jueves, 31 de julio de 2014

Sin Pardillos 11: Madre Hacker

Figura 1: Sin Pardillos 11- Madre Hacker
Figura 2: Sin Pardillos 11- Madre Hacker
Hoy en día conectarse a una red wifi está al alcance de cualquiera, todo el mundo sabe hacerlo; pero no necesariamente de forma segura. La gente no quiere entender el porqué de conectarse a una red de forma segura, solamente quieren conectarse y enviar ese Tweet y ese Whatsapp de cualquier forma, si puede ser de la forma más segura posible mejor, pero si no; no les importa. Prefieren usabilidad antes que seguridad, y eso los que estamos metidos en seguridad no podemos evitarlo; no podemos quitarles aplicaciones que ellos quieren usar; para eso se deben crear herramientas que sean fáciles de usar y sobre todo, seguras.

Porque ya dije, que pasamos de una camarera dulce y bella como es Penny y no hacemos esas herramientas que sean fáciles de usar para esos usuarios que-como mi madre- no están metidos en el mundo tecnológico y no entienden lo que es por ejemplo PSK, WPA2, VPN, SSTP... y una larga lista de tecnicismos varios.

Por eso que de vez en cuando me meta con estos Pardillos, NOOBS, Tecnicoles, etc. pero siendo sincero los entiendo, porque yo muchas veces cuando leo y leo cosas sobre seguridad; me cuesta entenderlo hasta que lo reviso muchas veces, y yo estoy aprendiendo cada día día de eso e intento hacer posts cada día mejor, ya que poco a poco voy sabiendo más; pero gente que no se para a leer este tipo de cosas, es normal que no lo entiendan y prefieran seguir con su "juego super guay para el móvil" o descargándose programas piratas o lo que cada uno quiera, por eso que después pasa lo que pasa con el señor "rafa1". Pero bueno de todo esto uno intenta aprender y ya sabe que a mi madre no le puedo hablar mal diciéndole AES, TKIP... je je je je.

Saludos Malvados!

miércoles, 30 de julio de 2014

Metadatos en Apple

El tema de los Metadatos es una de las cosas en las que ya he hablado por aquí en los Metadatos de Tony Blair, en algunos bugs con los Metadatos del FC. Barcelona, en cómo se veía que SoundCloud no hacían caso a los Juicy Files, en los Metadatos del PP, en cómo se muestra que las fotos también tienen Metadatos, en los Metadatos del PSOE. También me he encargado de hablar en alguna que otra charla, ya que este problema es bastante frecuente y lo cometen bastantes empresas que por lo que se ve, se les olvida de limpiar Metadatos.

Son bastantes los casos de los que ya os he ido hablando por aquí, pero no podía faltar que os comentase el problema con los Metadatos de una gran empresa como es Apple y en la que o bien buscando los documentos ofimáticos en Google y Bing, o bien, creando un proyecto con la FOCA y descargando y analizando cada uno de los documentos que nos va a mostrar.

Figura 1: Algunos documentos de Apple analizados con la FOCA 

En la Figura 1 se muestra algunos de los documentos que nos ofrece Apple y que he decidido descargarme, después, estando ya analizados; podemos observar la cantidad de información que nos puede ofrecer algunos documentos, como pueden ser mismamente los usuarios.

Figura 2: Usuarios y trabajadores de Apple

Esto es tan divertido como que te podrías ir a sus perfiles de Facebook o Twitter e ir buscándolos unos a uno, aunque más que divertido; mejor vamos a llamarlo...INSEGURO!! Pero esto obviamente no queda ahí, además también podemos ver -ente otros- las rutas por las que se han copiado esos documentos, ya sabéis; para que sepamos si usan disquetes, pen drives para saber a dónde tenemos que atacar y no hacerlo a ciegas y nos de "agua" como sería en el "juego de los barcos".

Figura 3: Rutas por donde se copian los documentos, todo bastante...¿seguro?
Además ya que estamos, vamos a ver qué software usa esta gran empresa, porque deberán de usar software que no sea pirata y de buena calidad, que para eso ganan lo suyo, hasta el punto de que vendiendo Apple se podría acabar con la deuda de España-que no es poca cosa-.

Figura 4: Software que usa Apple...¿Piratearán algún software?
Pero esto se preguntarán muchos que para qué sirve que tenga toda esta información. Pues para nada importante, solamente que podríamos hacer un seguimiento de un usuario en concreto y ver si el software que usa está actualizado a la última versión, si se copia los documentos por algún sitio,etc y así poder atacarle, como por ejemplo preparándole un bonito troyanito para su querido iChisme.

Figura 5: Emails de algunos trabajadores de Apple

La Figura 5, nos muestra algunos emails de algunos trabajadores de Apple, por lo cuál, si realizásemos un seguimiento analizando más en profundidad todos los usuarios; podríamos incluso saber a qué usuarios corresponden estos correos, por el cual podríamos hacer como si fuésemos "el jefe" y enviarle el mismo pdf, word o el documento que el usuario que hemos escogido como víctima haya creado e infectarlo con un troyano para entre otros; sacarle la contraseña por ejemplo, ya que tenemos el documento que ha creado, su nombre de usuario y su correo.

Figura 6: Sistemas Operativos que usa Apple

Pero ya si queremos quedar como verdaderos Dioses, es cuando nos vamos a la parte de Sistemas Operativos y vemos qué usan en Apple, y lo que vemos-según la FOCA en la última Figura- es que efectivamente usan Mac OS, pero también Windows; sí, usan el sistema operativo de la competencia...QUE BONITO ES EL AMOR ENTRE EMPRESAS ENEMIGAS. También usan una distribución de Linux, pero yo creo que después de todo lo que ya hemos visto, Apple tiene suficiente como para decir que la seguridad en sus dispositivos es irrompible. Además por si esto fuese poco, también os dejé hace un tiempo un vídeo en mi Canal de Youtube sobre esto de extraer Metadatos.

Demo de Metadatos con la FOCA

Saludos Malvados!

martes, 29 de julio de 2014

Correos y no tan correos veraniegos

Este verano estoy asombrándome de la cantidad de gente con excesivo tiempo libre para escribirme que hackeé el Twitter o Facebook de su novio/a como con el Twitter de "rafa1" o que hackeé el Whatsapp de un familiar, pareja,etc, porque claro, nosotros los hackers somos malos, aunque nos pidan que hagamos SU delito. Ya empiezan a cansar bastante, y más cuando son tan pesados con lo mismo una y otra vez; pero uno trata responder de la forma más tranquila y con la máxima educación siempre...aunque cuesta.

