Incapaces de proteger nuestras redes

Repasando las noticias que me había dejado atrás en estos últimos días he dado con una entrevista a John Lyon, publicada bajo el título "En 2020 ya no podremos proteger nuestras redes frente a los ataques".

Lo que dice quizá no sea nada nuevo, pero sí está bien contado: que vivimos en un mundo interconectado en el que, especialmente con eso de la Internet de las cosas, nuestra superficie de exposición ante todo tipo de amenazas es cada vez mayor. Que las defensas van siempre por detrás de los ataques. Que todos somos potenciales objetivos. Que los gobiernos deberían hacer campañas de concienciación, igual que lo hacen con el tabaco o los cinturones de seguridad...

Y, que si la cosa no cambia, de aquí a cuatro años proteger nuestras redes va a ser misión imposible.

Pero cambiar cuesta. Y no sólo trabajo. En la entrevista se señala que las organizaciones deberían gastar en seguridad el 15% de su presupuesto en tecnología. Desde luego, esto me inclina a ser pesimista.

Pesimista porque muchas organizaciones, casi todas, quieren resultados cuando se gastan el dinero y la seguridad no es un producto que puedas comprar. Es algo que debes perseguir siempre, sin llegar nunca a alcanzarlo. Un proceso, que diría Bruce Schneier. 

Pesimista porque creo que el título es demasiado positivo. No hace falta esperar cuatro años. Si uno mira las noticias se encuentra con que entidades de las que se espera un alto nivel de seguridad, como bancos u hospitales, aparecen en los titulares por haber sido víctimas de los ciberdelincuentes. La gente cree estar segura mientras las botnets controlan un elevado número de ordenadores. El router que nos conecta a Internet posiblemente tenga graves vulnerabilidades...

Pesimista porque nuestras redes, poco a poco, están dejando de ser nuestras y escapando de nuestro control a medida que el cloud computing entra en nuestras vidas y en nuestros negocios. Ya nos están vendiendo la "LAN como un servicio" y es cuestión de tiempo que vayamos cayendo.

Y pesimista porque me parece que el titular se queda corto. Muy corto. Tanto que puede ocultar el verdadero alcance del problema, que va mucho más allá de las redes. Las redes son sólo un instrumento. Lo que realmente no vamos a poder proteger, casi no estamos en condiciones de proteger ya hoy, es la información con la que trabajamos, nuestros propios datos, nuestra vida privada, nuestros derechos, nuestra seguridad, los negocios de nuestras empresas, los intereses públicos...

En todo caso, lo que no quiero ser es derrotista. Que demasiadas veces he oído eso de "si van a por nosotros nos van a coger de todos modos" como argumento para no proteger como es debido las cosas. 

Pesimistas o no, hay que ponerse a trabajar ya para arreglarlo.

Diskettes para controlar los arsenales nucleares

Me entero hoy por las noticias de algo que tiene poco de novedoso: Según un informe interno (aunque público), resulta que el Departamento de Defensa de los EE.UU. está utilizando floppies de 8 pulgadas en la gestión de cosas tan críticas como su armamento nuclear.

Y digo que tiene poco de novedoso porque, según se indica en el propio informe, llevan utilizando este sistema, hoy obsoleto, desde aquellos tiempos en que era tecnología punta. En otras palabras, más de 50 años.

No es una situación que afecte únicamente a Defensa. El nombre del informe es de por sí revelador y podría traducirse (al menos, es la traducción que a mí se me ocurre) como "Las agencias federales deben resolver el problema de esos sistemas heredados que van acumulando años".

Así, el Tesoro de ese país utiliza sistemas aún más antiguos. Justicia o la Seguridad Social disponen de entornos programados en COBOL que pasan de los tres decenios. Y van camino del medio siglo algunos subsitemas de Comercio, que después se fueron modernizando hasta usar hoy Windows Server 2003, algunas versiones obsoletas de Oracle y aplicaciones realizadas en FORTRAN. ¡Incluso hay quien aún mantiene sus propios programas escritos en ensamblador!

