lunes, 30 de junio de 2014

Adelanto capítulo Cálico Electrónico 5X05: "Las Tortugas Pijas"

El nuevo capítulo de Cálico Electrónico saldrás el próximo 5 de julio, y como ya han dado un adelanto de cómo será el próximo capítulo, he visto necesario compartir con vosotros este adelanto que ya he visto del nuevo capítulo llamado "Las Tortugas Pijas" en el que han colaborado bastantes personas para el doblaje de algunos personajes. Ya no me entretengo más y os dejo ya con el avance del capítulo que saldrás online el próximo 5 de julio.


Tienes todo este material en el Canal de Youtube de Cálico Electrónico, además de sus aplicaciones para Windows Phonela aplicación para Android, otra para Windows 8, y otra para tu dispositivo con iOS . Y para más novedades, puedes cotillear por elTwitter oficial de Cálico, en su página de Facebook,o en su cuenta de Google+.

Saludos Malvados!

domingo, 29 de junio de 2014

Más de 3.000 contraseñas de los archivos ICA en Bing

Hay muchas maneras de saber la contraseña y el usuario de una persona, ya que entre otros, hay muchas SQLs que están almacenadas en Google con los diferentes Hashs y MD5s, o bien que directamente están almacenadas en Google realizando una simple query o la forma que ya está más que vista en este Blog, el Man In The Middle como el aplicado al señor "rafa1". Pero lo de hoy es ver el usuario y contraseña de los propietarios de los archivos ICA, ya sea de aplicaciones CITRIX o Windows Server realizando un poco de Hacking con Buscadores y consultando a en este caso a Bing.

Figura 1: Más de 3.000 contraseñas de los ICA en Bing
Como se puede observar en la Figura 1, hay más de 3.000 resultados para los archivos ICA initialprogram, el que si buscamos uno a uno en específico nos saldrá primero un archivo TXT en el que nos aparecerán tanto el usuario, la contraseña y más datos de esa aplicación que después si quisiéramos, podríamos descargar y escribir lo que nos ha salido en el TXT, para poder entrar, además nosotros no habríamos realizado ningún delito ya que simplemente hemos hecho algo tan cotidiano como buscar en Internet ¿Quién por error alguna vez no ha buscado algo en Internet y le han salido resultados?.

Figura 2: Son pocos los datos que nos muestran los TXT de los ICAs
Se pueden observar entre otros el dominio, el usuario, la contraseña, y un etc de datos que son bastantes valiosos aunque si el administrador lo viese seguramente dijese que "no son muy importantes, además ¿a quién le puede interesar?" pero estos datos interesan a mucha gente, el problema es que las personas son reactivos y hasta que no pasa algo, no reaccionan, y por eso para que aprendan se tienen que llevar el sustillo, pero el problema mayor reside, en cuando ni aún con el susto aprenden y le tienen que joder bastante para que se den cuenta de lo mal que hacen las cosas.

Saludos Malvados!

sábado, 28 de junio de 2014

Las contraseñas complejas o sencillas acaban siendo un problema igualmente

Hace un tiempo me dio por el tema de las contraseñas ya que las puedes encontrar fácilmente y además quedan almacenadas en Google, es por eso que incluso di una charla sobre Latch y el problema de las contraseñas, además siempre daba el consejo de cambiar la contraseñas periódicamente y de usar contraseñas complejas, pero viendo sucesos de perdidas de usuarios y contraseñas como el que sufrió recientemente Avast y el post de ayer de Chema Alonso en su blog, han hecho que me decida a escribir este post para decir una serie de cosas sobre las contraseñas.

Figura 1: Contraseñas sencillas o complejas, todas se hackean

Claro está que siempre existen los Man In y The Middle como el que se le aplicó al señor "rafa1" y que permiten al atacante ver -si va con buenas intenciones como fui yo con rafa1- el usuario y la contraseña, ya sea sencilla o robusta.

Figura 2: Con un Man In The Middle puedes ver la contraseña sea como sea de compleja


Además también hay multitud de sitios webs a los que tienes que acceder con una contraseña, pero que te dan vía libre para que intentes las veces que quieras, por lo cual los ataques de fuerza bruta, existen y sin ningún tipo de problemas para el atacante y esto de tener un sitio donde escribir tu contraseña, no basta para que podamos decir que nos sentimos seguros navegando y más aún si es en HTTPS, a todos estos les recomiendo que se vean lo que le sucedió a "rafa1" con la HTTPS o que se lea el libro de ataques en redes de datos.

Porque en muchos sitios no tienen el cuidado que deben y acaban las passwords almacenadas en la BASE64 o que te lo jodan con un MD5 por no andarse con cuidado, por eso que deberían añadir un segundo factor de autenticación como el caso de Google Authenticator con un envío de SMS si han entrado en tu cuenta o que la protejan directamente con Latch.

Pero claro, todo no son problemas ni fallos de los administradores de los sitios, ya que si subes una foto con tu contraseña del wifi, es tu problema, si te tragas un Man In The Middle por andar jugando por donde no debes, es tu problema, y si te sucede cualquier cosa por no hacer caso del hacker que se preocupó por ti y que ya no sabe que hacer, es tu problema todo eso, así que cuidado, aunque si es cierto que deberían dejarnos escribir nuestras contraseñas sencillas si tenemos un 2FA, ya que una clave robusta es solamente eso, una clave, pero una clave sencilla y un Latch, es lo mejor, además te hace la vida un poco más fácil, pero para eso todos los sitios deben implementar Latch.

Saludos Malvados!

viernes, 27 de junio de 2014

No sólo España hace el ridículo en el mundial, El Security Center del Mundial también

Parece que en este mundial, a todos se les escapan detalles, por ejemplo a España se le pasa el detalle de marcar en jugada en los dos primeros partidos, llegando a quedarse fuera del Mundial y sin pasar de la fase de grupos, cosa que suele pasar a las campeonas del mundial. Pero no salimos de España, porque se debe a que Sara Carbonero en su Blog publicó la clave de la red wifi que usan en Telecinco para conectarse.

Figura 1: Lo hace falta hackear nada si vas "partidoapartido"

Me encantan las contraseñas que ponen como la frase del Cholo la de "partidoapartido" o la de "iniestademivida", porque me imagino el momento el que estuvieran "pensando" la contraseña para esa red wifi y alguien proponga esas dos, no puedo dejar de reírme }:). Por eso no hace falta hackear nada, porque ya te lo dan todo lo que necesites en una foto.

