19 de Marzo de 2012
Disclaimer 1: tengo 12000 cosas sobre las que querría escribir desde hace mil años (twitter-visita a Les Fonts de l’Algar, el #EBE11 y su conexión a Internet peor que la de mi casa, la #kddelche, las escapadas a Valencia y Molina de Segura, anécdotas del curso pasado, apaleo dialéctico de políticos y empresas…) pero tras estos meses tan movidos (lo que siempre digo en estos casos xD) por algo tenía que empezar.
Disclaimer 2: el post va a ser un tanto técnico, así que si no te enteras de algo de lo que he soltado, pregunta en los comentarios 
Disclaimer 3: sí, hace siete meses de esto… ¿y? Es mi blog y escribo lo que me da la gana cuando me da la gana. Bueno, más bien cuando puedo. Vamos allá.
Todo empieza allá por junio o julio. Estaba en la ratonera de la EPS (también conocida como “laboratorio de prácticas libres”) haciendo a saber qué cuando entré a la web de Movistar a buscar no recuerdo qué (¿veis? esto es lo que pasa cuando escribes con mucha distancia temporal respecto a los hechos, si es que no aprendo…)
Total, llegué a una dirección tal que la siguiente:
http://www.movistar.es/on/pub/servicios/onTOEntrada/0,,entrada%2Bbuscador%2Bv_segmento%2BAHOG%2Bv_idioma%2Bes%2BambitoAcceso%2Bpub,00.html?uri=/on/pub/ServNav?servicio=redireccion&URLFinal=http://trololololololololololo.com
Obviamente, el parámetro GET “URLFinal” no estaba asociado a http://trololololololololololo.com, sino a una URL interna (relativa) de movistar.es
Pero se me ocurrió meter ahí una dirección externa, concretamente http://www.this-page-intentionally-left-blank.org (por rapidez de carga más que nada 
). Y cargó. Dentro de la cabecera y el menú lateral de movistar.es. Vamos, que la web “insertaba” la URL que le pasaras por parámetro sin verificar si era una local (propia de la compañía) o una remota. Ahí está la gracia.
Para los profanos, básicamente la vulnerabilidad consistía en que yo podía introducir mediante una URL lo que me diera la gana “dentro” de la web de Movistar, concretamente en el área amarilla de la siguiente imagen:
Hablando más técnicamente, esto significa que la web de Movistar tenía un problema de seguridad bastante gordo, pese a su trivial explotación y a que la vulnerabilidad no permitía que se modificaran realmente los contenidos de su servidor. Yo lo califiqué como XSS indirecto, pero por lo visto, según me indicaron después, esto particularmente recibe el nombre de iframe injection.
Leer el resto de esta entrada »
Etiquetas: el mundo, Iframe Injection, menéame, movistar, movistar.es, seguridad, TeleElx, telefónica, TeleNit, twitter, XSS
Archivado bajo Cajón DeSastre, Computeadores, Humor, Radio y TV 
5 Comentarios »
13 de Enero de 2012
Ayer fue presentada en el Centro de Congresos de Elche la nueva marca turística local “VisitElche” que, entre otras acciones en Internet, implica la creación de una página web para difundir la ciudad entre potenciales visitantes que usen la Red para preparar sus vacaciones.
Así lo cuenta hoy el Diario Información:
La imagen de marca turística, junto con la la web (www.visitelche.com) sobre la que va a girar la estrategia turística de la ciudad, y que estará operativa con motivo de la apertura la próxima semana de la Feria Internacional de Turismo (Fitur) en Madrid, son la punta de lanza de un Plan Director de Turismo [...]
Si entramos ahora mismo a la página, veremos únicamente una cuenta atrás en la que se nos indica el tiempo que falta para que dé inicio FITUR:
Yo tenía la web controlada ya hace unos días, pero hasta ayer no se me ocurrió intentar ver si, aparte del cronómetro, había algo más. Y, con un poco de pillería, vi que efectivamente el cronómetro no era lo único que había en el dominio. Aunque me encontré las secciones vacías de contenido, aquí tenéis en primicia (supongo xD) los que serán los menús y la interfaz de visitelche.com:
Me hizo gracia semejante “pillada” y se la pasé a Sergio, el cual, en cerocoma, me respondió con un enlace a un fallo de seguridad de la web. Esto es, había petado visitelche.com antes incluso de que funcionara oficialmente. Cómo la liamos…
La vulnerabilidad es del tipo XSS y permite “insertar” lo que queramos en la página. Por ejemplo, a modo de demostración, aquí podéis ver una muestra de aprecio hacia la actual alcaldesa (y en un hilarante combo, precisamente también encargada de Turismo local) en forma de carta en la flamante web municipal:
Actualización 14 de enero: me comentan que el bug ya ha sido solventado. Lo peor es que no han arreglado el XSS (o al menos, no se puede comprobar si lo han hecho) ya que ahora cualquier URL del dominio visitelche.com muestra la cuenta atrás de la captura del principio 
Etiquetas: #comolaliamos, #manifiestoXSS, elche, Mercedes Alonso, política, PPCV, seguridad, Turismo, VisitElche, VisitElche.com, XSS
Archivado bajo Cajón DeSastre, Computeadores 10 Comentarios »
24 de Diciembre de 2011
Rompo de nuevo el parón del blog, con 23983292 temas pendientes de publicar, porque ayer se presentó en Les Corts el informe de fiscalización de las cuentas públicas de la administración valenciana del ejercicio 2010. Y me hierve la sangre leyendo ciertas cosas…
El titular de La Verdad lo dice todo: La Generalitat no podría pagar lo que debe ni con la venta de todo lo que tiene. A tope. Las posesiones de la Cheneralitat valen 2.867 millones pero los números rojos llegan a la friolera de 4779 millones. Ahí queda eso.
