lunes, 28 de diciembre de 2009

Windows ME

No se en que post de Maligno, puso este vídeo del anuncio del Windows ME (Milenium).

Nada. Lo dejo aquí, por poner algo que tenga que ver con los bits y los bytes, ¿no?


sábado, 26 de diciembre de 2009

Windows y la UAC IV

El otro día leyendo a Maligno decía que había una manera de hacer que la UAC se comportara de una manera o de otra. Es uno de los posts que tiene de la serie de la UAC.

Para ello había que utilizar una de las consolas de administración de Windows. En este caso será la secpol.msc.

Como ya sabéis, en mi equipo yo utilizo un usuario "mortal". Para utilizar secpol.msc hay que ser administrador. Yo la he abierto de la siguiente manera. Seguro que hay muchas más:
- He buscado secpol.msc con el buscador del Vista.


Buscando secpol.msc


- Una vez lo ha encontrado, lo he enviado al escritorio. Desde ahí he utlizado la opción de ejecutar como administrador. La razón de enviarlo al escritorio es para que se viera más claramente la operación.


Ejecutar como administrador


- Nos pide confirmación con la UAC:


UAC para abrir secpol.msc

- Una vez accedemos tendremos acceso a la configuración del comportamiento del control de usuarios, UAC.



Opciones de seguridad, opciones para el control de usuario

Hay muchas opciones para controlar su comportamiento. Las más importantes son las dos primeras.

- Distintas opciones para los administradores:


Opciones para los administradores


Las distintas opciones:
- Por defecto, pedir confirmación. Vamos, el famoso permitir o cancelar.
- Pedir credenciales tal y como se hace por defecto en un usuario mortal.
- Elevar sin preguntar. Que sería como desactivar la UAC pero sólo para los administradores. Acordarse de que esta es la más peligrosa.

¿Y para el resto de usuarios?

Sólo hay dos opciones:
- Elevar privilegios (como ya he dicho en varias ocasiones, introducir credenciales de administrador)
- Denegar el acceso. No pide nada. Suelta un aviso del tipo de "acceso denegado".


Opciones para los usuarios mortales


A parte tenemos la opición de poner el escritorio seguro (que se pone más oscuro cuando se activa el control de usuarios). O que al instalar aplicaciones se estime si es necesario privilegios o no. Y unas cuantas más que no me apetece nada mirar.

Espero que esta sea la última cosa que pueda contar sobre la UAC.






Feliz navidad!!!


Poco más puedo decir al respecto, que el título de este post.

Que tengáis unas felices fiestas. Unas felices vacaciones para aquellos que las tengan, y que no tengáis que dar palo al agua para aquellos que os toque currar. Que la familia (ahora me pongo a tocar El padrino en el piano) esté bien unida.

¿Qué más? Sí. A ponerse como el kiko. No pasa nada. Después se va al gym sin problemas.

Y poco más puedo contar. Ala. A pasarlo bien.

martes, 22 de diciembre de 2009

Windows y la UAC III

Bueno. Ya he hecho varias cosas con las máquinas virtuales.

Lo primero de todo es conseguir que se ejecute el troyano. Para eso se envía un ejecutable como el que se muestra en la captura:


El troyano que hay que ejecutar.


Este lo he compartido desde el Equipo01 para que lo pudiera pasar. Hay que tener en cuenta que esto no es un escenario ideal. Es un escenario montado para que el troyano sea muy facil de aplicar.

Ahora. Para manipular el troyano, que actúa de servidor, se necesita un cliente, que es la consola de administración.


Consola de administración sin conexiones

Esta es la consola de administración sin conexiones. Y esta es la consola cuando ya se ha ejecutado el troyano.


Consola de administración con una conexión


Una vez vemos que tenemos a alguien conectado, hacemos doble click sobre el equipo que queremos controlar. En nuestro caso, evidentemente, sólo habrá uno. Va a ser el Equipo02. Nos  va a aparecer un panel de control parecido al de la imagen. Yo he seleccionado la sección que permite ver la pantalla del equipo troyanizado.


Capturando la pantalla de la víctima.

A su vez, podemos manipular cosas. Por ejemplo. Podemos manipular el teclado. Así, podremos escribir en este fichero de texto que se puede ver en la siguiente captura. A tener en cuenta. El check que está en un círculo rojo tiene que estar seleccionado. No lo he mostrado así porque no me dejaba capturar la pantalla del administrador, el Equipo01. Al estar seleccionado, me capturaba la pantalla del Equipo02.


Manipulando el fichero.


Y aquí el fichero manipulado.


Fichero manipulado.


Vale. Una vez que hemos visto qué se puede hacer con este troyano, ejecutado con el usuario usua02, vamos a ver cómo hacer saltar la UAC. Para ello, vamos a tocar la shell que nos ofrece el panel el panel de control y ejecutamos en ella (una vez nos permita introducir comandos) firewallsettings. Como se puede apreciar, también he hecho más pruebas.


Solicitando administración del firewall.


En el Equipo02, nos saltará la UAC. Momento en el cual, tendremos que sospechar que algo no va bien. Sería lo mismo que cuando hemos manipulado el fichero de texto.


UAC que salta al "manipular" el firewall.

¿Qué hubiera pasado si no hubiéramos tenido la UAC activada? No hubieramos tenido permisos para tocar nada. ¿Y si huberamos sido administradores? Bueno. Ahora podemos ver que el admin02 ha ejecutado el mismo troyano que el usua02. A parte de que ahora en el panel de administración del troyano vemos que aparecen dos entradas...

