Durante aproximadamente 7 meses hemos estado recopilando sitios webs con distintas vulnerabilidades, gracias a nuestras propias investigaciones o colaboraciones de distintos usuarios, hasta la fecha registramos aproximadamente 1058 sitios web, de distintos paises, distintos tipos de entidades (universidades, bancas, etc) y con distintos estados. Actualmente en Secureless manejamos 3 tipos de estados, las Reportadas, No Reportadas

La diferencia que existe entre las Reportadas y las Sin Reportar, principalmente se da porque los sitios web no publican un correo o alguna forma de contacto para poder reportar este tipo de fallas, por lo general se limitan a poner un formulario de “consultas” y muchas veces en bancos, universidades o sitios del gobierno, hay que completar un formulario con cientos de campos obligatorios.

Los sitios web que realmente deberian tener este tipo de procedimiento como los bancos, Universidades o sitios del gobierno que manejen información sensible de personas, no lo hacen. Muchas veces debemos enviar el reporte a correos genericos y/o aleatorios como contacto@dominio, info@dominio o webmaster@dominio, sin tener respuesta.
La relación que existe entre las Reportadas y las Solucionadas, nos demuestra que de alguna forma estamos apuntando para el lado correcto, ya que el 90% de las vulnerabilidades reportadas se solucionan.

De los tipos de vulnerabilidades, hay dos categorías que pelean el puesto para ser los que más sitios registran, el SQL Injection y al Cross-Site Scripting

Es curioso, ya que una es client-side (xss) y la otra server-side (sql-i), pero ambas ocurren por una mala sanitización de los parametros de entrada.

La que los sigue es Full Path Disclosure, una vulnerabilidad que por si sola no es muy critica y que muchas veces se le da la responsabilidad al encargado del servidor, que no deshabilita los errores o el debug, aunque segun yo, el programador debería ser capaz de manejar los errores y validar los parametros de entrada para evitar el crash de la aplicación y asi evitar cualquier tipo de error sin atajar. El tipico ejemplo, cuando modificamos los parametros por GET y transformamos una variable en un Array.

Si analizamos la cantidad de sitios por tipo de organización, nos encontramos con el siguiente gráfico:

Las universidades son de las entidades (segun nuestro criterio) que más vulnerabilidades tienen, ya que muchas de ellas les abren espacios a sus clientes alumnos, por lo general un servidor compartido entre usuarios y en algunos casos extremos, un servidor compartido con aplicaciones de la universidad (intranets, etc).
Luego viene los del gobierno, que mientras más sitios y sistemas ofrecen, menos control tienen sobre las aplicaciones y sobre los datos que manejan. Es muy comun en sistemas y sitios del gobierno encontrar tecnologias antiguas y en muchos casos, obsoletas.
Con eCommerce, me refiero a sitios que ofrecen “comercio por internet”, como PC Factory, Falabella, Ripley, etc.
Finalmente tenemos a los queridos Bancos, que sinceramente ellos ni si quiera deberian aparecer en este listado.

El último gráfico, corresponde a sitios segun su pais o dominio

No significa que Chile sea mas vulnerable que los otros, simplemente que en un principio nos dedicamos unicamente a almacenar sitios chilenos, pero poco a poco fuimos aceptando colaboraciones de otros paises y otros dominios.

El esquema de lo que tenemos en mente es el siguiente:

Podemos ver tres antenas sobr ela torre triangular, las identifiqué como “verde”, “roja” y “negra”. El color verde simboliza nuestra LAN y nuestra WLAN y la roja nuestra DMZ donde se encuentran nuestros servidores con nombres de personajes de los simpsons.
La idea principal de todo esto es tener dos redes separadas, nuestra WLAN y LAN que simplemente tenga acceso a internet y que nuestra DMZ tenga entrada y salida a internet, mediante una VPN, un tunel o como sea, la idea es dejar abierto los servidores al público y en algun momento (cuando armemos el proyecto) entregar accesos a shell para servicios de anonimato para quienes lo necesiten.

Si bien todo esto podría ser usado indebidamente, no es el propósito. Antes de hacerlo público será necesario que generemos un disclaimer sobre los usos de la herramienta. Nosotros sólo estamos entregando una herramienta, el uso de ella va a depender de la ética de cada persona.

