miércoles, 28 de mayo de 2014

Las contraseñas en los sitios

Después del "supuesto" incidente del otro día con ebay y todos los datos de sus usuarios filtrados, hemos tenido que cambiar la contraseña del sitio. Como de costumbre, una vez ésta es obtenida, aunque se encuentre hasheada.

Con este lío, respondí al tweet:




con




a lo que, a su vez, me respondieron:




a lo que, a la vez de darle la razón, también indiqué que muchos sitios limitaban los tipos de caracteres que se podían usar. A lo que me dijeron:




Todo esto para ver si podemos comentarlo por aquí. ¿Qué os parece que nos limiten el tamaño de una contraseña? Si es a la baja se comprende. ¿Pero a la alta? No me parece bien que nos fuercen a utilizar una contraseña cuya longitud máxima es 20. Y mucho peor si te limitan los caracteres que puedes utilizar. Con eso podrían reventarte tu "algoritmo" de contraseñas a la hora de crear una segura con una frase tuya y después sustituyendo algunas letras por algún carácter especial que podría estar restringido en ese sitio. Además de bajar la entropía de la combinatoría.

Lo dicho: ¿Qué opinión tenéis al respecto? ¿Sería una negligencia por su parte?

lunes, 26 de mayo de 2014

Quantika14 sortea cosas muy chulas

Leyendo los típicos RSSs atrasados, pude encontrarme en 1 gb de información que este pasado 15 de mayo del presente año 2014, que Juan Manuel Fernández (@TheXC3LL) publicaban en su blog que iban a sortear unas licencias de WordpressA Security.

Para ello, hay que seguir una serie de pasos:

  • Estar siguiendo la cuenta de twitter de @QUANTIKA14.
  • Comentar el regalo que se desee (de los que ofrecen), que, aunque desde desde el blog hablaban de 4 meses gratuitos de licencia, me han indicado que hay más cosas. :D
  • Y, según indicaban en el blog, también hay que poner el hashtag #WordPressA.
¡Y ya está!

Así, que me dispuse a twittearlo pensando que llegaba tarde (una semana...) y @JorgeWebsec me ha dado la sopresa: ¡estaba mucho más a tiempo de lo que yo pensaba!

Hay un enlace con las bases oficiales del concurso.

¡¡Mucha suerte a todos!!

viernes, 23 de mayo de 2014

FreePBX y los feature codes: custom destinations y misc applications

He estado jugando un poco más con mi centralita VoIP FreePBX (Bueno, en realidad, RasPBX, pero lo mismo da). Y, me he puesto a crear códigos de función, o, más conocidos como feature codes.

He querido hacerlo cambiando sólo los ficheros, pero, como no he sido del todo capaz, al final he terminado tirando por el camino fácil y he instalado los módulos que me harían falta para llegar al objetivo.

Lo primero de todo, nos hará falta, como mínimo, instalar los siguientes módulos:
  • Custom destinations
  • Misc applications
Para crear un destino customizado (el custom destination) tendremos que ir al menú Admin y allí encontraremos el enlace:

FreePBX: Custom destination
FreePBX: Custom destination
Los dos valores que me sé serían:

  • El destino que tendrá internamente. Tiene que tener una estructura que sería
    • El contexto deseado (y siempre lo nombro como ámbito [scope]. A ver si se me queda el nombre bueno).
    • La extensión que buscará dentro de ese contexto.
    • La prioridad por la que debería empezar. 
Ahora, como de costumbre en estos casos, te saldrá el botón rojo de aplicar. Hazle click.

Ahora, vamos a crear lo que se podría traducir por una aplicación propia (una misc application). Nos permitirá enlazar un código determinado con el destino customizado que acabamos de probar. Para poderlo hacer tendremos que acceder a este módulo desde el menú Application.