Dos usuarios infectados.

Una vez tenemos control sobre el administrador, ya podríamos hacer de tó. Y mucho más si quitásemos la UAC. Ya vimos antes qué sucedía si la quitábamos. 

Vuelvo a recordar que esto es un escenario forzado para que saliera la UAC con el usuario mortal. Y he ido a por algo sencillo, como puede ser el firewall de windows. Que cantaría mucho si se manipulara. Pero también se ha visto que se puede manipular el teclado, el ratón... Si tuviera una webcam se podría ver lo que estuviera mirando... 

También hay qeu tener en cuenta que este troyano tiene una características. Lo hay con más y con menos. 

Soy consciente de que esto no supera las expectativas. Pero bueno. Creo que es mejor esto a nada. ¿No?
















lunes, 21 de diciembre de 2009

Windows y la UAC II

Bueno. Casi, casi puedo decir que... "¡Al fin lo tengo!". ¿Por qué? Porque el montaje de las máquinas virtuales me ha costado más de lo que yo pensaba. Muchiiiiisimo más.

Aunque puede que este post poco tenga que ver con lo de la UAC (todo dependerá de lo que consiga escribir), sí va destinado a cómo tengo pensado hacer el experimento de las pruebas. Después tendré que ver cómo os las puedo mostrar.

Lo primero de todo. ¿Qué equipos están en juego? ¿Con qué sistemas operativos?.

Los equipos son dos Virtual PC. Cada uno de ellos lleva un Windows Vista instalado. Con el fin de diferenciarlos, uno de ellos se llama Equipo01 y el otro Equipo02.

Diferencias entre ambos:
- A día de hoy, cada uno de los dos equipos tiene un usuario administrador y un usuario mortal.
- El quipo 01 tiene la apariencia clásica, sin ningún efecto especial tipo Aereo. El 02, aunque el aspecto es el nuevo del Vista (que ya no es tan nuevo, dado que ya tenemos el W7), también he desactivado todos los efectos visuales.
- He utilizado el paquete de herramientas Sysinternal Suite. He utilizado la herramienta bginfo. Que permite mostrar información del sistema en el escritorio.
- Estaba teniendo problemas con la red. Estos equipos podían hacer ping a un router, pero no al resto de equipos. Total, que he visto que el firewall estaba activado en ambos sistemas. En ambas virtualizaciones los he desactivado.



Equipo01 - Firewall desactivado



Equipo02 - Firewall desactivado


Como se puede ver en las capturas, el Equipo01 tenemos un usuario adminstrador logueado. Por lo tanto, la UAC que nos salte cada vez que queramos tocar cosas como el firewall, sólo nos pedirá confirmación. En cambio, con el Equipo02, se nos pedirá una contraseña. De hecho, el equipo que será troyanizado será el Equipo02. Más adelante, ya le pasaré el troyano con usuario más poderoso.  ¿Qué más puedo contar? Nuestra victima no ha actualizado el sistema. El equipo que manejará el troyano está actualizado hasta el SP2.

¿Qué más os puedo contar sobre los equipos? No les he puesto antivirus. Si no, se comerían el troyano vivo. ¿Eso es un problema? Bueno. La idea no es troyanizar pasando desapercibido, sino lo que podría suceder de tener algún bicho pululando por el equipo que sí esté escondido, sin dar señales de vida.

Si hay algún detalle que se me pueda quedar en el tintero, lo haré saber.



viernes, 18 de diciembre de 2009

Spam

Todos sufrimos de spam. No hay día que no se reciba un correo que intente vendernos una pastillita azul, que nos entreguen una herencia multimillonaria de parte de una viuda de África a cambio de una determinada cantidad de dinero para pagar los impuestos de la transferencia... O, ese magnífico empleo desde casa que nos reportará grandes beneficios por hacer dos horas de trabajo diario. Vamos, los correos tipo.

Hay muchas formas conocidas para recibir este tipo de correos.

¿Os gustan esas presentaciones tan bonitas en las que salen unos lindos gatitos? Mola mucho re-enviarlas, ¿verdad? A toda la lista. Para que la vean y si les gusta a tus destinatarios que lo reenvien a su vez. Y así, poco a poco, muchas personas habrán visto a esos lindos gatitos. Incluso, es posible que dentro de 2 o 3 años, te vuelvan a llegar. En realidad, ya estarán muy creciditos. Pero en las fotos seguirán siendo los mismo minimos que hace 2 años atrás. Además, junto a las fotos, nos vendrán de regalo un montón de direcciones de e-mail. Direcciones de todos aquellos que han acogido a los felinos.

Total. Que ahí tenemos una gran fuente de direcciones de correo. ¿De dónde más se pueden conseguir direcciones de correo? De los foros donde hay gente que dice cosas así como:

Necesito ayuda. No me funciona el ordenador. Para responder escríbeme un e-mail a agus2011@gmail.com.
Total. Que después, con los programitas adecuados, y con las herramientas adecuadas, consiguen un montón de direcciones. Cada vez menos, por una técnica que con las herramientas automáticas es más difícil de obtener. Y, esas técnicas incluyen el hecho de que mi e-mail deja de ser agus2011@gmail.com y pasa a ser agus2011 [arroba@] gmail [puntillo, puntazo, punto] com. Y la búsqueda de patrones que suelen utilizar dicha herramienta falla.

