Nota: Pido disculpas por estas horas de caída del blog, todo ha sucedido por la reciente migración a otro proveedor del que ya hablé (y del que, por cierto, retiro toda crítica positiva). Así que me he vuelto a DreamHost (KJKSZPJ, el cupón de descuento anual, sigue activo) que, a pesar de ser más lento, lo aguanta todo :-)

No son pocos los escépticos con la seguridad y privacidad en las redes sociales. Yo, personalmente, estoy tanto en Facebook como en Tuenti (teniendo más actividad en este último). Para los que no la conozcan, o sólo les suene, la Wikipedia nos cuenta algo:

Tuenti es una red social virtual dirigida a la población joven española. Permite al usuario crear su propio perfil, subir fotos y vídeos y contactar con amigos. Tiene otras muchas posibilidades como crear eventos y etiquetar amigos en fotos. Se caracteriza también por su potente buscador.

Inaugurado en enero de 2006, Tuenti es uno de los sitios web más visitados en España, según Alexa Internet.

Por ejemplo, recientemente, se publicó una vulnerabilidad XSS de Facebook que permitía robar las cookies de cualquier usuario en unas determinadas circunstancias, haciendo insegura instantáneamente a la red social en cuestión. Otra, no tan reciente y más leve, permitía en Tuenti ver la lista de amigos de otro usuario, aunque éste no lo hubiera permitido previamente.

Toda aplicación web es suceptible a agujeros de seguridad. Es imposible que no existan. Aunque lo que no es imposible es trabajar lo máximo posible para reducir esos pequeños errores. Porque los agujeros de seguridad son sólo simples fallos de programación, y le pueden ocurrir desde al más primerizo al profesional que lleva toda una vida dedicada a la programación.

Esta vez vamos a centrarnos en Tuenti ya que es la red social que, con diferencia, más utilizo. Sergio y yo hace algún tiempo que miramos sitios donde encontrar vulnerabilidades para poder notificarlas y después publicarlas. Dependiendo de la gravedad, se publican en el mismo día, sin que se hayan arreglado (1, 2) o se espera un tiempo prudente para publicarlas. Y esta, en Tuenti, es una de las últimas que hemos descubierto.

Contacté ayer con Ícaro Moyano (director de comunicación de Tuenti) aprovechando que tengo contacto directo con él, para explicar la vulnerabilidad a los desarrolladores y de paso mostrar un PoC interesante. Le expliqué que se trataba de una vulnerabilidad extremedamente crítica. Por el momento, sigo a la espera.

Cierta combinación escrita en un tablón de cualquier usuario, podría conseguir que se inutilizara, y que ni él ni nadie pudiera leer ni responder comentarios. El riesgo empezaba a ser interesante aunque no comprometedor, pues lo máximo que podría ocurrir es que el usuario contactara con soporte, ellos lo detectaran y le pusieran arreglo.

Pero no, no es lo peor en realidad. Eso sólo significaría la punta del iceberg. Teniendo en cuenta que el XSS es aplicable en cualquier lugar (tu propio tablón, el de otra persona, comentarios en imágenes…), esto funcionaría como un verdadero gusano. Un gusano que se transmitiría de un usuario a otro a una velocidad vertiginosa, sin que se diera cuenta, haciendo que en pocas horas miles y miles de usuarios estuvieran bajo las manos de todo esto. Y montando un sistema automatizado detrás, hacerse con todas las cuentas rápidamente, dejando la privacidad de todos los usuarios al descubierto, al igual que sin sus preciados datos. Pero por ahora, no voy a dar más detalles, como es lógico.

Esto es tan sólo una muestra de fragilidad que una red social puede tener, que la privacidad nunca es “privada” y que en cualquier momento todo puede ser desmontado (en este caso, en una sola – pero larga – tarde se dio con ello). El tiempo de reacción en estos temas indica el nivel de importancia que se le da a los usuarios desde el equipo dirigente de la red social en sí.

Hoy no me apetece mucho escribir, así que resumo el día en tres imágenes. Siento la última en cuanto a la mala letra y que me he torcido, pero es el efecto de la ya vieja combinación de Lyrica y Diazepan :-)

Actualizado: Isb1009 ha sacado un meme sobre mi última pregunta. Para quien lo quiera seguir :-)

Hallarse engrilletado en el dulce hogar puede resultar desalentador si se prolonga por demasiado tiempo. Desde hace cuatro meses que estoy la mayoría del tiempo asentado en casa, debido a la imposibilidad física de pisar el pavimento.

Por si no fuera poco, me apoderé de una exquisita contractura en las cervicales a consecuencia de los esfuerzos al levantarme – ya que no puedo hacerlo sin apoyarme sobre los brazos -. Tuve que adelantar la cita con el traumatólogo por la especulación de que fuera algo más grave, pero por fortuna no fue así.

Pero no todo es pesimista, claro. Decir que la contractura está mejorando como es lógico – supongo que por la acción del Diazepan – y el dolor parece marchitarse poco a poco. Lo mismo digo de la pierna, aunque no con total seguridad ya que apenas me meneo. El día 24 tengo cita con el traumatólogo de nuevo, para ver si el hueso ha soldado correctamente.

