:::: MENU ::::

Bug en Flattr: Registrarse siendo menor

Como sabéis, de momento, soy menor de edad, pero quería hacerme una cuenta en Flattr ya que permite obtener beneficios de donantes (es un servicio bastante interesante creado por Peter Sunde, uno de los creadores de The Pirate Bay) que le dan a un botón de tu página.
El servicio funciona de la siguiente manera: Tu pones un botón en tu página y luego los donantes asignan una cantidad de dinero,  después, el donante va por las páginas, y cuando ve un  botón de Flattr y dicha página o proyecto le resulta interesante al darle al botón se añade a una lista. A final de mes el dinero que asigno al principio se reparte entre todas las págnas/proyectos de esa lista, y de esa manera contribuyen a su desarrollo.

Bueno, volviendo al tema, yo no me podía registrar por que era menor,  y descubrí que simplemente cambiando el valor del selector del formulario me podía registrar con mi fecha de nacimiento real sin que la web me diera ningún problema, no se como funcionarán las fechas,  ni tampoco se si son posteriormente verificadas y se pueden poner bestialidades como 30 de febrero, pero al menos si se lo del registro, tan pronto como publique este post les enviaré un correo para que corrijan el problema y así eviten algunos valores que pueden ser perjudiciales, ya que en ningún momento lo hago por el mal de Flattr, lo que si pediré es si me permiten quedarme la cuenta…

Como podéis observar en la siguiente imágen con tan solo inspeccionar elemento y cambiar el valor de la opción del select a 2014 ya nos vale para cambiar la fecha, y nos deja registrarnos sin problema.

Valor cambiado con Inspeccionar Elemento

Valor cambiado con Inspeccionar Elemento

¿Cómo afirmamos que se guada la fecha introducida?
Si vamos a ajustes de nuestra cuenta con una fecha normal, en el código fuente sale seleccionada por defecto para que nos salga la que tenemos en el formulario, en cambio si miramos el código del registro que hemos alterado notaremos que ese trozo de código de la selección de la opción por defecto desaparede, lo cual significa que no concuerda con los años que seguramente generará un simple bucle for, y por ello no se muestra en ningún sitio, lo que confirma que la fecha alterada ha sido guardada en la base de datos.

Demostración

‘¿A qué viene este post?’ me diréis, bueno, pues más que nada es por que supongo que incluiré Flattr en la página y os voy avisando, además de publicitarlo un poco, no solo para que me ayudéis a mi (si queréis), si no que ayudéis a otros proyectos que lo merecen mucho más que yo y que se ganan la vida con ello y no un Hobby como el mio, además para gente que necesite el dinero más que yo.

Mañana ya es martes y tengo el último examen, lo cual significa que podré dedicar más tiempo al blog y subir de una vez una demostración de por que los chats son inseguros analizando los paquetes con wireshark y desencriptando un chat que crearé en C# en un ratillo. Buenas tardes a todos :)

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

¿Qué ha pasado con The Pirate Bay?

The Pirate Bay ha caído señores (esperemos que solo sea temporalmente).

Bueno, después de esa frase introductoria en la cual he ido al grano, comunicando a todos mis lectores que el grande de los Torrents ha caído, tengo que decir algo: Volverá.
No puedo asegurar su vuelta, nadie puede, ni tan solo sus creadores (de los cuales por lo que se ve, no se sabe nada), pero lo que si puedo asegurar es que si no vuelve, la cosa no acabará bien, puesto  que The Pirate Bay no solo consiste en la piratería (aun que sea su fundamento), ofrece un servicio de intercambio, de comunicación, como lo describirían sus creadores, y eso se debe conservar a toda costa puesto que es (o era) el mayor Tracker de internet, un 50% de los Torrents los administraba el solito.

Hay esperanza
The Pirate Bay ha infectado cientos de servidores comerciales y, sin que ellos ni sus administradores se den cuenta, se encuentran hosteando la página. El problema no es por los servidores, por mucho servidor que le quiten a los piratas, siempre tienan esas máquinas virtuales en los servidores ajenos, lo cual evita un problema. Un problema es lo que han hecho ahora, han atacado a su balanceador, que es el servidor que decide a que otro servidor accede cada usuario, es decir, el que se encarga de repartir el tráfico. Pero obviamente eso es fácil de reconstruir, solo es un servidor.
Otro problema es el de los dominios, el dominio .se es el dominio de Suecia, lugar dónde se han llevado a cabo las operaciones para desconectar la página, y ellos también tienen control sobre el dominio, pero tienen otros de repuesto segun han informado, por lo que tampoco debemos preocuparnos.

