Recuperar datos borrados de Discos duros y Memorias USB

A todos nos ha paso que hemos borrado o se nos ha borrado accidentalmente el contenido o parte del mismo de nuestra TF, Pen Drive, Disco Duro, etc. En estos casos existe una buena cantidad de herramientas en Windows, y Linux no puede estar al margen de dicha tecnología.

Vamos a utilizar una aplicación llamada photorec:

sudo aptitude install testdisk

Luego para recuperar archivos simplemente tecleamos:

sudo photorec

El programa se ejecuta desde consola, pero tiene un menu muy intuitico, y lo primero que nos pedira es que maximicemos la ventana de consola para que podamos ejecutar el programa y ver todas las lineas del menu.

Posteriormente nos pedira que le indiquemos desde que unidad queremos recuperar los datos, y nos saldra la lista de las unidades que tengamos montadas.

Luego el programa detectara los diferentes tipos de particiones bien sean FAT, EXT, etc … y seleccionaremos la correcta.

Despues tendremos que seleccionar una carpet o ruta donde el programa depositara os ficheros borrados que vaya detectando.

Por ultimo pulsando “Y” de yes, empezara el proceso.

El programa funciona de una forma escandalosa y organiza en carpetas todo lo que vaya detectando.

Yo personalmente lo probé con una memoria de 16Gb y esta comprobado su funcionamiento recuperando TODA clase de archivos sin importar su extensión.



Fuente:ubuntu.org.uy



Hasta la PROXYma.

Read more »

Aldous Huxley: Las dictaduras tecnológicas futuras (Video - 1958)

Según Huxley existen un número de fuerzas impersonales, que nos llevarían a una dirección de menos y menos libertad. Si a eso le sumamos que hay un número de dispositivos tecnológicos, acelerarían aún más la pérdida de libertad, imponiendo un control centralizado. Reportaje efectuado por Mike Wallace, el 18 de Mayo de 1958.

Read more »

Analizando paquetes de una app iPad [Ingeniería Inversa]

Hace días que no escribimos nada por estos lares, pero esta vez junto con Ferock realizamos una pequeña auditoria a una app de iPad y iPhone que recientemente fue lanzada con bombos y platillos en Honduras.

Comenzamos:

-Nos propusimos averiguar de donde sacaba la información esa app así que necesitábamos sniffear el trafico de esta y así poder ver las peticiones.

Así que utilizamos un proxy nuestro (Squid) y se lo configuramos al iPad, ya teníamos todo el trafico de nuestro iPad pasando por nuestro equipo. 

Ingresamos a nuestro proxy en nuestro caso vía SSH y utilizamos la herramienta: tshark

así: 

tshark -i eth0 -f 'dst host IPDELSERVERAPP' -w /captura2.cap

**como sacamos la ip del server?, en los logs de acceso del squid.

Que hace esa linea? nos guarda la captura de los paquetes en un archivo, en este caso llamado captura2.cap

Desarrolladores, no utilicen text-plain para autenticar usuarios en sus api o aplicaciones.

Porque? , porque puede suceder esto;

Tenemos el file captura2.cap el cual analizaremos utilizando Wireshark:

En la imagen se alcanza a ver las credenciales, que las borramos por motivos de seguridad y ya que este articulo solo esta hecho con fines educativos y no nos hacemos responsables por el uso que se le de a esta información.

Con estas credenciales se puede acceder al API de la app por lo tanto a la información que se presenta en la misma.

Read more »

Aplicando ingeniería inversa, resultado SMS vía web Tigo

Había quedado pendiente desde hace tiempo hacer este post, pero es mejor tarde que nunca y aquí comienzo.


Ingeniería inversa? se come eso? para los que no conocían el termino acá una breve explicación por cortesía de Wikipedia:

En el caso concreto del software, se conoce por ingeniería inversa a la actividad que se ocupa de descubrir cómo funciona un programa, función o característica de cuyo código fuente no se dispone, hasta el punto de poder modificar ese código o generar código propio que cumpla las mismas funciones.

Lo que nos ocupa es como llegar a saber como funciona esta aplicación de mensajes web, tenemos 2 posibilidades y en esta ocacion explicare una de ellas.

1-Es bajar el swf y utilizar un SWF Decompiler para ver el código que se utiliza en el swf, esto nos mostrara rutas de archivos a donde envía información, etc..etc..

2-Utilizar FireBug y ver las peticiones HTTP que realiza dicho archivo, y esta es la manera que les explicare.


Asumire que tienen instalado la extension Firebug en su Firefox (También se puede con Chrome sin necesidad de instalar nada), pero utilizaremos FF.


