2 Septiembre 2009
En el día de hoy cumplo 18 años.
Llevo unos días en los que no estaba con ánimos ni para escuchar "felicidades". Pero ayer comenzó Septiembre dejando atrás el maldito mes de Agosto. Y ayer me quité de encima casi todo mi malestar, aún estoy un poquito triste por otras cosas. Pero son simples tontunas gatunas de las que no debería quejarme y mucho menos estar triste por ellas. Así que, feliz cumpleaños, yo. :)
Por cierto, el dibujo que ilustra esta entrada es un regalito (¡que me ha hecho mucha ilusión!) de
@angicitarocks, podéis encontrar más cosas de ella en su portfolio:
Mundos de Papel.
1 Septiembre 2009
Nunca me he considerado un egocéntrico (aunque algunos piensen que lo soy y mucho), pero una cosa es el ego y otra cosa es que te guste que te reconozcan las cosas y no ver como los méritos se los lleva sólo otro.
Hace cosa de casi 4 meses descubrí junto a otra persona en Tuenti, la red social mas popular de España, una vulnerabilidad de seguridad, lo que se llama comúnmente bug. El bug en un principio lo encontré yo haciendo pruebas por puro aburrimiento, inmediatamente le comenté el descubrimiento a Rubén Díaz Alonso (a.k.a. outime).
En un principio no era posible hacer gran cosa salvo insertar HTML, pero ya era el principio de un XSS. Como yo no me encontraba con ganas (creo recordar que estaba enfermo esos días), no puse mucho interés y dejé a outime liado con ello, hasta que lo consiguió. Consiguió insertar JavaScript y ya eso pasaba a ser más serio.
Entonces entre los dos escribimos un PoC que no hacía gran cosa, simplemente cambiaba el estado del usuario al que se le enviara, para ello bastaba con dejar un comentario en su tablón y esperar que entrara a él. Eso evidentemente no era nada peligroso, pero como podíamos ejecutar código JavaScript podíamos hacer lo que quisiéramos. Voy a poner un ejemplo de lo que se se podría llegar a haber hecho gracias al bug para que veáis la peligrosidad que tenia el mismo: por ejemplo, lo que se llama un gusano, que se fuera propagando por todos los usuarios de la red (de amigo a amigo) y que a la vez diera de baja los perfiles o cambiara los datos de acceso. Miles y miles de usuarios podrían haber sido resultado afectados.
Evidentemente nuestra intención no era hacer ningún daño, ya que como he dicho todo esto empezó por simple aburrimiento. Así que debido a la relación de amistad que tiene (o tenía) outime con Tuenti, llamó personalmente a Ícaro Moyano (Director de Comunicación de Tuenti) para que arreglaran inmediatamente el bug. Por aquellos días en Tuenti estaban liados con el nuevo diseño, por lo que Ícaro no le dio mucha importancia al asunto diciendo que ya lo arreglarían. Recuerdo la conversación por Skype que tuve después con outime, el cual estaba totalmente indignado y cabreado, ¡y con razón!, debido a la importancia del asunto y el poco interés mostrado. A mí sinceramente no me sorprendió este comportamiento por parte de Tuenti, siempre pensé que los usuarios de su red eran lo que menos les importaba y este hecho lo dejó claro.
Continuar leyendo...
1 Septiembre 2009
Éste es mi nuevo blog y mato conejos por diversión, o ratones, no sé.
En este rincón voy a tratar de escribir cuando me apetezca sobre las cosas que me interesan por si alguien quiere leerlo y le sirve. Y también un poquito sobre mi intento de vida. Sobre esto último me da igual que alguien lo lea o lo deje de leer, lo único que quiero es dejarlo aquí guardado a modo de baúl.
PD: Esta entrada está dedicada a @tuerce5 y su tweet inspirador.
