16.12.09

problema con notebooks. hp, nvidia, el plomo y blah blah blah

esta vez parece q le toco a hp. la verdad q es 1 lastima xq siempre me parecio d las mejores marcas y personalmente nunca tuve ningun problema, la razon principal debe ser q no tengo 1 portatil hp/compaq... jeje

cada vez c hace mas dificil d ocultar el problema q hay con modelos d los ultimos 2/3 años d hp q se arruinan en tiempo record, las laptops c juntan x pilas en los negocios d reparacion y a pesar d q muchas paginas, blogs, foros, etc q publican este problema desaparecen "milagrosamente" la verdad ya esta a la vista. fallas d diseño, el problema del plomo y 1 empresa q no c hace cargo d sus errores.

ademas, como siempre mucho tecnico llenandose d plata pasando reparaciones x "cambio d mother" o cosas parecidas ;)

en realidad este problema seguramente c extiende a muchos otros artefactos (algo parecido pasa en la xbox360) como fue en su momento el problema d los capacitores, pero en las hp c dieron unos cuantos factores q ayudaron a q sea mas notable.

cual es entonces el problema principal?... x problema principal me refiero a lo q hace q la maquina deje d funcionar en principio ya q problemas hay muchos. la temperatura q levantan estas laptops es 1 problema aunque sigan funcionando, a menos q la quieran usar para hacer huevos fritos. bueno, el problema entonces...


soldaduras sin plomo

el plomo es malo para el ser humano, hasta ahi estamos d acuerdo. por normativas anticontaminacion muchos paises no permiten el uso d plomo en las soldaduras, d modo q c usa 1 aleacion especial d estaño sin plomo q para empezar no resiste las mismas temperaturas q el estaño normal. la diferencia es suficiente como para causar problemas en los contactos d 1 chip gpu (graphics processing unit... en castellano: el cpu d la placa d video).

estos chips c sueldan con el sistema "bga". este proceso consiste en colocar unas bolitas d estaño en el chip q despues x medio d calor c sueldan a la placa. hay varios procesos para lograrlo pero basicamente es eso. obviamente tambien c puede hacer con estaño normal, lo cual no causaria este problema.

el plomo es malo para el ser humano pero es bueno para los chips, estoy a favor d la ecologia y todo eso, pero me parece q tendrian q apuntar a otro lado, reciclar mejor las cosas o si eso es imposible x lo menos buscar 1 sustituto q sea igual d bueno o mejor... o no c... diseñar algo q no c rompa en 2 meses d uso cuando cuesta los usd q vale 1 laptop.


el problema

el sintoma tipico en las hp es q no muestran video aunque se puede ver q la maquina enciende y carga normalmente. al parecer, combinado con el tema del estaño hay 1 problema con ciertos modelos d nvidia q elevan demasiado la temperatura y no termina ahi sino q parece q ademas, x 1 falla d diseño en algunos modelos... el chip no hace contacto con el disipador... sin palabras... 1 verguenza.

esto x supuesto hace q la triste soldadura sometida a tal calor empiece a fallar y deje d hacer contacto con la placa con el resultado anterior.

los modelos afectados son muchisimos, entre ellos estan las series:

dv2000
dv5000
dv6000
dv9000
v2000
v3000
v6000
tx1000

y vaya a saber cuantos mas, estos son los mas conocidos.


la respuesta d hp

debido a q tenian q hacerse cargo d alguna manera la respuesta fue el "HP Pavilion dv2000/dv6000/dv9000 and Compaq Presario v3000/v6000 Series Notebook PCs - HP Limited Warranty Service Enhancement":

http://h10025.www1.hp.com/ewfrf/wc/document?docname=c01087277&lc=en&cc=us

1 extension d la garantia y 1 upgrade para la bios. upgrade q lo q hace es acelerar los fans y c dice x ahi q bajar el voltaje, con lo cual estamos practicamente underclockeando y x supuesto jugando con la estabilidad del equipo.

en el caso d poder enviar el equipo para reparacion la solucion d hp es cambiar el mobo, con lo cual el problema sigue, lo unico q c hace es volverlo a 0. con el tiempo el equipo va a volver a calentar y otra vez las soldaduras van a fallar. y suerte si lo hacen gratis, sino el cambio d 1 mobo cuesta entre 400 y 500usd.

hay gente iniciando juicios y otras cosas, pero como todos sabemos no c le puede ganar a las grandes corporaciones xq tienen miles d abogados esperando para comernos las entrañas.


la solucion

mmmm... la solucion definitiva seria hacer 1 reballing del chip (con estaño con plomo... je) y x supuesto buscar la manera d q disipe mejor ya q tampoco es muy comodo trabajar con 1 equipo q levanta esas temperaturas.

