************

1.- Introducción

Una de las limitaciones de los ataques a ciegas viene impuesta por la posibilidad de inyectar de forma eficaz, es decir, obteniendo el resultado deseado o no, dentro de una aplicación web.

Existen ciertos entornos en los que, aunque el parámetro es vulnerable a inyección de código, la inyección práctica para la extracción de datos no es posible mediante el uso de operadores lógicos. Esto es debido al entorno concreto dónde se encuentra la vulnerabilidad y la limitación concreta en la inyección.

Uno de estos entornos clásicos es la inyección en funciones matemáticas en las que no existe posibilidad de inyectar código para crear una lógica booleana con operadores AND u OR. La explotación mediante técnicas a ciegas se realiza basándose en construir inyecciones de cambio de comportamiento cero, es decir, la inyección es ejecutada pero no se cambia la lógica de la aplicación, y cambio de comportamiento positivo, es decir, la inyección es ejecutada y se cambia el comportamiento de la aplicación, utilizando para ello los operadores OR y AND, como se explica en "Blindfolded SQL Injection", por ejemplo, pero hay entornos dónde esto no va a ser posible.

Supongamos una aplicación web que recibe un parámetro numérico id que va a utilizar en dos consultas SQL. Estas dos consultas utilizan un factor de anidamiento de paréntesis distinto y la aplicación no devuelve ningún resultado visible hasta que no se han procesado las dos consultas SQL. Es decir, el cliente de la aplicación web no recibirá ningún dato hasta que ambas hayan terminado. El esquema de funcionamiento de esa aplicción sería el siguiente:

Recibir_parámetro(id)
Select c1 from tabla1 where id=id
Select c2 from tabla2 where id=abs(id)
Devolver_datos()

Esta sencilla estructura hace que no sea posible conseguir una inyección de comandos SQL que sea sintácticamente válida en las dos instrucciones SQL si estas necesitan el uso de operadores lógicos AND u OR.

Una inyección del tipo 1 and 1=1 será correcta en la primera consulta SQL pero no en la segunda. Una inyección que sea sintácticamente correcta en la segunda, como por ejemplo 1) and (1=1 dará error en la segunda consulta.

Para ilustrar este ejemplo se va a utilizar la aplicación web. Primero, hay que analizar cuál es el comportamiento normal de la aplicación sin que se produzca ninguna inyección de comandos SQL. Como se puede apreciar en la Imagen 1, la aplicación muestra, en su comportamiento normal, una noticia.

Imagen 1: La aplicación muestra una noticia
Si se intenta realizar una inyección de comportamiento cero como las propuestas en los entornos tradicionales se puede apreciar que la aplicación genera un error. Esto es debido a que sintácticamente no es correcta porque el parámetro está introducido en un procedimiento matemático tal y como se ha ilustrado en este apartado.

Imagen 2: Inyección en procedimiento matemático
Es por tanto necesario establecer una lógica con inyecciones de cambio de comportamiento cero y cambio de comportamiento positivo sin utilizar operadores lógicos. En estos entornos se hace necesario construir la lógica booleana de extracción de datos utilizando operaciones matemáticas.

2.- Solución 1: División por 0

Este método fue explicado por David Litchfield y fue el primero válido para resolver esta indeterminación. El objetivo es conseguir un error de base de datos cuando la condición de búsqueda sea cierta. Para ello, la inyección de cambio de comportamiento cero buscará construir divisiones del tipo 1/1 y la inyección de cambio de comportamiento positivo, la que marcará en este caso el "TRUE" será obtenida con operaciones 1/0.

Imagen 3: Inyección de cambio de comportamiento cero
La inyección 1/1 genera un cambio de comportamiento cero debido a que 1/1 devuelve 1 en el lenguaje SQL. Esto funciona de esta manera porque el motor de base de datos está ejecutando la operación matemática de división entera con los valores 1 y 1.

Sin embargo, si se cambia el valor del divisor por un 0 se estará incurriendo en una división por cero que genera una excepción en todos los motores de bases de datos que, en el caso de no estar tratada por la aplicación web, puede generar algún cambio en los resultados.

Imagen 4: Excepción producida por el intento de división por cero
A partir de este entorno, ya es posible establecer toda una lógica para obtener los datos de la base de datos. En este entorno el primer usuario de la tabla sysusers es dbo, luego el valor ASCII de su primera letra, la “d”, es 100. Si se realiza un inyección como la siguiente:

id=1-(0/(select top 1 ascii(substring(name,1,1))-99 from sysusers order by name asc))

se estaría inyectando algo igual a id=1-(0/(100-99)), o lo que es lo mismo id=1-0 o directamente id=1. Cualquier valor que se reste al valor ASCII de la letra buscada que no sea exactamente el valor del caracter buscado dejará la consulta sin cambios. Lo que significará que el valor no es el correcto.

Imagen 5: El valor buscado NO es 99
Por el contrario, si en este entorno se introduce el valor 100, es decir, haciendo que se cumpla la condición de igualdad entre el valor buscado y el valor probado se puede observar que se obtiene una excepción de división por cero que significa la confirmación de la condición.

Imagen 6: Excepción de división por cero
***************************************************************************************************
- Arithmetic Blind SQL Injection (I de II)
- Arithmetic Blind SQL Injection (II de II)
***************************************************************************************************

Actividades peligrosas en la empresa

noreply@blogger.com (Maligno) — Fri, 03 Jul 2009 22:29:00 +0000

Hoy estoy convaleciente, cada vez me duele más el brazo derecho y, teniendo presente que soy diestro, es una putada, pero ha merecido la pena. Hoy hemos tenido el kickoff de i64, o mejor dicho, ayer hemos estado de fiesta y cachondeo en i64.

