Lo hice y lo entendí

El blog de Vicente Navarro
15 mar

¡Qué día el de aquella semana!

Y menos mal que el hosting ya no era casero, porque el pasado lunes día 10 de Marzo ocurrió esto:

Pico visitas entrada “Hosting casero HOWTO”

Nota: Algunos de vosotros que estéis leyendo esto con un agregador de noticias web no podréis ver la imagen de más arrriba por no mandar el referer de este dominio. Si queréis verla, por favor, ¡pasaros por la página!

¡Nada más y nada menos que 22236 páginas mostradas! Y es que la entrada Hosting casero HOWTO salió en Barrrapunto:

Barrapunto: Hosting casero HOWTO

de ahí saltó a Menéame:

Menéame: [How-to] Cómo montar y mantener un Hosting casero

y a BandaAncha.st:

BandaAncha.st: Hosting casero HOWTO

así como a muchos otros blogs. Además, mucha gente guardó el enlace en sus marcadores de del.icio.us y ¡llegó a aparecer en la portada de del.icio.us!.

Para ver la magnitud de esta avalancha de visitas, sólo hay que ver que el número de páginas mostradas el día siguiente (8764) se acerca mucho al máximo número de visitas que había tenido en un único día, con motivo de la entrada La resolución 1366×768.

Al respecto, no puedo hacer otra cosa que agradecer enormemente todas las visitas y todos los comentarios positivos que he recibido sobre la entrada. Esto es lo que de verdad paga con creces todas las horas invertidas en escribir la entrada.

Y para no dejar esta entrada sin traer algún tema técnico, había pensado en hablar sobre la advertencia que me hizo un “pobrecito hablador” en la discusión de Barrapunto sobre que me había dejado una contraseña a la vista. Una contraseña que, según sus propias palabras:

por muy codificada que esté es como si estuviese en claro

Y es que, puesto que las pruebas las hice en mi propio sistema, las contraseñas las iba cambiando antes de ponerlas en la entrada, pero, a pesar del cuidado que llevé, cometí el garrafal error de dejarme una ahí a la vista de cualquiera. Además una que podía ser usada fácilmente, así que estoy muy agradecido al “pobrecito hablador” que me advirtió.

Bueno, el caso es que esa contraseña se cambió y también se cambió la que aparecía en la entrada “codificada pero en claro”, pero sigue estando ahí. En vez de contarlo directamente, he pensado que puede ser más interesante el ejercicio de dejarlo en este punto a ver quién es el primero que lo encuentra y lo explica en los comentarios.

Las preguntas que propongo son:

  • ¿A qué se refería el “pobrecito hablador”?
  • ¿Cuál es la contraseña? (Cuando la encuentres sabrás que es esa)
  • ¿Cómo descodificar esa contraseña? ¿Cómo hacerlo con un sólo comando en la shell de cualquier Linux moderno?

Yo actualizaré esta misma entrada tan pronto como pueda una vez que alguien dé la respuesta correcta o en unos días si nadie la encuentra o a si a nadie le motiva buscarla.

Si te interesa seguir las respuestas para descubrir el “misterio”, puedes usar el feed RSS de los comentarios de la entrada, como siempre. Además, hace unos días instalé el plugin Subscribe to Comment, así que puedes suscribirte para que te manden por e-mail los nuevos comentarios de una entrada, si estás muy interesado.

Por cierto, este mini-desafío es prácticamente trivial. Si te interesa el tema y quieres retos de seguridad “para hombres de verdad”, suscríbete a RaDaJo, un blog que trata temas de seguridad informática, en el que de vez en cuando plantean retos como estos:

Actualización 17/3/08:

Bueno, “yo” dio con la respuesta exacta 6 horas después de publicar la entrada. ¡Muchas gracias a todos los que habéis interesado en este “mini-reto”!

La línea que se me había despistado era esta:

SENDING:   Authorization: Basic dmluYWpvOmxhZW5jb250cmFzdGU6LSk=

perteneciente a la salida del comando “ddclient -v“.

