31 diciembre 2009

El negocio de las listas antispam

Hace unos días publicamos una herramienta que servía para comprobar por línea de comandos si una IP concreta estaba listada como maliciosa en más de 90 listas negras. Los sistemas antispam comprueban en varias de estas listas si la IP origen aparece o no, para dotar de mayor o menor credibilidad los correos entrantes o directamente para denegarlos.

Nuestros lectores hicieron, en los comentarios del post, varias sugerencias que he empezado a codificar. Haciendo varias pruebas sobre el tema, además de haber creado una tarea programada en el cron de mi máquina, he observado que mi IP aparece como blacklisted!!!

La lista en la que aparece mi IP es: dnsbl-3.uceprotect.net Este tipo de lista negra tiene 3 niveles:
  • UCEPROTECT-Level1, es el de mayor impacto. Si la IP aparece en esta lista es que ha sido denunciada alguna vez por haber enviado spam en los últimos 7 días.
  • UCEPROTECT-Level2, varias IPs de la misma red a la que pertenece la buscada ha sido reportada en los últimos 7 días.
  • UCEPROTECT-Level3, más de 100 IPs del ASN del ISP (o el 0,2%) han sido reportadas en los últimos 7 días.
En mi caso, mi dirección IP aparece en la de nivel 3, lo cual es algo de lo más normal si pensamos en la cantidad de IPs infectadas por malware de clientes de las redes de Telefonica.

Espero que los sistemas antispam no tengan muy en cuenta que un correo que venga de mi IP esté listada en el nivel 3, pero.. ¿y si no fuera así? ¿y si aparezco en nivel 1 o nivel 2? Seguro que en ese caso, un sistema antispam configurado en modo fascista o incluso algunas configuraciones por defecto podrían llegar a afectarnos, haciendo que los correos de nuestra organización sean considerados como spam y no lleguen a su destino correctamente. No os preocupéis; en la página web de la lista negra te permiten solicitar que nos eliminen de ella inmediatamente.

En listas bastante conocidas y populares como las de Spamhaus, esta acción es gratuita. Sin embargo, en las de UCEPROTECT, tenemos como opciones esperar 7 días desde que nos reportaron (asumiendo las degradación del servicio de correo saliente) o pagar para un "Expressdelist" (como le llaman ellos). Atención a los precios: si aparecemos en nivel 3, hay que pagar 250 euros; si estás en nivel 1 son 50 euros y si estás en nivel 2 creo que 150 euros. Por supuesto, si nos vuelven a listar, habrá que pagar de nuevo...

Pero, esperad, el negocio llega aún más lejos. UCEPROTECT, cuando recibe una denuncia de una IP, comprueba si la dirección IP aparece en Whitelisted.org. En este caso, si por supuesto has pagado antes (desde 10 euros a los 6 meses, hasta 40 euros por 24 meses), puedes evitar aparecer en los niveles 2 y 3 (puesto que tú no has generado el tráfico malicioso directamente sino que ha sido IPs de tu misma red o ASN).

Me parece una extorsión y por supuesto un negocio que debería ser ilegal, que para que seas eliminado en menos de 7 días haya que pagar por ello. Igualmente con aparecer en la lista blanca. Una organización que se dedique a hacer spam de forma directa y gane dinero con ello puede pagar cuantas veces sean necesarias los 50 euros para que le hagan un expressdelist para una campaña determinada. Además, algunas de estas organizaciones, cuentan con tarjetas de crédito robadas para cometer otros fraudes por lo que pueden alegremente cargar los peajes del expressdelisting al dueño original de la tarjeta.
Leer más...

30 diciembre 2009

Descifrado el algoritmo de cifrado de voz A5/1

El domingo pasado el ingeniero Karsten Nohl durante su presentación en el Chaos Communication Congress (CCC) en Berlín, comentó que había descifrado y publicado el código que se usa para cifrar la mayor parte de las llamadas de teléfonos móviles y supondría una debilidad en la seguridad de las comunicaciones inalámbricas de todo el mundo.

Hasta la fecha ya se conocían diversos ataques que permitían romper este cifrado. En 1999 se detectaron los primeros ataques que permitían descifrar el algoritmo A5 y escuchar la comunicación interceptando la clave de sesión (Kc) de 64 bits.

Durante una presentación en el CCC 2007 se explicó cómo realizar ataques sobre GSM utilizando un programa llamado GNU Radio y un hardware especializado construido con semiconductores FPGA. Este método tenía ciertas limitaciones ya que sólo podía ser utilizado contra objetivos identificados que se encontraran en un radio relativamente cerca de la ubicación del atacante.

Un año más tarde, durante la Black Hat 2008, David Hulton and Steve Miller presentaron un método de ataque pasivo (no necesitaba inyectar paquetes de datos, como en un ataque activo), que capturaba la señal entre el terminal móvil y la centralita del operador. Y de forma remota, aprovechando los avances de la computación paralela, obtenía unas listas con las posibles claves de cifrado.

La semana pasada Karsten Nohl publicó su proyecto A5/1 Cracking. Este es una re-implementación del trabajo del 2008 que no fue liberado. Su planteamiento difiere ligeramente en que utilizan hardware común para generar las tablas, como NVIDIA y tarjetas gráficas ATI con capacidad GPGPU para construir una infraestructura distribuida de nodos. Cada nodo proporciona la capacidad de cómputo necesaria para la generación y el almacenamiento en disco de una parte de las rainbow tables. Este verano lanzó un proyecto de código abierto para la generación de estas rainbow tables. Todo esto está disponible en Internet, prefirió no colgarlo en una página web por temor a que aunque este proyecto ha sido realizado con fines académicos pudieran emprender acciones legales.

El algoritmo A5/1, es un algoritmo de cifrado de voz de clave de 64 bits que permite cifrar y descifrar las tramas entre el terminal y el operador haciendo uso de la clave de sesión (Kc). Una evolución es el algoritmo A5/3, implementado en hardware en el terminal. Puede utilizarse con GPRS, en HSCSD y en EDGE y está basado en Kasumi para 3G que asegura la confidencialidad e integridad, y clave de 128 bits.

Pero A5/3 no es suficiente, teóricamente está roto. Las mismas claves (RAND) son usadas en A5/1 y en A5/3. Y con un ataque semi-activo, como comenta Nohl en su presentación, interceptando una comunicación cifrada y pidiéndole a través de una estación base falsa que reutilice la clave, si damos con dos RAND iguales tendremos dos claves idénticas.

Ya va siendo hora de que la operadoras y empresas de telefonía móvil se pongan las pilas para proteger la privacidad de las llamadas móviles.

[+] Presentación del proyecto
[+] Web oficial del proyecto
Leer más...

29 diciembre 2009

Cambios en RootedLabs y recordatorios

Ayer se anunciaron tanto en la web de RootedCON como de RootedLabs dos actualizaciones sobre estas acciones formativas debido a su alta demanda.



La primera de ellas, es que el número de plazas reservadas para cada seminario será de 12, y no 15 como se anunció inicialmente. Por ello, y en segundo lugar por tanto, se han añadido nuevas fechas para 3 de los 6 labs que formarán parte de este conjunto de actividades, los labs de Técnicas de Inyección en Aplicaciones Web, Pentesting y Reverse Engineering. 