-Abrimos en FireFox la URL de http://www2.tigo.com.hn/templates/pop_msn.html

-Activamos FireBug presionando F12.

----Que comience el juego----

-Click en la pestaña de Red dentro de el panel de FireBug.

En el caso de la imagen, yo ya tenia abierto el firebug en la pestaña de red y por eso muestra toda esa info.

Ok ya tenemos el armamento listo,

Ahora miremos como se comporta la aplicacion, manos a la obra.

-Colocamos un nombre le damos aceptar.
Yo ingrese la palabra Test,

Vemos que algo cambio en el firebug, se hizo una petición GET

Click sobre la URL y luego click sobre Respuesta, vemos que nos devuelve algo como esto:

Veremos que nos muestra, 4 tabs:

Parámetros, Encabezados, Establecer, Respuesta,HTML

Es obvio que nos muestra cada uno de ellos.

De esto, mi conclusion es la siguente:

Este link cuando ingresamos el nick o nombre y damos aceptar genera una session, lo comprobamos asi:

http://interactivo.mensajito.com/interactivo555/client.php?orden=1&nick=OtroTest&foo=4473

Donde el parametro "foo" puede ser un numero Random y el parametro "orden" es la accion que efectuara el programa, en este caso crear la sesion.

 Seguimos y colocamos el numero de celular destino y le damos aceptar, en firebug nos muestra que se agrega otra petición GET, pero que nos muestra?

Aqui en la pestaña de parametros, vemos que "orden" ahora cambia a 2, y que le pasa el numero de sesión adquirido anteriormente al parametro "session".

dstphone=Telefono destino

foo= numero aleatorio

Otra vez el parámetro nick con el nombre que habíamos ingresado y listo, ahora a enviar mensajes!!??, ah pero tiene captcha?.

Hasta aquí llega el tutorial con la explicación suficiente como para lo terminen de resolver ademas que aqui esta el código de como lo resolví yo

Hasta la PROXYma.

http://hack.interactivahn.com/2011/12/programacion-codigo-para-enviar.html

Read more »

Los que se rinden nunca ganan, Catracho Judo Club

Bueno en este blog trato de tocar temas variados, pero en esta ocasión escribiré sobre un tema personal que traigo a relucir por los comentarios de una imagen en Facebook.

Hace unos 7 años que fue cuando yo comencé a entrenar Judo, un grupo de amigos me decían que entrenara con ellos, entre ellos estaba Denia, Bryan, “El Sensei”, Jarvis, llegabamos junto a un compañero de la universidad a verlos entrenar y de vez en cuando se echaban unos randoris de puro coraje, mi compañero y yo solo al ver el entrenamiento que hacían lo pensamos más de 2 veces para comenzar a entrenar con ellos, pero la diferencia entre mi compañero y yo, esque siempre fui loco (y en el Judo el que no es loco es ...) un día me decidí y comencé a entrenar con ellos.

Y así fue como comenzó una de las etapas que ahora podré contarle a mis hijos con mucho orgullo, pues es un deporte magnífico (UNESCO lo declaró  declaró el judo como el mejor deporte inicial formativo para niños y jóvenes de 4 a 21 años y como práctica habitual a cualquier edad con las limitaciones oportunas), teníamos aquel tatami mal oliente , las ganas de ser mejores cada día y nuestro coraje; entrenamos en un campo, corríamos , el famoso “buenos días”, y nuestras pesas un par de bloques de cemento, terminamos nuestro entrenamiento de la mañana, digno de las escenas de Rocky y de fondo “Eyes of the tiger” o “I got the power” luego me pasaban dejando por la U, yo solamente secaba mi sudor con una toalla me ponía desodorante y listo para estudiar.

En las tardes algunos veníamos de estudiar y otros del trabajo, comenzaba la rutina, aquello parecía un ritual, cuando paseabamos en la acera de la cuadra con los tatamis y los llevamos hasta mi casa.

Aquellos dias en los que ni reirnos podíamos, debido a los dolores musculares en el abdomen, en la sala de la casa del Bryan  mas conocido como “Samurai” o “Peloncin” y ahi aparecia Lita y nos decía “Ya no van a seguir jugando Judo?”.

Como yo era el nuevo, comencé a “volar”, desde el punto de vista positivo,  eso me ayudó a aprender a caer.

