viernes, 31 de octubre de 2014

Que cunda el pánico por favor

Hace unas semanas, manteniendo una conversación con una persona, salió el tema de los antivirus para móviles. Por lo visto esta persona no tenía anti-malware en su dispositivo móvil-la conversación empezaba a ser interesante- pero gracias a todos los dios, se descargó un anti-malware y limpió todo lo que le había detectado dicho antivirus, y soltó la frase que esperaba "Ya está todo limpio", sonrisa malvada y "Que el antivirus te haya detectado eso, no significa que solamente tenas eso, seguro que tienes algo más", entonces ya dijo lo que consiguió conquistarme aún más "Bueno...pues casi todo limpio".

Figura 1: Que cunda el pánico por favor


Esta persona ha aprendido algo muy valioso con esa frase última que parece muy tonta, porque ya ha asimilado-seguramente no entendido- que los antivirus no te lo detectan todo, pero si gran parte de malware. Que lo entienda o no realmente da igual, pero que lo asimile ya es un paso bastante importante, y eso es lo que pretendemos en SoftCrim, que la gente asimile temas de seguridad, el que quiera entenderlo ya estudiará, pero lo más importante es que empiecen a securizar sus vidas.

Hasta la Próxima Malvados, un HandShake amistoso!


jueves, 30 de octubre de 2014

eBay con Metadatos. ¿Quién será el siguiente?

Muchas empresas tienen metadatos en su web con información de su empresa, que cualquier atacante puede usar para un Ataque Dirigido. Y uno de los días antes de acostarme, estaba navegando por Internet y di con la página de eBay y decidí trastear con ella un rato, pero como tenía que dormir y descansar el gorro, pensé que era mejor ver solamente si tenía metadatos...y me los encontré.

Figura 1: Me quitan los Metadatos de las manos Chaaaachooo
Figura 2: Como no, usuarios seguramente no reutilizados
Ya he dicho que hay que limpiar metadatos de tus archivos, y esto de limpiar metadatos es algo que en SoftCrim ya hemos dicho a algunos administradores. Así que aplícate el cuento.

Hasta la Próxima Malvados, un HandShake amistoso!

miércoles, 29 de octubre de 2014

Las Herramientas del Webmaster y algunas cosas más para SoftCrim

 Sigo teniendo mucho trabajo y muchas cosas que hacer, por eso tengo que programar los posts para el Blog, intentaré que el mes este que entra escribir sin programarlos, pero será complicado, porque el mes de noviembre que me viene por delante-y diciembre también- tienen pinta de que voy a estar bastante ocupado. Pero bueno, hoy os quería dejar algo de lo que me estoy encargando en SoftCrim, soy el CEO y me estoy encargando de la seguridad, y lo que traigo hoy, creo que puede servir para los administradores y que no pase como pasó con los señores a los que reporté la incidencia de SoundCloud, que me dijeron que no era un incidente.

Herramientas del Webmaster de Google

Las Herramientas del Webmaster te pueden resultar bastante valiosas si eres el administrador de un sistema, por ejemplo, para eliminar URL que contengan un txt de contraseñas de un usuario-or poner un ejemplo-. Y esto es lo que estoy haciendo todos los días, ver si cualquier URL puede ser comprometida o vulnerada para eliminarla del índice de Google.


Figura 1: Herramientas del Webmaster para SoftCrim
Los Meta-tag

De esto es algo de lo que me gustaría hablar   en otro momento que tenga un poco más de tiempo para que quede lo mejor explicado posible, pero mientras, unas capturas de algunas de las cosas que también estoy haciendo en SoftCrim.

Figura 2: Meta name "noindex"

Figura 3: X-Robots-Tag

Figura 4: X-Rotos Tag en Googlebot y otherbot
Esto han sido ALGUNAS de las cosas que estoy haciendo, además también estoy estudiando para aprender más, estoy también redactando una cosilla que me gustaría dejaros por aquí lo antes posible-pero al ser entradas programadas es lo que hay-. Tengo de tiempo libre, el rato que estoy comiendo y el de dormir por la noche, y aún así, hay post diario en el Blog, estoy muy contento de ello.

Hasta la Próxima Malvados, un HandShake amistoso!

martes, 28 de octubre de 2014

Todo por los clientes

Mis clientes son lo primero, si algo necesitan algo, yo se lo doy-TODO lo que necesiten je je je- si a ellos les gusta algo, a mí también, y por eso he escogido este vídeo como mejor muestra como soy yo con mis clientes je je je

Figura 1: Me lo tiro por mis clientes

Un poco de humor no viene nada mal, ya en serio, trato de preocuparte al máximo por mis clientes y quiero que estén un poco más seguros.

Hasta la Próxima Malvados, un HandShake amistoso! 

lunes, 27 de octubre de 2014

Sin Pardillos 13: Operación Gorro de Navidad

El tiempo libre que tengo es muy muy poco, pero un día antes de acostarme decidí dibujar un Sin Pardillos. Y he visto que hay que ponerse ya a trabajar, que es urgente. Ahora entenderéis en qué voy a trabajar je je je.

Figura 1: Sin Pardillos 13-Operación Gorro de Navidad
Hacía tiempo que no subía un Sin Pardillos y quería dejaros uno hoy, espero que os gusten mis cuatro trazos mal hechos. Feliz Semana!

