martes, 26 de octubre de 2010

Hackear Facebook es cosa de niños

Disparen a la oveja o Firesheep

Firesheep es un plug in diseñado por Eric Butler para Firefox que automatiza todo el proceso, y que brinda a cualquiera la posibilidad de hackear una cuenta Facebook.

El mismo eRIC EN SU SITIO NOS LO DESCRIBE

"Firesheep
When logging into a website you usually start by submitting your username and password. The server then checks to see if an account matching this information exists and if so, replies back to you with a "cookie" which is used by your browser for all subsequent requests.
It's extremely common for websites to protect your password by encrypting the initial login, but surprisingly uncommon for websites to encrypt everything else. This leaves the cookie (and the user) vulnerable. HTTP session hijacking (sometimes called "sidejacking") is when an attacker gets a hold of a user's cookie, allowing them to do anything the user can do on a particular website. On an open wireless network, cookies are basically shouted through the air, making these attacks extremely easy.

This is a widely known problem that has been talked about to death, yet very popular websites continue to fail at protecting their users. The only effective fix for this problem is full end-to-end encryption, known on the web as HTTPS or SSL. Facebook is constantly rolling out new "privacy" features in an endless attempt to quell the screams of unhappy users, but what's the point when someone can just take over an account entirely? Twitter forced all third party developers to use OAuth then immediately released (and promoted) a new version of their insecure website. When it comes to user privacy, SSL is the elephant in the room.

Today at Toorcon 12 I announced the release of Firesheep, a Firefox extension designed to demonstrate just how serious this problem is.

After installing the extension you'll see a new sidebar. Connect to any busy open wifi network and click the big "Start Capturing" button. Then wait.

As soon as anyone on the network visits an insecure website known to Firesheep, their name and photo will be displayed:



Double-click on someone, and you're instantly logged in as them.

That's it.

Firesheep is free, open source, and is available now for Mac OS X and Windows. Linux support is on the way.

Websites have a responsibility to protect the people who depend on their services. They've been ignoring this responsibility for too long, and it's time for everyone to demand a more secure web. My hope is that Firesheep will help the users win."

Lo único que hace falta es instalar el plugin, conectarse a una red WiFi y esperar que algún desprevenido usuario use la misma red para conectarse a Facebook.

No deberíamos usar servicios que no sean estrictamente HTTPS cuando usamos un WiFI público.

Firesheep es gratuito, open source, y funciona en todo sistema donde funcione Firefox. En Windows hace falta tener instaladas las librerías Winpcap para capturar el tráfico WiFi

http://codebutler.com/firesheep

Comentario:Me quedo con la reflexion de Eric "Los sitios web tienen la responsabilidad de proteger a las personas que dependen de su servicio. Esta responsabilidad ha sido ignorada por mucho tiempo, y ha llegado la hora de que todos demandemos una web mejor y mas segura. Mi esperanza es que "Disparemos a la Oveja" ayude a los usuarios a ganar"

lunes, 25 de octubre de 2010

¿QUE ES LA FOCA? ¿WHAT THE FUCK IS "LA FOCA"?

FOCA es una herramienta para encontrar Metadatos e información oculta en documentos de Microsoft Office y Metadatos e información oculta en documentos Open Office más el trabajo de metadatos e información oculta en documentos PDF.-

http://www.informatica64.com/DownloadFOCA/


La foca hace Google Hacking para descubrir los archivos ofimáticos que tiene un dominio, los descarga masivamente, les extrae los metadatos, organiza los datos y nos muestra la siguiente información:

◦Nombres de usuarios del sistema
◦Rutas de archivos
◦Versión del Software utilizado
◦Correos electrónicos encontrados
◦Fechas de Creación, Modificación e Impresión de los documentos.
◦Sistema operativo desde donde crearon el documento
◦Nombre de las impresoras utilizadas
◦Permite descubrir subdominios y mapear la red de la organización
◦Nombres e IPs descubiertos en Metadatos
◦Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o
API]
◦Búsqueda de registros Well-Known en servidor DNS
◦Búsqueda de nombres comunes en servidor DNS
◦Búsqueda de IPs con resolución DNS
◦Búsqueda de nombres de dominio con BingSearch ip
◦Búsqueda de nombres con PTR Scanning del segmento de red con DNS interno
◦Transferencia de Zonas
◦Entre otras muchas cosas…


Proximo training de Chema.-
En este training que impartirá Chema Alonso online, podrás conocer las novedades de la nueva versión de FOCA. Todos los asistentes recibirán gratis una versión de FOCA PRO con todas las novedades.

