20 de marzo de 2009

101

Qué mejor forma de celebrar las 100 entradas que con un poquito de humor, el chiste fácil sería preguntaros cuantos eran los dálmatas :D Efectivamente, 5 (con su rima asociada).

Pero he rebuscado algunos chistes de youtube, algunos otros de páginas varias, y un monólogo que leí por ahí, una buena forma de empezar el fin de semana (aunque algunos llevamos algo más de puente :D), espero que os gusten:

- Sabeis que hacen ocho bocabits ? 
- Pues hacen un BOCABYTE. 

**************************

Un fisico, un quimico y un programador van en un coche por la carre- 
tera. De repente, el coche comienza a hacer un ruido extraño. Paran el 
coche, y dejando el motor en marcha elucubran sobre lo que sucede 
mirando el motor. 
El fisico dice: 
- Evidentemente, hay un problema de rozamiento entre los pistones, 
de ahi el ruido. 
El quimico replica: 
- De eso nada, el ruido es debido a que la gasolina esta mal 
mezclada. 
El programador va y dice: 
- Por que no lo apagamos, lo encendemos, lo apagamos, lo 
encendemos, ... 

**************************

Un medico, un ingeniero y un informatico estan charlando sobre cual 
de sus profesiones es la mas antigua. Empieza el medico : 
- Pues mira, la Biblia dice que Dios creo a Eva de una costilla de 
Adan, esto obviamente requiere cirugia, y por lo tanto la medicina es la 
profesion mas antigua. 
El ingeniero replica : 
- Si, bueno, pero antes de eso, la Biblia dice que Dios separo el 
orden del caos, esta fue obviamente una obra de ingenieria. 
El informatico se echa para atras en la silla y dice sonriendo 
tranquilamente porque sabe que ha ganado esa mano : 
- Si, pero como te crees que Dios creo el caos ?

**************************

No es cierto que los ordenadores y los humanos usen sistemas 
incompatibles para contar. Lo que pasa es que nadie se habia dado cuenta de 
que los pulgares son bits de paridad

Ahora una pequeña recopilación de videos:

 Este monólogo es un poco viejo, y es que son muchos los años que llevamos aporreando teclas -:)

Y los que nunca pueden faltar, Cruz y Raya:

Para terminar, un monólgo extraido de el destornillador:

En ocasiones, un familiar recurre a tus servicios, y extrañamente no es porque se haya quedado sin internet o el ordenador le vaya muy lento, sino porque debido a la publicidad abrasiva y al constante machacar al que uno de sus hijos le tiene sometido, decide que necesita es un equipo nuevo.

Aqui es cuando subes a la palestra y recibes la llamada del ahorro. Después de un rato intentando, en vano, que entienda conceptos como memorias, gigas y wifi, la conversación termina con “Yo no entiendo, pero hazme un presupuesto de un ordenador bueno para que el chaval se baje cosas de internet, que pueda jugar a los juegos modernos esos que salen por la tele y que no sea muy caro”.

Y empieza el puzzle. Mete esta placa, ponle este tipo de memoria, un disco duro grandecito, una tarjeta gráfica en condiciones, un microprocesador con cuatro nucleos, grabadora de DVD… Compruebas que todo cuadra, entonces miras al final y ves el precio. Es caro pero potente, para los juegos irá bastante bien.

Le llamas y lo único que acierta a decir es “Hostia macho, que estamos en crisis”. Y comienzas un dialogo donde intentas explicarle, de la mejor manera posible, que para jugar necesita una tarjeta gráfica buena y unos componentes acordes para que el ordenador vaya ligero. “¿Tanto cuesta una tarjeta de esas? Pues no, ponle una normal y si no puede jugar que no juegue. Que se ponga la play que para eso la tiene. Y mira a ver si puedes quitar algo para que baje el precio”.

Asique otra vez a armar el puzzle. Quita este modelo de placa y ponle el inferior, la memoria la dejamos, ponemos este otro microprocesador dual core, el disco duro también lo dejamos, una tarjeta gráfica más sencillita… Y cuando está todo listo de nuevo le llamas, parece que el nuevo precio le cuadra y te da el visto bueno para  que empieces a montarlo. Entonces para curarte en salud y ganar tiempo, le mandas el presupuesto por email a la única cuenta de correo que tienen, la del messenger del hijo.