A día de hoy la ocupación de los labs garantiza la ejecución de los seis seminarios. En caso de que las nuevas fechas se llenen, se abrirán esos horarios. Por tanto, el horario quedará de la siguiente forma, incluyendo las nuevas fechas:

Lunes, 15 de Marzo
Martes, 16 de Marzo
Miércoles, 17 de Marzo
Os recordamos también que se acerca la finalización del primer plazo del registro en el que la entrada normal costará 50€ y la de estudiante 25€. Desde la organización se recuerda que las fechas no corresponden con el momento en el que se cumplimenta el formulario de registro, si no que el precio se determinará en función de cuando se cierre la reserva (pagada y finiquitada).

Como ya se comentó cuando se anunció la información del registro al evento, cada mes se iría incrementando el precio de las entradas. Conste también que el precio no será desorbitado, pero siempre conviene ir reservando plaza lo antes posible.


Fecha

P. Normal

P. Estudiante

01-Diciembre-2009
31-Diciembre-2009
50€
25€
01-Enero-2010
31-Enero-2010
75€
40€
01-Febrero-2010
28-Febrero-2010
100€
55€
01-Marzo-2010
en adelante
140€
80€




Pronto veremos como lo verde, indicando el período en el que nos encontramos, cambiará de posición.
Leer más...

28 diciembre 2009

Estudio EGM sobre blogs de lengua Castellana


Sorpresa al final del año, según nos informa un lector que prefiere quedar en el anonimato, mirando la web de la asociación AIMC, (la asociación que se encarga de elaborar el archi-famoso 'Estudio general de medios') ha descubierto lo que parece ser un un estudio de audiencia sobre blogs en lengua castellana.

Y la sorpresa (además de este nuevo estudio) es que SbD aparece entre los 25 blogs con mas audiencia !

Según se puede ver en la web de AIMC, SbD es el segundo blog de seguridad con mas visitas (solo superado por nuestros compañeros de SpamLoco) y se sitúa en el puesto numero 20, todo un logro siendo que apenas llevamos un año y medio 'de vida'.

Sin duda alguna nos sorprende mucho la gran acogida y nos congratulamos por la excelente calidad de nuestros lectores a quienes nos debemos.

Tampoco quiero dejarme por felicitar a nuestro simpático troll que tiene el honor de ser el motivo por el cual tuvimos que moderar los comentarios. Su enorme perseverancia para resolver hasta 40 captchas de forma consecutiva para llamarnos HDP, nos hace pensar que si queda en España gente con el suficiente tesón y espíritu como para salir de esta crisis.

A todos GRACIAS y feliz año nuevo !!
Leer más...

27 diciembre 2009

Análisis de antivirus para Mac: Kaspersky Antivirus

Debido a la creciente demanda del sistema operativo de la manzana (sí, ya sé que Windows 7 tiene aún más demanda), los chicos malos, las mafias y los creadores de virus y malware empiezan a pensar en generar nuevas amenazas para el nicho de usuarios de los PCs de diseño. Porque ¿hay virus para Mac, verdad? En esta tira cómica dicen que no... aunque en SbD ya dejamos claro alguna vez que las botnets empiezan a dar señales de vida

Así pues, los fabricantes de antivirus empiezan a ponerse las pilas y a crear mecanismos de defensa para este mercado.

Tiempo atrás estuve probando una versión de Trendmicro Smartsurfing para Mac, pero desistí de continuar por haberme dado más problemas inicialmente de los deseables para un sistema operativo de escritorio.

Tiempo atrás ví el de Kaspersky, así que opté por bajarme la versión de 30 días de evaluación. Luego, ya veremos si me la compro o si se la pido a los Reyes, puesto que a Papa Noel Enterprise no me dio tiempo a escribir la carta.

Lo he instalado de la forma habitual en Mac OS X. Se activa la licencia de 30 días y a correr. La apariencia está bastante cuidada, aunque realmente, lo que me interesa no es eso, sino el funcionamiento correcto. Actualizo los ficheros de firmas y empezamos con la fiesta.


La primera prueba que se suele hacer cuando se instala un antivirus, para evitar comprometer la salud de una máquina es bajar la cadena de pruebas Eicar. Como podemos ver, lo detecta perfectamente:


Investigando sobre el número de firmas de virus detectados disponibles, lo más normal es pensar que, puesto que hay muy poquitos virus para Mac OSX, la lista será bastante corta y de ahí que el rendimiento sea tan bueno. Pues error mío, la lista de virus detectados en la versión probada es de 3.394.563 virus diferentes!!!!. Mi pregunta es: ¿Para qué tantos? Si el objetivo de este antivirus es la utilización como protección de escritorios con el sistema operativo de Apple, ¿para qué buscar virus destinados a otras plataformas? ¿Será verdad que vale para proteger la m áquina de virus destinados a Windows? Probemos con un antiguo virus que detecté en otra plataforma (un backdoor para Win32). Efectivamente, al terminar de traérmelo con un scp desde una máquina UNIX, un pop-up con sonido de un rugido de un león nos avisa que algo una nueva amenaza ha aterrizado en el disco duro (Backdoor.Win32.Oderoor.D).

Por tanto, efectivamente, esta detectando virus para Windows también. Parece útil en el caso de compartir unidades con dominios Microsoft que otros us uarios puedan utilizar como repositorio de almacenaje de información. Sin embargo, para proteger máquinas Mac, creo que lo normal sería tener una lista actualizada de firmas de virus para el propio sistema operativo.

En nuestra búsqueda de malware específico para Apple, damos con esta página, y bajamos varios ficheros. Siguiente fallo del antivirus de Kaspersky: Por defecto, no analiza los ficheros comprimidos, por lo que nos "cuelan" tres virus sin tener noticias de ello. Eso sí, nada más descomprimirlos, los rugidos del león (también por defecto) casi despiertan a los vecinos y nos permiten tener en cuenta las nuevas amenazas.


En resumen, de momento, y tras "tocar" la configuración por defecto para el análisis de los ficheros comprimidos, parece ser que el antivirus funciona bastante bien, no consume muchos recursos aún teniendo en cuenta los 3 millones de virus no específicos para Apple. En los antivirus resulta imprescindible que sea como el márketing de los anuncios de Tampax, en los se promete que las usuarias ni notan que los lleven puestos. Veremos durante los siguientes 30 días si el número de amenazas detectadas en la utilización normal del PC me resulta molesto en algún momento, o me provoca más falsos positivos de los que debería... De momento, y mientras las amenazas para Mac estén controladas, creo que no tendré problemas para conciliar el sueño, tanto con como sin antivirus.
Leer más...

26 diciembre 2009

Top 15: ataques más frecuentes

A principios de este año Verizon Business dio a conocer su tan esperado informe anual 2009 Data Breach Investigations Report. Ahora, la compañía amplia su investigación lanzando 2009 Supplemental Data Breach Report, que revela los 15 ataques más frecuentes contra las organizaciones y la forma en la que se desarrollan.

El informe identifica, clasifica y esboza los ataques más comunes. Para cada tipo de ataque, el informe proporciona escenarios reales, señales de alertas, cómo se ha orquestado el ataque, en qué activos se centraron los atacantes, qué industrias son las más afectadas y cuáles son las contramedidas más eficaces.

Además clasifica e identifica un top 15 de ataques de seguridad por infracciones cometidas y registros comprometidos.