Hasta la Próxima Malvados, un HandShake amistoso!

domingo, 26 de octubre de 2014

Los CazaVulnerabilidades

Figura 1: Los CazaVulnerabilidades


Así es como nos sentimos en SoftCrim cada vez que nos ponemos a revisar y auditar una web. Esta es la melodía que suena en mi cabeza cada vez que estoy trabajando en ello. Y me encanta. Me encanta ir de administrador en Administrador  diciéndole "No has aplicado medidas de Seguridad, o por lo menos no las suficientes".

Figura 2: El Malvado GhostBuster }:)

Pero bueno, lo realmente importante es que toman las recomendaciones-por algo piden ellos esa Auditoría- y le ponen la solución que nosotros vemos mejor. Estamos trabajando en muchas cosas. Una de ella estamos investigando para ver si tenemos luz verde y ponernos en marcha a desarrollar algo que esperemos que sirva de utilidad, pero de momento hay que investigar y probar mucho.

También debo recordar que si aún quieres participar en SoftCrim, no tienes nada más que ponerte en contacto conmigo o con el contacto de SoftCrim. No nos importa si sabes mucho o poco de Seguridad, programación, informática, etc. nadie sabemos mucho de todo, estamos para aprender, y si quieres aprender de nosotros y nos dejas que aprendamos mucho de ti, PERFECTO.


Hasta la Próxima Malvados, un HandShake amistoso!

sábado, 25 de octubre de 2014

Historia: ¡Primer teléfono!

Ayer dije por el Blog, Cuál fue el primer ordenador y hoy hago lo propio con los teléfonos, y es que la tecnología evoluciona a pasos de gigante, que maravilla que se pase de dos yogures con un hilo, a lo que hay hoy en día.

Figura 1: El primer Teléfono
Y también el primer móvil en el que podías escribir mensajes y emoticonos.

Figura 2: El móvil Telesketch

Hasta la Próxima Malvados, un HandShake amistoso!

viernes, 24 de octubre de 2014

Historia: ¡El primer ordenador!

Esto es algo que a lo mejor no sabías, posiblemente no sabías que el ordenador está basado en el Ábaco o el quipú ¿no lo sabías? pues ya lo sabes.

Figura 1: El primer ordenador...El Ábaco
Figura 2: El quipú
Y esto es el primer ordenador, el Ábaco o quipú , el primer sistema capaz de almacenar información.

Hasta la Próxima Malvado, un HandShake amistoso!

jueves, 23 de octubre de 2014

Esquema para infectar un Archivo

Una de las cosas que estamos trabajando en SoftCrim, es el de advertir a las peticiones que recibimos, sobre cómo se infecta un archivo, y cómo se envía y cómo hacen esto los "malos". Este post lo más seguro es que acabe también en SoftCrim. Aún así, os dejo un esquema que he realizado en un poco del poquísimo tiempo libre que tengo. Aquí os lo dejo.

Figura 1: Esquema de infección de un archivo

La conclusión es OWNED! Por eso, ya que sabéis como sucede todo este mercado, tened cuidado con lo que recibís, desconfiad un poco.

Hasta la Próxima Malvados, un HandShake amistoso!

miércoles, 22 de octubre de 2014

¿Quieres respuestas a tus problemas? Busca en Google

En Google puedes encontrar documentos en Dropbox, números de teléfono, contraseñas y un largo etc. Por eso es evidente que si quieres encontrar algo, si buscas en Google, lo encuentras. Y lo que voy a contar hoy es algo que me llevo encontrando unos años ya. A lo que me refiero, es que te puedes encontrar las soluciones de libros de texto, sí, como has leído bien.

Y con algo parecido a esto, hace unos meses, tuve un debate con una profesora sobre si tener las respuestas a un ejercicio servía de algo o no. Ella mantenía la postura de que sí servía, y mucho; tanto para aprobar un examen; yo en cambio defendía que NO sirve de nada tener la respuesta, simplemente para cuando acabes un ejercicio o problema saber el resultante. Yo trataba de EXPLICÁRSELO, mientras ella trataba de CONVENCERME, y yo no tuve otra que decirle "Si yo hago un procedimiento mal pero el resultado me sale como en la solución ¿me aprobarías el examen? ¿si te digo que en el problema de 2-2= 2- (-2) que es igual a 0(Erróneo, sería 2+(-2)=0 ya que la resta no existe en matemáticas) me seguirías aprobando el examen? Porque al fin y al cabo, te he puesto la respuesta, y como dices que tener la respuesta sirve para aprobar, si te pongo eso me aprobarías ¿a que sí?" En el mismo momento que ella acabó de escuchar mi argumento, y se quedó dubitativa por un momento, supe que ese debate lo tenía ganado. Pero aún así me dijo que "¿y? Por eso si tienes la respuesta se debería sacar buena nota ¿No?" Pero nada, que la humanidad está perdida; no entiendo como se puede pensar tan poco, yo intenté aclararle las cosas diciendo que "Pues por eso, fíjate lo que importan los resultados, si teniéndolos se sacan mala nota (en una clase en general)" Pero que nada, que seguía con el "¿y?". me tuve que armar de paciencia y callarme para no decir nada al respecto sobre su poco razonamiento-porque encima se enfada con este DEBATE y no DISCUSIÓN -.

