Instalar Android en iPhone.

Muchas de las personas que cuentan con iPhone también desean tener todos los beneficios que te dan los celulares con Android, que con su gran variedad de aplicaciones va ganando más usuarios en el mercado.

Pero gracias a los nuevos descubrimientos de los hackers y gente que se especializa en encontrar nuevas mejoras, se creó un nuevo sistema operativo de Android para iPhone llamado iDroid, para el cual solo basta aplicar 5 simples pasos y así poder contar con los dos sistemas operativos dentro del mismo dispositivo.

A continuación les presentaremos el procedimiento que se necesita para instalar iDroid en nuestro iPhone.

En primer lugar se tiene que tener en cuenta nuestro dispositivo, ya que este sistema operativo hasta el momento solo funciona en el iPhone 2G y 3G, este último es con el que se cuenta más apoyo y es en el que más se ha realizado este procedimiento. iDroid todavía es una versión de prueba, así que no esperen tener un sistema como el del Nexus 4 o Samsung Galaxy S4, aunque se espera que pronto se puedan disfrutar de todas sus características.

R2B2, el robot fabricado mediante una impresora 3D que puede obtener el código PIN de Android mediante fuerza bruta

Dicen que los americanos gastaron un millón de dólares en inventar un bolígrafo que pudiera escribir en el espacio y que los rusos lo solucionaron escribiendo con un lapicero... Algo similar podríamos ver con el R2B2, un robot fabricado con una impresora 3D y diseñado para crackear por fuerza bruta el código de desbloqueo de cuatro dígitos de Android en menos de un día. En el siguiente vídeo podéis observar su funcionamiento:

El hombre que causó la caída del servidor de Apple: "No soy un hacker"

Ibrahim Balic, un investigador de seguridad, reportó 13 errores en el sitio de programadores que había sido atacado.

Un hacker de origen turco se adjudicó el ingreso no autorizado a los servidores de la página de desarrolladores de Apple que provocó que la empresa desconectara sus servidores.

Ibrahim Balic, un investigador de seguridad turco radicado en Londres, indicó, según “The Guardian”, que su intención era demostrar que el servidor de Apple era inseguro.

“Mi intención no era atacar. En total encontré 13 bugs (errores de programación) y los reporté uno por uno a través de los canales regulares de Apple. Justo después de mi reporte, el centro de desarrollo fue cerrado. No escuché nada de ellos y luego anunciaron que habían sido atacados”, señaló a ese medio.

Apple indicó a través de un comunicado, que su centro de desarrollo había sido atacado.

¿Es recomendable tapar la webcam de tu portátil?

Seguro que has visto más de una vez a alguién que lleva la webcam de su portátil tapada con un postit o una pegatina. Algunos tapan incluso el micrófono. Quizás os parezca que estas personas son demasiado extremistas con la seguridad de sus equipos personales pero si lo hacen es porque tienen un buen fundamento.

Si eres de los que alguna vez se ha preguntado porqué estas personas tapan la webcam de sus equipos, Chema Alonso te da unos muy buenos argumentos para mejorar tu seguridad personal.

Una agencia estadounidense cura una infección de malware destruyendo hardware.

El inspector general de la Cámara de Comercio de los Estados Unidos ha publicado un informe que detalla cómo una agencia gubernamental lidió con una infección de malware en sus sistemas destruyendo físicamente una serie de ordenadores y equipos informáticos, causando un gasto innecesario a los contribuyentes.

La Administración de Desarrollo Económico (EDA por sus siglas en inglés), es parte del Departamento de Comercio y se encarga de combatir asuntos como el desempleo y mantener la economía de las diferentes regiones de Estados Unidos aptas para competir en mercados internos y externos.

En diciembre de 2011, la EDA se enteró de que sus sistemas podrían estar infectados con un programa malicioso que podría provenir de otro gobierno y representaba una amenaza para la seguridad nacional. Para prevenir mayores problemas, la EDA aisló sus sistemas por completo, bloqueando las cuentas de correo de sus funcionarios y el acceso a sus bases de datos y contrató a un especialista para que evaluara su situación.

El experto llegó a la conclusión de que la amenaza había sido un falso positivo y los sistemas sólo tenían una infección común de malware. Aun así, la agencia decidió iniciar un plan de seguridad extremo que consistía en destruir todos sus equipos informáticos.

Esto implicó la destrucción paulatina de ordenadores, televisores, cámaras, teclados, ratones e impresoras. La intención de la agencia era deshacerse de todos sus equipos, valorados en 3 millones de dólares, pero el plan no se completó porque se acabaron los fondos y se descubrió que este era un gasto innecesario.

Aun así, reponerse del incidente de seguridad significó un gasto de 2,7 millones de dólares, 170.000 de los cuales fueron destinados a reponer los equipos destruidos y 4.300 a destruirlos.

Entendiendo HTML5: guía para principiantes.

Durante los últimos años, el estándar HTML5 se ha estado afianzando en muchas páginas web. Sin embargo, ¿qué queremos decir con esto? ¿Cuál es la diferencia crucial entre el HTML “común”, por así decirlo, y este nuevo estándar? Hoy hablaremos sobre esto y responderemos a la pregunta de qué es HTML5. Cabe considerar que la información estará orientada a personas que no tienen experiencia previa y quieren aprender. Es posible que muchos tengan ya una idea avanzada de esto, y quizás sea demasiado básico. En fin, podemos comenzar.

Qué es HTML5

HTML5 es un lenguaje markup (de hecho, las siglas de HTML significan Hyper Text Markup Language) usado para estructurar y presentar el contenido para la web. Es uno de los aspectos fundamentales para el funcionamiento de los sitios, pero no es el primero. Es de hecho la quinta revisión del estándar que fue creado en 1990. A fines del año pasado, la W3C la recomendó para transformarse en el estándar a ser usado en el desarrollo de proyectos venideros. Por así decirlo, qué es HTML5 está relacionado también con la entrada en decadencia del viejo estándar HTML 4, que se combinaba con otros lenguajes para producir los sitios que podemos ver hoy en día. Con HTML5, tenemos otras posibilidades para explotar usando menos recursos. Con HTML5, también entra en desuso el formato XHTML, dado que ya no sería necesaria su implementación.

La mitad de los españoles padece nomofobia, miedo a salir de casa sin el móvil.