  1. Keyloggers y spyware (19%)
  2. Puerta trasera, comandos de control (18%)
  3. SQL Injection (18%)
  4. Violación de privilegios/acceso del sistema (17%)
  5. Acceso no autorizado a través de credenciales por defecto (16%)
  6. Violación de las políticas de uso (12%)
  7. Acceso no autorizado a través de listas de control de acceso (ACL) mal configuradas (10%)
  8. Sniffers (9%)
  9. Acceso no autorizado a través de credenciales robadas (8%)
  10. Ingeniería social (8%)
  11. Authentication bypass (6%)
  12. Robo físico de activos (6%)
  13. Ataques por fuerza bruta (4%)
  14. RAM scraper (4%)
  15. Phishing (4%)
No podemos detectarlo todo, no podemos prevenirlo todo, pero siempre nos irá mejor si nos preocupamos en tener un buen conjunto de indicadores y controles que nos ayuden a mitigar los riesgos.

¿Se preocupan las organizaciones en mantener un conjunto de indicadores y controles adecuados? ¿Y las redes sociales y la industria 2.0? de las que hemos podido ver como sus registros han sido comprometidos durante este año de manera desmesurada.

Leer más...

25 diciembre 2009

Feliz Nav[IIS]dad


Cada uno celebra la Navidad como quiere, por ejemplo Soroush Dalili ha regalado a los chicos de Microsoft trabajo extra para estas fechas tan señaladas. La liberación de la vulnerabilidad de "punto y coma en IIS" o como reza el título del documento: "Microsoft IIS 0Day Vulnerability in  Parsing Files (semi‐colon bug)" permite que cualquier extensión de archivo sea ejecutada como un Active Server Page (ASP) o cualquier otro tipo de ejecutable. Ho-ho-ho. Feliz Navidad.

Con un ejemplo el problema se entenderá mejor. Si tenemos un foro que permite la subida de un fichero de imagen para nuestro perfil y la aplicación únicamente comprueba que la extensión sea un archivo jpeg, un usuario gamberro podría mandar un archivo con nombre "mifoto.asp;.jpg" y este sería ejecutado como un asp. Esto le permitiría al usuario cosas como la ejecución de comandos, lectura de ficheros del sistema y otras cuantas por las que los Reyes Magos le traerían mucho carbón.

No he llegado a probarla, pero es tan ridícula que seguro que funciona perfectamente. Queda esperar que dicen los pro-Microsoft, además de protegerse bajo el discurso de que no afecta a aplicaciones bajo tecnología .NET (aspx). Por otra parte, Secunia confirma su existencia en IIS6 y  la cataloga como Less Critical (2 sobre 5)
Leer más...

24 diciembre 2009

Querido Papa Noel Enterprise


Teniendo en cuenta que este año hemos escrito todos los días un post, hemos contestado comentarios y ayudado a nuestros compañeros, nos gustaría solicitar algún detallito para poder seguir con ánimo este nuevo año que pronto se presenta.

Como no queremos convertirnos en el niño de Goma Espuma y tener que mandarte otra carta el día 26 (el 27 no que ya estoy ocupadoo), te lo pondremos fácil ajustando el presupuesto a uno más que aceptable como son 3.000€ de nada. Eso para un Papa Noel Enterprise no es debería ser problema.

En primer lugar, y teniendo en cuenta que es por donde se empieza, queremos una licencia de Maltego para un añito (430$) con la que podamos hacer cosas tan chulis como la que ocurrió con Tony Hawk.

Luego nos gustaría que nos sorprendieses con un maravilloso número de serie para Nessus y su feed profesional, es el regalillo más caro (1200$), pero ya se sabe lo útiles (incluso demasiado) que son este tipo de herramientas en los tiempos que corren.

Para que las auditorías web nos sigan saliendo bien o incluso mejor, te agradeceríamos que dejases en nuestro calcetín el Burp Proxy Pro (169£). Tampoco estaría de más darle una oportunidad al Pangolin (400€) este año y ya veremos como resulta.

La antenita Pringles u otros inventos similares ya no se llevan de moda, asi que para analizar entornos wireless si es posible y entra en tu zurrón rojo, el adaptador de cacetech AirCap NX (699$) y la utilidad VisiWave (549$)  nos facilitarán algunas de las tareas que hacemos diariamente.

Pese a que hemos luchado durante todo el año contra los malos, además de todas estas peticiones para atacar, no importaría que pudiéramos prepararnos para la defensa. Nada mejor para eso que fortificar nuestros sistemas con las guías de bastionado de CIS y sus utilidades, que a bien puedes tener por regalarnos una membrecía  por tan solo 300$.

Para finalizar y como algo se nos escapará en esto de controlar la seguridad. Nos gustaría solicitar una herramienta que nos ayude en la tarea de investigar y reportar cuando ocurra algún incidente. Así, sin que duela demasiado en el bolsillo, X-Ways Forensics (748$) parece una buena solución.

Muchas gracias y espero ansioso ver tus capacidades con las mesas de compras. ¡Ah! no quiero oír quejas que para reyes haremos nueva lista.
Leer más...

23 diciembre 2009

Cuando la privacidad importa


En los tiempos que corren existe una inquietud cada vez mas creciente sobre la privacidad, por poder tener la certeza de que una comunicación no está siendo 'escuchada' por quien no debe y mantener a salvo nuestros datos.

Supongo que cosas como SITEL ayudan bastante a que ese nivel de conciencia crezca e introduce interesantes reflexiones sobre la libertad real que nos ofrece Internet.

Pero el caso es que este artículo no quiero que esté escrito 'con el papel albal en la cabeza' mayormente porque creo, sinceramente, que ese tipo de enfoques han convertido el concepto de 'la privacidad' o el uso de herramientas de cifrado en algo de nicho, dotándolo de un halo de misterio que ha hecho mas mal que bien. Parece que si alguien se molesta en cifrar sus correos y conexiones es porque 'tiene algo que esconder' o el otro tan manido tópico '¿a mi quien me va a espiar?'.

Ya va siendo hora de tirar por tierra esos enfoques caducos y trasnochados, el concepto de privacidad y cifrado, en un mundo ultra-móvil, donde es muy frecuente que al cabo de la semana hayas usado el correo, chateado o navegado por la web del banco desde múltiples ubicaciones, resulta iluso pensar que no estamos corriendo riesgos.

¿Te fías de la WIFI del hotel, compartiendo direccionamiento con X personas mas? Yo, No y es mas, te podría contar casos de gente normal, como tu y como yo que han tenido serios disgustos por no tomar precauciones en entornos aparentemente 'seguros'


¿Crees de verdad que una red ethernet corporativa es un entorno seguro? Entonces es que no conoces Cain&Abel

Al hilo de todo esto, quiero presentar un servicio que me ha entusiasmado por su concepto y por la forma en la que está implementado (con magnificas guías, convirtiendo lo difícil en algo realmente sencillo).

Lo han implementado un grupo de Españoles y se llama Tu VPN.

Básicamente lo que ofrecen es un servicio de VPN compatible con Windows / Mac y Linux que permite obtener una conexión con cifrado fuerte desde tu extremo hasta un servidor localizado en diferentes puntos geográficos (Rumanía, Suiza, Inglaterra y EEUU)

Creo que es un servicio muy muy interesante para usuarios con un perfil de movilidad medio / alto que necesitan estar 'siempre conectados' y no por ello han de sacrificar su seguridad.

Posiblemente alguien crea que TOR 'hace lo mismo' y conceptualmente lo es, pero no olvidemos que TOR está formado por maquinas de las que nada se sabe y ya se han dado casos de nodos falsos que han sido usados para robar credenciales.
Leer más...

