domingo, 28 de diciembre de 2014

Final de BlackHacking Network y Final también para el Malvado

Cómo ya habéis comprobado vosotros mismos, he estado ausente en el Blog durante unas semanas con la excusa de que tengo poco tiempo, pues esta vez es verdad, tengo ahora mismo 10 minutos de Internet para meterme "dónde quiera" y hablar con familiares.

Nunca me había imaginado que podía acabar aquí, pero os dejo este post a modo de despedida durante 1 año por lo menos; también os dejaré un vídeo-el último también durante un año. Así que podéis ver mi último vídeo durante un año en mi canal de Youtube. Ahora os explico rápidamente.

El caso es que desde que escribí el post sobre rafa1 he tenido muchos problemas, y hoy me despido de todo, es un castigo, pero un castigo judicial y que he tratado de alargarlo lo máximo posible, pero no me dan más tiempo, se agotó mi libertad. Por eso estas semanas he estado ausente en el Blog, porque me han prohibido escribir, hasta hoy que pagaré una condena que sigo diciendo que es injusta. Mi condena va a ser estar durante un año sin Internet y con un trabajador de la Policía en mi casa observándome en todo momento; era eso o el reformatorio; gracias a los chicos de la Policía que hacen su trabajo muy muy bien.

Esta condena que me han impuesto se debe a que me han denunciado por ese post, se me ha ido el tema de las manos y esto es lo que me toca pagar. Por lo visto, no es legal lo que hice a rafa1-aunque me he justificado diciendo que en la ley decía eso y yo la he cumplido a raja tabla ya que no he roto nada, y que fue él el que se metió en mi red wifi con contraseña, sencilla; pero se metió-. No han visto razón suficiente y me han declarado culpable. Así es la vida, pero ahora toca resignarse y dejar que te den, es un año sin libertad, pero es lo que toca.

Por último, lo que quiero decir es que siento muchísimo a todos los Malvados y Malvadas que me tenían idolatrado y como un ejemplo; ya veis que no soy nadie y soy uno más; soy un delincuente por lo que se ve.

Hasta dentro de un año Malvados!

PD: Feliz día de los Santos Inocentes!


sábado, 13 de diciembre de 2014

Ya sí ¿Adios al Blog?

Ahora que parece que tengo algo más de tiempo, he estado pensando bastante; y lo que se me ha pasado por la cabeza esta vez no me gusta mucho pero, creo que será lo mejor; lo siento, pero he estado pensando que será mejor que deje de escribir en el Blog durante un tiempo. He estado ensando esto porque se que voy a tener poco tiempo a partir del 2015 y porque quiero daros lo mejor, por eso voy a aprender bastante y os iré contando cómo me va, técnicas hacking que vaya conociendo y aprendiendo, coñas,etc

Eso ha sido uno de los factores principales, el que no estoy contento del todo con los postt que escribo porque me saben a poco, muchas veces estoy escribiendo un post o he grabado y editado un vídeo y lo tengo terminado y no me gusta el resultado y lo suprimo. Porque quiero que cada día tengáis algo mejor que el día anterior, pero es muy muy difícil; y esta faceta mía me pone de los nervios. Por eso voy a ir aprendiendo poco a poco más sobre este mundo que es la Informática y poder escribiros post realmentes buenos-espero yo-.

Pero no voy a desaparecer, me vais a tener ahora en Youtube en el que os dejaré un vídeo a la semana más o menos. No me vais a perder de vista ni un momento, y en Youtube puede que haga como algún Sketch de algún post, en ello estoy pensando ya.

Y con todo esto sólo me falta despedirme del Blog hasta no sé bien cuando, pero volveré con posts cada mes o cada dos semanas; pero no sé bien del todo todavía. Pero tengo que daros las GRACIAS a todos y estar AGRADECIDO con vosotros.


Hasta la Próxima Malvados!

miércoles, 10 de diciembre de 2014

¿Adiós al post diario?

Este es un post que no esperaba que escribiese nunca en este Blog, pero así son las cosas y así están ocurriendo. Ni mucho menos dejo el blog, ni por asomo, pero si puede que deje y rompa mi regla personal de un post diario en este Blog, estas son mis cirsunstancias, porque recordad que "yo soy yo, y mis circunstancias", y entre estudios, SoftCrim con las diferentes auditorías, Youtube que he empezado ahora más fuerte desde hace algo de más de un mes, el Blog, las Charlas, la Perversa,etc. no doy a basto, puede que este "descanso" que me tome, sea bueno para el Blog, porque últimamente estaba subiendo post que no me gustaban, pero que a vosotros sí, y por eso estaré con vosotros eternamente agradecido como dirían en Toy Story.


