Google ha resuelto recientemente los agraciados por su programa Summer of Code 2006 mediante el cual reparte más de tres millones de dolares (más del doble del presupuesto de que disponía el programa el año pasado) en ayudas a desarrolladores de software libre .

Entre los ‘becados’ de este año se encuentran 10 desarrollos en torno a nmap. Fyodor, el creador de esta herramienta, hace el anuncio a través de una nota de la lista de correo asociada a este popular escáner de seguridad donde, además, introduce brevemente cada uno de los 10 proyectos elegidos.

Entre ellos existen algunos proyectos rutinarios (aunque necesarios), como el de saneamiento y limpieza de código muerto para mejorar el rendimiento de Marek Majkowski y otros que me son más indiferentes como el desarrollo de un nuevo GUI que se llamará NmapFE++ de Adriano Monteiro Marques (¿quién diablos usa el actual GUI de nmap?). Pero, frente a estos, hay otros realmente expectaculares y que sumarán importantes y valiosas funcionalidades a nmap como por ejemplo:

• Diman Todorov trabajará en la posibilidad de dar soporte para realizar extensiones mediante scripts a nmap.

• Edward Bell creará una aplicación que permitirá comparar de forma automática los resultados de dos escaneos y determinará las diferencias entre ambas.
• Cole Nevins creará una utilidad que realizará mapas gráficos de la red a través de las salidas de nmap.
• Julien Delange trabaja en una versión de nmap que podrá residir en un servidor web desde el que se realizaran los escaneos.

Estoy deseando verlos en funcionamiento…

Si es que ya no respetamos nada… Lo cuenta brevemente dirson aquí y Eduardo Arcos entra un poco más en honduras. La nota oficial por parte de Google dice que el blog no fue hackeado realmente y que los hechos hay que achacarlos a torpeza propia. Vete tú a saber…

We’ve determined the cause of tonight’s outage. The blog was mistakenly deleted by us (d’oh!) which allowed the blog address to be temporarily claimed by another user. This was not a hack, and nobody guessed our password. Our bad.

Lo cierto y verdad es que el asalto no aparece registrado en el archivo de defacements de Zone-H… la verdad es que no me lo había preguntado nunca pero ¿se puede considerar un defacement un asalto a un blog? Imagino que si… en cualquier caso, aquí están los resultados:

ACTUALIZACIÓN: Trey, el autor del desaguisado, confirma en sus páginas la versión dada por Google:

Regarding Google’s Official Blog, I didn’t hack it. I did re-register the username when I noticed, due to a Blogger bug, it had been deleted.

Hace unas semanas publiqué un post en el que comentaba las bondades de TOR y Privoxy y contaba por encima una forma fácil y flexible de instalarlos y configurarlos. Hoy voy a contaros otro aspecto muy, muy interesante acerca de TOR: el acceso a una “Internet oculta”.

Cuando accedemos a Internet a través de la red TOR no sólo tenemos acceso anónimo a la Internet convencional sino que tenemos a nuestra disposición unos servicios ocultos… servicios publicados en internet a través de estos mismos servidores y a los que sólo se tiene acceso con este tipo de conexión.

Existe una wiki dónde se recogen los enlaces que se quieren hacer públicos a todos los usuarios de la red TOR. No os molesteis en pulsar en el enlace anterior si no estais usando uno de estos routers porque os mandará a uno de esos moletos sitios de compra y venta de dominios. Ahora bien, si estás usando un servidor TOR y pulsas en el enlace entrarás en la siguiente wiki:

Entre estos servicios teneis servidores jabber, de IRC, de almacenamiento de ficheros, etc. Y, por supuesto, también hay secciones de pornografía, política y de “contenidos controvertidos” donde… vaya… ¿qué será eso del video de un editor de periódicos español?¿Pero no era una leyenda urbana?

Pero si lo que realmente quieres es mantener una dirección oculta entre compañeros o colaboradores no deberías de publicarla aquí. Un servicio publicado en esta internet oculta para el cual no hagamos pública la dirección está a salvo de cualquier buscador o mirada indiscreta. Y crearlos es sumamente fácil…

En el fichero de configuración torrc (en /etc/tor habitualmente) existe una sección explicita para que coloquemos nuestros servicios ocultos:

############### This section is just for location-hidden services ###

Crear un nuevo servicio es muy sencillo. Basta con dos líneas para, por ejemplo, crear un sercicio oculto que apunte a la web de El País:

HiddenServiceDir /Library/Tor/var/lib/tor/hidden_service/
HiddenServicePort 80 www.elpais.es:80

Con la primera línea le indicamos a TOR un directorio donde guardará información acerca de ese servicio. Allí generará un fichero llamado hostname donde figurará la URL donde se publicará nuestro servicio oculto dentro de la red de TOR. Esta URL tendrá una forma similar a estas: http://6sxoyfb3h2nvok2d.onion/. En la segunda línea indicamos el puerto a través del que se accederá a dicho servicio y la URL donde se encuentra el servicio ‘real’.