22 diciembre 2009

Seguridad en aplicaciones web y gobiernos


El pasado 10 y 11 de Diciembre se celebró el evento IBWAS'09 (Iberic Web Application Security), en el que el tema principal era la seguridad en aplicaciones web. Esta iniciativa fué organizada por los capítulos tanto de España como de Portugal de OWASP, reuniendo a un gran número de protagonistas.  De toda la agenda, lo más esperado era el último de los paneles, que consistía en una mesa-coloquio cuya temática giraba en torno a lo que deberían hacer los gobiernos en el 2010 en lo que concierne a la seguridad en aplicaciones web.



Es algo de lo que hablamos mucho por aquí: falta concienciación en general sobre este tema, y lo peor es que cada vez se confía más en dichas aplicaciones web para realizar muchas tareas importantes de nuestra vida que nos hacen ahorrar colas...pero...¿es preferible pedir una mañana libre y despertarse a las 6AM para coger número o ver como una inyección SQL en un parámetro consigue obtener todos los datos que guardas en una carpeta en el fondo de tu armario?

En ocasiones todo queda en multas, a salir en los medios (pero en la sección de tecnología ¿eh? que hay cosas más importantes por las que preocuparnos, como por ejemplo las narices de la gente...), a ser protagonista en posts de blogs con diferentes capturas de pantalla, tapando con spray negro del paint ciertas columnas de un dump de base de datos, pero a la semana siguiente...




Volviendo a la cuestión que se planteaba en el último panel de IBWAS antes de la clausura, se ha distribuido un comunicado de prensa por parte de la organización resumiendo las conclusiones a las que se llegaron y qué ofrece todo lo que rodea la iniciativa OWASP. No hay que invertir grandes sumas de dinero, tampoco hay que cuadrar mucho presupuesto en esas pestañas del Excel de las compañías que se destinan a tareas de formación: "simplemente", es bajarse un pdf/doc y visitar una wiki...He exagerado, pero ya me entendéis.

A continuación dejo dichas conclusiones:

1. OWASP incita a los gobiernos a trabajar conjuntamente para aumentar la transparencia de la seguridad de aplicaciones web, especialmente con respecto a los sistemas de salud, financieros y todos aquellos en los que la privacidad y confidencialidad de los datos sean fundamentales.

2. OWASP buscará la participación con los gobiernos de todo el mundo para desarrollar recomendaciones en la incorporación de requisitos especificos de seguridad de aplicaciones y el desarrollo de marcos adecuados de certificación en los procesos de adquisición de software en programas gubernamentales;

3. OWASP ofrece su ayuda para aclarar y modernizar las leyes de seguridad informática, permitiendo a los Gobiernos, los ciudadanos y organizaciones a tomar decisiones informadas acerca de la seguridad.

4. OWASP pide a los gobiernos alentar a las empresas para que adopten normas de seguridad de aplicaciones que, de ser implementadas, ayudarán a proteger a todos nosotros de las fallas de seguridad, las cuales podrían exponer información confidencial, permitirían operaciones fraudulentas e incluso incurrirían en responsabilidad jurídica.

5. OWASP se ofrece a trabajar con los gobiernos locales y nacionales para establecer tableros de comando de seguridad de aplicaciones que proporcionen una visibilidad en el gasto y apoyo a la seguridad de aplicaciones.

[+] Listas de correo OWASP-Spain y OWASP-Spanish
Leer más...

21 diciembre 2009

Herramienta: Are you a Spammer?

Tiempo atrás publicamos un post con diferentes buenas prácticas utilizadas para aumentar la probabilidad de que nuestros correos lleguen bien a su destino.

Los dispositivos antispam, en su misión de decidir si un correo debe clasificarse o no como aceptable y útil para un usuario, utilizan diferentes mecanismos y algoritmos para cumplir con su cometido. De las primeras cosas que éstos analizan es sobre lo confiable que es la IP que envía el correo. Para ello, se basan en consultar a diversos servicios online si la dirección IP a analizar está en una lista negra o no. Para que una IP aparezca listada en estos servicios, tiene que haber sido reportada/denunciada con mayor o menor acierto.

El aparecer en una de estas listas, suele empeorar la calidad del servicio de correos enviados por nuestra organización. En casos extremos, puede resultar en una denegación del servicio de correo saliente al 100% debido a que puede que el ISP puede tomar medidas drásticas bloqueando el tráfico del puerto 25 saliente. Llegado a este punto, los administradores de sistemas comienzan a buscar en diferentes servicios web que permiten ver si una IP en concreto está en algunas listas negras. La más completa que he encontrado es la de Whatismyipaddress.

En este caso, el análisis de las listas negras en las que se encuentra la IP se hace manual y voluntariamente cuando ya se ha degradado parcial o totalmente el servicio.

A fin de disminuir el tiempo de resolución de la incidencia, y porque como decía el doctor Ocaña, "Más Vale Prevenir", presentamos una herramienta que automatiza la comprobación con un número grande de listas negras conocidas (más de 90) basándose en el servicio ofrecido por Whatismyipaddress. La idea es poder lanzar vía línea de comandos y de forma periódica (lo normal y razonable sería al menos una vez al día, aunque en sitios en los que el correo sea de gran criticidad podría aumentarse la frecuencia) una herramienta que permita conocer cuanto antes que nuestra IP ha sido reportada como spammer. Para ayudarnos en esta tarea podemos utilizar amISpammer?.

El modo de funcionamiento es muy sencillo. Como único parámetro obligatorio hemos de pasar la dirección IP que queremos comprobar a amISpammer.pl. Si no le indicamos nada más nos mostrará por en el terminal las listas negras en las que la IP aparece como reportada.

Por ejemplo, tomando una IP listada en el SANS, obtenemos lo siguiente:
[root@Carmen ~]# amISpammer.pl -i 218.30.22.82 -v0 am I Spammer? 19/12/2009 (http://www.lorenzomartinez.es/projs/amispammer) By Lorenzo Martinez (lorenzo@lorenzomartinez.es)
blackholes.five-ten-sg.com red
no-more-funn.moensted.dk red
spam.dnsbl.sorbs.net red

Como se ve, aparecen tres listas negras con categoría "red", lo que quiere decir que está reportada.

Como parámetros opcionales se puede cambiar el nivel de detalle; con -v2 aparecen todas las listas que se comprueban sea su resultado "green" (not blacklisted), "red" (blacklisted), "blue" o "grey" (que la lista negra no está disponible en este momento. Con -v1 y -v2). Asimismo se pueden pasar más parámetros para hacer que envíe un correo con los resultados al terminar (esta funcionalidad sólo es válida con nivel de detalle mínimo, es decir, sólo cuando se detecta que la IP ha sido reportada en alguna lista negra). Esto es útil cuando se deja hecha una tarea en un cron para que se compruebe periódicamente y de forma desatendida. Por ejemplo:

30 4 * * * /usr/local/bin/amISpammer.pl -i 213.X.Y.Z -v0 -f root@sender.com -t root@recipient.com >> /dev/null 2>&1

Así, y en caso de aparecer en una lista negra, nos llegará un correo indicándonoslo para poder tratar la incidencia cuanto antes.

La herramienta ha sido desarrollada íntegramente en Perl, y comprobado su funcionamiento en Linux, Mac OSX y Windows (XP y 2003). Como dependencias, sólo en caso de querer envío de correos, necesitaremos el módulo Mail::Sender.