También os estoy AGRADECIDO por estos casi 10.000 lectores que tengo en el Blog, esto es algo a lo que no esperaba llegar ni por asomo, empecé subiendo estos post para entretenerme yo, disfrutar y tratar de enseñar lo poco que sé, y en estos 9 meses,más o menos, que llevo con el Blog, tengo ya mis FanBoys, gente que dice que quiere saber tanto como yo-aunque no sé nada, ya lo digo muchas veces- gente que dice que "soy un ejemplo a seguir", y no lo entiendo, porque lo único que estoy haciendo es subir más mierda a Internet y hacer el payaso en Youtube, no entiendo que por eso sea un ejemplo a seguir, ni muchos menos, pero aún así, esos mensajes que me llegan de vez en cuando, me alegran mucho mucho el día y hacen que me emocione realmente, y es por esto que amo Internet, porque un tío de México, Barcelona, Colombia, Inglaterra,etc me puede decir a mí-que estoy en Córdoba- que "soy un ejemplo a seguir" o " que mis post le enseñan mucho" o que "mis vídeos le alegran el día" yo no os puedo pagar con dinero todas estas muestras de cariño. Pero una cosa que quede clara, y es que al igual que en la parte final de mis vídeos meto a mi Rosendo como diciendo "Estoy AGRADECIDO por que veáis este vídeo y por todo lo que hacéis que me ayuda más a mí que a vosotros"


También están al contrario, gente que solo quiere hundirte, hacerte daño y que te odia, pero resulta que todas esas críticas que hacen, las hacen de una manera que no es objetiva y son críticas destructivas, por eso, todas esas críticas me las tomo con humor, porque si te las tomas con humor, no te hacen daño.

Y con esto termino, espero poder seguir subiendo un post diario, aunque hay dificultades. Este post era para explicar mi circunstancias y porqué estaba subiendo posts que a mí no me estaban gustando. Esto no es un Adiós, ni por asomo, pero lo más seguro es que no suba un post diario, ya que hay cosas que están antes y también quiero aprender mucho más sobre este mundo que me vuelve loco, este mundo que es la Seguridad Informática. Puede que suba un post y un vídeo con todas las muestras de cariño...y con los comentarios y mensajes que no van con tanto cariño.

Hasta la Próxima Malvados!

martes, 9 de diciembre de 2014

Grandes dictadores que me joden

Creo que me vais conociendo algo más cada vez que escribo aquí en el Blog, por eso no sé si todavía conocéis una faceta mía-o un pecado, depende quién lo mire- y es que yo no me callo la boca, si hay algo que no me parece correcto lo digo, sea a quién sea, no soy hipócrita; y es que esta mierda de sociedad nos está agraviando bastante, y es ese miedo a fallar. Yo no tengo ningún miedo a fallar-aunque algún iluminado piense que sí- yo si tengo que hacer algo lo haré lo mejor que pueda, que para el perder el tiempo ya habrá ocasión, y si cometo un fallo trato de aprender de él y no cometerlo más, o por lo menos intentarlo. Pero esto es algo que se está perdiendo y que la gente está perdiendo por esta mierda de sociedad que castiga lo que haces si no le parece correcto, por eso que mucha gente se calle de algo que no llega a ser justo, que no es correcto,etc. A alguien “que tiene más poder”, y esto me parece lamentable, porque después estos grandes dictadores son los que nos engañan diciendo “que lo hacen por nuestro bien y que lo único que quieren es que avancemos y aprendamos” UNA PUTA MIERDA CHAVAL. Y esto es algo de lo que no me caracterizo, si hay algo que no veo bien, injusto, erróneo,etc. Lo digo y no me callo, de ahí que me haya llevado muchas ostias a lo largo de mi vida, muchas ostias me las he llevado injustamente y solo porque estos dictadores de mierda lo veían “correcto” o porque les salía de la misma punta de la po…Esto es uno de los posts que no esperaba que pudiesen acabar aquí en este Blog nunca, pero finalmente esto es así; yo también me enfado de vez en cuando, trato de no expresar mis enfados aquí nunca, pero uno no es de piedra, así que este post es para que no me salga una úlcera.