Denia con las técnicas amañadas que traía de tegus (jejeje) me lastimo los dos hombros en un mismo randori, aun asi segui hasta terminar los 4 minutos aquellos que se me hacían horas de sufrimiento y dolor, pero que al final solamente reforzaba nuestro coraje, el sensei me acomodo los hombros y no creo que se imaginen lo que es hacer lagartijas o pechadas como nosotros le decimos con los dos hombros lastimados, las cuales las hacíamos de distintos sabores de corazón, de luchador y las normales.




Sentíamos dolor? el Sensei nos decia.."El dolor es temporal, rendirse es para siempre" .

Recuerdo un día que yo tenía gripe y lo puse como pretexto para no entrenar, el Sensei me dijo “Vaya hacete 40 para que calentes y comencé a entrenar dejate de cosas”, pensé que me diria, pobre tiene gripe que no entrene, no señores..más trole me metieron durante entrene Judo no me volvio a dar gripe.

Cuando logramos entrar al gimnasio por lo menos para hacer pesas con equipo de verdad, los chavos del Judo, como nos decían los entrenadores del local se admiraban del peso que levantábamos y la explosividad con la que trabajamos, en ese mismo gimnasio en la cancha de Basketball se entrenó Denia conmigo durante algunos días(No recuerdo para que competencia), sin tatami a puro judogui.

Aquella vez en que Denia fue a Tegucigalpa a “levantar” a las judocas de haya sin mayor esfuerzo los entrenadores y directivos decidieron hacerle pruebas para ver con que tipo de sustancia se había “dopado”, ellas les decía “Entreno con un grupo de muchachos” no le creían a lo mejor y seguían con sus pruebas las cuales todas salieron negativas.

O cuando Bryan se quedó botado por una huelga en la carretera hacia tegus y se tubo que ir el solo, en Bus con la cédula del hermano pues el solamente tenía como 16 años, paso la frontera llego a los Codicader de ese año y se trajo una medalla de bronce, todos sentimos esa medalla como si era de cada uno de nosotros, por esto es que le decimos “Samurai” luego el nos conto con lujo de detalles cómo fue su faena. (Desde el cielo tu Papa, seguramente se sentía orgulloso).

Y como no recordar, a mi hermanito y el hijo del sensei en aquellos randoris que nos inspiraban, ver a aquellos niños haciendo pechadas , abdominales y luego luchar hasta que los separabamos, ellos también se entregaron al Judo y dejaron su sudor al tatami.

Estoy orgulloso de haber entrenado con Catracho Judo Club en San Pedro Sula, a aquellos que no mencione pero que igual los recordamos o que tuvieron un paso fugaz pero que supieron lo que es entrenar Judo con un grupo de locos a todos ustedes y en especial al “Sensei” por compartir sus conocimientos con nosotros y aconsejarnos en su momento, en donde quiera que estemos sabemos que compartimos esas aventuras.

Read more »

Es un aromatizante electrico?.. no! es el LNIntruder

El LNIntruder es un mini-servidor autocontenido (del tamaño de un adaptador de energía genérico), de bajo costo, diseñado para ser "abandonado" dentro de una red (cableada o wireless), con la capacidad de evadir mecanismos típicos de protección y comunicarse con un servidor externo. Esto permite a un usuario conectarse directamente desde Internet (u otra red externa) a su LNIntruder, y trabajar en la red interna como si estuviera sentado directamente allí, pero de forma remota, a través de túneles cifrados.

Este dispositivo necesita de previa configuración a través de su Interfaz Web (GUI) con un cable cruzado directamente a nuestra PC para luego ser instalado en la "red víctima".

 Para mas información y detalles técnicos ingresen a la pagina web del proyecto en http://lnintruder.lownoisehg.org/ o sigan la cuenta de twitter @LNIntruder .



Hasta la PROXYma.
 

Read more »

Cuando un amigo se va... Steven Midence

Todos sabemos que este día tiene que llegar pero siempre, siempre es demasiado pronto.

Recuerdo haber colgado el teléfono, y caminado a pasos lentos hacia mi refúgio particular… Las imágenes llegaron casi que instantáneamente a mi mente…

Luchaste cuerpo  a cuerpo con esa enfermedad que también me arrebato a mi abuela antes de conocer a mi hija, hasta el ultimo momento nos seguiste dando lecciones de vida y aun ya fallecido lo sigues haciendo, a tu corta edad tus amigos hablamos de lo bueno que fuiste.

Entre estas letras me estoy dando cuenta que quizás no pierdo un amigo, sino que gano a un aliado que este al final a mi lado para mostrarme el camino.

Steven te fuiste, nos conocimos entre bytes, que era, es y seguirá siendo nuestra pasión, te fuiste cuando la vida dice aún: soy tuya, y al final nos traiciona.