Lanzamiento …
Tenemos pensado lanzar al publico este proyecto en el Hackmeeting.

La herramienta …
La herramienta es super sencilla y consta de un pequeño formulario para reportar una vulnerabilidad.

Luego de esto, los distintos sitios web son almacenados en una base de datos y ordenados.

Materiales:
En este caso utilizaremos un Mouse optico (cualquier marca) USB, pero tambien puede ser un mouse no-optico y de cualquier interfaz (usb, ps/2, etc) y algunas rejillas para sostener el mouse sobre la puerta dejandolo a una distancia razonable para que active el sensor, acomodaremos la sensibilidad con materiales extras como carton o plastico que nos ayuden con el roce de la puerta con el Mouse.

1. Mouse:
   
2. Cable de red o usb para extension: Con este cable de red o cable largo usb podremos crear una extension por si nuestro PC esta lejos de la puera o ventana.
3. Cinta adhesiva: Para poder fijar nuestro mouse a la plataforma que crearemos donde se generara el roce.

Preparacion (el hack):

Abrimos nuestro Mouse y lo desconectamos del cable, lo dejamos libre

Creamos alguna plataforma de apoyo en la pared donde este la ventana o la puerta que queremos monitorear y montamos el mouse con la imaginacion de cada uno:

Cuando ya tengamos todo montado, debemos alargar el cable usb del mouse para que llegue hasta nuestro computador.  Se puede hacer cortando a la mitad el cable del mouse y añandiendo una extension de cable de red, no muy larga, 3 o 4 metros.

Cuando tengamos la conexion hecha revisamos que todo quedo en orden, conectamos el un extremo del cable al computador y el otro exremo al mouse, verificamos que funcione perfecto, que se encienda la luz, verificamos los logs de systema dmesg|tail o tail /var/log/syslog y todos esos sintomas que nos dicen. Dejamos ejecutando en una consola el comando: cat /dev/input/mice si es usb o cat /dev/psaux si es un mouse ps/2, una vez hecho esto vamos a donde esta el mouse y calculamos una distancia apropiada para que al cerrar o abrir la puerta (o ventana) el mouse detecte el movimiento, cuando en la consola donde dejamos corriendo el comando aparezcan caracteres raros es porque ya esta listo. Si les queda muy alto el mouse de la puerta, puede agregar un carton o un plastico (como un ala) que haga el roce con la puerta.

Cuando esten todos estos pasos cumplidos, tendremos nuestro sensor ya instalado, lo probamos abriendo y cerrando la puerta y vamos viendo la salida del comando cat en nuestra consola. que el mouse fue detectado.

Podemos asegurar nuestro Mouse para que quede bien firme.

Cerramos nuestra consola donde teniamos ejecutando a cat, sellamos bien el mouse, dejamos todo bien instalado.

Aplicacion/Programa:

- Descarga:
He desarrollado un prqueño software (libre porsupuesto) que nos permitira interactuar con nuestro querido sensor. Lo pueden descargar desde aqui.
- Instalacion:
Nos situamos en el directorio donde lo hemos descargado y escribimos: tar xjvf door-version.tar.bz2 Ingresamos al directorio creado: cd door-version (Pueden leer el fichero README y el INSTALL para mas informacion) Compilamos el programa: make Nos ponemos como root y lo instalamos: make install Nos quedamos como root y ejecutamos el programa de la siguiente manera: door /dev/input/mice 5 (lease README para mas informacion) Y comenzamos a disfrutar de nuestro mouse sensor.