El kickoff es una idea importada de las grandes empresas que a mí, personalmente, me gusta. Es un día para pasar todos juntos, algo que sólo se produce dos veces al año: este día y el día de la cena de navidad.

Empezamos esta tradición al más puro estilo bronxtolita, yéndonos a un campo a hacer una parrillada e hincharnos de cerveza y kalimotxo hace ya más de 5 años. De ahí, decidimos pasar a algo que, fuera lo que fuera tuviera la posibilidad de refrescar el trasero, que la playa de Madrid, es decir, Valencia, nos pilla un poco retirado como para ir a diario en verano.

Pasamos a un día con desayuno, charla del boss, paintball, piscina, comida y copas. Esto estuvo bien, pero, descubrimos que tenía que haber cosas más divertidas y menos peligrosas que juntar a veintitantos locos con unas pistolas en un monte. Al final, un año pasó un accidente y a un compañero, debido a un fatal error de cálculo de distancias tuvimos que ponerle el apodo de “Tres pezones”.

Con la emoción de la F1 decidimos engancharnos a los karts e irnos a pasar el día a algún lugar en el que hubiera tres en uno: Barbacoa, Karts y piscina. Allí descubrimos que eso de competir sobre cuatro ruedas tiene su gracia… y su riesgo también.

A mí en concreto me sale una vena agresiva competitiva que no conocía con los karts. No veo, me enciego, entro en visión túnel y sólo veo una cosa: pasar al de delante. Soy más peligroso que Nakajima y Sato en un SuperAguri de los de antes con la puesta a punto hecha por Ralph Schumacher.

El año pasado hice un meritorio segundo puesto en mis tandas y, tras un final accidentado con una rueda, quedé 5 en la ronda final de los campeones de rondas anteriores. La experiencia me dejó tan animado que me llevé a varios amigos a montar a los karts del Xanadú durante los meses siguientes. Allí les quité las pegatinas a Luciano y mi amigo el Ale en un par de visitas.

Este año hemos competido en tres grupos con tres tandas cada uno y yo he disfrutado del ferrari. Un kart que corría más que ninguno, que zumbaba como un condenado y que en las rectas les fumigaba a los rivales. Me sentía como Alonso con el R25. El único problemilla que tenía el coche era que no frenaba una mierda. Y cuando digo que no frenaba una mierda quiero decir que no frenaba nada, vamos, que iba casi sin frenos. Era imposible detener el coche ni a dos por hora. Pero… ¿quién quiere frenar cuando se está compitiendo con karts?

En la primera y en la segunda tanda les he dado para el pelo a mis rivales con mi kart con óxido nitroso. Y me he ido invicto a la barbacoa/piscina. Después, por la tarde, antes de terminar teníamos la última ronda de los tres grupos. Como os podéis imaginar, alguno se había pasado con el papeo y la comida y no quería competir en su grupo, así que he aprovechado para correr dos veces: una en mi grupo y otra sustituyendo a un rajado en el grupo 1… y ahí vino el desastre.

Cogí mi máquina de matar, mi kart con la pegata de Vodafone sin número, con su óxido nitroso y sin frenos y me puse en la parrilla de salida. Ocho coches. Salía el cuarto por la zona sucia, por el exterior de la curva. Sin frenos, pero con la mirada túnel.

La bandera dio la salida y mi principal contrincante, Tony Manero, el ganador de las dos tandas anteriores de este grupo salía tercero. Antes de la llegada a la primera curva éramos segundo y tercero. Él por el interior y yo por el exterior nos merendamos al segundo.

La gente rugía en las gradas, pero sólo podíamos verlos agitarse. En primer lugar, con un dudoso peso reglamentario, el hacker malo Thor, alias señor FOCA, tomaba la delantera en primer lugar. Por detrás los lusers….

Así dimos la primera vuelta… y esto no podía continuar así. En la segunda vuelta, después de haber estudiado a Tony Manero, le ataqué en la chicán. Una maniobra arriesgada teniendo en cuenta que el coche no frenaba una mierda. Había que tirar de ruedas derrapando y pasarse un poco por dentro para aprovechar la velocidad punta del R25 en la parte de tracción, a la salida de la curva. El R25 se portó como un campeón aprovechando el hueco que Tony, al más puro estilo Fisichella, había dejado. Era segundo. A por Oca.

Oca tiraba, y aprovechaba la salida traccionada de las curvas debido a que su peso era inferior al nuestro. Yo le comía el culo en la recta de meta en bajada. Las ruedas chirriaban en cada curva que daba. Tenía que derrapar a muerte porque iba casi sin frenos. No conseguía más que ralentizar un pelín la marcha, que no frenar, cuando pisaba a fondo el hierro del kart. Iba a centímetros de Oca. Se mascaba la tragedia.

En la tercera vuelta se produjo el primer lance de carrera, en la chicán. Tras pasar a centímetros por la línea de meta llegamos a la primera curva. Es una curva rápida en subida, de izquierda, que enlaza con otra curva, aun más rápida, también de izquierda, que desemboca en la chicán. En esa curva bastaba con trazar bien, levantar el pie del acelerador un poco, meter el coche en la curva y, una vez negociada la curva, aprovechar el ancho de la calzada para salir pegado a la derecha y tirarse a muerte al pico de la siguiente curva. Una vez pasado el pico de esa segunda curva hay que frenar con el ancla, al estilo Valentino Rossi, sacando la pata si es necesario, para meter el coche por dentro en la chicán.