Una vez que hemos comprobado que lo anterior funciona el resto es casi tan sencillo: instalamos nuestro servidor web favorito en la misma máquina donde tenemos el TOR y configuramos una instancia en, por ejemplo, el puerto 3222 de forma que sólo acepte conexiones entrantes de el mismo (localhost). Comprobamos que funciona y, a continuación, sustituimos la segunda línea de nuestro servicio oculto por lo siguiente:

HiddenServicePort 80 localhost:3222

Reiniciamos el servicio de TOR. Y listo.

Y por cierto: después de escribir el texto del otro día me di cuenta de que habíamos estado analizando el anonimato que nos proporcionaba esta herramienta desde el punto de vista del destino, pero no del origen, es decir ¿qué es lo que ve nuestro ISP cuando usamos TOR? Hoy, después de una sesión de unos 30 minutos he recogido los datos de las conexiones que he tenido abiertas a través de ntop y este es el resultado:

Salvo el dns de jazztel y la página web del ntop, ninguno de los otros servidores tienen absolutamente nada que ver con los sitios que he estado visitando…

La privacidad y el anonimato siempre han sido puntos que han preocupado bastante a un gran porcentaje de los usuarios de Internet, sobre todo a los que tienen un poco de más conocimiento sobre lo que están haciendo y el uso que se le puede dar a los datos que van dejando por ahí. Pero últimamente, no se si por casualidad, he recibido una avalancha de información referente a dos de las mejores herramientas que existen para conseguir esto: sendos artículos en las revistas de enero de Linux Magazine y @rroba, entradas en el meneame y mucha publicidad referente a una nueva distribución de GNU/LINUX centrada en el uso de dichas herramientas. Me estoy refiriendo, por supuesto, a TOR y a Privoxy Privoxy es un proxy web con algunas funciones muy útiles para control de cookies, eliminación de publicidad en las páginas, bloqueo de popups, etc. Está basado en el Internet Junkbuster. TOR es el verdadero ‘anonimizador’ de nuestra conexión y para ello usa un sistema muy curioso: hace viajar nuestras peticiones a través de una red de servidores (denominados Onion Routers, de ahí las siglas del producto) de forma que sea imposible identificar su procedencia ni realizar un seguimiento de la misma (luego veremos un poco más el método que usan para ello). Ambas herramientas combinan perfectamente entre sí para proporcionarnos Privacidad (Privoxy) y Anonimato (TOR) en nuestra navegación y están disponibles para una amplia base de plataformas. Yo uso ambas herramientas desde hace ya tiempo y voy a tratar de aprovechar el ‘tirón’ de popularidad que están teniendo en los últimos días para poner mi granito de arena y darles un poco más publicidad. Para ello os voy a contar la instalación que tengo hecha en casa y la forma más rápida y práctica de ponerlos en marcha. Para empezar, os copio el esquema de mi red tal y como lo entrega mi nagios y os doy unas explicaciones:

Como podeis ver después del cortafuegos tengo cuatro máquinas: aquilino es el portatil de mi mujer (Windows 2000 Professional, y mira que lo siento…), susie es mi máquina de trabajo habitúal (OpenSuse 10.0), Debbie es mi servidor (Debian Sarge 3.1) y Valeria es el equipo que uso para cacharrear, hacer pruebas con productos inestables o de los que meramente quiero hacer una evaluación, etc. En susie tengo una instalación de Privoxy en local y la uso siempre para eliminar la publicidad y los Ads de las páginas por las que navego. OpenSuse viene con la versión 3.0.3 de esta herramienta. En debbie tengo una instalación combinada de Privoxy (versión 3.0.3 en stable) y TOR (versión 0.1.0.16 en unstable) y la uso cuando… digamos, quiero que lo estoy haciendo pase lo más desapercibido posible… La forma más cómoda de combinar las distintas opciones que ahora se nos ofrecen es mediante firefox y su extensión SwitchProxy que me permite cambiar con sólo dos clicks entre cualquiera de las tres posibilidades de navegación que tengo disponibles de forma inmediata:

Pero regresemos a la forma en la que TOR trabaja ¿cómo nos proporciona el anonimato?¿es algo realmente fiable? La forma de trabajar (de forma reducida) es la siguiente: TOR puede trabajar como cliente y/o como servidor. Un cliente TOR lo primero que hace es obtener una lista de servidores TOR disponibles y confeccionar una ‘ruta’ aleatoria y privada (el tráfico está cifrado) entre varios de estos servidores. Cada minuto (o tras un reinicio del demonio si necesitamos un cambio más rápido) TOR confecciona una nueva ruta para nuestro tráfico. El proceso seguido está explicado en detalle aquí.

