La batalla contra la inseguridad informática...

¿Acaso vivimos en un mundo de paranoia total, en donde creemos que estamos en constante riesgo de ser victimas de alguno de los múltiples malestares que acechan en la red, empujados a creer en eso por un grupo de empresas internacionales y multimillonarias, que forran sus bolsillos en base a dicha paranoia colectiva? ¿O es una trágica realidad?.
Muchos analistas se devanan hablando acerca de aquellas cosas que hay que mejorar en el software propietario orientado a incrementar la seguridad de los sistemas, haciendo hincapié en lo grave que es la realidad en cuanto a seguridad a nivel mundial... pero, ¿no será esto mas que una simple estrategia de mercadeo?. Damas y caballeros, el siglo XXI se abre a nuestros pies, y entre las estrategias de manipulación, coerción, mercadeo, etc, el miedo es un factor clave, y en algunos casos decisivos.
Una prueba de concepto de esto, son las campañas de "terrorismo de estado" empleadas por los gobiernos occidentales, para justificar las políticas anti terroristas y de violación de algunos derechos civiles, como la privacidad. Y no parece muy alocado, suponer que empresas de seguridad informática, hagan uso de estrategias similares para vender sus productos.
Y por si esto fuera poco, que remarco no lo es, nos encontramos con que la mayoría de los expertos en seguridad del mundo no hacen uso de estas herramientas, si no que recurren a estrategias para disminuir el riesgo de infección/intrusión, seguido de un proceso de limpiado general cada determinado tiempo.
Y es que si observamos la realidad de la pelea contra la inseguridad informática, nos encontramos ante una extraña paradoja...

¿De que trabajarían los expertos en seguridad si se eliminara el riesgo por completo?

Y creo que sería muy optimista pensar que muchos aceptaría dejar de percibir sus sueldos por el mero placer de saber que muchas personas no podrán ser violadas en su privacidad, estafadas, etc. Así mismo, aceptando esta realidad como irrefutable, no es aventurado creer que las mismas empresas de anti virus sean las progenitoras de algunos de los virus que afectaron y afectan a los usuarios.
Aun siendo esto último cierto o no, hay que observar que las soluciones comerciales siguen siendo ineficaces en parte, y por lo tanto una estafa. Esto es similar a vender un palo diciendo que es una varita mágica... pero siendo computadoras y datos los afectados, las críticas son acalladas, o al menos pasan desapercibidas.
Lo cierto y definitivo, es que actualmente no existe una solución definitiva para evitar el malware, ni tampoco una política concreta orientada a disminuir los errores humanos que pudieran llevar a posibles infecciones, o intrusiones, y este panorama amenaza con continuar, al menos hasta que alguien se decida a empezar la verdadera lucha contra la inseguridad informática...

empaquetador...

No, no hablo de un empleado de supermercado que se encarga de empaquetar nuestras compras, si no de un creador de paquetes "encriptados".
Todo surgió hace unos días atrás, cuando hablaba con un amigo sobre la finalización de un mapeador de puertos hecho por mi, cuando le dije medio en tono en chiste, que lo que me faltaba era crearle un instalador (hablamos de un archivo que no supera los 7kb xD) sin embargo, la idea en si me gusto, puede ser práctico para algo (aunque aun no haya descubierto muy bien para que!), y nunca se sabe cuando te va hacer falta. Lo mejor de esto, es que descubrí que con un par de modificaciones mi lindo instalador/empaquetador puede transformarse en una especie de binder... no muy práctico pero binder al fin.
De todos modos yo no voy a dejar un binder por ser poco ético :P. Acá dejo el instalador, y en unos días veo si libero el código de alguna manera práctica que no sea por medio de las entradas.

Espero que les sea de utilidad!

Edit: awww@$%df· olvide dejar el link!. Perdón, Lo pongo ahora por si alguien lo quería, de todos modos ya estoy por actualizar!. El primer link es del script en si, el segundo es el script del setup.py para poder compilar los paquetes.

http://www.ale666.com/Foro/index.php?action=dlattach;topic=3287.0;attach=1467
http://www.ale666.com/Foro/index.php?action=dlattach;topic=3287.0;attach=1468

Fotolog.com, el auge de la inseguridad

Hace unos días, presa del aburrimiento y un toque de romanticismo a "flor de piel", decidí unirme a la corriente ("cuando el río suena, agua lleva" o eso nos dijo el que nos mintió) y comprobar el por que de la moda fotologuera, o floguera (usando el termino alternativo a Fotolog). Como no soy menos que nadie, me lo cree en Fotolog.com, casi diría siguiendo una suerte de lógica inconsciente dada por el nombre del dominio, ¿quien mejor para brindar un servicio de Fotolog, que alguien que se denomina a si mismo Fotolog?, eso si algunas cosas escapan a la lógica, y es que la lógica desaparece cuando se dota del factor humano a ciertas cosas de esta vida, y resulta que Fotolog.com no es la excepción.

