Monthly Archives: febrero 2015
El puto Amo: CRIMSAIZ
Buenos días!!!
Os dejo este derroche de talento para que empeceis bien el día.
ESE SOY YO ….
Tengo debilidad por los aeropuertos. Es un hecho. Y no me refiero a que siempre que voy me enamoro de una azafata. Esta vez no. Esta vez fue la rubita que atendía el SAC del Taxi (por dios que mona!!! :*) Pero no es el tema de esta entrada….
Mi debilidad viene declinada de que en los aeropuertos es uno de los sitios donde más sentimientos sinceros se ven. Esa sonrisa al ver a un ser querido que viene de lejos, esos abrazos (o la falta de ellos) es algo que no puede pasar desapercibido a alguien super-empático como yo: Un gran momentazo que nunca dejo escapar, desde la discrección.
Mucha gente supongo que a veces, ve alguien con un buen número de años piensa «así seré yo». Lo que la mayoría de gente pensará al ver al famoso/a de turno insultantemente joven para su edad (de forma artificial en la mayoría de los casos), esbelto, elegante, y por supuesto, con mucho dinero y éxito. Ojalá la vida no os ponga los pies en tierra.
Un señor mayorcete, entradito en kilos, vestido con esas americanas verdes a cuadros de señor mayor, está militarmente plantado a mi lado en la sala 10 de «llegadas», con una percha bastante digna y erguida para alguien de su edad, a pesar de la ropa más bien del montón. Me es imposible no fijarme en que lleva un gigantesco ramo de rosas, que hace juego con su tamaña sonrisa. Levanta la vista para comprobar que su espera acabará pronto, y su sonrisa se agranda aún más. Se saca un peinecillo del bolsillo, y se peina su escasa y blanca cabellera y lo vuelve a guardar, esperando, supongo, al amor de su vida.
ESE Y NO OTRO, SERÉ YO ….
Más juegos gratis: LITIL DIVIL en IndieGala
Los chicos de Indie Gala siguen pisando fuerte y como parte de su política de expansión, parecen haberse abonado a estos semanalmente, ya casi con puntualidad.
Genial para comenzar la semana, aunque, como siempre, juego que yo ya tenia :facepalm:
www.indiegala.com/store
Unas ronditas en mi cumple!!!
Bueno pues hoy cumplo 41 añazos. Ahí es nada, pero todavia hay cuerda para rato! Os deseo una feliz semana, y espero que tambien lo sea para mí que me enfrento a un reto importante. Y agradeceros como no las visitas diarias con las que cuenta, éste vuestro humilde blog.
Espero que disfruteis de este highlight de un match-making de CSGO. salu2!!!
Auditando que es gerundio: El router que hacia puenting.
Que las empresas invierten poco o nada en su seguridad informática, es un hecho. Al igual que como muchos sabréis, en hacer copias de seguridad de los datos, por muy importantes que estos sean, la mayoría de la gente se piensa que los discos duros son eternos y luego las pérdidas de datos son inevitables.
Debo decir que me siento tentado de hacer un mini-tutorial básico acerca de aquellas mínimas nociones que debemos tener a la hora de tener nuestra wifi activada. Pero nunca o casi nunca, ésto ocurre y la mayoría de los routers (con buena parte de culpa del sudamericano que nos dice «reinisió la pesé?» y después nos pide que restauremos el wifi a valores de fábrica) todavía se mantienen con la configuración inicial, lo cual es muy muy peligroso.
Con cierta asiduidad, la gente me consulta si alguien puede usar su wifi o qué deberia hacer para que ésto no ocurra. En casi ningún caso, esta gente está preocupada porque al tener acceso a su wifi, lo tiene también a su red: ordenadores, tablets, móviles ¿nadie piensa en esto? Cualquiera ciber-delincuente que se conecte a nuestra red tiene ya una puerta abierta para entrar al resto de nuestros dispositivos.
Y como muestra, esta mañana en una empresa de tamaño pequeño, tras usar distintos operadores de internet, disponían aún de 6 (si, 6) routers enchufados al switch del servidor. Y sí, todos con sus SSID/contraseñas por defecto, de manera que no había una sola puerta abierta, eran 6 nada menos. Y para más inri, la más reciente, la única operativa (de jazztel), colgando cual longaniza haciendo puenting frente al switch.
Respuesta al «Campofrío-Gate»
Aunque han tardado algo más de lo que esperaba, debo decir que desde el grupo campofrío me han respondido para agradecerme la advertencia sobre el problema de seguridad en su servidor (que además disculpan diciendo que era un foro privado de accionistas….). Me da que no se dan cuenta de la magnitud del problema si alguien tiene acceso completo a la base de datos como root, pero bueno, espero que tomen medidas.
Os dejo captura :
Hacking con buscadores (nivel noob) : Colándome en CAMPOFRIO
La verdad es que me arrepiento de no haber dedicado más tiempo a estudiar seguridad informática. Es un campo apasionante. Y además, muy al alcance de cualquiera….Pero nunca es tarde ¿no?
