31 mayo 2010

Extensiones para navegar más seguro con Chrome

Que el navegador de Google se ha hecho un pequeño hueco en nuestros ordenadores es más que una evidencia. Podremos usarlo más o podremos usarlo menos. Pero al final, como buenos geeks lo tenemos instalado.

Yo he de confesar que soy culpable de usar Firefox como navegador predeterminado sobre todo por lo amplio de sus extensiones. Pero no descarto que algún día haga una migración... y efectivamente, no será a Internet Exploter 9. 

Chrome también permite instalar extensiones y algunas de ellas están orientadas a mejorar la seguridad de la navegación. A tener en cuenta que Chrome se considera por muchos el navegador más seguro, pero sin duda, muchas de estas herramientas os resultarán muy útiles.

Lo primero es lo primero, y eso siempre es ocultar que vemos páginas "con muchos banners raros". Con click&clean se puede borrar el historial de navegación, de descargas, ficheros temporales, cookies, flash cookies, etcétera. Incluso permite la integración con herramientas como CCleaner.


Con Web Of Ttrust  se facilitará información de la fiabilidad sobre un página determinada y las posibilidades de que contengan malware, engaños a usuarios o envíen spam.


Con esta extensión se pueden ver directamente los archivos PDF online mediante el visor de Google Docs. No más 0days de (Adobe|Foxit)Reader (o similares)


Añade la "S" de httpS en aquellas direcciones que la soporten. De esta forma se accederá mediante SSL por defecto en aquellos sitios que lo soporten.



Ghostery informa de los scripts que un determinado sitio tiene configurados cuando tratan obtener información de ellos, la lista incluye más de 200 servicios. Actualmente no permite su bloqueo, pero hay previsión de que lo haga.
 


Que los acortadores de URL tienen su "aquel", ya no es noticia. Con View Thru se puede averiguar a que URL redirige una de estas direcciones cortas.


Leer más...

30 mayo 2010

Enlaces de la SECmana - 21

Siguen pasando los días y con ellos decenas de noticias sobre las que no podemos escribir y nos encantaría.  Hace poco leí en un blog que ya se puede contar poco en seguridad. ¡Je! ¡anda qué no hay temas sobre los que desarrollar e investigar!
 Deberíamos buscar una imagen para esta sección...
    Leer más...

    29 mayo 2010

    How To hacer una chapuza: El primer Spyware para el IPAD

    Siguiendo la ola de noticias que se han publicado estos días sobre la llegada del Ipad a España, toca hablar de una noticia vista en Wired que, si bien tiene que ver con el Ipad, realmente es un ejemplo muy ilustrativo de como diseñar un producto y que te vejen públicamente por ello.

    Mobile-Spy es una compañía que, legítima o ilegítamente, (mas bien moral o inmoralmente) diseña una suerte de productos destinados a espiar dispositivos móviles. Su software se instala en dispositivos Android, Black Berry o Windows mobile en modo 'silencioso' y permite obtener un dump de los SMS enviados / recibidos, llamadas entrantes / salientes, correos electrónicos y en general de hacer un tracking bastante intensivo del dispositivo. Una vez instalado el software, toda la información queda disponible en la web del fabricante a la que se puede acceder con un login / password (previo pago de 100 dolares). Supuestamente dicen que es un producto destinado a empresas para gestionar el uso de dispositivos móviles por parte de los trabajadores (supongo que esto es un eufemismo de novios/as patológicamente celosos)

    El caso es que, aprovechando el fenómeno Ipad, han diseñado un 'curioso' producto destinado a espiar toda comunicación que se haga mediante ese dispositivo, el único pero es que, para poder instalar el software, tienes que realizar un jailbroken al Ipad. Sí, con un par ! venden un software cuya principal dependencia es que manipules ilegalmente el producto (bye bye garantía, bye bye updates ...) para poder instalarlo.

    Y lo mas 'divertido' del asunto es ver en su pagina web el look 'profesional' que le han dado a la aplicación.

    Se me ocurre que tal vez podrían poner a su equipo de I+D a trabajar en una aplicación de streaming para Canal+ que tuviera como requisito para funcionar disponer de un deco-pirata
    Leer más...

    28 mayo 2010

    Hackeos Memorables: El segundo palo a Sony

    Así es Sony, capaz de lo mejor y de lo peor (esto segundo muchas más veces). No tuvo bastante con la experiencia del rotulador que volvió a por más en un segundo intento por frenar la temida y poderosa piratería.

    Pero esta esta vez  se lo curraron más. Encargaron el diseño de algunos rootkits, como MediaMax CD-3  a compañía SunnComm en el año 2003 o Extended Copy Protection a First 4 Internet en el 2005. No, no me refiero a un software que tiene usos similares a los de rootkit y es parecido en su funcionamiento, lo que quería decir es que utilizaron rootkits enteros y felizmente lo distribuyeron en 52 CDs de música para una de sus versiones y en 196 para otra

    El escándalo empezó cuando Mark Russinovich probando su propia herramienta de detección de rootkits encontró una muestra de XCP en su equipo y publicó el hallazgo y un profundo e interesantísimo análisis  del  funcionamiento en su blog.  

    Lo que ocurría cuando adquiríamos uno de estos títulos es que una vez insertado en nuestro PC automática y silenciosamente se instalaba la herramienta que entre sus principales características se encuentran:
    • Se oculta así misma y todo lo que contenta los caracteres: $sys$ modificando el kernel
    • No provee de opción de desinstalación
    • Prevenía que se utilizase una lista de software para volcar el CD a ficheros Mp3 (ripping)
    • Se mantenía en ejecución este o no el CD de Sony en uso
    Ya hubieran querido algunos delincuentes disponer de esa tecnología y canal de distribución para infectar con malware los equipos. Así que como tampoco eran tontos, decidieron crear los suyos propios utilizando el rootkit de Sony y ocultar su software incluyendo la cadena $sys$ en el nombre. 

    Las principales compañías de antivirus crearon firmas para eliminar el software, incluido Microsoft y todos los medios de comunicación generalistas se hicieron eco de la noticia. A Sony le empezaron a llover demandas de varias ciudades por lo que no le quedó más remedio que pensárselo.

    Al final dio marcha atrás y facilitó un software para evitar las características de ocultación, además de cambiar todos los CDs con la aplicación por otros "limpios". Pero nuevamente sin demasiado éxito ya que el proceso se hacía con un ActiveX que permitía instalar y ejecutar aplicaciones indiscriminadamente. Mola, ¿eh?

    Tras la sucesión de errores liberaron una aplicación independiente y descargable para desinstalar por completo la utilidad, esta vez, sin más incidencias.¡hallelujah!