Queda en mi "To Do", hacer que la herramienta efectúe con threads las comprobaciones, en vez de hacerlas de forma iterativa. Quedo a vuestra disposición ante sugerencias para añadirle más funcionalidades a la herramienta.

Update: He subido la herramienta al repositorio de herramientas de SBD, así que la podéis descargar de aquí también.
Leer más...

20 diciembre 2009

El tío Malware viene a casa por navidad

Se acerca la noche de navidad. Nos esperan unos días ajetreados buscando los preparativos para la cena y comprando los regalos para sorprender a nuestros familiares y amigos. Decoraremos la casa con motivos navideños, prepararemos la mesa, colocaremos los adornos bajo el árbol y también deberemos proteger nuestra red y sus componentes de los "intrusos" que querrán usarla.

Quién no tiene el típico familiar "store". Sí, aquel que dejó atrás sus tarrinas de DVDs y ahora va con su disco duro de 2 Teras bajo el brazo. Lo imaginas enseñándotelo y diciéndote "¿puedo pincharlo en tu PC para descargármelo todo? Esa imagen te horroriza, te sale urticaria sólo pensar en su disco duro infectado de malware. No olvides actualizar tu antivirus y activar las protecciones de seguridad al máximo nivel, ya que aunque te inventes la mejor de las escusas logrará conectarlo a tu PC.

Te comentan que tu suegro se ha vuelto moderno y se ha comprado un netbook. Ha oído decir en su oficina que le pueden robar su información personal y como sabe que eres informático quiere que le protejas su ordenador. !Qué mejor regalo! que tener preparado un DVD con herramientas como un AV, firewall, algún anti-rootkit. Así quedarás como el nuero simpático securizándole su máquina.

También puede venir a casa el tío Larry. Sí, aquel que te pide que le dejes un rato el ordenador para ver alguna paginita... te guiña un ojo y te sonríe. Sabes que deberías dejarle si no quieres que le cuente a tu suegra lo contento que te encontró el otro día cuando ibas de cena con tus compañeros del trabajo. Pero la idea de pensar que navegará por sitios donde hay más malware que imágenes de mujeres desnudas hace que se te ponga la piel de gallina. Para este tipo de personaje podríamos tener preparado un perfil de invitado con cero privilegios.

Durante estos días de preparativos no olvides todos estos pequeños intrusos que pueden aparecer el 24 por la noche en tu casa y querrán usar tu ordenador y tu red. La mejor opción sería decir "no", pero todo sabemos que es una palabra que a un suegro no se le debe decir, ya que en cuanto entran por la puerta parece que nos han owneado. Y aunque nos digan que les dejemos nuestra clave, eso nunca! mejor tener un perfil de invitado y un buen antivirus para que naveguen un rato por la red.
Leer más...

18 diciembre 2009

Guía de Seguridad para la generación de CAPTCHAs


Jonathan Wilkins (twt), consultor independiente, ha publicado una guía para la generación de CAPTCHAs seguros en la que se detalla y profundiza las principales debilidades y fortalezas de este sistema.

El documento, pese a que su contenido es un buen resumen, parece que es una excusa para presentar un análisis al sistema utilizado en reCAPTCHA, adquirido este mismo año por Google.

 reCAPTCHA tiene por objetivo utilizarnos como OCR  humano (al puro estilo Matrix), mediante la generación de CAPTCHAs obtenidos de origines como son libros o revistas que están siendo digitalizados y de los que algunas palabras no han podido ser detectadas completamente.

De esta forma, la imagen generada muestra dos palabras que han de ser introducidas para superar el test. Una de ellas es el CAPTCHA real que es creado en base a una palabra conocida. La restante, es generada en base a una palabra que no fué reconocida por el  proceso de OCR y que se presenta con la intención de que sea el usuario quien reconozca los carácteres. Por lo tanto, solo es necesario escribir correctamente la real, siendo ignorada en la validación la otra.

El estudio de Jonathan Wilkins, al que ha acompañado una herramienta como prueba de concepto, evidencia que el uso de palabras de diccionario (en este caso en inglés) facilita la tarea de reconocimiento por parte de procesos automáticos, consiguiendo una tasa de acierto aproximada del 17.5%.


Google ha respondido a este documento insistiendo en que las pruebas se han llevado a cabo con imágenes del año 2008 que no incluyen nuevas características incluidas posteriormente, por lo que la efectividad para resolverlos automáticamente no está demostrada.

Leer más...

17 diciembre 2009

Armándonos para el ataque!! (2 de 2)

Como decíamos en la anterior entrada, nuestra intención es unificar las herramientas existentes en diferentes distribuciones Linux especializadas en seguridad, en una sola. Habíamos elegido un entorno virtual para albergar dicha distro por limpieza y/o por incompatibilidad con el sistema operativo que utilizamos normalmente en nuestro portátil o en nuestro servidor que podamos en tener en un hosting.

El estado anterior es que partíamos de Samurai instalada en disco duro (de la máquina virtual), más los repositorios de Backtrack, y habíamos tenido la posibilidad de disponer e instalar diferentes herramientas de Backtrack mediante el gestor de paquetes Synaptic.

Pasos siguientes:
  • Actualizar la versión de Ubuntu (opcional). La última versión disponible hasta el momento de Samurai está basada en Ubuntu 9.04. El gestor de paquetes Update Manager y sus comprobaciones automáticas nos recomendarán actualizar a la última versión posible. En mi caso lo he hecho simplemente por contar con los últimos paquetes disponibles.
  • Metasploit: Este excelente framework de auditoría es uno de nuestros favoritos.Para ello he seguido los pasos que indicaban aquí, y sin mayores complicaciones he instalado la versión 3.4-dev. Si necesitas ayuda para aprenderlo a utilizar, te recuerdo que aquí tienes un curso online gratuito según nos informó Yago tiempo atrás
  • Wireshark: Otra herramienta imprescindible que si no se instala, por defecto no viene con Samurai (creo que sí con Backtrack). Tan sencillo como mediante Synaptic o línea de comandos "sudo apt-get install wireshark".
  • VNC: Si nuestra máquina virtual está en una máquina remota, sin sistema gráfico, exportar las X a nuestro PC de escritorio para según qué tipo de cosas puede ser un tanto desesperante (por experiencia propia). Se soluciona con "sudo apt-get install vino" y en el menú System -> Remote Desktop tendremos que configurar el servicio y la contraseña.
  • Arranque/Suspensión/parada de la máquina virtual desde el sistema operativo Host: Para no tener la máquina virtual arrancada permanentemente ocupando recursos de la máquina que la alberga constantemente, podría ser interesante levantar y apagar la máquina virtual mediante línea de comandos. De esta manera, teniendo acceso SSH a la máquina externa podemos suspender o reanudar la máquina virtual cuando sea necesario. Para ello se hace necesario instalar las vmware-tools en la máquina virtual. Como está Samurai está basada en Ubuntu, he seguido los pasos que se indican aquí. Finalmente, desde la máquina externa, y mediante línea de comandos mediante el vmware-cmd, ejecutaremos: "vmware-cmd /samba/vmware/Samurai/Samurai.vmx start/suspend" dependiendo de si queremos reanudar o suspender la máquina virtual.