Pero no solamente la caga la pobre Sara, el Security Center del Mundial de Brasil también la lía cuando sube una foto en la que sale la contraseña de su red wifi bien en grande, sabiendo que si un malo te entra te puede provocar bastantes daños y más en un lugar donde en este mes se van a conectar muchas personas, aunque supongo que se habrán dado cuento y la han tenido que cambiar, porque si no, la que se lía es poca.

Figura 2: Foto Tuenti con la password del Security Center del Mundial 
Pero bueno, supongo que estas personas se les pasará por la cabeza algo como "qué más da que de mi contraseña y SSID de la red a la que me conecto". Esto tiene la oca importancia como dejar la puerta de tu casa abierta con un cartel de neón que diga "Pase y róbeme todo lo que quiera amable ladrón". Aunque tampoco tendrán nada que temer, porque seguro que usan Latch.

Saludos Malvados!

jueves, 26 de junio de 2014

El entorno Man In The Middle aplicado a una máquina virtual

Hace unas dos semanas mientras veía los comentarios que me escribían en Youtube diciendo lo guapo y precioso que soy hasta que vi un comentario que decía que no entendía cómo sacar la IPv6, y que sólo le salía la IPv4, por eso voy a tratar de explicar un poco mejor estos ataques SLAAC en los entornos Man In The Middle. Lo haré a una máquina virtual para que nadie pueda decir nada de que he delinquido ni nada por el estilo, aunque si se lo hiciese a una persona real, no pasaría nada dependiendo la forma de efectuarlo, claro está; porque lo importante es que NO VULNERE una medida de seguridad.

Todo lo que voy a explicar, es exactamente lo mismo que el ataque SLAAC en el entorno Man In The Middle que le hice a "rafa1", además si queréis ampliar un poco conocimientos sobre IPv6 e IPv4, podéis leer el libro Ataque en redes de datos IPV4 e IPv6, que está bastante bien explicado todo esto, y que yo lo que he aprendido es de ahí, y es uno de los temas -IPv4 e IPv6- que mejor se me da.

Lo primero es desde la máquina virtual, abrir el CMD y escribir el comando tan complicado como es "IPCONFIG", en el que te aparecerán todas las direcciones IP, lo que pasa es que hay un problema y es que la gente se cree que la "dirección IP buena" es la IPv4, porque es más corta, y cuando ven la dirección local IPv6, lo normal es que se asusten y se tapen los ojos y lleguen a pasar de IPv6. Pero lo cierto es que esta dirección es por así llamarla "la buena" y la que funciona en nuestros días, incluso es empleada por navegadores como Mozilla Firefox, Internet Explorer, Safari, pero no Google Chrome, aunque sus servidores sí vayan por IPv6. Esta dirección IPv6, lo único que está esperando constantemente es que alguien le de cariño-una puerta de enlace- para que se pueda conectar y funcionar.

Figura 1: Viendo el CMD desde la máquina Virtual
Lo siguiente que abría que que hacer es abrir la Evil FOCA y escribir tanto la dirección IPv6 como la dirección MAC que se puede ver escribiendo en el CMD-de nuestra máquina virtual en este caso- el comando ipconfig/all.

Figura 2: La Evil FOCA añadiendo la IPv6 y la MAC de la "victima"
Ahora sería hacer lo que ya os he comentado varias veces que le hice a "rafa1" como fue añadir su IPv6 a la Evil FOCA en la parte de SLAAC, pulsar Start y ya está casi todo.

Figura 3: Añadir la IPv6 de la víctima a la Evil FOCA en la parte de SLAAC

Por lo demás es todo igual que antes, entrar en un servicio de login como es  El Otro Lado, escribir las credenciales y observar en el analizador de tráfico de red como es Wireshark los paquetitos con dichas credenciales.

Figura 4: El otro Lado con la credenciales puestas
Figura 5: Wireshark para sacar las credenciales

Y con esto se acaba, por eso conectarse a una red wifi que no es tuya no es buena idea y se debería cambiar las passwords, porque después pasan cosas como las que le pasaron a "rafa1"  y la gente se va quejando y criticando. Por eso sería una buena opción es usar Latch por si te roban la contraseña, que no puedan entrar a tu cuenta y se apoderen de tu vida digital.

Saludos Malvados!

miércoles, 25 de junio de 2014

Sin PARDILLOS 8: Los jefes Pardillos invaden el mundo

Llevo un tiempo hablando de y con Tecnicoless y PARDILLOS, y cada vez que me topo con uno y empieza a hablar de temas que cree que sabe, pero que no tiene la menor idea de lo que está hablando y lo único que comenta son ideas esporádicas y sueltas que ha ido oyendo por diferentes lugares del mundo. Gente que se conecta a redes wifis que no son suyas y que después les hackean por no cambiar periódicamente sus contraseñas, como ya le sucedió al señor amenazante y chulesco rafa1 o gente que escribe sus credenciales en kioskos interactivos, cada vez que ocurre eso, me acuerdo del famoso "INSENSATOS" de Gandalf.

Figura 1: Gandalf con sus INSENSATOS por pedir las credenciales en un kiosko interactivo

Y es que a mí me irrita mucho esto de que la gente hable de temas que no saben y que en la mayoría de las veces, ni les llegan a importar, pero claro, aquí la gente se toma la libertad de hablar de lo que le parece sin pensar en el daño que puedan causar a los demás, menos mal que a un Malvado ya le da igual las palabras que pronuncian los PARDILLOS y me lo tomo con mucho humor con la serie de pegos que llegan a decir. Pero de todas formas, hago como Hulk y pido paciencia }XD

Figura 2: Hulk pide paciencia por los PARDILLOS que hablan más de la cuenta.

Pero no me entretengo más y dejo las Tiras de este Sin Pardillos que yo dedico con todo mi amor malvado a todos los PARDILLOS para que prosperen, aunque si no, a mí no me afectan y que sigan desnortados, que unas risas nunca vienen mal }:). Así que os dejo las Tiras para que las disfrutéis...o lo intentéis, porque los dibujo no son de lo mejorcito }:)

Figura 3: Sin Pardillos 8 y el jefe Pardillo
Figura 4: Sin Pardillos 8 y el Malvado a punto de desconcojonarse

Figura 5: Sin Pardillos 8 y el jefe que sigue tocando los güevos malvados

Figura 6: Sin Pardillos 8 y el Malvado a punto de echar espuma por la boca
por la estupidez de los PARDILLOS

Los PARDILLOS van a hablar siempre que quieran y la mayor parte del tiempo van a decir pegos o meterse con gente, pero ya uno acostumbrado, doy un consejo por experiencia, y es que pasad de esa gente que van a hablar de lo que les den la gana, porque lo único que van a hacer es desestabilizar y vuestro estado anímico no puede depender de que hablen bien o mal de ti, porque si hablan bien es bueno, pero si hablan mal -en el caso de los PARDILLOS- es que algo envidian de ti y eso también es bueno y tened en cuenta que Dios no cae bien a todo el mundo, cómo yo puedo caer bien a todo el mundo.