Pero como el niño que espera a sus amigos, sentado en el quicio de la puerta con la cara entre sus manos y sus codos sobre sus rodillas. Así me siento aun, queriendo entender que tu partida es para siempre y que volverás nada mas en los recuerdos.

Caminen despacio, no arrastren los pies, hablen en voz baja, mi amigo duerme y no quiero que nada perturbe su sueño.

Amigo adiós te digo, Que el Dios que amaste despierto,Te brinde en el cielo abrigo.

A su funeral pidieron no llevar arreglos florales, el dinero que se utilizaría para comprar flores por favor llevarlo en un sobre habra una urna para hacer una donación a la fundación de niños con cáncer.

Hasta luego Steven Midence.

Read more »

[Linux] Bajar videos de Youtube y convertirlos a MP3 desde la terminal

Quien no ha encontrado alguna canción en Youtube que no ha podido localizar ningún otro lugar?, bueno a mi me a pasado y comienza la búsqueda por ver de que manera descargar dicha canción y llevarla en tu reproductor favorito, recordando el articulo de @hecky Musica en Consola (MOC/MOCP) – El Mejor reproductor que existe!! , me pregunte... se podrá realizar la descarga de youtube de un video? y para convertir un video  a mp3 lo primero que se me vino a la mente fue FFMPEG que de  hecho es  el camino correcto.

Manos al script. 

1- Instalamos el programa que descarga el video en flv de youtube:

$apt-get install youtube-dl 

2- Este paso para los que no tienen instalado FFMPEG

apt-get install FFMPEG 

3-Ahora instalamos el paquete extra de codecs de ffmpeg:

apt-get install libavcodec-extra-53
4-Ahora el script que ejecutara youtube-dl y convertira el video en mp3
#!/bin/bash
IFS=$'\x0D'
x=`youtube-dl -o %\(title\)s.flv --format=18 $1 | grep '^\[download\]' |$

ffmpeg -i $x -acodec libmp3lame -ac 2 -ab 192k -vn -y  ${x/flv/mp3}
rm $x


Este pequeño script lo podemos guardar en un archivo llamado youtomp3 (Le damos permisos de ejecución) y luego lo ejecutamos de la siguiente manera:

./youtomp3 http://youtube.com/urldelvideo

Eso es todo?, asi de sencillo como lo ven..la terminal puede con todo.

A este script se le pueden hacer algunas modificaciones como por ejemplo algo util seria que lea un archivo con una lista de url’s de youtube y haga la tarea automaticamente:

#!/bin/bash
IFS=$'\n'
for linea in `< songs.txt`; do
 archivo=`youtube-dl -o %\(title\)s.flv --format=18 $linea | grep '^\[download\]$
 ffmpeg -i $archivo -acodec libmp3lame -ac 2 -ab 192k -vn -y ${archivo/flv/mp3}
 rm $archivo
done
Hasta la PROXYma.

Read more »

Zentyal, Opción Open Source a Windows Small Business Server

Zentyal  se desarrolló con el objetivo de acercar Linux a las pymes y permitirles aprovechar todo su potencial como servidor de empresa.

Basado en la popular distribución Ubuntu. Zentyal permite a profesionales TIC administrar todos los servicios de una red informática, tales como el acceso a Internet, la seguridad de la red, la compartición de recursos, la infraestructura de la red o las comunicaciones, de forma sencilla y a través de una única plataforma.

Durante su desarrollo se hizo un especial énfasis en la usabilidad, creando una interfaz intuitiva que incluye únicamente aquéllas funcionalidades de uso más frecuente, aunque también dispone de los medios necesarios para realizar toda clase de configuraciones.

Como podemos observar en la imagen Zentyal permite interactuar de manera gráfica por medio de su interfaz web con los archivos de configuración correspondientes a cada servicio, por ejemplo: Squid, Bind9, p2p, ipp2p,layer-7, QoS, iptables, Apache etc..

Lo que le facilita el trabajo a las personas que no estan tan familiarizadas con la terminal, y por ende aprovechar el tiempo y dinero para implementar una solucion de manera rápida y sencilla pero muy funcional.

Dcumentacion de Zentyal en su sitio Oficial: http://doc.zentyal.org/es/
 

Hasta la PROXYma.

Read more »

Exprimiendo tu procesador multi Core en Linux

Cuando se programa un algoritmo, se pueden ir resolviendo sus partes en serie o en paralelo.

La opción de paralelizar, en efecto aumenta el rendimiento cuando hay una etapa que tiene un elevado período de espera, ya que las otras pueden seguir avanzando.

