Un informático en el lado del mal: junio 2009

martes, junio 30, 2009

La gira en directo

Hola a tod@s,

la sesión de la Gira Summer of Security de hoy en Leioa está siendo retransmitida en directo por la Universidad del País Vasco, si queréis verla podéis hacerlo en la siguiente URL:

http://ehutb.ehu.es/es/directo/1.html

La agenda es la siguiente:

09:45 - 10:30 D-Link: Swithching [NAP,ARP-Spoofing, Hardening]

10:30 - 11:15 SmartAccess: e-DNI en AD

11:15 - 11:45 Café

11:45 - 12:30 Spectra (& Chema): TMG

12:30 - 13:15 Quest Software : Tu MAC y Tu Linux en el AD

13:15 - 14:00 Informática64 : Hay una carta para tí

Saludos Malignos!

Linuxero culé hackea la web en PHP del usurpador

¡¡¡No me lo puedo creer!!! Un pingüino del Barsa en la web del usurpador, esto es lo último que me quedaba por ver. Es como si se mezclara todo junto, todas mis aficiones. ¿Habéis visto que bonito me ha quedado el título del post?

1.- Un hacker linuxero hackeando una web en php con ese index.php que hace que parezca un CMS de esos de los que la gente suele actualizar sí o sí ... pero sólo de vez en cuando. Con su intro en flash y todo.....

2.- El usurpador del 7 en la selección española, porque todos sabemos quién es el "Real Seven".

3.- Un pingüino con la camiseta culé. El pobre Tux en todas las guerras anda metido.

Supongo que con estos tres alicientes se me podrian ocurrir muchos chistes malos y malignos. De esos de baja clase. De baja condición maligna. De vendido a IIS y Windows Server y Windows Vista. Chistes sobre el usurpador del 7 en la Selección Española.... pero no los voy a hacer. El asunto ya es un poema de por sí.

Me voy a limitar a decir...Villa, vente al Madrid, tenemos el 007 guardado para tí o el 117 si lo prefieres, y podrás tener www.davidVilla007.com corriendo en un Windows Server 2008 con IIS 7 o directamente en tecnología Java, como la web del Real Madrid... con la intro esa de Flash, en lugar de la música heavy metal que tienes, con la banda sonora de Villa... David Villa. Y podrás decir eso de: "Póngame un balón enroscado, no agitado" y jugar de compañero del gran Don Raúl González Blanco.

A mi me ha hecho gracia toda esta historia, y encima no le han destrozado la web, que hay que recordar que sólo le han hecho un defacement de la principal pero sin romperle la otra, así que lo dejamos en broma, no seáis malos... Seguro, seguro que Villa y su gente se están riendo mucho con la broma.

Pero para continuar las risas... podría seguir la historia...., no sé, quizá con una invitación a Davi Alves a que se fuera al Chelsea, que Dani, ya en el año 1970, marcaba goles que ya le decantaban como estrella rutilante según su web. Seguro que al Chelsea le parece bien.

O tal vez a Xavi Hernandez, para que se haga del Madrid. Ése sí que es bueno, ¡cojones!. Es un tipo que da solidez al equipo. ¡¡Yo lo quiero de blanco!! Decidle que venga al Madrid, que aquí jamás le pondríamos un Apache sobre Fedora con las extensiones de Front Page.

O por ejemplo....

Saludos Malignos!

lunes, junio 29, 2009

Reto Hacking...llamémosle X

El más porno de todos, Reto Hacking Web...llamémosle X... tendrá lugar.... el próximo viernes 24 de Julio a las 20:00. Lo hemos puesto en viernes para que podáis joderos el fin de semana, lo hemos puesto a las 20:00 horas para que RoMaNSoFt se haya podido echar la siesta y esté descansado... y hemos preparado un reto anti-Dani Kachakil.

Os preguntaréis...¿cómo se puede hacer un reto anti-Dani Kachakil....? Fácil... hemos analizado lo que ha estado haciendo, las herramientas que usa, lo que conoce, sus especialidades... y hemos buscado sus puntos débiles.

Creemos que con este reto se le van a escapar algunos detalles de friki malo de segunda que no va a ser capaz de salvar... Ahora, si Dani gana... soy capaz de darle un beso en los morros (esto es un aliciente para que no quiera ganar).

No, ya en broma, el reto será sobre técnicas Web, será online, como normalmente, y tendrá premios tan buenos como siempre, es decir, ni un duro y todo chorradas mías.

¿Por qué jugar? ¡¡Y a mi que me cuentas!! ¡Tú sabrás! Si quieres entretenerte un rato con pruebas sacadas desde las mentes más retorcidas del SOCtano de I64 adelante.

¿De qué va ir? Pues te deberías imaginar de que va a ir el reto, de todo lo que hemos estado enredando este año: Metadatos, Correos Falseados, Métricas de seguridad WiFi, Enviar a un amigo en web, Injecciones de Código, Buffer overflow en FreeBSD para obtener una shell.. (no, no, esto es de la Defcon...), Arithmetic BSQL, Serialized, Blind XPath Injection,... y como no ¡Consultas pesadas!.

Todo ello, por supuesto, aliñado con idéas felices, alguna fase hijaputa y mucha mala uva, que si queréis cosas fáciles salid a ligar un viernes por la noche en lugar de quedaros devanándoos los sesos con una locura de reto.

Pues ya sabéis, el que quiera participar, el día 24 de Julio a las 20:00 horas... estára disponible el Reto Hacking ...llamémosle X.

Saludos Malignos!

domingo, junio 28, 2009

¿He dicho yo eso?

Hace años, allá por el año 2003, cuando Luís Aragonés dirigía el Atlético de Madrid en una de sus fases más beligerantes, y se encontraba en plena batalla con la familia Gil pasó algo que me llamó mucho la atención. Luís Aragonés dijo en una rueda de prensa que él se iba y que no quería entrenar más al Atlético de Madrid. Los abogados de la familia Gil respondieron a esas declaraciones enviándole una carta que venía a decir algo así como gracias por haber estado con nosotros y aceptamos su renuncia.

Esto suponía que Luís Aragonés se iba sin nada de dinero en el bolsillo al ser una baja voluntaria. Luís dijo que él no había enviado ninguna carta de dimisión pero los abogados le dijeron que sus declaraciones, grabadas por todas las televisiones, suponían una carta de renuncia verbal y que ellos la aceptaban.

Al final, viendo que la había cagado y, no queriendo la familia Gil ni Luís Aragonés un juicio largo y mediático que pudiera perjudicar a ambos, llegaron a un acuerdo económico muy, muy, muy ajustadito para Luís. La familia Gil se apuntó una victoria en la sombra muy hábil.

Lo que ha pasado ahora con Vanderlei Luxemburgo, el Palmeiras y el Twitter no ha sido exactamente lo mismo, pero me ha hecho acordarme del primer hecho. En este caso Luxemburgo ha criticado la profesionalidad de un futbolista que va a ser fichado por el F.C. Barcelona en su cuenta Twitter. De ella, debe tener algún follower en la cúpula de su club que no le ha parecido bien el mensaje ese de: “Incluso si él no es traspasado (al Barcelona), conmigo no juega más” y le han rescindido el contrato.

En este caso no ha sido una renuncia verbal o algo similar, pero… supongamos por un momento que un trabajador de una empresa, en un momento de cabreo pone en su estado del Messenger, en su cuenta twitter, en su cuenta facebook o en su blog algo como “Ya no quiero trabajar en mi empresa” o similares…. ¿Podría la empresa tomar esto como una carta de renuncia pública y deshacerse de él como si fuera una baja voluntaria?

Estos aspectos que tocan la ley se me escapan siempre un poco de los dedos, pero si esto fuera así dentro de poco podríamos tener auténticos profesionales en la sombra, siguiéndote como followers malévolos…

Saludos Malignos!

sábado, junio 27, 2009

Hedonismo en soledad

El autoplacer, o el placer solitario, es un arte. El saber llenar las horas de algo que mantengan estimulado tu ser en soledad hace que uno disfrute más su vida. Los momentos en los que no hay compañía para ayudar en la búsqueda de la satisfacción intelectual, la realización personal o la motivación vital, uno debe ser capaz de obtener los mismos o resultados parecidos por medio de sus propias mañas.

Por ello aparecieron, de los juegos múltiples, lo juegos solitarios. Esos en los que no necesitas a nadie para poder enfrentarte e ellos. Es una pelea contra ti mismo mediante un conjunto de reglas. Los solitarios me molan, me ayudan a despejar la mente del trabajo, las ocupaciones y me permiten llenar espacios de tiempo estimulando mi mente.

El solitario de moda, el Sudoku, aun no está entre mis aficiones, que yo soy un clásico, pero tengo alguno nuevo entre mis opciones. El clásico Buscaminas o el solitario de cartas de toda la vida se completaron hace no mucho con el Majhong Titans que viene con Windows Vista y que consiguió engancharme.

Lo bueno de los ordenadores es que siempre tienes al cabezón como contrincante, con lo que cualquier juego se puede convertir en un solitario. El último juego al que he aprendido a jugar en el par de viajes en tren que me han llevado y traído a Valencia ha sido el que se llama “Corazones” y viene con mi amado Windows Vista.

Objetivo

El objetivo del juego es ser el que menos puntos tienes cuando se echa al primero de los jugadores. Para echar a un jugador hay que hacerle superar los 100 puntos. Tú tienes que intentar, por tanto, no conseguir ningún punto, que todos los puntos sean para los demás.

Puntos

Sólo hay dos tipos de cartas que hacen ganar puntos (malo, malo), los malditos Corazones (¿quién decía que el amor es bueno?) y la Reina de Picas (la supermalvada que te parte el corazón). Cada carta de corazones que te ganes en una baza significa 1 punto independientemente del valor de la carta. La malvada Reina de Picas son 13 puntazos del tirón, así que es muy malo, malo, malo llevársela.

En esta baza me he puesto "fino", pero no me he llevado a la malvada Reina negra
La excepción de los puntos

Si te llevas Corazones o la Reina de Picas, te anotas los puntos a excepción de una situación. Yo le llamo “La reconciliación del amor”. Si consigues llevarte todos los Corazones y la Reina de Picas te deberías apuntar todos los puntos, pero… entonces las cartas digievolucionan a una situación en la que se quieren y, por tanto, todos los contrincantes reciben un chute de 26 puntos por no creer en el amor.

El Descarte inicial

Se reparten todas las cartas y, al comenzar se pasan 3 cartas cada vez a un contrincante. De esta forma sabes algunas cartas de un contrincante. Procura quitarte las que no te gusten, pero esta es una elección difícil, pues a veces te interesará ganar para elegir el palo de la siguiente mano, o tal vez no, te interesará perder, para no ganar puntos. Por supuesto, cualquier carta superior a la Reina de Picas en el palo de Picas será muy chungo, pues con esa carta ganas a la Reina de Picas en una mano y te la llevas, así que.. huye de la Reina, el Rey y el As de picas.

Enviando regalos al compañero
Las manos

La partida la empieza el tiene el 2 de Treboles, así que siempre se empieza por Tréboles. En la primera baza no se pueden echar puntos, así que, si no tienes Tréboles tendrás que echar Picas o Diamantes, pero no puedes echar ni la Reina de Picas ni ningún Corazón.

Mano de Diamantes, como no lleva puntos..¿la gano o la pierdo?
Siempre tienes que echar del palo de la primera carta (si tienes) pero no tienes porque superar el valor de la carta. Puedes echar una carta superior o inferior. Si no tienes del palo de la carta que va la mano puedes echar cualquier otra carta. La mano la ganará el que tenga el valor más alto en el palo de la mano. Si no tienes ninguna de la carta de la mano, puedes echar una carta de Corazones. Los Corazones no son especiales y no ganan la mano, pero el que se lleva esa mano se lleva puntitos muy malos.

La veda de Corazones

Si eres mano y quieres salir con corazones no podrás hacerlo hasta que se haya roto el amor, es decir, hasta que alguien sin ser mano, no haya tenido carta del palo de la mano y haya echado una carta de Corazones. Entonces sí se puede salir con Corazones. Nada más salir los corazones, intenta abrir alguna mano de corazones con valores bajos para que alguien se gane una mano de corazones de 4 puntos e intenta meter todos los corazones que puedas cuando en la mano no tengas carta de ese palo.

Jugando corazones...
La veda de la Reina de Picas

Si no tienes la reina de picas vas a intentar que salga cuanto antes forzando manos de picas con cartas inferiores a la reina de picas. Así, se sale con el 5 de Picas, el 6 de Picas, etc… Al final, el que tenga la Reina la tendrá que echar con la esperanza de que algún pobre haya echado el Rey o el As de Picas y se la coma. Procura nunca echar el Rey o el As en una jugada de Picas si no ha salido aun la reina, pues el que la tenga te la enviará con “amor”.

