Ataques al menéame
Hoy un graciosillo se dedicó a buscarle problemas de seguridad el menéame. Encontró al menos uso, en editlink.php. Los que estéis usando el código, urgente actualizad por le menos este fichero. Faltaba un control del argumento de la noticia y un control posterior de que el usuario pueda modificarla.
Es el mismo que envió esta noticia basura y que luego se dedicó a atacar modificando el texto de noticias. El ataque fue desde la dirección IP xxxxxx y dirección de correo xxxxx@gmail.com y atmin_sys@hotmail.com, también hubo ataques intentos desde la dirección x.x.x.x con la dirección de email xxx@xxxxx (xxxxxxxxxxxxxxxxxxxxxxxxxx).
NOTA: algunos datos personales han sido borrados del apunte y comentarios por común acuerdo con la persona afectada.
El texto que ponían:
PAGINA MODIFICADA POR UNIXCREW VULNERANDO LA SEGURIDAD DEL SISTEMA MENEALO:
vivimos en un mundo cada dia mas acelerado, cafes expres, comida rapida… todo lo que nos rodea, es expres, rapido…bueno en realidad usamos anglisismos para todo, asi que deberia decir que vivimos en un mundo fast & easy.
Esta situacion, si bien parece agradable, empieza a ser preocupante en el momento en que los medicos son fast…los funerales son fast…y la identidad personal se ve anulada.
Por si eso fuese poco, parece ser que los programadores tambien estan ahora ligados a la cultura del fast world, señor Gallir, con su forma de programar tan descuidada, sucia y poco legible, esta situandonos a los demas programadores a la altura del betun, cada dia se hackean miles de webs, sobretodo scripts dinamicos, y la gente empieza a no creer en nosotros, por que señor Gallir no ha dado un poco de importancia a la seguridad? es que acaso nos desprecia como programadores o como informaticos? o es que creia que esto era mas facil de hacer? por que no sale de su mundo del fast & easy y se da cuenta del merito que tiene la labor de programar bien?
Señor Gallir, no se como enseñara usted a sus alumnos, pero tiene en sus manos, las mismas manos que han tecleado este tal “meneame” lleno de bugs, agujeros y malas manias de programacion, en esas manos tiene usted al futuro de la informatica en nuestro pais.
Peligroso, diria yo.
Este texto solo es una muestra de que su pagina es vulnerable desde la primera hasta la ultima linea de texto, un saludo de dos admiradores de la informatica…
Para la próxima yo diría que dejen su rabia de lado, avisen de los bugs y gasten el tiempo en aprender a escribir correctamente. Y de paso, ya que quieren mantener anónima su rabia, que por lo menos aprendan a esconder su identidad como toca. O que den la cara desde el principio, si es que dejan más pistas que Hansel y Gretel.
Daumau, que gentuza. Encima pontifican y van de “expertos” (para que me dejen tranquilo bastaría con que no se dediquen a enseñar a escribir a nadie).
Triste caso. Hijos de puta hay de sobra. Lo malo es que nunca nada estará acabado, como para impedir cosas así. Tampoco meneame. Pero así les irá, cada uno tiene su vida, tu seguirás con la tuya Ricardo. Te agradezco tu trabajo y te deseo mucha suerte.
Comment by René Guerra — Friday 3/3/2006 @ 2:22
Ataques a menéame.
Hoy un graciosillo se dedicó a buscarle problemas de seguridad el menéame. Encontró al menos uno, en editlink.php. Los que estéis usando el código, urgente actualizad por lo menos este fichero. Faltaba un control del argumento de la noticia y un contro…
Trackback by meneame.net — Friday 3/3/2006 @ 2:40
senador gallir: las muelas de mis leones esperan la carroña de traidores STOP
Comment by neron — Friday 3/3/2006 @ 3:47
En la pag. de la reseña sobre el "Bug en Gmail" (7706) hay un alert("asdF") que salta cuando se carga o recarga la noticia. No creo que tenga que ver con los "ataques", sino más bien con uno de los comentarios que se hicieron en el tema que parece que insertó ese aviso molesto. Especulaciones de un lego en el tema, por supuesto.
Saludos
Comment by Carlos J. Tovar — Friday 3/3/2006 @ 5:08
Gracias Carlos, no tenia que ver con el ataque, pero está resuelto.
Comment by Benjamí — Friday 3/3/2006 @ 6:00
Mmm.. ¿Estaria mejor primero haber hablado con las VICTIMAS antes de publicar datos privados no crees?
Comment by xxxxxxxxx — Friday 3/3/2006 @ 9:12
¿Y tú ahora pides que se hable con las "víctimas"? ¿víctimas? Curiosa forma de verlo de invertir todo.
Comment by gallir — Friday 3/3/2006 @ 10:14
Mmm no sé, pienso que con un simple reporte hubiese bastado. Mal Sergio, mal…
Comment by Alfonso Jiménez — Friday 3/3/2006 @ 10:20
hello! io zoi la otra victimá, la k acusai de ecribi mal, k desiz k tengo fartaz de ortografia o com es ezo?
Ahora en serio señor gallir…aprenda usted a programar
quiere mas datos sobre mi señor gallir? mi ip es 127.0.0.1
Comment by JoCaNoR — Friday 3/3/2006 @ 10:49
Jocanor, tu IP actual no es esa, es 83.58.239.160. Y sepa usted hacer bien de script kiddie que los he pillado muy fácil.
Comment by gallir — Friday 3/3/2006 @ 11:02
¿Sabes que pasa?, que es más guay ir de lobo solitario, de hacker de película, que colaborar en un proyecto abierto. Así cualquiera. No tienen ni idea de lo que hacen. Creerse el redentor de la red porque sabes leer código y encontrarle errores no es nada de lo que te puedas vanagloriar. Construir algo de cero, bueno, eso es otra historia, que no cualquiera puede afrontar. Son la versión informática de los abueletes que solo saben quejarse de las cosas.
Niñatos…
Comment by Demian — Friday 3/3/2006 @ 11:08
Impresentables siempre lo han habido y los habrá, así como periodistas que les dan publicidad.
Siendo Menéame.net un espacio en internet que está prestando un servicio altruista (la publicidad es anecdótica, fácilmente filtrable y poco productiva -según comentarios de los interfectos- ), no hay lógica alguna en no haber avisado primero a los responsables, que seguro que habrían agradecido de buen grado el aviso, escribiendo públicamente al respecto, con lo que los descubridores de los fallos también habrían tenido su reconocimiento público.
