Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

15 marzo 2014

Rooted CON - Bonus Track

Quería daros las gracias por todos los RT, FAV y felicitaciones relacionados con mis posts de la #rooted2014. Me alegro de que os haya gustado. Lo que más satisfacción nos da a los bloggeros es que, como en el caso de los cocineros, la gente disfrute con lo que hacemos.

Una vez terminada la parte más técnica, quiero compartir con vosotros alguna que otra anécdota, compañada de la correspondiente foto, que os puede ayudar a ver mejor qué fue la Rooted CON.

Fijaos en cómo estaba el auditorio. 

Yo tenía que llegar prontísimo para coger uno de los pocos asientos con conexión a la red eléctrica y evitar que se me descargar el móvil de tanto tuitear y tomar fotos. 

Estaba la primera en la puerta, esperando a que abrieran, mientras me comía estos cereales para geeks:

Y, cuando llegaba, me lo encontraba así de vacío:


Aquí tenemos a @secnight preguntando (ésta es en venganza por la foto mía que tú lanzaste por twitter, ja, ja, ja)


Allí, además, conseguí que @chemaalonso (editor) y @aramosf (coautor) me firmaran mi ejemplar de @hackerepico:

Y resulta que, mientras yo charlaba con Chema fuera de la sala, en el interior tuvo lugar la presentación del libro X1Red+Segura, que me perdí. Me enteré por twitter.

Al final del congreso hubo una entrega de premios (los Goya de la Rooted) para aquellos con más puntuación en las ediciones anteriores. Colofón muy apropiado, teniendo en cuenta que la entrega de los Goya se celebró aquí mismo y que varias ponencias tuvieron un toque muy cinematográfico.


Y, cómo no, también hubo su correspondiente selfie (la de rojo, al fondo, soy yo, que también quise tener mi minuto de gloria). Estos chicos, es que no son serios... xDD









Cositas curiosas que había por los pasillos:














Y una mochila que nos regalaron
(perdón, que me ha salido un poco borrosa).

También nos dieron el anuncio de que habrá una Rooted CON en Valencia. Así es que, si alguno de los que habéis leído mis crónicas habéis sentido envidia y ganas de asistir al próximo congreso, pero las circunstancias os impiden venir a Madrid, quizá Valencia sea la oportunidad para vosotros.




Yo, personalmente, considero un privilegio tenerla tan cerca de casa. Me alegro de haber visto a tanta gente, tanto cerebrín y tanto amateur de la seguridad, como yo, en un ambiente tan cool. Y de haber podido charlar con unos cuantos. 

Luego había una fiesta, en la que invitaban a copas, pero no fui. Si decidís ir, recordad: "si bebes,no conduzcas" (yo tenía que conducir). Y también ojo a con quién bebes: no sea que tengas un espía al lado que, fingiendo que el alcohol le suelta la lengua, quiera que tú te sueltes la tuya xD. (Por cierto: que al final no vi a ningún espía por los pasillos; pero no importa: total, aquí no regalan camisetas, como en la Defcon).

Y si queréis saber todavía más sobre la #rooted2014, echadle un ojo al excelente trabajo que ha hecho @HojadeRooter :

 

Hasta la próxima Rooted CON.
¡Nos vemos! See you. Au revoir. الى اللقاءإن شاء الله

13 marzo 2014

Crónica Rooted CON V (Sábado)



El último día Rooted comenzó con una disertación de Manu Quintans (@Groove) y Frank Ruiz (@francruar) sobre las 50 shades of crimeware para desmentir lo que consideran ellos como noticias y publicaciones sobrevaloradas. Explicaron también que habían llegado a la conclusión de que hay cuatro niveles de foros criminales: - El nivel más básico es el de los iniciados, donde se puede encontrar malware como el #Careto.
-       En un segundo nivel se compran VPN y accesos anónimos.
-    En un nivel ya más profundo, encontramos los foros cerradísimos (como Maza) a donde solo se accede con invitación, se siguen reglas muy estrictas y la expulsión de alguien conlleva la de quien lo invitó.
-       En el fondo del crimeware encontramos bandas criminales, muy peligrosas, que son totalmente auto suficientes.
Los periodistas de investigación solo se infiltran en los dos primeros niveles. No obstante, hay fisuras entre niveles y algunos foros externalizan parte de sus servicios, lo que abre nuevas puertas de entrada.