    Menos mal que el CD de Hotel California de los Eagles lo distribuye Warner Music.

    Referencias:
    Mark Russinovich dando cera:
    Leer más...

    27 mayo 2010

    ¿Vuelos low-cost, seguridad low-cost?

    <Disclaimer: Las acciones que se deriven de la lectura de este post son de tu completa responsabilidad. No se incita a cometer ningún tipo de ilegalidad>

    La semana pasada tuve <IRONIC> la grata experiencia de repetir viaje en una de mis líneas aéreas favoritas: Ryanair </IRONIC> o Ryanfail, como lo bauticé tiempo atrás en "El Sumidero".

    Lo más importante es que lleves la tarjeta de embarque impresa, si no te dejarás una pasta en que te la impriman en el aeropuerto. Para ello, lo más normal es irse a la web de gestión de reservas y curiosamente fue ahí empieza a verse el tinte lowcost de esta aerolínea:

    1.- Fácil deducción en validación de usuarios para gestión de reservas

    Para poder gestionar la reserva, se nos pide seleccionar una de las diferentes opciones de "seguridad":
    • Localizador + código de tarjeta de crédito
    • Localizador + correo utilizado + origen + destino
    • Fecha de salida + correo utilizado + origen + destino
    Está claro que el localizador, sólo lo sabe el que hizo la reserva y aunque son "sólo" 5 caracteres alfanuméricos, hay una opción mejor para juguetear. Sin embargo, en caso de conocer la fecha de vuelo, origen, destino y uno o varios correos de un individuo, Ryanair lo da por suficiente como para permitir la gestión de la reserva... OMG!

    Supongamos que conocemos a algún amig@/conocid@, del que conocemos su correo electrónico, que va a volar con Ryanair. Muy posiblemente sepamos el día que se va (si es usuario muy activo de twitter a lo mejor sí), o al menos de dónde sale/dónde va. Gracias a las preguntas de seguridad low-cost de la web de Ryanair, es posible hacer un ataque de fuerza bruta para despejar la incógnita que nos falte y acceder a los datos de la reserva sin mayor problema.

    Podemos hacer ataques de fuerza bruta acotados sobre la fecha o destino; probablemente el origen lo sepamos o podamos deducir. De esta manera, se puede ver/cambiar (previo pago) los datos personales de pasajero (y sus acompañantes), localizador y modificación de datos de alquiler de coche (en caso que lo hayas hecho). Vamos, que puedes dejar sin viajar ese día a es@ "amig@" por un módico precio.

    Este "pequeño" problema se mitigaría para alguien que no conociese todos los datos del problema, mediante la implantación de Captchas, mecanismo que hemos recomendado en más de una ocasión en SbD, o mediante un WAF que permita crear reglas de bloqueo por cada X intentos fallidos.


    Gracias a Inr0m por su colaboración con las pruebas para este punto (tenía un billete en Ryanair próximamente y lo prestó para las pruebas).

    2.- Versión de servidor web Apache muy antigua

    Con hacer una simple petición web vía línea de comandos se observa que la versión utilizada es Apache 2.2.9 (publicada en Junio de 2008). Mirando las vulnerabilidades corregidas se puede comprobar que lo más probable es que sea vulnerable al bug de la renegociación SSL.

    Como bien detalló Yago allá por Noviembre de 2009, si el servidor web permite renegociar la sesión SSL, bajo ciertas condiciones, podría permitirse a un atacante inyectar texto en el tráfico cifrado entre el cliente y el servidor.
    # openssl s_client -connect www.ryanair.com:443
    CONNECTED(00000003)
    depth=1 /O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3/OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
    verify error:num=20:unable to get local issuer certificate
    verify return:0
    ---
    Certificate chain
    0 s:/C=IE/ST=Co Dublin/L=Dublin Airport/O=Ryanair Ltd./OU=MIS/OU=Terms of use at www.verisign.co.uk/rpa (c)05/OU=Authenticated by VeriSign/OU=Member, VeriSign Trust Network/CN=www.ryanair.com
    ....

    .....
    ---
    New, TLSv1/SSLv3, Cipher is RC4-MD5
    Server public key is 1024 bit
    Secure Renegotiation IS NOT supported
    SSL-Session:
    Protocol : TLSv1
    Cipher : RC4-MD5
    Session-ID: 61A48C7FBDC41EEE55E51C17DD3800ADC336169BB9077019D271980C90862D00
    Session-ID-ctx:
    Master-Key: 734E373B5CAA8CDC722F1EDA14157FC2B823197F4B11966D7713891C35E1E88497429E37415271C654105AB903946069
    Key-Arg : None
    Krb5 Principal: None
    Start Time: 1274807031
    Timeout : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
    ---

    Pulsamos R para renegociar y....

    R
    RENEGOTIATING
    depth=1 /O=VeriSign Trust Network/OU=VeriSign, Inc./OU=VeriSign International Server CA - Class 3/OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
    verify error:num=20:unable to get local issuer certificate
    verify return:0

    Re-negociación exitosa!


    La verdad es que nada más sentarte en el avión, sólo rezas porque no se hayan ahorrado medios en la formación de los mecánicos, pilotos y mantenimiento en general, como en la seguridad de la web y te preparas para recibir una gran dosis de continuo spam.

    Leer más...

    26 mayo 2010

    Notificación privada mediante TweetMe!

    Históricamente, el protocolo de notificación de los diferentes dispositivos que conforman las estructuras de red en las grandes empresas, ha sido SNMP. También son canales válidos, el correo electrónico o syslog como mecanismo de centralización de eventos.

    Sin embargo, el mundo 2.0 ha ido haciendo que los que vivimos en él tengamos que evolucionar al mismo tiempo, al menos intentarlo, adaptándonos a los mecanismos de notificación y sociabilidad que el dospuntocerismo trae consigo, en vez de quedarnos anclados a como se hacían las cosas en el pasado.

    Hace casi dos años ya, que Yago publicó una revolucionaria herramienta que permitía publicar en el timeline un usuario twitter el syslog de una máquina mediante Sys2Twit. La utilidad es patente, aunque en el caso de que ese timeline sea público, podría considerarse como un problema de seguridad. Sin embargo esto mismo, enviado mediante Direct Messages podría ser una posible solución.

    Para otras herramientas publicadas en este blog como amISpammer y Brute12UNX, tuve la tentación de añadir opciones de notificación mediante twitter, cuando una IP ha sido incluida en alguna lista negra o cuando se ha obtenido la contraseña de un #PKCS12. Actualmente, en ambas herramientas, se permite notificar mediante un correo electrónico. Aunque no descarto implementar la notificación a Twitter en un futuro cercano, he preferido crear una herramienta global que permita notificar a un usuario Twitter mediante Direct Messages.