Si disponemos de una IP fija y queremos ‘donar’ algo de nuestro ancho de banda al servicio del resto de usuarios de esta herramienta aquí se nos dice como hacerlo. El ancho de banda que nuestro servidor TOR usa está limitado y es configurable por el usuario, así que no hay que tener miedo de que nos eche abajo la conexión. La configuración de ambas herramientas es muy sencilla. Para hacer funcionar Privoxy en nuestra máquina local basta con arrancar el servicio y apuntar nuestro navegador para que use el proxy a través del puerto 8118 de la máquina en la que esté instalado.

Privoxy por defecto viene configurado para que sólo pueda ser accedido desde la misma máquina desde la que se ejecuta, así que para acceder a la instancia que tengo en el servidor debian tuve que modificar la siguiente línea en el fichero de configuración (/etc/privoxy/config para debian y /var/lib/privoxy/etc/config para OpenSuse) listen-address 192.168.0.3:8118 La dirección por defecto era, como podeis imaginar es la 127.0.0.1:8118 Por último, para que Privoxy use TOR como anonimizador hay que incluir una nueva línea en su fichero de configuración, esta vez bajo el epígrafe 5.2 (puedes ponerlo dónde te plazca, el emplazamiento sugerido es meramente para guardar la coherencia del fichero de configuración) forward-socks4a / localhost:9050 . Ni que decir tiene que para que Privoxy tome cada cambio que hacemos en su fichero de configuración hay que reiniciar el demonio, ¿verdad? Y poco más. Si ahora hacemos la prueba a través de cualquier servicio de localización de IP a través de Internet (como por ejemplo http://www.ip2location.com/) podemos comprobar que nuestra dirección de acceso no se corresponde para nada con la realidad…

Y a cada minuto (o cada vez que reiniciemos el demonio del tor) obtenemos una ‘identidad’ diferente:

Si meramente usamos Privoxy la diferencia de rendimiento es prácticamente despreciable pero si lo combinamos con TOR como podeis imaginar la navegación se hace un poco más lenta, así que no se trata de una opción para tener activada siempre sino sólo cuando realmente pensemos que lo necesitamos… Buen provecho…

El año pasado Fyodor (el creador de nmap, una de las más maravillosas herramientas que el software libre nos ofrece a los administrador de redes y responsables de seguridad) fue invitado a escribir uno de los capítulos de Stealing the Network: How to Own a Continent, un libro de ficción escrito por verdaderos hackers que recreaban el uso real de técnicas de intrusión para asaltar sistemas informáticos. El libro no se ha editado en castellano y es una lástima porque el inglés es para mi, al igual que para mucha gente de mi generación, la gran asignatura pendiente… pero aunque no me siento con fuerzas para comprarme el libro en inglés y leerlo, si pude disfrutar (aunque con esfuerzo, todo sea dicho) del relato escrito por Fyodor titulado Sendai’s Story y, posteriormente, de la traducción del mismo al castellano que hizo Sergio González: La Historia de Sendai.

Parece que el proyecto ha tenido el suficiente éxito como para editar una secuela (que en realidad es el tercer libro de la saga, puesto que en 2003 ya se publicó Stealing the Network: How to Own the Box) y este año se ha editado otro libro con la misma filosofía: Stealing the Network : How to Own an Identity. Aunque este año Fyodor no ha participado en el libro, ha recibido autorización de la editorial para publicar en su web uno de los capítulos y ha elegido el relato Bl@ckTo\/\/3r, escrito por Brian Hatch. Por el momento no hay traducción al castellano. Lo siento…

Y una última advertencia: no espereis en ningún caso maravillosos ejemplos de literatura. Olvidaros de eso por unos momentos: son hackers no escritores. Lo único que hay que hacer es dejarse fascinar por lo que unos cuantos privilegiados pueden hacer con un teclado. Y si, ojalá además de esto supieran escribir bien…