como para el reballing hacen falta maquinas especiales y bastantes $$ (o mucho ingenio y muñeca) hay montones d soluciones alternativas. la principal consiste en usar 1 pistola d calor sobre el chip elevando la temperatura hasta 300ºC en algunos casos, para fundir la soldadura y presionando cuidadosamente restablecer el contacto. hay unos cuantos videos x ahi d como hacer el proceso. en el del link q sigue c puede ver en 1 v3000:

http://www.youtube.com/watch?v=i2z2FqZusjY

el problema con este "sistema" es q la soldadura sigue siendo 1 porqueria y va a pasar lo mismo en 1 par d meses. es importante refrigerar d alguna manera para q no vuelva a generarse tanto calor.

en s tema llegue a ver cosas como poner 1 moneda d cobre entre el chip y el "disipador" (pasta termica mediante) para q justamente haya 1, ya q todos sabemos q si no hay contacto no hay donde mandar el calor y c lo va a comer todo el chip. esto combinado con cosas como hacer agujeros en la parte inferior hasta convertirla en 1 colador, y hasta 1 q decia x ahi q le ponia 1 barra d hielo debajo xDD


conclusion

es lamentable xq como decia al principio la consideraba una d las mejores marcas, pero no compren laptops hp. por lo menos hasta q quede claro q esta solucionado este problema. la garantia a la q me referia antes llega hasta la dv9400 y ya es sabido q modelos posteriores tienen el mismo problema.

parece q esta gente no tiene muchas ganas d solucionarlo y el usuario moderno esta mas acostumbrado a tirar las cosas a la basura y comprar 1 nueva, no es la gente d hace 10 o 20 años q conocia su maquina y la apreciaba, hoy todo es descartable... y la verdad q no me importaria comprar 1 cada 6 meses si costaran 100 o 200usd pero como todos sabemos no es asi.

17.6.09

Como ver links ocultos en foros smf

no tengo idea d smf asi q esto va a ser bien basico... je

hace unas semanas me di cuenta d este fallo (o mala configuracion, xq no c bien lo q es) y no le hice mucho caso pensando q era conocido, pero hablando x ahi me di cuenta q parece q no mucha gente lo sabe y me decidi a publicarlo.

todos nos encontramos alguna vez con el famoso:

Necesitas ser usuario para ver los enlaces Crear Usuario o Hacer Sesion

o tal vez:

You are not allowed to view links. Register or Login

q los admins suelen poner en sus foros para generar mas altas d usuario, obligandolos a tener 1 cuenta para ver el contenido, y asi parecer 1 comunidad gigante, cuando muchas d estas en realidad tienen unos pocos cientos d users activos y el resto son miles d "fantasmas" q solo entran a descargar warez o porno.

es cierto q no es demasiada molestia hacerse 1 user, sobre todo si no pide confirmacion d correo, y si la pide tenemos alternativas como:

http://www.10minutemail.com

q nos permiten usar 1 cuenta falsa q c autodestruye a los 10mins. pero... a veces estamos buscando algo y resulta molesto andar dandose d alta en 10 lugares distintos para q despues los links no sirvan, tener q ir a otro lado a hacer la misma historia y perderse todo el dia creando cuentas q despues no usamos jamas...

como dije antes no tengo idea d smf asi q estuve preguntando x ahi y me explicaron q la funcion se realiza x medio d 1 mod, ya q no existe en el sistema (si en vbulletin), el mas popular al parecer es reglinks:

http://custom.simplemachines.org/mods/index.php?mod=342

no tengo idea si el problema es del mod, d todos los mods q hacen esto, o d mala configuracion x parte del admin, pero la falla c encuentra en la mayoria d los foros smf x lo q estuve viendo... vamos al grano... je


Ver los links ocultos

c van a reir cuando vean lo facil q es... casi hasta me da verguenza hacer 1 entrada con esto... :P

abran la pag del tema donde esta el link oculto y presionen el boton "imprimir" o "printpage"... miren bien... si si, el link ya no esta oculto XD

algun admin mas inteligente q los demas seguramente habra hecho desaparecer el boton, pero no asi la funcion "printpage" x lo q solo tendriamos q injectarla en la url.

x ej supongamos q tenemos:

foro.xxxxxxx.com/index.php/topic,1234.0

deberiamos agregarle el "action=printpage". quedaria asi:

foro.xxxxxxx.com/index.php?action=printage;topic=1234.0

y produce el mismo resultado q el boton. en unos pocos foros no funciona x lo q vi... y en vbulletin no funciona directamente.

tambien es visible en el source d la pagina en algunos bajo el tag "visibility:hidden" pero en otros no. sin importar esto ultimo el printpage funciona en ambos.

es todo lo q tengo x ahora... el "como" pero no el "xq". si alguien q lea esto tiene idea le agradeceria q aclare 1 poco el tema... y al q no le interesa "el xq", simplemente usenlo mientras funcione y evitense d andar creando tanto usuario fantasma ;)

2.6.09

Facebook, Hi5 y las redes sociales... virus, bugs y criminales "no tan virtuales."

