Estan invitados a la 5ta edicion de SSHN, evento de Seguridad Informática (Seminario Security Hacking Nea) el cual se realiza todos los años. Esta vez el 19 y 20 de noviembre.Este evento se hace (a pulmón) para las personas en general entre los que se encuentran estudiantes, administradores, empresarios, gobiernos y otros.
Para mayor detalle visitar: www.securityhackingnea.com.ar Habrá concurso de hacking y regalo de libros.
La SSHN (SEMINARIO SECURITY HACKING NEA) nace por iniciativa del señor Pedro Matías Cacivio y el señor Hugo Serrani, en el año 2006 en la ciudad de Resistencia provincia del Chaco Argentina, con el objetivo de dar a conocer a la comunidad los riesgos que se corren en los sistemas informáticos, tanto en empresas, corporaciones, entidades gubernamentales, militares y otros, este evento fue realizado en el salón de la cámara de comercio en dicha ciudad.
En el mismo, el Señor Pedro Cacivio, mostró las principales fallas de seguridad que corrían los sistemas operativos Windows, GNU-Linux y Unix. Mostrando técnicas de ataques avanzado en tiempo real, contra servidores en Internet, explotándose distintos Bugs. Se tocaron temas como auditoria, pentest, investigación de sistemas,
políticas de seguridad, ventajas del uso de software libre orientado a la seguridad, etc. Debido al gran éxito y repercusión que tuvo en el auditorio, el público no se
hizo esperar y en el 2007 se realiza el Segundo evento, en el que además de seguridad Informática se tocaron temas de Software Libre, así como la participación de agrupaciones del medio, como el primer grupo de DB2 (IBM) en el mundo, y alumnos del instituto Instel, con charlas como Cracking en Software, Manejo estructural de Exploit, Seguridad en Redes, Hacking en Telefonía Celular, Principales Fallas de Seguridad en Internet Explorer, Principales fallas de Seguridad en motores de Base de datos SQL, y Administración de Servidores en GNU-Linux para empresas.
Este evento fue declarado de interés provincial así como sus posteriores. En el momento se contaba con un comité organizador, representado por el Sr. Hugo Serrani, Pedro Cacivio, Teresa Olmedo O’Higgins, Horacio Olmedo O’Higgins, y Mariano Lirussi. Nuevamente se realizó en la Cámara de comercio de la ciudad de Resistencia con la concurrencia de 250 personas,quedando el lugar muy chico para tal evento.
Es así que en el 2008 se decide realizar la SSHN3 en homenaje a uno de sus creadores, el señor Hugo Serrani quien hubiera dejado de existir. El mismo fue organizada por Pedro Cacivio, Tereza O’Higgins, Horacio O’Higgins, Alejandro Zapiola, Sebastian del Prado, Cacho Ledesma, Oscar Cáceres y Doris Cacivio, con la colaboración de mucha gente más, y el apoyo del Gobierno del Chaco. El mismo se realizó en las instalaciones de la Casa de Gobierno del Chaco, con una concurrencia de mas de 400 personas de las provincias de Salta, Jujuy, Catamarca, Corrientes, Buenos Aires, Misiones, Formosa, Tucumán, Santiago del Estero, Santa Fe y Chaco .Los expositores fueron de primer nivel, entre los que se encontraron el señor Diego Saravia (creador del primer GNU-Linux en Argentina y el primer sistema 100% GNU), Mauro Torres (creador de GNU-Linux Tuquito y uno de los responsables del proyecto OLPC), Daniel Castro (creador del sistema Interweb GNU), así como la participación de alumnos de Instel & Seguridad los cuales presentaron sus ponencias con el nivel y la altura de la situación. Ya las jornadas se habían extendido a dos días de corrido. En el 2009 se realizaran el cuarto Seminario “SSHE4” siendo su página oficial, www.securityhackingnea.com.ar donde se dieron lugar expertos de seguridad informatica de la republica argentina. Abarcando temas de interes nacional he internacional, que compete tanto a empresas locales como nacionales. Se lograron las espectativas de sus organizadores como de la gente en general.
Cabe destacar que este tipo de eventos es el mas grande de Informatica que se esta realizando en el NEA, no solo por la gran concurrencia con la que cuenta, si no
tambien por los temas relevantes que toca, siendo el grupo organizador el mismo que organizo las flisol (Festival,Latinoamericano de Software Libre) mas grandes de
argentina en los ultimos años, así como jornadas de capacitacion y ciclos de conferencias en el nordeste Argentino.
Fuente: Carlos Tori NNL
miércoles, 10 de noviembre de 2010
sábado, 6 de noviembre de 2010
Yo te honeypoteo, tu me honeypoteas, el se honeypotea, etc
No, no es una referencia sexual, el titulo en realidad hace referencia a una costumbre que estan adoptando ahora los administradores de botnets, para "investigar" a los investigadores valga la redundancia.
Al investigar una pieza de malware relacionados con a la red de robots Zeus, un grupo de investigadores en The Last Line of Defense obtuvo el acceso a un servidor remoto utilizado para auxiliar al control del ataque. Este ataque en particular fue el envío de grandes cantidades de correo no deseado durante el mes de octubre, específicamente a los propietarios de negocios que presentan sus impuestos trimestrales. Conocido como el malware EFTPS, el spam incluye un enlace que envía a las víctimas a un sitio que tiene cargado el troyano Zeus en sus máquinas y luego las envía al sitio real del Departamento del Tesoro de EE.UU: que se encarga de estos pagos.