Oca primero y Alonso segundo por meta. La distancia en tiempos se mide en milésimas. Oca se abre menos en la primera curva para cerrarme la puerta. Yo me abro más para trazar amplio. Pasamos por la primera curva a centímetros y nos abrimos a la derecha. Rozamos los neumáticos de la derecha y nos tiramos al pico de la siguiente curva a muerte. A centímetros. Busco el interior de la chicán frenando todo lo que se podía con ese coche. Pero Oca me cierra y su coche frena más… Me lo como por detrás al estilo Nakajima y le desplazo un poco de la chicán dejándole en una mala posición. Adelanto y Tony Manero también. Oca está fuera de la lucha por la carrera.

A la salida de la chicán, ya con aire limpio y sin nadie que me moleste para pisar, tiro de motor y salgo a muerte. Tony Manero detrás de mí. En primera posición consigo dar dos vueltas, pero la distancia con Tony crece muy, muy despacio y el cansancio físico de todo el día hace que sea doloroso llevar el kart por las esquinas del circuito a todo trapo. Empezamos a doblar a pilotos luser. Tony me presiona.

En la recta de meta, en bajada, tiro a muerte para abrirme a la primera curva pero me puede la presión… y la cago. En lugar de abrirme y seguir la trazada amplia que permita a mi coche, sin frenos e hiper vitaminado, negociar bien la primera curva, me cierro por miedo a que Tony se me tire al interior de la curva por una trazada más corta y me lo coma. Craso error. La distancia con Tony era suficiente para negociar la curva con soltura pero ya no había vuelta atrás y me acerco peligrosamente a los neumáticos del lado derecho. ¿Conseguiré meter el coche en la trazada?

Ni de coña. Tiro de frenos, pero ni de broma se para el coche, me voy a salir de la pista por encima de los neumáticos. Y visto y no visto. En cuestión de décimas de segundo yo me encuentro empotrándome contra una pila de neumáticos y golpeándome violentamente en el lado derecho de mi cuerpo. Quemaduras, manchas y contusiones.

Regresé a pista dolorido, pero sólo para dar vueltas al circuito e intentar recuperarme para el siguiente grupo. En este grupo Tony era el rey y a mí me pudo la presión. En el siguiente grupo volví a ganar, no eran rivales para mi R25 y un mucho-más-precavido Alonso.

Ya en frío, el dolor es más intenso, y me doy cuenta de la pedazo de hostia que me he dado en la que he salido volando de mi asiento para comerme neumáticos. Ha sido dura, pero saldré de ésta. Las bajas en este día de fiesta han sido algunas más, alguna quemadura, alguna contusión dura, mucho colesterol de más para el cuerpo y un palo de billar roto (espero que no le haya pasado nada ni a la mesa de pin-pon ni a las timbas de cartas que se han organizado). Ha sido un día grande. Me gusta competir con esta gentuza, pero… tal vez cambiemos de formato de día para el año que viene…. ;)

¿A dónde os llevan a vosotros?

Saludos Malignos!

Recomendaciones de Seguridad

noreply@blogger.com (Maligno) — Fri, 03 Jul 2009 05:49:00 +0000

El valor de la experiencia y el conocimiento es tenido en alta estima por los que desean aprender. Así, en algunas culturas africanas se compara la muerte de un anciano con una biblioteca en llamas, por aquello de que más sabe el diablo por viejo que por diablo. Hoy en día, el que quiere saber, cada vez más, pregunta a Internet buscando una respuesta de los sabios que allí hayan vertido su conocimiento. En esta Internet nuestra cada uno se puede autoproclamar en sabio debido a la aparición de la Web participativa, la web que hace al usuario interactuar activamente con los contenidos, permitiendo que todos podamos enseñar.

Así, henchido de orgullo y prepotencia, de vez en cuando me autoproclamo sabio en algo y escribo un artículo. Unas recomendaciones sobre un tema o una explicación con su correspondiente opinión personal sobre lo que yo creo, me gusta o disgusta.

Me he autoproclamado capaz de dar recomendaciones de cómo gestionar mejor el correo, de cómo securizar tu web, fortificar tu Apache o auditar tu WiFi. Me he autoproclamado sabio de cómo hacer muchas cosas y, en todds ellas, puedo errar o acertar. Tú tienes que ser capaz de saber que la persona que se autoproclama sabio, y con orgullo publica una lista de recomendaciones, puede tener más o menos tino. Esto no sólo pasa conmigo, por supuesto, y de hecho, debido a la repetición masiva de este suceso, nació mi amor a los Técnicoless.

Uno de esos lectores añejos de este blog me escribió un mail porque había descubierto en un blog unas recomendaciones para comprar un dominio de Internet de forma segura. Ya sabéis, para ir y registrar “soyuncapullointegral.com” a tu nombre. Cuando las vi pude imaginarme al “experto” que se econtraba detrás de ellas.

La primera de las recomendaciones que me llamó la atención soberanamente fue:

"Nunca registrar ni entrar al panel de control ni al correo desde software no-libre (como Windows). A diferencia del software libre, cuando ejecutas Windows no sabes realmente lo que está ejecutando tu computadora. Sin embargo utilizando software libre como GNU/Linux tenemos a nuestra disposición el código fuente y podemos saber lo que ejecutamos y asegurarnos de que no tenemos ningún troyano."

Este amigo técnicoless debe haberse leído todo el código de todo el software que utiliza, y se nota. Además escribe este artículo desde el entendimiento y suposición de que todos los que van a registrar un dominio tienen la capacidad de hacerlo también, pues no vale con saber que lo puedes leer para tener la garantía de que nada va a pasar… ¡hay que leérselo! Si no… ¿cómo vamos a asegurarnos de que no estamos ejecutando ningún troyano? ¿Será que no hay troyanos en Linux?