Saludos Malvados!

martes, 24 de junio de 2014

Un escarmiento Malvado

Hace un tiempo, vi un post en El lado del Mal y que me impresionó bastante lo que la gente pedía, pero resulta que me encuentro un día con un correo parecido al que recibió en su día Chema Alonso al que os aconsejo que lo conozcáis , entonces decidí hacer lo mismo que él para ver si aprendían de una vez.

Figura 1: Correo de una persona que pregunta para hackear a una conocida suya

Lo que pedía esta "persona" era que si podía hackear a una persona y que le enseñara a ser una pro nivel master en sacar contraseñas de Tuenti y Twitter, no sé si esa persona era amga suya, novia, conocida o no sé bien qué, pero mucho cariño no le debe tener si pide eso. Entonces yo le respondí con ironía malvada.

Figura 2: Ironía Malvada en un correo

Esto también lo hice para ver si era un correo spoofeado, pero recibo respuesta y casi igual a la que recibió en su momento Chema Alonso, entonces decidí hacer lo mismo que él.

Figura 3: Una "persona" me adjunta el correo de su víctima }:S

Me sorprendió que me enviara el correo de la víctima y más aún que hiciera lo mismo que hizo a Chema, por un momento me pregunté si podrían ser la misma persona, pero finalmente decidí escribir un correo a las dos diciendo "hola tal te presento tal, que quiere hackearte"

Figura 4: Correo de presentación delincuente-víctima

El caso es que no obtuve respuesta a esto por parte de ninguna, cosa que esperaba, pero el caso es siempre el mismo, los hackers somos los malos, pero la gente te pide de seas un delincuente, y estoy ya harto de esos tipos de comentarios de gente que no tiene la menor idea de Hacking, leyes y de nada en general, lo único que saben es comentar y ser unos Pardillos, por eso todos los correos que reciba de este tipo acabaran aquí y me encargaré de investigar de quienes son.

Saludos Malvados!

lunes, 23 de junio de 2014

No hay post de Hacking por el gran ascenso

Ayer ocurrió algo muy grande para mí, y es que mi Córdoba a vuelto a la primera división después de 42 años, por eso que estoy de party hard celebrándolo y por eso no he preparado nada de nada, porque yo nunca he vivido esto de que tu ciudad ascienda a la máxima categoría de Fútbol de tu país.

Figura 1: Escudo de mi Córdoba de mis amores

Además ayer salí a las Tendillas a celebrarlo y no he pensado en nada, porque el ambiente no te lo permitía y tenía que pasar tiempo con el causante de que sea tan Malvado

Figura 2: El causante de traer al Malvado al mundo

Y obviamente no puede faltar que diga que la afición cordobesa es la mejor y como muestra tengo este vídeo del himno cantado a capella.


Y que estoy muy orgulloso en mi segunda casa como  es Córdoba.


Con esto me despido hasta mañana que intentaré subir un post sobre hacking o Sin Pardillos o lo que se me ocurra.

Saludos Malvados!

domingo, 22 de junio de 2014

Los hoteles de lujo y sus wifis de mielda

Cómo ya os dije cuando quedaba nada para la semana en la que iba a hacer una Ruta por España, y no he tenido tiempo de casi nada en relación a la seguridad informática excepto cuando estando en Salou, la amable recepcionista me dio un folio con mi usuario y contraseña para poder conectarme a la red wifi del hotel. Pero yo fui más allá e investigué un poco sobre esta red.



Figura 1: El usuario con la contraseña para poder conectarme al wifi a través de mi smartphone

El funcionamiento de esta red wifi

Esta red es una WEP el cuál no la hace muy segura, además pretenden dar una idea de que es muy segura por tener cada uno un usuario y una contraseña pero no es así, ya que te podrían hackear como a vecino listillo o hacer un Man In The Middle para espiarte el Whatsapp, porque todo esto ya lo avisé, porque conectarse a una red wifi es muy peligroso o si no que se lo digan al amigo "rafa1" que obviamente no usa Latch.

Por eso ante este peligro, opté por no conectarme y seguir usando los Datos Móviles que son más seguros que conectarse a la red wifi de un hotel que como habéis apreciado existe, es el caso de un hotel de Salou.

Saludos Mavados! 

sábado, 21 de junio de 2014

La NSA prefiere hackear routers y switches para espiar(te)

No sé ni cuantas veces he visto conferencias de hacking de routers, switches, cámaras de vídeo-vigilancia o impresoras.... y yo he llegado a jugar hasta consensores de temperatura. Todas ellas tienen al final algunas conclusiones similares peros las más importantes quizá desde el punto de vista de seguridad son: 
1) Son sistemas operativos completos con muchas funcionalidades
2) Están dentro de tu red
Es cierto que el sistema operativo que funciona en una cámara de video-vigilancia o un switch de red no es un Controlador de Dominio de la red, pero en él se pueden ejecutar sniffers de red, servidores web, bases de datos, programas de hacking para hacer ataques de red en IPv4 & IPv6, etcétera, etcétera, etcétera.

En segundo lugar están dentro de la red de la organización, con lo que ofrecen el punto de apoyo que pedía Arquímedes para mover el mundo pero para capturar e interceptar todas las comunicaciones de red que se producen desde todos los sistemas informáticos que se encuentran allí.


Teniendo esto presente, según revela un artículo en el Washington Post, los espías de la NSA decidieron que la mejor forma de espiar el mundo era mediante el hackeo de los dispositivos de red de las empresas, para que desde allí tomar control del resto del sistema.