Del mismo modo que tenemos los foros, también podemos utilizar las listas de distribución. Que también sirven de fuente de información para captar el preciado material.

Y, a la hora de suscribirse en servicios varios, éstos podrían vender nuestros datos, junto con el correo, a terceras empresas, que nos acabarán spameando.

Y ahora no me apetece seguir escribiendo sobre el tema. Lo voy a zanjar aquí. Si a alguien se le ocurren más fuentes de spam, adelante!!.

viernes, 11 de diciembre de 2009

Autenticación

Mientras consigo preparar las máquinas virtuales para los posts sobre la UAC y las contraseñas en Windows (I y II ), voy a ver qué os puedo contar.

¿Alguien sabe cuántas formas o niveles de autenticarse existen? A la hora de identificarnos en un sistema determinado, nos pueden exigir una serie de métodos para saber que nosotros somos... nosotros. En principio tenemos tres niveles:

  • Nivel 1: Basado en algo que conocemos. Como norma general, es el nombre de usuario con su contraseña. Es muy básico, porque, de tener ese dato, pueden hacerse pasar por nosotros. Por lo que, entre los siguientes niveles, es el más fácil de saltar. 
  • Nivel 2: Basado en algo que tenemos. Este nivel añade más seguridad al nivel 1. En este caso, para autenticarnos, necesitaremos algún elemento que si no tenemos, no podremos acceder a aquello que se está protegiendo. Además, esto es susceptible de perderse.  Aquí podemos hablar de algunas cosas que podrían ser:
    • Smart-cards: tarjetas inteligentes, como podrían ser tarjetas con chip, con RFID, con banda magnética. Con el lector adecuado, será posible que el sistema lea la tarjeta para darnos paso, o para denegarnos el acceso. 
    • Tokens: A ver cómo lo puedo explicar. Para resumirlo, y sin ser muy preciso: un token es un elemento que te devolverá una serie de caracteres que habrá que introducir cuando el sistema lo solicite. Este dato que nos devuelve varía cada cierto tiempo. Lo suyo es que sea cada muy, muy poco tiempo: unos cuantos segundos. 
  • Nivel 3: Basado en lo que somos. Si queremos resumir esto es una palabra, utilizaría biometría. Los seres humanos, a excepción de casos poco comunes, estamos diseñados con dos piernas, dos brazos, dos ojos... 5 dedos por mano, otros 5 dedos por pie. Bueno, ya se me entiende. Pero, hay otras que se entienden únicas por cada persona. Entre otras, las huellas dactilares, el iris del ojo, la palma de la mano, la voz. Uno de los riesgos de la voz es que, a parte de que existe la posibilidad de que cambie (un mísero catarro, haberse levantado de la cama hace cinco minutos), cortes en el dedo que mira la huella dactilar... A parte se necesitará el lector para realizar la comprobación y haber capturado antes aquella parte del cuerpo que será verificada. 
Estos son los niveles que a día de hoy se pueden establecer para autenticarse en un sistema. Cuanto más alto el nivel, más complicado es el que alguien se haga pasar por nosotros. Estos se pueden combinar. Aunque no es necesario, sí sería recomendable. Una tarjeta perdida, si no se pide contraseña, dejaría paso a cualquier persona que se la encontrara. También se podría montar para permitir distintas alternativas: utilizar una huella dactilar o utilizar un token junto a una contraseña. Por poner otro ejemplo, que haberlos, los hay a miles. 

Espero que esto sea de utilidad. 

miércoles, 9 de diciembre de 2009

Contraseñas en Windows II

Si bien este post va dirigido a las contraseñas en Windows, se podría aplicar a las contraseñas en general.

Como ya comenté en un anterior post, nos podemos encontrar con unos ficheros llamados rainbow tables. Estos son unos ficheros donde se tiene una gran colección de hashes correspondientes a contraseñas. ¿Para qué sirve tener una colección de hashes? En principio, nos permitirá hacer unas cuantas cosas. Por ejemplo. Dado el hash de una contraseña, se puede buscar éste dentro de la tabla.

También hay que tener en cuenta que dependiendo del conjunto de caracteres que se esté empleando, será más fácil, o no, encontrar la contraseña. Por el lado de las rainbow tables la dificultad radicará en que si se están utilizando caracteres especiales, como pueden ser guiones bajos (_), guiones (-), o, si vamos más allá, eñes (Ñs), acentos, etc, hará que el fichero donde están almacenados los hashes ocupen más que si sólo se tuvieran las combinaciones sencillas del ASCII. Y, desde el punto de vista de la contraseña, porque cuantos más caracteres especiales se utilicen, unido a la longitud de ésta, más costará el poder encontrar dicha contraseña dentro de las tablas, si es que está representada ahí dentro. También es cierto que a medida que la tabla va creciendo es más probable que se produzca una colisión. Y cuando hay colisiones implica que hay un hash que valdría para más de una contraseña.

Es muy, muy importante darse cuenta de que a medida que se van añadiendo caracteres a la combinatoria de las posibles contraseñas de las que queremos almacenar su hash, más ocupará el fichero donde estén almacenadas. Ayer estuve buscando material para poder hacer alguna demo y, para que se vea hasta donde puede llegar el tamaño de una colección de estas, un bicharraco de estos que contenga los hashes para LM de una longitud máxima de 7 caracteres, ocupa 120 GB.

