Hace dos meses lei una noticia en la que una persona muy famosa en los Estados Unidos de America, acudio a corte a denunciar a personas que le difamaban con comentarios en Youtube (Propiedad de Google Inc al igual que blogger) Resulta que la pelea era contra Google .inc y google perdio en el juicio por lo que el juez ordeno a Google darle Nombres y Direcciones de las Personas que difamban a la victima, y aquellos que estan confiados de que ellos no se registran con los nombres reales en las webs, les dire algo:
"NO se Confien, La gente que esta detras de esas compañias es mas lista que uno, tienen mas tecnologia que uno, ademas nosotros les facilitamos las cosas porque... Navegamos en Internet, somos usuarios de algunas cosas etc.
Quizas cuando estas compañias amenazen nuestra privacidad buscaremos a ser Anonimos, no usando internet, celular ni medio por el cual nos pueda guardar en sus registros como lo mencione en el tema anterior, clasificados en ordenes de busquedas y lo que vemos.
A la par de Microsoft. Google me esta asustando un poco mas, ultimamente en el Correo Electronico por Supuesto, Para crear un blog o un Gmail Google te pide Ingreses tu Numero de Celular para mandarte un Codigo si es blog o una llamada de voz con codigo si es Gmail, eso realmente te pone en que pensar y es que estrategias para hacerte pensar otra cosa hay muchas, como por ejemplo la que me aparecio esta mañana en Gmail, (cuenta que tengo desde hace un año) "Que Pasaria si pierdes tu cuenta un dia" Ingresa tu Numero de Celular para recuperar tu cuenta si un dia la pierdes.
Creo que estoy prefiriendo Microsoft, por que a la hora de registrar un nuevo msn, no me pide numero de telefono, me pide una direccion de correo electronico alternativa que es lo suficientemente apropiado a pedir datos personales que no le deben interesar por motivos de seguridad.
Pero el principal Modelo a Seguir es Facebook este si te pide Numero de Telefono, Nombre Completo, Direccion Completa, Empresas y Donde Estudiastes y mucho mas, por eso las demas compañias van copiando esas ideas que tuvi Facebook que solo ellos saben porque motivos son, aunque no es malo pensar que alguna organizacion pueda vigilarnos camuflajeadamente a travez de una red social, quien sabe.
Si yo lo pienso y ellos no entonces estoy mas avanzado que ellos, porque ellos tienen el poder y el dinero para hacerlo, dudo que no lo hagan.
Hasta aqui llega mi articulo y espero no seguirme topando con mas problemas como este, que barbaridad hasta que puntos estamos llegando, ni que estemos adquiriendo algun host o servicio de pago para dar todos los datos.
jueves, 25 de noviembre de 2010
miércoles, 25 de agosto de 2010
Realmente Existe el Anonimato para tener Privacidad
Para navegar por internet sin el problema de que los sitios que visitas obtengan informacion de tu PC, hay muchas maneras de navegar anonimamente y proteger tu privacidad, asi como evitar ser victimas de virus peligrosos a travez de internet.
Pero crees que esos metodos son seguros? ademas puedes decir que ese no es problema para ti si no haces cosas malas a travez de internet.
El internet sera en el futuro segun mis calculos y mi teoria, la opcion mas simple para buscar personas, grandes programadores, hackers y gente que no usa mucho las redes sociales pueden decir que estan a salvo de ser victimas del capitalismo informatico de las grandes empresas y de las organizaciones que estan detras de ellas para verificar tu privacidad.
Es que generalmente corrio un rumor a travez de internet que "X" Organizaciones estaban detras de algunos sitios web, donde vigilaban la supuesta privacidad que ellos te ofrecen.
El punto es este, un sitio web puede decirte que ellos protegen tu privacidad, pero de otras personas y a ti que te protege de ellos?
No es algo malo que te den opciones para proteger tu privacidad de personas que no conoces, es algo magnifico, pero lo que no te dan a entender es que ellos si vigilan tu privacidad.
El principal punto de debate fueron las redes sociales, ademas de ser un factor que genera perdida de tiempo para la sociedad segun grandes programadores, hackers y profesionales de la informatica, se especulo que las redes sociales son un punto en el que cualquier persona puede obtener datos tuyos, son los que mas opciones te dan para proteger tu privacidad pero tu que sabes si ellos no estan al tanto de lo que tu haces.
El asunto no es las redes sociales solamente, que les garantiza a los grandes programadores, hackers y profesionales de la informatica que la unica manera en que vigilan tu privacidad es en redes sociales y sitios de suscripcion etc.
Hay muchas maneras que desde hace meses vengo observando como las grandes compañias de internet te van dando pistas de qu ete vigila, aun asi cuando navegas anonimamente, por no tener cockies almacenadas en tu PC que te puedan afectar de algun intruso, ellos siempre entran donde quieren.
Vamos a ver punto por punto como estan las cosas en la actualidad, como me puedo dar cuenta de que todo lo que hago es vigilado y no tengo privacidad.
Primero: El Navegador Como puedes estar tan seguro que todos lo que buscas desde tu navegador de internet no va dirgido a una base de datos donde estan clasificados todos los usuarios de internet por sus busquedas.
Es decir, busca pornografia a diario desde tu buscador, toma en cuenta que las paginas que entres, los datos que ingreses, tu IP, (Dinamica o Fija) hay una opcion de rastreo siempre, los cuales son los sitios que visitates, tienen tus datos, todo eso va a un expediente donde van clasificados como dije anteriormente por parametros de busqueda.
Como dije; buscas pornografia, tus datos van a un expediente con la clasificacion de, Persona pornografica, ahi van tus busquedas frecuentes y etc.
buscas tareas, bien por ti aunque siempre tus datos van a un expediente donde te clasifican como estudiante.
Bueno ya les di la idea de como van las cosas en los navegadores, NO?
Segundo: E-mail Quien en este mundo no tiene acceso al correo electronico ademas de ser una opcion donde mas ataques puedes recibir para que violen tu privacidad, no estes tan seguro que la compañia con la que tienes tu correo electronico no vigila tu privacidad y asi como el navegador ellos te forman un expediente.