El resto… son horas de juego… ya sabes como va esto de los juegos en solitario y a mi, éste en concreto, me ha parecido muy interesante por todas las posibilidades de juego que se dan. Recuerda: No te vicies si tienes que hacer otra coasa....

Saludos Malignos!

viernes, junio 26, 2009

Cursos de Seguridad gratis en Madrid

Durante el mes de Julio, desde Informática64, vamos a participar en dos proyectos de formación para desempleados que van a tener lugar en las instalaciones de la Comunidad de Madrid en Getafe, sí, en ese lugar dónde solemos celebrar los eventos. En este caso van a ser dos curso de 100 horas cada uno que van a estar dedicados a Seguridad Informática.

Desde el día 6 de Julio, con una duración de 5 horas cada día, hasta el día 31 de Julio, impartiremos dos cursos, uno en horario de mañana y otro en horario de tarde, para personas desempleadas en la Comunidad de Madrid.

Los únicos requisitos que hay son estar en el paro (o en situación de mejora de empleo), estar en Madrid y pasar una pequeña prueba de acceso. La prueba de acceso será un pequeño test de conocimientos básicos sobre informática, redes y sistemas operativos. Ya sabéis, a que huele una IP, de que sabores son los valores Unicode o que linuxero es peor... o algo por el estilo, que con tanta viagra mezclada con Red Bull lo mismo me estoy equivocando...

Cada curso tiene 15 plazas y para acceer al mismo hay que ir a la prueba de selección que se realizará el próximo día 30 de Junio a las 10:00 horas´en el “Centro de Formación en Tecnologías de la Información y las Comunicaciones - Madrid Sur” del Servicio Regional de Empleo de la Comunidad de Madrid que está sito en la Avenida Arcas del Agua s/n, CP: 28905, Getafe (Madrid).

Si quieres acceder a una plaza a coste cero y contando con los profesores más sexies y simpáticos de todo Móstoles tienes que estar allí, limpio, aseado y bienoliente (que ya sabemso que con los calores del verano los olores se disparan...). Una vez allí tienes que preguntar por Marina López o Elena Vargas, o indicar en la caseta de información que vienes a realizar la prueba de nivel para los cursos de seguridad Informática.

No, no da puntos decir que eres colega de El Maligno, ni tener una foto conmigo, ni confesar lo de aquella noche en la que... no. Tienes que pasar la prueba de nivel, que no será dificil si sabes algo de informática. Entended que no podemos dar un curso de seguridad informática sin algún conocimiento previo.

Los que estáis trabajando no podéis acceder a estos cursos salvo que estéis en situación de mejora de empleo. Sí, es una putada no poder acceder a ellos pero... coño! alegraos como yo que tenemos trabajo en estos tiempos que corren, joder!.

Además, de estos cursos siempre acabamos enganchando a algún pardillo despistado... digo... alguna joven promesa que incorporamos a la lista de descerebrados que conforman la lista de elementos del SOCtano, así que lo mismo, además de aprender algo, acabas arruinando tu futuro currando con nosotros...

Los que estáis currando o estáis fuera de Madrid... tenéis otras alternativas, como por ejemplo apuntaros a alguna de las otras cosas que hay en agenda:

- 30 de Junio: [Bilbao] Summer of Security [*]
- 1 a 31 de Julio: [Madrid] Hands on Lab (con nuevos hols!)
- 7 de Julio: [Salamanca] Curso de Verano de la USAL [*]
- 14 de Julio: [Barcelona] Summer of Security [*]
- 14 a 17 de Julio: [Barcelona] Auditoría Web con la Escola de Prevenció i Seguretat Integral [*].
- 20 al 31 de Julio: [Barcelona] Hands On Lab
- 21 al 23 de Julio: [Bogotá - Colombia] Seguridad Web [*]
- 22 al 26 de Julio: [Tenerife] TNF Lan Party

[*] Estaré yo dando el coñazo...

Saludos Malignos!

jueves, junio 25, 2009

¿Por qué mis correos llegan como Spam?

Esta es una de las preguntas que más me hacen siempre que hablo de algo que tiene que ver con correo electrónico. Tiempo ha me hicieron escribir una lista de medidas para mejorar los resultados en los motores antispam de los correos electrónicos legítimos emitidos por una empresa. Aunque no son todas las medidas que se pueden aplicar, ésta es una buena lista de precauciones.

Muchas de las verificaciones que se realizan para validar o no un correo se realizan sobre la dirección IP del servidor utilizado para enviar el correo electrónico, para tener una IP cuidada es recomendable.

1.- Marca las IP de los servidores autorizados para enviar correo en tu dominico con el registro SPF en el DNS. Esto hará que las comprobaciones del registro SPF de Sender Policy Framework y Sender ID sean positivas.

2.- Comprueba que tus IPs no estén en listas RBL (Real-time Blackhole List). Si tu IP cae en una de estas listas muchos de los servidores no aceptarán tus correos. Ten siempre una IP de backup limpia e intenta, cuando caiga, sacarla de todas las listas. Muchas se alimentan las unas de las otras, así que revisa todas.

3.- No compartas la IP con varios dominios si es posible y menos si no los controlas tú, ya que la IP pude caer en una RBL tanto por mal uso de tu dominio como por mal uso de cualquier otro.

4.-Ten la IP a nombre de tu empresa e intenta controlar los registros PTR. Algunos filtros comprueban el valor del registro PTR en el DNS para autenticar el nivel.

5.- Actualiza el software y configúralo de forma segura. Los filtros de reputación realizan comprobaciones reversas para ver si está mal configurado el servidor y puede ser víctima de los spammers. Si es así, no admiten correos de tu dominio.

6.- Firma digitalmente tus correos con DKIM para que se puedan autenticar el dominio del emisor aquellos dominios que hagan uso de él.

7.- Evita correos con múltiples destinatarios o contigo mismo en el destinatario, eso suele hacer subir el SCL (Spam Confidence Level) del correo.

8.- Usa antivirus en el correo saliente. Si un usuario de tu red queda infectado puede intentar infectar a otros mediante el envío del malware por correo electrónico. Si un dominio detecta que le llega malware de tu dominio meterá tu IP en las RBLs.

9.- Si tu correo sale por la misma IP que por la que sale, es decir, si el MX y el SPF son iguales, aunque es peor para la redundancia de seguridad, es mejor para aumentar el alcance de los correos, ya que alguno aún utiliza como comprobación el filtro de Reverse MX Lookup.

10.- Y la más importante... no seas spammer y haz un uso correcto del correo electrónico.

Saludos Malignos!

No Lusers 71: Juega con tu Amiga

miércoles, junio 24, 2009

Regreso al lugar del crimen

Al final de los eventos de la gira Up to Secure que hicimos durante Enero y Febrero, los asistentes preguntaban y si no le gustaba la respuesta de los ponentes nos podían hacer beber. En Valencia, al igual que en Tenerife, faltó el ponente de Spectra, con lo que yo hice dos sesiones. Para diferenciarlas, decidí dar la segunda de las dos sesiones más a mi estilo, es decir, con una camiseta de las mías bonitas, gorro de rayas y pelo suelto.

En Valencia, al final de mi sesión, ya en la ronda de preguntas, estaba yo con un tercio de cerveza, el gorro de rayas, las melenas y una camiseta de Gene Simons de Kiss que tengo yo que mola mucho diciendo alguna de mis macarradas, cuando entró la responsable de las instalaciones...y debió quedarse un poco... "sorprendida" de la imagen.

Supongo que no se llevó la mejor de las impresiones, ya que no me conocía de antes, de lo que ella esperaba que fuera un ponente de una conferencia en la Bolsa de Valencia. Quiso el destino que aparecieran después de la conferencia dos sillas con el respaldo roto, de lo que fue debidamente informada.

Viéndolo fríamente, desde fuera, poniéndome en los ojos de la responsable, supongo que lo que pasaría por su mente sería que allí, en lugar de una conferencia había tenido lugar una reunión de activistas/macarras antiglobalización que habían tomado la bolsa y no me extraña la bronca que me comí.

Sorprendentemente, la comprensión de la gente de la Bolsa de Valencia permite que podamos regresar al mismo lugar mañana, a dar una conferencia. Si es que el mundo está lleno de buena gente… Así que a portarse bien todos mañana.

Saludos Malignos!

PD: Mañana, el que asista a la charla, que lo haga con cuidado de las sillas... Y los que vengáis esta noce a tomar algo, ya sabéis que hacer

No Lusers 70: Digievolución

martes, junio 23, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (V de V)

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

Comprobaciones para saber si un correo es legítimo o no

La pregunta que uno se puede realizar es … ¿por qué no se utilizan todas las medidas disponibles? Supongo que es el eterno problema de balance entre seguridad y carga de trabajo, porque si no, no parece demasiado lógico.

Teniendo en cuenta que todas las cabeceras SMTP pueden ser comprobadas desde los interfaces web de Gmail, Hotmail y Yahoo!, el siguiente es un árbol de decisión que se puede aplicar para decidir si un correo recibido es o no legítimo. Hay que tener presente que se tiene como base supuesta que:

A) No hay un bug de DNS como el descrito por Kaminsky.
B) Realizar IP Spoofing hoy en día en consultas al DNS en Internet es difícil.
C) La conexión es desde una red segura sin MITM.

Si esos condicionantes se dan en tu situación, entonces es posible realizar el siguiente algoritmo para obtener más y mejor información sobre la legitimidad de un correo electrónico.

PRIMERO: Comprobación de DKIM

A) Si el correo viene firmado con DKIM y está comprobado deberemos tomar el correo como Legítimo.

     - Yahoo!: Se hace automáticamente y pone un icono de autenticado.

     - Gmail: Realiza la comprobación pero sólo aparecen en la cabecera SMTP y no en el interfaz web. Hay que comprobar que la firma DKIM aparezca como autenticada.

     - Hotmail: no realiza la comprobación DKIM por lo que en la cabecera SMTP aparecerá la cabecera DKIM pero hay que hacer la comprobación de la firma manualmente (Poco divertido).

B) Si no viene firmado se debe comprobar la política del servidor DNS de la organización respecto a DKIM comprobando si existe política de fallo respecto a DNS, es decir, si en el registro _domainkey.dominio.com aparece la opción o=–.

     a. Si aparece la opción o=– entonces el correo deberá ser tomado como Ilegítimo.

     b. Si no aparece la opción o=– porque o no hay política, como en el caso de Gmail, o aparece la opción o=~, se debería pasar al paso SEGUNDO.

SEGUNDO: Comprobación de firma SPF

Se comprueba el registro SPF del dominio del remitente.

A) Si este tiene registro SPF se comprueba la dirección del servidor de envío contra la lista de IPS permitidas por el registro SPF y la política spf de comprobación: spf1 - spf2/mfrom - spf2/mfrom,pra - spf2/pra.

     a. Si la IP cumple y los valores del remitente o del pra entonces se marca el correo como Legítimo.

          - Hotmail lo pone en la bandeja de entrada sin alertas.

          - Gmail hace la comprobación pero sólo se puede ver en la cabecera SMTP del correo.

          - Yahoo! no hace la comprobación y habría que realizarla manualmente (poco divertido).

     b. Si no, se comprueba la política de fail o softfail:

          - -all: Se debería marca como Ilegítimo.

               - Hotmail lo hace automáticamente y el correo llega con alerta roja a la carpeta de SPAM

               - Gmail lo comprueba pero sólo se puede ver en la cabecera SMTP.

               - Yahoo! no lo comprueba.

          - ~all: Se debería marcar como Dudoso.

               - Hotmail lo pone con una alerta en amarillo en la carpeta de correo no deseado.

               - Gmail lo comprueba y se puede ver en la cabecera SMTP solamente.

               - Yahoo! no lo comprueba.

B) Si no tiene registro SPF se comprueban los valores MX del dominio del remitente. Esta comprobación no es realizada ni por Yahoo!, ni Hotmail ni por Gmail y dejan recaer el resto de alertas en filtros antispam.

     a. Si la IP del servidor que ha entregado el mail es una de los intercambiadores de correo, entonces el correo se marca como Legítimo.

     b. Si la IP no es una de los servidores MX entonces se marca como Dudoso.

Toda esta lógica de detección de correos legítimos o no legítimos ayuda a valorar mejor la autenticidad de los remitentes de correos electrónicos en aquellos entornos en los que no se utilizan firmas digitales. Hay que recordar que el uso de S/MIME o PGP es mucha mejor garantía para comprobar el remitente de un correo. Estos sistemas descritos en este artículo, basados en dirección IP de los servidores, no muestran ninguna diferencia cuando hay servidores vulnerados o mal configurados que pueden ser utilizados por atacantes externos o internos de la red para suplantar remitentes.

Por último, me gustaría recordar que, independientemente que uses o no este método, debes tomar como falsos todos los correos que se suponga que has enviado tú y no lo hayas hecho.

Saludos Malignos!