Así, que para que los alumnos puedan saber si los ejercicios están bien y DAR FACILIDADES, voy a mostrar como puedes ver solucionarios de libros, con nuestro querido Hacking usando Buscadores.Allá vamos.

Figura 1: Buscando las "Respuestas todopoderosas"

Tan sencillo como buscar el nombre de un tema cualquiera-como acabamos de empezar, que mejor que el tema 1- y el ext:pdf. Iba a hacerlo con los temas que esta profesora impartía, pero no quería meter guerra, pero podéis probar y ver como realmente puedes llegar a encontrar cualquier tema.

Figura 2: Soluciones de un tema de  Bachillerato
Aquí hago una parada, haciendo una crítica CONSTRUCTIVA a ALGUNOS profesores que no dan ninguna facilidad a sus alumnos, y estos tienen que ir buscándose la vida para saber si lo que hacen lo tienen bien. De acuerdo que esto va a servir para saber buscar, pero denigrante que se tenga que llegar al punto de buscar las soluciones para saber si lo que estoy haciendo está bien o no. Pero también hay otros-como ya he dicho- que dan todas las facilidades del mundo para que sus alumnos aprueben y APRENDAN, profesores como mis profesores de Sociales, Lengua y Biología de 4º de ESO, y profesores, como mis profesores de Bachillerato, que dan muchas facilidades y estoy encantado con eso.GRACIAS. Pero que los alumnos también tenemos a culpa, pero es que me parece fatal esto de tener que llegar a este punto, y todo por no hacer las cosas como se deben.

Pero si queréis también buscar, podéis encontrar webs que almacenan libros enteros de soluciones de diferentes editoriales y diferentes asignaturas.

Figura 3: Webs que almacenan las respuestas
Después nos quejamos de por qué estamos como estamos, educación decían. Pero si seguimos en la edad Antigua, no evolucionamos nada de nada, no damos facilidades, hacemos la cruz a gente por sospechas, no debatimos, no argumentamos. VIVA LA VIDA di que sí, para eso estamos aquí, para seguir igual que hace siglos.

Hasta la Próximas Evolucionados Malvados, un trueque de HandShakes!

martes, 21 de octubre de 2014

El tiempo libre brilla por su ausencia para el Malvado

Ya he dicho que tengo poco tiempo libre, pero por si hay algún alma que todavía no se lo cree, aquí le dejo una foto sobre lo que estoy estudiando-que no es poco- y trabajando para SoftCrim. También he dejado fuera de la foto mi agenda que estoy llegando de cosas que hacer para los próximos dos o tres meses, cuando estén cerradas todas las iré contando-.

Figura 1: Trabajo, estudios, trabajo, estudios,trabajo,etc.
I want to have a bit time for me please!!! je je je. Nope, estoy muy contento de tener poco tiempo estudiando y pudiendo hacer cosas de trabajo.

Hasta la Próxima Malvados, un HandShake!!

PD: Can you give me a bit of your time? I will give some thing very  special je je je

lunes, 20 de octubre de 2014

iOS 8.0.2: Apple actualiza iOS [otra vez] después del caos

Está claro que si tienes un dispositivo con iOS debes teer bastante cuidado con "algunos problemillas que tienen estos dispositivos. El post que traigo es del 26 de septiembre, pero por mi poco tiempo libre hasta dentro de un mes o algo más-o lo sé, estoy cerrando muchas cosas-. tengo que programar posts para garantizar el post diario en Blog. Así que espero que os guste este post que NO ES MÍO-que después no venga ningún hater diciendo que me copio-.

Hasta la Próxima Malvados, un HandShake amistoso!

Post sacado de Seguridad Apple
******************************************************************************

Figura 1: iOS 8 con algunos problemas
Apple ha liberado la versión 8.0.2 de su sistema operativo iOS. En esta nueva versión de su sistema operativo se solventan una serie de problemas que provocaban la pérdida de funcionalidad telefónica, es decir, pérdida de cobertura y el poder utilizar correctamente el Touch ID. iOS 8 solo lleva una semana en el mercado y ya tenemos dos actualizaciones. Muchos usuarios se preguntan si las cosas se están realizando correctamente desde Cupertino, ya que todo hace indicar que la nueva gama de iPhone y el nuevo sistema operativo no está encajando como debiera. 

Apple sabe que estos problemas dañarán su imagen, llevando a la marca a realizar el primer downgrade realizado por los chicos de la manzana, en lo que a su dispositivo móvil se refiere. Por Internet se ha filtrado cierta información sobre lo que ha pasado en Cupertino, todo hace indicar que algunas cabezas han rodado. En la siguiente captura podemos ver un intercambio de correos electrónicos dónde Ming Chow, un conocido hacker con amistad con personal de Apple habla sobre el tema.

