11 de mayo de 2007

Siete razones por las cuales importa poco el nombre de tu dominio

Siete razones por las cuales da un poco igual cómo se llame tu dominio en la web actual:

  • Desde hace años los navegadores tienen soporte más o menos avanzado de marcadores, favoritos, vínculos o como quiera llamarse. Escribes una vez, y lo usas infinitas, a un solo click de ratón.
  • Google: de todos es sabido que Google encuentra las cosas bastante bien, hasta el punto de que si escribes la url en el cuadro del buscador en vez de en el sitio correcto, funciona igualemente. Escribes lo que sea idea y llegas al sitio correcto (casi siempre).
  • del.icio.us, y sus clones: o lo que es lo mismo, gestores brutales de favoritos. Un click, etiquetas el enlace y lo tienes para siempre. Y para colmo, mira si es complicado escribir del.icio.us. y es feo de ver, y ahí están.
  • Páginas de inicio personalizadas, con enlaces, sindicadores, módulos diversos, etc. En las páginas de inicio personalizadas estás accediendo a multitud de servicios e información de la que no te importa el dominio del que vengan. Digamos que los contenidos están a otro nivel de comunicación que los dominios, demasiado ligados al hardware, a la implementación física de la Red.
  • En la misma línea, la absolutamente instaurada web 2.0 no entiende de direcciones URL, entiende de tags , etiquetas, colores, sabores, es una web semántica. ¿que pinta lo que está entre el "www." y el ".com" . Y entiende de otros medios alejados incluso de la navegación tradicional, con el uso de lectores de RSS, podcasts, y la movilidad.
  • Hoy en día los sitios se hacen famosos no por su nombre, sino por el contenido que generan y por la capacidad de convocatoria de su red social. No sé donde leí esto, pero los ejemplos eran clarificadores. ¿que web tiene más éxito, videos.com o youtube.com? ¿photos.com o flickr.com? Las webs son los usuarios que la integran.
  • Comprar dominios golosos es tan del siglo XX...

2 de mayo de 2007

Sanción LOPD a Zeppelin (Gran Hermano)

El Tribunal Supremo ha confirmado la sanción de 1,08 millones de euros a Zeppelin Televisión S.A, productora del programa Gran Hermano, impuesta por la Agencia Española de Protección de Datos por el tratamiento dado a la información de carácter personal de unos 7.000 candidatos a participar en el espacio de televisión emitido por Telecinco.

La sentencia publicada hoy señala que la productora recabó información relativa a gustos, ideología, creencias religiosas, raza, salud o vida sexual sin que existiera consentimiento de los candidatos para que estos datos se trataran informáticamente. Además, cedió los ficheros sin la debida seguridad a personas con las que no le unía ningún lazo contractual.
No entiendo cómo una empresa con los recursos de una productora de televisión puede hacer las cosas tan mal. Qué poco cuesta hacer las cosas bien, y qué caro es hacerlo mal.

Vía Mase.

24 de abril de 2007

Las tarifas del cibercrimen

Es de ingenuos pensar que hoy en día los ataques a los sistemas informáticos no tienen más motivación que enaltecer el ego de un niñato con acné. Esos tiempos lamentablemente pasaron.

El cibercrimen es rentable, y tiene tarifas:

  • 24 horas de DDoS a un site: ............................................100$
  • Listado de direcciones de email para lanzar SPAM: ...100$ / millón de cuentas (hay descuentos por volumen)
  • Servidor de SPAM (+10.000.000 msg/día)................. 600$
  • Cuentas FTP, Rapidshare, etc : ..................................entre 1$ y 5 $ la unidad.
Y este que me ha sorprendido especialmente:
  • Lote de 50 MB de logs de troyano : ..................................30$ (se garantiza un porcentaje de direcciones de correo, cuentas bancarias y números de tarjeta de credito válidas)
La información completa en el blog de PandaLabs : Cybercrime... for sale (I). No citan las fuentes donde pueden contratarse estos servicios, pero dicen que no hay que dar demasiadas vueltas con Google. Vamos, más sencillo que contactar con el Equipo A.

22 de abril de 2007

Fingerprinting de DNS

Uno de los puntos críticos en un sistema es el servicio DNS. En un test de penetración, obtener información extra del DNS nos permitirá conocer aspectos importantes de la red interna de una organización, y conseguir tomar el control del servidor DNS da poder casi absoluto. Por tanto, es un objetivo claro de atacantes.

