31 de octubre de 2008

Hoax ^2 (Hotmail)

No recuerdo la cantidad innumerable de contactos que he visto, o he conocido que tienen o han tenido un “¿Lo hizo? Averigualo en http://www.lohizo.com/, ¡averigua quien te ha eliminado! Ni la veces que he tenido que contarles la misma historia a todos, que no, que eso no vale para nada, ¿para que narices quieres saber quien te ha eliminado? Intentar explicarles un poquito sobre los “bulos” o “engaños” por Internet (en rompecadenas tenéis unos cuantos). Esta mañana abro el correo y… ¡sorpresa! La industria del malware ha desarrollado un nuevo y sofisticado código que es capaz de “espiar” a tus contactos y contarte que hablan con otras personas.
¡Un sniffer en toda regla! Lo mejor de todo es la publicidad que le dan:
El sitio es 100% gratuito, seguro, y muy f�cil de usar!

¡Vamos al sitiooooo!!!! Ahí vá, pero si es un blog de blogspot….


Jo, toy que no me aguanto por meterme

Hmmm, sospechoso,,, voy a ver el código html,,, ¡Anda, un redireccionamiento a otro sitio! Es algo así como http://xyzz.com/avisarcontactos_11.php y cuando lo abres te sale:



Hmmm, aquí se aplica aquello que decía mi madre…¡no hables con desconocidos!, ¡ni muchos menos les des tu password!

Tened cuidado, happy weekend :-)

PD: Mejor no abrir el .php no vaya a ser que nos tengamos que poner serios...

29 de octubre de 2008

Entrevista a Arius

Hacemos una breve pausa en el mundo de la seguridad, bueno no tanta, por que como veremos en los juegos on-line también hay problemas y vulnerabilidades. Hoy tenemos con nosotros a Arius, pro-gamer de Warcraft III y medalla de bronce en los últimos World Cyber Games en España:

GigA: ¿Puedes presentarte?

Arius: Me llamo David “Arius” Rodríguez. Tengo 19 años, soy de Cuenca y estudio en Aranjuez. Llevo jugando al Warcraft III desde el primer día que salió a la venta en el año 2002 y he sido miembro de varios de los mejores equipos de deportes electrónicos españoles. Actualmente estoy jugando en un equipo internacional, uPro Multigaming, con jugadores de varias nacionalidades, alemanes y rusos principalmente, junto a ellos participo en ligas conocidas como WPL, WHL, EAS, NPL, RPL, etc.


Vortix-Luci-Arius, los que leais Micromania os sonará la foto :)



GigA: Los que nos dedicamos profesionalmente a la seguridad, debemos inevitablemente seguir practicando al llegar a casa, aprender esta última tecnología, probar un exploit, estudiarnos ciertas técnicas de hacking… ¿El jugador profesional, hasta qué punto se divierte y hasta qué punto trabaja? Llamémosle LucifroN, o llamémosle Arius en su época de redCode, etc.

Arius: La diversión lógicamente es uno de los puntos fundamentales por los que sigo jugando a este juego después de siete años. Sin embargo también es cierto que cuando voy a algún torneo offline la dejo a un lado ya que cuando me estoy jugando dinero o algún tipo de premio solamente pienso en ganarlo porque soy competitivo al 100%.

GigA: Adentrémonos un poco más en este mundo, ¿qué factor psicológico hay en Warcraft III? Por ejemplo, yo cuando juego contra ti voy pensando,,, a ver por donde me salta, que este me la lía rápido!

Arius: El factor psicológico es muy importante cuando te vas a enfrentar a alguna partida vital porque para poder ganar necesitas estar concentrado, relajado, ser positivo y tener confianza en ti mismo. Solamente el hecho de que te haya ocurrido algo que te ha perjudicado en tu vida personal puede ser motivo para perder una partida ya que tu mismo no estás en lo que tienes que estar y cometes fallos que normalmente no deberías de tener.

Naturalmente hay que cumplir todas esas características cuando juegas partidas de 1vs1 con algo en juego o incluso 2vs2 en algún clanwars. Si por el contrario no te juegas nada no es necesario estar así porque entonces juegas para divertirte y para pasar el tiempo, no importa perder o ganar.

Algunos "surround" de estos WCG

GigA:La gente suele tener una imagen del “hacker” como persona oscura, que se pasa largas noches delante del ordenador, pensando, curioseando, un tanto aislado de la sociedad. Creo que en el gaming ocurre algo parecido, ¿Cómo sueles jugar tu?, ¿Te ha evitado de hacer otras cosas?

Arius: En mi caso el gaming no me ha evitado hacer otras cosas porque soy una persona que organiza muy bien el tiempo y que le suele sobrar en muchas ocasiones. Es cierto que tengo que entrenar unas pocas horas al día para mejorar y mantener mi nivel pero eso no es problema. Sé dividir perfectamente la vida como progamer y la vida real. Por ejemplo, nunca rechazo salir con mis amigos por esto porque sé muy bien lo que es prioritario y lo que no. En cuanto a los estudios tampoco he tenido ningún problema, ahora mismo estoy en tercero de carrera y mis notas actualmente son incluso mejores que las que tenía en el instituto.

