Mensajes

¿?

En Italia también lo buscan jaja los de Hacking Team están encantandos con él, les ha ayudado a mejorar su seguridad y sus productos      

Ahora también lo buscaran los Mossos de Esquadra, no te preocupes, no eres el único que lo buscas.

Pastebin es una web para pegar contenido, no la web de Phineas Fisher (Hack Back!)

Su e-mail es hackback@riseup.net, aparece en su clave pública PGP al final de la guía.

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=E5+y
-----END PGP PUBLIC KEY BLOCK-----

Dudo que si le mandas un e-mail sin cifrar te conteste xD

Resulta más interesante saber que relación tienen los supuestos Anonymous que han hackeado la web de la mutua de la Policía en España https://twitter.com/FkPoliceAnonOps con Phineas Fisher... para mi que es el mismo xD y además canta mucho eso que de sus 11 seguidores, 3 sean de Chile xD

También ha concedido varias entrevistas:

http://www.ara.cat/societat/Policies-mes-poderoses-Mossos-busquen-delictes-grans_0_1580242126.html

Y en http://motherboard.vice.com/  el editor  Lorenzo Franceschi  también suelen hablar mucho bastante de él.

En el análisis del video del hackeo al sindicato de los Mossos hay una posible pista (posiblemente) falsa:

http://blog.elhacker.net/2016/05/analisis-del-hackeo-al-sindicato-de-los-mossos-de-esquadra-fallos-errores-mse.html

Y es que la hora que aparece es CLT (Chile)

El título de la pregunta no es correcto, es muy génerico....he estado apunto de borrar el mensaje.

[Medusa: herramienta para realizar ataques por fuerza bruta]

estoy viendo Mr Robot y Elliot utiliza fuerza bruta [..]

jaja justo ahora estaba viendo esto:

[youtube=640,360]https://www.youtube.com/watch?v=vR1ktfzlsug[/youtube]

Los ataques por fuerza bruta a servicios web hoy en día prácticamente no tienen sentido, porque están implementados mecanismos de defensa, como Fail2Ban o sistemas de Captcha (imagen de verificación) para verificar que las peticiones son humanas y no automáticas o de robots.

http://blog.elhacker.net/2014/05/instalar-y-configurar-fail2ban.html

Ni hotmail, ni gmail, ni el propio foro xD te van a dejar probar más de 10 combinaciones sin bloquearte temporalmente el acceso por intentos fallidos....

Sin embargo los ataques por fuerza bruta a contraseñas (hashes) si son muy utilizados con diccionarios y variaciones o con ataques con tablas predefinidas con un algoritmo, como las tablas "Rainbow". Ya que aquí puedes hacer todos los intentos o combinaciones que quieras, ya que es suele ser en local, y no hay ninguna restricción, tan sólo la potencia de tu CPU, bueno más bien dicho de tu GPU que es la que realmente es capaz de hacer más combinaciones en menos tiempo.


http://blog.elhacker.net/search/label/cuda

Medusa: herramienta para realizar ataques por fuerza bruta
http://blog.elhacker.net/2015/06/medusa-herramienta-para-realizar.html

[temporalmente]

Lo que sucede son cosas totalmente diferentes, me explico a continuación.

El foro se monitoriza cada x tiempo para comprobar las cargas (load average) y el estado de los servidores.

no se si les ha pasado, pero hay veces que al intentar acceder al foro, aparece un mensaje diciendo como escaneando la petición de orígen y a veces rechaza la conexión, y a los 5 minutos vuelve a la normalidad,

Cuando suben las cargas del servidor se activa automáticamente la opción de Under Attack (I'm Under Attack) usando la API de CloudFlare y aparerce el mensaje de comprobación del navegador de los 5 segundos de espera.

Esta es la plantilla personalizada utilizada:

http://ns2.elhacker.net/under_attack.html

De todas maneras la mayoría de los países de lengua hispana está en la lista blanca (whitelist) de CloudFlare y no les aparece la opción de los 5 segundos de espera cuando se activa el modo Under Attack. Pero si es cierto que si recibimos un ataque y las cargas del servidor aumentan de form considerable también se aplica al resto de países.

CloudFlare tiene 5 modos de acceso de países, ips o rangos de ip's, ASN, o redes como Tor :

- Bloqueado (blackList) sin acceso
- Captcha
- Whitelist (lista blanca)
- javascript Challange (comprobación del navegador, 5 segundos de espera para ver si la petición es correta).

Aquí está mejor explicado:

http://blog.elhacker.net/2014/10/funcionamiento-configuracion-proteccion-ataques-ddos-cloudflare.html

otras veces al ingresar al foro principal, el sitio redirige hacia la opción de ingresar, pero puedes entrar normalmente a temas en los subforos.