Fuck!! Es q no le importa a la gente q todos esten viendo su intimidad? Conocen el concepto d “privacidad”? Leyeron (o vieron aunque sea) 1984? Saben adonde nos va a terminar llevando esto?? Mmm... no me lo quiero ni imaginar xq asusta. xD

Hoy dia es muy facil encontrar datos d personas simplemente xq ellos los ponen a la vista d todos. Cualquiera con conocimientos minimos puede ponerse a buscar gente y averiguar cosas sobre ellos con la unica herramienta d 1 conexión a internet. Esto no seria tan malo si vivieramos en 1 mundo perfecto donde todos son buenos y nadie quiere sacar provecho del otro, robar, matar, y violar todas las p... leyes, mandamientos o lo q sea, pero el caso es q no vivimos en 1 mundo asi y no c entiende como es posible q no abran los ojos.

La masividad d internet llevo a estas cosas, antes c cuidaba mucho mas la privacidad en la red, para empezar xq el usuario medio tenia 1 nivel mucho mas alto que hoy, ademas d q habia mas conciencia del problema y mas ganas d educar a la gente sobre como comportarse en su vida virtual. Siempre me acuerdo d 1 comercial d los 90´s en el q habia 2 perros chateando (irc x supuesto... je) y 1 le decia al otro “en internet nadie sabe q somos perros”. 1 imagen muy significativa x cierto, q tal vez hoy parezca mas obvia pero en realidad los hechos demuestran q no lo es tanto para muchos.

En esa epoca no tan lejana, poco mas d 10 años, el user leia mas los msgs q le entregaba el sistema o el mismo browser, en lugar d presionar “aceptar” a cualquier virus q anda x ahí como pasa hoy, pero el tema tambien esta en q a muchos les interesa justamente q la gente sea como es, para q? para tenerla bajo control x supuesto... je



Gusanos, phishing, malware y otros bichos...

Empecemos con el tema d los virus... hay 1 flia d gusanos (boface) hecho específicamente para la red facebook. No es gran cosa ni obra d 1 genio del codigo, pero debido a la masividad d la red y a los pocos conocimientos en gral d sus users c calculan los infectados en millones.

Según datos d panda activescan, 1 herramienta gratuita d scanneo online, c calcula q en los ultimos meses un 1% d las pcs q paso x ahí esta infectado con alguna d las variantes de boface. Se dice q hay 200 millones d users en facebook... solo hay q hacer cuentas para ver lo gordo y grande q esta el gusano ;)

La ultima versión llamada boface.bj c descarga en la pc x los medios habituales y entra en accion cuando el user d la pc infectada c loguea en su cuenta. Manda links a su “red d amigos” con 1 supuesto video d youtube (en realidad la url dice yuotube... jeje) q al querer ejecutar pide la descarga d 1 reproductor q en realidad es 1 d esos falsos antivirus q lanzan ventanas todo el tiempo pidiendo q lo compren... y lo peor es q muchos lo terminan comprando...

Esto x supuesto no es cosa d “hackers”. Hasta me acuerdo d haber visto 1 herramienta x ahí q automatizaba la creación d la pag falsa... “fake youtube” o algo asi c llamaba. La verdad q no me acuerdo xq lo vi d pasada y hace bastante tiempo. Cualquier niño puede armar 1 phisher similar con esto.

Otro peligro es justamente el phishing, no voy a ponerme a explicar la tecnica, pero ademas d tambien haber herramientas para crear los fakes, son muy faciles d hacer a mano, solo descargar la pagina original, apuntar el action a 1 simple php d no mas d 10 lineas, guardar user/pass y redireccionar a la pag verdadera. Con esto c obtienen mas passes y con ellos mas victimas para la infeccion o lo q sea.

X supuesto q ya no es el hecho d la infeccion xq si, sino con fines economicos y a veces no tan “inofensivos” como vendernos 1 falso anti-algo. Es bien sabido (y sino enterense) q los criminales del mundo real (vulgares ladrones o secuestradores) usan estas redes para obtener info d sus victimas como costumbres, modo d vida, nivel socioeconomico, relaciones, etc... la vieja y siempre valida “ingenieria social” a la orden del dia...

Muchos diran mi perfil es privado, blah blah blah, etc. Y eso seria aunque sea una ayuda si en verdad estas redes fueran seguras, pero x ej hay 1 bug en facebook hace ya meses q nadie parece parchar (vaya a saber xq) con el cual c pueden ver los albumes privados d quien queramos.



