Ashley Madison y... ya que estamos... (2/2)

Ya hemos visto que Ashley Madison debe producir (o lo hacía) pingües beneficios.
AM presumía de prestar su servicio a personas comprometidas lo cual, por supuesto, no será tema de debate en este blog. Allá cada cual con sus principios.

En cualquier caso, infieles aparte, mucha gente entró en Ashley Madison por curiosidad o por transgredir las convenciones pero sin intención real de llegar hasta el final. Sin embargo sí parece que hubo gente que llegó hasta el final y ahora están -no sé si por aquello del karma- en situación comprometida.

La base de datos de Ashley Madison fue robada y vendida a quién quisiera comprar una copia.

En julio de 2015, un equipo de hackers denominado Impact Team robó datos de más de 37 millones de usuarios a la compañía amenazando hacerlos públicos si esta no cerraba inmediatamente su web. En agosto de 2015 estos datos fueron publicados en BitTorrent conteniendo datos como nombre, apellidos, teléfono, correo elecrónico y transacciones financieras realizadas por los usuarios. Como consecuencia de este escándalo, el 28 de agosto dimite Noel Biderman, su fundador.

(Tomado de la Wikipedia)

Cuesta creer que hubiera gente que introdujese sus datos auténticos, aún confiando en el principio de confidencialidad que asumía (con poca eficacía, por cierto) Ashley Madison ¿Qué puede pasarles?

De momento unos "señores" piden un dinerillo a cambio de su discrección. Y muy en la línea del cryptolocker, la extorsión aumenta si no se les paga con rápidez.


Hey there!

If you want to keep your cheating and lies secret from your significant other, your family, your friends and work contacts then pay very close attention to this email. As what we demand is non-negotiable and you might ruin your life if you decide to ignore this email.

You must send exactly 2 Bitcoins (BTC) if you pay within 48 hours (approx. value $470USD) TO THE FOLLOWING BTC ADDRESS: 1CNrUCKbuHc1RS9XtWxCVbLHMuvhqwkedH (copy and paste address!!)

If you fail to meet the 48 hour deadline, you must send exactly 5 Bitcoin if you pay after 2 days but less then 6 days 23 hours from send time of this email; to the following BTC address: 1CNrUCKbuHc1RS9XtWxCVbLHMuvhqwkedH (copy and paste address!!)

On the 7th day if you do not pay the non-negotiable amount your significant other, family and friends along with your employer will receive copies of all the hacked data screenshots, credit card transaction logs which include ip address, billing name and address and messages and profile from the cheating site you used to be unfaithful.

If you do not pay within the time frames we have set fourth this data will be in the hands of the people you wanted to keep your cheating secret from.

We are aware that you probably don't have (bitcoin) BTC at the moment, so we are giving you this time to get BTC and pay us.

**If you need help locating a place to purchase (BTC), use the website called localbitcoins, google it, if you dont know about it. This site makes bitcoin very easy and quick to purchase using multiple methods. On localbitcoins sign up and choose to buy the bitcoin (BTC) with western union or money gram wire , find a seller of your choice (localbitcoins is a "ebay" like site with sellers with many sales and a high rating being trustworthy) pay with cash at western union or money gram when you send the wire to the seller as sellers don't accept payments made by credit card. After you send wire to seller provide the seller with a copy of the receipt and when they verify they with send the bitcoins (have the seller send the bitcoin directly to the bitcoin address we provided you with OR if they send the bitcoins to your localbitcoins wallet on site instead you will have to log into your localbitcoin wallet and send to the bitcoin address we provided you with). It will take less then and hour and a half for us to receive the bitcoins once you wire the money to a seller on localbitcoins, the seller will give you a confirmation of payment through site and we will let you know we received. You will get the information needed to send a western union or money gram wire from sellers page after you choose a seller and it will give you the exact amount to wire to seller.

Current price of 1 BTC is about 235 USD, so we are fairly cheap, at the moment. But if you ignore us, we will ruin your life and move on to other targets.

IMPORTANT: You don't even have to reply. Just pay the 2 BTC (or 5 if its after 48 hours) to [above mentioned bitcoin address] we will know it's you and you will never hear from us again.

If you need to contact us feel free but you do not have to you only need to pay and we will disappear.

But if you ignore us, and don't pay within the time frames specified we will make good on are word.

If you think about reporting us to authorities, feel free to try. But it will not help. We are not amateurs. The best thing that can happen, they will go publicly about it. We will, again, get some free publicity. But for you, you will be ruined the damage will be done.

It's a one-time payment. Pay and you will not hear from us ever again!

