viernes, 30 de noviembre de 2012

Contratos

¿Cuantos de vosotros os dedicáis a este mundillo de la informática? Seguro que muchos.

Ahora: ¿Cuantos habéis tenido que lidiar con documentación de los proyectos y sus respectivos contratos? Seguro que la mayoría de vosotros, también.

Como todo el sabrá, a la hora de hacer un proyecto serio se necesita un contrato que plasme qué ser quiere hacer, el coste acordado, la forma de trabajar, entregas... y después cierta documentación adicional que será la que ayude al desarrollador para llevar a cabo la tarea.

No voy a negar que yo sólo   trabajado con la documentación, pero: ¿Y si como clientes quisiéramos hackear el contrato? Muy sencillo sólo hace falta ... Lo que quiero decir es que necesitas ... ¿Lo entiendes? Si miras en el párrafo anterior, también te los encontrarás. Para reventar el contrato, para hackearlo (o te lo hackeen), para que al final tengan (o tengas) que hacer lo que sea, sólo hará falta poner... (fíjate Web el espacio, o su ausencia)... Unos puntos suspensivos. Si te das cuenta, mientras estoy escribiendo este post los he utilizado unas cuantas veces. Y se ha podido interpretar de cualquier manera. También, cuando me he referido a éstos, les te puesto un espacio separándolos de la última palabra. Pero eso es lo de menos. Unos puntos suspensivos en un contrato es lo peor que se puede poner.

Ya me han contado de una empresa que perdió una pasta porque en el contrato había, al final del listado de requisitos, unos puntos suspensivos. Para los abogados eso significaba lo escrito y, además, cualquier otra cosa.

Yo pregunto: ¿Conocéis otra forma de reventar un contrato?

jueves, 29 de noviembre de 2012

Android en modo monitor

Hace un mes, en el Asegur@IT Camp 4, David me comentó que había un proyecto en Google en el que habían estudiado cómo poner los Android en modo monitor

El caso es que no he podido hacer nada al respecto, pero, leyendo los feeds retrasados, he visto que desde Hackplayers se han hecho eco del proyecto:

Crackea redes wifi con tu Android (en modo monitor)

A ver si puedo probarlo pronto. Aún así: ¿Lo habéis probado?

lunes, 26 de noviembre de 2012

Fallando las DLLs

Hace un tiempo, mientras trabajaba, me saltó un error en una DLL. No me acuerdo cuál, y, la verdad, ahora mismo eso no importa. ¿Qué haces cuando tienes problemas con el equipo? Si sabes la solución, vas a por ella y ya está. Si no la sabes, coges, y buscas en internet.

¿Qué hice yo? Precisamente me puse a buscar cómo solucionar ese problema. Y, me sorprendió encontrarme con gente ofreciendo enlaces a vete tú a saber dónde, a partir de los cuales te podías descargar una DLL cualquiera, con el nombre de esa que estabas buscando.

¿Quién de vosotros sería capaz de descargar dicha DLL e instalarla en el equipo? Eso mismo es lo que yo me dije: es increíble que la gente se descargue un fichero de estos y lo enchufe en el sistema. ¿Quién sabe lo que estarás metiendo ahí dentro? No me lo explico. Después se quejarán de que no va tan bien el equipo, que el antivirus no detectó nada raro...

Ainss.. ¿Qué le vamos a hacer?  Supongo que esto será inevitable y sólo podremos pararle los pies a la gente que nos diga si lo pueden hacer.

¿Qué opináis vosotros?

miércoles, 14 de noviembre de 2012

Autómatas en la SGAE

¿Autómatas? ¿De qué? ¿De Mealy? ¿De Moore?

Lo siento mucho, pero me temo que en esta ocasión no van a ser estos autómatas de aquí. Estos de aquí son los que nos imparten en las universidades en la ingeniería en informática (ya sea la técnica o la superior. Eso de los grados, ahora mismo, se lo dejo a otros). Desde aquí saludo a los profesores que me las impartieron: ¡Hola!