Ese método de autentificación es el Basic access authentication, descrito inicialmente en el RFC 1945 (HTTP 1.0), sección 11.1 Basic Authentication Scheme. Por tanto, la secuencia alfanumérica que aparece tras “Authorization: Basic” es la pareja usuario/contraseña codificada en Base64. No se codifica de esa forma para esconder la contraseña, que con este codificado podemos considerar que es como si estuviera en texto plano, sino para evitar problemas con símbolos extraños en el nombre del usuario o en la contraseña.

Para decodificar esa cadena en “Base64″ en la shell de Linux, podemos usar el comando que propone “yo” :

$ perl -MMIME::Base64 -e 'print decode_base64(dmluYWpvOmxhZW5jb250cmFzdGU6LSk)'
vinajo:laencontraste:-)

Sin embargo, cuando propuse la pregunta, yo estaba pensando en el siguiente comando basado en openssl:

$ echo 'dmluYWpvOmxhZW5jb250cmFzdGU6LSk=' | openssl base64 -d
vinajo:laencontraste:-)

Y, por cierto, también puede ser buena idea poner “ssl=yes” en la configuración del ddclient para enviar las actualizaciones encriptadas con SSL, como podemos leer en Using ddclient With DynDNS Services. Aunque la salida del “ddclient -v” seguirá mostrando la cadena con la autentificación básica, ésta no circulará así por Internet, sino que irá cifrada. Sin embargo, para eso necesitamos una versión del ddclient >= 3.7.0 y la de Debian Etch es la 3.6.7. En Debian Lenny/Testing la versión incluida de ddclient ya soporta SSL.

:wq

Entradas relacionadas

18 Comentarios a “¡Qué día el de aquella semana!”

  • yo dice:

    Pues si no me equivoco se refiere a la contraseña de ddclient, pero no me digas como desencriptarla

  • Bytecoders dice:

    La contraseña me da a mí que podría ser esta dmluYWpvOmxhZW5jb250cmFzdGU6LSk, como desencriptarla veo que ya se me escapa. :(

  • yo dice:

    Bueno, me he peleado un poco con el asunto y ya esta conseguido. (10 minutillos tirando de google) Como me decia mi intuicion era la identificacion de ddclient con dyndns.

    vinajo:laencontraste:-)

    La cosa es simple, es una peticion http, la cual no encripta ni hace nada, simplemente codifica en base64 el texto, parece que no se entiende pero ahi esta todo bien carito.

    perl -MMIME::Base64 -e 'print decode_base64(dmluYWpvOmxhZW5jb250cmFzdGU6LSk)'

    Para sacarlo con perl, esto me ha llevado un ratito mas en google, que perl ni idea.

  • AlBundy dice:

    Hola SuperCoco:

    ¿ya hemos pasado de redactar artículos a proponer retos? Por mí perfecto. X-D

    Que conste que estoy malito con constipado y fiebre, así que no estoy en plena forma.
    Me tiraré a la piscina 2 veces:

    El ddclient en su log muestra cadenas de envío:

    SENDING: Authorization: Basic dmluYWpvOmxhZW5jb250cmFzdGU6LSk=

    No me he empollado el código fuente de ddclient, pero eso que envía como autorización básica podría ser un hash de un password.

    Por otro lado, en el pantallazo del Zyxel660HW, el password aparece “ofuscado” con asteriscos, pero podemos contar el número de asteriscos, deducir el número de caracteres del password, e iniciar un ataque “optimizado” por fuerza bruta, contra el router, al cual podemos acceder por su dirección DNS.

    PD: tu mega-reportaje sobre hosting doméstico a mí me llegó por 2 vías: subscripción RSS a vicente-navarro.com, y subscripción RSS a barrapunto.com

  • Sagman dice:

    22.236 visitas! Sin duda tu manual de howto casero es muy bueno (bueno y todas tus entradas ^^ ) y por eso tanta gente le ha gustado y lo ha visitado :) . Yo mismo he hecho varias visitas a esa entrada precísamente porque es como tener una excelente guia :) . Aunque mis pruebas no han ido más allá de poner el phpsysinfo en un dominio con un puerto diferente del 80 :) . Lo probé porque tenía ganas de hacerlo y nunca me aventuraba porque lo veía muy confuso y no lo tenía claro, pero con tu howto todas esas dudas quedaron disipadas! Sigue así :P

  • AlBundy dice:

    Otra cosa que se me olvidó en el anterior post:

    ¿ha protestado la empresa que te hospeda ahora, por el pico de visitas?