Canal 9, uno de los grandes agujeros, con una audiencia pésima y una programación (salvo escasas y honrosas excepciones) peor si cabe, tiró 26 millones de euros en los derechos de la Fórmula 1 para cuatro años (derechos que no le están dando un rédito nada beneficioso y que encima no son exclusivos, ya que la F1 también es emitida por La Sexta). Con dos… eso.
Globalmente, los números rojos de RTVV alcanzan los 1157 millones. Si fuera una empresa privada, estaría en quiebra. Comentar el detalle, pese a lo irrisorio de la deuda en comparación con la de Canal 9, de que Las Provincias TV (ahora Metropolitan TV) y Popular TV Mediterráneo (ahora TV Mediterráneo) deben a RTVV algo más de 900000 euros por la codificación y transporte de sus señales en el mismo multiplex que la radiotelevisión autonómica. Seguro que ser afines al Consell (al menos en sus concesiones originales) no tiene nada que ver para que vengan usando espectro radioeléctrico público por la cara 
Volviendo a la Fórmula 1, la entidad pública “Sociedad Proyectos Temáticos de la Comunidad Valenciana” abonó 20 millones de euros como copromotora del evento hasta dentro de dos años. Pero en su memoria de actividades sólo declaró 17,6 millones. Estos políticos nuestros, mira que son despistados… anda que olvidar 2,4 millones de IVA…
Y mientras, las farmacias cerrando en protesta ante su asfixia económica por los repetidos impagos de la Generalitat, los abogados de oficio (cuyas retribuciones están congeladas desde 2005) verán recortados los pagos del Consell un 35% y la red de institutos de Secundaria no recibe ni un solo pago desde junio.
Como narra el Diario Información, no hay ni para encender la calefacción. Hay institutos en los que el único efectivo que se maneja es el de la fotocopiadora, y otros con menos dinero en sus cuentas que quien escribe esto (y creedme que es complicado).
El Consell adeuda unos 60000 euros por centro, lo que supone en nuestra provincia unos 8 millones y unos 24 millones en el total de la Comunidad. ¡Hostia! ¡24 millones! ¡Dos millones menos de lo que costaron los derechos de la Fórmula 1 para Canal 9, que han dado una rentabilidad ruinosa al ente público! (y aunque hubieran proporcionado ingresos extraordinarios, va antes la educación pública que semejantes gilipolleces). Tócate los esos que cuelgan…
Y como puntilla, mientras la Fórmula 1 se paga a tocateja, el conseller de Educación, José Císcar, condiciona los pagos a los institutos antes de fin de año a cómo vaya la venta de bonos patrióticos. Sí, bonos de deuda que son basura según la mayoría de agencias de calificación (que tampoco es que me fíe de ellas más que de la Generalitat, pero los datos que he expuesto más arriba son incontestables…)
Hala, felices fiestas.
Etiquetas: Bancarrota, camps, canal 9, Consell, Deuda, Economía, educación, Farmacias, Las Provincias TV, Metropolitan TV, política, Popular TV, Popular TV Mediterráneo, pp, PPCV, Quiebra, rtvv, sanidad, TV Mediterráneo
Archivado bajo Cajón DeSastre, Fórmula 1, Radio y TV 3 Comentarios »
17 de Diciembre de 2011
Disclaimer: ocho meses ha que no escribo NADA aquí… Tengo posts sobre muchas cosas a medio hacer, pero esto que ha pasado merece un artículo dada mi escalada de situaciones surrealistas con las multinacionales, así que rompo unos días antes de lo previsto el parón del blog con…
…el concepto de “reciclaje” de Vodafone.
Por motivos relacionados con TenCuidado que no vienen a cuento, hace unos días decidí comprar una tarjeta SIM de Vodafone. La compra se materializó ayer en un distribuidor que hay en el centro comercial pegado a la universidad.