Pero, aquí los hackers de vía estrecha, ya directamente tiran por elevación.

To introduce ourselves first:

http://www.coindesk.com/bitcoin-extortion-dd4bc-new-zealand-ddos-attacks
http://bitcoinbountyhunter.com/bitalo.html
http://cointelegraph.com/news/113499/notorious-hacker-group-involved-in-excoin-theft-owner-accuses-ccedk-of-withholding-info

Or just google ?DD4BC? and you will find more info.

So, it?s your turn!

All your servers and websites will be going under attack unless you pay 10 Bitcoin.

Pay to 1EqwTAMgw8RtdGpWSFnsW5AdeM7RGVaKrZ

Please note that it will not be easy to mitigate our attack, because our current UDP flood power is 400-500 Gbps.

We are aware that you probably don?t have 40 BTC at the moment, so we are giving you 24 hours to get BTC and pay us.

Find the best exchanger for you on http://howtobuybitcoins.info or http://localbitcoins.com You can pay directly through exchanger to our BTC address, you don?t even need to have BTC wallet.

Current price of 1 BTC is about 230 USD, so we are cheap, at the moment. But if you ignore us, price will increase.

IMPORTANT: You don?t even have to reply. Just pay 10 BTC to the above BTC address we will know it?s you and you will never hear from us again.

But if you ignore us, and don?t pay within 24 hours, long term attack will start, price to stop will go to 100 BTC and will keep increasing for every hour of attack.

If you think about reporting us to authorities, feel free to try. But it will not help. We are not amateurs. The best thing that can happen, they will go publicly about it. We will, again, get some free publicity. But for you, price will go up.

IMPORTANT: It?s a one-time payment. Pay and you will not hear from us ever again!

In many cases, our ?customers? fear that if they pay us once, we will be back and ask for more. That?s not how we work. We never attack the same target twice.

We do bad things, but we keep our word.
Thank you?

Aprovechando una dirección de e-mail, vamos a tocar todos los palos a ver si alguno pica.

No contentos con amenazar sus servidores (¿cualos?) van más allá y prometen al extorsionado destruir para siempre su bien más preciado ¡su cuenta de Facebook!

Hey asshole,

That night you fucked me like a pig, and now I am fucking pregnant, thanks to you asshole!!!

I searched your profile on the Facebook, and found your family members, and every one of your god damn friends.

I am going tell all of your friends about this, so unless you fucking pay me $1250, I am going to ruin your life. You need to send me payment via BTC. I dont want to fucking reveal my identity to you. But I am sure, you still remember me huh.

My BTC address is 1NwpFnkQdHZsTv1ZNLRuzuauPZgDWcdk8E

Use an online bitcoin exchanger like Coinbase to send me BTC. I should receive the BTC within 48 hours.

Oh FUCK! Honey, did I tell you, that I have the video made of us! So you better send me money, or this video is going to all of your friends, and I will see you in the court!

Dont reply to this email, just send the BTC, and I will leave your life.

XOXO

Y sí. También está el vídeo porno. Que tiemble Nacho Vidal. Su reinado se ha terminado.

 I have your sex tape, and unless you send me $999 via BTC (i.e 4 BTC), I will go ahead and post your sex tape to the xxx websites.

Pay to 18qksLPj6KP3GDGPSHvNQMQDxpCyMNr63s
(Copy and paste the address! The above is a BTC address to which you need to send money. You need to use an online exchanger, like CoinBase or use LocalBitCoins.com to find a local exchanger in your area. You can pay directly through exchanger to our BTC address, you don?t even need to have BTC wallet.)

If you think about reporting us to authorities, feel free to try. But it will not help. We are not amateurs. The best thing that can happen, they will go publicly about it. We will, again, get some free publicity. But for you, price will go up.

IMPORTANT: It?s a one-time payment. Pay and you will not hear from us ever again!

In many cases, our ?customers? fear that if they pay us once, we will be back and ask for more. That?s not how we work. We never attack the same target twice.

We do bad things, but we keep our word.
Thank you

En fin. Estos blackmail provocan, más que miedo, una sonrisa complaciente preguntándose si el autor o autores de semejante campaña superan los 14 años.

Puede que algún internauta con la conciencia no muy tranquila decida aflojar ese dinerillo por si acaso aunque intuyo que los chantajistas no terminarán demasiado bien.

Ashley Madison y... ya que estamos... (1/2)

No juzgaré a los usuarios de Ashley Madison. Este no es un blog sobre moral y buenas costumbres.
Pero, desde el punto de vista informático, la brecha de seguridad de AM junto con el Dieselgate han entrado ya en la historia de los patinazos empresariales cuyas consecuencias aún están por ver.