    El "original" nombre de la herramienta, TweetMe!, es una implementación por línea de comandos que permite enviar un mensaje, ya sea por parámetros de entrada como el resultado de la salida de otro comando.

    Para ello, y aprovechando que los Direct Messages en Twitter soportan una longitud de hasta 920 caracteres, TweetMe! enviará de esa longitud, y si el mensaje a enviar es mayor, lo troceará cuanto sea necesario y lo enviará reordenado al usuario elegido.

    Una aplicación muy interesante de esta herramienta es la creación de un nuevo mecanismo de notificación de eventos para plataformas de Nagios.

    Las dos formas de ejecutarlo son:

    • tweetme.pl <usuariotwitter> <"El mensaje que queramos">
    • comando | tweetme.pl <usuariotwitter> -> envía la salida de al usuariotwitter por DMs

    Para incorporar la mencionada funcionalidad en Nagios, hay que añadir lo siguiente al fichero /etc/nagios/misccommands.cfg:


    define command

    {

    command_name notify-by-twitter


    command_line /bin/printf "$SERVICESTATE$ alert for $HOSTALIAS$/$SERVICEDESC$ $OUTPUT$" | /usr/local/bin/tweetme.pl <usuariotwitter>

    }

    y luego en el fichero /etc/nagios/contacts.cfg indicar para qué usuario(s) queremos añadir notificación por twitter mediante: "service_notification_commands notify-by-twitter"

    En mi caso, por ejemplo lo utilizo encadenado con amispammer en el cron para comprobarlo diariamente:

    29 5 * * * /usr/local/bin/amispammer | /usr/local/bin/tweetme.pl <usuariotwitter>

    A vuestra disposición queda el script para que lo descarguéis desde aquí o aquí
    Leer más...

    25 mayo 2010

    Seguridad en protocolos de mensajería

    Pese al paso de los años y los nuevos conceptos que se van 'inventando', el chat mediante protocolos de mensajería sigue teniendo una amplia cuota de protagonismo en las actividades online.

    Con la transición del PC en casa a los dispositivos de tipo portátil y smart*, pasamos de entornos 'seguros' a entornos potencialmente mas peligrosos como Wifis públicas o centros de trabajo, donde es realmente fácil interceptar comunicaciones.

    Existen muchos mitos sobre 'que te pueden hacer' si haces login en el MSN o Gtalk desde un lugar donde haya ojos curiosos, por eso vamos a explicar como funciona cada protocolo y el tipo de riesgos potenciales de cada uno.

    Empezamos por 'el rey':
    MSN / Messenger

    Sin duda el protocolo mas empleado y con mas cuota de usuarios en España. El protocolo MSN no es un protocolo estático, va mutando periódicamente y Microsoft va sacando actualizaciones en las que varia ligeramente su funcionamiento. Dado que sus internals no son públicos, toca 'reversear' y deducir como funciona. A día de hoy la última especificación de la que se cuenta con información es esta y la parte que mas nos interesa es la que concierne a como se realiza la autenticación.

    A grosso modo:
    • El cliente lanza la petición de login al servidor MSN, 
    • El servidor MSN facilita un 'reto' (un montón de caracteres aleatorios para generar entropía) y un servidor 'de tickets'
    • El cliente envía el Login + Password + Reto mediante una conexión SSL al servidor de tickets y, en caso de ser válida, obtiene un ticket
    • El cliente envía ese ticket al servidor MSN


    Una vez completada esta secuencia, el resto de la comunicación se realiza en texto plano sin codificación alguna

    Gtalk (cliente oficial)

    Como es bien sabido, Google para implementar su sistema de mensajería se ha decidido por una implementación basada en XMPP / Jabber. El problema es que Jabber aun siendo un protocolo estandarizado admite mil y una forma de hacer las cosas (algunas mas seguras, otras mas inseguras). En concreto, Google en su implementación ofrece como formas de hacer auth dos posibilidades, una llamada Google-Token (totalmente fuera de especificación y propietaria de Google) y otra basada en TLS. El cliente oficial, como es lógico, emplea Google-Token y ciertamente debilita mucho la seguridad del sistema. Funciona de la siguiente manera:
    • El cliente se conecta vía SSL a Google para hacer el auth
    • Google entrega un token al cliente
    • El cliente usa ese token como método de autenticación

    Terminada esta fase, el resto de la comunicación va en texto plano

    Gtalk (clientes XMPP / Jabber alternativos)

    Si obviamos el cliente oficial de Google y nos decantamos por alternativas como Gajim o Pidgin (necesario si empleas una plataforma como Linux), la cosa cambia radicalmente. El método empleado está completamente basado en TLS.
    • El cliente inicia la comunicación con el servidor XMPP
    • Se negocia un túnel TLS
    • Se envían las credenciales
    A partir de ahí toda la comunicación va cifrada

    Facebook

    Recientemente Facebook ha abierto su chat públicamente mediante una plataforma basada en XMPP / Jabber. Como ya decía anteriormente, las formas en las que se puede hacer auth en XMPP son increíblemente versátiles. En el caso de Facebook han optado por un método basado en Digest SASL. SASL es un protocolo ampliamente utilizado para autenticación en servicios como IMAP o SMTP. Para hacerlo aun mas divertido, SASL soporta tres modos de autenticación en función de la seguridad que se quiera aplicar. El primero llamado 'auth' únicamente sirve para intercambiar credenciales de forma segura basado en retos, el servidor genera una cadena aleatoria y el cliente debe responder con un hash de sus credenciales + el reto. El segundo modo 'auth-int' añade una capa de integridad añadiendo a cada intercambio un 'código de integridad' empleando HMAC. El tercero, 'auth-conf' añade a todo eso una capa de cifrado. ¿Cual método ha elegido Facebook? auth normal.

    Después de eso la conversación continua en texto plano

    Conclusiones

    Una vez explicado como funciona cada protocolo, a modo resumen una tabla con los riesgos potenciales que podemos sufrir si una sesión de chat es interceptada.

    Los criterios de evaluación han sido

    [ ] Crackeable: La posibilidad de que un atacante que capture la autenticación pueda aplicar fuerza bruta sobre lo interceptado para averiguar la contraseña
    [ ] Usuario deducible: Se evalúa si durante la fase de autenticación un atacante podría averiguar el login / dirección de correo ej: fulano@hotmail.com
    [ ] Sniffing conversación: El hecho de que los mensajes de chat intercambiados sean susceptibles de leerse en texto plano

    ** En el caso de Gtalk solo se contempla en formato 'cliente alternativo'


    Leer más...

