Loborojo.net

Lobo Rojo.net fue un servidor de dominios de la Asociación Civil Mexicana con nombre Ojos Alerta AC, que es una Razón social que da alojamiento web gratuito a varias comunidades y ONG, pueden visitar el sitio en http://www.ojosalerta.org

Aclaración 1:

En mayo del 2010 Hemos sido notificados de intentos de intrusión a Loborojo.net, usando el parámetro de puerto 4643.  Los intentos de entrada a este dominio se deben a que se ha puesto el enlace en un blog diciendo fuera de contexto que el puerto 4643 en loborojo.net no tiene certificado de seguridad válido, citando de manera errónea el contenido de un sitio de soporte técnico (sobre otro dominio), acción realizada de manera extraña por Marco Antonio Arenas Chipola, una persona expulsada de nuestra asociación civil por insultos a mujeres, problemas para diferenciar la realidad de sus fantasías y reclutador para sectas y del que mas adelante descubrimos un quebranto de 18000 pesos realizados contra nosotros (además de estafas contra su maestro de artes marciales). Puede encontrarse mas información al respecto en nuestros sitios web (http://www.ojosalerta.org  o en  http://www.chipola.info ).

Además hemos encontrado menciones en otros sitios del ladrón mencionado, referencias a problemas en https, pero lo hace dando a entender que nosotros necesitamos dicho protocolo, y que nuestros sitios no lo usan. Es importante mencionar que HTTPS es un protocolo de comunicación segura que no todas las personas morales utilizan. Por ejemplo, si dan alertas de error entidades como BANAMEX y UNAM debido a que NO necesitan los https, ( BANAMEX https://banamex.com, la UNAM (https://unam.mx y https://www.unam.mx), no hay razón para que una asociacion como nosotros use https. Además hay limitaciones técnicas que mencionamos en este documento.

Aclaración 2:

En diciembre del 2010 la misma persona dijo que este sitio está relacionado con phising, siendo falsas las dos historias. Puede verificarse que no hay Phising revisando los siguientes sistemas en línea, mismos que demuestran que este sitio no ha estado relacionado con malware ni con phising.

• http://google.com/safebrowsing/diagnostic?site=loborojo.net
• http://aruljohn.com/phishing.php ( con apis de phishtank.com )
• http://us.trendmicro.com/us/trendwatch/current-threat-activity/malicious-url-info/index.html

Los puntos centrales de lo que menciona el blog del ladrón Marco Antonio Arenas Chipola, son el puerto 4643 y el SSL. Son comentarios que solo demuestran su mala fe, por razones simples.

• El puerto 4643 es usado por algunos sitios, no todos. Si nosotros no respondemos al 4643 es porque no lo usamos.
• El mecanismo que nosotros usamos, certificados intermedios, no indica que los datos (que no son sensitivos) vayan en texto plano. Van encriptados por nuestros propios certificados, no por Globalsign o similares, por el punto que sigue
• Nosotros utilizamos para algunos sitios aplicaciones xml-rpc, en que damos a cada usuario su propio certificado selfsigned (mismo que se incluye en la autentificación de header en apache y php), usar certificados SSL nos complica bastante el usar certificados individuales que revocamos cuando alguno de los usuarios deja de cumplir con las condiciones de servicio.
• Los certificados SSL existen en una gran variedad de formas, tamaño y colores.. y precios. Si nosotros queremos a la vez validar un dominio www.dominio.com y dominio.com (sin www), debemos comprar un certificado WILDCARD, con valor promedio de 49 USD anuales, por dominio.
• Es conocido que el navegador Firefox en versiones 3.0.x tiene problemas con certificados SSL. Así que Derivados de Globalsign como Alpha SSL , y FMNT dan problemas en Firefox 3.0.x que no dan en 2.x ni en chrome.
• Link de problemas de firefox con AlphaSSL no Wildcard : Link
• Link del FMNT , autoridad española: Link
• El problema específico de Firefox parece derivarse del uso de un protocolo de estados OCSP bajo Firefox 3.0 (editar - preferencias - cifrado) en lugar de validar todos los certificados usando un servidor OCSP.
• La única forma que Firefox no de ciertos problemas, es usando certificados wildcard bajo los OCSP que admite, como thawte, de 49 USD al año. Incluso Bancomer y banamex tienen el certificado por www y no por wildcard. Otra alternativa es hacer un chaining de Certificados para impedir suplantación, instalando dos certificados, uno conocido como certificado intermedio, pero el proceso es demasiado largo para explicarlo aquí, aunque en resumen se trata de instalar un segundo certificado actualizado de un server, mas el propio, en cada servidor del dominio (bajo round robbin de 3 servers, por ejemplo habría que instalar seis certificados ), hay un norte en estos links:
• http://www.whichssl.com/intermediate_certificates2.html
• http://www.alphassl.com/support/install-root-certificate.html
• https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657
• Nos encontramos entonces con comentarios fuera de contexto de alguien que usa un navegador que de por si tiene serios problemas de resolución de SSL, para opinar de la estabilidad de un proceso o servidor que NO NECESITA SSL.

