¿Deseas hackear? Mac OS X Lion y LDAP te lo permiten

Lion - Supergatito!

Mac OSX Lion es el último grito de la moda en los usuarios de computadoras Apple Mac y por supuesto, es un sistema operativo con una gran cantidad de features nuevas utilidades pero la explotación de bugs de forma totalmente “legal” se lleva la corona.

Recientemente se descubrió un bug en el protocolo de autenticación LDAP que permite a los usuarios del flamante Mac OSX Lion hacer uso de cualquier recurso o servicio en la red sin la necesidad de proporcionar una contraseña válida.

Estos informes ya datan de hace un par de meses y se esperaba que la actualización de Mac OSX 10.7 a la 10.7.1 solucionara este problema. No lo hizo.

Ya han habido un sinfín de reportes de este problema y sin embargo, la empresa de Cuppertino no ha hecho nada por solucionarlo y al día de hoy no se tienen mas novedades al respecto.

¿Soy vulnerable?
¡Por supuesto que si! Siempre y cuando seas usuario de cualquier sistema operativo que no sea Mac OSX Lion ya que los malditos Apple Fan Boys no son los afectados por este bug sino todo lo contrario. Pueden hacer uso ilimitado de los recursos de cualquier red sin poseer la clave para el mismo. EN TU CARA LINUX!

Esto no significa que podrás colgarte de redes wireless sin tener la clave. Pero una vez que estés en una red, podrás acceder a carpetas compartidas, impresoras y cualquier recurso de red simplemente con poner cualquier clave en caso que nos la solicite.

Sistema de protección de juegos PSN para PS3 HACKEADO

Gatito PS3

Si, bueno. Parece que no fue tan difícil después de todo ya que un grupo de personitas sin nada que hacer han logrado lo que todos esperábamos y deseábamos con ansias, crackear PSN para PS3. De esta manera, podremos jugar juegos en la PSN (Play Station Network) sin problemas por mas que tengamos un custom firmware.

Este primer paso podría indicar la dirección correcta para que en un futuro cercano se puedan desbloquear juegos PSN ya descargados que perdieron su activación en PS3. En palabras de Duplex (el grupo que logró el crackeo):

Dado que ningún grupo de la scene lo ha conseguido todavía, pensamos que era hora de trabajar en algunos juegos PSN para dar a todo el mundo algo para lo que jugar en CFW 3.55. Los archivos .ELF completamente descrifrados se incluyen como prueba y por supuesto para fines educativos”.

Las instrucciones podemos verlas en: http://www.ps3iso.com/showthread.php?p=431716#post431716

¿Cómo hackear el PSN para PS3?
1.) Copiar los archivos en un dispositivo usb/hdd formateado en FAT32
2.) Instalar el juego *DUPLEX.*.Install.pkg
3.) Instalar el parche*DUPLEX.*.Patch.vX.XX.pkg Si es que lo tiene
4.) Instalar crack *DUPLEX.*.Crack.pkg
5.) Jugar y meterle el dedo en el culo a Sony.

Los juegos que han liberado son los siguientes, nada menos que 29

  • Limbo PSN PS3-DUPLEX
  • Castle.Crashers.PSN.PS3-DUPLEX
  • Costume.Quest.PSN.PS3-DUPLEX
  • Beyond.Good.and.Evil.HD.PSN.PS3-DUPLEX
  • Ricochet.HD.PSN.PS3-DUPLEX
  • Plants.vs.Zombies.PSN.PS3-DUPLEX
  • Galaga.Legions.DX.PSN.PS3-DUPLEX
  • Dream.Chronicles.PSN.PS3-DUPLEX
  • Deadliest.Warrior.The.Game.PSN.PS3-DUPLEX
  • Deadliest.Warrior.Legends.PSN.PS3-DUPLEX
  • Marvel.vs.Capcom.2.PSN.PS3-DUPLEX
  • Earthworm.Jim.HD.PSN.PS3-DUPLEX
  • PacMan.Championship.Edition.DX.PSN.PS3-DUPLEX
  • Critter.Crunch.PSN.PS3-DUPLEX
  • Bomberman.Ultra.PSN.PS3-DUPLEX
  • BloodRayne.Betrayal.PSN.PS3-DUPLEX
  • Alien.Breed.3.Descent.PSN.PS3-DUPLEX
  • Blast.Factor.PSN.PS3-DUPLEX
  • Bejeweled.2.PSN.PS3-DUPLEX (Esta porquería está para PS3?!)
  • Alien.Breed.Impact.PSN.PS3-DUPLEX
  • Alien.Breed.2.Assault.PSN.PS3-DUPLEX
  • Spare.Parts.PSN.PS3-DUPLEX
  • Puzzelgeddon.PSN.PS3-DUPLEX
  • UNO.PSN.PS3-DUPLEX
  • Super.Stardust.HD.PSN.PS3-DUPLEX
  • Sonic.The.Hedgehog.4.Episode.1.PSN.PS3-DUPLEX
  • Savage.Moon.PSN.PS3-DUPLEX
  • Watchmen.The.End.is.Nigh.Part.1.PSN.PS3-DUPLEX
  • Watchmen.The.End.is.Nigh.Part.2.PSN.PS3-DUPLEX
  • Nada mal…
    Y por cierto, a algunos le interesará cómo hacer jailbreak a PS3 e instalar Homebrew Para el firmware 3.55