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

lunes, junio 22, 2009

El Manchester United a por Vitor Baia

Y es que podía haberse puesto cualquier otra noticia similar y hubiera sido igual de impactante y falsa. La historia viene porque en la web del periódico AS publicaron ayer una noticia en la que decía que el Manchester United estaba preparando la web para Iker Casillas.

Esta información había sido deducida por un periodista en un momento de epifanía tras las barbacoas del fin de semana y tras contarle alguien que en este link aparecía el nombre de Iker Casillas en la web.

Iker en la web del Manchester
A partir de ahí, notición en la web del As.

La cagada de noticia
La explicación es más simple, en la base de datos que da soporte a la aplicación web del Manchester United hay una tabla de jugadores internacionales de todos los tiempos, tanto del Manchester United como no. La pagina web que muestra la ficha de los jugadores de la primera plantilla tira de esa tabla. Basta con manipular los valores del campo bioid para acceder a datos de otros jugadores. Sin embargo, como se puede ver, no aparece información relativa a su fichaje por el United.

Esto puede ser problematico o no dependiendo de la información a la que se acceda, pues si toda es pública, entonces el único perjudicado es el que la ve de esta forma, es decir, el que ve la informaicón pública mal formateada. Sin embargo, la predicción de información por manipulación de parámetros predecibles puede ser un riesgo para la seguridad en una empresa si se llega a acceder a un dato sensible.

En este caso concreto se podría lanzar una sesión con una petición masiva de valores de bioid para ver que información saca por pantalla. Yo he probado alguno y me ha tocado... Vitor Baia, así que he puesto mi propio titular.

Vitor Baía al United
Tú puedes hacer tu jugada y ver quién te toca, el que genere más revuelo gana.

Lo que me llama la atención es como una web mal formateada puede generar tanto movimiento. La respuesta debe ser el futbol, que mueve masas y mucha pasta, pero tras ver esto, no me queda ninguna duda que la importancia de los ataques de XSS, persistentes o no, los de phising cutres y los de ingeniería social siguen siendo los putos amos.

Saludos Malignos!

domingo, junio 21, 2009

Avón llama a tu puerta

Durante este último año me he encontrado entrando en algún bar o cafeteria de alguna ciudad a desayunar y oir a alguien decir: "Coño, si es El Maligno". Así, como si yo fuera Antonio Banderas o similar, un "alguien" famoso, algo que no va mal dentro de mi rol de Security Porn Star.

De entre los que han coincidio en una cafetería conmigo y me han dicho algo están los que me han invitado a desayunar, los que ya tenían pagado lo suyo y, los que me conocen más y saben que soy un pardillo, y me han sacado el desayuno al viejo estilo de "Venga macho, que sabemos que estás forrado".

Supongo que alguno otro, aparte de los que me solicitan hacernos alguna foto, los que me piden que les firme unos gallumbos, un autógrafo o símplemente los que vienen a charlar conmigo, hay otros que me habrán visto, pero no han dicho nada. A mi no me importa que me digáis nada a mi, pero si me habéis visto... "por ahí"... no lo publiquéis ni lo digáis a nadie....

Ahora que llegan ya los seis meses cumplidos, es el momento de recapitular algunos momentos de este periodo, como suelo hacer siempre, pero aun quedan los últimos momentos del Semestre, del H1 o del H2 (según el año fiscal por el que te rijas), del Q2 o símplemente de las W23 y W24 para que salga alguna foto o anecdota curiosa.

En este caso, la gira de Summer of Security nos va a llevar la semana que viene a, tal vez tú casa, como el representante de Avón. Vamos a empezar por Vigo el día 23, lo que quiere decir que la noche del 22 estaremos por allí de cena "y lo que surja", el día 25 a Valencia, con lo que el día 24 noche estaremos por Valencia "para lo que vuelva a surgir" y el dia 30 en Leioa, con lo que el día 29 estaremos por Bilbao "para tomar unos algos".

Después, el día 1 de Julio, miraré en mi ordenador, buscaré las fotos del semestre, recordaré las cagadas más chulas y haré un balance personal... Tal vez estés tú en mi balance, como otras veces....

Saludos Malignos!

sábado, junio 20, 2009

Juanquers peligrosos

A veces los veo entre el público, otras veces recibo sus mails y yo me asusto. Son “juanquers peligrosos”. No, no son Hackers, quiero decir que son juanquers peligrosos. Observan con la mirada medio cerrada, como si pudieran esconder sus verdaderas intenciones detrás de los parpados. Hablan poco con los compañeros, pues tienen un movimiento anarkopunkorebeldeblackhacktrackpatacracktista para acabar con la opresión mundial.

Han empezado por el colegio, o por el laboratorio de la universidad o por el ordenador de la secretaria de la empresa dónde trabajan en prácticas a la que la han calzado un troyano a ver si la pueden grabar los días de primavera cuando viene descocada con la webcam sin que ella lo sepa.

Han entrado en varias webs, y han puesto mensajes amenazadores para acabar con el mundo del tipo: “Esta web de frutos secos alimenta el pútrido olor del sistema capitalista. Asesino Maldito_16_KatarPower Pwned you!! Go killersAnarkoPunkAssasins_Ciber_Team” y ya tienen un plan para acabar con la SGAE y especialmente con su sacrílego maestro Palpatine Ramoncín que han ideado a base de quedadas secretas en el WoW a la que sólo puedes asistir si eres más que Enano 50 o brujo 47, todas ellas, coordinadas a través de foros privates de acceso tras prueba de nivel para ver si eres juanquer peligroso o no.

Me asustan, sé que debo tener cuidado con lo que digo, no quiero ofenderles, no quiero que me pwneen el blog o me roben el Messenger que uso para ligar. Me hacen una pregunta, con voz tenue, es un hilillo de voz profunda, como la de garganta profunda (no, no el de las pelis del cine ese, llamémosle X) el del escándalo guatergeeeeeeeeeite. Al finalizar la pregunta mira serio, no observa, está wiretapping mi respuesta. He de andar con pasos cautelosos, me están evaluando. ¿Pasaré o no pasaré el examen?

Después, pasado el momento de tensión, y ya en el momento del catering, le veo entre el resto de los asistentes. No, dios, catástrofe. Uno de los asistentes le ha quitado el último croissant y él le mira con sentencia de muerte. “Tu web está muera lamer”, está pensando él. “Tengo un troyano con el que te voy a juanquear todas tus redes desde la IP 192.16.8.1 hasta la 192.168.8.999, no se va a salvar ni la Wii de tu señora, que seguro que sólo sabe usar el Office y mal”. Es un juanquer peligroso, no quiere que le reconozcan, se esconde en el rincón y vuelve pronto a la sala. La venganza se toma fría.

Otras veces son mails anónimos que llegan a señoras mayores o niñas adolescentes de juanquers peligrosos que les han robado su cuenta de Messenger y les mandan mails diciendo: “si kierez retornar tu pasword manda una foto desnuda a la siguiente dirección de mail: amorosoyasesino16@gmail.com”.

Ten cuidado, no los provoques, no los bannees en los IRC, no los menosprecies en los foros, no te fíes del chico tan majo del almacén que te “arregla siempre el ordenador”, no cojas un croissant aleatoriamente en un catering, no le mires mal, son juankers peligrosos y te pueden juankear hasta el telefonillo de casa.

Saludos Malignos!

viernes, junio 19, 2009

Rogue AP en Windows con Intel My Wifi

Una de las aproximaciones más interesantes para el robo de información en redes WiFi es la de la suplantación del punto de acceso o uso de lo que se llama Rogue APs. La idea de esta técnica de ataque es conseguir que la víctima se conecte al equipo del atacante, que funciona como un punto de acceso legítimo, para que sea éste el que redirija el tráfico. Es una forma sencilla de realizar un ataque de Man In The Middle ya que al estar el atacante realizando funciones de AP va a poder interceptar absolutamente todas las comunicaciones.

Para que el ataque tenga efectividad, es necesario que la suplantación de un AP legítimo sea lo más real posible, por lo que se debe recrear un entorno de red con las mismas características en el Rogue AP a las del AP legítimo, copiando para ello el BSSID, ESSID, las configuraciones de seguridad de la red y, por supuesto, la clave.

Tradicionalmente la suplantación del punto de acceso se ha hecho con sistemas operativos Linux, haciendo uso de tarjetas y drivers específicos En este artículo vamos a ver cómo realizar esta misma suplantación haciendo uso de la tecnología Intel® My Wifi de una forma muy sencilla.

Intel My WiFi

A principios de 2009 Intel® anuncio la tecnología Intel® My Wifi con el objetivo de dotar a los equipos personales de la capacidad para crear pequeñas redes Wifi personales. El objetivo es que se puedan conectar todos los diferentes dispositivos, como son teléfonos móviles, discos duros multimedia o similares en una red para facilitar la vida del usuario. El limite son 8, pero es más que suficiente para esta prueba.

Esta tecnología funciona únicamente bajo los Sistemas Operativos Windows Vista y Windows 7 y con los portátiles con tecnología Centrino 2, que vienen dotados de los chipset WiFi Link 5100 o WiFi Link 5300.

Esta tecnología es, por tanto, perfecta para la creación por software de redes WiFi a la carta con la configuración del AP con las características deseadas. En este artículo se muestra cómo utilizar esta tecnología para realizar la suplantación del AP en un Windows Vista x64 con la tarjeta Intel WiFi 5100.

Configuración de la red

En primer lugar se descarga el software proporcionado por Intel, en la versión adecuada del Sistema Operativo y se instala de forma personalizada, para incluir la tecnología Intel® My WiFi, como se ve en la imagen 1. El software puede ser descargado desde la siguiente URL: Intel My Wifi

Imagen 1: Instalación de Intel® My WiFi
Una vez instalado el software, si se inspecciona el panel de administración de dispositivos se podrá comprobar que se han creado una serie de nuevos adaptadores de red creados por el software para la creación de las redes.

Imagen 2: Dispositivos instalados
A partir de este momento se dispone de una aplicación gráfica, accesible desde la barra de tareas donde se puede activar y desactivar la creación de una red WiFi personal.

Imagen 3: Aplicación Intel® My WiFi
Creación de un perfil de red

Mediante la herramienta de gestión de perfiles se configura la red WiFique se quiere crear o suplantar, como se puede ver en los pasos siguientes. Inicialmente se deberá configurar el SSID de la red junto con el nombre del perfil.

Imagen 4: Configuraciónn SSID y nombre del perfil
En la pestaña de seguridad se define el tipo de red a crear. En este ejemplo se ha configurado una red WEP pero es posible configurar redes con tecnologías WPA/WPA2:

Imagen 5: Configuración de la seguridad de la red
La siguente decisión de configuración será sobre las opciones de red. En este caso el software tiene la posibilidad de funcionar como un servidor DHCP y DNS o redirigir el tráfico de otra red así como la conexión a las otras redes.

Imagen 6: Configuración de uso compartido de la red
Por último, se configura el canal por el que se desea que funcione esta rede WiFi.

Imagen 7: Configuración del canal
Una vez configurado el punto de acceso, es necesario crear el puente de red entre la red WiFi que estamos creando y la red que tiene el equipo configurada para la conexión a Internet. Esto es necesario para poder enrutar el tráfico entre la red WiFi que se está creando e Internet y que cuando un usuario se conecte al punto de acceso se le asigne la configuración de red adecuada para conectarse a Internet. Para configurar esta opción basta con aplicarla desdes el administrador de dispositivos de red como se ve en la Imagen 8.

Imagen 8: Creación del puente de red
La configuración del puente variará según la red que se esté deseando crear, en este caso se marca que se obtenga la dirección IP de forma automática. Como se ha desactivado la asignación de IPs en el perfil de My WiFi y se permite el uso de redes compartidas, cuando la víctima se asocie al punto de acceso la red le proporcionara la configuración IP adecuada y el cliente podrá hacer uso de la red como se puede ver en la Imagen 9.

Imagen 9: Cliente conectado a la red personal
Consideraciones finales

No será necesario realizar nada especial para estar en medio ya, como todo el tráfico pasa por el atacante, es decir, por el Rogue AP, éste podrá hacer uso de cualquier analizador de red, como por ejemplo Wireshark, para capturar todo el tráfico de red no cifrado y analizarlo:

Iamgen 10: Wireshark inspeccionando el tráfico de red
Como la configuración del AP se realiza sobre un adaptador de red, la configuración de una MAC concreta en el rogue AP será igual que cambiar la MAC de esa tarjeta. Logicamente, una vez configurado un rogue AP exacto, si se desea reconectar los clientes actualmente conectados habría que realizar un ataque 0 de desconexión. Todo ello lo vimos ya en los artículos de Atacar WPA/WPA2 PSK y Crackear WPA/WPA2 PSK.

Por último, hay que resaltar que esto es muy peligroso y puede hacer que aparezcan muchas "falsas redes Wireless sin protección" rulando por ahí que estén pensadas como redes trampas para aquellos amigos de lo ajeno así que, si por un casual te conectas a una red wireless insegura de forma legítima o ilegítima, toma precauciones.

