Mensajes

Simplemente no veo a un chaval pagando por eso.

Creo que ya veo el problema. Vamos a ver, que dije "probablemente". No dije "muy probablemente" o "casi seguro que fue un DDOS". Cuando me refiero a "probablemente", es que hay una probabilidad, pudo haber pasado. Yo tampoco veo normal a un chaval de 10 años haciendo esto a una amiga/compañera pero es lo que hay aparentemente. Mencione otros vectores, que tan probables sean comparados con un DDOS no se....

Tu me dirás que tan imaginativo quieres que me pongas. Quizás la hija estuvo involucrado en todo esto y le ha proporcionado todas las herramientas a su amigo para gastar una broma al padre. O podemos decir que el compañero es un alienigena hacker que se las sabe de todas todas.

Digo, lo único que sabemos es que la hija estaba hablando con su amigo y le tiraron su internet. Puedo encontrarte un millón de explicaciones a todo, ¿Pero si estás preocupado por el aspecto de seguridad obviamente voy a salir con teorías relevantes no?

Es decir, crees que el chaval ha lanzado un ddos contratado?

¿No veo porque el escepticismo? ¿Que crees que el chaval se tiene que reunir con el proveedor a oscuras? ¿Que no tendría forma de pagar 2-5 euros por un ataque de 5 mins? ¿O que crees que los servicios están limitados a gente mayor a 10 años solamente?

Ninguna de esas. Lo "standard" hoy en día, es usar KDFs de las cuales MySQL no soporta hasta donde yo tengo entendido. No uses ningún tipo de cifrado, ni md5, ni sha ni nada por el estilo.

password_hash/password_verify funciona mil veces mejor (literalmente).

Algo no funciona

Como dije, los DDOS hoy en día son mucho más accesibles y mucho más baratos. No hace falta ser un ingeniero en informática para lanzar un ataque DDOS.

No hay que subestimar a los niños solo por ser niños. Hay un número de herramientas hoy en día que no requieren que el usuario sea un experto. Esa es la meta de muchas herramientas, simplificar el uso de las tareas.

Aquí hay una fuente:

You know it's become way too easy to launch a distributed denial of service (DDoS) attack when even a 12-year old child can do it. This is the reality shown by a recent report from the National Crime Agency (NCA) in the United Kingdom, which found that the average age of suspects that it has investigated for cybercrime offenses such as computer hacking and online fraud is just 17, and some incidents involved suspects who were under the age of 10.

https://www.corero.com/blog/833-teen-hackers-can-launch-a-ddos-attack-for-cheap.html

Por si quieres leer más.

Se cayó en toda la casa, la red interna funcionaba correctamente, pero no había salida al exterior

Probablemente un DDOS entonces. Hoy en día, lamentablemente, los costos de DDOS son baratos y muy accessibles. Incluso si no tienes un enlace de ancho de banda suficiente (uno de los DDOS mas comunes) te pueden saturar la linea fácilmente (sin usar ningún servicio ni nada).  En la mayoría de los casos, no hay nada que puedas hacer, excepto hacerle saber a tu ISP que te están haciendo un DDOS.

Hay otros vectores... por ejemplo, si la persona obtuvo tu IP por hangouts y descubre que tu ISP reparte uno de esos routers con control remoto activado (porque los ISPs son muy listos), se pudo haber metido fácilmente a tu router y prácticamente cortar el servicio a todos en esa red.

Si fue un ataque que fue realizado completamente desde el exterior, lo más probable es que haya sido un DDOS. Si logro penetrar en un equipo en tu red pues hay muchas formas de hacer lo que hizo.

Muchas gracias string Manolo, por tu respuesta tan detallada.