Más de la mitad los españoles comparten una patología sin tener ni siquiera constancia de estar afectados por ello. La nomofobia se define como el miedo a salir de casa sin el teléfono móvil y en muchas ocasiones roza lo enfermizo. Este dispositivo se ha catalogado como el invento más influyente del siglo e incluso hay quien denomina a esta patología como la epidemia del siglo 21.

La revista mensual Tecnología de elEconomista publica un interesante artículo hablando de una patología que afecta a más de la mitad de los habitantes de nuestro país. La dependencia del teléfono móvil llega a tal extremo que incluso tenemos miedo de salir de casa sin él. Esto se conoce como nomofobia según el Centro de Estudios Especializados en Trastornos de la Ansiedad.

Un error en PayPal convierte a un hombre en el más rico del mundo.

Un fallo de la empresa estadounidense otorgó 92.233 billones de dólares a Chris Reynolds | "Habría pagado la deuda nacional", afirma el fugaz multimillonario | Tras reconocer el desliz, la cifra se redujo a 0, la correcta.

Barcelona. (Redacción).- 92.233.720.368.547.800,00 dólares. Ésta es la cantidad que Chris Reynolds encontró en un e-mail de su cuenta de PayPal. De la noche a la mañana, un pequeño error convirtió a este ejecutivo de Pennsylvania en el hombre más rico del planeta, a muchísima distancia de los 64 billones de dólares que ha amasado el empresario mexicano Carlos Slim, el más acaudalado del mundo según Forbes.

Un fallo de la empresa estadounidense de comercio electrónico, que permite la transferencia de dinero entre usuarios que tengan correo electrónico, otorgó más de 92 cuatrillones de dólares (más de 70.149 billones de euros). "Es algo curioso. No sé, quizás alguien se estaba divirtiendo", afirmó a la CNN haber pensado Reynolds al ver la astronómica cifra. Aunque sabía que era un error, y tal vez a modo de pellizco de este breve sueño, el ejecutivo entró en su usuario de PayPal y la realidad volvió a su cuenta. Su saldo era de 0 dólares, mísera cantidad, pero la correcta.

Este breve sueño permitió al fugaz multimillonario pensar qué habría hecho con tamaña cantidad de dinero. "Probablemente habría pagado la deuda nacional", afirmó, muy patrióticamente, el ejecutivo de Pennsylvania.

La empresa estadounidense se apresuró a pedir disculpas por el error. "Esto es obviamente un error y apreciamos que el Sr. Reynolds entendiera que este fue el caso". PayPal, sin embargo, se ha ofrecido a compensar a Reynolds donando una cantidad de dinero no especificada a una causa benéfica de la elección de su cliente.

Saltarse la contraseña de un archivo RAR.

Hola a todos, en esta ocasión vamos a ver como saltarse esa dichosa contraseña que a veces “PERDEMOS” de un archivo comprimido en RAR.

Lo 1º que tenemos que hacer es descargarnos e instalar un programita llamado: Advance RAR Repair, el cual os lo podeis descargar desde AQUÍ

Grave fallo de seguridad en Facebook que permite hackear cualquier perfil.

De nuevo el fantasma de la seguridad planea sobre Facebook, y esta vez puede tratarse de un fallo muy grave.

Al parecer, un bug en la plataforma (que todavía no ha sido arreglado por los desarrolladores de la compañía, según informa The Hacker News) permitiría a cualquiera hacerse con la cuenta de otro usuario en poco menos de 60 segundos.

La vulnerabilidad funciona de la siguiente forma: cuando una persona trata de abrir un perfil nuevo en la red social con una dirección de email que ya está siendo utilizada en la plataforma (por él o por otra persona), gracias a un exploit programado (y que podría encontrarse en la red), el ciberdelincuente podría lograr que Facebook le permitiese usar de nuevo la cuenta de correo ya en uso, lo que le daría acceso a la cuenta que ya está vinculada a este email.

La Wi-Fi Alliance empieza a certificar chipsets para el estándar 802.11ac

La Wi-Fi Alliance ha empezado a certificar algunos equipos que tenían el borrador 802.11ac.

La certificación empezó el 11 de Junio y está orientada a equipos 5GHz con el “draft” o borrador 802.11ac y también para equipos doble banda seleccionable y doble banda simultánea tanto en AC como en N.

Algunos de los nuevos equipos que han empezado a certificar son los siguientes:

Broadcom BCM4360 5G WiFi Single Chip MAC/PHY/Radio for Clients and Routers
Intel® Dual Band Wireless-AC 7260
Marvell Avastar 88W8897 AP Reference Design
Marvell Avastar 88W8897 STA Reference Design
Mediatek Dual Band 802.11ac Reference Access Point
Mediatek Dual Band 802.11ac Reference STA
Qualcomm® VIVE™ 802.11ac 3-stream Dual-band, Dual-concurrent Router
Qualcomm® VIVE™ 802.11ac 3-stream, PCIe Client
Realtek RTL8197D+RTL8188AR+RTL8192CE AP/Router
Realtek RTL8812AE HMC card

Algo muy importante para la Wi-Fi Alliance es que los equipos certificados sean totalmente compatibles con equipos anteriores a 802.11ac.

Bugtraq vs Kali Linux.

Creo que a estas alturas todos conocemos aunque sea de oídas estas dos distribuciones: muchos comentarios, muchas comparaciones y, como no, alguna que otra burrada nos ha tocado escuchar... 

Harto de comentarios, dimes y diretes, y después de unos meses de letargo, he decidido mojarme objetivamente e intentar orientar a algún que otro despistao... 

A pesar de lo que pueda parecer por el título del artículo no nos disponemos a discernir entre Kali o Bugtraq (pido perdón por el jaque ;D), porque desde nuestro sano juicio, no se nos ocurriría (más a delante expondremos). 

A cambio lo que sí haremos es analizar simultáneamente ambas distribuciones desde el minuto uno... y escupir nuestras modestas y casi profanas impresiones... 

Bueno sin más dilación nos metemos en harina... pero en primer lugar tenemos que decir que Bugtraq al ser "made in Spain" nos llega al corazón y nos deja muy buen sabor de boca, por lo tanto un punto para los chicos de Bugtraq Team!! 

La fundación Mozilla libera una nueva versión final de su navegador web con varias novedades interesantes.

26/06/2013 - El equipo de trabajo de la Fundación Mozilla acaba de liberar la versión estable de Firefox 22.