Las formas importan y mucho. Lo escrito permanece en la red o en los HD, así que hay que pensar muy bien antes de escribir.
Por otro lado, la primera norma del hackeo es no dejar rastros, e investigar antes a los responsables del servicio. Cualquiera que conozca la trayectoria de Ricardo Galli se lo pensaría muy mucho antes de realizar un ataque a alguno de sus sitios, no sólo por su sapiencia en estos temas, sino también por su gran labor realizada estos años, que le otorga credibilidad, respeto y simpatía.
Lo dicho Ricardo, ya te avisé de lo que iba a suceder, no has sido el primero ni el último.
Tiempo atrás, varias webs ministeriales españolas y similares tuvieron unos fallos de seguridad impresionantes, que no se hicieron públicos. Se avisó a los administradores, la mayoría muy agradecidos por el aviso y la privacidad, máxime cuando algunas webs debían ser más escrupulosas en estos temas. No, no salió en los medios, pero sí sucedió.
Actuando responsablemente se consiguen amigos, contactos y respeto en la comunidad.
PD: los verdaderos hackers no van presumiendo de ello públicamente y siguen una ética escrupulosa. No van por ahí fastidiando a los demás, en todo caso prueban la seguridad y después avisan para que lo solucionen. Una vez resuelto, lo comentan o no, RESPONSABLEMENTE, procurando no dañar a terceros.
Comment by maty — Friday 3/3/2006 @ 11:53
estos personajes querian publicidad y tu se la has dado, enhorabuena!!
Comment by Dokan — Friday 3/3/2006 @ 12:19
Vaya por delante que me parece realmente patético este tipo de actitudes. Esta gente (los "defacers") son simplemente tipos acomplejados. Este tío probablemente tiene algún problema de autoestima y necesita hacer este tipo de cosas para subirla (aunque también hay que decir que por lo que veo desde que leo tu blog, tienes muchos enemigos a los que seguramente les encantaría poder hacerlo…).
Pero creo que con lo de víctimas, #6 se refiere a que muy probablemente las IPs que publicas no sean ni de coña las del intruso, sino las de las máquinas que ha usado para el ataque (la red wifi de un vecino confiado o poco previsor, un ordenador de una facultad, etc). I claro, el pobre tío, además de que le secuestran la conexión ve su IP publicada en Internet, con lo cual seguro que va a empezar a recibir escaneos que van a afectar a su actividad normal en la red (ancho de banda, posibles intrusiones, etc).
Comment by phal — Friday 3/3/2006 @ 12:20
Esta gente son el exponente informático de los viejos que miran las obras desde detrás de la reja y no hacen más que criticar a los que están trabajando pero no solucionan ningún problema.
No dudo que sean buenos programadores y que tengan idea de lo que hablan pero un aviso de bug, o mejor, un parchecito hubiera hecho mucho mejor trabajo que un ataque y una crítica absurda.
Seguramente meneame tendrá muchos fallos aún por descubrir, y posiblemente, muchos puedan ser debidos a las prisas para su publicación, pero esas prisas responden a unas ganas de hacer algo útil para la comunidad, y en parte, es responsabilidad de la propia comunidad que funcione bien y cada día mejore un poco.
En resumen que estos chavales han perdido una buena oportunidad para hacer una buena labor y ayudar a la gente y lo han convertido en una chapuza de autobombo, hay que ver menos películas de jaquers y zerocules y tener los pies un poco más en la tierra.
Y, por último, si lo que querían era darse autopromoción descubriendo fallos en el meneame pues que hubieran hecho las cosas bien, reportando el bug, y luego, si les apetecía publicarlo en su blog o donde les diese la gana y mandarlo a meneame, yo por lo menos, les hubiera meneado.
Salud y suerte.
Comment by fraguel — Friday 3/3/2006 @ 12:31
Vaya desde aquí mi apoyo a Gallir por la labor que hace para con la comunidad. El ataque no ha sido ético se mire por donde se mire pero siguiendo el hilo de fraguel, estoy con el en que la IP no debías haberla publicado. El "defacer" ha utilizado la ingeniería social para despistar (se hace pasar por Hispano americano), además en su comentario en menéame linka a una web que no tiene que ser suya necesariamente y hacía eso, despistar.
La legislación Española es muy clara sobre el tratamiento de los datos personales y las IPs. Posiblemente, van a hackear ahora a la persona equivocada, Ricardo comenta
#que por lo menos aprendan a esconder su identidad como toca. O que den la cara desde el principio, si es que dejan más pistas que Hansel y Gretel#
Entiendo el cabreo pero Ricardo, no te fíes, lo han hecho muy bien. Les ha faltado estilo por todos los lados y esto es lo que debería confundirse con un hacker.
No vayas a causar tu sin quererlo más daño que el que te han hecho a ti, un abrazo y ánimo, eres la referencia para muchos.
Comment by Net_filter — Friday 3/3/2006 @ 12:44
Ricardo, hombre, con todo el tiempo que llevas en el mundillo y todavía entras al trapo!
Un abrazo, y duerme un poco más que dormir no mata a nadie
-mira que hacer posts a las tantas de la mañana!-
–danirc.
Comment by DaniRC — Friday 3/3/2006 @ 13:22
Por una parte te han arreglado un fallo, eso nunca es malo ;P
La cultura "hacker" tal como la entienden ellos o como les han llamado por ahí arriba no tiene ni pies ni cabeza ni se corresponde en nada con el espíritu hacker. Uno puede ser aficionado al kernel y por tanto ser un "kernel hacker", un "gnome hacker", un "algo hacker" en tal campo, en tal proyecto: Un programador experto en un tema. Pero eso de ir de "hacker" como "persona que revienta cosas" a secas tiene menos fundamentos morales que sus conocimientos de gramática.
Lo único que se merecen es ser tratados como vulgares, sucios y asquerosos crackers puesto es como uno de ellos como lo que se han comportado de esa manera: un verdadero hacker jamás se hubiera puesto a modificar páginas y hubiera avisado e incluso mandado un parche, actuando como un verdadero hacker no como un individuo amargado que como único objetivo tiene joder meneame. Qué triste debe ser tener una mente que solo se sacia cuando jode algo de los demás.