Las tendencias del crimeware son: el malware para móviles basado en TOR, en el campo de las criptomonedas y malware para Points of Sale; este último, se está viendo aumentada su demanda por la escasez de troyanos bancarios.

Hablando de troyanos bancarios, ellos mismos se infectaron con uno para luego borrar su tarjeta de la lista del panel de control de la botnet gracias a un SQLi que le hicieron (por favor: no repitan este experimento en sus casas).

Después llegó la ponencia que más impacto de todas causó: la de Hugo Teso (@hteso), piloto y hacker que nos puso a todos un poco nerviosos explicando cómo un avión podía ser hackeado, cambiando su configuración o siendo desviado de su ruta. Las compañías se preocupan por su safety, no por su security, dijo. Yo lo traduciría como que les preocupa que los aviones estén a salvo (de caerse), pero no que los sistemas no puedan ser comprometidos. Resultado: un ataque que la EASA le autorizó a contarnos y que resumo aquí:

Los protocolos ADS-B y ACARS son complicados y atacarlos requiere un hardware costoso. Por eso, la manera idónea de hacerlo sería atacando la gestión que hacen de ellos las compañías IT de transporte aéreo. Proceso a seguir: acceder a su base de datos mediante un sencillo XSS para entrar como persona autorizada y pedir un disco AMI (el service pack de los aviones), modificar la información que hay en él y luego irse al aeropuerto a rematar el ataque con un móvil, ya que los aviones, cuando aterrizan tienen una IP pública y se puede acceder atacando la conexión Wi-Fi o 3G (sí, he dicho 3G). ¿Estáis temblando?

Pues algo bueno que tiene la Rooted es el turno de preguntas y respuestas que hay tras cada charla. Así es que, tras la de Teso intervino un miembro del auditorio, que decía pertenecer a una de las susodichas compañías. Dijo que los cambios que podían hacerse por ese sistema no afectaban a cosas críticas de la configuración. A lo que Teso respondió que sí, pero que eso lo tenía para otra conferencia. Así es que no me quedó claro si el avión se podía hackear o no.

Pero lo que sí me alegré de oír fue que la red Wi-Fi para pasajeros no tiene ningún tipo de conexión física con la del sistema de aviación. ¡Menos mal!

La pregunta sigue en el aire (nunca mejor dicho): ¿podemos volar tranquilos? Al termino de la ponencia, muchos asistentes a la Rooted, que habían venido de fuera de Madrid, decían (en serio o en broma) que se volvían en tren. Vaya casualidad también que justo ese mismo día nos enteráramos de que un avión de Malaysia Airlines había desaparecido en pleno vuelo.

Si en alguna serie (como Hawai 5.0 o Person of Interest) veis que hackean un avión, acordaos de Teso; porque algunos le han pedido asesoramiento y otros, directamente, le han copiado.



No habéis leído mal donde ponía que el ataque al avión se podía hacer por 3G. José Picó y David Pérez (@layakk) desarrollaron la explicación teórica de uno:
- Suplantando a la operadora (IMSI catching): aprovechando que la información que se intercambia al principio no va cifrada.
- Con el IMSI capturado antes, mantener el canal abierto el tiempo suficiente como para localizar el terminal por triangulación.
- DoS: la falsa operadora manda rechazo de conexión constantemente al terminal para que no tenga cobertura, a menos que se reinicie.
- La falsa operadora dice que no dispone de cobertura 3G para degradar el servicio a 2G, que está roto y, a partir de ahí, cualquier otro ataque.


Después de tanto susto y de tanta cosa técnica, vino muy bien despejarse la cabeza y echarse unas risas con la "charla de historietas" (como él mismo la llamó) de Borja Berátegui () y su handware hacking. Este chico todo lo toca y nos puso varias fotos de cómo las pantallas táctiles, kioscos, cajeros etc. que hay por diversos lugares, permiten que algún manitas curioso elimine la primera presentación para llegar más adentro. Regla que se impuso (y que os debéis imponer si pensáis imitarlo): dejarlo todo como estaba. Yo no creo que me anime porque bastante apuro pasé cuando me pillaron intentando hackear la "Casa Blanca".