A lo que iba. Que me voy por los cerros de Úbeda: muchas veces se utiliza la palabra autómata para sustituirlo por robot.¿Y qué tiene que ver un robot con la SGAE? Un robot tal y como lo vemos normalmente, como puede ser los que vemos en las pelis, nada. Pero, si nos metemos en el mundo del Internet, sabemos que existe un fichero que se llama robots.txt. Y aquí sí que vienen algunas cosas interesantes.

¿Alguien se acuerda del caso de la condena a una persona por hacer que la palabra "SGAE" se asociase a la palabra "ladrones"? Creo recordar que esa técnica que se utilizó se llamaba Google Bombing. No estoy muy seguro, pero parece ser que hubo algún tema de por medio para hacer que Google no sacara ningún resultado al respecto. A día de hoy, se puede obtener esta pantalla:

Resultado busqueda "ladrones" en Google: la SGAE es la segunda posición
Resultado busqueda "ladrones" en Google: la SGAE es la segunda posición
Aún así, también podemos realizar la búsqueda desde otro sitio, por ejemplo, Yahoo:

Resultado busqueda "ladrones" en Yahoo: la SGAE es la segunda posición
Resultado busqueda "ladrones" en Yahoo: la SGAE es la segunda posición
Ahora que estamos puestos en antecedentes, al menos, lo poco que puedo explicar, puedo ir al meollo del asunto: ¿no parece raro que aún habiendo resulto el tema, salga la página de la SGAE, y, además, en su URL aparezca la palabra "ladrones"?

No lo voy a negar, la segunda página, la de Yahoo, la he encontrado escribiendo este artículo. Pero la primera. ¡Ah, amigo! La primera ha sido la que ha hecho que quisiera investigar un poco más para escribirlo. 

Llama mucho la antención la descripción que nos dan en Google: "No hay disponible una descripción de este resultado debido al archivo robots.txt de este sitio".

Es decir, que podríamos visitar el fichero robots.txt y encontrarnos con información muy valiosa. De todos es sabido que es un fichero público, del que todo el mundo puede tener acceso, y a su vez, las direcciones que no se quieren indexar en los buscadores, se podrán visitar directamente sin pasar por éstos.

Si a la hora de escribir todas estas parrafadas, visitamos el fichero, nos encontramos con:

Robots.txt SGAE
robots.txt SGAE
Aquí nos encontramos con varias cosas. La primera, que me acaba de llamar la atención: Yahoo se ha pasado por el forro este fichero. Si no, ¿a qué viene mostrar el quinto Disallow?

No se. Según dicho fichero, una búsqueda debería de poderse hacer por parámetros GET, directamente después del interrogante: "?". Aún así, no parece que funcione. Eso sí, si realiza una búsqueda cualquiera, nos la devuelve como 

http://www.sgae.es/?s=CADENA_BUSCADA

¿Podemos sacar más información? Sí. Si navegamos un poco por el sitio (por ejemplo, después de buscar algo), podremos ver que hay un enlace para que los socios puedan acceder a algún sitio que posiblemente pida autenticación (no me he molestado en mirarlo, y no lo voy a hacer). Eso sí, ahí podremos ver que el fichero al que se dirige ese enlace termina en .asp. Si no llega a ser porque las últimas líneas del robots.txt dicen que son jsp, diría que la página está hecha íntegramente en asp.

Y... creía que podría obtener más información. Pero, visto lo visto, tampoco es que sea mucha. 

De todas formas, esto no es nuevo. Como ya he dicho, lo que me ha hecho escribir esto es que se ha indexado una URL que en teoría no debería de poderse ver en las búsquedas. También he de decir que me se las cosas básicas del fichero: User-Agent, Disallow, asterisco (*) como comodín...

Y por ahora, nada más. 

viernes, 9 de noviembre de 2012

Pantallas públicas en Flu

Si no me acuerdo mal, fue en la NoConName del año pasado (2011), cuando conocí a Juan Antonio Calles y a Pablo González. Ambos, habían iniciado un proyecto llamado Flu Project.

