viernes, 12 de febrero de 2010

Cambios

He hecho una serie de cambios en el blog. Si me lees desde un reader como puede ser el de Google, no podrás verlo. Tienes que acceder a la página para apreciarlos.

Uno de los cambios es que he añadido una columna a la izquierda. En algún momento ya comentaré cómo lo he hecho. Pero que conste que no todo el mérito es mío. Aunque ya sabía más o menos por dónde tirar, he buscado un poco de apoyo.

El otro cambio, que hay que sumarlo al anterior, es que he puesto uno de los indicadores de virus de los que comenté el otro día. Éste es el Alertvir, el pequeñito. Podría intentar ver cómo queda el otro, pero de momento voy a tirar con éste. Lo que sí que he visto, y que no me acaba de gustar mucho, es que el juego de caracteres no rula muy bien. Veré si se puede solucionar.

También tengo que estudiar qué medidor de amenazas incrustar. Las demos del otro día no es que me quedasen muy hasta allá. Cuando las estaba montando no veía los resultados en la vista previa. De hecho, incluso estuve editando muchas veces el post después de publicarlo.
Publicado por agux en 10:20 0 comentarios
Etiquetas:

lunes, 8 de febrero de 2010

Antivirus y avisos

El otro día, cuando encontré el test de conocimientos de seguridad de TrendMicro , también me encontré con una cosa muy interesante en alguna de las páginas de antivirus. Me encontré con la posibilidad de incluir un gráfico indicando el nivel de alerta de virus en el que nos encontramos según ese fabricante de antivirus. Y me estoy planteando poner alguno de esos en uno de los laterales. Además, también me encontré con que la Asociación de Internautas (AI) tiene un programita con unas funciones similares.

Por ejemplo, Alertvir, de la AI, indica el último virus conocido (entiendo que por ellos). De los dos códigos que permiten incluir, yo voy a poner uno de ellos:










Además, tiene su propio programa de instalación. ¡Pero cuidado! Algunos antivirus lo detectarán como sospechoso . El artículo es muy interesante. 



Otro gadget de los que disponemos es el que tiene TrendMicro. No voy a negar que no se cuál de los que he encontrado poner. Porque, si me meto en TrendMicro US tenemos un resultado que parece más colorido que si entramos en el TrendMicro ES. Aún así, ambos acaban mostrando el mismo nivel. Además, precisamente el que me gustaría poner, que es el pequeñito con colorines, no veo el código para incluirlo. Sí que he encontrado un código, pero que muestra más cosas de las que quisiera: 




Desde el sitio de TrendMicro donde podemos conseguir el código para mostrar este app dan la opción de incluirlo directamente en los blogs más habituales. Eso es un punto a favor para elegirlo como candidato a ser incluido en este sitio. 

Otro posible Virusómetro es el de Panda Antivirus. Me ha costado horrores encontrar los códigos: 


Además, Panda también tiene un mapamundi de los virus. 


Estos, aunque son de Panda los he encontrado para insertar en VirusPortal, porque lo que es la firma de antivirus no es que faciliten las cosas para encontrarlos. 

Symantec Norton tiene su Thread Con. Éste, a parte de la barrita colorida, tiene un menú que se despliega de derecha a izquierda, con el que se veremos información como el mapamundi de las amenazas, un ordinograma, informes sobre los últimos virus y amenazas. 


Creo que este no es candidato por diversas razones. Una, no se deja incluir en el blog (lo he intentado y nada de ). En una página normal y moliente sí que rula. Dos, si bien tiene bastantes informes que pueden estar interesantes, que se despliegue un menú en el sentido en el que lo hace no me agrada mucho. Y tres, la fecha no está en dd/mm/aaaa sino en mm/dd/aaaa. Como estoy acostumbrado al primer formato... Lo que pasa es que mirando el código fuente parece que se pueden cambiarle algunos parametros. A ver qué puedo hacer.

Y esto es todo lo que puedo ofrecer, por ahora. Como ya he dicho, ya veré cómo modifico el aspecto para poder incluir alguno de estos ejemplos. Aún así, también tendré que ver cómo arreglarlo para que encaje bien. Vamos, que tendré que tocar los estilos.

Espero que estos ejemplos os sean de utilidad.


ATENCIÓN: Aquí estoy poniendo estos medidores de riesgos que no tienen nada que ver conmigo. Es decir. Los responsables de la información que muestran es cosa de cada una de sus empresas. Y, como éstos se ofrecen de forma gratuita, no tiene por qué haber una eficiencia del 100%. Luego, cualquier acción que se tome con respecto a lo que se muestra aquí será únicamente responsable aquel que la realice. He dicho. 