    24 mayo 2010

    Entrevista a Mario Ballano aka "nullsub"

    Hablar de Mario Ballano es hablar de una leyenda de la seguridad. Siempre está dispuesto a ayudar desinteresadamente y sus conocimientos de ingeniería inversa parecen no tener fin.

    Como en la foto que acompaña esta entrevista en la que tiene cierto aire de Guybrush Threepwood, Mario está oculto en las sombras y solo sale para participar en muchos de los concursos de hacking que se celebran a nivel internacional.  También es conocido por publicar exploits como el de dns (MS07-029) o herramientas y artículos en su blog de seguridad 48bits junto a otro montón de descerebrados. Ese es nullsub, y si un día tenéis la suerte de conocerlo, querréis abrazarlo(tm).


    - ¿Cuáles fueron tus orígenes en esto de la seguridad?

    Ni yo mismo lo tengo claro... parece ser que ya desde bien pequeño  disfrutaba destripando todos los juguetes y artilugios que llegaban a mis manos, hasta tal punto que mi bendito padre desistió de continuar arreglándolos. Cuando me hice un poco más mayor empecé a trastear con  el Commodore 64 que teníamos por casa, fue la revolución, pasé de estropear mis propios juguetes a cargarme los de mi padre ( lo siento papá! :( ).

    Poco a poco me fui interesando más por la informática en general,  recuerdo que la primera e-zine que cayó en mis manos la encontré en unos floppies que mi padre guardaba junto con herramientas de programación, la publicación era Argentina, se llamaba Minotauro y  trataba básicamente sobre programación de virus, hasta ese momento nunca había visto un grupo de gente se organizara, investigara y publicara información sobre este tipo de temas y en ese formato, ¡me quedé atónito!. Pasaron los años y continué leyendo más publicaciones del estilo de las que muchos se acordarán .. :-). Algunos buenos amigos de mi entorno también se comenzaron a interesar por estos  temas, y luego vinieron las noches interminables en el IRC y todas esas cosas que ahora recordamos con nostalgia... :*)

    - ¿Qué haces ahora exactamente para Symantec?

    Trabajo en el departamento de Security Response en Dublín, básicamente me dedico a analizar malware, exploits, packers, etc...

    - ¿Qué echas de menos de España?

    Pues muchas cosas!, jeje, la familia, los amigos, el sol, los bares de tapeo, el pulpo a la gallega y en general el ambiente que se respira por ahí abajo :-) , a pesar de ello Irlanda es un sitio que me gusta  bastante, creo que cada lugar tiene sus cosas buenas y malas, y bueno... viviendo fuera aprendes a valorar y a apreciar lo mejor de cada sitio, que nunca viene mal :)

    - ¿Qué tal la experiencia en el concurso de hacking codegate 2010? ¿Fue muy duro? ¿Alguna anécdota?

    Para mí fue una experiencia muy buena en general, a pesar de que creo  que se nos habría dado bastante mejor si hubiera sido un CTF estilo DefCon (defensa-ataque), esto fue más como una extensión de las
    prequals. 

    Empezamos el concurso muy mal, nos atascamos en unas cuantas pruebas y cuando ya teníamos la moral por los suelos empezaron a salir las cosas, en este momento ya éramos conscientes de que ganar iba a ser bastante difícil ya que muchos equipos habían avanzado en este tiempo.  Lo más duro creo que fue tener que aguantar la entrega de premios y la comida a la que nos invitaron después de 24 horas de concurso,  estábamos literalmente derrotados y medio enfermos (¡maldito aire  acondicionado!), pero en general chapó para la organización y en especial para mis compañeros de equipo Dani, Uri y Dreyer, que son  unos putos maquinas! :)

    Anécdotas ha habido muchas sobre todo en los días previos y  posteriores al concurso, ha sido un placer estar allí con toda esta "gentuza" y he de decir que me lo pasé piruleta^2!, de cualquier  manera... what happens in Korea stays in Korea, o no era así? :-)

    - ¿Cuál ha sido el exploit "más divertido" que has hecho?

    Pues uno de los más divertidos fue el que hice junto con Andrés Tarasco para la vulnerabilidad en la interfaz RPC del servicio DNS (MS07-029), más que nada porque estuvimos "compitiendo" con la gente  de Metasploit a ver quién era capaz de hacerlo funcionar primero.  Aunque conseguimos sacar un release funcional en poco tiempo, no tuvimos narices a saltarnos DEP remotamente en Windows 2003, después  de darlo muchas vueltas y pensar que era imposible, salió a la luz el  truquillo de usar ATL.DLL de trampolín, del que no teníamos ni idea! y la gente de metasploit nos ganó, a pesar de ello fue divertido y  aprendimos bastantes cosillas desarrollándolo :-)

    - ¿Codegate o Defcon? ¿Algún otro?

    Pues, depende... DefCon es el CTF por excelencia, el de más calidad y el mejor organizado a nivel técnico, pero por otro lado ofrece poco más que prestigio a los equipos que quieren concursar allí, Codegate a  pesar de ser un CTF más informal (a día de hoy) ofrece ayudas para los  equipos extranjeros, un buen cartel de premios y un ambiente excepcional.

    Otro punto a tener en cuenta es que Codegate dura un día, DefCon son 3, en los cuales te destrozas día tras día, durmiendo poco y encima estando en el medio del festín que es la conferencia DefCon en sí...  todo el mundo disfrutando mientras tú estás "trabajando".. y cuando se acaba DefCon ... everyone's gone!, en Codegate en cambio hemos tenido la oportunidad de disfrutar los días de antes y después con los  ponentes, concursantes, organizadores y amigos... un saludo para todos! :)

    De cualquier manera me alegro de haber tenido la oportunidad de haber  participado en ambos, experiencias como estas son difíciles de olvidar :-)

    - ¿Cómo nació Int3pids? ¿Quiénes sois? ¿Pensáis participar en otros concursos? ¿Hacéis pruebas de admisión?
    int3pids es una escisión de Sexy Pandas, por motivos más organizacionales que otra cosa, que aquí todos somos amigos :-), yo realmente fui a Codegate porque uno de sus miembros se cayó de la  "convocatoria". Seguramente tanto int3pids como Pandas continúen participando en otros concursos, incluso de manera conjunta como se está haciendo ahora mismo en las prequals de DefCon, aunque nos  estamos haciendo viejos.., dónde está ese relevo generacional?? :)

    - ¿De qué va realmente 48bits? ¿cuánto pensáis que tardaréis en que os obliguen a cerrar?