El autor, David A. Powner, señala los problemas que esto conlleva: muchos sistemas, que ya dejaron de recibir soporte por parte de las empresas que los crearon,  requieren consumibles y piezas de recambio difíciles de encontrar. Ni tampoco es fácil dar con personal con conocimientos en estas áreas.

En definitiva, nos encontramos con entornos llenos de vulnerabilidades que nunca serán corregidas y cuyos costes de explotación van incrementándose y comiéndose buena parte del presupuesto TIC que sería necesario invertir en innovar un poquito y mejorar cuatro cosillas.

Como un ejemplo de hasta dónde han llegado las cosas, Powner cuenta como la SSA se ha visto obligada a contratar a programadores jubilados porque pocos de los que están activo conocen el lenguaje COBOL. Que dejen pasar otra década sin hacer nada, a ver cómo se las arreglan...

Da miedo pensar en ello. Sistemas críticos que cada vez son más difíciles de mantener y, por tanto, son mantenidos en peores condiciones. Llenos de vulnerabilidades porque fueron creados en un tiempo en que la seguridad no era entendida en la misma forma en que la vemos hoy en día. Que pueden venirse abajo ellos solitos por averías de componentes que llevan demasiado tiempo funcionando.

Ahora bien, hay algo que, si cabe, me asusta más. Algunas de las agencias mencionadas en el informe planean sustituir a corto plazo sus sistemas antiguos por otros más modernos y acordes al estado actual de la tecnología. Como el Departamento de Defensa, que quiere hacerlo para finales del ejercicio fiscal de 2017.

Espero que lo hagan bien, porque lo que tienen actualmente al menos ha demostrado cierto grado de fiabilidad. Me preocupa eso de escribir tantas líneas de código en tan poco tiempo. No quisiera pensar en las consecuencias de una mala selección de infraestructuras TIC, desarrollos defectuosos o incorrectas integraciones entre subsistemas.

Por no hablar de si el personal informático cuenta o no con unos conocimientos actualizados que, hasta ahora, no habían necesitado.

NOTA 1: El informe mencionado tiene, como mínimo, una segunda lectura relacionada con la temática de este blog. En particular, con la Inteligencia de Fuentes Abiertas (OSINT). En poco más de una veintena de hojas se van enumerando sistemas operativos, gestores de bases de datos, lenguajes de desarrollo y otras características de los entornos utilizados en diversas agencias gubernamentales. Más aún, en algunos casos se indica que existe un plan de actualización... y se hace mención de las tecnologías en que se basarán los nuevos sistemas y cuándo serán puestas en marcha. Información toda ella de gran utilidad para un potencial atacante.

NOTA 2: Saber qué es un floppy de 8 pulgadas no es precisamente síntoma de juventud. Para quienes lo ignoren, se trata de un diskette (un disco flexible) con capacidad, en sus versiones más "modernas", de hasta 1,2 megabytes. Y, si no te aclaras fuera del sistema métrico decimal, 8 pulgadas vienen a ser 20 cm.

Multimarcas del Black Hat SEO (7)

En el post anterior veíamos como existen sitios web que catalogan los sitios web de venta de medicamentos. Aparte de ser testigos de algunos sucesos curiosos, esto nos sirvió para encontrar nuevas apariencias para el software de farmacia online con el que comenzó la serie. Y tiendas con esas apariencias, claro.

Pero hubo un caso especial. Una página que ya no existe y que presentaba un tema que no encontré en otros sitios:

Tampoco archive.org ni otras cosas que intenté me aportaron nada útil. Así que tenía que intentar algo nuevo.

Hasta ahora había encontrado los temas con los números iniciales del 01 al 09, más el 11 y el 13. De modo que las probabilidades de que éste se correspondiera con el 10 ó el 12 eran altas. Por otro lado, el banner superior hace referencia a una figura ideal. Con eso me podía hacer una idea de las posibles combinaciones.

