martes, 31 de julio de 2018

SOY un chico sencillo. Keep calm and work

Los que me conocen bien saben esta faceta mía de la que os voy a hablar en este post. Creo que los que sigáis el blog de hace tiempo os habréis percatado un poco, aún así ya lo dejo por escrito para que conozcáis un poco más de mí.


Como dice Rosendo en una de las canciones "Sólo soy un grito en medio del desierto". Soy una persona muy humilde que "con poco" se basta. Cuando digo poco, me refiero a que con 4 paredes, una cama lo suficientemente grande y un sueldo lo suficientemente alto como para poder vivir; me basta, con eso empiezo a funcionar. No necesito ser "protagonista,figurante y productor, ayudante, guionista y por supuesto el productor" ¡NO! -esto lo hace genial Rosendo- cada día "cuándo me despierto" sé que "sólo soy un grito en medio del desierto".



No me gustan las "excentricidades" de tener mucho, querer mucho ni nada por el estilo. Me gusta pasar desapercibido y estando delante del ordenador. Ya está, no pido más.


Esto en mí se refleja en mi día a día. Un ejemplo es que ahora que estoy trabajando en Málaga, mi pareja y yo nos fuimos hasta agosto-mañana ya- a una Residencia normalita y con una habitación pequeñita. Esa es la habitación donde hemos pasado los días, en una cama en la que hemos tenido que dormir uno encima de otro prácticamente y con una mesa que, siempre que estaba yo, la acaparaba prácticamente entera.


Yo trabajo de 9 de la mañana a 6 de la tarde y durante esas horas, la habitación era entera de mi pareja, pero a partir de las 6, la cosa ya cambiaba un poco xD.


Yo llegaba y colgaba mi tarjeta para poder entrar al trabajo y me iba a comprar la comida para el día siguiente.


Me gusta ser transparente y sincero. Me encanta la sencillez. Nos ha encantado dar este paso juntos y estar viviendo así, en una pequeña habitación sin cocina y teniéndonos que ir fuera a comer o comprar comida ya preparada y lista para calentar en un microondas en una sala comunitaria.


Cada día iba apuntando lo que yo iba gastando para así tener una idea de si estaba gastando mucho o poco. Yo la verdad es que he estado muy comodo así ya que es mi estilo de vida, sencillo, sin mucho lujo y centrándome en mi trabajo y mejorar como informático.

¿Hackeamos el Mundo?

lunes, 30 de julio de 2018

Noche salvaje en una residencia de Málaga

Ya he dicho que estoy en Málaga trabajando, pero de primeras no pude entrar en ningún piso, es más, hasta agosto no tengo piso, por lo que mientras, estoy en una Residencia con mi novia. Es pequeñita la habitación de la residencia, por lo que tenemos poco que hacer más allá de lo típico que hacen las parejas en una habitación.


Como lo que teníamos que hacer era lo evidente, yo decidí aprovechar la noche previa a mi incorporación para conectarme a la wifi de la Residencia y tirar de nmap.



Quise ver cuántos equipos había conectados y deduzco que la mayoría eran teléfonos móviles, pero yo seguía buscando.


De repente me encontré este equipo con todos estos puertos abiertos. Muy interesante el puerto 8080, pero no iba a tocar a nada, que era el primer día y no quería que me echasen tan pronto.


Este último equipo ya si que vemos es más interesante, sobre todo por el tema del nginx, el Samba y SSH. No toqué nada, pero sería un buen equipo al que empezar a tocar.


También era interesante este login de esta máquina, pero no iba a tocar nada, de las pocas veces que me contengo.

¿Hackeamos el Mundo?

domingo, 29 de julio de 2018

Estoy trabajando en Málaga

Estoy escribiendo este post tras terminar mi primer día de curro en CGI en Málaga y sólo puedo dar las gracias a CGI por darme esta oportunidad. Yo voy con ganas ya que se junta que me he venido a Málaga y voy a una empresa muy potente. Este post es simplemente para eso, para dar las gracias a CGI por darme esta oportunidad de crecer como persona y como profesional.

Gracias!

sábado, 28 de julio de 2018

¿Está el arrendador declarando sus beneficios con el alquiler del piso?