Comment by Diego Calleja — Friday 3/3/2006 @ 13:29
Bueno, el que hizo el ataque, no tiene merito absoluto, al fin y al cabo tiene el codigo a disposición, lo cual hace más deprochable su acto. Gente que no sabe cual es el trasfondo en la informatica.
Ricardo animo
Comment by jdeveloper — Friday 3/3/2006 @ 13:38
Al #16, las direcciones IP no son "datos personales", mucho menos "secreto". Es pública y ninguna ley obliga a mantener en secreto una dirección IP, mucho menos sin ha sido usadas para atacar a un servidor.
Si tienen dudas basta que pongan una denuncia (de hecho podría haberla puesto yo, y no me apetece, son chavalines), en el menéame figuran los datos legales y personales de sus responsables. Nos podemos ver con un juez, me reiré mucho en este caso.
Comment by gallir — Friday 3/3/2006 @ 13:45
Ricardo, ¿te has planteado que las ip puedan ser de algún incauto al que han secuestrado la Wifi? ¿O aparecen también en los logs del menéame para algún otro usuario?
En fin, ánimo y buen trabajo con el menéame, que no decaiga.
Comment by CarlosGarcia — Friday 3/3/2006 @ 13:50
Sí, me la he planteado. Pero una de las IP seguro, segurísimo, que es usada habitualmente por xxxxxxxxxxxxxx, la otra no lo sé. Pero en este caso es responsabilidad del propietario de esa red: su red ha sido usada para un ataque no sólo "no ético" y sin justificación –tenían el código, podían haberlo probado en sus propios ordenadores para "aprender", no hacía falta atacar al menéame–, también ilegal.
En este caso no puedo hacer nada, ni es mi problema y sólo cabe defenderme. Parece ahora que los atacantes son las "víctimas". Pues, va a ser que no.
Comment by gallir — Friday 3/3/2006 @ 13:59
Buenas Gallir.
Contestare aqui un poco a lo que se ha ido planteando.
Primero, debo aclarar que ESE BUG YA FUE REPORTADO con anterioridad. ¿quien fue? No, no fui yo, fue MI HERMANO.
Sobre legalidad, bien, yo tambien prefiero dejar el tema como decide hacer Gallir, pero …mm.. no tengo bien claro quien acabaria perdiendo eh…
1) Dejaste algo abierto. Es tu deber protegerlo.
2) Dejaste las contraseñas de todos los usuarios sin cifrado. ¿Aposta?
NOTA MUY IMPORTANTE DEL PUNTO 2:
NO HACE FALTA QUE OS CAMBIES LAS PASSWORDS. Almenos YO no obtube ninguna mas a excepcion de la de Gallir. Pondria la mano en el fuego que Jocanor tampoco. Aun asi, ya sabeis vosotros mismos muy bien lo que implica no utilizar encriptacion…
3) No hemos dado datos privados ni tuyos ni del servidor.
4) No aprobechamos para darnos fama, cosa que has hecho TU POR NOSOTROS! Luego quejate…
5) El bug ya habia sido reportado.
6) ¿Seguro que esa son nuestras ips reales? ¿Has comprobado bien las demas cabeceras? ¿que concuerden los Agents? … me da que todos los datos que dispones, no son fiables :).
7) No hay mala leche por ninguna parte. Ha sido el escarmiento (leve) a tu mala conducta (digas que si o digas que no). Tampoco afectamos la funcionalidad del site (DoS, etc). El deface tal y cual es legal (no etico, estoy de acuerdo, pero hay casos donde… no hay mas solucion).
Bueno, el otro tema que queria comentar:
La gente por aqui dice facilmente "si, son lamers, son script kiddies, no saben escribir, etc". Yo responde: "Tio… ¿¡¡haces errores de script kiddies!!? pensaba que habia mas nivelin eh!".
Hay que saber apreciar lo que es un deface al estilo LAMER a lo que es analizar todo el codigo fuente de una web por tal de encontrarle bugs y acabar consiguiendolo. Es muyyy hipocrita que como experto en seguridad que dicen que eres, me digas que tu web fue afecta por "simples novatos". Yo no tengo la titulacion de profesor, pero parece que le saco errores criticos a este, y eso no dice que YO MEREZCA SER PROFESOR, eso significa que USTED NO LO MERECE TAMPOCO.
Dejate de dirigirte a nosotros como ciber-terroristas, que no lo somos. Si realmente tienes agallas de luchar verbalmente, aqui te espero. ¿Supongo que no tendras ningun problema no?
Y ya para acabar, decir mi opinion respecto a meneame:
Meneame, es una buena idea, pero quien lo administra no tiene respecto alguno por nadie.
Yo tambien grito VIVA EL SOFTWARE LIBRE!, como habras visto mi web es GPL, pero no por ello pierdo el respeto a la gente que pasa por ella, publicando sus datos como si de animales se tratara.
Asi, y como dice el amigo Jocanor: Aprende a programar… Sr. Profesor.
PD: Muchas gracias a aquellos que habeis enviado privados a mi cuenta pidiendome consejos de seguridad o unicamente felicitaciones. No me considero un doctor de la materia, pero me gusta mucho el tema y doy lo mejor de mi. Si puedo ayudar, os ayudare. Gracias.
Comment by xxxxxxxxxx — Friday 3/3/2006 @ 15:39
> Primero, debo aclarar que ESE BUG YA FUE REPORTADO con anterioridad. ¿quien fue? No, no fui yo, fue MI HERMANO.
A mí no me ha llegado absolutamente nada. O lo malentendí, porque si hubiese sabido lo hubiese corregido, era muy rápido para hacerlo.
> Almenos YO no obtube ninguna mas a excepcion de la de Gallir.
Gracias por la aclaración.
> Aun asi, ya sabeis vosotros mismos muy bien lo que implica no utilizar encriptacion…
Son cosas distintas, y ya está migrado.
Por otro lado, no justifica lo que habéis hecho, porque habéis intentado hacer mucho más daño y os paré.
Si piensas que un bug es "no saber programar" y te da derecho a atacar e insultar a una persona o sus capacidades aunque no sabes ni escribir correctamente ni esconder tus pistas, pues vale.
Intentar hacer lo que has hecho y dejar tantas pistas para que te cojan, con nombre, apellido, dirección y hasta estudios es de muy novato. Demasiado. No creo que te acepten como scrip kiddie de renombre.