Cuando las cargas son superiores a x (por ejemplo cuando se hace una copia de seguridad del mysql del foro) se activa la opción temporalmente de impedir el acceso a los invitados al foro, es decir, necesitas estar logeando con tu cuenta para poder ver los temas.

otras veces al entrar en un tema cualquiera, el ícono de recarga del navegador se queda permanentemente en animación (como si un script o parte del contenido del sitio no ha terminado de cargarse)

Eso ya no es normal. Mira de hacer una captura de pantalla cuando ocurra para poderlo analizar.

el titular de la noticia es incompleto y sensacionalista.

Lo que ha sido hackeado ha sido la página web de la mutua de la Policía:

http://www.mupol.es

En realidad mupol.es es "un fondo de inversión para los policías españoles".

Mupol es una mutua creada en su día por la Dirección General de la Policía, que actualmente actúa como entidad privada sin ánimo de lucro y en la que están afiliados 17.000 policías, según ha explicado el presidente de la entidad Julián González.

Fuente:
http://www.eldiario.es/cultura/tecnologia/Anonymous-personales-nacionales-Ley-Mordaza_0_522148460.html

En ElCondifencial está mejor explicado, gracias a Mercè Molist que ha sido de las primreras que se ha enterado.

http://www.elconfidencial.com/tecnologia/2016-06-01/anoymous-filtra-en-internet-los-nombres-emails-y-dnis-de-5-400-policias-nacionales_1209646/

[Hashes con salt]

daniela Vega ese código a parte de malo es muy viejo.

Ahora se usa el conector mysqli, no mysql

Ejemplos:

Código (php) [Seleccionar] Expandir

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
   // do something with $row
}


Código (php) [Seleccionar] Expandir

<?php
    $mysqli = new mysqli("server", "username", "password", "database_name");

    // TODO - Check that connection was successful.

    $unsafe_variable = $_POST["user-input"];

    $stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");

    // TODO check that $stmt creation succeeded

    // "s" means the database expects a string
    $stmt->bind_param("s", $unsafe_variable);

    $stmt->execute();

    $stmt->close();

    $mysqli->close();
?>

Código (php) [Seleccionar] Expandir

$name = $_GET['username'];

if ($stmt = $mysqli->prepare("SELECT password FROM tbl_users WHERE name=?")) {

   // Bind a variable to the parameter as a string.
   $stmt->bind_param("s", $name);

   // Execute the statement.
   $stmt->execute();

   // Get the variables from the query.
   $stmt->bind_result($pass);

   // Fetch the data.
   $stmt->fetch();

   // Display the data.
   printf("Password for user %s is %s\n", $name, $pass);

   // Close the prepared statement.
   $stmt->close();

}

Código (php) [Seleccionar] Expandir

<?php

/**
 * Check if the 'id' GET variable is set
 * Example - http://localhost/?id=1
 */
if (isset($_GET['id'])){
  $id = $_GET['id'];
  /**
   * Validate data before it enters the database. In this case, we need to check that
   * the value of the 'id' GET parameter is numeric
   */
   if ( is_numeric($id) == true){
    try{ // Check connection before executing the SQL query 
      /**
       * Setup the connection to the database This is usually called a database handle (dbh)
       */
      $dbh = new PDO('mysql:host=localhost;dbname=sql_injection_example', 'dbuser', 'dbpasswd');
      
      /**
       * We are going to use PDO::ERRMODE_EXCEPTION, to capture errors and write them to
       * a log file for later inspection instead of printing them to the screen.
       */
      $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
      
      /**
       * Before executing our SQL statement, we need to prepare it by 'binding' parameters.
       * We will bind our validated user input (in this case, it's the value of $id) to our
       * SQL statement before sending it to the database server.
       *
       * This fixes the SQL injection vulnerability.
       */
      $q = "SELECT username 
          FROM users
          WHERE id = :id";
      // Prepare the SQL query
      $sth = $dbh->prepare($q);
      // Bind parameters to statement variables
      $sth->bindParam(':id', $id);
      // Execute statement
      $sth->execute();
      // Set fetch mode to FETCH_ASSOC to return an array indexed by column name
      $sth->setFetchMode(PDO::FETCH_ASSOC);
      // Fetch result
      $result = $sth->fetchColumn();
      /**
       * HTML encode our result using htmlentities() to prevent stored XSS and print the
       * result to the page
       */
      print( htmlentities($result) );
      
      //Close the connection to the database
      $dbh = null;
    }
    catch(PDOException $e){
      /**
       * You can log PDO exceptions to PHP's system logger, using the Operating System's
       * system logging mechanism
       *
       * For more logging options visit http://php.net/manual/en/function.error-log.php
       */
      error_log('PDOException - ' . $e->getMessage(), 0);
      /**
       * Stop executing, return an 'Internal Server Error' HTTP status code (500),
       * and display an error
       */
      http_response_code(500);
      die('Error establishing connection with database');
    }
   } else{
    /**
     * If the value of the 'id' GET parameter is not numeric, stop executing, return
     * a 'Bad request' HTTP status code (400), and display an error
     */
    http_response_code(400);
    die('Error processing bad or malformed request');
   }
}

Y se debería usar en las sentencias SQL el parámetro LIMIT 1.