La segunda recomendación que me destrozó reza de la siguiente guisa:

“No tener ninguna partición con Windows u otro software propietario en el ordenador que utilizamos para el registro de dominios. Nunca sabemos los datos que puede leer de la partición de Linux”

Esto ya es el colmo de maldad, podríamos decir que Windows se convierte en un sistema operativo capaz de ejecutar troyanos sin estar arrancado. Pero no es eso lo peor, es que parece ser que es el propio Windows el que quiere leer los datos de la partición Linux. Pues si una partición Windows de un sistema operativo apagado te lee los datos de tu partición Linux sólo se me ocurre una cosa: Vaya mierda de seguridad en el sistema de ficheros que has puesto en tu Linux tienes.

Cómo contratar un dominio ¿seguro?

Tras ver las recomendaciones de este Técnicoless se me ocurre ofreceros, como aporte añadido, alguna más para conseguir contratar de forma segura un nombre de dominio:

- No tengas un CD pirata de Windows cerca: Se han oído casos en los que los bits del sistema operativo Windows han sido capaces de leer los datos de tu partición Linux desde la estantería. Parece ser que hay troyanos WiFi, Bluetooth o radio capaces de troyanizar tu equipo desde el CD sin estar incluso en el lector de CD.

- No contrates un dominio si tienes un amigo con un USB formateado en FAT cerca: FAT es inseguro y los troyanos utilizan ADS para guardar información que pueden robar de tu ordenador si el USB con FAT está lo suficientemente cerca.

- Controla a tus vecinos: Se han oído casos de ordenadores que iban mal sólo por la presencia de un Windows Vista funcionando cerca. Parece que consume tantos recursos este sistema operativo propietario de M$ que si tu vecino usa Vista y tú tienes una distro libre tuneada que consuma pocos recursos el Windows Vista puede troyanizar los ciclos de CPU que ve libres para utilizarlos en cansinas tareas de pintar gráficos en AERO.

- Pregunta a tus amigos antes de saludar: Saludar a un amigo que usa Windows puede hacer que te instalen un keylogger. Parece ser que hay keyloggers capaces de detectar las pulsaciones del teclado según los dedos. Los más evolucionados malwares de keylogger se copian en las yemas de los dedos de un usuario Windows y estos pueden contagiarte si te dan la mano. ¡Pregunta antes!

Seguro que a vosotros, enfermos lectores de este lado del mal maldito, se os ocurren más recomendaciones a la altura de éstas. Yo creo, que las recomendaciones se convierten en un poema con esa publicidad de Google en la misma página promocionando Windows.

Saludos Malignos!

Un gran MVP

noreply@blogger.com (Maligno) — Thu, 02 Jul 2009 05:36:00 +0000

Hace no demasiado dediqué un post a explicar qué es eso de la secta de los MVP de Spectra a la que pertenezco desde hace 5 años. En ese artículo comentaba que el éxito del programa radica en que si los que se eligen son buenos, elegirán a gente buena pero que por desgracia, como todas las cosas en la vida, nada es perfecto y, por tanto, ni estaban todos los que son ni son todos los que están.

Sin embargo, he de decir, que la gran mayoría de los que están son unas máquinas de tres pares de huevos y, por lo menos yo y los MVP que más trato, intentamos que se nomine a gente buena.

El año pasado fue reconocida la labor de Bernardo Quintero de Hispasec y fue premiado con el Award de MVP de Seguridad algo que engrandece al programa y reconoce la valía de Bernardo como profesional en el area de seguridad por parte de una empresa como Spectra.

Este año estoy contento porque se ha premiado a uno que lo merece tanto o más que los que están galardonados. Este no es del área de seguridad, es un desarrollador, un emprendedor, un cerebro con patas con el Visual Studio, es Iñaki Ayucar.

Ayer recibió la carta que le reconocía su labor profesional y de colaboración con las comunidades para ser premiado como MVP en el área de Directx y XNA, y yo estoy más feliz. Profesionales de su talla hacen que me sienta más feliz de ser nombrado MVP. Hoy, la lista de MVPS que me hacen sentir orgulloso del programa es un poco más grande.

He de decir que yo he intentado el nombramiento de Iñaki en el pasado varias veces, pero como su área profesional no es la misma que la mía no he tenido el "karma" suficiente para lograr que se aprobara su nominación. Esta vez, la ayuda y el empuje de otros MVP, encabezados por Carlos Segura, MVP de "charepoin" ha sido posible.

Iñanki, bienvenido y gracias por aceptar ser parte de los MVP. Para todos los demás, el flamante MVP de DirectX/XNA "atiende" en su blog: GraphicDNA.

Saludos Malignos!

Banca, Phishing y SPF

noreply@blogger.com (Maligno) — Wed, 01 Jul 2009 05:36:00 +0000

Hace unos años abrí una carpeta en mi buzón de correo llamada "Estafas" donde voy situando todos los mails que me llegan de phishing, muleros, venta fraudulenta, etc... Esta carpeta se ha ido llenando al cabo de los años y hoy en día tiene más de 1.000 correos que utilizo para explicar cosas en las charlas.

Desde que migramos nuestro servidor a Exchange Server 2007 y se realizó un assesment de las opciones de Anti-Spam, la verdad es que me cuesta recibir algún correo que llevar a la boca de esa carpeta.

El otro día, repasando con Joshua Sáenz, MVP de Exchange Server y compañero de I64, las opciones y el funcionamiento de los filtros ante correos suplantados, comprobamos el funcionamiento del servidor ante diferentes tipos de spam. Al final, no sabía si besar a Joshua o al Exchange Server 2007 por lo bien que se portan ambos.

