miércoles, 22 de julio de 2015

El Man In The Middle en un vídeo

No os voy a mentir, esta entrada es para conseguir visitas en mis vídeos....no, es casi broma, es debido que en algunos post hablando sobre este tema tenía un vídeo hablando del Man In The Middle, ese vídeo era de mi canal, pero me lo borraron y lo he resubido a mi nuevo canal de Youtube. Así que os lo dejo aquí el vídeo.



Aquí os lo dejo, es el mismo, pero por si sois nuevos aquí lo tenéis.

Un Saludo!

lunes, 20 de julio de 2015

Que bonita la Escuela, a hackearla

Supongo que recordaréis correos como este


En este correo me pedían que hackease el Whatsapp y correo de su profesor para ver si pasaba los exámenes. Y como estos miles de correos que recibo. Y hoy que esto un poco Malvado bueno y viendo que hay gente que tendrá que aprobar los exámenes de septiembre, he decidido hacerlo y enseñar como se haría, ojo ENSEÑAR, que NO ME RESPONSABILIZO DEL USO QUE LE DEIS, YO SÓLO SOY UN LIBRO Y OS INFORMO . Así que hoy os contaré los diferentes caminos para hackear una escuela que en este momento que estaba sin hacer nada se me han ocurrido, seguramente hay muchos más, pero estos son "lo más sencillos".

1. Busca a tus profesores en redes sociales

Si buscas a tus señores profesores en las diferentes redes sociales. Ya que puede que desde hay si "no son muy inteligentes" y abren cualquier enlace que vean en un tweet, post de Facebook,etc. Lo mismo tienes suerte y a poco que uses la ingeniería inversa, te lo llevas de calle. Por ejemplo, envíale un Tweet que diga "Mira cuanto me lo curro con este trabajo de investigación que he hecho ¿mola?". Y le dejáis una URL a MEGA por ejemplo, para que no sospechen de tus verdaderas intenciones. Cuando tu profe tan moderno como para usar Twitter vaya al enlace verá un bonito PDF infectado por vosotros mismos, que ya sabéis como se hace. Ahí le podéis infectar el PDF para que saque todos los datos de su computadora -si usa Twitter desde el ordenador- o bien ve a "lo más seguro" e inféctalo para que saque sus credenciales de dicha red social, ya que si son tan pardillos para abrir cualquier enlace que ven desde Internet, lo más seguro es que reutilice el mismo usuario y contraseña para todo. Así que podrás sacar el mail-que normalmente usan o el de empresa o el que más usan- y la contraseña, así que prueba usando esas credenciales y listo.

2. Lo mismo son Bloggers

Aquí se podría mezclar con el paso 1. Busca a tu profesor en Twitter, que si es Blogger lo más seguro es que tenga el enlace a su Blog en su biografía de Twitter o en algún que otro Tweet.





Ahora entramos como buenos alumnos al blog de nuestro profesor y con suerte veremos su correo.


Ahora creo que está claro, le podemos enviar un regalito infectado u otra cosa que se comentará más adelante.

3. Esperar a que se marche con el ordenador encendido

Imaginaros que estáis en clase ¿Cuántos de vuestros profesores se llevan el ordenador y lo usa mientras están en clase? Pues no sé en vuestros colegios o institutos, pero en mi antiguo colegio que era STMA TRINIDAD-TRINITARIOS -ya me pagarán la publi- muchos profesores sí se los llevaban a clase y lo usaban. Pues a veces se iban a hablar con otro profesor, al servicio, etc. y se dejaban el ordenador encendido, sí; te entraban ganas de hacer el Ataque de David Hasselhoff, pero no es eso, sería irse a su mesa y ver si se han dejado por ejemplo abierto el Facebook, pues bastará con que ocurra eso, tengáis vuestro móvil a mano y veáis las cookies de su sesión activa, esto lo explicaré en otro post, pero basta con que pulses Ctrl+Shift+I y te vayas a Resources y le hagas una foto a sus cookies de sesión activa y ya tengáis un programa para configurar las cookies, pero ya lo explicaré esto en otro post más adelante.



4. Analiza los metadatos de sus apuntes

Si tenéis profes molones, os dejarán ya sea en su Dropbox, en la web del colegio, os lo pase por correo, por pen, etc. os dejarán apuntes de los temas que vayáis dando, os lo darán ya sean en PDF, PowerPoint, Word, Bueno, pues si habéis leído este Blog queasi desde el principio, sabréis lo tentador que es eso para analizar los metadatos. Así que pongamos el ejemplo que hay un alumno del Lope de Vega y que quiere sacar sus estudios, un alumno bastante bueno, más o menos alto, con muy buen culo, muy guapo y con un gorro. Y tienen profes molones que te dejan apuntes en su web, pues nada, manos a la obra que toca risas; nos descargamos los documentos que queramos.



Pero hoy no vamos a estudiar, lo que vamos a hacer es analizar los metadatos.


Extraemos Metadatos y...


Vemos que tiene un usuario....que supongamos que es el profesor, vamos a hacer suposiciones a lo loco. Bueno, ya sabemos que se llama usuario1, que ya es un dato si queremos hacer ingeniería inversa. Podemos suponer también que lo hace desde el instituto, no creo que se llame así en su casa. Pero esto no es todo, vayamos a ver el software.


