lunes, octubre 10, 2011

Facebook e Ingeniería social

Ya anteriormente hemos hablado un poco sobre la importancia/delicadez de obtener información sensible (personal, detalles de tu computadora, rutas de red, etc.) y es que es aquí donde comienza la Ingeniería Social, a través de la cual se pretende conseguir mas información, engañar al usuario o cualquier otra treta, no solo con el fin de hacer una intrusión, sino que pueden ser muchas razones mas, lo cual trasciende incluso a la (in)seguridad física, no solo informática.
Muchos casos se han oído sobre los "secuestros express" o sobre la extorsiones por teléfono (las cuales muchas veces no se trata mas que agarrar un teléfono de la guía telefónica y ver si alguien cae) y es que últimamente todo se hace mas fácil por computadora y mas aún con FaceBook.  Hay una infinidad de perfiles que están completamente públicos, añaden personas que no conocen, brinda detalles de hacia a donde se dirigen, con quienes van, etc., postean fotos personales detallando a sus familiares, que hacen, donde les gusta ir, etc.... y si a esto le agregamos mucha gente malintencionada... la cosa se pone fea.

Recién esta mañana leí en Hackplayers sobre una herramienta llamada fbpwn que lo que hace es justamente eso: Ingeniería Social en Facebook, recopilando fotos, etiquetas y otra información que pudiera ser usada para los fines antes mencionados.

Así que ya saben... precauciones con sus perfiles, con la información que publican en twitter, facebook, foursquare, g+ y similares... abusados para tomarse el tiempo y detallar bien sus opciones de privacidad.

Saludos!!!

martes, septiembre 20, 2011

33 y contando....

Y ya son 33... si, 33 años los que llevo encima... y debo decir que este año que pasó en mi vida fué un tanto diferente... debo decir que la vida no es la misma con cada año, vamos aprendiendo, vamos ensayando, vamos fallando, vamos logrando y seguimos aprendiendo.

Los días son cada vez mas cortos, al tiempo ya no lo hacen como antes y las horas ya no duran lo mismo.

Desde este rincón, como siempre ha sido mi costumbre, agradezco primero a Dios, mi Padre, por concederme un año mas de vida, por enseñarme y amarme tanto, por estar siempre conmigo a pesar de las circunstancias,  a pesar de cuánto le falle, por amarme muy sobre todas las cosas... Gracias Papá!
Gracias también a mi familia por estar siempre conmigo, por sus muestras de cariño muy a nuestra forma :).
Gracias también a todos los amigos que tengo a mi alrededor, a lo que considero mis hermanos y hermanas, gracias por todas sus bendiciones y buenos deseos para éste su servidor, gracias por estar siempre ahi, por tomarse el tiempo día a día para leer mis locuras, comentar mis tonteras, por "aylaykear" mis comentarios, se les agradece en cantidades industriales.

Gracias a todos y seguimos adelante!!!

Y aunque, con un poco menos de actividad, este blog sigue vivo, lo que pasa es que como puse al principio, el tiempo se nos acorta cuando seguimos avanzando por esta vida y adquirimos mas responsabilidades...

A todos: Se les quiere y sigo por acá!!!

Bendiciones y gracias por estar ahi!

Saludos!


jueves, agosto 25, 2011

Steve Jobs renunció...



Si, finalmente... Steve Trabajos, que, aunque no se ha dicho explicitamente, se cree fuertemente que por motivos de salud, renunció.

La noticia ya se puede leer en varios lugares de internet:



Un hombre bastante emblemático, siempre se le vió vestir sus jeans, camisa negra y tenis. Visionario, tomador de riesgos (aventado, como diríamos...), que llevó a Apple a un lugar de respeto entre las compañías de informática, sigue la pregunta si Apple será capaz de mantenerse, muchos dicen que si, muchos lo dudan, lo cierto es que Steve Jobs forma parte de la historia de la informática.


viernes, agosto 19, 2011

This is your Life (Esta es tu vida)


Lo vi en una página y me gustó...


"This is your life. Do what you love, and do it often. If you don’t like something, change it. If you don’t like your job, quit. If you don’t have enough time, stop watching TV. If you are looking for the love of your life, stop; they will be waiting for you when you start doing things you love. Stop over analyzing, life is simple. All emotions are beautiful. When you eat, appreciate every last bite. Open your mind, arms, and heart to new things and people, we are united in our differences. Ask the next person you see what their passion is, and share your inspiring dream with them. Travel often; getting lost will help you find yourself. Some opportunities only come once; seize them. Life is about the people you meet and the things you create with them, so go out and start creating. Live your dream, and wear your passion. Life is short."

