Temas

Estimados,

Quisiera me ayuden con alguna recomendación para instalar una VPN en maquinas con windows para navegar y que la IP que se vea sea otra. Si es posible alguna herramienta que permita escoger un lugar especifico desde donde supuestamente estaria localizado.

Quedo atento a sus sugerencias.

[Mod: No escribir en mayúsculas]

Pensábamos que los sistemas de cifrado que había anunciado WhatsApp eran completamente seguros. Pero nada más lejos de la realidad. Esta misma semana te contábamos que los mensajes que envías a través de esta plataforma en realidad no están tan a salvo. Y aunque muchos pensaran que el paradigma de la seguridad a la hora de mandar mensajes era Telegram, también se equivocaban. Ahora se han publicado unos vídeos que muestran exactamente cómo se hackea WhatsApp con un solo número de teléfono y demuestran que Telegram está a la misma altura, de modo que los usuarios de esta herramienta también pueden ver hackeados sus mensajes sin darse ni cuenta. La acción de vulnerar una cuenta de WhatsApp puede llevarse a cabo con una facilidad pasmosa. ¿Quieres ver cómo lo han hecho estos expertos?

[youtube=640,360]https://youtu.be/fDJ-88e_06A[/youtube]

Ya te indicamos que la posibilidad de hackear una cuenta de WhatsApp parte del hecho de que todos estamos conectados a Internet a través de un canal o sistema conocido como SS7. Como puedes comprobar en el vídeo, lo que hace el hacker es suplantar la identidad de la víctima con su propio dispositivo. Para acceder al sistema, lo único que necesita el criminal es contar con su número de teléfono. Le bastará eso para engañar al proveedor, pedir el número de verificación que necesitamos para acceder a WhatsApp y empezar a leer todos los mensajes que recibe la víctima. Lo peor de todo es que además de espiar, el hacker puede intervenir en las conversaciones, con los peligros que todo eso conlleva. Lo mismo ocurre con Telegram. El mismo propietario del vídeo ha publicado una segunda grabación en la que se hace patente que el sistema de seguridad de esta aplicación también puede ser vulnerado sin problemas. Puedes verlo a continuación.

[youtube=640,360]https://youtu.be/dkvQqatURdM[/youtube]

Y aunque se haya demostrado que es posible acceder a los mensajes empleando cierta técnica, los expertos siguen recomendando usar Telegram y WhatsApp como herramientas de intercambio de archivos. Son, sin duda, mucho más seguras que, por ejemplo, los SMS. No hay que olvidar, tal como ha informado el experto Karsten Nohl, que ambos sistemas cuentan con un sistema de cifrado de extremo a extremo.



PERO, ¿CÓMO SABER SI MIS CONVERSACIONES ESTÁN CIFRADAS?
WhatsApp pone a tu disposición una fórmula para comprobar si las conversaciones con cualquier contacto están correctamente cifradas. Lo que tienes que hacer es lo siguiente:

1. Abre una conversación o chat.

2. Pulsa sobre el nombre del contacto en cuestión para llegar a la pantalla de información.

3. Ahora presiona sobre la opción Cifrado. Verás un código QR o los 60 dígitos.

4. Si tu otro contacto está conectado, podrás escanear el código QR del otro y comparar el código de seguridad en cuestión. Si al escanearlo coincide, aparecerá un tick verde que significará que vuestra conexión es totalmente segura y vuestras conversaciones no están siendo interceptadas.

Recuerda que para poder usar esta herramienta ambos contactos tenéis que tener vuestra aplicación deWhatsApp actualizada a la última versión. De lo contrario, vuestras conversaciones aparecerán como no cifradas de extremo a extremo.

Fuente:
http://hackeruna.com/2016/10/07/encuentran-una-forma-de-hackear-whatsapp-con-solo-un-numero-de-telefono/


Mod: No escribir en mayúsculas

[MOD: Título corregido (mayúsculas)]

Una parte muy importante en un pentest es la recolección de la información, un libro importante referente en este tema lo han escrito: Borja Merino Febrero, José Miguel Holguín espero les sea de utilidad.

http://www.csirtcv.gva.es/sites/all/files/images/content/cert_inf_seguridad_information_gathering.pdf

Fuente:
http://hackeruna.com/2016/09/28/pentest-recoleccion-de-informacion-information-gathering/

Saludos
JUCA

MOD: Título corregido (mayúsculas)

Video tutorial de Zend Framework 3

[youtube=640,360]https://youtu.be/sXTaWb7Tg6k?list=PLXRC3l-ZhN3rQrtVm9nLe_vRi7AB-iWOX[/youtube]

Fuente:
http://hackeruna.com/2016/09/12/tutorial-zend-framework-3-zf3-videos-ingles/

Saludos
JUCA

Señalan que las empresas u organizaciones, al no cumplir uno de los puntos , se exponen principalmente a la pérdida de información SET Security Report 2016 se denomina el in­forme que analiza el estado de la seguridad informática en Latinoa­mérica. El mismo había destacado meses atrás que en Paraguay el 30,1% de las empresas encuestadas fue afectada por malware. Esto demuestra que el país posee una gran vulnerabilidad en cuanto a seguridad digital.
A modo de buscar cuales son las reglas básicas que toda empresa debe de rea­lizar para prevenir cual­quier delito informático y cuidar su información interna, conversamos con el ingeniero en informá­tica César Orué. El mismo destacó que la informa­ción es el activo intangible más valioso e importan­te con el que cuenta una empresa u organización. ''Actualmente existen estándares, protocolos y herramientas que se im­plementan para minimi­zar un posible riesgo a la infraestructura informá­tica o a la información'', señaló.
El ingeniero informático elaboro una lista de 5 reglas básicas que toda empresa debe de tener en cuenta a la hora de resguardar su información interna.