    Puf, ¿y tú me lo preguntas?, creo que nadie sabe muy bien de qué va 48bits... sólo sé que surgió como un blog para publicar cuatro artículos sobre seguridad informática y ahora mismo, como bien  apuntas, sólo estamos esperando a que llegue la orden judicial que me obligue a echar abajo el servidor :-)

    Na, fuera de coñas, creo que a día de hoy 48bits es más una pequeña  comunidad de amigos que cualquier otra cosa, este mundo es muy pequeño, en el panorama estatal nos conocemos casi todos y en  48bits... pues se han ido juntando algunos de los más zumbados :D

    - ¿Que software nunca falta en tu ordenador?

    Debugger, disassembler, Visual Studio, a ser posible unas cuantas VMs
    y una Debian :-)

    - ¿Cómo te formaste?

    Pues como algún que otro amigo mío, "en las calles" (recogiendo patatas y haciendo vías de trenes principalmente ;-) ), desgraciadamente si ya hay pocas vías de formación para convertirse en  un profesional en seguridad informática hoy en día, las que había hace unos cuantos años eran prácticamente inexistentes... sólo hay que  echar un vistazo a la gente que se dedica a esto en la actualidad y  ver dónde han adquirido su experiencia (todos nos entendemos...). Por otro lado, me siento agradecido y creo que me puedo dar con un canto en los dientes porque lo que empezó como un hobby ahora "pays me bills", como dicen por aquí.

    - ¿Palencia existe? ¿Qué es lo que os dan de comer allí para que seáis taaaan hackers?

    Palencia es más grande que Bilbao y Asia juntos, y los de Palencia también nacemos donde nos da la gana y sino que me lo digan a mí! ;-) . La verdad es que no sé qué tiene Palencia, pero unos cuantos piezas han salido de allí, eso es cierto :)

    - Que hay de cierto en que los informáticos son unos gordos de gafas que comen pizza y nunca salen de casa

    La gente no se entera de nada.. ahora el tema va de "Security pr0n stars", salimos de fiesta mucho más que la gente normal, de hecho, todas esas conferencias y tal... son tapaderas!... a ver si os creéis  que ciudades como Las Vegas, Amsterdam, Berlín, Málaga o León han sido elegidas de manera aleatoria ;-)

    - Para nuestras lectoras, ¿tienes novia?

    No, pero se aceptan solicitudes :), en este mundo loco... quién sabe.. igual acabas con una Irlandesa que con una del sur! :)

    - La última... con un poco de trampa. ¿Alguna vez te has subido a un camión de cerdos?

    Solo diré una cosa... todo fue culpa del demonio: G.G.G.

    Leer más...

    23 mayo 2010

    Enlaces de la SECmana - 20

    Nuevo domingo, nueva SECmana de enlaces. 
    Leer más...

    21 mayo 2010

    SbD BOT en FACEBOOK !

    Nuestro querido Bot sigue su evolución, primero se hizo fuerte en los medios 1.0 como MSN o Gtalk y ahora se apunta al carro 2.0 de las redes sociales en Facebook.

    Se ha abierto una cuenta accesible en http://www.facebook.com/sbd.bot y promete estar las 24h del día conectado y disponible para charlar contigo.

    Para poder sacarle el máximo rendimiento al bot, es preferible usar el chat de FB maximizado, para hacerlo hay que seguir estos pasos:

    En la esquina inferior derecha, hay que ir a 'Opciones' y una vez ahí 'Abrir chat en otra ventana'

    En la ventana maximizada ya todo es mas fácil:


    Para mas info sobre comandos y acciones consultar aquí y aquí

    PD: Los IM-Services asociados al CATA (alerta antivirus) no están operativos por el momento debido al cambio que hizo INTECO, estamos trabajando en ello
    Leer más...

    20 mayo 2010

    KHOBE aka TOCTOU

    Hola a todos, en primer lugar, es un placer para mi poder escribir un post para sbd.

    La intención de este post es explicar de que trata la condición de carrera llamada "KHOBE" y matizar varias cosas sobre: La técnica usada, matizar algunas de las respuestas de las empresas Anti Virus que he visto y por último sobre los intereses de matousec. Basicamente leyendo las referencias mostradas al final del post podrá usted mismo darse cuenta de todo lo ocurrido con este asunto:

    Lo primero es conocer que es KHOBE (Kernel Hook Bypassing Engine), simplemente es una condición de carrera de toda la vida, también conocido como TOCTOU (time-of-check-to-time-of-use). El tipo de fallo no es algo nuevo, y se conoce desde hace muchos años (1996), como se puede ver en:

    http://seclab.cs.ucdavis.edu/projects/vulnerabilities/scriv/1996-compsys.pdf

    El artículo fue escrito y publicado por matousec el 05/05/2010, algunos Anti Virus modifican la SSDT (System Service Descriptor Table) para modificar/añadir/eliminar funcionalidades en el Sistema Operativo. Para simplificar, imaginemos que existe una API e un SO imaginario, llamada EjecutarFichero(), y existe una tabla en la cual existen las direcciones de memoria donde se encuentran algunas de las APIs, si modificamos la entrada de la API EjecutarFichero() por una dirección en memoria, en la que tengamos nuestra propia implementación, las siguientes llamadas a la API EjecutarFichero() podrían hacer lo que nosotros queramos.

    Bien, entendido este cutre-ejemplo, el problema reside en que el planificador (Scheduler) del SO puede cambiar de tarea en cualquier momento, ya que se ejecuta la función de la SSDT con IRQL en PASSIVE LEVEL. Imaginemos el siguiente escenario:

    1) Un hilo (thread) llama a una API por ejemplo EjecutarFichero(), se pasa la ejecución al núcleo (kernel), imaginemos que se ha hecho un EjecutarFichero( "cosabuena.exe" );

    2) Existe un AntiVirus en el sistema que ha modificado la SSDT para que se ejecute una implementación que comprueba ciertos patrones sobre lo que se quiere ejecutar y decide ejecutarlo o no llamando a la función original del núcleo. En este caso todo está correcto y se procede a ejecutar la función original, pero justo antes el Planificador pasa el control a otro hilo del mismo proceso.

    3) Ahora ese hilo como es el mismo proceso, pues tiene acceso al área de memoria donde está la
    cadena de caracteres "cosabuena.exe" y la modifica por "cosamala.exe"

    4) El planificador devuelve el control al primer hilo y se pasa a ejecutar la función original del sistema operativo EjecutarFichero(), pero se ejecutará otro programa el cual no ha sido comprobado.

    La solución para este tipo de escenario puede ser por ejemplo, copiar en una memoria propia y solo accesible desde el nucleo el nombre del programa a ejecutar y después usar solo esa memoria tanto para comprobar, como luego para llamar a la función original.

    Nota: Esto solo es un ejemplo para hacerse una idea, en la realidad esto se hace de una forma diferente, pero no quiero complicar demasiado el post.