El primer paso para ello es, como siempre conocer el objetivo. fpdns es un script que permite conocer, en base al tipo de respuesta que ofrece a determinadas peticiones, el software de servidor de nombres. A partir de ahí, ya es cuestión de buscar fallos conocidos del software concreto.

Por ejemplo:

debian:~# host -t ns sgae.com
sgae.com name server ns1.lamedelegation.net.
sgae.com name server ns2.lamedelegation.net
debian:~# fpdns ns1.lamedelegation.net
fingerprint (ns1.lamedelegation.net, 205.178.190.53): ISC BIND 9.2.0rc7 -- 9.2.2-P3
debian:~#
Trasteando un rato con él he visto que puede ser necesario agregarle el parámetro -t para darle tiempo a que responda el servidor. El parámetro -d (debug) nos mantendrá entretenidos leyendo lo que hace el script.
Informe completo: http://www.hacktimes.com/?q=node/28 (También en PDF)

27 de marzo de 2007

El Phishing evoluciona

Hoy Forges (genio y figura) dedica su viñeta de El País al Phishing.

Por desgracia, los últimos ataques de phishing han mejorado su ortografía, y se muestran combinados con troyanos, por lo que las recomendaciones de escribir a mano la URL del banco, no hacer click en enlaces proporcionados por e-mails, o ver que la pagina es segura, poco protegen, ya que es muy posible que el ordenador ya no sea tuyo.

¿que cómo te va a entrar un troyano? Es tan fácil como confiar en los resultados de Google. (nero, winamp, o un p2p de una pagina falsa de virtualbox).

A partir de ahí, lo que queramos y por este orden: adware, fugas de documentos, inhabilitación de antivirus y firewall, keyloggers, envenenamiento de dns, control remoto, secuestro de sesiones...

Llegado este punto, ya ni con autenticación de doble factor (que será el siguiente paso que deberán dar sin remedio los bancos afectados) .

12 de febrero de 2007

Credenciales en sitios y servicios web

Tengo serios problemas, (y no creo ser el único) en recordar y tener al día todas y cada una de las parejas usuario/contraseña de los distintos servicios y sitios web donde me he registrado en algún momento: Google, MSN, Yahoo mail, Flickr, Youtube, del.icio.us, wikipedia, meneame, 20 minutos, Marca.com, adultXXX, el foro de recetas de cocina. etc.

La mayoría de estos servicios basan su autenticación en mecanismos de usuario/contraseña, y sin embargo, gracias a las cookies, posiblemente solo tengas que introducir esos datos la primera vez, por lo que virtualmente no utilizas casi nunca las credenciales para acceder al servicio.

Siendo así, ¿para qué pedir usuario y contraseña? ¿No es más sencillo realizar una validación inicial para obtener la cookie y un sencillo sistema de recuperación de cookie enviando una URL específica por e-mail? No sé si me explico: Cuando olvido unas credenciales, tengo que entrar en el sitio y solicitar la nueva contraseña. Para ello, me envían a mi dirección de correo un enlace al reseteador de passwords que me permite asignar otra contraseña, que seguramente olvidaré de nuevo.

Con sistemas como gmail que te permiten tener todo el correo electrónico a tu disposición, sería el repositorio ideal para los correos de registro de este tipo de websites. De hecho, yo tengo un tag especial para este tipo de correos en Gmail.

Hey! sería interesante un sistema de Single Sign On / Repositorio de contraseñas online, algo así como mybugmenot.com, ¿no?

11 de febrero de 2007

Pequeños cambios en el blog

He realizado algunos cambios en el blog, básicamente propiciados por el paso a blogger 2. Incluye una gestión más avanzada del blog, al permitir introducir etiquetas y dar un mayor soporte a componentes como adsense, lista de enlaces de interés, feeds, navegación por el archivo, etc.

He utilizado una plantilla de las que vienen prediseñadas sin introducir demasiados cambios, básicamente enfocados en la mejora de la visibilidad y usabilidad del sitio (o como dice MicroSoft, obtener una mejor experiencia del usuario). Por tanto, a quien me visite (¿hay alguien ahi?), le agradecería enormemente cualquier sugerencia para que la página sea visualmente más agradable. Y si me lees desde un lector de feeds, te dará igual.

