n o s l a n

A medida que las cosas se hacen grandes, cuando se descubre un error, bug o exploit los pasos a seguir para resolver la movida se tornan ingentes.

¿Te imaginas un parche para Internet? Así, tal cual, sin anestesia ni nada, hay un error en de base en la red y "to cristo" ha de mover ficha para solventarlo, desde una distro de Linux hasta Microsoft, ¿mola? Obviamente no.

La movida aparece por un error crítico en el mismísimo funcionamiento de los servidores de DNS que son los encargados de convertir las letras y palabras de un dominio (p.e microsoft.com) a un idioma comprensible para estas máquinas tontas llamadas ordenadores (207.46.232.182). Tanto si pones el dominio como la ristra de números sin sentido irás a parar al sitio de Microsoft.

El error, sin entrar en pormenores técnicos que huyen hábilmente de mis conocimientos, sería capaz de convertir, por ejemplo el dominio microsoft.com a la IP 209.62.26.130, que como es fácil observar no es precisamente lo mismo.

El caso del ejemplo sería anecdótico, pero pongamos el ejemplo de la página de un banco, un ataque bien hecho podría redirigir nuestra petición www.lacaixa.es a una web clonada y diseñada para apoderarse de los pins, o la de hacienda, de hecho cualquiera. Toda una fiesta de caos en la red.

En kripópolis nos dan algunas consejos para no vernos sometidos al error y no sufrir sus potenciales daños.

Por un lado deberemos averiguar el estado de nuestras dns, si son o no vulnerables a este error, es sencillo, en doxpara.com encontraremos un chequeador de DNS, con un simple clic sabremos si estamos o no a salvo, en mi caso, teniendo a Jazztel como proveedor y usando sus DNS por defecto, el resultado es:

Your name server, at 87.216.1.65, appears vulnerable to DNS Cache Poisoning.

En este punto hay dos opciones, o "pasar olímpicamente del tema" o tratar de asegurarse un futuro más llevadoro en la red hasta que se solvente el error, esto pasa por cambiar manualmente las DNS, en panel de control, conexiones de red, conexión de área local (o Conexiones de red inalámbricas si usamos wifi), botón derecho, propiedades, doble clic en Protocolo TCP/IP, marcar la opción "Usar las siguientes direcciones de servidor DNS" y teclear las siguientes:

208.67.222.222

208.67.220.220

de OpenDNS

Clic en aceptar y comprobar tanto la navegación como la seguridad de nuestras nuevas DNS:

Your name server, at 208.69.34.8, appears to be safe.

Ya me los estoy viendo, a tod@s, absolutamente a tod@s, tejiendo parches de crochet para solventar la movida y llamando a sus abuelas para preguntar como lograr una puntada más rápida

PD: Video de Dan Kaminsky y su hija explicando de forma más humana la historia:

Vía | Kriptopolis

+ info | elmundo.es

noslan.com Suscribete a mi FEED!

Es algo friki, de hecho es bastaaante friki, o también se le podría llamar detalle… En fin, si tienes cuenta de Gmail y no lo has visto, te invito a que inicies sesión mediante algún navegador, nada, ¿no? Bien, ahora ponte en modo observador… ¿nada? Vale, frunce el ceño y mira fijamente tu bandeja de entrada…..

……

………

¿nada? bien, lo haré más sencillo, con una captura:

¿Es una llamada de atención? Alguna técnica de marquetin? Pasará gmail por fin de su estadio beta a uno más “serio”? Se avecina lgún cambio importante o una mera chorrada? Google sabe, sabe que sabe y lo demuestra con pequeños cambios que logran acrecentar lo que google hace muy bien: que la gente hable de “ellos”.

noslan.com Suscribete a mi FEED!

Si es que no hay nada como ser poderoso, ser grande y omnipresente, no hay nada mejor: inventas algo: creas la necesidad, como diría Bill Gates en “Piratas de silicon Valey“, y luego le sacas todo el juego que quieras, así es como funcionan las cosas, o por lo menos así funcionan en informática.

Youtube, de la nada más absoluta a una necesidad semi impuesta, de algo desconocido a uno de los pilares de internet y hace poco hijo pródigo de Google, ahí es “ná”.

Desde hace algún tiempo se rumorea que en Youtube iban a poner orden, a cribar su ingente repertorio de vídeos y eliminar todos aquellos que incumpliesen algún apartado de la licencia o copyright, vulnerase la propiedad intelectual o cualquier otra cosa que no sonase bien, es decir, cualquier cosa que no reportase algún beneficio a los dueños y señores del material expuesto en youtube.