Pero la parte interesante fue lo que los investigadores encontraron al acceder al servidor back-end: una consola de administración falsa. Muchas, por no decir la mayoría, de las campañas de malware a gran escala ya tienen algún tipo de interfaz de administración en un servidor remoto que permite a los atacantes ingresar y acceder a las estadísticas sobre las infecciones, la distribución geográfica de las computadoras comprometidas y otras métricas. Y los investigadores han podido acceder a estas consolas en varias ocasiones, extrayendo la información importante para saber más sobre los atacantes que esta por detrás del malware y el modo de operar del ataque.
Pero en este caso, aparentemente los atacantes previeron esto y configuraron una interfaz de entrada falsa, con un nombre de usuario y una contraseña débil y una vulnerabilidad simple de inyección SQL. La consola claramente tiene la intención de atraer a los investigadores, y tal vez a otros atacantes, y así permitir al grupo por detrás de EFTPS observar sus movimientos y métodos.
"La interfaz de administración actúa como " honeypot para hackers" que registra la información detallada acerca de quienes intentaron acceder a la consola de administración, así como que trataron de introducirse en él. El sistema de entrada falsos convenientemente acepta fácilmente credenciales predeterminadas y cadenas comunes de inyección SQL . Después de que el investigador / hacker es 'autenticado´, se muestran de forma aleatoria estadísticas de la explotación", dijeron los investigadores en una entrada de blog.
La consola de administración también tiene una característica que permite a los usuarios remotos subir nuevos "robots", una táctica que, evidentemente está diseñada para atraer a otros atacantes para que intente comprometer el servidor para que el equipo EFTPS puede obtener una lectura de lo que están haciendo.
Los investigadores legítimos de seguridad han estado usando los sistemas honeypot desde hace años y se han convertido en una herramienta clave para la recopilación de información sobre nuevas vulnerabilidades, técnicas de ataque y la investigación de redes de robots. El ejemplo más destacado es el Honeynet Project, una red de voluntarios de todo el mundo que mantienen complejos honeypots y publican una gran cantidad de investigaciones sobre lo que recolectan y observan.
Comentarios: Bueno en realidad es una practica que se esta globalizando ya que al igual o tal vez mejor que los investigadores, la comunidad del crimen organizado informatico, esta mejor y mas organizadamente comunicada unos con otros por lo que las novedades para "hacer trampa" se difunden mucho mas rápido que las contramedidas que se puedan tomar.-
Links:
https://honeynet.org/papers/KYT_qebek
http://www.honeynet.org/
http://project.honeynet.org/
Spanish Honeynet Project ---> http://honeynet.org.es/ (esta en inglés!!!!) WTF?
Al investigar una pieza de malware relacionados con a la red de robots Zeus, un grupo de investigadores en The Last Line of Defense obtuvo el acceso a un servidor remoto utilizado para auxiliar al control del ataque. Este ataque en particular fue el envío de grandes cantidades de correo no deseado durante el mes de octubre, específicamente a los propietarios de negocios que presentan sus impuestos trimestrales. Conocido como el malware EFTPS, el spam incluye un enlace que envía a las víctimas a un sitio que tiene cargado el troyano Zeus en sus máquinas y luego las envía al sitio real del Departamento del Tesoro de EE.UU: que se encarga de estos pagos.
Pero la parte interesante fue lo que los investigadores encontraron al acceder al servidor back-end: una consola de administración falsa. Muchas, por no decir la mayoría, de las campañas de malware a gran escala ya tienen algún tipo de interfaz de administración en un servidor remoto que permite a los atacantes ingresar y acceder a las estadísticas sobre las infecciones, la distribución geográfica de las computadoras comprometidas y otras métricas. Y los investigadores han podido acceder a estas consolas en varias ocasiones, extrayendo la información importante para saber más sobre los atacantes que esta por detrás del malware y el modo de operar del ataque.
Pero en este caso, aparentemente los atacantes previeron esto y configuraron una interfaz de entrada falsa, con un nombre de usuario y una contraseña débil y una vulnerabilidad simple de inyección SQL. La consola claramente tiene la intención de atraer a los investigadores, y tal vez a otros atacantes, y así permitir al grupo por detrás de EFTPS observar sus movimientos y métodos.
"La interfaz de administración actúa como " honeypot para hackers" que registra la información detallada acerca de quienes intentaron acceder a la consola de administración, así como que trataron de introducirse en él. El sistema de entrada falsos convenientemente acepta fácilmente credenciales predeterminadas y cadenas comunes de inyección SQL . Después de que el investigador / hacker es 'autenticado´, se muestran de forma aleatoria estadísticas de la explotación", dijeron los investigadores en una entrada de blog.
La consola de administración también tiene una característica que permite a los usuarios remotos subir nuevos "robots", una táctica que, evidentemente está diseñada para atraer a otros atacantes para que intente comprometer el servidor para que el equipo EFTPS puede obtener una lectura de lo que están haciendo.
Los investigadores legítimos de seguridad han estado usando los sistemas honeypot desde hace años y se han convertido en una herramienta clave para la recopilación de información sobre nuevas vulnerabilidades, técnicas de ataque y la investigación de redes de robots. El ejemplo más destacado es el Honeynet Project, una red de voluntarios de todo el mundo que mantienen complejos honeypots y publican una gran cantidad de investigaciones sobre lo que recolectan y observan.
Comentarios: Bueno en realidad es una practica que se esta globalizando ya que al igual o tal vez mejor que los investigadores, la comunidad del crimen organizado informatico, esta mejor y mas organizadamente comunicada unos con otros por lo que las novedades para "hacer trampa" se difunden mucho mas rápido que las contramedidas que se puedan tomar.-
Links:
https://honeynet.org/papers/KYT_qebek
http://www.honeynet.org/
http://project.honeynet.org/
Spanish Honeynet Project ---> http://honeynet.org.es/ (esta en inglés!!!!) WTF?
martes, 26 de octubre de 2010
Hackear Facebook es cosa de niños
Disparen a la oveja o Firesheep
Firesheep es un plug in diseñado por Eric Butler para Firefox que automatiza todo el proceso, y que brinda a cualquiera la posibilidad de hackear una cuenta Facebook.
