Una mente brillante no significa un buen corazón

La noticia más importante de los últimos días para mi, no está relacionada con la manipulación de las bolsas de valores, la destrucción del valor de la moneda a nivel mundial o Google Zeitgeist, sino la historia de David Barksdale, un ingeniero de Google que aprovechó su posición para acosar menores de edad (la motivación sexual no es clara, aunque no se descarta), espiando en su cuentas de Google Voice (telefonia/SMS) y Google Talk (chat). Aquí algunos links donde leer más sobre este asunto:

Algo interesante que he descubierto es que si se google por el nombre "David Barksdale", lo primero que encontraremos es un link de wikipedia a un líden de pandillas de Chicago conocido como King David, supongo que esto es debido a que esto es algo reciente y los autómatas de Google aún no registran todo el jaleo que hay debido al caso del otro David Barksdale, el ingeniero que tuvieron que despedir.

Google, siempre nos cuenta que su proceso de selección de personal está basado en un conjunto de filtros que garantizan que ellos contratan a lo mejor de lo mejor, es más ayer Don Dodge (ex-Microsoft y ahora ferviente Googler) en su blog "The next big thing", nos comenta extensamente lo meticuloso, extricto y a prueba de fallos que resulta el proceso de selección de Google. Lo cual me parece bien, ya que por su posición, cualquier persona que trabaje en Google tiene acceso a muy importante y muchas veces privada información.

Una golondrina no hace verano, cualquier ser humano o institución (que al final es un conjunto de seres humanos), puede cometer errores; en este caso Google se equivocó al contratar a una persona que podría ser tecnicamente capaz, pero emocional y moralmente disfuncional. Un caso no pueder ser usado como una prueba de que Google está lleno de sociópatas, pero es una llamada de atención al hecho de que ahora somos más dependientes que antes de servicios como Facebook, Google Voice, Gmail o GTalk, que no están regulados y por lo tanto estamos en las manos de las empresas que los proveen.

La moraleja que puedo extraer de esta historia es que necesitamos crear una regulación para este tipo de nuevas tecnología que permitan definir responsabilidades y proteger a los más débiles, en este caso los ciudadanos que confiadamente creen en los servicios de estas compañías.

Estar sentado mucho tiempo reduce su esperanza de vida

En un artículo aparecido en el Chicago Tribune, se informa sobre el resultado de una investigación llevada a cabo por la American Cancer Society, realizado en Atlanta, que cubrió una población de 53,000 hombres y 70,000 mujeres durante 14 años, llegó a la conclusión de que las mujeres que estan sentadas por más de 6 horas al día, tienen un 37% más de probablidades de morir que las que están sentadas sólo 3 horas al día. En el caso de los hombres el estar sentado más tiempo aúmenta sus probabilidades de morir en un 17%.

El estudio también reveló que incluso si se hace ejercicio, el riesgo de morir más joven se reduce, aunque no significativamente si aún se permanece sentado por largos periodos de tiempo. Pero las cosas podrían ser terribles para los más sedentarios según dicho estudio, las probabilidades de morir para aquellos que se mueven menos de tres horas y media al día se incrementan en un 94% para las mujeres y en un 48% para los hombres, según un reciente anuncio del American Journal of Epidemiology.

Bueno, yo que estoy sentado por más de 12 horas al día frente a una pantalla de compuradora puedo dar fé que es un actividad extenuante y que puede acabar rápidamente con la salud de cualquiera, sin embargo cada vez es más difícil encontrar un trabajo físico que pague lo suficiente como para mantener una familia en estos días. Me pregunto si estos resultados al final no haran que las primas de los seguros de vida se disparen para aquellos que trabajamos en oficinas. Por otro lado la buena noticia sería que el problema de una población anciana cada vez más numerosa y que demandaría un mayor consumo de los escazos recursos de estados ahogados en deuda, estaría resuelta en el largo plazo con la pronta partida de muchos de nosotros, incluso antes de llegar a la edad de juvilación.

