frias.info

Robo de contraseñas por email

Hace unas cuantas semanas (el 19 de noviembre) recibí este email en mi cuenta de Hotmail. Lo leí por encima y rellené el formulario sin pensar, o en realidad pensando «ya están dando otra vez la paliza estos de Hotmail» (recordando los correos que envían para ampliar la capacidad de la cuenta, etc.). Segundos después de darle al botón del formulario me di cuenta de que había hecho el capullo de mala manera: acababan de robarme mi contraseña de Hotmail.
Mirando el código HTML del email (que no voy a incluir para no ponérselo demasiado fácil a los script kiddies) he podido averiguar más o menos cómo funciona el ataque:

El formulario contenido en el email está dirigido a un CGI de Hotmail que lo único que hace es redirigir la petición (post) a otra web cuya dirección es uno de los parámetros (hidden) del formulario. Con esto el atacante consigue que al apretar el botón el usuario atacado (en este caso yo) no vea la ventana del estilo «está siendo redirigido a otra página, ¿quiere continuar?».
La página a la que se redirige el formulario es un CGI que envía su contenido por email a una dirección que se incluye en uno de sus parámetros. En este caso el atacante usaba uno que ofrece una empresa de hosting (y que seguro que no tenía nada que ver con él). La dirección de destino es la misma que envía el email (servicios___de___usuarios___@hotmail.com). Por tanto, lo que acababa de hacer yo es enviar por email mi usuario y password de Hotmail a esta dirección.

En resumen, un ataque bastante elegante, efectivo (que me lo digan a mí) y en el que el atacante se expone realmente poco, porque la única pista que deja es una dirección de Hotmail que puede conseguir y consultar desde cualquier cibercafé.
Suerte que la contraseña de Hotmail no la uso para nada más, así que lo único que hice fue ir a cambiarla inmediatamente para evitar cualquier problema. Pero imaginaros que por ejemplo usara Passport para otras cosas, por ejemplo para comprar y vender en eBay…
Dentro de poco os explico otro caso de un email que le llegó a un amigo que simulaba venir de un banco online. Espeluznante…

DOS sobre Linux

En esta página (vista en Slashdot) explican cómo ejecutar programas DOS de toda la vida bajo Linux.
Interesante para recuperar jueguecillos como el Scorched Earth, o scorch para los amigos.

Cómo montar una tienda online

Hace algún tiempo estuve mirando herramientas de código abierto, libres y gratuitas, para montar tiendas online. Hay bastantes:

osCommerce: PHP/MySQL, última versión: 12/07/2002.
VirtueMart: PHP/MySQL, última versión: 17/09/2002.
Interchange: Perl/varias bases de datos, última versión: 15/12/2003.

El osCommerce lo probé hace meses y tiene muy buena pinta, en cuestión de unas pocas horas puedes poner en marcha una tienda online con todo lo que hace falta: catélogo, carrito, etc. Lo único que no probé fue el tema de los pagos, pero creo que soporta varias pasarelas, y por otro lado tampoco es dificil programar el código que haga falta para la pasarela que se contrate.
Montar y llevar una tienda online es una cosa que creo que me haría bastante ilusión, pero nunca se me ocurre una idea que me convenza, o lo que se me ocurre requiere demasiada infraestructura. En fin, si se os ocurre algo y me queréis como socio, ya sabéis, aquí estoy.

Truco para Movable Type

logo de Movable Type Cómo hacer que Movable Type muestre el mes con las semanas empezando los lunes y no los domingos:

Abrir con un editor el fichero /mt/lib/MT/Template/Context.pm

Buscar las siguientes líneas:

    my $pad_start = wday_from_ts($y, $m, 1);
    my $pad_end = 6 - wday_from_ts($y, $m, $days_in_month);

Y sustituirlas por las siguientes:

    my ($sdow);
    $sdow = 0 unless ($sdow = $args->{sdow});
    my $pad_start = (wday_from_ts($y, $m, 1) + 7 - $sdow) % 7;
    my $pad_end = 6 - (wday_from_ts($y, $m, $days_in_month) + 7 - $sdow) % 7;

Este truco creo que lo encontré en algún foro de soporte de Movable Type, pero ahora no encuentro el link. Espero en la versión 3 de MT esto pueda hacerse por configuración, sin tener que tocar el código.

El ADSL más barato

logo de arsys.es arsys.es ofrece el ADSL más barato que hay ahora mismo en el mercado (o por lo menos que yo conozca).
Nota: A pesar de la fecha del post, la noticia es cierta (de hecho ya hace semanas que se vende).

Sistemas anticopia

Parece que Philips está preparando un nuevo sistema anticopia.
Aseguran lo de siempre, que es irrompible de la muette. Pero al final, como explica Bruce Schneier en este artículo, para poder escuchar música digital necesitas tener los bits sin cifrar, y los bits se pueden copiar sin perder ninguna calidad, así que este sistema está condenado a fracasar como los demás.

frias.info hacked (2)

fragmento de la página hackeada Como os comentaba, ayer hackearon frias.info. Alguno se llevó la sorpresa de venir a visitar este blog y encontrarse una página «diferente» a la habitual.
Reporté el problema a la empresa de hosting donde está alojada esta web y parece que han solucionado el problema, aunque no me han dado mucha información sobre cuél ha sido la vulnerabilidad que explotaron. Restauraron un backup del lunes de los directorios, y como Movable Type guarda toda la información en base de datos y ésta no estaba afectada, ha sido suficiente con usar esta mañana la opción «Reconstruir sitio» de MT para volver a tener el blog como estaba.
Sobre el ataque, lo único que he podido averiguar es que a las 16:51 alguien o algo sustituyó todos los ficheros index.html de varias de las webs alojadas en el servidor.
En poco tiempo recibía una llamada (perdida), un SMS, y varios emails avisándome del tema. Da gusto con lectores así.
Por cierto, Josep, al final vas a tener razón con lo que el blog tiene vida propia.

frias.info hacked

Esta tarde han hackeado el servidor en el que está alojada esta web.
De momento he reconstruido los ficheros, pero es posible que vuelva a pasar porque no tengo ninguna información del hosting sobre el tema.
Mañana os cuento más, que llego tarde a una cena. ¡Muchas gracias a todos por los avisos!

Faircopy

logo de FAIRCOPY Acaba de ponerse en marcha un proyecto muy interesante. Hace días hablábamos de los cambios y las tensiones que estaba habiendo en el sector de la música a raíz del crecimiento de la piratería, tanto en la manta como online.
Ante esta situación hay, por lo menos, dos posturas posibles: o se protege el modelo de distribución actual mediante medidas policiales/legales, o se busca un nuevo modelo que se adapte mejor a la situación tecnológica actual.
FAIRCOPY es una propuesta en esta segunda línea:
FAIRCOPY hace posible un nuevo modelo de distribución de contenidos digitales (música, videos, …) que incentiva económicamente las copias (legales) y rebaja las barreras de entrada al mercado a autores, consumidores y distribuidores.

Efemérides

hola de calendario Es curioso saber lo que pasó en un día determinado, por el ejemplo el día que naciste. El NY Times mantiene un archivo de efemérides.
En un 6 de agosto, el día que nací yo, Estados Unidos lanzaba la bomba atómica sobre Hiroshima. Glups. También fue un 6 de agosto cuando desapareció el Imperio Romano, se ejecutó por primera vez con silla eléctrica, y cuando nacieron Fleming y Andy Warhol.