Con respecto a la primera pregunta yo suelo jugar en el cuarto de estar de mi casa y con varias botellas de agua que me ayudan a quitarme los nervios y a refrescarme antes y después de cada partida, lo necesitas después de hacer más de 200 pulsaciones por minuto :P.

GigA: Hablando de seguridad, Blizzard sacó un llavero que genera una clave aleatoria para los jugadores de WoW, dado el gran número de robos de cuenta que hay. A ti te ocurrió algo parecido, ¿Cómo ves la seguridad en battle.net?, ¿Qué medidas crees que son necesarias?

Arius: Battle.Net es muy vulnerable y por ello ha sido atacada multitud de veces ocasionando la aparición de bastantes maphackers (ven todo el mapa) o tiehackers (tras perder la partida te desconectan y no les cuenta como perdida en sus estadísticas). Ahora por lo visto Blizzard ha actuado tras muchos meses con este problema y ha eliminado a los tiehackers por completo pero los maphackers siguen existiendo. La verdad es que deben de prestar más atención a este servicio pero también es cierto que tienen otros juegos a los que les han dado más prioridad últimamente como el World of Warcraft porque obtienen más beneficio con él.

A mí y a otros españoles nos hackearon/quitaron nuestras cuentas de Battle.Net y realmente no entiendo que sacaron con ello. Antes de eso me quitaron mi MSN para a través de ahí quitármela. Prácticamente me olvidé de esta cuenta desde hace ya tiempo porque ya cumplió su función, ahora prefiero jugar con mis compañeros de equipo u otra gente y mejorar como jugador. Por esto mismo ni me preocupe en recuperarla, solamente me limité a recuperar la de MSN y lo conseguí fácilmente.

GigA: Una serie de preguntas rápidas:

¿Muchas APM = Mucha Skill? No, hay muchos jugadores que tienen pocas APM y que poseen una gran destreza del juego.
¿Orc > All? Si xD
¿Mejor clan español de Warcraft? Ahora mismo x6tence.AMD, anteriormente fue redCode.
¿Starcraft II > Warcraft III? Eso está por ver pero yo no lo creo, los dos juegos son diferentes y seguirán viviendo ambos conjuntamente. El Warcraft III no decaerá internacionalmente con la salida del Starcraft II.
¿Diablo III > All? A quien le guste los juegos de rol seguramente sí.
Para ser undead, ¿te irías de copas con una elfa? Of course, las elfas son muy guapas xD.
Si jugaras a otro juego sería… el Starcraft II o el Warcraft IV


Esto es lo que se conoce como "super lol"

GigA: Centrándonos de nuevo, ¿Cómo es tu trabajo en Arenazero?

Arius: Bueno, yo entré en Arenazero.net, el mejor periódico digital del gaming en España, como redactor hace casi un año para conseguir avivar un poco más el Warcraft III porque por aquella época no tuvimos el clasificatorio de los WCG España, el torneo nacional más importante, y por lo tanto la gente empezó a dejar de jugar.
Fue duro al principio porque poca gente prestaba atención a las noticias pero después de algunos meses se notó mucho el cambió y cada vez iba teniendo más aceptación. Ahora mismo, tras más de 110 noticias escritas, el juego es el número dos de la página web, tras el Counter-Strike 1.6, por lo que mi objetivo se ha cumplido y estoy muy satisfecho por ello.

GigA: Suponiendo que estuviera en el Top 10 de jugadores de Warcraft de España, ¿Qué debería de hacer para encontrar un sponsor?

Estando en el top10 en estos momentos es complicado encontrar algo. Antes el Warcraft III era apoyado por una gran cantidad de equipos españoles y por lo tanto era fácil entrar en alguno pero ahora le está pasando lo mismo que le pasó al Starcraft, cada vez son menos los equipos que lo apoyan y por lo tanto se hace más difícil entrar en alguno. Es una pena que los equipos tengan como lema “renovarse o morir”. El único equipo con sponsors actualmente para este juego es x6tence.AMD.

GigA:¿Cuántos torneos offline disputas al año y cuales?

Arius:Pues suelo participar en 3 o 4 al año: la Redaton Lan Party en Zaragoza, donde ya llevo ganando dos años consecutivos (este año voy a por el tercero), la Campus Party de Valencia, la Neos Lan Party en La Rioja y, por último el más importante, los WCG España en Madrid. El año pasado participé también en la GameGune en Bilbao. Otro de los torneos importantes es la ESWC España pero a mi me suele pillar en plena época de exámenes y nunca he podido participar.

GigA: Hace unos años conseguías de forma increíble jugar con el touchpad del portátil, con una habilidad impresionante que dejaba boquiabiertos a todos, ¿cómo fue aquella época?, ¿con qué juegas ahora?


Arius owneando con el touchpad

Arius: Esa época corresponde a los dos o tres primeros años del juego cuando solo tenía un portátil para jugar, además no era muy bueno y jugaba incluso a trompicones. Fue muy difícil conseguir saber jugar con algo así pero es como todo, la práctica hace al maestro, por lo que después de jugar bastantes partidas con él conseguí tener un buen dominio de ese ratón táctil.
A pesar de jugar diferente a los demás me atreví a ir a mi primer torneo offline en donde además te conocí, la Quijote Lan Party 2005. Allí quede segundo y fue el comienzo de mi carrera como progamer ya que empecé a tomarme el juego un poco más en serio.
Ahora mismo juego con un ordenador de sobremesa y utilizo un ratón Razer Diamondback, un teclado Logitech Media Keyboard y una alfombrilla SteelSeries QcK.