Recuerda deshabilitar  las "emulated prepared statements"

Código (php) [Seleccionar] Expandir

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

Recuerda que a partir de PHP 5.5.0 la función mysql_real_escape_string ya no existen y se debe usar la función :

mysqli::escape_string

Tienes más ejemplos con SMF 2.1 (BETA) que ya usa bcrypt para cifrar las contraseñas.

http://php.net/manual/es/security.database.sql-injection.php
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

Hashes con salt

Los hashes con salt, son como los hashes de toda la vida pero con unplus de seguridad. En este caso el truco está en la salt que se le agrega. Salt es un número de dígitos aleatorios que se le agrega al hash ya sea al principio o al final. Con lo que los hashes ya no son los normales y por ende no figurarán en una tabla haciendo más dificil  crackearlos. Ya que se deberá probar no solo con cada hash, sino tambien con cada salt y sus combinaciones.

Las funciones de hash más conocidas y utilizadas eran MD5 y SHA-1, pero dado que MD5 y SHA-1 han sido comprometidas, actualmente se recomienda el uso de nuevas funciones como son SHA-2 y Bcrypt.

El hecho de que los hashes sin salt no se combinaran con un valor "único" (salt) para que cada cuenta, hace que el proceso de crackeo sea mucho más rápido ya que requiere menos cálculo.

Gracias al "salt", garantiza que cada hash almacenado es único, incluso si dos usuarios eligen la misma contraseña de acceso, cada uno de hash en una tabla comprometida debe ser crackeada por separado.


La nueva API para codificar contraseñas de PHP 5.5

Internamente la API utiliza la función crypt() y está disponible desde la versión 5.5.0 de PHP. Si utilizas una versión anterior de PHP, siempre que sea igual o superior a 5.3.7, existe una librería con las mismas funcionalidades que la nueva API: github.com/ircmaxell/password_compat.

La función más importante de la nueva API es password_hash(), que codifica la contraseña que le pases con el algoritmo indicado

El primer argumento de la función es la contraseña original sin codificar y el segundo argumento debe ser una de las dos siguientes constantes

- PASSWORD_DEFAULT, codifica la contraseña utilizando el algoritmo bcrypt y el resultado es una cadena de 60 caracteres de longitud, cuyos primeros caracteres son $2y$10$. El algoritmo utilizado y la longitud de la contraseña codificada cambiarán en las próximas versiones de PHP, cuando se añadan algoritmos todavía más seguros. Si guardas las contraseñas en una base de datos, la recomendación es que reserves 255 caracteres para ello y no los 60 que se pueden utilizar actualmente.
- PASSWORD_BCRYPT, a pesar de su nombre, codifica la contraseña utilizando el algoritmo CRYPT_BLOWFISH. Al igual que en el caso anterior, la contraseña codificada ocupa 60 caracteres en total, siendo los primeros caracteres $2y$.

El tiempo empleado en codificar una contraseña se denomina "coste" y se puede configurar mediante el tercer argumento opcional de la función password_hash(). El coste por defecto es 10 (por eso el prefijo de las contraseñas anteriores es $2y$10$) y su valor debe estar comprendido entre 04 y 31.


http://php.net/manual/es/function.password-hash.php

Si, si una noticia interesante se publicara en el foro Libre sobre seguridad o informática (y no estuviera repetida) podría ser movida y entonces publicada en el foro de Noticias, no hay ningún probema.

[blanquear dinero]

el titular es algo erróneo:

30 detenidos en España por blanquear dinero en centros de minería de Bitcoin

Conviene aclarar que ni es ilegal Bitcoin ni tampoco el "minado" de esta moneda virtual, electrónica, descentralizada e independiente de emisores centrales. El minado permite legitimar y asegurar la seguridad en las transacciones.

Recomendable lectura:

https://www.faseconsulting.es/legal/detenidos-mineria-bitcoin

[El BQ Aquaris X5 actualiza a Android Marshmallow 6.0.1]

La capacidad al comprar un móvil es muy inferior a la anunciada. Desde OCU, y a través de la campaña NoMeToquesLosGigas, iniciamos acciones judiciales contra los principales fabricantes. BQ es la primera empresa que se compromete a incluir la memoria de almacenamiento libre.

