Por una razón o por otra dejé de visitar IslaTortuga.com y hoy, no se muy bien porque, volví a teclear su dirección en mi navegador para encontrarme con esta sorpresa:

Algo ha cambiado en IslaTortuga.com…

Primero fue una ISLA

Luego se Convirtio en un PAIS

Ahora es todo un PLANETA

http://www.planetatortuga.com/

Y mas adelante… quien sabe… Una GALAXIA entera?

Pues sí, la mítica IslaTortuga es ahora PlanetaTortuga.

Además, cuando he accedido me he sentido muy identificado con el último artículo que ha escrito Angeloso y es que yo también, aunque con menor edad, pertenecí a ese anticuado grupo de webmasters. Por cierto, muy bueno lo de WebEsfera, con tanta blogobobada nos volvemos tontos.

Pues eso, no dudéis en pasaros por Planetatortuga.com.

Bueno, un error, no pasa nada. Hoy vuelvo a acceder a la administración e intento subir un archivo (una foto) mediante el WebFTP y se produce un error:

Ocurrió un error al subir el archivo archivo2.jpg
Recuerda que el nombre sólo puede contener letras, números y el carácter ‘_’.
Recuerda también que el tamaño máximo es 128 KB

El archivo no contiene ningún caracter extraño como se puede obserar y ocupa exactamente 23 KB. También probé en otra carpeta, con otro nombre, otra extensión, otro tamaño y hasta con otro archivo, y nada, no hay manera, la subida de archivos (al menos las imágenes) tampoco parecen funcionar.

A ver si lo arreglan pronto, parece que la configuración del servidor ha quedado un poco trastocada.

En esa entrada Galli publica tanto las IP’s como los correos electrónicos de los atacantes, además de arremeter contra los mismos a los que dedica un sinfín de adjetivos peyorativos referentes a su actuación y a su ortografía, destaco aquí algunas perlas:

Hoy un graciosillo se dedicó a buscarle problemas de seguridad el menéame

Hmmm, curioso, les llama graciosillos, el señor Galli como programador que es debería saber mejor que nadie que hay mucha gente que se gana la vida buscando bugs, cobrando por ello, y que estos “graciosillos” lo han hecho gratuitamente.

Encontró al menos uso, en editlink.php. Los que estéis usando el código, urgente actualizad por le menos este fichero. Faltaba un control del argumento de la noticia y un control posterior de que el usuario pueda modificarla.

Comenta por encima el problema, como si de una bobada se tratase, pero remarca la necesidad urgente de actualizar el software. Para terminar dedica unas lecciones gratuitas a los atacantes:

Para la próxima yo diría que dejen su rabia de lado, avisen de los bugs y gasten el tiempo en aprender a escribir correctamente.

¿Rabia?, con el bug que los señores atacantes (Martes13.net) habían descubierto podrían haber reventado la base de datos de arriba a abajo y haberle hecho perder unas cuantas horas restaurando copias de seguridad amén de unos cuantos megas de datos perdidos, casi seguro, sin embargo solo modificaron una noticia para probar su hallazgo y así alertar al administrador. ¿Hubiera sido más elegante haberlo comunicado por correo electrónico y que el señor Galli se sacara un parche de la manga?, no lo creo.
Ya lo de la ortografía es de risa, pretender desacreditar a los atacantes debido a sus errores ortográficos-gramaticales, o como quieran llamarlos simplemente me parece patético, una salida de tono.

Y de paso, ya que quieren mantener anónima su rabia, que por lo menos aprendan a esconder su identidad como toca. O que den la cara desde el principio, si es que dejan más pistas que Hansel y Gretel.

Me están intentando decir, que unos individuos que han leído el código de menéame, seguramente más de 1 y más de 15 veces, han localizado al menos un error de seguridad y lo han explotado, ¿han querido ocultar su identidad?, ¿Acaso me están contando que esas personas no saben utilizar un proxy u otros sistemas de “camuflajeâ€??, venga ya… creerá Galli tener más conocimientos por haber sacado las IP’s y los correos electrónicos de los atacantes de los logs del sistema…

Daumau, que gentuza. Encima pontifican y van de “expertos�

¡Ay!, que habrá hecho el pobre Ricardo para merecerse esto.