Pero saber cuál era la correcta era harina de otro costal. Cada tema tiene sus propias imágenes, cuyos nombres varían de uno a otro, de modo que probar URLs de imágenes aportaba poca seguridad. Sin embargo, sí que había dos datos que podían ser de ayuda.

Por un lado, si se visita la URL base de una plantilla existente, la respuesta suele ser de tipo "OK", visualizando el contenido del directorio, o bien "Prohíbido", mientras que si se accede a una URL inexistente, lo habitual es una respuesta tipo "No encontrado" o una redirección a la página inicial del sitio.

Por otro, aparte de las imágenes, las plantillas tienen otras cosas. En particular, código JavaScript y los nombres de estos ficheros sí suelen ser siempre los mismos. De modo que tomé un sitio que utiliza este software y realicé varias pruebas. A la cuarta, sonó la flauta:

A estas alturas tenemos ya una docena de temas:

Y hay más. Quizá puedas encontrar alguna cosa tú si buscas bien...

No quisiera acabar esta serie sin haber mencionado y dejado claro algo. En esto del Black Hat SEO y las webs de venta de fármacos, ni son todos los que están ni están todos los que son. Hay farmacias online que hacen un negocio no sólo legal y legítimo sino también oportuno y beneficioso para la sociedad. Y hay gente que usa y abusa de las técnicas de Black Hat SEO para promocionar sitios que se dedican a otras actividades.

Existen organismos que certifican la veracidad, legalidad y seguridad de comprar en las tiendas online de medicamentos y otorgan un sello a quienes "aprueban el examen". Las empresas certificadas suelen poner estos sellos en sus webs para dejar clara su solvencia

Pero... siempre hay quien se cuelga medallas sin merecerlas. Y quien se cuelga chapas de refresco al lado de las medallas para hacer bulto. Lo habitual es que al hacer clic en cualquiera de estas menciones se acceda a una página del organismo que las certifica en la que se documente su veracidad. En el caso de la imagen anterior... no ocurre así. Y si se visita las páginas de alguno de los organismos certificadores y se le pregunta directamente...

O sea: que no.

Multimarcas del Black Hat SEO (6)

Tras alejarnos un poco del estudio de las distintas apariencias de una misma aplicación de tienda de fármacos en el último post, volvemos aquí a lo que estábamos tratando en los cuatro primeros (1, 2, 3 y 4).

Nos quedamos comentando ciertas búsquedas que nos podrían proporcionar sitios que utilizan este software. Como:

"Bienvenidos a la farmacia internacional online"

"Welcome to Online Worldwide Drug Store!"

A las que se podrían añadir otras. Por ejemplo:

"Nuestra empresa farmacéutica es líder en la entrega de medicamentos en todo el mundo. "

O también, eligiendo una URL de las que aparecen en los enlaces:

inurl:/catalog/Bestsellers/Extra_Super_Levitra.htm

Como resultado, un montón de resultados en los que bucear y en los que detectar nuevas tiendas. Con unos aspectos de lo más variado:

Sí, aspectos de lo más variado, pero todas son lo mismo. O pretenden serlo. Porque, aparte de contar con iguales contenidos, hay un dato que es común a todas ellas: la información de contacto. Los teléfonos son siempre los mismos:

Y un teléfono da para mucho. Aunque hay que ir con cuidado. Si no se tiene seguridad acerca de que un sitio sea legítimo, tampoco la hay de que los datos que proporciona sean ciertos. En particular, en casos como éste en los que quien llega a través de Internet posiblemente termine la compra por este medio y sólo use el teléfono en caso de que quiera presentar quejas y reclamaciones.

Podemos empezar por tratar de localizarlo. Se trata de un número que inicialmente estaba ubicado en California era servido por la operadora de telefonía "Level 3 Communications", una compañía bien asentada y con su historia, en la que aparecen cosas como la neutralidad de la red o la NSA. Y que en su día llegó a un acuerdo para dar soporte a las llamadas a teléfonos realizadas desde Skype y aún sigue en ello, como puede comprobarse buscando información sobre sip.skype.com en  Robtex.