Figura 2: Envío de correos sobre los problemas en iOS 8.0.1

Los usuarios que tienen su flamante iPhone 6 ya disponen de la posibilidad de solventar los problemas sin tener que hacer el downgrade. Apple ha tardado menos de 1 día en arreglar el problema, aunque el daño a la imagen está hecho. Las cabezas han rodado por las oficinas de Cupertino..

domingo, 19 de octubre de 2014

El Mejor Antivirus que puedas usar

En SoftCrim estamos intentando que la seguridad sea algo más llevadera para los usuarios que no disponen de conocimientos básicos; por eso tenemos ya un proyecto en mente del que nos toca investigar, desarrollar, probar y lanzar si todo va bien; pero eso es algo que ya iré contando. El caso es que como estamos tratando de ayudar a la gente, nos están llegando varias preguntas, pero una de ellas es esta: "¿Qué antivirus debo usar para estar seguro y que no me hackeen?" entonces empieza el debate, por eso voy a intentar aclarar el tema este de "qué antivirus es mejor".

Figura 1: ¿Qué antivirus es mejor?

Hay una gran variedad de antivirus, pero ninguno consigue detectar y detener todo el malware que se pueda "colar" en tu sistema, por eso que no se llegue a una respuesta clara-aunque tengo algunos con los qu eme ha ido bastante bien-. Pero si queréis estar un poco más seguros, debéis seguir unos pasos muy sencillos:

-Ponerte un antivirus
-Quitarte la cuenta de Twitter
-Quitarte la cuenta de Facebook, que llegan cosas mu' malas
-Actualizar tu sistema operativo
-Actualizar el resto de programas de tu sistema operativo
-No repetir contraseñas
-Comprobar la firma del paquete antes de instalar
-Que no use una firma revocada
-Usar un software de monitorización de parches
-Parchea el Software de Monitorización de parches
-No uses pen drives sin cifrar
-No te dejes enchufar pen drives por cualquiera
-No actualices el software de monitorización de tu software inseguro desde una red wifi insegura
-No actives el Bluetooh si estás en una red wifi insegura
-Usa una VPN para conectarte a cualquier red wifi-incluida la de tu casa-
-Que la VPN no sea insegura
-Monitoriza los ficheros de log ante fuerza bruta
-Configura tu firewall de forma segura
-No te conectes a una cuenta de administrador
-Usa un plugin para conectarte siempre mediante HTTP-s
-No te confíes de todas las aplicaciones del Google Play
-Cuidado con lo que mandas y abres por Whatsapp
-No des tu número de teléfono a cualquiera

Y un largo etc. Pero de momento intentad tomar algunas de estas medidas- no vais a conseguir implementarlas todas, pero cuantas más medidas uses mejor- no vais a conseguir estar 100% seguros, pero sí que podéis estar un poco más seguros que antes.

Hasta la Próxima Malvados, un HandShake amistoso!

sábado, 18 de octubre de 2014

Con tan poco tiempo como para ir a la cárcel

Con el poco tiempo del que dispongo, el rato que tengo para poder revisar mi correo es escaso, pero aún me encuentro correos como el que os dejo hoy. Ya que como he hecho alusión, tengo poco tiempo, os dejo el correo y cumplo con lo de 1 post diario en el Blog.

Figura 1: No paran los correos

Sigo cansado de que la gente confunda y diga que un Hacker es un ciber-criminal, pero ya veo que no se quieren enterar, pero quiero que queda claro que estos correos los envían profesionales de la seguridad (Ironía On)...ah y de gratis.

Hasta la próxima Malvados, un HandShake amistoso!

viernes, 17 de octubre de 2014

¿Hemos evolucionado?

Figura 1: ¿Hemos evolucionado?

La evolución, que bonita cosa de la que se dio cuenta Darwin. La Tecnología evoluciona, y a pasos de gigante, cada vez más sofisticada; pero  con los mismos fallos de seguridad. ¿De verdad estamos evolucionando? Esto es una duda que tengo alguna que otra vez cuando miro a la gente.

Antes en la Antigua Grecia, la homosexualidad, se llevaba normal; no les era un problema ya que para ellos la belleza residía en el orden mental-y los hombres,supuestamente han estado siempre más "cuerdos"- por eso era normal una relación entre hombres, pero hoy en día, parece que a estos colectivos se les tacha...aunque a veces con razón, ya que hacen una absurda unión para luchar contra los que los discriminan, no acabo de entender contra quién deben luchar ya que cada uno es libre de hacer con su cuerpo lo que le de la gana.

Pero no venía a hablar de esto, ni de las gilipolleces que pueden llegar a decir un grupo de personas con pocos dedos de frente y con el razonamiento justo y que solamente saben meterse en la vida de la gente a insultar, hay gente que ha cometido el error de meterse con una persona a la que quiero. Pero que me voy del tema, el caso es que antes creo yo que eran más maduros que nosotros hoy en día. Antes en muchas zonas no se criticaba tanto a la gente, pero esta es la sociedad de hoy en día, la sociedad en la que hay que hablar mal del que está al lado si quieres caer bien...prefiero caer mal sinceramente.

Pero lo mío es la tecnología, por eso voy a hablar de ella, porque ya veo que lo que son las personas, han evolucionado...para peor. Pero bueno, yo no veo que haya evolución alguna-hablando en general- porque al fin y al cabo hay fallos de seguridad "de toda la vida" y ya sean por que no se sabe o porque estar acostado sin hacer nada es muy cómodo, pero evolución no veo por ningún lado en general, y eso me entristece.