GigA: Alguna recomendación para aquellos que no les acaba de convencer este mundo…

Arius: La verdad es que es un mundo difícil porque se necesita tener ganas, tiempo y talento pero a la vez es un mundo muy bonito porque conoces a nueva gente, vives nuevas experiencias y visitas nuevas ciudades. Además, para mí vivir ese clima de tensión y nervios de toda competición es algo que me hace continuar a parte de estar motivado por conseguir casi siempre los resultados que me propongo.

Por otro lado, también hay que entender que en España el gaming no se ha conseguido profesionalizar del todo porque no es algo bien visto por la sociedad. Mientras que aquí el fútbol es multitud de masas en China o Corea es el gaming. Siempre nos queda la esperanza de que alguna vez lo consigamos.

GigA: ¿Y para los que nos gustaría seguir progresando?

Arius: Lo mejor para seguir progresando en este juego es practicar mucho y mirarse las repeticiones de tus propias partidas o de jugadores conocidos internacionalmente para ver tus fallos, nuevas estrategias, etc.

GigA: Gracias por la entrevista!!

Arius: De nada ;). Un saludo a la comunidad española de Warcraft III, compañeros de equipo y amigos. Y también gracias a tí.

GL & HF & GG

26 de octubre de 2008

Paros y Nones

Aprovechando que estoy desvelado, desvelado y en la hora tonta de la semana, esa de las que a las 3 son las 2. He aprovechado para trapichear con una nueva herramienta, bueno, nueva al menos para mi :-)

Es el Paros Proxy , una excelente aplicación para auditorias Web que los más especializados en Hacking ético seguramente conocerán. La misma actúa como Proxy intermedio (a lo MITM) para nuestro tráfico http /https, por ello habrá que configurar nuestro navegador para que salga a Internet a través de ella, por ejemplo, en Firefox se hace así:


Firefox 3 saldrá por Paros Proxy

Una vez hagamos esto, cuando naveguemos con Firefox todo el tráfico atravesará esta aplicación, y con ello podremos ver que información viaja, que estructura tiene el sitio Web (opcion spider), que vulnerabilidades tiene (opción scan), de que tipo, y donde encontrar más información. Todo ello con un informe (opción report) que no tiene nada que envidiar a los de Nessus, u otras herramientas.

Paros: Trapicheando a deshoras

Pero no es todo, si encuentra una vulnerabilidad de SQL Injection, te ofrece una cadena de prueba para que realices la inyección, si detecta una vulnerabilidad XSS, te “asesora” en la forma de explotarla, etc. Por mi parte la he estado usando con varias páginas Web, foros, y, como no podía ser de otra forma, las alarmas han saltado por todos sitios, archivos .bak, .old, desarrollos en phpBB sin actualizar, inyecciones SQL,, ¡en Calendarios!, etc. Nada nuevo en el frente. Lo único, tener especial cuidado por que la herramienta, como todo escáner de vulnerabilidades, es muy intrusiva. Tener en cuenta que este tipo de aplicaciones se basan en pruebas de ensayo / error y generan multitud de peticiones por segundo, cualquier sistema de protección saltará a las primeras de cambio.
Portaros bien!
Salu2

23 de octubre de 2008

Delito por Cracking

Publicó El País en el día de ayer una noticia sobre la primera sentencia aplicada en España contra un cracker, concretamente en Pontevedra. Si os leis la noticia seguramente resaltaréis varias cosas:
  • Afirman que es la 1ª vez que la justicia condena a un “cracker”, algo que quizás produzca duda sobre los términos usados, ya que si yo “crackeo” la wifi de mi vecino, también puedo ser un cracker, o si busco un crack para Windows Vista, también puedo ser un cracker, o si, o si… en resumen, el término en mi opinión está mal aplicado, yo diría que es una sentencia emitida a raíz de un delito informático contra la propiedad intelectual de un software (de estas yo creo que ya hay varias, sin necesidad de ponerme a buscar).
  • El imputado y su defensa se han declarado conforme con la sentencia. La cual afirma que desde 2003 ha estado elaborando y poniendo en circulación diversos “cracks” o programas informáticos para anular los sistemas de protección anticopia. Donde poner en circulación significa que, encima, los distribuia por Emule y eDonkey (la sentencia realmente dice eDonky).
  • Se le condena por delito continuado contra la propiedad intelectual (Art. 270) con 5000 € de multa + costas (1000€ solo) + prision 6 meses, en los cuales no puede trabajar en nada relacionado con la informática.

Desconociendo el procedimiento judicial llevado a cabo, y teniendo 1º de Derecho sin matricular, el artículo 270 nos dice:

1. Será castigado con la pena de prisión de seis meses a dos años y multa de 12 a 24 meses quien, con ánimo de lucro y en perjuicio de tercero, reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios.

2. Será castigado con la pena de prisión de seis meses a dos años y multa de 12 a 24 meses quien intencionadamente exporte o almacene ejemplares de las obras, producciones o ejecuciones a que se refiere el apartado anterior sin la referida autorización. Igualmente incurrirán en la misma pena los que importen intencionadamente estos productos sin dicha autorización, tanto si éstos tienen un origen lícito como ilícito en su país de procedencia; no obstante, la importación de los referidos productos de un Estado perteneciente a la Unión Europea no será punible cuando aquellos se hayan adquirido directamente del titular de los derechos en dicho Estado, o con su consentimiento.