Y se lia del tó. El chaval ve el presupuesto y como entiende de informática porque en el instituto está haciendo un curso de Office y los de su clase le dan muchos consejos, le dice al padre que no, que el ordenador tiene que llevar más memoria y una tarjeta gráfica de 1Gb porque si no los juegos no funcionan. Y claro, nueva llamada para ponerte al tanto.

A desmontar y montar el puzzle de nuevo. La placa se queda, ampliamos memoria, ponemos la tarjeta gráfica del principio, ponemos un disco duro de menos capacidad, dejo el mismo microprocesador… Total, que después de varios presupuestos, intentando que, por componentes, le parezca bien al hijo y, por precio, le parezca bien al padre, damos con una configuración que satisface a ambos.

Empiezan las llamadas a proveedores y las consultas a través de internet. Una sensación de locura te invade cuando ves que algunos componentes están más caros, otros se han agotado y tardarán unos dias en llegar, incluso uno de ellos está descatalogado…

Pero llega un momento en el que, por fin, todos los componentes obran en tu poder. Lo montas poniendo especial empeño, porque eres consciente de que a partir de ese momento serás al único que llamen cuando algo le pase. Se establece un vínculo invisible el cual penderá sobre tí, como espada de Damocles.

Empleas varias horas en hacerle distintos tipos de pruebas y en pasarle infinidad de test a todos y cada uno de los componentes. No falla nada, va como la seda y decides hacer la llamada definitiva, en la que les dices que el equipo, su equipo, está listo y pueden pasar a recogerlo. “Oye, una cosita ¿la torre no tendrá más de 40 cms de alta, no? esque sino no me cabe en el mueble”

Y esque la familia, es la familia.

Salu2!

14 de marzo de 2009

Cloud Virus (Anti)

No se lo que te pasa, estás siempre en las nubes...

Respuesta: Claro hombre, es lo que se lleva ahora.

El principal beneficio del cloud computing, o “computación en nube” que tanto se está escuchando últimamente, es el ahorro de costes. Parece que la tendencia actual pasa por disponer de terminales “tontos” y dejar toda la potencia de cálculo en grandes servidores, de tal forma que las empresas puedan ahorrar en microinformática y centralizar los servicios necesarios para el trabajo del día a día al mínimo coste.

Un sencillo ejemplo de cloud computing son las Google Apps, aunque quizás sería un poco difícil de integrarlas en las Normativas y Políticas de seguridad de cualquier empresa considerable (aunque prometen cumplimiento GLB, HIPPA, etc.).  Volviendo a nuestra computación en red, los antivirus parece que poco a poco también comienzan su andadura sobre este “nuevo” modelo de arquitectura. Como sabéis los antivirus se basan principalmente en firmas, es decir saben que cuando un proceso ejecuta cierta combinación de instrucciones, ahí puede existir un virus. Saben que cuando un archivo dispone de cierto hash, también puede estar infectado. También es verdad que actualmente también disponen de heurísticas que “aprenden” y detectan comportamientos clasificados como sospechosos, una escalada de privilegios, el borrado o manipulación de archivos de sistema, etc. En todo caso parece un patrón de trabajo orientado a “Listas negras”, del estilo, no me gusta tu aspecto o a ti ya te vi la otra noche y me armaste trifulca, mejor quédate en tu casa porque aquí no entrarás hoy. Claro está existen antivirus que se basan exactamente en lo contrario, “Listas blancas”, es decir, sólo aquellos que yo conozco y confío en ellos podrán ser ejecutados. Si bien ambos modelos son acertados, ninguno de ellos es válido por si solo, la correcta mezcla de ambos es la que nos proporciona antivirus eficaces.

¿Cómo integrar los antivirus en el cloud computing? Existen numerosas alternativas, por ejemplo en Panda se han decantado por aprovechar la nube para utilizar cada antivirus como un “sensor en la nube”, así todas las nuevas muestras de malware, o sospechosas de serlo son enviadas a un repositorio centralizado que compara con sus bases de datos de software maligno, compara con sus listas blancas y gracias a un sistema inteligente calcula la probabilidad de que sea nuevo malware, o no.