Artículo escrito por Alejando Martín y Chema Alonso.

jueves, junio 18, 2009

OpenLDAP Baseline Security Analyzer

Unas de las herramientas que más me gustan de los productos de Spectra son los Baseline Security Analyzer que empezaron a surgir a raíz del naciemiento de la TCI. La primera de ellas fue el MBSA, una herramienta útil y práctica que ayuda a conocer el estadodo de seguridad de los equipos en una red mediante la comprobación de los niveles de parcheo, la política de contraseña, la configuración del IIS y algunas opciones más.

A partir de esa idea fueron apareciendo productos similares centrados en servidores concretos que no sólo miraban la política de seguridad sino que además se centraban en configuraciones robustas, ajustadas a rendimiento o adaptadas a las necesidades que cada instalación necesita. Así, nacieron los Best Practices Analyzers. Primero el de dedicado a Exchange Server [EXBPA], después del de SQL Server [SQLBPA], el dedicado a ISA server, que incluso termina con el diseño de las reglas y la red configurada en Visio [ISABPA], etc...

Inmaculada Bravo, administradora de los servidores LDAP de la USAL, y activa linuxera del demonio, tiene el mal de los que nos dedicamos a esto con pasión, así que, años después de estar trabajando se mantiene estudiando en la Universidad, en este caso en la UOC, un postgrado dedicado al Software Libre. Cuando llegó el momento de entregar el Proyecto de fin del Postgrado me preguntó: "Oye Maligno, ¿de qué puedo hacer un proyecto de software libre que pueda ser útil a la comunidad para darte en el hocico?". Y yo la animé a hacer un proyecto similar a los BSA/BPA que tanto me gustan de Spectra para OpenLDAP, donde ella pudiera volcar toda su experiencia para ayudar a otros administradores de servicios LDAP sobre Open LDAP. Y asi nació OpenLDAP Baseline Securiy Analyzer.

Este proyecto está basado, ahora mismo, en un fichero XML de preguntas y respuestas que interroga a los administradores del servicio sobre todos los aspectos que te se tienen que tomar en cuenta a la hora de fortificar un servicio Open-LDAP. Este cuestionario está creado con el leguaje OCIL (Open CheckList Interactive Language), que es un formato XML creado para interrorgar al administrador mediante un interprete. Este lenguaje fue creado por el NIST americano bajo la iniciativa SCAP (Security Content Automation Protocol) del gobierno americano, acogida en Mitre, que pretende poner fin a los problemas de automatización en la gestión de seguridad en cualquier entorno.

Cuestionario Open-LDAP BSA sobre OCIL
El cuestionario, en su versión actual, obliga al administrador a repasar las configuraciones de su árbol LDAP teniendo en cuenta los siguientes aspectos de seguridad:

1.- Bugs en el software
2.- Accesos al sistema de archivos del servidor
3.- Robo de credenciales
4.- Acceso a los datos transmitidos
5.- Conseguir credenciales utilizando "fuerza bruta"
6.- Inyecciones de código en aplicaciones web
7.- Modificación de datos
8.- Denegación de servcio
9.- Google y ficheros olvidados en un servidor web

Hoy en día el cuestionario está sólo en castellano y los resultados son una lista de Pass o Fail que le marcan al administrador el camino a seguir para una mejor pero, por supuesto, el proyecto va a seguir andando con una tradución al inglés y con la posibilidad de poder crear una métrica que cuantifique un grado de seguridad.

El proyecto se hizo publico por la lisa interna de administradores de Red Iris y se pidió la colaboración para testear las preguntas contra las configuraciones de diferentes árboles LDAP en real. El feedback que se ha obtenido ha sido muy interesante, pero cualquier sugerencia de mejora será bien recibida.

Inma, por su parte, se ha comprometido conmigo a enseñarnos a fortificar bien un OpenLDAP en la sesión del Módulo VII del FTSAI que empieza mañana, pero tú puedes descargarte la herrmamienta y repasar la seguriad de tu árbol desde la URL dedicada al proyecto: http://openldap-bsa.forja.rediris.es/

Saludos Malignos!

miércoles, junio 17, 2009

El padrino Florentino

El veranito que se avecina está siendo de lo más divertido en cuanto al mercado de fichajes debido al retorno de El Padrino al Real Madrid. Tanto revuelo ha causado el cierre de los fichajes de Kaka y Cristiano Ronaldo que incluso algunos políticos querían limitar las inversiones financieras en fichajes. "Es un escándalo", dicen algunos, "Pornografico!", dicen otros. A mi me parece muy bien que vengan los grandes jugadores al Real Madrid, que Don Raúl Gozález Blanco tenga buenos escuderos para tener un mejor equipo. Además, ya le dijo Valdano a David cuando vino... sí, muy bonito el 7, pero ...¿qué te parece el 23? y ahora CR7 va a pasar a ser CR9. Es lo que toca.

Yo, viendo que ya se vende la camiseta de Kaka en la tienda oficial del Real Madrid y que el ambiente está caldeadito por si llega Villa, Forlán, Ribery o Xabi Alonso, me he animado a hacer mis propios fichajes este verano así que...

Anuncio oficilamente el fichaje de José Parada, "el abuelo", para los próximos tres eventos de la Gira Summer of Security que tendrán lugar los días 23 de Junio en Vigo, 25 de Junio en Valencia y 30 de Junio en Bilbao (Leioa).

Han sido duras las negociaciones y ha habido que incluir en la ficha del jugador unos centollos, unos chuletones y unas copas "rejuvenecedoras" que deberán ser abonadas la noche de la concentración. No hay problema, siguiendo el espíritu Florentino creo que las ventas de camisetas se van a disparar con la llegada de "el abuelo". Tengo un plan de marketing listo para ello.

Con la llegada de "el abuelo" para jugar como extremo, a mi me queda mucha más libertad en el campo para jugar de mediapunta, con lo que se va a añadir una nueva sesión a la agenda que se va a titular "Hay una carta para tí" y que va a versar sobre las cositas vistas en las dos series de artículos de "Enviar a un Amigo" y "Correos Falseados en Yahoo!, Gmail y Hotmail", por supuesto, con las demos en directo.

La agenda quedará por fin de la siguiente manera:

09:15 – 09:30 Registro

09:30 – 10:15 Red segura con tus switches.

Xavi Campos, de D-Link, dará una sesión para que tu red esté segura desde los cimientos. La tecnología D-Link permite fortificar tus conexiones, evitar técnicas de MITM e, integrado en el AD con 802.1x y la tecnología NAP dejar una rede integrada con tu servidor Windows 2008 totalmente controlada.

10:15 – 11:00 Se tú en tu AD.

España es un país puntero que cuenta con uno de los documentos identificativos más punteros, el e-DNI y esa herramienta puede convertirse en el único token necesario para que tus empleados se autentiquen en tu Active Directory. Rames Sarwat de SmartAccess, mostrará como es posible integrar el e-DNI en el AD y acabar de una vez con cualquier otro sistema de autenticación. No más "se me ha olvidado la password".

11:00 – 11:30 Café.

11:30 – 12:15 Gestiona todas tus máquinas con el AD.

Cada día los entornos empresariales son más heterogéneos y se necesitan más y mejores herramientas para gestionar de forma segura tus equipos. El Active Directory es la solución ideal para gestionar tu red de ordenadores. Con vintella Integration Services vas a poder extender las funcionalidades del Active Directory para gestionar incluso tus puestos de trabajo *NIX.

12:15 – 13:00 Microsoft TMG.

Evoluciona los firewalls de tu empresa. Durante esta sesión José Parada, "el abuelo", de Microsoft, mostrará las novedades de seguridad en la solución Firewall L-7 de Microsoft. Controla la seguridad perimetral de la red corporativa a todos los niveles y publica, de la forma más segura, tus servicios a Internet.

13:00 – 13:45 Hay una carta para tí.

El uso de certificados digitales para el envío de correos electrónicos que garanticen el emisor del mismo es la única medida segura. Sin embargo, mientras que el uso de los mismos no sea masivo las compañías han desarrollado soluciones basadas en la identificación de los servidores legítimos de correo saliente. Soluciones como SPF o DKIM son implementadas por los principales motores de correo electrónico, pero....¿Ofrecen los sistemas de correo electrónico medidas para detectar correos falseados de verdad? Chema Alonso, de Informática 64, dará esta sesión.

13:45 - 14:00 Ruegos y preguntas.

Así que nada, si quieres ver a este cartel de estrellas: Xavi Campos, Carles Martín, Rames Sarwat, José Parada y Chema Alonso, no faltes al campo. Compra tu abono y recuerda que la reventa está perseguida.

Saludos Malignos!

martes, junio 16, 2009

Cambio de horario

"Es la hora de los hackers", que diría un amigo mío, "y tu no deberías estar por aquí". Y lleva razon porque yo soy lo que se viene llamando una gallina, me gusta acostarme pronto y levantarme pronto, pero desde que he regresado de San Francisco no he sido capaz de hacer el cambio horario… y es una mierda increíble. Me toca trabajar en GMT+1 pero mi cuerpo no es capaz de dormir en esa franja horaria… y estoy que voy a tener que drogarme.

Lo cierto es que después de acostarme me he desvelado completamente a las tres horas. Lo cierto es, que a primera vista no está nada mal este momento, ya que he podido aprovechar para hacer cosas: He preparado la charla de mañana, he leído una media horita uno de los 14 libros, dedicado éste a Superman y ambientado en 1935 (con lo que os podéis imaginar el subidón), que me compré en San Francisco, he hecho algunas pruebas con el correo electrónico y las cabeceras SMTP, etc... ¡Todo Genial!

La putada vendrá mañana, cuando esté destrozado a medio día. Y es que he conseguido dormir algo así como 9 horas en tres días y ya los parpados de los ojos me pican un poco. Sin embargo, por otro lado, empiezo a pensar que la ausencia de sueño sí que pone el cerebro en un estado de excitación permanente “curioso”, pues no paro de pensar en cosas que hacer. Es una paradoja, cuanto más cansado estoy, más pienso en hacer cosas. Encerradme.

Ya que no hay nadie en el Messenger a estas horas para chatear, ya que he cotilleado en Facebook, ya que me he leído la última hora deportiva y los blogs “amigos”, he pensado que mejor quitarme el post de mañana ahora mismo y cuidar del blog, así tengo una cosa menos en la lista de ToDo. Lo primero que he hecho ha sido volver a permitir los comentarios anónimos, a ver si ya ha escampado el ataque de spam. ¡Enhorabuena a los que han sufrido sin poder decir nada bonito, que ya pueden!

Ahora he de postear algo, pero… joder, ya llevo casi un folio de introducción y no es plan ahora cascaros un artículo de esos de “leer después”. Sería de muy poca clase por mi parte haceros leer hojas y hojas de alguno de esos artículos, siempre tan acertados y que tanto os gustan, que tengo en el canasto de las chufas, guardados para momentos de baja inspiración maligna.

Montar un flame es una opción siempre disponible. Es algo rápido y directo, algo así como… “Qué gilipollas esos que creyeron que Bil Gates se refería al proyecto de Extremadura, ¿eh?”. Además, siempre podría pedirle a Filemaster que ande por aquí con sus comentarios para protegerme, como cuando juega de defensa al rugby. Pero eso tampoco estaría bien, de hecho creo que me debo estar haciendo menos maligno pues lo dejé pasar desde el primer momento.

Otra opción sería poneros un No Lusers, pero las dos tiras que tengo acabadas están sin escanear, así que “los amantes” de mis dibujitos deberéis esperar. Respecto a esta parte del blog me siento como el anuncio ése del hombre que va a pedir algo al banco y le pone a sus gemelas bailando antes de firmar. Si no lo entiendes, no busques explicación.

Contaros mis aventuras y chascarrillos del anecdotario es siempre divertido, pero para eso necesito estar de muy buen humor. No me sale contar anécdotas si no estoy animado, medio achispado o rodeado de amigos. Y ahora con el puto Jet lag estoy yo como para tomar copas… aunque … a lo mejor….

En fin, que no me quiero liar más y a lo mejor vosotros estáis tan lucidos que no habéis pillado ninguno de los chistes. O a lo mejor tienen gracia en mi cabeza sólo por la falta de sueño. Lo más acertado va a ser no postear nada hoy y mejor posteais vosotros en los comentarios si os da la gana. Ya sabéis, seguro que han pasado cosas interesanes por el mundo mejores que el que yo tenga Jet Lag.

Saludos Malignos!

lunes, junio 15, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (IV de V)

En la bandeja de entrado y con alerta positiva
Yahoo! recibiendo un correo electrónico falso desde un dominio Yahoo.com

Como es de suponer, este correo no llega firmado por ningún servidor, por lo que no puede comprobar ninguna firma DKIM. Sin embargo, la política de Yahoo! es no mostrar ninguna alerta negativa.