En este sitio hay una buena presentación en la que se ve cómo se pueden generar estas tablas, y algunas características que se me queden colgadas o que no sean muy precisas.

De momento no puedo dar muchos más detalles. De todas maneras, como ya he dicho, quiero hacer una demo con una de estas para que veáis cómo funcionan.

lunes, 7 de diciembre de 2009

Windows y la UAC I

Vaya.... Te me has adelantado!!!!
Estaba leyendo cosas, pensando cómo escribir un post sobre las contraseñas en Windows y... veo en el reader que Maligno se me adelanta con la UAC. Ahora tengo que ver cómo me las apaño para contarlo. xD.  Vamos a ver. Lo que quería hacer era contar un poco de qué iba el tema, tal y como lo ha hecho en su post, pero de distinta manera.

En principio, y tal y como se puede leer en el post, la UAC permite que aunque se esté con un usuario administrador, si se va a realizar una tarea de la que se necesitan sus privilegios, se pida confirmación. El hecho de desactivarla reduce la seguridad que nos brinda esta... ¿herramienta?

Cuando se realiza una instalación, el primer usuario que se crea es un usuario con poderes de administración. Si se intenta realizar una tarea, como podría ser, cambiar la configuración del firewall de windows, nos tendría que salir algo así:


Admin con UAC activada


En el caso de que desactivemos la UAC, esta pregunta no se realizará. Y por lo tanto, si ejecutamos algo sin saber qué es, e intenta tocar alguna cosa como puede ser este firewall, lo haría sin enterarnos. Si se tiene activada, nos saltaría el aviso, y  por lo tanto, las alarmas de que algo no va bien.

¿Qué pasa con un usuario "mortal"? Vale. Lo  primero de todo. Hay gente que se ríe con eso de "mortal". O pone cara de póker. Donde digo "mortal" significa un usuario raso. Sin apenas permisos. Un usuario que no puede modificar absolutamente nada del sistema.

Si dejamos la UAC desactivada, un usuario de estas características podría acceder a la parte de configuración del firewall, si bien no le permitiría tocar nada.


Usuario mortal con UAC desactivada


O, incluso, con otra herramienta como puede ser  la que se utiliza para configurar el sistema, ni siquiera te permitiría ver, saltando un mensaje de error (más contundente que una alerta) indicando que no se tiene permisos para utilizarla.

¿Qué sucedería si este usuario hiciera estas cosas con la UAC activada?


Usuario mortal con UAC activada


Como se puede ver, nos pide confirmación. Y esa confirmación incluye el subir privilegios, sólo para esa tarea, introduciendo unas credenciales válidas.

Según se pude ver en las capturas, a la hora de pedir confirmación, si eres administrador sólo hay que hacer click sobre "aceptar". Mientras que si no lo eres, hay que "loguearse" con un usuario con poderes para realizar la tarea.

Si alguien me pidiera consejo, yo le diría que se creara otra cuenta a parte de la que se hizo cuando instaló el sistema y que ésta no fuera administrador. Y que la utilizara. Y que nunca iniciara sesión con el administrador.

En algún momento haré otro post mostrando mejor las ventajas que tiene dejarla activada.

Actualuazión: En el post de hoy de Maligno, al final, hay una forma para poderse saltar la UAC. Y nada fácil es.

domingo, 6 de diciembre de 2009

Contraseñas en Windows I

Algo que es de cajón: En Windows se utilizan contraseñas.  Y éstas se almacenan en el sistema. Pero, si éstas se almacenaran en claro, del mismo modo que estamos leyendo este texto, sería muy, muy fácil obtenerlas. Sólo habría que encontrar el lugar donde están guardadas y abrir un bloq de notas. Ya está.

Y ahí está el quid de la cuestión. Que no es tan fácil hacer eso. Porque no se almacenan en claro. Estas se almacenan en lo que se llama (la) SAM (cuando se habla de eso se dice "la SAM esto, la SAM lo otro..."). La SAM es un fichero (no una BB.DD) que está en el registro de Windows donde se guarda la correspondencia usuario / contraseña utilizando hashes.

¿Qué es un hash? Un hash es un algoritmo que al aplicarlo sobre un elemento dado (en este caso, la contraseña), se bebería de obtener una codificación única. Y digo "se debería" porque si, dados dos elementos distintos, se produce el mismo hash, tenemos una colisión.

Ahora que sabemos dónde se guardan las usuarios y sus contraseñas (en la SAM) y qué usa para que no se vea la contraseña (un hash)... ¿Cuál es su algoritmo? Bueno. Yo puedo contar las características de los distintos algoritmos que utiliza. Porque, a lo largo del tiempo, Windows ha ido creando distintos formatos.