Antes que nada, o mejor dicho de lo que sigue, quiero hacer un breve párrafo a modo de reflexión del motivo de creación del 90% de los fotologs:

Egocentrismo y falta de seguridad, combinado con tiempo libre en exceso y faltas de ganas de cambiar su situación de seres no vivientes, atados a un servicio que pretende dar a la luz a un yo interior marcado por la sociedad en la que vivimos (esto último va dedicado a una amiga), lo cual lleva a que las personas intenten proyectarse fuera de lo mundano, o en otros términos un poco mas duros sus "fucking five minutes of glory". Hace bastante, Arlt (motivo de orgullo para todo argentino, o así debiera ser) escribía sobre esto, y hoy, 65 años después de su muerte, se consuma de manera evidente lo que el describiera como "manía fotográfica".

Volviendo, como ser pensante (o al menos eso es lo que pienso :P) y curioso que soy, de esto no me queda duda, decidí explorar un poco la inseguridad del servicio, solo para saber en las manos de quien se suponía que estaba confiando datos confidenciales, como dirección de correo, nombre, apellido, etc. Así fue que puse en práctica algo de lo citado en uno de los artículos anteriores, y use parte de la teoría aplicada a la navaja suiza, NetCat para los incultos :P, pero esta vez lo hice a través de lo que me gustaría denominar como "Python Hacking Tips".
Como ya he dicho varias veces en algunos foros, lo primero que hago cuando quiero verificar la seguridad de un sitio, es hacer un pequeño sondeo del servidor web que corre el mismo. Esto pasado a NetCat sería:

nc -vv www.fotolog.com 80
get / http/1.0
get / http/1.0

Resultado?

Bien, ustedes a esta altura ("están a 5000 bytes sobre el limite vertical, ya se están aburriendo"), un poco cansados de que no lleguemos al punto culmine dirán, ¿y que se supone que es eso?. Bien, esa es la respuesta ante una excepción, o error, generada en html por un conocido servidor web llamado Apache. Lo agradable del mismo, es que si no se toquetea un poco entre sus opciones, por defecto nos indica cual es su versión :O y en este caso su sistema operativo (véase la imagen). Hasta aquí, si bien eso es información un tanto crítica, siempre y cuando nadie lo descubra (jajaja) podemos decir que nadie esta muerto. Pero no, ja!, resulta que yo no me conformo con saber que los administradores de www.fotolog.com no actualizan su servidor web (ya que tienen la versión 1.3.33 haciendo muchas por delante), si no que voy y busco si existen "exploits"(explode it) para ganar acceso ilegal al sitio y robar información. Para esto, voy a Google y tipeo:

Apache 1.3.33 site:www.milw0rm.com

Esto, nos permite buscar las palabras "Apache 1.3.33" en el sitio www.milw0rm.com que segun mi punto de vista, es uno de los sitios que mejor trata el tema de los exploits. En principio todo parece correcto, los exploits que aparecen, son para diferentes distribuciones de Linux, pero sin embargo la arquitectura kernel de un Unix y un Linux no son tan diferentes, así que existe la probabilidad de que dichos exploits sean funcionales en el sistema operativo que utiliza el servidor de Fotolog.com.
Pero amigos aquí no termina la fiesta, es que como muchos otros sitios, Fotolog.com tiene varios servidores (todos dentro de la misma red), entre ellos www1.fotolog.com. Este último, presenta una vulnerabilidad real y concisa, y para decirlo de manera mas pragmática, mucho mas grave en comparación a lo visto anteriormente. Repetimos el proceso con NetCat y el resultado esta vez es:



Lo interesante son los nuevos resultados. Esta vez no solo nos dio la versión y el sistema operativo, si no también que esta usando un parche especial llamado "mod_jk" en su versión "1.2.19". ¿Repetimos el proceso de Google y con que nos encontramos?, Fotolog.com vulnerable a una vulnerabilidad conocida como "remote buffer overflow", o "desbordamiento de buffer remoto" según mis capacidades de traductor. Esto, nos permitiría ganar acceso remoto al sitio por medio del uso de una "shell code". En definitiva, si bien no lo he probado (por cuestiones legales) estamos ante a una vulnerabilidad crítica, y si bien es posible que en este servidor no se guarden los datos confidenciales, si es posible que desde el mismo se pueda realizar una escalada de privilegios a otros servidores, donde se guarden bases de datos de los usuarios, o "sabe dios que otros documentos confidenciales".
Bien, ya vimos los errores/vulnerabilidades/inoperancia que yacen bajo el dominio www.fotolog.com, pero y ¿en donde quedo lo que dije sobre "Python hacking tips"?. No no, no soy un mentiroso, solo que pensé que sería mas práctico ejemplificar con NetCat. Sin embargo las pruebas son mejores en Python, es así que en los "ir y venir de la vida" (o como diría Vicentico, los caminos de la vida!!!) cree un pequeño "explorador" de esta vulnerabilidad y otras que subyacen en Apache, automatizando la búsqueda de los exploits para las mismas:

http://www.ale666.com/Foro/index.php?action=dlattach;topic=2989.0;attach=1261

En principio solo es funcional para servidores Apache, pero con unas modificaciones mínimas, se puede adaptar a otros servidores web.
Y finalizando el tema, cabe destacar que en principio como "grave" se ve lo expuesto, de lo cual pienso alertar a Fotolog.com, pero también he encontrado un par de cosas interesantes, o ideas posibles, que si bien no las he implementado, si pienso hacerlo y dejar nota de ello aquí.

Espero que disfrutaran leyéndolo tanto como yo al escribirlo,
Saludos.