Según un memorandum interno filtrado por Edward Snowden, el hacking de los dispositivos de red tiene muchas más ventajas que pueden ser aprovechadas para colarse dentro de una red:
- Desactualizados: Por desgracia es cierto que dentro de las empresas el plan de actualización de software no se toma tan en serio con los dispositivos de red como con los equipos informáticos, por lo que suelen encontrarse con vulnerabilidades conocidas
- Contraseñas por defecto: El número de dispositivos que se encuentran con contraseñas por defecto es altísimo. Esto se basa muchas veces en la creencia de que no hay conexión desde fuera, lo que permite tomar el control de ellos fácilmente. En el artículo de Explorando una DMZ desde un servidor Citrix se puede ver claramente. 
- Backdoors de fábrica: Aunque parezca raro, muchos de los fabricantes crean usuarios secretos dentro de los dispositivos con capacidades de administración. Ejemplos de ellos hay cientos, pero os dejo como ejemplo elbackdoor de super usuario descubierto en el Proyecto Fin de Master de la UEM sobre la seguridad de cámaras de vídeo vigilancia.

Faltos de auditoría de seguridad real de fábrica: Mientras que a los productos de software se les suelen hacer auditorías de seguridad robusta, a los sistemas que se implantan en los dispositivos de red de gama baja no suelen hacerse tan exhaustivas. Caso de ejemplo, la aparición de 0days como el que se publicó en el libro Hacker Épico en las cámaras de vídeo vigilancia que permite sacar las passwords remotamente
- Falta de fortificación del dispositivo: Así como en el software de escritorio existen políticas corporativas que marcan cómo debe instalarse un equipo en la red, en el caso de los dispositivos no se hace de forma tan estricta por lo que es fácil que aparezcan con IPv6 instalado y sin configurar, con portales web desprotegidos o con servicios SNMPv1 o SNMPv2 sin ninguna seguridad
- Sin software de seguridad: Mientras que los equipos de escritorio cuentan con soluciones antimalware para la protección de ataques o exploits - al menos algo hacen - en el resto de dispositivos de red nunca se ha pensado en poner ese tipo de medidas de forma extendida. Esto hace que sea más fácil usar cualquier herramienta e instalar cualquier software. 
- Sin monitorización: Muy pocas son las empresas que tienen una monitorización completa de todo lo que está pasando en todos los dispositivos conectados a la red de la organización. Es cierto que routers o switches de gama alta en empresas medianas y grandes son monitorizados, pero no suele monitorizarse la totalidad de los dispositivos que se conectan, entre otras cosas porque muchos de los equipos carecen de esas funcionalidades.
Todo esto fue tenido en cuenta por la NSA, y desde el año 2011 han estado hackeando y controlando todos los dispositivos que han podido, manejando equipos en redes de todo el mundo, especialmente en China, Rusia ... y países amigos.

Si estás gestionando una red, o llevando la política de seguridad de una organización, revisa todas estas cosas, ya que además muchos de estos dispositivos salen haciendo un poco de hacking con buscadores en sitios como Shodan, lo que te hace estar más expuesto aún.

Autor: Chema Alonso en  http://www.elladodelmal.com/

Saludos Malvados!

viernes, 20 de junio de 2014

"Descuido" gordo en la Web del Senado de los 500.000 €

Después de que se armara gorda por el coste de los 500.000 € de la web del Senado, que incluso llevó a algunas personas a desarrollar la misma web pero enversión Low Cost, un lector del blog - ¡Gracias Eduardo! - me alertó de que la plataforma de gestión de contenidos del Senado estaba basada en Oracle Content Server y se habían olvidado de proteger el acceso al CMS, permitiendo el acceso anónimo.


Cuando estuve viendo lo que estaba publicado en Internet me asusté un poco, porque estaban todos los contenidos de la web, incluida la información de los usuarios que los habían subido, los archivos que estaban ocultos sin publicar, o las opciones de manipulación de los mismos.



Por supuesto, me pareció un fallo bastante preocupante, así que opté por reportarlo a la Guardia Civil para que avisaran a los responsables y lo quitaran de Internet - o lo protegieran -. A día de hoy, por suerte, no está ya online.


La pregunta es, ¿con todo este dinero no se podría haber hecho una auditoría de seguridad web antes de ponerlo online? Poner un servicio online sin pasarle un pentesting me parece descabellado hoy en día. Si alguien hubiera sacado la lista de usuarios, y hubiera realizado un ataque a la contraseña, por ejemplo con la idea de las passwords suprayectivas, podría haberse liado parda.

Autor: Chema Alonso en http://www.elladodelmal.com/

jueves, 19 de junio de 2014

Cómo limpiar los Metadatos en Word

Viendo la cantidad de gente que se les pasa lo de limpiar metadatos en sus documentos ofimáticos, ya sean partidos políticos o no. Además la mayoría de la gente no tiene el conocimiento de cómo limpiar estos documentos, porque no siempre los que enseñan son los que más saben

Para que no te pase como Blair, que en plena guerra con Iraq redactó un documento y en Gran Bretaña le preguntaban si había sido él sólo el que redactó el documento, pues Blair decía siempre que sí fue él sólo, y resultó que al extraer los metadatos de ese documento, se vio que lo redactaron más personas.

Figura 1: Los metadatos del gabinete de Tony Blair extraídos con la FOCA
En la imagen se puede apreciar, los usuarios que lo modificaron, el software empleado, el sistema operativo y las folders, lo que queda bastante feo. Pues como esto más casos de los que ya hablaré cómo le ocurre a Cenatic, Linux, etc.

La cosa es tan sencilla como acceder a Archivo-Información-Inspeccionar documento-Comprobar si hay errores y darle a inspeccionar y pulsar en guardar.

Figura 2: Paso 1 de 3 para limpiar Metadatos
Figura 3: Paso 2 de 3 para limpiar Metadatos
Figura 4: Paso 3 de 3 para limpiar Metadatos

De esa manera sólo tenemos que acceder de nuevo a la FOCA y ver qué información nos saca del documento de Toni Blair.

Figura 5: Un documento con mucha menos información después de limpiarlos
Cómo podemos observar sólo nos muestra nuestra amiguita rosaFOCA, que se ha realizado con Microsoft Word, lo que le hubiese bastando a Blair con hacer esto para que no les pillasen, pero como esto muchos casos más, aunque vosotros no os preocupéis, porque sé que desde hace años, sabéis esto y limpiáis vuestros documentos ofimáticos antes de subirlos a la nube, enviarlo por adjunto, etc. Por lo cual, no tenéis nada que temer.

Esto de los Metadatos es un problema que afecta bastante y que no a todo el mundo se les pasa o tienen conocimiento de ellos, y que cada vez que lo digo en alguna conferencia, el resultado es que prácticamente nadie de los asistentes limpian los documentos ofimáticos, por eso… ¡AL LORO CON TUS METADATOS!