Figura 1: 1 de julio-Hackear un Facebook o algo parecido, no sé élfico

Figura 2: 12 de julio- Hackear Twitter y Whatsapp de su sobrino
Figura 3: 13 de Julio- Hackear el gmail de su hijo adolescente
Figura 4: 19 Julio-Hackear a su novia que se va de despedida de soltera
Figura 5: 20 de Julio- Hackear el Whatsapp de una persona
Figura 6: 21 de Julio- Hackear el Twitter, Whatsapp y PC de su novia...
VIVA EL AMOR Y LA CONFIANZA
Figura 7: Hackear Facebook de su novio y su Whatsapp
Me asombra la cantidad de parejas que van pidiendo que hackeé a la otra para saber si le son infieles, me estoy fijando que últimamente las parejas no tienen confianza la una en la otra; ¿seré yo el raro y el único que confía? Aunque os parezcan muchos en un solo mes, no están todos; algunos me escriben por Twitter y otros por Facebook y no puedo ponerlos todos en un momento. Yo ya no sé como decir que NO HACEMOS ESTAS COSAS, que después nos dicen que nosotros somos los ciberdelincuentes, cuando realmente los malos; son los que nos piden este tipo de cosas. Además por si no fueses poco, ha habido veces que incluso personas de mi confianza me han preguntado estas cosas por Whatsapp...y eso que se los digo una y otra vez.

Saludos Malvados!

lunes, 28 de julio de 2014

Badoo, un aspirante a bombero y algo de Ingeniería Social: No te fies nada de esa chica que te entra por WhatsApp

Cada vez que tengo que entrevistar a gente durante cualquier tipo de proceso de selección, me gusta perder un poco de tiempo en Internet para ver qué cosas interesantes encuentro de ese candidato por los vericuetos de la red, ya que en 20 minutos no es fácil sacar toda la información de esa persona y en unas búsquedas por el ciber mundo puedes aprender mucho, sobre todo de aquellas redes sociales que se usan para "conocer gente y lo que surja".

Mucha gente cree que ligar en Internet es fácil, pero no todo el mundo es consciente de la cantidad de información que se deja en la red durante el “proceso de cortejo” y que esta información puede estar a “tiro de buscador” para cualquiera que haga un poco de hacking con ellos, como vamos a ver en este artículo.

Figura 1: Badoo, una red para [...] tener una cita
Una de las redes sociales en las que suelo mirar es Badoo, ya que, aunque aparentemente si no estás registrado no puedes ver a los miembros de esta comunidad y cuáles son sus comentarios, fotografías, con qué otros miembros interactúan, etc…, inspeccionando el fichero robots.txt de Badoo se puede observar que en él no aparece ninguna ruta sobre los perfiles de sus usuarios, y que por tanto los buscadores puede que accedan a esos datos.

Figura 2: El fichero de los robots de Badoo, no restringen los perfiles de los usuarios

Cualquiera podría pensar que dichos perfiles podrían estar indexados directamente en los motores de búsqueda, o que bien como le ha pasado a FacebookGmail esas URLs hubieran llegado allí por mala gestión de los enlaces y las opciones de indexación y caché de los buscadores así que directamente probé a buscar usuarios de Valladolid para ver qué información podría obtener de ellos en caso de que ésta fuera pública: 

Figura 3: Resultados que devuelve Google tras buscar contactos de Valladolid


Por supuesto, si estás versado en el hacking con buscadores, la experiencia te deja claro que hay que Buscar en Bing también, que algunos sitios limpian URLs en Google pero se olvidan de Bing, como también le pasó a Facebook y también a la propia Gmail, aunque al final hayan borrado también allí.

Figura 4: Más de 15.000 resultados mostrados en Bing

Tras consultar el primer resultado ofrecido por Google, pude comprobar que efectivamente era posible obtener información de los usuarios de la red aún sin estar dado de alta en ella: 

Figura 5: Mensajes que se muestran públicos en Badoo

Sorprende que además pueda observase cuáles son los mensajes que intercambian sus usuarios, ya que en alguno de ellos, como puede observarse se pueden obtener números de teléfonos personal de los usuarios de la red. Puede que pensaran que estaban poniendo un mensaje privado o simplemente que les den lo mismo, que la gente puede sorprendente siempre.

Llegados a este punto, el siguiente paso era aplicar un poco de ingeniería social, ya que si algunos usuarios habían mostrado tanto interés hacia un miembro de la red social dándole directamente su número de teléfono personal, sería más que probable que también usaran alguna aplicación de mensajería como por ejemplo WhatsApp y hacer algo como lo de buscar los contactos en programas de televisión nocturnos. Y efectivamente, tras añadir al usuario en mi agenda de teléfono pude comprobar cómo realmente éste era un usuario de Whatsapp y tenía una foto en su perfil.

Figura 6: Usuario común en Whatsapp

Para tener éxito en proceso de ingeniería social, es interesante recabar información de una víctima, así que, ya que disponía del número de su teléfono móvil, volví a consultar los buscadores a ver qué información mostraban en función del número de teléfono.

Figura 7: Mensaje del 2006 de prometeo (Alberto) diciendo que va a ser bombero

Observamos cómo el usuario ha dejado el número de su teléfono móvil en más lugares por Internet y que también utiliza el alias prometeo_28; podemos inferir de este alias que su edad actual puede rondar los 36 años, ya que el año que en que dejé en mensaje de la figura anterior data de 2006.

Con toda esta información recabada, el último paso es muy sencillo, hacernos pasar por una chica de nombre Rocío y empezar a entablar una conversación para ir ganando su confianza y así que nos vaya suministrando fotografías comprometedoras e incluso la dirección de su domicilio…el límite lo pone tu imaginación.

Figura 8: Conversación guaporra con Prometeo
Observamos en la conversación de Whatsapp que es una persona soltera que ha empezado a trabajar esta semana, así que seguramente no aprobaría las oposiciones de bombero o quizás éstas no se convocasen, quién sabe. Lo mejor es que pregunta si me dio el número de teléfono. ¿Le decimos que se lo dio a todo el mundo al publicarlo en un comentario de Badoo y en un foro?