Ni idea de como lo harán, aunque puede que tenga algo que ver el que Google y Yahoo! gracias a la cooperación de Adobe sean capaces de “leer” archivos flash, pero al parecer se lo han tomado en serio y como es costumbre (si hay algo que Google y Youtube demuestran es efectuvidad en los planes planteados) lo hacen de forma seria y eficaz y he podido observar que además, entre unos y otros, le quieren sacar tajada a todo:

Correo recibido del equipo de youtube:

Dear YouTube Member:
National Geographic has claimed some or all visual content in your video METH Como actúa. This claim was made as part of the YouTube Content Identification program.
Your video is still live because National Geographic has authorized the use of this content on YouTube. As long as National Geographic has a claim on your video, they will receive public statistics about your video, such as number of views. Viewers may also see advertising on your video’s page.

Claim Details:

Copyright owner: National Geographic
Content claimed: Some or all of the visual content
Policy: Allow this content to remain on YouTube.
Place advertisements on this video’s watch page.
Applies to these locations: Everywhere
National Geographic claimed this content as a part of the YouTube Content Identification program. YouTube allows partners to review YouTube videos for content to which they own the rights. Partners may use our automated video / audio matching system to identify their content, or they may manually review videos.
If you believe that this claim was made in error, or that you are otherwise authorized to use the content at issue, you can dispute this claim with National Geographic and view other options in the Video ID Matches section of your YouTube account. Please note that YouTube does not mediate copyright disputes between YouTube owners. Learn more about video identification disputes.
Sincerely,
The YouTube Content Identification Team
Copyright © 2008 YouTube, Inc.

Texto también disponible en youtube

Por una parte me parece perfecto, de hecho sería casi la esencia de la licencia Common Sense que inaguraba ayer: no creo contenido, solo lo “descubro” y lo edito y lo comparto, por lo tanto no tengo derecho alguno sobre ese material, pero si que gracias a “mi trabajo” cerca de veinte mil personas han podido saber algo más acerca de cómo actúa la Meth.

Por otra me mosquea el hecho que de los dos vídeos del mismo documental en National Geographic solo hayan visto relevante la parte del “Cómo actúa” (casi 20.000 vistas) y hayan pasado por alto el de “Meth cómo se hace” con cerca de diez mil visitas. Me mosquea por como huele a “buscando pasta”. Tal y como reza el correo, NG permite que el primer vídeo siga online con la condición de poder rastrear las visitas y poder poner publicidad en esa página (que supongo que de dar algún céntimo lo dará a NG o a youtube).

Resumiendo, que los cercos se estrechan, personalmente me parece más que correcto el que se ponga un poco de orden y que cada uno saque lo que pueda de lo que crea, pero no estoy deacuerdo en el punto “Tu te curras tu parte, pero todo, absolutamente todo es nuestro así que da gracias con que te permitamos seguir usando esa parte de material para tu beneficio” Y es que no trago con según que tonos…. a ver qué giros de (des)orden nos depara el monstruo megalítico de la compañía monopolística, internacional con más C’s, R’s, TM’s, y cláusulas, clausulitas y zarandajas que la propia Microsoft llamada Google…

Vía | correo electrónico.

Fuente | youtube.com

+info |  YouTube’s Video Identification tool

noslan.com Suscribete a mi FEED!

Algún día tenía que pasar y ha sido hoy. La sensación es como la de salir de casa y justo al cerrar la puerta, tras el golpe y el característico sonido de la cerradura al hacer su trabajo un rayo cruza todas las neuronas del cerebro para entretejer una palabra que un milisegundo después sale por la boca: Mierda!, Me he dejado las llaves dentro…

Algo similar he pensado al tratar de entrar en el blog, ver que el novísimo firefox 3 no recordaba la contraseña y que el ya no tan nuevo coco que presuntamente se aloja encima de mis hombros, bueno… un error lo puede tener cualquiera, somos todos humanos… Habrá que restaurar la contraseña y listo, tampoco es tan grave, ¿o si?

Pues si, lo es, wordpress ha entrado en un bucle sin sentido, en el que pese a recibir el correo de reseteo de contraseña, el resultado era desesperante ya que al seguir el enlace la página que mostraba el blog era la misma:

Tras intentarlo tres o cuatro veces me he dado por vencido, está claro que por aqui no lo voy a lograr…

Por casualidad he recordado que en algún momento leí en alguna parte que wordpress podía tener este comportamiento absurdo (aka bug) y he consultado un poco por ahí, hasta dar con lo que necesitaba.