El mismo eRIC EN SU SITIO NOS LO DESCRIBE
"Firesheep
When logging into a website you usually start by submitting your username and password. The server then checks to see if an account matching this information exists and if so, replies back to you with a "cookie" which is used by your browser for all subsequent requests.
It's extremely common for websites to protect your password by encrypting the initial login, but surprisingly uncommon for websites to encrypt everything else. This leaves the cookie (and the user) vulnerable. HTTP session hijacking (sometimes called "sidejacking") is when an attacker gets a hold of a user's cookie, allowing them to do anything the user can do on a particular website. On an open wireless network, cookies are basically shouted through the air, making these attacks extremely easy.
This is a widely known problem that has been talked about to death, yet very popular websites continue to fail at protecting their users. The only effective fix for this problem is full end-to-end encryption, known on the web as HTTPS or SSL. Facebook is constantly rolling out new "privacy" features in an endless attempt to quell the screams of unhappy users, but what's the point when someone can just take over an account entirely? Twitter forced all third party developers to use OAuth then immediately released (and promoted) a new version of their insecure website. When it comes to user privacy, SSL is the elephant in the room.
Today at Toorcon 12 I announced the release of Firesheep, a Firefox extension designed to demonstrate just how serious this problem is.
After installing the extension you'll see a new sidebar. Connect to any busy open wifi network and click the big "Start Capturing" button. Then wait.
As soon as anyone on the network visits an insecure website known to Firesheep, their name and photo will be displayed:
Double-click on someone, and you're instantly logged in as them.
That's it.
Firesheep is free, open source, and is available now for Mac OS X and Windows. Linux support is on the way.
Websites have a responsibility to protect the people who depend on their services. They've been ignoring this responsibility for too long, and it's time for everyone to demand a more secure web. My hope is that Firesheep will help the users win."
Lo único que hace falta es instalar el plugin, conectarse a una red WiFi y esperar que algún desprevenido usuario use la misma red para conectarse a Facebook.
No deberíamos usar servicios que no sean estrictamente HTTPS cuando usamos un WiFI público.
Firesheep es gratuito, open source, y funciona en todo sistema donde funcione Firefox. En Windows hace falta tener instaladas las librerías Winpcap para capturar el tráfico WiFi
http://codebutler.com/firesheep
Comentario:Me quedo con la reflexion de Eric "Los sitios web tienen la responsabilidad de proteger a las personas que dependen de su servicio. Esta responsabilidad ha sido ignorada por mucho tiempo, y ha llegado la hora de que todos demandemos una web mejor y mas segura. Mi esperanza es que "Disparemos a la Oveja" ayude a los usuarios a ganar"
Firesheep es un plug in diseñado por Eric Butler para Firefox que automatiza todo el proceso, y que brinda a cualquiera la posibilidad de hackear una cuenta Facebook.
El mismo eRIC EN SU SITIO NOS LO DESCRIBE
"Firesheep
When logging into a website you usually start by submitting your username and password. The server then checks to see if an account matching this information exists and if so, replies back to you with a "cookie" which is used by your browser for all subsequent requests.
It's extremely common for websites to protect your password by encrypting the initial login, but surprisingly uncommon for websites to encrypt everything else. This leaves the cookie (and the user) vulnerable. HTTP session hijacking (sometimes called "sidejacking") is when an attacker gets a hold of a user's cookie, allowing them to do anything the user can do on a particular website. On an open wireless network, cookies are basically shouted through the air, making these attacks extremely easy.
This is a widely known problem that has been talked about to death, yet very popular websites continue to fail at protecting their users. The only effective fix for this problem is full end-to-end encryption, known on the web as HTTPS or SSL. Facebook is constantly rolling out new "privacy" features in an endless attempt to quell the screams of unhappy users, but what's the point when someone can just take over an account entirely? Twitter forced all third party developers to use OAuth then immediately released (and promoted) a new version of their insecure website. When it comes to user privacy, SSL is the elephant in the room.
Today at Toorcon 12 I announced the release of Firesheep, a Firefox extension designed to demonstrate just how serious this problem is.
After installing the extension you'll see a new sidebar. Connect to any busy open wifi network and click the big "Start Capturing" button. Then wait.
As soon as anyone on the network visits an insecure website known to Firesheep, their name and photo will be displayed:
Double-click on someone, and you're instantly logged in as them.
That's it.
Firesheep is free, open source, and is available now for Mac OS X and Windows. Linux support is on the way.
Websites have a responsibility to protect the people who depend on their services. They've been ignoring this responsibility for too long, and it's time for everyone to demand a more secure web. My hope is that Firesheep will help the users win."
Lo único que hace falta es instalar el plugin, conectarse a una red WiFi y esperar que algún desprevenido usuario use la misma red para conectarse a Facebook.
No deberíamos usar servicios que no sean estrictamente HTTPS cuando usamos un WiFI público.
Firesheep es gratuito, open source, y funciona en todo sistema donde funcione Firefox. En Windows hace falta tener instaladas las librerías Winpcap para capturar el tráfico WiFi
http://codebutler.com/firesheep
Comentario:Me quedo con la reflexion de Eric "Los sitios web tienen la responsabilidad de proteger a las personas que dependen de su servicio. Esta responsabilidad ha sido ignorada por mucho tiempo, y ha llegado la hora de que todos demandemos una web mejor y mas segura. Mi esperanza es que "Disparemos a la Oveja" ayude a los usuarios a ganar"
lunes, 25 de octubre de 2010
¿QUE ES LA FOCA? ¿WHAT THE FUCK IS "LA FOCA"?