A continuación, Juan Vázquez () y Julián Vilas () nos mostraron cómo se puede hackear un sistema SCADA (sí, de esos que controlan las infraestructuras críticas) para cambiar, por ejemplo, el valor del indicador de temperatura. Hicieron las pruebas con un simulador del sistema Yokogawa CS3000, cuyas vulnerabilidades han sido ya publicadas mientras yo preparaba este artículo.

Por si no habíamos pasado bastante miedo con lo del avión...

El siguiente en aparecer fue Aladdin Gurbanov con un divertido vídeo en el que se veía como clonaba una tarjeta magnética (la suya) para poder sacar dinero con ella. Además de copiar el contenido de la tarjeta, es muy fácil conseguir en internet todos los abalorios necesarios para vestirla por fuera y que la copia sea completa. Y si pensáis que el PIN de la tarjeta puede servirte de protección, olvidadlo: solo tiene que modificar el bit que indica "pedir pin" para poder usarla sin esa restricción. 

¿Qué harías tú con una tarjeta clonada? ¿Comprar un billete de avión? Si anda por ahí Teso, quizá en el pecado encuentres la penitencia XD.

Espectacular fue la aparición cinematográfica de , que se superó a sí mismo. Menuda película (pero real) de la que pudimos disfrutar en la misma sala de los Goya: con referencias a Regreso al FuturoStarWars y Matrix.




¿Cuántos no habéis maldecido por esa actualización forzosa del iPhone que os fastidió algo? ¿Qué no daríais por poder dejarlo todo como está? Sería casi tan imposible como viajar al pasado a conocer a tus padres antes de que tú nacieras. Pues "Doc" Siles lo ha hecho posible con su herramienta en pyton que aprovecha una vulnerabilidad del sistema de actualizaciones iOS, cambiando una fecha para que el sistema crea que ya está actualizado y deje las cosas como están.

La herramienta, que se iba a llamar iOSTIA (iOS Tienes Indicios de Actualización), pero se quedó en iProxy, puede hacer esto de dos manera diferentes; y por ello, recibe un parámetro que le indica la manera de hacerlo: StarWord o Matrix (¿tú qué pelis prefieres?).

Pero ojo: que lo que se usa para el bien también se puede usar para el mal y alguien puede aprovecharse de esta vulnerabilidad para hacer daño. Si recordáis el famoso fallo del goto fail, que Apple rápidamente corrigió, comprenderéis lo importante que es en ocasiones actualizarse inmediatamente. Ahora bien, ¿qué sucedería si un atacante aprovechara la vulnerabilidad expuesta por Siles para "congelar" un dispositivo, explotara la vulnerabilidad "goto fail" (o la de turno) para hacer un ataque y luego dejara al dispositivo actualizarse como si nada? Que el inocente usuario comprometido, pensaría que no ha sido afectado por dicha vulnerabilidad por haberse actualizado inmediatamente y tendría una falsa (y peligrosísima) sensación de falsa seguridad. Mientras Apple lo arregla, la solución propuesta por Siles es utilizar un MDM para asegurarse de que se está permanentemente actualizado a la última versión.

Para terminar, los títulos de crédito, con referencias a su equipo de colaboradores, a la propia Apple y al vestuario (camiseta fricky diseñada expresamente para la ocasión). Siles, a ver cómo te superas para la próxima CON. Te lo has puesto muy difícil a ti mismo ;)

Y como colofón, tuvimos a los chicos del Whatsapp, Jaime Sánchez () y Pablo San Emeterio () hablándonos nuevamente de las vulnerabilidades de éste y de otras aplicaciones de mensajería instantánea. Pero mejor dejo que os lo cuenten ellos mismos:

http://www.seguridadofensiva.com/2014/03/slides-de-nuestra-charla-whatsapp-mentiras-y-cintas-de-video-en-rootedcon-2014.html

Hasta aquí mi resumen de ponencias. Espero que os haya gustado y os haya podido dar una idea de lo que se explicó, a los que no pudisteis ir, en espera de que salgan todas las diapos y los vídeos.

Pero en la Rooted CON pasó alguna que otra cosa más, que me he ido dejando en el tintero. Así es que os emplazo para una nueva entrada que espero publicar pronto.

Y como dicen por ahí: "Happy hacking!"