Entonces hablemos de procesamiento distribuido en paralelo e invocamos el nombre de esta magnifica herramienta (PPSS) http://code.google.com/p/ppss, uno de los colaboradores (louwrentius) en este proyecto nos cuenta su experiencia:

"He usado PPSS para convertir 400 GB de archivos WAV a MP3 con 4 computadoras. Un total de 14 núcleos a disposicion de PPSS para codificar los archivos usando Lame. Sin embargo, PPSS no se limita a convertir archivos WAV. Por el contrario, está escrito para ejecutar el comando que desee ejecutar. por ejemplo, comprimir un monton de archivos en Gzip en paralelo? No hay problema. Esta limitado por su imaginación."

PPSS permite ejecutarse en varios Hosts que a su vez trabajen en un mismo conjunto de archivos o tareas donde un servidor central se encargue de bloquear las tareas o archivos que ya se hayan o esten tratando o ejecutando en cualquiera de los otros hosts.

Esto significa que PPSS esta diseñado para hacer uso de los CPU´s disponibles en el equipo o los equipos, detecta la cantidad de CPU´s disponibles y comienza un thread por cada CPU encontrado, ideal para comprimir múltiples archivos, conversión de archivos, copias de archivos entre carpetas o equipos.

Ahora como instalarlo y un ejemplo:

wget http://ppss.googlecode.com/files/ppss-2.85.tgz

tar xvzf ppss-2.85.tgz -C /usr/local/bin

chown root:root /usr/local/bin/ppss &amp;&amp; chmod a+rx /usr/local/bin/ppss

ls -l /usr/local/bin/ppss

Con esto ya podemos ejecutar en nuestra consola el comando ppss.

Ejecutamos el comando ppss y obtendremos:

|P|P|S|S| Distributed Parallel Processing Shell Script 2.85

usage: /usr/local/bin/ppss.sh [ -d  | -f  ]  [ -c ' "$ITEM"' ]
                 [ -C  ]  [ -j ] [ -l  ] [ -p <# jobs> ]
                 [ -D  ] [ -h ] [ --help ]

Examples:
                 /usr/local/bin/ppss.sh -d /dir/with/some/files -c 'gzip '
                 /usr/local/bin/ppss.sh -d /dir/with/some/files -c 'gzip "$ITEM"' -D 5
                 /usr/local/bin/ppss.sh -d /dir/with/some/files -c 'cp "$ITEM" /tmp' -p 2

 En donde la variable $ITEM esta establecida como variable de bucle en PPSS.

En un ejemplo practico y sencillo de esta herramienta, decodificaremos archivos mp3 de 320kBit a128kBit VBR:

 Primero sin multi proceso:

for i in *.mp3; do lame -V 4 -B 160 - "${i%.flac}.mp3"'; done 

Ahora que PPSS haga la magia:

ppss -d /ruta/320kBit/mp3_files -c 'lame $ITEM -V 4 -B 160 "${ITEM%.mp3}.bajomp3"'

y bueno luego cambiamos la extension .bajomp3 por la correcta asi: mmv "*.bajomp3" "/nueva/ruta/#1.mp3"

 Y de esta manera comprobaremos el verdadero poder de nuestros Cores.

Hasta la PROXYma. 

Read more »

HowTo: Tu propio Bot en Twitter

Bueno, aparezco de nuevo por aquí, esta vez para mostrarles como hacer un bot propio que pueda postear en twitter, así que... a lo que vamos...

Primeramente, algunos de los bots que hemos desarrollado lo que hacen es recorrer el contenido de una web para postearlo en twitter, para esto utilizamos una combinación poderosa para el parse html... PHP + Simple HTML Dom.

Simple HTML Dom es una libreria desarrollada por S.C. Chen, en php la cual tiene algunos metodos muy completos para parsear una web, desde ya dias venimos trabajando con parseo html y ha sido asi como hemos logrado lanzar nuestros bots @climahonduras, @cinehonduras y una aplicación web que te muestra los productos de diferentes tiendas, como lo hace www.interactivahn.com.

Lo primero que debemos conocer de simple html dom es su función para cargar html:

$html = file_get_html('http://www.google.com/'); 

Esta función carga el contenido de una pagina web de la cual pasamos como parametro.

Nuestro siguiente paso conciste en hacer el filtrado de la información que deseamos extraer de dicho contenido, lo cual lo podemos realizar de la siguientes formas: 

$ret = $html->find('a'); //Extrae todas las etiquetas a del html

De esta linea podemos extraer atributos de la siguiente forma:

echo $ret->href;

 Podemos imprimir cualquier texto dentro de las etiquetas <a></a>:

echo $ret->plaintext;

Podemos hacer filtros especificos por ejemplo todos los div con determinado ID.

ret = $html->find('div[id=foo]'); //Extrae todas las etiquetas div con id = "foo"

Luego es cuestion de manipular nuestra información.