FOCA es una herramienta para encontrar Metadatos e información oculta en documentos de Microsoft Office y Metadatos e información oculta en documentos Open Office más el trabajo de metadatos e información oculta en documentos PDF.-
http://www.informatica64.com/DownloadFOCA/
La foca hace Google Hacking para descubrir los archivos ofimáticos que tiene un dominio, los descarga masivamente, les extrae los metadatos, organiza los datos y nos muestra la siguiente información:
◦Nombres de usuarios del sistema
◦Rutas de archivos
◦Versión del Software utilizado
◦Correos electrónicos encontrados
◦Fechas de Creación, Modificación e Impresión de los documentos.
◦Sistema operativo desde donde crearon el documento
◦Nombre de las impresoras utilizadas
◦Permite descubrir subdominios y mapear la red de la organización
◦Nombres e IPs descubiertos en Metadatos
◦Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o
API]
◦Búsqueda de registros Well-Known en servidor DNS
◦Búsqueda de nombres comunes en servidor DNS
◦Búsqueda de IPs con resolución DNS
◦Búsqueda de nombres de dominio con BingSearch ip
◦Búsqueda de nombres con PTR Scanning del segmento de red con DNS interno
◦Transferencia de Zonas
◦Entre otras muchas cosas…
Proximo training de Chema.-
En este training que impartirá Chema Alonso online, podrás conocer las novedades de la nueva versión de FOCA. Todos los asistentes recibirán gratis una versión de FOCA PRO con todas las novedades.
Agenda:
◦Metadata Analysis
◦DNS Search Algorithm
◦Software Recognitions
◦The New Role View
◦DNS Cache Snooping automatic detection
◦FOCA integration with Burp Suite & Evilgrade
El coste del seminario es de 100 € (Impuestos no incluidos)
Training en Español: Martes, 16 de Noviembre de 2010 en horario 14:00 a 17:00 UTC (16:00 a 19:00 hora local en Madrid)
Para registrarse, por favor, envíe el siguiente fichero con los datos
solicitados a registro@informatica64.com
MAS INFO
http://www.informatica64.com/DownloadFOCA/trainings.aspx#
MANUAL DE USUARIO
http://www.elladodelmal.com/2009/04/foca-manual-de-usuario-i-de-iv.html
Comentarios: 100 € x 5 = $. ¡Uf! sera para la proxima.-
http://www.informatica64.com/DownloadFOCA/
La foca hace Google Hacking para descubrir los archivos ofimáticos que tiene un dominio, los descarga masivamente, les extrae los metadatos, organiza los datos y nos muestra la siguiente información:
◦Nombres de usuarios del sistema
◦Rutas de archivos
◦Versión del Software utilizado
◦Correos electrónicos encontrados
◦Fechas de Creación, Modificación e Impresión de los documentos.
◦Sistema operativo desde donde crearon el documento
◦Nombre de las impresoras utilizadas
◦Permite descubrir subdominios y mapear la red de la organización
◦Nombres e IPs descubiertos en Metadatos
◦Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o
API]
◦Búsqueda de registros Well-Known en servidor DNS
◦Búsqueda de nombres comunes en servidor DNS
◦Búsqueda de IPs con resolución DNS
◦Búsqueda de nombres de dominio con BingSearch ip
◦Búsqueda de nombres con PTR Scanning del segmento de red con DNS interno
◦Transferencia de Zonas
◦Entre otras muchas cosas…
Proximo training de Chema.-
En este training que impartirá Chema Alonso online, podrás conocer las novedades de la nueva versión de FOCA. Todos los asistentes recibirán gratis una versión de FOCA PRO con todas las novedades.
Agenda:
◦Metadata Analysis
◦DNS Search Algorithm
◦Software Recognitions
◦The New Role View
◦DNS Cache Snooping automatic detection
◦FOCA integration with Burp Suite & Evilgrade
El coste del seminario es de 100 € (Impuestos no incluidos)
Training en Español: Martes, 16 de Noviembre de 2010 en horario 14:00 a 17:00 UTC (16:00 a 19:00 hora local en Madrid)
Para registrarse, por favor, envíe el siguiente fichero con los datos
solicitados a registro@informatica64.com
MAS INFO
http://www.informatica64.com/DownloadFOCA/trainings.aspx#
MANUAL DE USUARIO
http://www.elladodelmal.com/2009/04/foca-manual-de-usuario-i-de-iv.html
Comentarios: 100 € x 5 = $. ¡Uf! sera para la proxima.-
jueves, 14 de octubre de 2010
Operacion Payback - Anonymous
Actualmente se está gestando un acuerdo llamado ACTA (Anti-Counterfeiting Trade Agreement, o Tratado de Comercio contra la Falsificación) para acabar con la “piratería” y regularizar Internet al gusto de gobiernos de todo el mundo y sus respectivos lobbys.
Declaraciones de personal con poder, empresas proveedoras de ADSL con servicios pésimos, bajas velocidades, precios abusivos, y negociaciones beneficiosas para industrias obsoletas, están despertando la ira de la comunidad internauta a nivel mundial.
Asociaciones de Internautas, asociaciones de consumidores, grandes empresas, y millones de usuarios ya llevamos demasiado tiempo luchando para que los de arriba “se renueven”, pero, hablando de cara y por las buenas parece que la cosa no funciona, sino todo lo contrario.
Protestas gestadas en la red como el famoso ‘Operation Payback’ (Operación Venganza), ya se han ejecutado con éxito, tumbando las páginas web de la RIAA (Asociación Americana de la Industria Musical), MPAA (Asociación Americana Cinematográfica) y ahora ha sido el turno de las españolas SGAE (Sociedad General de Autores y Editores), Promusicae (Productores de Música en España) y finalmente la web del Ministerio de Cultura.