Saludos Malvados! 

miércoles, 18 de junio de 2014

Conectarse a una web sin necesidad de internet en Excel o Word

Esto lo leí y lo tenía que probar, porque el título llama bastantes la atención, es bastante llamativo eso de conectarse a una web sin internet y encima con Excel o Word. Esto está bastante bien y yo lo he probado con el blog anteior al que cambié el nombre.
 Esto es tan fácil como abrir un archivo en Excel o Word y poner ahí la url de la página a la que se quiera acceder, sin necesidad de conexión a Internet, es decir que podemos ver el fútbol desde Excel sin que el admin lo sepa, podemos ver también porno sin que nadie lo sepa y no quede constancia en el historial.

Figura 1: Vamos a conectarnos sin necesidad de internet simplemente usando Excel
Como vemos en esta captura, es tan sencillo como poner la url que queremos y podemos meternos en esa página.

Figura 2: Estamos en el Blog antiguo sin necesidad de Internet
Lo podemos ver cómo entramos en el Blog al que cambié el nombre sin ningún problema, podemos leer ampliamente todo lo que queramos.
 Esto me llama mucho la atención, así que ya sabéis…¡Podéis meteros en el porno sin que vuestra novia o mujer os pille!
 Saludos Malvados!

martes, 17 de junio de 2014

Hackeando al vecino hax0r que me roba la WiFi (2 de 2)

Paralelamente a estos intentos, siempre mantenía mi equipo capturando tráficoWiFi en modo monitor, y analizaba las capturas, además de las que obtenía con Cain + Wireshark. En estas nuevas capturas, obtuve información interesante para el análisis.

Mi vecino/a se conectaba dos o tres veces al día, alrededor de 15 minutos cada sesión. Las páginas webs más visitadas seguían siendo de marujeo, como las comentadas en los párrafos anteriores, pero además habían accesos a las siguientes páginas:


http://elimperiodelaley.blogspot.com
http://quieroserjuez.blogspot.com
http://vidadeunaopositora.blogspot.com
http://sufridroaenejercicio.blogspot.com
http://quenovoyaserlasecretariadeunjuez.blogspot.com




Analizando el nombre de los sitios web, así como el contenido que había en los mismos, me quedó claro que se trataba de una mujer, que estaba estudiando para oposiciones a judicatura. Es decir, que hablamos de una aspirante a juez robando WiFi. ¡Así va este país!. Por otro lado, entre todas estas sesiones de navegación, en las que los sitios webs visitados eran los mismos especificados hasta ahora, se colaban algunas sesiones cortas en la que los sitios visitados eran:

http://www.sport.es (Además leía la sección “El balón Rosa” ;) )
http://www.marca.com
http://tenerifedeportivo.com

Estas sesiones, en principio parecía que correspondían más a “Rober1”, leyendo periódicos deportivos y echando un vistazo a las novias y mujeres de los futbolistas. En una de estas sesiones, concretamente un domingo, Rober1 consultó también la página de Yelmo Cines, pero al final parece que no se decidió a ir, porque más tarde presuntamente su pareja se volvió a conectar a ver vídeos de bebés, y leer un poco de prensa rosa, supongo que para desconectar de las arduas sesiones de estudio para la oposición.

Por la información de la que disponía hasta el momento, se trataba de una pareja de vecinos que utilizaba mi red para conectarse a Internet y ahorrarse la tarifa del ISP, no de un hax0r con muchos conocimientos. Esto último me quedó más claro, cuando en una de las capturas recogidas escuchando en modo monitor, pude ver accesos a páginas de banca electrónica, algo que alguien con conocimientos de seguridad informática jamás haría desde una WiFi ajena.


Afortunadamente para los vecinos, dieron con alguien que no tenía malas intenciones, y en esta ocasión, incluso de haberlas tenido, no podría haber hecho ningún destrozo, ya que al tratarse de tráfico SSL las credenciales no habrían sido capturadas sin romper el cifrado.

En este punto ya tenía claro el perfil de los “atacantes”, así como su nivel de conocimientos, pero aún no los había identificado. Los ataques man in the middle no funcionaban siempre, así que se me ocurrieron varias alternativas. La primera de ellas, enchufarles un troyano haciendo DNS spooffing con alguna de las direcciones de los sitios webs más visitados. Pero en lugar de eso, decidí implementar un esquema “machine in the middle”, colocando una máquina a modo de router, para asegurar que todo el tráfico que generaban pasaba por la misma.

Para ello, habilité una máquina virtual Backtrack, a modo de puente con dos interfaces de red. Una de ellas conectada a la red en cuestión, 192.186.1.0, y la otra en una nueva red 192.168.2.0, con la dirección IP 192.168.2.1. Además de eso, deshabilité el servidor DCHP del router al que se conectaban los vecinos, y arranqué un servidor DHCP en la máquina virtual, que repartiera direcciones en la nueva red, especificando como puerta de enlace la dirección de esta máquina en la nueva red, la 192.168.2.1. El tráfico generado era redirigido de una interfaz a otra, en aras de poder llevar el tráfico hacia y desde Internet a través del router principal.

Por otra parte, también arranqué la herramienta SSLstrip, redirigiendo el tráfico SSL al puerto 10.000, para poder así interceptar sesiones de autenticación en algún sitio web que permitiese obtener alguna información para identificar a los malhechores. En este script de shell se puede observar la configuración final.


Con este nuevo esquema, los vecinos se conectaban a mi router vía WiFi, pero era la nueva máquina puente la que hacía de router para ellos, dándoles una nueva dirección IP en el rango 192.168.2.0 y ofreciéndoles salida a Internet. Bastaba con arrancar tcpdump, dsniff, y visualizar el log de sslstrip para poder controlar todo el tráfico generado por los vecinos.

El esquema no tardó en funcionar. La siguiente vez que se conectaron, todos los paquetes pasaban por la nueva máquina puente, y tras una o dos sesiones de navegación, el log de SSLstrip reveló su dirección de correo electrónico y su cuenta de Facebook:


En este punto había completado mi análisis, y con un poco de Google Hacking a partir de su dirección de correo pude averiguar quiénes eran los vecinos, y confirmar que en efecto, se trataba de una pareja de abogados, ella estudiando para presentarse a una oposición de juez. Podría haberles hecho alguna trastada, como publicar algo en su muro, o cosas por el estilo, pero simplemente me limité a enviarles un correo informándoles de que estaba al corriente de lo que habían hecho, dándoles algunos detalles que les mostraran que efectivamente tenía conocimiento de sus sesiones de navegación, y advertirle de los peligros que corrían realizando este tipo de prácticas.

