Caída de ElPlog.com

Gatuno de bolsillo...Un backup

Algunos navegantes recurrentes habrán notado que el sitio tenía algunos problemas de carga…De hecho, no cargaba y nos devolvía un error de memoria en PHP excedida. Esto es debido a que Worpdress consume demasiados recursos incluso, mas de los que el VPS podía soportar.

Luego de unos días de tratar de solucionar el problema, decidimos migrarlo a un VPS mas potente y esperamos no continuar con este problema al menos por un tiempo.

El blog creció mucho y muy de golpe. Nos desbordó y es por eso que estamos apuntando a nuevos horizontes hoy en día. Estaremos creando nuevas secciones, probablemente estemos mejorando la calidad del diseño para darle un aspecto mas simple de navegar y seguramente, implementaremos nuevos métodos para convertir este blog en una comunidad.

Estén atentos! :D

¿Deseas hackear? Mac OS X Lion y LDAP te lo permiten

Lion - Supergatito!

Mac OSX Lion es el último grito de la moda en los usuarios de computadoras Apple Mac y por supuesto, es un sistema operativo con una gran cantidad de features nuevas utilidades pero la explotación de bugs de forma totalmente “legal” se lleva la corona.

Recientemente se descubrió un bug en el protocolo de autenticación LDAP que permite a los usuarios del flamante Mac OSX Lion hacer uso de cualquier recurso o servicio en la red sin la necesidad de proporcionar una contraseña válida.

Estos informes ya datan de hace un par de meses y se esperaba que la actualización de Mac OSX 10.7 a la 10.7.1 solucionara este problema. No lo hizo.

Ya han habido un sinfín de reportes de este problema y sin embargo, la empresa de Cuppertino no ha hecho nada por solucionarlo y al día de hoy no se tienen mas novedades al respecto.

¿Soy vulnerable?
¡Por supuesto que si! Siempre y cuando seas usuario de cualquier sistema operativo que no sea Mac OSX Lion ya que los malditos Apple Fan Boys no son los afectados por este bug sino todo lo contrario. Pueden hacer uso ilimitado de los recursos de cualquier red sin poseer la clave para el mismo. EN TU CARA LINUX!

Esto no significa que podrás colgarte de redes wireless sin tener la clave. Pero una vez que estés en una red, podrás acceder a carpetas compartidas, impresoras y cualquier recurso de red simplemente con poner cualquier clave en caso que nos la solicite.

Disculpas a los navegantes; ElPlog.com offline

Gatito FBI

Muchos de los usuarios del sitio habrán notado durante esta tarde un pequeño inconveniente con la navegabilidad del sitio y es que algunos post podían ser vistos pero al entrar al sitio en forma directa, se encontraban con la imagen particular de un sitio web cerrado por órdenes de autoridades estaounidenses.

Aparentemente mi hosting cerró este blog por órdenes del FBI (CHAN!) o vaya uno a saber quien. Es normal que ocurra esto con sitios web que posean algún tipo de contenido que se considere ilegal. En este caso, se centró la atención en dos posts. Uno que contenía una película en descarga directa y otros dos en donde se mostraba cómo hackear un sistema de foros llamado “Crea tu foro” y cómo desfigurar un sitio web con sistemas ODBC.

Por orden del alojamiento, ambos post fueron removidos. Aunque, hecha la ley, hecha la trampa. Igual pueden acceder a ellos sin problema gracias a la magia del HTACCESS.

Lamento si se les ocasionó alguna molestia a los navegantes aunque es probable que los usuarios de Argentina y otros países latinoamericanos no hayan visto el cambio debido a los DNS que se utilizan en la región. En el caso que hayas utilizado los DNS de Google o los de AT&T, habrás notado el cierre temporal.

Gracias a que la gente de Hostgator es muy flexible en su política, solo me pidieron que borre los posts o los mueva de lugar.

La importancia de saber elegir tus passwords

Esto no es una ciencia nueva, ni siquiera es un consejo que debiera estar dándose todo el tiempo aunque por desgracia, es muy normal que las personas posean una misma clave para todo o casi todo los servicios que utilizan ya sea a través de Internet, telefonía o la propia vida financiera.

click para ver en tamaño completo

Que una persona con poca noción de la seguridad informática lo haga, vaya y pase. Pero esta persona es un colega de toda la vida quien me dió varias lecciones de seguridad informática desde que yo era apenas un estudiante de escuela primaria.