3. Será castigado también con la misma pena quien fabrique, importe, ponga en circulación o tenga cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en el apartado 1 de este artículo.

Entendiendo que el chaval no tenía animo de lucro (al menos no se demuestra), y que el software no está clasificado como “obra literaria, artística, o científica” (aunque el artículo 10.1 así lo recoge), también es dificilmente clasificable dentro de la propiedad industrial. El software no es lo que se vende, sino una licencia de uso, que nos dá derecho a copia privada, pero no a modificar la obra, ahora bien, se me plantean las siguientes preguntas (perdonad por el enmarasijo legal y de conceptos):

- ¿Cómo han demostrado que el imputado es quien “crackeó el programa, y además en 3 ocasiones?
- ¿Cómo han demostrado que él fue el 1º en distribuir el crack, por las redes p2p?
- Si lo han descubierto a través de la IP, ¿cómo han asociado IP con persona?

Evidentemente, y llamando al sentido común, el imputado debía ser el culpable, por que no rechistó, también es cierto que la condena es del minimo que impone la ley, y viendo los precios del PRESTO, pues se puede entender que tampoco es excesivamente cara la “multa”. No obstante, espero y deseo que que haya algo más detrás, por que no me creo que un “cracker” accidentalmente comparta su "obra", o que reitere en su “hazaña” por diversión (…), o que desconozca la legislación que le ampara y concretamente las diversas formas para defenderse que su abogado podría haber interpelado, o que no haya cometido otros delitos si le han intervenido el equipo...

Pongo la mano en el fuego, y no me quemo, cuando digo que seguramente, hay mucho más detrás.

21 de octubre de 2008

Teclea: Pa-ra-no-ia

Paranoicos.

Así nos van a llamar cuando nos sentemos con nuestro gorro de papel de plata al estilo:

¿Por qué? Por que todos saben lo que pensamos, lo que escribimos,,, casi hasta lo que sentimos! Google lo sabe, los gobiernos lo saben, la CIA lo sabe, y.. ¡es normal! De nada sirven nuestras auditorias OSSTMM que revisan de pé a pá la seguridad corporativa. ¿Recordais el hacking bluetooth?, ¿y el de infrarrojos? Pues todo eso ha quedado obsoleto, la última tecnología de hacking para dispositivos externos no precisa de comunicaciones inalámbricas, ahora “pinchamos” el cable!, o a eso se han dedicado en unos laboratorios suizos, donde se supone que captan las radiaciones electromagnéticas de las teclas de cualquier teclado (PS2, USB), las transforman y … ¡eavesdropping!

Los videos a priori son convincentes, siempre y cuando no tengan un programita que imprima en pantalla cada X segundos lo que supuestamente han conseguido . Existen varios videos que muestran los experimentos, por suerte siempre nos quedarán los teclados virtuales… y el click del ratón, ¿o tampoco?


Compromising Electromagnetic Emanations of Keyboards Experiment 1/2 from Martin Vuagnoux on Vimeo.

Mejor apago y me voy.

17 de octubre de 2008

Rosillo Project (y IV)

Estaba bastante ilusionado con mostraros esta otra forma de ocultar virus, navegando por milworm encontré este video donde explicaba como “modificar” el virus hasta hacerlo indetectable por nuestro antivirus. La técnica es sencilla, una vez creado el “cliente” de nuestro troyano (sea Poison Ivy u otro), nos valdríamos de alguna herramienta de “splitting”, Dividiríamos el troyano en tantos subarchivos como precisemos, para ello nos podemos valer de aplicaciones como:

Si estáis familiarizados con Hacha, sabréis de qué estoy hablando. Es conveniente desactivar el antivirus antes de hacer estos pasos, si nuestro cliente pesa poco podemos dividir en archivos de 1 KB, con ello nos saldrán un montón de archivos, en mi caso solo 9, ya que el poison ivy es ligerito (en cliente), si pasamos el antivirus a esos 9 nos resultará:

Que concretamente los archivos 2,3,4,5 y 8 están infectados, es decir, tenemos una firma que va del archivo 2 al 5, y otra específica para el 8, por las cuales Avast detecta el troyano. Mal asunto :-) La teoría nos dice que modificando estos archivos, con cambios “inocuos” para la lógica del programa pero que cambien su firma, harán indetectable al virus:

En rojo las letras que he cambiado totalmente de forma aleatoria, mayúsculas por minúsculas o al revés, para ello he utilizado el programa HxD, disponible en softonic, ¿el problema? No se si será cosa del Avast, o de que el Poison Ivy se huele a kilómetros, pero hasta que no he tenido el archivo así:

El antivirus ha seguido detectando, y os prometo que he ido borrando línea a línea, probando carácter a carácter, vamos, ¡una tarea de chinos! Que podría ser mejorada si afinásemos la firma byte a byte, aunque nada nos garantizaría que el troyano seguiría funcionando al 100%. Por lo menos nos queda el consuelo de que, tal como se observa en el video, es posible teóricamente. Aunque uno se acuerde de las heurísticas de los antivirus… ¿El camino facil? Cifrado + Ofuscación = GL Rosillo ... Para eso estaba Themida ¿Verdad?