Publicado por agux en 19:30 2 comentarios
Etiquetas: , , , , , , ,

viernes, 5 de febrero de 2010

TrendMicro Test

Ayer estuve buscando cosas de antivirus y llegué a la página de TrendMicro. Mirando un poco unas cuantas cosas que ofrecían llegué a un test para comprobar qué tal estaba en temas de seguridad. Y la verdad... qué decepción!!! Lo he hecho y entre que se me ocurrió responder a alguna pregunta sin acabar de leer todo y alguna que otra respuesta no se me ocurrieron algunos casos, me han dado una puntuación de 6 (no se sobre cuanto). Según su nomenclatura, de las 4 notas que se podían conseguir, me han dado una A. ¡Qué verguenza! Quiero decir... ¡Qué vergüenza!

El test se hace sobre una aplicación flash. Todo con colorines y musiquita. Con un sonido determinado si aciertas y con otro (una detonación de un disparo) si fallas. Además, da explicaciones de las razones por las que es cierta o falsa cada una de las respuestas.

El que lo haga que me cuente qué tal le ha salido, ¿vale?


Publicado por agux en 19:30 0 comentarios
Etiquetas:

miércoles, 3 de febrero de 2010

XSS en hablemosdeeuropa.es

Desde... SbD nos enseñan un nuevo caso de XSS en la página de hablemosdeeuropa.es. Una de esas páginas preparadas para hacer política.

El caso es que nos enseñan una imagen con un alert:

Imagen de SbD y su XSS

Una vez echas las pruebas, a estas horas parece que ya está arreglado. O, al menos, desde el Chrome sale esto:


XSS desde Chrome: solucionado.

Como se puede ver, en ambas imágenes, en el recuadro de texto, la diferencia entre lo que procesa radica en que la búsqueda tiene modificados los caracteres especiales. Ahora. Si hago una prueba con el IE8 en el que intento que se muestre algún texto, como por ejemplo, HOLA MUNDO, me sale esto:

XSS desde IE8. Bloqueado.

El IE8 detecta un posible XSS y lo "bloquea". Desde aquí es muy difícil de ver, pero también me ha llamado la atención el texto en la página de arriba a la izquierda. 

// var MSOWebPartPageFormName = 'aspnetForm'; // 

No me apetece investigar mucho... Así, a simple vista, se puede dar por hecho que es un comentario por las dobles barras. Y que se trata de un formulario. ¿Será el formulario desde el que se realiza la búsqueda? Si miramos el código fuente desde la página abierta con el Chrome, se puede encontrar que aspnetForm es el nombre del formulario y más abajo tenemos la siguiente línea:

[script type="text/javascript"] var MSOWebPartPageFormName = 'aspnetForm';[/script]

Para el que no lo sepa, los corchetes se tendrían que cambiar por < el [ y ] por > . Lo he puesto así para que no se "oculte" cuando se cargue esta página (espero que los que saben del tema sepan a qué me refiero). Esto es lo que el sistema anti XSS del IE8 ha bloqueado. Y este el código fuente que ha resultado del bloqueo:


Codigo fuente modificado

Como se puede ver, IE8 ha modificado una letra del tag script y le ha puesto una #.

Por cierto. Al aceptar la barrita de aviso sale más código:

Código al final de la página tras aceptar aviso

Publicado por agux en 19:30 0 comentarios
Etiquetas: , ,

jueves, 28 de enero de 2010

Moviles

Estoy mirando cosas de móviles. Y he ido encontrado cosas muy interesantes.

A ver. Todos sabemos que cada uno de estos cacharros tiene un identificador que, en teoría, es único en el mundo mundial. ¿Verdad? Pués sí. Es así.  También sabemos que ese número se llama IMEI. ¿Verdad? Bueno. Pues así es. Se le llama IMEI. Y se puede obtener introduciendo

*#06#

en el teclado del cacharro. 

En teoría, si se entrega este móvil a la operadora de telefonía que se tenga, se debería de poder sacar un código para liberar el teléfono. En principio, y diciéndolo de memoria, están obligados a entregártelo siempre y cuando se cumplan una serie de requisitos. Entre otros, que el tiempo que te hayas comprometido a quedarte en la compañía lo cumplas. Y, en principio, la operadora tiene el deber de entregártelo gratis. Pero como digo, hay que cumplir una serie de requisitos. (Por ejemplo, si creen que no eres el dueño, nanais de la china).