El servidor tiene configurados filtros con RBL, filtro de Reputación (basado en registro PTR, estadística de SCL de los correos recibidos de ese servidor y prueba de proxy abierto), filtro de contenido (basado en la tecnología del IMF), soporte para recepción de correos cifrados con canal TLS y filtro de Sender ID.

Esta configuración ha hecho que, por ejemplo, correos de phishing tradicional que suplantan a bancos, hayan dejado de entrar en mi buzón tiempo ha. Esos correos que dicen venir del equipo técnico de un banco para que cambies la contraseña o entres en tu cuenta pinchando en el siguiente link. Esto me sucedió mucho durante un periodo con Cajamadrid.es.

Sin embargo, esto ya no me sucede jamás, porque la gente de Cajamadrid.es ha hecho los deberes y ha configurado el registro SPF en el DNS dando información a los servidores de correo que implementan Sender Policy Framework o Sender ID de quiénes son los servidores autorizados.

El uso del registro SPF ayuda especialmente a las entidades bancarias, víctimas tradicionales del envío de correos electrónicos falsos desde sus dominios, a evitar que llegen al usuario final. Es un sencillo gesto, configurar un registro TXT en el DNS y se consigue que un porcentaje mayor de correos falsos en su nombre no lleguen a las posibles víctimas. Y eso se transforma en dinero.

Así, he podido ver que algunos han hecho los deberes, como Cajamadrid o Cajamar, ambas con registro SPF con la opción -all para que todos los correos que vengan de una IP no dada de alta en él sean destruidos automáticamente.

Registro SPF de Cajamadrid.es y Cajamar.es
Sin embargo, hoy recibí un correo falso de un banco y....alto, esto no puede ser. Algo falla. Si los bancos han puesto el registro SPF y yo tengo el Sender ID configurado...¿cómo es posible que haya entrado este mail? La respuesta es bien fácil, una de las dos premisas no es cierta... y me ha dejado flipado.

Correo falso de un supuesto Banco
Tras comprobar el registro SPF del DNS del banco del mail he podido constatar la no existencia del mismo. Esta acción la he repetido con muchos bancos y las respuestas han sido desalentadoras, casi nadie implementa ese registro. ¿Por qué?. Ni puta idea.

Lo cierto es que un banco que se gasta pasta en auditorías de seguridad y que se gasta pasta en la lucha contra el fraude debería tener implementada una de las medidas más baratas y que más información ofrece a los usuarios a la hora de detectar correos falsos. Pero no es así. ¿Alguien me lo explica?. Haz una prueba con el DNS de tu banco y dime que encuentras...

Saludos Malignos!

La gira en directo

noreply@blogger.com (Maligno) — Tue, 30 Jun 2009 07:56:00 +0000

Hola a tod@s,

la sesión de la Gira Summer of Security de hoy en Leioa está siendo retransmitida en directo por la Universidad del País Vasco, si queréis verla podéis hacerlo en la siguiente URL:

http://ehutb.ehu.es/es/directo/1.html

La agenda es la siguiente:

09:45 - 10:30 D-Link: Swithching [NAP,ARP-Spoofing, Hardening]

10:30 - 11:15 SmartAccess: e-DNI en AD

11:15 - 11:45 Café

11:45 - 12:30 Spectra (& Chema): TMG

12:30 - 13:15 Quest Software : Tu MAC y Tu Linux en el AD

13:15 - 14:00 Informática64 : Hay una carta para tí

Saludos Malignos!

Linuxero culé hackea la web en PHP del usurpador

noreply@blogger.com (Maligno) — Mon, 29 Jun 2009 22:01:00 +0000

¡¡¡No me lo puedo creer!!! Un pingüino del Barsa en la web del usurpador, esto es lo último que me quedaba por ver. Es como si se mezclara todo junto, todas mis aficiones. ¿Habéis visto que bonito me ha quedado el título del post?

1.- Un hacker linuxero hackeando una web en php con ese index.php que hace que parezca un CMS de esos de los que la gente suele actualizar sí o sí ... pero sólo de vez en cuando. Con su intro en flash y todo.....

2.- El usurpador del 7 en la selección española, porque todos sabemos quién es el "Real Seven".

3.- Un pingüino con la camiseta culé. El pobre Tux en todas las guerras anda metido.

Supongo que con estos tres alicientes se me podrian ocurrir muchos chistes malos y malignos. De esos de baja clase. De baja condición maligna. De vendido a IIS y Windows Server y Windows Vista. Chistes sobre el usurpador del 7 en la Selección Española.... pero no los voy a hacer. El asunto ya es un poema de por sí.

Me voy a limitar a decir...Villa, vente al Madrid, tenemos el 007 guardado para tí o el 117 si lo prefieres, y podrás tener www.davidVilla007.com corriendo en un Windows Server 2008 con IIS 7 o directamente en tecnología Java, como la web del Real Madrid... con la intro esa de Flash, en lugar de la música heavy metal que tienes, con la banda sonora de Villa... David Villa. Y podrás decir eso de: "Póngame un balón enroscado, no agitado" y jugar de compañero del gran Don Raúl González Blanco.

A mi me ha hecho gracia toda esta historia, y encima no le han destrozado la web, que hay que recordar que sólo le han hecho un defacement de la principal pero sin romperle la otra, así que lo dejamos en broma, no seáis malos... Seguro, seguro que Villa y su gente se están riendo mucho con la broma.

Pero para continuar las risas... podría seguir la historia...., no sé, quizá con una invitación a Davi Alves a que se fuera al Chelsea, que Dani, ya en el año 1970, marcaba goles que ya le decantaban como estrella rutilante según su web. Seguro que al Chelsea le parece bien.

