LinkedIn y sus passwords filtradas [updated]

Según acabo de leer en twitter, se ha producido una intrusión en los servidores de LinkedIn. Si bien un tweet suyo dice:
Our team continues to investigate, but at this time, we're still unable to confirm that any security breach has occurred. Stay tuned here. -- LinkedIn (@LinkedIn)
Según he podido leer, se han filtrado unas 6 millones y pico (tirando a 7) de contraseñas SIN la cuenta asociada. Aún así, se cree que éstas sí que se han visto comprometidas. Sobretodo porque los hay que dicen que ser password de 14 caracteres se encuentra en ese listado.
El costado bajo el que se encontraban era SHA-1 pero NO estaban salteadas (o aliñadas o como queráis llamarlo).
Cuando tenga más noticias, avisaré.

Update 2012-06-06, 22:42:

Me llega a través de la lista de correo de la Rooted una confirmación oficial. Según comentan, en efecto, se ha producido la intrusión. Y los usuarios con cuentas comprometidas recibirán instrucciones por e-mail, en los que no contendrán ningún enlace. También avanzan que están empezando a saltear (o, como dije antes, usad el término que más os guste) las contraseñas. A esto último: a buenas horas, mangas verdes.

Una de PowerPoint

Después de acumular muchos posts sin leer desde el móvil, y perderlos al actuar el cliente, he empezado con uno que tiene muy buena pinta.

Creo que lo empecé a seguir al leer unas colaboración en el blog de Chema Alonso.

Según me contaron en algún momento, o eso entendí, este profesional vive de las presentaciones (ejemplo: powerpoint).

En el caso que nos ocupa el post se titula

Atajos de teclado de PowerPoint que te simplificarán la vida durante tus presentaciones

y, si no me equívoco, alguna de las opciones como tener la posibilidad de escribir sobre la presentación será igual a la opción de dibujar que tiene el ZoomIt de SysInternals.

Habrá que probarlo. Nunca se sabe cuándo puede hacer falta. Aún así: ¿Conocéis más atajos o trucos que no sean tan comunes?

AV-Comparatives - Resultados de abril

En teoría, este post tendría que haber salido el 16 del mes pasado. No se muy bien por qué, pero aquí me lo he encontrado en borradores. Aiinss... Si ya me parecía raro que saliera en ese estado desde el Android.

************

Revisando los tweets he visto que AV-Comparatives ha publicado un informe mensual de "pruebas dinámicas" (dynamic-tests tal y como lo describen ellos mismos). Si os digo la verdad, la primera vez que entré en este sitio creo recordar que sólo mostraban 2 informes semestrales sobre los antivirus que probaban. Y, las pocas veces que he vuelto a entrar (contadas con los dedos de una mano) me he ido encontrando con más cosas.

Por ejemplo, si hacemos click sobre el gráfico que aparece en el centro de la página que he enlazado, se accede a un gráfico interactivo en el que se pueden seleccionar los rangos de fechas en los que... ¿han hecho las pruebas? No lo tengo del todo claro. Pero esa es la impresión que me han dado.

También se puede acceder a los informes en .pdf que enlazan justo un poco más abajo del enlace al gráfico interactivo.

No se. He visto este tweet y me ha dado por escribir sobre esto. Ya se que no es nada del otro mundo, pero, si alguno de vosotros no conocía este sitio, pues algo ya habré conseguido. ¿No?

Facebook a bolsa

Jo tengo mucha información al respecto, pero, según he podido leer:

Demandan a los bancos que apoyaron la salida a bolsa de Facebook, ¿cuál es vuestro veredicto? http://t.co/KNowAk6a -- GlobbTV (@GlobbTV)

Sin haber visto el enlace, yo pregunto: Si alguien pone sus ahorros en acciones de telefónica y ésta cae, ¿De quién es la responsabilidad? Tengo entendido quite Facebook subió un montón los primeros días (mejor, los primeros 30 segundos) y que ahora está cayendo en picado. Y eso que son 4 líneas mal contadas que he leído sobre el tema.

Para mí es responsabilidad del que ha decidido ponerlas. Las acciones no son unos productos desconocidos. Todo el mundo sabe que se puede ganar o perder. No como esos productos que no entiende ni el comercial del banco, de los cuales ser han dado muchos casos de noticia.

Y vosotros, ¿Qué opináis?

Nmap 6

Pequeña reseña: he podido leer en la lista de distribución de la Rooted que han liberado la versión 6 de esta popular herramienta de escaneo de puertos.

Lo he leído hace escasos 10 minutos mientras desayunaba. Y Espoo que ahora mismo estoy en la parada del autobús.

Bueno. Habrá que montar las VMs para probarla. Que, por cierto, por su las moscas: cómo la uséis es vuestra responsabilidad.

Para su descarga.

Inyección SQL persistente

Aunque hace apenas unos días me llegó el libro de SQL Injection de Informática64, apenas lo he podido empezar. Es posible que esto que empecé a escribir hace 3 semanas más o menos esté reflejado ahí dentro, pero, de ser así, no he llegado a ese punto.

****

Desde hace muchos, muchos años, se conoce la problemática del manejo de datos en las aplicaciones cuando se trata de bases de datos. Todos, espero, sabemos que si no controlamos la entrada de esos datos, puede tener consecuencias insospechadas.