> …YO MEREZCA SER PROFESOR, eso significa que USTED NO LO MERECE TAMPOCO.
Ergo, no sólo eres un script kiddie, eres también un niñato capullo presuntuoso y que comete una _ilegalidad_ estúpida, lo han pillado más rápido de lo que se pensaba –como el ladrón que se deja el DNI–, y no sólo busca justificaciones tontas, sigue tratando de imbéciles a los demás.
> Yo tambien grito VIVA EL SOFTWARE LIBRE
El menéame es software libre, existen una herramientas que se llaman diff y patch para solucionar estos casos y es lo más habitual.
> Si puedo ayudar, os ayudare. Gracias.
¿Atacando sus servidores? ¿insultando y tratando de imbéciles a los que lo han programado?
Comment by gallir — Friday 3/3/2006 @ 15:55
POSTDATA:
Hago lo que tengo que hacer, corregir los bugs y asegurarme que el menéame funciona y haciendo pública la información de gamberros de la red. Podéis hacer dos cosas: seguir en el mismo camino e intentando más ataques –adelante, aguantaré las consecuencias–.
O eliminar todos estos hilos y la información que aparece sencillamente haciendo lo mismo vosotros y enviando un mensaje personal con las disculpas y explicaciones que consideréis oportunas.
Si las explicaciones me convencen, el tema quedará olvidado y se borraré toda información "personal" de este post.
Caso contrario, pues no sé… ¿seguiremos con vuestra competencia de quién es más listo?.
Comment by gallir — Friday 3/3/2006 @ 16:07
Gallir, empiezas bien pero acabas no tanto.
La rabia que puedas encontrar en el post de arriba principalmente se debe a dejarme mi cuenta de correo en texto plano, la cual cosa me esta llenando el correo de basura. ¿Hago lo mismo con el tuyo de gmail? Seguramente no te haga gracia. A mi tampoco.
> Por otro lado, no justifica lo que habéis hecho, porque habéis intentado hacer mucho más daño y os paré.
No te precipites en conclusiones. No se hubiera hecho nada mas.
Estoy de acuerdo que no se deberia haber hecho. Lo siento.
> Si piensas que un bug es "no saber programar" y te da derecho a atacar e insultar a una persona o sus capacidades aunque no sabes ni escribir correctamente ni esconder tus pistas, pues vale.
No he insultado. Dame alguna cita.
Tu en cambio, 2 linias mas abajo si que lo has hecho: "eres también un niñato capullo presuntuoso"
"no saber programar" se viene a referir a que tu codigo es ilegible. No soy el primero que te lo dice o lo piensa.
Sobre mis datos, no tengo nada que esconder. Soy fan de la seguridad informatica, no script kiddie. Yo no fui el responsable directo del texto, unicamente quien encontro el bug y logro explotarlo correctamente. Punto.
> ¿Atacando sus servidores? ¿insultando y tratando de imbéciles a los que lo han programado?
-.-
Friamente, Lo siento el deface, <strong>me disculpo</strong> por haber permitido que llegaramos a tal punto.
No tengo nada mas que añadir.
Comment by xxxxxxxxxxx — Friday 3/3/2006 @ 16:11
> La rabia que puedas encontrar en el post de arriba principalmente se debe a dejarme mi cuenta de correo en texto plano, la cual cosa me esta llenando el correo de basura.
En tu página estaba igual de accesible. Pero es curioso como te molesta este "detalle" y yo no debería hacerlo…
> No he insultado. Dame alguna cita.
Mira el texto de comentarios anteriores y del mismo texto que habéis insertado en dos noticias y que muestro en el apunte.
> "no saber programar" se viene a referir a que tu codigo es ilegible.
¿Ilegible? Puede ser… también el del Linux es "ilegible" para los que no lo conocen. Cuando hagas programas PHP que tengan que aguantar 42.000 visitas y 280.000 ejecuciones de scripts diarios, con 300 consultas SQL por segundo, sobre un servidor virtualizado de 30 dólares mensuales quizás empieces a apreciar ese "código ilegible". Cuestión de gustos, de edad y experiencia…
> Soy fan de la seguridad informatica, no script kiddie
Pues no veo a muchos de "seguridad informática" que pierdan tantas horas intentando hacer un deface de un servidor para demostrar que han encontrado un bug en un programa libre. Cada día se aprende algo nuevo.
> Lo siento el deface, me disculpo por haber permitido que llegaramos a tal punto.
Yo también. Tú dirás….
Comment by gallir — Friday 3/3/2006 @ 16:25
Gracioso, creo que pierdes la cabeza Galli por algunos que, al fin al cabo, te han hecho un favor al reportarte un fallo en el menéame. En definitiva, tu has hecho lo mismo y reportaste hace unos meses los fallos que tenía FON y demás. Aunque está claro que lo hiciste con mejores modales.
No me va eso de andar publicando datos personales de la gente. Veo que no haces un correcto uso de los mismos. Y pelearte con gente a los que llamas niñatos e insultas, por más que ellos lo hayan hecho antes… (un consejo: no les recimines que no saben escribir, porque tu también lo haces con faltas de ortografía) Pensé que estabas por encima de eso. Tu eres el profesor, no ellos, y debes actuar como tal. Simplemente estuvo mal la forma en que lo hicieron… bastante mal, diría yo… en eso concordamos.
Al fin y al cabo, siempre parece que tienes algún resentimiento con el mundo. Pareciera como que te crees un dios de algo, y buscas un reconocimiento que no te llega.
Lo digo con todo el respeto del mundo.
Comment by Matthaus — Friday 3/3/2006 @ 16:28
> En tu página estaba igual de accesible. Pero es curioso como te molesta este "detalle" y yo no debería hacerlo…
El correo es mio y yo soy quien decide donde se pone y donde no, ¿no?
> Mira el texto de comentarios anteriores y del mismo texto que habéis insertado en dos noticias y que muestro en el apunte.
Te repito que ese texto no lo escribi yo. Apoyo lo que dice. (la idea)
> ¿Ilegible? Puede ser… también el del Linux es "ilegible" para los que no lo conocen. Cuando hagas programas PHP que tengan que aguantar […]
… Soy un fanatico de la optimizacion, creeme. Mis programas son inclusive mas optimizados que los tuyos. Sueles sanear parametros que no hace falta sanearloss o comprobarlos cuando perfectamente puedes forzar a que sean de cierto tipo (vease el parche). Te recomiendo que mires mi v4 de mi web en … 2 semanas que saldra ;).