Hasta la próxima Malvados...evolucionar por favor

PD: Yo soy el primero al que le queda por evolucionar.

jueves, 16 de octubre de 2014

Buena Lección

Hace ya bastante tiempo que vi este vídeo en el que me parece que lo que hace AuronPlay está bastante bien, ante amenazas de este tipo. Y por eso me estoy pensando bastante en tomar la misma idea para unas amenazas que recibí hace un tiempo de una persona de la que ya he hablado por aquí. Por supuesto esas amenazas están firmadas digitalmente por un tercero de confianza como es eGarante.

Figura 1: Lección a ALGUNAS fans de los Gemeliers

Estoy por tomar la misma medida, aunque puede que el que realice la llamada no sea yo, si no un compañero. A ver si aprende a mantener la boca cerrada, y a utilizar la cabeza para algo más que para peinarse.Queda dicho.

Recordar que si os amenazan o acosas por redes sociales, NO SIRVE DE NADA UNA SIMPLE CAPTURA COMO PRUEBA, ya que hemos visto la fácil que es crear un mensaje falso en cualquier red social. Por eso, firma digitalmente estas pruebas con un tercero de confianza como es eGarante.

Hasta la Próxima Malvados, un HandShake amistoso!

miércoles, 15 de octubre de 2014

Falsear una conversación de Whatsapp

Esto es una de las cosas que he podido descubrir este verano, la facilidad para realizar esto es increíble, es como si estuvieses escribiendo un Whatsapp de verdad-preparando antes el usuario que quieras que te esté enviando el Whatsapp por supuesto-.

Pero no solo en Whatsapp, si no un Tweet, un estado en Facebook, etc. Osea que si se quiere joder bien jodido a alguien, puedes con mucha facilidad.

Figura 1: Falsear cualquier conversación
Así que solo tienes que preparar quién quieres que aparezca como que te esta enviando el mensaje y puedes comenzar con este engaño.

Figura 2: Mensajes en Whatsapp

Por eso que Steve Jobs "te mande un Whatsapp" es sumamente sencillo.

Figura 3: Steve Jobs "me va a regalar un iPhone 6"
Como veis queda bastante real, y como broma puede quedar gracioso, pero vosotros sois los responsables del uso que le podáis dar uso a esto. Además si quieres puedes poner una foto de perfil, un fondo de Whatsapp, etc. Con lo que quedaría más real aún. Por eso no os podéis creer cualquier captura que te envíen diciendo "Mira  lo que me ha dicho tal sobre ti" con lo que se pueda crear un problema a cualquiera. Por eso haz como yo y firma con eGarante todo lo que envías y recibes por lo que pueda pasar,

Hasta la próxima Malvados, un HandShake amistoso!

martes, 14 de octubre de 2014

This is Spain!

                                                                Figura 1: Esto es España!

Ni Leónidas lo hubiese dicho mejor, esto es España y aquí se hacen las cosas "diferentes", ¿que somos Renfe? Pues nada, dejamos nuestros sistemas desactualizados y decimos que lo apagues ya de forma segura...es que manda güevos!!! Con la de problemas que trae no actualizar tu sistema

Figura 2: Renfe no actualiza sus sistemas 

Hasta la próxima Malvados, un HandShake amistoso

lunes, 13 de octubre de 2014

¿A qué tienen acceso mis Apps?

En SoftCrim estamos trabajando en muchas cosas, en una de las cosas que estamos trabajando, es en la seguridad móvil que es bastante necesario. Y lo que queremos es hacer llegar a la gente de posibles problemas que puedan tener si no toman unas medidas bastantes simples. Y aprovechando que ya hemos tratado con algún que otro usuario sobre este tema, os lo contamos por aquí también.

Si te descargas una App en tu móvil, debes tener cuidado con los permisos que requiere, y si te paras y lo observas muchas veces te preguntarás cosas como "¿Porque este juego necesita mi información GPS?". Por eso recomendamos, que se vean antes de instalar los permisos que requiere, o si no que lo consulte en PATIA y que vea las 400 Free Apps los permisos que requieren.


Figura 1: Top 400 Free Apps en España
Ya puedes ver que permisos requieren las 400 aplicaciones en España gratis, lo mismo te sorprendes.

Hasta la próxima Malvados, un HandShake amistoso!

domingo, 12 de octubre de 2014

Un Regalo de hace un tiempo

Aprovechando que no tengo mucho tiempo libre, os dejo uno de los regalos que me han hecho hace ya un tiempo, y que no os he podido contar y aprovecho hoy-el tiempo me come-. Como sabéis me encantan las caricaturas y dibujar, y resulta que me regalaron esto; de lo que estoy muy agradecido.

Figura 1: Un Regalazo Malvado
Esto irá al final de las diapos para las charlas sí o sí.

Hasta la Próxima Malvados, un HandShake amistoso!

sábado, 11 de octubre de 2014

Se Informático, no sabio

Figura 1: Se Informático, no sabio

Sabéis que el tiempo libre del que dispongo hasta diciembre, es escaso; estoy metido en un montón de cosas, pero trato de que no falte el post diario. Pero hoy no veía a hablaros de mi poco tiempo libre.

Hoy lo que vengo a hablar es más que para vosotros, para mí; porque necesito tener siempre en mente qué es lo que quiero verdaderamente hacer y porqué. Y es que estoy ya con las clases, estoy muy contento porque estoy aprendiendo muchas cosas, una de las cosas que he aprendido es esto que vengo a contar hoy.