Una parte de ese proyecto era construir un bicho el cual ayudó a detener a un pederasta/acosador en... ¿Colombia? Sí, así es.

Además de publicar sus posts técnicos periodicamente, una de sus temáticas son las pantallas públicas. Y no sólo las que tienen que ver con los metro exposed que yo publico muy de vez en cuando (pongo el enlace del primero, que me salió mucho mejor que el segundo).

Pues bien, estando en la NoConName 2012, allí, en la CosmoCaixa, encontré alguna que otra cosa muy chula. Y decidí enviárselas. Y ahí están publicadas.

Desde aquí les doy las gracias por ello: ¡Muchas gracias!


martes, 6 de noviembre de 2012

Ese disco duro externo es interno

Me da la sensación de que este post va a tener más imágenes que texto. Vamos a ver cómo queda...

¿Cuántas veces habéis tenido la necesidad de conectar un disco duro interno al ordenador, pero dicho disco no está conectado? ¿Y si la necesidad es que ya no tenga que estar conectado directamente y tener que "danzarlo" de un ordenador a otro? ¿Y si... [ponga aquí la circustancia que más os guste]? De eso de lo que vamos a hablar hoy: de los distintos dispositivos que se pueden (¿se podían?) encontrar en el mercado.

Disco duro IDE / interno
Disco duro IDE / interno
El primero de ellos puede ser un Conceptronic:

Adaptador Conecptronic IDE to USB
Adaptador Conecptronic IDE to USB
Este adaptador, como más adelante podréis ver, es un tanto incómodo, pero para tener algo sencillo sirve. De izquierda a derecha, y de arriba a abajo:
  • Conector IDE que va a los datos. También tiene el pequeño (diría que para las disketeras).
  • Conector a la corriente del disco duro. 
  • USB, que es el otro extremo del conector IDE.
  • En este caso, cuento los dos, el azul y el negro: el azul va al transformador (que a su vez tiene un cable que es el que se conecta en la corriente del disco) y al final del azul, tenemos el recuadro negro, que es el que va a la corriente de la habitación donde nos encontremos.
El resultado sería algo parecido a esto:

Adaptador Conceptronic IDE to USB con el disco duro
Con esta imagen se puede ver que tenemos el enchufe de la corriente conectado al transformador. Tenemos otro cable que sale de este que va al disco duro (vale, ya se que no ve claro, pero no es tan sencillo de mostrar). Y por último, tenemos el conector IDE y que termina en USB.

¿Y si quisiera llevármelo por ahí? Pues tenemos otra opción: comprar una caja que, a todos los efectos hará algo similar, pero estará bien resguardado y no habrá tanto lío de cables:

Caja para introducir disco - Vacía
Caja para introducir disco - Vacía
Como podéis ver, tenemos un enchufe que se conecta directamente a la caja, y un cable que termina en USB, y que está conectado (no se aprecia muy bien) al otro extremo de la caja. También podemos ver cómo en su interior está una pequeña faja IDE y, ahí escondido, el conector para la corriente. Aún así, esto quedaría algo parecido a esto:

Caja para introducir disco - Con el disco conectado
Caja para introducir disco - Con el disco conectado
Además, viene la carcasa incluida:

Caja para introducir disco - Vacía, pero con la carcasa
Caja para introducir disco - Vacía, pero con la carcasa
Esa carcasa está vacía. Habría que deslizar la caja por su interior, y cerrarla con los tornillos que se pasan por los pequeños agujeros que difícilmente se pueden apreciar en la parte inferior de la carcasa, a la derecha.

- Oye. ¡Eso es un armatoste! ¿No conoces algo más pequeño? ¿Y si quisiera transformar un disco SATA de los portátiles? 