> Pues no veo a muchos de "seguridad informática" que pierdan tantas horas intentando hacer un deface de un servidor para demostrar que han encontrado un bug en un programa libre. Cada día se aprende algo nuevo.
Ya te dije que fue hecho en equipo. Si me hubiera puesto solo… no hubiera habido deface… Olvida el tema del deface ya… fue decision precipitada de ultima hora.
> Yo también. Tú dirás….
Ya te envie un mensaje a gallir_uib_es …¿no te llego?
Buen comentario, Matthaus.
Comment by xxxxxxxx — Friday 3/3/2006 @ 16:40
> … Soy un fanatico de la optimizacion, creeme. Mis programas son inclusive mas optimizados que los tuyos.
Show the code…
> Sueles sanear parametros que no hace falta sanearloss o comprobarlos cuando perfectamente puedes forzar a que sean de cierto tipo (vease el parche).
¿Qué parche? (si vas a mandar alguno que sea de la última versión por favor).
> Te recomiendo que mires mi v4 de mi web en … 2 semanas que saldra
Pues cuando salga…
Comment by gallir — Friday 3/3/2006 @ 16:52
mucha paciencia tienes, gallir
tu sabes bien lo que hace falta para enviar un motorista a casa de esos capullos, ¿o los dr en informática no haceis informes forenses de ataques?
no se porque no lo has denunciado en lugar de discutir con toda esa caspa ¿crees que van a reconocer el favor que les has hecho de no denunciarles en el juzgado de guardia? que va, es gentuza. se quejarán de que los denuncias en tu bitacora y es lo que están haciendo.
tu denuncia ha sido magistral, imaginate como podría ser en el juzgado.
tan maestra que han tenido que reconocer la culpa en publico, no he visto muchos polis resolver un ataque con tanta velocidad.
una obra de arte que las cuatro hienas babosas no querran ni sabran reconocer, claro, lo suyo es carroña que no quieren ni mis leones. dice "con todo el respeto del mundo" como si la frasecilla pringosa fuese una bula y una tapadera para que no se viese el vomito que tiene por cerebro. para redondearlo las apoya un delincuente confeso: "buen comentario matthaus". piltrafillas, cupáoslas en privado, que estas no son horas, puede haber niños mirando. si quereis mis leones y yo podemos conseguiros una condena en un lugar donde chupareis bastantes más, a destajo y en privado. va, que se que os gustará, tontos.
si tocan mas los cojones, ya sabes donde está el juzgado de guardia. avísame que tengo que sacar a pasear los leones y de paso te acompaño.
Comment by neron — Friday 3/3/2006 @ 17:20
Realmente gallir insinúas que tu código está optimizado?
yo creo que no…
además el estilo de programación es muy muy poco profesional.
No separas presentacion de preparacion de datos. No te abstraes de obtencion de variables ni datos. Mezclas churras con medinas en el codigo. No agrupas las consultas MySQL en ficheros únicos para correcciones rápidas. no creas ficheros independientes con funciones… infinidad de "detalles" que hacen un código muy poco optimizado y profesional.
Te aseguro que no digo que la funcionalidad y lo que se ve desde fuera no sea bonito y tal, pero el código es bastante chapucero.
No te lo digo con ánimo de ofender para nada, lo que pasa es que me fastidia ver este tipo de código en gente que presume de muchas cosas que despues no demuestra sobre "el papel".
Funcionaría tu codigo en las distintas versiones de PHP, por ejemplo desde la 4.0.6 hasta la 5.1.2? o en disitintos sistemas operativos? o bajo distintos servidores web?
Me gustaría que hicieras algo de caso a las críticas que recibes y la próxima versión sí sea realmente una versión basada en un buen código. Ganaría el "buen código libre" y perderían los farsantes.
Un saludo.
Lito.
Comment by Lito — Friday 3/3/2006 @ 17:22
lito, el carroñero que faltaba
Comment by neron — Friday 3/3/2006 @ 17:24
Ricardo, las direcciones IP se consideran (a nivel de legislación española) como datos de caracter personal. Así lo indica el informe 327/03 de la Agencia Española de Protección de Datos, en que se informa que las direcciones IP, tanto fijas como dinámicas, deben ser considerados como datos de caracter personal y deben aplicarse las medidas de seguridad básica.
Comment by xavier caballe — Friday 3/3/2006 @ 17:27
todos los servidores del mundo guardan direcciones ip, ¿ya has declarado tus logs en la agencia de proteccion de datos, xavier?
Comment by neron — Friday 3/3/2006 @ 17:29
Lito no es ningún carroñero, lleva mucha razón en lo que dice.
De todas formas a mi lo que me parece más grave de todo esto es que Ricardo no estaba encriptando las contraseñas que guardaba en su base de datos, lo que si constituye realmente un delito, al menos, en España y no las pijadas de denuncias que comentan, esto se denuncia en un juzgado… y se rien de tí, asi de claro.
Saludos,
David.
Comment by Spacebom — Friday 3/3/2006 @ 17:29
Ampliando el comentario anteiror, el Informe de la Agencia Española de protección de Datos sobre el carácter de dato personal de la dirección IP: https://www.agpd.es/index.php?idSeccion=390
Comment by xavier caballe — Friday 3/3/2006 @ 17:31
es curioso ver cuantos se revuelcan en la historia de la encriptación de las contraseñas mientras usan un puto wordpress que las guarda en plano para su triste bitacora, ese wc donde vomitan sus complejos
Comment by neron — Friday 3/3/2006 @ 17:32
lito es un chupaberberechos
Comment by neron — Friday 3/3/2006 @ 17:33
#35, los archivos de registro de actividad de los servidores web no es necesario que sean declarados. Eso no impide que contengan datos que son considerados de caracter personal.
Comment by xavier caballe — Friday 3/3/2006 @ 17:33
coño, xavier, "eso no vale porque de eso sí tengo"
Comment by neron — Friday 3/3/2006 @ 17:35
Al #36: Deja de hablar tonterías, que no es "delito" lo que dices. Además las contraseñas viajan por la red sin encriptar cuando haces el login, como es bastante habitual cuando no se gestionan datos personales.
