Las reglas del juego

Hace pocas semanas (coincidiendo con el dia de internet) nos llegaron noticias desde todos sitios de que a unos crios los habian detenido por hackear distintas paginas españolas (en realidad muchas mas, pero las que seguro hicieron empezar a la policia a mover los hilos fueron las españolas). Los chavales incluso habian concedido una entrevista a un periodico nacional.

Esta mañana me he enterado de que habian detenido a dos chavales por entrar en la zona de administracion de Comcast.net de la administracion de dominios registrados. Jeremiah Grossman resume bien las reglas del juego en su blog:

1. DO NOT hack anything without written consent
2. DO NOT brag to anyone about your “illegal” hack, including the press.
3. DO NOT get raided by the feds unless you are fully clothed.

Hay que decir que los chavales se sabian la tercera regla, pero ni la primera ni la segunda:

“I slept in my clothes, because the last time they came, I was in my underwear with my dong hanging out and shit,” Defiant said of a past raid.

Pero bueno, eso nosotros ya lo sabiamos despues de ver la peli de Hackers no? [1:55]

P.D. Espera… ¿Eso que se ve por ahi es un Windows XP? ¿Pero no decian que eran hackers?

migualdad.es

Desde que Zapatero anuncio la creacion de su Ministerio de Igualdad he estado esperando a que creasen la pagina web (las razones muchos las sabreis). Anoche volvi a mirar, y resulta que ya existe: migualdad.es.

Dandome una vuelta por el sitio me sorprenden dos cosas:

• Enlace gordo en la parte de arriba a Organigrama. No es que no deba de haber una jerarquia en un ministerio, pero que aparezca tan grande y tan obvio en la pagina principal del Ministerio de Igualdad ya me hace sospechar…
• Haciendo busquedas por Google sin ninguna malsana intencion descubro que la busqueda de la palabra hombres en el dominio migualdad.es da como balance 116 paginas. Sin embargo, la busqueda de mujeres en el dominio migualdad.es nos lleva hasta las 302 paginas. Hombres y mujeres juntos solo aparecen en migualdad.es en 98 paginas. ¿Hacemos las cuentas?

Para terminar dos consideraciones mas… Por cortesia de Rafael Vargas, adwords asociados a las busquedas:

(Los resultados pueden variar debido a que Rafael Vargas realiza las busquedas en español)

Otra de las cosas que me sorprende de este ministerio tan moderno, de este ministerio tan novedoso, tan 2.0, con una ministra con blog es… ¿porque usan HTML? ¿Tanto les cuesta programarse un CMS en JSP o ASP.Net como tienen otros ministerios? Incluso otros que antes usaban HTML ahora se han pasado a Joomla!

RFI, LFI, CSRF… WTF?!

Bueno, aunque Rafael Vargas ya lo ha publicado en su blog, os lo repito por aqui por si hay alguien que no se haya enterado.

Este viernes 16 de mayo vamos a dar una charla en la ETSII de Sevilla, en el aula A0.11 a eso de las 17:00 sobre las tecnicas RFI, LFI y CSRF. Son tecnicas no tan extendidas y conocidas como XSS y SQL Injection, pero igualmente poderosos.

Ademas, para darle mas emocion y que os animeis a venir vamos a hacer publicas algunas vulnerabilidades 0-day que tenemos por ahi recopiladas… Espero veros a todos!

Chuck Norris

Los que alguna vez me habeis escuchado hablar de XSS, que a estas alturas me temo que debeis de ser… ¿todos? me habreis oido hablar de unos tipos de Synmatec y su producto Hacker Safe.

Hacker Safe es un intento de dar confianza a los usuarios que visitan una pagina añadiendo un logo en una parte visible de la aplicacion y el compromiso de que esa pagina es analizada diariamente contra ataques web. Al final no acaba de ser mas que una campaña de marketing y placebo que realmente no se fundamenta.

Empezaron hace cosa de 5 meses, cuando la gente de XSSed saco a la luz que multiples sitios que lucian orgullosos su logotipo Hacker Safe eran vulnerables a XSS. Oliver Friedrichs, director de Symantec Security Response se lucio con perlas como:

“Cross-site scripting can’t be used to hack a server”

Cosas asi me hacen hervir la sangre y desde entonces cuento esta historieta antes de las charlas sobre XSS que voy dando por ahi.

Ayer, mientras navegaba por ahi, se me escapo un dedo y le di a un boton de comprar. No es que yo sea muy aficionado a eso de hacer abdominales (¡deberia de serlo!) pero es que por ese precio…