He podido comprobar para usuarios del software de virtualización Parallels 5 para Mac (en una versión de evaluación), que mediante la herramienta de conversión Parallels Transporter, es posible y transparente importar la máquina virtual de vmware, simplemente hay que indicarle que es una Ubuntu al importar y todo el proceso irá sobre ruedas.

Hasta ahora, es todo lo que he añadido a este arma de auditoría/combate multipropósito. Recuerda que la utilización de algunas herramientas dispuestas en esta máquina virtual pueden ser peligrosas si no se tiene en cuenta el cumplimiento de las leyes de tu país y sobre todo, con sentido común. Recomendamos su uso con fines académicos y profesionales.

Quedo a vuestra disposición para recomendaciones y sugerencias.
Leer más...

16 diciembre 2009

Armándonos para el ataque!! (1 de 2)

Tanto por nuestro trabajo, como por hobby o por inquietud personal, muchas son las ocasiones en las que nos sería útil disponer de una completa caja de herramientas de seguridad con las cuáles poder llevar a cabo una auditoría (en el caso laboral) o una... "auditoría" en el caso personal de alguna dirección IP que contenga los más variados servicios.

Debido a que en general, este tipo de herramientas suelen funcionar en Linux y, por políticas de seguridad corporativas o por gusto personal, los portátiles homologados en las compañías suelen ser Windows (o en algún caso Mac), es cada vez más común la utilización de LiveCDs especializados en diferentes campos que ponen a nuestra disposición dichas herramientas de hacking.

En SbD hemos hablado varias veces de algunas de estas distribuciones Linux como Samurai (especializada en auditorías web), Wifislax (auditorías wireless) o Backtrack (auditorías genéricas de red)... Incluso Laura hizo un recopilatorio de LiveCDs de seguridad basados en Linux, que tuvo bastante éxito.

La mayoría de dichas distribuciones funcionan arrancando desde un CD, pero poseen generalmente una forma de instalación sobre el disco duro por si queremos dedicar un PC en cuerpo y alma para hacer este tipo de actividades. En la misma línea y tanto para evitar tener que hacer particiones de discos o para evitar contar con una distribución Linux que sólo es buena para un fin, los profesionales de la seguridad, solemos crear máquinas virtuales sobre Windows, Mac o incluso otros servidores Linux con instalaciones compactas de las mencionadas distros especializadas.

Si contamos con una máquina Linux fija en algún servidor de hosting o nuestro propio portátil de trabajo lo es, el tener que instalar diversidad de herramientas que se puedan ir al garete en una futura reinstalación, un cambio de trabajo, una potencial pérdida del equipo o, el tener tus herramientas en máquinas virtuales que se puedan exportar y hacer backups en medios externos, aporta muchos beneficios.

Muchas de estas distros están basadas en Ubuntu, por lo que son compatibles entre sí. Gracias a ello, he querido hacer un recopilatorio de varias de estas distribuciones, en una sola, pudiendo contar con lo mejor de varias de ellas en un potente repositorio.

¿Sobre qué lo instalo?

Precisamente una de las metas es liberar mi máquina para todo uso, de tener que contar con herramientas de ataque/auditoría. Así pues, esa plataforma que cuenta con un sistema operativo Linux CentOS 4 con Vmware Server será la encargada de dar cobijo a la nueva máquina virtual.

¿Cuál es el objetivo?

Partiendo de la distribución Samurai Linux, comentada por Yago tiempo atrás, lo que haremos será hacer una instalación a disco (en una máquina virtual). A partir de ahí y una vez configurados los parámetros de red, añadiremos los repositorios de Backtrack 4. El siguiente paso es instalar aquellas herramientas que queramos de Backtrack, así como el framework Metasploit. Para poder arrancar y parar la máquina virtual desde línea de comandos desde la máquina de fuera, necesitamos tener instaladas las vmware-tools en la máquina virtual. Para control gráfico añadiremos VNC (o Vino para Gnome). Asimismo, añadiremos algunas extensiones Firefox que nos pueden ayudar y haremos un upgrade de versión de Ubuntu, quedándonos una distribución relativamente "portable", con todas las herramientas necesarias sin necesidad de ensuciar nuestra máquina original.


Pasos seguidos
  • Creamos una nueva máquina virtual. En mi caso, el hardware emulado fue: 512 MB RAM y 6 GB disco duro (aunque finalmente tiene ocupados 3,4 GB
  • Procedemos a Bactrackizar nuestra Samurai como comentaba Alex aquí. Para ello, editándolo con sudo, añadimos al fichero /etc/apt/sources.list la línea "deb http://repo.offensive-security.com/dist/bt4 binary/". El tip con los repositorios lo encontré aquí donde José Selvi nos explicaba como partir desde una Ubuntu para tener las herramientas de Backtrack.
  • Al actualizar la información de los diferentes repositorios mediante "sudo apt-get update" nos encontraremos con un error debido a que no tenemos la clave GPG necesaria. Para evitar este error ejecutaremos:
  • gpg --keyserver keyserver.ubuntu.com --recv 720DB78AC5717CD1
  • gpg -armor --export 720DB78AC5717CD1 | sudo apt-key add -
  • Finalmente el siguiente "sudo apt-get update" ya funcionará correctamente. Mediante la herramienta gráfica de gestión de paquetes Synaptic podremos seleccionar los diferentes paquetes de Backtrack que ahora aparecerán disponibles y serán completamente compatibles con Samurai.


  • Elegiremos aquellas herramientas que queramos y ya contaremos, de momento con una distribución excelente para hacer auditorías web más la potencia de las herramientas de Backtrack para auditorías de red.
    En una entrega posterior explicaré como continuar con el procedimiento de personalización y adición de herramientas a esta distribución híbrida.
Leer más...

15 diciembre 2009

Panda parte la pana


Mucha gente suele criticar que en España, cuesta alegrarse de los éxitos patrios y que resulta mas fácil ensalzar los ajenos (preferiblemente si la empresa / persona tiene un nombre anglo-sajón)

Destruyendo un poco ese tópico hoy toca dar la enhorabuena a Panda Security por un excelente año lleno de éxitos y reconocimientos.

El curriculum es largo y sobre todo destacan dos premios por encima de todos, uno, a título individual, que ha ganado el CEO de Panda Juan Satana. Nada mas y nada menos ha sido seleccionado entre los  25 ejecutivos más innovadores del mundo, según CRN. ¿Quienes eran los otros 25? Desde el CEO de Twitter, el fundador de Ubuntu, el presidente de ASUS, gente de Google ... la lista completa aquí

El segundo premio, mas local, ha sido el Príncipe de Asturias a la excelencia empresarial.

Al margen de todo esto, también cabe señalar la excelente acogida que ha tenido su Cloud Antivirus y su compromiso con la iniciativa del CNCCS



Sin duda es muy muy bueno para España que haya empresas trabajando tan bien, innovando y creando oportunidades para la gente que quiera dedicarse a la seguridad y busque un entorno de alto nivel sin tener que marcharse al extranjero.

Enhorabuena Panda !
Leer más...

14 diciembre 2009

YASNP: Yet Another Social Network for Pedophiles

Hace poco llegó a mis manos una noticia, en donde se comentaba que los federales habían detenido a un hombre de 40 años que tenía creado un perfil ficticio en una red social llamada Stickam haciéndose pasar por un joven de 17.

Se dedicaba a ligar con jóvenes menores de edad, haciéndolas creer que era su ciber-novio y animándolas a realizar actos sexuales en un vídeo chat privado, que posteriormente grababa y publicaba en una sección llamada "Anonib-Teens No Rules".