No es importante saber de todo y mucho, es mejor aprender de todo y todos, eso es algo que siempre he intentado hacer, pero mucha gente no lo pone fácil; pero ahí está el Malvado, dando guerra siempre.

Pero además de para recordarlo, también es para vosotros si habéis empezado un nuevo curso, aunque si no lo has empezado; te sirve para cualquier cosa.

Puedes tener muchas asignaturas, algunas te gustarán más, y otras menos; habrá profesores que te gustes más, y otros que te gusten menos, habrá buenos y malos profesores; pero al final aprendes de todos, aprendes mucho de los buenos, pero de los malos son de los que más aprendes; aprendes a saber qué es lo que NO HAY QUE HACER.

Y es que una de las asignaturas, me está sirviendo para pensar diferente, para verlo todo con otros ojos; esa asignatura es Filosofía. Aquí hay una cosa que se me quedará marcada creo yo que para siempre, son dos frases de un gran filósofo que ya habréis escuchado, pero no es la frase; es cómo lo explicó después. Las frases son de Sócrates: "Sólo se, que no se nada" y "Yo soy filósofo,no sabio".
Y esto me ha enseñado mucho, por mucho que te creas que sabes mucho sobre algo, en realidad cada vez sabes menos; porque descubres lo amplio que puede ser ese algo, cada vez te cuestionas más; y esto es realmente así; yo cada vez me cuestiono más cosas que voy descubriendo del amor de mi vida la Informática. Y la segunda frase es la que más me ha marcada, la frase y su explicación; los sabios ya se creen saberlo todo, ya no tienen esa curiosidad por aprender algo nuevo; pero realmente no llegan a saber nada, mientras que los filósofos tienen una gran curiosidad por todo o casi todo, quieren aprender algo nuevo, se siguen cuestionando siempre; y se cuestionan tanto que muchas veces van contra pensamientos que tiene o todo el mundo o una gran parte...esto casi que me suena. Me está encantando este curso, la de cosas que estoy aprendiendo en tan poco tiempo.

Y ya para terminar, te daré unos consejos que son los que trato de tomar siempre yo. A mí por el momento me han servido, espero que a ti también te puedan servir:

1.De todos los profesores puedes aprender...hasta de los malos. Esto está más que dicho, aprende todo lo que puedas de los buenos profesores que se van a encargar de enseñarte más cosas que su asignatura y que no van a ponerse a leer un libro y dictarte unas definiciones...así también soy yo profesor.

2.La experiencia no sirve de nada, vale lo que se haga. Esto te lo puedes emplear si eres profesor y lo lees, o si eres alumno y lo lees...o si eres un ser humano y lo lees. Dan igual los años de experiencia, si te equivocas te equivocas, todo el mundo lo hace, yo soy el primero que mete la pata mil y una vez ¿De verdad que por tener muchos años de experiencia, ya no te equivocas? ¿Cuántas veces se ha equivocado Casillas, o mi Raúl, o Cristiano, o Messi, o Koke, o Diego Costa, o grandes matemáticos, o grandes pensadores? ¿y estos no tienen años de experiencia?. Si te equivocas, admítelo; reconocer un error es de personas muy inteligentes, taparlo y hacer que la culpa sea de otro, no tanto.Resumiendo, si eres estudiante y te has equivocado, entona el "Mea culpa, me he equivocado yo", si eres profesor y te has equivocado, entona el "Mea culpa, me he equivocado yo", si eres un ser humano...o ser vivo y te has equivocado, entona el "Mea culpa, me he equivocado yo", no trates de de tapar el error y mandar la pelota al tejado del otro...que fácil es todo cone sa actitud.

3.Tu tiempo, tus cosas, tu vida. Tu tiempo te lo administras como tú quieras, pero recuerda que hay administradores que hacen las cosas bien, y los que no las hacen tan bien. Aprovecha tu tiempo, marca unos tiempos, haz muchas cosas, que aprovechas más el tiempo si haces muchas cosas y cada una a su debido tiempo. Yo soy de los que se meten en muchos proyectos que después no sabe ni como salir de ellos, pero con tiempo, todo se puede.

4.Si eres tonto como yo...Bienvenido al club. Muchas veces he sido el tonto, por no salir y por no hacer lo que muchos de mi entorno sí han hecho. Prefiero ser tonto si después me va mejor, prefiero joderme ahora que después.

Esto es lo que muchas veces me recuerdo y que esta vez quería compartirlo, además ya cuando se me olvide-que no creo- me vengo y lo leo. Y por último, dar las gracias a esos profesores que me han enseñado mucho mucho; no voy a decir sus nombres, por si no quieren salir aquí, pero gracias al que era mi profesor de Sociales, gracias a la que era mi profesora de lengua, y gracias al que fue mi profesor de Biología. GRACIAS

Hasta la próxima Malvados, un HandShake amistoso!

viernes, 10 de octubre de 2014

¿Vamos a estar seguros?

Figura 1: ¿Estaremos seguros con lo que se aproxima?

Miedo me da lo que viene por delante, Smartcities...me da que estamos acabados. La tecnología está creciendo bastante rápido-cosa que me encanta-, amo la tecnología y que crezca me encanta también, pero veo un gran problema esto de las "ciudades inteligentes", porque como se haga todo como gran parte de muchos sistemas, vamos apañados; y será por casos.