Siguiendo con el guion establecido esta nueva versión del navegador web de código abierto trae varias mejoras con la que seguir llamando la atención de usuarios y desarrolladores.

Entre los cambios más destacados de Firefox 22 encontramos mejoras de rendimiento en Javascript gracias a asm.js, mejoras relacionadas a la hora de acceder a efectos 3D gracias a WebGL, o incluso una clara apuesta por la interoperabilidad en la web al dejar activo por defecto WebRTC.

Esta nueva versión del navegador añade también una mejora en el inspector de fuentes que ahora muestra las tipografías que en nuestro equipo se aplican a la página, además la gestión de servicios sociales se ha implementado en el administrador de complementos gracias a la API Social.

La llegada de todas estas novedades en Firefox 22 pretende contrarestar las expectativas que se están generando alrededor de Google Chrome 28, que aunque todavía se encuentra en fase beta, todo apunta que implementará varias novedades interesantes con la que recuperar el impulso en el mercado de los navegadores que tanto éxito le ha dado.

Usuarios interesados en más información y descarga del nuevo Firefix 22 pueden acceder a www.mozilla.org.

Hacker puede ir preso por ayudar a encontrar a los culpables de una violación.

El método por el que logró hacer justicia ahora lo tiene a un paso de la prisión; ahora hay una colecta popular para ayudarlo; los violadores fueron sentenciados a dos años de prisión y el puede sufrir 12.

El trabajo de Deric Lostutter, también conocido como Kyanonymus en agosto de 2012 fue clave para que se resuelva un caso de violación a una joven de 16 años que metió presos a dos integrantes del equipo de fútbol americano de Steubenville, Ohio.

Sin embargo, de acuerdo a lo que informa el Huffington Post, debido a la ayuda prestada, enfrenta una posible sentencia de 12 años de prisión por haber resuelto el caso. Lostutter argumenta que él nunca hackeó, y que en lo que sí ayudo fue en juntar las partes y sacar conclusiones.

Un grupo en su ayuda se ha formado, recaudando fondos y pidiendo que no se lo sentencie. Llevan recaudados 49.000 dólares, y argumentan que a los dos violadores los sentenciaron a entre uno y dos años de prisión, mientras que al especialista en tecnología de la información, lo quieren encerrar 12 años.

"Nada nos gustaría más que el gobierno entre en razón y decida no sentenciar a Deric, y que podamos devolverle el dinero a todos los que donaron y nos ayudaron", dijo el abogado Jason Flores-Williams al Huffington Post este lunes. "Pero lamentablemente todo indica que esto no va a suceder, por lo que estamos preparando dar una buena pelea".

Los cargos hacia Lostutter, 26, de acuerdo a Flores-Williams consisten en violación de del Acto de Fraude y Abuso por medio del uso de computadoras.Un mensaje enviado a la Justicia por parte del grupo defensor, establece que "La presión de la gente fue la que trajo justicia a Steubenville al principio y es la que puede ayudar a que la Justicia entienda que Lostutter es un héroe y no un criminal".

Primer tráiler oficial de jOBS, la película de Steve Jobs con Ashton Kutcher

El tráiler de jOBS finalmente aparece a menos de dos meses de su estreno
Es una película independiente producida por Five Star Films y distribuída Open Road

jOBS es una de las películas inspiradas en la vida de Steve Jobs (no es la única, hay otra producción con mucho más presupuesto basada en la biografía de Walter Isaacson con el guión escrito por Aaron Sorkin que aún no tiene fecha de estreno) desde que dejó la Universidad hasta convertirse en uno de los emprendedores más exitosos de la historia y el hombre que cambió la vida de la sociedad contemporánea en varias formas y maneras. Dirigida por Joshua Michael Stern (Swingvote, Neverwas, The Contractor) y protagonizada por Ashton Kutcher como el legendario fundador y CEO de Apple, Josh Gad como Steve Wozniak, Matthew Modine como John Skulley, Kevin Dunn como Gil Amelio, Giles Matthey como Jony Ive, James Woods como Jack Dudman, Dermot Mulroney como Mike Markkula y Lukas Hass como Daniel Kottke.

El largometraje se enfoca, principalmente, en los primeros años de Apple, durante el primer crecimiento en los 90 y su caída hasta el año 2000, a los pocos años del regreso de Jobs a la compañía después de la compra de NeXT, aunque también podemos ver una escena del aparente lanzamiento del iPod original. Durante el tráiler de jOBS ya se ven algunos de los momentos más importantes de la vida de Steve Jobs, como la salida a bolsa de Apple, la creación de la Macintosh, el momento en que Sculley logró que lo echaran de su propia empresa, los eventos clave para su regreso, la grabación del comercial Think Different, su familia... en pocas palabras, todo lo que un fanboy quisiera ver, y más.

La película se estrenará el próximo 16 de agosto de 2013.

Privacidad y seguridad nacional, Ciberespionaje en EEUU

Snowden 29 años, trabajaba en Hawaii en una subcontrata para la Agencia Nacional de Seguridad, en una entrevista concedida a The Guardian revelaba que se encontraba escandalizado por hasta donde ha llegado la vigilancia de las comunicaciones decía: “desde mi ordenador podría espiar a cualquiera, tu correo, el de tu contable, un juez federal e incluso el del presidente”.

El nuevo tsunami mediático se suscitó horas atrás cuando The Washington Post y The Guardian publicaron que la Agencia de Seguridad Nacional de los Estados Unidos (NSA) habría ordenado capturar las llamadas telefónicas de millones de ciudadanos norteamericanos como así también el acceso a un inagotable océano de información personal guardada en los mega archivos digitales de los grandes jugadores de la industria tecnológica como Microsoft, Google, Facebook y Apple.

Google, por ejemplo, en un comunicado de prensa emitido por el mismísimo Larry Page informó que nunca habían oído hablar de Prism y que el gobierno americano no ha tenido acceso a la información alojada en sus servidores. Otros todavía han guardado silencio. Google, como siempre, pegó primero.

Como una película de espías el más buscado desaparece después de revelar su rostro en dicha entrevista concedida a The Guardian, el FBI rastrea cualquier dato en casa de su madre en Meridian sin demasiada suerte, también en la casa de Hawaii donde vivió con su novia durante cuatro años.

