Hace años que llevo en mi cartera un papelito con notas “en clave” de mis claves principales, me sentía algo “culpable” a pesar que lo veía lo más lógico [1] e incluso Schneir ya lo escribió hace un tiempo. Ahora me siento mejor que el concepto está en viñetas :-).
[1] Supongo que si me roban la cartera lo menos problemático serán las claves, más fáciles de cambiar o anular que mi DNI y tarjetas de créditos.
A todos los que estamos en Internet nos molesta que el whois no funcione con los dominios .es. Hay que ir a la página del ESNIC (de Red.es) y hacer la consulta allí, donde antes de darnos los datos nos presenta un captcha.
En teoría eso serviría para evitar abusos de robots, y una de las condiciones es que el texto no pueda ser predecido por los robots, ni siquiera con OCR, por eso se ponen texto “deformados”. En este caso el captcha no está muy logrado porque el contraste entre los caracteres y el fondo –de color muy uniforme– es bastante claro. Pero eso no es nada, voy a mirar el formulario y encuentro lo siguiente:
Es sencillamente alucinante, han puesto el texto del captcha como campo del formulario. Con eso es muy sencillo hacer un pequeño programa que lo coja y haga la consulta automáticamente.
Hice un programa en Perl muy sencillo que sólo envíe el formulario, sin ninguna “consulta” previa. Y funciona perfectamente. Pero no sólo eso, pensaba que la clave adiciona (el randomStr) serviría para algún control adicional, pero no, no sirve para nada.
Así es que una vez obtenido el texto del captcha y esa clave, se pueden hacer las consultas que se deseen, con cualquier dominio:
$ ./esnic.pl uib.es
Titular: Universidad de las Islas Baleares
Domicilio: Ctra. Valldemossa, Km. 7,5
Población: Palma de Mallorca
Fecha de Alta: 30/06/1992
Fecha Caducidad: 30/06/2007
$ ./esnic.pl upc.es
Titular: Universidad Politecnica de Catalun~a
Domicilio: Jordi Girona Salgado, 31
Población: Barcelona
Fecha de Alta: 17/07/1992
Fecha Caducidad: 17/07/2007
Además del fallo enorme de todo el sistema, seguía sin entender el objetivo de randomStr, lo probé desde otros ordenadores con diferentes IP y funciona perfectamente. Así que en realidad no sirve para nada.
Durante las pruebas he visto además que el HTML que generan es completamente erróneo –por ejemplo etiquetas del “head”, link, insertadas antes del “html”–, lo que hace que en realidad funcione de pura casualidad porque los navegadores ignoran el error. También siguen con el iso-8859-1, que no sólo no es el estándar europeo, sino que ya deberían estar usando UTF-8.
Aunque no me hubiese sorprendido ver este monumental en una pequeña empresa o desarrollo “casero”, es aberrante que esto suceda en una organización como ESNIC. ¿No tienen un mínimo de control calidad sobre lo que hacen? ¿no deberían ser aún más cuidadosos que el resto de los mortales? ¿por qué meten este tipo de controles placebos que no sirven para casi nada? ¿pretenden hacer creer que cuidan la privacidad de los datos?
En fin, ¿molestar al usuario sin saber muy bien el objetivo? ¿desconocimiento profundo de para qué son los captchas? ¿medidas placebo –como lo de usar https para todas las consultas– para parecer más “serio”? Red.es sigue luciéndose.
Está saliendo en toda la prensa digital, detuvieron a Florencio San Agapito por el caso “Malaya”.
Lo importante del tema es que este señor, además de policía, había sido jefe del “Gabinete de Administración, Documentación e Informática” de la Secretaria de Estado para la Seguridad del Ministerio de Interior (en la época de Vera ¡! ). ¿No era éste el departamento que estaba a cargo de todas nuestras fichas en el famoso ordenador Berta (hoy creo que es “Clara”) y “Duque de Ahumada”? (es una pregunta, no estoy seguro que dependiese de él).
Actualmente desempaña el cargo de responsable de seguridad de Telefónica, ¿no es la empresa por donde circulan la mayoría de nuestros datos y documentos digitales?
Vaya guardián que teníamos, y eso que hay algunos que llevan años denunciando el tema. La realidad [española] supera cualquier ficción y paranoia.
Interesante el estudio 2006 Operating System Vulnerability Summary que compara la seguridad ante ataques remotos de: Windows XP, Windows Server 2003, Windows Vista Ultimate, Mac OS Classic, Mac OS X 10.4 (Cheetah y Tiger), FreeBSD 6.2, Solaris 10, Fedora Core 6, Slackware 11.0, Suse Enterprise 10, Ubuntu 6.10 Desktop/Server (vía Schneier)
Para el estudio han usado básicamente nmap y Nessus. La familia de los GNU/Linux son los que menos vulnerabilidades tenían, a pesar que no han usado en la comparación a el que sea quizás el más seguro de todos, Debian GNU/Linux Estable. Tampoco se incluyó a OPenBSD que es el más cuidadoso en temas de seguridad de los *BSD (aunque el FreeBSD analizado no tenía ninguna vulnerabilidad remota conocida).
Un extracto de las conclusiones del estudio.