Cuando anoche llegué a casa, me dispuse a probar la tarjeta. Primero llamé desde ella a mi móvil habitual sin problema alguno. Ya sólo me queda llamar “de vuelta” al Vodafone, a ver si éste recibe bien la llamada. Llamo, da tono…
…pero el móvil con la tarjeta Vodafone no está sonando. WTF???!
Leer el resto de esta entrada »
Etiquetas: gilipollas, Vodafone, WTF?, Yoigo
Archivado bajo Cajón DeSastre 5 Comentarios »
21 de Abril de 2011
…o de cómo demostrar que los métodos de Chuck Norris no siempre funcionan. Basado en hechos tristemente reales.
Ya que están tan de moda las viñetas de webs como “¡Cuánto cabrón!”, he hecho un cómic de ese estilo narrando la vergonzante situación para que de paso apreciéis mi nulo arte incluso con personajes tipo palo:
Aparte de la llave también han resultado damnificadas en mis vanos esfuerzos por abrir una tarjeta Travel Club, varias radiografías, una botella de agua, otra de Coca Cola o de otra bebida gaseosa y una placa metálica con la que me he jodido las manos.
Resultado: 6 horas perdidas para acabar llamando igual al cerrajero, salvo que se me ocurran otras brillanteces
Etiquetas: Cerraduras, Cómics, Fail, Llaves, owned, Puertas, Rage Guy, Viñetas
Archivado bajo Cajón DeSastre, Humor 4 Comentarios »
9 de Abril de 2011
Hace unos meses culminó la reforma de las dos estaciones Renfe que hay en Elche, Elx-Carrús y Elx-Parc. Decir que no hacía falta sería mentir puesto que por ejemplo la vía 1 de Elx-Parc lucía así (imagen tomada de la web de noticias de TeleElx infoexpres.es) antes de la reforma. Impagables los cables (la mayoría de Telefónica, supongo) colgados de la pared “a las vistas”.
Leer el resto de esta entrada »
Etiquetas: Cercanías, elche, Elx-Parc, renfe, transportes, universidad
Archivado bajo Cajón DeSastre 2 Comentarios »
19 de Marzo de 2011
El miércoles por cosas del transporte llegué con bastante rato de antelación a la EOI, y me dirigí a la biblioteca para recoger el DVD de “Amélie” que previamente había reservado. Sé que es para matarme, pero no había visto la película nunca. Debí hacerlo hace mucho, totalmente recomendable. Y la música, excelsa.
Total, tras recoger el DVD aún me sobraba tiempo y me fijé en los cinco ordenadores que hay al fondo de la biblioteca. Le pregunté al bibliotecario si tenían internet, a lo que me respondió afirmativamente así que le di mi carné de estudiante y encendí uno at random para pasar el rato hasta el inicio de la clase.
El ordenador me preguntó si quería arrancar LliureX (la distribución Linux de la Generalitat Valenciana) o Windows XP. Encontrándome en un ordenador público, opté por Linux.
El asunto es que me pedía contraseña de acceso y el bibliotecario no tenía ni idea de cuál era, así que tuve que reiniciar en Windows y acceder a través de la cuenta de Invitado.
Al intentar acceder a Twitter o Facebook, me encontré con esto, cortesía del proxy de restricción de contenidos de la Generalitat:
Básicamente habla de la tutela de los datos personales para los menores de 14 años, así como de los términos de uso de las redes sociales que teóricamente (*se parte la caja*) impiden que las usen personas menores de esa edad.
La gracia viene cuando vemos lo siguiente en las condiciones de acceso a estudios de la EOI:
[...]Para acceder a las enseñanzas de las EEOOII será necesario:
a) EDAD: Tener 16 años cumplidos en el año en que comiencen los estudios o bien, ser mayor de 14 años, para seguir las enseñanzas de un idioma distinto del cursado en la Educación Secundaria Obligatoria.
Es decir, se supone que si puedes acceder a esos ordenadores, estás por encima de las restricciones de edad que indica la Generalitat. Me pregunto si esto se deberá a que el proxy está configurado exactamente igual en toda la red de centros (colegios, institutos y escuelas de idiomas) de la Comunidad y no se puede tocar o a una simple cuestión de desidia.
Por lo demás, al menos el ordenador que cogí iba más lento que el caballo del malo. Ya me diréis qué sentido tiene que un ordenador tenga el DeepFreeze (también conocido como congelador) y además un antivirus residente. Para colmo, el único navegador disponible era Internet Explorer (versión 8, aún suerte, llega a ser la seis y es para dispararse en un pie) y sin posibilidad de usar o instalar algo tan básico como Flash.
Pero bueno, la Cheneralitat sabrá… o no.
Etiquetas: Amélie, Biblioteca, Cine, eoi, Internet Explorer, Películas, personal, Proxys, windows xp, WTF?
Archivado bajo Cajón DeSastre, Computeadores 2 Comentarios »