Resulta que ahora no me trabajo las cosas, que no seré tan listo como pensaba-aunque no lo pensaba que fuese muy listo- pero es así, al parecer no escucho tampoco, aunque no pare de ver charlas de seguridad, de comunicación audiovisual, también algún vídeo de matemáticas, física y filosofía...ah que tampoco tengo curiosidad por las cosas ahora tampoco, hay que ser gilipollas. Pero bueno, lo que los grandes dictadores manden. Me toca bastante los pies que me digan que no me trabajo las cosas cuando no paro precisamente de currar, estudiar sin llegar a tener tiempo para mí. No sé si todos estos que dicen que no me trabajo las cosas, son ellos grandes empresarios y cobran millonadas por su gran trabajo, o es que son grandes trabajadores que no tienen apenas tiempo para meterse en ningún debate ni realizar críticas DESTRUCTIVAS las mayoría de las veces, lo mismo yo soy el equivocado, pero dejadme que me equivoque y no castiguéis siempre porque la poca gente que piensa como yo, que hay que probar a hacer cosas-de manera razonada sin que pueda afectar gravemente a alguien- Porque esto es como el colegio, somos putas notas que no sirven de nada, somos putas cifras. Algunos hablan de libertad, Y UNA PUTA MIERDA, libertad los cojones, porque hay gente que como vea que puedes estar haciendo algo interesante te va a castigar de alguna manera que pueda. Hay que luchar joder, que quedarse acatando las órdenes que te están dando unos descerebrados o que muchas veces no quieren lo mejor para ti porque le das igual, eso es de perdedores.

Y no digo que no haya que castigar, no; entiendo que hay que educar castigando lo que no esté bien, pero a ver que castigo es, porque quitar la libertad de expresión y tratar de quedar por encima haciendo eso de “tú habla, que como lo que me digas sea verdad y me pueda afectar porque no soy tan perfecto, te quedar sin privilegios y vas a sufrir”. Eso si a alguien le parece correcto, puede venir y lamerme lo que viene siendo los hue…Eso es de putos intolerantes y gente que no acepta que se les digan las cosas como son.


Con este post lo que quiero dejar bastante claro, es que luchéis, que no os calléis ante estos grandes dictadores, no tengáis miedo a fallar por un castigo. Si falláis tomáis nota y lo corregís. Para terminar decir que este post no lo estoy escribiendo en caliente, han pasado 10 días después de algo que me enfadó bastante y ahora estoy en frío, imaginaros

Hasta la Próxima Malvados!

lunes, 8 de diciembre de 2014

Preséntate diciéndome tu contraseña

El siguiente hecho es totalmente verídico, es más, estoy pensando hacer un vídeo para mi canal de Youtube-dónde os tenéis que suscribir para pasarlo guaporramente- en forma de sketch. el post de hoy es cortito porque estoy también muy saturado de muchas cosas que tengo que hacer en estos próximos 10-12 días.

El caso es que a un conocido mío, le ocurrió lo que fuese en el móvil y no se le conectaba a Internet, por eso acudió a mí para ver si sabía qué le podía pasar y si lo podía solucionar. Os lo cuento en forma de diálogo ahora:

-Cliente: Hola Malvado, ¿puedes solucionarme lo que te dije ayer?
-Malvado: A ver, muéstrame el terminal si lo puedo ojear a sí un poco a ver qué le pasa
-Cliente: Pues mira, que no se conecta a Internet, bueno se me olvidad, la contraseña es "noospongolacontraseñanimuerto"
-Malvado: Okay baby
-Cliente: Es que no puedo conectarme
-Malvado: ¿Has probado en pulsar donde pone conectar?
-Cliente ¡Ostia que se me había pasado eso, por eso no se conectaba!

El tema ya no es que se le hubiese pasado pulsar en conectar, el tema es que ha ido diciendo así libremente y en mitad de la calle cual es su contraseña, lo que podría a ver ocurrido es que si yo fuese más malvado de lo que soy, podría robarle el móvil en otro momento y entrar ya que me sé la contraseña, o que la haya escuchado un ladrón y haga lo propio. Esto es como decir por megáfono cuál es tu cuenta bancaria y que tienes mucho dinero, algo malo puede ocurrir. Así que tened cuidado dónde y con quién habláis.