1- Contratar profesionales

La empresa debe contratar especialistas en el área de Redes y Networking, o en Seguridad de la Información, ya que estos profesionales están capacitados para satisfacer las necesidades de seguridad que la empresa requiera. Los mismos se encargarán de que el centro de datos o datacenter reúna y cumpla las condiciones mínimas de seguridad requeridas (por ejemplo: protección contra incendios, inundaciones, apagones y sobretensiones, vigilancia, control de accesos, mantenimiento de temperatura ambiente, etc.). Existen programas de Gestión de Calidad, como la ISO, que regula estos puntos.

2- Contraseñas

En cuanto al software, implementar contraseñas difíciles de acceder para el acceso a los datos, sistemas y archivos sensibles. Determinar distintos tipos de usuarios para el acceso restringido a la información y sistemas.

3- Sistemas de detección

La programación de los sistemas también debe cumplir estándares de seguridad al diseñar y desarrollar el software. Contar con antivirus de uso profesional, antiespías y otros sistemas de detección de intrusos.

4- Equipamiento adecuado

A nivel de red, es fundamental la utilización de equipos como routers y switches profesionales, firewall (cortafuegos), redes perimetrales de seguridad conocidos como DMZ, listas de control de acceso, entre otros.

5- Copias de seguridad

Lo más importante es la realización de copias de seguridad (backup) de la información. Se puede realizar en forma automática o manual, en otro servidor, y si es posible que esté fuera del datacenter principal.
RIESGOS

Orué señaló que las empresas u organizaciones, al no cumplir uno de los puntos citados anteriormente, se exponen principalmente a la pérdida de información. El otro riesgo es el robo o alteración de información por parte de personas inescrupulosas o hackers. Esto a su vez puede desencadenar en graves consecuencias para la entidad. "Imagínese que un banco sea atacado por hackers y los mismos puedan acceder a las cuentas bancarias de los clientes. Sería un problema catastrófico para la entidad bancaria" manifestó.

INVERSIÓN

El Ingeniero explicó además que todas las entidades que manejen información sensible a nivel informático están hoy día prácticamente obligadas a invertir en seguridad informática y seguridad de la información, pues un solo elemento de los requeridos no es suficiente para salvaguardar la información.
Aconsejó que lo mejor es invertir en recursos humanos, equipos informáticos fiables, software de seguridad y todas las herramientas de protección. "Y lo más importante: la infraestructura física y lógica de todo el sistema informático debe reunir los estándares de seguridad para garantizar un 99,9% de protección a la información" finalizó.

Fuente:
http://hackeruna.com/2016/09/14/5-reglas-basicas-para-cuidar-la-informacion-de-tu-empresa/

Anteriormente vimos cómo las aplicaciones publicitarias, Leech, Guerrilla y Ztorg utilizaban derechos de root. Por el contrario, los ataques con el uso de privilegios de root no son típicos del malware bancario, porque pueden robar dinero de muchas formas que no necesitan derechos elevados. Pero a principios de febrero de 2016 Kaspersky Lab detectó el troyano bancario Trojan-B anker.AndroidOS.Tordow.a, cuyos creadores decidieron que los privilegios de root serían de utilidad. Hemos hecho un seguimiento del código de este malware y encontrado que las posibilidades de Tordow superan con creces las del malware bancario detectado anteriormente, lo que les permitió a los atacantes utilizar nuevos tipos de ataques.

Penetración
Tordow da inicio a la infección instalando una aplicación popular, por ejemplo VKontakte, Pokemo Go, Telegramm, Odnoklassniki o Subway Surf. Pero en este caso no se trata de las aplicaciones originales, sino de copias difundidas fuera de la tienda oficial Google Play. Los escritores de virus descargan nuevas aplicaciones, las desmontan y les agregan nuevos códigos y archivos.



Código agregado a la aplicación legítima

Cualquier persona que tenga conocimientos básicos de desarrollo de aplicaciones para Android puede realizar estas operaciones. El resultado es una nueva aplicación que es muy similar a la original y ejecuta las mismas funciones que la aplicación legítima, pero tiene las funciones nocivas que los delincuentes necesitan.

Principio de funcionamiento
En el caso que analizamos, el código incrustado a la aplicación legítima descifra un archivo que los delincuentes añadieron a los recursos de la aplicación y lo ejecuta.

El archivo ejecutado se conecta al servidor de los delincuentes y descarga la parte principal de Tordow, que contiene enlaces para descargar varios otros archivos: un exploit para obtener privilegios de root, nuevas versiones del malware, etc. El número de enlaces puede cambiar en función de los planes de los delincuentes. Es más, cada archivo descargado puede a su vez descargar desde el servidor nuevos componentes, descifrarlos y ejecutarlos. Como resultado, en el dispositivo infectado se descargan varios módulos del malware y su número y funciones también dependen de los deseos de los dueños de Tordow. De una forma u otra, los delincuentes obtienen la posibilidad de administrar a distancia el dispositivo mediante el envío de comandos desde el servidor de administración.