A Xavier: en el menéame no se guardan datos considerados personales. Una dirección IP sola es un dato "público". Consultado con especialistas.
Comment by gallir — Friday 3/3/2006 @ 17:38
Cienes de foros de Melodysoft muestran direcciones IP sistemáticamente. Supongo que todos esos amantes de la ley ya hace mucho que les avisaron.
Comment by Melody — Friday 3/3/2006 @ 17:38
#42, mi comentario viene a ser una respuesta a lo que dices en el #20… a pesar que yo estoy contigo en que las direcciones IP no deberían calificarse como dato personal, el organismo regulador (la AEPD en este caso) piensa lo contrario.
Comment by xavier caballe — Friday 3/3/2006 @ 17:49
Podría pensar lo que quieran, pero está lleno de antecedentes de publicar las direcciones desde donde han provenido ataques ilegales. No es de recibo atacar un servidor y quejarte porque luego publican la IP desde donde lo has hecho.
Comment by gallir — Friday 3/3/2006 @ 17:58
#45, en eso totalmente de acuerdo
Comment by xavier caballe — Friday 3/3/2006 @ 18:02
Un apunte Galli…
Principalmente nos quejamos de "la primera vez", donde se posteo la ip de jocanor, sin haberse realizado ningun tipo de ataque, unicamente haber colgado un post "fastidioso".
Bueno, una vez que hemos ‘atacado’, creo que con banear la ip es suficiente.
Y publicar quien ha sido… ¿podrias haber contactado con nosotros primero antes de haber posteado los datos reales si sabias quienes eramos no?
Yo pienso, que legalmente, una ip no se puede revelar. Una ip es como el numero de telefono. ¿Acaso es legal poner el numero de telefono de otra persona en un cartel por la calle y poner "LLAMA!"?
No es una buena metodologia para actuar…
Comment by Martes13 — Friday 3/3/2006 @ 18:04
@ xxxxxxxx
¿Cómo es que no has ocultado los datos del registro de tu web? Te recuerdo que se puede pedir que no sean públicos, la mayor parte de las veces sin coste adicional (al menos en los buenos alojamientos).
Por cierto, tu alojamiento debería actualizar a PHP 4.4.2 http://www.php.net/release_4_4_2.php
@ Ricardo
Aunque has editado el post, los datos siguen apareciendo en el rss de la bitácora -noticia guardada en mi HD-
Comment by maty — Friday 3/3/2006 @ 18:16
maty, principalmente porque no tengo nada que esconder… y porque me pedian 24$ mas ;).
Ya dije que el objetivo no era ese… use desde el principio mi user. Si hubiera querido que no hubiera sacado nada, no lo hubiera hecho tan chapuzero, jeje.
Mi alojamiento… una patada le daria :). Si miras mas al fondo… te daras cuenta que tengo un nuevo hosting, mas potente y mas seguro, pero solo lo utilizo para temas "privis", hasta que cambie de version de web.
Comment by Martes13 — Friday 3/3/2006 @ 18:34
No estaría de más que pasaras el documento sobre SQL injection y … que impartiste en el Curso de Seguridad…
Comment by maty — Friday 3/3/2006 @ 18:43
al #47:
[Martes13] Y publicar quien ha sido… ¿podrias haber contactado con nosotros primero antes de haber posteado los datos reales si sabias quienes eramos no?
[Jezabel] ¡manda huevos! ¿y vosotros no podiaís haber contactado con la gente de meneame primero antes de hacer un ataque?
Comment by Jezabel — Friday 3/3/2006 @ 18:46
Jezabel, lee todo antes de volverme a hacer repetir lo dicho…
El bug ya estaba reportado. Yo no fui el defacer. ¿otra vez?
Comment by Martes13 — Friday 3/3/2006 @ 18:59
Bueno, Martes13, leérmelo me lo he leido. Cuando escribiste "nosotros" en #47, entendí que te referías a tí y a los otros, que si fueron responsables, de ahí el comentario. De hecho en #47 escribes "Bueno, una vez que _hemos_ ‘atacado’…" Y ahí también aprece que te incluías en el ataque.
Si entendí mal, lo siento, pero lo escribiste tú mismo.
Comment by Jezabel — Friday 3/3/2006 @ 19:10
Yo como webmaster en un caso asi optaria por bannear tanto a quien ha puesto la noticia en portada como quien ha estado en su lado ayudando, mas que nada por prevenir mas ataques. Es normal… por eso dije de "atacamos". Lo que no es normal es el publicar datos a saco de todos los que estubieron por alli ese momento sin ni siquiera tener un contacto con ellos. ¿no?
Bueno, intentad dejar el tema ya…
utilizemos mejor el tiempo en software libre buscando mas bugs o malas funcionalidades y reportandolas que no estar removiendo mas esto 
Comment by Martes13 — Friday 3/3/2006 @ 19:30
@ Lito, a ver cuándo programas tú lo mismo en _una_ semana.
Comment by Tribe — Friday 3/3/2006 @ 20:05
No es mejor hacerlo en un mes bien que en una semana mal?
Dudo que todo memeame llevara solo una semana… por lo menos lo que hay ahora, que no se hasta que punto es lo mismo que la versión inicial.
Bueno por mi parte queda zanjado este asunto. Lo que está bien está bien y el resto queda por revisar.
Comment by Lito — Friday 3/3/2006 @ 20:11
Lito, quizá la alternativa es hacerlo en una semana o no hacerlo porque no se dispone de más tiempo.
Personalmente agradezco que se hiciera, con todo el esfuerzo que conlleva, porque me divierte y encuentro noticias interesantes. No me importa mucho si se va mejorando sobre la marcha, pero con otros modos, que esto me ha indignado un poco.
Pero bueno, pongamos que me vuelvo a divertir que siempre es mejor que indignarse
¡saludos!
Comment by Jezabel — Friday 3/3/2006 @ 20:30
Solo una pregunta:
Imaginaros que tuvieraís los conocimientos y la posibilidad de programar algo interesante y de ponerlo a disposición de la gente para que lo usara. Después de haber seguido esta historia ¿os quedarían ganas o preferirías iros al cine?