    Cómo desarmar una bomba nuclear con MS/Excel

    En las películas solemos ver impresionantes maniobras en el teclado con interminables golpes a las teclas y extraños códigos que aparecen en la pantalla. A veces vemos al “hacker” o técnico tecleando sin parar mientras que la pantalla se mantiene simplemente haciendo un zoom a una imagen. Es decir…Presionen CONTROL y la tecla +.

    En el siguiente video vemos a un informático del FBI desactivando una bomba nuclear armado solamente con una planilla de cálculos y una Macbook :|

    Presten atención a las letras en la planilla de cálculos…
    Agente del FBI: DONT WORRY? I GOT THIS y en la planilla podemos ver que en cada celda está escrito hghghgh ghyuj fgrtgrtgt.

    Con razón es tan importante aprender a trabajar con planillas de cálculo. Ahora, voy a revisar en mis planillas de cálculo a ver si encuentro la opción “Nuclear bomb deactivation” aunque debe ser alguna fórmula con tablas dinámicas o macros. Es por esto que Libre Office nunca va a superar a Microsoft Excel. Con Excel podemos salvar al mundo (?).

    Ah! Como dato adicional, esto puede verse en la película Unthinkable (Impensable) la cual trata de un interrogador del FBI (Samuel L. Jackson) y su equipo, que andan a la caza y captura de un grupo terrorista que quiere hacer detonar unas bombas nucleares en Estados Unidos. La película hace honor a su nombre en esta escena…Impensable.

    Metal Gear: El Gobierno estadounidense y su pasión por controlar las redes sociales

    Gatito Interneteando

    El grupo de Hacktivismo Anonymus desplegó un sinfín de dudas luego de haber destapado la olla gubernamental estadounidense con un supuesto proyecto orientado al control masivo de las redes sociales en Internet con el fin de construir identidades falsas para difundir propaganda. El software de la compañía californiana NTrepid para “gestión de imagen en línea” sería la base utilizada, en una técnica que se estaría utilizando ya en Irak y Afganistán.

    El grupo de hacktivismo internacional Anonymous ha revelado un proyecto de control de redes sociales implantado por el ejército estadounidense con el objetivo de manipular las mismas. La intención de Metal Gear es la creación de identidades falsas para intentar influenciar a voluntad en redes sociales o foros de opinión mediante perfiles aparentemente legítimos y con más credibilidad que los oficiales.

    Claro que, no hay militares suficientes en el mundo para controlar Internet y aquí es donde entraría en juego el software de la compañía NTrepid que lo realizaría masivamente.

    “Una operación de espionaje y manipulación de medios de comunicación en Internet para influir en conversaciones y difundir propaganda pro-estadounidense” según The Guardian realmente preocupante, aunque desde medios de inteligencia estadounidense aseguran que el sistema “no apunta” a Estados Unidos o países occidentales ni específicamente a medios de “gran consumo” como Facebook o Twitter.

    No creo que este tipo de noticias sorprendan a demasiados internautas teniendo en cuenta que el control de Internet ha sido calificado como “el campo de batalla del siglo XXI”.

    iPhone 4 ya no es seguro; Hackeado

    Gatitos hackeando iPhone

    En el pwn2own, parte de la conferencia de seguridad en CanSecWest de Vancouver y luego del el hackeo de los navegadores web Safari e Internet Explorer, toca el turno de los smartphones.

    El primero en caer ha sido el iPhone 4 a manos de un conocido en estas lides, el hacker Charlie Miller especializado en reventar la seguridad en terminales con iOS como demostró en 2007 y 2009 con las distintas versiones del iPhone que Apple ha ido comercializando.