Demostracion:

www.youtube.com/watch?v=AuSOYCTA4Es

1. Gibbio: Junto a Rodolfo Berrios comenzamos un proyecto patrocinado/auspiciado por Sergio Escoté, Gibbio es un proyecto de red social al mas estilo Yahoo! Answers o Askville de Amazon, en simples palabras es una Web 2.0 donde la gente podra compartir (buscar/encontrar) lo que necesite en base a preguntas y respuestas tageadas y categorizadas bajo un criterio colectivo, donde cada pregunta y respuesta podra ser valorada segun el criterio de quien la este leyendo. La idea es lanzar una beta en poco tiempo mas.
2. Hackreta: Hace mas o menos un año que me integre a Hackreta Hacklab y desde ese entonces han pasado muchas cosas, gente que se ah retirado, gente nueva … Actualmente estamos intentando sacar el Hacklab adelante, de apoco vamos trabajando y uniendo fuerzas los antiguos y los nuevos. Poco a poco nos vamos planteando metas a corto plazo para poder realizarlas y evaluamos como vamos avanzando, nuestro proximo objetivo es dar una buena presentacion/impresion en el Flisol (Festival Latinoamericano de instalacion de Software Libre) de este año mostrando algunas cosas que realizaremos como un Multimedia Center entre otras cosas.
3. KernelHouse: Este proyecto lleva solo algunos meses en pie y es algo que suena muy bonito pero que cuesta bastante llevar adelante. Kernel de núcleo y House de casa, la idea es formar una comunidad de organizaciones sin fines de lucro y libres, en esta casa existen varios colectivos o grupos sociales y ademas, muchas ideas creativas e integrantes. Actualmente en esta casa se hacen talleres/clases de Tango, lugar de ensayo para la compañia de teatro La manojo Teatro, el Hacklab Hackreta y recientemente un estudio de grabacion llamado Empty Records conocido como El lado oscuro. KernelHouse es una organizacion centralizada de todos los colectivos que participan en la casa de forma independiente.
4. Noubuntu: Aunque ya he recibido la critica de muchos (y algunas criticas muy destructivas), junto con corrideat decidimos continuar con esta ideologia y pensamiento respecto a lo que genera una distrbucion Linux tipo Ubuntu. Migramos el servidor, nos mudamos a WordPress y lanzamos con mas fuerzas que nunca el nuevo sitio y ya hemos tenido varias visitas y varias criticas constructivas y destructivas.
5. Chevereto: Hace un tiempo me uní a este proyecto y actualmente soy el unico desarrollador, por lo que el avance avanza muy lento (tambien ocupo mi tiempo en otras cosas). Es un proyecto, tambien junto a Rodolfo Berrios, que trata de crear un motor de hosting de imagenes gratuito y libre, asi como existe Imageshack y otros hosting de imagenes, la idea es que este sea descargable y montable en cualquier servidor o pc. Actualmente es el motor de Godlike.

Si alguna vez pensaste en tener un hosting de imágenes corriendo en tu servidor con un script open source que te permite modificarlo como te dé la gana y compartir con personas de todo el mundo esta experiencia… Piensas igual que nosotros.

Con esta frase se presenta el sitio en desarrollo de Chevereto , un futuro sistema libre para el alojamiento de imagenes.

Ya deben conocer Imageshack (http://imageshack.us) o Godlike, el primero un sitio popular a nivel mundial de almacenamiento de imagenes y el segundo un sitio Chileno que a menos de un año de vida se esta popularizando en distintos paises.
Chevereto es un sistema que hace un par de meses se esta desarrollando pero que tambien hace mucho tiempo esta estancado y que ahora retomare con mucho mas animo. Espero poder tener lista una beta del sistema en menos de un mes, junto a Rodolfo Berrios (autor intelectual del asunto) y Pons (un desarrollador desmotivao’).

El sistema contara con varias caracteristicas de gran utilidad, un borrador del ToDo list es el siguiente:

Esta lista contiene en detalle que hace chevereto actualmente en GODLIKE y/o GODLIKE(lite). Esta lista tendra su foco en las comprobaciones de imagen en cuanto a razonamiento mas no en codigo. Esta lista esta en secuencia.

Equema Basico
Toma el archivo (local o remoto) y lo sube a una carpeta temporal > Realiza comprobaciones > Si se sube se mueve de lugar sino es eliminado.