Es relativamente sencillo, pero has de tener acceso pleno a la base de datos del blog, phpMyAdmin por ejemplo. Una vez dentro, localiza la tablea wp-users (la encontrarás casi al final de la lista de la izquierda). Una vez seleccionada haz clic en la pestaña "examinar", busca tu nombre de usuario, haz clic en el icono del lápiz para editar dicho usuario. En el campo user_pass selecciona de la columna Función la MD5 y en la cloumna Valor escribe la contraseña que quieras. Por último elimina el contendio, si lo hubiese, de la columna Valor del campo user_activation_key. Clic en continuar y aquí no ha pasado (casi) nada.

Disclaimer:

Apelo al sentido común del lector. Si no tienes ni idea de lo que es PhpMyAdmin, ponte en en contacto con alguien a quién le suene algo este gestor de bases de datos. Antes de modificar cualquier dato de TU base de datos haz una copia de seguridad. Ni por asomo me hago responsable de la posible pérdida de datos y/o configuraciones, a mi me ha funcionado a las mil y una

Visto en | la vida misma

Solución | google => forums.internetbusiness.co.uk

noslan.com Suscribete a mi FEED!

Ni en medicina ni en informática. En lo primero por el mismo motivo que a much@s, lo reconozco, me dan yuyu y desde bien enano daba guerra a al hora de vacunarme aunque creo que he madurado un poco y ya no se me saltan los ojos y le digo al médico "Pero, pero esa aguja es de hierro señor!" de todas formas lo pienso…

En informática ¿dónde hay agujas? Físicamente en ningún lado, pero metafóricamente si y no se usan para vacunar, todo lo contrario, se usan para dar caña a los servidores, sobretodo los que usan algun sistema Windows, para inyectar código malicioso entre sentencias de SQL (lenguaje muy extendido que se utiliza para crear búsquedas, modificar y en definitiva, trabajar con bases de datos). Este sistema es bastante visual y por lo tanto se puede "leer a pelo" y entender más o menos qué es lo que buscamos:

"SELECT * FROM usuarios WHERE nombre = ‘" + nombreUsuario + "’;"

Selecciona de la tabla "usuarios" el que tenga en el campo nombre el nombre introducido.

Así de sencillo, claro que se puede complicar y mucho, pero no es esto a lo que voy.

¿Por dónde andan las agujas?

En un ataque que se ha puesto en los últimos tiempos muy, pero que muy de moda, la Inyección SQL que no es más que introducir parte de código entre lineas, así como suena, esas porciones se van almacenando en el servidor para finalmente ejecutarse y liarla: modificar la base de datos a su antojo, eliminar datos, crear nuevos, modificarlos, moverlos…. sin consentimiento por parte de nadie, claro está. Se trata de uno de esos sistemas que de sencillos que son y presuntamente fáciles de evitar que rozan la perfección, sobretodo teniendo en cuenta la ,mas que probable, ingente cantidad de paginas web creadas por cuñados que saben un montón y son unos cracks que controlan más que el que se dedica a ello y cobran o poco o nada. Poca broma con las inyecciones de marras, que en abril más de medio millon de sitios web fueron inyectados con este sistema y ni se sabe la cantidad de usuarios que pudieron verse afectados, de nuevo en esto los números son a lo grande.

¿Y que puedo hacer yo?

Pues, también de nuevo, tratar de usar el sentido común, si no sabes de que va pero te suena y has de hacer un proyecto importante, no lo hagas a lo loco, investiga, pregunta y aprende.

Si tu web se basa, como por ejemplo la mía, en un script popular, actualiza y trata de pasarle herramientas de testeo de seguridad, HP ha diseñado Scrawlr,   una pequeña aplicación  para chequear  vulnerabilidades de inyección de SQL, sencilla y gratuita, sólo* hay que rellenar el formulario para descargarlo y analizar la web deseada.

Si encuentras problemas relacionados con la Inyección SQL en tu web, ponte en contacto inmediatamente con tu proveedor de Hosting!

*Curiosidad hablando de bases de datos, al tratar de descargar el programa hay que introducir una serie de datos, típicos de formulario de registro, entre ellos el país y un número de teléfono. En la combinación que me tocaba, España y nueve números (u once si pones el prefijo) hay un error tonto pero que me ha dado mas guerra de la que esperaba de un simple formulario de registro: Please enter a valid phone number.  This Field is Required. Una y otra vez, lo he probado todo, hasta que he unido tres factores:

- Factor humano: por muy ingeniero de HP que seas puedes equivocarte

- Factor informático: por muy bien programado que estés, si el que te ha programado ha fallado….

- Formato de número de teléfono americano.

Lo cual me ha llevado a poner un número de 10 dígitos (el americano) que en España no tiene sentido alguno, y por fin me ha permitido descargar el programa…..

PD:  Tras el análisis completo de noslan.com los resultados son los esperados:

Fuentes |

• kriptopolis.org
• Wikipedia
• HP

noslan.com Suscribete a mi FEED!