Agenda:

◦Metadata Analysis
◦DNS Search Algorithm
◦Software Recognitions
◦The New Role View
◦DNS Cache Snooping automatic detection
◦FOCA integration with Burp Suite & Evilgrade

El coste del seminario es de 100 € (Impuestos no incluidos)
Training en Español: Martes, 16 de Noviembre de 2010 en horario 14:00 a 17:00 UTC (16:00 a 19:00 hora local en Madrid)

Para registrarse, por favor, envíe el siguiente fichero con los datos
solicitados a registro@informatica64.com


MAS INFO
http://www.informatica64.com/DownloadFOCA/trainings.aspx#

MANUAL DE USUARIO
http://www.elladodelmal.com/2009/04/foca-manual-de-usuario-i-de-iv.html


Comentarios: 100 € x 5 = $. ¡Uf! sera para la proxima.-

jueves, 14 de octubre de 2010

Operacion Payback - Anonymous

Actualmente se está gestando un acuerdo llamado ACTA (Anti-Counterfeiting Trade Agreement, o Tratado de Comercio contra la Falsificación) para acabar con la “piratería” y regularizar Internet al gusto de gobiernos de todo el mundo y sus respectivos lobbys.

Declaraciones de personal con poder, empresas proveedoras de ADSL con servicios pésimos, bajas velocidades, precios abusivos, y negociaciones beneficiosas para industrias obsoletas, están despertando la ira de la comunidad internauta a nivel mundial.

Asociaciones de Internautas, asociaciones de consumidores, grandes empresas, y millones de usuarios ya llevamos demasiado tiempo luchando para que los de arriba “se renueven”, pero, hablando de cara y por las buenas parece que la cosa no funciona, sino todo lo contrario.


Protestas gestadas en la red como el famoso ‘Operation Payback’ (Operación Venganza), ya se han ejecutado con éxito, tumbando las páginas web de la RIAA (Asociación Americana de la Industria Musical), MPAA (Asociación Americana Cinematográfica) y ahora ha sido el turno de las españolas SGAE (Sociedad General de Autores y Editores), Promusicae (Productores de Música en España) y finalmente la web del Ministerio de Cultura.

Los gobiernos tienen un problema, y es que Internet, tal y como lo conocemos es “libre”. Personalmente creo que las comunicaciones, han cambiado más en los últimos 10 años que en los 40 anteriores, y parece que eso asusta a algunos.

Para proteger los derechos de propiedad intelectual de unos pocos, pretenden limitar las conexiones de todos los usuarios. Limitar…. La palabra “Limitar” no deberá existir dentro de este contexto en un país donde la infraestructura actual permite (de media) como máximo tener un ADSL de 3Mb en una gran ciudad como es Barcelona.

Es evidente que Internet está cambiando el mundo, para bien. Las pérdidas en algunas empresas con sectores arraigados en lo “físico” están quedando desplazados en favor de lo “virtual”, y hay que aceptarlo, asumirlo y adaptarse de una vez por todas. De lo contrario las protestas cada vez serán mayores y más agresivas.


Texto extraido de una entrevista a Anonymous el grupo detras de la Operacion Payback