Los terminales llevan aplicaciones de serie no solicitadas por los consumidores, que no pueden ser suprimidas y que a veces se actualizan restando espacio al dispositivo. Después de comprobar, mediante pruebas de laboratorio, que la capacidad de almacenamiento interno disponible era muy diferente de la anunciada como capacidad total, el pasado 9 de diciembre OCU inició acciones judiciales contra los principales fabricantes de teléfonos móviles.

Movilízate para que no te toquen los gigas
http://www.ocu.org/movilizate/no-tocar-gigas

La diferencia de capacidad varía mucho de unos fabricantes a otros y, dependiendo del modelo, la memoria interna libre podía reducirse al 22% en el caso de los teléfonos con menos de 8 GB (lo que los hacía prácticamente inutilizables una vez instaladas unas pocas aplicaciones) o al 30% en el de los de 8 GB. Por estos motivos y a partir de ahora, la compañía BQ indicará en el embalaje de todos sus smartphones, además de los gigas de la memoria interna, la capacidad de almacenamiento que está libre para el usuario.

Calcula la capacidad de tu móvil y recupera tu memoria

OCU considera que la falta de información sobre la capacidad real es muy perjudicial para el consumidor, que compra (y paga) un dispositivo con unas características que en realidad no tiene. Con el objetivo de denunciar este caso de publicidad engañosa pusimos en marcha la campaña NoMeToquesLosGigas y hemos mantenido reuniones con distintos fabricantes para que incluyan información real.

Si tú también estás harto de que te toquen los Gigas sin que lo sepas, comprueba la capacidad real del almacenamiento de tu teléfono en la calculadora y súmate a nuestra iniciativa NoMeToquesLosGigas.


El BQ Aquaris X5 actualiza a Android Marshmallow 6.0.1


¡Por fin! Es lo que más de un usuario se le habrá pasado por la cabeza al leer el titular. Y es que BQ ha liberado la actualización de Android Marshmallow en su versión 6.0.1 para el BQ Aquaris X5.

La actualización que ha liberado BQ es la 4.0.0 que, entre otras mejoras, da el paso a Android Marshmallow y podrán descargarla todos los usuarios que tengan este terminal, vía OTA. Estas son las novedades más relevantes.

    Actualización a Android Marshmallow 6.0.1
        Mejora la estabilidad del dispositivo
        Mejora el rendimiento del dispositivo
        Incluye paquete de parches de seguridad de Mayo
    Nuevas BQ features:
        Ahora, para mejorar la privacidad, desde la pantalla de bloqueo no se tendrá acceso a los toggles de cobertura y modo avión.
        Con el dispositivo en reposo, con doble pulsación en botón power podrás acceder directamente a la cámara.
        Ahora el led de notificaciones se integra con el modo No Molestar de Marshmallow

Esta actualización es totalmente oficial, la noticia ha sido publicada en el foro de BQ, mibqyyo.

Muchos opinan que ha tardado mucho en ver la luz, y más los usuarios de los BQ M5 y M5.5 que aún tendrán que esperar unos días para recibir la actualización, pero hay que tener en cuenta que optimizar un sistema como Android, no es moco de pavo. Sino, solo hay que ver como los BQ E5 FHD y E6 no han podido actualizar a Android Marshmallow de manera oficial debido a las trabas que puso Mediatek a la hora de facilitar los drivers necesarios.

Fuentes:
http://www.ocu.org/tecnologia/telefono/noticias/memoria-libre-bq
http://billionbytes.es/bq-aquaris-x5-actualiza-android-marshmallow-6-0-1-20544

[La persona que hackeó el Sindicato de los Mossos robó dinero a un banco y lo donó a un grupo Anti-ISIS]

Y seguimos:

La persona que hackeó el Sindicato de los Mossos robó dinero a un banco y lo donó a un grupo Anti-ISIS
http://blog.elhacker.net/2016/05/la-persona-que-hackeo-el-sindicato-de-los-mossos-robo-dinero-de-un-banco-para-donarlo-a-un-grupo-de-lucha-anti-ISIS.html

esto va dar que hablar durante días.

Se ha publicado el vídeo del hackeo:

[youtube=640,360]https://youtu.be/oTbI74ti0yY[/youtube]

Se hace pasar por Chema Alonso en broma xD Y dice Saludos Malignos!

Más información:
http://blog.elhacker.net/2016/05/filtran-los-datos-personales-de-unos-5-mil-600-mossos-d-esquadra.html