Hasta la Próxima Malvados!


domingo, 7 de diciembre de 2014

Cada vez menos privacidad en Whatsapp

No sé si cuando leáis esto seguirá una de las cosas que os voy a contar hoy, porque este post está también programado, si sigue mejor que mejor, si no sigue pues mira, algo que se lleva la privacidad...de momento.

Figura 1: Cada vez menos privacidad en Whatsapp

El tema es que desde que estoy escribiendo este post, llevan unos dos días el tema de el doble check azul, por eso que me he decidido escribir esto.

Lo primero es aclarar un pequeño detalle que lo mismo a mucha gente se le escapa, pero yo voy a utilizar mi función apelativa para haceros "razonar" un poco sobre todo esto. Porque como decían en Whatsapp, con este doble check azul puedes saber si un contacto "ha leído" tu mensaje. Pues bien, lo primero es decir que esta función intrínseca , que "necesita" la gente, NO TE DICE CUANDO UN MENSAJE HA SIDO LEÍDO , solamente indica que ha abierto tu conversación, y aquí pueden ocurrir varias cosas:

      1º. Que haya pulsado tu conversación sin querer, por lo que entonces puede que haya OJEADO tu conversación y no leído que es bastante diferente.

     2º Que haya hecho precisamente a lo que hago alusión en el punto uno, pero esta vez de una manera más consciente, y es que haya pulsado para ojear lo que el otro contacto le haya escrito y ver si es interesante o no

     3º Que sí lo haya leído.

Por lo que en conclusión podemos obtener que hay posibilidad de que el mensaje sea ojeado y no leído, porque en cambio, de lo contrario deberían hacer una forma mediante la cual tu cámara delantera haga un seguimiento de tus ojos para saber si ha sido leído o no, y aún así no podemos garantizar que haya sido leído comprensivamente

Lee mensajes sin que te salgan el doble check azul

Hay algunas formas de leer los mensajes que te envían tus contactos sin que les aparezca previamente el doble check azul, yo hoy os voy a contar dos.

La primera es haciendo uso de las notificaciones emergentes, es muy simple, simplemente es seguir un poco los pasos de la Figura 2.

Figura 2: Usar las notificaciones emergentes
 En este caso, una vez que se tenga activado esto, todos los mensajes que te envíen, se abrirá como una pestaña donde estará el mensaje completo de contacto que te haya escrito, lo cual es una buena forma de leer lo que te escriben-también puedes escribir en esa pestaña- sin que te salga el doble check azul.

La segunda es haciendo uso del "Modo Avión", pero resulta un poco incómodo tenerlo que activar cada vez que te envían un mensaje; mas es una forma de hacerlo.

Desactivar tu última conexión

Esto es una de las cosas que ya se conocen hace tiempo, sobre todo en iOS, y en Android también se ha empezado a usar desde hace un tiempo. Esto es tan simple como ocultar a la gente que tú quieras cuál ha sido tu última conexión, lo cuál me parece buena medida de seguridad, así nadie sabe cuándo te conectas y te pueda hacer "Jugarretas" de todo tipo.

Figura 3: Desactivar la última conexión

Reflexión

La Privacidad hoy en día-en mi opinión- es solamente para los que quieren buscarla, porque todas estas opciones de ocultar la última conexión, o que te aparezca el check azul cuando abres una conversación-con lo que hay muchas posibilidades de que sí lo hayas leído, aunque no al 100%- son cosas que deben venir por defecto y que cada usuario lo vaya desactivando si quiere, que un usuario diga "pues yo quiero que vean cuál es mi última conexión" o "Yo quiero que me salga el check azul" -aunque yo si fuese los chicos de Whatsapp, desactivaría todo esto-. Pero como no es así, la privacidad para mí, es simplemente para los que quieren buscarla, cuando no debería ser así.

Hasta la Próxima Malvados!

sábado, 6 de diciembre de 2014

Las novedades Malvadas

Figura 1: Las novedades Malvadas

Traigo muchas novedades, por eso que haya estado tan ocupado estos meses, pero estaba preparando cosas hasta febrero, pero el caso es que una de las novedades que traigo es que me meteré más en profundidad en el mundo Youtube, subiendo gameplays-que sabéis que a mí no me gustan mucho los juegos- y cualquier vídeo que se me ocurra, además de muchas novedades para SoftCrim, para el propio Blog, pero hoy comentar la novedad del Youtube.