Cuando se trata de condiciones “directamente de la caja” (i.e. instalación y configuración por defecto), ambos, Microsoft Windows y el OSX de Apple llevan la ventaja en cuanto a vulnerabilidades accesibles remotamente. Aún antes de habilitar los servidores, las máquinas basadas en Windows contienen numerosos agujeros explotables que no sólo habilitan el acceso a los atacantes sino que también permiten ejecución de código arbitrario. Ambos, OS X y Windows fueron susceptibles a vulnerabilidades adiciones después de habilitar los servicios incluidos en el sistema. Sin embargo una vez parcheados ambas compañías ofrecen un producto que es seguro, al menos desde el exterior. Las variantes de Unix y Linux presentan una fachada mucha más robusta hacia el exterior. Aún con los servidores binarios incluidos habilitados, cada uno de esos sistemas mantuvo su integridad contra ataques remotos. A pesar de ello, comparados con los productos de Apple y Microsoft los sistemas Unix y Linux tienden a tener una curva de aprendizaje más alto para la aceptación como plataformas de escritorio… Sin la diligencia adecuada para aplicar los parches o habilitar las actualizaciones automáticas, los propietarios de sistemas Windows y OS X son los más susceptibles a las violaciones remotas más rápidas e intrusivas.
I just released WP-Cache Version 2.1.1. It contains a security fix from Alex Concha to avoid CSRF attacks directed to admin pages which can inject wrong values into the configuration form, which can allow XSS attacks if those fake values are saved into the configuration file.
To update just uncompress the zip file from plugins’ directory (and overwrite older files).
Warning: this version uses control functions only available in Wordpress >= 2.0. It won’t work with previous WP versions.
BTW: I’m very busy and going worse, I’ll be more than happy if someone else takes care of WP-Cache.
Leo El periodismo y el derecho de pernada (vía Escolar.net). Encontré que tiene mucha relación con lo que comento en Códigos éticos en las universidades me gustó la frase:
Ocasionalmente, un médico va a la cárcel si se demuestra su negligencia; a los ingenieros se les cae el pelo si se vienen abajo sus presas; los jueces son desnudados de sus togas si prevarican; y hasta los profesores son expulsados de la docencia si se extralimitan en su libertad de cátedra. Pues bien, nada de esto afecta a la grey de la que este humilde juntaletras forma parte desde hace veinte años.
Tampoco a la grey de este humilde junta bits 
Hoy iré al programa de radio de Llorenç y Benjamí en Ona Mallorca a comentar el rootkit anticopia que Sony distribuye/distribuía con algunos de sus CD de música.
Para aprender como funcionaba me leí atentamente el informe de un experto en programación de Windows. Quedé alucinado, no sólo por la falta de un mínimo de ética, respeto a las leyes y a sus clientes de Sony y la empresa que desarrolló el rootkit, sino también por el increíble mal diseño de la arquitectura de Windows que hace que hasta un experto como el autor del artículo haya tenido dificultades para detectar, analizar y desinstalar el rootkit y luego hacer que el sistema operativo funcionase correctamente.
Es im-presionante.
El/un sistema DRM de SonyBMG instala un rootkit cuando se reproduce en Windows. También en P2P, BoingBoing, The Register, The Inquirer, Ars Technica, Washington Post.
La historia es bastante más preocupante de lo que parece a primera vista. Su objetivo no es sólo “impedir la copia”, sino molestar al usuario en sus guerras comerciales contra el iTunes y DRM de Apple, y todo sin que él sepa lo que está pasando con el ordenador.
DRM, software privativo, Windows, Apple. Van de la mano, siempre que aparecen los dos primeros –condiciones necesarias para la existencia de los cuatro– suelen aparecer los otros dos. Como una pesadilla. Una razón más para estar en contra del software privativo. Las historias como están no cesan de aparecer, y empeorarán.
En el número de setiembre de Communication of the ACM publican un artículo Risks of Technology-Oblivious Policy (algo así como “Riesgos de las políticas tecnológicamente ignorantes”) que está co-escrita por Barabra Simons, ex-presidenta de la ACM.
No soy paranoico –aunque estoy seguro que todo el mundo conspira contra mí– pero seguro que hay un plan. Seguro, para muestra bastan una hormiga y un elefante.
El sábado han chocado tres trenes en Valencia. Fallaron las dos “capas” de seguridad. La primera porque los conductores no advirtieron las señales luminosas. La segunda por el sistema automático de frenada progresiva no frenó lo suficiente para evitar la colisión.
Un grupo de desarrolladores de Debian crearon el Debian testing security team. Básicamente acelerará las actualizaciones de seguridad que hasta ahora venían desde “unstable”. Algunas de ellas se demoraban más días de los habitual –lo hacen con prioridad “alta”– por problemas de dependencias.
Hemos tenido una breve discusión con en el blog de Jmones sobre la posibilidad o no de implementar DRM con software libre, tal como propone Sun. Por supuesto que no, es lo que afirmó Cory Doctorow, aunque Jmones no está del todo convencido.
El martes a la tarde van unos técnicos de la empresa de mantenimiento de la UIB y cortan la luz del edificio Anselm Turmeda para hacer algún mantenimiento –sin previo aviso–, además se marchan y se olvidan de devolver la luz a medio edificio.
Dije que esperaría ansioso a la opinión de Bruce Schneir. Ya lo hizo.
CardSystems says that they found the problem, while MasterCard maintains that they did; the New York Times agrees with MasterCard. Microsoft software may be to blame. And in a weird twist, CardSystems admitted they weren’t supposed to keep the data in the first place.
…
Yeah, right. Research = marketing, I’ll bet.
…
CardSystems should also face criminal prosecution, but that’s unlikely in today’s business-friendly political environment.
Powered by WordPress