En este caso, tienes una carcasa como esta:

Carcasa SATA 2,5 - Todo desconectado
Carcasa SATA 2,5 - Todo desconectado
y, ya todo conectado

Carcasa SATA 2,5 - Todo conectado y ya cerrada
Carcasa SATA 2,5 - Todo conectado y ya cerrada

Por último, antes de finalizar, también existe otra posibilidad, pero de la cual no tengo ningún dispositivo. Es un dock. Sería algo parecido a esta imagen (obtenida de esta página):

Dock para discos duros
Dock para discos duros
Sólo puedo deducir que este tipo de dispositivos van por USB y que se conectan y desconectan los discos según la necesidad. 

Y aquí dejo el tema de discos duros por hoy. Mientras: ¿os conocéis otros sistemas para convertir un disco duro interno en externo?

sábado, 3 de noviembre de 2012

Tercer día en la NcN2k12

Un día más, me han llamado para despertarme y me han llevado el desayuno a la habitación mientras me aseaba.

Esta vez hemos ido Longinos (ya podré el enlace a su blog) y yo nos dirigimos a la nueva jornada del evento.

La primera ponencia la ha hecho Luis Delgado, y nos ha hablado de cómo saltarse el bounzer de Google.

La siguiente ponencia, Abraham Pasamar nos ha contado cómo hacen los bichos para ocultarse de los antivirus. Es el uso de crypters.

Tras el descanso para el café, hemos podido ver cómo se pueden conseguir manipular centralitas telefónicas, o hacer llamadas gratis (para ti), rompiendo la ¿endeble? seguridad que tienen cuando son FreePBX (o similar). Léase: Asterix.

En un inciso de hora de comer, antes de hacer estampida, Mercé Molist nos ha hablado de cómo inició Hackstory.

Una vez más, Dani Creus y Marx Rivero nos han hablado de lodazal historia del fraude.

En esta ocasión, Pedro Laguna y Juanito (Shilverhack), enfundándose el uniforme: pijama, han dado su charla sobre cómo filtrar información cantando lo menos posible. Por ejemplo, los datos van carácter a carácter por cada paquete de ping enviado.

Después, Pablo San Emeterio nos ha enseñado a impersonalizar un móvil en el whats up. O a espiar sin que el otro se entere... Y varias cosas más que dan mucho, mucho miedo.

Ya finalizado, hemos jugado al Quiz 2.0. Yo he vuelto a participar. Ha habido que sacar a gente a rastras para que participara. Y bueno, no hemos ganado mi equipo. De hecho, han tenido que cortar el juego porque no daba tiempo a la mesa redonda. Se han llevado el premio los que más puntos tenían.

Como siempre, la mesa redonda muy bien. Ha participado Román, algún componente más de llega Rooted, y después de intervenir César (GDT), se ha unido a la mesa. Una buena conclusión: involucrarse, organizarse muy bien, evitar disputas ente las organizaciones del mismo gremio como el nuestro...

Y... Ya se puede dar por finalizada esta CON.

Algo que han tenido en común todos los ponentes, es el recuerdo del Gran Hugo. No voy a negar que vi dos veces o tres, pero se lee veía muy, muy involucrado.

Bueno. Voy a dar por finalizada la crónica de esta NoConName. El resto sería ya viaje de vuelta a Madrid y poco más. Si no surge nada especial que contar, lo dejaré aquí.

Espero poder veros en la siguiente.

Por cierto, eso está escrito desde el móvil. Siento no poder poner enlaces. A ver si puedo hacer un directorio anexo en la medida de lo posible.

Segundo día en BCN para la NcN2k12

Un nuevo día, en este caso, el de inauguración del Congreso.

Una vez desayunado, aseado... A tirar a la CosmoCaixa. Casi llegando, uno se va encontrando con gente que tiene toda la pinta de que también va al Congreso.

Ya dentro, bajamos a la planta a fichar y a coger las acreditaciones, con las bolsa de bienvenida, en la venia la camiseta de este año:

Después, me encontré con Longinos. Con el que estuve pululando por el Museo de las Ciencias hasta que decidimos entrar en el salón de actos y coger un buen sitio.