- Setea el Time Zone
- Crea un conditional get (etag)
- Ve si se puede establecer conexion con SQL (caso negativo no permite usar el script).
Formulario
- Si el formulario es enviado y esta vacio: Notificacion.
- Si tiene doble info (se sube local y remota): Notificacion
- Comprueba si se esta subiendo una URL que tenga “godlike.cl” en el apartado del dominio (salvo para las imagenes en /apoyo).
UPLOADING
- Establece un filtro para la subida local (memoria):
– Comprueba la extension, no por mime por que tiene la facultad de corrergir extensiones mal puestas.
– Comprueba si el archivo no supera el maximo permitido.
- Establece un filtro para la subida remota (cURL):
– Conecta y trata de crear una imagen desde la string (asi comprueba) — Aqui deberia comprobar inmediatamente el tamaño:

$filesize = curl_getinfo($uh,CURLINFO_CONTENT_LENGTH_DOWNLOAD);

Pero esta linea no existe. Es una sugerencia

- Pasados estos filtros simples, procede a subir en un directorio temporal.
– Si es local simplemente copia de memoria a carpeta
– Si es remota baja con cURL.
- Procede a crear el MD5 y comprobar en la dB.
- Toma informacion del archivo con statinfo.
– Comprueba mime tipe (de imagenes soportadas, sin importar la extension).
– Toma mime, alto, ancho y peso. Con mime ve si es imagen, con alto y ancho ve si no esta corrupta y con peso denuevo comprueba si no se pasa. Aca seria bueno agregar una lectura de imagesize para determinar colores y cosas x que solo nos dicen si esta corrupta o si alguien le puso .jpg a un .php o algo asi.
- Si el mime es de los tipos soportados y la extension no calza, se la cambia.
- Vamos a la dB y leemos el contador de maximo de archivos por carpeta. Si supera el limite se añade +1 al contador de carpeta y se sube en la carpeta que sige. Esto es para no saturar una sola carpeta con demasiados archivos y pajear el ftp cuando sndamos sapeando.
- Limpiamos el nombre: Conservamos solo alfanumericos con minusculas. – Si el nombre es muy largo cortamos de atras para adelante para mantener la identidad.
– Vemos si existe imagen con ese nombre, de ser asi… Cortamos un poco, denuevo de atras para adelante y añadimos valores aleatorios.
– Volvemos a comprobar… Hasta que sale de ahi.
- Se hace el resimensionamiento si existe. Verifica si no sobrepasa los limites en px (16 y 1280).. Esto deberia hacerlo en el apartado del formulario, pero como el script sube igual a la temporal y le pide al usuario que arregle este error se entiende.
- Revisa si hay solamente numeros en este input, de no ser asi sube a una temporal donde el usuario luego puede arreglar su error.
- Deberia verificar si el tamaño redimensionado no pasa el maximo. Sugerencia.
- Hace el thumb.
- Finalmente, deja de trabajar y mueve a la carpeta definitiva. Añade los contadores de imagen para estadisticas y demas informacion.
- Si pasa algo mal elimina la imagen del directorio temporal de trabajo.

Basicamente eso en lo que es subir imagenes. Notese que la creacion de thums y la de redimensioamiento de imagenes conserva un respeto por las transparencias y la calidad del archivo (usando GD). Aquellas consideraciones las pueden encontrar en el index.php

A todas estas cosas que ya estan implementadas en Godlike, se le sumara el registro de usuarios y personalizacion y administracion subidas por cada usuario. Se corregiran muchas cosas, entre ellas el rendimiento y la carga en el servidor donde este funcionando el sistema. Actualmente esta programado casi de manera secuencial. La idea del nuevo desarrollo de este sistema es que sea completamente orientado a objetos, ayudando a entender y ordenar el codigo y el rendimiento.

Este sistema sera completamente OpenSource y esperamos poder lanzar la primera beta lo antes posible.

Si bien no podre con este script ver los updates de mis contactos, si podre actualizar mis acciones de una manera sencilla sin tener que abrir el navegador web para poder actualizar desde la web o desde twitbin y sin usar ningún cliente para twitter. Es un script sencillo que, configurandolo bien, podra ser muy util.