La situación se resume en que estamos hablando de una infraestructura que no necesitamos y que esta persona desconoce completamente, haciendo mezclas que indican su falta de experiencia y mala fe. Son tecnologías diferentes, para mercados diferentes. Como muchas empresas, las operaciones electrónicas las realizamos a través de Paypal, por lo mismo es su certificado SSL, y SU SITIO, el que usamos.....Por otras razones tenemos certificados selfsigned, que son los únicos que necesitamos y que a diferencia de los SSL de dominio, nos permiten identificar a varios usuarios en la misma URL en proyectos hechos a la medida.. Antes de entrar en detalles de los errores de la supuesta acusación, queremos dejar en claro que;

Marco Antonio Arenas Chipola NO pertenece a ninguna razón social relacionada con nosotros, nunca hizo sitios web para personas relacionadas con nosotros. Agradeceremos se avise a la policía en caso de que trate de vender servicios relacionados con Ojos Alerta AC o el servidor loborojo.net,   ya que Ojos Alerta AC NO VENDE NINGUN TIPO DE PRODUCTOS O SERVICIOS, aunque está autorizado por su objeto social, y a que repetimos, Marco Antonio Arenas Chipola, fué expulsado de la misma en asamblea en base a estatutos, siendo a su vez permitido por sentido comun y por lo establecido en el código Civil del Distrito Federal, ya que Marco Antonio Arenas empezaba a   insultar a mujeres de manera repetida, ser reclutador para sectas y además desde Noviembre del 2009 ha realizado hostigamiento a personas relacionadas con Nuestra Asociación Civil, sin tomar en cuenta insultos por Internet contra diversas personas.

En caso que este sujeto trate de venderle algun servicio, o se haga pasar por miembro de alguna empresa reelacionado con Ojos Alerta AC, está mintiendo. Por favor llame a la policía y use como referencia la   averiguación   CUH 6 T2 - 01648 - 08 -10.

La declaración de que el puerto 4643 no tiene certificado de seguridad, está fuera de contexto. Es igual de necesario que las cartillas de vacunación de todas las jirafas verdes.

Para fines prácticos, el mensaje reportado de "el servidor contiene un certificado emitido por una entidad que no es de confianza" que segun el muestra que no hay un certificado, lo que esta diciendo es que ese dominio o servidor usa un certificado self signed.

Hay tres partes:

1 ) Explicación sobre la declaración técnica del supuesto error.

2 ) Breve explicación de que es un SSL en el medio de dominios

3 ) Ejemplos de Universidades y Bancos que no tienen certificado de seguridad válido.

Por partes:

        1 ) Explicación sobre la declaración técnica del supuesto error.

a)      Normalmente Los certificados de seguridad amparados por una CA solamente se usan para transacciones de comercio electrónico o que requieran SSL, mismas que NUNCA se realizaron en el servidor loborojo.

b)      No manejamos información confidencial, ni Datos de clientes via Web. Somos una organización sin fines de lucro, asi que no requerimos implementar SSL por no manejar datos confidenciales.

c)      No hay referencias a https de nuestros servidores o dominios. Si bancomer y banamex tienen “errores de https” por carecer de certificados, pedirlo a nosotros es lo mismo que pedirle a un ginecólogo estudios de geología

d)      Pedirles a nuestros dominios donados o a clientes que pongan una copia de su sitio bajo SSL, sería estúpido, y costoso (49 por wiildcard , 25 USD por SUBDOMINIO, o en el mejor de los casos 9 USD por dominio anual pero que dan falla en Firefox)

e)      Los dominios que tienen SSL necesitan una dirección IPv4 FIJA. Nosotros por cuestiones de diseño, no podemos asignar una direccion ip unica al servidor. Los sitios que tienen SSL pertenecen a un NS del servidor X, pero ese Servidor X no tiene SSL. Es decir, un dominio con SSL rara vez será un servidor. Los servidores se firman con tecnología SSL self signed.

f)        Ojo: Una dirección ip fija tiene un costo de 2 USD a 4 USD mensuales dependiendo del servidor, y requieren de una direccion ipv4 fija, que es un RECURSO LIMITADO. Es imposible hacerlo en todos nuestros dominios porque seríamos penalizados por el data center por el uso excesivo de direcciones ip fijas.

g)      Manejamos unos 800 dominios propios. Considerando que sean 400 reales y 400 redirecciones, y que el datacenter estuviera dispuesto a darnos 400 Ips, nuestro costo mensual sería de 400 USD mensuales.

h)      Debido a las limitaciones de virtual name servers en relación con SSL, deberíamos usar una dirección Ip por dominio. Una direccion ip por dominio, significa un respaldo por dominio. Nosotros tenemos implementadas aplicaciones multidominios, desde Drupal a CMS que hemos desarrollado nosotros mismos. Tecnicamente es ridiculo tener una instalacion por dominio (cuando hablamos de mas de 20), y usar SSL lo haría imposible por la limitacion de un dominio por SSL.