Pd: En un principio esto iba dentro del artículo en un comentario, pero por cierto motivo, me olvidé :P. En fin, en "Sueños en binario" se hace alusión al asunto, pero desde otro enfoque diferente. Así, que al que le interese leer otra "óptica" del mismo tema, ya sabe a donde ir :P.

Consejo: NoScript

Después de unos días de ausencia del blog, por diferentes situaciones referentes a lo cotidiano de la vida, re aparezco en escena, y con un gran consejo (al menos desde mi "subjetivo" punto de vista) llamada NoScript (http://noscript.net). Muchos lo conocerán, otros no (y será hora de maravillarlos!), pero se trata de una herramienta esencial a la hora de proteger nuestra PC/Laptop mientras navegamos por Inet.
NoScript, es un complemento de Firefox, y solo funcional en el mismo, que permite el bloqueo de guiones de código js(Java Script), impidiendo la ejecución de código malicioso, o no, a través del navegador Mozilla Firefox. Tal vez su función en principio no parezca mucho mas que dirigirnos a las opciones de configuración del navegador y desactivar la ejecución de js... pero el sencillo (solo por su fácil manejo) programa, nos permite autorizar ciertos elementos de manera selectiva, tener una idea del guión que se desea ejecutar, si se trata de un xss, etc.
Sin mas palabras: Indispensable para aquel que quiera navegar seguro y con Firefox.

Espero que les sea útil!!!.

Python 3.0

Si, si... salió la nueva versión alfa de Python. Varios cambios se leen en la documentación del mismo y seguramente pronto habrá noticias por varios blogs, de las cuales por el momento me abstengo de opinar por no haberlo instalado aun :(.
Por lo pronto, pueden descargarlo de aquí:

http://python.org/download/releases/3.0/

A disfrutar se ha dicho!!!.

Trend Micro, en la mira...

Y no es para menos, ya que la conocida compañía, que se dedica a la producción de software orientado a incrementar la seguridad de equipos informáticos, ha recibido un duro golpe en lo que se refiere a la seguridad y limpieza de su código fuente. Y esto fue advertido como una vulnerabilidad 0-day, que al día de hoy aparece en la página del US-CERT(United States Computer Emergency Readiness Team -http://www.us-cert.gov/-), lo cual habla también de la gravedad de dichas vulnerabilidades. Es que no se trata de simples bugs, si no de varios buffer overflows (nueve en total!) y un integer overflow -si hasta ahora quedaba duda de si era grave o no, ya se extinguió-.
Y quizás lo peor, sea que se trata de "Trend Micro ServerProtect", precisamente un soft orientado a la protección de equipos servidores. La primera vez que los servidores web -para generalizar- no parecen ser el objetivo en la mira, viene a caer una lluvia de meteoritos sobre una aplicación de seguridad, lo cual no deja de ser irónico (ni alarmante).
En otras palabras y dejando sutilizas de lado:

Server + "Trend Micro ServerProtect" = shared folder + spammer

De todas maneras, para suerte de todos aquellos que tienen "protegido" su server con el producto antes mencionado, ya tienen la posibilidad de solucionar el problema instalando el parche correspondiente:

ServerProtect 5.58 for Windows NT/2000/2003 Security Patch 4 - Build 1185

Pasó, pasó...

Y si, como todo en la vida, la 7ma edición de la convención regional de software libre llegó a su fin, pero no sin antes dejar valiosas experiencias para los asistentes.
Si bien estuvieron marcadas por la gran presencia de charlas y talleres de Python (Zope y Plone principalmente), lo que para mi era similar a la suma del paraíso y un harén, había para todos los gustos, siempre dentro de lo que a software libre se refiere. Así, se disertaron charlas sobre diversos temas, tales como la virtualidad en Linux, diseño con Blender, vulnerabilidades en aplicaciones web, el voto virtual, etc. En otras palabras, había gran cantidad de charlas y todas muy pedagógicas, con muy buen nivel de parte de los disertantes.
Quizás el mayor error, y ojalá tomen nota los organizadores para la próxima, fue la brevedad de la convención, y lo acotado que fueron los tiempos para algunos disertantes. Con lo primero, apunto a que hubo demasiadas charlas interesantes en los mismos horarios que otras, y casi todas en horarios pocos prácticos para estudiantes y trabajadores. Y con lo segundo, a que determinados temas no pueden ser bien tratados (noten el "bien" previo a "tratados") en una hora de reloj.
Bueno, dejando de lado esos pequeños detalles, de muy fácil corrección, hay que destacar el excelente trabajo que llevaron a cabo todos los implicados. Felicitaciones!, aun cuando nunca lo vayan a leer. En fin, será hasta la próxima jornada regional del software libre...