Vamos a meter un poco de polémica, que es lo que me gusta a mí. Estoy ya un poco cansado que cuando se habla de un problema, la gente pierda el tiempo en medirse la polla para ver cuál es "la causa del problema X". Voy a decir algo, y es que los problemas no suelen tener una causa, son un conjunto de causas lo que provoca el problema, y muchas veces, la gente entra a discutir por 2 causas que sí provocan el problema sobre el que están discutiendo pero buscando que sólo 1 de las causas sea la correcta. Esto me ha pasado recientemente porque me he puesto a buscar pisos compartidos para alquilar en Málaga ya que estoy trabajando allí ahora mismo y no han faltado las voces que me explicaban el por qué la cosa estaba como estaba.






Esto de buscar vivienda ha sido un verdadero tostón, y más con esas voces de fondo que te decían eso de 

-"Esto está tan mal por culpa de que no hay garantías que manden a la calle al que ocupa tu casa"
-"Esto es por culpa de los de izquierdas, que prefieren tener ocupas y gente que no paga que echar a esa gente, y claro, pasa lo que pasa"

Así que vamos a ver quién tiene más probabilidades de no pagar y afectar gravemente al Estado y ver si callamos ya a esa gente que "dicen no ser de derechas", pero su discurso es de Derechas tirando a la extrema.

Entendemos que el arrendador no tiene que pagar el IVA si está alquilando su vivienda, pero sí que, en caso de que el inquilino no pague el ITP, sería el arrendador el que se debe encargar de dicho pago. En la práctica nos encontramos en que casi ningún arrendador especifica en el contrato-cuando lo hay-que se pague el ITP y por experiencia sé, que muchos arrendadores te dicen de pagar en efectivo para así olvidarse de los bancos y que "no quede constancia" de ese pago y de que ha obtenido ese dinero.

Esto, como os imagináis, muy legal no es, ya que el pago de ese impuesto el arrendador no lo está realizando y además puede ser que no estén declarando a Hacienda ese dinero que están obteniendo con el alquiler. Fíjaos si tengo conciencia sobre eso, que el piso que he alquilado, lo he hecho porque es el único que ha dicho de realizar una transferencia bancaria.

Por poneros en situación os digo que mi pareja y yo pagamos cada uno 325€ de alquiler al mes en una habitación con cama de matrimonio. Todos, y digo TODOS los pisos que hemos ido a ver tenían como máximo, 4 habitaciones, por lo que multiplicad cuánto dinero obtiene el arrendador cada mes por las 4 habitaciones. Para ponerlo fácil,pongamos que todas las habitaciones son 325€/mes, eso nos da 1300 € al mes que recibe el arrendador, y si consideramos que tiene ocupado el piso todo el año, eso hace un total de 15600 € al año.

Pongamos ahora que lleva 4 años alquilando habitaciones. Digo 4 años porque es el tiempo hasta que este tipo de delitos preescriben. Pues por los 4 años nos da un total de 62400€ que estaría defraudando una sóla persona a Hacienda. Y eso sin sumarle el ITP.

Pero pongamos que esto, nada más que en Málaga, lo hacen 10 personas, lo que nos salen unos 156000€ defraudados al año en Málaga(ahora mismo estoy viviendo en Málaga, por eso lo digo). Y ahora eso, por las 50 provincias de España, lo que da 7,800,000 € (más de 7 millones de euros) defraudados nada más que en alquileres. Si os queréis hacer una idea más general, os dejo este documento que realizó PAH (Plataforma de Afectados por la Hipoteca) en la que recolectaron datos sobre fraude fiscal. Pero con el tema de fraude en alquileres, con lo defrauden solamente 10 personas en cada municipio, ya son 7 millones que el Estado no ve, y si ese dinero no lo ve, es dinero que no tiene para pagar sueldos, educación pública, sanidad pública,etc. ¿Véis el problema?

Pongamos que una persona cobre 900€ al mes, menos esos 325 € al mes de alquiler, le quedan 575 €, a los que hay que restar la comida. Pongamos que en comer, se gasta 20€ al día, por lo que son 560 € al mes que se va en comida, restamos a lo anterios (575 - 560) y a esa persona le quedan 15€. Pongamos que tiene que ir al trabajo en autobus y que cada 5 días recargar 10 euros en el bonobus, eso son 60€ al mes en el bonobus, que si restamos a lo que le quedaban, tenemos que a esa persona le quedan -45 €, es decir, que debe 45 €. Entonces ¿Cuál es la solución? Endeudarse para poder vivir.