Si dejas mucha información tuya en Internet, cualquier día puedes tener un verdadero problema de seguridad en tu vida, y puede que te acaben estafando. Cuida tus datos personales como si fuera tu vida, que así lo son.... y cuidado con las chicas que te entran por chat...

Autor: Amador Aparicio
Twitter: (@amadapa)
Visto en: http://www.elladodelmal.com/

domingo, 27 de julio de 2014

Pasamos de la dulce y bella camarera Penny una vez más

Entiendo que a muchas personas le cueste entender muchas de las cosas de seguridad e informática en general, porque yo-que estoy aprendiendo aún- no me entero muchas veces de cosas que y que cada vez que leo, y veo conferencias de otra gente más especializada y que saben más que yo; aprendo algo nuevo que es interesante. Por eso puede que algunas de las cosas que digo por el Blog, me equivoque y no sean así, pero intento aprender cada día algo nuevo para ir avanzando. Lo que pasa es que hay un problema; esta tecnología está hecha para geeks -entre los que me incluyo- y no para gente como Penny...o mi madre.

Figura 1: Todos con ordenadores menos Penny
Y es que mi madre ha aprendido a conectarse a las redes wifis, porque tiene un hijo que le ha enseñado; bueno no se conecta a ellas, las caza como diría Chema Alonso; y esto trae como consecuencia que me whassape, por si eso no fuera poco; también tiene Facebook, para mi desgracia }XD. Ahora eso sí, resulta muy complicado explicarle a mi madre que se configure Internet de forma segura, sí; ya sabéis lo típico de "pues mira, conéctate a una WPA2 en PSK, utilizando AES, porque TKIP tiene debilidades; además mamá ¿no sé si te has fijado que el SSID es común? por el cuál ya existe el rainbow table, que te permite crackear todas las claves que se negocian durante la sesión. Ten en cuenta que te podrían hacer un ataque 0, que te conecten y te vuelvan a conectar, que negocien las 4 claves de cifrado que se van a utilizar; ten cuidado mamá porque el router, lo ha puesto un tal usuario X en el que si hay un algoritmo que se conoce basado en el BSSID y te lo van a cambiar, además este modelo en concreto, ha salido un usuario en Backdoor que se pueden conectar a través de la interfaz SSH, actualiza el firmware, cambia la contraseña del dispositivo periódicamente; por favor mamá conectate a una VPN  usando SSTP; porque PPTP no hace autentificación a nivel IP y L2TP basado en IPSec tiene el problema que no pasa por todos los puertos cuando no hay proxies cerca, descactiva el Wifi Protector SetUp y cuidado con las alertas de man in the middle". Pero no se lo puedo explicar así porque no entendería nada y porque lo más seguro es que me diese una Makoka.

Con todo esto, sería mejor que se crease una herramienta en la que ya existiera todas estas medidas preestablecidas, porque aunque muchos de los fallos que ocurren a diario en cuanto a seguridad la tengan los usuarios, también es verdad que a veces no se les pone nada fácil para que puedan disfrutar de una herramientas que son muy útiles -si se utilizan bien- como es el caso de Internet. Pero Internet es muy grande y hay personas y grupo de personas que están a la espera de que ocurra lo que sea para robar credenciales, dinero, identidades,etc. Lo que lo hace un problema bastante gordo.

Y más cuando el usuario es un corderito como Penny que no tiene mucha idea de tecnología como sus compañeros Sheldon, Leonord, Rajesh, siendo todos doctores excepto Wolowitz que al menos tiene un Máster. Estos si controlan la tecnología y que manejan muy bien la wifi de su casa como se muestra en este fragmento en unos de los episodios donde Sheldon aconseja "volver a configurar el TCP/IP je je je je }XD...buenísimo.


En todos estos procesos nos hemos olvidado de Penny y de mi madre, y ellas quieren usar las tecnologías, no quieren entender lo que ocurre por debajo y lo que ocurre con e tráfico de red cuando usan el Wifi, solamente quieren tener un momento de disfrute con la tecnología y enviarme Whatsapps e invitarme a que me una a su granja del Facebook, así que por eso hay que acabar con esto; porque los informáticos podemos estar acostumbrados a oír todo esto, pero ni Penny ni mi madres lo están, y va a estar tristes como no puedan usar estas herramientas que tanto les gustan porque la no existencia de "Seguridad". Se necesitan herramientas SEGURAS y que sean fáciles de usar tanto para geeks, como para mi madre.

Deben salir estas herramientas fáciles de usar, como es el caso de Latch, una herramienta bastante buena como ya he comentado alguna que otra vez por aquí , pero no todas las herramientas son así, por eso de momento sólo queda hacer caso a los hackers que tengas al lado que se preocupan por tu seguridad, que parece que solo se acuerdan de nosotros cuando necesitan algo, mientras; somos malos. Aunque esto ya lo he dicho, todo el mundo debería compensar este trabajo de preocuparse por una persona que podría hacerte daño y no lo ha hecho, pero cada uno es cada uno; cada uno elige ser coherente y no enfadarse o enfadarse como hizo "rafa1".

Saludos Malvados!

sábado, 26 de julio de 2014

La Familia Andaluza

Este es uno de los mejores monólogos que he escuchado, me ha hecho "un huevo" de gracia }XD además es fin de semana, y verano; osea que a disfrutar con este monólogo.



Saludos Malvados!

viernes, 25 de julio de 2014

Archivos CITRIX encontrados con los contenedores de BING

La semana pasada mientras buscaba por Internet cosas para leer y aprender un poco más sobre seguridad, que es lo bueno de esto; siempre se puede intentar aprender más porque las cosas van cambiando, por eso que intente aprender y explicar lo que estoy leyendo, viendo, etc. lo mejor posible, y si hay algo mal explicado o que no es así; pido disculpas.

Por eso hoy voy a intentar explicar lo mejor posible el tema de las aplicaciones CITRIX que ya he explicado por aquí en alguna ocasión, y fue mientras veía en Youtube "Mundo Hacker" que se me ocurrió compartir con vosotros unas de las demos que se hicieron en un parque, cerca de la Embajada china.