Un fracaso con nombre y apellido: Windows Vista

Hace un tiempo, cuando recién comenzaba la labor con la apertura del blog, plantee el tema de la ficción generada en torno a las muy publicitadas ventas de Windows Vista, como así también hice mucho hincapié, en que a la larga se vería que tan exitosas fueron las medidas de Redmond a las horas de las ventas. Y auto citándome diré una vez mas, "la realidad golpeo duro", si no es que los dejó knock out. Windows Vista "efectivamente" vendió 60 millones de licencias, pero no se asombren. Es que para Microsoft vender licencias es vender maquinas con Vista pre instalado a empresas que lo desinstalan para poner XP. ¿Que nos dice esto?, nos dice que muchos de los compradores no lo utilizan, tal vez incluso valores que ronden la mitad o mas de los mismos. Sin embargo esto no es todo, si no que además se niegan a especificar que porcentaje de los usuarios que compraron el sistema operativo, realmente lo utilizan. Por otro lado, si hasta ahora aun le podíamos otorgar una cuota de duda, basta ver las declaraciones de Gianfranco Lanci, presidente de ACER (compañía dedicada a la producción de computadoras, que ofrece portátiles con Windows Vista preinstalado). que se reducen a algo como "Toda la industria está decepcionada con Windows Vista". Si, dirán, que par de p****** que tiene el sujeto... y no, no solo es eso, si no se trata de que Microsoft no esta en posición de salir a crearse enemigos.
Cerrando el asunto, podríamos resaltar que lo mas sorprendente no es el fracaso del sistema, algo que muchos ya auguraban antes de la salida del mismo, si no de por que se da. Mientras muchos de nosotros creíamos que se daría por sus fallos en cuanto a seguridad , el verdadero rechazo se dio por parte de los usuarios, quienes no encontraron un motivo realmente valedero para gastar dinero en algo que no les aporta nada que no tuvieran antes, o que les interesase. Y que mejor conclusión para esto que citar una frase que recogí hace un par de días en otro sitio:

Windows vista solo lo han sacado para abrillantar XP, para que veamos que XP no era tan malo como parecía, algo así como "podemos hacerlo peor, así que calladitos".

Consejo: AnalogX PacketMon

Allá por el 4 de junio, dedicaba un artículo a la apertura de un pequeño proyecto dedicado a investigar y recomendar software dedicado a incrementar la seguridad de los equipos informáticos. Bueno, llegó el momento de continuarla la iniciativa, y que mejor manera de volver que con otro trabajo de AnalogX (www.analogx.com). Esta vez, estamos hablando de AnalogX PacketMon, un sniffer sencillo y de grandes prestaciones. Está claro que nunca podremos comparar este trabajo individual con obras como Ethereal, o el posterior WiresShark, a mi parecer las mejores herramientas de sniffing y monitoreo existentes, pero si se trata de un excelente complemento para la seguridad de nuestro sistema, como así también de una herramienta de muchas prestaciones en comparación con el tamaño de la aplicación (185kb!!). Ideal para equipos que no son muy actuales y no tienen muchas capacidades, o para equipos portables.

Espero que les sea útil!!!.

NetCat, CryptCat y otras cuestiones...

Bueno aun en vacaciones, a pesar de lo que todo el mundo podría esperar (gracias por la confianza xD) sigo trabajando en crear artículos y material propio. Es cierto que el blog estaba un poco parado, pero eso se debió a una enfermedad. Ya recuperado, les traigo un pequeño tutorial sobre el uso y ventajas de NetCat.
A mi entender, NetCat es una de las mejores herramientas de seguridad que se han creado en los últimos tiempos. Si bien no hace nada que no pudiera hacer antes un programador, si facilita mucho el trabajo para los mismos, y se plantea como una poderosa herramienta para aquellos que no saben de programación de sockets.
Y de lo dicho, no me deja de surgir un interrogante: ¿por qué los administradores, o auditores de seguridad le dan tan poca importancia a semejante herramienta?. Es interesante ver la poca importancia que los administradores y auditores de sistema le dan al uso de NC, en comparación a la de los hackers y crackers. Aunque parezca mentira, el 90% de los sitios que se dedican el hacking ético, o no ético (en Internet hay de todo), recomiendan el aprendizaje de dicha herramienta, facilitando tutoriales y manuales. Sin embargo, los administradores y auditores no son instruidos en su uso. Si bien es cierto que lo mas probable es que un administrador pueda hacer sus propios sockets, se ahorraría mucho tiempo y trabajo usando NetCat.
Bueno, dejando de lado las subjetividades, les presento formalmente esta herramienta:

NetCat es una excelente herramienta para el manejo de sockets tanto de TCP, como así también de UDP, y que permite con sencillas sintaxis obtener grandes resultados. Por esto, ha recibido el nombre de navaja Suiza del protocolo TCP. Como seguramente adivinaron, CryptCat, no es mas que una modificación de NetCat. La misma, funciona al igual que NetCat, pero le agrega la capacidad de cifrar los datos, otorgándole un mayor grado de seguridad, y la posibilidad de hacer túneles cifrados.

Aquí les dejo el tutorial y los links para descargar NetCat y CryptCat para Windows NT/XP:

http://www.ale666.com/Foro/index.php?action=dlattach;topic=2332.0;attach=886

http://safariexamples.informit.com/0201719568/Misc/Netcat/NT/nc11nt.zip

http://sourceforge.net/project/showfiles.php?group_id=11983&package_id=11478&release_id=364388

Espero que les sea de utilidad!!!.

Del cartón a la máquina...