Hay una cosa que no termino de entender. ¿Cómo ha averiguado mi IP desde una conversación de Hangouts? He visto que hay páginas como mostwantedhf que permiten resolver una IP de un usuario de Skype, pero no he visto nada similar para hangouts

Hangouts puede ser usado en modo p2p (en lugar de usar los servidores de google). De ahí es muy fácil obtener la IP. No estoy seguro si el protocolo que usa Hangouts comparta información extra acerca del otro punto (como el modelo de la tablet). Y pues para denegar el servicio de red, hay varias formas en las que puedes hacer eso pero va a depender de lo que tu hayas creído que haya pasado con tu red y encima que no vale la pena mencionarlo.

¿Se le fue el internet a tu hija en su tablet o nadie más tenía internet en tu casa?

Hay un método mas laxo que no requiere hacer un storing de todas sesiones y realizar un destroy de las sesiones. Puedes utilizar un timestamp. En la sesion guardas que hora es cuando hace login y en la base de datos poner en la base de datos almacenas que hora es cuando cambie la password (poniendo solo en los datos de esa sesion el timestamp).
Si alguien entra, existe sesion y es mas vieja que el timestamp pues le quitas la información de la sesion y que tenga que volver a hacer login. No se si se entiende.

No hace falta guardar un campo extra, si vas a estar haciendo una query constantemente, puedes simplemente guardar el hash del pass del usuario en la sesión. Si el hash cambia en la base de datos (porque cambió la contraseña) la verificación debería fallar:

Código (php) [Seleccionar] Expandir


if($_SESSION['hash'] !== $hashUsuarioBD) session_destroy();

Esto también te permitiría por ejemplo no destruir la sessión, sino permitirle al usuario que actualize el hash de la session para que no pierda todo lo que ha hecho ya en esa sesión.

Perdón por la ignorancia pero no entendí...¿podría conectar el disco duro de 8tb a la tele vía usb 2.0 y vía wifi controlarlo con el móvil a través de plex?
Acabo de caer en la cuenta que también podría usar como cliente una tablet android (obviamente tiene wifi y tiene una entrada micro usb pero no sé si servirá para un disco duro de 3.5.

¿Porque habrías de conectar el disco duro de 8TB a la tele? Plex es software servidor-cliente. Tienes una computadora o dispositivo que es el servidor que contiene toda tu media y tienes clientes que se conectan al servidor para pedir un archivo en específico para reproducir.



Así que básicamente tienes un servidor en cualquier parte de la casa que tiene los discos duros llenos de tus archivos de video y cualquier cliente (móvil, consola, smart tv, chrome cast, etc) puede reproducir los videos que tienes en la casa.

Veré las especificaciones de Plex, el problema es que el cliente tendría que ser un pc que está lejor de la tv. ¿Desde un movil se puede controlar plex como si fuera un control remoto, resistirá navegar entre 8TB con 5000 archivos de video?
Gracias.

Para nada, tienes un montón de clientes de Plex. Desde celulares hasta Smart TVs. Chromecast funciona si no tienes una smart TV.

Realmente puedes o no necesitar un panel. Depende de como vendas tus servicios. Si vas a ofrecer un extra por paneles o lo que sea, pues vas a tener que cobrar más dinero. Esa es la única forma de tener un ingreso sustentable.

Si estás desarrollando sitios, tu eres responsable de la actualización, instalación, mantenimiento y monitoreo de los sistemas y tus usuarios no necesitan hacer absolutamente nada de esto pues entonces no hay necesidad de un panel. Claro que toda la responsabilidad cae sobre ti. Si el sitio está caído, tu lo tienes que levantar. Si hubo un desastre de causa mayor  y no hay información en el servidor, tienes que montar el respaldo. Si anunciaron una vulnerabilidad para uno de los sistemas que estás usando, tienes que parchearla.

Que no le puedes dejar nada al usuario. Personalmente, yo cobraría para mucha de es estas cosas. Incluso si puedes automatizar mucha de estas tareas, es tiempo que tu dedicaste para automatizarlas. O simplemente no lo incluyas en tus servicios.

El problema viene después con clientes que esperan que tu hagas TODO (justamente, es lo que les has dicho) y tu no has cobrado bien para poder realizar las tareas necesarias. Pero bueno, clientes no satisfechos en todos lados.