Siempre que reviso mis e-mails empresariales, me fijo en las recomendaciones de busquedas que me ofrece la compañia con la que tengo mi correo electronico, esto es un riesgo para los que usan el e-mail como medio para conexiones empresariales.
Las recomendaciones que siempre me aparecen cuando abro un mensaje en la bandeja de entrada son de acuerdo a las palabras que vienen en el mensaje.
Ellos me ofrecen una excelente opcion de protegerme contra amenazas de virus y phishing para que no roben mi contraseña y terceras personas obtengan mis datos y violen mi privacidad, pero ellos siempre te vigilan.
Que te garantiza que cada palabra que escribas, cada chat que hagas con una persona no vaya dirigido a una base de datos que ellos tengan.
Tercero: Redes Sociales Siempre seguira en la cuerda floja el tema de las redes sociales, algunas redes dicen que protegen tu privacidad pero ellos te piden que ingreses tu numero telefonico, tus datos de estudio, nombre completo, (nada de nicks), tus ocupaciones, profesion y muchos datos privados, etc.
Con que objetivo? que tanto necesitas poner? la verdad que la privacidad de sus usuarios jamas la podran proteger de terceras personas, es el mismo usuario que se debe proteger, pero respecto a la estupidez de muchos usuarios que ingresan sus datos completitos y aceptan como amigos/as a personas desconocidas, dudo mucho que lo logren, asi esas personas tienen acceso a su perfil, a eso me refiero, no es recomendable aceptar personas desconocidas, no se sabe que es el objetivo de esas personas en las redes sociales, una vez un amigo me pidio que le repara su PC, de casualidad cuando procedi a elaborar un respaldo de informacion de su PC me di cuenta sin intencion que poseia una gran cantidad de fotos de chicas que yo conocia, las bajaba de los perfiles de ellas.
En lugar de darles demasiadas opciones que de nada servirian, deberian implementar de igual manera consejos para que sepan protegerse de personas desconocidas que envian solicitudes de amistad con el proposito desconocido de la persona que le acepta.
Muchas fotografias de chicas circulan por internet como pan caliente, en sitios que son de descargas y de pornografia, nada profesional, solo son propiedad de personas sin oficios que atender pero con la vision de que su sitio sea de los mas visitados por su contenido, eso les da ranking y mas opciones de adquirir publicidad bien pagada.
Cuarto: Las Conexiones y Servicios Quiza no me entiendan muy bien en este 4to punto, pero voy a tratar de ser muy especifico ya que es muy importante que no mencione nombres y que ustedes sepan el riesgo que hay en nuestra privacidad.
Muchos disponemos de E-mail, Cuenta en alguna Red Social, servicios extras que nos ofrecen estas opciones como el tener una cuenta en X Compañia, esta nos puede ofrecer otros beneficios como conectarte automaticamente tus estados de animo a la red social, asi va la cosa, ademas de esa opcion hay muchos mas beneficios que te ofrecen pero no puedo mencionar nombres asi que ustedes mas o menos han de cranearse la idea que les quiero influir.
Lo que me llamo la atencion es algo muy extraño, entro a mi cuenta "X" donde me aparecen las opciones de mi Correo, perfil, albunes de fotos etc. Veo que en mi perfil aparacia una fotografia? Como? Yo jamas habia subido una fotografia, puedo estar muy seguro, despues me dirijo a una opcion de conexiones a otros servicios que me ofrece la red en la que estoy, veo un mensaje que decia, quieres agregar tus sitios en los datos de tu perfil?
BINGO!!! Me aparecen mis tres Sitios WEB?? Como?? No es posible como saben que son mi sitios?
Despues de un analisis me di cuenta que en base a lo que escribia en mi estado, de perfil, o las conexiones que habia hecho a esos sitios, la compañia obtuvo acceso a ellos, si eran mios o no?
Por esa simple razon me los sugerieron y me di cuenta que no tengo ni un poquito de privacidad, no hay anonimato, si tienes datos en la red que permitan tu rastreo.
Aunque tu te protejas de que los sitios no extraigan coockies de tu ordenador, aunque no puedan con tu IP, tus datos son la clave.
Esta Entrada no esta finalizada, voy a editarla muy pronto, asi que espero me tengan paciencia y os abra la mente.
Pero crees que esos metodos son seguros? ademas puedes decir que ese no es problema para ti si no haces cosas malas a travez de internet.
El internet sera en el futuro segun mis calculos y mi teoria, la opcion mas simple para buscar personas, grandes programadores, hackers y gente que no usa mucho las redes sociales pueden decir que estan a salvo de ser victimas del capitalismo informatico de las grandes empresas y de las organizaciones que estan detras de ellas para verificar tu privacidad.
Es que generalmente corrio un rumor a travez de internet que "X" Organizaciones estaban detras de algunos sitios web, donde vigilaban la supuesta privacidad que ellos te ofrecen.
El punto es este, un sitio web puede decirte que ellos protegen tu privacidad, pero de otras personas y a ti que te protege de ellos?
No es algo malo que te den opciones para proteger tu privacidad de personas que no conoces, es algo magnifico, pero lo que no te dan a entender es que ellos si vigilan tu privacidad.
El principal punto de debate fueron las redes sociales, ademas de ser un factor que genera perdida de tiempo para la sociedad segun grandes programadores, hackers y profesionales de la informatica, se especulo que las redes sociales son un punto en el que cualquier persona puede obtener datos tuyos, son los que mas opciones te dan para proteger tu privacidad pero tu que sabes si ellos no estan al tanto de lo que tu haces.
El asunto no es las redes sociales solamente, que les garantiza a los grandes programadores, hackers y profesionales de la informatica que la unica manera en que vigilan tu privacidad es en redes sociales y sitios de suscripcion etc.
Hay muchas maneras que desde hace meses vengo observando como las grandes compañias de internet te van dando pistas de qu ete vigila, aun asi cuando navegas anonimamente, por no tener cockies almacenadas en tu PC que te puedan afectar de algun intruso, ellos siempre entran donde quieren.
Vamos a ver punto por punto como estan las cosas en la actualidad, como me puedo dar cuenta de que todo lo que hago es vigilado y no tengo privacidad.