No os fiéis de los clones
The Pirate Bay está caído, por mucho que haya webs como thepiratebay.ee que aparente ser el oficial, no lo es, es más, te piden dinero para acceder a las descargas, las cuales son ilegales y además es obvio puesto que el tracker que las administra está caído.

Ejemplo del timo de los clones

Ejemplo del timo de los clones

Desconozco si ese tracker funciona o es una simple página de phishing, pero no os recomiendo probarlo.

Este post es cortísimo y es pura información sin estructura, solo os pido que vayáis con cuidado, y si, defiendo The Pirate Bay, y por la libertad de expresión tengo el derecho de decir lo que me de la gana en mi blog. Ale, buenas noches, que estoy bastante cabreado hoy.

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

La Suplantación de Identidad o Phishing

El Phishing o suplantación de identidad consiste en hacer que el usuario confie en un sitio web o correo malicioso con fines de sacarle información. El phishing, aun que no lo parezca, a veces es difícil de percibir, incluso si te lo envía un correo en el que confíes como [email protected] puede ser que simplemente el servidor de correo no compruebe la IP de donde proviene, y de esa forma aún creas más que es un correo oficial (posteriormente mencionaré una forma de ver si es phishing y también mencionaré en que tipo de cosas deberíamos confiar).

 Algunos métodos de Phishing
-Web que parece confiable relacionada con la empresa, o que simula un login o petición de compra para que introduzcas datos sensibles así como contraseñas o tarjetas de crédito. Es uno de los más comunes.
-Email envíado por una empresa (o a veces ni tan solo eso puesto que hay servidores que comprueban la IP y los hay que no, ejem…) que piden la confirmación de algunos datos y en realidad se los quedan ellos.
-Página web que promete dar dinero o créditos de juegos o incluso bancos poniendo la contraseña (aquí ya hay que ser muy tonto para picar, pero la sociedad es así…).
Básicamente los mencionados son los más usados, pero hay más métodos.

Algunos casos son por ejemplo los del CelebGate en el cual más de una víctima sufrió ese tipo de ataque (entre muchos otros que no tienen nada que ver con el Phishing), se usó el del correo en una o más víctimas y está confirmado.

Precauciones a tomar
Antes de abrir ningun link de un correo electrónico, aun que la dirección la cual nos lo envía sea de una empresa confiable, es posible que simplemente sea por un fallo de seguridad del servidor de correo, así que debemos mirar el link siempre. Por ejemplo, este link: http://www.facebook.com/ parece que lleva a facebook, pero en realidad lleva a mi twitter, es un truco que también se usa en esos correos, pero si pasáis el ratón por encima veréis que abajo os aparece el link real. En un caso extremo, si ya habéis abierto el link y tenéis la suerte de que no es un exploit, simplemente revisad la barrita de arriba y cerradlo de inmediato.
Nunca aceptéis el link de nadie, y, si os agregan a skype o algun servicio de mensajería, aseguráos de que la persona es real, aun que sea comprobando su IP y certificando su residencia, comprobando que no es un bot, etc.

Aquí os dejo además un vídeo en el que se demuestra un caso de Phishing por Chema Alonso. Trata sobre el CelebGate mencionado anteriormente.

El artículo es corto pero me lo pidió Sergi en un comentario en mi último post, así que bueno, no estaba muy inspirado pero espero que te sirva :)
Mañana más y mejor, que ya tengo algo preparado sobre Bitcoin :P

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

Chats, ¿Seguros? Va a ser que no…

Sí, lo sé, Telegram es la leche, es lo más seguro, tiene chats secretos, bla bla bla. Claaaaro…
No hay ningún chat seguro, ninguno. ¿Crees que por usar Telegram ya eres invisible? Lo siento, no es así. Obviamente Telegram es mucho más privado que Whatsapp (por razones obvias), pero sigue estando expuesto a espionaje, y eso es inevitable.

Básicamente, para que un chat sea seguro debe ir de la persona a la persona sin pasar por ninguna interconexión desconocida, es decir, si en casa tenemos 2 ordenadores y los conectamos con un cable de red (al cual sabemos que no tiene acceso nadie para pincharlo) , ese si seria un chat seguro, ya que sabemos que no hay nadie en medio para leerlo. Pero os aseguro que a través de internet, con un cable que sale de tu casa y va submarinamente hasta la otra punta del planeta, pierdestotalmente el control de la información.