Pero claro, va pasando el tiempo y como al año son 7 millones de euros que el Estado no ve, a esa persona le bajan el sueldo, nada, 50€ "de nada". Lo que tendría que deber ahora serían 90€, por lo que trata de hacer malabares, pero poco a poco, la deuda es mayor, el primer mes son -90€ que tiene, el segundo mes -180€, el tercer mes -270€ y el cuarto mes -360 €, que ya es más que lo que paga de alquiler. Es decir, en 4 meses, ya no puede pagar el alquiler, y ahora porque son 3 meses de impago, pero antes con no pagar un mes, ya se abría el proceso para desahuciarte, sí, así es la ley tan restrictiva en España.

No hemos tenido en cuenta que la persona ha tenido que pedir préstamos al banco, por lo que de ahí ya surgen más problemas, la deuda es mayor, pero obviemos eso, vamos a tener en cuenta que una persona que al mes defrauda 1300€ y que en 3 meses defrauda 3900€ a Hacienda, puede abrir un proceso a una persona que no pague 975€(los 3 meses de alquiler que no llega ni a mes de fraude del arrendador).

Ahora repito la pregunta ¿El problema son los que no pagan su casa por quedarse en el  paro o, "en el mejor de los casos" que le bajen el sueldo? No, el problema es la gente que no paga impuestos, ya que la consecuencia es muy grande. Una consecuencia casi igual de grande que no vacunar a tus hijos.

Cuando digo esto se produce el silencio, ya resulta que los malos no son los que no pagan el alquiler porque o los han despedido o les han bajado el sueldo, ya se han dado cuenta de quién es el malo. No obstante siempre hay una persona que dice

-"Pero detectar esos fraudes es muy complicado"

Bueno, vamos a ver que no es tan difícil detectar esos posibles fraudes.


Yo los pisos que he buscado ha sido por Internet en webs como idealista o pisocompartido, pero webs como estas hay varias, por lo que podemos irnos al pasado y ver qué pisos estaban en alquiler. Tengamos en cuenta que en el anuncio suele salir el nombre del arendador y su número, por lo que lo podemos buscar por Facebook a ver si hay suerte.


Tenemos hasta la dirección y fotos del piso, sólo es buscar y una vez que demos com la persona, investigar sus cuentas bancarias y sus compras (esto que lo haga Hacienda) para ver si se ha gastado más dinero del que supuestamente gana con su trabajo, por lo que Hacienda preguntaría "¿Y de dónde has sacado tanto dinero?" y ya es responsabilidad del arrendador responder.

Sobre el tema de desahucios, decir que se producen más de los que se dicen, los que se paran son pocos, y los que se paran es porque normalmente el inquilino no tenía contrato pero recibía cartas del banco a ese domicilio por lo que legalmente es su casa. Sino, también recordar que tenemos una Constitución que dice más cosas además del color de la bandera o quién es el Rey. Por ejemplo, en el Art. 47 dice que todos los españoles tienen derecho a una vivienda digna, por lo que si la vivienda de esa persona es la única que tiene, lo que se le hace es perdonarle la deuda (espero que los bancos no se quejen de esto, que hace poco se los rescató y aún no lo han devuelto todo), ya que tienes que garantizar la vivienda y suelo digno para todos los españoles. Si por el contrario dispone de más de una vivienda, sí se les desahucia, ya que vivienda tiene, pero si sólo tienen una, la Constitución te dicta que los debes dejar allí.

Por estas cosas, los malos no son los que no pagan el alquiler, ya que quieren pagarlo pero no tienen dinero. Además están estas cosillas de la Constitución que es lo que hace que se paren desahucios, porque no me digáis que la Policía puede ir con pistolas de bolas de goma a Cataluña (donde están prohibidas) a para una votación y poner un barco de Piolín lleno de Policías, pero no pueden pegar 2 patadas a una puerta. Poder pueden, pero la ley es la ley para lo bueno o para lo malo, y en este caso se trata de cuestiones de Derechos Humanos, algo que España, en el Art. 10 se comprometió a cumplir.

Aún así, lo que se puede hacer es poner condenas ejemplares a Luis Bárcenas, Urdangarín o al Rey Juan Carlos, el cuál utilizó a Corinna como testaferro o que recibió en beneficios 80 millones de euros por el tren a la Meca. Podemos empezar por aplicar condenas ejemplares a estos delincuentes (curioso, mucha gente para lo de Cataluña se ponen muy duros y quieren ser muy duros, pero cuando sacas estos nombres de delincuentes, se ablandan) los cuales sí están rompiendo a España.