Ver fotos sin permiso en facebook

Este bug, q en realidad no es 1 bug sino 1 falta d atención x parte d la gente d facebook, es muy facil d explotar, cualquiera q pueda hacer copy/paste esta capacitado... je. Lo voy a explicar xq en realidad es algo bastante lamer, pero me parece 1 verguenza q nadie c preocupe x arreglarlo en tanto tiempo, sobre todo teniendo en cuenta la amenaza a la seguridad y privacidad d los users d la red en cuestion. Tal vez cuando hasta el ultimo d los internautas sepa ya como hacerlo c decidan a parcharlo... :/

Los pasos serian los siguientes:

1. abrir nuestra cuenta d facebook. O hacerse 1 cualquiera x supuesto ;)

2. entrar a: http://developers.facebook.com/tools.php

3. en el menu desplegable “metodo” seleccionar “fql.query”

4. completar el campo “query” con:

SELECT location, link
FROM album
WHERE owner=xxxxxxxxxx

Donde xxxxxxxxxx es el id del usuario del q queremos ver sus albumes sin estar agregados.

El query nos devuelve en el cuadro d la derecha 1 serie d datos entre los cuales c encuentran las urls d los albumes. Algo parecido a esto:

<album>
<location/>
<link> http://www.facebook.com/album.php?aid=xxxxx& amp; id=xxxxxxxxxx </link>
</album>

Tomamos el link y le sacamos el “amp;”, con lo q quedaria asi:

http://www.facebook.com/album.php?aid=xxxxx&id=xxxxxxxxxx

Ponganlo en el navegador y... bingo!!! Ya estan juackeando gente... xD

Al dia d hoy esto sigue funcionando después d meses, hasta el propio creador d facebook fue victima del bug y sus fotos privadas estan dando vueltas x toda la red. Ademas d q... x supuesto cualquier criminal q sepa apretar 2 botones tambien esta viendo info privada del q quiere para saber q le puede robar o como lo puede engañar.

C siguen sintiendo seguros? No les importa? Solo googleen 1 poco para buscar info sobre criminales usando facebook para obtener datos d sus victimas... c van a asustar.

La privacidad es algo muy importante y q hay q guardar muy bien, 1 mundo donde la vida d cada persona c puede encontrar en 1 base d datos publica no es nada seguro ya q la información es poder, poder para controlar a los demas, y el q tenga control sobre la bd tiene control d 1 forma u otra sobre esas personas ya q conoce su vida y todo lo q hace... la vieja historia del “big brother” pero real y en versión sXXI.

12.5.09

Nmap vs Conficker??

Creo q a esta altura ya todos habran oido hablar d Conficker, el gusano d moda en la red… xD. La principal via d propagacion del mismo es la vulnerabilidad MS08-067 q c soluciona con el parche KB958644 que se puede descargar como siempre desde la pagina de Microsoft:

http://www.microsoft.com/downloads/en/results.aspx?pocId=&freetext=KB958644&DisplayLang=en

... aunque tambien esta presente la propagacion x usb y algun otro metodo, el parche es el 1er paso para evitar la reproducción del gusano en la red. En 1 equipo hogareño la desinfección es bastante facil, pero en 1 red corporativa la cosa c complica 1 poco mas.

No voy a entrar demasiado en detalle sobre la accion del Conficker ya q abunda info y no es el tema central, pero si dar algunos consejos para ayudar a limpiar la red infectada. Las acciones pueden llevar desde la mas extrema, q es poner en cuarentena la red y limpiar estaciones d trabajo y servers, hasta metodos mas sutiles, q llevan mas tiempo pero no comprenden paralizar completamente la red. Hay q tener en cuenta q no siempre es posible paralizar 1 empresa aunque sea 1 solo dia...

En el 1er caso, la desconexion d las pcs d la red impide la reinfeccion y el tema seria bastante facil. Desinfectar con cualquiera d las herramientas gratuitas d av q andan x internet, aplicar parche y x las dudas scannear otra vez hasta limpiar el total d las maquinas.

La 2da opcion queda a criterio d quien este encargado d la red ya q según su extensión podria llevar varios dias. El 1er paso como siempre es parchar las pcs, q x otro lado ya deberian estar hace rato xq la actualizacion c libero en octubre d 2008, y ahí justamente tenemos el 1er punto para resaltar.

Es normal q 1 user hogareño no tenga sus pcs actualizadas al dia pero es casi imperdonable q 1 red corporativa no tenga 1 actualizacion d hace 6 meses, tal vez esto ayude a q los admins no sean tan negligentes con estas cosas y den mas importancia a las actualizaciones. D este punto c agarra Microsoft para lavarse las manos del asunto... “yo saque mi actualizacion... vos no la bajaste... tu culpa” xD

Otro punto q ayuda a parar la infeccion es cerrar el puerto 445 en las pcs. Este puerto c encarga del directory service (Microsoft-ds) y es el q usa el gusano. Esto puede hacerse x regla del mismo firewall d win o tal vez x el mismo antivirus si tiene opcion d blockeo d puertos. Desde la controla central c puede agregar la politica a los clientes y cerrar rapidamente esa via d infeccion.