En los comentarios de la entrada del blog de Galli, hay comentarios aun más divertidos que los del propio Ricardo, como por ejemplo el de Minid Diego Calleja ilustrándonos sobre lo que es y lo que no es un hacker, para luego pasar a calificar, de un plumazo a los atacantes:

Lo único que se merecen es ser tratados como vulgares, sucios y asquerosos crackers puesto es como uno de ellos como lo que se han comportado de esa manera: un verdadero hacker jamás se hubiera puesto a modificar páginas y hubiera avisado e incluso mandado un parche, actuando como un verdadero hacker no como un individuo amargado que como único objetivo tiene joder meneame. Qué triste debe ser tener una mente que solo se sacia cuando jode algo de los demás.

El amigo Diego debe de conocer a muchos “verdaderos hackers” y su “modus operandi”. Por lo tanto ya saben, “vulgares, sucios y asquerosos crackers”, ¿y si hubieran limpiado la Base de Datos de menéame entera, cuales serían los calificativos?, flipante.

Yo tengo conocidos que con 15 años explotaban agujeros de seguridad en el PHP-Nuke (y en decenas de sistemas públicos y privados que ahora no vienen al cuento), al principio reportaban los bugs y los parches pero cuando se dieron cuenta que Burzi (autor del PHP-Nuke) muchas veces se olvidaba de la autoría de los mismos, decidieron tomar otras vías, a fin de cuentas es un proyecto de software libre, de colaboración y mejora gracias a la comunidad, comunidad que muchas veces era olvidada. Hoy día, alguno de esos “vulgares, sucios y asquerosos crackers” trabajan en proyectos de seguridad en Linux para la (NSA) Agencia de Seguridad Nacional Americana.

Bueno, ahora ya voy a olvidarme un poco de la defensa del puritano hacker, de la ética en los proyectos de desarrollo comunitario y estas cosas, que al final, me quemo. Navegando un poco por la web de Martes13.net, los individuos autores del ataque en menéame, leo en su última entrada algo un poco desconcertante.

Sr. Gallir, si usted quiere jugar a este juego, yo tambien se jugarlo. Lamentablemente para mi, tengo todavia algo que honor y no hare datos publicos sobre la supuesta vulnerabilidad ni otros datos que pueda haber obtenido. Solo decir que el Sr. Gallir utiliza un algoritmo de encriptacion de passwords conocido como PLAIN TEXT… con esto ya digo todo.

La verdad que me costaba creérmelo, y una de dos, o lo han corregido a raíz de la publicación de este mensaje, o los integrantes de Martes13.net se han colado en esta ocasión, si revisamos el archivo register.php del código fuente de menéame se puede ver que el sistema encripta en MD5 la contraseña del usuario a la hora de grabarlo en la base de datos:

$password=md5(trim($_POST['password']));

Poco más que decir, que todo esto es muy gracioso, últimamente está muy de moda que la fama traiga consigo la prepotencia.

Actualización: Galli intercambia comentarios con los atacantes, donde revela lo siguiente:

Martes13 > Aun asi, ya sabeis vosotros mismos muy bien lo que implica no utilizar encriptacion…

Gallir> Son cosas distintas, y ya está migrado.

Es decir, que como la gente de Martes13.net publicaba, Gallir estaba guardando las contraseñas sin encriptación, ahora soy yo quien se rie de todas las bobadas que Rivardo Galli dice, como por ejemplo:

Intentar hacer lo que has hecho y dejar tantas pistas para que te cojan, con nombre, apellido, dirección y hasta estudios es de muy novato. Demasiado. No creo que te acepten como scrip kiddie de renombre.

Ergo, no sólo eres un script kiddie, eres también un niñato capullo presuntuoso y que comete una _ilegalidad_ estúpida, lo han pillado más rápido de lo que se pensaba –como el ladrón que se deja el DNI–, y no sólo busca justificaciones tontas, sigue tratando de imbéciles a los demás.

Pero sin duda la que más me gusta es esta:

Nos podemos ver con un juez, me reiré mucho en este caso.

Creo que le señor Galli antes debría leerse algo llamado, como era…¡a si! LOPD: Ley Organica de Protección de Datos, creo que no se lleva demasiado bien con las contraseñas almacenadas en TEXTO PLANO, sin encriptar. ¡Ay!.