Pero hoy en día, con eso de las portabilidades, podría estar en otro sitio o estar migrado a otra compañía. De hecho, algunas búsquedas indican que ahora pertenece a la red de Pac-West Telecom. O, en algunos casos, a Vail Lab. Todos ellos ofrecen servicios de VoIP.

La respuesta de whitepages.com nos pone sobre otra pista: Parece que hay quejas de que el teléfono está relacionado con el SPAM. IA este respecto, sólo nos podemos atener a las opiniones vertidas. Algunas son favorables, pero hay muchas que no. Hay quien incluso se queja de que le llaman desde este número para venderle medicamentos...

Al buscar este teléfono también aparecen resultados correspondientes a sitios que aparentan (en estas cosas, siempre hay que decir algo del tipo "aparentan") dedicarse a revisar, criticar o, simplemente, hacer listas de farmacias online.  En algunos casos, se incluye información histórica de Whois, algo muy interesante si quieres ponerte a investigar.

Además, éste es uno de los muchos casos curiosos que se encuentra al navegar por este sitio. La "tienda" ya no existe. Está cerrada, dice la información que se muestra junto a la captura de pantalla. Pero el dominio sí sigue activo. Y apunta a un equipo de Google Cloud tal y como indica Robtex:

Una cosa curiosa es que, mientras elaboraba este post (eché un par de día en ello), el sitio de búsqueda de farmacias que estaba utilizando dejó de funcionar. Él y unas cuantas "tiendas online", junto con algún otro sitio de listados de farmacias. Y todos ellos con una apariencia muy similar:

Por si sirve de algo, Robtex indica que hay al menos 100 dominios compartiendo esta IP y, quizá por casualidad, casi todos ellos relacionados con la venta de fármacos.

Y otra cosa llamativa. Cuando probé el dominio el dominio de esta tienda cerrada... Fui redirigido¿a dónde? Como se comprenderá, con los sitios fuera de servicio, las circunstancias no me permiten hacer ahora una captura de pantalla, pero tengo la caché de Google. Y la primera vez que la pedí, la redirección era a uno de los sitios que listaban farmacias. Precisamente a su página en la que se detallan los datos del dominio buscado. Al día siguiente, Google había actualizado datos... y redirigía a otro sitio de similares características.

¿Habrá alguna relación entre estos sitios? Aparte de que pudieran pertenecer al mismo grupo, se me ocurre otra cosa. Si no es éste el caso, bien podría alguien montar el negocio (e invitarme a una cerveza si le va bien):

1. Montas un sitio donde las farmacias (las pretendidas y/o las reales) se inscriban con la intención de obtener publicidad y visitas.
2. Guardas información de Whois sobre los dominios.
3. Cuando la inscripción de un dominio esté a punto de caducar, analizas si tiene un buen posicionamiento o, al menos, un posicionamiento que pueda ser utilizado para algo y una buena reputación.
4. Cuando caduque el dominio, si se ve que se puede hacer negocio, lo compras. Y lo vas usando para poner enlaces a sitios nuevos que quieras promocionar. Así aprovechas el posicionamiento que el sitio pudiera haber obtenido durante su existencia anterior.
5. Ni hablar quiero de otras utilidades, tales como el phishing, que aprovechen la confianza que el sitio pudiera haber obtenido entre sus usuarios.
6. Si quieres, puedes poner el dominio a la venta. Tiene un nombre y si su reputación no es mala posiblemente haya gente interesada en comprarlo.

Sea como sea, las páginas en las que se listan farmacias aportan muchos datos y, una vez indexados, pueden hacerse búsquedas curiosas en Google:

El tercero de los resultados hablaba de "cupones descuento". Y me digo yo: si varios sitios comparten un mismo código de cupón de descuento... quizá tengan algo que ver entre sí, ¿verdad? Pues eso

Vamos a ir acabando por hoy, que esta vez la información ha sido bastante y hay que digerirla. Antes de acabar sólo quisiera mencionar que con todos estos dominios fui encontrando más apariencias distintas para el software de farmacia online con el que empezaba esta serie. Como puede observarse, a veces los protagonistas de las fotos repiten:

(Continuará)

Multimarcas del Black Hat SEO (5)

El final del post anterior prometía novedades. Ahí van:

Comencemos por visualizar en el navegador el código fuente de alguna de las páginas cuya existencia conocemos gracias al sitemap o a los listados de directorios. Lo mejor para no correr riesgos innecesarios es, si se usa Firefox o Chrome o similares, escribir directamente en la barra de direcciones del navegador "view-source:" seguido de la URL a analizar.