    Pues este tipo de fallos es bastante común y no es el fin del mundo, el artículo de matousec, no cuenta nada nuevo ni debe interpretarse como tal. Este tipo de problemas en la SSDT ya existen desde hace muchos años, por ejemplo En el 2003, también se creó un hilo respecto al tema por Andrey Kolishak, TOCTOU with NT System Service Hooking:

    http://seclists.org/bugtraq/2003/Dec/351

    También un post muy interesante del tema fue escrito por Ken Johnson (conocido como Skywing): Why hooking system services is more difficult (and dangerous) than it looks:

    http://www.nynaeve.net/?p=210

    Bueno y... ¿qué es lo que pasa con todo esto? Pues lo de siempre, gente con ganas de ganar pasta
    y vende motos de ruedas cuadradas. Se le ha dado a todo esto MUCHO más valor del que tiene, esto es peligroso si la gente ejecuta cosas con la cuenta administrador, se pueden hacer muchas más cosas diferentes a esta y no se grita/vende a los cuatro vientos. Opino al igual que DiabloNova (conocido como EP_X0FF) en su artículo sobre KHOBE en rootkit.com:

    http://www.rootkit.com/vault/DiabloNova/037_The_story_of_bucks.rar


    Lo más gracioso de la publicación de matousec ha sido:

    "This paper presents attack pattern called the argument-switch attack which shows that common implementations of kernel mode hooks are not secure. This attack represents serious threat because many security software vendors base their security features on hooking. We tested the most widely used security applications and found out that all of them are vulnerable. Today's most popular security solutions simply do not work."

    Curiosidades sobre algunas publicaciones de empresas Anti Virus comentadas en kernelmode.info:

    "And HIPS doesn't even use SSDT hooks on Windows versions after XP, because Vista and Windows 7 include Microsoft's Kernel Patch Protection, which precludes the use of SSDT hooking."

    Esto solo es cierto en las versiones de x64 a partir del XP.

    http://www.kernelmode.info/forum/viewtopic.php?f=15&t=153

    IMHO, después de esto, todo lo relacionado con KHOBE se debería olvidar y en el futuro evitar impresionarse y hacer bombo con este tipo de cosas, que sólo vienen por intereses económico y nada académico. Espero no haber sido muy técnico y que se haya podido entender todo para la más técnica como yo recomiendo las referencias del final.

    Agradecimientos: 48bits, pluf, griyo, slay, tomac, alon, blackngel, sbd team ...

    - By David Reguera García aka Dreg, Dreg@fr33project.org, http://www.fr33project.org/

    Referencias:
    1. http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php
    2. http://seclists.org/bugtraq/2003/Dec/351
    3. http://seclab.cs.ucdavis.edu/projects/vulnerabilities/scriv/1996-compsys.pdf
    4. http://www.rootkit.com/vault/DiabloNova/037_The_story_of_bucks.rar
    5. http://blog.gdatasoftware.com/overview/article/1654-khobe-no-problem.html
    6. http://www.itworld.com/security/107345/ignore-nonsense-anti-virus-software-good-ever
    7. http://www.f-secure.com/weblog/archives/00001949.html
    8. http://www.sophos.com/blogs/duck/g/2010/05/11/khobe-vulnerability-earth-shake/
    9. http://www.eset.com/blog/2010/05/11/khobe-wan-these-arent-the-droids-youre-looking-for
    10. http://www.norman.com/security_center/blog/snorre_fagerland/80159
    11. http://en.wikipedia.org/wiki/TOCTTOU
    12. http://www.nynaeve.net/?p=210
    13. http://securesize.com/Resources/files/toctou.shtml
    14. http://www.kernelmode.info/forum/viewtopic.php?f=15&t=153
    Leer más...

    19 mayo 2010

    Clases de Metasploit en video

    ¿Tienes 6 horas y pico libres? ¿Te gusta el framework de exploiting por excelencia Metasploit? ¿Consideras que todavía te falta un poco de "rodaje" para conocerlo mucho más a fondo?

    Hace un par de semanas tuvo lugar una jornada de aprendizaje exhaustiva de Metasploit Framework llevada a cabo por varios profesores: David Kennedy "Rel1k", autor entre otros del Social Engineering Toolkit (SET) del que os hablamos por aquí, Martin Bos "purehate" de Question Defense, Elliott Cutright "Nullthreat", Ken Neth "Pwrcycle" y Adrian Crenshaw "Irongeek", de sobra conocido por todos. La entrada era más o menos gratuíta. Digo más o menos porque únicamente se pedía una donación de por lo menos 10$ para la iniciativa de caridad Food For Work del "Hackers For Charity" de Johnny Long.



    Justamente el último de los profesores, ha colocado en su web Irongeek (que deberías tener en los favoritos / rss /...) los enlaces a los videos de cada una de las charlas que formaron esta jornada, así como enlaces al material y las notas de la sección dada por el propio Adrian.

    Para no ir uno por uno en los enlaces de descarga de los videos, o por si no tenéis un DownThemAll! a mano, podréis visitar el siguiente enlace de archive.org en el que encontraréis todo el material audiovisual de los cursos más algún video extra que otro, además de otros formatos de los videos (aunque los de mejor calidad son los .avi en este caso):
    Cada profesor ha colgado su material en sus propias webs, pero a continuación, y totalmente gratis, los enlaces directos a cada conjunto de ficheros:

    1 Metasploit Intro - Irongeek
    2 Metasploit Scanning and Pivoting - Pwrcycle
    3 Metasploit Fuzzing and Exploit Development - Nullthreat
    4 Meterpreter and Post Exploitation (and a demo of Metasploit Express) - Purehate
    El material de ReL1K (clases 5 Social Engineering Toolkit6 More Encoding Fun, Fasttrack) todavía no se ha colgado, pero seguramente cuando lo tenga, lo dejará en su web secManiac.com.

    Añadimos por tanto este material al ya comentado curso de Metasploit-Unleashed.

    Leer más...

    18 mayo 2010



    El 6 de mayo de 2002 los alemanes Von Karl Reichert y Gunnar Troitsch publicaron un articulo en la revista de informática chip.de que haría saltar de su silla al mismísimo CEO de Sony.

    En la publicación revelaban como saltarse la última maravilla en protección anticopia ideada por esta compañía. El sistema Key2Audio.

    Key2Audio había sido desarrollado por Sony DADC con el objetivo de evitar "las enormes perdidas" que estaba generando la piratería en la industria de la música. Para ello se utiliza una técnica bastante estúpida que consiste en generar tres sesiones distintas en la tabla de contenidos del CD (TOC), las dos primeras con datos y una tercera con el audio. Esto provoca que los lectores de los equipos de música que no reconocen CDs multisesión reproduzcan el sonido sin problema, mientras que el equipamiento de los PCs fueran incapaces de procesar el TOC corrupto.