1º Subiré vídeos sobre las noticias que vea que pueden ser interesantes en cuanto a Seguridad, aunque a primera vista no tengan mucha pinta de tener nada que ver con la Seguridad.

2º Gameplays. Esto es novedoso para mí, porque yo he jugado muy muy poco a juegos de los que se llevan ahora, pero lo intentaré también

3º Lo que me pidáis que pueda ser interesante. Cualquier tema que os parezca de interés lo iré subiendo, además todo aquel que me haga esas recomendaciones, le haré una especial alusión en el vídeo-siempre que quiera este- para que también podáis ganar algo de suscriptores, aunque no muchos que yo tampoco tengo una gran cantidad de ellos.

Dicho esto, solo me cabe decir que no me voy a tomar Youtube como un trabajo ni para ganar dinero ni nada, es simplemente para divertirme también un poco y experimentar, tengo bastante claro que lo mío es la Seguridad Informática y no tengo idea de dedicarme a la Animación 3D ni nada del estilo-aunque nunca se sabe en este mundo tal y como van las cosas-.

Hasta la Próxima Malvados, un HandShake amistoso!


viernes, 5 de diciembre de 2014

Problemas de publicar tu número de teléfono

Figura 1: Problemas de publicar el número de teléfono

Mucha gente escribe su número de teléfono en una red social como es Twitter, ni que decir tiene hacer alusión a los grandes problemas que puede traer eso, problemas como suscripciones premium, que usen tu número para saber qué,etc. Así que hoy como no tengo mucho tiempo porque tengo una semana que debo de terminar muchas cosas de conferencias, estudios y demás que ya os iré comentando poco a poco; hoy os dejo un vídeo que me ha hecho mucha gracia de cuáles podrían ser uno de los problemas que conlleva que dejes tu número de teléfono publicado, pero podría ser algo mucho peor, por ejemplo que no paren de llamarte a altas horas.

Nota: Me encanta Wismichu y me encanta los vídeos que suele publicar, así que esto también es para dejaros un poco de buen humor por el Blog.



Hasta la Próxima Malvados, un HandShake Amistoso!

jueves, 4 de diciembre de 2014

Descubriendo perfiles falsos de Instagram

Figura 1: Descubriendo perfiles falsos de Instagram

Hace unas semanas mientras estaba en Twitter, vi que unos de mis seguidores demandaba que había un perfil falso de Instagram de una famosa, dicho perfil se hacía pasar por la famosa Anna Simón. Entonces visto el tweet que publicaba el usuario demandando dicha acción de copiar el perfil de esta famosa, decidí investigar un poco para ver si lo que decía era real o no, y si era un perfil que copiaba al de Anna Simón o no.

Lo primero fue obviamente ver el supuesto perfil nuevo de Instagram de Anna Simón, y a partir de ahí ir viendo que había subido este usuario y qué decía. Así que con todo esto, vi las fotos de la supuesta Anna Simón y me encontré con una que podía a ver sido un buen intento, pero que resulta que no coló del todo, al menos para mí.

Figura 2: Una de las fotos de la supuesta Anna Simón 

Esto es uno de los intentos y engaños que suelen usar todas estas personas que se hacen pasar por un/a famoso, el de enseñar una captura con su perfil de Twitter-podemos ver que pone eso de Editar Perfil-, pero lo interesante no está ahí solamente, está en unos de los también supuestos Tweets que también había escrito la supuesta famosa.

Figura 3: Un supuesto Tweet de Anna Simon explicando que tiene un nuevo Instagram

Aquí está parte importante de cómo puedes pillar a este perfil, lo primero de todo es observar bien el Tweet que supuestamente es de esta famosa, hay varias cosas interesantes y que es necesario remarcar bien.

 1º.- Es en que en el Tweet dice que se ha creado un perfil nuevo de Instagram porque no puede acceder al antiguo, OK. También dice cuál es su nuevo Instagram para que todos sus usuarios sepan quién es y la puedan seguir en esta red social, pero...no deja la URL de su perfil Sospecha++. Lo que hace sospechar bastante que haya creado este Tweet con unas de las plataformas para crear Tweets falsos, por eso que hay que tener firma digital de lo que se pueda. Por eso y por la conclusión número 2 de a continuación.