Hasta ahora tenemos ya la información, pero como la posteamos en twitter???

Con una librearia php de nombre twitteroauth, desarrollada por Abraham Williams @abraham, la cual podemos obtener desde su github: 

https://github.com/abraham/twitteroauth/

De aqui necesitamos descargar twitteroauth.php y OAuth.php

Antes de esto necesitamos registrar una aplicación en twitter, para poder obtener nuestros Access_key, Access_token, Consumer_secret,etc...

dev.twitter.com

Al crear la app debes darle permiso de Lectura y Escritura para poder postar, una vez realizado esto procedemos a configurar la libreria con el siguiente codigo:

<?
require('twitteroauth.php');
define('_CONSUMER_KEY','Colocas tu key aquí');
define('_CONSUMER_SECRET','Tu secret aquí');
define('_OAUTH_TOKEN','Tu token');
define('_OAUTH_TOKEN_SECRET','tu secret token');
$connection = new TwitterOAuth(_CONSUMER_KEY, _CONSUMER_SECRET,_OAUTH_TOKEN, _OAUTH_TOKEN_SECRET);

 $twitter=$connection->post('statuses/update', array('status' => "TU CONTENIDO A POSTEAR"));

?>

Luego creas un nuevo cronjob para que ejecute este script cuando tu quieres y listo...

saludos....

@ferock

Read more »

Dorks interesantes para SHODAN

Estuve algún tiempo fuera de las lineas del blog, pero hoy regreso para compartir un conjunto de dorks muy interesantes para hacer búsquedas especificas en shodan :

Impresoras

Server: Virata-EmWeb/R6_2_1 //Impresoras

Location: /hp/device/this.LCDispatcher 

Cámaras de vigilancia

Server: Camera Web Server/1.0 

Server: AV-TECH AV787 Video Web Server

Server: IP_SHARER WEB 1.0 

Server: Nucleus/4.3 UPnP/1.0 Virata-EmWeb/R6_2_

También pueden utilizar la palabra Camera para búsqueda mas genérica de cámaras.

Canales de tv por IP

Server: aEGiS_nanoweb/2.2.5 

Dell Remote Access Controller 4/P 

Server: RAC_ONE_HTTP 1.0 

Video conferencias

Server: NetPort Software 1.1

Sun Java system y Oracle

Server: Sun-Java-System-Web-Server/7.0 

Server: Sun Java System Application Server 9.1_02 

Server: Oracle-Application-Server-10g/10.1.3.0.0 Oracle-HTTP-Server

Para buscar por países usan el dork country:ES para España por ejemplo.

Saludos, 

Read more »

¿Y ahora les interesa la Seguridad informática?

Viendo hoy en día los últimos acontecimientos en lo que muchos llamamos una revolución cibernetica en donde el acceso a la información se a convertido en la manzana de la discordia, en un mundo en el que latinoamerica se encuentra (Hubiera querido utilizar encontraba) desprotegida ante la falta de seguridad en muchos paises y empresas que no le dan la importancia debida a este tema.

Pero hoy todos deberíamos de pensar un poco mas lo que publicamos y en donde lo hacemos, los desarrolladores hoy por hoy escuchamos mas seguido la palabra "hackers" eso sin duda alguna nos debería de hacer detenernos un poco mas en las lineas que programamos, porque no solo se hace una herramienta que solucionara un problema o necesidad sino que, si la herramienta contiene bugs o errores que comprometan los datos se podrían convertir en armas que compartan información o que permitan utilizar nuestros recursos para actos delictivos.
Como se hace actualmente, ingresar (lease hackear) a una web subir archvios para hacer Phishing o para realizar ataques a otros sitios, esto no solo compromete al delincuente que realiza el delito, sino que podría causar un momento bochornoso a una empresa que tenga que aclarar los sucedido y dar explicaciones publicas y lógicamente el riesgo de perder la confianza de sus clientes.

En tantos aspectos influye ahora la seguridad informática, y es que el detalle es, que si tienes buena seguridad nadie se da cuenta pero si no la tienes puede que todo el mundo lo sepa y solamente tu no, hasta que alguien decida reportarlo o explotarlo.

Y termino con el titulo del post.

¿Y ahora les interesa la Seguridad informática?

Hasta la PROXYma.