Salu2!

PD: Ningún ordenador fue infectado durante este experimiento.

PD2: Rosillo ha prometido hacerse un White Hack, y todos lo celebramos con el.

Rosillo Project (I)
Rosillo Project (II)
Rosillo Project (II.V)
Rosillo Project (III)

Rosillo Project (y IV)

16 de octubre de 2008

Hablando de gaming..

Aquí os traigo un ratoncito para el dia a dia, está preparado para el WoW, pero a buen seguro se le puede sacar partido para otras cosas :-D


Algunas de sus especificaciones técnicas son:

  • Macros up to 160 characters
  • A total of 15 programmable buttons
  • Over 130 predefined commands for drag-and-drop macro creation- 16 million illumination choices with 3 intensity and pulsation levels
  • World’s first gaming mouse designed exclusively for World of Warcraft®

Más información en SteelSeries , también hay teclados, etc.

Salu2!

15 de octubre de 2008

FTP Seguro

Fue a raíz de un trabajo, había que mandar unos archivos a través de SFTP a distintos clientes, dándole vueltas me dije, leñe, ¿Cómo es posible que nunca haya montado un servidor SFTP? Dándole vueltas me propuse en cuanto tuviera algo de tiempo disponible lanzar una labor de I + D + I y hacerme uno en mi casa, estudiar las distintas opciones para securizarlo, etc. Siempre que me surge una idea de estas procuro hacerme un esquema de servilleta de papel con lo que quiero conseguir y algunas herramientas que a priori me pueden ser necesarias, en este caso fue algo tan burdo como lo siguiente:

- Objetivo: Crear un Servidor SFTP, conectarse a él, subir y bajar archivos.
- Objetivos adicionales: Securizar servidor, que solo sean accesibles los archivos deseados, establecer autenticación mutua, uso de certificados, etc.
- Plataforma: Se dará prioridad a Windows Vista, pero también se estudiará Ubuntu.
- Servidor SFTP
- Herramienta adicional, CygWin.
- Alternativa: Filezilla, funciona sobre Windows Vista, admite autenticación mutua mediante Kerberos.
- Cliente SFTP.

Todo es hacer un poco de google y ya tenía varias herramientas gratuitas disponibles y en todos los entornos posibles. Tenía claro que un cliente WinSCP estaría bastante bien y parecía una opción bastante sencilla, después descubrí varios posibles servidores, para el 1º era necesario usar Cygwin, herramienta que nunca acabó de gustarme por que es un punto intermedio entre Windows y Linux y por alguna razón nunca me gustaron las medias tintas, posteriormente descubrí el filezilla, tenía buena pinta:

- Compatible con Windows, Linux y MAC.
- Securización con SSL/TLS.
- Permite y genera certificados (de 1046 bits hacia arriba).
- Permite forzar la autenticación por clave pública.
- Filtrado de IP’s, ACL.
- Máximo número de conexiones simultaneas.
- Logs.
- Acceso personalizado por usuarios / grupos.
- Compresión de archivos.
- Etc.

Buena pinta, ¿verdad? Cumplía con todos los requisitos que podríamos requerir para securizar una comunicación FTP y con interfaz gráfica, que siempre vende muy bien :) Asi que me lancé a probarla, os adjunto algunos screens:




Instalacion: Podemos elegir el puerto de administración





Podemos crear usuarios y especificar qué archivos podrán ver y con qué permisos.



No podrás conectarte si no es usando explícitamente SSL/TLS

Sencilla a la par que interesante, ¿verdad?

Salu2

14 de octubre de 2008

Lucy > Blizzcon

Cuando comencé este blog, allá hace 44 entradas, se podía apreciar que junto con la seguridad de la información, que da nombre a esta página, otra de mis grandes pasiones era el gaming. Dada la relevante noticia que da paso a esta entrada, es más que necesario hacer un “break” en el mundo de la seguridad (que no significa hacer una brecha), para contaros cómo un chaval de 16 años de Barcelona ha conseguido proclamarse subcampeón del mundo en Warcraft III: The Frozen Throne en las Blyzzcon, una conferencia de jugadores y desarroladores de Blizzard, compañía propietaria de los famosos Starcraft, Diablo, Warcraft y World of Warcraft, algunos de los juegos más conocidos del mundo, auténticos universos con vida propia.


Para quien no entienda la relevancia de este hecho, podrá entender que ser subcampeón del mundo en algo, siempre significa que de entre 6.000 millones de personas, eres casi el mejor. Especificando más, ser subcampeón del mundo venciendo a jugadores profesionales, esto es, que se dedican solo a jugar, tienen sponsors, entrenadores, etc. como ocurre sobretodo con los coreanos, donde los videojuegos son “casi” deporte oficial -en el caso de Starcraft especialmente-, es, haciendo el simil futbolístico, como si Andorra fuese subcampeona del mundo (con todos mis respetos para la parroquia andorrana).