Otra alternativa mucho más sencilla (y económica) que sirve como “juguete” antivirus en la nube es el “Cloud Antivirus”, esta aplicación se integra en nuestro Windows XP / Vista siendo muy sencilla de utilizar:

Calcula el hash SHA-1 del archivo enviándolo a un servicio habilitado por el TEAM CYMRU(yo tampoco había oido hablar de ellos), comparan el hash con una base de datos de malware de que disponen, y te muestra el resultado del análisis:

Está en versión BETA y puede ser un complemento interesante al antivirus tradicional. No obstante todavía no funciona muy bien, se ha tragado el Poison IVY sin realizar ninguna manipulación adicional :-(

Y esto es todo por hoy.

Salu2!

PD: Cumplimos 100 entradas juntos :-) en la siguiente toca chiste ;-D

12 de marzo de 2009

Videojuegos "educativos"

“Los videojuegos han alcanzado la categoría de 7º Arte”

Respuesta: Cierto, desde que jugué al Doom no salgo de casa sin mi motosierra, nunca sabes cuando puede salirte la vena artística”

Hacemos una pausa en el mundo de la Seguridad, supongamos que hoy no han salido nuevas vulnerabilidades, que el ConfinkerC no hará más estragos por hoy y que el Confinker.D no anda pululando ya por ahí.


Doom: Esos viejos tiempos.. 

Hace unas semanas la Universidad Complutense de Madrid, concretamente Belén Mainer, que es una chica bastante interesada en las cuestiones sociales que atañen al ciberespacio, publicó un interesante estudio sobre “usuarios adultos consumidores habituales de videojuegos”. En sus conclusiones se desprende el perfil habitual de estos jugadores:

  • Varón que utiliza el PC en su trabajo.

  • Se inició en los juegos a los 10 años (por tanto lleva 20 años dándole caña a los marcianitos).

  • Valora la calidad, buena historia + buenos gráficos.

  • Jugador social, prefiere jugar en grupo.

  • Sus géneros preferidos son estrategia y shooters.

  • Dedica una media de 2 horas diarias y en su mayor parte, utiliza juegos pirata.

  • Invierte dinero en mantener su equipo a la última.

  • Apenas ve la televisión, utilizando esta solo para mantenerse informado.

  • El espectro femenino que cuadra con estas características es irrisorio (si encontráis a alguna presentádmela).

Bueno, independientemente de que muchos de nosotros nos adaptemos a este perfil o no, el estudio es cuanto menos curioso, al menos en lo que refiere a la utilización del PC / consola como elemento de ocio en lugar de la televisión, desbancada ante la baja calidad de sus contenidos.

Esta misma chica publicó otro estudio acerca de las relaciones y efectos de los usuarios en juegos online, poniendo como ejemplo al mítico WoW. Veamos las “habilidades” sociales que adquieren o entrenan estos jugadores:

  • Al estar en una comunidad, aprenden a colaborar y cooperar.

  • Se promueve la justicia entre jugadores cuando alguno se salta las reglas (sean las del juego, o de los clanes).

  • Se tiene respeto a la autoridad (lider del clan, administrador, etc.)

  • Aprenden la equidad y el reparto de los recursos en lugar de moverse por la avaricia de almacenar y conseguir más, de esta forma logran administrar sus bienes correctamente y por tanto conseguir mejores resultados.

  • Finalmente, los jugadores se ayudan entre ellos promoviendo el deber de auxilio.

  • Con todo ello los juegos colaborativos ayudan y promueven comportamientos moralmente correctos.

    Ya se con quien voy a dejar los niños este fin de semana...

Si es que como veis, después de un vicio al Warcraft salimos hechos unos samaritanos :D

Y como dirían los del plus, ¡Paz y amooooooor!