12 marzo 2014

Crónica Rooted CON V (Viernes)



Enlace permanente de imagen incrustada

El segundo día comenzó con una charla de José Luis Verdeguer (@pepeluxx) y Victor Seva (@linuxmaniac) en la que nos hablaron de las técnicas de escucha bien conocidas (SITEL, PRISM, etc.) y de las distintas soluciones ensayadas (Cryptophone, Redphone...). Como no se fían de ninguna han desarrollado su propia herramienta de cifrado de comunicaciones: Securecall. Ejecutada en un servidor, pudimos comprobar cómo el rastro que las llamadas realizadas dejaban en éste solo era un ruido. Totalmente seguro. ¿Te lo crees? ¿Usarías tú esa herramienta? Esa fue la pregunta que lanzaron al auditorio. Os aseguro que le dije a mi compañero "si la prueba la han hecho ellos, me pueden engañar al demostrarme que es segura"; aún así, levanté la mano, como muchos. Entonces fue cuando ellos nos hicieron un gran Bazinga! reproduciendo la llamada totalmente en claro. El truco: había otro servidor en el que se estaban guardando sin cifrar. La solución: implementarla en tu propio servidor. La conclusión: nada es seguro salvo que lo controles tú todo (y aún así).

Después Joaquín Moreno Garijo presentó Plaso, herramienta forense de bajo nivel para Mac OS. Aquí casi me metaexplota la cabeza. Me gustaría poder daros detalles técnicos, pero fue algo que me superó.

Y Jorge Ramió (@criptored) nos habló del algoritmo RSA y los posibles ataques contra su cifrado. El cifrado no está roto, pero pueden estarlo sus implementaciones si se realizan ataques laterales. El más famoso que ha salido a la luz recientemente es el de escuchar los ultrasonidos que genera el procesador al descifrar la información: un 1 no hace el mismo sonido que un 0. Son necesarias soluciones tempest para el sonido, lo mismo que se aplican para las radiaciones.

La ciberguerra volvió a salir a la palestra con José Luis Quintero y Félix Estrada. Aunque no están claros los límites entre ciberguerra y ciberdelincuencia, todos los ciberataques tienen las características de anonimato, asimetría de fuerzas, ubicuidad y alta velocidad de propagación. Los ciberataques han jugado un papel fundamental en la caída de gobiernos árabes. Es de señalar también la importancia de las RR.SS. en los ciberataques.

La segunda charla en inglés de la rooted fue la de Jeremy Brown y David Seidman, del MS Vulnerability Research. El MSVR se presentó en la Black Hat de 2008 y, desde entonces, ha estado gestionando el proceso de búsqueda de vulnerabilidades propias y ajenas. Algo que no me interesó mucho porque yo no voy a buscar ninguna.

Y después pude ver a @chemaalonso en vivo y en directo, con su gorro, hablándonos de su última herramienta: Latch. Si leéis www.elladodelmal.com o www.elevenpaths.com quizá sepáis de qué se trata, porque ha escrito mucho al respecto. Por si no, os resumo la idea: si quieres asegurarte de que no entren en casa, a lo mejor decides poner un pestillo; así si alguien hace copia de tus llaves, no podrá entrar de todos modos. Pues bien: si las credenciales (usuario y contraseña) son la llave de nuestras identidades digitales, el pestillo es Latch. Una herramienta que puedes instalar en tu móvil para desactivar cualquiera de tus identidades, de manera que si alguien quiere entrar con tu usuario, este no sea reconocido en la misma. Explicó que el servidor Latch no guarda información del usuario y contraseña, sino un token de pareado para enviárselo al de la identidad. Puso un ejemplo de cómo integrarlo con Shodan y con eGarante (yo lo he probado con éste, es muy fácil). Todo eso yo ya lo sabía. Para mí, la sorpresa de la conferencia fue saber que el uso de Latch va más allá de las credenciales: allí mostró cómo integrarlo con los eventos de Windows para quitar lo que no queramos que se usen y prometió que lo pondrá en más cosas como los sistemas biométricos. ¿Será capaz?

Enlace permanente de imagen incrustada 

Los hermanos Tarascó hablaron, primero, de Acrylic, una herramienta para hacer análisis de Wi-Fi de forma nativa en Windows, y después de Acarus, para tests de ataques dirigidos con APT Wi-Fi. Acrylic sirve para detectar ataques Acarus: todos a jugar y a probar la seguridad de nuestras redes Wi-Fi.