"Esta es tu vida. Has lo que amas, y hazlo a menudo. Si no te gusta algo, cámbialo. Si no te gusta tu trabajo, renuncia. Si no tienes suficiente tiempo, deja de ver TV. Si estas buscando el amor de tu vida, detente; ellos estará esperando por ti cuando comiences a hacer las cosas que amas. Deja de sobre-analizar, la vida es simple. Todas las emociones son hermosas. Cuando comas, aprecia cada ultima mordida. Abre tu mente, brazos y corazón a nuevas cosas y personas, estamos unidos por nuestras diferencias. Pregúntale a la próxima persona que veas cuál es su pasión y comparte tu sueño inspirador con ellas. viaja seguido; perderte te ayudará a encontrarte a ti mismo. Algunas oportunidades se dan una sola vez; apodérate de ellas. La vida es sobre la gente que conoces y las cosas que haces/creas con ellas, así que sal y comienza a crear. Vive tu sueño y viste tu pasión. La vida es corta.

martes, agosto 16, 2011

Happy Debian Day!


Hoy cumple años mi querido sistema operativo y como todos los años se celebra a nivel mundial, veremos si hay algo para SV!

Saludos y happy Debian Day!!!

miércoles, julio 06, 2011

Otra tanda mas de sitios vulnerables SQL injection

Y bueno... como mencioné en mi post anterior.. continué con mis auditorias ad-honorem y encontré otro desarrollador de paginas webs que también tenía sus sitios vulnerables a SQL, algunos blind, otros SQL en su estado natural ;) pero el caso de este último proveedor es que los sitios afectados son en su mayoría televisoras y radios streaming nacionales entre otras organizaciones y empresas. Ayer mismo por la noche di el respectivo aviso a la empresa desarrolladora y a un cliente, todavia a esta hora no recibo respuesta de ninguno... asi que bueno, a ver que tal.

El caso es que ya se hacen muchos sitios web que estan ahi simplemente siendo vulnerables... que tanto se está tomando en serio la seguridad a la hora de desarrollar un sitio web? cuanto script kiddie no hay por ahi buscando la oportunidad de hacer "defaces"... ya no se hace tan raro verlos realmente...

Un saludo y buxos programadores!!!

martes, mayo 31, 2011

Mas sitios con SQLi in the wild

Tiempo ha, reportaba varios sitios de una misma empresa desarrolladora de páginas web que eran vulnerables tanto a SQLi como a BSQLi, el caso es que alguien en el FB tiraba una pregunta sobre desarrolladores de páginas web y ahi salían varias opciones de desarrolladores... que maña la mía y es que como decían por ahi, no se quitan las ganas de andar poniendo una comilla por ahi, por alla, and 1=0 etc. etc. etc. el caso es que lamentablemente encontré un desarrollador y muchos sitios desarrollados afectados tambien por ambos casos SQLi y BSQLi, comencé a hacer las pruebas respectivas y creo que casi (todos?) los sitios desarrollados eran vulnerables y dije lamentablemente, porque en realidad son muchos sitios y el desarrollador resultó ser un conocido mío, no quise seguir viendo hasta donde mas llegaba el hilito, pero seguro se descosía toda la camisa, así que después de determinar las metodologías de explotación sin mas, le avisé, creo que tomará un buen tiempo (si es que se hace, usualmente ya no se invierte mas tiempo en clientes antiguos -logicamente por falta de recursos-) en que estos sitios sean sanitizados como es debido. Espero luego y con mas tiempo hacer otro par de auditorías "ad-honorem" a otros desarrolladores para ver que encontramos... Saludos y ojo con sus variables!!!

viernes, mayo 20, 2011

La Jeringa ve la luz...

Hace un tiempo ya desde que comentaba acerca de esta herramienta... y bueno, la estaba preparando para que viera la luz junto con el manualito de blind sql injection, pero ultimamente les he quedado pendiente con el tiempo para poder terminarlo y ya le debia esta herramienta a un amigo por ahi, asi que por aca les dejo la jeringa que no es mas que una prueba del concepto atras de blind sql injection, un script hecho en perl y por el momento esto es lo unico que hace (no esperen mucho, esta muy beta):

- Comprueba si existe vulnerabilidad, esto lo hace mediante hash utilizando la funcion en linux md5sum.
- Verifica la version de base de datos MySql (si es 4 o 5, ya que solo continua si es 5).
- Si la version es 5 procede a hacer las peticiones a ciegas para obtener: Longitud del nombre de la BD, nombre de la BD y cantidad de tablas en la BD.