Antes de abandonar su hotel se ha asegurado que haya más revelaciones que han puesto en jaque al gobierno de los estados unidos de América y a su sistema de información de inteligencia, un entramado de agencias y empresas subcontratadas con 400.000 mil trabajadores manejando datos secretos.

El fundador de Wikileaks califican a Snowden de héroe y le recomienda pedir asilo como ha hecho el en un país latino americano

Por otro lado el jefe de la inteligencia Americana en una entrevista concedida a la cadena NBC asegura por su parte: “Es absurdo, no podríamos hacer eso, aunque quisiéramos y le garantizo que no queremos"

Snowden comento que posee más secretos por desvelar así que que el programita de la NSA "se puede quedar en pañales", secretos muy importantes que haría temblar los cimientos de la casa blanca y al gobierno de los Estados Unidos de América. ¿De que secretos se refería Snowden?

Esteganografía, oculta mensajes dentro de un archivo

La esteganografía es una técnica que permite entregar mensajes camuflados dentro de un objeto (contenedor), de forma que no se detecte su presencia y pasen inadvertidos. La estenografía se conoce desde tiempos inmemoriales, teniendo los primeros referentes en la antigua Grecia.

El término proviene de la unión de dos palabras griegas: steganos, (oculto) y graphos (escritura). La esteganografía se ha empleado con éxito a lo largo de la Historia con distintos procedimientos y en particular durante la II Guerra Mundial.

Reto De Esteganografía Básico. [Easy]

Que hay Informáticos, hace mucho que no actualizo mi blog la universidad me tiene muy ocupado pero ya casi termino mi semestre hoy quiero dejarles un pequeño RETO sobre ESTEGANOGRAFÍA, este reto es bien sencillo, consiste en extraer un mensaje que hay en una imagen.

Solo descarga la siguiente imagen y descubre el mensaje secreto. DESCARGAR.

Una vez descargada, la descomprimimos y veremos una carpeta, la cual contiene la imagen y un archivo de texto que contiene una pista para resolver el RETO.

Una vez resuelto el RETO tenéis que enviar un mensaje con el texto que hay en el mensaje oculto a la siguiente perfil de facebook.

Por último añadir que este RETO finalizará el día 10 de JUNIO de 2013 y si este no ha sido resuelto, se publicara la solución al día siguiente de la finalización del mismo.

A continuación la lista de los GANADORES:

1. Rikardo Guerrero. [MEXICO]

2. Zaith Mg [MEXICO]

3. Faraon Faraon [COLOMBIA]

4. Jose Luis Cortes Mesa [COLOMBIA]

5. Elvis Cárdenas [ECUADOR]

También decir, que si antes de la fecha prevista del fin del RETO llegamos a 5 resoluciones del mismo, el RETO se dará por concluido.

SUERTE!

Ciberespias chinos roban diseños de armas estadounidenses.

Piratas informáticos chinos habrían robado una veintena de diseños de armas avanzadas estadounidenses según revela el Washington Post, citando un informe del Comité de Ciencias de la Defensa del país americano.

Entre los diseños comprometidos se encontrarían los cazas F/A-18, el V-22 Osprey, el helicóptero Black Hawk y el avión de combate F-35. También barcos de combate y sistemas de misiles como el Patriot o el sistema de defensa de misiles balísticos Aegis.

El informe, enviado al Congreso a principios de este mes indica que, “China estaba usando el espionaje para modernizar su Ejército y que la piratería informática era un preocupación seria“. Aunque desde China se insistió que el informe no tenía fundamento, los militares aseguran que era “atribuible directamente al Gobierno y el Ejército chino”.

La revelación de este informe coincide con un reporte de la prensa australiana que afirma que piratas informáticos chinos han robado los diseños de la nueva sede australiana de espionaje a través del hackeo de los ordenadores de un subcontratista de la obra.

El edificio está diseñado para formar parte de una red global de inteligencia que incluya a Estados Unidos y Reino Unido y la prensa australiana asegura que se trata de una oleada de ciberataques contra objetivos militares y empresariales en un país aliado de Estados Unidos.

Como sabes, China se encuentra en medio de las críticas de ciberespionaje masivo, supuestamente mediante un auténtico ejército virtual.

Anonimiza tus ataques con AttackVector, la nueva distro que integra Kali y TAILS

AttackVector Linux es una nueva distribución cuyo objetivo es proporcionar la capacidad de anonimizar ataques y advertir al usuario cuando realiza acciones que pueden comprometer el anonimato.

Integra Kali y TAILS (como sabéis ambas basadas en Debian) lo que le proporciona unas características más que interesantes:
El anonimato que proporciona TAILS
La privacidad de SRWare Iron
La recuperación de contraseñas de hashkill
La criptorgrafía de DaKaRand
Las herramientas de intrusión de Kali

androrat: un troyano RAT para Android

Androrat es un RAT (Remote Administration Tool) de código abierto para Android. Se trata de una aplicación cliente-servidor desarrollada en Java (Java Android para el cliente y Java/Swing para el servidor) por un equipo de cuatro desarrolladores universitarios en tan sólo un mes. Por lo tanto es casi una prueba de concepto, si bien es bastante funcional ya que en sus primeras versiones puede:


- Obtener los contactos (y toda la información de ellos)
- Obtener los registros de llamadas
- Obtener todos los mensajes
- Localización por GPS / Red
- Monitorizar mensajes recibidos en tiempo real
- Monitorizar el estado del teléfono en tiempo real (llamada recibida, llamada enviada, llamada perdida ..)
- Tomar una fotografía desde la cámara
- Obtener el sonido del micrófono (u otras fuentes ..)
- Obtener el streaming de vídeo (sólo para clientes basados en actividad)
- Enviar un mensaje de texto
- Relizar una llamada
- Abrir una URL en el navegador por defecto
- Hacer vibrar el teléfono

La aplicación Android se ejecuta como un servicio (no una actividad) que se inicia durante el arranque. Por lo tanto el usuario no tiene que interactuar con el servicio (si bien hay una actividad de depuración que permite configurar la dirección IP y el puerto de conexión).
La conexión con el servidor puede ser desencadenada por un SMS o una llamada (configurable).