Después, Roberto Baratta () explicó cómo conseguir más en seguridad con menos o incluso nada: se tiene que ver el valor económico de la seguridad, el factor de riesgo en sí mismo no justifica un gasto, pero sí lo hace el impacto. Siempre es necesario hacer un análisis de riesgos.

Y ya para terminar, el entretenido relato de Javier Rodríguez (@Javiover) y César Lorenzana, del @GDTGuardiaCivil sobre cómo descubrieron que detrás de una presunta APT a una operadora de telefonía lo que había era tres delincuentes de un locutorio que se dan de alta tarjetas gratis para hacer dinero. La investigación tecnológica, apoyada por la tradicional y aplicando el Follow the Money, llevaron a una resolución magistral de caso, digna de la mejor serie de investigación policial.

¡Mañana, más!

10 marzo 2014

Crónica Rooted CON V (Jueves)

Aquí viene el megapost del primer día:

¿Qué mejor manera de recibirnos que con un regalo del libro de Angelucho, X1Red+Segura, como cortesía del patrocinador Akamai? Gracias :)


A primera hora de la mañana, @ffranz y @ttlexpired nos hablaron de Sinfonier, una herramienta Open Source de inteligencia de seguridad, basada en Apache Storm y formada por tres elementos: spouts (son los que generan la información en forma de tuplas) bolts (procesan la información de entrada y generan una salida) y drains (pueden almacenar la información o enviarla a otras fuentes y son la característica novedosa de Sinfonier. Animaron a registrarse como data tester.

Después, Alfonso Muñoz (@mindcrypt) nos explicó una técnica de ocultación de comunicaciones en lenguaje natural (solo se necesita saber leer y escribir) llamada Jano. Es otra aproximación, distinta a la criptográfica, ya que la gente no siempre está dispuesta a pasar por el aro de los GPG/PGP.

Pau Oliva (@pof) nos contó cómo saltarse los controles de los Hot Spots de las Wi-Fis públicas. Tiene una PoC publicada en Google play.
El sistema consite en robarle la IP y la MAC a otro usuario conectado, por lo que, para solucionar esta vulnerabilidad bastaría con: usar la característica PSPF de los routers para impedir la visibilidad entre usuarios, utilizar VLAN aisladas, usar switches con port-security para evitar que se pueda usar la misma MAC desde distintos puertos.

Luego, Antonio Ramos explicó que la agilidad es la vía a la seguridad. Algunos sesgos habituales en el análisis de riesgos: siempre pueden aparecer cisnes negros, la mente tiende a anclarse en la primera información que recibimos y eso influye en cómo tratamos el resto, lo más típico no es lo más habitual, aunque se tienda a pesar que sí, tendemos a ser optimistas. No caigamos en la trampa de creer que ya hemos hecho algo solo porque tengamos un plan de acción. Por otra parte: en los escenarios simples se aplican las mejores prácticas, pero en los complicados solo las buenas y en los complejos solamente podemos hacer ensayos porque nunca tendremos toda la información. Se debe usar: alerta temprana, respuesta rápida y apalancamiento de incidentes.

Fue una disertación muy dinámica, llena de símiles bonitos que ayudaban en entender estos puntos que solo he podido resumiros. Me gustó mucho.

Y llegó la primera ponencia en inglés: Raj Shah y su "Kill Chain: A day in the life of an APT". Las APT no son algo nuevo: ya al principio de los 80s, los americanos le hicieron una a una empresa canadiense de sistemas SCADA para colarle a los soviéticos un producto falso. Detrás de una APT lo que hay es una persona con determinación y paciencia. Se usan más para espiar que para atacar. The Kill Chain: reconnaissance, weaponization, infiltration, exploitation, C2 and exfiltration.

Después, nuestros amigos de Flu-Project hicieron una entra espectacular, digna de los Goya, con juego de luces y la canción de insonusvita de fondo.

Enlace permanente de imagen incrustada 
A parte de hacer un repaso de las últimas noticias de ciberguerra, nos explicaron cómo era posible que un gobierno usara a los ciudadanos como cibersoldados sin su consentimiento. Bastaría con colar en las tiendas de aplicaciones móviles una app troyanizada. Ya no sería necesario infiltrar agentes en puntos conflictivos: un ciudadano que se encontrara en el lugar podría, mediante su teléfono servirles toda la información que quisieran con fotos, vídeos y grabaciones de sonido. También se pueden usar los teléfonos como una botnet para hacer ataques DDoS contra un objetivo. Y de una manera más sutil que liarse todos a llamar al mismo número: en el establecimiento de llamada, el terminal queda temporalmente fuera de linea; si ésta no se llega a completar y se vuelve a repetir el proceso sucesivas veces, tendremos al pobre usuario desconectado, sin ni siquiera enterarse.