  • Hash LM (Lan Manager):


    • No se utiliza en red
    • Se mantiene por compatibilidad hacia atrás. Es decir, para mantener la compatibilidad con sistemas antiguos. 
    • La longitud máxima es de 14 caracteres. Si la contraseña tiene mayor longitud no se guarda con en este tipo de hash. Si es menor, se añaden nulos hasta alcanzar esta cifra máxima. 
    • No es case sensitive, sensible a mayúsculas / minúsculas. Se escriba como se escriba, se guardará en mayúsculas. 
    • Utiliza ASCII puro y duro. No valen las Ñs ni los acentos. Se pueden utilizar 142 símbolos.
    • La contraseña se separa en 2 mitades, cada una de 7 caracteres. (Por lo tanto, son 2 hashes, no 1). 
    • Como máximo, se puede conseguir una combinación de 6,8 · 1012 contraseñas.
    • A partir de GPOs (de las que puede que hable en otro post) se puede evitar utilizarlas
  • Hash NT
    • La contraseña tendrá una longitud no fija, pero como máximo podrá ser de 127 caracteres.
    • Es case sensitive, Permite utilizar 65.535 símbolos. 
    • Si nº caracteres es menor o igual a 14, llegamos aproximadamente a las 4,6 · 1025 contraseñas (set de caracteres de LM). Si es mayor, 2,7 * 1067 posibles contraseñas. (full charset). Si es igual a 127, podremos conseguir, 4,9  · 10611 combinaciones.
    • No se rellena si faltan carcateres para llegar a un valor determinado (lo contrario a lo que hacía LM).
    • Se utiliza el algorítmo MD4, por lo que hay colisiones. 

  • NTLM: v1 y v2
    • Permiten autenticación por red. 
    • Funcionan de un modo parecido al MS-CHAP, desafío / respuesta.
    • Se generan hashes de sesión, una vez se ha realizado la autenticación.
    • Entre la versión 1 y la 2, es preferible utilizar la 2 (capitán obvio al rescate!!). 
En general, los algoritmos de antes citados se pueden romper en mayor o menor medida por fuerza bruta. Si bien, los últimos, a nivel práctico, no sería viable por la gran cantidad de combinaciones existentes. Otra opción es utilizar unas rainbow tables. Unos ficheros con las contraseñas ya codificadas. (explicado de forma muy concisa). En otro post hablaré sobre las posibilidades de que esto puede brindar.

Espero que os gustara eso. Como siempre, se aceptan criticas. 

jueves, 3 de diciembre de 2009

En defensa de los derechos fundamentales en Internet

Estos días he estado leyendo sobre un manifiesto que voy a suscribir, en el que se destaca que la nueva ley de Economía Sostenible incluye alguna... ¿enmienda?, ¿sección?, en la que, grosso modo, permite que una comisión pueda cerrar una página web (sobretodo va dirigida a las páginas de enlaces para descaragas de contenidos con derechos de autor) sin orden judicial. Y, esa es la razón por la que lo suscribo. Como indican en las varias fuentes que he ido leyendo al respecto, y de donde voy a hacer un copy and paste del manifiesto, se pasan la constitución por el forro.

No estoy diciendo que no se pueda solicitar el cierre de un sitio vía judicial. Si una persona ve que alguien atenta contra sus derechos, siempre tiene la opción de solicitar amparo por dicha vía. Pero éso es distinto a que una "comisión" decida por su cuenta cerrar un página, sin respestar los derechos de parte a la que afectaría ese cierre. Entre otras cosas que he podido leer en algunos de los blogs que sigo, es que "afectan al libre ejercicio de las libertades de expresión, información y el derecho al acceso a la cultura en Internet".

Mis distintas fuentes están a la derecha de este blog. Entre otras (tengo que buscar los enlaces porque esto lo leí ayer y me he puesto a escribirlo hoy) son:
- ALT1040 (este sí que es importante!!!)
- SbD
- Singeria sin control
- (Editando: Este blog también es muy interesante)

Por cierto. Esto se parece mucho al manifiesto que vi en el periodico el otro día y que emitia la PROMUSICAE. No es malo, ni mucho menos. Al revés. Tienen que exponer su problema. Supongo que siempre hay un punto intermedio. Y, tal y como se publican las cosas en los medios, no parece que gusten mucho. Para aclarar, digo tal y como se publican porque, como decía Mafalda: "Dado que los diarios no dicen la mitad de las cosas que pasan y dado que la mitad de lo que dicen es mentira[...]" (el resto no viene al caso).

Si hay más... Lo siento. He intentado recopilar los máximos datos posibles para dar esta información. Si falta algo. O no es correcto. O alguien no está de acuerdo con estas líneas... Que lo exponga.



Y aquí, el manifiesto. 

1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.
2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.
3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.
4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.
5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.
6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.
7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.
8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.
9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.
10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate públicoy habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

Este  manifiesto, elaborado de forma conjunta por varios autores, es de todos y de ninguno. Si quieres sumarte a él, difúndelo por Internet.

Bueno. Espero que el siguiente post tenga que ver con la temática del blog en su conjunto.

Actualización: Según puedo leer, en una reunión que se ha mantenido los autores del manifiesto con la Ministra:

Si existe una denuncia y la comisión considera que merece ser bloqueada, hablará con los servidores donde se aloje esa web para que la descuelgue de la red. ¿Y si la página está en un servidor de fuera de España? Según Corral, la solución consistirá en obligar a los operadores españoles, a Telefónica a Vodafone o a Ono, a que bloqueen desde sus máquinas el acceso a sus servidores.
Actualización II: Aquí hay una entrevista de varias personas a David Bravo. Son bastante buenas, tanto las preguntas como las respuestas.

miércoles, 25 de noviembre de 2009

Google Wave

Como ya sabemos, Google saca muchas cosas muy chulas. Gmail , un reader de feeds, y nosecuantas más.

Bien. Pues ahora tenemos Google Wave. Y, acabo de ser agraciado con una invitación para probarlo. Sí, eso es. No lo puede utilizar cualquiera. Del mismo modo que al principio para utilizar Gmail había que utilizar una invitación (que también me enviarion), para el Wave se necesita lo mismo. Lo que no veo es que me dejen enviar invitaciones como la que me han enviado. A ver cuando ponen el botoncito para enviar alguna.