Primero: El Navegador Como puedes estar tan seguro que todos lo que buscas desde tu navegador de internet no va dirgido a una base de datos donde estan clasificados todos los usuarios de internet por sus busquedas.
Es decir, busca pornografia a diario desde tu buscador, toma en cuenta que las paginas que entres, los datos que ingreses, tu IP, (Dinamica o Fija) hay una opcion de rastreo siempre, los cuales son los sitios que visitates, tienen tus datos, todo eso va a un expediente donde van clasificados como dije anteriormente por parametros de busqueda.
Como dije; buscas pornografia, tus datos van a un expediente con la clasificacion de, Persona pornografica, ahi van tus busquedas frecuentes y etc.
buscas tareas, bien por ti aunque siempre tus datos van a un expediente donde te clasifican como estudiante.
Bueno ya les di la idea de como van las cosas en los navegadores, NO?
Segundo: E-mail Quien en este mundo no tiene acceso al correo electronico ademas de ser una opcion donde mas ataques puedes recibir para que violen tu privacidad, no estes tan seguro que la compañia con la que tienes tu correo electronico no vigila tu privacidad y asi como el navegador ellos te forman un expediente.
Siempre que reviso mis e-mails empresariales, me fijo en las recomendaciones de busquedas que me ofrece la compañia con la que tengo mi correo electronico, esto es un riesgo para los que usan el e-mail como medio para conexiones empresariales.
Las recomendaciones que siempre me aparecen cuando abro un mensaje en la bandeja de entrada son de acuerdo a las palabras que vienen en el mensaje.
Ellos me ofrecen una excelente opcion de protegerme contra amenazas de virus y phishing para que no roben mi contraseña y terceras personas obtengan mis datos y violen mi privacidad, pero ellos siempre te vigilan.
Que te garantiza que cada palabra que escribas, cada chat que hagas con una persona no vaya dirigido a una base de datos que ellos tengan.
Tercero: Redes Sociales Siempre seguira en la cuerda floja el tema de las redes sociales, algunas redes dicen que protegen tu privacidad pero ellos te piden que ingreses tu numero telefonico, tus datos de estudio, nombre completo, (nada de nicks), tus ocupaciones, profesion y muchos datos privados, etc.
Con que objetivo? que tanto necesitas poner? la verdad que la privacidad de sus usuarios jamas la podran proteger de terceras personas, es el mismo usuario que se debe proteger, pero respecto a la estupidez de muchos usuarios que ingresan sus datos completitos y aceptan como amigos/as a personas desconocidas, dudo mucho que lo logren, asi esas personas tienen acceso a su perfil, a eso me refiero, no es recomendable aceptar personas desconocidas, no se sabe que es el objetivo de esas personas en las redes sociales, una vez un amigo me pidio que le repara su PC, de casualidad cuando procedi a elaborar un respaldo de informacion de su PC me di cuenta sin intencion que poseia una gran cantidad de fotos de chicas que yo conocia, las bajaba de los perfiles de ellas.
En lugar de darles demasiadas opciones que de nada servirian, deberian implementar de igual manera consejos para que sepan protegerse de personas desconocidas que envian solicitudes de amistad con el proposito desconocido de la persona que le acepta.
Muchas fotografias de chicas circulan por internet como pan caliente, en sitios que son de descargas y de pornografia, nada profesional, solo son propiedad de personas sin oficios que atender pero con la vision de que su sitio sea de los mas visitados por su contenido, eso les da ranking y mas opciones de adquirir publicidad bien pagada.
Cuarto: Las Conexiones y Servicios Quiza no me entiendan muy bien en este 4to punto, pero voy a tratar de ser muy especifico ya que es muy importante que no mencione nombres y que ustedes sepan el riesgo que hay en nuestra privacidad.
Muchos disponemos de E-mail, Cuenta en alguna Red Social, servicios extras que nos ofrecen estas opciones como el tener una cuenta en X Compañia, esta nos puede ofrecer otros beneficios como conectarte automaticamente tus estados de animo a la red social, asi va la cosa, ademas de esa opcion hay muchos mas beneficios que te ofrecen pero no puedo mencionar nombres asi que ustedes mas o menos han de cranearse la idea que les quiero influir.
Lo que me llamo la atencion es algo muy extraño, entro a mi cuenta "X" donde me aparecen las opciones de mi Correo, perfil, albunes de fotos etc. Veo que en mi perfil aparacia una fotografia? Como? Yo jamas habia subido una fotografia, puedo estar muy seguro, despues me dirijo a una opcion de conexiones a otros servicios que me ofrece la red en la que estoy, veo un mensaje que decia, quieres agregar tus sitios en los datos de tu perfil?
BINGO!!! Me aparecen mis tres Sitios WEB?? Como?? No es posible como saben que son mi sitios?
Despues de un analisis me di cuenta que en base a lo que escribia en mi estado, de perfil, o las conexiones que habia hecho a esos sitios, la compañia obtuvo acceso a ellos, si eran mios o no?
Por esa simple razon me los sugerieron y me di cuenta que no tengo ni un poquito de privacidad, no hay anonimato, si tienes datos en la red que permitan tu rastreo.
Aunque tu te protejas de que los sitios no extraigan coockies de tu ordenador, aunque no puedan con tu IP, tus datos son la clave.
Esta Entrada no esta finalizada, voy a editarla muy pronto, asi que espero me tengan paciencia y os abra la mente.
miércoles, 21 de abril de 2010
Vulnerabilidad en Foro SMF
Bueno navengando en San Googe encontre a nimiedad.com un articulo sobre los foros Simple Machines Forum (SMF) siendo objeto de un hacking masivo automatizado debido a una grave vulnerabilidad que permite inyectar código php en la carpeta que utilizan los usuarios para subir avatares. Ahora mismo pueden haber decenas de foros infectados (de todas las versiones, incluidas las actualizadas). Probablemente muchos de los propietarios de dichos foros ni siquiera saben que todos los archivos .php del servidor donde se encuentra su foro tienen un código malicioso inyectado, ya que el único síntoma visible inicial es que desaparecen algunos avatares del foro SMF.