Por eso, muchas veces me pregunto si la tecnología está ayudando verdaderamente a las personas; y muchas veces mi respuesta es sí, ayudan a gente con cualquier tipo de físico por poner un ejemplo, pero es pararme a pensar-el poco tiempo que tengo- y me da la sensación que solo ayuda a "los más entendidos". ¿Porque cuánta gente entiende todo de la tecnología? Ni yo mismo la puedo llegar a comprender el porqué se hace algo de una manera, pero es lo que conlleva no saber sobre este mundo de Seguridad, bastante amplio y que me apasiona. Creo que ya es hora de que cambien las cosas y se hagan herramientas que las pueda usar todo el mundo y lo más seguras posibles. En SoftCrim vamos a hacer lo que algunas empresas ya han empezado a realizar, vamos a buscar esa herramienta que se sencilla de usar y razonadamente segura.

Hasta la Próxima Malvados, un HandShake amistoso!

jueves, 9 de octubre de 2014

Kaspersky te deduce cuánto pueden tardar en deducirte la contraseña

Hace poco me encontré con esto que voy a contar hoy. Y es que según Kaspersky, se puede deducir cuánto tiempo pueden tardar los cibercriminales en hacer un ataque de fuerza fruta y averiguar tu contraseña. Por eso yo me puse a trastear un poco con esto-por supuesto no escribí ninguna contraseña mía por si acaso-.

Figura 1: ¿Cuánto pueden tardar en adivinar tu contraseña con brute force?

Primero empecé con algo sencillito para ver si estaba bien hecho, probé con la contraseña "1234" y me dijeron que se podía saber en 1 segundo...y me parece correcto, porque es una de las primeras que probarán los que hagan fuerza bruta.

Figura 2: 1234 se puede juackear en 1 segundo
Después probé con algo "más personal", de lo cual me llevo unas conclusiones que os contaré al final del post. Probé con la contraseña "elladomalvado", y la podrían adivinar en*sonido de tambores*...2 días!!!...y un ferrari.

Figura 3: elladomalvado con un ferrari y dos días
Lo que me llama la atención es la descripción más detallada que te ofrece de cómo podrían hacer esta fuerza bruta con diferentes equipos.

Figura 4: Información detallada para hacer la fuerza bruta

Como podéis observar con un Mac Book tardarías 2 días mientras que con un ZXSpectrum 5 años.. Pero yo seguía probando y se me ocurrió escribir "manuelfuckingcrackylosabes" y lo que me decían era...

Figura 5: más de 10000 siglos
Más de 10000 siglos esa contraseña, y lo mejor de todo es que da igual, porque con cualquier computadora tarda lo mismo.

Figura 6: Da igual la computadora, tardan más o menos lo mismo
Conclusiones

A mí todo esto no me parece acertado, ya que no se está teniendo en cuenta la persona, se está teniendo en cuenta la longitud de la contraseña. Porque un atacante hará previamente un profiling y se informará de mis gustes, aficiones,etc. e irá probando con eso. Por eso que la contraseña "elladomalvado" pueda tardar 2 días en averiguarse no sé yo, porque si el atacante sabe que escribo en este blog, creo que es una de las primeras cosas que le ocurriría.

Por eso para mí, esto depende de la persona y ni mucho menos puede ser ni informativo, porque lo que hará la gente es usar una contraseña larga independientemente de cuál sea, se podrán su nombre completo y si les dicen que pueden tardar siglos pues pensarán algo como "si no voy a estar me da igual".

Hasta la Próxima Malvados, un HandShake amistoso!

miércoles, 8 de octubre de 2014

Gracias DropBox, pero hoy no

¿Puede ser que algún FanBoy de DropBox se haya enfadado por el post que le dediqué hace unos días? No lo sé, pero hace unos días recibí esto correo de ¿DropBox?

Figura 1: "DropBox" me pide que cambie contraseña
¿Y si querían hacer algo como a las 100 famosas que le hackearon iCloud? No lo sé, pero por si acaso no escribí ninguna credencial, porque además la contraseña nueva me la mandará seguramente en texto claro y casi mejor que no. Aunque me voy a asegurar mirando el SPF del correo. Pero que si quieren que escriba mi contraseña, que esperen sentados

Hasta la Próxima Malvados, un HandShake amistoso!

martes, 7 de octubre de 2014

Seguridad en la Wifi nivel...Máster

Hace unos días, en una conversación con un amigo, saltó el tema de Seguridad Wifi, y me enseñó una foto de su Router, y esto es lo que se puede ver...

Figura 1: El Router de mi amigo
Le pregunté si había cambiado la contraseña por defecto, su contestación fue "¡¿Quééé?! yo pongo una que me venía y ya está". No había cambiado la contraseña por defecto, y tuve que decirle que lo hiciera de una vez que le va a entrar cualquiera. Gracias a todos los dioses, lo hizo y su vida tiene algo más de Seguridad, pero...¿la cagará de otra forma?

Hasta la Próxima Malvados, un HandShake amistoso!

lunes, 6 de octubre de 2014

Latch para la cuenta de Freakuotes

Latch sigue creciendo, y mi wallet es cada vez más grande. Uno de los últimos sitios que han implementado Latch es Freakuotes. Y hoy os voy a decir como parear vuestra cuenta. La forma es muy sencilla y es como lo hemos hecho siempre.