Como resultado, los ciberdelincuentes reciben un conjunto completo de funciones para robar dinero al usuario, que ya se han convertido en tradicionales para los troyanos bancarios móviles y los troyanos extorsionistas. Entre las funciones de la aplicación nociva están las siguientes:

envío, robo y eliminación de mensajes de texto
grabación, redirección y bloqueo de llamadas
comprobación del balance
robo de los contactos
realización de llamadas
modificación del servidor de administración
descarga y ejecución de archivos
instalación y eliminación de aplicaciones
bloqueo del dispositivo y visualización de una página web determinada por los delincuentes
preparación y envío a los delincuentes de la lista de archivos contenidos en el dispositivo; envío y cambio de nombre de cualquier archivo
reinicio del teléfono
Derechos de root
Además de descargar los módulos del troyano bancario, Tordow (dentro de la secuencia de carga de módulos) descarga también un popular paquete de exploits para obtener derechos de root, lo que proporciona al malware un nuevo vector de ataque y posibilidades únicas.

En primer lugar, el troyano instala uno de los módulos descargados en la carpeta de sistema, lo que hace que sea difícil eliminarlo.

En segundo lugar, utilizando los derechos de root, los delincuentes roban las bases de datos del navegador preconfigurado de Android y del navegador Google Chrome, si está instalado.



Código para enviar al servidor los datos de los navegadores

Estas bases de datos contienen todos los logins y contraseñas almacenadas por el usuario en el historial del navegador, los archivos cookies y a veces hasta los datos de tarjetas de banco almacenados.



You are here : hackeruna.com
LATEST ARTICLESseptiembre 21st 2016Tordow, un troyano bancario que puede robar de todoby admin in Seguridad Informática     tags: Seguridad Informática, Tordow     edit No Comment Número de lecturas: 340
Share

Anteriormente vimos cómo las aplicaciones publicitarias, Leech, Guerrilla y Ztorg utilizaban derechos de root. Por el contrario, los ataques con el uso de privilegios de root no son típicos del malware bancario, porque pueden robar dinero de muchas formas que no necesitan derechos elevados. Pero a principios de febrero de 2016 Kaspersky Lab detectó el troyano bancario Trojan-B anker.AndroidOS.Tordow.a, cuyos creadores decidieron que los privilegios de root serían de utilidad. Hemos hecho un seguimiento del código de este malware y encontrado que las posibilidades de Tordow superan con creces las del malware bancario detectado anteriormente, lo que les permitió a los atacantes utilizar nuevos tipos de ataques.

Penetración
Tordow da inicio a la infección instalando una aplicación popular, por ejemplo VKontakte, Pokemo Go, Telegramm, Odnoklassniki o Subway Surf. Pero en este caso no se trata de las aplicaciones originales, sino de copias difundidas fuera de la tienda oficial Google Play. Los escritores de virus descargan nuevas aplicaciones, las desmontan y les agregan nuevos códigos y archivos.

Tordow, un troyano bancario que puede robar de todo

Código agregado a la aplicación legítima

Cualquier persona que tenga conocimientos básicos de desarrollo de aplicaciones para Android puede realizar estas operaciones. El resultado es una nueva aplicación que es muy similar a la original y ejecuta las mismas funciones que la aplicación legítima, pero tiene las funciones nocivas que los delincuentes necesitan.

Principio de funcionamiento
En el caso que analizamos, el código incrustado a la aplicación legítima descifra un archivo que los delincuentes añadieron a los recursos de la aplicación y lo ejecuta.

El archivo ejecutado se conecta al servidor de los delincuentes y descarga la parte principal de Tordow, que contiene enlaces para descargar varios otros archivos: un exploit para obtener privilegios de root, nuevas versiones del malware, etc. El número de enlaces puede cambiar en función de los planes de los delincuentes. Es más, cada archivo descargado puede a su vez descargar desde el servidor nuevos componentes, descifrarlos y ejecutarlos. Como resultado, en el dispositivo infectado se descargan varios módulos del malware y su número y funciones también dependen de los deseos de los dueños de Tordow. De una forma u otra, los delincuentes obtienen la posibilidad de administrar a distancia el dispositivo mediante el envío de comandos desde el servidor de administración.

Como resultado, los ciberdelincuentes reciben un conjunto completo de funciones para robar dinero al usuario, que ya se han convertido en tradicionales para los troyanos bancarios móviles y los troyanos extorsionistas. Entre las funciones de la aplicación nociva están las siguientes:

envío, robo y eliminación de mensajes de texto
grabación, redirección y bloqueo de llamadas
comprobación del balance
robo de los contactos
realización de llamadas
modificación del servidor de administración
descarga y ejecución de archivos
instalación y eliminación de aplicaciones
bloqueo del dispositivo y visualización de una página web determinada por los delincuentes
preparación y envío a los delincuentes de la lista de archivos contenidos en el dispositivo; envío y cambio de nombre de cualquier archivo
reinicio del teléfono
Derechos de root
Además de descargar los módulos del troyano bancario, Tordow (dentro de la secuencia de carga de módulos) descarga también un popular paquete de exploits para obtener derechos de root, lo que proporciona al malware un nuevo vector de ataque y posibilidades únicas.

En primer lugar, el troyano instala uno de los módulos descargados en la carpeta de sistema, lo que hace que sea difícil eliminarlo.

En segundo lugar, utilizando los derechos de root, los delincuentes roban las bases de datos del navegador preconfigurado de Android y del navegador Google Chrome, si está instalado.

Tordow, un troyano bancario que puede robar de todo

Código para enviar al servidor los datos de los navegadores

Estas bases de datos contienen todos los logins y contraseñas almacenadas por el usuario en el historial del navegador, los archivos cookies y a veces hasta los datos de tarjetas de banco almacenados.

Tordow, un troyano bancario que puede robar de todo

Nombre de usuario y contraseña de un sitio en particular en la base de datos del navegador

De esta manera los atacantes pueden obtener acceso a muchas cuentas en diferentes sitios.