8 de febrero de 2007

Atlas Dashboard

Por alusiones :), Atlas Dashboard es una web visualmente impecable (no como el ISC, el pobre) que muestra estadísticas más o menos en tiempo real sobre los ataques a sistemas por todo el mundo, con estadísticas por países de origen, por países de destino, por tipos de ataques, por puertos escaneados, por vulnerabilidades explotadas, incluso se atreven a dar estadísticas sobre phishing, indicando las entidades atacadas y direcciones IP de origen.

Cuando quieres alcanzar cierto nivel de detalle te envían a la versión registrada del servicio (estoy a la espera de que me respondan a la solicitud de inscripción, a ver qué ofrecen y cuánto vale).


Como dato curioso, puede verse la información general que incorpora cuando se selecciona Spain en alguna búsqueda (amplía la imagen para verlo mejor). Para mí que la CIA debería actualizarse.

12 de enero de 2007

Dnsstuff de vuelve de pago

ACTUALIZACION: Un tipo wysiwyg me acaba de enseñar la utilidad del scroll. La home de dnsstuff tiene más abajo el contenido habitual (vaya susto!). Por si acaso, ya me habia instalado la extensión para firefox adecuada.

--
Dnsstuff.com, la herramienta web más famosa sobre consultas DNS, WHOIS, listas de SPAM y demás se ha vuelto una herramienta de pago. Las alternativas son claras: pagar, empezar a utilizar cualquier otro sitio similar (ajaxdns no está mal y es web2.0, aunque ofrece aun pocas funcionalidades), o fabricarse uno mismo su propia herramienta de consulta, que no es tan difícil.

Ah, mientras se dan cuenta, a través de webarchive.org puede verse la ultima home que tienen de dnsstuff.com antes de hacerse de pago, y... ¡¡siguen funcionando los scripts!! Posiblemente sigan funcionando durante una época.

21 de diciembre de 2006

Contra el SPAM, tambien listas grises

La lucha contra el SPAM es encarnizada. Básicamente conocía tres tecnologías para luchar contra el correo no deseado:

  • Sistemas heurísiticos (filtros bayesianos): Consisten en analizar el contenido del correo y determinar si es publicidad o no. Cada vez menos eficientes, pues el spam suele incluir palabras legales, y ofuscar palabras sospechosas (v1aggr4)
  • Sistemas de listas blancas: Consisten en permitir correos solamente de remitentes reconocidos (demasiado drástica e ineficiente por spoofing/troyanos).
  • Sistemas de listas negras: Consisten en denegar correos provenientes de direcciones IP y dominios sospechosos. También ineficiente y molesto para usuarios con IP's dinámicas.
Normalmente los mejores sistemas antispam combinan estas tres técnicas, pero hay otra tecnología que se suma a la lucha. Consiste en comprobar el correcto o incorrecto uso de los estándares RFC del servicio SMTP. Uno de los detalles del estándar es el tema del reenvío de mensajes por incapacidad temporal del servidor. Si un servidor no está disponible, responde con un "inténtelo más tarde". La idea de Postgrey y las listas grises, es precisamente la de excusarse ante los remitentes desconocidos. Si son 'legales', intentarán reenviar el correo pasado un tiempo.

Sin embargo, los spammers no lo intentarán. ¿por que no?. Muy sencillo: Necesitan economizar el tamaño del mensaje para enviar cuantos más mensajes mejor, con el menos coste. El problema del spam es un problema de coste. Como siempre he dicho, enviar 100.000 spams cuesta demasiado poco, y con que un solo destinatario acabe comprando el producto anunciado, habrá sido rentable.

Bruce Schneier comentaba recientemente algo parecido. Incrementando el 'coste' de cada mensaje haría que el spam no fuera rentable. Soluciones en esta linea hay varias. Las listas grises encarecerán algo cada mensaje, sin duda.Otra sería obligar a que cada email ocupe al menos 500 KB y filtrar todo aquello que no llegue a ese tamaño. Eso multiplicaría por 10000 el coste de cada mensaje de spam, y quizás desaparecería la motivación.

Vía: Postfix and Postgrey <- pastelero.net <- meneame.net
Enlace: Schneier: Combating spam