Por ejemplo, si queremos utilizar un campo en nuestra aplicación para buscar... digamos, descripciones de casas, podríamos tener algo así

SELECT * FROM CASAS WHERE desc=$miEntradaDeBusquedaDeCasas;

Si no controlásemos esa búsqueda, y nos pusieran algún carácter inesperado, nos podríamos encontrar con esto

$miEntradaDeBusquedaDeCasas=$_POST['textDescCasas'];

Donde

$_POST['textDescCasas'] es %piscina';--

con el siguiente resultado

SELECT * FROM CASAS WHERE desc='%piscina';-- ';

También conocemos los distintos tipos de XSS: los persistentes y los no persistentes.

Si nos quedamos con los persistentes, sabremos que estos se ejecutarán a perpetuidad. Vamos, hasta que se elimine ese registro de la base de datos.

Ahora, lanzo la pregunta: ¿Qué sucedería si controlases las inyecciones sólo a la hora de recoger los datos del teclado y recibirlos, pero se guardasen en la base de datos? Lo que podría pasar es que si no se controlan esos datos, y los usas en otras consultas, los resultados no serían los esperados. Se podría hacer que la aplicación rompa cada vez que se acceda a ese registro.

Un ejemplo podría ser algo parecido a lo que voy a mostrar a continuación.

$miEntradaDeBusquedaDeCasas = "IT'S A DESCRIPTION";
INSERT INTO CASAS (DESC) VALUES(?);
bind(1,miEntradaDeBusquedaDeCasas);//sí, me lo he inventado un poco, pero para el caso de ejemplo...
$descripciones = getRows("SELECT desc FROM CASAS");
foreach($descripciones as$ descripcion){
   SELECT * FROM CASAS2 WHERE desc='.$descripcion['DESC'].';
}

La última consulta se acabaría obteniendo:

SELECT * FROM CASAS2 WHERE desc='IT'S A DESCRIPTION';

Para el que le cueste verlo:

SELECT * FROM CASAS2 WHERE desc='IT'S A DESCRIPTION';

Por lo tanto, al ejecutar esa consulta, el motor de bases de dato no sería capaz de tratarlo. Esa cadena "S A DESCRIPTION'" sobraría. Lo peor de todo es que se encuentra insertada en una tabla. Cada vez que se encuentre ese registro y lo usemos de esta manera, nos saltará el error.

Algo parecido a esto es lo que me he encontrado recientemente en un programa. Y ha sido muy, muy curioso. Además, me he echado unas buenas risas. No creo que este concepto sea nuevo, pero, como digo, sí muy curioso, al menos para mí. Lo que nos enseña que también tenemos que tener cuidado con lo que tenemos guardado, y no sólo con lo que nos acaban de introducir por teclado.

Diccionario informático I

De todos es sabido que muchas veces los informáticos utilizamos palabras, frases, verbos que en un contexto normal no cuadran, o, incluso, no existen. Es posible que alguno de vosotros seáis de los que no estáis en el mundillo, por lo que voy a crear está sección para vosotros. Como sé que me voy a dejar definiciones en el tintero, voy a hacerlo por entregas (indefinidas). Aquí tenéis las primeras definiciones:

Bicho: A veces también expresado como bichito. Por no enumerar los distintos tipos que hay, generalizaremos como malware.

Bug: ¿Insecto?. ¿Bicho? No. Un bug, /bag/, es un error en el software. Por si las moscas: incluir aquí el sistema operativo.

Debug: No. No es solucionar los bugs. Significa ejecutar un programa, viendo las líneas de código fuente por donde va pasando. La ejecución del programa es mucho más lenta porque somos nosotros quienes decidimos cuándo pasar a la siguiente línea.

Ir a pedales: Ir más lento que el caballo del malo. "Este equipo/programa va a pedales". Es como decir "este p**o coche va pisando huevos".

Parchear: Poner un parche a un programa. Como tal, es posible provoque otro bug, para el cual hará falta hacer otro parche o modificar el ya existente y, éste, a su vez, como tal...

Parche: Parte de código que se supone que va a solucionar un bug. Cuando se habla de parche, suele ser un fichero ejecutable que se lanza para que modifique el software ya instalado y así solucionar el bug encontrado. No es muy común hablar de parche cuando se soluciona el problema directamente sobre el código fuente de dicho software.

Petar: En España... romper, estropear, cargarse,etc, et. Sólo cabría decir "he petado el equipo".

Pantallazo: a)Screenshot. Hacer una copia en imagen de lo que esta mostrando la pantalla. Después... harás con ella lo que más gustes. Lo normal será pegar esa imagen en algún sitio ¿por qué si no ibas a presionar la tecla impr pa o print screen o cualquier forma similar que te ponga el teclado? b) ...azul. Famosa pantalla de Windows en la que este ha dado un casque tan gordo que no te queda otra que reiniciar. También conocido como Blue Screen Of Death.

Troyanizar: Verbo que hace referencia a inocular un troyano en un equipo.

Troyano: De la familia de los bichos.

Troubleshoot: Aunque no es común que lo utilicemos en español, significa disparar a bocarrajo a los problemas. Pero, como digo, en español no se utiliza. Es inglés, bastante.

De momento dejo estos. De hecho, he puesto más de los que se me habían ocurrido en un primer momento. No voy a negar que algunos eran muy básicos, pero se me habían ocurrido las... ¿gracias? (harán mucha, poca o ninguna, pero me he reído cuando las escribía).

Si se me ocurren más que no hagan falta hacer escenarios, haré otra entrega.