Figura 1:  Los 30 resultados de los archivos ICA chinos

Entonces tendríamos que abrir un enlace una de las páginas y verlas a ver cuál nos interesaría descargarnos el archivo .ICA

Figura 2: Una página china de la que nos vamos a descargar el archivo ICA
Lo siguiente sería ver el código fuente y buscar la URL donde esté ubicado el archivo para descargarlo y hacer el famoso "playing the piano"

Figura 3: Código fuente y búsqueda del archivo ICA

Yo me he descargado un txt en el que se muestra que tiene usuario pero no contraseña, entonces de resultado queda lo que se vio en el Capítulo de Mundo Hacker que os pondré a continuación.


Si queréis más sobre esto podéis ver en el Blog de Chema Alonso en la etiqueta CITRIX o en este post de la Charla que dio en la Ekoparty sobre lo mismo que para eso sabe mucho más y es uno de los grandes en esto; por eso que un servidor intente aprender de los mejores };)

Saludos Malvados!

jueves, 24 de julio de 2014

Que te vean tu contraseña que has guardado en Firefox

El post de hoy es una de las técnicas más antiguas en el mundo del hacking, más que el Ataque David Hasselhoff, y que trata de una forma muy sencilla de extraer el usuario y contraseña de una persona que este navegando con Firefox. Esto no es una garantía de extraer el usuario y contraseña de cualquier sitio por el que navegue la víctima, ya que esto que os comento hoy, sólo funciona si la víctima hace algo que suele realizar bastante gente como es "Recordar Contraseña", porque Firefox tiene una peculiaridad que es que esas contraseñas las almacena en su navegador si tú se lo indicas.

Figura 1: El Malvado en busca de las contraseñas almacenadas

La cosa sería ver algunas opciones al principio, ya que hay gran amplitud de circunstancias que pueden ocurrir a la hora de hacer esto:

-Que la víctima use por defecto Firefox y por eso que tenga almacenadas muchas cuentas con sus usuarios y contraseñas de los momentos en los que en las páginas que les marcen "Recordar Contraseña", la víctima pulse sobre aceptar.

-Que no lo usen con mucha frecuencia pero que aún así, de alguna vez que al entrar en Firefox, pulsen sobre "Recordar Contraseña", esto de que entre de vez en cuando en Firefox, ya puede ser depende de cada persona, porque le guste usarlo de vez en cuando, porque en sus navegadores predeterminados se les llene de publicidad y se "jarten",etc.

-Que no lo use y por ello que no almacene ninguna cuenta.

-Directamente que no tenga instalado Firefox.

Normalmente la gente suele usar Google Chrome, porque como se dice "va mejor", pero claro; no sabran que cuando se conecten a una URL, Google Chrome, se lo manda a la base de datos de Google para que las almacenen, entonces si te conectas a una URL sin robots.txt, lo que hagan es algo parecido a esto "No aparece nada inyectado ni almacenado en mis servidores, eso es porque quiero que yo se lo almacene TODO" y TODO es TODO, yo personalmente prefiero usar Internet Explorer con Bing, ya que entre otras muchas cosas mejores que posee, normalmente suelen ofrecer más resultados que Chrome.

Ahora después de la imagen que hemos visto en la Figura 1, lo que tendría que hacer un "atacante", es pulsar en "Contraseñas Guardadas", y aquí pueden suceder dos cosas después de pulsar:

-Que tenga ocultas las contraseñas de las cuentas que ha almacenado la víctima, pero que daría igual porque sin ningún tipo de problemas cualquiera podría pulsar en "Mostrar Contraseñas" y verlas sin ningún tipo de problemas.

-Que ya las tenga mostradas-todas las contraseñas de todas las cuentas que tengan guardadas en Firefox- con lo cual ya estaría todo hecho.

Figura 2: Contraseñas recordadas y almacenadas en Firefox

Esto ya cada uno se las debe idear para poder hacérselo a alguien, como aprovechar una vez que se vaya al baño y no cierre sesión, o cualquier otra cosa que ya se os ocurra. Con todo esto debo advertir que yo solamente lo hago para que la gente que haya hecho esto, lo mire y las elimine todas, porque nunca se sabe, es mejor que tenerlas ahí almacenadas, utilizar un software como KeePass para que te almacenen ahí las cuentas que tú quieras y que para poder acceder al software necesitas una contraseña que asignes tú al principio. Esta es mi intención, no estoy diciendo que se lo hagáis a todas las personas que se dejen la sesión abierta; yo no me responsabilizo de el uso que hagáis a lo comentado, aunque esto no sea ilegal.

Saludos Malvados!

miércoles, 23 de julio de 2014

Anuncios en la Tele mejor que la misma tele

Veo la tele, pero cada vez hay programas más malos, ahora eso sí, lo que siguen siendo buenos, son los anuncios de la televisión, y el otro día mientras estaba en Youtube me topé con el anuncio de las Chips Ahoy que pondré a continuación y debo decir que me encantó verlo de nuevo, me recordó cuando era un poco más joven...¡Cómo pasan los años!


"Estoy super bueno
Yo soy super ¡SEXII!
Sé lo que te gustaaaaaaa...tiiii
Si quieres mi cuerpo
Dame un buen muerdo"

Es increíble, pero ya si encima escuchas la versión en inglés ya si que flipas y echas purpurina por la boca }XD


O escucha la versión en reggaton de las mismas galletas...ME ENCANTABAN ESTOS ANUNCIOS Y ME SIGUEN ENCANTADO!!! 


Y si quieres saber cómo se rellenan estas galletas, con ese chocolate que está tan bueno, no puedes perderte este vídeo }XD


"Las Chips Ahoy disfutan, Tú también" }XD

No me llevo comisión de Chips Ahoy, pero es que me encontré el primer vídeo y vea la necesidad de compartirlo je je je y claro una cosa lleva a la otra y en uno de mis pocos ratos libres, me veo más de un anuncio }XD

Saludos Malvados! 

martes, 22 de julio de 2014

CCM se equivoca dando la definición de hacker

Los Hackers somos los malos, pero la gente que pida y pida, eso ya lo sabemos de sobra, pero además ya lo que bastaba por ver es la definición que dan de Hacker en CCM, en este post de hoy no me quiero enrollar, así que los señores de CCM, han dado su opinión y la definición que ellos creen relativo a "Hacker", pues muy bien, ya he dicho por activa y por pasiva que no es así, pero bueno, es su opinión, por eso yo voy a dar mi opinión y la definición que yo vea más apropiada a "Banquero"

Figura 1: Definición de Hacker que ofrece CCM


Banquero: (Del latín ladronis)

1. Referido a la persona que roba dinero de las personas, llegando a ser el dueño del dinero que esas personas han almacenado en sus oficinas con la falsa creencia de estar seguro en ese lugar.