Ahora. ¿Qué se ve, de momento, en esta beta? De momento, poco. Al menos lo que he podido probar hasta ahora. Hay una serie de paneles, portlets, ventanas... Como lo queráis llamar.
- Uno de ellos es el "panel de control". Lo de toda la vida: enviados, recibidos, eliminados, spam, solicitudes (donde parece que van a parar aquellos elementos enviados por alguien desconocido o del que se desconfia).
- Otro es la lista de contactos. Según puedo deducir, es como si se mirase la lista de contactos de gmail y busca si tienen el Wave. Si lo tienen, los muestra. También puedo ver que algunos muestra su nombre, y otros muestra la dirección completa.¿Qué es la dirección completa? Es lo que se pondría en gmail, pero en vez de acabar en gmail.com acaba en googlewave.com.
- Otra de las ventanitas contiene los mensajes que se están compartiendo. De momento sólo he podido enviar  uno o dos. En teoría deja editar lo que se ha enviado, pero me está dando muchos problemas, que obligan a refrescar el navegador. Puede que haya otra forma de solucionarlo, pero indican en una zona que aparece al darse el problema, hay que refrescar la página. A lo mejor se refiere a que se cierre ese mensaje, pero no lo parece. Eso sí, permiten que les envíes un feedback para darles más pistas.

De momento es lo que he podido probar. En cuanto pueda dar más pistas aquí lo expondré.

martes, 24 de noviembre de 2009

Respuesta Hotmail

Ayer os contaba el problema que tuvo un amigo del curro en el que vio comprometida su cuenta de correo.

El caso es que él se puso en contacto con el servicio. Cogió uno de los formularios que hay para solicitar ayuda y, entre otras opciones seleccionó la que se refería a la privacidad. Evidente, dado que alguien había entrado en su cuenta. Hoy ha mirado y la respuesta de este departamento ha sido...



Gracias por su mensaje a MSN Privacy.
Puede encontrar métodos de contacto de soporte técnico para productos y servicios de MSN en:

[...]
Ya que no esta relacionada con la privacidad.
Por favor envíe su consulta a este sitio y un agente de soporte técnico de MSN se pondrá en contacto usted en breve para ofrecerle asistencia
[...]
Eso significa que si alguien entra en tu cuenta de correo sin tu consentimiento NO hay ningún problema en tu privacidad. ¿Verdad?

Por cierto. Cuando me ha re-enviado el correo de respuesta ha llegado a la cuenta de spam.

lunes, 23 de noviembre de 2009

Spam y usurpación

A lo largo del día un amigo de la ofi me ha dicho
- Oye, Agustín, que un amigo mio me ha dicho que estoy enviando spam.
- Ah, ¿Siiiiiií? A ver...
Total. Que si se miraba el correo spam, desde donde le han respondido a este colega del curro, se podían averiguar varias cosas.

  1. Una URL. Posiblemente para comprometer más el correo, o para hacer las ventas de los electrodomésticos que ofertaban (hice una lectura muy rápida, pero eso es lo que vendían).
  2. Un e-mail para ponerse en contacto.
Después, si se miraba en correos enviados, se podía ver que, en efecto, se había enviado ese correo desde la cuenta. Por lo que no era una falsificación. Pero, ¿cómo lo habían hecho? También se podía ve que se había utilizado la libreta de direcciones para realizar el envío.

Si se miraba la cabecera, a parte de poder ver esos destinatarios (dicho sea de paso, ahí fue donde vimos que se enviarion con BCC), teníamos la dirección IP de salida. Desde dónde se envió ese correo se puede averiguar a partir de dicha dirección. Buscando geoip en google, y seleccionando la entrada de GeoIPTool pudimos averiguar que salió de Corea.

He de decir que algún foro de spyware, varias personas preguntaban por esto y pocas respuestas podían dar que nos satisfacieran.

No sabemos muy bien cómo han accedido a la cuenta. Bueno. Tenemos bastante claro que han entrado con la contraseña. Pero que no sabemos  muy bien cómo la  han conseguido. ¿Un bicho? ¿Algún foro que haya sido comprometido? ?¿Alguna red social como facebook, twitter...? Por muchas precauciones que tomemos,  nunca se puede estar seguro de qué puede suceder con la cuenta de uno.

Por cierto. Si os preguntáis por qué busqué geoip es porque sabía que esa BB.DD existía. Ésta tiene los datos de IPs relacionados con paises.. Incluso si no me acuerdo mal también con ciudades. La he llegado a utilizar para realizar controles según de qué país procede un acceso determinado.

miércoles, 18 de noviembre de 2009

Búsquedas III

Continuamos con las búsquedas. Ahora podemos juntar varias de las cosas que hemos ido viendo en estos días. ¿Qué pasa si queremos que nos devuelvan cosas menos las que se encuentren en un sitio determinado y que no tengan una extensión determinada? Pues juntamos las distintas opciones que hemos enseñado antes. Por ejemplo:

-site:dominio.com -filetype:pdf

Para cambiar un poco la dinámica, ya continuaré en otro momento con más opciones de búsqueda... Seguro que muchos sabíais que Google tiene calculadora. Pero... ¿Qué opciones permite? Pues las básicas. Y lo mejor de todo es que lo único que hay que hacer es una búsqueda de la operación deseada:
+ para sumar
-  para restar
* para multiplicar
/  para dividir
^ para hacer potencias!! Sí. x^y es X elevado a Y.