Read more »

Zone-h , la mayor base de datos de hacks a sido hackeada

Zona-h.com , un sitio muy conocido por tener espejos de sitios hackeados, fue hackeada esta hace algunas horas.

Para los que no saben exactamente sobre que es esta web;

Esta web es utilizada por hackers para publicar los sitios o servidores que "hackeado".

En el mensaje se lee:

Note : It’s Unacceptable when we tried to notify defaced.zone-h.net and found tNote : It’s Unacceptable when we tried to notify defaced.zone-h.net and found this message ” nice try” it’s not a try it’s a real! your server rooted, all the websites hacked, all people knew that ! and it’s the third time to hack your websites 2 of them in 2010( 2010/04/02 > Brazilian domains + 06/2010 zone-h.com defacement database ),and now ! you should have the courage and allow the defacers to notify your sites, it’s the real courage !

La otra parte de la imagen:

Read more »

[Ferock] Me Presento...

Saludos amigos que nos visitan desde los reconditos mas lejanos de la red, me presento atentamente a ustedes como @ferock un simple programador y amante de la seguridad informatica que les estara compartiendo contenido desde el dia de hoy.

Para comenzar les comentare una anecdota de como obtuve acceso a un sistema, y que debemos tomar en cuenta para preveer estos incidentes.

En la universidad en la que estudio, presentaron un sistema de Clases Online, lo realizaron en el auditorio principal de la Universidad y mientras un instructor nos explicaba como acceder al portal de clases online, a lo que ponia atencion, mientras el ingresaba con un Usuario de demostracion a lo que pude observar, el password y la contraseña tenian el mismo numero de caracteres, a lo cual pude deducir que eran la misma palabra, no quise quedarme con la duda y al tener una computadora lo pude comprobar:

Usuario: alumno

Password: alumno

Sacando una moraleja de este tan insignificante pero importante descuido, muchas veces descuidamos la seguridad de nuestros datos, creemos que para no complicarnos la vida y no olvidar nuestra contraseña ponemos una facil y listo, pero es en ese momento que debemos reflexionar: ¿Que es lo que estamos protegiendo?, ¿Qué información pongo en riesgo si se obtiene esa contraseña? ¿Qué exponemos? y mas concretamente ¿Qué pasa si adivinan mi contraseña?.

Aqui les dejo unos consejos para tomar en cuenta al momento de crear o cambiar una contraseña que les serviran para proteger su información de cualquiera:

1. Nunca uses palabras faciles (Dios, amor, password, tu nombre, etc).

2. Nunca uses solo numeros Ejemplo: (123456, 1988, 1990, 2001, 07072012, ni fechas) pues pueden ser obtenidas con facilidad mediante fuerza bruta.

3. Utiliza caracteres especiales, por ejemplo: # $ % & / ( ! @.

4. No utilizar la misma contraseña para todos tus accesos. Te recomendaria usaras una contraseña generica para tu accesos que no son tan importantes y evitar tener una contraseña para cada sitio que te registres. También puede usar un patron y agregar algo relacionado con tu acceso, por ejempli: patron+fb, patron+tw, patron+wifi, patron+pc, etc.

5. Guarda tus contraseñas en un archivo de texto y guardalo en un lugar seguro.

Estos son algunos de los consejos para generar una contraseña segura, o al menos que no sea tan facil de adivinar (Hay que dificultar un poco al menos las cosas a los atacantes).

Read more »

Anonymous, Ciber War y Megaupload.

Los últimos hechos ocurridos ha desenvuelto una avalancha de información, unos hablan de ciberterrorismo, otros de ciber guerra y hasta del "fin del mundo virtual".

Pero yo traigo algunas preguntas, por ejemplo:

-¿Casualidad que un día después de las protestas pacificas por SOPA hayan cerrado Megaupload?

-¿El FBI cierra megaupload sabiendo que algunos llamados por los medios de comunicación "grupos de hackers" saldrán en defensa y tomarían acciones por lo que hizo el FBI?

-¿En todo el mundo ayer hubo problemas con algunos enlaces de Internet, otra casualidad o saturación de tráfico?

Todo me parece una jugada bien planeada por el FBI y el gobierno de USA, sabían que Anonymous respondería ante esa acción, el FBI se prepara para capturar información durante los ataques de las ips de donde venían, sabiendo que Anonymous se a vuelto una moda y que muchas de las personas que participan en estos ataques no toman las medidas de precaución necesarias del caso, como por ejemplo la popular herramienta web (LOIC) que usan y que cualquiera que quiera parecer "jacker" entra y la utiliza para aparentar se un genio de la computación frente a sus amigos, como en diversos blogs, foros y redes sociales publican mensajes "Ingresa a esta web y déjala abierta para apoyar #OPMegaupload".