"Luis Corrons, del blog Pandalabs, publicó una entrevista con uno de los atacantes que aquí reponemos.
P: ¿Qué es Anonymous?
R: Simplemente es una descripción de lo que somos. Anonymous no es una organización con una jerarquía y líderes. Nos consideramos anarquistas. Estamos formados por gente de todo tipo. En resumen, somos un grupo de gente tremendamente motivada para hacer todo lo que esté en nuestra mano para responder ante aquello que consideramos moralmente cuestionable.
P: ¿Cual es su misión actual?
R: Luchar contra el lobby anti-piratería. Recientemente ha habido un aumento enorme de los ataques a la libertad personal en Internet promovidos por este grupo. Fíjate en la Ley de Economía Digital del Reino Unido y la normativa europea de los “tres avisos”. Ambas iniciativas amenazan con cerrar las conexiones a Internet de los usuarios basándose en acusaciones de la industria musical y cinematográfica. En Estados Unidos se acaba de presentar un proyecto de ley que podría permitirle al gobierno norteamericano obligar a registradores de dominio de nivel superior como ICANN y Nominet a cerrar sitios Web sin NINGÚN tipo de juicio justo. ¡Se te declara culpable antes de demostrar si lo eres o no! Nuestras tácticas se inspiran en las de la gente que nos ha provocado: AiPlex Software. Hace unas cuantas semanas admitieron haber atacado sitios de intercambio de ficheros mediante ataques de denegación de servicio.
Recomendamos leer nuestra declaración oficial aquí.
P: ¿Están a favor de la piratería?
R: Sí. Se trata del siguiente paso en la revolución cultural de la información compartida. Imagínatelo como el comienzo de una nueva era de la información; el inicio de una auténtica “igualdad de oportunidades”, en la que no importa la riqueza o capacidad de cada uno. Yo mismo nunca hubiera llegado a dónde estoy ahora mismo sin los libros que he pirateado. ¡No me los podía permitir!
P: ¿Qué sitios han atacado?
R: Las Asociaciones Americanas de la Industria Musical y Cinematográfica [MPAA y RIAA], la Industria Fonográfica Británica [BPI], la Federación Australiana contra el Robo del Derecho de Autor [AFACT] , la Asociación Holandesa para la Protección de los Derechos de la Industria del Entretenimiento [BREIN], ACS:Law, Aiplex, Websheriff, y Dglegal.
P: Su declaración original decía que se utilizarían “redes de bots” en el ataque. ¿Alguno de ustedes se beneficia económicamente de ciber-delitos?
R: Eso depende de si empleas la definición de ‘criminal informático’ que utiliza el lobby anti-piratería. Para serte claro no aprobamos la obtención de beneficios económicos a partir de redes de bots o de malware; pero la gran mayoría de lo que constituye un ciber-delito es algo tan sencillo como descargarte tu canción favorita en lugar de pagar un precio ridículo por la misma (un precio del que el artista sólo se queda con un porcentaje mínimo).
P: ¿Cuánto tiempo va a durar el ataque?
R: No hay un plazo fijado. Seguiremos con él hasta que se nos pase el enfado.
P: ¿Están dispuestos a ir a la cárcel por esta causa?
R: Sí, pero hemos tomado todas las medidas necesarias para asegurarnos de que nuestro anonimato permanece intacto. Es más, ¿por qué no se le hace esa pregunta a la gente que contrató a Aiplex para atacarnos?
P: Si pudieras resolver esta situación, ¿qué te gustaría que hicieran los organismos audiovisuales mundiales?
R: Personalmente, me gustaría que desaparecieran de una puta vez. Que eliminasen todas esas leyes brutales que han promovido. Que tratasen a las personas como PERSONAS en vez de como criminales. Tienen que cambiar esa concepción tan anticuada y tradicional que tienen de la que las leyes sobre los derechos de propiedad intelectual sólo pueden ser aplicadas por empresas ricas y poderosas. Eso ya no resulta válido en la era de Internet, la Era de la Información.
Los artistas controlados por la industria audiovisual tienen muy poca voz sobre los contenidos que producen y sólo obtienen un porcentaje mínimo de los beneficios. Esto es evidente, como lo demuestra el hecho de que muchos artistas se han apartado del control de la industria. Ahí están los ejemplos de Nine Inch Nails y Radiohead. Los dos grupos han aceptado la piratería y aún así siguen obteniendo importantes beneficios.
P: ¿Son conscientes de que estos ataques son ilegales en muchos países y de que su grupo podría acarrear problemas legales a gente inocente que apoya su causa?
R: Creo que la mayor parte de gente/participantes es consciente de ese riesgo. En un mundo en el que se ignora nuestra voz, creemos que no nos queda otra opción que la acción directa.
P: Algunas personas ven esto como el futuro de las protestas. ¿Prevés que pueda haber protestas como ésta en el fututo por otras causas?
R: Seguramente. En cuanto a las protestas, espero que el futuro de las protestas sea la ACCIÓN. No el andar en círculos con pancartas inútiles que todo el mundo ignora.