¡Ah! Ashley Madison. Compruebo en el momento mismo en que escribo estas líneas que el dominio y la web siguen activos.

Ashley Madison. La vida es corta, ten una aventura.

¡Ojito! Que también hay falsificaciones como http://www.ashleyrnadison.com/

La portada de dicha web es muy parecida. Pero mientras la web legítima usa https, el clon ni siquiera lo hace. Para el que aún no lo haya visto, en el nombre de dominio se cambia la m de Madison por una r y una n que, visualmente, tienen un aspecto parecido.

Haciendo un Whois

Domain Name: ASHLEYRNADISON.COM
Registrar WHOIS Server: whois.safenames.net
Registrar URL: http://www.safenames.net
Updated Date: 2015-07-22T20:00:19Z
Created Date: 2009-06-09T15:17:35Z
Registrar Registration Expiration Date: 2016-06-09T15:17:35Z
Registrar: Safenames Ltd
Registrar IANA ID: 447
Registrar Abuse Contact Email: 
Registrar Abuse Contact Phone: +44.1908200022
Registrant Name: Host Master
Registrant Organisation: Avid Dating Life Inc.
Registrant Address Line 1: 20 Eglinton Ave. West
Registrant Address Line 2: Suite 1200
Registrant City: Toronto
Registrant State/Province: ONT
Registrant Postal Code: M4R1K8
Registrant Country: CA
Registrant Phone: +1.4164802334
Registrant Fax:
Registrant Email: 

Parece que el negocio de Ashley Madison funciona (ba) muy bien desde el momento en que otras empresas deciden subirse al carro y falsificar de forma descarada la web original lo cual, normalmente, generaría una serie de demandas, etcétera.

Aunque, después de lo sucedido, la reputación de la marca Ashley Madison ha caído tan bajo que no sé yo si merece la pena copiarla. Pero, como decíamos al principio, no somos quién para juzgar a nadie...

No puedo entrar a la web de...

Muchas veces hay usuarios que se quejan de no poder acceder a determinadas webs.

Hay algunas, institucionales, que requieren determinadas acreditaciones o determinado enrutamiento no accesible a los puestos de trabajo normales. Se reporta la incidencia y se hacen las configuraciones apropiadas. Es algo cotidiano.

Pero luego hay webs, de las comunes, de las que todos podemos surfear que a veces fallan. Puede estar caído el servidor web, tener mucho tráfico o que nos hemos equivocado al escribir la URL.
Esto también es cotidiano y la solución es inmediata.

También hay otros sitios que no son accesibles porque se han puesto reglas en el proxy. Depende de lo estricta que sea la organización para que el modelo sea "todo permitido menos las excepciones" o bien "todo prohibido salvo excepciones". Sin excesos, claro.

Siempre hay alguien que necesita acceso a determinada web denegada por razones cualesquiera. No tiene mayor problema este caso.

La cuestión es cuando alguien llega y se queja porque no puede acceder a la web de su veterinario, por poner un ejemplo. Mire usted, en las organizaciones, el teléfono, el correo electrónico y el acceso a Internet son exclusivos para uso profesional salvo que se haya pactado la posibilidad de usarlos por motivos personales.

Normalmente suele haber tolerancia y a nadie se le crucifica por mirar El Pais o El Mundo en horas de trabajo (mirar, no pasarse horas) pero luego cuando entra un virus porque alguien navegó por una página web absolutamente inocente donde comprar muebles, mirar viajes o encontrar patrones para hacer tejidos de punto, el problema se lo suele "comer" el departamento de TI en toda su extensión.

Pero los usuarios tienen todavía la tibieza, por no decir otra cosa peor, de abrir incidencias que son en sí mismas la confirmación de que hacen un uso indebido de los recursos de la empresa en horas de trabajo. Yo no lo haría y no por miedo al despido, sino por simple dignidad.

Cualquier día algún usuario se quejará amargamente porque el Torrent no le funciona o no puede reproducir adecuadamente las películas porno.

Como no nombrar los servidores

Uno de los privilegios de los administradores de sistemas es nombrar las máquinas que se instalan.

Cierto que hay por ahí normas de seguridad y que no conviene dejar muy clara, o expuesta en la red, la funcionalidad de los equipos. Por tanto cada vez tienden a verse menos máquinas tales como MAILSERVER, o PROXYSRV, o PRINTSRV

Cierto que en organizaciones grandes no están para muchas tonterías y los nombres suelen ser abstractos; bastante frios y asépticos. Pero cuando no es imprescindible, los administradores suelen darse el gusto de nombrar esas máquinas de acuerdo con sus gustos, aficiones o simpatías.