En mi opinión el FBI va a capturar unos cuantos "Anonymous" y ya la moda de este grupo entre la gente que quiere aparentar ser algo que aun no es se acabara, y de seguir Anonymous sera realmente con 1337
Pero Anonymous necesitara que la gente los apoye o podrán desarrollar este tipo de ataques sin ayuda masiva?...

Le doy cierta razón a los Mayas, para los cuales el calendario llegaba hasta Diciembre de 2012, pero será este el comienzo del fin de Internet un mundo abierto que nos lleno de conocimientos (buenos y malos), y que ahora con SOPA y esta Ciber guerra que desde hace días está sucediendo..está en peligro de extinción, porque el internet sin libertad (Libertad distinto de libertinaje) de poco o nada nos serviría.

Pero siendo optimista y viendo el vaso medio lleno, puede ser el comienzo de una revolución creativa en donde todos veamos maneras de crear o de reinventar medios de comunicación y otros tipos de redes o aparatos que con los adelantos tecnológicos y conocimientos que tenemos actualmente un atraso nos podría llevar a un mayor adelanto.

"En tiempos de crisis la imaginación es más efectiva que el intelecto." Albert Einstein.

En mi humilde opinión.


Hasta la PROXYma.

Read more »

Pésima Atención al cliente en Chat de towebs.com

Hoy buscaba un servicio de web-hosting y en especial estaba interesado en un VPS , publique en mi TL que me recomendaran algun webhosting y esta persona @MarianoLoPrety me escribió sobre http://www.towebs.com entre a la web y decidí pedir mas información sobre el servicio de Housing que anuncian en su sitio.

Lo que me sucedió en lugar de enojarme me dio risa, el pobre Eduardo estaba frustrado.


Y mejor les coloco la "charla"que tuve con el operador llamado Eduardo:

[ 13:17:59 ] Consulta : Consulta
[ 13:18:08 ] Sistema : Usted fue atendido en 10 segundos por Eduardo
[ 13:18:08 ] Eduardo : Bienvenido a ToWebs, ¿en qué lo puedo ayudar?
[ 13:18:29 ] Eduardo : Que tal buenas tardes en que puedo ayudarlo?
[ 13:18:36 ] Cliente : buen dia, quisiera saber un poco mas sobre el servicio VPS que tienen
[ 13:18:46 ] Eduardo : No ofrecemos VPS, esta mal en el sitio
[ 13:18:50 ] Eduardo : solo webhosting tradicional
[ 13:18:51 ] Eduardo : compàrtido
[ 13:18:54 ] Eduardo : Tenemos planes desde 18,90 pesos mas iva mensuales
[ 13:19:01 ] Cliente : y el de Housing ?
[ 13:19:12 ] Eduardo : Tampoco ofrecemos Housing
[ 13:19:42 ] Cliente : LINK
[ 13:19:49 ] Cliente : y eso ?
[ 13:20:15 ] Eduardo : Hagamos algo, le paso el mail donde puede pedir explicaciones sobre por qué no vendemos algo que está en el sitio
[ 13:20:20 ] Eduardo : yo ya me canse de darlas disculpe
[ 13:20:23 ] Eduardo : consultas@towebs.com
[ 13:20:31 ] Eduardo : no damos esos servicios, y no quieren sacarlo del sitio
[ 13:20:40 ] Eduardo : puede enviar una queja o lo que tenga ganas a esa casilla
[ 13:20:42 ] Eduardo : Tiene alguna otra consulta en que lo pueda ayudar?
[ 13:23:51 ] Cliente : gracias por nada
[ 13:23:57 ] Eduardo : El chat ha finalizado

Y la imagen que hace constar:

Read more »

Pequeño Bug en la web de Naciones Unidas (un.org) y en la Casa Blanca (USA)

El Bug se encuentra específicamente en:

http://www.un.org/webcast/swfs/player.swf

En en parámetro: file

En donde podemos inyectar una imagen externa de esta manera:

http://www.un.org/webcast/swfs/player.swf?file=http://www.subinet.es/wp-content/uploads/2011/06/peligro-hackers-trabajando-3.png &autostart=true&plugins=false&stretching=uniform

Este es un bug para ser precisos en este player swf que utilizan multiples sitios como por ejemplo:

http://www.whitehouse.gov/

http://mediacenter.intel.com.br

http://harvardmedicine.hms.harvard.edu



Hasta la PROXYma.

Read more »