Sencillo... pero encierra la tecnica a utilizar para seguir obteniendo mas informacion, asi como tambien hace uso del proceso de booleanizacion para evitar una cantidad enorme de peticiones.

Espero luego ampliar un poco mas sobre el tema, por el momento ahi se las dejo... como usarla?


srivera@BlackAvenger:~/Escritorio$ perl jeringa.pl "http://www.###./?art=1234"
Obteniendo hashes...
Hash verdadero: 6f337c327ce461481c36b628613300b2
Hash falso: 3db42bb78dc0eb0c61468d6e20e1b5cd
Hashes son diferentes, posible vulnerabilidad de inyeccion
-----
Obteniendo version de BD...
Version 5 de MySQL, excelente obtengamos mas información!
-----
Obteniendo longitud del nombre de la BD...1,2,3,4,5,6,7,8,9
El nombre de la BD tiene 9 caracteres

Obteniendo el nombre de la BD...
#########
-----

Obteniendo cantidad de tablas que tiene la BD...1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28
La BD tiene 28 tablas


Al final genera un archivo log con todas las pruebas que realizo para su posterior estudio.

Saludos y que la disfruten, cualquier comentario o critica sera bien recibida!!!

**Editado**
Recomiendo las lecturas anteriores:

Injeccion SQL Basico I/II

Injeccion SQL Basico II/II

martes, mayo 10, 2011

BackTrack 5 Codename Revolution

Este día se está liberando la ya muy conocida distribución linux orientada a pruebas de intrusión e (in)seguridad informática, bajo el nombre código Revolution.

Siempre siendo Open Source, con soporte para 32 y 64 bits... ahora tambien para arquitectura ARM, con escritorios KDE, Gnome y Fluxbox.

Definitivamente tienes que descargarlo si estas en la scene...

BackTrack 5 - Penetration Testing Distribution from Offensive Security on Vimeo.



http://www.backtrack-linux.org/

martes, mayo 03, 2011

Encontrá al antiguo camaleon.... back to the source!

**Post personal**

Siempre que me refiero a mi como "el camaleón" es en cuanto a mi área de informática.. sin embargo un gran amigo mio (@Ziggy un abrazo!) me daba ese consejo: "Tenes que buscar al antiguo camaleón"... haciendo referencia a mi "yo" anterior... ese "yo" estable que alguna vez fui...

De donde sale esto?
Bueno, quienes leen mi FB o mi twitter se habrán dado cuenta que estoy pasando por una etapa de muchos cambios en mi vida, muchos de mis post / comentarios dejan notar mi inestabilidad, mis preguntas sin responder... mi... dolor?

He tomado varias decisiones muy trascendentales en mi vida, no ha sido fácil... sin embargo sigo adelante con ellas, como siempre he sido, decidido en lo que hago sin importar los tropiezos que encuentre en el camino, sigo adelante (Si, a veces soy algo "cuero de chucho").

Desde aquí quiero agradecer a ustedes mis amig@s que incondicionalmente me han mostrado su apoyo, que, aunque no comparten mis decisiones, tampoco me han juzgado... les agradezco de corazón a ustedes que han sido mi familia, que a pesar que no les he contado todo lo que me pasa (si, soy muy reservado... lo saben....) se han mantenido cerca haciéndome ver que están ahí... gracias porque sin yo pedirlo, me han abierto la puerta de su casa y me han dado un lugar donde estar, gracias por ese cariño y amistad sincera que no tengo palabras para agradecer. Gracias a ustedes, mis hermanos que sé que ya se sienten aludidos por estas sinceras palabras.

Sigo adelante... en busca de ese consejo, intentando ver en que momento alguna decisión que tomé tornó inestable mi vida... sin embargo, aún no logro verla.

Al hacer un stop en mi vida, pensando en cual será mi siguiente paso antes de darlo, me doy cuenta, gracias a todas sus palabras amig@s mios... que me he equivocado en muchas cosas que llegué a pensar sumido en mi depresión... en esos últimos días me perdí en mi tristeza... y me olvidé de mi mismo (si... tambien saben que suelo hacerlo facilmente), fueron ustedes los que me hicieron ver que estaba volando muy bajo y agradezco sus palabras de aliento, cariño, consuelo, palabras de Dios a través de sus vidas... de nuevo, les agradezco que estén siempre ahí... en el momento justo.

