Mi blog personal sobre investigación y divulgación
Tag Archives: wordpress
Dedicado a los hackers (los de pacotilla)



Hoy no puedo más que escribir un post de esos que se escriben bajo enfado. Un enfado causado por el hartazgo de que algunos a los que llamaremos «hackers» (aunque yo no creo que merezcan que les llamemos así) se dediquen a atacar blogs como este, de una persona cualquiera que solo lo escribe por una serie de razones que ya comenté aquí. Y te preguntarás por qué un hacker quiere atacar un blog como este en vez de fijarse unos objetivos más altos. Pues resulta que generalmente no se trata de nada personal, y ni siquiera sabrán quién soy o lo que publico, sino que tratan de entrar al azar en muchísimos blogs hasta que lo consiguen y entonces hacen sus fechorías.

Phising

Desde que publico en blogs he visto cómo periódicamente caen por culpa de estos hackers de pacotilla. Buscan vulnerabilidades en el gestor de contenidos (en este caso WordPress, pero lo he visto también con Joomla!), puertas traseras debidas a bugs en los plugins que estén instalados o en las plantillas que hacen que veas el blog como lo ves y no con otra apariencia. Lo hacen de manera aleatoria, escaneando la web en busca de páginas potencialmente hackeables y luego intentan entrar como si fuesen el administrador de la página. Tengo instalado un plugin que me avisa cuando alguien intenta acceder al panel de administrador de este blog, y en los últimos días me han llegado muchísimos mails con avisos del intento de entrada desde diferentes IPs. Están intentando entrar claramente por el método llamado «método de la fuerza bruta», esto es, probando al azar combinaciones de nombre de usuario y contraseña hasta que lo consigan.

¿Y cuál es la fechoría que pueden hacer? Si fuera una cosa personal lo típico es que destrocen la web, dejen algún mensaje, o cualquier cosa de las que todos hemos visto en prensa cuando hackean webs de partidos políticos, instituciones o similares. Sin embargo, en el caso de blogs como este que no tienen ningún interés para ellos, su objetivo es instalar scripts maliciosos para hacer phising. Esto es lo que hicieron con este mismo blog hace pocos meses, lo que me obligó a reinstalarlo cambiándole apariencia y un montón de cosas más, y seguramente es lo que están intentando hacer otra vez.

El phising consiste en algo así como suplantar la identidad de otra página web, web en la que tendrías que introducir tus datos, por ejemplo, los datos de tu tarjeta de crédito, passwords u otra información importante a través de la que pudieran robarte datos. Obviamente, normalmente son webs de bancos o, como ocurrió en mi caso, la web de Paypal. Cuando consiguen entrar como administrador en el blog e instalar lo que necesitan, los timadores redireccionan a los timados a lo que realmente es tu página, y les roban su información (que terminará en un robo de dinero) a través de tu página. Así de simple. Todo su esfuerzo en hacker este blog, como con muchísimos otros, es tratar de robar dinero a los demás.

El hecho de que hackeen tu web para robar a gente duele. Yo estuve la vez anterior rompiéndome la cabeza para arreglarlo rápido, no porque quisiera que mi blog volviera a estar online enseguida, sino porque solo pensar que podían estar robando a gente a través de mi página me ponía los pelos de punta. Ahora me llega un aviso de mi proveedor de hosting avisándome, como siempre, de que si no soluciono este problema me cancelarán el servicio. Avisan, por supuesto, de que hay que tener todos los scripts actualizados, todo al día para que no se puedan colar a través de posibles vulnerabilidades, y además no instalar malware (vamos, que no seas tú mismo el que está intentando hacer la trastada). Obviamente yo no instalo nada que pueda dañar a los visitantes de mi blog. Tampoco quiero robarles en su cuenta corriente, ni me interesan sus passwords. Ni yo, ni la gran mayoría de los bloggers que sufren este problema.

Pues bien, entras en el ftp, en el panel de administración y en todo lo que puedes tocar, y no encuentras nada o borras lo que encuentres. Tienes todo actualizado. Y siguen llegando los ataques. ¿Qué haces? ¿Perder todo tu tiempo en tratar de que unos ladrones no te utilicen? ¿Cómo puedes llegar a convencer al proveedor de hosting de que no has hecho nada malo, de que lo estás intentando arreglar y ya no se te ocurre nada más que hacer, y de que esto ocurre al azar y me tocó a mí como le puede tocar a cualquiera? Yo ya no lo sé.