Vulnerabilidad XSS en PayPal.com

Leyendo las listas de Full disclosure llama la atención una vulnerabilidad XSS (Cross-Site Scripting) que todavía seguia presente el 27/05/2013 en la web de búsqueda de PayPal:

https://www.paypal.com/es/cgi-bin/searchscr?cmd=_sitewide-search

Simplemente para reproducirla hay que insertar el siguiente javascript en el cuadro de búsqueda:

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--

    </SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

Y digo que llama la atención porque Robert Kugler es un estudiante alemán de 17 años que no ha podido optar al programa de recompensas de Paypal por ser menor de edad. Algo que conviene recapacitar puesto que cada vez los investigadores de seguridad son más jóvenes. Quizás sería conveniente pensar en otras formas para que los menores de 18 años puedan acceder a la compensación, ya sea mediante un representante o mediante otras vías...

(Fuente | HackPlayers)

LAS 10 AMENAZAS A LA SEGURIDAD INFORMÁTICA MÁS DESCUIDADAS.

Son trucos a los que no se les presta atención pero que pueden abrir las puertas a los ciberdelincuentes para acceder a datos valiosos de las organizaciones. Se supone que los encargados de seguridad informática de las empresas tienen una política, que incluye procedimientos para resguardar los sistemas y las redes de las compañías. Parches al día, antivirus con sus bases de códigos maliciosos actualizadas, un firewall (cortafuegos) en regla, documentos encriptados y un personal capacitado en el uso seguro de estas herramientas pueden dar la falsa sensación de estar protegido ciento por ciento.

Pero un descuido puede tirar todo esfuerzo o plan por la borda, y poner en riesgo a la información y a las comunicaciones de una organización. Y en general se trata de amenazas a las cuales no se les prestas atención. Algunas son tácticas provenientes de la delincuencia en el mundo físico, que rinden sus frutos en el universo de los bits y que no están habitualmente incluidas en los planes de seguridad.

No se trata de amenazas críticas, como el virus Kamasutra que infectó a miles de computadoras el 3 de febrero, aunque se las puede considerar como las cabeceras de playa que plantan los ciberdelincuentes para llegar a los botines mayores.

Estas amenazas son descriptas en un documento elaborado por el especialista en seguridad informática Andrew Bycroft, quien cuenta con una certificación CISSP, considerada como una de las máximas acreditaciones en el tema que otorga el consorcio International Information Systems Security Certification (ISC). El documento fue publicado por el sitio especializado Infosec Writers.

Las diez prácticas que atentan contra la seguridad que describe Bycroft son las siguientes:

Proteger Contra Escritura los Dispositivos USB en Windows.

Por diferentes razones podemos necesitar proteger contra escritura los dispositivos USB que se conecten a nuestro equipo (Distribución de Malware, Robo de información, etc). Pero para nuestro intereses particulares (Análisis Forense Digital) requerimos mantener en la mayor medida de lo posible, la no alteración de la evidencia informática. Es por ello que veremos como de manera rápida y efectiva, podremos proteger contra escritura los dispositvos USB que contengan evidencia y que sean objeto de una investigación o de un análisis forense digital.

Saltandose captchas con Shell Scripting como un “vago” [captcha_cracker_neobits.sh]

Hace un tiempo ya les hable de como “Crear un captcha básico con PHP y GD explicado desde cero” y En esta ocasión les hablare sobre como bypassear captchas y lo que se necesita para lograrlo…Hace unos días navegando en un pagina importante de un instituto, me encontré con un captcha y dije; “Pff se ve bien fácil de bypassearlo”. Hasta ahí todo normal, cuando me encuentro con el siguiente mensaje:

Encontrarme con ese mensaje es la inspiración de este post (Realmente este captcha es INMENSAMENTE FÁCIL pero aún así me servirá de ejemplo… Así que veamos si podemos hacer un “bot” que SI sea capaz de bypassear esa “verificación”

Posiblemente algunos se pregunten por que en el titulo dice… ”como un vago” Esta entrada esta mas enfocada al análisis y  limpieza de captchas mas que nada…No tanto a la inteligencia artificial (Eso de la inteligencia a mi no se me da para nada) por eso es que no haremos un bot manual que identifique patrones con IA, si no que usaremos algunos programas ya creados y conocidos para esta tarea de OCR.

Contraseñas Por Default Un Riesgo Que Afecta Directamente Un Sistema.

Siempre me preguntan muchas veces "men como hiciste para hacer tal cosa" o "men enséñame a hacer esto", la verdad es que muchas veces no solo basta con el saber hacer cierta actividad, hay algunas que exigen imaginación y creatividad en el hacking esto es muy valioso... siempre me invento cosas al azar asi como que "huy yo se hacer cierta actividad pero que tal si yo ademas de eso muevo tal cosa y le agrego mas", la formula esta en "imaginación + creatividad + suerte" en realidad no se si me entiendas ya les explicare a que me estoy refiriendo con un pequeño ejemplo.

hace mucho publique un tutorial en youtube sobre una tool que me gusta mucho se llama whatweb, ya la trae backtrack en su caja de tools por defecto.

WhatWeb reconoce las tecnologías web, incluyendo los sistemas de gestión de contenidos (CMS), plataformas de blogs, estadística/paquetes de análisis, bibliotecas de JavaScript, servidores web y dispositivos embebidos. WhatWeb tiene más de 900 plugins, cada uno a reconocer algo diferente.

Las Famosas APT's (Advanced Persistent Threats).

¿Que Son Las APT's?

Las advanced persistent threats (APTs) son una categoría de malware que se encuentra totalmente orientado atacar objetivos empresariales o políticos. Todos los APTs tienen algunas características en común, pero sin dudas una de las mayores características es la capacidad de ocultamiento por parte de este tipo de amenazas. Al ser amenazas altamente sigilosas, estas logran perdurar dentro de la red afectada por largos periodos de tiempo sin ser detectadas.  Sin embargo, en su nombre en ningún momento aparece la palabra “sigilosa” (en inglés Stealth), advanced persistent threat hace referencia a tres características muy importantes en este tipo de malware sin importar la diferencia que pudiera existir en todas las definiciones que podemos encontrar en Internet.