Aruel Angel (apodo de mi colega) es un experto en seguridad informática y me ha enseñado muchísimo. Una de sus premisas siempre fue la de utilizar diferentes claves para los servicios que usamos y es así que compartió esta guía para que la publique en el blog. Lo siguiente, fue escrito por él para ElPlog.com;

Elección de claves
Antes que nada debemos revisar la importancia del servicio que estamos usando y asignarle una contraseña, para esto podemos asignar una escala del 1 al 10 en la importancia de los servicios que usemos. Por ejemplo, “Cuenta Bancaria: 10″.
De esta forma, podrán utilizar las típicas claves que usan a menudo. Muchas mujeres tienen la costumbre de usar claves alfanuméricas como “pepito17031974″ o variables similares, muchas de ellas, muy fáciles de adivinar como el número de documento, fechas de nacimiento (el 90% de las mujeres usa una fecha en sus claves) o nombres de personas y mascotas.

Suponiendo que nuestra clave es una fecha, podremos usar nuestra escala de la siguiente manera y con esto, dar un valor agregado a la seguridad de nuestras cuentas.
Escala 1 al 4
Cuentas asociadas a una red social como Facebook, Twitter, Badoo, Tagged, HI5, etcétera; son cuentas de importancia media/baja dado que no almacenan datos importantes como números de tarjetas de crédito, datos financieros o claves de importancia asociada como la de nuestro correo electrónico de cabecera. La importancia del 1 al 4 es según el criterio de quien la use. Clave sugerida: 17031974_UaC_1

Escala 4 al 6
Correo electrónico secundario, cuentas de difusión como Twitter y demás; Esta escala es obviamente tan flexible como la anterior y los ejemplos son solo para darnos una idea. Claro que cada usuario dará la importancia que necesite a sus respectivas cuentas. Clave sugerida: 17031974_Ca6_4

Escala 6 al 8
Subiendo el grado de seguridad en nuestra escala, ya podremos añadir números o caracteres que nos resulten conocidos pero sin perder la noción de nuestra clave original. Esto nos servirá para seleccionar claves mucho mas seguras en el futuro y de paso, agilizar nuestra mente como un ejercicio que nos permita recordar contraseñas cada vez mas complejas. Clave sugerida: 17031974_Sa8_8_15123456 (a esta clave le podemos agregar un número de teléfono).

Escala del 8 al 10
Servicios financieros, datos bancarios, tarjetas de crédito, cuentas de hosting. Cada uno es libre de aplicar estas escalas a su criterio. Por mi parte solo estoy dando ejemplos muy burdos de cómo podrías aplicarla a tu vida cotidiana pero es importante establecer un orden de importancia para resguardar nuestros datos. Clave sugerida: 17031974_Oa10_15123456_torino (y podemos agregar el nombre de nuestra mascota, nuestro domicilio, etcétera).

Una clave extremadamente fuerte y simple de recordar es por ejemplo, nuestra frase de cabecera. Podríamos utilizar las primeras letras de cada palabra de la frase y añadir algún dato extra de nuestra preferencia. Tomemos por ejemplo la famosa frase de Pablo Neruda “Puedo escribir los versos más tristes esta noche” y nos quedaría algo como PELVMTEN y a su vez agregar nuestra fecha de nacimiento junto a nuestra escala; PELVMTEN_17031974_Ca6_4_torino. De esta forma logramos una clave lo suficientemente compleja para que no sea descubierta ni siquiera por los sistemas de brute force que suelen ser usados para romper nuestras contraseñas.

Repito. La escala es apenas un burdo ejemplo. Uno puede aplicar su propia escala siempre y cuando mantenga un orden de importancia respecto a cuan relevantes son los datos que desea proteger.

Un saludo, Aruel Angel

Ya hubo un grave incidente de seguridad aquella vez que Geelbe.com fue hackeado y muchos de sus usuarios tuvieron un problema aún mas importante cuando los “hackers” se dieron cuenta que las claves de Geelbe eran las mismas que utilizaban en otros servicios como redes sociales o cuentas de email.

Espero que esto al menos te sirva como ejemplo para que el día en que seas hackeado, no sea porque fuiste tan animal de usar la misma clave en todo.

iPhone 4 ya no es seguro; Hackeado

Gatitos hackeando iPhone

En el pwn2own, parte de la conferencia de seguridad en CanSecWest de Vancouver y luego del el hackeo de los navegadores web Safari e Internet Explorer, toca el turno de los smartphones.

El primero en caer ha sido el iPhone 4 a manos de un conocido en estas lides, el hacker Charlie Miller especializado en reventar la seguridad en terminales con iOS como demostró en 2007 y 2009 con las distintas versiones del iPhone que Apple ha ido comercializando.