Actualización II: Alguien ha meneado esta entrada y gracias a ello, leo en los comentarios de la misma una referencia al Wiki de Mename (el cual no conocía), al acceder, en portada se puede leer esto:

(03/03/06)

El día de ayer Menéame sufrió un ataque debido a bug en el código ya convenientemente subsanado. Ricardo Galli recomienda CAMBIAR LA CONTRASEÑA DE USUARIO de Menéame desde tu página de perfil de usuario

Para evitar futuros problemas de estos (seguramente todavía hay bugs por descubrir y script kiddies por conocer) las claves de usuarios ya se guardan “cifradas” en MD5. Para los que uséis el software: la migración se hace de forma automática al acceder a los datos de usuario o cuando ese usuario accede al servidor. En todo caso, si queréis aseguraros, ejecutad tomd5.php (está en el directorio scripts), si funciona bien el sistema, está actualizado y el cambio se hizo correctamente indicará “Converted” para todos los usuarios. Si hay alguno que no lo haya estado, forzará la conversión y lo indicará.

Es brutal la prepotencia que ha tenido Galli en arremeter contra los agresores, insultandoles, descalificandoles y desprestigiandoles cuando lo que él ha hecho (guardar contraseñas sin encriptar) es un error de los gordos, de auténtico novato y siquiera ha tenido la decencia de disculparse o de agradecer a los atacantes el descubrimiento de semejante garrafal error de programación y seguridad.

Para aquellos lectores que no tengan conceptos básicos de programación y bases de datos, el guardar las contraseñas sin ningún tipo de encriptación significa que Ricardo Galli y cualquier persona con acceso a la base de datos de usuarios de Menéame (como han sido los atacantes) tenian acceso a las contraseñas de nuestros usuarios de Menéname de foram natural, es decir la contraseña que escribimos al registrarnos, tal cual, sin encriptar, sin codificar, nada.

Actualización III: jajajaja, ¡que no falte el humor!

Encontrado en aNieto2K, realizado con HeteMeel.com

El problema se manifiesta cuando un host virtual SSL está configurado con control de acceso y una página de error 400 personalizada. Si un usuario remoto envía una petición especialmente construida, puede provocar una referencia a un puntero nulo, que provocará la caída del servidor cuando se usa en módulo multiproceso.

Aunque hasta el momento Apache no ha publicado una solución para el problema, algunas distribuciones Linux como Red Hat Enterprise Linux han distribuido paquetes que evitan el problema.

- Ver reporte en Security Tracker .
- Fuente: Oxygen3 24h-365d

Sin embargo, gracias a Internet, más rápidos que los ingenieros de Redmon, gurús informáticos de todas las partes del mundo programaban sus parches (no oficiales, por supuesto) los cuales ponian a disposición de todos los usuarios. En la web de la asociación de internautas he encontado una página que recoge diferentes parches (oficiales y no oficiales) para combatir el bug de las WMF en Windows, aunque solo a partir de Windows 98 en adelante (98SE, W2000, 2003 Server y XP), ¿Y la gente que sigue utilizando Windows 95 que hacemos?, básicamente la gente de Microsoft os dejan 3 opciones: a) Prograron vuestro propio parche, b) Cambiaros de versión o de sistema operativo o c) continuar vulnerables.

Fuentes tecnológicas de los EE.UU. dicen que los ingenieros de Microsoft han tenido que implementar el parche de las WMF en las versions más recientes de Windows Vista lo que pone bastante en duda que el cambio del motor gráfico del nuevo sistema de Microsoft difiera tanto de versiones anteriores, cuando está arrastrando graves errores de seguridad desde el año 1993 (año en el que se comenzaba a testear Windows 95).

Finalmente, los mandamases de Microsoft decician publicar un parche antes del citado Martes 10 de Enero, para el bug que tanto dolor de cabeza les estaba causando.

Aqui les dejamos con las direcciones de los parches:

- Parche oficial de Microsoft (recomendado)
- Recopilación de parches oficiales y no oficiales desde Asociación de Internautas

También Max nos habla sobre ello.