¿Cómo intentan solucionar ese problema?
Para que nadie pueda leer los mensajes que van de una a punta a otra no pueden enviarlos como texto plano, lo que hacen es cifrarlos. La cosa es: Si cifras un mensaje (criptograma a partir de este momento), para que el receptor pueda leerlo, debe haber una forma de descifrarlo, y el problema entra ahí, si se encuentra la forma de descifrarlo, por ingeniería inversa, o por que se conozca el software, estamos perdidos, cualquiera con acceso a un punto de la conexión entre ambas máquinas puede leer nuestros mensajes, y eso es así actualmente puesto que hay muchisimas empresas y muchisima gente que pincha las conexiones, ya sea en cables submarinos, en ciudades, trabajadores o incluso el gobierno (como el conocido caso de la NSA, también conocida como Agencia de Seguridad Nacional).
Pero aclaro, si el lector lo puede descifrar, los intermediarios también.

Entonces, ¿Pueden leer lo que yo escribo?
Desafortunadamente sí. No solo hay esa forma de leerlo, tal vez el gobierno no tenga interés en lo que le digas a tus amigos, o quien sea que te espie “legalmente”, pero a lo mejor tu amigo/vecino/padre/jefe/enemigo si lo tiene, y el, con los conocimientos necesarios, podría llegar a leer los mensajes. Es más, hasta hace poco Whatsapp era facilisimo de espiar con tan solo un simple Man in the Middle, al igual que los correos, que a día de hoy son texto plano, y con conectarse a la misma red Wi-Fi… Pero bueno, Whatsapp ha mejorado su seguridad, Telegram nació bastante seguro y ahora vendrá Heml.is, pero ¿quién sabe quien tiene la posibilidad de descifrar nuestros mensajes?

Ejemplo
Os mostraré un ejemplo, pero aún no lo tengo preparado, seguramente editaré el post y lo pondré por aquí abajo, de momento os pongo un ejemplo teórico y no práctico. El ejemplo que os mostraré cuando esté listo consistirá en un source de un chat hecho en C#, será P2P, es decir, de cliente a cliente, pero uno de ellos actuará como servidor, y enseñaré básicamente que pasa a la hora de las encriptaciones.
Un cifrado ultra-mega-básico (el cual no serviría más que para hacer perder 5 minutos de su vida a un ingeniero) sería coger el valor en la tabla ASCII de un caracter, restarle 1 y volverlo a pasar a su caracter correspondiente. El dispositivo que lo leyera solo tendría que ir letra por letra sumando (vamos, a la inversa) y ya lo habría descifrado, pero eso obviamente es muuuuy fácil, normalmente se hace con procedimientos matemáticos bestiales.

Ejemplo del ROT-13

Ejemplo del ROT-13

Otro ejemplo de cifrado sería el ROT-13, es un cifrado básico y que solo se sa en un foro si quieres decir alguna cosa para que solo te entienda una determinada persona y para perder de vista a los bots que se pasan por ahí, pero en verdad no es nada seguro usarlo en un chat ya que sería cuestión de segundos descifrar los mensajes.

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

Petición a la RAE

Muchos hackers hemos realizado ya esta petición últimamente, y obviamente no voy a iniciar una recogida de firmas puesto que me leen cuatro gatos, pero sí que voy a intentar aportar mi granito de arena a una que inició Chema Alonso hace relativamente poco.
Pero obviamente no voy a hacer un post solo pasándoos un link del suyo, también os hago un pequeño resumen por aquí :)

Bueno, la RAE en su definición para ‘Hacker’ tiene lo siguiente: ‘Pirata informático’. Esa entrada relaciona explícitamente el término ‘hacker’ con pirata informático, lo cual no tiene nada que ver puesto que un pirata informático es un tipo de delincuente que usa técnicas Hacker para cometer sus delitos.

Definición de 'hacker' de la RAE

Definición de ‘hacker’ de la RAE

Un ejemplo claro es un Ninja, puedes utilizar técnicas Ninja para hacer el mal, eres un delincuente por ello, pero un Ninja no tiene por que ser malo, es más o menos así, solo que ni si quiera se considera hacker al pirata, aun que utilize dichas técnicas.

Os adjunto aquí un vídeo con información sobre ello de Chema Alonso:

Esta es la petición de firmas: https://www.change.org/p/real-academia-de-la-lengua-espa%C3%B1ola-que-cambien-la-definici%C3%B3n-de-hacker-como-pirata-inform%C3%A1tico

Se que esta entrada es bastante corta, la verdad es que tengo poco tiempo ahora mismo y no puedo entretenerme más. Cuando pueda hago otra entrada (no se si será hoy).
Espero que colaboréis con esto y muchas gracias por leerme. Y recordad, mañana ya es viernes :D

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

Páginas:1234