Yo me voy al cine pero que ya, que no sé programar y no me quedan dudas
Comment by Jezabel — Friday 3/3/2006 @ 21:06
Bueno, es más fácil destruir que crear. Y encima con el código fuente… Que sí, que hay que encontrarlo, pero en fin… Ahora, gravisísimo fallo de seguridad el no encriptar las contraseñas. A saber qué se podría hacer con ellas si cayesen en malas manos… Ah, no! que no es la web de un banco y tampoco hay datos críticos. Bueno, pero es igual. Propongo que lo echen de la universidad!
Comment by Ramón — Friday 3/3/2006 @ 21:54
jezabel #51
eso de avisar lo hacen los hackers de verdad pero no es el caso por mucho que lo repitan, yo me creo a gallir y no a delincuentes confesos
estos te atacan, lo reconocen (son delincuentes confesos) y si lo denuncias te llenan la bitácora de mierda. por mierda léase:
a. informáticos que les apoyan
b. informaticos que aprovechan para explicar lo bien que lo hacen ellos (eso es mierda apestosa consecuencia de digerir carroña)
c. sus propias explicaciones y chulerias en lugar del tierra tragame del delincuente confeso que se da cuenta de su error y se arrepiente de verdad
d. ignorantes que no saben de lo que hablan pero se mueren por soltar algo que les haga parecer entendidos y lo consiguen solo porque tienen boca "las claves no encriptadas bla bla bla bla" miles de programas respetados no las encriptan. todos los que las envian por correo empezando por el mailman el gestor de listas que usan la mayoria de hackers (incluso los de verdad) para sus listas
todos ellos deberian callar avergonzados y rogar para que esto que han dicho aqui algun dia desaparezca de internet, porque siempre alguien se lo podra sacar cuando maduren
si es que maduran, porque esto apesta a podrido
la profesión está mucho peor de lo que parece a simple vista
Comment by neron — Friday 3/3/2006 @ 23:15
Si es que basura siempre la hay en todos lados… pero siempre hay quien destaca por ser más basura que nadie.
Comment by Lito — Friday 3/3/2006 @ 23:45
blablabla y mas bla.
conclusion: software bugeado hackeado, la historia de siempre
Comment by JoCaNoR — Saturday 4/3/2006 @ 0:03
Hackear es crear. Crackear es destruir sin sentido.
Más bla bla bla.
La historia de siempre. Bug en un programa, con fuentes disponibles, unos niñatos lo *crackean*, al final no pueden hacer nada, el site sigue en marcha, pero los pillan con nombres y apellidos. Aún así no dejan de decir tonterias, haciéndose los mártires de todo y con una pandilla de pendejos aplaudiendoles la hazaña. ¿Qué hazaña? ¿ser cogidos tan rápido o haber modificado el texto de una noticia?.
La historia de siempre: kiddies que nunca entenderán nada. Y es inútil hablar con ellos, no dejan de decir sandeces. Nunca ha leído tantas como esta tarde.
Pla pla pla, ¡bravo chavales!
¿Contentos?
Comment by miguel.a — Saturday 4/3/2006 @ 0:34
Estoy impresionado del polvo que ha levantado todo ésto, deface a webs más o menos importantes es el pan de cada día, estais haciendo una montaña de un grano de arena.
El tema está más que zanjado.
Comment by Beldar — Saturday 4/3/2006 @ 0:59
¿Lito, no habías dicho que lo dejabas? Tu ansia de prestigio como troll no conoce límites.
Comment by Pito — Saturday 4/3/2006 @ 2:45
El hackeo de menéame
…
Trackback by Kamui's World — Saturday 4/3/2006 @ 3:35
Al #42: ¿Yo digo tonterias?, informate antes de hablar, y estudia antes de programar un script, que lo de insultar y faltar al respesto ya sabemos que se te da muy bien señor Galli.
Comment by Spacebom — Saturday 4/3/2006 @ 4:19
"o estaba encriptando las contraseñas que guardaba en su base de datos, lo que si constituye realmente un delito, al menos, en España"
Spacebom, eso que habías dicho es una tontería como una casa. No es verdad. O explícalo y demuestra que tienes razón.
Y decir que has dicho una tontería NO es insultarte, sino decir que algo que has dicho es falso. Y además que estabas sugiriendo que estaba cometiendo un delito.
Por eso, lo digo otra vez más claro: has dicho una gilipollez.
Comment by gallir — Saturday 4/3/2006 @ 11:34
En vez de tanta descalificación, creo que se podría sacar algo positivo del sucedido. Me explico, xxxxxx podría revisar el código de Meneame y ayudar a asegurarlo, así como a que sea más entendible por todos aquellos que lo revisen.
De este modo todos saldríamos ganando, y las energías serían mejor empleadas, anteponiendo el BIEN COMUN a disquisiciones personales.
PD: En castellano es CIFRAR, no encriptar. Que por ahora no hay ningún muerto
Hablando de cifrado, ya está disponible en abierto el boletín Enigma de Febrero (Arturo Quirantes) http://www.ugr.es/~aquiran/cripto/enigma.htm
Comment by maty — Saturday 4/3/2006 @ 12:31
Conozco a Jocanor desde el año 2002 más o menos, fue usuario de un foro que al que pertenezco como moderador (HH) (fue banneado en varias ocasiones) y también fue admin de HackGeneral, una web sobre seguridad informática.
Ya tiene otras cosas por ahí:
http://www2.noticiasdot.com/publicaciones/2004/1204/0212/noticias021204/noticias021204-17.htm
http://mailman.argo.es/pipermail/hacking/2004-December/002169.html
No voy a decir que sea un niñato ni un Script kiddie, creo que es bastante avanzado en lo que a seguridad informática se refiere, aun así nunca me han gustado sus formas. Es cierto que notifica muchas vulnerabilidades, en Bugtrack, por ejemplo, pero muchas veces no solo las notifica sino que además las explota intentando poner en ridículo a gente que ha cometido un fallo. Estoy seguro, Jocanor, que si hubieras sido tu el programador de Menéame,habrías tenido fallos, seguro, como todo hijo de vecino.
Por otro lado, la filosofía de alguien al que le gusta que le llamen ‘Hacker’ debe ser de una filosofía constructiva y no destructiva. Jocanor, emplea tus conocimientos en programar cosas que construyan, no que destruyan.
