Fa dies que em rondava per el cap activar l’autentificació utilitzant SSL al blog, o potser fer que tota l’administració anés per SSL. Després de mirar-ho, vaig trobar que a StartSSL em proporcionaven un certificat SSL gratuit, bàsic però més que suficient per el que volia: tenir la seguretat que la meva contrassenya no es transmetés en clar, com fa habitualment WordPress i la majoria d’aplicacions web que realitzen autentificació amb un formulari pròpi. A més, aquest certificat em dona l’avantatge que a molts navegadors web StarSSL està posat com a root CA i per tant serà totalment vàlid, i no donarà cap avís de que el certificat no és confiable.

Total, que avui ja ho he pogut activar. Per el moment va prou be, encara que per exemple al editar un hiperenllaç no em surten correctament localitzades les cadenes (tot sigui que en realitat el problema no sigui de l’actualització que vaig fer fa uns dies!). Però be, són mals menors que ja aniré solucionant. Per ara ja tinc un plus de seguretat! :D

Un altre dia toca explorar el plugin WordPress Exploit Scanner.

Fa uns dies he anat veient alguns articles de com obtenir informació sobre la història del navegador web utilitzant únicament CSS! Cal tenir en compte que no s’obté informació de tots els enllaços visitats, si no que l’atacant ha de fer una llista dels que vol comprovar i amb aquest atac pot esbrinar si la víctima els ha visitat.

Al segon article es suggereixen algunes opcions per solucionar-ho. Una d’elles és desactivar la història del navegador, l’altra, vàlida per Firefox, és desactivar el CSS per els links visitats, com segueix:

• Escriure “about:config” a la barra d’adreçes
• Escriure “layout.css.visited_links_enabled” al filtre
• Canviar el valor per defecte de “True” (cert) a “False” (fals), fent doble click sobre la opció
• Reiniciar Firefox

Ja fa un temps que es va anunciar que un especialista en seguretat que va robar, segons var dir, mil contrassenyes d’embaixades, institucions, etc. i en va publicar cent.

Doncs quan es va publicar com ho va fer, va resultar que va preparar cinc nodes de sortida de la xarxa TOR i els hi va posar un sniffer que capturava el tràfic a la sortida.

Per entendre-ho només cal entendre com funciona la xarxa TOR: els paquets que volem enviar passaran per diferents routers de la xarxa TOR, formant aquests una cadena de routers, de forma que podem ocultar l’origen dels paquets. Alhora, aquests paquets es xifren per capes, amb una clau diferent per cada router TOR. D’aquesta forma, el primer router desxifra la primera capa. El resultat és un paquet xifrat i la indicació del següent salt a fer (el següent router router de la cadena). Això es repeteix fins que arribem a l’últim router. En aquest moment ve el problema (o debilitat, si no s’entén com funciona TOR): aquest últim router desxifra l’última capa, i obté el paquet de dades en text clar, i l’envia al destinatari final. És en aquest moment que ens poden capturar les dades!

En qualsevol cas cal tenir en compte que TOR és un bon servei que pot ajudar a l’anonimització de l’origen de les dades, però no les pròpies dades, i ademés no és un servei per xifrar extrem a extrem. En cas que, per exemple, utilitzem claus d’accés, aquestes s’han de transmetre de manera segura.

En qualsevol cas ja ens ho adverteixen al FAQ del mateix projecte TOR, i inclús ara hi ha advertències a la pàgina d’inici del projecte.

Seguint amb el post sobre els missatges a mòbils, avui n’he vist un altre, rebut del número +79128599095:

“CONECTASMS info:tu numero de movil tiene 3 mensajes pendientes en la bandeja de entrada conecta para recibirlos envia MEN al 7305 caducan en 24 horas”

Igual que l’altre, el missatge no te cap accent (així no s’arrisquen a haver-ho d’enviar en Unicode!) i, pitjor encara, cap punt, coma o signe de puntuació (excepte els “:” inicials). El cas és que, a més de l’engany, fa uns dies vaig veure com era que aparentment els missatges arribaven de l’extranger: a un article de Security By Default sobre un hackeig “de broma” a Enrique Dans enllaçen també a un altre article seu a on parlen del SMS spoofing, o sigui, que l’origen dels SMS és fàcilment falsejable. O sigui, que els missatges els envien des d’aqui amb origen fals!

La forma ideal de treballar amb tot sistema operatiu actual és amb un usuari amb privilegis reduïts, o sugui, en el cas de Windows 2000 o Windows XP, el que es coneix com Usuari limitat o Usuari “ras” o, com a molt, Usuari avançat. En el cas de l’usuari avançat encara es pot treballar, però amb un usuari limitat qualsevol persona no experta tindrà molts problemes per treballar amb el sistema, i moltes aplicacions ni funcionaran.

Per tant, la majoria de gent treballa amb un usuari administrador, amb tots els perills que això comporta. Unes de les aplicacions més perilloses avui en dia són els navegadors web. Per tant, interessa que aquestes s’executin amb privilegis limitats. Per poder-ho fer podem fer servir el Ejecutar como d’aquests sistemes, o be podem fer servir la utilitat psexec de Sysinternals (ara comprat per Microsoft!).