Numerosas web de ámbito nacional se han hecho eco de esta noticia:

http://www.20minutos.es/noticia/419041/0/warcraft-iii/juego-estrategia/

http://www.elmundo.es/navegante/2008/10/12/juegos/1223795658.html

Aunque es en las páginas especializadas donde se puede obtener más información:

http://www.warcraft-spain.com/modules.php?name=NewsWS&file=article&sid=372

http://www.arenazero.net/noticias/7653/

En los próximos días publicaré una entrevista a Arius, uno de los mejores jugadores de Warcraft de España, colaborador de Arenazero, y viejo compañero de batallas, para así acercaros un poco a este competitivo y apasionante mundo.

Que no todo es seguridad! ¿O en los juegos también?

Salu2!

13 de octubre de 2008

Eco PC = Safe World

Buenas!

Comenzamos la semana con una curiosa herramienta que descubrí hace unos días, tiene el maravilloso nombre de “Verdiem’s Edison”, su función es ahorrar energía en nuestro ordenador, y con ello emitir menos cantidad de CO2 a la atmósfera, llama la atención que Microsoft la distribuya en su portal a pesar de ser de otra compañía, ellos la definen como:

is a free energy-monitoring application for eco-conscious consumers. You can use it to more actively control your PC’s energy consumption — and subsequently your household’s carbon dioxide (CO2) emissions.”

A mí me ha gustado particularmente, en base a las características hardware de tu equipo hace una estimación de recursos que este necesita y te ayuda a configurar cuando se desactivan los distintos dispositivos tras un tiempo sin usarlos, etc. Algo que ya podemos hacer en nuestros Windows pero en este caso haciendo una planificación adecuada podemos estimar cuanto hemos ahorrado, ver cuantos árboles hemos salvado, etc.

:-O!


Honestamente desconozco hasta que punto esto es fiable, y cuánto de verdad tenga que un programita te diga que has salvado un árbol. Sin embargo, por pequeña que sea nuestra aportación, seguramente merezca la pena.

Al fin y al cabo, es por nuestra seguridad ;-)

Salu2!

10 de octubre de 2008

Criptografía Cuántica

Suele ocurrir que googleando, haciendo el moñas, viendo la televisión, o en cualquier situación cotidiana veamos cosas que nos proporcionen ideas para la realización de una entrada, ya sea por que es algo que sabemos y no hemos contado, o por que nos apetece indagar un poquito más y de paso comentárselo al mundo. Así resultó que llegué a la pagina de la Universidad de Bristol –obligada visita para todo el mundo- (:-p) al ver una noticia en muycomputer sobre uno de los primeros experimentos de cifrado cuántico (adjunto imagen chula):


Eso me recordó que hace 1 año y medio más o menos hablé en el proyecto de fin de master de esta tecnología y de las dificultades que entrañaría para el análisis forense, adjunto unos párrafos que plantean cuestiones que algún día a buen seguro nos haremos:

“…

¿Qué problemas tendrá la ciencia forense en un futuro? El crecimiento exponencial de los microprocesadores, siguiendo la Ley de Moore ( y a veces superándola) hace que cada vez dispongamos de mayor velocidad de cómputo para que herramientas automáticas realicen el trabajo por nosotros, sin embargo el crecimiento de las capacidades de almacenaje, siendo ya comunes los equipos domésticos de incluso 1 Tera de disco duro, hacen que esta pueda convertirse en una tarea tediosa, no imaginemos las decenas de Teras que pueden almacenar los servidores, o el tiempo de trabajo que todo esto podría llevar, tiempo que muchas veces no garantiza el éxito.

Pero este no es el único problema, la complejidad de los sistemas de cifrado están alcanzando cuotas que ni los procesadores más potentes pueden romper en un tiempo razonable. Claves de 1024, 2048 bits serán comunes en muy poco tiempo y si no avanzamos tan o más rapido que lo hace la Criptología podemos vernos en serios problemas. Se puede pensar que este es un simple problema de fuerza bruta pero no tiene por qué ser así. En el horizonte se comienzan a divisar los primeros sistemas de criptografía cuántica, esta es la criptografía basada en la mecánica cuántica que garantiza la absoluta confidencialidad de los datos transmitidos. ¿Cómo es esto posible? La mecánica cuántica describe la dinámica de cada partícula cuántica (fotones, electrones, etc.) en términos de estados cuánticos, asignando una probabilidad a cada posible estado de la partícula por medio de una función. El BB84 es el primer protocolo que utiliza criptografía cuántica, y aunque data de 1984, ya empieza a emplearse de forma práctica.

Pero el detalle más importante no se ha dicho todavía, el Principio de Lorcard surge en todo su esplendor en esta rama de la criptología. La mecánica cuántica dice que no es posible realizar una medición que distinga entre 4 estados de polarización distintos si es que estos no son ortogonales entre sí, en otras palabras, la única medición posible es entre dos estados ortogonales (base). Por ejemplo, si se mide en una base rectilínea, los únicos resultados posibles son horizontal o vertical. Si el fotón fue creado con una polarización horizontal o vertical (con un generador de estados rectilíneo), entonces esta medición arrojará el resultado correcto. Pero si el fotón fue creado con una polarización de 45º o 135º (generador diagonal), entonces la medición rectilínea arrojara un resultado de horizontal o vertical al azar. Es más, después de esta medición, el fotón quedará polarizado en el estado en el cual fue medido (horizontal o vertical), perdiéndose toda la información inicial de la polarización. Esto viene a decir que el mero hecho de observar un fotón nos hará perder el estado que tenía. Traduciéndolo de otra forma, cualquier ataque por eavesdropping será imposible! ¿Cómo analizar una conexión sabiendo que se alterará inevitablemente? Es uno de los retos que no solo los expertos forenses debemos afrontar, sino todos los expertos en seguridad. Ni que decir tiene que todos los sistemas de cifrado anteriores quedarán automáticamente obsoletos, siendo vulnerables para aquel que disponga de esta tecnología en primer lugar, un mundo parecido en cierta forma al que Dan Brown relataba en “La fortaleza digital”. Veremos como las matemáticas, física y tecnología evolucionan, y el soporte legal que tendrán, ya que a buen seguro, los delitos seguirán transformándose, ¿delitos cuánticos? El tiempo lo dirá.