O tal vez a Xavi Hernandez, para que se haga del Madrid. Ése sí que es bueno, ¡cojones!. Es un tipo que da solidez al equipo. ¡¡Yo lo quiero de blanco!! Decidle que venga al Madrid, que aquí jamás le pondríamos un Apache sobre Fedora con las extensiones de Front Page.

O por ejemplo....

Saludos Malignos!

Reto Hacking...llamémosle X

noreply@blogger.com (Maligno) — Mon, 29 Jun 2009 06:57:00 +0000

El más porno de todos, Reto Hacking Web...llamémosle X... tendrá lugar.... el próximo viernes 24 de Julio a las 20:00. Lo hemos puesto en viernes para que podáis joderos el fin de semana, lo hemos puesto a las 20:00 horas para que RoMaNSoFt se haya podido echar la siesta y esté descansado... y hemos preparado un reto anti-Dani Kachakil.

Os preguntaréis...¿cómo se puede hacer un reto anti-Dani Kachakil....? Fácil... hemos analizado lo que ha estado haciendo, las herramientas que usa, lo que conoce, sus especialidades... y hemos buscado sus puntos débiles.

Creemos que con este reto se le van a escapar algunos detalles de friki malo de segunda que no va a ser capaz de salvar... Ahora, si Dani gana... soy capaz de darle un beso en los morros (esto es un aliciente para que no quiera ganar).

No, ya en broma, el reto será sobre técnicas Web, será online, como normalmente, y tendrá premios tan buenos como siempre, es decir, ni un duro y todo chorradas mías.

¿Por qué jugar? ¡¡Y a mi que me cuentas!! ¡Tú sabrás! Si quieres entretenerte un rato con pruebas sacadas desde las mentes más retorcidas del SOCtano de I64 adelante.

¿De qué va ir? Pues te deberías imaginar de que va a ir el reto, de todo lo que hemos estado enredando este año: Metadatos, Correos Falseados, Métricas de seguridad WiFi, Enviar a un amigo en web, Injecciones de Código, Buffer overflow en FreeBSD para obtener una shell.. (no, no, esto es de la Defcon...), Arithmetic BSQL, Serialized, Blind XPath Injection,... y como no ¡Consultas pesadas!.

Todo ello, por supuesto, aliñado con idéas felices, alguna fase hijaputa y mucha mala uva, que si queréis cosas fáciles salid a ligar un viernes por la noche en lugar de quedaros devanándoos los sesos con una locura de reto.

Pues ya sabéis, el que quiera participar, el día 24 de Julio a las 20:00 horas... estára disponible el Reto Hacking ...llamémosle X.

Saludos Malignos!

¿He dicho yo eso?

noreply@blogger.com (Maligno) — Sun, 28 Jun 2009 06:49:00 +0000

Hace años, allá por el año 2003, cuando Luís Aragonés dirigía el Atlético de Madrid en una de sus fases más beligerantes, y se encontraba en plena batalla con la familia Gil pasó algo que me llamó mucho la atención. Luís Aragonés dijo en una rueda de prensa que él se iba y que no quería entrenar más al Atlético de Madrid. Los abogados de la familia Gil respondieron a esas declaraciones enviándole una carta que venía a decir algo así como gracias por haber estado con nosotros y aceptamos su renuncia.

Esto suponía que Luís Aragonés se iba sin nada de dinero en el bolsillo al ser una baja voluntaria. Luís dijo que él no había enviado ninguna carta de dimisión pero los abogados le dijeron que sus declaraciones, grabadas por todas las televisiones, suponían una carta de renuncia verbal y que ellos la aceptaban.

Al final, viendo que la había cagado y, no queriendo la familia Gil ni Luís Aragonés un juicio largo y mediático que pudiera perjudicar a ambos, llegaron a un acuerdo económico muy, muy, muy ajustadito para Luís. La familia Gil se apuntó una victoria en la sombra muy hábil.

Lo que ha pasado ahora con Vanderlei Luxemburgo, el Palmeiras y el Twitter no ha sido exactamente lo mismo, pero me ha hecho acordarme del primer hecho. En este caso Luxemburgo ha criticado la profesionalidad de un futbolista que va a ser fichado por el F.C. Barcelona en su cuenta Twitter. De ella, debe tener algún follower en la cúpula de su club que no le ha parecido bien el mensaje ese de: “Incluso si él no es traspasado (al Barcelona), conmigo no juega más” y le han rescindido el contrato.

En este caso no ha sido una renuncia verbal o algo similar, pero… supongamos por un momento que un trabajador de una empresa, en un momento de cabreo pone en su estado del Messenger, en su cuenta twitter, en su cuenta facebook o en su blog algo como “Ya no quiero trabajar en mi empresa” o similares…. ¿Podría la empresa tomar esto como una carta de renuncia pública y deshacerse de él como si fuera una baja voluntaria?

Estos aspectos que tocan la ley se me escapan siempre un poco de los dedos, pero si esto fuera así dentro de poco podríamos tener auténticos profesionales en la sombra, siguiéndote como followers malévolos…

Saludos Malignos!

Hedonismo en soledad

noreply@blogger.com (Maligno) — Sat, 27 Jun 2009 07:24:00 +0000

El autoplacer, o el placer solitario, es un arte. El saber llenar las horas de algo que mantengan estimulado tu ser en soledad hace que uno disfrute más su vida. Los momentos en los que no hay compañía para ayudar en la búsqueda de la satisfacción intelectual, la realización personal o la motivación vital, uno debe ser capaz de obtener los mismos o resultados parecidos por medio de sus propias mañas.

Por ello aparecieron, de los juegos múltiples, lo juegos solitarios. Esos en los que no necesitas a nadie para poder enfrentarte e ellos. Es una pelea contra ti mismo mediante un conjunto de reglas. Los solitarios me molan, me ayudan a despejar la mente del trabajo, las ocupaciones y me permiten llenar espacios de tiempo estimulando mi mente.