El mecanismo de hacking funciona mediante el registro automático en el foro de un usuario que sube un avatar en formato .jpg que contiene un código php con el que se conecta a una página desde la cual se producen nuevas inyecciones de código. Esto crea en el servidor tres archivos llamados style.css.php, s.php, y dg.php. Además, a todos y cada uno de los archivos con extensión .php del servidor donde esté alojado el foro SMF se les añade en su parte superior un trozo de código php codificado en base64. En principio parece que el objetivo de este hacking es el spam, aunque podría tener otro tipo de aplicaciones maliciosas.
¿CUÁLES SON LOS SÍNTOMAS?
Lo primero que se suele detectar es que desaparecen algunos avatares en el foro. También aparecen numerosos errores en el log de errores de administración, como "8: Undefined index: dhhag".
¿CÓMO LIMPIAR ESTA INYECCIÓN DE CÓDIGO?
La forma más rápida y segura es volver a una copia de seguridad del servidor anterior a la fecha del hacking (la fecha de registro del usuario "sospechoso" en el foro SMF), ya que no sólo inyecta en el foro sino en todas las carpetas que estén en ese mismo servidor. Si no se dispone de una copia de seguridad completa, el proceso de limpieza sería mucho más tedioso y llevaría estos pasos:
1. Buscar en el foro SMF si se ha registrado un usuario llamado "krisbarteo" o "MagicOpromotion", apuntar la fecha y hora de registro, y borrarlo.
2. Con un programa FTP, ir a la carpeta donde se almacenan los avatares en tu foro SMF, y eliminar el avatar en formato .jpg que coincida con la fecha y hora de registro de "krisbarteo".
3. Abrir cualquier archivo .php infectado con un editor. Arriba veremos el código añadido, codificado en base64. Lo copiamos y lo decodificamos en cualquier decodificador de base64 (por ejemplo, éste). Al decodificarlo veremos la ruta de la carpeta en nuestro servidor que contiene el archivo style.css.php y otros. Copiamos esa ruta, vamos a ella con el FTP y borramos los archivos que haya en ella (que no se correspondan con algo legítimo y que hayan sido modificados en la fecha del hacking o posteriormente).
4. Eliminar de todos los archivos .php del servidor el código malicioso inyectado en la parte superior. Hay varias formas automáticas de hacerlo. Una manual, y bastante tediosa, podría ser descargar todos los archivos y modificarlos de forma masiva utilizando algún programa como Dreamweaver que permita reemplazar masivamente trozos de texto. Al ser el código añadido el mismo en todos los archivos .php, es fácil reemplazarlo de forma masiva sin necesidad de ir editándolos uno por uno. Cuidado con añadir espacios antes de la etiqueta de inicio de código php, ya que daría errores de header. Una vez limpiados los archivos, volver a subirlos mediante ftp.
¿CÓMO PREVENIRLO?
(El 22/05/09 apareció una actualización de seguridad de SMF que soluciona esta vulnerabilidad. No obstante, he dejado los consejos originales ya que son útiles para combatir el spam.)
De momento, y mientras no se ofrezca una solución desde SMF, deberías hacer lo siguiente:
1. Impedir que los usuarios suban avatares y archivos adjuntos (o bien limitarlo sólo a quienes tengan un cierto número de mensajes escritos).
2. Instalar el mod Stop Spammer.
3. Instalar el mod reCAPTCHA.
Y, por supuesto, deberías tener actualizado tu foro SMF a la última versión estable, y todo el software de tu servidor también actualizado (consulta con tu empresa de hospedaje si hay software del servidor al que no tienes acceso).
El mecanismo de hacking funciona mediante el registro automático en el foro de un usuario que sube un avatar en formato .jpg que contiene un código php con el que se conecta a una página desde la cual se producen nuevas inyecciones de código. Esto crea en el servidor tres archivos llamados style.css.php, s.php, y dg.php. Además, a todos y cada uno de los archivos con extensión .php del servidor donde esté alojado el foro SMF se les añade en su parte superior un trozo de código php codificado en base64. En principio parece que el objetivo de este hacking es el spam, aunque podría tener otro tipo de aplicaciones maliciosas.
¿CUÁLES SON LOS SÍNTOMAS?
Lo primero que se suele detectar es que desaparecen algunos avatares en el foro. También aparecen numerosos errores en el log de errores de administración, como "8: Undefined index: dhhag".
¿CÓMO LIMPIAR ESTA INYECCIÓN DE CÓDIGO?
La forma más rápida y segura es volver a una copia de seguridad del servidor anterior a la fecha del hacking (la fecha de registro del usuario "sospechoso" en el foro SMF), ya que no sólo inyecta en el foro sino en todas las carpetas que estén en ese mismo servidor. Si no se dispone de una copia de seguridad completa, el proceso de limpieza sería mucho más tedioso y llevaría estos pasos:
1. Buscar en el foro SMF si se ha registrado un usuario llamado "krisbarteo" o "MagicOpromotion", apuntar la fecha y hora de registro, y borrarlo.
2. Con un programa FTP, ir a la carpeta donde se almacenan los avatares en tu foro SMF, y eliminar el avatar en formato .jpg que coincida con la fecha y hora de registro de "krisbarteo".
3. Abrir cualquier archivo .php infectado con un editor. Arriba veremos el código añadido, codificado en base64. Lo copiamos y lo decodificamos en cualquier decodificador de base64 (por ejemplo, éste). Al decodificarlo veremos la ruta de la carpeta en nuestro servidor que contiene el archivo style.css.php y otros. Copiamos esa ruta, vamos a ella con el FTP y borramos los archivos que haya en ella (que no se correspondan con algo legítimo y que hayan sido modificados en la fecha del hacking o posteriormente).
4. Eliminar de todos los archivos .php del servidor el código malicioso inyectado en la parte superior. Hay varias formas automáticas de hacerlo. Una manual, y bastante tediosa, podría ser descargar todos los archivos y modificarlos de forma masiva utilizando algún programa como Dreamweaver que permita reemplazar masivamente trozos de texto. Al ser el código añadido el mismo en todos los archivos .php, es fácil reemplazarlo de forma masiva sin necesidad de ir editándolos uno por uno. Cuidado con añadir espacios antes de la etiqueta de inicio de código php, ya que daría errores de header. Una vez limpiados los archivos, volver a subirlos mediante ftp.