Y en tercer lugar, los privilegios de root le permiten robar cualquier archivo del sistema, desde fotos y documentos, hasta los archivos con los datos de las cuentas de las aplicaciones móviles.

El resultado de este tipo de ataques puede ser una gran cantidad de robos de datos críticos del usuario. Le recomendamos que no instale aplicaciones desde fuentes no oficiales y que utilice soluciones antivirus para proteger su dispositivo Android.

Fuente:
http://hackeruna.com/2016/09/21/tordow-un-troyano-bancario-que-puede-robar-de-todo/

Utilizando workbench realizando una funcion de una base de datos se presento este error:

DETERMINISTIC, NO SQL, or READS SQL DATA in its declaration and binary logging is enabled
Se podria pensar que la solucion podria ser complicada pero resulta que con una simple busqueda en google se llega al foro que ayuda muchisimo al desarrollador stackoverflow y muestra las 2 posibles soluciones:

1.- Ejecutar por consola el siguiente código:
SET GLOBAL log_bin_trust_function_creators = 1;

2.- Agregar en el archivo de configuracion my.ini (windows) o mysql.ini (linux) lo siguiente:
log_bin_trust_function_creators = 1

Mas detalles en el enlace de http://stackoverflow.com/questions/26015160/deterministic-no-sql-or-reads-sql-data-in-its-declaration-and-binary-logging-i

Saludos
JUCA

He visto que han llevado a prision a @paulcoyote por hacer publico una vulnerabilidad que permite aun atacante suplantar la identidad de otro usuario.

Por supuesto no me alegra el mal de nadie es más espero que pronto salga de prisión pero no voy a justificar su acción la cuál no fue ética y el hacking no funciona asi, no se trata de hacer quedar mal a otros se busca el bien para todos si se detecto ese error habria que reportarlo primero a los interesados en este caso el dinardap.

No hablo de memoria hablo porque asi actue yo.

El día 7 de marzo fue el lanzamiento de datoseguro.gob.ec revise el funcionamiento de la  plataforma la cuál resulta muy útil pero detecte la vulnerabilidad en ese momento envie este mail con fecha 15 de junio:



La respuesta que recibí fue la siguiente:



Realmente pensé que lo iban a tomar en serio o que iban a corregir lastimosamente viendo este problema me doy cuenta que no.

El hecho de conocer el error, no nos da la facultad de publicar el mismo, si todavía NO ESTA CORREGIDO.

Primero ética, talvez si el lo hubiera reportado ya no solo era una persona hubiéramos sido 2, 3, 10 personas, lo cuál hubiera generado la preocupación y la necesidad de generar un cambio.

Me parece muy de pelicula el hashtag de #LiberenaPaulCoyote pero al leer que lo inicio su hijo por la desesperación del problema de su padre lo respeto.

Debemos estar claros que existe el problema pero no se puede divulgarlo por llamar la atención existen buenas prácticas y las mismas siempre indican que ante todo esta la ética.

Porque doy detalles al respecto? Lo hago porque en este post ya se hizo publico por parte de @paulcoyote

http://quefarras.com/blog/2012/11/dato-seguro-es-inseguro/

http://www.ecualug.org/?q=20121126/blog/paulcoyote/wwwdatosegurogobec_no_es_seguro

Espero que con todos estos detalles quede claro como actuar si bien yo puedo conocer errores de bancos, instituciones de estado, ministerios, etc siempre habido un e-mail o reuniones de trabajo de mi parte para alertarlos y animarlos a corregirlos lógicamente esta forma de actuar me ha representado buenas oportunidades de trabajo para poder apoyar a corregir los mismos.

Uno decide ser: "Famoso o tristemente celebre" es nuestra decisión.

————————-

Que fallo??

Tener presentes reglas básicas de la seguridad de la información:

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

Cual de estas fallo? fue la autenticación:
Autenticación o autentificación

Es la propiedad que me permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de indentidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.

Soluciones:

Implementar un nuevo mecanismo para validar que el usuario es quien dice ser:

- Una verificación para la entrega de claves en la institución como sucede en el IESS

- Trabajar con la misma clave que genera el SRI la cuál es un trámite personal el momento de sacar el RUC



Pueden existir muchas otras opciones estas son solo sugerencias.

Hay que recordar que ningún sistema es 100% seguro y que el eslabón más débil siempre es el usuario.

Hace aproximadamente dos horas, el operador de telefonía móvil ruso Megafon https://twitter.com/#!/MegaFonCorp reportó que un virus troyano que afecta a usuarios de iPhone y Android ha sido detectado.

Una aplicación llamada "find and Call", que puede ser encontrada en App Store y Google Play, la descripción de esta aplicación promete al usuario una posibilidad "única" de llamadas telefónicas gratuitas a través de la creación de una única base de datos de contactos.

En cambio, la realidad no es tan divertida – después de instalar y registrar la aplicación  (básicamente, proporcionando a la aplicación acceso completo a su lista de contactos, revelando y confirmando su número y su dirección de correo electrónico) Find&Call empieza a enviar spam a toda su lista de contactos.

Podrían ser miles de SMS los enviados, pudiendo salir muy caro al usuario si está utilizando servicio de roaming. El spam en sí mismo se envía a través del malware del equipo, así que el spam, en realidad, sería gratuito para el usuario (a menos que éste esté utilizando roaming).