2. Persona que se encarga de poseer una cantidad elevada de casas de personas que han sido desahuciadas, normalmente de una manera injusta, debido a la pérdida del trabajo por culpa de los recortes a las personas que han perdido su casa y que tienen lo justo para vivir.

3. Persona que ofrece regalos basuras como elementos de cocina, por ejemplo una sartén, una olla, un batidor, etc.

4. Referido a aquel que tiene el bolígrafo atado con una cuerda para que no se lo roben o lo pierda, debido a la gran pérdida económica del mismo

Véase también

Sinónimos: Ladrón, usurpador, agarao'
Antónimos: Buena Persona.

lunes, 21 de julio de 2014

Un día de verano Malvado

6:30 Pípípípípí:

¡MIERDA! otra vez que no cambio la hora del despertador, bueno ya que estoy aprovecho un poco el tiempo, me ducho, acabo, me seco el pelo, el cuerpo; ¿afeitarse como opción hoy?...BAHHHH otro día ya si eso.

7:00: Veamos...bien ya hay gente que ha visitado mi blog lo ha leído y por lo que veo han comentado...es lo que tiene escribirlo a las 12 de la noche; que los que llegan de fiesta se ponen a leer mi Blog...para que les entre el sueño je je je. Revisemos mi RSS...¡Todo en orden! ahora a ver que me han escrito hoy al correo...BAHHH lo mismo de siempre que si hackea a mi novia, que si hackea a mi padre, a mi vecino, a mi perro BLA BLA BLA.

8:00: Todo leído ya, a ver si leo algún artículo para inspirarme para escribir el post de mañana...¡NO! Bueno escribiré sobre MITM, Metadatos o por el estilo. Revisemos ahora mi agenda...¡COÑOOO!! hoy tengo conferencia a las 12 y las diapos sin hacer, ya sé mi plan de esta mañana

 9:00: Diapos terminadas, voy a desayunar y a ver si hay más artículos o posts interesantes...Bien, todo bastante entretenido, leídos todos los artículos y posts publicados hasta ahora, voy a ver algunas Tiras de Cómics...JAJAJAJAJAJA super buena esta Tira, pero creo que leeré un libro, un rato antes de irme para la charla.

12:00: Bien Manucariño, tranquilo qe lo vas a hacer genial, Tú puedes fiera, a por todas; como haría Raúl en este momento, tranquilo y a por el "partido"..."Bien, como ha dicho [Nombre del presentador de la conferencia] soy Manu Alén y hoy he venido a hablaros de..."

13:10: Bien, la charla bastante bien, ahora un momento de relax Malvado y para la piscina que el gorro en verano pega calor (lo sigo queriendo con toda mi alma malvada)...Pues para el agua...espera...esa chavala de ahí, parece que no me quita ojo...Viene hacía aquí...BAHHH no será a mí, a tirarse y realizar un Blind Sql Injection  con el agua que salpice a las que están en el filo sin bañarse...-"Hola, ¿cuál es el algoritmo de tu cuerpo, es que lo estaba viendo y me preguntaba si OR 1=1"...¡COÑOOOO! la rubia de antes que no me quitaba ojo...voy a acabar con ella..." pues verás rubita...AND 1=1 y no menos importante AND ASCII (SUBSTR(VERSION(),1,1))>0" Bueno parece que la he espantado...-"Quiero compartirte a través del SMB de Windows"...¿Cómo es que hoy se fijan todas más en mí?" no acabo de entenderlo del todo pero bueno...

6:30 Pípípípípí:

Era todo un sueño, normal si ya decía yo que para una vez que saliese a la calle a tener sociabilidad con los demás seres humanos, no se iban a fijar todas en mí }XD.bueno ya que estoy aprovecho un poco el tiempo, me ducho, acabo, me seco el pelo, el cuerpo; ¿afeitarse como opción hoy?...BAHHHH otro día ya si eso.

7:00: Veamos...bien ya hay gente que ha visitado mi blog lo ha leído y por lo que veo han comentado...es lo que tiene escribirlo a las 12 de la noche; que los que llegan de fiesta se ponen a leer mi Blog...para que les entre el sueño je je je. Revisemos mi RSS...¡Todo en orden! ahora a ver que me han escrito hoy al correo...BAHHH lo mismo de siempre que si hackea a mi novia, que si hackea a mi padre, a mi vecino, a mi perro BLA BLA BLA.

8:00: Todo leído ya, a ver si leo algún artículo para inspirarme para escribir el post de mañana...¡NO! Bueno escribiré sobre MITM, Metadatos o por el estilo. Revisemos ahora mi agenda...¡COÑOOO!! hoy tengo conferencia a las 12 y las diapos sin hacer, ya sé mi plan de esta mañana

 9:00: Diapos terminadas, voy a desayunar y a ver si hay más artículos o posts interesantes...Bien, todo bastante entretenido, leídos todos los artículos y posts publicados hasta ahora, voy a ver algunas Tiras de Cómics...JAJAJAJAJAJA super buena esta Tira, pero creo que leeré un libro, un rato antes de irme para la charla.

12:00: Bien Manucariño, tranquilo qe lo vas a hacer genial, Tú puedes fiera, a por todas; como haría Raúl en este momento, tranquilo y a por el "partido"..."Bien, como ha dicho [Nombre del presentador de la conferencia] soy Manu Alén y hoy he venido a hablaros de..."

13:10: SIIIIIIII!!!!! todas las demos han salido bien, yo que creía que el MITM en SLAAC a una máquina virtual no iba a salir bien, pero ha salido, Internete ha ido bien, la VPN se ha portado muy bien también..Buena charla, ahora a la piscina.

16:00: Pues no ha ocurrido como en mi sueño, ninguna se ha lanzado a por mí...UFFF menos mal que yo ya toy bien con otras personas, como para que venga otra, además mi bichito (nombre de mi ordenador) necesita mucho cariño malvado toda la tarde.