¿Hackeamos el Mundo?

viernes, 27 de julio de 2018

Un familiar demasiado generoso que me regaló un APT de Mediamarkt

Me he impuesto como regla, que los findes voy a descansar un poco más de lo habitual y pasar tiempo haciendo cosas con mi pareja. Una de las consecuencias de esto es que me suelo despertar para las 8:30-9:00 de la mañana cuando me suelo despertar a las 7:00-7:30 de la mañana de lunes a viernes. Pues este fin de semana pasado fue el primer finde que me apliqué esta norma y la verdad es que no pude empezar peor.



Me despertó mi pareja a las  8:30 más o menos el finde pasado y claro, una pareja recién llegada a una nueva localidad a esa hora un sábado, poco tiene que hacer, por lo que para no distraernos de "dar la bienvenida al sábado" fui a quitar el sonido al móvil para que nadie nos molestase...hasta que vi un mensaje que recibí de un familiar, un mensaje un tanto...peculiar.


Es el típico familiar que te reenvía todas las "cadenas" y "vídeos graciosos" que recibe. Pues vi el mensaje y de inmediato sabía que se trataba de una trampa clásica, pero no sé si fue porque estaba recién levantado o porque en la cabeza tenía poca sangre en ese momento, que miraba el enlace y no encontraba nada raro.

Sabía que MediaMarkt España es mediamarkt.es, pero sabía también que existía mediamarkt.com y a lo mejor disponían de un plugin para traducir la web y a lo mejor usaban el dominio mediamarkt.com/es. Antes de nada entre por el navegador a mediamarkt.com/es y no me salía ningún resultado, por lo que rápidamente entendí que se trataba de un dominio typesquiting y de ahí que lo escribiese todo en mayúscula.


Pulsé en el enlace y rápidamente comprobé que estaba en lo cierto, así que me levanté de la cama  y fui al ordenador. Mientras me levantaba de la cama escuché a mi pareja gritar:

-"Manu ¡¿Otra vez?!"

Pero ya había encendido el ordenador y quería comprobar mejor esa web. Entré en Whatsapp web mientras veía de fondo a mi pareja como me miraba con cara del Gato con Botas cuando quiere conseguir algo.


Entre al "Inspeccionar elemento" dentro del mensaje de este familiar y comprobé nuevamente que se trataba de un enlace de tipo typesquating. Por su puesto, en la web lo que se había hecho es insertar una foto de Mediamarkt que ocupa toda la página y al final salen unas preguntas que si las contestas y compartes con 20 amigos o grupos de Whatsapp, ganas un iPhone X.


Por supuesto, esto está pensado para que lo hagas desde el móvil, ya que cuando le das a compartir, hay una barra que se va completando y que simplemente es un enlace para abrir tu aplicación de Whatsapp y enviar el mismo mensaje que recibí. Como ya sabréis, al escribir en Whatsapp "*[MENSAJE]*", el mensaje entre * aparecerá en negrita, tal y como se ve en mi mensaje que he recibido. Yo al estar haciendo esto desde ordenador, evidentemente, no habre la aplicación de Whatsapp.


Si ya nos vamos al código de la web, vemos que en la etiqueta <a> tenemos un js muy peculiar con variables tan curiosas como count, whatsapp -que contiene el mensaje a enviar- y redirect_url.



Para abrir la aplicación de Whatsapp y escribir ese mensaje, se puede abrir de 2 formas. La primera es que la variable count sea verdadera o que los números de clicks en el botón de compartir sea 1,2,3,4,5 ó 6. Algo que, por otra parte, es absurdo ya que después ytiliza la condición de que si max_count (con valor a 7 por defecto)- count  ==1 que abra la aplicación de Whatsapp y escriba el mensaje.



Para que el resultado de esa resta sea 1, la única opción es que count sea igual a 6, ya que max_count=7, y es por esta razón que cuando count es igual a max_count, es decir, cuando haces click sobre el botón 7 veces, te lleva a la URL de redirección.



 Esto nos llevará a la URL de redirección. Como véis, es una técnica  muy antigua y en la que cualquiera podría caer, es más, este familiar ya ha caído y con que 2/20 personas caigan, ya es el 10% de personas cada vez que se hace el envío del mensaje, esto en un mundo tan globalizado como el de hoy, en cuestión de horas se pueden tener miles de víctimas, y más aún si el que lo envía es un familiar del que "Nos fiamos".