Los gobiernos tienen un problema, y es que Internet, tal y como lo conocemos es “libre”. Personalmente creo que las comunicaciones, han cambiado más en los últimos 10 años que en los 40 anteriores, y parece que eso asusta a algunos.
Para proteger los derechos de propiedad intelectual de unos pocos, pretenden limitar las conexiones de todos los usuarios. Limitar…. La palabra “Limitar” no deberá existir dentro de este contexto en un país donde la infraestructura actual permite (de media) como máximo tener un ADSL de 3Mb en una gran ciudad como es Barcelona.
Es evidente que Internet está cambiando el mundo, para bien. Las pérdidas en algunas empresas con sectores arraigados en lo “físico” están quedando desplazados en favor de lo “virtual”, y hay que aceptarlo, asumirlo y adaptarse de una vez por todas. De lo contrario las protestas cada vez serán mayores y más agresivas.
Texto extraido de una entrevista a Anonymous el grupo detras de la Operacion Payback
"Luis Corrons, del blog Pandalabs, publicó una entrevista con uno de los atacantes que aquí reponemos.
P: ¿Qué es Anonymous?
R: Simplemente es una descripción de lo que somos. Anonymous no es una organización con una jerarquía y líderes. Nos consideramos anarquistas. Estamos formados por gente de todo tipo. En resumen, somos un grupo de gente tremendamente motivada para hacer todo lo que esté en nuestra mano para responder ante aquello que consideramos moralmente cuestionable.
P: ¿Cual es su misión actual?
R: Luchar contra el lobby anti-piratería. Recientemente ha habido un aumento enorme de los ataques a la libertad personal en Internet promovidos por este grupo. Fíjate en la Ley de Economía Digital del Reino Unido y la normativa europea de los “tres avisos”. Ambas iniciativas amenazan con cerrar las conexiones a Internet de los usuarios basándose en acusaciones de la industria musical y cinematográfica. En Estados Unidos se acaba de presentar un proyecto de ley que podría permitirle al gobierno norteamericano obligar a registradores de dominio de nivel superior como ICANN y Nominet a cerrar sitios Web sin NINGÚN tipo de juicio justo. ¡Se te declara culpable antes de demostrar si lo eres o no! Nuestras tácticas se inspiran en las de la gente que nos ha provocado: AiPlex Software. Hace unas cuantas semanas admitieron haber atacado sitios de intercambio de ficheros mediante ataques de denegación de servicio.
Recomendamos leer nuestra declaración oficial aquí.
P: ¿Están a favor de la piratería?
R: Sí. Se trata del siguiente paso en la revolución cultural de la información compartida. Imagínatelo como el comienzo de una nueva era de la información; el inicio de una auténtica “igualdad de oportunidades”, en la que no importa la riqueza o capacidad de cada uno. Yo mismo nunca hubiera llegado a dónde estoy ahora mismo sin los libros que he pirateado. ¡No me los podía permitir!
P: ¿Qué sitios han atacado?
R: Las Asociaciones Americanas de la Industria Musical y Cinematográfica [MPAA y RIAA], la Industria Fonográfica Británica [BPI], la Federación Australiana contra el Robo del Derecho de Autor [AFACT] , la Asociación Holandesa para la Protección de los Derechos de la Industria del Entretenimiento [BREIN], ACS:Law, Aiplex, Websheriff, y Dglegal.
P: Su declaración original decía que se utilizarían “redes de bots” en el ataque. ¿Alguno de ustedes se beneficia económicamente de ciber-delitos?
R: Eso depende de si empleas la definición de ‘criminal informático’ que utiliza el lobby anti-piratería. Para serte claro no aprobamos la obtención de beneficios económicos a partir de redes de bots o de malware; pero la gran mayoría de lo que constituye un ciber-delito es algo tan sencillo como descargarte tu canción favorita en lugar de pagar un precio ridículo por la misma (un precio del que el artista sólo se queda con un porcentaje mínimo).
P: ¿Cuánto tiempo va a durar el ataque?
R: No hay un plazo fijado. Seguiremos con él hasta que se nos pase el enfado.
P: ¿Están dispuestos a ir a la cárcel por esta causa?
R: Sí, pero hemos tomado todas las medidas necesarias para asegurarnos de que nuestro anonimato permanece intacto. Es más, ¿por qué no se le hace esa pregunta a la gente que contrató a Aiplex para atacarnos?
P: Si pudieras resolver esta situación, ¿qué te gustaría que hicieran los organismos audiovisuales mundiales?
R: Personalmente, me gustaría que desaparecieran de una puta vez. Que eliminasen todas esas leyes brutales que han promovido. Que tratasen a las personas como PERSONAS en vez de como criminales. Tienen que cambiar esa concepción tan anticuada y tradicional que tienen de la que las leyes sobre los derechos de propiedad intelectual sólo pueden ser aplicadas por empresas ricas y poderosas. Eso ya no resulta válido en la era de Internet, la Era de la Información.
Los artistas controlados por la industria audiovisual tienen muy poca voz sobre los contenidos que producen y sólo obtienen un porcentaje mínimo de los beneficios. Esto es evidente, como lo demuestra el hecho de que muchos artistas se han apartado del control de la industria. Ahí están los ejemplos de Nine Inch Nails y Radiohead. Los dos grupos han aceptado la piratería y aún así siguen obteniendo importantes beneficios.
P: ¿Son conscientes de que estos ataques son ilegales en muchos países y de que su grupo podría acarrear problemas legales a gente inocente que apoya su causa?