Reprogramando máquinas de votación para jugar Pac-Man

El sistema de votaciones 100% electrónico, ha sido duramente criticado en los Estados Unidos sobre todo luego de que el principal fabricante de dichos equipos Sequoia fuera cuestionado por la pobres medidas de seguridad que ofrecian sus sistemas de votación en las elecciones presidenciales del 2004 donde George W. Bush derrotó a John Kerry. Como resultado de las probadas vulnerabilidades encontradas en dichos sistemas de votación los equipos han salido a remate, los investigadores J. Alex Halderman de la Universidad de Michigan y Ariel Feldman de la Universidad de Princeton, compraron un par de dichas máquinas por $100 para ver que más se podía hacer con ella y la convirtieron en una video consola con la cual se puede jugar Pac-Man, la razón para hacer esto esta expresada en la página web que le han hecho al proyecto:

"In celebration of the 30th anniversary of the iconic arcade game, we reprogrammed the AVC Edge to run Pac-Man. It uses MAME to emulate the original hardware. (We own the electronics from a real Pac-Man machine.) We could have reprogrammed it to steal votes, but that’s been done before, and Pac-Man is more fun!"

Traducción: "En celebración del 30vo aniversario del icónico video juego de consola, nosotros reprogramamos la AVC Edge para correr Pac-Man. Este usa MAME para emular el hardware original. (Nosotros posemos la electrónica desde una máquina real Pac-Man) Pudimos haberla reprogramado para robar votos, pero eso ya ha sido hacho antes y ¡Pac-Man es más divertido!"

 Aquí el video en donde se puede ver a la máquina usada en muchos procesos electorales siendo utilizada como una consola de juego:

 

Y adivinen ¿qué gobierno latinoamericano que está próximo a elecciones está usando este tipo de máquinas?, Si es Venezuela, pero alli las máquinas de votación se llaman Smartmatic SAES3300, pero una rápida búsqueda en Google nos aclara las dudas, Smartmatic fue la empresa que adquirio Sequoia Voting Systems, durante el tiempo que dichas máquinas fueron severamente cuestionadas por su seguridad y modo de operación, tras lo cual Smartmatic vendió dicha compañía a la firma canadiense Dominion. Además es conocido el vínculo existente entre el gobierno venezolano y Smartmatic que saliera a la luz en el 2004.

Ojo, no estoy diciendo de que habrá manipulación o fraude en las próximas elecciones parlamentarias el 26 de septiembre en Venezuela, sólo estoy diciendo que hay indicios para pensar que la forma como se administra dicha empresa y la forma de operar de sus productos es por decir lo menos cuestionable.

Matando gusanos

Bueno uno de los mitos más extendidos en el mundo de la informática, especialmente dentro de los recien llegados es que Linux es un sistema operativo muy seguro, cuando en realidad no existe un sistema operativo intrinsecamente seguro. Tan sólo administradores obsesionados con la seguridad.

El fin de semana pasado estuve ocupado recuperandome de un ataque contra uno de mis servidores, la solución que utilicé fue la más sencilla, reinstalar todo otra vez y restaurar desde los back-up. Pero sin embargo parece que eso no fue suficiente, a media semana el mismo servidor empezó a mostrar ciertos comportamientos erráticos, se congelaba y tenía que reiniciarlo. Luego de lo cual veía increíbles picos en el tráfico de red, en un principio creía que era el tráfico de mi proyecto de conversión de formatos de video flv2amv.com, por ello decidí el jueves pasado sencillamente poner fuera de servicio el site para evitar esas sobrecargas. Por eso algo no cuadraba cuando me di cuenta que el servidor seguía registrando alto tráfico el viernes en la mañana, razón por lo cual empecé a buscar que más podría estar ocurriendo y encontré que alguien había exitosamente entrado a través del ssh con privilegios de root y estaba ejecutando el script sipvicious que permite atacar servidores SIP.

Las dos cosas obvias en un escenario como este son bajar el servidor y erradicar la amenaza. Dado que era una instalación nueva y con las últimas actualizaciones sólo me quedaba suponer que alguno de los sites de amigos que alojo en ese server había servido como puerta de entrada al servidor, por ello lo primero que hice fue seguir los consejos que encontré en un foro y deshabilitar las siguientes funciones de PHP:

disable_functions = "apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode"

Luego busqué rastros de rootkits usando rkhunter y chkrootkit de los cuales he explicado su uso en un post anterior de este blog. No encontré ninguno pero me mostro que tanto el ssh como el sshd estaban corruptos, es decir había que reemplazarlos. Cuando intenté remover completamente los paquetes, me encontré con la sorpresa de que /usr/bin/ssh y /usr/sbin/sshd así como los archivos de configuración respectivos /etc/ssh/ssh_config y /etc/ssh/sshd_config no podían ser borrados porque tenía los atributos extendidos habilitados. No era la primera vez que me pasaba eso y sabía que tenía que remover esos flags, pero pasé un buen rato tratando de recordar los comandos que permiten hacerlo, esa es una de las razones para escribir este post, el permitirme en una próxima oportunidad tener a la mano la información y ahorrarme 15 minutos de googleo. En fin el problema fue resuelto con los comandos lsattr (listar atributos extendidos) y chattr (cambiar atributos extendidos).