¿CÓMO PREVENIRLO?
(El 22/05/09 apareció una actualización de seguridad de SMF que soluciona esta vulnerabilidad. No obstante, he dejado los consejos originales ya que son útiles para combatir el spam.)
De momento, y mientras no se ofrezca una solución desde SMF, deberías hacer lo siguiente:
1. Impedir que los usuarios suban avatares y archivos adjuntos (o bien limitarlo sólo a quienes tengan un cierto número de mensajes escritos).
2. Instalar el mod Stop Spammer.
3. Instalar el mod reCAPTCHA.
Y, por supuesto, deberías tener actualizado tu foro SMF a la última versión estable, y todo el software de tu servidor también actualizado (consulta con tu empresa de hospedaje si hay software del servidor al que no tienes acceso).
Ing Social y Estafas Manual by filthywinter
1. Introduccion *
*****************
Antes de iniciarnos en cualquier tecnica retorcida de hacking, tenemos que
centrarnos en el principal fallo de cualquier PC. Por muchos antivirus y
cortafuegos que nos encontremos, hay un "bug" supremo, por encima de todo
eso, y es sin lugar a dudas la estupidez humana.
Mi intencion no es mas que dar un repaso a la ingenieria social con fines
maleficos, para obtener informacion sensible y poder aprovecharnos de esto.
La informacion sensible no es mas que datos personales e "intrasferibles"
de una persona que la identifica y que, lo mas interesante, permite comprar
objetos de valor. Asi mismo adjuntare mis anecdotas a modo didactico, pues
donde haya un buen ejemplo sobran explicaciones.
Espero que disfruteis de la lectura, que nos preservara de muchos fraudes
a traves de Internet y nos instruira basicamente en el mundo del phishing,
las estafas y la obtencion de informacion sensible mediante la ingenieria
social. Lo peor de todo esto es que vais a descubrir que la vida real, las
relaciones entre las personas no es mas que ingenieria social, y veras las
cosas de otro modo...
2. Ingenieria Social *
**********************
El famoso phreaker Kevin Mitnick ya dijo cuatro principios basicos para la
ingenieria social que tienen que hacernos pensar:
1# Todos queremos ayudar
2# El primer movimiento es siempre de confianza hacia el otro
3# No nos gusta decir No
4# A todos nos gusta que nos alaben
No pudo tener mas razon. Siguiendo estos pequenyos principios o, al menos,
entendiendolos desarrollaremos nuestra propia tecnica y la perfeccionaremos.
Cada una tiene la suya, mi especialidad es hacerme pasar por un agente de
Telefonica. Os voy a contar algo...
Recuerdo de las primeras veces que practique ingenieria social en mi vida. Una
tarde llame a un 900 y resulto ser el centro de atencion al menor, seguido de
un contestador. Pulse * y accedi al contestador, que pedia clave de acceso. No
valian tablas ni nada por el estilo, y pedia 4 digitos... mucho trabajo y mucho
tiempo que no tengo. Era un maldito contestador de Telefonica de cualquier
telefono. A la manyana siguiente, llame (porque el contestador salto por llamar
en horario no laboral) y me lo cogio una senorita. La conversacion fluyo
entre ella y yo de una manera muy amena (bueno, ahora Orange) . Yo era un
tecnico de telefonica con un numero de extension (411) que le pregunto si tenian
problemas con el contestador... Y acerte. Podia haberme equivocado, pero todo
fue bien. Prefijando 067 y llamando por PBX, les aparecia como anonimo (o con
el numero del PBX, no hay que fiarse nunca del 067). De una forma u otra, le
pregunte disimuladamente la clave e indiscriminadamente me la dieron. Todo
fue esta tarde diversion. El 900 a partir de las 16.00 se convirtio en una party
para algunos phreakers que conoci en Internet y yo. Un par de dias despues,
cambiaron las claves del contestador (logicamente).
Hay algo importante que debemos tener en cuenta, especialmente cuando nos
hacemos pasar por teleoperadores y intentemos obtener informacion mediante
ingenieria social (en Espanya). Si nuestra victima es alguien de edad
inferior a los 50 anyos, usaremos un tono sudamericano. Seguramente os habeis
dado cuenta que cuando os ha llamado alguna teleoperadora de alguna companyia
es sudamericana. Los "jovenes" estan mas acostumbrados a que les llamen y
sabran que suelen ser sudamericanas. Si el sujeto es mayor de 50 anyos,
usaremos un tono espanyolizado porque, aunque pueda resultar para alguien
racista, confiaran mas en alguien con acento espanyol (ya se sabe que los
mayores son mas propensos a ser un poco xenofobos). Esto lo digo para los
espanyoles, no puedo decir en otros paises porque no se como va en otros.
Es engañar un arte? Claro que si, pero se aprende. Hay una forma buenisima de
conseguir datos de personas por el telefono. El metodo de la encuesta es
fantastico. Creamos una serie de preguntas, nos hacemos pasar por alguna
compania y a preguntar!
3. Que tener en cuenta al llamar *
**********************************
Hay que recordar unas pautas basicas a la hora de llamar. Cuando llamemos
nos sentiremos mal (a no ser que tengas muy pocos escrupulos) y es logico
que las primeras veces nos corte muchisimo. Hay que mentalizarnos.
Al llamar nosotros para un fin tan maquiavelico debemos colocarnos, mentalmente
(para ti mismo y para el) en una fria posicion, porque cuando llamamos nos
sentimos atacantes y creemos que ellos son las pobres victimas. Hay que quitarse
de la cabeza esta idea, porque nos afecta a la voz y a nuestro comportamiento,
empezamos a titubear, nos ponemos nerviosos y nos acaban pillando (o acabamos
colgando, que es lo mas tipico).
Tenemos que meternos en el papel desde primera hora, llamar con un tono natural,
ensayar como vamos a hablar. Conseguir un tono natural solo te costara unas
cuantas llamadas en las que te cogeran y acabaras avergonzado de lo que estas
haciendo, pero piensa friamente y recuerda que no saben quien eres.
Hay que respetar una cosa bastante logica: si te han pillado en un sitio
intentando sacar informacion no deberias volver a intentarlo en el mismo.