R: Creo que la mayor parte de gente/participantes es consciente de ese riesgo. En un mundo en el que se ignora nuestra voz, creemos que no nos queda otra opción que la acción directa.
P: Algunas personas ven esto como el futuro de las protestas. ¿Prevés que pueda haber protestas como ésta en el fututo por otras causas?
R: Seguramente. En cuanto a las protestas, espero que el futuro de las protestas sea la ACCIÓN. No el andar en círculos con pancartas inútiles que todo el mundo ignora.
Entrevista con Anonymous
Comentario: Bueno si a algo le llamo pasar de los dichos a los hechos es a esto...
Declaraciones de personal con poder, empresas proveedoras de ADSL con servicios pésimos, bajas velocidades, precios abusivos, y negociaciones beneficiosas para industrias obsoletas, están despertando la ira de la comunidad internauta a nivel mundial.
Asociaciones de Internautas, asociaciones de consumidores, grandes empresas, y millones de usuarios ya llevamos demasiado tiempo luchando para que los de arriba “se renueven”, pero, hablando de cara y por las buenas parece que la cosa no funciona, sino todo lo contrario.
Protestas gestadas en la red como el famoso ‘Operation Payback’ (Operación Venganza), ya se han ejecutado con éxito, tumbando las páginas web de la RIAA (Asociación Americana de la Industria Musical), MPAA (Asociación Americana Cinematográfica) y ahora ha sido el turno de las españolas SGAE (Sociedad General de Autores y Editores), Promusicae (Productores de Música en España) y finalmente la web del Ministerio de Cultura.
Los gobiernos tienen un problema, y es que Internet, tal y como lo conocemos es “libre”. Personalmente creo que las comunicaciones, han cambiado más en los últimos 10 años que en los 40 anteriores, y parece que eso asusta a algunos.
Para proteger los derechos de propiedad intelectual de unos pocos, pretenden limitar las conexiones de todos los usuarios. Limitar…. La palabra “Limitar” no deberá existir dentro de este contexto en un país donde la infraestructura actual permite (de media) como máximo tener un ADSL de 3Mb en una gran ciudad como es Barcelona.
Es evidente que Internet está cambiando el mundo, para bien. Las pérdidas en algunas empresas con sectores arraigados en lo “físico” están quedando desplazados en favor de lo “virtual”, y hay que aceptarlo, asumirlo y adaptarse de una vez por todas. De lo contrario las protestas cada vez serán mayores y más agresivas.
Texto extraido de una entrevista a Anonymous el grupo detras de la Operacion Payback
"Luis Corrons, del blog Pandalabs, publicó una entrevista con uno de los atacantes que aquí reponemos.
P: ¿Qué es Anonymous?
R: Simplemente es una descripción de lo que somos. Anonymous no es una organización con una jerarquía y líderes. Nos consideramos anarquistas. Estamos formados por gente de todo tipo. En resumen, somos un grupo de gente tremendamente motivada para hacer todo lo que esté en nuestra mano para responder ante aquello que consideramos moralmente cuestionable.
P: ¿Cual es su misión actual?
R: Luchar contra el lobby anti-piratería. Recientemente ha habido un aumento enorme de los ataques a la libertad personal en Internet promovidos por este grupo. Fíjate en la Ley de Economía Digital del Reino Unido y la normativa europea de los “tres avisos”. Ambas iniciativas amenazan con cerrar las conexiones a Internet de los usuarios basándose en acusaciones de la industria musical y cinematográfica. En Estados Unidos se acaba de presentar un proyecto de ley que podría permitirle al gobierno norteamericano obligar a registradores de dominio de nivel superior como ICANN y Nominet a cerrar sitios Web sin NINGÚN tipo de juicio justo. ¡Se te declara culpable antes de demostrar si lo eres o no! Nuestras tácticas se inspiran en las de la gente que nos ha provocado: AiPlex Software. Hace unas cuantas semanas admitieron haber atacado sitios de intercambio de ficheros mediante ataques de denegación de servicio.
Recomendamos leer nuestra declaración oficial aquí.
P: ¿Están a favor de la piratería?
R: Sí. Se trata del siguiente paso en la revolución cultural de la información compartida. Imagínatelo como el comienzo de una nueva era de la información; el inicio de una auténtica “igualdad de oportunidades”, en la que no importa la riqueza o capacidad de cada uno. Yo mismo nunca hubiera llegado a dónde estoy ahora mismo sin los libros que he pirateado. ¡No me los podía permitir!
P: ¿Qué sitios han atacado?
R: Las Asociaciones Americanas de la Industria Musical y Cinematográfica [MPAA y RIAA], la Industria Fonográfica Británica [BPI], la Federación Australiana contra el Robo del Derecho de Autor [AFACT] , la Asociación Holandesa para la Protección de los Derechos de la Industria del Entretenimiento [BREIN], ACS:Law, Aiplex, Websheriff, y Dglegal.
P: Su declaración original decía que se utilizarían “redes de bots” en el ataque. ¿Alguno de ustedes se beneficia económicamente de ciber-delitos?
R: Eso depende de si empleas la definición de ‘criminal informático’ que utiliza el lobby anti-piratería. Para serte claro no aprobamos la obtención de beneficios económicos a partir de redes de bots o de malware; pero la gran mayoría de lo que constituye un ciber-delito es algo tan sencillo como descargarte tu canción favorita en lugar de pagar un precio ridículo por la misma (un precio del que el artista sólo se queda con un porcentaje mínimo).
P: ¿Cuánto tiempo va a durar el ataque?
R: No hay un plazo fijado. Seguiremos con él hasta que se nos pase el enfado.
P: ¿Están dispuestos a ir a la cárcel por esta causa?