  • Hola.

    te falta poner como referer válido a bloglines.

  • nachopro dice:

    Vicente, no puedo evitar dejarte una congratulación por esta entrada.

    La verdad que hubiera agradecido muchísimo un artículo de esta calidad cuando me inicié “en el negocio”.

    Lamentablemente estoy con mucho trabajo y no tengo tiempo para mi sitio en estos meses, pero si te sirve para complementar… en mi sitio hay una entrada de como instalar Lighttpd y no morir en el intento :P

    http://nachopro.com.ar/instalar-y-configurar-lighttpd-php-mysql-en-ubuntu/

    Saludos!

  • @yo ¡Enhorabuena! ¡Has dado con la respuesta! Ya he actualizado la entrada con la respuesta. Gracias por haberlo intentado.

    @Bytecoders, @AlBundy ¡Gracias por interesaros en la pregunta! Por cierto, el usuario y la contraseña del pantallazo del Zyxel 660HW están cambiados. De eso sí que me acordé.

    @Sagman ¡Gracias!

    @Al Acantilado Lo cambiaré. ¡Gracias!

    @nachopro ¡Gracias! ¡Tu artículo es muy útil! Pero me temo que ahora ya no le podré sacar mucho provecho. ¡La próxima vez que tenga hosting casero lo haré con lighttpd!

  • albertjh dice:

    No me extrañan tantas visitas… si es que donde hay… hay

    Y aun estando de vacaciones no me puedo olvidar de la red, para que veas que este es sitio obligado de culto, y yo intentando que no se me agote la batería para escribir un poquito, aquí en un pueblo de la provincia de Lugo, llamado Viveiro pasando mis vacaciones de semana Santa.

    Espero que disfruten de las suyas al igual que yo, y volver pronto, que lo importante es volver.

    Un Saludo a tod@s y muchas felicidades Super Coco!!

  • @albertjh ¡Muchas gracias!

  • The Iniston dice:

    Esa entrada se merece todas y cada una de las visitas,es muy buena,muy bien explicada y para muchos usuarios muy util.

  • @The Iniston ¡Gracias!

  • Mr.Havelt dice:

    Me encanta tu blog me parece muy interesante ,pero al mismo tiempo me entristece darme cuenta que mi ignorancia en linux es infinita, espero poder enmendarme un poco con la ayuda de tu blog

  • @Mr.Havelt ¡Gracias!

  • cl4551f13d dice:

    Hola,

    Sí, si me apetece. Es broma.

    Sino es por “Hosting casero HOWTO” no llego a este sensacional lugar. Ud. se merece un Guau!!! Hace mucho tiempo que no daba con un lagar como el suyo. He leído cientos o miles de blogs, y hasta ahora, para mi, este es sin lugar a dudas el mejor que he visto. Y no bastando eso, ud es amable y se toma el tiempo de leer y contestar los comentarios. Eso me parece muy bien pero le quita tiempo para sus artículos. solo debería contestar los que ameritan algún tipo de retroalimentación.

    Es increíble que no reciba un numero mayor de visitas, pero no se rinda, mi blog hasta ahora inicia y lo leen pocos, pero escribiré algo sobre su blog y lo colocare en mi blogroll. Sé que otros copiaran y harán referencia a sus sitio. poco a poco aumentaran sus visitas.

    Por ahora no es más pero leeré sus demás artículos, espero que todos.

    Lo felicito, no se rinda, siga así.

  • @cl4551f13d Me alegro mucho de que te haya gustado tanto mi blog.

    Respecto a responder a los comentarios, es algo que hago cuando puedo, pero desafortunadamente, muchos se quedan sin contestar, especialmente conforme aumenta el número de entradas.

    Ánimo con tu nuevo blog, me resulta muy interesante… y ya lo he añadido a mi lector de feeds. :-)

Trackbacks y pingbacks:

Tema LHYLE09, creado por Vicente Navarro