Saludos Malvados!

domingo, 20 de julio de 2014

El día que el LDAP afectó a la Policía

En esta semana me he metido de fondo en el mundo del LDAP, y debo decir que me encanta esta rama de la seguridad, y buscando, leyendo, viendo vídeos, etc. me encontré con un post de Chema Alonso hablando sobre el LDAP en la policía y que me parece bastante interesante y que voy a compartir de lo que me he podido enterar después de la lectura que realicé hace algunos días.

Esto trata en pulsar sobre el candadito de http-s y ver el CRL que aparece en la ruta del LDAP.

Figura 1: CRL en el LDAP de la Policía 
Este servidor permite la conexión de forma anónima, para una comprobación de los certificados renovados, por el cual vamos a tirar para adelante y continuar a ver qué nos encontramos.

Figura 2: Conexión al LDAP de la policía de manera totalmente anónima

Se podría observar como están aquí todas las claves, hashes, Pasaportes, etc. aunque hasta cierto punto es lógico; desde algún sitio tendrán que dar soporte a la administración española...claro que también se debería a ver hecho mejor, que después pasa lo que pasa.

Ya los más boyante de todo, es encontrarte un SHA1, con un objeto llamado EntDirAdmin con atributo userPassword


Figura 3: Hashes, Usuarios y contraseñas en el LDAP de la Policía
Esto Chema, se lo reportó en su día a la Policía, y lo arreglaron de una forma un tanto peculiar, pero más que valida como cualquier otra...Eliminándolo por completo. Pero el problema es que puede que a muchas webs les pase igual, es más; me he tirado noches en vela viendo LDAPs y son bastantes webs afectadas por este problema que es bastante sencillo de buscar, y más con herramientas como OpenLDAP para comprobar si se realizan las medidas, solamente completando el formulario.

Saludos Malvados!

sábado, 19 de julio de 2014

Un Rato de humor malvado

Este vídeo lo vi hace un tiempo y lo he subido a Mi Canal de Youtube jajajajaja, es que no puedo evitar compartirlo con vosotros }XD, me ha hecho, además así empezamos con un poco de humor este fin de semana je je je je }XD


Además también buscando un rato me he encontrado con un vídeo lo más de gracioso de Cálico Electrónico que debéis de verlo, porque es genial como los personajes hacen el famoso Harlem Shake je je je je }XD.


Saludos Malvados!

viernes, 18 de julio de 2014

Sin Pardillos 10: Un buen jedi controlarse debe saber

Figura 1: Sin Pardillos 10-Un buen jedi controlarse debe saber

Soy un fan de Star Wars, por eso que me he leído muchos libros, he visto toda la saga y me impresionase mucho cuando las veía; sobre todo la segunda, que es increíble y me encanta, Dar Veider le dice que es su padre a Luke, además es como una epopeya griega, mezclado con una película del Oeste con tiroteos entre caballeros y de por medio algo del viaje de Ulises...pero si me pongo a hablar sobre Star Wars no paro y me enrollaría mucho y no quiero cansaros demasiado la vista.

Este Sin Pardillos...el 10 ya! es para todos esos Pardillos que cuando se les reporta una vulnerabilidad, se enfadan con los pobres hackers y que después tenemos que controlarnos porque entonces ya sí que somos los malos del todo, pero claro después van de "Guais" y de "super-informáticos" porque saben lo que es 1080p o porque saben montar un vídeo con fotografías y dos transiciones o por descargarse un juego y crackearlo con seriales que hay en Google...GILIPOLLAS++!! No es que yo sea un experto de la informática ni mucho menos, pero si que algo he leído y me he visto y me lo he tenido que currar, sobre todo la parte de Ataques en Redes de Datos, los Metadatos y las bases de datos que es lo que mejor sé; pero sí que nunca haré como todos esos Pardillos que hay por ahí sueltos de ir hablando sobre cosas que no sé.

Es muy fácil que cuando alguien te reporta un fallo de seguridad, enfadarse con él y amenazarlo con denunciarlo, cuando lo único que se ha hecho, es preocuparse por una persona. Es que es algo que me enfada bastante, porque no dejan que unas personas puedan realizar su trabajo cuando no están haciendo daño a nadie, cuando hablo de esto, ya sabréis por quién lo digo-si seguís el Blog- pero por si no lo sabes, es por unos "intelectuales", que al parecer están super contentos porque se ha "leido" el post que le dediqué con todo mi "cariño Malvado", también se divierte hablando sobre temas que no conoce del todo, como la "supuesta suplantación de identidad", pero ya he dicho que este mundo es demasiado grande para sus pobres cabezas sin conocimientos de nada excepto del uso de las palabras malsonantes y las amenazas, ya no sólo de denuncia.

Por otra parte están los que no permiten que se realicen pruebas para encontrar criminales, aunque esas pruebas que estén al límite de la ley, pero que son legales, pero claro; es más importante preocuparse por una foto que está subida en sus propias redes sociales, pero que si la ven en otro perfil, ya se enfadan, porque "no salgan monas"...aunque el zoo está al lado, o también que al tener tropecientas mil fotos en Internet, es normal que no sepan ni las fotos que tienen y que después se vuelvan a enfadar por subir una foto que  que han subido. Aunque todo es de esperar de gente que se preocupan más por unas fotos que porque personas sin ningún tipo de educación, las estén amenazando con violarlas...LÓGICA++. Hay veces que me pregunto si Rousseau no se equivocó en su frase y en vez de "el hombre es bueno por naturaleza", fuese mejor dicho "El hombre es tonto por naturaleza", pero bueno...cada Pardillo a su olivo.

Y ya para terminar este post, solo me queda decir que es normal que si te dedicas a la seguridad informática y reportes algún fallo y el admin se enfade, entiendo que pienses en hacerlo algo mucho pero, porque también se me pasó a mí por la cabeza en su tiempo, pero mejor lee este post que escribí en su día para los que no sepan como reportar vulnerabilidades y no se jueguen la cárcel.

A todos los Pardillos...IROS A TOMAR TODOS POR CULO

Para los demás...Saludos Malvados!

jueves, 17 de julio de 2014

El Twittel te puede robar la casa

Esto del Tuitel tiene cosas que son increíbles, pero en ambos sentidos, increíblemente buenas como establecer una comunicación con demás personas de una manera rápida; pero también tienen cosas que son increíblemente malas, como que hay una plataforma para ladrones para saber cuando sales de casa para que puedan ir a robarte, esta plataforma es la conocida Please Rob Me .