    La avanzada técnica para saltarse la protección consistía en utilizar un rotulador negro y hacer una línea recta tangente a una marca que muestra el CD a pocos milímetros del exterior. Otra opción mucho más "compleja"  es pegar un post-it como se muestra en la imagen.


    Este no es el único caso en el que humillan a Sony y sus sistemas anticopia, pero si uno de los más curiosos ya que todo el material necesario puede ser adquirido en una papelería.

    Referencias:
     
    Leer más...

    17 mayo 2010

    III Curso de verano de Seguridad - Valencia

    Ya tengo la excusa perfecta para comer paella, horchata o tomarme un buen helado mientras le pegamos al hacking y es que seré uno de los ponentes del  curso de verano  que tendrá lugar en Valencia los días 6, 7 y 8 de Julio.

    Como ya ocurrió el año pasado con el curso en Salamanca en el que también participé este tipo de formación intensiva es ideal para todo aquel que quiera adquirir conocimiento rápidamente y a un precio irrisorio de 110€ por más de 15horas formación, ¡sin incluir las batallitas que siempre se cuentan en horas de cerveza! (y que son casi igual de interesantes que las charlas), para optar por este precio es necesario hacer el registro antes del 31 de Mayo.

    Lo que más aporta en un curso así son la variedad y puntos de vista de cada uno de los ponentes, cada uno con una historia que contar y una experiencia distinta. La lista para este año es formidable (claro, ¡estoy yo!):
    He creado un pequeño google calendar (XML, ICAL, HTML) de la agenda por días:

    Día 1 - 6 de Julio:
    9:00 - 9:30         Registro
    09:30 - 10:00     Bienvenida y presentación del curso
    10:00 - 11:00     Virtual Lans: Segmentación Segura de Redes (Xavi Campos)
    11:00 - 11:30     Tiempo para desayuno
    11:30 - 12:30     El e-DNI como herramienta de Seguridad (Rames Sarwat)
    12:30 - 13:30     Seguridad en sistemas WiFi WPA/WPA2: ¿Qué es seguro? (Alejandro Martín)
    13:30 - 14:00     Ronda de preguntas a los ponentes
    14:00 - 16:00     Tiempo para comida
    16:00 - 17:00     Historias desde la Cripta: Usos indebidos de la criptografía (Javier Moreno)
    17:00 - 18:00     Gestión Seguridad de la Navegación por Internet (Chema Alonso)
    18:00 - 18:30     Preguntas

    Día 2 - 7 de Julio:
     9:30 - 10:00      Registro
    10:00 - 11:00     Evolución de las soluciones antimalware (Bitdefender)
    11:00 - 11:30     Tiempo para desayuno
    11:30 - 12:30     Seguridad en Infraestructuras Críticas (Antonio Guzmán)
    12:30 - 13:30     Análisis Forense de tráfico de red (Juan Garrido Caballero)
    13:30 - 14:00     Preguntas
    14:00 - 16:00     Tiempo para comida
    16:00 - 17:00     Esquema Nacional de Seguridad (Juan Luís G. Rambla)
    17:00 - 18:00     (in)Seguridad Web (Daniel Kachakil)
    18:00 - 18:30     Preguntas

    Día 3 - 8 de Julio:
    09:30 - 10:00     Registro
    10:00 - 11:00     Por definir
    11:00 - 11:30     Tiempo para desayuno
    11:30 - 12:30     Evolución del Malware (Sergio de los Santos)
    12:30 - 13:30     Pentesting (Alejandro Ramos)
    13:30 - 14:00     Ronda de preguntas a los ponentes
    14:00 - 16:00     Tiempo para comida
    16:00 - 17:00     Ingeniería Inversa (Rubén Santamarta)
    17:00 - 18:00     ¿Sueñan los crackers con ordenadores cuánticos? (Gonzalo Álvarez Marañón)
    18:00 - 19:00     Niko, creador de Cálico Electrónico, dará la charla de clausura

    Pues si te parece poco, y como primicia, os anunciamos que el viernes 9 de Julio, justo al terminar el curso de verano, comenzará la octava edición de Asegur@IT que también se celebrará en Valencia, por lo que no hay excusas para no vernos allí toda la semana.

    ¡¡¡ Os esperamos !!!
    Leer más...

    Aplicaciones de seguridad en Iphone

    Bueno pues como nuestros lectores lo piden, y no nos gusta negaros nada, después de los posts (1 y 2) sobre la diversidad de aplicaciones de seguridad existentes para Android, he querido hacer una recopilación parecida para aquellos que usamos el dispositivo de Apple.

    La verdad es que después de ver los estupendos artículos (1, 2 y 3) que publicó 4v4t4r de Dragonjar poco más queda por añadir.

    Por enumerar, lo primero que deberíamos destacar es la instalación una vez que el Iphone tiene hecho un Jailbreak, es MobileTerminal. Una shell de las de toda la vida con la que podremos acceder vía teclado virtual a la ejecución de un montón de aplicaciones por línea de comandos. Además es altamente recomendable la instalación del servidor SSH para poder acceder a una consola del Iphone en remoto.

    Los amigos de Dragonjar, recomendaban además, entre otras: nmap, netcat, wget, TCPDump, Metasploit, aircrack, etc,…

    En cuanto a herramientas con soporte gráfico, o aplicación en sí misma se hablaba de NetStumbler o VNC.

    Además de éstas, creemos interesantes las siguientes:

    • Backgrounder: Una aplicación que no puede faltar es el poder correr en segundo plano aplicaciones que requieran altos tiempo de ejecución como aircrack, nmap en algunos casos, netcat si necesitamos hacer alguna otra cosa, etc,…. Simplemente permite mantener una ejecución en background (parecido a Screen de UNIX).
    • Insomnia: Para evitar que el modo de ahorro de energía de Iphone deshabilite los interfaces de red cuando apague la pantalla. De esta forma, podremos seguir conectados vía SSH o será posible permitir cualquier operación de red desde el Iphone aun cuando entre en modo sleep.
    • TouchTerm: Como cliente SSH, desgraciadamente para Iphone no he encontrado ninguno que no sea de pago (y que merezca la pena). De los que he probado, me quedo con Touch Term o la versión Pro (más cara) para la gestión de conexiones SSH, para la administración de máquinas remotas.