Es una buenisima idea apuntar el nombre de quien te ha atendido (en el caso
de que sean operadoras), pero ten muy en cuenta que hablan entre ellas
porque son personas (no seria la primera vez que pasa, mas de una vez me
ha pasado a mi que me digan "no me digas, que te de las claves del contestador
verdad?" al fin y al cabo.
Hay pautas de conducta tipicas de una teleoperadora que podemos usar para
ganarnos la confianza con el cliente, preguntas del tipo "Con quien tengo
el placer de hablar?" nos permite conocer el nombre de la persona con la que
hablamos, ademas de indirectamente reconfortar a la victima por el valor
connotativo ("placer", influimos a la victima a que se quede hablando con
nosotros porque nos gusta hacerlo). Como veis, la psicologia influye mucho
en esto, pero no es lo mas importante. Mas es la observacion de las rutinas
de comportamiento de un teleoperador normal que andarnos con connotaciones.
Tampoco podemos soltar esa frase en cualquier momento. Debemos escoger el
momento adecuado, y eso no puedo decirtelo yo... ni nadie. Lo notaras.
Si tenemos ganada la confianza de la victima, lo tenemos todo casi ganado.
Solo habria que mantener la calma y pensar dos veces (y rapidamente, que es
dificil) las cosas antes de decirlo. Si tenemos la simpatia, obviamente no nos
diran que no.
Otra cosa importante es recordar que la mejor forma de ponernos de "buenos" es
que exista un "malo". Este malo imaginario lo inventaremos, obviamente, y lo
presentaremos como una amenaza hacia nuestra victima. Pero no podemos decir que
alguien ha entrado en su cuenta bancaria y ha comprado un yate, porque no nos
saldria del todo bien. Lo que hay que decir es que llamamos para confirmar la
compra de un yate, con lo que la victima se acojonara bastante. Este mismo
ejemplo lo veremos mas adelante.
Amigos, la practica es importantisima, pero no hay nada como documentarse un
poco antes, llamar a companyias, a particulares... ver como se comportan y anotar
patrones de comportamiento similares para adelantarnos a los actos de la
victima. Esta ultima no esta pensando apenas lo que esta diciendo, mientras que
nosotros lo tenemos perfectamente estudiado y hemos pensado de antemano lo que
debemos hacer en cada caso. Un esquema de posibles respuestas es perfecto.
este se elabora a base de practica: uno llama a un numero pidiendo un proposito
y vemos la respuesta que nos dan las personas. Vamos apuntando mediante flechas,
"lo conseguimos", "no lo conseguimos", "no lo sabe"... De esta forma luego
buscamos respuestas, giros inesperados y frases interesantes para decir. En
resumen, es buscar respuestas a preguntas inesperadas para transformarlas en
preguntas esperadas .
PRACTICA!
Este es un esquema de ejemplo muy basico y tonto, mas que nada para que os
hagais a la idea y podais confeccionar el vuestro propio:
PEDIR CLAVE
A) Da clave ---> EXITO
B) No da clave
b.1) No me fio de usted
b.1.a) Es usted libre, puede pasarse por nuestras oficinas para
facilitarnos la informacion.
b.1.a.1) Da clave ---> EXITO
b.1.a.2) No da clave ---> FRACASO
b.1.b) Sufrira las consecuencias de no facilitarnos los datos pues
el sistema sufrira graves errores a causa de ello.
b.1.b.1) Da clave ---> EXITO
b.1.b.2) No da clave ---> FRACASO
b.2) "Deme telefono, yo me pondre en contacto con ustedes cuando
este mi jefe / encuentre los datos"
b.2.a) No podemos esperar a ello, le esperamos al telefono a
que busque los datos. (no vale para jefe)
b.1.b) No da clave ---> FRACASO
4. La encuesta *
****************
Esta es la mejor forma de obtener informacion. Nos hacemos pasar por la compania
X y decimos que estamos haciendo una encuesta. Como lo mas logico que nos digan
es que no (como siempre hemos hecho todos, especialmente nuestras madres)
decimos que sera remunerada (vamos, que sera pagada) con 5 euros por las
molestias, y que solo durara unos minutos.
Prepararemos un completo cuestionario preguntando todos los datos que
necesitamos. No cometais la imbecilidad de preguntar numero de tarjeta de
credito o cualquier informacion "supra-comprometida", porque creareis un gran
clima de desconfianza. Es interesante preguntar las tipicas preguntas secretas
del Messenger de forma disimulada. Asi si conocemos su Messenger y el nombre
de su por ej. perro, podremos hacernos con el poder de sus cuentas.
Ganaros a vuestra victima, "comedles el culo". Para empezar en el mundo de la
ingenieria social telefonica es una fantastica forma de ensayar frente a una
victima. La fea expresion que arriba he dicho puede ser todo lo ordinaria que
os parezca, pero es la autentica base de la ingenieria social telefonica, y
hay que tenerlo siempre en la cabeza.
5. El ejemplo de la compra no autorizada *
******************************************
Llamamos un dia cualquiera a cualquier hora. Hacemos lo de la encuesta y
sacamos todos los posibles datos (no sospechosos) y los apuntamos. Llamamos
al senyor por la manyana, desde un telefono seguro como por ejemplo llamando
desde programas gratuitos de VOIP (mas adelante hablare en profundidad
sobre este tema) mientras estamos conectados a una WiFi ajena, usando
prefijos anonimizadores o PBX's (o en ultima instancia, una cabina o
telefono ajeno). De repente somos empleados del banco XXXXXXX (previamente
habemos preguntado que banco es el suyo en la encuesta) y llamamos
educadamente al senyor diciendo que llamabamos para la confirmacion de la
compra que ha realizado el "martes" (por decir algo). El senyor se exaltara
diciendo que no ha hecho ninguna compra, y ustedes insistis diciendo
que si, que aparecen sus datos por el importe de 299 euros. Total, deja que
se extranye todo lo que quiera, y tu eventualmente le dices que si lo confirma
o no. El dira que lo canceles, tu intenta entretenerle, necesitamos que este
mas nervioso antes de pedirle los datos. Ponle pegas, que si el cobro ya se
habia realizado, bla bla bla...