Y... Nico inauguró la Con. Una de las cosas que marcó más el primer día del evento fue el recuerdo del gran Hugo.

Quitando los descansos para el café, este año sin catering, y llega comida (un buen bocadillo de jamón), las ponencias fueron más o menos las siguientes:

Juanillo y Pedro Laguna, presentando TRIANA, thread intelligent analysis. Hace una especie de fingerprinting pero

Después, Daniel Martínez nos habló de cómo encontrar información pública que se podría utilizar para cometer actos de terrorismo, poniendo un ejemplo de una empresa sin nombre..(guiño, guiño). Más tarde, Luis Jiménez nos daría una charla sobre estrategias para la ciberseguridad. En ese momento, el concurso Quiz 2.0, se suspendía por falta de asistentes. Entonces, más tiempo para comer un buen bocadillo de jamón. Tras la comida, Chema (Alonso), nos habló de IPv6. Misma ponencia que en el Asegur@IT Camp 4. Aún así, bastante chula. La siguiente, estuvo genial: un caso de éxito del GDT de la Guardia Civil. César Lorenzana y Javier Rodríguez nos hablaron de un caso de extorsión a una empresa y de sus dificultades para obtener unas evidencias que el juez instructor entendiera para pedir una orden de registro del domicilio del sospechoso. Es el problema de la justicia analógica: las poli tiene pruebas, pero si el juez no las entiende... Además, ellos mismos reconocieron que tuvieron un gran golpe de suerte. La última ponencia era sobre NFC. Ahora las tarjetas de crédito/débito vienen con tecnología RFID: acercar la tarjeta al datafono, y se pasa la factura. Pero aún están en pañales con los datos que se transmiten. Puedes ver incluso el número entero de la tarjeta... en claro. Y el nombre y apellidos completos. Incluso la fecha de caducidad. Como aún hay sitios en Internet que no piden el CCV... ala, a comprar ser ha dicho. Y la jaula de Faraday casera que se llevó recordó a lo que hice también en la Universidad sobre mi investigación de estas tecnologías: un rollo de papel albal. La última parte de la jornada fue una mesa redonda donde se discutía las facilidades o noo que tenían las nuevas empresas, empresarios emergentes, emprendedores... Al final en estas mesas siempre participamos todos y se aprende mucho. Por último, la cena. Ahí consigues hablar con la gente y, de paso se hacen apuestas: Juanito y Pedro se podrían un pijama para dar su charla si se llegaban a los 115 o 200 tweeteos de #trianaPijama o #trianaEnPijama. No quedó muy claro, por lo que se empezaron a enviar ambos, por sí las moscas. ¿Llegarían a ponérselo?

viernes, 2 de noviembre de 2012

Primer día en BCN para la NcN2k12

Hoy ha sido el primer día que he estado en Barcelona para la NoConName 2012.

El viaje en el AVE desde Atocha muy bien. Al llegar a Sants, la estación de Barcelona, he ido derecho al hotel.

Una vez establecido, he ido al bar de la esquina a cine un bocadillo, ya arte al ser festivo no hay menú del día. Después, he ido a la CosmoCaixa, que es donde se celebra el evento, para recordar cómo llegar.

Ya, una vez visto el camino, he ido al febrero de Barcelona, cogiendo lo que llaman «el ferrocarril». Pero, a todos los efectos, es un metro de los de toda la vida.

¿Qué he visitado? Pues realmente poco. He andado bastante por las Ramblas. Después me he desviado para visitar alguna plaza (por descontado, la de Cataluña), ver algún edificio por fuera (no dejaban entrar, o no lo veía conveniente)... Después he ido al puerto. Tras estar un rato allí, he intentado volver a las Ramblas y he acabado visitando los Archivos de Aragón, la catedral...