Llama la atención el script "popup.js", cuyo código muestra aquel mensaje en el que se nos decía que hoy no había gastos de envío y que, cuando hacíamos clic en él, nos hacía navegar a otra página. Su código tiene un detalle revelador:

El enlace que nos lleva a otro sitio tiene el atributo "rel='nofollow'". Esto, en pocas palabras, sirve para indicar a los buscadores que no sigan este enlace. En otras palabras, que no visiten ni mejoren el posicionamiento del sitio de destino por el hecho de encontrarlo aquí.

O sea, los "responsables" de esta página no quieren promocionar en los buscadores a sus "clientes". Y es que todo depende de lo que vendan. Quizá el servicio ofrecido consiste en incrementar el número de visitas y, claro, mientras éstas procedan de ellos y no de los buscadores tienen el negocio garantizado.

O visto desde el otro lado: cuidado con a quién contratas para mejorar tus estadísticas de visitas (y/o de negocio). Porque sus intereses pueden no ser los tuyos y puedes terminar siendo cautivo de un servicio más bien sucio.

Aparte de eso, como era de esperar, se trata de un contenido estático, con productos y precios invariables que forman parte del código HTML...

... Y... ¡Un script alojado en otro dominio!

El nombre del dominio "openstat.net" hace pensar en estadísticas de uso o acceso. Lo de open, que suena bien, posiblemente sea para que nadie se fije demasiado en él. Pero... ¿qué hará? Analizar su código llevaría un buen rato, pues se nota que quien lo desarrolló quería que no fuera fácil. Pero sus actos hablan por él. Si se visita la página en un navegador y se activan las herramientas de desarrollo (las de la tecla F12) y se monitoriza el tráfico de red, se pueden apreciar peticiones curiosas:

La siguiente imagen muestra algunas de las URLs cargadas:

Por si no está bastante claro, este script que se carga monitoriza nuestras actividades y las envía "a casa": si hacemos scroll usando las barras de desplazamiento, si movemos el foco de un objeto a otro, si hacemos clic aquí o allá, si cambiamos el valor de algún campo, si movemos el ratón, si seleccionamos algún texto, si pulsamos alguna tecla... todo eso lo saben también ellos. Incluso en el código hay instrucciones cuyo objetivo es analizar expresamente si compartimos la página en redes sociales como Facebook, Twitter o Vk.com.

En definitiva, aparte de que podríamos descargarnos el "kit de invasión" utilizado en estas actividades gracias al sitemap, los listados de directorios y un poquito de spidering, estas notas nos permiten hacernos una idea de qué clase de negocio hay detrás.

(Continuará)

Multimarcas del Black Hat SEO (4)

Dejamos la anterior entrada de esta colección planteando la utilidad que la típica página de "acerca de nosotros" puede tener a la hora de localizar tiendas relacionadas con aquellas que estamos estudiando. En este caso, la URL es "/about.htm". En cuanto a su contenido, depende, claro, del idioma...

A la vista de lo que se puede leer en la imagen, pueden plantearse búsquedas como:

"Bienvenidos a la farmacia internacional online"

"Welcome to Online Worldwide Drug Store!"

Ahora bien, eso de "Farmacia Internacional Online", o como sea que se diga en cada idioma, parece que es un buen reclamo y no es raro encontrarse con páginas que empiezan de ese modo y después resulta que no utilizan el software objeto de estudio.