FreePBX: Misc Application
FreePBX: Misc Application
Tendremos que definirle:
  • La descripción por la que lo podrás reconocer
  • Qué código tendrás que marcar en el teléfono para "llamar" a esta aplicación.
  • Si está activada o no.
  • En nuestro caso, el destino que tendrá será el custom app que acabamos de crear.
Lo mismo de antes: guardamos y aplicamos el cambio.

Ahora vamos a crear un contexto en el fichero /etc/asterisk/extensions_custom.conf. Vamos a modificarlo desde el putty. Escribimos:

nano /etc/asterisk/extensions_custom.conf

Y, en el fichero:

[mi-contexto]
exten => s,1,Playback(tt-monkeys)

Donde, si el navegador no es capaz de interpretar &gt (ampersand + gt) es el símbolo mayor que (>). [Inciso: está claro que tengo que buscarme otra forma de mostrar los códigos fuentes. Fin de inciso]

Y, al guardar, reiniciamos el servicio (ojo con las llamadas que estén en curso, que te las va a tumbar):

asterisk -rx "core restart now"

Y, si llamamos a la extensión que hemos definido desde alguno de los teléfonos, debería de oirse una jauría de monos gritando.

Y... esto no es todo. Porque todo este lío, además de enseñar a montar una cosa de estas, viene por dos razones.

Una, es que, de momento, sólo lo he conseguido hacer funcionar como si de una llamada se tratara. Ya veré si lo consigo cuando esté una llamada en curso.

La otra es por un error que te puedes encontrar. Porque, si no enlazas bien las cosas, no te funcionará. Un error que te podrá salir en los logs es el siguiente:

[...] sent to invalid extension but no invalid handler: context,exten,priority=mi-contexto,s,1

Esto significa que si has puesto un contexto correcto, pero en el fichero .conf has indicado una extensión fija (por ejemplo, directamente *007) y en la configuración has puesto la s, te va a saltar este error en los logs. Al menos, esa es una de las razones. Si hay más razones, ahora mismo lo desconozco.

Y... de momento esto. Si se me ocurren más cosas, os lo haré saber. 

miércoles, 21 de mayo de 2014

Fallo de seguridad en eBay

Acabo de leer que ha habido un fallo de seguridad en eBay y que se recomienda cambiar las contraseñas a todos los usuarios.

De todas formas, me informaré un poco más para estar seguro.

Os dejo el enlace aquí mismo.

http://hipertextual.feedsportal.com/c/33160/f/538984/s/3aab736d/sc/5/l/0Lalt10A40A0N0C20A140C0A50Cebay0Econtrasenas/story01.htm

viernes, 9 de mayo de 2014

Diccionario informático II

Volvemos a sacar una segunda entrega de los diccionarios, como la anterior vez, intentando darle su pequeño toque de humor (aunque posiblemente no consiga que hagan mucha gracia).

IDE: También conocidos como ATA. Es el anterior puerto de conexión de los periféricos internos de los ordenadores antes de que los Serial ATA se convirtieran en el estándar. Estos periféricos se caracterizaban por ser rectangulares, tener dos hileras de 40 pines cada una de ellas y el cable que permitía la conexión de los discos duros, lectores ópticos, etc... con la placa base recibía el nombre de "faja". Ocupaba bastante espacio en la caja del ordenador y era un poco infierno trabajar el interior de la misma cuando estas "fajas" estaban conectadas. Tiene otra acepción: Entorno o plataforma de desarrollo. Por ejemplo, Eclipse o NetBeans son dos IDEs muy famosos para el desarrollo de aplicaciones java.

IDS/IPSIntruder Detection System / Intruder Protection System. Una definición muy simple sería "antivirus que en vez de bichos analiza el comportamiento de la red". Es decir, que tiene una serie de firmas o patrones que analizan el tráfico de red y si se cumple la regla. Si tienes el detector, te avisará y tendrás que actuar en consecuencia. Si tienes el protector, cumplirá con las instrucciones indicadas cuando se produzca ese comportamiento.