En general siempre suele haber una línea. Parece ser que son típicos los dioses griegos, los personajes de LOTR, estrellas y planetas, etcétera. El abanico es inabarcable.

No obstante en tono mitad jocoso, mitad serio, me gustaría enunciar algunas reglas interesantes que tener en cuenta a la hora de nombrar servidores.

1. Los nombres que sean claros y no muy largos. Llamar Schrödinger a un servidor no es buena idea si alguien tiene que conectarse al servidor y no sabe ni como se escribe.
2. Los nombres que puedan resultar polémicos deben descartarse. No sé qué pensarían algunos si viesen un servidor llamado Hitler en su red. Y evitemos susceptibilidades. Yo no pondría Bárcenas al servidor de tesorería.
3. Un mínimo de elegancia. No creo que a nadie le guste tener sus ficheros en un servidor llamado Mierda.
4. Usar personajes de Star Trek, de Star Wars o de Harry Potter tal vez puedan hacer creer que el administrador es un poco "friqui", pero entra dentro de lo aceptable. Será más difícil plantear estrellas porno para nombrar dichos servidores.
5. Si nombramos, nombramos bien. No quisiera yo ver por ahí un servidor llamado Hafrodita.
6. Debe evitarse también vincularlos a personas. Lo de Paco_Server está muy bien pero se supone que somos profesionales informáticos y que no estamos desbrozando la era.
7. Por último, evitemos los sentimientos. Tan inapropiado es llamar a un servidor QueguapoquesoySRV como Estaempresaesunamierda_Server.

No olvidemos que vamos a tener que escribir bastantes veces el nombre de nuestros servidores y que también tendremos que facilitárselo a terceras personas.

La informática (y el cine) hace veinte años...

Excelente película la de Alejandro Amenábar. Imprescindible para cualquier cinéfilo.

Cinta de 1996. De hace casi, casi, veinte años. Veinte años no es nada, decía Gardel.
Bueno, tal vez sí.

El otro día la pusieron en TV y aunque disfruté viéndola, casi sufrí un amago de parada cardiorespiratoria en una de las escenas. Por cierto, mi agradecimiento a ‏@MarkelGoiko por enlazar a la imagen en su twitter.

Sin entrar en demasiados espoilers, resulta que en el servicio técnico guardan ¡en un disquette de 3 1/2 el listado de clientes!

Seguramente en la tienda de chuches de la esquina se toman más en serio su contabilidad.

Uno de sus protagonistas ¡coleccionaba porno en cintas VHS! ¿Qué habría sido de él de conocer Porntube?

Y podríamos seguir describiendo cosas que en 1996 eran normales pero ahora nos parecen simplemente fuera de lugar. Naturalmente profesores fumando en las aulas, ausencia de teléfonos móviles en fin...

Pero nos vamos a Matrix, de 1999.


Ves el teléfono de Neo y te da la risa.

Nokia 8110. Lujo oriental, por aquel entonces. Lo mejor de lo mejor. Ahora, cualquier móvil chino de gama baja le supera en todos los aspectos. Aunque lo de desplegarlo con una sola mano y quedarte con la peña, todavía tendría su aquel.

Enternecedora también la escena en que el joven energúmeno que se hace pasar por James T. Kirk en la película de J.J. Abrams maneja el Nokia instalado en el coche.

Curioso que el Nokia Tone siga sin cambios en el siglo XXIII.

En fin, dentro de veinte años seguiremos sorprendiéndonos.

Poniendo en marcha la administración electrónica... pero no en Madrid

Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

A todos los que la presenten vieren y entendieren.

¡Así empieza la disposición oficial de esta ley realmente importante!

Estamos en el siglo XXI, en la era de la información. Ya se acabó aquel peregrinar de ventanilla en ventanilla, comprar pólizas y recibir por respuesta el 'venga usted mañana'

De aquella época que algunos pudimos ver extinguirse nos quedan los fantásticos chistes de Forges.

Bromas aparte, el acceso electrónico de los ciudadanos a los servicios públicos es un gran avance por lo que supone de ahorro en tiempo y dinero para todos.

O eso creía yo hasta que me he dado cuenta que los diseñadores web de determinadas sedes electrónicas o son rematadamente incompetentes o tienen que seguir directrices políticas de gente que no tiene ni idea de como funciona ésto.

Peleando contra el Ayuntamiento de Madrid
Tuve que presentar un escrito por registro en el Ayuntamiento de Madrid. Dicho y hecho.