Para hackear el iPhone 4 Miller empleó una vulnerabilidad de la versión móvil del navegador web Safari incluído en el smartphone y desde ahí logró eludir el sistema de seguridad (Data Execution Prevention) del iOS para obtener acceso a los contactos de usuarios.

El iPhone 4 ejecutaba iOS 4.2.1 y Miller indicó que la vulnerabilidad persiste en la última versión del sistema iOS 4.3, aunque el hacker explicó que su exploit fallaría en esa versión por la capa de seguridad ASLR (Address Space Layout Randomization) implementada por Apple en la última versión del firmware.

Tras el iPhone 4, esperan el reto una BlackBerry con RIM OS, el Samsung Nexus S con Android y el Dell Venue Pro 7 con Windows Phone 7. Para esta última plataforma estaba previsto un exploit preparado por otro conocido hacker, GeoHot, aunque parece que al final no aparecerá concentrado en la demanda de Sony por ser uno de los que contribuyeron al hackeo de la PS3.

Keys Nod32 4.0 (usernames y passwords)

El Nod 32 es uno de los antivirus mas utilizados en conjunto con otros como Avast Free Antivirus y AVG Free antivirus.

Visto y considerando que hace tiempo no publico nada de warez, decidí meter estas claves probadas en la versión de Nod 32 4.0 y según quienes las probaron, funciona la gran mayoría. Es cuestión de que pruebes también y me cuentes!

Usernames y Passwords para nod 32 4.0 (Lista renovada hasta 30/03/2011)

Username: EAV-32949450
Password: 4v86jsv28d
Expiry Date: 13.01.2011

Username: EAV-32949604
Password: xpxd3r8848
Expiry Date: 13.01.2011

Username: EAV-32950365
Password: r7tfhda8hp
Expiry Date: 13.01.2011

Username: EAV-32987790
Password: f2mdc8vtkn
Expiry Date: 14.01.2011

Username: EAV-32987796
Password: e7t8thu5dm
Expiry Date: 14.01.2011

Username: EAV-32987865
Password: 6jra3c8kb4
Expiry Date: 14.01.2011

Username: EAV-33011783
Password: u6r7a8ntxs
Expiry Date: 16.01.2011

Username: EAV-33011823
Password: r76djfbhd6
Expiry Date: 16.01.2011

Username: EAV-33011827
Password: 5h6786xvft
Expiry Date: 16.01.2011

Username: EAV-33323360
Password: ju7mk4k7a8
Expiry Date: 27.01.2011

Username: EAV-33324124
Password: nvxmpeksxh
Expiry Date: 27.01.2011

Username: EAV-33154269
Password: vxpxuxmf37
Expiry Date: 21.01.2011

Username: EAV-33154272
Password: esv2pjxdsf
Expiry Date: 21.01.2011

Username: EAV-33232556
Password: 2uhrsbtmbm
Expiry Date: 27.01.2011

Username: EAV-33323360
Password: ju7mk4k7a8
Expiry Date: 27.01.2011

Username: EAV-33324124
Password: nvxmpeksxh
Expiry Date: 27.01.2011

Username: EAV-33324132
Password: cfms6bhh8b
Expiry Date: 27.01.2011

Username: EAV-33392831
Password: fursfb3ekb
Expiry Date: 29.01.2011

Username: EAV-33730761
Password: tamah6xx4f
Expiry Date: 10.02.2011

Username: EAV-33730763
Password: d5ubcsattr
Expiry Date: 10.02.2011

Username: EAV-33730764
Password: 8km37tkc56
Expiry Date: 10.02.2011

Username: EAV-36258017
Password: dj8kvdrmp5
Application version: EAV
Valid until :2011-03-30

Username: EAV-36257472
Password: ma8p7b75r4
Application version: EAV
Valid until :2011-03-30

Username: EAV-36208175
Password: c3pff5mkxk
Application version: EAV
Valid until :2011-03-29

Username: EAV-36210547
Password: 568dcdd6dk
Application version: EAV
Valid until :2011-03-29

Username: EAV-36208123
Password: aje3vdrbf6
Application version: EAV
Valid until :2011-03-29

Username: EAV-36188350
Password: d64rvekstm
Application version: EAV
Valid until :2011-03-28

Username: EAV-36188649
Password: 6c8u3knvm8
Application version: EAV
Valid until :2011-03-28

Username: EAV-36188260
Password: dfkhcjemjk
Application version: EAV
Valid until :2011-03-28

Enjoy! Y no te olvides de comentar y agradecer…no seas un puto leecher.