Kaspersky Lab ha notificado a Google y a Apple acerca de esta amenaza descubierta por Megafon. Megafon ya ha bloqueado el link de malware de entre su tráfico y ha notificado a los principales proveedores de redes de telefonía móvil. Afortunadamente, ya no hay nada que temer, pero éste es un buen ejemplo de lo difícil que es la seguridad móvil, pues esta no depende de la plataforma -cualquiera que se use- Android, iOS or WP7- al final, todo depende del factor humano y de la actitud que uno tome sobre la protección de sus datos personales. Cualquier cosa que hagan – traten de ser cuidadosos. Y usen protección. Como en la vida real.

Fuente:
Facebook Kaspersky Lab – España
Ate. Jaime Tituaña
Consultor T.I

----------------------

Saludos
JUCA

Que tal,

La verdad no encontre un lugar donde poner este post.
Bueno lo que necesito es desarrollar una app para iPhone quisiera ver si alguien esta interesado en ayudar con esto.  La idea es que la misma la realicemos en conjunto o que la realicen (si fuera asi logicamente habria un pago de por medio) y debidamente documentada.

Espero sus respuestas.

Saludos
JUCA

Como conocen algunos soy un usuario de iPhone por eso en este sitio web se escribe varias cosas al respecto además de que existe gran interes por este dispositivo tan interesante.

Cuando adquiri el iPhone 4 quede fascinado por la resolución de la pantalla, su diseño, etc pero un iPhone sin jailbreak funciona a la mitad de su capacidad entonces me puse a leer al respecto y hacer el jailbreak al dispositivo.

Para esto utilice un Downgrade/Upgrade con Certificados ECID-SHSH de forma Local

Este sistema tienes dos ventajas respecto a hacerlo con el servidor de saurik:

    * no es necesario modificar el archivo HOSTS
    * no dependemos del servidor de Saurik

Necesario para:

iPhone 3Gs
iPad
iPhone 4
iPone 3G (en versiones 4.X)
iPod touch 2G (MC)
iPhod Touch 3G

Necesitamos:

- Tener el ECID-SHSH del firmware correspondiente al que queremos bajar/subir en nuestro pc/mac guardado de antes.

- Instalamos TinyUmbrella 4.1.9 o superior en el pc/mac.

- Descarga Tinyumbrella

- Si no lo tienes bajas el firmware que necesitas de aquí:Firmware – Descargas – ForoiPhone

PROCESO:

1.- Conectamos nuestro dispositivo

2.- ejecutamos TinyUmbrella y seleccionamos nuestro dispositivo.

Hacer Downgrade/Upgrade con Certificados ECID-SHSH de forma Local.-captura-de-pantalla-2010-10-17-las-21-52-59-png

3.- Miramos que tengamos la versión a la que queramos restaurar en la lista. Si la versión no esta en la lista no podremos hacer el tutorial, pulsamos Save SHSH para refrescar la lista y ver si sale el certificado que necesitamos.

Hacer Downgrade/Upgrade con Certificados ECID-SHSH de forma Local.-captura-de-pantalla-2010-10-17-las-21-53-13-png

4.- nos movemos a la pestaña Server y pulsamos en Start TSS Server

Hacer Downgrade/Upgrade con Certificados ECID-SHSH de forma Local.-1-y-2-png

5.- Veremos que servidor TSS esta operativo,
Hacer Downgrade/Upgrade con Certificados ECID-SHSH de forma Local.-captura-de-pantalla-2010-10-17-las-21-53-46-png

6.- Dejamos TinyUmbrella con el servidor operativo (no cerrar)

7.- Pulsas Shift+restaurar (Windows) o Alt+restaurar(mac)

8.- Seleccionas el firmware y restauras.

9.- Si tenemos un error 1015 , 1002 o 1004, es normal, hacemos este tutorial y listo.

10- Cuando termine lo activamos y listo.

A mi me mostro el error 1004

Para corregir este problema segui estos pasos:
Solución al error 1004,1015 con TinyUmbrella

El error 1004 y 1015 ocurre al intentar bajar la baseband cuando restauramos con un firmware oficial a uno inferior al que estemos en ese momento.

Hay un programa que se llama iRecovery, que soluciona este problema pero es un poco engorroso de usar.Nosotros usaremos TinyUmbrella


TinyUmbrella en realidad es para guardar los ECID de los firmwares, pero nosotros usaremos la opción que tiene para sacar los iPhones de modo recuperación.
Enlaces:

The Firmware Umbrella

- Cuando tengamos un error 1015 tendremos esté pantallazo de iTunes
- Después de pulsar Aceptar, itunes nos informará que el iphone está en modo recuperación (Recovery mode)

- En el iPhone veremos la típica pantalla

- Ahora ejecutamos TinyUmbrella:

1.- Seleccionamos nuestro iPhone
2.- Pulsamos en el botón Exit Recovery y el iphone saldrá de modo recovery y arrancará normalmente.

Solución al error 1004,1015 con TinyUmbrella-recovery-png
Para activar utilice limera1n y lo pude activar sin problema
Limera1n


descarga
Jailbreak 4.0-4.1 para

IPhone 3Gs, IPhone 4, iPad y Touch 3G y 4G

Para poder liberar y utilizar cualquier operadora utilice ultrasn0w

EN CYDIA:

Se trata de hacer lo mismo:

1. Arrancamos Cydia

2. Vamos a la pestaña Manage:

3. Pulsamos en Sources:

4. Esquina Superior Derecha pulsamos Edit:

5. En esquina Izquierda pulsar "Add"

6. Introducimos "repo666.ultrasn0w.com" (Acordaos que el "0″ es un "cero", no una "o")

7. Pulsamos "Add Source"

8. Esperamos a que se actualicen los Sources (Fuentes).

Y pulsamos return to Cydia

9. Vamos a la pestaña De "Search y buscamos por: ultrasn0w.

10. Pulsamos sobre "ultrans0w" y Install (en mi caso pone Modify por tenerlo ya instalado)

Este es el resultado final:



El icono al final al costado derecho es el acceso a hackeruna.com le da un toque agradable a la captura.