Al final mi pareja y yo aplazamos lo que íbamos a hacer, pero al menos conocí una técnica que puede estar afectando a muchas personas. Creo que ella, en ese momento, no estaba de acuerdo con que aplazar nuestros planes haya sido tan positivo, pero es la vida de un héroe, incomprendidos por hacer el bien en las noches de Gotham luchando contras los malos.

¿Hackeamos el Mundo?


jueves, 26 de julio de 2018

Algo pacha con Whatsapp

Estaba buscando piso y di con números de teléfono de los propietarios. Sobre lo que pienso de algunxs propietarixs me lo guardo para otro momento. No es una opinión positiva. Pero el caso es que vi algo que me extrañó bastante en Whatsapp.


Donde me he dado cuenta que pasa esto es en Whatsapp Web. Aunque antes debo decir que yo tengo algunas características habilitadas para mejorar mi privacidad en Whatsapp dentro de lo posibe.



En teoría si yo no tengo habilitada la Hora de últ. vez, yo tampoco podría ver la Hora de últ. vez de nadie. No obstante, empezaba a añadir a gente que era propietaria y veía algo raro.



Y en muchos casos veía que, una vez se establecía el cifrado extremo a extremo, podía ver la hora de última conexión. Es cierto que esto conforme se iba manteniendo una conversación más larga e iban pasando los días, esto ya no era posible, pero al principio de agregar al usuario sí que podías ver es última conexión. Supongo que será un bug y mucho no lo he probado, pero si esta posibilidad de ver la hora de última conexión se alarga 1-2 horas, podríamos recrear más o menos sus hábitos, aunque hay excepciones ya que puede ser que lo hayamos pillado en una hora de descanso del trabajo o whatever.

¿Hackeamos el Mundo?

miércoles, 25 de julio de 2018

Obtener las métricas de una empresa con Shodan

Shodan es una herramienta que se utiliza mucho para el OSINT ya que se puede encontrar mucha información de sistemas vulnerables. Como sabéis, cualquier información, por insignificante que pueda ser, es importante.


De vez en cuando me meto en Shodan y busco cualquier cosa que pueda resultar interesante y hace unos días encontré algo que me resulta interesante.


Una de las cosas que encontré en uno fue que podías encontrar lass estadísticas de una web con los mensajes recibidos y salientes.



Estas estadísticas nos podrían servir para saber si una web tiene o no mucha carga de trabajo y ver si es más o menos fácil realizar un DDoS.

¿Hackeamos el Mundo?

martes, 24 de julio de 2018

Webs dentro de la propia URL. Nuevas ventanas abiertas.

El ingeniero Nicholas Jitkoff  ha realizado un proyecto muy interesante, para mí el más interesante en los últimos meses ya que la idea es innovadora y lleva más trabajo que lo que se está sacando en materia de "Inteligencia Artificial" hoy en día-una serie de if no es una IA-.


Es una idea bastante original que se basa en que todo lo que escribes por pantalla se guarda en la URL con un límte de unos 4000 bytes. Todo esto es posible gracias al algoritmo de compresión Lempel-Ziv-Markov.


Han salido proyectos muy interesantes como un péndulo doble o una calculadora. Este proyecto es interesante porque puedes crear una web sin necesidad de un dominio.


Yo he querido hacer una prueba sencilla con código HTML y ha quedado así.

Este proyecto como he dicho abre muchas ventanas de poder hacer pequeños proyectos o incluso nuestras propias webs sin necesidad de un server, pero ojo, también permitiría ejecutar código en nuestros ordenadores sin nuestro consentimiento, lo que daría mucho juego a posibles atacantes en el futuro.

¿Hackeamos el Mundo?

lunes, 23 de julio de 2018

Estudio: Técnicas OSINT para demostrar que la piratería NO AFECTA a la industria del cine

Todxs hemos escuchado que la piratería afecta negativamente a la industria del cine, no obstante, cuando pides referencias que apoyen esa afirmación siempre te quedas esperando cuando comprobarlo es sencillo. Para demostrar que la piratería no afecta negativamente a la industria del cine, he elaborado un estudio.


Yo he analizado algo más de 100 películas con los ingresos obtenidos, pero es una parte, aún quedan muchos datos más que analizar de otros 2 estudios que sacaré. Este ha sido mi estudio/artículo número 24 de este año, con lo que igualo todos los que hice el año pasado y aún estamos en el mes 7.


No suele ser común, pero os dejo el pdf del artículo por si lo queréis descargar. También os dejo la captura del análisis realizado con VirusTotal para que veáis que no tiene nada raro el pdf.