Aún hay más. Estas operaciones también funcionan en Bing. La que de momento no he conseguido hacer funcionar es la del porcentaje:
% of, que sería X% of Y siendo X el porcentaje esperado del valor Y.

Otra opción que tienen estos buscadores es la posibilidad de indicar un rango de valores. ¿Cómo? Poniendo dos ".." entre éstos. Un ejemplo podría ser:


reproductor dvd 120..150

ó


reproductor dvd 120..125

¿Qué más opciones podemos utilizar? Buscar aquellas páginas que tienen un enlace a un sitio en concreto:

link: elsitio.com

Mmmmh, creo con todos estos se puede tirar bastante bien. Hay algunos más, como por ejemplo, solicitar por un país determinado (si no me acuerdo mal, indicaba la localización del servidor donde se encontraba), el idioma en el que está la página...

Hay un sitio que ha implementado algunas de estas búsquedas, incluso con más opciones que las que trae la página de búsqueda avanzada.

Y de momento esto es todo.

martes, 17 de noviembre de 2009

Búsquedas II


Como ya os contaba, a la hora de buscar es posible reducir el resultado que nos pueda devolver Google o Bing. Las expresiones que expliqué la última vez que hablé del tema fueron site: y filetype:

¿Hay más? Sí. Podemos encontrarnos con otras expresiones. Por ejemplo, dado que por defecto, entre palabra y palabra, se utiliza el operando AND es posible ponerle el operando OR. Por ejemplo, buscar sólo en páginas que sean de elpais.com y elmundo.es.

En Google:


En Bing:


Como se puede apreciar, al utlizar el operando OR se está buscando en los dos sitios que se está solicitando.
¿Y si quiero buscar frases? Pues se pone entre comillas "la frase que queremos buscar". Un ejemplo sería el que muestro en las siguientes capturas, tanto en Google como en Bing.





¿Y si no queremos que salga una determinada palabra? Aquí depende. Si estamos en Google se pone el simbolo menos ("-") delante de la palabra que no queremos que esté. Sin embargo, en Bing, además de ese símbolo podemos utilizar el operador NOT.

En Google podemos ver los distintos resultados:


En Bing:




Como se puede ver, en este caso, Bing sí hace caso al NOT. Si bien el resultado no es exactamente igual a cuando se utiliza el símbolo "-", se puede ver que no es como el resultado de Google que no le hace ni caso.

Y esto es todo por ahora. 




lunes, 16 de noviembre de 2009

Búsquedas I

Llevo un mes, más o menos, en el curso del FTSAI. Entre otras cosas, nos contaban ciertas técnicas para realizar búsquedas y así encontrar datos públicos. Con el fin de acotar el resultado de esas búsquedas hay unos parámetros.

No estoy un experto en el tema, pero algunos de esos parámetros que podemos encontrar, y que ahora mismo puedo contar son:

filetype:tipoDeFichero
site:dominio.com

Si, por ejemplo, buscamos en google:


site:mediamarkt.es filetype:pdf


nos sale:




¿Y qué pasa si buscamos en Bing?

 Pues nos sale esto:





Como se puede observar, a parte de que los resultados que salen nos ofrecen ficheros PDFs, también se puede ver que obtienen resultados distintos. En Google tienen 5 resultados y en Bing 6.

Ahora, hay un dato más a tener en cuenta. Google trabaja con la extensión de ficheros de distinta manera que Bing. Pero eso lo dejaré para otro momento.

Hace tiempo buscando cómo era el funcionamiento de Google encontré con que no hacía falta poner un operando AND en cada una de las palabras que se pasan en la búsqueda. Pero aún hay más. Se pueden pasar más parámetros además de los que he explicado. Pero, creo que eso también lo voy a dejar para otro día.

viernes, 23 de octubre de 2009

Vulnerabilidades

Como todos sabemos los programas y los sistemas operativos tienen vulnerabilidades. Y esas vulnerabilidades pueden ser explotadas por los villanos. Una vez se ha descubierto una determinada vulnerabilidad se busca la solución. Unas veces esa solución pasa por crear un parche que al ejecutarlo realiza una modificación en el programa / sistema para solucionar el problema. Pero... ¿las vulnerabilidades son siempre así?

Para responder a esta... Bueno. Mejor:
¿Qué haces si el Banco Banquero donde tú tienes tus ahorros de tu vida te manda un mail diciendo "Vamos a revisar que tu cuenta funciona: haz click para comprobarlo"? Tú vas confiado y lo haces.

Días más tarde vas a pagar la entrada para el pisito de tu vida (y digo pisito porque si ya hablamos de casa / chalet...) y... que no hay un duro en tu cuenta.

Para resumir: el phising que te han hecho no ha sido por una vulnerabilidad del banco. No es que alguien haya entrado en ese banco por una puerta trasera o por un SQL Injection como le sucedió a un banco en Bélgica. El problema es que uno no ha estado un tanto avispado. O porque no tiene los conocimientos suficientes para detectar que eso era un fraude. Es una vulnerabilidad humana explotada por personas sin escrúpulos.

Hace poco hice un artículo sobre un sitio de Sonicwall que permitía hacer un test para saber cuán hábiles somos a la hora de detectar mensajes de este estilo. Yo conseguí sacar un 8 sobre 10. Uno de los puse como phishing era bueno (no phinshing)... y el otro es que fui muy rápido y no seleccioné respuesta.