Cuando este muy desesperado por que canceles la compra, entonces dile con
tranquilidad que lo vas a hacer. Pon musiquita que se parezca a la de espera
y cortala de repente. Di que espere, que estas comprobando datos, aporrea
el teclado... Ahora viene la parte sensible, "Senyor NOSEKE, por motivos de
seguridad usted nos tiene que facilitar sus datos ahora por telefono
o pasarse por las oficinas en horario laboral. Porque cometemos esta estupidez
de dar la opcion a que no nos de los datos? Porque si le obligamos a que
nos de los datos por telefono le parecera raro. Aqui cabe la posibilidad de
que nos diga que lo dira en la oficina, pero si no va (lo mas probable, todos
somos demasiado vagos o estamos ocupados) nos dara mayor credibilidad. Puede
que diga que se pasara por la oficina (poco probable) y es un riesgo que
tenemos que correr. No os pongais nerviosos, y decidle que vale. Lo mas
seguro es que, si os habeis ganado su confianza, os de los datos.
Debemos pedirle todos los datos, nombre completo, numero, tipo de tarjeta,
fecha de expedicion, los tres numeritos de atras, etc. Todo lo que podamos
sacar, e incluso el DNI. Tras esto, tecleamos un poco y le decimos que la
compra ha sido cancelada, que perdone por las molestias... Ya tenemos unos
bonitos datos para hacer nuestras compras
Esto es solo un ejemplo de como hacerlo. Hay muchas formas que veremos a
lo largo de este documento, y muchas mas que podras sacar por ti mismo.
6. Estafando: Como comprar *
****************************
Si queremos comprar algo con estos datos, lo mejor es primeramente esperar
algunos dias (e incluso semanas) para evitar sospechas de nosotros, por si
acaso. Luego miramos en nuestro bonito/a pueblo o ciudad una casa medio
abandonada. A ver, no que este mal, sino que no suela haber nadie. Con una
impresora, papel de plastificar y habilidad en una tarde te haces un carnet
imitando ser el senyor al que le robas. No te curres la foto, pon una foto
tuya, con el DNI del senyor.
Ponemos que lo recibiremos a dicha direccion y a ser posible compramos o
conseguimos una tarjeta de prepago para recibir llamadas del repartidor cuando
vayan a venir. Cuando nos llamen para advertirnos de la llegada del paquete,
nos vestimos con ropas que nunca usemos, nos dejamos barba si no tenemos o nos
la cortamos si la tenemos, nos ponemos un gorro, pero sin tener excesivas malas
pintas. Llevamos con nosotros el DNI metido en la cartera, y deambulamos cerca
de la casa. Cuando veas la furgoneta del repartidor, saca las llaves de tu casa
y ponte como para abrir la puerta, pero simulas que te llega un mensaje al
movil.
El tio llega, tu le dices "*Ah, hola! Es para mi". Solo saca el DNI si te lo
pide el menda. Hechas la firmita y punto. Esperas que el tio se vaya mientras
miras el movil como contestando al mensaje aguantando las llaves con la otra
mano.
Ahora es cuando te toca coger el paquete y, cuando no haya rastro, huir y
correr como en tu vida lo has hecho. Enhorabuena, has cometido una estafa.
7. Enganyando: Phishing *
*************************
Hablemos del phishing. Phishing viene del ingles "fishing", es decir, "pesca".
Vamos a pescar incautos para tener sus datos. Os voy a ensenyar como usar unas
especies de "exploit" (si se les puede llamar asi) para captar incautos.
Hay de muchos tipos, hay millones por Internet. Si lo que queremos son unos
datos en especial, debemos crearnos nuestro propio exploit (mas adelante hablare
de ello). Voy a hablar ahora de los prefabricados, que normalmente
lo que hacen es emular un log-in en lo que parece ser la compania real, una
entidad bancaria, el PayPal, Hotmail o Tuenti (de este ultimo yo fui su creador,
del primer y por ahora (creo) unico exploit existente para Tuenti).
Basta con conocer un poco a la victima. Como minimo, tiene Messenger, y si tiene
Messenger tiene Live! Hotmail. Tambien puede tener Tuenti o un MyScrapbook...
Os dejo unos links para bajar exploits prefabricados... Ahora os ensenyare como
usarlos...
PayPal: http://lix.in/-3e44a2" target="_blank"
Paquete Su'ID:
Tuenti: http://lix.in/-415220" target="_blank"
Live! Hotmail: http://lix.in/-445f62" target="_blank"
MyScrapbook: http://lix.in/-476ca4" target="_blank"
Os voy a enseynar a usar los de la suite Su'ID, poco a poco os ensenyare como
usarlos todos...
Primero, nos proxieamos y enmascaramos, por si acaso. Nos creamos una cuenta
en, por ejemplo. www.t35.com" target="_blank" (no olvidad poneros un proxy) con un nombre no
muy cantoso, como h0tmail, tuennti, o algo similar, depende del exploit que
useis. Desde nuestro gestor FTP favorito, conectamos a ftp.t35.com, de usuario
poneis tunombre.t35.com y de password ya sabes. Descomprimimos el paquete a
usar y subimos los archivos. Vamos a alg£n sitio de redireccionamiento como
www.dot.tk y nos creamos una cuenta de redireccion creible (www.tuenti.tk,
www.livehotmail.tk...) y entonces lo redireccionamos a la index que hemos
subido a t35.com.
Llega el momento de currarselo un poco. Primeramente, nos creamos una cuenta
(buscad el proveedor mas raro que veis, o si teneis un SMTP que os funcione,
usadlo para enviarlo anonimamente) de correo y nos lo curramos. Le enviamos un
mensaje haciendonos pasar por la companyia, o nos inventamos que hay una
version nueva. Lo que puedes hacer es, por ejemplo si es de Tuenti, decir que
sois los creadores y que habeis sacado la nueva version 2.0 de Tuenti y que
podreis probarla haciendo click aqui (y enlazais a www.tuenti.tk). No olvideis
firmar (tuenti.es) y enlazarlo a nuestro fake. Enviamos y... solo falta esperar.
De vez en cuando, entramos a http://usuario.t35.com/robados.txt y ahi vereis
los log-in y passes de quien haya picado.