En algunos casos, a pesar de comenzar con "Welcome to Online Worldwide Drug Store!", el texto continúa de forma distinta a la mostrada en la imagen anterior. Con frecuencia, con frases sin sentido que parecen elegidas al azar. Y cuando se da esta circunstancia, las evidencias parecen apuntar a contenidos insertados de forma ilegítima en sitios de terceros. Así, si se busca:

"Welcome to Online Worldwide Drug Store!" -"our pharmacy is the leader"

... aparecerán varias páginas con una apariencia de lo más parecido al tema "01_Blue_Doctor" que ya conocemos, pero que parecen no ser tan personalizables y, desde luego, aparecen asociadas a dominios donde uno no esperaría encontrarlas:

En el ejemplo de la imagen, se diría que el directorio "templates" ha sido "colonizado" por alguien que ha montado su "tienda" en sitio ajeno. Tienda que tiene aspecto de ser operativa. Aunque la funcionalidad quizá no sea la esperada: si uno hace clic en cualquiera de sus enlaces, le aparece un mensaje indicándole cuán afortunado es

Con la particularidad de que si se hace clic sobre este diálogo, aunque sea para cerrarlo, el navegador es dirigido a otra página, que parece  igualmente relacionada con la venta de fármacos. En algunos casos, con buena pinta. En otros casos, de apariencia más bien chapucera.

Quien haya hecho esto tenía interés en posicionar bien sus contenidos en los buscadores. Y, para eso, qué mejor que un sitemap:

Y escribo "sus contenidos" porque, como se verá más adelante, no parecen tener voluntad de promocionar los de sus clientes. Pero no nos adelantemos demasiado, que todo acabará llegando.

Lo bueno de todo esto es que parece que esta nueva tienda de medicamentos "versión invasión" está diseñada de forma poco cuidadosa en algunos detalles. Por ejemplo, la "versión completa" admite un parámetro GET de nombre "lang" para señalar el idioma que se desea visualizar (por ejemplo: lang=es) y ésta no. O la posibilidad de obtener listados de directorios (siempre que la configuración del servidor no lo prohíba, claro, pero eso no depende del atacante). Tanto de las imágenes utilizadas como de las páginas:

Es hora de aprender unas cuantas cosas más.

(Continuará)

Multimarcas del Black Hat SEO (3)

En los posts anteriores (1 y 2) se vio como llegué por casualidad, al hacer clic en un enlace de Google que no debía llevarme allí, a un sitio web que parecía ser una tienda online de medicamentos. Y como, con la misma IP de este sitio promocionado mediante técnicas de Black Hat SEO, había otros sitios web con el mismo contenido pero con distinta apariencia al usar una plantilla o tema distinto.

Incluso si en lugar de un nombre de equipo se pone la dirección IP, los contenidos de las plantillas están ahí. Todo parece apuntar a un único servidor con un script que decide el tema a usar según el nombre de dominio usado en la petición HTTP:

Me puse a jugar, que es como más se aprende, y a buscar los nombres de los temas de personalización de estos sitios web. A estas altura iban ya cuatro. Pero hay más y Google lo sabe. Por ejemplo...

O

Como puede observarse, los resultados se corresponden al sitio "fixsitespeed.com", un servicio al que le proporcionas la URL de una página y te da buenos consejos para que ésta cargue más rápido. Se ve que alguien le envió estos dominios y la respuesta recomendaba indicar al navegador que cachee ciertas imágenes, entre las que se contaban las del tema usado.

Y, por lo visto, fixsitespeed expone ante los buscadores los resultados que va produciendo, lo que le convierte en una fuente de información a la hora de eleborar el perfil de un sitio.

En definitiva, tenemos otras nuevas apariencias a añadir al lote

La última búsqueda, cuando se le indicó que mostrara todos los resultados disponibles, proporcionó algún resultado más:

La imagen en él mencionada incluye una foto de alguien a quien ya conocimos al principio de esta serie, pero que esta vez, a diferencia de la anterior, aparece sin compañía:

En todo caso, este típo de búsquedas no eran precisamente aquellas de las que yo más esperaba. Así que pensé en una página cuyo contenido me diera algo que encontrar con los buscadores.