El solitario de moda, el Sudoku, aun no está entre mis aficiones, que yo soy un clásico, pero tengo alguno nuevo entre mis opciones. El clásico Buscaminas o el solitario de cartas de toda la vida se completaron hace no mucho con el Majhong Titans que viene con Windows Vista y que consiguió engancharme.

Lo bueno de los ordenadores es que siempre tienes al cabezón como contrincante, con lo que cualquier juego se puede convertir en un solitario. El último juego al que he aprendido a jugar en el par de viajes en tren que me han llevado y traído a Valencia ha sido el que se llama “Corazones” y viene con mi amado Windows Vista.

Objetivo

El objetivo del juego es ser el que menos puntos tienes cuando se echa al primero de los jugadores. Para echar a un jugador hay que hacerle superar los 100 puntos. Tú tienes que intentar, por tanto, no conseguir ningún punto, que todos los puntos sean para los demás.

Puntos

Sólo hay dos tipos de cartas que hacen ganar puntos (malo, malo), los malditos Corazones (¿quién decía que el amor es bueno?) y la Reina de Picas (la supermalvada que te parte el corazón). Cada carta de corazones que te ganes en una baza significa 1 punto independientemente del valor de la carta. La malvada Reina de Picas son 13 puntazos del tirón, así que es muy malo, malo, malo llevársela.

En esta baza me he puesto "fino", pero no me he llevado a la malvada Reina negra
La excepción de los puntos

Si te llevas Corazones o la Reina de Picas, te anotas los puntos a excepción de una situación. Yo le llamo “La reconciliación del amor”. Si consigues llevarte todos los Corazones y la Reina de Picas te deberías apuntar todos los puntos, pero… entonces las cartas digievolucionan a una situación en la que se quieren y, por tanto, todos los contrincantes reciben un chute de 26 puntos por no creer en el amor.

El Descarte inicial

Se reparten todas las cartas y, al comenzar se pasan 3 cartas cada vez a un contrincante. De esta forma sabes algunas cartas de un contrincante. Procura quitarte las que no te gusten, pero esta es una elección difícil, pues a veces te interesará ganar para elegir el palo de la siguiente mano, o tal vez no, te interesará perder, para no ganar puntos. Por supuesto, cualquier carta superior a la Reina de Picas en el palo de Picas será muy chungo, pues con esa carta ganas a la Reina de Picas en una mano y te la llevas, así que.. huye de la Reina, el Rey y el As de picas.

Enviando regalos al compañero
Las manos

La partida la empieza el tiene el 2 de Treboles, así que siempre se empieza por Tréboles. En la primera baza no se pueden echar puntos, así que, si no tienes Tréboles tendrás que echar Picas o Diamantes, pero no puedes echar ni la Reina de Picas ni ningún Corazón.

Mano de Diamantes, como no lleva puntos..¿la gano o la pierdo?
Siempre tienes que echar del palo de la primera carta (si tienes) pero no tienes porque superar el valor de la carta. Puedes echar una carta superior o inferior. Si no tienes del palo de la carta que va la mano puedes echar cualquier otra carta. La mano la ganará el que tenga el valor más alto en el palo de la mano. Si no tienes ninguna de la carta de la mano, puedes echar una carta de Corazones. Los Corazones no son especiales y no ganan la mano, pero el que se lleva esa mano se lleva puntitos muy malos.

La veda de Corazones

Si eres mano y quieres salir con corazones no podrás hacerlo hasta que se haya roto el amor, es decir, hasta que alguien sin ser mano, no haya tenido carta del palo de la mano y haya echado una carta de Corazones. Entonces sí se puede salir con Corazones. Nada más salir los corazones, intenta abrir alguna mano de corazones con valores bajos para que alguien se gane una mano de corazones de 4 puntos e intenta meter todos los corazones que puedas cuando en la mano no tengas carta de ese palo.

Jugando corazones...
La veda de la Reina de Picas

Si no tienes la reina de picas vas a intentar que salga cuanto antes forzando manos de picas con cartas inferiores a la reina de picas. Así, se sale con el 5 de Picas, el 6 de Picas, etc… Al final, el que tenga la Reina la tendrá que echar con la esperanza de que algún pobre haya echado el Rey o el As de Picas y se la coma. Procura nunca echar el Rey o el As en una jugada de Picas si no ha salido aun la reina, pues el que la tenga te la enviará con “amor”.

El resto… son horas de juego… ya sabes como va esto de los juegos en solitario y a mi, éste en concreto, me ha parecido muy interesante por todas las posibilidades de juego que se dan. Recuerda: No te vicies si tienes que hacer otra coasa....

Saludos Malignos!

Cursos de Seguridad gratis en Madrid

noreply@blogger.com (Maligno) — Fri, 26 Jun 2009 06:28:00 +0000

Durante el mes de Julio, desde Informática64, vamos a participar en dos proyectos de formación para desempleados que van a tener lugar en las instalaciones de la Comunidad de Madrid en Getafe, sí, en ese lugar dónde solemos celebrar los eventos. En este caso van a ser dos curso de 100 horas cada uno que van a estar dedicados a Seguridad Informática.

Desde el día 6 de Julio, con una duración de 5 horas cada día, hasta el día 31 de Julio, impartiremos dos cursos, uno en horario de mañana y otro en horario de tarde, para personas desempleadas en la Comunidad de Madrid.