El gobierno argentino, ha decidido dejar atrás el viejo rito de colocar el voto en una urna de cartón, para pasar a implementar la novedosa (por lo menos en Argentina) tecnología de urnas electronicas, conocida en U.S.A, Canadá, España, entro otros.
Según el estado argentino, el voto electronico es una útil herrramienta a la hora de llever a cabo el sufragio, ya sea nacional, provincial, o municipal, aumentando la velocidad de obtención de los datos y pudiendo brindar datos oficiales a las pocas horas de cerrarse las urnas.
Así mismo, el gobierno justificó su proceso de modernizacion del sistema de votación, con un informe ofrecido por la página oficial del proyecto (www.votoelectronico.gba.gov.ar), en el que destacan la gran eficiencia de los sistemas votación, tanto en Latino América, como así también en el contexto internacional. Lo mas interesante del informe quizas, sea lo breve que tratan el tema desde la perspectiva de la seguridad, solo señalando que en Inglaterra no se aplicó del todo desde un principio por cuestiones de inseguridad en los sistemas:

"Este tipo de tecnología es muy debatida en cuanto a su confiabilidad en una elección democrática y, por tanto, es mayormente aplicada con fines no oficiales. Sin embargo, ya en las elecciones de 2001 se realizaron varias pruebas piloto en Londres y se estima que a partir del año 2006 se extenderá su aplicación."

Lo irónico, es que la empresa que gestionó este proyecto en Inglaterra, fue la misma de España, donde dichos medios de votación fueron "manipulados" de manera ilegitima. En Argentina, la compañía privada (con capitales accionistas de la provincia Rio Negro) que en principio se encargaría de este tema, es ALTEC (Alta Tecnologia Sociedad del Estado), cuyas referencias son escasas en el campo, por lo cual será cuestión de esperar a ver como evoluciona el tema...

Windows Vista

Estaba leyendo una página española sobre seguridad informática y como de costumbre, los artículos de Windows Vista de Microsoft estaban en la primera plana. Di una leída rápida a todos hasta llegar a uno interesante, titulado "Microsoft afirma que Vista está resultando más seguro que Linux y MacOS" (el resaltado es mio) . No hace falta pensar mucho para darse cuenta que fue lo primero que dije... "están de broma!!". Pero no, para sorpresa de todos, Windows Vista, solo ha tenido un numero muy reducido número de vulnerabilidades, con variantes niveles de peligrosidad, en los primeros 6 meses después de su lanzamiento, contándose en total unas doce vulnerabilidades, número que por cierto es muy alentador en comparación contra las 36 de Windows XP y las 60 de MacOs (su siguiente competidor en el top del sistema mas seguro). Toda esta información, llegó a los medios de parte del director de estrategias de seguridad de Microsoft, Jeff Jones, por medio de su blog y un documento PDF de 14 páginas, donde no paran de comparar las vulnerabilidades de su nuevo sistemas en contraposición de algunos de los ya nombrados mas otros como Ubuntu, Suse, etc.

Si bien es interesante el hecho de que Microsoft se halla tomado mas en serio el tema de la seguridad, aun incluso por una cuestión de marketing, me parece que es una burla la importancia que le están dando al bajo número de vulnerabilidades encontrados hasta el momento. Vamos, estamos hablando de un sistema operativo cuyo precio es de $199 (solo en su versión mas económica) , nos están brindando un producto deficiente y "fallado" por un precio exageradamente alto, y que encima nos exige un equipo nuevo y costoso. Si a esto le sumamos, que las tecnologías novedosas no son mas que una falacia, como el hecho de que Vista no soporte mas núcleos que los de un Quad, creo que da bastante que hablar sobre la forma de actuar de Microsoft. Creo que M$ ha tomado como política de comercialización el lanzar sistemas operativos testeados por poco tiempo, y luego esperar a que las vulnerabilidades vayan apareciendo para irlas parchando. Esto, como política de software libre es excelente, pero por un producto pago me parece un insulto a los clientes.
Por otro lado, siguiendo dos de las leyes de la seguridad informática, mencionadas en uno artículo anteriores, "Todo sistema contiene bugs de sistemas" y "Los huecos de seguridad aparecen con el uso", nos dan a pensar que Microsoft está llevando una campaña mediática, incluso al punto de mentir en sus ventas, solo para tratar de ganar clientes. Siguiendo el razonamiento, ¿como es posible que en un sistema tan usado existan tan pocas vulnerabilidades?, ¿o a caso las ventas no son tan numerosas como se mencionaba?. La campaña mediática, es un hecho, solo debemos esperar que el negocio empeore un poco para que se haga mas notoria...

Consejo: AnalogX PortBlocker

A partir de ahora iré dejando pequeños consejos sobre aplicaciones que son útiles para aumentar la seguridad de nuestro sistema y de esta manera mejorar nuestro desempeño a la hora de hacer uso de internet, o simplemente para mantener segura nuestra computadora mientras realizamos cualquie tarea que requiera de una conexión.. Algunas aplicaciones serán mas provechosas, o de mas importancias que otras, pero intentaré abarcar todo, sobre todo aquel material orientado a Windows (debido a una mayor inseguridad en dicho sistema que en otros, como la familia de los *nix cuyo desenpeñoo en cuanto a seguridad es mucho mas eficiente).
Asi para empezar con este nuevo "mini proyecto" hablaremos brevemente sobre, el ya mencionado en el artículo anterior, AnalogX PortBlocker. En una definición sintética y directa, podemos decir que se trata de un firewall portatil. Firewall ya que a pesar de que no puede gestionar politícas de acceso (por lo menos no de manera configurable) si funciona cortando el tráfico en casos de accesos no autorizados. y portatil por que su tamaño es muy reducido, y cuando digo muy reducido hablo de 229 kb de desarga, ocupando 718 kb en disco una vez instalado. Si bien no vamos a decir que es la mejor opción, como complemento de la seguridad (acompañando a un firewall de mayores prestaciones) , o simplemente como firewall principal en caso de que no tengamos un uso muy exigente en cuanto a seguridad, se trata de un exelente cortafuegos, con una perfecta relacion precio-calidad-espacio (no cuesta nada ya que es gratuito y funciona exelentemente teniento en cuenta el espacio que necesita). Por cierto el programa lo podemos descargar de www.analogx.com!. Espero les sea de utilidad!!.