Para dejarlo funcionando de lujo en fluxbox, la instalacion y configuración paso a paso.
Descargar el script desde acá o copiar el código desde:

#!/bin/sh

CONFIG_FILE=$HOME/.twitshrc

function sendUpdate
{
USERNAME=`grep -v “^#” $CONFIG_FILE |grep username |cut -f2 -d ” “`
PASSWORD=`grep -v “^#” $CONFIG_FILE |grep password |cut -f2 -d ” “`
MY_UPDATE=`zenity –entry –text=”What are you doing now? (140 chars. max)”`
until [ `echo $MY_UPDATE|wc -c` -lt 140 ]; do
zenity –error –text=”Your update has more than 140 characters. Please edit this.”
MY_UPDATE=`zenity –entry –text=”What are you doing now? (140 chars. max)” –entry-text=”$MY_UPDATE”`
done
curl -u “$USERNAME:$PASSWORD” -d “status=$MY_UPDATE” “http://twitter.com/statuses/update.json” |zenity –progress –text=”Sending …” –auto-close auto-kill
}

if [ -f $CONFIG_FILE ];
then
sendUpdate
else
echo “ERROR: Couldn’t open config file ($CONFIG_FILE)”
fi

Como pueden ver en el código, es necesario tener instalado zenity y curl, que nos permitiran interactuar con el script y enviar los datos a twitter.
Es necesario que creemos un fichero de configuracion en el home del usuario que hara uso de este script. Este script se encuentra en el paquete que descargaron, deben copiarlo a su home como $HOME/.twitshrc

cp twitshrc $HOME/.twitshrc

En resumen, los pasos a seguir son:

[zerial@blackwater ~]$ wget http://blog.zerial.org/files/twitsh-0.2.tar.gz
–17:56:13– http://blog.zerial.org/files/twitsh-0.2.tar.gz
=> `twitsh-0.2.tar.gz’
Resolviendo blog.zerial.org… 200.29.4.70
Connecting to blog.zerial.org|200.29.4.70|:80… conectado.
Petición HTTP enviada, esperando respuesta… 200 OK
Longitud: 675 [application/x-gzip]

100%[============================================================================>] 675 –.–K/s

17:56:13 (40.89 MB/s) – `twitsh-0.2.tar.gz’ saved [675/675]

[zerial@blackwater ~]$ tar zxvf twitsh-0.2.tar.gz
twitsh/
twitsh/twitshrc
twitsh/twitter.sh
[zerial@blackwater ~]$ cd twitsh
[zerial@blackwater ~]$ cd twitsh
[zerial@blackwater twitsh]$ ls
twitshrc twitter.sh
[zerial@blackwater twitsh]$ cp twitshrc $HOME/.twitshrc
[zerial@blackwater twitsh]$ su
Contraseña:
[root@blackwater twitsh]# cp twitter.sh /usr/bin/twitsh
[root@blackwater twitsh]# chmod +x /usr/bin/twitsh

Configuramos el fichero $HOME/.twitshrc
Con eso dejamos instalado y listo para usar el script.
Ahora, para hacerlo más simpático junto a fluxbox, editamos el fichero “keys” de flubox, que esta en el directorio .fluxbox de tu home.
Editamos con nuestro editor preferido;

vim $HOME/.fluxbox/keys

Vamos al final y agregamos la linea:

Mod1 s :ExecCommand /usr/bin/twitsh

Mod1 corresponde a la tecla ALT, la letra que lo sige (la s) nos indica que al presionar ALT+S ejecutará dicho comando. Eso lo pueden modificar a su gusto.

Teniendo todo esto hecho, basta con presionar ALT+S y aparecera el dialogo para poder escribir en twitter.

Como habran visto en este post, KernelHouse nace hace menos de un año, como proyecto de unas personas con gustos por el arte y las tecnologias. Con el fin de formar un lugar fisico autogestionado, libre y para todos hemos formado grupos de trabajos con mucha gente con distintas opiniones y posturas, con distintos desafios, distintos intereses pero con un unico objetivo en comun: Arte y Tecnologia para todos.

Actualmente en esta casa participan tres nodos: La manojo teatro (teatro), tango y hackreta hacklab que, sin animos de lucrar ni fines personales, hemos dedicado dia y noches enteras a este proyecto. Hemos realizado distintas actividades, hemos pasado momentos buenisimos y tambien momentos dificiles y recien ahora, cuando estabamos llegando a un concenso en cuanto a la organizacion, nos reprimen. Sin importar lugar, fines, ideales y por la culpa de una persona que es practicamente ajena a la casa, la municipalidad de Recoleta ha decidido clausurar la casa.