Se les llama avanzadas (en inglés Advanced), ya que este tipo de amenazas cuentan no con uno, sino con varios métodos de ataque, propagación u ocultamiento en el sistema. Así mismo, se conoce que este tipo de amenazas son generadas por grupos de profesionales, quienes tienen el tiempo, el conocimiento, la paciencia y los recursos para generar una pieza única, sin precedentes, generadas desde la nada misma, evitando herramientas de construcción de malware. Por ejemplo, en el caso de Stuxnet se han logrado identificar al menos 20 tipos de codificación distinta, evitando la posibilidad de obtener un perfil de su programador. Se les llama persistentes (en inglés Persistent) ya que sus creadores toman muy en serio su objetivo. Quienes tienen la tarea de desarrollar una APT, no buscan un rédito inmediato, sino que esperan pacientemente dentro de su objetivo, monitoreando sigilosamente y con un perfil bajo. Por ejemplo, se supo que la botnet mariposa se encontró residiendo dentro de algunas empresas por más de un año. Se les llama amenazas (en inglés Threat) debido al nivel de coordinación humana involucrada en el ataque. A diferencia de otras piezas de código totalmente carentes de inteligencia y automáticas, los operadores de una APT cuentan con un objetivo claro, siendo quienes están detrás de este tipo de códigos, personas capacitadas, motivadas, organizadas y sobre todo, bien pagas.

Nueva vulnerabilidad CSRF en LinkedIn.

Vicente Aguilera, socio fundador de ISecAuditors, ha publicado una interesante PoC sobre una nueva vulnerabilidad CSRF (Cross Site Request Forgery) en LinkedIn que podría permitir a un atacante acceder a la información de cualquier contacto sin el conocimiento/consentimiento del usuario afectado.

Los pasos son los siguientes:

Nuevo exploit para el escalado de privilegios local en Linux.

En abril, los desarrolladores de Linux solucionaron un puntero declarado incorrectamente en el kernel. Sin embargo parece que pasaron por alto las posibles implicaciones de seguridad de dicho fallo - en particular el hecho de que es posible acceder a casi cualquier área de memoria utilizando un event_id adecuado.

En cierta manera los desarrolladores lo solucionaron sólo parcialmente y declararon el bug como un agujero de seguridad oficial (CVE-2013-2094) después de que se publicara el exploit que demostraba que cualquier usuario loggeado en el sistema podía llegar a tener acceso como root de esta manera.

El fallo afecta a cualquier kernel cuya versión esté entre la 2.6.37 y la 3.8.9 y haya sido compilado con la opción PERF_EVENTS, al parecer el caso de muchas distribuciones. ¿Qué distribuciones exactas se ven afectadas? Pronto lo sabremos cuando empiecen a liberarse las actualizaciones de seguridad correspondientes. El experto en seguridad en Linux Brad Spengler ha publicado un análisis detallado del exploit que no conviene perderse.

Tu privacidad en peligro por culpa de las conexiones WiFi

Hace tiempo que quería escribir sobre este tema que me tiene dando vueltas a la cabeza, y no es otra que la privacidad de las personas y las redes WiFi que frecuenta. En un titular, la idea es que alguien puede saber qué lugares frecuentas - incluido dónde vives - gracias las redes WiFi que busca tu dispositivo. Es decir, saber en qué ciudades has estado, en que hoteles, en qué bloques de edificios o en que restaurantes has comido, siempre que te hayas conectado a una red WiFi allí y no hayas tenido la precaución de eliminarla.

Esta afirmación tiene muchos detalles importantes, así que voy a intentar ir por partes para no dejarme nada, y poder llevaros a una conclusión final entendible. Comencemos por un fallo de seguridad en los dispositivos iOS, Android y los equipos Mac OS X - seguro que alguno más también, pero no los Microsoft Windows -, como aperitivo.

Búsqueda de redes WiFi

Cuando una red WiFi expone su SSID (su nombre) mediante la difusión de Beacon Frames, no es necesario que ningún equipo cliente vaya buscándola incansablemente. ¿Qué ganaría?. El equipo sólo podría conectarse a ella si la red está emitiendo Beacon Frames que indiquen que está activa.

Sin embargo, aunque la red no esté oculta, los equipos con iOS, Android o Mac OS X, buscan insaciablemente todas las redes a las que se han conectado alguna vez, lo que permite a cualquier atacante que escuche los mensajes Probe de estos dispositivos, saber a qué redes se ha conectado alguna vez ese dispositivo.

Figura 1: SSIDs buscados por un iPhone

Si a esto le sumamos que ni iOS, ni Android, ni Mac OS X validan el BSSID - y la validación BSSID es importante -, los hacen más que propensos a los ataques de Rogue AP, pero esa es otra historia de la que ya hemos hablado por aquí hace tiempo.

En el caso de los sistemas Microsoft Windows esto no es así. Si un equipo con Windows 6.X {Vista, 7 u 8} tiene configurada una red WiFi, este equipo no emitirá un mensaje Probe si la red no está emitiendo los Beacon Frames, con lo que no descubrirá nunca a qué redes se ha conectado en el pasado. Como debe de ser para proteger la seguridad de un cliente.

Corto “Reach”, sencillo pero lleno de mensajes

Este corto de Luke Randall se ha llevado varios premios (más de 20),  pero no sólo por su animación (aparentemente sencilla), sino por los mensajes de la condición humana que nos quiere transmitir.

Por ejemplo, se puede interpretar al robot como una nueva versión de Ícaro, impulsado por su propia soberbia. También podemos ver las frustraciones del ser humano, la mortalidad o incluso un mensaje sobre los límites de la tecnología.

Simplemente genial...

(Fuente | Io9)

El mayor robo bancario en la historia, los hackers robaron $ 45 millones de dólares en cajeros de 27 países.

En cuestión de horas, un grupo de hackers robó 45 millones de dólares en cajeros automáticos de todo el mundo, Las autoridades estiman que realizaron 40 mil 500 retiros de dinero en 36 mil cajeros de 27 países.

"Fue un atraco bancario del siglo XXI que llegó a través de internet para abarcar el mundo, pero en vez de armas y máscaras, esta organización de la ciberdelincuencia usó computadoras portátiles y malware", dijo Loretta Lynch, fiscal de Nueva York.

La red criminal intervino dos bancos en Emiratos Árabes y Oman; su objetivo eran tarjetas de débito prepagadas a las que alteraron el límite de disposición de efectivo para retirar la mayor cantidad posible de dinero. Después, sus cómplices en ciudades de todo el mundo consumaron el robo. Así ocurrió en Nueva York.