Todo esto lo pongo a raíz de un post que han puesto en S21sec sobre un mail de ingienería social en el que se instaba a hacer click sobre un enlace para bajarse un parche para un programa de Microsoft. Y ahí está la cosa, que la ingienería social también se vale de esa vulnerabilidad que tenemos los humanos.

martes, 20 de octubre de 2009

LiveCDs II

Hace poco hablaba sobre los LiveCDs. Y un sitio con una extensa colección que nos va a venir que ni al pelo.

Según se puede ver en el listado los CDs que nos efrece son muy variados. He de reconocer que no me voy a poner a leerle una a una cada una de las cosas que hay en la lista, pero, a simple vista, casi todos los elementos que nos ofrece pertenecen a sistemas Linux.

Si se selecciona un elemento al azar, nos lleva a otra página, en el mismo sitio, con algunos datos propios de ese sistema seleccionado. Entre los que puedo ver en el que he cogido para probar, hay alguna que otra estadística, enlaces al sitio oficial, enlaces para la descarga de la imagen... Y poco más.

A la izquierda aparecen datos interesantes: el propósito para el que está pensado, la arquitectura para la que se ha hecho (para un usuario de a pie, con tal de que salga algo así como x86 o ia64 como mucho vale), sistema operativo que lleva (Linux, Windows...), idioma por defecto.

Y poco más voy a contar al respecto. Creo que de una pequeña entrada de otra referencia, he conseguido crear dos posts.



lunes, 19 de octubre de 2009

LiveCDs

Me hubiera encantado que mi primera entrada de verdad hubiese sido exclusivamente mía. Sin ningún intermediario. Sin que ninguna otra fuente que sigo (y que no sólo se encuentra en los enlaces aquí a la derecha). Pero... No he podido. Intentaré no caer en las garras de esta mala rutina. A ver si lo consigo. De todas maneras, si os veis que sigo en esta dinámica muy a menudo, me gustaría saberlo.

Una vez he escrito la parrafada enorme que no venía al caso, comienzo. Desde "Diario de un hacker" nos muestran un página con una recopilación muy interesante: LiveCDs.

Para aquellos que no lo sepan un LiveCD (/laif cd/) es un CD (nooooo, es un chuletón) que tiene un sistema ya instalado. ¿Cómoooo? Bien. Pongamos un ejemplo. Cuando queremos usar nuestro ordenador, ¿qué sucede?. En una forma un tanto resumida:
a) Le damos al botón de encendido... Y, evidentemente se enciende. No nos vamos a ir por las ramas de si no hay corriente ni nada similar.
b) Se carga un programita de que se llama POST. Power On SelfTest. Este programita es que el que muestra un númerito muy rápido, qué unidades ha localizado. Aunque nos podemos encontrar con que no se vea por alguna imagen de la placa base, sucede.
c) Una vez ha pasado el POST se cargará otro programita que se llama bootstrap. Este es el que se encarga de buscar los sectores de arranque para el sistema operativo.
d) El sistema operativo que tengas se carga (o se carga su gestor de arranque, pero esto ya es otra historia).

El sistema operativo suele estar instalado en un disco duro. Es donde comúnmente la máquina lo utiliza. Pues bien. Imagínate que en vez de querer utilizar el sistema operativo desde el disco duro, quieres utilizarlo desde un CD. Eso sí, hay que tener alguna cosa en cuenta. Como, por ejemplo, que todo lo que hagas en la misma unidad del CD no será posible grabarlo. Será de sólo lectura. Pero sí podrás manipular, si ese sistema operativo te lo permite, cosas de los discos duros que encuentre en tu ordenador.

¿Y para qué sirve una cosa así? ¿No sería mejor instalarlo que así sí te deja manipular las cosas? Sí y no.
- Sí, siempre y cuando quieras usarlo asiduamente. No es obligatorio pero sí recomendable.
- No siempre y cuando quieras probar un sistema antes de instalarlo. Para ver cómo funciona, puedes probarlo antes de machacar alguna cosa importante de tu disco duro. O, si quieres utilizar alguna herramienta que te permita analizar tu sistema en busca de problemas, soluciones, errores, etc, etc también es muy útil.

¿Y cuál ese famoso sitio del que hablabas antes de enrollarte tanto? Pues es este. Recordarme algún que otro día que vuelva al tema para comentar alguna cosa más sobre el contenido de este sitio. Que este post (entrada) se me ha hecho muy largo.

viernes, 16 de octubre de 2009

Estamos de estreno!!!!

Estamos de estreno!!!

¿Por qué? Porque abro este nuevo blog para hablar sobre tecnología. Más que tecnología... ordenadores. Y cosas que los atañen.

De momento voy a seguir tirando de blogger. Como ya dije en su momento, me estoy planteando ponerme en el servidor Wordpress. Creo que eso me permitiría mantener mejor los blogs. Pero... No se. También he leído que suele tener problemillas con la seguridad. Bueno. Todo se andará. Siempre puedo exportar las cosas de este blog y pasarlo al nuevo server.

¿Qué más? Sí. Ya sabéis que no es que tenga mucho tiempo, pero siempre puedo sacar un poquito. O coger un día y escribir nosecuantos posts de una vez y después darle sólo a publicar. Ya se verá cómo me las arreglo para llevar a cabo este proyecto.

Y ahora... Os dejo con la intriga del siguiente post.