Tambien podemos deshabilitarlo borrando el siguiente valor del registro:

HKLM\System\CurrentControlSet\Services\NetBT\Parameters\TransportBindName


Despues d esto, como en el caso anterior limpiar el sistema con alguna utilidad y x supuesto actualizar el av local q probablemente no lo estaba haciendo.

Otra consecuencia del virus es q si existe en la red 1 politica d blockeo d passwords en X intentos fallidos, muchas d las cuentas apareceran blockeadas constantemente ya que trata de crackear x medio d fuerza bruta passwords del sistema para seguir la propagacion.

La versión C entre otras “mejoras” instala 1 falso parche 958644 q aparenta ser el d Microsoft y d hecho repara la vulnerabilidad pero contiene 1 backdoor para futuras reinfecciones, x lo cual podriamos pensar q 1 maquina esta limpia y parchada cuando no lo esta realmente...



Nmap

A partir d la versión 4.85b5 nmap puede detectar remotamente maquinas infectadas, lo cual facilita muchisimo el trabajo, ya q x lo gral las consolas d av son demasiado lentas y generar 1 informe para cientos d maquinas para tener 1 panorama claro lleva tiempo, ademas del proceso d comunicación entre el cliente y el servidor, y las molestias en la red q ocasiona el gusano.

Con nmap en unos pocos mins tenemos los resultados bastante claros en 1 scan completo d la red. El comando para scannear buscando Conficker seria el siguiente:

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [rango ip]

el resultado en 1 cliente limpio seria “Conficker: Likely CLEAN” y en 1 infletado “Conficker: Likely INFECTED”. Ademas de mostrar el estado d los puertos 139 y 445.

Algo todavía mas interesante es scannear tambien en busca del parche. Lo cual hacemos cambiando el ultimo modificador x unsafe:

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args unsafe=1 [rango ip]

en 1 pc parchada el resultado seria “MS08-067: FIXED”, y en 1 q no lo esta “MS08-067: VULNERABLE”.

Pero eso no es todo, ya q cabe tambien la posibilidad d q el parche sea el generado x el gusano y esto tambien es posible verlo en el scanneo. El resultado seria “MS08-067: PATCHED (possibly by Conficker)”. En este caso el parche es falso. Hay q desinstalarlo, scannear e instalar el verdadero.

A pesar d q mucha gente d IT mira despectivamente al nmap como 1 herramienta d “hackers” creo q no hay forma mas rapida d tener 1 informe claro del grado d infección y x lo tanto erradicarla lo mas rapido posible.

Descarga d nmap:

http://nmap.org/download.html

no tengan miedo... usenlo!!! xD

19.3.09

ARP Poisoning


Este ataque tan d moda esta bastante explicado en la parte d la puesta en practica, se pueden encontrar x toda la red tutoriales con titulos como “Como hackear contraseñas de Hotmail, Gmail, etc” o “Sea juacker en 3 rapidas lecciones”, con capturas d pantalla e instrucciones paso a paso d como sniffar redes, hacer ataques mitm, etc. Eso si... lo unico q c explica es “abri esto”, hace click alla, después en el otro lado... y asi... je

Lo q no esta tan explicado es la teoria, en consecuencia hay cantidad d gente x ahí mandando paquetes arp sin saber mucho d lo q hacen realmente... y aunq consigan su objetivo, siempre es bueno saber como y xq funcionan las cosas.

Para los q quieren enterarse 1 poco voy a tratar d explicar d manera facil d entender como funciona el tema. Proximamente en otra entrada, para no ser menos, 1 poco d practica con Ettercap o Cain.




ARP, NIC, MAC... y todo eso…

Como todos sabemos el dispositivo d red tiene 1 direccion IP (Internet Protocol) q es la q lo diferencia d los demas y nos brinda la forma d ubicarlo dentro d la red. La ip es unica e irrepetible y blah blah blah... hasta ahí llegamos con eso xq c supone q saben lo q es 1 IP. Para el q no lo sepa q empiece leyendo aca:

http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP

IP es 1 sistema bastante bueno en muchos sentidos pero tiene el problema d q las direcciones pueden ser tanto estaticas como dinamicas y las estaticas tambien pueden ser cambiadas en algun momento... las dinamicas, según el leasing q otorgue el DHCP d nuestra red y la cantidad d peticiones, podriamos llegar a desconectar el cable y tener 1 nueva direccion al reconectar... como entonces podemos reconocer 1 dispositivo sin temor a equivocarnos?

Ahí entra en juego la MAC (Media Access Control). 1 dispositivo d red tiene 2 direcciones, la IP (d la q hablábamos), y la MAC, q es la dirección física, la cual tambien es unica para cada dispositivo o NIC (Network Interface Card).