Me contestaron ofreciendo sus disculpas, comentándome que estaban avergonzados de su comportamiento y que no tenían mucha idea de lo que estaban haciendo, ya que fue “un amigo informático” el que les consiguió la conexión a Internet gratis.

Como ya todos sabemos, es impresionante toda la información que se puede obtener de una persona simplemente echando un vistazo a los sitios que visita en Internet, pero si además resulta que no sólo navega por páginas de información, sino que utiliza servicios de correo electrónico, redes sociales, o banca electrónica desde una conexión “robada”, el destrozo podría ser de dimensiones considerables.

Por motivos de protección de datos se ha sustituido el nombre real del equipo vecino por “Rober1”, pero el host original sigue la misma nomenclatura. Por otro lado quiero deciros que este artículo está hecho por si alguno de los lectores de este blog tiene una pareja de amigos que un día le piden que le robe la WiFi a algún vecino para conectarse gratis a Internet. Tened cuidado que, como decía Chema, la víctima del robo puede que también tenga también un amigo informático y les metas en un verdadero problema a tus amigos.

Deepak Daswani
(dipu.daswani@gmail.com)
(
http://twitter.com/dipudaswani)

lunes, 16 de junio de 2014

Hackeando al vecino hax0r que me roba la WiFi (1 de 2)

Hace unos meses, realizando pruebas de diferentes tipos de ataques sobre redes WiFi, dejé habilitada una red en casa con cifrado WEP, (eso sí, sin el SSID del operador con la contraseña por defecto predecible mediante las clásicas herramientas como Liberad a WiFi). Pasó el tiempo y dejé la red tal y como estaba, consciente evidentemente de que alguien podría querer invitarse algún día a la fiesta sin haber pagado la entrada, en cuyo caso ya mandaría yo a los de seguridad.

Pues bien, hace unos días, echando un vistazo a los Logs del servicio DHCP de mi router, cuál fue mi sorpresa al ver que además de la información de mis equipos, había una fila más con el nombre de host “Rober1”. En efecto, algún vecino estaba intentando utilizar mi red, y considerando que como poco había tenido que utilizar alguna herramienta para obtener la contraseña, podría tratarse de un vecino con conocimientos sobre hacking, aunque lo de poner su nombre en el hostname indicaba lo contrario (siempre y cuando no se tratara de un cebo). Por lo pronto, no conocía a ningún vecino llamado Rober o Roberto.

El primer impulso de cualquiera ante una situación así, podría ser el de cambiar el cifrado de la red a WPA2 con una clave robusta, y cortarle el grifo al vecino, pero los que nos dedicamos a esto de la seguridad, lo vemos como una excelente oportunidad para realizar una práctica con fuego real de hacking en redes de datos, al fin de todo, la red es mía y él es el intruso.

Como no disponía de mucho tiempo, pues esto me cogió justo antes de salir de casa a un compromiso ineludible, además de desconectar todos mis equipos de la red, y dejarle así todo el ancho de banda a “Rober1” para que se sintiese como en casa, mi primer paso fue poner rápidamente uno de mis equipos con Backtrack5, una antena WiFiy la suite Aircrack, a escuchar el tráfico de mi propia red en modo monitor. El objetivo era intentar obtener algún dato que me pudiese dar información acerca del vecino para conocer  sus intenciones, pues podría pretender simplemente utilizarme como ISP y ahorrarse la cuota mensual con esto de la crisis y los recortes, o “auditar” mis equipos, en cuyo caso debía prepararme para la batalla.

Al llegar a casa, y descifrar el tráfico capturado con airdecrypt, me dispuse a analizarlo utilizando en primer lugar la versión gratuita de la herramienta Network Miner, que corre en sistema operativo Windows y es muy útil a la hora de obtener una visión a alto nivel de una captura de tráfico. Una vez cargada la captura,Network Miner identifica todos los hosts presentes en ella, y reconstruye a partir del tráfico tramas, archivos, imágenes, mensajes de chat, credenciales y sesiones si se han capturado, peticiones DNS, parámetros GET.. Además proporciona información interesante sobre los equipos presentes en la captura, que por otra parte podría obtenerse con cualquier otro analizador de tráfico tipo Wireshark, pero facilita bastante la tarea. 


La primera lectura que podía realizar es que se trataba de un equipo con sistema operativo Windows, de nombre “Rober1”, que estaba utilizando mi red para navegar por Internet. Analizando las tramas y las conexiones establecidas, los sitios webs más visitados durante la sesión de navegación, que duró cerca de 20 minutos, eran los siguientes:

http://www.vanitatis.com
http://www.elpais.com/gente
http://devilwearszara.com
http://www.fotoplatino.com
En la siguiente imagen se pueden observar algunas de las imágenes descargadas durante la sesión de navegación:



Sin querer entrar en un debate y limitándome a relatar en este artículo cuáles fueron mis suposiciones y el proceso mental seguido, mi primera impresión fue que más que tratarse de un hacker, se trataba de o bien una hacker o bien la amiga, novia, madre, hermana o esposa de “Rober1”, pues eran todas páginas de  lo que yo considero “marujeo”, orientadas más a un público femenino.

Realizando un análisis más profundo con herramientas como Cookie Cadger o Wireshark, también di con información exacta del equipo que estaba utilizando para conectarse a Internet, identificando peticiones HTTP, correspondientes a la comprobación de actualizaciones disponibles para un Notebook Asus F50SL:



El siguiente paso consistiría en intentar conseguir más información mediante un ataque man in the middle, para intentar obtener alguna credencial en algún sitio web donde tuviera que identificarse, pero para eso debería de estar en casa esperando justo en el momento en que mi vecino/a fuese a utilizar mi red para navegar. Para ello, utilicé Cain + Wireshark en entorno Windows, y también arpsoof en entorno Linux. Coincidimos un par de veces a la misma hora, pero resultó que en esas ocasiones el único tráfico que generaba mi vecino, era el correspondiente a visualizar vídeos en Youtube de bebés. Esto alimentó aún más mi sospecha de que se tratara de una mujer.

Por supuesto, en aquellas ocasiones en que coincidía conectado a la vez que mi vecino/a, antes de intentar un ataque MITM, me propuse escanear su máquina con nmap, pero los puertos estaban filtrados por el Firewall de Windows.