(…)
Tasmania tenía una rara forma de pasar el tiempo: durante el día iba al colegio (repitió cuatro veces el mismo curso), más tarde se encerraba en su cuarto a leer libros de informática, y a la noche trabajaba cargando pescado en el puerto: una actividad que le permitía costearse la conexión a Internet, que entonces -1995- era bastante más cara que ahora. “Siento que nací con unas ganas de aprender y saberlo todo, es algo que me supera a mí mismo“, explica. “Pero eso no me convierte en un delincuente: yo me siento un hacker solamente en la acepción que dice que hacker es una persona curiosa, que busca información y no la esconde. Mi especialidad es detectar fallas en los sistemas de seguridad, pero luego publico en la web la forma de corregirlas. Y lo que dicen de mí es falso: si soy millonario todavía no me he enterado”
(…)

De los datos recogidos en el mencionado informe se desprende que, debido a los citados problemas de seguridad, la tercera parte de los usuarios estadounidenses de Internet ha reducido la utilización de la web. Además, el 25% ha dejado de comprar online por el temor que siente, mientras que el 29% de los que aún compran a través de la Red afirma haber reducido la frecuencia.

El 80% de las personas entrevistadas para el estudio declararon sentirse "algo preocupadas" ante la posibilidad de que alguien pueda robar su información personal en Internet, y un 86% admitió haber cambiado su comportamiento online.

Bien, ahora la pregunta es, ¿el problema reside en la seguridad del servicio o en la falta de formación del usuario?.

La actualización proporcionada para el servidor web Apache se encuentra disponible, a través de SVN en esta dirección.

- Firefox 1.0.4
Disponible la nueva versión 1.0.4 de Firefox que, entre otras novedades, corrige tres vulnerabilidades de seguridad consideradas críticas.

- Escalada de privilegios en kernel de Linux
Según ha informado SecuriTeam, existe una vulnerabilidad en el cargador de formato binario ELF de Linux que puede permitir a un atacante local elevar sus permisos hasta “root” y ejecutar código sobre el propio kernel. Menos mal que actualicé el otro día el servidor a tiempo, porque ya debe andar un xploit danzando por ahi, ya que intento más de 10 veces el acceso, hasta que se le capó.

- Vulnerabilidades en MySQL
SecurityTracker ha reportado dos nuevos bugs [1 y 2] en MySQL, el ataque se centra en la utilización de un archivo temporal inseguro cuando se crea la base de datos, que permite inyectar código y tomar privilegios de administrador.

Lo dicho, a updatear ;)

Para ello, un usuario remoto deberá crear un archivo PDF especiamente modificado, de forma que cuando sea cargado por Acrobat Reader, provoque un error en el tratamiento de identificador no válido (Invalid-ID-Handle-Error) en ‘AcroRd32.exe’. Los valores aportados por el atacante podrán llegar a escribirse en determinadas posiciones de memoria y con ello, lograr la ejecución de código.

El problema se ha dado a conocer recientemente y Adobe no ha publicado ninguna actualización hasta el momento, por lo que os recomendaría andaros con ojo con los PDF’s que encontreis por ahí, y que actualiceis en cuanto corrigan el error.

Las versiones afectadas son desde la 6.0 en adelante. Teneis más info en Security Tracker.

Llevando a cabo un ataque de este tipo, el atacante puede redirigir el tráfico de dominios legítimos (por ejemplo, a windowsupdate.com) hacia una dirección IP bajo el control del atacante. Los ataques han sido utilizados para redirigir dominios conocidos que pertenecen a ciertas compañias financieras, de ocio, viajes, salud y software a los servidores de los atacantes para instalar malware en los sistemas de los usuarios.

- Sumario sobre el envenenamiento de DNS: Qué es, como funciona, exploit, fixes, etc.

- Como prevenir el envenenamiento de la caché de las DNS, desde Micro$oft.

En la cabecera SMTP, cuando el campo “De:” contiene múltiples direcciones separadas por comas, Outlook y OWA muestran únicamente la primera de las direcciones. Este problema puede ser empleado para el envío de spam o de phishing. Además de permitir saltarse las reglas de filtrado de mensajes que puedan estar impuestas en un servidor corporativo. Hay que señalar que Microsoft Outlook Express no se ve afectado por este problema.

Para corregir los problemas, se debe visitar la web de Microsoft, o parchearlo a través de Window Update si el sistema lo permite.