Sin alerta a la bandeja de entrada
Esto es porque la configuración que tiene el sistema DKIM de Yahoo! en sus servidores es de softfail, es decir, no garantiza que todos los correos que salen de los servidores de Yahoo! salgan firmados, lo que ayuda bastante poco. Al igual que Hotmail configura sus registros spf con softfail, no garantizando que todos los correos lleguen desde Hotmail, Yahoo! hace algo similar. En este caso se realiza con la opción ~o en lugar de con la opción –o en el registro de tipo txt _domainkey.yahoo.com de los servidores DNS. El sistema, como se puede apreciar con el operador t=y indica que se encuentra en modo test, es decir, en pruebas.

Configuración DKIM en Yahoo.com
Yahoo! recibiendo un correo legítimo firmado con DKIM

Para realizar esta prueba se ha enviado un correo desde Gmail. Este servido firma los correos con DKIM y pueden ser comprobados. Yahoo! realiza la comprobación de la firma y muestra una alerta positiva de verificación.

A la bandeja de entrada y con alerta positiva
Yahoo! recibiendo un correo falso de un dominio que firma con DKIM

En la prueba primera, en la que se veía el comportamiento con un correo falso de yahoo.com, se puede ver cómo reacciona, es decir, sólo muestra alertas positivas si puede comprobarlo. No muestra ninguna alerta y cae en la bandeja de entrada.

Sin alerta negativa y en la bandeja de entrada
Sin embargo, al hacerlo con Gmail el resultado es curioso. Mientras que Gmail sí tiene publicadas las claves de firma, como se vio en la tercera parte del artículo, no publica la configuración de DKIM en el DNS. Para ello debería existir un registro _domainkey.gmail.com de tipo txt en el servidor DNS que NO existe. Se ha de suponer que el sistema está en test y no garantiza que todos los correos lleguen firmados.

Yahoo! recibiendo un correo legítimo desde un servidor con SPF configurado

Sorprende que Yahoo! no haga ningún aprecio a los registros SPF. En este caso el registro es legítimo y Yahoo! no muestra ninguna alerta positiva de comprobación del correo.

Sin alerta postiva, en la bandeja de entrada
Se puede ver, mirando la cabecera del correo electrónico, que Yahoo!, a diferencia de Gmail que consultaba el registro pero no mostraba ninguna alerta, directamente no realiza la comprobación al servidor DNS.

En la cabecera sólo comprueba DKIM, no comprueba SPF
Yahoo! recibiendo un correo falso desde un servidro con SPF configurado

Como era de esperar, la validez del correo electrónico recibido es exactamente la misma que si fuera legítimo. Al obviar directamente el registro SPF se pierde mucha información.

Sin alerta a la bandeja de entrada
Yahoo! recibiendo correos legítimos desde dominios sin SPF usando el MX

Una de las garantías de validez de un remitente que se puede añadir, como ya se comentado en lo que va de artículo, es que el correo venga desde un dominio que no tiene configurado el registro SPF, pero viene desde uno de los servidores MX. Yahoo! al no hacer aprecio directamente al registro SPF anula cualquier uso que se pueda dar al registro MX para validar un correo, por lo que le da exactamente igual si es legítimo o no.

Conclusiones

Yahoo! realiza correctamente las validaciones de correos que vienen firmados con DKIM mostrando una alerta positiva. Sin embargo, el no consultar los registros SPF parece una limitación enorme y una pérdida de información que no traslada al usuario para ayudarle a tomar una decisión. Además, a diferencia de Gmail, no realiza la comprobación, con lo que no vale con leer la cabecera completa del mensaje para saber si es legítimo o no y es labor del usuario realizar las pruebas contra los servidores DNS. Por supuesto, tampoco realiza comprobación MX.

En resumen, deja muchas validaciones sin realizar.

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

domingo, junio 14, 2009

Recordatorio semana del 15 al 19

Esta semana que entra está plagada de acciones entre las que destacan la llegada de la Azlan D-Link Academy a Valencia, el Asegúr@IT 6, el comienzo de los últimos módulos del FTSAI o el primer HOL de Exchange Server 2010. Os dejo una lista día por día.

Lunes 15

[Valencia] Azlan D-Link Academy: Network Design
[Madrid] HOL Exchange 2k7. Implantación y Configuración
[Madrid] HOL Exchange 2010. Mejoras y Novedades

Martes 16

[Valencia] Azlan D-Link Academy: Tecnología WiFi
[Madrid] HOL Exchange 2k7. Movilidad y mensajería unificada
[Getafe] El mal está en tí
[Webcast] Forefront Para Exchange Incidencias Más Frecuentes
[Con mi amigo Ross Parker, ex-Sybari!!]
[Webcast] Internet Explorer 8 Install Party [desde Bogotá]

Miercoles 17

[Valencia] Azlan D-Link Academy: Tecnología Firewalling
[Madrid] HOL-EXC23 MS Exchange Server 2007. Seguridad
[Madrid] HOL-DPM02 MS Data Protection Manager 2007.
Protección de Servidores MS Exchange Server y MS SQL Server
[Webcast] Windows 7 a fondo [desde Bogotá]

Jueves 18

[Valencia] Azlan D-Link Academy: Tecnología Switching
[Madrid] HOL Exchange 2k7. Recuperación frente a desastres
[Getafe] Asegúr@IT 6

Viernes 19

[Madrid] HOL Exchange 2k7: Contramedidas anti SPAM
[Madrid] FTSAI Módulo VII: Auditoria de roles de servidores
[Madrid] FTASI IV: Auditoría y Seguridad Web

Saludos Malignos!

sábado, junio 13, 2009

Yahoo! Security Week 2009

Pues como todo lo bueno y todo lo malo, ya se acabó la Yahoo! Security Week de este año. Ha sido una experiencia inolvidable y me lo he pasado de maravilla, así que...Gracias Yahoo! por invitarme.

701 First Avenue: Yahoo!
El evento tuvo lugar en el campus que tiene la empresa del gritito en el 701 de la First Avenue en Mountan View. Ya sabéis, un lugar que es como el directorio de software de un servidor. Cada calle, cada esquina tiene un edificio de una pieza software o hardware de tus equipos / portátiles / redes / servidores / servicios de Internet. Por aquí tienen sedes CISCO, Oracle, Citrix, AMD, Microsoft, Oracle, Yahoo!, Oracle, Intel, ...., Oracle....

Como yo era un invitado de lujo, ya sabéis, el Maligno visitando Yahoo!, y podía dar buenos o malos informes a la hora de que Spectra se decida o no, de una vez, a comprar Yahoo!, los jefes decidieron que había que tratarme bien, así que nada, viaje campeón, hotelaco con cama de rey y un malignomovil americano para disfrutar de mis paseos soleados con la melena al viento.

Coche con chofer para mi disfrute
Como se puede apreciar, el amigo Palako, el evil twin brother de José Palazón, ingeniero de Yahoo!, se ocupó de mis necesidades, e incluso, si era necesario, de darme mimos, cariño, amor o hacer de guardaspaldas.

Mi llegada a la Yahoo! Security Week era esperada con admiración, así que desde el principio se notaba que la espera había sido larga para ellos. Habían decorado el campus con banderolas para recibirme.

La bienvenida al Maligno
Una vez dentro, se puede observar como el Campus merecía mi visita. Allí, en uno de los muchos que tiene esta empresa, se puede disfrutar de actividades deportivas, comida, siestas en el jardín y cualquier otra maldad que se te ocurra. Eso sí, conexión a Internet por todas partes y, para que nunca estás perdido, buscadores de Yahoo! search por allí. Como se puede apreciar en la foto, es una de esas compañías en las que seguro, seguro, seguro, que tú no quieres trabajar.

Vista parcial del peazo campus
Palako y su compañera Bulma (sorry Aya!), disfrutaban de un utilitario acorde a su status social, claro, que no está la cosa como para que todos disfrutemos de un deportivo y aun quedan clases y clases....y yo soy un enviado de Spectra.

El utilitario de Palako y Aya
La charla fue bien, un pelín accidentada por ciertos problemas de conectividad durante la preparación de la misma, pero bien, y al final pudimos mostrar tooooooooodo lo que queríamos. Me hubiera gustado tener fotos de ese momento pero la sesión está bajo NDA y es Internal Only, así que nada, si mostrara algo tendría que mataros (which is not that bad...) pero como no me queda ropa limpia, lo dejaremos aquí.

Como recuerdo, tras los parabienes y regalos, el Rolex, el maletín con la pasta y la inauguración de una estatua del Maligno en el campus, decidí llevarme de recuerdo uno de los carteles de la semana dichosa.

Recogiendo la placa conmemorativa de mi visita
Terminado todo, la última noche fuimos a ver a los Lakers... en la tele mientras cenabamos en un restaurante chino, comida picante ellos y arroz blanco yo.

Y poco más... que se pueda contar. Las noches son las noches, los amigos son los amigos y San Francisco y el Castro son San Francisco y el Castro y... no puedo contar más. Sólo deciros que me quedé como recuerdo otro malignomovil... (pronto en las mejores jugueterías podréis comprar una réplica de él). Y como decimos los superheroes: "Me abro y no de patas!"

Malignomovil USA
Saludos Malignos!

viernes, junio 12, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (III de V)

Registro spf de gmail.com
Además, este correo no viene firmado con DKIM por uno de los servidores de Gmail, cuando por defecto todos los correos que salen de gmail.com son firmados.

Clave pública gamma utilizada para firmar correos gmail.com
Conclusión, debía de dar una alerta de posible correo ilegítimo y no la da. Mal hecho.

El correo entra en la bandeja de entrada sin alerta
Gmail recibe un correo con una dirección falsa de un dominio con SPF

Como era de esperar, el correo no recibe ninguna alerta de peligrosidad o falsedad. Sin embargo, es curioso, pues Gmail sí tiene esa información. Si se echamos un vistazo a la cabecera original del mensaje se puede ver que el mensaje no pasa la validación SPF e incluso, como Hotmail marca la IP de origen como una NO permitida.

Correo falso con remitente hotmail.com y cabecera
Esa información podía ser utilizada por Gmail para poner una alerta, pero no lo hace. Mal hecho.

Gmail recibe un correo legítimo de un servidor con SPF

Ya que no da alertas negativas de correos no comprobados, se podía utilizar una aproximación distinta y mostrar alertas positivas para correos sí validados. Para ver si hay alguna diferencia entre el legítimo y el falso se ha enviado un correo desde una cuenta legítima de Hotmail. El correo pasa el filtro SPF pero la herramienta NO da ninguna alerta positiva. Es decir, en la herramienta web no se ve ninguna diferencia entre el que NO pasa y el que pasa el filtro SPF.

Correo Legítimo que pasa el filtro spf como se ve en la cabecera
Tiene herramientas para diferenciar un correo que viene de un Sender autorizado y otro que no, pero no lo hace. Mal hecho

Gmail recibe legítimo desde un dominio sin SPF pero que envía desde el MX

Al no mostrar ninguna alerta en correos que no pasan el SPF, no tiene mucho sentido hacer esta prueba, pues con una comprobación de este registro sólo se podrían validar correos cuando vengan desde la IP de un MX legítimo desde un dominio sin registro SPF en el DNS.

Legítimo desde un server marcado en el MX
El cliente Web de Gmail, de nuevo, no muestra ningún cambio. Mal hecho.

Gmail recibe un correo falso de un servidor que firma sus mensajes con DKIM

Para hacer esta prueba se utiliza Yahoo.com que firma todos sus correos salientes con DKIM.

Clave pública s1024 de Yahoo.com utilizada para firmas correos
Sin embargo, en este caso, este correo no viene firmado, por lo que no se puede dar ninguna alerta positiva.

Correo sin firmar recibido desde Yahoo
Como se puede apreciar en la imagen anterior el mensaje se ve sin ninguna alerta negativa de no estar firmado.

Gmail recibe un correo legítimo firmado con DKIM

En este caso Gmail comprueba correctamente la firma DKIM del correo recibido. Esto se puede ver en la cabecera del correo original.Sin embargo, el cliente web de Gmail no muestra una alerta positiva en el interface de que el correo ha sido validado.

Gmail comprueba firma DKIM pero no alerta de ello. Mal hecho.
La diferienciación entre correos legítimos o no legítimos sin alertas funciona tan sumamente mal que es posible enviar un correo falso dentro de la conversación de un correo legítimo y gmail los intercala como si ambos fueran buenos sin dar ninguna alerta. Sólo hay que poner el RE: en el asunto del mensaje.

Correo legítimo y correo falso en el mismo thread
Conclusiones

1) Gmail firma sus mensajes salientes con DKIM y comprueba la firma DKIM de los entrantes, pero sin embargo no muestra ninguna alerta negativa de los no firmados ni positiva de los firmados.

2) Gmail autentica con el registro SPF los servidores de correo saliente legítimos y comprueba si el correo viene de un servidor autorizado por el SPF.