Flooding y Auditoría

Hace un tiempo, cuando recién comenzaba con la programación de sockets en python, dejé en un foro un código que se suponía que saturaba una dirección IP y un puerto de dicha dirección. El mismo nunca funcionó, y al poco tiempo desistí de corregirlo por una cuestión de tiempo (por aquel entonces recién me se perfilaba la idea de lo que ahora es el proyecto Spartan CP666Scanner -http://spartan.ale666.com/Index.html-).
Esta mañana, vi el código fuente y pensé, ¿que utilidad puede tener?. Aca debemos hacer un parantesis sobre algo personal mio. He dedicado mucho tiempo escribiendo acerca de la ética del hacking, de si es ético o no hacer públicos códigos fuente de flooder´s y DoS program´s, y de pronto me di cuenta que yo mismo no cumplía con mi propia ética. Así, se dio una suerte de replanteamiento en cuanto a lo que considero ético o no, y en que momento un script de este tipo pasa de ser ético, a no serlo. Así, siguiendo la filosofía de Joanna Rutkowska (y muchos otros), hacer programas que desmuestren la vulnerabilidad de los sistemas, y las malas medidas de seguridad, es algo muy aceptable, es mas, entra en el caracter de servicio para el administrador de dicho sistema (¿Que es preferible, que los errores los encuentre un auditor de seguridad o un entusiasta de la seguridad informática?, ¿o que en su defecto lo haga un criminal hacker?). Así, me parece totalmen ético realizar acciones que pongan de manifiesto la inseguridad dentro de los sistemas informáticos, como así también la eficiencia de las compañías que diseñan el software a la hora de corregir dichos errores, o fallas de de seguridad.
Así, partiendo desde esta nueva mirada ideológica, re hice aquel código que había abandonado tiempo atrás, e hice mi primer auditoría de seguridad con el mismo, comprobando tres cosas. La primera, la version no profesional del Zone Alarm, no sirve de nada. Su filtrado de conexiones se limita solo a ver si autorizamos, o no un programa, dejando a los mismos al libre "albedrío". La segunda, los sockets creados a partir de NetCat tienen mejor filtrado de paquetes que ZoneAlarm, cerrando el socket bajo ataque flooding al recibir 1139886 bytes (a todo esto ZoneAlarm ni enterado de lo que acontecía). Y la tercera, hay soluciones mucho mas efectivas a la hora de elegir la seguridad, que aquellas que nos ofrecen las grandes compañias de software. Sin ir mas lejos, el sencillo bloqueador de puertos "AnalogX PortBlocker" de AnalogX (www.analogx.com), que cerró la conexión sin dar paso a que se iniciara el ataque flooding. ¿Conclusión?, actualmente se cuenta con mejores herramientas no pagas (no en todos los casos), que las que pueden ofrecernos grandes gigantes como Symantec, Panda Labs, KasperSky, McAfee, etc, y deja en clara evidencia que las medidas de las compañías no siempre apuntan a solucionar el problema, si no a perpetuar el mercado.

Flooder v 1.0
A continuacion esta el codigo del auditor de capacidad de respuesta de una aplicacion, firewall (ya sea por software o hardware), o cualquier sistema de filtrado de conexiones ante un ataque de saturacion por paquetes inutiles -flooding atack-.
El código esta en python (hecho con la version 2.5) y dicho programa es necesario, ya que los scripts de python se corren de manera interpretrada a tra vez de la consola interactiva de dicho programa.
Para usarlo, no se necesita conocimientos avanzados, ni nada por el estilo. Solo hay que una dirección IP y puerto objetivo.
La sintaxis es Flooder(IP, PORT, ATQNUM) debe ser respetada si no su funcionamient se verá alterado, con probables errores. Así, deberemos introducir tres datos:

IP = La dirección IP objetivo a auditar. Ej: 127.0.0.1.
PORT = El puerto de la aplicacion que se va a auditar. Ej: 80.
ATQNUM = El numero de veces que vamos a mandar el paquete "basura". Ej: 1.000.000.