Figura 1: Plataforma para "Twitteros" ladrones de casas

Esta plataforma lo único que hace es un seguimiento de los usuarios de Twitter para ver si publican que salen de casa para estas vacaciones, por el cual será bastante fácil verlo buscando a un usuario en específico y robarle la casa, por lo cual es un problema guaporro.

Figura 2: ¿Sale el Malvado de casa este verano?

Entonces solo basta con esperar que salgan las oportunidades convenientes, pero eso sí; hay que darse prisa que hay mucha gente que pueden llegar a buscar un mismo objetivo y que en cualquier momento se planten 10 ladrones, pues llama un poco la atención...no sé... llamadme observador }XD

Figura 3: Las oportunidades que tiene un ladrón

Entonces cuidadín que esto se relaciona con el Forsquare, por lo que pueden saber cuánto tiempo tardarías en volver, tu nivel económico, etc. Así que este verano ten mucho ojo como dejas tu casa y no dejes muchas pistas, que en tuitel las cazan al momento.

Saludos Malvados!

miércoles, 16 de julio de 2014

Cross Site Scripting y sus excepciones en las webs con CrossDomain.xml

Leyendo noticias y artículos en Blogs sobre esto, he decidido escribir yo-a mi manera- sobre este problema que está afectando a muchas webs. como es el XSS (Cross Site Scripting), aunque de esto ya hablase un poco en el posts que dediqué a los Defacers y a su web para poner la "cabezas ganadas. Pero pasé por encima sobre el XSS, y también por eso de explicarlo un poco mejor para que llegue a la conciencia de la gente y tome precauciones.

Lo primero de todo sería explicar un poco qué es el XSS, pues bien lo explico; el XSS es un tipo de vulnerabilidad informáticas en muchas aplicaciones Webs, que permite inyectar código inseguro en las diferentes páginas por cualquier usuario, normalmente el script que se usa para inyectar es el JavaScript, consiguiendo evitar medidas de control, llegando muchas veces a cambiar la portada de una aplicación web.

Figura 1: Unos de los Defacers sonados en el UPD
Casos de Defacement hay muchos, y solo hay que buscar para encontrarse Defacemente a tuti plen, pero el caso es que los navegadores de Internet, implementan Políticas de Seguridad como es el Same-Origin Policy. Esta Política en lo que consiste básicamente consiste en que hace que el código que se carga en una pestaña, pueda acceder a datos, pero sólo de páginas que vienen del mismo dominio, abreviando, que el código inseguro -JavaScript- nunca podría acceder a la cookie.

También hay casos como el de Adobe que es el plugin el que debe forzar esa política Same-Origin Policy y lo hace con lo que venía a hablar hoy que es el CrossDomain.xml, que lo hace con la configuración del un fichero de cada sitio, pero normalmente el acceso a datos está prohibido, pero siempre hay excepciones.

Figura 1: CrossDomain.xml en Paypal

Figura 2: CrossDomain.xml en Ebay

Estos son dos casos que hoy he traído, pero hay muchos más y que tenéis al alcanza de buscar por vosotros mismos. Por ejemplo en el último caso que es en el de eBay, podemos ver que hay muchas excepciones, así que si algún día se encuentran estas webs u otras muchas con este problema de Cross Site Scripting, con un Defacement en su web, que no se extrañen porque no están siguiendo una buena política.

Saludos Malvados!

martes, 15 de julio de 2014

Por qué soy el Malvado

Esta es una historia no tan larga como los que están curtidos en mil batallas, que tienen muchas cositas que contar; pero yo soy joven y bello...bueno soy joven y rico...bueno más joven que rico, Ya está!!! ya lo tengo!!!! soy joven y valiente, valiente...gilipollas zi jejeje }:). Pero una cosa que sí que soy además de joven y gilipuertas, es malvado; sí soy el malvado y este apodo viene por una vez que en una conferencia el año pasado...bueno algo más de un año. El caso es que estaba en mitad de la segunda DEMO, con mi gorro y mi portátil; la DEMO era sobre los metadatos en las fotografías, algo bastante simple y que por lo visto sorprendió bastante a la gente y que empezaban a asombrarse, pero en el al fnal de la charla, una persona dijo lo siguiente en el turno correspondiente a las preguntas "Muchas Gracias por la charla, ha sido muy bueno el tema y tu explicación, ahora eso sí; ERES UN POCO MALVADO". Esto me lo dijo en tono de broma por eso de los metadatos y porque hice una rápida consulta a la web de la conferencia y dije "Ufff, pues tiene un poco de mielda }XD".

Pero bueno, fue un comentario que me hizo gracia, pero en la siguiente charla que tenía que impartir al tiempo, la misma persona fue y dijo lo mismo; entonces empezó todo el salón diciendo "Malvado", entonces esto ha ido corriendo de boca en boca y me he quedado con este apodo, que no me disgusta para nada.

Saludos Malvados!

lunes, 14 de julio de 2014

Un problema bastante malvado

Hace unas semanas que me enviaron este correo y si os digo la verdad, me afectó bastante lo que le sucedió a esta chavala. Cuando leí el correo que me envió, no podía entender cómo podía existir gente así, aunque estas cosas por las noticias que salen diariamente, ya me las sé; pero eso sí, cuando me dicen estas cosas y más personas que les ha pasado a ellas, me sigue afectando mucho.

Figura 1: Un pedófilo que espiaba a través de la webcam a sus vecinos

Estas cosas de espionaje pasan, y más cuando la gente me pide cosas que se pasan de malvadas. Pero el caso es que comos e puede observar, estas cosas pasan también en España, el caso de la Figura 1; es en Aragón, pero el caso que os traigo hoy es de Madrid, por lo cual me reafirmo en lo dicho; hay que hacer caso a los hackers que se preocupan por TU seguridad.

Figura 2: Una muchacha es espiada a través de la cam

Con esta persona me puse en contacto para que me contase más detalladamente, y debo decir antes que nada que ella me ha dado su consentimiento para que escriba lo que ella me contó a modo de enseñanza para todos los que lean esto. Esta muchacha me contó que al principio lo agregó porque "no veía que fuese una mala persona" -aunque después ya se vio que era mentira- también que le fue dando zonas de contacto porque "parecía simpático". También me contó que incluso un día le hizo un pequeño striptise por Skype, según ella porque "no pensaba que pudiese pasar nada", además de ese vídeo que le grabó, también poseía -el atacante,acosador o como lo queráis llamar- unos vídeos que grabó estando con su pareja mientras mantenían relaciones al más puro estilo de Julie.