Fuente:

hackeruna.com

foroiphone.com (manuales posteados aqui pertenecen a ese sitio. Muchas gracias la ayuda a esa comunidad)

Tengo un problema con el Bluesnafer:

Código [Seleccionar] Expandir

root@juca-desktop:/home/juca/Desktop/bluesnarfer# ./bluesnarfer -r 1-100 -b 00:1B:63:E2:14:48
device name: iPhone JUCA
bluesnarfer: open /dev/bluetooth/rfcomm/0, No such file or directory
bluesnarfer: bt_rfcomm_config failed
bluesnarfer: unable to create rfcomm connection
bluesnarfer: release rfcomm ok

Alquien sabe como se corrije esto?

Saludos
JUCA

Este articulo me lo hizo leer un gran amigo ,me parece bastante interesante y deberiamos tomarlo muy en serio toda la gente que desarrollamos en PHP.

Aquí lo transcribo:

--------------------------------------
Los "Desarrolladores PHP" debemos profesionalizarnos o quedaremos descartados por obsoletos

Esta reflexión se la escribo a todos los "Programadores PHP":

Al día de hoy la mayoría de los institutos o universidades de muchos países siguen enseñando PHP4, o mejor dicho, programación "scripting" básica. Se mueven en el viejo concepto de la "programación estructurada", trabajando constantemente sobre código que mezcla html y sintaxis PHP, todo como si de una ensalada estuviéramos hablando.

Casi paralelamente, los jóvenes autodidactas siguen por el mismo camino, tal vez ayudados por la gran cantidad de material repetido y obsoleto que se encuentra tanto en la web como en las editoriales de turno, donde a pesar que un libro haya sido impreso recientemente, los autores siguen siendo los mismos y escribiendo -una y otra vez- sobre los mismos temas elementales.

Enfrentar la realidad con madurez

Solo nos damos cuenta que estamos en un grave problema cuando nos enfrentamos a la realidad: salimos al mercado laboral y con inocente sorpresa vemos que se habla mayoritariamente de Java o .Net, de UML, desarrollos en 3 capas, lógica de negocios, persistencia, polimorfismo, frameworks, patrones de diseño, refactoring... y tú solo tienes una vaga idea de algunos conceptos, pero nulo conocimiento de si es realmente posible hacerlo con PHP...


¿No crees que algo está pasando y que tú estás quedando fuera de la "conversación"?

Este es el gran problema de la mayoría de los "Programadores PHP": se quedan en el "lenguaje", en la programación lisa y llana, rechazando todo lo que sea objetos hasta que no les queda otra salida que aprender a usarlos mínimamente... pues todas las nuevas herramientas solo hablan "ese" idioma.

¿Hasta donde piensas que podemos llegar con tan poca preparación?

Mi experiencia personal

De lo que trato de hablar en este blog es de "profesionalizarnos", de copiar y mejorar, de aprender y evolucionar. La mayoría de los temas que expongo no son nuevos, trato de basarme en autores reconocidos y darle más prioridad a los conceptos que al lenguaje, y por sobre todas las cosas: ser simple y directo (pragmático antes que dogmático, pero sin olvidarme de lo último). Hay muchas cosas que desconozco de PHP y otras que directamente no uso, y nunca me baso en la memoria, siempre voy a buscar hasta lo más elemental al manual (doy prioridad al razonamiento por sobre la retención mecánica de conocimientos). Siguiendo esta metodología, mañana deberías poder cambiar de lenguaje y seguir trabajando sin problemas, pues los conceptos base los tendrías claros y estos se aplican sin importar la plataforma que estés usando.

Muchas veces comento que los temas sobre los que escribo son elementales para muchos desarrolladores Java de nivel medio y alto, pero en el ambiente PHP esto cambia (todavía no hemos madurado hacia el concepto de "arquitectura") donde "en el mundo de los ciegos puedo ser rey". Debemos cambiar la mentalidad ahora que existe PHP5 y que su nueva sintaxis nos permite hacer muchas cosas que son habituales en el mundo Java.


Por lo tanto, tenemos todas las herramientas para "evolucionar" y no quedarnos en las excusas.

Programador versus Desarrollador

Desarrollar Orientado a Objetos va más allá que crear objetos aislados que solo contienen datos, programar usando algunos objetos es distinto a desarrollar 100% Orientado a Objetos, ser programador es distinto a ser un desarrollador, un sitio web no es lo mismo que un sistema web. Existen, además de los objetos, "Principios de Diseño (OO)", "Patrones de Diseño (OO)", el lenguaje de diseño UML, frameworks, etc, y todo es perfectamente aplicable usando PHP.


Es más, muchos de estos conceptos e ideas son independientes al lenguaje si este cumple mínimamente con las características de la OO, cosa que sucede a partir de PHP5 en adelante y que PHP4 casi carece por completo.

Finalmente, es mi visión que un programador resuelve problemas aislados usando un lenguaje, pero un desarrollador diseña e implementa una solución global, une los componentes en un único sistema integrado y es lo suficientemente inteligente y estratega para poder reutilizar la experiencia y conocimientos adquiridos en favor de los próximos desarrollos.