Otras cuestiones a tener en cuenta, son que este programa solo funciona sobre aplicaciones que corren bajo el protocolo TCP. Además no soporta varias direcciones, ni varios puertos, es decir el input o valor de entrada de la sintaxis solo admite una direccion IP y un puerto.

import socket
import sys

def Flooder(IP, PORT, ATQNUM):
obj = ATAQUE(IP, PORT, ATQNUM)
obj.flood()

class ATAQUE:
def __init__(self, datIP, datPORT, datNUMATQ):
self.IP = datIP
self.PORT = datPORT
self.NUMATQ = datNUMATQ
def flood(self):
socket1 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
basura = ':@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@:@' * 9999
x = 1
IP = self.IP
try:
while x == 1:
for i in range(1, self.NUMATQ):
socket1.connect((IP, self.PORT))
socket1.send(basura)
if self.NUMATQ == i:
X+1
else:
pass
print "Ataque finalizado"
sys.exit()
except:
print "El puerto %i de la dirección IP:%s, ha sido floodeado" % (self.PORT, self.IP)
sys.exit

Nota: El código debe guardar en un archivo *.py abrilo en el IDLE (de ser posible), ejecutarlo y luego insertar en la consola interactiva la sintaxis. No se olviden de tabular correctamente el código. Si no, pueden descarse el archivo .py ya creado desde aca: http://www.ale666.com/Foro/index.php?action=dlattach;topic=1690.0;attach=598

Factor Humano: Ingeniería Social

Muchas veces comentado, analizado, etc, ¿pero realmente hay consciencia del riesgo que entraña desatender este aspecto dentro de la seguridad de un sistema?. Muchas compañías de seguridad desdeñan este importante factor a la hora de auditar la seguridad de un sistema, considerándolo fuera de lo estrictamente técnico, dejando un factor clave, y a mi entender el mas débil, dentro de la seguridad informática.

Hace años se le dio un nombre a la tarea de violar la seguridad por medio del factor humano, creando un campo de estudio y acción orientado a la explosión de la inexperiencia, falta de capacitación, sentido común, etc, de los empleados técnicos y no técnicos que trabajan con sistemas informáticos: “Ingeniería Social”.
A pesar de la demostrada existencia de esta técnica de "hacking", muchas empresas (tanto las dedicadas a la seguridad, como aquellas que no) siguen haciendo caso a omiso a este riesgo, sin darle mayor importancia. ¿A que se debe esto?. La respuesta es sencilla: es mas fácil y requiere menos tiempo, correr 100 exploit´s y/o realizar un “test de penetración” con “test de fugas” para corta fuegos, que capacitar a cientos de empleados, sobre como deben actuar ante ciertas situaciones, que puedan poner en peligro la integridad de la seguridad de un sistema.

Como mencioné en el artículo anterior, para hacer frente a la inseguridad, por lo menos de manera efectiva, es necesario hacer un enfoque holístico de los posibles riesgos que entrañan los sistemas, debido a errores en los programas, como así también el riesgo que representa un personal no capacitado al ejercer actividades potencialmente peligrosas, dentro de lo que a seguridad se refiere.
Debido a esto, y a falta de las inversiones necesarias (si!!!, las erogaciones que se realizan en capacitar al personal son inversiones), cualquier atacante con un poco de habilidad para tratar con las personas y un troyano (o sin el) puede obtener acceso total a un sistema informático, ya pertenezca a un banco, una empresa, el estado, etc.
No es por nada, que el “hacker” mas famoso del mundo, Kevin Mitnick, sea reconocido como un experto en el campo de la ingeniería social, sobre el cual escribió el famoso libro "The Art of Deception". Sin duda, además de ser quien seguramente llevo la ing. social a su mayor exponente, es quien logro demostrar de manera irrefutable que el factor humano es el eslabón mas débil, logrando tomar el control de un sistema con tan solo cinco llamadas telefónicas.
La seguridad informática, por el momento sigue siendo una quimera imposible de alcanzar, en tanto y en cuanto se sigan manejando los esquemas actuales sobre seguridad / inseguridad. Es preciso realizar un cambio en la manera de apreciar cada elemento que hace o no seguro a un sistema, teniendo un enfoque totalizante y previsor, sin desdeñar aspectos por pequeños e inofensivos que parezcan. Hasta entonces, seguiremos oyendo de casos escandalosos, donde por culpa de un empleado la seguridad del sistema en su conjunto fue violada.

Avances vs Inversión: Parte II "conclusión"