"Su trabajo era retirar millones de dólares de los cajeros ATM dentro y fuera de Nueva York usando números de tarjetas de crédito prepagadas que habían robado mediante sofisticadas técnicas de hackeo, señaló Loretta Lynch, Fiscal de Nueva York.

Actuaron en dos ocasiones: en diciembre del año pasado sustrajeron cerca de cinco millones de dólares y en febrero, 40 millones, En Nueva York, robaron casi tres millones, es decir, perpetraron el segundo mayor asalto bancario en la historia de la ciudad.

Las autoridades locales identificaron a ocho sospechosos; siete de ellos ya fueron arrestados; el otro, considerado su líder, fue asesinado en República Dominicana, Sin embargo, se trata sólo de una célula de lo que podría ser la mayor red de asaltantes cibernéticos descubierta hasta ahora.

Cómo resetear la contraseña de Windows con Ubuntu.

Se acabó el puente de mayo y tras un periodo corto de desconexión, llega la noche y abro la tapa de mi viejo portátil y... "ups! no recuerdo la contraseña de mi administrador local de Windows. La cambié recientemente y creo que quemé demasiadas neuronas en vacaciones como para acordarme..."

La verdad es que esto ocurre frecuentemente. Seguro que alguna vez has olvidado la contraseña del administrador local de Windows y la has tenido que cambiar por esa u otra oscura razón inconfesable ;)

Restaura páginas web después de un hackeo en menos de un minuto con git.

Git es un sistema de control de versiones muy de moda ahora entre desarrolladores, fue escrito por y para programadores. Sin embargo al verlo funcionar puedes darte cuenta de su potencial en aplicaciones distintas a la programación, como la seguridad de un sitio web y la posibilidad de revertir cualquier intervención en milisegundos.

Pwned Bypass Hash En Wordpress Easy.

WordPress es un sistema de gestión de contenido (en inglés Content Management System, o CMS) enfocado a la creación de blogs (sitios web periódicamente actualizados). Desarrollado en PHP y MySQL, bajo licencia GPL y código modificable, tiene como fundador a Matt Mullenweg. WordPress fue creado a partir del desaparecido b2/cafelog y se ha convertido junto a Movable Type en el CMS más popular de la blogosfera y en el más popular con respecto a cualquier otro CMS de aplicación general.2 3 Las causas de su enorme crecimiento son, entre otras, su licencia, su facilidad de uso y sus características como gestor de contenidos.

Tenia tiempo de no actualizar el blog e estado enredado un poco en la universidad... pero hoy les escribo para compartirles este 0-day o vulnerabilidad, se trata de vulnerar la seguridad de Wordpress... Saltando su complicado Encriptado [$P$BcscrRue6GIZ.75fjOFE9ET3vZlNp50].

Lo que vamos a hacer es lo siguiente buscar e inyectar una web, una vez tenemos la base de datos procedemos a sacar los datos.

Smartphone Pentest Framework: herramienta para pentests de teléfonos inteligentes

Cuando hablamos de realizar un test de intrusión siempre pensamos en poner a prueba la seguridad de un servidor o red de servidores normalmente detrás de algún elemento de protección como un firewall. Todos los pentesters tienen su metodología y colección de herramientas pero, ¿y si les dijéramos que hicieran un pentest para un conjunto de teléfonos inteligentes dentro de una red Wi-Fi? Seguramente se verían sorprendidos...

hoy en día no soltamos los teléfonos móviles ni para mear... literalmente.

Piénsalo, si dentro del vagón del metro levantas la mirada verás que la mayoría de la gente viaja ensimismada mirando la pantallita de su smartphone. No sería arriegado asegurar que ya hay muchos más teléfonos inteligentes que ordenadores domésticos y ¿qué son si no pequeñas computadoras de bolsillo?. Sí, los pentests para smartphones serán cada vez más demandados...

Smartphone Pentest Framework (en adelante SPF) es una herramienta de seguridad de código abierto, diseñada precisamente para ayudar en la evaluación de la seguridad de los teléfonos inteligentes, es decir, contiene ataques en remoto, ataques del lado del cliente, de ingeniería social y post-explotación para smartphones.

Las primeras versiones incluyen una consola hecha en Perl, un frontal web, una aplicación para Android y un agente para post-explotación, de momento también para Android aunque previsto y en desarrollo para iPhone y Blackberry.

Además recientemente se ha liberado la versión 0.1.7 que añade SMS shell pivot y un nuevo script para instalar SPF en Kali Linux. También se preveen nuevos módulos para más vectores de ataque y la integración con otras herramientas como Metasploit y SET. ¡No te la pierdas!

(Fuente | HackPlayers)

Smartphone Pentest Framework (Bulb security)

Videos:

Smartphone Pentest Framework Pre-release Teaser 1

SPF Version 0.1.7 Features Video

Herramientas gratuitas de recuperación de archivos

Si eres de los que no utiliza la papelera de su escritorio virtual o simplemente cometiste un descuido y "sacaste la basura" sin pensar, aún estás a tiempo de recuperar esos ficheros que anhelas desde el más profundo arrepentimiento...

En la foto, técnico de sistemas en proceso de recovering...

No desesperes amigo, todavía existen herramientas gratuitas que pueden ayudarte a revertir ese borrado indeseado, sólo ejecútalas lo antes posible o reza para que no se hayan sobrescrito tus valiosos datos:

Recuva

FreeUndelete

Restoration

TestDisk

y tú, ¿conoces otro software de recuperación de datos que merezca la pena? ¡Comparte!

¿Es posible tomar el control de un avión mediante un teléfono móvil?

El miércoles, el investigador de seguridad español Hugo Teso hizo una presentación en la conferencia Hack in the Box en Amsterdam en el que aseguraba que había desarrollado una aplicación para Android que podría permitirle tomar el control de un avión debido a los defectos en sus sistemas de comunicaciones de a bordo... ¡y la que se ha montado!, hasta ha sido noticia de impacto en la CNN (saluda Hugo):

Durante años hackers e investigadores de seguridad están avisando acerca de vulnerabilidades en la próxima generación de protocolos de control de tránsito aéreo. Pero Hugo se centró en un protocolo diferente llamado Aircraft Communications Addressing and Report System (ACARS), un sistema de intercambio de datos simple que ha evolucionado a lo largo de décadas y ahora se incluye en todo, desde los datos meteorológicos hasta la programación de los horarios del sistema de gestión de vuelo del avión (FMS).

Nunca uses un Proxy de Internet...