Pensé en la típica página de "acerca de nosotros"

(Continuará)

Multimarcas del Black Hat SEO (2)

En el post anterior encontramos un sitio de venta de medicamentos que había sido promocionado mediante técnicas de Black Hat SEO y, mirando un poco, comprobamos que la web hacía uso de un software personalizable mediante "temas". Además, se adaptaba fácilmente a distintos idiomas. Así si  ña URL de una imagen haía alusión al idioma francés al incluir la cadena "fr", si ésta era sustituida por "es" se obtenía la correspondiente versión en español:

Lo cual tampoco es que sea síntoma de nada malo o irregular. Sólo una señal de cómo se hacen las cosas. Pero retomemos la historia donde la dejamos la vez anterior. Ya sabemos que el software utilizado por esta web, muchos de cuyos productos estrellas son precisamente medicamentos para trastornos sexuales,  tiene un tema llamado "05_Two_Sexy_Girls". ¿Y cómo se llamarán los demás?

Para esta tarea utilicé una de mis herramientas favoritas: Robtex. Tras introducir en su buscador el nombre del dominio que estaba estudiando (dominio que no nombraré, no sea que le sirva de algo para posicionarse en buscadores) y pulsar la tecla ENTER, obtuve el conjunto de datos al que estoy acostumbrado y que incluye, entre otras cosas, otros nombres de equipos que comparten la misma dirección IP:

Curioso. Varios sitios web cuyos nombres parecen apuntar a eso de la venta (o quizá "venta") de fármacos y que comparten IP. Basta con irlos visitando (eso sí, con precauciones por si acaso) y analizando las URLs de algunas imágenes para encontrar más cosas llamativas. Como ésta:

... que  nos da otro nombre de plantilla: "01_Blue_Doctor". O "03_Sky_Pharmacy":

Otra herramienta que permite localizar dominios y servidores a partir de una IP es nuestro amigo Bing. Probando la IP del dominio inicial aparecían algunos nuevos, pero todos utilizaban uno de los temas anteriores. Pero uno de los servidores revelados por Robtex respondía a dos IPs. Y puestos a probar la segunda...

Otra nueva página con un nuevo tema:

Y es fácil comprobar si  todos estos dominios disponen de los temas mostrados aquí. Las combinaciones entre sitios web y URLs de imagen dan bastante juego:

Son ya tres los temas alternativos al de las dos chicas con bata de doctora y mirada aviesa. Cuatro en total. Que cada cual decida el que más le gusta. 

Pero posiblemente sean bastantes más. Se me ocurren al menos un par de trucos para seguir encontrándolos.

(Continuará)

Multimarcas del Black Hat SEO (1)

Dos Chicas Sexy

Quien entiende algo de electrodomésticos sabe que, aunque existan muchas marcas, sólo hay un puñado de fabricantes. Por un lado, porque hay quienes crean productos para que otros les pongan una pegatina y los revindiquen como suyos. Y, por otro, porque las compañías saben que el potencial cliente va a comparar aparatos de unas cuantas marcas para al final seleccionar uno. En este juego, ser propietario de más de una marca sería el equivalente a comprar muchos boletos para la lotería.

En Internet a veces pasa lo mismo. Buscando cosas relacionadas con eso del Black Hat SEO encontré hace poco algo que me llamó la atención.

Su comportamiento no era del todo infrecuente en este tipo de situaciones. Si se visitaba directamente la URL, la página era de lo más normal. Pero si se hacía clic sobre el enlace del resultado, uno era redirigido a una página con el aspecto de la típica página de venta "raruna" (aunque sólo fuera por la forma en que llegué a ella) de medicamentos:

La verdad es que las dos chicas te miran con una expresión que podría considerarse... sugerente.