¿Hackeamos el Mundo?

domingo, 22 de julio de 2018

El actual Gobierno del PSOE quiere terminar con el anonimato en la red

Gran derechazo. Actualmente en España está gobernando el PSOE [Partido Socialista Obrero Español]. Se le suele decir que es de izquierdas, aunque creo que están mirando a un espejo donde el PSOE confunde izquierda y derecha. Ahora mismo, tras acabar en el Gobierno tras una moción de censura a M. Rajoy, el PSOE plantea muchas ideas que le sirvan para las futuras elecciones. Una de esas propuestas es cómo lidiar con la libertad de expresión y la privacidad en la red.


Di con la propuesta del PSOE relativa a la libertad de expresión, y no puede ser más de derechas. El PSOE ya está asomando de nuevo su patita. Sí que hay pequeños cambios positivos como los cambios en RTVE, exhumar los restos del Dictador Franco y jurar la Constitución sin símbolos religiosos. Eso está guay y es el "identificando ruta" de los sistemas GPS de la gente de izquierdas, pero ocurre lo mismo que con el mensaje de "bandera y DNI" del partido Ciudadanos. Que no se come. Con esos detalles, no mejorará la vida de los españoles. Pero no vengo a reformar la Izquierda, ya que hay partes de la Izquierda que sí lo tienen claro y están unidos. Yo lo que vengo es a comentar esa propuesta de la que os he hablado.




Como si hubiese que diseñar nuevos protocolos o procedimientos para identificar a los usuarios. Ayer ya os dije que muchos gobiernos-incluido el de España- están metidos en un grupo que permite el espionaje de otros países a España para después comprar esos datos. Ahora mismo, si saliese esa ley, el PSOE lo tendría muy fácil.

JavaScript para identificar el User-Agent de los usuarios

Esto es algo que ya os enseñé en la serie de posts How somebody fucked my girlfriend y que nos puede permitir conocer el User-Agent del usuario que visita nuestra web


Esto se puede profesionalizar más y hacerlo hasta tal punto de que sepas replicar casi por completo el navegador de un usuario. Ya sabéis también que existe el proyecto Panopticlick, pues aquí hago referencia a lo mismo, ya que se podría utilizar los mismos mecanismos en las webs gubernamentales para saber el navegador de un usuario y cómo de único es ese navegador. Panopticlick tiene como objetivo el de informar, pero un Gobierno podría hacer lo mismo para identificar a los usuarios.

Las cookies de sesión

Algo que también aporta mucha información sobre nuestros hábitos de vida y es que cuando navegamos por Internet, dejamos muchas huellas que los sitios webs van recogiendo y utilizan para anuncios.



Sobre algo relativo a esto también os conté en "Mi novia está embarazada según Google". Os dije que en Twitter podías personalizar anuncios para que vayan a colectivos con características similares. Esto es posible, entre otras cosas, a las cookies ya que recopilan tu historial de navegación.

Algo parecido ocurre con Stylish, una extensión que enviaba tu historial de búsquedas a terceros. Vendían tu historial de búsqueda, en otras palabras. Este fue el artículo que redactó Robert Heaton y que mostraba esta "funcionalidad" de Stylish.


Hay quien cree que el historial de búsqueda puede unirte a un colectivo, y eso es cierto, por ejemplo, al caso de embarazadas pero no seamos ingenuos, si una empresa recibe estos datos de Stylish y ve que un usuario se conecta siempre a https://twitter.com/[MY USER] ¿Quién es el usuario? Así ya si que podemos empezar a relacionar usuarios con sus búsquedas con lo que ello conlleva.

Permisos de aplicaciones de terceros

Hay aplicaciones que pueden solicitar distintos tipos de permisos a tu cuenta de Google. Podéis comprobar los permisos que requieren cada aplicación aquí. Esos datos a los que acceden, los pueden vender a terceros, y esos terceros podrían ser un Gobierno o ser una app propia del Gobierno de tu país.



Comprobando tu actividad en tu dispositivo Android

Google dispone de información relativa a las aplicaciones que utilizas cada día, por lo que en caso de vender esos datos, cualquier podría crear tus hábitos de navegación. Podéis comprobar cuál es vuestra actividad en vuestras cuentas de Google desde este enlace.



Redes públicas gubernamentales

Muchas son las redes wifi que cada Ayuntamiento de cada municipio "presta" a sus ciudadanos de forma "gratuita". Es fácil de montar un punto de acceso y el Ayuntamiento en cuestión podría analizar todo el tráfico sin mucho problema. Yo ha hice una prueba sobre esto y publiqué aquí en el blog un post sobre esto.