Es sencillo. Los demas funcionan parecido, solo que sirven para sacar datos mas
comprometidos... Todos los de Su'ID funcionan asi. Mas adelante hablare del de
PayPal, y sobre como crear vuestros propios exploits.
8. Sobre VoIP *
***************
[Wikipedia]
Voz sobre Protocolo de Internet, tambien llamado Voz sobre IP, VozIP, VoIP
(por sus siglas en ingles), es un grupo de recursos que hacen posible que la
senyal de voz viaje a traves de Internet empleando un protocolo IP (Internet
Protocol). Esto significa que se envia la senyal de voz en forma digital en
paquetes en lugar de enviarla (en forma digital o analogica) a traves de
circuitos utilizables solo para telefonia como una companyia telefonica
convencional o PSTN (acronimo de Public Switched Telephone Network, Red
Telefonica Publica Conmutada).
[/Wikipedia]
Hay aplicaciones que nos seran muy utiles, como VoipBuster, VoipCheap y
similares (que son todos clones de la misma companyia). Son de pago, por
supuesto, pero nos permiten realizar 20 minutos de llamadas gratuitas a
fijos de Espanya y de otros paises. Que pasa si creamos una cuenta nueva
pasados esos 20 minutos? Pues otros 20 minutos de llamadas gratuitas (solo
a fijos, recordad). El problema se presenta cuando al crear nuestra tercera
o cuarta cuenta el programa nos da un error... Pero para eso no hay problema,
un tal FreakBell creo un BAT que elimina los registros del sistema y permite
seguir creando cuentas... En la nueva version el BAT de FreakBell parecia no
funcionar muy bien, y Nu'PH! creo otro que hacia refresh a las IPs (routers
con IP dinamica) y asi podias seguir creando cuentas ilimitadamente... Yo lo
dejo todo aqui para que le hecheis un vistazo:
VoipCheap + Freakbell BAT: http://www.megaupload.com/?d=92EROC61
BAT de Nu'PH! (sigue funcionando): http://www.megaupload.com/?d=2X1XODOA
Que podemos hacer desde aqui? Llamar a fijos con casi total confidencialidad.
Nuestra IP probablemente quede registrada en los servidores de VoIPCheap, pero
para eso hay ip bouncing, proxys, etc. (o conectarnos a la wifi de un vecino
para llamar, lo mas seguro ). Seguro que algo de esto os suena.
Un infinito abanico de posibilidades se abre ante ustedes. A usarlo con
responsabilidad!
viernes, 16 de abril de 2010
Ing. Social A Travez del Carding
Primero debemos conocer el concepto de Carding, que Significa, cual es el uso que le dan y en que nos perjudica.
Se Denomina Carding a: El uso Ilegitimo de Tarjetas de Crédito ajenas, en términos legales a esto se le conoce como Fraude, el carding es una rama del hacking y en el que se desempeña mucho ing social, phishing y otros.
Dentro de esta modalidad de fraude, se encuentra el uso de venta de información personal de tarjetas de crédito, el robo de la tarjeta copiandola, el hurto de la tarjeta en cajeros automáticos y toda la actividad o delito referido a las tarjetas de crédito.
Es algo del hacking de lo cual los interesados lo usan solo para beneficio propio, les genera ganancias y se las quita hasta que se topan con la ley.
Bueno lo anterior ya es en fines legales pero de lo que se trata el tema es de procedimientos informáticos y como lo aplican en esta rama.
El Carding se lo pueden aplicar a la hora de que usted ingrese a un sitio no certificado de compras, o de algun servicio que desee contratar.
Sin embargo, la pregunta es: cómo hace un usuario común que no entiende nada de certificaciones para saber si es seguro colocar en algun sitio de estos los datos de la tarjeta.
Ingrese a un sitio conocido, que sepa que cuenta con protección de datos, lo primero que observará es en la línea de abajo, en el browser de Windows, hay un dibujo pequeño de un ojo con un círculo rojo tachado. Si posiciona el Mouse encima, verá que dice: información de privacidad. Esto es uno de los indicadores que el sitio cuenta con mecanismos de protección de datos.
Si se registra en el sitio, y realiza una compra, al momento de colocar los datos, observará un candadito en la barra de indicación del Browser.
El candadito indica que el sitio cuenta con un sistema de protección llamado SSL (Secure Socket Layer), el sistema más popular de cifrado de datos.
Ingrese a un sitio conocido, que sepa que cuenta con protección de datos, lo primero que observará es en la línea de abajo, en el browser de Windows, hay un dibujo pequeño de un ojo con un círculo rojo tachado. Si posiciona el Mouse encima, verá que dice: información de privacidad. Esto es uno de los indicadores que el sitio cuenta con mecanismos de protección de datos.
Si se registra en el sitio, y realiza una compra, al momento de colocar los datos, observará un candadito en la barra de indicación del Browser.
El candadito indica que el sitio cuenta con un sistema de protección llamado SSL (Secure Socket Layer), el sistema más popular de cifrado de datos.
Que mas Pueden hacer para aplicarme esta modalidad de estafa?? Bueno Si usted maneja cuentas de dinero virtual, y hay algun sujeto que esta enterado, el se creara un objetivo si es conocedor de todo esto, el objetivo sera obtener sus datos eso depende de lo que usted tenga y de los servicios contratados y datos que posea en su cuenta.
Por lo tanto cuidado con Mensajes de correo electrónico en su bandeja de entrada, que anuncien alguno de los servicios que usted a contratado mediante tarjeta de crédito en Internet.
Le pueden Aplicar estafa mediante algun xploit donde usted puede ir a un scam y loguearse y regalar sus datos al sujeto.
Para esto debe contra con proteccion anti-phishing siempre en su computadora, por si no es un gran conocedor de seguridad informatica.
A la hora de ingresar a paginas de internet donde usted desea hacer alguna compra en linea o contratar algun servicio, o digamos desea que desea revisar su cuenta de dinero virtual.
Tenga presente que la pagina esta certificada, y es segura para proceder con los datos.
De que forma detectar? Pues Facil en la barra de direcciones en lugar de http, debe decir https y utilice navegadores mas seguros como Firefox y Google Chrome.
Suscribirse a:
Entradas (Atom)