La MAC viene d fabrica grabada en 1 chip, a diferencia d la IP q es asignada ya sea x DHCP o el SO, y “teóricamente” es imposible d cambiar. Digo teóricamente xq en la practica no lleva mucho + q 3 o 4 clicks en win y 1 linea d consola en *nix. X supuesto q sigue teniendo la misma dir y es el SO el q emula 1 distinta, aunque para todo efecto se cambio y la vieja ya no existe en la red, pero eso es otro tema...

Esta dirección esta compuesta x 6 campos d 1 byte d longitud (FFh) d los cuales los 3 1eros corresponden al fabricante y son asignados x la IEEE Standards Association. Este codigo es llamado OUI (Organizationally Unique Identifier) y se puede consultar en esta dirección:

http://standards.ieee.org/

los ultimos campos son la identificación unica del dispositivo, la cual queda a criterio del fabricante.

Como c puede ver la MAC es algo mucho + estatico q la IP y x lo tanto tiene la desventaja d no poderse ordenar en rangos o subredes como podemos hacer fácilmente con las IPs. Ademas d q una MAC no es routeable y x lo tanto no sirve para protocolos d internet, solamente comunicación d hardware a nivel d red local, x esa razon todos estos ataques sirven solamente en 1 LAN (Local Area Network) o “red local”... perfecto para empresas, escuelas, etc.

Lo unico q nos faltaria ahora para identificar “sin temor a confundirnos” 1 dispositivo es poder asociar 1 direccion con la otra y para eso tenemos justamente el protocolo ARP (Address Resolution Protocol).




ARP

En la capa física de la red solo tenemos NICs q c comunican unos con otros a traves d su MAC. Para llegar a esto, como deciamos anteriormente, necesitamos asociar la dirección IP (d la capa d red) con la MAC address. D eso justamente c ocupa el protocolo ARP.

La mejor explicación q recuerdo d lo q hace este protocolo es 1 maestra en la escuela tomando lista d asistencia el 1er dia d clases. Va diciendo los nombres 1 x 1, todos escuchan la lista pero solo responden al suyo, la maestra mientras tanto asocia nombres con caras.

Ahora supongamos q la PC1 quiere mandar 1 archivo a la PC2, lo 1ero q obtiene PC1 (digamos q tiene la dir 192.168.0.90) es la IP de PC2 (192.168.1.100). A partir d este dato tira 1 paquete ARP request a toda la red (FF:FF:FF:FF:FF:FF) diciendo:

- Soy la MAC xx:xx:xx:xx:xx:xx con la ip 192.168.0.90. Quien tiene la IP 192.168.1.100?

Todos los dispositivos hacen caso omiso salvo PC2 que responde con 1 ARP reply algo como:

- Yo tengo esa IP y mi MAC es yy:yy:yy:yy:yy:yy.

Con esto PC1 puede enviar los datos directamente al hardware de PC2. Ademas PC2 d ahora en adelante “recuerda” la MAC de PC1. Esto sucede gracias a que cada vez q 1 dispositivo c relaciona con otro estos datos quedan almacenados en el cache ARP. Este cache es 1 segmento de memoria q el sistema usa para almacenar la tabla de direcciones q ya conoce para no tener q repetir el procedimiento. D manera q si PC1 tiene q mandar alguna otra cosa a PC2 no es necesario q repita todo el proceso xq simplemente ya conoce su dirección física.

Todo parece muy bueno y eficiente, pero en realidad tiene varios problemas este sistema. Para empezar cada dispositivo tiene su propia tabla ARP, no es algo unificado x la red, y no todos los dispositivos renuevan su información con la misma frecuencia (como los routers x ej q son + lentos para refrescar) d manera q podemos llegar a estar mandando info a 1 dispositivo q ya no existe o a 1 equivocado o... montones d cosas, pero hay mas... je

El protocolo ARP no cuenta con ningun metodo d autenticacion, o sea q el dispositivo q hace el requerimiento “confia” en q la replica viene d la pc q tiene q venir... y no solo eso, sino q puede aceptar replicas sin haber hecho ningun requerimiento antes... xD

A esta altura, para los q tienen 1 poco d imaginación, ya esta bastante claro como trabaja el envenenamiento. En este escenario podriamos mandar replies ARP a cualquier dispositivo haciendole creer q la MAC q c nos ocurra esta asociada con la IP q nos convenga.

Esto nos lleva a multiples tipos d ataque, el mas facil y directo seria 1 D.O.S. (Denial of Service o Denegación de Servicio). Seria muy facil x ej envenenar la tabla d la victima para hacerle creer q la MAC del router q lo saca a internet pertenezca a X pc o a 1 q ni siquiera exista, con lo cual seguiría teniendo conexión con la LAN pero sin salida al exterior. O hacer lo mismo con 1 impresora o el dispositivo q sea para evitar la comunicación. X supuesto hay q estar constantemente mandando replicas ya q la tabla c renueva periódicamente y vuelve a la normalidad.