Y vemos que lo hace desde Writer y LibreOffice, nuestras sospechas de que lo hace desde el colegio aumentan cuando sabemos que en ese centro, los ordenadores tienen instalado Ubuntu y por supuesto, el LibreOffice, pero bueno, lo mismo le gusta más Ubuntu que Windows y en su casa lo tiene así montado. Pero bueno, ya tenemos más datos de nuestros profesores. Esto nos podría servir para por ejemplo si nos hubiese salido su correo electrónico o lo hubiésemos sacado con los pasos anteriores o directamente nos lo hubiese dado él, ya que es el profesor y le podemos mandar cosas por correo, podríamos enviar un correo al señor director diciendo que nos pase las notas que les hemos pasado; y por si no se lo creyese, le decimos "soy usuario1" y fuera, todo nuestro.

Usa una App y un spear Phishing

Esto es algo que creía que había descubierto con el Instituto Séneca, ya que estoy estudiando en Andalucía, pero que documentandome sobre este tema, vi que ya había información en el Blog de Chema Alonso, que seguro que explica esto mejor que yo. Pero yo os resumo esto que estaba probando y di con ello.

Yo no usé la app que Chema dijo en su blog, me diseñé yo mismo una en .NET para hacer esto que ya he tirado a la basura. Creo que no cabe recordar que esto era para reportárselo a mis profesores, incluso a los que me caen mal, que ya bastante tienen con las ruedas de los coches pinchadas. Pero la aplicación es esta.


La App habla por si sola, pero repito que esto está mejor explicado en el Blog del Doctor Chema Alonso. Pero la aplicación funciona de tal manera que escribes el mail de tu profesor-que lo puedes sacar de las diferentes maneras que he nombrado antes-. Y esto le manda a su correo diciendo cosas como "Cambia tu contraseña que ocurren cosas raras" o "inicia sesión ahora que ocurren cosas raras". Obviamente le mandan a una página falsa que NO es la del Instituto Séneca- que es donde se ponen notas a los alumnos de Andalucía-.



Una vez que introduces las credenciales, das en aceptar y te manda a la página real del Instituto séneca para que entres como si nada.



Pero amigo, a ocurrido, y mucho.



AVISO: Estas imágenes no es de lo que yo estuve probando, sino del Blog de Chema Alonso.

Yo como conozco a un profesor de Redes en Málaga, le conté lo que sospechaba y me dejó su email y él introdujo una contraseña cualquiera y sus credenciales salían también en el programa que desarollé yo en un momento, un programa que no es el de las imágenes.

Así que profesores, cuidado que si no tomáis precauciones os la pueden liar. Creo que esta entrada se la voy a deja a algún profesor mío para que no le pase lo que es POSIBLE que pase si no tienen cuidado.

Hasta la próxima

ACTUALIZACIÓN:

Os dejo un vídeo-resumen de este artículo:


sábado, 11 de julio de 2015

Famosete, eres un mentirosete



Internet, que un día nos lo puede dar todo y otro día puede ser nuestro mayor enemigo-si no lo usas correctamente-. Porque ya sabéis que subir algo a Internet es sumamente fácil, pero eliminarlo es más difícil que Batman deje de ver al fantasma del Joker en el videojuego nuevo de Batman.

Imaginaros que sacan un programa de concurso de animales y que dicen sus jurados que ellos no maltratan ni promueven el maltrato. Un jurado que entiende de animales por supuesto. Un jurado formado por una cantante, un grupo de música de dos personas, una actriz y un amaestrador de caballos, que por lo que se ve no sabe que un plató no es lugar para animales -notese la ironía respecto al jurado entendido-.

Pero sí quedaría bastante mal que una cantante diga que está en contra del maltrato...o es más que diga que no comparte un vídeo que no ha visto y acusa a Frank Cuesta de terminar el vídeo con mensajes buscando la libertad de su mujer, cuándo eso no lo ha dicho en ningún momento del vídeo.


Y claro, qué mal quedaría un famoso que dice estar en contra del maltrato animal y después se ve que va a corridas de toros, ya sabéis, eso que en España se le llama arte a torturar a un animal hasta la muerte(y después nos preguntamos que porqué vamos como vamos). Pero obviamente, todos los famosos tienen un control máximo de lo que publican en sus redes sociales, porque sería una lástima que con herramientas para ver lo que se indexa en Google, se descubriera que en realidad está a favor del maltrato ya que paga entradas para ver "arte".



Pero no, a los famosos esto no les pasa, porque sino demostrarían el poco intelecto que tienen, aunque claro, la mayoría usan sus flamantes iPhones, y los "cacharros" de Apple están fabricados para gente con mentalidad de 3 años, para que cualquiera sepa usarlo -usar y dominar, son cosas MUY diferentes- ya sabéis los que dicen la gente de Blizzard ¿no? "FÁCIL DE USAR, DIFÍCIL DE DOMINAR" . Y claro, si algún que otro famosete es un poco despistadete con sus redes sociales, después pasa lo que pasa.


Y después claro, todo esto se lo podríamos echar en cara a nuestros famosetes que tanto usan las redes sociales pero que a la vez son muy pocos atentos con ellas. Se lo podemos reportar, porque nuestros famosos saben que si son personas conocidas, van a estar al frente de críticas si hacen algo mal; esto ellos lo saben, por eso no se enfadan si se lo decimos.


Como molan las redes sociales, se pilla antes a un famoso que a un cojo...wait...así no era creo.

Hasta el próximo post!

Actualización:


jueves, 9 de julio de 2015

Las entradas volverán a este blog

Siento la inactividad que he traído en el Blog, pero los estudios son los estudios, además no he dejado la seguridad informática, he estado investigando y aprendiendo por mi cuenta de forma más tranquila. Así que tranquilos, pronto volverán las entradas a este Blog. No 1 diaria, pero subiré más de 1 a la semana si puedo. Ahora tengo que hacer demos, capturas y subirlas, me ha venido bien esta pausa de escribir cosas en el Blog.

Hasta el próximo post
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...