El FBI recolectó alrededor de 100 vídeos de niñas menores de edad a las que engañó con este pretexto. The New York Times ya había informado en julio del 2007 que esta comunidad social contaba con usuarios menores de 14 años que participaban en sesiones de vídeo chat las cuales no eran filtradas. Además la noticia señalaba que el principal dueño del site operaba una amplia red de sites porno con los que compartía espacio, empleados y sistemas con la red social Stickam.

En The Times comentaron que esta gente no entendía que había depredadores en Internet, y los responsables del site negaban haber eliminado miles de quejas de abuso sin leer o responder a ellas, afirmando que se tomaban muy en serio las cuestiones de seguridad y tenían un equipo dedicado a controlar y eliminar el material inadecuado.

Según responsables del site los vídeos de la víctima nunca fueron publicados en Stickam.com, contrario a lo que un agente del FBI escribió en la denuncia penal. Por mi cabeza han pasado muchas ideas y ninguna buena sobre los responsables de la red social Stickam y me niego a creer que no estuvieran al tanto de la situación.

Ya hablamos en este blog sobre la forma de actuar de redes de pedofilia, si los controles son suficientes y si evolucionan a la misma velocidad que los mecanismos que los ciberdelincuentes usan para evitarlos. Los controles de seguridad y privacidad en las redes sociales son de vital importancia y más cuando se atenta contra la seguridad de nuestros menores.

Los padres y educadores también juegan un papel muy importante, porque aún añadiendo controles, denunciando desde los medios la falta de seguridad en las redes sociales, siempre puede haber un eslabón que se nos escape. La educación sexual es una tarea muy importante que no debe ser tabú entre padres y menores, cuanta más confianza y educación haya, cuanto más respeto por su cuerpo tengan los menores, hacerles entender que uno/a no se puede sentar y enseñar su intimidad a todo aquel que pasa por la red, más seguros estarán de estos monstruos sin escrúpulos, que han visto en la redes sociales y los chats un medio donde pueden guardar su anonimato y tener acceso a los menores de una forma más fácil.
Leer más...

13 diciembre 2009

Top 7 de productos atacados 2009


Ya están aquí las siempre tendenciosas 'listas de fin de año'. Se acerca el fin de Diciembre y supongo que desde ahora no pararemos de ver clasificaciones de todo tipo.

En este caso la gente de IndiaTimes (no confundir con el excelente blog Hacktimes) ha publicado una lista con el top 7 de productos que mas ataques han recibido.

Para cualquiera que siga Bugtraq no le sorprenderá esta clasificación, no obstante, es interesante ver a Windows (como sistema operativo) muy por debajo de lo que anteriormente nos tenía acostumbrados. Aunque en realidad, era de esperar


El Top 7 de la vergüenza:

  1. Adobe Reader 
  2. Internet Explorer 
  3. Mozilla Firefox
  4. Adobe Flash
  5. Apple Quicktime
  6. Microsoft Office
  7. Microsoft Windows (el sistema operativo)
Como se puede ver, este año el carbón va directo a las oficinas de Adobe que, siendo una compañía de una dimensión mucho mas pequeña que Microsoft, ha conseguido superarla en cuanto a problemas de seguridad.
Leer más...

11 diciembre 2009

ISACA lanza Risk IT

ISACA lanza Risk IT, el primer framework a nivel mundial relacionado con TI, que proporciona una visión global de los riesgos empresaliares asociados con las iniciativas de TI.

Este framework de descarga gratuita es un documento de 107 páginas basado en los objetivos de control (COBIT) para el gobierno de TI y proporciona el eslabón perdido entre la gestión de riesgos empresariales convencional y la gestión de riesgos de TI.

Mientras que COBIT ofrece un conjunto de controles para mitigar los riesgos de TI, Risk TI proporciona un framework que permite a las empresas identificar, gobernar y gestionar los riesgos de TI.

Podríamos decir que aquí mañana es un día ISACA, ya que tienen lugar los exámenes para CISA y CISM, desearos a todos los que os presentéis mucha suerte y que la fuerza os acompañe.
Leer más...

10 diciembre 2009

Abierto el registro para Rooted CON y RootedLabs


Ayer miércoles 9 de Diciembre se abrió el proceso de registro para la Rooted CON 2010, mientras nos encontramos en pleno proceso de selección de papers que conformarán el horario final. Recordad que el plazo del Call For Papers finaliza el 20 de Diciembre, así que si aún estáis a tiempo para enviar vuestras propuestas.


Como os anunciamos por aquí a principios de Octubre, Rooted CON es un congreso de seguridad informática cuya primera edición tendrá lugar los días 18, 19 y 20 de Marzo de 2010 en Madrid, y que se compondrá de charlas sobre seguridad informática de contenido altamente técnico. Desde aquel momento, hemos conocido finalmete el lugar exacto dónde se llevará a cabo: El Auditorio del Centro de Convenciones Mapfre, del que podréis encontrar más información en esta página.




El precio regular de la entrada es de 50€, y en caso de ser estudiante 25€. A medida que pase el tiempo (cada mes), el precio de la entrada irá incrementándose, ¡por lo que conviene registrarse cuanto antes! En el propio formulario de inscripción se deberá indicar si se desea también apuntarse al concurso Capture The Flag que se celebrará los días del congreso.

También se anunciaron las acciones formativas denominadas RootedLabs, las cuales consistirán en unos cursos o "labs" que se celebrarán durante los tres días previos al congreso, los días 15, 16 y 17 de Marzo en la Calle de Cartagena, 70, en Madrid.



El horario de estas acciones será el siguiente:

Lunes, 15 de Marzo
Martes, 16 de Marzo
Miércoles, 17 de Marzo

Como podréis ver, tanto los profesores como la temática presentada son de verdadero lujo. Las plazas para cada lab están limitadas a 15, siendo el coste de cada uno 200€ + IVA. El proceso de registro a dichas acciones es independiente al del propio congreso, y podréis encontrar más información del registro a RootedLabs aquí.

Poco a poco se va desvelando más información de este congreso, y en los próximos días, nos irán llegando más noticias, así que como se suele decir en estos casos...stay tuned!


[+] Página de Rooted CON
[+] Sección RootedLabs
Leer más...

09 diciembre 2009

Mundo centralizado: riesgos al pedir una pizza

Me ha llegado un correo que me ha hecho reir,... y además pensar. Evidentemente no es algo que pueda pasar o... que pueda llegarse a temer en España, donde la Ley Orgánica de Protección de Datos nos protegen de este tipo de incidentes ¿o sí?.

Por supuesto, la anécdota del correo es una exageración de lo que puede llevar la centralización y unificación de difernetes bases de datos y el cómo puede afectar el tener libre acceso a información personal y confidencial en algo tan inocente como pedir una pizza.

Ni que decir tiene que he sustituido los "datos personales" que aparecían en el correo por otros completamente inventados, incluso el de la pizzería (por si acaso esos no habían sido manipulados del todo y porque no queremos hacer ni buena ni mala publicidad a nadie).

OPERADOR: Gracias por llamar a Pizza Fail. ¿Puede facilitarme su Documento Nacional de Identidad?

CLIENTE
: Este... es que yo solo quiero encargar una pizza...

OPERADOR
: Pero para eso yo debo tener su Documento Nacional de Identidad.

CLIENTE
: Bueno... mi número es... espere... 610 12345678 - 45 - 54610.