Hace un par de semanas caminando en la playa le preguntaba muchas cosas a Dios, no le reclamaba nada... solo que en mi tristeza llegué a perder la visión de mi mismo... le pedí a Dios algo que no debí... Dios simplemente guardó silencio, me dejó hablar y me escuchó. Poco a poco estos últimos días el ha ido respondiéndome y he ido recuperando esa visión que había perdido... y lo que soy para El.

Gracias por dejarse usar, gracias porque algunos a pesar de estar lejos fisicamente, estan muy metidos en mi corazon y siempre han estado cerca, gracias por sus palabras... que Dios bendiga sus vidas!!!

Mientras, yo sigo mi camino con mas fuerzas, sabiendo que también Dios sigue ahí incondicionalmente, hoy sigo con la frente en alto, hoy sigo pidiéndo de su sabiduría, hoy decido seguir adelante sabiendo que nunca he estado y nunca estaré solo.

Simplemente... G R A C I A S!!!

jueves, abril 14, 2011

Honeypots...

Según la Wikipedia...
Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.
Y también tomado de mi lectura matutina, acá les dejo el post de La guarida del Mal explicando como hacen un honeypot de lo mas básico usando Netcat (realmente... es una navaja suiza en informática!) Saludos!

Milw0rm y Inj3ct0r se fusionan en 1337db

*Post xpress*

Esta mañana leía en hackplayers sobre la fusión de Milw0rm e Inj3ct0r, dando origen a 1337db que de seguro será una mayor y mejorada base de datos de exploits... así que, ahi les dejo el dato!

Saludos!

viernes, marzo 11, 2011

Siguiendo con los Salvadoreños

Estaba casi seguro que ya lo había posteado, pero no lo encontré, asi que siguiendo con la linea del post anterior.. otro poema para los Salvadoreños, Poema de Amor, de Roque Dalton.

Los que ampliaron el Canal de Panamá
(y fueron clasificados como "silver roll" y no como "gold roll"),
los que repararon la flota del Pacifico
en las bases de California,
los que se pudrieron en las cárceles de Guatemala,
México, Honduras, Nicaragua,
por ladrones, por contrabandistas, por estafadores,
por hambrientos,
los siempre sospechosos de todo
("me permito remitirle al interfecto
por esquinero sospechoso
y con el agravante de ser salvadoreño"),
las que llenaron los bares y burdeles
de todos los puertos y capitales de la zona
("La gruta azul", "El Calzoncito", "Happyland"),
los sembradores de maíz en plena selva extranjera,
los reyes de la pagina roja,
los que nunca sabe nadie de donde son,
los mejores artesanos del mundo,
los que fueron cosidos a balazos al cruzar la frontera,
los que murieron de paludismo
o de las picadas del escorpión a la barba amarilla
en el infierno de las bananeras,
los que lloraron borrachos por el himno nacional
bajo el ciclón del Pacifico o la nieve del norte,
los arrimados, los mendigos, los marihuaneros,
los guanacos hijos de la gran puta,
los que apenitas pudieron regresar,
los que tuvieron un poco mas de suerte,
los eternos indocumentados,
los hacelotodo, los vendelotodo, los comelotodo,
los primeros en sacar el cuchillo,
los tristes mas tristes del mundo,
mis compatriotas,
mis hermanos.

Ahh los Salvadoreños!!!

Leyendo esta mañana un par de cosas en el FB me encontré con un comentario de alguien y posteaban lo que a continuación quiero compartir con ustedes, acerca de nosotros, los salvadoreños... como siempre lo he dicho, estamos metidos en todo!!!

Saludos!!!


No hay nadie que no conozca a un salvadoreño o, por lo menos, conoce a alguien que conoce a un salvadoreño.

De todas maneras, le preguntaron en una ocasión a un reconocido sabio maestro: ¿Qué es un salvadoreño?

Su respuesta fue la siguiente: ¡Ah, los salvadoreños… que difícil pregunta!

Los salvadoreños están entre ustedes pero no son de ustedes. Los salvadoreños beben en la misma copa la alegría y la amargura. Hacen música de su llanto y se ríen de la música. Los salvadoreños toman en serio los chistes y hacen chistes de lo serio.

No creen en nadie y creen en todo.