La mayoría de los novatos de Internet usan proxy, según ellos para ser anónimos. Nada mas falso. Son trampas mortales.

Como haría el gobierno para atrapar a todos estos chicos, algunos del grupo Anonymous.

Como todos sabemos la gente de Anonymous realmente no tiene experiencia ni son profesionales de las computadoras. Son vulnerables a acciones contra ellos de forma profesional.

La misión era que tan rápido podría sembrar un proxy y que Anonymous e incluso otros delincuentes lo usaran. Fue impresionante, la misma infraestructura de los delincuentes que buscan proxys abiertos se volvio encontra de ellos mismos.

"Hackeados" multitud de sitios de SourceForge.net

Alguien con el alias "1337 hacker" ha realizado algunos defaces en algunos proyectos de SourceForge.net incluyendo el siguiente mensaje (abajo en rojo):

(traducido al español):

"Este es un proyecto cuya página web ha sido hackeada mediante un backdoor en SourceForge por un hacker 1337! Eres muy afortunado porque este mensaje es el único cambio que hice. Después de encontrar esta puerta trasera, yo, siendo amable, añadí este mensaje a algunos sitios alojados en SourceForge para advertirles, en lugar de exponer maliciosamente sus datos. ¿A quién le afecta este exploit?"

Anciana buscaba cobre para venderlo como chatarra y deja sin Internet a un país entero.

La mujer, de quien no se reveló su identidad, escarbaba con una pala en busca de cobre para venderlo como chatarra y así ganarse el sustento diario, pero al dar un golpe con la herramienta cortó el cable dejando sin servicio de Internet a los principales proveedores. 

Tibilis, Georgia.- Por lo menos cinco horas se quedaron sin Internet los habitantes de Armenia y Azerbaiyán, luego de que una anciana de 75 años cortó por error un cable de fibra óptica que proveía el servicio a dichos países.

¿ Destruir Internet ? no es ciencia ficción esto ya paso y podría volver a pasar.

Ok hoy quiero compartirles una entrada que me pareció muy interesante y que me gustaría que leyeran hasta el final...

El mundo ha estado a punto de que el internet sea destruido al menos 4 veces 1 de ellas de hecho aniquilo la red por un momento.

En 1997 un ruteador que fue configurado erróneamente, se convirtió ruteador central de internet, algo similar a un ataque “ hombre en el medio por ARP Poison“ todo el trafico de internet intento pasar por ese único ruteador. El resultado fue desastroso el internet colapsó, seguramente muchos no lo recuerdan porque eran pequeños y aunque importante en 1997 el Internet no era tan masivo, sin facebook, netflix y otras cosas de consumo inmediato como ahora hizo que esta falla pasara desapercibida, lo mas masivo en ese entonces fue el correo electrónico que llegaron retrasados debido a que no podían ser entregados por los MTA Servers. Sin embargo este aunque fue un fallo de aniquilación y colapso total pudo ser revertido porque al final fue error humano y no había ninguna intención de destruir el internet.

Las otras 3 veces han estado a punto de lograr el colapso lo preocupante es que aquí si había la intención de terminar con el internet.

Warning: Skimming

Bueno después de estas vacaciones de semana santa, tenia olvidado mi blog un poco pero hoy quiero hablar sobre un tema bien interesante y sobre la seguridad de cajeros automáticos.

muchas personas en el mundo tienen alojado su dinero en muchos bancos y siempre hay personas dueños de lo ajeno buscando la forma de como obtener dinero fácil bien, entonces si nos colocamos a investigar sobre como funciona o como esta compuesto un cajero automático nos damos cuenta que cuando vamos a hacer una transacción lo único que necesitamos es la tarjeta y pin de nuestro usuario, ok bien esto me hace llamar una termino llamado Skimming (fraude).

¿El Hacking Adicción O Pasión?

No estoy acostumbro a crear este tipo de post pero hoy me levante con alma de escritor y filosofo, bueno quiero hablarles sobre el Hacking en los últimos años a tenido un fuerte  crecimiento junto con Tecnología pero hoy me hice una pregunta que me dejo pensando ¿El Hacking Adicción O Pasión?, ok explico lo que pienso y lo que respondo a esa pregunta...

Una de las principales sensaciones que vivimos es la Adrenalina, cuando estas en este mundo del Hacking y estas exponiéndote a algo que le llaman "Delitos informáticos" siempre tienes presente que puedes ir a prisión  pero esto es algo que lo hace mas emocionante e interesante me hace recordar aquella frase que dice "Lo prohibido es lo más deseado..." y aquí no es la excepción.

Justo en el momento en que explota la Adrenalina en todo el cuerpo incrementa la frecuencia cardíaca, contrae los vasos sanguíneos, dilata los conductos de aire y en ese momento nada es mas importante que lograr nuestro objetivo, en ese preciso instante solo piensas en toda la información que puedes obtener y exponer a el publico que esta ciego a este tipo de cosas... Muchas veces lo e dicho mi adicción en estos momentos es el Hacking es como si fuera ese cigarrillo, la nicotina que cuando un fumador inhala, va directamente a los pulmones y a la sangre o algo peor aun como aquella dosis de heroína que viaja a través de el cuerpo y que necesito a diario para poder satisfacer esa necesidad, es algo que deberían vivir y experimentar esta hermosa sensación.

Ciertamente puedo decir lo anterior por que e tenido la oportunidad de vivirlo y los invito a practicar el Hacking y una vez mas dejo la pregunta abierta ¿El Hacking Adicción O Pasión? coméntanos tu opinión...

Nick Nitrous 

[In]Seguridad ¡Descubren programa espía en todo el mundo!

Bien este post me dieron muchas ganas de hacerlo por que ultimamente e visto muchos noticias y artículos que de verdad me dejan muchas veces con la intriga de como o para que lo hacen, tal vez alguien pueda estar viendo mis archivos en mi pc sin darme cuenta, puede estar monitoriandome mediante mi webcam, incluso ver cuando alguien se fapea al frente del pc...

Hoy vi un articulo que lleva como titulo "¡Descubren programa espía en todo el mundo!" mmm suena muy interesante, por eso me atrevo a llamar el titulo de otro articulo "Internet es un estado de vigilancia" y puedo darle la razón a el especialista en seguridad informática Bruce Schneier que asegura que en #internet ya no existe la privacidad.