Virus se disfraza de notificación de Facebook

Facebook y las redes sociales o servicios masivos han sido objeto de ataques desde siempre. Primero eran los scam de Hotmail, Yahoo o Gmail en la era mas moderna y hoy por hoy son los relacionados a Twitter y Facebook entre otros.

Desde hace unos días estuve recibiendo un email extraño con características obviamente sospechosas. El mismo me llamó la atención el primer día debido a su título un tanto convincente: “Your account is blocked”. cuando digo que poseía características obviamente sospechosas me refiero al archivo adjunto que traía. Facebook no va a mediar ningún tipo de explicación detallada en un adjunto, simplemente te dirá que tu cuenta fué suspendida por denuncias, spam o lo que sea y listo. Fin del asunto.

Así que amigos, tengan muchísimo cuidado con este u otros emails similiares como el de DHL o Fedex que intentan hacernos descargar un archivo adjunto infectado con un troyano/virus. Si poseen un buen antivirus que escanee los emails antes de bajarlos podrán tener suerte, sino, simplemente elimínenlos.

Cómo hackear Facebook

Esto me recuerda a los fines de los años ’90 en donde uno de los cáliz sagrados de la informática eran el hackeo a Hotmail o Yahoo. Últimamente este equivalente era Gmail. En fin. Con las redes inalámbricas de hoy en día es posible con sniffers capturar datos que viajan en el aire y obtener información sensible.

Gracias a una extensión de Firefox, esta tarea no es mas difícil que instalar una extensión (plug in) y un par de clicks. En unos pocos instantes tendremos toda la información necesaria para penetrar en cuentas de Facebook y de ahí un salto a otros datos mucho mas sensibles.

El nombre de la extensión con la que podremos lograr este milagro es Firesheep y nos permite ver los datos de los usuarios conectados a redes sociales como Facebook o Twitter e incluso robar su identidad online. Por desgracia, es fácil y rápido lo que podría ser muy peligroso en manos de cualquier novato en el ámbito del pseudo hacking.

Para esta técnica, se aprovecha de redes inalámbricas no seguras, donde las cookies no están encriptadas.

El uso del protocolo SSL para brindar las direcciones HTTPS al momento de logearnos en un sitio web o comenzar a realizar algún tipo de transacción comercial en sitios de compras online es muy común, pero en el resto de la navegación, el protocolo no se utiliza por lo que cualquier persona con algunos conocimientos en redes puede hacerse pasar por nosotros sin demasiados embrollos tan solo compartiendo la misma red Wi-Fi.

El problema
Antes de que a todos se les empiece a hacer agua la boca, les advierto que esta técnica es solamente funcional en redes WLan por lo que será imposible que la apliques a la cuenta de tu novia o tu ex a la cual querés espiar. En ese sentido, tendrás mas suerte pidiéndole la clave con una pistola en la cabeza.

Usuarios de Windows
Los usuarios del sistema operativo de Redmond tendrán que hacer un paso extra para poder ejecutar esta aplicación de FireFox y consiste en instalar el WinpCap antes de ejecutar el plugin que nos permitirá capturar los datos y los pasos son los siguientes:

Descargamos e instalamos WinpCap desde el sitio oficial y una vez finalizado ese paso, procedemos a descargar e instalar la extensión XPI de Firefox que nos proporcionan desde la web de FireSheep.

Cuando comenzamos a utilizar el plugin, solo debemos clickear en el botón START CAPTURE y comenzará a arrojarnos los datos de las personas que se encuentren conectadas a una red social como Facebook o Twitter. Solo debemos seleccionar la de nuestra preferencia y eso será todo. Podremos utilizar esa cuencta como si fuera nuestra.

Ya hemos “hackeado” con esta técnica, cuentas de Flickr, Twitter, Facebook o cualquier otra que no posea un encriptado de cookies efectivo.

Contramedidas
Como contramedidas podríamos destacar que es un factor imporante conectarte a tus cuentas solo si el sitio web posee HTTPS aunque en muchos casos es en vano puesto que cuando nos logeamos en Twitter, obtenemos una navegación bajo SSL con HTTPS sin embargo, FireSheep también asume el poder sobre la red del pajarito sin importar su encriptación.

Creo que como consejo extra podría recomendarte que no revises sitios web en redes públicas que requieran brindar tu clave como redes sociales, sitios bancarios o financieros ni ningún otro servicio que pueda brindar datos relevantes sobre tu persona (email, teléfono, claves de acceso, tarjetas de crédito, domicilio, etcétera). La paranoia ante todo.