Otro número que he encontrado es el
*#102#

En teoría, este número entrega lso últimos 5 números de serie de la tarjeta SIM junto a otros datos que ahora mismo no tengo ni idea qué significan. Uno de ellos es valor en KB (¿será el espacio que le queda?¿Será su capacidad total?). Y el otro ni  idea. El otro parece ser que es la generación de la tarjeta. Para entenderse, usando palabras inexactas, la versión de la tarjeta. 


Antes, en prepago, estaba la combinación
*#133#

para aquellos de Movistar. Esto permitía saber el saldo actual que se tenía. Cuidado. Hace unos cuantos años que empezaron a cobrar a la segunda o tercera consulta. Y eso que quería poner sólo combinaciones genéricas, para todos los móviles... Ay, ay, ayyyy....



Aquí hay más (abajo del todo) códigos. Aunque dice que casi todos valen para todos los operadores al principio dice que funcionan en Movistar. No me arriesgo a ponerlos aquí.

La verdad. Esperaba poner más, pero sólo he sido capaz de poner estos 2 genéricos y el del saldo... Lo siento. :(

Update: Febrero 2013: buscando algo, me he encontrado con que había cosas tachadas!! No me acuerdo muy bien por qué, pero las "des-tacho".
Publicado por agux en 19:30 0 comentarios
Etiquetas: , ,

miércoles, 20 de enero de 2010

Hashes y colisiones

En su momento hablé de las contraseñas de Windows (I y II) éstas se guardan utilizando un algoritmo que genera un hash.

Si recuerdo lo que comenté en alguno de esos dos posts, en la universidad te enseñan que al realizar un algoritmo para introducir un dato en una tabla hash se utiliza ese hash como "posición" para localizar ese dato. Y que a veces, y sólo a veces, (cómo me gustaba la serie de El cuervo aunque a muchos no les acabara de gustar), se producía una colisión. ¿Y qué es una colisión? Describiéndolo de una manera resumida es cuando dos paquetes coinciden en un instante determinado en la misma red... Vaya, no quería poner esto. Ese tipo de colisión es la definición aplicadas a las redes. Yo quería definirlo aplicado a los hashes. Y ésta es la circustancia en la que dado un algoritmo determinado, y un dos elementos del que se quiere saber sus hashes, ambos hashes coinciden. En la universidad, para solventar esto, a la hora de realizar la búsqueda, lo que se hacía era que si el elemento a buscar no estaba en la posición del hash obtenido, se buscaba secuencialmente en una tabla auxiliar. Pero estamos hablando de contraseñas. Y aquí no debería de haber cabida para las colisiones. Cuanto más complicado sea que se produzcan, mejor.

Pongamos un ejemplo. En un abecedario, de la A la Z, sin distinguir mayúsculas y minúsculas:

A
 B
 C
 D
 E
 F
 G
 H
 I
 J
 K
 L
 M
 N
 Ñ
 O
 P
 Q
 R
 S
 T
 U
 V
 W
 X
 Y
 Z
1
 2
 3
 4
 5
 6
 7
 8
 9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27

¿Qué ejemplo de algoritmo puede producir colisiones? Un ejemplo podría ser la suma del valor de las letras que tiene la palabra de la queremos sacar el hash. Si queremos codificar:

  • osos: 16 + 20 + 16 + 20 = 72
  • soso: 20 + 16 + 20 + 16 = 72
En efecto, si utilizásemos la segunda palabra como contraseña en un sistema que utilizase este algoritmo, tendríamos la posibilidad de pasar con la primera palabra. A parte de que no es el mejor ejemplo porque ambas palabras existen, y seguro que se encuentra en un diccionario de datos. Si no es así, dad por seguro que ahora sí que estará.

Ahora. Hace unas dos semanas, en el curso / master de seguridad que estoy haciendo con Informática64 nos enseñaron que un sitio determinado tenía una zona de acceso restringido. Y, ese sitio tenía varias cosas que deberían de arreglar:
  1. La seguridad estaba en el lado del cliente. ¿Qué significa esto? Que el control de si la autenticación es válida o no se hace desde el navegador. No se solicita comprobación en el servidor. 
  2. Los usuarios están incluidos en un combo. No se pueden introducir nombres de usuario. Pero con tal de tener ese combo con los usuarios válidos ya es un paso para poder entrar en el sitio. 
  3. Las contraseñas están codificadas en la propia página web. ¿Qué implica esto? Que si tenemos el usuario y tenemos la contraseña (codificada), estamos a un paso para poder entrar en el sitio. 
  4. Tenemos el algoritmo que genera ese hash, que ya tenemos. 
Con estas 4 cosas, ya podríamos entrar en el sitio. Pero eso no es lo que quiero enseñar. Primero, porque entrar en un sitio sin autorización, por muy fácil que sea la contraseña, no es legal. Y segundo, porque quiero enseñar un poquito un pseudocódigo de como es el algortimo que han utilizado (si acaso, modifico cosas para que no sea tan fácil averiguar de dónde sale:

funcion dameHash(palabra, modificador){
  palabra_auxiliar = palabra;
  elHash = 0;
  desde i =0;i
    elHash = elHash *(modificador^modificador) + valor_letra_en_posicion(i,palabra_auxiliar) + 1;
  }
  devolver elHash;
}
Existe algún que otro problema. Uno de ellos, el que comentaba antes. Puede haber un montón de combinaciones posibles que den el mismo hash. ¿Qué pasa si hacemos la invera? Buscar la (¿no serán las?) palabra(¿s?) que nos permitan llegar a ese hash.

Para eso hay que despejar en la ecuación anterior. Pero nos podemos encontrar con problemas con los nombres. Por eso hay que pensar en un hash_auxiliar y el hash_actual.

La ecuación quedaría algo así:

hash_auxiliar = (hash_actual -1 - posicionPosibleDeLaLetra);
Esto está muy resumido, pero, se explica de una menera muy sencilla. Hay que hacer todas las pruebas posibles de esta ecuación, hasta que hash_auxiliar sea 0. Lo que significa que:

  1. La ecuación se repetirá tantas veces como longitud_siempre_fija tenga como valor.
  2. Después de realizar la operación, hash_actual cogerá le valor de hash_auxiliar
  3. posicionPosibleDeLaLetra será una variable que irá cogiendo todos los posibles valores que permitan que su combinación con las selecciones anteriores lleguen al objetivo deseado, es decir, que el hash_auxiliar sea 0. Siempre se puede elegir obtener el primer resultado ó que nos devuelva todos. Y esto es lo que quería enseñar.
Se que no está muy, muy resumido, pero no puedo dar muchos más datos. El tema está en que una función de estas características puede producir casi 1019 colisiones. Si alguien quiere más detalles, que me de un toque. 

Publicado por agux en 19:29 0 comentarios
Etiquetas:

viernes, 8 de enero de 2010

¿Un Fake AV de McAfee?

Hace unas semanas, hablando con una de las vecinas a las que les arreglo el ordena, me dijo que le salía este aviso:


Aviso McAfee


Además, tenía un icono en el escrito del antivirus...



Icono del McAfee instalado


Vale. Hasta aquí nada fuera de lo normal. Una persona tiene un McAfee instalado. ¿Y qué? Pues que su antivirus es el Avast. Es más. Nadie más que ella toca el ordenador. Y si vamos más allá... Dos antivirus en el mismo ordenador se pegan leches de lo lindo.

Vale.Antes de navidades me paso por su casa y se lo desinstalo. Le hago algún que otro ajuste, y me vuelvo a casita. El caso es que en Nochebuena, mi tío dice que un día le llegó un mail que le indicaba que para abrir una cosa necesitaba instalar un programa. En su caso, el Adobe Acrobat. Le dio al enlace que le ofrecían, instaló lo que, en teoría, necesitaba, y... Después de hacer esa instalación se encuentra con que tiene un McAfee instalado. Así, por las buenas. Ahí es cuando empiezo a sospechar que algo no va bien.

Varias preguntas:
- ¿Un antivirus de renombre se instala así, porque sí?
- ¿Por qué no salta el otro antivirus, el que realmente queremos que esté trabajando? Es decir. ¿Por qué no se pega el antivirus que sí queríamos que estuviera con el que se había colado en el equipo?

Es una cuestión muy rara. Por lo tanto, toca investigar, realizar búsquedas por San Google o por San Bing

Vale. He ido buscando un poco y.. no he encontrado nada. Algo que sí he encontrado es el e-mail de ingienería social en el que se insta al usuario a hacer click sobre un enlace (entre otros) para descargarse y ejecutar un "supuesto" parche para el McAfee . Evidentemente es una trola como una casa y se instará instalando un bicho. A parte de eso.. No he llegado a encontrar nada con respecto a la instalación automática de un McAfee. Si existe como tal no he encontrado nada. En caso contrario, mis usuarios instalan las cosas sin saber qué es. Simplemente hacen caso de lo que les llega. Como si se les indicase que hagan un "format c" y que acepten todas las advertencias. Es que, o es esta última opción (y es más peligrosa que les enchufen un bicho) o no se aplicar mis propios consejos de cómo buscar en Google y Bing.

Publicado por agux en 12:48 0 comentarios
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)