Estas han sido 5 formas que un Gobierno podría aprovechar para espiar a sus ciudadanos. Ya os dije ayer en qué posición estaba España y como podría pedir datos de ciudadanos españoles tal y como reveló Edward Snowden. Hay más formas, por supuesto, y que un Gobierno se replanté tratar de identificar a todos los usuarios por si "faltan a la verdad" obliga a que meditemos sobre dónde podrían acabar nuestras libertades. Un ley que atenta con nuestros derechos y que no pertenece a la izquierda política en absoluto. Mi total desacuerdo con esta posible ley.

¿Hackeamos el Mundo?

sábado, 21 de julio de 2018

¿Cuántos ojos nos espían?

Hoy en día mantener nuestra privacidad es algo complicado. Existen muchas formas de obtener información, para empezar tenemos la Web a la que se le incorpora código JavaScript y que permite obtener información como la IP o el User-Agent del usuario. Todo esto unido a toda la información que hay pública y no tan pública que se obtiene de forma no muy lícita.



Es difícil luchar contra un atacante cuyo único propósito es robar nuestros datos pero no es imposible. No obstante, cuando se trata de defender de un gobierno, la situación se complica, pero defenderte de medio mundo es casi imposible. 

No nos debe impresionar que los gobiernos nos vigilen. No obstante en muchos países se elaboran leyes que prohíben a un Gobierno espiar a sus ciudadanos. Entonces ¿Cómo se soluciona esto si los gobiernos lo que quieren es saber lo que hacemos?

Muy fácil, se alían con otro país que los espíe y después le compran esos datos. Esto fue una de las muchas cuestiones que reveleron los documentos de Edward Snowden.A esta alianza se la ha llamado "Cinco Ojos" y entre ellos están Estados Unidos y Reino Unido.

Es decir, que Estados Unidos espía a Reino Unido y después Reino Unido les compra esos datos y viceversa, Ambos gobiernos conocen el espionaje, es más, lo facilitan permitiendo el acceso a sus redes y así no es Estados Unidos quienes espía a sus ciudadanos, sino Reino Unido, aunque después compren esos datos.

Pero esto que hacen Estados Unidos y Reino Unido lo hacen otros, de tal forma que forman los Nueve y Catorce Ojos. Así pues, Estados Unidos puede espiar con el consentimiento de España a España y después que España le compre esos datos a Estados Unidos. Esto pasa, es más, España está en la categoría de "Catorce Ojos".


Esto lo reveló Edward Snowden y es una estrategia seguida por gobiernos para cumplir con las leyes nacionales y aún así saber qué hacen sus ciudadanos.



No es difícil, todos conocemos cómo funciona el USA Patriot Act, una ley que permite a Estados Unidos vigilar a todos los usuarios con dispositivos que se hayan fabricado en su país para, en teoría, luchar contra el terrorismo. Todos sabemos las empresas que están dentro del programa PRISM. Microsoft, Facebook o Google son sólo algunas de las empresas que ofrecen datos de sus usuarios al gobierno americano ¿Tienes algún producto de estas compañías? Pues estás siendo espiado  ¿Tu país pertenece a los Cinco, Nueve o Catorce Ojos? Pues tu país está comprando esos datos a Estados Unidos y te está espiando tu propio país de forma indirecta.

¿Solución?

Preocuparnos por la privacidad como lo debería hacer un periodista. Es tu privacidad y tu libertad, debes luchar por ella. No uses productos delas compañías mencionadas y preocúpate por tu privacidad. Nunca la rebelión fue tan fácil.

¿Hackeamos el Mundo?

viernes, 20 de julio de 2018

Un Phishing de Paypal cutre, pero con HTTPS

Hace unos días recibí un correo de Phishing de Paypal. No cai porque estaba muy mal montado, pero sí que hubo un detalle que me sorprendió. Cuidó un detalle peculiar y que, de tenerlo un poco mejor montado, lo mismo más de una persona caería


Era de noche, casi las 1 de la madrugada y yo me estaba metiendo ya en la cama porque estaba cansado. De repente, suena mi teléfono móvil porque recibo un mensaje de correo. Ese sonido está presente varias veces a lo largo de un día, por lo que estoy acostumbrado y cuando puedo, lo reviso. En ese momento, podía revisarlo,  cuando vi en la notificación "Your Paypal account has been limited", me senté en la cama-estaba tumbado ya- y dije "WTF?!"-.