    • OpenVPN: No es propiamente una aplicación de pentest de seguridad, sino una forma excelente de acceder vía VPN de forma gratuita cada vez más extendido. (y su toggler para SBSettings). Llevo desde que tenía la versión 1.3 de firmware de Iphone buscando compatibilidad para esta potente herramienta, hasta que dí con esto. Al acceder levanta un interfaz virtual TUN con la IP interna y las rutas definidas.
    • iWep (Lite o Pro): Podemos utilizar esta herramienta para romper algunas implementaciones de cifrado WEP mediante ambas versiones de iWep. La Lite tiene limitaciones en las redes que permite crackear y la Pro (que es de pago) tiene muchas más funcionalidades (wardriving, cualquier WEP sin importar por qué MAC empiece, etc,..)
    • Wifi Analyzer: Interesante utilidad para escanear el espacio cercano en el que nos encontramos en busca de redes wireless y poder analizar gran cantidad de información referente a las diferentes señales detectadas. Entre otras funcionalidades, nos permite conocer cómo está de saturado un canal y buscar el más adecuado para configurar nuestra red wireless a fin de lograr un mejor rendimiento.
    • GnuPG: vía línea de comandos podemos hacer uso de GPG igual que en cualquier PC. Desconozco si la herramienta de correo de Iphone permite o permitirá algún día enlazar con estas librerías, pero al menos vía línea de comandos podemos hacer operaciones criptográficas de cifrado/descifrado y firmado/verificación.
    • Teamviewer: Pese a que no es una herramienta de seguridad en sí (tampoco VNC lo es pero lo añadimos como "herramienta de red"), hay que mencionar el cliente Teamviewer como una nueva forma de acceso a sesiones de consola gráfica que funciona vía web (incluso con proxy si es necesario). En la práctica, supongo que se podrá optimizar más, pero vía 3G era imposible la gestión de la máquina remota, y vía wireless era algo más aceptable.
    • JBiKeePass: Muchas veces hemos hablado de la necesidad de gestionar la infinidad de credenciales que manejamos. Para Iphone existe JBiKeePass, que además es compatible con el popular KeePassX utilizado en otras plataformas.
    • Intérprete Perl: Directamente podemos añadir paquetes/módulos perl y ejecutar todos aquellos scripts que queramos. Lógicamente programar vía "vi" en el terminal algo más allá de un "hola Mundo!" puede ser una locura, pero podemos ejecutar scripts hechos en un PC de verdad reutilizándolos en nuestro Iphone.

    Los repositorios externos a añadir para poder instalar las aplicaciones comentadas son las siguientes:
    [+] http://www.iopenvpn.com/cydia/
    [+] http://iwazowski.com/repo/ -> iWep Pro

    El resto de las aplicaciones pueden ser bajadas de la app store o de los repos que vienen de serie en Cydia.
    Leer más...

    16 mayo 2010

    Enlaces de la SECmana - 19

    Empezamos una serie de entradas SECmanales que publicaremos los domingos con enlaces interesantes. Como pueden ser herramientas nuevas o viejas, noticias de seguridad, entradas en blogs, libros o cualquier otra información que consideremos que merezca mención.
    • En meraki ofrecen un detector de redes wireless en un applet de Java.
    • Jose Selvi muestra una magnífica explicación sobre el fallo de DNS en el servicio SMTP de Microsoft ilustrándolo con "fakedns" de metasploit.
    • Spamloco nos habla de un listado de páginas que enlazan cracks con malware. Este seguramente sea uno de los métodos de infección más populares ya que afecta sobre todo a los usuarios con conocimientos intermedios que descargan aplicaciones y luego las registran.
    • Eduardo Abril nos destripa un troyano en la primera parte de una serie prometedora.
    • SecurityArtWork nos introduce en SELinux.
    • En Bitelia podemos aprender como configurar Facebook para que nos notifique si alguien se conecta desde otro dispositivo.
    • Un buen resumen y algunos trucos para la fortificación de IIS7.5 de la mano de Security 24/7.
    • Chuleta de etiquetas con peligro en HTML5 en heideri.ch
    • Nueva versión de la aplicación YARA utilizada en la identificación y clasificación de malware.
    Leer más...

    15 mayo 2010

    ¿Conoces los límites de Twitter?

    En general, estamos acostumbrados a que nos dicten las normas de lo que se puede y lo que no se puede hacer, limitaciones, parámetros, etc,... y en este punto y en la búsqueda de los límites es donde suele estar lo divertido.

    Si ya hace tiempo, Alex demostró que lo que dicen enormes redes sociales como Facebook, no es cierto completamente, hoy ha sido el turno de Twitter.

    Hace tiempo que tenía ganas de meterle mano al API de Twitter hasta que, finalmente, he encontrado el tiempo necesario para 'fuzzearla' debidamente. Tomando como referencia este post, en el que se habla de las cifras de Twitter, he podido constatar que lo reflejado NO es del todo cierto:
    • Twitts diarios -> 1000
    • Longitud en caracteres de tweets -> 140
    • Direct Messages diarios -> 250
    • Número de llamadas a la API por usuario/hora -> 150
    De estas cifras, si por algo se ha caracterizado twitter, es el límite de los archi-famosos 140 caracteres: 140 para poner un tweet, 140 para los Direct Messages (en adelante DMs)... un momento, ¿seguro? ¿alguien lo ha probado de verdad?

    Sorprendido me quedé cuando ví que llegó íntegramente un DM de mi usuario twitter hacia mí mismo con un texto de hasta 920 caracteres!!!. Probando con la cuenta de Yago, desde la mía, pudimos comprobar que el mismo resultado es igualmente reproducible. Podéis descargar de aquí el código para probarlo (cambiando las credenciales por vuestro usuario/contraseña claro está).
    Tanto vía web como con clientes del tipo de Tweetdeck, los DMs "hormonados" se reciben perfectamente, aunque los clientes o la propia web, prohiban el envío de DMs de más de los populares 140 caracteres.


    La siguiente prueba era comprobar si los tweets normales (actualizaciones de estado) permitían saltarse dicha restricción, aunque no hubo tanta suerte como con los DMs, estando limitados a los dichosos 140 caracteres. Al intentarlo, el error es claro: "Status is over 140 characters."

    En cuanto a la cantidad de DMs diarios, comprobé que efectivamente al llegar al 251 tampoco era posible continuar, devolviendo un error bastante cachondo: "There was an error sending your message: We know you have a lot to say, but you can only send so many direct messages per day. (click here for more info.)"

    El número de llamadas a la API/hora, efectivamente son 150, siempre y cuando estemos hablando de 150 autenticaciones, puesto que en la prueba anterior pude mandar 250 DMs seguidos sin ningún problema!!! Es decir, si se hace una única autenticación, se puede reutilizar el objeto hasta 250 veces para DMs, como podéis comprobar aquí.

    Primero Facebook, ahora Twitter,... siguiente???
    Leer más...