R: Sí, pero hemos tomado todas las medidas necesarias para asegurarnos de que nuestro anonimato permanece intacto. Es más, ¿por qué no se le hace esa pregunta a la gente que contrató a Aiplex para atacarnos?
P: Si pudieras resolver esta situación, ¿qué te gustaría que hicieran los organismos audiovisuales mundiales?
R: Personalmente, me gustaría que desaparecieran de una puta vez. Que eliminasen todas esas leyes brutales que han promovido. Que tratasen a las personas como PERSONAS en vez de como criminales. Tienen que cambiar esa concepción tan anticuada y tradicional que tienen de la que las leyes sobre los derechos de propiedad intelectual sólo pueden ser aplicadas por empresas ricas y poderosas. Eso ya no resulta válido en la era de Internet, la Era de la Información.
Los artistas controlados por la industria audiovisual tienen muy poca voz sobre los contenidos que producen y sólo obtienen un porcentaje mínimo de los beneficios. Esto es evidente, como lo demuestra el hecho de que muchos artistas se han apartado del control de la industria. Ahí están los ejemplos de Nine Inch Nails y Radiohead. Los dos grupos han aceptado la piratería y aún así siguen obteniendo importantes beneficios.
P: ¿Son conscientes de que estos ataques son ilegales en muchos países y de que su grupo podría acarrear problemas legales a gente inocente que apoya su causa?
R: Creo que la mayor parte de gente/participantes es consciente de ese riesgo. En un mundo en el que se ignora nuestra voz, creemos que no nos queda otra opción que la acción directa.
P: Algunas personas ven esto como el futuro de las protestas. ¿Prevés que pueda haber protestas como ésta en el fututo por otras causas?
R: Seguramente. En cuanto a las protestas, espero que el futuro de las protestas sea la ACCIÓN. No el andar en círculos con pancartas inútiles que todo el mundo ignora.
Entrevista con Anonymous
Comentario: Bueno si a algo le llamo pasar de los dichos a los hechos es a esto...
miércoles, 6 de octubre de 2010
Un hacker owneo el web site de el Gobierno de Mendoza !!!
El sitio web de la municipalidad de Malargüe fue atacado cerca de las 12 del mediodía de hoy por un usuario de nickname "Miusi" que, desafiante, colgó un video y un mensaje en la página , que ya fue deshabilitada.
“Ahora este es mi mundo ... El mundo del electrón y el conmutador, la belleza del baudio. Yo hago uso de un servicio que ya existe sin pagar por lo que podría ser barato como el polvo, si no estuviera en manos de glotones hambrientos de ganancias, y ustedes me llaman criminal. Yo exploro... y ustedes me llaman criminal.Yo busco detrás del conocimiento... Y ustedes me llaman criminal. Yo no diferencio el color de piel, ni la nacionalidad, ni la religión... y ustedes me llaman criminal", comienza la carta dejada por el hacker.
"Ustedes nos engañaron, y nos mintieron y trataron de hacernos creer que era por nuestro bien, ahora yo soy criminal. Si soy un criminal mi crimen es la curiosidad. Mi crimen es el juzgar a las personas por lo que dicen y piensan, no por lo que aparentan. Mi crimen es ser más inteligente que ustedes, algo por lo cual nunca me olvidarán. Soy un Hacker, este es mi manifiesto. Ustedes podrán detener este esfuerzo individual pero nunca podrán detener a todos mis compañeros... Después de todo, TODOS SOMOS IGUALES", concluye la misiva.
Tambien había en la web un video llamado "CyberProtest", en el que podían verse imágenes del Gobernador y una serie de frases, entre las cuales destacaba: "Confiamos en vos y así nos pagás".
En una entrevista con Diario Uno, el hacker aseguró: “Tengo acceso total a todas las web del Gobierno. Pero no quiero hacer más daño, tengo miedo de ir preso por una estupidez”.
comentario: Miusi muy lindo tu manifesto me hizo acordar mucho al manifesto hecho By The Menthor allí por el año 1986 para ser mas exacto el 8 de Enero de 1986, que reza así:
Loyd Blankenship - "The Menthor" - Gran bebedor de cervezas se ve que es, como debe ser. --
"Another one got caught today, it's all over the papers. "Teenager Arrested in Computer Crime Scandal", "Hacker Arrested after Bank Tampering"...
Damn kids. They're all alike.
But did you, in your three-piece psychology and 1950's technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him?
I am a hacker, enter my world...
Mine is a world that begins with school... I'm smarter than most of the other kids, this crap they teach us bores me...
Damn underachiever. They're all alike.
I'm in junior high or high school. I've listened to teachers explain for the fifteenth time how to reduce a fraction. I understand it. "No, Ms. Smith, I didn't show my work. I did it in my head..."
Damn kid. Probably copied it. They're all alike.
I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it's because I screwed it up. Not because it doesn't like me... Or feels threatened by me.. Or thinks I'm a smart ass.. Or doesn't like teaching and shouldn't be here...
Damn kid. All he does is play games. They're all alike.
And then it happened... a door opened to a world... rushing through the phone line like heroin through an addict's veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought... a board is found. "This is it... this is where I belong..." I know everyone here... even if I've never met them, never talked to them, may never hear from them again... I know you all...
Damn kid. Tying up the phone line again. They're all alike...
You bet your ass we're all alike... we've been spoon-fed baby food at school when we hungered for steak... the bits of meat that you did let slip through were pre-chewed and tasteless. We've been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us willing pupils, but those few are like drops of water in the desert.
This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.
Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.
I am a hacker, and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike."