Seguía sin poder identificar al vecino, pues a pesar de tener acceso al tráfico que generaba, no existía ningún rastro de sitios donde se autenticara con credenciales. Ni correo, ni Facebook, ni nada en un principio. Los días fueron pasando, y cada vez era más difícil coincidir en horarios para realizar un MITM. Entre el trabajo y mi reciente estrenada paternidad, complicado cuadrar con el vecino/a.

Por otra parte, este tipo de ataque, no siempre funcionaba del todo bien, hecho que podía achacar también a la distancia del equipo a mi router, pero no penséis ni por un instante que lo iba a dejar así, ¡qué me estaba hackeando la WiFi!

Deepak Daswani
(dipu.daswani@gmail.com)
(http://twitter.com/dipudaswani)

domingo, 15 de junio de 2014

Conoce a Chema Alonso


Hoy os traigo a quién mejor, que a la persona que me ha motivado para entrar en esto de la seguridad informática. Seguro que os gustará de lo que voy a hablar y os diré algunas zonas donde está Chema para que veáis más sobre él.

Chema Alonso ha sido nombrado ya durante 7 años seguidos MVP de Microsoft , es profesor en la Universidad Europea Politécnica de Madrid y en la Politécnica de Barcelona, asiste a las conferencias DEFCON /)- que es algo que no todo el mundo puede ir- ya que son solo para como yo digo “los mejores”, además es escritor de varios libros sobre seguridad informática, escritor de un Blog que es Un informático en el lado del mal y es productor de el gran Cálico Electrónico 

Dicho esto solo me falta poner algunos vídeos sobre Chema para que veáis más sobre él y le conozcáis mejor:


 

Otra cosas es que al igual que a mí, le encantan los cómics y dibujar, él lo hace mejor que yo, sin ninguna duda. Espero que hayáis podido conocer mejor a Chema, mi ídolo que me ha “llevado a esto”.


Saludos Malvados!

sábado, 14 de junio de 2014

Cómo saber el WhatsApp de alguien con WhatsApp Discover

A finales del verano pasado, justo antes de las vacaciones, y de la importante decisión de abandonar mi cálida isla de Tenerife para trasladarme a León e incorporarme a la disciplina de INTECO, me entró curiosidad por analizar el protocolo de comunicación de Whatsapp, que a lo largo de los últimos años se ha erigido como líder absoluto e indiscutible en el trono de los sistemas de mensajería móvil - y si no que se lo digan a Mark Zuckerberg -.


A lo largo de su historia este popular aplicativo ha sido noticia constantemente por sus problemas relacionados tanto con la seguridad de la información transmitida, que en su día llegó a viajar en texto plano, como por la privacidad de las diferentes versiones de WhatsApp para Android o de las versiones de WhatsApp para iPhone. Conocidas estas debilidades, todo el mundo siempre ha tenido mucho interés en saber cómo se pueden espiar las conversaciones de WhatsApp. No obstante, desde finales de 2012, la comunicación entre servidor y clientes van cifradas a día de hoy, aunque es conocido que todavía existen debilidades graves con el cifrado que se usa por la red, así que mi interés se encontraba precisamente en analizar cómo se producía el cifrado de dicha comunicación.

Para ello, el primer paso era investigar y obtener toda la información disponible en la red acerca del protocolo FunXMPP utilizado por WhatsApp, que en aquel momento no era tanta como ahora, así que tras un poco de investigación llegué a la conclusión de que en primer lugar tenía que descubrir la clave de cifrado que utiliza el dispositivo con el que iba a realizar el análisis, (en este caso mi iPhone 4S), y que se transmite únicamente la primera vez a la hora de instalar la app en el terminal.

Esta clave se intercambia mediante SSL, pero el tráfico correspondiente a las conversaciones puede discurrir por los puertos 443, 5222 y 5223 así que para poder inspeccionar no sólo el tráfico SSL sino todos los paquetes, hice pasar el tráfico de mi móvil a través de mi equipo implementando un esquema de ataque de redtipo "machine" in the middle como el que monté en la famosa historia del vecino que me robaba la WiFi y acabo hackeado, utilizando además el famoso proxy Burp, instalando el certificado PortSwigger como enseñaba Alejandro Ramos (@aramosf) en este post en Security By Default.

Tras reinstalar la app de WhatsApp y obtener la interacción de mensajes entre cliente y servidor, pude tener acceso a la clave de cifrado de mi dispositivo, como se puede observar en la siguiente imagen:



Además de esto, en esta conexión el cliente enviaba también otras peticiones entre las que incluía la información correspondiente a los teléfonos que tenía en su agenda para actualizar los estados de todos sus contactos, pero no voy a profundizar en estas cuestiones para no dispersarme del tema central de este artículo, porque además ya se han escrito otros al respecto y realmente cualquiera que conozca tu número puede consultar tu perfil.

Una vez tenía en mano mi propia clave de cifrado, me dispuse a analizar el tráfico generado entre mi móvil y los servidores de WhatsApp. Para esto, decidí utilizarWhatsAPI, una API desarrollada por Max Kovaljov utilizando ingeniería inversa para poder conectar con WhatsApp desde PHP de cara a implementar un cliente de escritorio o cualquier cosa que a alguien se le pueda ocurrir. Cuando me puse en contacto con él, y le conté que estaba usando WhatsAPI para analizar el tráfico generado por mi propio dispositivo, se quedó a cuadros, porque según me comentaba Max, el uso habitual que la gente hacía de esta API era intentar registrar un teléfono desde el PC para poder enviar y recibir mensajes. 



La verdad que tras las vacaciones, así como con el ajetreo del cambio de vida y rumbo a León, no pude llegar a concluir mi investigación y llegar a descifrar completamente una conversación que había capturado. Hice algunos avances empezando a entender el protocolo FunXMPP, a decodificar los paquetes transmitidos en busca del inicio de la comunicación, y los challenge_node enviados por los servidores de WhatsApp para proceder al cifrado de los mensajes: 


Uno de los problemas añadidos al evidente que supone trabajar desde el otro lado, es que además los desarrolladores de WhatsApp introducen constantemente cambios tanto en su plataforma como en el comportamiento de sus clientes, y durante el tiempo que estuve investigando este tema descubrí con Max algunas de estas modificaciones, que además variaban dependiendo del sistema operativo del dispositivo móvil (iOS, Android, BlackBerry, Windows Phone...) y la versión del cliente. Un ejemplo de estas modificaciones es que, al retomar la investigación tras un tiempo, pude ver que al menos conectando desde mi iPhone, ya no se enviaba ningún challenge_node por parte de los servidores de WhatsApp, por lo que concluimos que se había pactado en una sesión anterior.