i)        Por razones de performance, los servidores devuelven los sitios estáticos, como los de un servidor, a través de mecanismos de caché. Es decir, se carga por default bajo HTTP y no HTTPS. Los sitios estáticos por cuestiones de rendimiento, deberíamos pasarlos a dinámicos, y desperdiciar nuestro caché.

j)        Usando certificados ssl, se complica el uso de nuestras soluciones a la medida por headers y xml rpc.

k)       Lobo Rojo es Desde Noviembre del 2008, un Cluster , no un servidor. Cada Direccion Ip de cada Cluster / subdominio necesitaría su propio Certificado de 25 USD. Mejor usamos Self Signed.

l)        Los dominios que usan servicios de correos distribuidos, no pueden tener SSL. Si usas un sistema de correo distribuido, las cuentas de correo daran un error SSL al configurar. Es decir, usar SSL en dominios de los que uses cuentas de correo distribuidas o listas de correo, no tiene razón de ser.

m)    La razón de usar Cluster y Round Robbin, es por balanceo de cargas sobre servidores (lo que provoca IP variables segun el servidor apache/mysql que sirva un request).

n)      Los puertos pueden ser redirigidos para detectar tráfico inusual.

o)      El puerto 4643 es usado en sistemas que usan el panel de control Virtuozzo, mismo que dejamos de usar en el año 2008.http://kb.parallels.com/1070

p)      El puerto 4643 puede redirigirse a Un servidor diferente, normalmente el que controla el Cluster y nunca interactua con el server directamente. Ejemplo:  http://www.tektonic.net/forum/showthread.php?t=1373

q)      En caso de estar habilitado el puerto 4643, los certificados de seguridad sobre el por lo general son  IMPOSIBLES O DIFICILES DE CAMBIAR. Se usa el certificado que proporciona el proveedor de Virtuozzo (https://www.solarvps.com/forums/index.php?topic=520.0   y    http://www.hostforweb.com/vps/faq.php   ) , lo cual indica que un certificado SSL en esas circunstancias suele ser diferente a uno mismo, no selfsigned, y depende del proveedor final y no del admin del servidor.

r)       Es posible, bajo ciertas circunstancias, en ciertas versiones del software CPANEL,   QUE NOSOTROS NO USAMOS EN LOBOROJO, generar un   certificado dummy, y si estamos hablando de un cluster, se complica cada vez que lo adaptamos las direcciones ip. Si nuestros sitios usan Balanceo de cargas y Round Robbin (http://en.wikipedia.org/wiki/Round_robin_DNS ) , no vamos a crear o comprar un certificado de 25 USD QUE NOSOTROS NO PUBLICITAMOS Y QUE NO NECESITAMOS cada vez que balanceemos las cargas.   (http://www.modssl.org/docs/2.8/ssl_faq.html#ToC24   )

s)       Un Dominio que accese al puerto 4643 No necesita Certificado de seguridad   personalizado, primero por no depender de nosotros la elección de ese puerto y segundo por no usarse para transacciones de comercio electrónico ese puerto.

t)        El SITIO web es una cosa y el servidor Otra.

u)      Los puertos Web se accesan a través de un navegador que apunta a un SUBDIRECTORIO o a un DOMINIO.

v)      loborojo.net es un SITIO que por normatividad SIEMPRE se ha encontrado en lugar diferente a los DNS del servidor.   Es decir Sus dns y ns apuntan a lugares diferentes, porque los dns apuntan a un NS de otro servidor.

w)    Loborojo.net fue usado para SERVIDOR DE DNS, (ns1.loborojo.net, ns2.loborojo.net ), pero nunca ha estado EL SITIO en servidores bajo virtuozzo. Por lo mismo, es fisicamente IMPOSIBLE que un SITIO WEB bajo HSPHERE, permita una entrada o tenga habilitado el puerto 4643 de Virtuozzo.

La descripción del error no indica bajo QUE browser se hizo la supuesta revisión. Por ejemplo, Internet Explorer 6.0 tiene varios problemas para reconocer ciertos SSL (alphassl por ejemplo), así que le dato no es comprobable.

Marco Antonio Arenas Chipola NUNCA estuvo relacionado con acceso a nuestra infraestructura ni datos de acceso o propiedad a dominios alojados. Por lo mismo, Siempre ha desconocido completamente nuestra infraestructura.

El conocimiento técnico en cuestión de servidores y dominios web de Marco Antonio Arenas es igual a cero.

En pocas palabras,   La declaración de que el puerto 4643 no tiene certificado de seguridad, está fuera de contexto. Es igual de necesario que las cartillas de vacunación de todas las jirafas verdes.

El desconocimiento de tecnología por parte de Marco Antonio Arenas Chipola  , solo es superada por sus alucinaciones e incapacidad de hacer algo útil.

Alfonso Orozco Aguilar
Director General
Ojos Alerta AC