En cualquier caso, me gustaría rescatar mi antigua vida normal pronto. Este jueves, por ejemplo, intentaré estar en el instituto durante tres horas – recogiéndome en la puerta y llevándome a la misma -, aprovechando que hay un evento interesante… aunque, para qué engañarnos, echo de menos las clases normales y, sobre todo, a los buenos compañeros (algunos convertidos en amigos/as de renombre). También voy llenando la agenda de eventos y algún que otro meeting interesante que escribiré aquí.

Por otra parte, estoy preparándome el verano de alguna manera. Nunca he salido de España en toda mi vida, ni tampoco he cogido un avión. Tengo algunos ahorros y me gustaría cumplir uno de esos sueños rezagados. Y algunos otros viajes por España, también. Todo ello si mi espalda funciona en condiciones.

Sólo queda superar la mala racha y regocijarse :-)

Aviso: Puede contener algún ligero spoiler. Si no te fías, pasa directamente a la parte de los vídeos.

Se puede juzgar a una sociedad por cómo trata a su parte pobre. O también, por cómo trata a su parte rica. Es la impresión que me ha quedado tras ver este gran documental, Sicko, dirigido por Michael Moore, el de la derecha. Otro documental que, como Zeitgeist, me habían recomendado por decir verdades como puños (aunque, como siempre, suelo ser el último en verlos).

El escenario que presenta empieza lógicamente en EEUU. El negocio de la salud allí es redondo, todos reciben: laboratorios, seguros médicos, Gobierno. Se presentan varios casos, como por ejemplo el hombre que en su trabajo perdió dos de sus dedos de la mano – corazón y anular -, por lo que tenía que pagar $60.000 por el corazón y $12.000 por el anular.

En EEUU, contratar un seguro médico no es fácil. Existe una enorme lista de enfermedades que, si has padecido en algún momento una de ellas, no te asegurarán. O simplemente, por estar muy flaco o muy gordo. Como en cualquier lugar, la sanidad privada sólo trabaja para obtener más beneficio a costa de no darle los cuidados adecuados al paciente.

Uno de los ejemplos que escenifican el hecho aparecen en el propio documental. Una niña pequeña, hija de una de las personas que testifican en el documental, padece de sordera y requiere una operación. El seguro médico sólo le ofrece la operación del oído izquierdo, ya que de los dos es experimental (lógicamente, es algo infundado). El padre decidió escribir una carta explicando que todo esto saldría en “un documental que está realizando el famoso cineasta Michael Moore”. Al poco tiempo recibió una llamada de la aseguradora explicando que se le operarían los dos oídos.

Lo comparan con distintos países, como Canadá, Francia, Cuba o Inglaterra, donde este último me ha parecido increíble cuando a la salida del hospital hay un cajero con un hombre que te da dinero en metálico para cubrir el transporte (en caso de no tener los medios adecuados); era gracioso ver como Michael pensaba que era para pagar la factura del hospital.

Lo más impactante es ver como los hospitales tratan a los que no tienen dinero para pagar la factura: los tiran a la calle como si fueran basura. O como es de degradante ver como en EEUU, a los médicos, se les paga muchísimo más por denegar tratamientos que por lo contrario, cuando en Francia, por ejemplo, entre más pacientes tenga el facultativo que se hayan curado de cualquier enfermedad (dejar de fumar, mismamente), más cobran.

También se dice (literalmente) como el pueblo teme al Gobierno, y no el Gobierno al pueblo (como puede pasar en Francia) a la hora de reclamar cambios. Sin embargo, yo creo que todo gira entorno a la insolidaridad y el terror al socialismo. La mente norteamericana no comprende como tú puedes pagar el tratamiento médico de otro en vez de pagar los tuyos propios, únicamente. Y no sólo se limita a la salud, si no a la educación, servicios sociales… a lo público, en general.

Así que, a pesar de que España no sea uno de los mejores países para dar ejemplo en cuanto a servicios sociales, podemos sentirnos afortunados por tener un servicio universal y gratuito de sanidad, y esperemos que sea así por muchos años. No quiero destapar las mejores partes, ya que es un documental digno de ver y no de leer, así que os lo dejo con subtítulos a continuación de la entrada [113 minutos, 12 partes]. Espero vuestras impresiones :-)

(más…)

A CSRF vulnerability was discovered in ping.fm. An attacker can change some user information without having its login credentials. In the right circumstances, this can be exploited to change the email of the user without needing confirmation from the real user.

Administrators has been notified. However, ping.fm is still vulnerable. Therefore it is recommended to all users to not open any suspicious URL while logged at the site. and a patch has been applied at 4/7/2009.

This vulnerability has been discovered by Sergio Cruz Ramírez (aka Omega) & Rubén Díaz Alonso (aka outime).

---

Una vulnerabilidad CSRF ha sido descubierta en ping.fm. Un atacante puede cambiar información del usuario sin tener sus credenciales. En las circunstancias adecuadas, puede ser utilizado para cambiar el email del usuario sin necesitar confirmación por parte del usuario real.

Los administradores han sido notificados. Sin embargo, ping.fm sigue siendo vulnerable. Mientras tanto se recomienda a todos los usuarios no abrir ninguna URL sospechosa mientras se está identificado en el sitio. y se ha aplicado un parche el 7/4/2009.

Esta vulnerabilidad ha sido descubierta por Sergio Cruz Ramírez (aka Omega) & Rubén Díaz Alonso (aka outime).