Durante esta etapa, además de Max, me puse en contacto con Pablo San Emeterio, que estaba haciendo algo parecido estudiando también el protocolo por su cuenta, utilizando Yowsup en lugar de WhatsAPI, y quien junto a Jaime Sánchez hace tan sólo unos meses, consiguió llegar al final y publicar este excelente trabajo.


No he descrito con excesivo detalle el protocolo FunXMPP porque no es el objeto de este artículo, y porque a día de hoy, pasado un tiempo, ya Pablo y Jaime se han encargado de explicarlo con pelos y señales para quien quiera echarle un vistazo.

De todo lo que pude deducir durante esta fase de análisis, una de las cosas que más me llamó la atención es que cuando un cliente establece la conexión con los servidores de WhatsApp, antes de iniciar la comunicación cifrada se envía siempre un paquete previo en texto plano para iniciar la comunicación, que comienza con la cadena “WA”, y en el que se envían además de otros parámetros que van codificados como la versión del protocolo o el mecanismo de autenticación, la siguiente información legible a simple vista:

- Sistema operativo del cliente
- Versión del aplicativo Whatsapp
- Puerto utilizado para la transmisión: 443, 5222 o 5223 (salvo en Android)
- Número de teléfono con prefijo del país


El paquete que se puede observar en la imagen corresponde al enviado por mi teléfono móvil durante la sesión en la que capturaba el tráfico, pero inmediatamente pensé en cuántos de estos paquetes se transmitirían en redes WiFi públicas. Tras realizar algunas pruebas y obtener capturas en diferentes lugares y momentos a lo largo de este tiempo, por aquello de los posibles cambios que han podido introducir los desarrolladores de WhatsApp en el protocolo, he podido confirmar que a día de hoy esto sigue igual - a expensas de lo que pueda pasar ahora tras la compra deWhatsApp por parte de Facebook -. A continuación muestro algunos ejemplos de paquetes de diferentes dispositivos obtenidos en capturas aleatorias:



Tras confirmar esto, pensé en el uso potencial que esta característica de la implementación del protocolo de WhatsApp puede tener para detectar números de teléfonos de personas que se encuentren usando alegremente esas redes WiFi abiertas de cafeterías, centros comerciales, hoteles o aeropuertos, sobretodo para mis amigos solteros. Esa rubia que se encuentra en la mesa enfrente de nosotros, tecleando compulsivamente como si se le fuera la vida en ello, seguramente utilizando WhatsApp. ¿Se imaginan poder obtener su teléfono para primero ver su estado, foto de perfil, confirmar que es ella y enviarle un mensaje? 


Como esto de capturar el tráfico, abrir un .pcap y analizar los paquetes no es para mis amigos solteros, que de esto saben lo mismo que yo de jardinería, me decidí a hacer una herramienta que pudiese capturar estos paquetes y hacer el trabajo sucio por ellos, a la que he bautizado como “WhatsApp Discover”:




La herramienta consiste en un sencillo script en Perl, que puede funcionar directamente en modo sniffer, pasándole por parámetro una interfaz de red, o tomando como entrada ficheros de captura de paquetes, que además se pueden procesar por lotes. Lo único que hace es abrir los ficheros de captura, diferenciando entre tramas Ethernet o IEEE802.11, detectar los paquetes que siguen el patrón especificado anteriormente, y extraer de los mismos la información correspondiente, que dependiendo del sistema operativo de cada dispositivo, no siempre se encuentra en el mismo lugar del paquete. Gracias a la potencia de las expresiones regulares con las que mantengo un idilio desde que las conocí, esto no supone mucho problema.





De este modo, con un sencillo “./whatsapp_discover.pl -f *.cap” podemos obtener los números de teléfono de todas las personas que hayan estado utilizandoWhatsApp en todas las redes WiFi públicas (o no públicas) en las que hayamos capturado pasivamente tráfico. Y eso he hecho yo con mis propias capturas: 



Si vemos con atención la salida de “Whatsapp Discover”, podemos ver que se obtienen números de todo tipo de dispositivos (Blackberry y Symbian incluidos), y que entre los teléfonos que he obtenido tras procesar mis capturas, existe uno que corresponde a un número de móvil americano. Lo curioso es que yo no había identificado este número al mirar las capturas con Wireshark, porque obviamente no las había abierto una a una, pero gracias a haberme construido esta herramienta, pude identificar un número que me llamó la atención.

El siguiente paso fue agregarlo en mi agenda de contactos, porque me picaba la curiosidad, ya que la captura de paquetes la había realizado en una red wifi abierta de un Centro Comercial en mi querida isla, durante las fechas navideñas. Así que supuse que sería alguien que como yo, había vuelto a casa por Navidad. Y parece que así era, ya que de lo que se deduce por su estado, se ve que habla español con se ve en su mensaje de estado: 



He colgado el código fuente de WhatsApp Discover en el repositorio de GitHub comoPoC, ya que de momento he eliminado la funcionalidad de sniffer en tiempo real, porque por limitaciones de tiempo no he podido validar su comportamiento como es debido, y además así evitamos el uso malicioso e indiscriminado de la misma porscript kiddies, los que como mínimo necesitarán saber obtener una o más capturas de paquetes válidas para probar la herramienta.  Podría ser muy útil en herramientas de análisis de pcaps, como Immunity Stalker, donde se conseguiría sacar más información de las capturas. Además, habrá que comprobar si ahora queMark Zuckerberg está detrás de WhatsApp, este leak de privacidad sigue vigente dentro de un tiempo.

Aparte de la rubia de la cafetería, imaginen qué pasaría si una celebrity o un alto cargo público utiliza su smartphone desde la red WiFi de su hotel, para enviar mensajes de WhatsApp, dado lo valioso que es para ellos preservar la privacidad de su número de teléfono. Yo por si acaso, no lo haría si no fuera protegiendo mi WhatsApp con una conexión VPN de por medio ;).

Sólo me queda agradecer a Chema Alonso, como en otras ocasiones, la oportunidad de poder publicar en este privilegiado espacio, así como a mi mujer e mi hija la paciencia que han mostrado estas semanas en las que les he robado el poco tiempo libre que me queda tras la jornada laboral y las tareas diarias de rigor.

Autor: Deepak Daswani
http://twitter.com/dipudaswani
http://deepakdaswani.es
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...