Lo primero sería tener una cuenta obviamente, entonces una vez que tengas tu cuenta en Freakuotes, lo que tienes es irte a tus Preferencias.

Figura 1: Preferencias de la cuenta Freakuotes
Una vez ahí, te tienes que ir a "Cambiar contraseña".

Figura 2: Cambiar contraseña para parear tu cuenta
Y ahí ya lo único que tienes que hacer es introducir tu código de pareado que te aparecerá en la aplicación del móvil.

Figura 3: Código de Pareado

Figura 4: Escribir código de pareado en la web
Una vez que se haya escrito el código de pareado en la web, lo que aparecerá en la aplicación para móviles será esto.

Figura 5: Wallet de Latch con algunas identidades ya pareadas
Como veis implementar Latch en una identidad digital es bastante sencillo. Así que si no has empezado a Latchear tu vida digital hazlo ya, que en Telefónica se han y se están currando bastante esto.

Hasta la Próxima Malvados, un HandShake amistoso!

domingo, 5 de octubre de 2014

Las Webviews las amigas del MITM

No sé ni como estoy sacando tiempo para poder escribir en el Blog, porque estoy hasta arriba de cosas que hacer; pero estoy muy contento de poder sacarlo todo a la vez-cuesta pero es lo que hay si me meto en tantas cosas-. Así que el post de hoy será cortito que me come el tiempo. Hoy quería ver si os habíais dando cuenta de una cosa-seguramente sí, pero hay gente que no-. lo que vengo a contar es el tema de las Webviews y que no te permiten ver la dirección a la que te has conectado.

Esto ocurre en todas las aplicaciones para móviles de hoy en día, y el problema reside en que nadie puede ver la URL a la que se conecta, lo que quiere decir que si te hacen un Bridging HTTP-HTTPs  ni lo notas, ya que no sabes si te han pasado a HTTP.

Figura 1: ¿Quién ve una URL?
Así que ten cuidado, ya que si te hacen un Man In The Middle ni lo notas y se pueden llevar tus credenciales "sin mayor problema" que realizar un Man In The Middle.

Hasta la Próxima Malvados, un HandShake amistoso!

sábado, 4 de octubre de 2014

Preparación a los ataques Man In The Middle

En SoftCrim estamos trabajando para que el usuario tenga una buena experiencia en Internet, para eso, estamos advirtiendo a los usuarios más cercanos a la empresa; que tengan cuidado vaya que se les pueda aplicar un Man In The Middle de forma muy sencilla como el que se le hizo a "rafa1". Además esto se junta con que alguna gente me pregunta cómo preparar todos estos entornos para realizar el ataque a modo de prácticas-a estos correos si que contesto con alegría-. Y viendo que lo mismo no lo acabo de explicar del todo bien, hoy os voy a traer cómo preparo estos entornos antes de realizar una DEMO para sacar credenciales con el MITM en el protocolo SLAAC.

Lo primero es utilizar una máquina virtual o cualquier otro equipo que será la víctima, después desde el equipo del atacante, abrir Evil FOCA. Aquí puede que no te aparezca las direcciones de la víctima, pero os voy a contar dos trucos que funcionan igualmente.

El primero es abrir el "Centro de Redes y recursos compartidos", una vez ahí,  en "Cambiar la configuración del adaptador" desactivamos y volvemos a activar la Red Wifi. Entonces nos aparecerán las direcciones IP de la víctima.

O la segunda es que añadas las direcciones "a manopla"-pero un atacante no hará esto ya que necesitaría tu ordenador y ver tu IPv6 y tu MAC Addres, a no ser que vayas al baño y no cierres sesión y "un coleguita" bastante cabrón haga lo que voy a decir.

Si lo vas a hacer "a manopla" lo que tienes que hacer es primero escribir en el cmd el comando ipconfig/all y así te aparecerán ambas direcciones que necesitas para introducirlas en la Evil FOCA.

Figura 1: Comando ipconfig/all "mu xungo"
Después nos aparecerán las direcciones que necesitamos-no os alegréis por ver mis direcciones que es una VM-

Figura 2: Direcciones MAC e IPv6 de la víctima
Lo siguiente sería añadir estas direcciones en la Evil FOCA, como podemos ver en la figura siguiente.

Figura 3: Añadir las direcciones "a manopla"
Y en la Evil FOCA nos aparecerá algo como lo que veremos en la Figura 4, ya sería hacer lo que hemos hecho en todos los posts que os he contado esto del MITM.

Figura 4: La víctima ha sido añadida a la Evil FOCA

Figura 5: Añadimos a la víctima al protocolo SLAAC, lo bueno se acerca

Figura 6: Ya lo hemos hecho todo
Ahora sería que la víctima se conecte a un servicio que requiera usuario y contraseña y como estamos en medio de la conexión, veremos las credenciales que la víctima envía a través de la red y que está perdiendo y no se está dando cuenta.

Figura 7: La víctima introduce sus datos
Figura 8: Y veo las credenciales
Ya lo siguiente que tienes que hacer es tratar de protegerte como conté hace unos días en el post para que pudieses tratar de evitar un MITM. Pero no es garantía de que lo evites.

Hasta la Próxima Malvados, un Handshake amistoso!
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...