Los sistemas que van quedando atrás nunca serán un lastre porque podrán ser mantenidos con el mínimo costo posible, permitiendo que el desarrollador pueda afrontar nuevos y enriquecedores desafíos.

Todos estos detalles los percibimos claramente cuando nuestros desarrollos dejan de ser un "programa menor" y necesitamos crecer, pero vemos que con los conocimientos que contamos hasta el momento todo se nos hace cuesta arriba.

La culpa es enteramente nuestra

No podemos quejarnos que a los programadores Java se les paga el doble que a nosotros y que a la mayoría de los proyectos PHP se los desvalorice, se los trate como "algo menor", "poco serio", todo porque es un "simple lenguaje web" limitado en sus posibilidades.

El "Simple Lenguaje" lo hacemos todos, al ser "Simples Programadores PHP" y nuestras son las limitaciones fundamentales. Perfectamente podemos tratar de trabajar "más seriamente" como lo hacen los "desarrolladores Java", y tratando con creatividad de suplir las carencias momentáneas (como el muy sonado caso de la falta de "namespaces").

PHP se está orientando a convertir en una "arquitectura", a parecerse a un J2EE pero mucho más simple y directo.

El proceso hace tiempo que inició.

Debemos pasar de los dichos a los hechos

De la misma forma, creo que nos hace falta tener más "sentimiento de comunidad", como sucede habitualmente -hasta de forma exagerada- en el mundo GNU/Linux. No es posible que nos sigamos quejando que los proveedores de hosting siguen usando PHP4. Deberíamos hacer campañas para promover la migración a las nuevas versiones de PHP, pero fundamentalmente, incorporar en nuestros desarrollos las características avanzadas del lenguaje, e invitar a usarlo como si fuera una arquitectura, actualizar a nuestro equipo de desarrolladores, visitar empresas, universidades, etc.


¿Tú, qué vas a hacer? ¿Te vas a quedar donde estás o te vas a subir al tren?

¿Eres parte del problema o parte de la solución?

Tenemos que especializarnos y profesionalizarnos, el mundo pide POO, arquitecturas, capas, etc, y habla en "UML"... tú, en que idioma hablas?
--------------------------------------

Fuente:
http://phpsenior.blogspot.com/2006/11/los-desarrolladores-php-debemos.html

Conversación sobre el tema:
http://www.forosdelweb.com/f68/duda-con-interface-php5-440249/

Saludos
JUCA

Que tal.
Queria consultar algo. He revisado documentación sobre tools y encontre que Bluesnarfer es una herramienta que sirve para realizar este tipo de ataques.

Alguien conoce algun otro metodo o alguna otra herramienta?

Saludos
JUCA

Entre al link donde antes estaba el BlueZScanner pero ahora ya no existe esa descarga.

http://gospel.endorasoft.es/bluetooth/especificacion-bluetooth/bluez/Files/BlueZScanner_src.zip

Es mas la dirección donde encontre esto es en la cache de google:
http://74.125.113.104/search?q=cache:M6eNQnbmKWMJ:gospel.endorasoft.es/bluetooth/especificacion-bluetooth/bluez/bluezscanner.html+http://gospel.endorasoft.es/bluetooth/especificacion-bluetooth/bluez/bluezscanner.html&hl=es&ct=clnk&cd=1&gl=ec

Ahora no se si alguien lo descargo antes y lo puede poner en algun servidor de descarga para yo poderlo bajar.

Bueno les agradezco de antemano.

Saludos
JUCA

Estado informandome sobre que tipos de ataques existen en Bluetooth y estos son lo sque encontrado y estan bien documentados:

    * Bluesnarf
    * Bluebug
    * HeloMoto
    * Blueline
    * Blue MAC Spoofing

Conocen mas tipos de ataques y si hubiera donde puedo encontrar documentación sobre esto?

O pueden postear algo referente al tema.

Saludos
JUCA

Hola como estan.
Tengo un problema estoy intentando hacer funcionar al Bluefinder lo vi aqui:
http://www.seguridadmobile.com/bluetooth/seguridad-bluetooth/deteccion-de-dispositivos.html

Es un programa de gospel (moderador del foro).

Lo estoy intentado compilar con gcc para hacerlo funcionar sobre ubuntu. Alguien lo ha hecho para saber en que me estoy equivocando?

Agradezco su ayuda.

Saludos
JUCA

Tengo la clave de gpg generada .

Y para firmar un documento pongo lo siguiente en una ventana de terminal:

gpg --output cifrado.gpg --sign original.pdf

Luego me pide que ingrese mi contraseña y el proceso termina perfecto.

Ahora la idea es que utilizando PHP poder realizar este procedimiento y mandar como argumento la clave para que el proceso se haga automaticamente incluso si es con muchos archivos.

Si alguien se le ocurre algo espero sus respuestas.