1 ataque como este podemos practicarlo con utilidades como Nemesis (disponible tanto para sistemas win como *nix):

http://nemesis.sourceforge.net/manpages/nemesis-arp.1.html

pero vamos a ver cosas + interesantes q 1 simple denegacion d servicio... ;)




M.I.T.M. (Man In The Middle)

Teniendo conocimiento d esta tecnica podriamos interceptar el trafico entre 2 dispositivos. Supongamos q la maquina q queremos interceptar tiene la IP 192.168.0.50 y el router la 192.168.0.1. Podriamos enviar replies ARP al router (sin q este haya solicitado nada como vimos antes) asociando la 192.168.0.50 con nuestra MAC y luego a la victima asociando a su vez la ip del router (192.168.0.1) tambien con nuestra MAC. D esta manera la victima nos estaria enviando todos los datos creyendo q somos el router y x medio d “IP forwarding” redirigimos todo el trafico hacia allí.

En el grafico siguiente podemos ver arriba el flujo normal d informacion y debajo el q seguiria durante el ataque:



X supuesto q en medio d todo esto vemos todas las claves d texto plano (ftp, telnet, etc) q manda la victima hacia fuera. El problema lo tendriamos en conexiones SSL (Secure Sockets Layer) donde c requiere 1 certificado para validar la sesion, pero utilidades como Ettercap o Cain nos dan la posibilidad d crear 1 falso certificado para engañar a la victima. El browser da aviso d q es “sospechoso”, pero como todos sabemos el user comun siempre hace click en “next”... je



Creo q con eso es suficiente como para aunque sea tener idea d lo q c hace cuando c practica este tipo d ataque. Esto no pretende ser mas que 1 explicacion algo “casera” d lo q es arp y arp poisoning, si a alguien le interesa profundizar en el tema hay muchas publicaciones profesionales donde leer y es 1 tema bastante interesante.



5.2.09

Grave falla en los nuevos Seagate 7200.11, ES.2 SATA y DiamondMax 22 (la plaga d las barracudas xD)


Estos dias estaba buscando hds para comprar, x supuesto seagate, la mejor marca del mercado y blah blah blah. Muchos diran "pero si la mejor marca es WD? (Western Digital)"... nah... WD era la mejor marca hace muchos años, cuando los discos tenian 1gb d almacenamiento o antes todavia, despues solo conservo el nombre como muchas otras marcas. No estoy diciendo q sean los peores discos (los peores son los hitachi xD), pero si q los seagate (o maxtor q los hace la misma empresa) son muy superiores.

... o eso creia hasta hace poco... :P

Parece que seagate metio la pata en el firmware d algunas series d sus discos nuevos y c clavan al poco tiempo d haber sido comprados... algunos en - d 1 mes. No pude ver ninguno personalmente pero x lo q dicen el drive funciona ok y d repente en algun booteo c blockea y no es detectado x el setup. El disco enciende, gira, pero es como si no estuviera para el setup d la maquina.

Los modelos afectados son:

Barracuda 7200.11

Barracuda ES.2 SATA

DiamondMax 22 (Maxtor)


En principio seagate estuvo censurando las protestas d los usuarios afectados en su web pero al parecer el problema c hizo demasiado grande para taparlo y tuvieron q aceptar la falla y hacerse cargo del problema ante la posibilidad d demandas y toneladas d reclamos.

La 1er muestra d aceptacion del problema fue 1 informe en su web y 1 firmware para parchar la falla:

http://seagate.custkb.com/seagate/crm/selfservice/search.jsp?DocId=207931

en la pag c minimiza el problema diciendo q afecta a 1 pequeño num d drives y q pueden usarse como estan... aunq recomiendan hacer el upgrade d firmware q c puede encontrar en el link anterior... xD

no todo termina ahi xq despues c encontro otro problema afectando a los modelos d 500GB, 750GB y 1TB del 7200.11. upgrade para eso aca:

http://www.seagate.com/www/en-us/support/downloads/other_downloads/cuda-fw

este problema afecta al parecer al uso del cache haciendo q el disco no lo aproveche en su totalidad... 1 vez + dicen q el hd puede ser utilizado asi pero... pero... mejor upgradear... je


En el mapa podemos ver los paises con reportes d fallas marcados en rojo.

volviendo al tema principal... donde esta el problema entonces ahora? si ya esta parchado!!!

no no, el problema es q si el disco ya c vio afectado y ya no lo reconoce el setup es imposible hacer 1 upgrade d firmware xq la placa logica del disco esta muerta y para la controladora no hay ningun hd. x supuesto q la info sigue estando en los platos del disco y blah blah blah pero no esta a la mano d cualquiera recuperarlo en s estado.