    Para hackear el iPhone 4 Miller empleó una vulnerabilidad de la versión móvil del navegador web Safari incluído en el smartphone y desde ahí logró eludir el sistema de seguridad (Data Execution Prevention) del iOS para obtener acceso a los contactos de usuarios.

    El iPhone 4 ejecutaba iOS 4.2.1 y Miller indicó que la vulnerabilidad persiste en la última versión del sistema iOS 4.3, aunque el hacker explicó que su exploit fallaría en esa versión por la capa de seguridad ASLR (Address Space Layout Randomization) implementada por Apple en la última versión del firmware.

    Tras el iPhone 4, esperan el reto una BlackBerry con RIM OS, el Samsung Nexus S con Android y el Dell Venue Pro 7 con Windows Phone 7. Para esta última plataforma estaba previsto un exploit preparado por otro conocido hacker, GeoHot, aunque parece que al final no aparecerá concentrado en la demanda de Sony por ser uno de los que contribuyeron al hackeo de la PS3.

    Intento de hackeo a ElPlog.com

    Ya son innumerables la cantidad de veces que alguien ha intentado bajar este blog y al parecer, anoche un grupete de yanquis con quienes tuve una pelea en un servidor de IRC lograron acceder a una de mis cuentas de email secundario a través del panel de control de este sitio.

    Por suerte el RedNeckGroup como se hacen llamar, no tuvieron todas las luces prendidas a la hora de atacar mi servidor y solo lograron acceder a algunos datos sin importancia; historiales de conversación de MSN y claves de sitios web poco relevantes para mí.

    De los datos que pudieran haberme robado en represalias al ataque que yo mismo le hice a su foro SMF 1.1.2 (LOL!!!) y su blog (lleno de SQL injections por ser una versión vieja de Drupal) solo se conformaron con unos pocos archivos sin importancia. Lo bueno es que no borraron nada.

    La pelea comenzó cuando ingresé al canal #LinxSteria de Dalnet y luego de saludar con un “Greets from Argentina” recibí una serie de ataques verbales relacionados a nuestras Islas Malvinas por parte de un grupete de ubunteros denominado RedNeckGroup. El mismo grupo se encargó de acceder a algunas cuentas de email que suelo utilizar como backup de historiales de conversación, almacenar algunas imágenes y claves sin importancia. Cuentas usadas últimamente para llevar un registro de los negocios que solía hacer con mi blog.

    Tengo entendido que mediante este extraño intento de hackeo hacia mí, uno de mis amigos fue afectado en sus cuentas de email, un par de blogs y su paypal aunque ya ha recuperado todo.

    En fin, un recordatorio de que a veces, por mas que sepamos, siempre habrá alguien que sepa mas que nosotros :|

    Actualización: Al parecer, estos yanquis recibieron la ayuda de otro grupete de hackercitos de cartón de Buenos Aires quienes estuvieron relacionados con el hackeo a Taringa hace unos meses atrás. Un tal Ricota y kNet quienes hicieron un flood a varios foros de amigos míos utilizando un proxy y mi número de IP, el cual obtuvieron obviamente a través del IRC.

    Llevo años sin indagar mucho en seguridad informática. Al parecer aún puedo hacer ciertas cosas pero he perdido el toque en asuntos mas importantes como asegurarme a mí mismo :(

    Cuidado con los avisos falsos en Facebook

    Si existe algo que no soportamos desde el inicio de la Internet y de hecho, desde el inicio mismo de la correspondencia convencional, es el correo basura y desgraciadamente una red social tan importante como Facebook es cómplice de tal DELITO.

    Esta tarde, mientras navegaba la red social de Mark Zuckerberg encontré un anuncio bastante particular y que me llamó la atención. No por la oferta sino mas bien por lo raro de esta. El anuncio es el que vemos en la imagen a continuación:


    El aviso como vemos en la imagen nos publicita la posibilidad de ingresar a un sitio web y obtener muestras gratuitas de algún producto de una o varias marcas reconocidas pero sin embargo, al hacer click en el anuncio obtenemos el siguiente resultado (En Argentina):

    Lo que vemos allí es una simple web de ofertas regionales. Es decir que el sistema de Facebook individualiza a cada miembro para ofrecer un sitio web de descuentos conforme al país al que pertenece.