Posteriormente, Alberto Cita hizo un análisis de la seguridad y privacidad en Skype tras su compra por MS: el cifrado propietario ha sido reemplazado por el SSL y no tiene almacén de certificados propio, sino que usa el del S.O. lo que permite colar una CA falsa para hacer un MiTM. También ha observado que envía información a FB y que se baja muchas cosas en Javascript, lo que podría permitir inyectar código malicioso. Skype era único y ha dejado de serlo - se lamentó el ponente.

Y, como broche de la jornada, la extraordinaria intervención del fiscal Jorge Bermudez. Todo el mundo sabe que los hackers son de marte y los jueces son de venus. Pero yo no sé de qué planeta es este fiscal. A lo mejor de Krpton, porque es un superfiscal. Supo ganarse al auditorio hacker poniéndose en su lugar, queriendo tender puentes y explicándoles cómo él también "hackea" la ley para conseguir cosas que el legislador no hubiera imaginado que se podían conseguir con ella.

Si te gustan las pelis de abogados, sin duda habrías disfrutado con la magistral charla de este fiscal especializado en delitos informáticos. Por no alargar demasiado el post no me voy a extender en detalles. Pero tomo nota mental de hacer en un futuro un post dedicado a nuestros amigos de la Ley y el Orden.

Y hasta aquí la crónica del primer día. Espero que os haya gustado y que os haya compensado a los que no hayáis podido asistir. Procuraré haceros disponibles las dos siguientes cuanto antes.

09 marzo 2014

Rooted CON, la aventura


Enlace permanente de imagen incrustada

La Rooted CON es el congreso de seguridad informática que tiene lugar anualmente en Madrid desde 2010 y está considerado por muchos el más importante de Europa. De él os he ido ya contando en algún que otro post. Esta era una ocasión especial, pues coincide con el quinto aniversario (Rooted CON V, con V de Vendetta) y ha sido precisamente cuando yo me he estrenado.

Una encuesta curiosa que se podría hacer es "¿Qué es para ti la Rooted CON?". Y seguro que llegarían las respuestas más diversas, que podrían reflejar la personalidad de cada uno: "la Rooted CON es mi amante favorita" (ésta la he oído), "la Rooted es mi plato favorito", "la niña de mis ojos", "la Rooted CON es, simplemente, EL congreso", y así... Pues os voy a decir qué es, para mí, la Rooted CON: la aventura más fantástica en la que me he visto envuelta en el último año (y yo de aventuras sé un rato).

Ha sido de película total, digna de los mejores directores de cine: ciberguerra, ciberespías, aviones, StarWars, Matrix... Luces, cámaras... ¡acción!

Película en versión original y traducida: había charlas en inglés y en español, que se traducían simultáneamente al otro idioma, según el caso. Y menuda currada la de los traductores. Porque traducir algunas de las charlas en español no ha debido de ser fácil (porque hablaban muy deprisa, por los términos utilizados...) y, según creo, lo hicieron muy bien. Yo escuché un poquillo la traducción del inglés al español y también muy bien. Un aplauso para el equipo de traducción.

Además del resumen de las ponencias, del cual os dejaré debida cuenta en este blog, quería compartir con vosotros la experiencia integral que para mí ha sido la Rooted.

A pesar de algún ligero disgustillo que tuve, como que me desapareciera el Catillac, disfruté como una enana: pude desvirtualizar a varios y volver a ver a algunos que ya conocía, hasta conocí a sus familias. Hackers, fiscales y guardias civiles, compartiendo ecosistema con empresarios, estudiantes y hasta algún que otro funcionario. Además, siendo un congreso internacional, había asistentes con orígenes diversos y pude hablar (y tuitear) en inglés, francés y árabe (además de, claro, en español).

El ambiente era fantástico y yo me sentía pequeña entre tanto talento. Muchos de los que por allí pasaron no solo eran gente con conocimientos: eran gente muy lista.