Todo esto es posible gracias a herramientas como ManyCam que te permiten elegir los vídeos que mostrar a la gente con la que puedes estar chateando por sitios como Skype. Por eso cuando digo a la gente que no se fíen de alguien aunque lo estén viendo la webcam es por algo.

Pero lo realmente importante es cómo se debe reaccionar ante estas situaciones, lo primero que suele hacer la gente es pagar directamente; lo cuál es un problema porque ni pagando te aseguran que esas imágenes y vídeos acaben por Internet. Lo que se debería hacer es tener una firma de tu perfil con eGarante, denunciar en esa red social a ese perfil y después denunciar a la policía, pero NUNCA se debe pagar a lo que te piden, porque normalmente te pedirán más dinero.

Figura 3: Facilidad para extorsionar nivel Máster
Por eso siempre a mis familiares y gente más cercana a mí, siempre les recomiendo que tapen la webcam y que no hagan nada en la "vida digital" que no harían en la "vida real", y me gustaría mucho poder dejar de tener esta cara cuando veo los problemas que hay con las webcams, pero aún así hay gente que no aprende, no escucha a gente que sabe aunque sea un poco de esto y prefieren enfadarse; a ese tipo de gente, siendo sinceros, no me importa tener esta cara }:D

Figura 4: Cara que se me queda cuando veo las noticias de seguridad, cada vez
me sorprenden menos
Saludos Malvados!

domingo, 13 de julio de 2014

El Malvado no sabe lo que los lectores quieren

Hace dos días mientras pensaba en qué nuevos post podría escribir en los próximos días hasta que un lector me abrió los ojos y me dio una idea bastante buena gracias a su comentario en el que hacía una crítica...constructiva (IRONÍA) de mis conocimientos para escribir lo que la gente busca y sobre la más o menos gracia que pueda hacer, por eso una vez más gracias Álvaro porque gracias a tu comentario ya tengo post hoy.

Figura 1: No toda la gente está contenta con lo que se escribe

Cuando leí el comentario, no puede evitar contestarle con toda mi educación y lo mejor posible lo siguiente.

Figura 2: Una contestación malvada

Al igual que esta persona que libremente ha expresado su opinión, yo hago lo mismo hoy; este blog no va para aprender a hackear, ni para nada de eso, que la gente pide y pide y no veas, que las cosas que piden a un malvado, porque claro, los hackers no podemos reportar ningún fallo de seguridad o vamos a la cárcel. Pero esto es algo con lo que si alguien quiere dedicarse a esto, debe acostumbrase, que el código penal está como está, aunque se podría volver con la misma historia de siempre, como la de "si tiene la password por defecto es porque quiere que yo entre ¿no?" y el "yo entro, pero dime cuando te molesto y yo me voy, yo no quiero mantenerme contra tu voluntad, en cuanto te moleste me lo dice, y me voy, yo estaba de paso y he entrado porque la puerta estaba abierta y quería decirte que la tenías abierta". Pero bueno todo depende del juez que te toque delante, aunque claro está, seguro que usan un iPad sin llegar a saber usarlo, o si no...¿Que me digan el nombre de 10 archivos importantes de iOS? o 10 archivos importantes del sistema operativo Android si es que usan una Galaxy Tab por ejemplo o cualquier smartphone };)

Figura 3: Hay que saber lo que se usa, que así vamos como vamos

Pero bueno, como ya he dicho antes, si a alguien no le gusta de lo que hablo en el Blog, que no lo lean, o si lo leen, que escriban en lo que no estén de acuerdo pero sin faltar al respeto, que para eso yo no he insultado a nadie, además también debo decir que podéis comentar sin ningún tipo de miedo, que solo acabaran con un post dedicado los que vayan buscando delincuentes y se confundan de persona.

Saludos Malvados!

sábado, 12 de julio de 2014

Explicación de una DEMO en un vídeo

Ya he hablado muchas veces del problema de los metadatos, como ocurrió en el PSOE, o en el documento de Tony Blair y algún caso más que otro; todo esto realizado con la FOCA que permitió que nos riésemos un poco como el día de los bugs coperos dedicado a los amigos del FC Barcelona con todo mi cariño malvado. Por eso, por si hay gente que aún no lo entienda del todo este tema de los metadatos, he dejado un vídeo en mi canal de Youtube sobre la extracción de los metadatos en una foto y algún que otro documento.




Con todo estos post sobre metadatos más este vídeo, yo creo que ya debe de quedar bastante claro que los documentos ofimáticos, las fotos y los vídeos tienen metadatos, lo cuál hay que cuidar y eliminar si se va a subir a la gran "nube online" llamada Internet. Por eso cuando extraigo metadatos o veo noticias de a gente que le han sacado los metadatos, yo pienso en que si ese fuese yo, me daría un poco de "vergüenza más que torera".


Saludos Malvados!

viernes, 11 de julio de 2014

Libro Ataques en Redes de Datos IPv4 e IPv6 2ª Edición

Figura 1: Libro Ataques en Redes de Datos

En estos días, estoy en la lectura de este libro de la editorial 0xWord en la que es como un pequeño tutorial de los ataques en redes de datos, narrando ataques como DNS SPOOFING, Rogue DHCP, Hijacking, ARP y demás ataques basados en el Man In The Middle.

Es un libro que recomiendo leer siempre y cuando ya se tengan unos conocimientos básicos sobre las redes de datos, ya que si no se tienen, puede llegar a ser bastante complicado el buen entendimiento del libro.

Además este libro no te va a enseñar a ser hacker, este libro lo que va a hacer será intentar explicar lo que sucede en las redes de datos que pueden montar muchas empresas y que las montan de mala forma y por eso que después suceda lo que sucede; y todo por una red mal montada.

Saludos Malvados!

jueves, 10 de julio de 2014

Cosas de la Tecnología

Lo siento, este monólogo me ha hecho mucha gracia, además tengo mucho tiempo para escribir estos días, os dejo este monólogo que es buenísimo; disfrutad.


Saludos Malvados!
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...