De hecho, me encontraba en el ordenador de mi amigo TROY, que además es policía (algo que ya le he comentado alguna vez que proclama demasiado, por eso lo menciono sin más que su nick) via TEAMVIEWER, cuando después de hacer de «amigo informático» optimizando algunos recursos de su sistema: index server, restaurar sistema, etc… Le comenté que estaba dándole duro al tema de la seguridad informática en el que me ha iniciado ese gran profesional y mejor persona que es CHEMA ALONSO, al que tengo la suerte de tener por amigo.
Bueno, pues desde su propio ordenador y viendo que el tema le fascinaba, ya que además tenia un espectador y sabía que me iba a decir «tío a ver que haces que soy policía!!!» pues le enseñe las múltiples facilidades que da a un hacker el uso de sólamente google.
Que conste que dejo claro que esto es de muy bajo nivel, pero aún asi, di en unos segundos con el servidor de una gran compañía, totalmente abierto, con total acceso y con un grave riesgo de intrusión.
Para el que lea esto y no esté muy versado, básicamente google se dedica a indexar todo el contenido de la red. Por tanto, todo el contenido del server es examinado por los buscadores como google, dejando ver muchas veces cosas que no deberían estar a la luz: archivos de passwords sin encriptar o con encriptados fácilmente descifrables, volcados de la base de datos, e-mails y/o direcciones personales (incluso con contenido que podrían facilitar mucho un ataque de ingeniería social) y un largo etc …. La fuente de recursos es casi infinita.
En este caso, probé con XAMPP. XAMPP es una suite que permite fácilmente poner operativo todos los recursos de una web: WEB con MySQL, PHP y Perl. Fácil y rápido, y «demasiado» cómodo. Con frecuencia cuando se usa algún software de este tipo, después no se toman las medidas correctas a posteriori, cumpliendo una regla de oro de la seguridad informática: LO FÁCIL NUNCA ES SEGURO.
Una vez instalado XAMPP habría que acceder a su panel de control y limitar el acceso desde internet y establecer contraseñas de seguridad. Así que desde el ordenador de mi amigo TROY de paso a su vista realicé una búsqueda de sitios con dominio .ES (site:.es) que tuvieran XAMPP instalado, donde en la url se incluya «security» (ya que la url es localhost/security/index.php) y si no se ha configurado correctamente, phpadmin muestra un mensaje de alerta donde dice «php is free accesible by the network» donde pone claramente que es INSECURE.
Bueno pues después de comprobar que los señores de CAMPOFRÍO invierten poco o nada en su seguridad informática, realice la captura correspondiente. Cualquier ciberdelincuente con ese tipo de acceso libre, podría no solo acceder a toda la red, si no además asegurarse privilegios de administrador para futuros ataques, robo de información, suplantación de identidad, monitorizar el tráfico de la red, en fin, todo un abanico de ciber-delitos.
Aqui la captura que lo demuestra : CAPTURA
Visto esto, como digo, en unos segundos, solo quedaba recoger las alabanzas de mi colega el policía entre su admiración y un poco de canguelo, y escribirles a los señores de campofrío un email informándoles del grave problema de seguridad que presentaba su servidor «SECURE» (LOL). Ni que decir tiene que he esperado hasta que este problema se ha resuelto aunque no he indagado si presentan otras deficiencias, tras 48 horas. Eso sí, ni un triste gracias ….No costaba mucho ¿no?
En fin, si algun noob como yo, ha encontrado útil este artículo, le recomiendo encarecidamente el libro HACKING CON BUSCADORES DE 0xWord de ese gran hacker que es ENRIQUE RANDO, y por el que doy las gracias a Chema que me lo ha regalado. Os aplaudiría hasta que me sangraran las manos.
Andrés Naranjo «XXL-MAN».
Vuelve THE PIRATE BAY !!!
thepiratebay.se está plenamente operativo y los internautas ya suben y descargan ‘torrents’, de igual forma que antes del cierre de servidores por parte de la policía. En The Torrent Freak afirman que la pérdida de información ha sido mínima. El sitio está actualmente dirigido por una organización no lucrativa registrada en las Seychelles.
Hollywood quiere poner coto de una vez por todas a las descargas. O bien presionan para generar legislación como la española o provocan que sea difícil acceder a contenido. Así, los propios fundadores de The Pirate Bay tienen problemas. Se trata de Peter Sunde (puesto el libertad hace mes y medio), alias ‘brokep’; Fredrik Neij, alias ‘TiAMO’ (detenido en Tailandia el mes pasado); Gottfrid Svartholm Warg, alias ‘Anakata’ (detenido en 2012 en Camboya); y Carl Lundström (condenado en 2009 por dar alojamiento a la web)
FUENTE: The Torrent Freak