Una de las cosas que más me sorprendió fue la cantidad de gente que me conocía: por este blog, por twitter o por la Lista Rooted. Algunas cosas que me hicieron mucha gracia y que tengo que aclarar: 

- No trabajo para el CCN (no soy una espía): esto ya me pasó en twitter y allí me lo repitieron. La verdad es que los del CCN son muy majos y a ellos debo mi entrada en el mundo de la seguridad, pero no soy una de ellos. Supongo que, para ser espía, hay, o que ser muy lista, o tener muchos contactos, o tener ojos de mujer fatal...

- No soy una crack de la seguridad informática. Estoy haciendo mis pinitos. Es curioso que, con las pocas cosillas que voy poniendo en las RR.SS., haya gente que se lo haya creído. Lo cual demuestra lo fácil que es (aun sin pretenderlo) inflar la reputación de una persona (¿o de una empresa?). Os agradezco mucho que valoréis mis aportaciones: seguiré aprendiendo y contribuyendo. Pero no quiero mantener la confusión, no sea que tenga que morir por ello, como Sommersby.

También estaban los laboratorios, Corelan y los stands del RootedWarfare. Pero de eso, poco os puedo hablar, porque yo no asistí a ninguno.

Mientras voy preparando las entradillas, os dejo aquí con algo de lo que se ha ido ya publicando en los blogs, para que vayáis abriendo boca (y para daros envidia):




Ah, y la Rooted CON también ha aparecido en la prensa y en la televisión.

05 marzo 2014

Elegir un flavor


Pues eso: en vez de "elegir un amor", "elegir un flavor". La búsqueda de la distro de Linux más idónea parece una tarea tan ardua como la de encontrar el amor verdadero.

Empecé con Ubuntu, que es una distro para Pennies, el Gentleman de los Linux, chico más popular del instituto, agradable, guapo y sin complicaciones. Todo iba bien hasta que tuve que hace un upgrade y no había manera. Era como esos novios que nunca maduran.

Entonces se me ocurrió instalarme OpenSuse porque era la misma distribución que teníamos en algunos equipos del trabajo (Uy, lo mismo he desvelado información confidencial). Eso era como salir con un compañero de trabajo: pasáis muchas horas juntos, os conocéis bien... Quizá no sea el más guapo ni sientas acelerar los latidos de tu corazón cada vez que lo ves; pero ¿quién lo necesita? Esas cosas al final lo único que hacen es complicarte la vida. Mejor buscar algo práctico, que estés segura de que funciona.

Y todo va bien hasta quieres ir al cine o a un concierto (la informática no lo es todo en esta vida) y el tío se niega en redondo. Resulta que el informático listo, agradable y majo es un sosaina con quien no puedes permitirte ni una hora de diversión. Y si te empeñas, no hay forma de ponerse de acuerdo en qué película ver. La vida también es cine ¿sabes? Esas cosas que te hacen evadirte después de un duro día de trabajo. Y no poder hacerlo, estar todo el día metida entre ceros y unos, ya me raya. 

Pues resulta que tenía un montón de vídeos chulos para ver en el portatil, pero el VLC se negaba a reproducirlos (con el Kaffeine tampoco iban). Y venga: que si videolan, que si pacman, que si quito, que si pongo, y nada... Adiós, OpenSuse. Fue hermoso mientras duró.

Intenté un poco con Fedora, un chico bastante estable, con su sombrero rojo. Pero no quiso quedarse conmigo. Yo no sé qué pasó: instalación ok, pero al arrancar, pantalla negra. No eres tú Fedora, seguro que soy yo. Pero es que ya estoy cansada. No quise volver a intentarlo.

Ahora estoy con el Mint, que no es más que el Ubuntu con sabor a menta (a menta con canela, en mi caso). Es como querer darle otra oportunidad a los chicos buenos y guapitos, mientras hay gente que te anima a que te vayas con los hombres de verdad: con los tipos duros, como Arch o con los que son Gentoo-za y a quienes hay que dárselo todo hecho. 

De momento estoy contenta. Salvo que he instalado el VirtualBox y no sé dónde me lo ha puesto. Pero ya se sabe: los hombres nunca saben dónde dejan las cosas y tienes tú que andar buscándolas. Veremos a ver qué pasa con el próximo upgrade.