    Debajo del anuncio de la primer imagen vemos una URL (dirección de Internet) que nos debería llevar al sitio original de esta extraña oferta en donde algunas marcas prometen entregar muestras gratuitas de sus productos, sin embargo, al tipear esta dirección en nuestros navegadores nos encontramos con un cuadro similar al siguiente:

    Casi lo mismo que antes pero con la posibilidad de elegir ofertas dentro de los Estados Unidos y en un sitio con la misma URL aunque con (obviamente) diferente promoción a la que nos brindaron en Facebook.

    Entonces, debemos ser cautelosos con los anuncios a los que hagamos click en la red social Facebook ya que por lo visto, la gente de la misma no se toma dos minutos para revisar si el anuncio es real o no y corremos el riesgo de ingresar a un sitio web que nos pueda tomar por sorpresa y quedarse con algunos de nuestros datos personales. Después de todo, es la mejor manera de capturar información ajena, utilizando medios confiables como el correo electrónico o las cuentas de redes sociales para esparcir spam, virus o capturar información sensible de usuarios como nombres, apellidos, correos, teléfonos y luego venderlas al mejor postor.

    Existen industrias especializadas en el spam que cobran fortunas por bases de datos de correos electrónicos o cuentas de redes sociales a fines de promocionar productos de terceros y lo peor es que existen empresas importantes como Samsung que compran estas bases de datos para autopromocionarse.

    Consejo
    No hacer click en los anuncios de Facebook o redes sociales varias. Tampoco ingresar directamente desde el correo electrónico ya que esto permite a un atacante infiltrar código malicioso a través de la captura de datos por medio de un click. Si tenemos curiosidad del anuncio, solo debemos hacerle click con el botón derecho/Copiar enlace y pegarlo en una nuevsa ventana o pestaña de nuestro navegador para ingresar directamente. De esta manera el sistema de captura de datos (generalmente un bug XSS) no podrá tomar tu información personal.

    Recordemos que Facebook toma provecho económico de estos anuncios así que no les importará la seguridad de sus usuarios mientras pueda tomar de ello una buena porción. También el mismo Mark Zuckerberg y la propia red social Facebook poseen varias denuncias por violación a la privacidad por lo que, lo que menos podemos esperar, es que resguarden nuestros datos.

    Hagan como yo, no brinden datos reales que puedan afectar a la sensibilidad de sus datos

    Paypal cancela cuenta a Wikileaks

    Gatito Wikileaks

    Paypal, Inc empresa multinacional y líder en transferencias de dinero vía internet ha cerrado de la cuenta de la organización Wikileaks por considerar que con los fondos de esta se apoyaba y realizaban actividades ilegales.

    Para Wikileaks ya nada volvera a ser igual desde que difundió miles de documentos con información confidencial de Estados Unidos y otros países, lamentablemente el imperialismo que ejerce Estados Unidos sobre el mundo ha hecho que empresas como Amazon hayan cortado servicios y relaciones con Wikileaks asi como su proveedor de DNS quien también les corto el servicio, y para rematar ahora Paypal les cierra la cuenta pero afortunadamente Wikileaks no se queda sin financiamiento pues aun conservan otras formas para obtener ingresos.

    Desafortunadamente Wikileaks teme además que pueda continuar sufriendo ataques por parte de hackers contratados por los diversos gobiernos a los que ha dejado expuestos o que directamente sea atacado por ellos; también vale decir que su fundador Julian Assange esta siendo perseguido por la justicia internacional por supuestos cargos de abuso sexual. Cargos probablemente falsos ya que, como no le han podido inculpar de ningún delito al estar frente a la organización Wikileaks han buscado una forma de desprestigiarlo y meterlo a la cárcel. Desde su inicio Wikileaks siempre ha abogado por la neutralidad en la web así como también busca revelar la verdad que muchos de nosotros no conocemos por medio de la filtración de miles de documentos secretos y clasificados de diversos gobiernos del mundo.

    Las diversas denegaciones de servicio a las cuales se ha enfrentado son dolorosas pues ponen en evidencia como la red es controlada por unos cuantos y como Estados Unidos puede hacer que un movimiento a favor de la verdad este en aprietos.

    Esperemos que Wikileaks no siga siendo blanco de más ataques y bloqueos por parte de gobiernos de otros países, ya que gracias a organizaciones como esta nos hemos enterado de cosas que de ninguna otra forma hubieran salido a la luz aunque estoy en bastante desacuerdo con ciertos métodos típicamente ultra socialistas de izquierda que utilizan pero sin embargo debemos reconocer el trabajo de la web.