Todo esto lo escribo tanto para los visitantes habituales que pueden encontrarse que el blog no está online, como para los demás bloggers que busquen información sobre este problema. Si los hackers de pacotilla (más bien ladrones, porque los hackers de verdad son otra cosa) siguen haciendo de las suyas, tendré que desistir y dejar de publicar en el blog. Yo tengo ciertos conocimientos sobre el tema, básicamente porque siempre me ha gustado el tema de la seguridad informática y el tema hacker, y sin embargo ya no se me ocurre nada más que hacer que no me lleve muchísimo tiempo. Señores «hackers»: si siguen fastidiando, la divulgación de la ciencia, de truquillos de MATLAB, los comentarios de noticias sobre ciencia y todo esto lo van a tener que hacer ustedes porque yo lo tendré que dejar. Muchas gracias por contribuir así al intercambio de conocimiento.

Si lees esto y eres uno de esos hackers de pacotilla que busca blogs con vulnerabilidades, aprende a ser un hacker de verdad y haz algo productivo.


Representando datos con Javascript
Desde hace tiempo tengo curiosidad por la representación de datos en páginas web. No me refiero a mostrar un fichero gráfico, sino algo más interactivo. Por ejemplo, gráficos en los que se pueda hacer zoom, o que muestren los valores cuando pasamos el ratón por encima.

Investigando un poco encontré unas cuantas librerías de código abierto para hacer esto, pero la que más me gustó es Dygraphs. Esta es una librería en Javascript que es utilizada por Google, Eutelsat, NOAA y muchos más. Muchos aficionados a la meteorología también la usan para publicar los datos de sus estaciones meteorológicas en una web. Por lo que he podido leer hasta ahora es muy flexible, permitiendo cambiar muchas cosas de las gráficas hasta dejarlas completamente a nuestro gusto. Personalmente las que resultan de usar Dygraphs me parecen además las gráficas más atractivas visualmente de entre todas las que he visto en la web.

Entre ayer y hoy estuve trasteando un poco con esta librería y aquí muestro mi primera gráfica, todavía bastante cutre pero que da una idea de lo más básico que se puede hacer y algunas funcionalidades interesantes. Los datos representados son las concentraciones de PM10 diarias en la estación de El Río (Tenerife) entre los días 1 de enero y 31 de marzo de 2014. Los datos son de la Red de Vigilancia y Calidad del Aire del Gobierno de Canarias, que ofrece datos en varios formatos. Uno de esos formatos es el .csv y de uno de esos .csv extraje la información.

Hay varias maneras de entrar los datos en Dygraphs. Una de ellas es simplemente cargar un fichero .cvs desde la web. Otra manera es incluir los datos en el script, como en el primer script de este tutorial. En este caso, como no son muchos datos, yo lo hice de la última manera. Todavía no he jugado con la configuración de los ejes, sus etiquetas o los colores de las gráficas, así que como dije antes mi gráfica todavía es muy primitiva. 

Como puedes comprobar, si pasas el cursor por encima de los datos se puede ver, para cada punto, su valor (fecha y concentración de PM10 y microgramo/metro cúbico). Si marcas un área haciendo click con el ratón puedes hacer zoom en  cualquier zona que quieras, y si haces doble click en cualquier punto de la gráfica vuelves a la vista original. Esto me parece muy práctico.

Para ejecutar un código en Javascript en WordPress, que es el gestor de contenidos que uso para este  blog, hay que hacer alguna cosilla que no es necesaria en un .html de los de toda la vida. Primero tienes que subir el código .js (en este caso, dygraph-combined.js que puedes encontrar aquí) en un directorio de tu web. Yo entré por FTP y creé un nuevo directorio llamado "scripts", y ahí copié el dygraph-combined.js. Luego tienes que incluir el script que llama a dygraph-combined.js en el post o página donde quieras añadir la gráfica. Para eso tienes que usar el modo Texto en el editor de WordPress y copiar el código. Si así no puedes ver la página una vez publicada tu entrada, instala el plugin llamado Text Control y en el post o página y cuestión indica "Ningún formato" y "Ningún formato de caracteres". Ahora se supone que debería funcionar. Ojo, a mí nunca me funcionó ver la gráfica haciendo vista previa de este post. Tuve que publicarlo para poder verla (no sé si en cualquier instalación de WordPress ocurrirá igual).

Como dije antes, el código que usé es una modificación del primero que aparece en el tutorial de Dygraphs.

Lógicamente, debes escribir la dirección de tu web y el directorio donde tengas el script en el campo src="dygraph-combined.js". Por ejemplo, src="http://www.miweb.com/scripts/dygraph-combined.js".

Ahora solo queda meterse más de lleno con Dygraphs, porque las posibilidades que ofrece son muchísimas.