Me sorprendió porque no tengo asociada mi cuenta de ProtonMail a Paypal, por lo que ya sospeché un poco. Cuando me centré en el mensaje, ya sí que vislumbraba un poco que podía tratarse de un Phishing, más que nada, porque me fijé en quién lo enviaba y el correo no podía ser más sospechoso.


Visité el dominio y vi que no existía, por lo que tiré de Archive.org y vi que en el 2017, ese dominio ya marcaba un 404.


Volví al mensaje y me di cuenta que habían puesto un enlace dentro de un botón con la clase <a href> en HTML. Pulsé para ver a dónde me llevaba.


Antes de nada me aseguré de comprobar cuál era el dominio real de Paypal por si me encontraba algo raro. Vi que iba bien y que seguí online. Me fijé en cualquier detalle aunque fuese insignificante del dominio y volví al enlace al que me había llevado tras bulsar en ese botón al que ni un border-radius le ha añadido.


Antes de nada me fijé en que tenía en la URL un /wp/wp-content y dije "¡coño, esto es un Wordpress!" así que tiré hacías atrás en la URL y quité el redirect.php del enlace original que es https://richardmalmed.com/wp/wp-content/themes/twentysixteen/redirect.php. Este redirect, como su propio nombre indica, me lleva a la web de Phishing de Paypal. 

Al quitar el redirect.php me llevó a este listing que muestro en la captura anterior. Yo ya me empezaba a reír de que, si en teoría se estaba haciendo pasar por Paypal, tuviese este fallo tan tonto que es de un descuido que soluciona de una forma tan fácil como dando permisos a la carpeta y restringiendo el acceso a este directorio.



Una vez que vi esto, eché una ojeada por cada archivo y poco más. Tras esto, decidí ir de nuevo a la web de Phishing para ver cómo la había montado, y la verdad es que un poco cutre. El "PayPal Página Secure" la mitad en inglés y la otra mitad en castellano y con una fuente Arial en gris, un <br> y un "Ingrese a su cuenta" con un Arial con <b> y un formulario que imagino que metería en un <table> que contiene un cuadro de texto para introducir el correo electrónico y otro campo para la contraseña.

Se nota que ha metido el formulario en un <table> porque hasta el enlace-que no es enlace, es sólo texto con fuente en azul- para recuperar tu contraseña, ocupa todo el largo que ocupan los cuadros de texto y contraseña.

Sobre el botón al que, en este caso, sí le ha metido un border-radius, mejor ni hablamos de que se deje parte del texto como no visible. Esos detalles hay que cuidarlos hombre.

En lo que no sé si os habéis fijado, es en que corre bajo HTTPS ¡Utiliza el puerto 443! Esto es curioso ya que, a pesar no de tener un nombre de dominio que ni se le parezca al de Paypal, mucha gente puede caer nada más que por el ver el candado verde y el HTTPS y creer que por ir bajo HTTPS ya es segura la web.

Me resulta curioso porque hubiese podido contratar un dominio muy similar al de Paypal y que ya encima con SSL, la gente sí que caería mucho más. Yo he probado a buscar y, utilizando la técnica de generación de nombres de Txus di Fellation [Mägo de Oz], le he puesto la diéresis en la primera "a" de Paypal y había dominios gratuitos.



Por 10 euros puedes contratar un dominio muy parecido al de Paypal y que así la gente caiga mucho más. Si a eso le añades que hagas como ha hecho el atacante e introduzca la URL dentro de un botón que hagas con HTML, tendrías una probabilidad de éxito muy grande.


Por supuesto ya me levanté de la cama y busqué todo esto en el ordenador. Traté de entrar a la web que me envió el atacante y me marcaba Firefox que el sitio era engañoso. Firefox ha hecho su trabajo.


Ojito con los antivirus, que muchos no lo detectan como malware. A esta web le falta profesionalizarla un poco más y puede que marque un 0/68. Cuidado con esto.




Ya para terminar, al ser un Wordpress, busqué si tenía un phpinfo y ahí estaba, tenía toda la información de la web. A esto lo llamo yo "viniste a trollear y te fuiste trolleado".

Está visto que la profesión va por dentro y que a pesar de querer dormirme, una cosa tan tonta como un correo de Phishing me despertó la curiosidad -nunca mejor dicho- y estuve enredando un buen rato. Si esto no es ser profesional, yo ya no sé qué es serlo.

¿Hackeamos el  Mundo?
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...