Entrevista con Anonymous

Comentario: Bueno si a algo le llamo pasar de los dichos a los hechos es a esto...

miércoles, 6 de octubre de 2010

Un hacker owneo el web site de el Gobierno de Mendoza !!!

El sitio web de la municipalidad de Malargüe fue atacado cerca de las 12 del mediodía de hoy por un usuario de nickname "Miusi" que, desafiante, colgó un video y un mensaje en la página , que ya fue deshabilitada.

“Ahora este es mi mundo ... El mundo del electrón y el conmutador, la belleza del baudio. Yo hago uso de un servicio que ya existe sin pagar por lo que podría ser barato como el polvo, si no estuviera en manos de glotones hambrientos de ganancias, y ustedes me llaman criminal. Yo exploro... y ustedes me llaman criminal.Yo busco detrás del conocimiento... Y ustedes me llaman criminal. Yo no diferencio el color de piel, ni la nacionalidad, ni la religión... y ustedes me llaman criminal", comienza la carta dejada por el hacker.

"Ustedes nos engañaron, y nos mintieron y trataron de hacernos creer que era por nuestro bien, ahora yo soy criminal. Si soy un criminal mi crimen es la curiosidad. Mi crimen es el juzgar a las personas por lo que dicen y piensan, no por lo que aparentan. Mi crimen es ser más inteligente que ustedes, algo por lo cual nunca me olvidarán. Soy un Hacker, este es mi manifiesto. Ustedes podrán detener este esfuerzo individual pero nunca podrán detener a todos mis compañeros... Después de todo, TODOS SOMOS IGUALES", concluye la misiva.

Tambien había en la web un video llamado "CyberProtest", en el que podían verse imágenes del Gobernador y una serie de frases, entre las cuales destacaba: "Confiamos en vos y así nos pagás".

En una entrevista con Diario Uno, el hacker aseguró: “Tengo acceso total a todas las web del Gobierno. Pero no quiero hacer más daño, tengo miedo de ir preso por una estupidez”.


comentario: Miusi muy lindo tu manifesto me hizo acordar mucho al manifesto hecho By The Menthor allí por el año 1986 para ser mas exacto el 8 de Enero de 1986, que reza así:
Loyd Blankenship - "The Menthor" - Gran bebedor de cervezas se ve que es, como debe ser. --


"Another one got caught today, it's all over the papers. "Teenager Arrested in Computer Crime Scandal", "Hacker Arrested after Bank Tampering"...

Damn kids. They're all alike.

But did you, in your three-piece psychology and 1950's technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him?

I am a hacker, enter my world...

Mine is a world that begins with school... I'm smarter than most of the other kids, this crap they teach us bores me...

Damn underachiever. They're all alike.

I'm in junior high or high school. I've listened to teachers explain for the fifteenth time how to reduce a fraction. I understand it. "No, Ms. Smith, I didn't show my work. I did it in my head..."

Damn kid. Probably copied it. They're all alike.

I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it's because I screwed it up. Not because it doesn't like me... Or feels threatened by me.. Or thinks I'm a smart ass.. Or doesn't like teaching and shouldn't be here...

Damn kid. All he does is play games. They're all alike.

And then it happened... a door opened to a world... rushing through the phone line like heroin through an addict's veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought... a board is found. "This is it... this is where I belong..." I know everyone here... even if I've never met them, never talked to them, may never hear from them again... I know you all...

Damn kid. Tying up the phone line again. They're all alike...

You bet your ass we're all alike... we've been spoon-fed baby food at school when we hungered for steak... the bits of meat that you did let slip through were pre-chewed and tasteless. We've been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us willing pupils, but those few are like drops of water in the desert.

This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.

Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.

I am a hacker, and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike."

Me quedo con esta frase... "Si , soy un criminal, mi crimen es la curiosidad, mi crimen es juzgar a las personas por lo que dicen y piensan , no por como luzcan. Mi crimen es ser mas inteligente que ti, algo que nunca me vas a perdonar".- Mientras haya hackers en el mundo aun hay esperanzas...saludos