3) El cliente Web de Gmail no muestra ninguna alerta, ni negativa ni positiva, de si se ha comprobado o no. Al no mostrar alertas negativas por correos que no vengan desde una IP autorizada por el SPF no da ayudas a un usuario a detectar una posible falsificación.

4) Gmail mezcla en el interface tanto los correos legítimos como los no legítimos.

En resumen, aunque desde el interface es posible acceder a la cabecera original del mensaje recibido, Gmail por web no ayuda para nada a los usuarios a detectar posibles correos falseados. Los servidores de correo, por el contrario, hacen los deberes y tienen tanto las comprobaciones SPF como DKIM implementadas. La herramienta Web tiene que mejorar en este aspecto.

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

jueves, junio 11, 2009

Comentando con cabeza

Desde hace un ratito no se pueden poner comentarios en anónimo en El Lado del Mal. Sí, ha llegado la censura, el fin de la libertad y esas cosas, pero ha tenido que ser así, de momento, como una medida de protección para evitar el ataque de Spam que está sufriendo este blog. ¡Qué importante me siento!

Mediante bots, y saltándose por el forro el sistema de protección de captchas de blogspot, habían calzado esta mañana más de 300 comentarios en unas tres horitas. ¡Y yo que me había emocionado por la cantidad de polémica que había levantado...!

Como soy un hombre paciente y con mucho tiempo libre, que para eso estoy forrado de pasta, y mi mamá me enseño a ser límpio y ordenado, voy a dedicar las próximas dos horitas de mi vida a dejar el blog más límpio que la patena.

Pasado el ataque volveré a dejar los comentarios como estaban.

Saludos Malignos!

Si tardo.. ¡venid a por mi!

Preparar bien la charla de esta semana nos tomó a Palako y a mí más tiempo del que inicialmente pensabamos. Nos han pasado cosas muy raras y estamos un poco extrañados.

Primero estabamos nostoros tranquilamente navegando por webs de San Francisco, ya sabéis, para mezclarnos más con la cultura local. De repente algo raro pasó, Palako se tropezó, empujo la mesa, la lampara se movió y golpeó un café al tiempo que caía sobre el teclado de mi portátil.

Rápidamente procedimios a limpiarlo, con cariño, tesón y energía. No queríamos que el teclado quedara inutilizado. De repente, cuando actualizamos la página nos salió un mensaje raro que nos decía que nos habían pinchado a la línea de un modem de 56 Kas durante 10 minutos.

Enchufados al modem durante 10 minutos
Después de terminar de revisar páginas de deportes, clubs nocturnos, deportes indoor, etc.., y para que no se volviera a repetir algo similar decidimos enterarnos de la situación política de la región. Así, acabamos leyendo cosas de política para saber cuales son los pensamientos profundos que teníamos que conocer.

Estabamos por ahí, leyendo en voz alta y memorizando las frases cuando de repente sonó el teléfono y nos asustó. Con la sorpresa dejamos caer los moviles que teníamos en las manos sobre el teclado y se nos movió el foco y no se que más.

Y ahí nos vimos, de repente otra vez el mismo mensaje de antes, pero ahora...¡nos quitaban del modem y nos desconectaban durante 10 minutos!

Shut offeados
Tal estaban las cosas, que ya que no podíamos trabajar sobre esa IP mejor nos ibammos rápidamente a otra ubicación. Curiosamente, aprovechamos una oferta que había de: "¡Wipea tus discos duros y reinstala un sistema operativo de cero!" y hemos dejado el ordenador más limpio que el historial de Obama.

Todo va bien, pero es curioso que, en un país tan grande como éste, coincidamos últimamente tantas veces con un par de amigos sordos. Los dos llevan gafas de sol, visten como los de caiga quién caiga y los pobrecitos, ambos, con sonotone en un oido.

En fin, que después de estas cosas raras que nos están pasando es posible que hasta pierda el avión de vuelta. ¡O peor!, ¿os imagináis que me confundo de avión y me voy a ... no sé... Cuba? ¡La vida da tantas vueltas...! Mira, que curioso, otra vez aquí los del sonotone. Os dejo, que vienen a saludarnos,... claro... hemos coincidido tantas veces que ya nos conocen.

Saludos Malignos!

miércoles, junio 10, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (II de V)

Hotmail detecta suplantación de su dominio
Hotmail recibe un correo falso desde una dirección de un dominio con SPF

Si se envía el correo con una dirección falseada de una empresa que tiene registro SPF, como por ejemplo de Gmail, el correo aparece en Hotmail en la carpeta de spam como sospechoso y con una alerta amarilla que indica que es posible que ese no sea un remitente conocido. En este caso desde Gmail que también los marcar como softfail.

Detecta que no viene de una IP en el SPF y lo mete en la carpeta de spam
Hotmail recibe un correo legítimo de un dominio con SPF

Como era de esperar, se comprueba el regisro SPF, es correcto y lo pone en la bandeja de entrada sin ninguna alerta de seguridad.

Correo desde Informática64
Hotmail recibe un correo desde una dirección falsa de un dominio sin SPF

Si se envía el correo con una dirección falseada de una empresa que NO tiene registro SPF, este aparece en la Bandeja de Entrada, pero con una alerta similar. En este caso el correo está enviado con una dirección falsa desde Yahoo.com.

El filtro de comprobación SPF no detecta si es o no legítimo y lo pone en el inbox con una alerta
Hotmail recibe un correo legítimo de una dirección de un dominio sin SPF pero que viene firmado con DKIM

En este caso se ha enviado un correo electrónico válido desde una dirección de Yahoo.com. Hotmail no es capaz de decir que el correo es falso, ya que no hay registro SPF y lo marca con una alerta.

Correo legítimo marcado
Sin embargo, el correo es legítimo y viene firmado con el protocolo DKIM como se puede ver en la cabecera del mismo correo.

Correo firmado con DKIM. No garantiza el emisor, pero sí que ha salido de ese servidor.
Esta comprobación es desaprovecha por Hotmail a la hora de legitimar el correo. Es posible ver que el correo está firmado correctamente en la cabecera SMTP del correo.

Hotmail recibe un correo legítimo desde un dominio sin SPF pero que es envíado desde un servidor MX

Otra de las comprobaciones que se prueba es enviar un correo legítimo desde un dominio sin registro spf pero que sale desde un servidor MX del dominio. Puede ser que correo legítimo de un dominio llegue desde IPs distintas a las de los intercambiadores de correo, pero si el correo llega desde el MX entonces se puede decir que es legítimo. Así que, en el caso de que una organización no tenga spf, pero su correo salga desde el MX existen herramientas para comprobar que es legítimo. En este caso, Hotmail no comprueba esta opción y el correo, que es legítimo, queda sin embargo marcado con una alerta de seguridad.

Correo legítimo enviado de la IP de un MX sin registro SPF ni DKIM
En resumen, Hotmail implementa su registro spf1 con softfail, comprueba su suplantación y la suplantación de los demas dominios mediante Sender ID, pero no realiza ninguna comprobación DKIM ni MX para quitar alertas de seguridad a correos legítimos.

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

martes, junio 09, 2009

Correos falseados en Yahoo.com, Gmail.com y Hotmail.com (I de V)

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

Hace ya mucho tiempo que escribí un artículo sobre el famoso filtro Sender ID que implementó Spectra a partir de lo que inicialmente iba a ser el Checker ID pero que acabó haciendo uso del registro de Sender Policy Framework (SPF) con el objetivo de intentar añadir una nueva forma de detectar correos con direcciones de remitente falsificadas. No garantiza que el correo sea legitimo, pero intenta detectar cuando es claramente ilegítimo.

El registro original creado para Sender Policy Framework es identificado en los servidores DNS como v=spf1 y se creó para identificar el servidor usado en el comando HELO y el dominio que se utiliza en la dirección configurada en MAIL FROM.

Sender ID utilizar el registro SPF del DNS pero intenta identificar más elementos. Aparecerá en los registros DNS como v=spf2.0, pero con uno de los siguientes modos: spf2.0/mfrom,pra; spf2.0/mfrom o spf2.0/pra. Esto es porque Sender ID intenta validar no sólo el servidor que aparece en HELO y el dominio en MAIL FROM. En este caso se añade también a la comprobación una ecuación llamada PRA (Purported Responsible Address) que se saca de comprobar la dirección que aparece en: MAIL FROM, SENDER, RESENT-FROM, RESENT-SENDER. Si existe la validación spf2.0/pra en el filtro Sender ID, estas cuatro tienen que ser la misma y además deben estar en el registro SPF del servidor DNS. Un filtro v=spf1 será equivalente a un v=spf2.0/mfrom.

El filtro SPF y Sender ID son similares, ambos usan el mismo registro, la misma configuración, pero si se configura Sender ID con la validación spf2.0/pra algunos mails en listas de correo pueden dar problemas al ser tomados como no autenticados.

La idea es que las empresas marquen las IPs por las que sale el correo legítimo de su organización mediante un registro txt en el dns de tipo spf. Así, las empresas receptoras de correos desde esos dominios sólo tienen que consultar al DNS y ver si la IP que le entrega el correo de ese dominio es uno de las válidas siguiendo la política de Sender Policy Framework o la de Sender ID. ¿Y si no la cumple?

Pues si un correo del dominio A viene desde una IP que no está en la lista de direcciones IP legítimas para enviar correo marcadas por la empresa A….¿qué se debería hacer con él? Seguro que la mayoría pensáis que se debería tirar a la basura. La pregunta es… ¿se está usando masivamente?

Yahoo!, por su parte, optó por seguir una estrategia distinta mediante de la firma del correo legítimo y olvidarse de la solución simple del registro SPF en el DNS. En su caso, si el mensaje no va firmado por Yahoo! entonces debe tomarse como un correo ilegítimo. Para eso utiliza el protocolo DKIM (Domain Keys identified Mail) y cualquier servidor que recibe el correo puede comprobar la firma del mismo ya que la clave pública utilizada para firmar el correo se encuentra en el servidor DNS. La idea de Yahoo! es que si el correo no llega firmado por los servidores de Yahoo! entonces puede ser falso.

En el esquema de SPF/Sender ID cabe la posibilidad del falseo de direcciones IP o del DNS Spoofing (que se lo digan a Kamisky). El otro problema que sucede es que un mail puede ser enviado desde una IP falsa pero que aparezca como enviado por alguien legítimo, como si fuera una lista de mails. Para evitar esto los clientes de correo intentan dejar, cada vez más claro, cuando alguien envía el correo en lugar de otro.

En el esquema de autenticación por el que apuesta Yahoo! no cabe estos problemas, o el correo es enviado por un servidor de Yahoo! que lo firma o no. Sin embargo no se ha impuesto masivamente y la mayoría de los servidores no implementan la interpretación de la firma. Sin embargo, el problema del DNS le seguiría afectando.

Ahora, conociendo estas configuraciones, la pregunta es.. ¿cómo se comportará cada uno de ellos ante la recepción de correos con direcciones falseadas o no falseadas?Para hacer estas pruebas primero se comprueba si tienen configurado el registro SPF los dominios de prueba: Gmail.com, Yahoo.com y Hotmail.com. Se puede comprobar con esta URL: Consulta registro SPF

Hotmail.com configura registro SPF v=spf1

Gmail configura el registro SPF en v=spf1

Yahoo! no configura registro SPF
Los resultados son que Gmail y Hotmail configuran sus registros SPF pero Yahoo.com no lo hace, ya que usa DKIM. La pregunta es.... ¿cómo implementan el reconocimiento de correos legítimos o falseados en la práctica?

**********************************************************************************************
- Correos falseados en Yahoo!, Gmail y Hotmail (I de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (II de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (III de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (IV de V)
- Correos falseados en Yahoo!, Gmail y Hotmail (V de V)
**********************************************************************************************

lunes, junio 08, 2009

Día de Admiración a los Sexy Pandas

Ayer, o hace unas horas, ya no sé, después de tantas horas volando, llegué en el Pontiac de "pito pequeño" en el que vino a buscarme el señor Palako al Hotel. Este hotel está en lo que podría ser una lista de empresas en las que seguro que querrías currar:

- "Mira,¿ahí curras? ¿es ese el edificio de Yahoo!?"
- "No, Chemita, ese es un edificio pequeño de uno de los campus menores"
- "Ahh, y ahí...ese es Citrix"
- "Sí, Chemita, pero la central está en otro sitio".

Después, tras llegar al hotel hablammos de los Sexy Pandas:

- "Tio, que lo han hecho otra vez, que se vienen a la Defcon".
- "¡Qué máquinas, joder!".

Sexy Pandas terceros
Y es que, lo que está haciendo el grupo de amigos que son los Sexy Pandas, es para apuntar en los libros de historia. Ya son un grupo mítico de hackers que se bate el cobre con éxito con hackers de todo el mundo. Muchas veces, cuando hablo de como está el tema de la seguridad en España (pregunta típica que cae en muchas de las entrevistas), se me llena la boca de orgullo hablando de ellos. No tengo la suerte de conocerlos a todos, pero todos los que conozco son además supermajos, (excepto uno que me da mucha guerra y trabaja en Spectra...grr!!!).