Saludos
JUCA

Antes de habilitar los RSS en mi sitio web investigue durante algun tiempo como hacer el archivo rss.php sin encontrar ningun documento donde expliquen calaramente como hacerlo.
Me toco ir uniendo varios contenidos de varios sitios para poder resolver este inconveniente.
Ahora para que no pasen lo mismo aqui dejamos el codigo de como se lo hizo

Aqui esta el codigo cada linea esta comentada para entenderlo facilmente:

Código [Seleccionar] Expandir

<?php
//incluimos la cadena de conexion
include("Censurado/conexión.php");

//Datos del RSS
$rss_titulo = 'hackeruna.com';
$rss_url = 'http://www.hackeruna.com/he/';
$rss_url_='http://www.hackeruna.com/he/index.php?contenido=';
$rss_descripcion = 'Seguridad Informatica';
$rss_email = '3lfisgon@gmail.com';

//select hacia la base de datos
$q='SELECT * FROM contenido order by cod_cont desc limit 0,15';
$registros=LEER_BDD($q);

//Cabecera importante para generar el RSS
header('Content-type: text/xml; charset="UTF-8"', true);
echo '<?xml version="1.0" encoding="UTF-8"?>'; //iso-8859-1
echo
'<rss version="0.92">
<channel>
<docs>http://hackeruna.com/he/</docs>
<title>'.$rss_titulo.'</title>
<link>'.$rss_url.'</link>
<description>'.$rss_descripcion.'</description>
<language>es</language>
<managingEditor>'.$rss_email.'</managingEditor>
<webMaster>'.$rss_email.'</webMaster>
';

//Se retira caracteres que puedan dificultar la lectura del RSS
foreach( $registros as $reg) {
$busqueda=$reg[1];
$busq = array('á','é','í','ó','ú','ñ');
$reemp = array('a','e','i','o','u','n');
$busqueda=str_replace($busq,$reemp,$busqueda);

$des=$reg[2];
$busq = array('á','é','í','ó','ú','ñ','<br>');
$reemp = array('a','e','i','o','u','n','<br/>');
$des=str_replace($busq,$reemp,$des);

//Datos Finales del RSS
echo "<item>" ;
echo "<title>".utf8_encode($busqueda)."</title>" ;
echo "<link>$rss_url_".utf8_encode($reg[0])."</link>";
echo "<description>".utf8_encode($des)."</description>";
//echo "<pubDate>".trim($reg[6])."</pubDate>";
echo "</item>";
}

echo "</channel>";
echo "</rss>";

?>

Saludos
JUCA

Interesantes son estas 10 recomendaciones para poder programar de mejor forma en PHP espero les ayude y les parezca de utilidad.

1.- Saber programar, cómo vas a saber programar PHP sino no sabes metodologías de programación y algoritmos. Una vez uno me dijo, yo es que sólo se PHP, Java no eso es como el anuncio de la ONCE sólo que este sí que era un iluso.

2.- Domina HTML, PHP no es nada sin él y digo sin usar Dreamweaver.

3.- Crea tu código pero no olvides el de los demás, un buen programador no es el que crea el mejor código, es el que da la mejor solución en el mejor tiempo posible y los programadores PHP nos convertimos a veces en perfectos documentalistas de todo el código que anda por la red.

4.- Aprende bases de datos, es vital con MySQL, saber relacionar tablas es importante.

5.- Separa el código del diseño, usa algún sistema de templates, existen algunos como Smarty.

6.- Usa un buen editor de código como Zend Studio (de pago) o Eclipse (código abierto).
JUCA (yo aumentaria context con ese trabajo yo liviano, gratis y facil de usar en Linux utilizo gedit de igual forma muy facil y rapido para programar codigo en PHP).

7.- Reutiliza tu código, no es necesario POO pero bueno, si la sabes mejor que mejor.

8.- Ten algún amigo que pueda prestar ayuda en momentos puntuales con el tema.

9.- Ten en cuenta siempre a quien va destinado el sitio web, tanto a usuarios como a motores de búsqueda, intenta usar mod_rewrite , encapsula bien tu código para que sea rápido e intenta siempre optimizarlo al máximo, también usando algún acelerador de PHP en tu servidor.

10.- Internet no es sólo que tú sepas PHP, hay más, AJAX, Java, RoR, si PHP no es lo mejor para un determinado proyecto no lo uses, usa otra cosa, no te empecines e innovate a ti mismo.

Hay pequeñas cosas que editado o he aumentado del articulo original ya que en algunas no coincido o pense que era necesario aumentar algo adicional.

En hackecuador se mantiene las direcciones absolutas con PHP a pesar de que la navegacion en el sitio se intenta que sea 100% en Ajax todavia existen algunos limitantes con esta tecnologia.
Proximamente explicare mas a fondo estos detalles.

Fuente: avivancos.com/programar-bien-php/

Luego de algunos años ofreciendonos un sistema de programación estable, robusto y eficiente, va a dejar de ser actualizado a finales de este año.
Hasta el 8 de Agosto de 2008 se ofrecerán parches para solucionar algunos problemas de seguridad críticos.

El comunicado del equipo de desarrollo de PHP dice lo siguiente:

Hoy hace exactamente tres años desde que se liberó PHP 5. En estos tres años ha incorporado muchas mejoras sobre PHP 4. PHP 5 es rápido, estable, y está preparado para ser puesto en sistemas en producción. Al estar PHP 6 en camino, se dejará de desarrollar PHP 4. El equipo de desarrollo de PHP anuncia que continuará manteniéndolo únicamente hasta finales de este año. A partir del 31 de diciembre de 2007 no habrá más publicaciones de PHP 4.4. Continuaremos liberando correcciones de problemas de seguridad críticos según cada caso hasta el 8 de agosto de 2008. Por favor, dedicad lo que queda de año para hacer que vuestras aplicaciones puedan funcionar sobre PHP5.

Esperemos el migrar aplicaciones no sea complicado, ya que actualmente gran cantidad de sitios están desarrollados con PHP4.

Saludos
JUCA

Bueno les cuento yo si se como hacer un popup.
Pero el caso es el siguiente necesito que al escribir esto :

110202 al finalizar de escribir este numero me muestre un popup .

El codigo lo estoy haciendo en PHP

Ideas???

Pensaba utilizar Ajax , alguien le pasó alguien puede aportar ?


Saludos
JUCA