Entre tanto, podría también hablar del chico de las frambuesas. Pero esa ya es otra historia, a la que espero poder dedicar un post completo algún día.

Ganas me dan a veces de tirarme por la ventana y volver al Windows. Pero no desespero. Tal vez, en Linux, como en el matrimonio, cuando hay problemas, no sea tanto cuestión de andar cambiando como de esforzarse por conseguir que lo que tienes funcione.

Y vosotros ¿qué distro de Linux utilizáis y por qué?

(BTW: Si piensas que Linux es más seguro que Windows o Mac, piénsalo dos veces)

01 marzo 2014

¿Por qué en la URL sale la IP y no el nombre de dominio?


Ésta es la pregunta que me dirigió un honorable miembro de mi TL que prefiere permanecer anónimo (bueno, solo hay que ir a mi TL y buscarlo).Efectivamente: al buscar en Google por el nombre de su blog (un WordPress en un Apache de Amazon), no solo aparecía el dominio, sino también la IP de éste (y además, mejor posicionada).

La configuración de servidores web es un tema en el que estoy muy pez; pero, con este deseo de querer ayudar que nos caracteriza a todos los miembros de la Comunidad del Anillo, me puse a indagar.

He de decir que, aunque su profesión está en las antípodas de la informática, es un chico muy listo y al final lo resolvió él solo. Pero yo, mientras, tirando, tirando del hilo saqué bastante información interesante. Y me he decidido a escribir un post y compartirla con vosotros (por si os sirve):

La página www.cuwhois.com contiene una serie de herramientas SEO (Search Engine Optimization). Entre otras cosas, podemos introducir el nombre de nuestra página web y nos dará información interesante sobre cómo está configurada. Ahí pude averiguar que la IP de la página en cuestión no era canonizable; esto es: no se "traducía" en un nombre de dominio al teclearla en el navegador y también aparecía tal cual en los resultados de los buscadores. ¿Por qué? porque no se había redirigido la IP al nombre de dominio.

¿Es esto un problema para la seguridad?
Obtener la IP asociada a un dominio es trivial. Pero, frente a un ataque de DoS, uno siempre podría cambiar el dominio para que apunte a otra IP, mientras que el usuario que acceda directamente por IP lo seguirá encontrando caído. Además, la IP podría utilizarse para un ataque de DNS rebinding, haciendo que la consulta DNS del dominio del atacante responda con tu IP.

Otro inconveniente en el que se podría pensar es en la imposibilidad de obtener un certificado válido, en caso de que fuera necesario, al no poder asociarlo a un dominio. Pero en realidad, sí es posible asociar un certificado a una IP con GlobalSign.

¿Cómo se soluciona?
Haciendo un Redirect de la IP al nombre del dominio. 
 
Esto se puedo poner, por ejemplo, añadiendo las siguiente lineas al fichero .htaccess:

- Primera posibilidad:
Redirect 301 http://12.34.56.789 http://www.domainname.com 

- O también:
RewriteCond %{REMOTE_ADDR} ^12\.34\.56\.789$
RewriteRule ^(.*)$ http://www.domainname.com/$1 [L,R=301] 
 


(donde 12.34.56.789 es la IP y www.domainname.com el nombre de dominio)

En algunas instalaciones quitan el .htaccess por cuestiones de rendimiento. Pero se puede hacer de manera semejante en el httpd.conf

Ya véis: quise resolver una duda a un compañero y al final la resolvió él solo, pero a mí me sirvió para aprender una cosa nueva. Espero que a vosotros también os pueda servir de algo. Y, como siempre, si tenéis algo que añadir o corregir, bienvenido sea. :)

Referencias:
http://www.cuwhois.com/info/blog.lengua-e.com

https://security.stackexchange.com/questions/35635/is-showing-your-ip-address-in-the-url-a-bad-practice


http://faq.1and1.es/archivos/101.html

http://support.microsoft.com/kb/308163/es

http://wordpress.org/plugins/simple-301-redirects/

http://www.javierferraz.com/redirecciones-301-para-no-perder-el-trafico-organico-de-una-web/

http://stackoverflow.com/questions/19989580/301-redirect-for-ip-address-with-standard-wordpress-htaccess-file

http://www.webmasterworld.com/apache/3655980.htm

http://www.yolinux.com/TUTORIALS/ApacheRedirect.html

http://httpd.apache.org/docs/2.0/configuring.html