Web del Ayuntamiento de Madrid (antiguamente Munimadrid)

Parece claro ¡vamos a Trámites!

¡Nos acercamos, hay un enlace al registro electrónico!

¿Pero esto qué es lo que es? ¡Dónde está el registro! No es que vayamos a pedir que se apliquen al máximo los estándares WAI de accesibilidad de la W3C pero es que esto ni se le acerca.
¿Nadie ha puesto un botón que diga registro electrónico, por favor?

No obstante, bien que presumen del logo.

Con paciencia llegamos al buscador avanzado de trámites. Pero ¡oiga! Yo no quiero un trámite avanzado. Quiero presentar un simple documento word y que me le pongan un sello de registro electrónico ¿Tan difícil es? Probemos instancia general a ver...


¡Bien! Tenemos una entrada para "Instancia general normalizada"

¿Descargar impresos? ¿Mande?

Pero, vamos a ver, ¿cómo pueden ser tan cutres que te hacen descargar el mismo formulario que tendrías que rellenar a boli si acudieses a un registro físico?
¿No se han enterado de que eso se puede hacer vía web sin tener que descargarse un PDF intermedio?

Bueno, me voy a tramitar en línea y ¡por fin! aparece el botón que debería haber aparecido cuatro o cinco pasos antes.

¡Y esto es todo amigos! La web del Ayuntamiento de Madrid se me cuelga espectacularmente.

No es que yo sea un crack de la informática, pero más o menos tengo actualizado mi equipo, la seguridad, el Java y su respetable madre. Pero nada. Más de una hora perdida.

Así es como el Ayuntamiento de Madrid se relaciona electrónicamente con los ciudadanos.
En cambio, para otras cosas, es supereficiente de la muerte,  oyes...

¿La experiencia profesional siempre suma?

Es esta una cuestión que se me ha planteado en distintas situaciones, algunas incluso afectándome personalmente y, al parecer, la casuística es muy amplia. Aunque es probable que distintas iteraciones puedan ocurrir en un mismo puesto de trabajo.

El C.V. menguante.
Alla por... ¡qué más da! me incorporé a cierta empresa en el puesto de técnico de sistemas. En ese momento provenía de otra empresa que, sin ser especialmente innovadora en su forma de entender las tecnologías de la información, sí que me había permitido estar en contacto y trabajar con diversos sistemas como directorio activo, web, vpn, correo o proxy alineados con lo que más o menos venían utilizando empresas similares en el sector

Gracias a ello, mi C.V. era razonablemente atractivo y completamente equiparable al de cualquier otro técnico que pudiera competir en el mercado laboral.

Tras algunos años trabajando en esa empresa, con unas funciones y un nivel técnico muy inferior al que yo había desarrollado antes, y sin haber recibido formación, tuve muy claro que me había descolgado y que estaba a punto de salir del mercado laboral a menos que me reconvirtiera en reparador de impresoras.

Nada que criticar ni reprochar. Reparar impresoras es un trabajo importante y respetable. Pero no es lo que yo quería hacer en la vida y además se me da fatal.

La empresa tóxica.
Buscando trabajo desesperadamente para escapar del horrible destino que me esperaba tuve un día una entrevista telefónica previa. Cuando le dije a mi interlocutor donde estaba trabajando, cambió hasta su tono de voz. Noté cierto desdén incluso.
Estaba claro que la reputación de mi empresa jugaba en mi contra y que mi interlocutor tenía en mal concepto a los técnicos de aquella casa. La entrevista continuó unos minutos adicionales, únicamente por cortesía, pero ya no había nada que hacer.

Los acuerdos secretos.
Tuve en otra ocasión una entrevista que me resulto sumamente agradable. La simpatía de la entrevistadora permitió que el diálogo fuera sincero y cordial y en un momento dado pensé que, aquella vez, iba a encontrar un buen trabajo, interesante y en un ambiente estupendo.
Pero cuando la entrevistadora revisó de nuevo mi C.V. vió que trabaja en XXXXX.
Su cara sonriente cambió a decepción y me informó de que ellos eran partner de XXXXX y que, por tanto, no era posible la contratación de ninguno de sus trabajadores.
Yo le insistí en que no sería yo quién fuera a contárselo y que (ya a la desesperada) tal vez incluso se alegraran de que me fuera. Pero no pudo ser. Estaba descartado.



Salvo por estos tres tipos de despropósito, yo sigo convencido de que la experiencia laboral -casi- siempre suma. No importa lo que hayas hecho. Has demostrado que puedes hacer muchas cosas y que las haces bien. Si tu -futura- empresa no sabe valorarlo, que les den.