…”

Salu2!

9 de octubre de 2008

Friends Will Be Friends

Comienzo esta entrada al hilo de una noticia publicada en el diario cinco días donde incorpora como titular:


El 30% de las compañías españolas han perdido oportunidades de negocio por no aceptar un soborno, según un estudio de Ernst & Young

Resultará curioso que en un blog de seguridad informática y algún que otro desvarío personal hable sobre sobornos. Si profundizamos un poco vemos como las compañías dedican pequeñas partidas presupuestarias en exclusiva para asegurarse tener X contratos con otra empresa, ministerio, organismo, etc. Es lo que conocemos como soborno, está a la orden del día y todos conocemos a alguien que los recibe / ofrece para asegurarse tener Y cosas o privilegios el día de mañana. Sin embargo dentro de lo común de estas malas prácticas se encuentra el tremendo rechazo que la sociedad hace hacia estos comportamientos, y que provoca lo que conocemos como pérdida de imagen corporativa, algo de incalculable valor para una compañía. ¿Cuánto puede valer la imagen de Coca Cola, por ejemplo? Inestimable…

Sin entrar en casos concretos, todo esto puede traducirse en un problema de fondo, muy al orden de nuestros días, llamado confianza. Si, la misma confianza costosa en generar puede destruirse en unos segundos, a todos nos pasó en la infancia con algún amigo, todos dejamos de usar aceite de girasol cuando surgió la noticia, o a todos nos dá “cosa” abrir correos de gente desconocida, aunque prometa alargar no se que, sin hablar de cómo están las bolsas últimamente por este preciso motivo.

En mi opinión y dentro de nuestro trabajo, aquello que más genera un auditor / consultor, es confianza en que sus sistemas / proyectos han sido analizados por profesionales que han mitigado sus riesgos, generado sistemas robustos, que pueden garantizar SLA con % de fiabilidad más altos, que a la postre significa más dinero para todos. Nuestro cliente confía en nosotros para ofrecer un buen servicio, está en nuestra mano trabajar de forma honesta para alcanzar, la tan en boca de todos por su dificultad de alcance, excelencia. Y eso ningún certificado de buenas prácticas, ningún convenio ético al que te sujetes, te lo dará. Es la diferencia entre un profesional, y la excelencia profesional, honradamente vamos.

Salu2!

7 de octubre de 2008

Meneos Falsos

Descubro vía meneame que la agencia “vulnera” la Ley de Protección de Datos al publicar una sentencia donde no todos los datos han sido “ocultados”, particularmente las direcciones de correo electrónico de demandante y demandado.

Pinchando en el enlace de la noticia se descubre que efectivamente esto es así, aunque es un archivo .pdf, no un Word (¿?) y efectivamente aparecen las direcciones de correo. Comentándolo con los compañeros decidimos indagar un poquito más, navegando por la página de la agencia llegamos al mismo documento pero… ¡URL distinta!, y en este caso no aparecen las susodichas direcciones, ¿qué ha ocurrido?

Comprobamos los certificados y …


¡Coinciden!


Me pica la curiosidad,,, ¿Cómo ha obtenido este particular esa URL?, ¿Será realmente de la agencia? Por el certificado parece que si pero…¿estará en la cache de google? (Comprobado, SI) ¿Alguien quiere desacreditar a la agencia con sus mismas armas? Ya se demostró que en meneame aparecían noticas falsas que nadie comprobaba.

Curioso e intrigante,,, Meditad sobre ello :-D
Salu2!

5 de octubre de 2008

Rosillo Project (III)

Si recordáis estábamos tratando de hacer una jugarreta a nuestro amigo Rosillo, tras coquetear con el Poison Ivy en Rosillo Project I y hacer un flash back del inicio de la historia en Rosillo Project II, seguro que os quedasteis con la duda de que hacer con el Poison, y como seguía la cosa.

Pues bien, tal como acabamos en el primer “capítulo” teníamos nuestro Poison Ivy preparado, configurado a nuestro gusto, y listo para enviar, pero teníamos un problema… hasta el último de los antivirus lo detectaría ipsofacto (incluso antes de descargarse). ¿Cómo solucionamos esto?, existen varias formas, hoy explicaremos la más sencilla.