OPERADOR
: Gracias, Sr López. Veo que usted vive en la C/Duque de Pastrana 33, 5ºA, su teléfono particular es el 915552233, su oficina está en Torre Picasso con teléfono 917778899, y su movil es el 666123456. Y usted está llamando, veo,.... desde su casa.

CLIENTE
: Es realmente cierto... pero ¿de donde saca toda esa información?

OPERADOR
: Es que estamos conectados a SITEL.

CLIENTE
: ¿Y eso qué es?

OPERADOR
: El Sistema Nacional de Seguridad. Esa conexión añade tan sólo 15 segundos al tiempo de cada pedido.
Bueno, ¿que pizza quiere?

CLIENTE
: Quisiera dos de sus 'All meat special pizza'.

OPERADOR
: No creo que sea una buena idea, señor...

CLIENTE
: ¿Cómo? ¿Qué dice?

OPERADOR
: Señor, sus informes médicos y otros sensores nos indican que usted es hipertenso, y lo que es más, su colesterol y triglicéridos ya duplican los valores aceptables. El Sistema Automatico de la Seguridad Social no nos autoriza a venderle algo que constituye para usted una elección muy peligrosa.

CLIENTE
: Pero... ¿y que me recomienda?

OPERADOR
: Lo ideal para Usted sería nuestra 'Low fat ' pizza de soja. Le aseguro que le encantará.

CLIENTE
: ¿Y porque se imagina que eso puede llegar a gustarme?

OPERADOR
: Es que vemos en pantalla que la semana pasada Usted consultó en una biblioteca pública el libro: 'Alubias de soja para el gourmet'. Por eso le sugerí la pizza de soja.

CLIENTE
: Bueno, en fin.... Mándeme dos, de tamaño familiar.

OPERADOR
: Perfecto. Eso será suficiente para Usted, para su esposa y sus dos hijos. Y las sobras servirán para alimentar a sus dos perros... El total son 49.99 €

CLIENTE
: Bien, tome el número de mi tarjeta de crédito...

OPERADOR
: Lo siento, señor. Deberá pagar en efectivo. Vemos que su crédito en la tarjeta VISA está totalmente excedido.

CLIENTE
: No se preocupe, hasta que lleguen iré al cajero para sacar el efectivo.

OPERADOR
: No creo que sea posible, señor. No podrá sacarlo pues también ya excedió el límite del efectivo disponible.

CLIENTE
: Vengan igual. Tengo conmigo el efectivo necesario en casa. Y tenemos hambre, ¿cuanto demorarán?

OPERADOR
: Estamos un tanto demorados, unos 55 minutos aproximadamente. Veo que está cerca, si usted quiere puede retirarlas personalmente, aunque ignoro si tiene ganas de cargar pizzas en una moto.

CLIENTE
: ¿Y como sabe que no iré en mi coche?????

OPERADOR
: Me aparece que, dado que usted se retrasó en el pago de las cuotas, su automóvil fue incautado por la financiera hace dos meses. En cambio su moto Harley ya está pagada y usted llenó el depósito ayer por la tarde.

CLIENTE
: Pero, por que no se van a la m..#&%#º/()=@@|!!!!

OPERADOR
: Yo le aconsejo, señor, que modere su lenguaje. Veo que fue denunciado por un policía de municipal hace 14 meses por insultarlo y.... ah, sí... veo que un juez lo condenó a pasar tres meses en prisión por igual delito... Y salió hace dos semanas... ¿Son estas las primeras pizzas que encarga desde que salió en libertad?

CLIENTE
: .... (sin habla).

OPERADOR
: ¿Algo más, señor?

CLIENTE
: Sí. Tengo el cupón de una Coca Cola de 2 litros sin cargo al hacer el pedido superior a 30€...

OPERADOR
: Lo siento, pero nuestro aviso, en la letra pequeña, incluía una cláusula que indicaba que estamos inhibidos de ofrecerle gaseosas a diabéticos, tal como la Constitución recién sancionada lo indica. Y usted aparece en un reciente chequeo con un principio de diabetes.

CLIENTE
: tut-tut-tut-tut....


Simplemente si al dar tu DNI a una operadora de la pizzería (primer error del que prometo escribir en otro post) te da más información de la que tiene sobre tí el CNI,... lo siguiente es colgar el teléfono, acercarse al supermercado, pagar en efectivo y cocinarla en el horno de casa. Después de comer, con toda tranquilidad buscar un vuelo de solo ida a otro país donde la civilización no haya llegado aún.
Leer más...

SbD y el manifiesto


El otro día, tal vez, nos apresuramos a publicar en este blog el famoso manifiesto que se creó a partir del nefasto anteproyecto de ley de economía 'sostenible'

Cuando leímos un articulo en el blog de José María, donde daba su opinión personal y recopilaba unos cuantos enlaces discrepantes con el manifiesto, hemos pensado que tal vez, merece la pena explicarlo un poco.

En algunos sitios se habla de aborregamiento, del todos a una en masa iracunda sin calibrar de lo que se está hablando, en otros lados dicen que esto es una movilización 'anti medidas contra el p2p' ...

Pues toca explicar los motivos de la adhesión de este blog a ese manifiesto. Para empezar, ignoro si se podía haber hecho mejor o peor, si el texto, en manos de otras personas, hubiera sido mas certero, pero todo eso son cuestiones menores, es innegable que unas personas se tomaron la molestia de presentar 'la batalla' consiguieron apoyos y crearon un estado de opinión. En ese punto, pararse a pensar en disquisiciones sobre si me caen mejor o peor esas personas o si falta / sobra un punto, creo que son detalles menores.

El segundo punto, el del p2p y que todo esto se hace para que no se pongan cortapisas al intercambio de contenidos, en nuestro caso no aplica, a nuestro juicio, el tema va mucho mas allá, en el momento que se pone al servicio de 'alguien' una herramienta de censura eliminando el control judicial que cualquier democracia requiere, nos supone un problema.

Y es que, como bien explica Ramón Muñoz, lo que se ha hecho ha sido reformar la LSSI añadiendo el fatídico punto de la propiedad intelectual y la capacidad de cierre por parte de un órgano competente.


No olvidemos que la LSSI contemplaba anteriormente los siguientes puntos de 'posible cierre':
  • Salvaguarda del orden público, La investigación penal, la seguridad pública y la defensa nacional
  • La protección de la salud pública
  • El respeto a la dignidad de la persona y al principio de no discriminación
  • La protección de la juventud y de la infancia

En este blog hemos sido bastante activos a la hora de publicar información que, posiblemente, no sea del agrado de algunas personas, tanto españolas, como extranjeras. Tampoco nos ha faltado rigor cuando hemos tenido que entrar 'a saco' con la administración aunque, en contadas ocasiones, nos hemos cortado un poco mas.

Y la verdad es que nos encanta poder criticar aquello donde encontramos que se puede mejorar sin tener la preocupación de que alguien puede coger un teléfono, hacer una llamada y en cuestión de horas, sin mas explicación, que este blog quede clausurado.

Tal vez exagero (pensaran algunos) y muy posiblemente en el actual escenario, así sea, no somos tan ilusos de pensar que esa ley no esta hecha ad-hoc para cerrar cierto tipo de portales, pero nos preocupa que ese resquicio quede ahí y aunque ahora no se tenga en mente emplear ese resquicio para otros fines, supone un peligro a largo plazo.
Leer más...