Retomando los planteos del artículo anterior, me parece oportuno destacar algunas de las tendencias de los gobiernos políticos de la actualidad. Entre las necesidades básicas de una sociedad (tomándola como un ente colectivo), se encuentran la seguridad, orden interno, y defensa exterior. Normalmente los estados cuentan con los mecanismos para hacer frente al delito, la inseguridad, etc, pero el problema surge cuando la criminalidad de una población supera las capacidad de respuesta de los organismos dedicados a mantener el orden. Así, los gobiernos hacen frente a ésta problemática incrementando los poderes y equipos de las fuerzas de seguridad, como así también el personal con que cuenta, sin embargo desdeñan un importante aspecto... el contexto “socio-económico”, es decir el por que del aumento de la criminalidad. En otras palabras, la soluciones en cuanto a seguridad suelen no ser factibles, o solo a muy corto plazo, ya que no atacan al verdadero problema.
Ahora, usted dirá, muy lindo análisis político, ¿pero que relación existe?. Pues mucha, y seguramente mas de lo que se imagina. Las compañías encargadas de crear sistemas mas seguros, nunca han hecho hincapié en los factores socio-económicos que conllevan en la creación del malware, restándole importancia y concentrándose en el ataque del problema, sin tener un verdadero enfoque holístico de la situación. Esto, lleva a que las soluciones no sean reales, si no una estrategia para retrasar la verdadera solución. Para atacar el problema de raíz, se deberían hacer estudios concretos y perfilar a los criminal hackers (conocidos como crackers). Muchos de estos, aunque no todos, son resultado de una mezcla entre injusticias en la posición que ocupan en el mercado informático, y una ideología en pro de superar dichas injusticias, llevando sus ideologías a cabo por medio de prácticas delictivas. Desatender esto, es desatender la realidad en la que vivimos.
Un ejemplo de estas injusticias, es la gran desventaja en cuanto a precios y velocidades de servicio de Internet, con la que cuentan varios países de América Latina, donde se ofrecen velocidades máximas de 128kbp, o 256kbp, por precios similares (dejando fuera el tipo y poder de las monedas de cada país) a los de países del “primer mundo”, donde cuentan con velocidades muy superiores.
Tampoco voy a desestimar totalmente las medidas llevadas a cabo por aquellas empresas dedicadas a la seguridad, ya que un código responsablemente programado y revisado, como un buen plan de seguridad siempre ayudan, si no remarcar que ninguna va a ser del todo efectiva por una simple razón: todos los programas, sistemas operativos y demás software, tiene vulnerabilidades, solo es cuestión de descubrirlas. Esto nos da pie a señalar las tres reglas básicas de la seguridad informática:

1) Todo software tiene huecos de seguridad y errores en su código.
2) Ningún hueco de seguridad es una falencia en la seguridad de un sistema, hasta que alguien la descubre.
3) Los errores se descubren con el uso del software.

Según lo expresado en esas tres reglas, ningún software, por seguro que parezca está exento de contener errores (“...hecha la ley, hecha la trampa...”) que permitan la explosión y posterior aprovechamiento de dicho ataque, por medio de los mismos.
Concluyendo, podríamos decir que no solo hay ausencia de inversiones, si no que aquellas que se realizan, se hacen de la manera incorrecta, dejando de lado factores que influyen de manera directa, ayudando a la inseguridad de todo sistema informático en general. Tiene que lograrse un equilibrio justo entre inversiones destinadas a realizar sistemas mas seguro y satisfacer de forma mas eficiente e igualitaria las necesidades tecnológicas de las personas, evitando la segregación social dentro de Internet.

Avances vs Inversión: Parte I

Hace mucho ha pasado ya el tiempo, en que hablar acerca de seguridad informática era un tema que solo se dejaba para casos realmente particulares, y solo para aquellos gurues versados en dichos temas. La actualidad, el progreso, en definitiva el avance de las diversas tecnologías, ha venido a pegarle duro a este concepto y dejarlo inadmisible, o admisible solo desde una mirada pueril. Hoy en día, la seguridad informática, es un tema que abarca muchos de los aspectos de nuestra vida, y esto se debe a un crecimiento extraordinario en cuanto a lo que tecnologías se refiere. Sin embargo, este crecimiento no vino aparejado de diversas inversiones, entre ellas la que considero mas importante(debido a los temas que aquí nos incumben)la que tiene como objetivo incrementar la seguridad de estas nuevas tecnologías.
Este proceso, mayor y mejores tecnologias en detrimento de la seguridad correspondiente, se ha ido acentuando mas y mas con el paso del tiempo, llegando a momentos críticos, como fue el caso del inconcluso Windows XP (lanzado cuando estaba a mitad hacer, con numerosos errores y huecos de seguridad), convirtiendose en uno de los motivos mas importantes del marketing actual.
Es bien sabido, que muchas compañías han emprendido una campaña de crear un soft novedoso y revestido con "exelentes" medidas de seguridad, de modo de brindar confianza al consumidor. Sin embargo, esto es sola una movida comercial que puede ser adivertida en empresas como Microsoft, que invirtió millones de dolares en realizar publicidad para su nuevo sistema operativo Windows Vista, que se suponía iba a ser seguro. Aunque, como dije anteriormente, la realidad golpeo duro(aunque esto no se reflejo en el mercado...aun), cuando Joanna Rutkowska demosotró diversas falencias de seguridad en una de las versiones del Windows Vista que corría con un kernel de 64b.
Si bien puede sonar alarmista, la batalla de la seguridad está perdida dentro de los esquemas que se manejan actualmente, y esto se debe a que muchos de los problemas escapan a lo puramente relacionado con la seguridad. Aun solo moviendonos dentro de dicho campo, las medidas siguen siendo ineficientes para el contexto actual...

Bienvenidos!!!

Bienvenidos a In the midle of Security Bridge. Luego de un tiempo considerable en el "rubro" de la seguridad, se me ocurrió que sería una buena idea abrir un espacio propio para detallar mis analisis y pensamientos en cuando a todo lo que se refiere a seguridad, dentro de lo que abarca el basto mundo de la informática. Si bien no soy el mejor, aunque tampoco el peor, procuraré actualizar seguido, como así tambien mantener toda la objetividad y seriedad a la hora de tratar cada tema. Si bien habrá muchas opiniones personales acerca de la seguridad al día de hoy, tambien trataré de exponer descubrimientos, reflexiones, noticias, y todo aquel material que considere oportuno, siempre respetando los derechos de autor y privacidad.

Saludos,
Joaquín Armesto.