cambiando la logica seguramente c salve todo facilmente pero... d donde sacar 1 logica usada d 1 hd modelo recien salido d 1tb?? imposible.

despues la empresa ofrece cambiar el disco inservible x 1 nuevo pero a mucha gente q tenia montones d cosas en el no le gusto mucho la idea d perder todo y la recuperacion d datos es muy cara... mucho + q 1 disco nuevo, pero mucho - q la info q puede llegar a contener. finalmente al parecer seagate tambien c hace cargo d la recuperacion d los datos (estando el hd en gtia x supuesto). si ud es 1 afectado d la "plaga d las barracudas" puede pedir su recuperacion d datos aca:

http://www.seagate.com/www/en-us/about/contact_us/

ir a "data recovery" y llenar formularios... xD

esto seguramente va a traer muchas bajas en las ventas d seagate si no lo arreglan rapido y dejan a todos contentos (cosa q no creo muy probable) y seguramente muchos users van a volver a WD. es 1 lastima xq seagate venia muy bien, y es increible q pasen estas cosas teniendo encima la cantidad d tests q debe tener 1 producto antes d salir a la venta.

tengan cuidado xq en la calle hay discos afectados y con el firmware viejo, fijense bien al comprar o sino atenganse a las consecuencias!!



4.2.09

Brevisima historia de las redes.


Hace mucho tiempo (no tanto en realidad)... las computadoras eran complejos aparatos aislados unos d otros, c/u haciendo su trabajo x separado y tal vez intercambiando datos d vez en cuando x medio d tarjetas perforadas, cintas magneticas y medios d almacenamiento d este estilo...

Hasta q 1 dia alguien c dio cuenta del ahorro d tiempo, dinero y montones d otras cosas q c podia ganar interconectandolas. No solo a las computadoras sino a cualquier dispositivo q pudiera ofrecer alguna utilidad. En esa epoca impresoras, medios d almacenamiento y comunicación d datos, hasta llegar hoy en dia a tener la heladera conectada a internet entre muchas posibles cosas.

La 1era estructura d red c podria decir q fue el telegrafo en el sXIX, despues las redes telefonicas, hasta llegar a la comunicación entre computadoras. Esta c llevaba a cabo a traves d esta misma red usando MODuladores/DEModuladores (modems) q convertian la señal digital en analogica para poder usar el canal fisico (la linea telefonica) para transportarla hacia el otro extremo donde c hacia el proceso inverso (analogico/digital) para q la otra maquina pudiera entenderlo. Todo esto a traves d 1 cable d cobre q es el mismo q c utilizaba para las comunicaciones d voz y q hoy todavia existe (aunq muy mejorado) en el viejo dialup.

Este modelo d comunicación solo permitia la conexión d 1 cliente a 1 servidor pero no la interconexion d los clientes entre si. O sea q 1 maquina c conectaba contra otra y ahí quedaba todo. Esta forma d comunicación es llamada “circuit switching” o “conmutacion d circuito”.

Una comparacion facil con la conmutacion d circuito puede ser 1 conversacion telefonica normal (no ip). 1 persona establece comunicación con otra en otra parte del mundo y el canal d comunicación queda cerrado exclusivamente para esto hasta q las partes cortan como el cliente/servidor del q hablabamos antes...

Todo esto cambio en los 60´s con el concepto d “packet switching” o “conmutacion de paquetes”. La 1era red experimental d este tipo fue creada en Inglaterra, despues hubo algunas pruebas en Francia, hasta q a fines d los 60´s llego a USA donde cayo en manos del ARPA (Advanced Research Projects Agency Network). Esta creo ARPANET, q fue la 1era red operacional basada en este nuevo formato y es la base d lo q hoy conocemos como Internet.

En este modelo 1 maquina puede usar 1 unico canal d comunicación para intercambiar informacion con + d 1 sistema desensamblando los datos en datagramas y uniendolos en paquetes. De esta manera el canal puede ser compartido ademas d q los paquetes pueden ser dirigidos (routeados) independientemente unos d otros.

Desde q en 1965 c establecio la 1er red WAN del mundo, conectando 1 TX-2 en massachusets con 1 Q-32 en california (sin packet-switching) muchas cosas cambiaron, pero en resumen en 1969 c crea el 1er nodo d arpanet en la UCLA y las 1eras redes para los investigadores d ARPA y poco + tarde, en el mismo año para el resto d la comunidad universitaria.

En el ´70 nace el UNIX, poco + tarde el correo electronico y el famosisimo telnet, unos años despues el protocolo TCP/IP y las redes ethernet hasta q en el 90 arpanet deja d existir como tal y c convierte en “internet” poco despues d la aparicion d los 1eros ISP comerciales. entre unos pocos paises en argentina ya estabamos conectados... ;)