9 de marzo de 2009

Pen Testing - Advance

¿Y qué dicen las metodologías de estos “pent testing basics”? Pues que quizás sea eso lo que se haga (en cierta forma) en la mayoría de las empresas. Pero que ni mucho menos es lo que se debería de hacer, existen multitud de cosas que un test de intrusión debe comprobar y estas no solo afectan a sistemas en producción. Ahí están la OSSTMM (V3) y OWASP (V3) con sus cientos de folios indicando metodologías de trabajo en los Pen-Test, y es que de la teoría a la práctica hay un trecho bastante grande que creo que esta imagen simboliza muy bien:


Y es que no es lo mismo saber que X aplicaciones tienen tantas vulnerabilidades y que el firewall de entrada a la DMZ de tu cliente tiene abiertos los puertos http / https, smtp, dns, 53748 y alguno del emule que saber todo eso y que hay dos directores generales que están buscando trabajo en Xing (eso es un riesgo también, ¿no?), que la puerta de entrada a las oficinas tiene un candadito que se abre con un imperdible y que el que es el producto estrella de su compañía (ultra patentado y ultra protegido) está documentado y disponible en una carpeta compartida del director general. De ahí que por ejemplo OSSTMM tenga su “molinico de la mancha” para determinar los dominios de un Pen – Test completito:

Pero esto no es todo, nuestra compañera OWASP establece directrices “pen test” en el ciclo de vida del desarrollo (lo que conocemos ahora como ciclo de desarrollo seguro):

Phase 1: BEFORE DEVELOPMENT BEGINS.

PHASE 1A: REVIEW POLICIES AND STANDARDS

PHASE 1B: DEVELOP MEASUREMENT AND METRICS CRITERIA

Phase 2: DURING DEFINITION AND DESINGS

PHASE 2A: REVIEW SECUTIRY REQUIREMENTS

PHASE 2B: REVIEW DESIGN AND ARCHITECTURE

PHASE 2C: CREATE AND REVIEW UML MODELS

PHASE 2D: CREATE AND REVIEW THREAT MODELS

Phase 3: DURING DEVELOPMENT

PHASE 3A: CODE WALKTHROUGHS

PHASE 3B: CODE REVIEWS

Phase 4: DURING DEPLOYMENT

PHASE 4A: APPLICATION PENETRATION TESTING

PHASE 4B: CONFIGURATION MANAGEMENT TESTING

Phase 5: MAINTENANCE AND OPERATIONS

PHASE 5A: CONDUCT OPERATIONAL MANAGEMENT REVIEWS

PHASE 5B: CONDUCT PERIODIC HEALTH CHECKS

PHASE 5C: ENSURE CHANGE VERIFICATION

Pero como las ofertas Carrefour, ¡Esto no es todo! Existe una metodología orientada exclusivamente a seguridad de aplicaciones (ISSAF) que divide la seguridad en:

1.- Network Security

2.- Host Security

3.- Application Security

4.- Database Security

Que parece que está muy escuchimizá, aunque adentra mucho en la parte técnica ya que indica los ataques que se pueden realizar, lo que se espera obtener de esos ataques, que herramientas utilizar, y algún ejemplo:

Por tanto los “Pen Testing Advance” no tienen nada que ver con los “Pen Testing Basic” de los que hablaba hace unos días, ¿ahora bien, qué es lo que quiere nuestro cliente?, ¿Por cuánto tiempo es válida una auditoria OSSTMM?

Salu2!

5 de marzo de 2009

Pen Testing Basics

Te prometo nena que yo no soy como los demás, realmente entiendo tus sentimientos y créeme, no hay nadie que te comprenda mejor que yo.

Respuesta: Está bien, quizás deba darte una oportunidad, ¿a qué te dedicas?

Respuesta: Hago Test de Penetración.

¡Zás!

Una vez un buen jefe me dijo que hacer un test de intrusión (suena mucho mejor), es como ir al ginecólogo, tienes las partes nobles de la otra persona en tus manos y necesitas ante todo tener mucho cuidado, mantener su privacidad veas lo que veas y… no esperarte la mayor de las colaboraciones.

El chico de metasploit dominando el mundo.

Reconozco que en el momento me pareció bastante exagerado, sin embargo la experiencia y el tiempo acabaron dándole la razón. Pues andaba yo pensando en estos test, de cómo han evolucionado de una mera auditoría Nessus + Nmap a herramientas que añaden una capa más de automatización donde ya no es necesario ningún conocimiento de seguridad, ni tan siquiera hacer un script, por ejemplo la herramienta Metasploit permite atacar una máquina remota en unos pocos pasos:

1.- Seleccionar y configurar el exploit.

2.- Comprobar el sistema operativo de la máquina atacada.

3.- Seleccionar el tipo de código o payload (vamos, el llamado “código arbitrario” que permiten incrustar una vulnerabilidad?.