El año pasado yo tuve que volver de Las Vegas antes de que ellos terminaran, por lo que no les pude ver después, pero este año.. pienso quedarme hasta después para que paguen ellos las birras.

También me gustaría felicitar a todos los que os habéis animado a participar y sacar algunas pruebas del CTF. Sólo por el hecho de quedaros una noche currando en los retos dice mucho.

Pues eso, que a todos los que os venís a Las Vegas... nos veremos allí y no olvidéis que hay que recoger las camisetas y organizar el tour turistico e ir, como está previsto, a asustar a los contrincantes de los Sexy Pandas, que el año pasado hubo un equipo que eran más de treinta y este año van a saber porque en España se ha repuesto más de 15 veces la serie de Curro Jiménez.

Saludos Malignos!

domingo, junio 07, 2009

A horas raras

Para todos aquell@s que tenéis puesta una alerta en mi habitual horario de publicación de posts será fácil detectar durante esta semana anomalías en mis posts. Cambio mi cama de situación en varios husos horarios ya que me voy a San Francisco a disfr…digo.. a trabajar con Palako una semana. Bueno, realmente me voy a dar una charla con Palako en la Yahoo! Security Week, que nos invitaron (a gastos pagados) a participar.

Será una semana intensa de trabajo, aunque la charla sea sólo de una hora, pero tenemos que prepararla mucho, aunque si bien es cierto que ya la hemos dado juntos en la ShmooCon 2k9, pero… Bueno, sí, me voy toda una semana a San Francisco para dar una charla de una hora que ya he dado, pero es trabajo, lo juro. ¡Que nadie piense que me voy a San Francisco de compras, a salir de juerga con Palako, o a estar de cachondeo por allí, que yo voy a trabajar! ¡Que sí, joder!

Cuando mis pies toquen tierra en San Francisco ya habrán terminado o estarán a punto de terminar las prequals del CTF de la Defcon 17, así que ya sabré si somos más o menos los que nos juntaremos en Las Vegas, pero.. a juzgar por los resultados actuales, parece que la Defcon va a estar, otro año más, plagada de Osos Amorosos a lo Barricada, ya sabéis, de los de “¡veo todo …en blanco y negro!”.

nc -v -v -n 140.197.111.10 19499
Seguir la clasificación si no estás participando era algo engorroso, así que la organización ha habilitado un servicio que escupe las estadísticas. Sólo tenéis que usar el netcat y listo (¡Gracias Dreyer!) para animar a nuestros osos más cariñosos. De momento… terceros.

Los demás, ya sabéis, esta semana es de puente en Madrid, pero aun así podéis apuntaros a hacer cosas, que no se diga que no aprovecháis los días para estudiar. Por cierto… a los que estáis estudiando los exámenes finales de la universidad, recordad que salir a despejarse para luego estudiar más suele ser incompatible con meterse tres litros de calimotxo y ene cosas más que luego no sólo te despejas… ;)

Saludos Malignos!

sábado, junio 06, 2009

FTSAI: 1 año después

FTSAI son las siglas de Formación Técnica en Seguridad y Auditoría Informática, el nombre que le pusimos hace 1 año justamente a la primera edición de un curso de 150 horas en las que queríamos dar clases de Seguridad y Auditoría Informática para gente Técnica. En esta formación no se va a aprender ITIL, ni gestión de planes de contingencia, ni cosas así. No es que esté en contra de ese conocimiento ni mucho menos, de hecho me parece muy importante, pero no es el objetivo del FTSAI. Este curso es para disfrutar nosotros, en cada clase disfrutamos con lo que en ella enseñamos.

Yo siempre me reservo clases en el módulo I con la temática de Footprinting y Fingerprinting, algo en la parte de webs (aunque me tenga que pegar con un compañero, la parte de ataques de inyección es mía), y alguna otra sesión en temas que me mola de cracking, o de WiFi, o de VPNs o de lo que pueda o me dejen.

Además, a este curso siempre consigo engañar a mucha gente para que se venga a contarnos algo extra. Antonio Guzmán y sus métricas de seguridad, Carles Martín y su integración Linux en AD, Rames y su integración e-DNI en el AD, Mikel Gastesi y sus técnicas de reversing, José Parada "el abuelo", con sus conocimientos internos de Spectra, Anelkaos y su WiFi Way, la gente de GFI con el LanGuard que, sumados a Juan Garrido “Silverhack”, Juan Luís Rambla, Pedro Laguna y Alejandro Martin “alekusu”, hacen que seamos un grupo peculiar de profesores en estas formaciones.

Ha pasado un año, y desde entonces se han terminado 3 ediciones, 2 de ellas en Madrid y 1 en Zaragoza. Ayer fue el final del FTSAI II en Madrid y nos tomamos unas birras los de esa edición, más los del FTSAI IV que está teniendo lugar en Madrid, más el abuelo, Alekusu, Juan Luís Rambla, el señor Thor y un servidor y fue divertido ver a más de veintitantas personas, que fueron pasando por allí a tomarse las birras (que me tocó pagar a mi panda de cabrones!!!), nada más que hablando de fricadas, de el CTF que empezó anoche de la Defcon (¡¡¡ánimo esos sexy pandas que van 5ºs ahora mismo!!!), de las aventuras en el mundo de la seguridad, anécdotas y demás.

Entre que todos han sido alumnos míos en alguna clase, entre que los que terminaban el FTSAI II llevaban desde Octubre todos los viernes del año estando con nosotros, entre que la mayoría se pasa por este blog, entre que otros son compañeros en I64 y otros compañeros de aventuras…. me sentí como en casa. Gracias a todos.

Faltaron a ese encuentro los de la primera edición y los de Zaragoza del FTSAI III, pero estos últimos merecen la muerte por devolverme a un Juan Luís con más resaca que Obelix el día que salió de la marmita. Y lo peor… a mi sólo se me ocurre un sitio dónde estar en Zaragoza un LUNES a las 5 de la mañana….

Los que seguís con el FTSAI IV, incluidos los linuxeros del demonio que siempre me tocan en los FTSAI (grrr!!!), los que os habéis apuntado al módulo 7 de verano, los que ya habéis dicho que venís al evento del 16, el Asegúr@IT 6 e incluso al Curso de Verano de Salamanca, a todos vosotros, os quiero decir…. ¡Que las próximas cervezas las pagáis vosotros panda de cabrones, que siempre que me veis me hacéis pagar!

Saludos Malignos!

viernes, junio 05, 2009

Clases de Linuxeros que conocí en mi vida

Después de algunos añitos en el mundo de la informática y algunos menos en El lado del Mal, he tenido la buena suerte de conocer a infinidad de personas. Este trabajo de juglar por tierras ajenas te lleva al encuentro de personas, personajes, seres, elementos y arrays de objetos casteados a cualquiera de las definiciones anteriores que dan color a tu vida. Hoy, quiero dejaros aquí una pequeña clasificación de linuxeros con los que me he topado en mi vida.

- Linuxero del demonio: Este es uno de mis preferidos, así que le pongo en primer lugar. Es un tipo afable y simpático, que usa Linux porque realmente le gusta y que le suda los cojones que yo o el resto del mundo no lo use. Suele aguantar bien las bromas y saber hacerlas. Es del tipo de persona con la que me gusta irme a tomarme unas birras y pegarme. Así, en plan debate futbolero de barra de bar.

- Linuxero Amoroso: Ama el software libre, ama linux, quiere ayudar a todos los que quieren aprender a usar linux, herramientas de software libre, etc... Apoya la causa, pero no dice gilipolleces en contra de nadie. Suele ser el tipo de persona que realmente vé los puntos débiles e intenta fortificarlos ayudando. De los de quitarse el sombrero.

- Linuxero Talibán: Este tipo es como la anti-materia. Criado a pechos de panfletos revolucionarios ha tomado el software libre como su bandera y quiere exterminar cualquier cosa que no lleve GPL. Los de las OSI son unas nenazas y el resto del planeta conocido unos ciegos. Es algo equivalente a la rama radical de las sectas religiosas. Serían así como El Opus Dei de la Peli de El Código Da Vinci.

- Linuxero Talibán (de los cojones): Este tipo es tan paliza como el anterior, pero tiene su PSP pirateada, su versión de Windows Pirateada y encima se ha comprado un ay!-fon. En su puta vida ha currado de informático en una empresa seria y suele acampar en asociaciones de estudiantes universitarios mientras fuma sus porritos y se hace un script pensando que ha salvado el mundo. Siempre encuentra una justificación a sus acciones. Algo así a lo Groucho Marx, "estos son mis principios, pero si no le gustan tengo otros".

- Linuxero Pragmático: Usa Linux, y Windows. Su escritorio de base es un Linux, pero tiene su máquina con Windows. Sabe cuando usar uno y cuando usar otro. No ve un universo de secretarias en red utilizando Linux con OpenOffice todavía y no tomaría jamás una decisión errónea para su empresa en base a religión. A pesar de eso, monta sus servidores Linux cuando cree que debe hacerlo.

- Linuxero Newbie: Es uno de esos que lleva usando Linux hace muy poquito porque le han dicho que en Windows hay millones de bugs, y está encantado con el apt-get. Está empezando a equiparar programas superficialmente en plan:OpenOffice es como Spectra Office, Thunderbird es como Outlook, KDE es como Windows, el editor es el bloc de notas. Aun no conoce los “problemillas” de esas comparaciones superficiales. Es joven, regresará a los brazos de la amada Spectra que le esperará con el corazón abierto.

- Linuxero Fatal: Este es un cabronzado testarudo, que le suda la polla la guerra Windows-Linux. Es capaz de hacer las cosas en 10 pasos más rápido que las que hago yo en 1. Sí, será más largo el camino, pero su Linux es una extensión de su brazo (he creído ver conexiones serial entre el ordenador y el brazo de algunos de estos). No le dejes jamás que se pinche en tu red. Tiene una arsenal de herramientas, el 20 % programadas por él mismo, el otro 40 % de los colegas de la lista de correo o el canal IRC ese dónde sólo están 7 tipos y no se habla de sexo. Se le descubre fácilmente porque hace preguntas como: “¿Y para que dices que es eso del menú de inicio?”

- Linuxero Sufrido: Le han calzado Linux a la fuerza, en una clase, en su casa porque su hijo le ha prohibido el windows, o en su curro. Sufre el uso de Linux, lo odia, sueña con Windows. Sufre en silencio y a veces a voz en cuello. Yo te entiendo amigo, tienes mi cariño y mi apoyo, y si consigues que te dejen instalar el Xen yo te calzo un Windows 7 para que puedas sentir el poder....

- Linuxero Político: es uno de esos que busca medrar en la carrera política de donde sea, partido, ayuntamiento, universidad, etc… Va de técnico pero es un tecnicoless de cojones. Confunde GNU con GPL, confunde estándar abierto con software libre, reescribe las libertades del software libre según las cuenta, es lo que viene siendo un jeta. Es un pastor de ovejas descarriadas. Suele campar a sus anchas en aquellos entornos de gente que no sabe y quiere saber sin esfuerzo. Les da doctrinas fácilmente recordables a sus súbditos para que le proclamen como gurú.

- Linuxera: una cosa que no acabo de entender es ¿por qué hay tantas mujeres en las reuniones del software libre y tan pocas en las charlas de ISA Server? ¿Será que los únicos informáticos que no ligamos somos los que estamos en el lado del mal? ¿No somos sexy los hombres que utilizamos los wizards? Sí, hay muchas linuxeras (desplegadas en todas las ramas anteriormente descritas).

Bueno, supongo que alguno de vosotros conocerá algún tipo de Linuxero más, pero estos resumen someramente los que yo he conocido.

Saludos Malignos!

jueves, junio 04, 2009

Enviar a un "amigo" [III de III]

Cabecera de correo de "Enviar a un amigo"
En este ejemplo siguiente se puede ver cómo es posible descubrir el direccionamiento interno de la red de los servidores. El equipo 10.220.80.129 y el equipo 10.151.7.21 son direcciones de la red interna mientras que la IP 69.64.65.60 es con la que el correo se entrega a Google para que llegue al correo de Gmail.

Lo más interesante, además de la estructura de direcciones, es la posibilidad de descubrir usuarios o software utilizado. En este caso se puede apreciar como existe un usuario www@localhost en la máquina que está siendo utilizado para enviar el correo. Es fácil inferir, por el nombre y porque el correo lo está creando una aplicación web, que esta es la cuenta que está configurada para el servicio Apache.

En la misma cabecera es posible descubrir la versión de la pasarela SMTP que está siendo utilizada por el banner de la versión. En este caso, una versión 8.14.2 de Sendmail.