Bajo el giro comercial de “Cabaret con venta de alcoholes”, el Sábado por la noche llega un inspector (luego de una actividad que realizamos ese día) notificando la clausura del “Local Comercial” ubicado en Antonia Lopez de Bello 157A. Esa noche, el inspector nos dio una ultima esperanza (nose si lo habra hecho para que recibamos y firmemos la notificacion o realmente porque nos queria ayudar), dijo que fuermos a hablar con su jefe (el jefe de inspeccion del departamento de atencion al contribuyente, municipalidad de Recoleta) el martes por la mañana, no lo duamos y fuimos. Para resumir el cuento, este personaje nos dijo “El inspector con el que ustedes hablaron no es mas que un inspector, lleva menos de 1 año trabajando, yo soy el jefe de inspeccion, llevo 7 años, por tanto, lo que el diga no es, lo que yo diga SI es. Lo mas probable es que el haya dicho lo que dijo para hacer su trabajo lo mas ‘amigable’ posible.” En ese momento se nos cerraron todas las puertas y la clausura de la casa es si o si.

Hasta el momento no sabemos que hacer… pero seguiremos luchando por que no se nos cierre o clausura este espacio, menos por la culpa de un tal por cual.

Ese tal por cual tiene nombre, se llama Rodrigo y es el causante de todos estos dolores de cabeza. Un dia se le paro la raja y decidio hacer un fiesta, ambicioso por el dinero y con el lucrar con todo, vendia alcohol, puso musica, transformo la casa en un verdadero pub clandestino. Por la bulla llegaron los amigos carabineros (o la policia) junto a un inspector (creo) municipal, quien ordeno detener todo y se lo llevaron detenido, este tipo dijo que el vivia en esa casa (mentira), le pasaron una multa de 2UTM (Unidad Tributaria Mensual) y no pagó, llego una notificacion a la casa (ya que habia dado la direccion) con una orden de arresto por no pago, tampoco le hizo caso, entonces llego una segunda notificacion con una multa más elevada y tambien con orden de arresto, tampoco se presento, pues la tercera notificacion sería la de la clausura del “local comercial”.

Estamos buscando abogados y gente que nos ayude con todo este tema, para saber que significa clausura del local comercial (siendo que no somos un lugar comercial), el jefe de inspeccion nos dijo que clausura significa que NADIE entra al local, ni si quiera a limpiar, ordenar u otra cosa distinta a “atender publico” o “lucrar”. Nosotros pensamos que no es asi, aun tenemos una salvacion, pero necesitamos gente que nos ayude.

Fotos de la casa: http://fotos.kernelhouse.org

Lo llamé TwitteRead y funciona perfectamente, lo pueden ver al final de la barra de navegacion que esta al costado derecho del blog.
El plugin es bastante basico pero se le pueden ir agregando mas funcionalidades y quizas generar un algoritmo más óptimo para leer los últimos updates de cada usuario, pero para este caso (el mio) basta y sobra con lo que hace. Si en algun momento comienza a fallar entonces reconsideraré la opcion de volver a escribirlo. Si alguien quiere probarlo lo puede descargar desde acá.
Para instalarlo y usarlo es muy sencillo, vayan al directorio de los plugins de wordpress (wp-content/plugins) y desempaqueten el fichero descargado:

$ tar zxvf twitteread-0.5.tar.gz
twitteread/
twitteread/twitteread.php

Luego deben ir al panel de administracion de WP y activen el plugin, una vez activado, deben editar el sidebar del Theme que esten usando y, en la posicion que ustedes quieran, llaman a la funcion que devolvera o mostrara los post en twitter.

<? getTwitterFrom( usuario, cantidad_de_updates ); ?>

Para mas informacion del proyecto visita:
http://wiki.hackreta.org/wiki/Sensor-mouse

Actualizado Puedes encontrar la documentacion de como hacerlo en el siguiente link: http://blog.zerial.org/linux/documentacion/sensor-mouse-sensor-de-movimiento-con-un-mouse/