Si se analiza el contenido de la página, puede observarse que casi toda ella está hecha a base de imágenes. Y sus URLs son llamativas:

Por un lado, se hace referencia a un directorio llamado "templates". "Plantillas". Y eso parece hacer referencia a que el aspecto de la página web de la "tienda" es personalizable. Algo habitual en casi cualquier campo: si haces un producto procuras que pueda ser utilizado por distintas personas y para distintos públicos e idiomas.

En este caso, además, la plantilla se llama "05_Two_Sexy_Girls". Lo del "05" hace pensar en que hay más plantillas. Lo de las chicas sexy, ya se imaginará cada cual por qué lo dicen.

Comprobado que a esta gente no le falta cierto sentido del humor y la ironía a la hora de crear sus páginas, ahora me surgía una duda: ¿Qué otros temas, aparte de éste de las dos chicas, tienen para sus sitios?

Me puse a echar un vistazo. Al fin y al cabo... ¿qué puede salir mal en una historia que empieza como ésta?

(Continuará)

Medicinas para levantarle el ánimo a tu aplicación de código abierto (2)

Si la última vez hablábamos de SourceForge, hoy es turno de mirar a ver qué hay en Bitbucket. El primer paso, como siempre, es preguntar

Los primeros resultados se corresponden con notificaciones de problemas (issues). Y, como pueden hacerse de forma anónima... ¿para qué van a utilizar cuenta alguna?

Como puede observarse, Bitbucket ha procesado el mensajes de modo que el usuario no pueda introducir etiquetas HTML de forma arbitraria. Supongo que, entre otras cosas, para evitar que les inyecten código JavaScript, IFRAMES maliciosos o cosas por el estilo en la página. Pero el autor de esta fechoría tenía que intentarlo.

Otros aprovechan la wiki, mucho más flexible, con posibilidad de crear muchas páginas, insertar imágenes y... ¡enlaces! Lo único malo es que necesitan registrar una cuenta, como la de la siguiente imagen que me recuerda a cierto muñeco diabólico:

Lo de crear cuentas no es tan difícil. Existen programas que hacen ese tipo de cosas de forma automática. Y, por otro lado, por lo general no se molestan en poner ningún dato en ellas

Y suelen usarse para crear uno o dos proyectos en los que muchas veces no llega a subirse ningún archivo. Para esta gente es mejor tener muchas cuentas con pocos proyectos por cada una, de modo que si les eliminan una cuenta la pérdida de trabajo sea poca.

Bitbucket ofrece a sus usuarios también un servicio de CDN para que puedan alojar sus contenidos y descargas de ficheros. Otro sitio donde colocar cosas y que también aparece reflejado en los resultados de los buscadores:

Y, claro, una vez que crean algo así, tienen que promocionarlo, de modo que no faltan enlaces que apunten aquí:

Eso sí, todos muy parecidos. Tanto que si no se le dice a Google que muestre todos los resultados, independientemente de si son muy parecidos o no, el número de ellos desciende a sólo 37.

Recuerdo aquí lo que comentaba el otro día: CUIDADO CON LAS PÁGINAS QUE VISITAS. Y más aún si se asocian con métodos raros de promoción. En este caso, la pinta es ésta:

Parece una tienda online de medicamentos pero en realidad no lo es. Más bien es lo que suelo llamar un "escaparate". No hay prácticamente texto. Casi todo son imágenes y si haces clic sobre cualquiera de ellas terminarás visitando una tienda que, aunque tenga un aspecto parecido, esta vez sí, es operativa. Si legal o no o  si te envían después lo que compres y pagues... eso es otra historia.

La página escaparate es, por otro lado, bastante configurable. Por ejemplo, la imagen de la parte superior contiene texto en francés y su URL tiene una forma del tipo (no voy a poner su dirección exacta ni enlaces a ella, no sea que terminen sirviendo para promocionar sus resultados):

http://dominio_del_black_seo.example.com/pict/fr/head.png

Si cambias la "fr" por "us", el texto aparecerá en inglés. Si se elige "sp", se tendrá en español...

Finalmente, hay quien sí sube ficheros a sus proyectos, aunque no sean precisamente programas

Creando así su espacio de publicidad dentro del repositorio de software libre.