Los únicos requisitos que hay son estar en el paro (o en situación de mejora de empleo), estar en Madrid y pasar una pequeña prueba de acceso. La prueba de acceso será un pequeño test de conocimientos básicos sobre informática, redes y sistemas operativos. Ya sabéis, a que huele una IP, de que sabores son los valores Unicode o que linuxero es peor... o algo por el estilo, que con tanta viagra mezclada con Red Bull lo mismo me estoy equivocando...

Cada curso tiene 15 plazas y para acceer al mismo hay que ir a la prueba de selección que se realizará el próximo día 30 de Junio a las 10:00 horas´en el “Centro de Formación en Tecnologías de la Información y las Comunicaciones - Madrid Sur” del Servicio Regional de Empleo de la Comunidad de Madrid que está sito en la Avenida Arcas del Agua s/n, CP: 28905, Getafe (Madrid).

Si quieres acceder a una plaza a coste cero y contando con los profesores más sexies y simpáticos de todo Móstoles tienes que estar allí, limpio, aseado y bienoliente (que ya sabemso que con los calores del verano los olores se disparan...). Una vez allí tienes que preguntar por Marina López o Elena Vargas, o indicar en la caseta de información que vienes a realizar la prueba de nivel para los cursos de seguridad Informática.

No, no da puntos decir que eres colega de El Maligno, ni tener una foto conmigo, ni confesar lo de aquella noche en la que... no. Tienes que pasar la prueba de nivel, que no será dificil si sabes algo de informática. Entended que no podemos dar un curso de seguridad informática sin algún conocimiento previo.

Los que estáis trabajando no podéis acceder a estos cursos salvo que estéis en situación de mejora de empleo. Sí, es una putada no poder acceder a ellos pero... coño! alegraos como yo que tenemos trabajo en estos tiempos que corren, joder!.

Además, de estos cursos siempre acabamos enganchando a algún pardillo despistado... digo... alguna joven promesa que incorporamos a la lista de descerebrados que conforman la lista de elementos del SOCtano, así que lo mismo, además de aprender algo, acabas arruinando tu futuro currando con nosotros...

Los que estáis currando o estáis fuera de Madrid... tenéis otras alternativas, como por ejemplo apuntaros a alguna de las otras cosas que hay en agenda:

- 30 de Junio: [Bilbao] Summer of Security [*]
- 1 a 31 de Julio: [Madrid] Hands on Lab (con nuevos hols!)
- 7 de Julio: [Salamanca] Curso de Verano de la USAL [*]
- 14 de Julio: [Barcelona] Summer of Security [*]
- 14 a 17 de Julio: [Barcelona] Auditoría Web con la Escola de Prevenció i Seguretat Integral [*].
- 20 al 31 de Julio: [Barcelona] Hands On Lab
- 21 al 23 de Julio: [Bogotá - Colombia] Seguridad Web [*]
- 22 al 26 de Julio: [Tenerife] TNF Lan Party

[*] Estaré yo dando el coñazo...

Saludos Malignos!

¿Por qué mis correos llegan como Spam?

noreply@blogger.com (Maligno) — Thu, 25 Jun 2009 10:33:00 +0000

Esta es una de las preguntas que más me hacen siempre que hablo de algo que tiene que ver con correo electrónico. Tiempo ha me hicieron escribir una lista de medidas para mejorar los resultados en los motores antispam de los correos electrónicos legítimos emitidos por una empresa. Aunque no son todas las medidas que se pueden aplicar, ésta es una buena lista de precauciones.

Muchas de las verificaciones que se realizan para validar o no un correo se realizan sobre la dirección IP del servidor utilizado para enviar el correo electrónico, para tener una IP cuidada es recomendable.

1.- Marca las IP de los servidores autorizados para enviar correo en tu dominico con el registro SPF en el DNS. Esto hará que las comprobaciones del registro SPF de Sender Policy Framework y Sender ID sean positivas.

2.- Comprueba que tus IPs no estén en listas RBL (Real-time Blackhole List). Si tu IP cae en una de estas listas muchos de los servidores no aceptarán tus correos. Ten siempre una IP de backup limpia e intenta, cuando caiga, sacarla de todas las listas. Muchas se alimentan las unas de las otras, así que revisa todas.

3.- No compartas la IP con varios dominios si es posible y menos si no los controlas tú, ya que la IP pude caer en una RBL tanto por mal uso de tu dominio como por mal uso de cualquier otro.

4.-Ten la IP a nombre de tu empresa e intenta controlar los registros PTR. Algunos filtros comprueban el valor del registro PTR en el DNS para autenticar el nivel.

5.- Actualiza el software y configúralo de forma segura. Los filtros de reputación realizan comprobaciones reversas para ver si está mal configurado el servidor y puede ser víctima de los spammers. Si es así, no admiten correos de tu dominio.

6.- Firma digitalmente tus correos con DKIM para que se puedan autenticar el dominio del emisor aquellos dominios que hagan uso de él.

7.- Evita correos con múltiples destinatarios o contigo mismo en el destinatario, eso suele hacer subir el SCL (Spam Confidence Level) del correo.

8.- Usa antivirus en el correo saliente. Si un usuario de tu red queda infectado puede intentar infectar a otros mediante el envío del malware por correo electrónico. Si un dominio detecta que le llega malware de tu dominio meterá tu IP en las RBLs.

9.- Si tu correo sale por la misma IP que por la que sale, es decir, si el MX y el SPF son iguales, aunque es peor para la redundancia de seguridad, es mejor para aumentar el alcance de los correos, ya que alguno aún utiliza como comprobación el filtro de Reverse MX Lookup.

10.- Y la más importante... no seas spammer y haz un uso correcto del correo electrónico.

Saludos Malignos!

No Lusers 71: Juega con tu Amiga

noreply@blogger.com (Maligno) — Wed, 24 Jun 2009 22:20:00 +0000