No tenemos más que valernos de una herramienta con nombre de “acojone”, es conocida como Themida, lo mejor de todo es que tiene un interfaz si cabe, ¿más? sencillo que el de Poison Ivy:

Como podéis observar, diferentes opciones para “securizar” la aplicación que querramos, transformarla en otra con otra extensión, anti-debugging (¡con mensajes personalizados!) y muchas cositas más… así que, ¿por qué no metemos nuestro Poison Ivy dentro de una imagen, o de un archivo de video, o de un mp3? No habrá quien lo detecte (si se cifra el código claro). Luego el usuario lo ejecuta, ve el archivo que se supone debería de ver, y en el fondo:

Hmmm, esto empieza a ser divertido, ¡Tiembla Rosi! … pero, ¿Cuál es la otra forma?

Salu2!!

Rosillo Project (I)
Rosillo Project (II)
Rosillo Project (II.V)
Rosillo Project (III)

2 de octubre de 2008

Incendios, ¿Seguros?

Seguramente como entendidos en Seguridad de la Información hayáis oído alguna vez comentarios acerca de Seguridad Física. Con suerte en vuestro trabajo disfrutareis de una más que necesaria convergencia entre la Seguridad Física y Lógica. ¿Necesaria? Claro que sí, por poner un ejemplo tonto, ¿de que nos vale tener hyper-securizado nuestro CPD si solo un cristal lo separa de la calle?, llega alguien, rompe el cristal y se lleva lo que quiera. Mucho mejor, tengo un equipo sin protector de pantalla, se levanta el usuario, llega un extraño con un pen-drive y se vuelca lo que quiera en un segundin, ¿qué problema sería ese, lógico o físico? Pues ambos, ¿estaba ese extraño autorizado para entrar en ese area?

Esta pequeña vista atrás no tendría sentido para mí sino fuera por un “incidente” que vi en televisión y que me hizo recordar este “otro mundo” paralelo al de la seguridad lógica, que muchas veces nos es olvidado (sobretodo si no te dedicas a ello). Poniéndoos un poco en situación, me encontraba recién cenado en plan relax viendo el Hormiguero, estaban haciendo el típico experimento de Flippy, no lo pillé muy bien, pero era algo así como que:

- Magnesio de no se que + Sulfato de no se cuantos + Agua = Reacción exotermica, no del tipo de la lié parda , pero casi.

Hicieron una pequeña prueba con una sartén, y de la pobre solo quedó el mango (…), vamos, que no parecía ni una sartén ya :D, entonces se superaron y dijeron, ¡a por una lavadora! Hicieron el mejunje y con una pistola de agua (*!¡*) cayeron unas gotitas y … ¡boom! Reacción exotérmica al canto de 2500º, evidentemente la lavadora perforada de arriba abajo… entonces llegó el señor del extintor, le echo, le echo, le sigo echando, ¿esto no se apaga? Y ahí se quedó ardiendo… En ese momento salté yo, como si fuera lo más natural del mundo, ¡pero cenizos con ese extintor no! Era el típico extintor clase A, AB, (no se veía), que hay en cualquier oficina, y que evidentemente no está hecho para esa clase de fuegos. Os recuerdo los tipos de fuegos existentes (from Wikipedia):

* Clase A: incendios que implican sólidos inflamables que dejan brasas, como la madera, tejidos, goma, papel, y algunos tipos de plástico.
* Clase B: incendios que implican líquidos inflamables o sólidos licuables, como el petróleo o la gasolina, aceites, pintura, algunas ceras y plásticos.
* Clase C: incendios que implican gases inflamables, como el gas natural, el hidrógeno, el propano o el butano.
* Clase D: incendios que implican metales combustibles, como el sodio, el magnesio, el potasio o muchos otros cuando están reducidos a virutas muy finas.
* Riesgo de Electrocución (antiguamente conocida como Clase E): incendios que implican cualquiera de los materiales de las Clases A y B, pero con la introducción de electrodomésticos, cableado, o cualquier otro objeto bajo tensión eléctrica, en la vecindad del fuego, donde existe un riesgo de electrocución si se emplean agentes extintores conductores de la electricidad.
* Clase K: incendios que implican grasas y aceites de cocina. Las altas temperaturas de los aceites en un incendio excede con mucho las de otros líquidos inflamables, haciendo inefectivos los agentes de extinción normales (en España esta clase se incluye en la B).

Seguramente lo podríamos clasificar como clase D, ¿cómo es un extintor clase D? (Wikipedia again):

Polvo Químico Seco - D: los extintores de polvo químico seco son diseñados para proteger áreas que contienen riesgos de fuego Clase D (metales combustibles) que incluye litio, sodio, aleaciones de sodio y potasio, magnesio y compuestos metálicos. Está cargado con polvo compuesto a base de borato de sodio. Al compuesto se lo trata para hacerlo resistente a la influencia de climas extremos por medio de agentes hidrófobos basados en silicona.


Esto para un programa de televisión en directo podría haber significado un incidente lamentable… aunque el riesgo era mínimo en este caso, ¿pero que ocurre con nuestro CPD?, ¿Que sistema antiincendios tiene?, ¿Dispone de puertas ignifugas resistentes durante más de 60 minutos, 90, 120? ¿Sabemos qué es lo que tenemos en nuestras oficinas? Normalmente no, y tampoco nos importa por que no esperamos un incendio, ni una inundación, ni nada relacionado con seguridad física en general, quizás nos olvidamos a menudo de una cuestión importante, ¿es rentable la seguridad?

Bueno, apaguemos la tele un rato, y confiemos en los bomberos :D

Salu2!