¡No se les ocurra discutir con ellos jamás!

Los salvadoreños nacen con sabiduría. No necesitan leer, ¡todo lo saben! No necesitan viajar, ¡todo lo han visto! Los salvadoreños son algo así como el pueblo escogido, por ellos mismos. Los salvadoreños se
caracterizan individualmente por su simpatía e inteligencia y, en grupos, por su gritería y apasionamiento.

Cada uno de ellos lleva en sí la chispa de genios y los genios no se llevan bien entre sí, de ahí que reunir a los salvadoreños es fácil, pero unirlos es casi imposible. No se les hable de lógica, pues eso implica razonamiento y mesura y los salvadoreños son hiperbólicos y exagerados. Por ejemplo, si te invitan a un restaurante a comer, no te invitaron al mejor restaurante del pueblo, sino al mejor restaurante del mundo.

Cuando discuten, no dicen: No estoy de acuerdo con vos sino ¡Estas completamente equivocado! Tienen tendencias antropofágicas; así entonces ¡Se la comió! Es una expresión de admiración y comerse a una
mujer guapa es señal de una situación admirable. Decirle a alguien "come mierda" es un insulto lacerante. El salvadoreño ama tanto la contradicción que llama "culo" a las mujeres hermosas y "animal" a los eruditos.

Si te aqueja alguna situación de salud te advierten, ¡Hermano, debiste hablar conmigo para llevarte donde un chero mío, que es un médico cabrón! Los salvadoreños ofrecen soluciones antes de saber el problema. Para ellos nunca hay problema. Saben lo que hay que hacer para erradicar el terrorismo, encausar a países pobres del Caribe, eliminar el hambre en África, pagar la deuda externa, quién debe ser presidente y cómo Estados Unidos puede llegar a ser una potencia mundial.

No entienden por qué los demás no les entienden cuando sus ideas son tan sencillas y claras, y no acaban de entender por qué la gente no quiere aprender a hablar castellano.

¡Ah, los salvadoreños… No podemos vivir mucho con ellos, pero es imposible vivir sin ellos!

Dedicado con cariño a los habitantes del mejor país del Mundo…

Gabriel García Márquez

martes, marzo 08, 2011

La Tertulia 4

Al muy estilo de la vieja escuela, los bloggeros "oldschool" estan haciendo el llamado para realizar "La Tertulia No. 4".

No sabes que es la tertulia? aahhh bueno, eso es porque posiblemente no eras bloggero en ese entonces, aca mas información del evento.

Es interesante ver como, aún y cuando el tiempo pase, nuevas redes sociales salgan, algunos blogs ya no se actualicen como antes (me incluyo), hacemos ver que no se dejan las raíces.

En lo personal, nunca pude asistir a ninguna Tertulia... y por la fecha, dudo mucho que pueda asistir a esta nueva convocatoria, pero desde este humilde rincón, un saludo a los bloggeros de antaño!

Kirlian... aún se te recuerda...


Dicen que una persona no muere si sigue viva en los pensamientos de quienes le recuerdan, definitivamente este es el caso de Kirlian Zepeda, quien aún hoy sigue viviendo en los pensamientos de quienes le recordamos con un gran aprecio y admiración, 5 años han pasado, pero la huella que dejaste en quienes te conocimos sigue ahi muy palpable
Aunque un par de días tarde, no quise de dejar de postear esto en tu memoria amigo.
Sencillo, honesto, integro, solidario, colaborador y muchas otras cualidades mas, amigo, tu sigues aqui, grande como siempre!

viernes, febrero 25, 2011

Curso C# con Mono


No... este blog no ha muerto... ha estado un tanto dormido, pero no muerto... lo que pasa es que su servidor ha estado metido en una y mil cosas personales, este año ha sido un año de cambios muy drásticos en mi vida.


Pero bueh, dejando a un lado el comercial personal, solo quise pasar la voz de una entrada que lei en barrapunto sobre un curso de C# con Mono, dado por la gente de linuxhispano.net, el curso puede ser accedido desde AQUI, la forma en que se está dando es a través de entradas en el blog, asi que es un curso-online-blog.


El curso se ve bastante bonito y además los muy buenos comentarios y respuestas de la gente que está publicando el curso, que pueden irte aclarando muchas dudas.


Así que ya sabes... si te interesa y buscas alguna solución que te ayude a ser multiplataforma tus proyectos y siguiendo la línea libre, ahi puedes comenzar!


Saludos!