Luego de remover, purgar y reinstalar los paquetes de openssh, pude poner en marcha nuevamente el servidor. Lamentablemente un efecto colateral de restringir lo que PHP puede hacer es que el proyecto flv2amv.com tiene que ser reescrito para no depender de funciones que en este momento están deshabilitadas, aunque lo que si esá claro es que no fue a través de ese website que entraron a mi server. Sin embargo hay una treintena de otros websites que pudieron servir como la puerta de acceso, dado que no tengo tiempo de buscar errores en código escrito por otras personas, por seguridad la lista de funciones que mencioné líneas arriba seguirán deshabilitadas. Como resultado, el website flv2amv.com temporalmente estará fuera de servicio hasta que me de un tiempo para reescribirlo.

UPDATE: Gracias a suhosin he podido capturar las IPs que siguen tratando de atacar mi server y ubicar donde habian escondido los scripts de PHP que utilizaban para tratar de escalar privilegios, así que aquí les dejo una colección de IPs que bien harían en bloquear en sus respectivos servers (reglas de iptables incluídas):

/sbin/iptables -A INPUT -s 64.50.236.0/24   -j DROP
/sbin/iptables -A INPUT -s 70.38.0.0/17     -j DROP
/sbin/iptables -A INPUT -s 67.228.137.0/27  -j DROP
/sbin/iptables -A INPUT -s 218.149.128.0/24 -j DROP
/sbin/iptables -A INPUT -s 119.245.0.0/16   -j DROP
/sbin/iptables -A INPUT -s 132.248.0.0/16   -j DROP
/sbin/iptables -A INPUT -s 188.40.0.0/16    -j DROP
/sbin/iptables -A INPUT -s 190.144.0.0/14   -j DROP
/sbin/iptables -A INPUT -s 118.127.0.0/18   -j DROP
/sbin/iptables -A INPUT -s 150.213.0.0/15   -j DROP
/sbin/iptables -A INPUT -s 67.195.115.0/24  -j DROP
/sbin/iptables -A INPUT -s 77.88.28.0/24    -j DROP

¿Quieres ganar $3000?

Firefox es sin duda el browser que más resplando tiene en la comunidad de software libre, está presente en casi todas las distribuciones de Linux y es el principal contendor de Microsoft Internet Explorer, debido principalmente a su gran base de extensiones (addons o plugins como querramos llamarlas), que permiten agregar características al navegador. Sin embargo es sin duda esa flexibilidad la que abrió la puerta a una serie de ataques ultimamente que le valieron un comentario muy crítico respecto a lo inseguro que es usar Firefox en Hispasec.

Pues bien Mozilla ha decidido resolver el problema de una manera diametralmente opuesta a la que ha seguido Steve Jobs en el escandaloso caso de "Antenna-gate", nombre con el que la crítica especializada ha bautizado al problema que tiene el iPhone 4 con su antena y como Apple ha negado la existencia del problema desde el principio. Pues volviendo al caso de Firefox, Mozilla Foundation ha decidido elevar el monto de la recompensa por los errores encontrados y reportados de $500 por error a $3000 por error.

Los requisitos para cobrar los $3000 son los siguientes:

  • El error (bug) reportado debe ser original y no puede haber sido previamente reportado.
  • El error debe ser remotamente explotable.
  • El error reportado debe estar presente en la versión más reciente soportada, en el beta o el release cadidate en los siguientes productos: Firefox, Thunderbird, Firefox Mobile, o en los servicios que ofrece Mozilla que pudiera comprometer a los usuarios de los productos anteriores.
  • Los errores presentes en programas de terceros (esto incluye a las extensiones o plugin), están excluídos del programa de recompensas.

Ya saben, si desean ayudar a la comunidad de software libre y en el proceso ganar $3000 pueden comenzar a hackear Firefox en busca de 0-day exploits, suerte en su cacería de la recompensa de Firefox.

UPDATE (21/07/2010): Google siguiendo a Mozilla Foundation ha anunciado ayer que el premio por reportar una falla de seguridad explotable remotamente en Chromium ahora tendrá una recompensa de $3,133.70 detalles sobre el incremento pueden ser encontrados en el Blog de Chromium.