Por último, se puede ver que el correo tiene marcado el campo USER-AGENT con el cliente de correo electrónico utilizado. En este caso ExpressionEngine 1.6.4, que es un CMS, el utilizado para la creación del sitio web y, por tanto, para el servicio de “Enviar a un amigo”. Este software tiene un par de vulnerabilidades de XSS conocidas y una de ellas que puede ser explotada en esta versión.

XSS explotable en 1.6.4

En otro ejemplo, he recibido directamente el error de la aplicación por mail, al modificar los parámetros de la URL y el error descubría el path interno de la instalación.

Information Disclosure
Reflexión Final

El servicio de “Enviar a un amigo” puede ser un problema para la seguridad de un sitio web si no se construye correctamente. Dentro de una fase de auditoría web, estos servicios requieren una especial atención por parte de los auditores porque pueden tener vulnerabilidades de diseño como las que se han citado.

Piénsate dos veces como diseñas estos servicios no sea que estés enviando los mails a un “No amigo”.

Y no quería irme sin dejaros la noticia sobre un ataque notificado ayer con la función de "Email this feature" al NYTimes, que parece que nadie se libra... [Gracias Dab!]

Saludos Malignos!

***************************************************************************************************
- Enviar a un "amigo" [I de III]
- Enviar a un "amigo" [II de III]
- Enviar a un "amigo" [III de III]
***************************************************************************************************

miércoles, junio 03, 2009

Enviar a un "amigo" [II de III]

Permite poner texto en el mensaje y no tiene protección por captchas
Y el resultado es… aparente para ser un spam.

Resultado del mail enviado
Lo que va rodeado de color rojo es lo que pone el formato de composición del mail, el resto se ha inyectado para que parezca un mail legítimo. Una de las formas de evitar este tipo de acciones es que el usuario no pueda escribir ninguna parte del mensaje, pero es cierto que quita efectividad en el impacto de la recomendación.

En otro ejemplo de "Enviar a un amigo" me he encontrado con una medida de protección un tanto curiosa. El sistema permitía escribir mensajes pero, a la hora de enviar el mail se realizaba una comprobación del contenido para prohibir la recomendación de otras URLS.

Mensaje de error de filtrado de URLs
Por último, otra de las medidas a evaluar a la hora de proteger el sistema de “Enviar a un amigo” para ser utilizado como servidor de spam es utilizar un sistema robusto de captchas. Sorprendentemente esto no se encuentra en casi ningún sitio. Y lo normal es encontrar sitios como éste, en el que el mensaje a inyectar va en el parámetro myurl que puede ser modificado por GET para introducir el texto que se desee.

Ninguna protección contra envío masivo
O como este otro, de una compañía de bebida isotónica que no tiene ningún control contra automatismos.

Ninguna medida de protección contra envío masivo
Por último, algunos tienen sistemas de captchas, pero, debido a que aún no han sido atacados masivamente por los spammers, sus sistemas captcha son muy sencillos. En este ejemplo, se puede ver que el captcha es fácil de detectar con programas de reconocimiento de texto pero, además, este ejemplo concreto, permitía reutilizar el mismo valor para enviar todos los mails que se deseara.

Captcha débil
Al final, automatizar el envío de mails masivo a través de cualquiera de estos servicios es bastante trivial, con lo que es posible que el servidor, y si es el servidor de correo legítimo de la empresa peor, sea introducido en una lista negra y los correos legítimos de la compañía no lleguen a los destinatarios.

Algunas recomendaciones iniciales sobre la inclusión de este servicio de “Enviar a un amigo” en una aplicación web:

- Añade captchas robustos
- Limita el número de envíos.
- No permitas editar el asunto del mail.
- Deja introducir un texto muy limitado en el mensaje.
- Filtra el contenido del mensaje introducido.

***************************************************************************************************
- Enviar a un "amigo" [I de III]
- Enviar a un "amigo" [II de III]
- Enviar a un "amigo" [III de III]
***************************************************************************************************

martes, junio 02, 2009

Enviar a un "amigo" [I de III]

***************************************************************************************************
- Enviar a un "amigo" [I de III]
- Enviar a un "amigo" [II de III]
- Enviar a un "amigo" [III de III]
***************************************************************************************************

Uno de los servicios que más curiosidad me generan siempre cuando hay una aplicación web es el de “Enviar a un amigo”. Éste es una opción que se ofrece en muchas aplicaciones para enviar por correo un link o una noticia de una web. La idea es simplificar al usuario la labor de copiar el link en un correo electrónico para conseguir mayor difusión de la noticia o ganar audiencia.

Sin embargo, en contrapartida, programar estos servicios de una manera descuidada puede generar algún que otro problema de seguridad. Vamos a ver qué se puede hacer y qué puede suceder con un sistema de estas características mal diseñado en la web.

1.- Envío de correos anónimos

Una de las características que se han podido explotar con el correo electrónico ha sido enviar mensajes con la cuenta de remitente spoofeada. Para ello bastaba con encontrar un servidor que permitiera realizar relay desde el exterior o utilizar con servidor de correo saliente el servidor de correo entrante del destinatario.
Encontrar un servidor de correo con relay permitido para el exterior es cada día más complicado debido al abusivo uso que de ellos han realizado los spammers. Esto hace que en el momento que se descubre uno y aparece en alguna lista de servidores con relay abierto acaben enseguida en listas de revocación RBLs.

La segunda acción aun sigue funcionando aunque para evitarlo se crearon los registros SPF (Sender Policy Framework). Al principio, para detectar un mail enviado con una dirección spoofeada se utilizaba el filtro de Reverse DNS en el que se buscaba que la IP de la que procedía el mail del remitente @dominioderemitente fuera una de las IP registradas como intercambiadores de correo en el MX.

Como algunas empresas metían el correo por direcciones distintas a las usadas para sacarlos se creó el registro SPF en los DNS para marcar las IPs por las que sale el correo de una empresa. Con esta IP una empresa marca porque IPs sale el correo legítimo. Si un correo de un dominio es recibido desde una IP no legítima indica que el remitente ha sido spoofeado.

Sin embargo, el filtro de Reverse DNS puede dar un falso positivo si el correo sale por un IP distinta a la que entra y en el segundo caso nos encontramos que no todas las empresas marcan por donde sale su correo, así que el uso de estos filtros no es global y si quieres seguir recibir correo legítimo de todo el mundo tienes que ser “flexible” con ellos.

Lo que se utiliza hoy en día son filtros heurísticos que tienen en cuenta la información de los filtros Reverse DNS y SPF, además de otros como la composición del mensaje o las palabras que componen el texto para generar un índice de probabilidad de que sea Spam llamado SCL (Spam Confidence Level). Ese número va entre 0 y 9 y el administrador decide los rangos para que un correo sea spam y no llegue al usuario, sea marcado como sospechoso y llegue a la carpeta de spam del usuario o sea tomado como legítimo.

Esto hace que la opción de utilizar el servidor de correo saliente del destinatario suela seguir funcionando, pero al final queda la IP del emisario en los logs del servidor entrante. Si se desea ocultar la IP ya hay que intentar utilizar un winsock/sock proxy u otro servicio de anonimato.

En algunos servicios de “Enviar a un amigo” se encuentran, vía web, sistemas para enviar correos spoofeados de forma sencilla y cómoda. En este ejemplo, se puede observar como todos los atributos de un correo pueden ser modificados.

Enviar a un amigo en una web
Como se puede ver en la imagen superior, el correo está siendo enviado desde una supuesta cuenta de gmail. Es fácilmente comprobable que esta dirección está spoofeada pues, como se puede ver en la imagen siguiente, el registro spf de gmail.com redirige a _spf.google.com y las direcciones IP válidas no incluyen la dirección que va a ser utilizada para enviar este correo.

Registros spf de Google y Gmail
Sin embargo Gmail no muestra ninguna alerta de email spoofeada, si el correo llega con un SCL correcto, el mail entra dentro. Es decir, Gmail tiene creado el registro SPF para aquellas empresas que quieran comprobar la procedencia de los correos legítimos de gmail, pero Gmail no lo utiliza. Curioso.

Correo spoofeado en gmail
Cuando se envía este correo, en sistemas como Hotmail, cuando el filtro SPF no puede ser comprobado, aparece una advertencia del correo que avisa de este hecho, pero el mail llega perfectamente si el SCL resultante del mismo entra en los márgenes establecidos en la configuración.

Hotmail muestra una alerta de comprobación SPF
En sistemas como Exchange, con el IMF2 (Intelligence Message Filter), el correo no muestra ninguna alerta si el SCL es correcto, como se puede apreciar.

Visualización OWA de correo spoofeado
En Exchange Server 2003 SP2 y Exchange Server 2007 se puede activar la comprobación del SPF como un filtro más e incluso bloquear los correos que vengan de dominios de los que no puede comprobarse la procedencia correcta.

El filtro Sender ID activa comprobación SPF
Si quieres crear un registro SPF para tu dominio, puedes utilizar el asistente de esta página.

***************************************************************************************************
- Enviar a un "amigo" [I de III]
- Enviar a un "amigo" [II de III]
- Enviar a un "amigo" [III de III]
***************************************************************************************************

lunes, junio 01, 2009

Conocimiento Relevante

"No lo entiendo, hace diez días que me han traido el ordenador recien formateado de la tienda y ya me hace otra vez cosas raras"

Sí, seguramente también os ha dicho algún familiar esto en una reunión para ver si vosotros, oh, gurús de la ciencia oscura de la informatica, sois capaces de resolverle el problema sin gastarse pasta en otra reparación.

La respuesta a esto que les doy es fácil: "Pásate a Vista, no quites el UAC y no instales programitas de no se quién ni gratuitos desde Internet sin leer el EULA". Ya, seguro que vosotros dáis otra, pero ésta es la mía. ;)

Windows XP es un sistema que tuve durante 4 años en mi ordenador y, como muchos de vosotros, me tocó reinstalarlo varias veces, sobre todo antes del SP2. XP era un sistema operativo que si no cuidabas con mucho cariño se iba degradando. Hoy en día, muchos años después de su concepción, es conocido por la mayoría de los malos hasta el último detalle de su funcionamiento, lo que hace que las formas de putearle sean cada vez más efectivas.

Sin embargo, una de las formas más efectivas continúa siendo "a plena luz del día", por la cara, escrito en el EULA. En ese aviso que te dice: "Te vas a instalar gratis este programita para hacer X y a cambio, te vamos a estar dando por culo cada 7 minutos. Pulsa I agreee si estás de acuedo en que lo hagamos sin baselina". Yo suelo tener mucho cuidado con estos programas gratuitos así que procuro leerme muy bien el EULA para ver cuantos hijos mios quieren a cambio de usar su software.

A punto de instalar RelevantSoftware
Un ejemplo que guardo con cariño es el de RelevantSotfware, un programita que viene como add-in en mucha utilería y que en su EULA dice:

"This software allows millions of participants in an online market research community to voice their opinions by allowing their online browsing and purchasing behavior to be monitored, collected, aggregated, and once anonymized, used to generate market reports which our clients use to understand Internet trends and patterns and other market research purposes. The information which is monitored and collected includes internet usage information, basic demographic information, certain hardware, software, computer configuration and application usage information about the computer on which you install RelevantKnowledge. We may use the information that we monitor, such as name and address, to better understand your household demographics;"

"Este software permite poner voz a millones de participantes en una investigación de mercado online dejando que su comportamiento en compras y navegación por Internet sea monitorizado, agregrado y, una vez hecho anónimo, utilizado para generar informes de mercado que permitan a nuestros clientes entender las tendencias y patrones de Internet y otras investigaciones de mercado. La información que es monitorizada y recogida incluye información sobre uso de internet, información demográfica, cierta información de hardware y software, configuración y uso de aplicaciones sobre la máquina en la que instalas RelevantKnowledge. Tal vez usemos también la información que recollectamos, como el nombre y la dirección, para entender mejor la estructura de tu familia."

Este software me lo había encontrado en varios programillas de utilería general, pero el sábado, mientras daba clase en un Master, uno de los alumnos me dijo: "Chema, en este software que nos has dicho que probemos viene el programita que nos dijistes de RelevantKnowledge".

¿Como? Mi sorpresa fue mayuscula cuando vi que en el EULA de SuMO, un programa que yo recomendé para mantener tu software actualizado y libre de troyanos viene RelevantKnowledge, reconocido como Adware por todo el mundo.

Por suerte es OPCIONAL
El programita éste es el típico que da mucho por culo, además de espiarte, así que, ten mucho cuidadito con él. Además, al ser un programa que se instala bajo consentimiento contractual entre el usuario y el programa, algunos Antivirus o Antispyware no lo quitan: "Es decisión del usuario instalarlo o no".

Si te lo encuentras en tu ordenador, y quieres quitarlo, puedes hacerlo como se indica en este link: Exterminar RelevantKnowledge.

Saludos Malignos!

AZLAN D-LINK Academy

Suscripción RSS o e-mail

Windows Técnico

Archivo del blog

Blogs y Links