Me quedo con esta frase... "Si , soy un criminal, mi crimen es la curiosidad, mi crimen es juzgar a las personas por lo que dicen y piensan , no por como luzcan. Mi crimen es ser mas inteligente que ti, algo que nunca me vas a perdonar".- Mientras haya hackers en el mundo aun hay esperanzas...saludos
“Ahora este es mi mundo ... El mundo del electrón y el conmutador, la belleza del baudio. Yo hago uso de un servicio que ya existe sin pagar por lo que podría ser barato como el polvo, si no estuviera en manos de glotones hambrientos de ganancias, y ustedes me llaman criminal. Yo exploro... y ustedes me llaman criminal.Yo busco detrás del conocimiento... Y ustedes me llaman criminal. Yo no diferencio el color de piel, ni la nacionalidad, ni la religión... y ustedes me llaman criminal", comienza la carta dejada por el hacker.
"Ustedes nos engañaron, y nos mintieron y trataron de hacernos creer que era por nuestro bien, ahora yo soy criminal. Si soy un criminal mi crimen es la curiosidad. Mi crimen es el juzgar a las personas por lo que dicen y piensan, no por lo que aparentan. Mi crimen es ser más inteligente que ustedes, algo por lo cual nunca me olvidarán. Soy un Hacker, este es mi manifiesto. Ustedes podrán detener este esfuerzo individual pero nunca podrán detener a todos mis compañeros... Después de todo, TODOS SOMOS IGUALES", concluye la misiva.
Tambien había en la web un video llamado "CyberProtest", en el que podían verse imágenes del Gobernador y una serie de frases, entre las cuales destacaba: "Confiamos en vos y así nos pagás".
En una entrevista con Diario Uno, el hacker aseguró: “Tengo acceso total a todas las web del Gobierno. Pero no quiero hacer más daño, tengo miedo de ir preso por una estupidez”.
comentario: Miusi muy lindo tu manifesto me hizo acordar mucho al manifesto hecho By The Menthor allí por el año 1986 para ser mas exacto el 8 de Enero de 1986, que reza así:
Loyd Blankenship - "The Menthor" - Gran bebedor de cervezas se ve que es, como debe ser. --"Another one got caught today, it's all over the papers. "Teenager Arrested in Computer Crime Scandal", "Hacker Arrested after Bank Tampering"...
Damn kids. They're all alike.
But did you, in your three-piece psychology and 1950's technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him?
I am a hacker, enter my world...
Mine is a world that begins with school... I'm smarter than most of the other kids, this crap they teach us bores me...
Damn underachiever. They're all alike.
I'm in junior high or high school. I've listened to teachers explain for the fifteenth time how to reduce a fraction. I understand it. "No, Ms. Smith, I didn't show my work. I did it in my head..."
Damn kid. Probably copied it. They're all alike.
I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it's because I screwed it up. Not because it doesn't like me... Or feels threatened by me.. Or thinks I'm a smart ass.. Or doesn't like teaching and shouldn't be here...
Damn kid. All he does is play games. They're all alike.
And then it happened... a door opened to a world... rushing through the phone line like heroin through an addict's veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought... a board is found. "This is it... this is where I belong..." I know everyone here... even if I've never met them, never talked to them, may never hear from them again... I know you all...
Damn kid. Tying up the phone line again. They're all alike...
You bet your ass we're all alike... we've been spoon-fed baby food at school when we hungered for steak... the bits of meat that you did let slip through were pre-chewed and tasteless. We've been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us willing pupils, but those few are like drops of water in the desert.
This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.
Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.
I am a hacker, and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike."
Me quedo con esta frase... "Si , soy un criminal, mi crimen es la curiosidad, mi crimen es juzgar a las personas por lo que dicen y piensan , no por como luzcan. Mi crimen es ser mas inteligente que ti, algo que nunca me vas a perdonar".- Mientras haya hackers en el mundo aun hay esperanzas...saludos
jueves, 16 de septiembre de 2010
Concurso de seguridad web: RootedCON'2010 CTF
Los amantes de los wargames están de suerte porque esta vez, aparte de jugar y aprender, se podrán llevar a casa el nuevo iPod touch de Apple. El concurso dará comienzo mañana viernes 17 de septiembre a las 20:00 UTC/GMT+2. La diversión y el nivel de las pruebas están asegurados con los retos diseñados por dos especialistas en este tipo de eventos como son "RoMaNSoFt" y "Dreyer". ¿Te animas?
El consurso seria "similar" al mítico concurso de seguridad web "Boinas Negras", que marcó historia en España, allá por el año 2003. Se trataba de una serie de pruebas web que los concursantes debían resolver secuencialmente hasta llegar al último nivel (el clásico juego "por niveles").Nada mas que este es mas "aggiornado" a los tiempos que corren es decir en español "mas facil".-
El concurso dará comienzo mañana viernes 17 de septiembre, a las 20hs (hora española) pero ya está abierto el proceso de registro donde además pueden consultar las reglas así como ampliar más información (condiciones, premios, etc): http://www.rs-labs.com/rooted2010-ctf/
Fuente : Hispasec
Comentario: Habra que jugar un rato....
El consurso seria "similar" al mítico concurso de seguridad web "Boinas Negras", que marcó historia en España, allá por el año 2003. Se trataba de una serie de pruebas web que los concursantes debían resolver secuencialmente hasta llegar al último nivel (el clásico juego "por niveles").Nada mas que este es mas "aggiornado" a los tiempos que corren es decir en español "mas facil".-
El concurso dará comienzo mañana viernes 17 de septiembre, a las 20hs (hora española) pero ya está abierto el proceso de registro donde además pueden consultar las reglas así como ampliar más información (condiciones, premios, etc): http://www.rs-labs.com/rooted2010-ctf/
Fuente : Hispasec
Comentario: Habra que jugar un rato....
Suscribirse a:
Entradas (Atom)