P.D: Ricardo, soy visitante de tu blog casi a diario, hay algún otro comentario por ahí con mi nombre real y alguna noticia publicada en Menéame de mi blog, enhorabuena por Menéame
Comment by PICCOLO — Saturday 4/3/2006 @ 12:47
Me hace gracia como se rasgan algunos las vestiduras por el tema de las contraseñas. Cuando te planteas un proyecto en un tiempo no infinito miras cuáles son los aspectos más importantes según su naturaleza y repartes tu tiempo. Que no digo que no sea importante, pero puede ir perfectamente en una lista TODO. Hubiese sido más productivo un hack para el meneame para cifrar las contraseñas.
Personalmente, veo más sostenibles los ataques a Gallir con sólidos argumentos como "me cae gordo, lo veo prepotente, es muy feo" que con el tema de las contraseñas. Que estamos hablando de una web de envío de noticias.
Comment by Ramón — Saturday 4/3/2006 @ 12:51
PICCOLO, muy buena, jejeje, ahora entiendo porqué ese cabreo monumental por publicar direcciones y nombres. Si la COPE, Telemadrid o Delitos Informáticos desean encontrar al juanker ya saben a quién preguntar y quiénes son sus amigos.
Gotcha, jejeje, todos cometemos errores estúpidos, hasta los juankers más listos jejeje.
Comment by mm — Saturday 4/3/2006 @ 13:55
mm no soy amigo de Jocanor, simplemente lo conozco porque era usuario del foro.
Comment by PICCOLO — Saturday 4/3/2006 @ 14:07
Tú quizás no, pero hay otros que sí saben quienes son sus amigos y cómo pueden encontrarlo jejeje… es que no aguanto la risa, perro no come a perro.
Comment by mm — Saturday 4/3/2006 @ 14:18
al #74 y al #72
si lees todo el hilo, veras que al unico que han cojido con nombre y apellidos es a Martes13, de mi solo saben:
1. direcciones ip de redes wifi desprotegidas
2. una direccion de email creado desde una de esas wifis solo para hacer esto
OH NO! ya lo saben todo sobre mi! que voy a hacer? x(
Comment by JoCaNoR — Saturday 4/3/2006 @ 16:19
Alguna personas no saben qué hacer con sus conocimientos, es triste, realmente triste.
Hay una reflexión (una de las pocas que conozco en la que creo al 100%) que reza: "si culpable es el ignorante, mil veces culpable es el sabio que utiliza su saber de forma equívoca".
Tener conocimientos avanzados de cualquier materia implica RESPONSABILIDAD.
Debiste insistir en avisar del bug una vez, avisar dos veces e incluso en avisar 10 veces. Llegado el caso, debiste LIMITARTE avisando PUBLICAMENTE del bug, no tenías necesidad alguna "romper" nada.
Lo siento, por muy bueno que creas ser tú (o quienes hicieron esto), nada se consigue actuando así. Y permíteme un consejo: Agrede una vez y posiblemente salgas impune, agrede dos veces y cuidate de obtener placer por ello, agrede tres veces y yo rezaré por tí.
Saludos!
Comment by Alberto Gutierrez — Sunday 5/3/2006 @ 6:34
una base de datos con miles de noticias (link) en la cual unicamente y exclusivamente se alteran 2 yo lo considero un aviso y no una agresion
Comment by JoCaNoR — Sunday 5/3/2006 @ 11:17
Comunicado de JoCaNoR (para que veas que yo tambien puedo ser bueno
multiples bug de validacion de entrada en meneame:
1. SQL INJECTION en problem.php:
http://meneame.net/problem.php?id=3%20[SQL%20HERE]&value=-5
— code:
$link = new Link;
$id=$_REQUEST[’id’];
$user_id=$_REQUEST[’user’];
$value = intval($_REQUEST[’value’]);
if ($value < -10 || $value > -1)
error(_(’Voto incorrecto’) . " $value");
$link->id=$id;
$link->read_basic();
—-
patch:
—–
$link = new Link;
$id=intval($_REQUEST[’id’]);
$user_id=$_REQUEST[’user’];
$value = intval($_REQUEST[’value’]);
if ($value < -10 || $value > -1)
error(_(’Voto incorrecto’) . " $value");
$link->id=$id;
$link->read_basic();
—-
2. SQL INJECTION en rss2.php
http://meneame.net/rss2.php?time=30&rows=9%20[SQL%20HERE]
—- code:
if(!empty($_REQUEST[’rows’])) {
$rows = $_REQUEST[’rows’];
if ($rows > 100) $rows = 30; //avoid abuses
} else $rows = 30;
———
patch:
———
if(!empty($_REQUEST[’rows’])) {
$rows = intval($_REQUEST[’rows’]);
if ($rows > 100) $rows = 30; //avoid abuses
} else $rows = 30;
——–
XSS (cross site scripting) en /api/check_url.php:
http://meneame.net/api/check_url.php?url=%22%3EXSS%20HERE
http://meneame.net/login.php?return=%22‘%3Ch1%3Exss%20here%3C/h1%3E
y aun quedan muchos…
buenos dias señor Gallir
JoCaNoR live style
ya le comunicare mas
Comment by JoCaNoR — Sunday 5/3/2006 @ 11:24
Arreglados esos (y un par más). Gracias.
Comment by gallir — Sunday 5/3/2006 @ 11:50
A buen entendedor
Te he enviado un saludo telefónico. Menudo bergante estás hecho.
Comment by maty — Sunday 5/3/2006 @ 14:03
Ricardo, un apunte, creo que desde que la hora que ha posteado jocanor la información, (es de agradecer que sea así), todos los sitios que usan tu código están expuestos, lo acabo de comprobar.
No creo que sea imcompatible seguir buscando con ayudar a que los que lo tienen a que no les den caña.
Tampoco entendería que lo retrases más pero bueno cada uno tiene un ritmo.
Saludos y good Karma for all
Comment by net_filter — Sunday 5/3/2006 @ 17:19
Comment by JoCaNoR — Tuesday 7/3/2006 @ 5:58
Hay algun sitio donde pueda ver todo lo que hay que parchar?
o tengo que bajar de nuevo todo el codigo y remplazar todo?
Comment by rockeame — Monday 20/3/2006 @ 18:11
Buf… han pasado semanas. Te puedes bajar los fuentes y hacer un diff con tu versión. Pero en principio, si no has tocado código, es directamente reemplazable.
Comment by gallir — Monday 20/3/2006 @ 18:22