En el meu cas, el que vaig fer va ser duplicar l’accés directe perqué, en comptes d’executar Firefox directament el cridés fent servir psexec:

"C:\Archivos de programa\Sysinternals\psexec.exe" -d -l C:\\ARCHIV~1\\MOZILL~1\\FIREFOX.EXE

Cal tenir en compte un parell de limitacions importants quan executem Firefox d’aquesta manera:

• Que si executem algún programa amb doble click a la finestra de descàrregues, aquest s’executarà també amb privilegis reduits, impedint, per exemple, en molts casos instal·lar programes. Caldria, per tant, executar-lo des de fora del navegador.
• Que les actualitzacions automàtiques no funcionaran. Per fer-les caldrà iniciar el navegador amb permisos d’administrador (els normals del propi usuari en aquest cas). Això aplica únicament en el moment d’instal·lar. Per tant, podem descarregar l’actualització amb l’usuari amb permisos limitats, tancar el navegador i després tornar-lo a obrir amb els permisos complets.

Per poder executar el Firefox amb drets complets, convé que no modifiquem l’accés directe original, sinó una còpia, o en qualsevol cas que li canviem el nom.

Per acabar-ho d’arrodonir, convé també canviar l’accés directe del menú d’inici, el que apareix a la part d’adalt com a Internet. Aquí hi ha un arxiu per importar-ho directament al registre (es pot obrir amb el Notepad per comprovar que no és cap arxiu “extrany” ;D ):

He estat llegint aquest paper referent a la nova tecnologia Native Client en que Google està treballant. La referència original de Slashdot (en anglès, clar…) ja avisa que és una versió molt prèvia.

La veritat és que quan ho vaig veure vaig pensar “mira, un nou fiasco tipus ActiveX”, però llegint el paper el projecte és molt més ambiciós i sembla molt millor implementat: ActiveX permetia executar codi natiu directament contra el sistema operatiu. Les mesures de protecció consistien en signar el codi i demanar autorització a l’usuari: error! L’usuari sempre acava clickant “Acceptar”.

Per altra banda, Native Client el que fa és donar accés limitat al sistema al codi no confiable, posant-lo en una doble sandbox (“caixa de sorra”, o sigui, compartiment per aïllar-lo”) i tractant-lo com un element no fiable, sense donar la oportunitat a l’usuari d’elevar els privilegis. També realitza analisi del codi abans d’executar-lo per assegurar que compleix una sèrie de requisits, com per exemple que no conté instruccions no autoritzades que podrien comprometre el sistema.

La veritat és que la idea trobo que és bona. Ara faltarà saber si la implementació també és igual de bona!

L’altre dia vaig rebre un avís d’Una-al-dia, butlletí al qual hi estic subscrit. Aquest es titulava Ejecución remota de código en impresoras multifunción Xerox, i ens explica una vulnerabilitat a aquest dispositiu degut a una vulnerabilitat a Samba, la implementació Open Source del protocol de compartició de fitxers i impressores de Windows.

El cas és que, pensant-ho, el fet de que els dispositius embedded facin servir Linux, o altres paquets Open Source, te una part bona i una dolenta. La part bona és el fet que fa servir codi lliure, tenint un producte de qualitat a un preu més ajustat, i a més per els que ens ve de gust normalment ens permet hackejar el dispositiu. La part dolenta és que quan es detecta un problema amb aquest software Open Source, aquest també afecta (normalment) a la plataforma embedded, i pot permetre desenvolupar exploits contra aquesta, obligant als usuaris i administradors a tenir en compte un dispositiu més a l’hora de pensar amb els pedaços (patch) de seguretat. Si, és clar, amb els firmwares de codi tancat també passa, però amb l’avantatge que cal un atac específic contra aquest firmware, no val traslladar un atac d’una plataforma més utilitzada al dispositiu sense més. És com la biodiversitat, quan més gran més resistent és un ecosistema a les plagues i enfermetats.

Fa uns dies vaig comprar (em van regalar, en realitat!) un recopilatori de Deep Purple, “The Platinum Collection”. El vaig veure força be de preu al FNAC i el vaig comprar. El cas és que després d’obrir-lo me’n vaig adonar del maleït requadre de “Copy Controlled“.

Temps enrere vaig intentar ripejar un CD que també va resultar estar protegit, i no vaig poder amb programes de Windows, tipus CDex, EAC, i similars. Val a dir que quan vaig introduir el CD vaig mantenir la tecla de shift pulsada perque no s’executés la protecció anticòpia. El cas és que no em dona la real gana que, per que a uns senyors no vulguin que els hi copïin CDs a mi em vagin instal·lant coses a la màquina….

Be, doncs avui, des de Linux (una Debian) m’he dedicat a ripejar els CDs:

cdda2wav -D=1000,2,0 -B -L 0

• -D és per especificar la unitat (“wodim –devices” per la llista de dispositius)
• -B és per dir-li que faci un “bulk ripping”, o sigui, tot
• -L 0 (número zero) és per dir que, de regal, agafi la informació del CDDB ;)

També ho podia fer amb el cdda2mp3 o cdda2ogg, però no tenia ni el lame ni les vorbis-tools a la màquina i no les podia/volia instal·lar. Ah! Tot això ho he fet com a root, però suposo que configurant correctament els permisos dels dispositius es podrà fer com un usuari normal, com sempre.