2º.- Su cronología aparece un poco "extraña"  teniendo un Tweet con esa parte de arriba en azul y que es propia de las apps para Android-esta famosa tiene un iPhone, eso para empezar-. Con lo que parece que el Tweet este que he marcado, parece que ha creado este Tweet con la plataforma ya mencionada y quede así, o que lo haya puesto con el FOTOXOP, y se le haya colado eso o mil cosas más, será por opciones posibles.

3º.- La Fecha en la que escribió ese Tweet, pero esto lo entenderéis mejor con la Figura 4.

Figura 4: La cronología de la verdadera Anna Simon

Esta es la verdadera cronología de Anna Simon, y vemos que publicó Tweets el 16, 14 de Octubre...pero no el 15 como aparece en la Foto que subió a su Instagram del supuesto Tweet de la famosa. Otro dato más para saber que es una cuenta falsa.

Figura 5: Cuenta falsa de Anna Simon
Figura 6: Cuenta real de Anna Simon


Otra de los temas a sospechar son las fotos que ha subido este usuario copiando la cuenta de Anna Simon, y es que son algunas de las que ha subido ella en su cuenta de Instagram. Pero vale, puede ser que si se ha creado una cuenta nueva, puede ser que suba las mismas fotos, pero si así fuese, las subiría todas. Otro es las personas a las que sigue, más del doble que en la cuenta verdadera, no sé, queda un pelin raro.

Con todo esto, tenía casi que garantizado que podía ser un perfil falso, pero no me iba a basar en sospechas, yo no; otra gente por sospechas y sin pruebas reales la que lían. Por eso veía necesario saber desde qué IP se había creado este perfil, he intente algo que se conoce de sobra como whois.ws, para tener toda la información sobre quién había creado la web y dónde, pero aparecía-cosa que me esperaba- aparecía la información del que había creado la web Instagram y no la de la URL de dicho usuario, pero de la nada se me ocurrió una idea un poco alocada al encontrarme el correo que usó para crearse esta cuenta, pues desde ahí lo único que tuve que hacer es mandarle un correo spoofeado diciéndole que se descargue un PDF y lo infecté como ya conté cómo infectar un PDF con Metasploit para poder saber desde dónde se creó esta cuenta-aunque el correo ni de coña era el de Anna Simon- de tal forma que nada más descargar el PDF hacer que la dirección IP de la víctima en este caso el que estaba copiando el perfil de Anna Simon, apareciese en una programita que me he desarrollado para eso. Una vez que sabía eso, lo único era buscar la ip de esta persona en Bing a ver qué me salía, pero nada interesante, así que usé una herramienta para saber la geolocalización de esa dirección. Entonces lo siguiente fue hablar con esta persona y explicarle todo lo que había realizado, solamente me dijo que lo sentía y que no volvería hacerlo más. Y a día de hoy el perfil ya no existe.

Figura 7: La cuenta ya no existe

Conclusiones

Como conclusión quería decir algo que he contado a la gente y que no se lo terminan de creer hasta que se lo demuestro, y es a la explicación que de lo de la cronología de Twitter y se preguntan "Pero si aparecía la cronología de su perfil de verdad, que aparece verificado y todo, y sale lo de Editar Perfil" Pues esto es tan sencillo de explicar como que en lo del Twitter, puede que se hayan creado un perfil cualquiera y hayan puesto ese nombre esa foto y ese encabezado, pero que después hayan hecho algo tan sencillo como modificar el código al gran método de "Inspeccionar Elemento", y a lo del signo verificado, que se hayan descargado ese icono y hayan editado el encabezado con Phoshop y la hayan puesto después de modificarla,bastante sencillo, o que se haya pegado un gran curro y lo hayan editado todo con el PhotoShop, que no es muy complicado.

Y otra conclusión es que no os fiéis de cualquiera, ya que puede ser un perfil falso, por eso os aconsejo que indaguéis un poco como hice yo en esta ocasión, que no es demasiado complicado, eso y que no abráis cualquier archivo que te envíen por el correo que puede venir con regalo especial.