Impersonalizar: La traducción literal (y real) sería "suplantar la identidad o hacerse pasar por alguien". Es lo que sucede cuando, por ejemplo, en un sistema Windows somos capaces de cambiar nuestro identificador de usuario por el otro de tal forma que tendríamos sus permisos: léase, para una elevación de privilegios. En el mundo real, sería, por ejemplo, prestarle el DNI a alguien para que se haga pasar por nosotros. O que el uso se haga porque nos lo hayan robado.

SIP: Muchas veces utilizado para responder simplemente . Raruno que se usen tres caracteres en vez de dos. Pero bueno. También es un protocolo de VoIP, que, ofrece, por ejemplo, FreePBX.

Sniffer: Normalmente es un programa que esnifará todo lo que se ponga a su alcance. Ya he hablado muchas veces sobre ellos. Como por ejemplo, whireshark.

Spoofear: Del verbo spoof. Sería falsificar en el sentido de "te hago creer que soy X pero realmente soy Y".  No confundir con Impersonalizar. Por poner varios ejemplos: las direcciones MAC, las direcciones IP...

VoIP: Voz sobre IP. Transmitir voz utilizando el protocolo IP. Un ejemplo de VoIP sería SIP.

De momento os dejo estas pocas. Seguro que más adelante se me ocurren más para una entrega más.

miércoles, 7 de mayo de 2014

Antivirus blanco

Hace tiempo... Mucho, mucho tiempo, leí el siguiente artículo en Una al día. En efecto, esto no es noticia. Pero a veces no se trata de dar noticias, ¿no? Porque muchas de las cosas que se cuentan ya las sabían públicamente otros hacía tiempo.


No voy a negarlo. Nunca había oído hablar de este antivirus: Bit9. Que según se puede leer en el post enlazado, está basado en listas blancas.

Las listas blancas están muy bien cuando se trata de casos en los que se tiene que tratar con pocas casuísticas. Pero, tal y como habremos visto en muchas ocasiones, gestionar una lista en la que queremos hacer que sólo funcionen un grupo grande de casos y que no se permita el resto (ya sea un antivirus como este, una lista de un firewall...) se hace muy, muy complicado de gestionar. ¿Cuántas veces se ha querido hacer algo al respecto y después se ha tumbado porque no hemos sido capaces de controlarlo?

De la información que nos dan se desprende que el sistema que utilizan para validar el software es que tiene que estar firmado. Ahora, voy a dejar caer varias preguntas, así, divagando un poco:

  • Si nos dedicamos el desarrollo este antivirus nos haría imposible trabajar, ya que necesitaríamos tener firmado nuestro software.... en medio del desarrollo. Es más: el IDE que utilicemos para el desarrollo también tendría que estarlo. 
  • A falta de probarlo, cabría pensar en que puede caer en nuestras manos algún programa que no esté en esa lista blanca. Por ejemplo: alguno que se haya solicitado a un proveedor (de esos para los que, seguro, muchos de nosotros trabajamos). Es un ejemplo, pero seguro que hay más: ¿Habría que enviarlo a la empresa para que lo firmen? Si son ellos quienes tienen que analizar los millones y millones de programas existentes, entonces...
  • Ah!! Esta se me olvidaba y no es menos importante. No pensemos sólo en ejecutables. Recordemos, por ejemplo, que alguna .dll nos falla... o no. Pero, tal y como WinSock nos mostró en las Navajas Negras 2013, el revisar un .exe no implica que sus complementos como las librerías .dll sean las que se encarguen de hacer "el mal".
Ciertamente son muchas cosas a tener en cuenta teniendo un antivirus de estos. Siempre se dice que no debería de instalarse dos antivirus en el mismo sistema:  ¿Se podrá aplicar este "lema" con este antivirus? Posiblemente sería un follón: ¿No? Mientras que uno te dice que tires, el otro te puede decir que no. Supongo que no sería ni recomendable probarlo. 

De todas formas, si alguno ha podido probar este antivirus y me puede dejar alguna nota en los comentarios sobre el mismo, sería de agradecer.