Hoy se ha visto mucho movimiento. Entre otras cosas, artistas callejeros: música (una arpista, un violinista [a este, ya recogiendo], un trío de una trompeta, un ukelele y un piano ehh plena calle, al lado de la catedral), unos circenses (ser suicida a un aro y empezaban a hacer cosas cuyo nombre no se, pero sólo decir que lo hacían rodar con ellos agarrados a este...), pintores de caricaturas, estatuas humanas, un tío haciendo pompas de jabón inmensas... Vamos, que casi ha llamado más la atención toda esa gente que la ciudad en si misma.

Para terminar, he tenido que irme a cenar fuera del hotel porque las placas para calentar la comida hacían saltar el interruptor general.

Y nada más, esa es la crónica del primer día en BCN para la NoConName 2012.

jueves, 1 de noviembre de 2012

Colisionando discos duros

Colisiones. De eso se trata este post. Colisiones en discos duros. Y no me refiero a las colisiones físicas que se producen al chocar dos discos el uno contra el otro.

Vamos a poner un caso como ejemplo. Se acerca a la realidad, que conste. Como de costumbre, esto es delicado. Se podrían perder datos, entre otros daños. Por lo que resumiendo: no me responsabilizo de los posibles daños que se produzcan por seguir este manual.

Un día tienes que hacer una imagen de un disco duro sobre otro. El disco destino lo acabas poniendo como el principal, (en producción), y el otro lo apartas. Un año después, conectas ese disco "descartado" otra vez al sistema mismo sistema, para ver si le puedes sacar alguna utilidad. Y, te encuentras con algo parecido a esto:

Administración de discos duros: El disco está sin conexión porque tiene una colisión de firmas con otro disco que está conectado al sistema
Colisión de firmas de dos discos duros
Ves este percal y te quedas a cuadros. Aquí no puedes hacer absolutamente nada. Y si lo intentas... allá las consecuencias. Yo, no lo probaría, ni me responsabilizo de lo que le suceda a aquel que lo intente.

Aquí, lo que llama la atención es la marca que tiene como "peligro" o el enlace que pone "ayuda". Si hacemos click aquí nos salta la pantalla de ayuda:

Ayuda a la solución de problemas de discos
Ayuda a la solución de problemas de discos
En este punto nos encontramos con que nos dice que no tiene una firma válida. ¿Qué podemos hacer? Bueno, después de mucho trastear, y además, de intentar solucionar otro problema que ahora mismo no voy a contar, iniciamos una distribución Linux y lanzamos el 

fdisk

obteniendo el menú con el que ya hemos trabajado en otras ocasiones:

fdisk /dev/sdb
fdisk /dev/sdb
A lo que llegamos a la parte interesante para lo que nos interesa: Lanzar la opción de cambiar el identificador. En mi caso, tuve que hacer dos intentos. Del id dectectado 0xb8d3e31b al 0xb9b4f4f42c. Este era erroneo y me lo puso como 0xffffffff. Viendo la cagada, lo volví a cambiar y le puse el 0xc9e4f41c.

Cambiando el id del disco
Cambiando el id del disco
Una vez cambiado, podremos volver a nuestro windows y, regresando al administrador de discos nos encontramos con:

Administrador de discos duros: Disco "Sin asignar", pero sin advertencia.
Disco "sin asignar" pero sin advertencia
Tenemos el disco "sin asignar", pero ya no tiene la advertencia. 

Y creo que aquí lo voy a dejar. No voy a negar que entre medias he intentado hacer un montón de cosas más que podrían haber afectado a que lo ponga así. Aún así, antes de conectarlo en este equipo, he estado jugando con otro ordenador, y el formateo era extremadamente lento. Al pasarlo a Linux, más o menos igual. Ni eliminando particiones y volviendo a crearlas (así descubrí el cambio de id), ni el dd... Total. Que haciendo este cambio, me he encontrado con el resultado final. 

El resto de cosas ya veré cómo las cuento más adelante, si es que consigo hacerlas funcionar. 

Y nada más. Lo único deciros que mientras que se esté publicando este post, debería de estar en el tren de camino a la NoConName. Os iré informando en la medida de lo posible.