Hasta la Próxima Malvados, un HandShake amistoso!!

miércoles, 3 de diciembre de 2014

CSRF en Find My Phone de Samsung

Esto es de lo último que ha ocurrido en Seguridad Móvil y que nosotros desde SoftCrim ya hemos probado. El tema trata de un CSRF en las opciones de Find My Phone de Samsung, opción que permiten también Microsoft y Apple, y que los chicos de Samsung han implementado también.

Figura 1: CSRF en Find My Phone de Samsung

El tema consiste en un simple CSRF, que cómo sabréis consiste en algo parecido a un exploit malicioso que un atacante empleando unos comandos que elija. Por supuesto, estos comandos no están autorizados. Pero esta opción que parece tan buena para poder borrar contenido remotamente, o saber dónde tienes el dispositivo que has perdido o te han robado, puede ser bastante mala en cuanto aprovechan esta vulnerabilidad para bloquear el terminal simplemente haciendo que la víctima acceda a una web maliciosa y en ese momento quede ya infectado y sea vulnerable a este ataque, que consigue que el atacante tenga los mismos privilegios y esté igual de autorizado que la víctima. ¿Quién dijo miedo?

Figura 2: Opciones de Find My Phone 

Ya por no hablar de que puedan borrar contenido de tu terminal móvil sin tu consentimiento, o que se descarguen tus fotos o mil y una cosa más que pueden hacer este mundo donde hay tantos caminos que parchear y securizar.

Hasta la Próxima Malvados, un HandShake amistoso!

martes, 2 de diciembre de 2014

Twitter suprimirá las contraseñas por el número de teléfono

Figura 1: Ahora el método de entrar a nuestras cuentas es con el
número de teléfono

Ésta es una de las noticias que saltó hace ya un tiempo, y que como estoy programando los post, puede ser que el post de hoy lo esteis leyendo y ya haya ocurrido lo que estoy contando; pero bueno, aún así me expreso un poco sobre lo que me parece todo esto.

Figura 2: ¿El número de teléfono es más seguro?
Esto es una de las cosas que he estado pensando estos días, y es que supuestamente, los chicos de Twitter, han tomado esta medida por seguridad, pero ¿realmente usar el número de teléfono es un método seguro? ¿Más que una contraseña? A mí todo esto me incomoda bastante y no me acaba de convencer del todo, ya que imaginaros que acceden a las backups de los iPhone y tienen acceso al número de teléfono de una persona, o alguien pierde el teléfono móvil y no tiene passcode, o en su ordenador tienen eso que nadie usa de "Recordar mi contraseña" y pierde el equipo y no lo tienen cifrado, o tienen un troyano en su dispositivo móvil que permite ver TODO, y por todo digo Mensajes de Texto, Whatsapps, Correos,etc. Y claro, esto de ese mensaje de un OTP ya no sea tan buena idea, ya que si el atacante usa-por ejemplo- el troyano para espiar todo de un smartphone, puede que lo esté analizando todo a tiempo real y use ese OTP antes que la víctima, con lo cuál...FAIL.

Por eso, todo esto de que accedamos con nuestro número de teléfono móvil, no me convence mucho, porque si pierdes el teléfono móvil o te lo roban...¿Qué pasa?...o y si...¿Cambias de número? ¿Como accedes a tu cuenta con el número cambiado? Bueno con esto vale, puede que accedas con tu número antiguo y lo cambies en las preferencias, pero...¿Y si has cambiado de número porque pierdes el dispositivo o porque no te acuerdas ni del PIN ni el PUK, o porque se te ha roto la SIM? o yo que sé más, será por cosas que puedan suceder.

Hasta la Próxima Malvados, un HandShake amistoso!

lunes, 1 de diciembre de 2014

Hacking sin Herramientas Hacking

Figura 1: Hacking sin Herramientas Hacking

El post de hoy, es para dejar las las diapos de la charla que di hace unas semanas y que daré en algunas de las charlas de este mes de diciembre que empezamos ya hoy, y que se va a ser bastane movido de tantas cosas que tengo que hacer en tas pocos días. Pero bueno aquí os dejo las diapos, os las podéis descargar de mi Slideshare.



Ya iré subiendo por el Blog en un post cada parte de la que hablo, con esos mismos casos que algunos ya he contado, pero que hay otros que no. Estoy en medio de la preparación de todo ello, tranquilos. Pero de momento con estas diapos creo que estáis servidos.

Hasta la Próxima Malvados, un HandShake amistoso!
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...