4.- Lanzar el exploit.

El caso es que buscando herramientas similares me he encontrado con bastantes, unas para Linux, otras para Windows, freeware y de pago:

  • Inmunity’s CANVAS, de pago y bajo Windows.

  • Core Impact, idem que la anterior.

  • Bidibladh, que además te genera los informes (mientras te tomas el café y el Donet)

  • Inguma, esta si es gratuita y está hecha en Python (a ver si la pruebo un dia…)

Y no se cuantas más habrá, de todas formas el trabajo de pen test siempre es igual:

1.- Escaneo, exploración de red (Nmap).

2.- Detección de vulnerabilidades (Nessus, Nikto, Acunetix)

3.- ¿Explotación de vulnerabilidades? Aquí es donde entra en juego el Ethical Hacking, y donde el conocimiento humano es más importante.

4.- Generación de informes, reporte de alertas. El papelo, la parte más aburrida.

Mi duda es, ¿existe alguna herramienta que complete los 4 pasos?, ¿No?, Entonces a que espera alguien a ponerse a ello… ¿cuánto se podría agilizar este trabajo?

Quizás haya que ponerse a picar código…y a limar la idea, ¿qué funciones adicionales podrían ayudarnos?, quizás apoyarse en redes neuronales para el paso 3, o utilizar herramientas de extracción de metadatos en el paso 1, al estilo metagoofil de S21 serían buenas aportaciones. Todo sea por rizar el rizo :-P

¡Salu2!


3 de marzo de 2009

87686d9c04d52cdb7c5278564a1204b1

Es imposible que alguien haya abierto mi maleta, calculé su hash antes de salir.

Respuesta: Habremos tenido alguna colisión…

¡jarrrrrrrrr! Digo Hash! Es la palabrita inglesa que hace referencia a la función o algoritmo que convierte lo que le pongas, texto, ficheros, etc. en otra cosita de un tamaño predeterminado. ¿Y esto para qué vale? Bueno pues las funciones Hash sirven para preservar la integridad de un objeto. Por ejemplo, si el sujeto A quiere mandar un correo electrónico al sujeto B, una buena idea sería anexar el hash del correo original, de tal forma que cuando B reciba el e-mail recalcule el hash, si coinciden tendemos que el correo no ha sido “alterado” por nadie, ojo, esto no quiere decir que alguien no lo haya visto, o que su confidencialidad no ha sido puesta en entredicho.

¿Pero qué otras utilidades podemos buscar a los hash? Los diseñadores de Sistemas Operativos pensaron que era una buena idea utilizarlos para albergar las contraseñas de los usuarios, miento, para albergar su “hash”. ¿Por qué? Por que los hash son funciones matemáticas de un solo sentido, esto es, no se puede sacar el original a partir del resultado. O al menos eso dice la teoría, por que hay muchísimas páginas web que se dedican a mostrar “colisiones”, que no son más que dos objetos distintos que muestran el mismo hash. 

La explicación a esto es muy sencilla, el espectro de objetos distintos es… ¿infinito? Pongámosle casi-infinito, sin embargo el espectro resultante de un hash tiene un tamaño predefinido, luego por narices tiene que haber colisiones, solo hay que encontrarlas. Volviendo a nuestros sistemas operativos, ahora que sabemos que las contraseñas son almacenadas en muchos casos mediante su hash (hay otros que las cifran), podríamos probar suerte a ver si extrayendo el mismo sacamos la password, ¿y si la clave fuera Administrador? (que ingeniosa):

Existen librerías para casi todos los lenguajes de programación que permiten calcular el hash, luego incorporarlo a nuestras aplicaciones es trivial, ahora bien, ¿y si quiero incorporarlo al sistema operativo para que cada vez que quiera calcule el hash de un archivo? Esto es algo muy útil para asegurar que nos descargamos correctamente lo que se supone que nos queremos bajar. Esta utilidad es muy cómoda y se integra perfectamente en Windows.


Y esto es todo por hoy, como nota adicional decir que lo cool ahora es tatuarse el hash de tu chica, y si no probad probad ;-)

Salu2!

PD: Como siempre, os dejo trabajito, ¿hay alguna colisión para el título de esta entrada?