Seguridad Blog

Aclaración, podría decirse que es un mensaje para la nación y para el mundo

2011-05-01T05:14:00.000-07:00

Wow! ¿Tanto tiempo? Hace mucho tiempo no actualizo este blog, ya llevo casi 2 años sin publicar algo en este blog. Sucede que ya había sacado un nuevo blog, llamado CholoHack. Todo bien, publico cositas que me gustan, lo hago porque me gusta hacerlo, incluso... ni siquiera tengo Google Adsense. Son cosas de la vida, pero diré la verdad. Sabes el porqué de este artículo? Quiero aclarar algo en mi blog pero no puedo hacerlo en Cholohack.com.

Sería una falta de respeto hacia los lectores que solo quieren leer algo sobre seguridad informática, si saben a qué me refiero... bien, si no saben a qué me refiero... se los explicaré ahora.

El sábado 23 de abril habían comenzado a circular una aplicación en Facebook que lo único que hacía era generar spam desde tu Facebook. Yo ni idea de qué se trataba pero un argentino lo hizo. Qué bueno que alguien se haya tomado el tiempo para descubrir algo que, realmente todos dan por perdido, a menos que te guste todo este tema informático.

Por supuesto, no había forma que deje pasar esa oportunidad para poner esa información en Cholohack, una información que le interesaría a muchas personas. Entonces el martes en la mañana me pongo a revalidar todas las cosas que dice ese usuario llamado Nanopene (nombre muy vulgar para solo decir que tiene el pene chiquito), solamente para rectificar y aprobar que esos datos sean verdaderos y no una farsa.

Más tarde, me llaman del área de Prensa de Peru.com. Querían que haga un resumen chiquito y entendible de lo que había puesto de aquél usuario de Taringa.

Está bien, no puse la fuente al principio, se me olvidó, tuve que hacer muchas cosas importantes y poner una fuente en un artículo no era nada más que una tontería a comparación de las otras cosas.

No había hecho nada hasta que me comunico con el área de Prensa de Peru.com y me dijeron que ya lo habían avanzado y solo corregí unos detalles técnicos.

En el artículo no he afirmado que YO he sido el INVESTIGADOR, el DESCUBRIDOR, el que hizo todo el trabajo de saber de qué se trataba esto.

Yo, muy orgulloso que mi nombre salga en Peru.com, puse la publicación en mi Facebook sobre tal artículo, el cual solo afirmaba cosas elementales y no me hacía acreedor de la investigación.

Ahora, un señor apellidado como el dictador hugo CHAVEZ, cuyo perfil físico es del típico gordito grandecito, escribió diciéndome que cómo era posible que haya plagiado ese artículo, que no era mio. Borré el comentario, me pareció de lo más estúpido venir a decirme que he plagiado un artículo cuando lo único que hice fue NADA, nada más que corroer la información, en la noche ya había puesto la fuente, bueno... puse Adaptación, porque como conté, había revalidado los datos y el contenido era diferente, aunque tengo un error... la línea cómica se me pegó un poco, pero no tiene nada de malo, no? Incluso ni las barreras del copyright y del copyleft hablan de una falta de ética al copiar o asemejar personalidades cómicas.

Pero bueno, ya fue, ¿no? Pero ese señor 'nanopene' comenzó a comunicarse conmigo, diciéndome que porqué me he copiado de él, porqué he plagiado su artículo. Vamos a buscar el significado de PLAGIAR:

Según la RAE:

plagiar.

(Del lat. plagiāre).

1. tr. Copiar en lo sustancial obras ajenas, dándolas como propias.

2. tr. Entre los antiguos romanos, comprar a un hombre libre sabiendo que lo era y retenerlo en servidumbre.

3. tr. Entre los antiguos romanos, utilizar un siervo ajeno como si fuera propio.

4. tr. Am. Secuestrar a alguien para obtener rescate por su libertad.

A ver, rescatemos el primer punto (quiero ser bien puntual). En ningún lado he puesto que ese artículo es mio, que yo he hecho esa investigación.

Todo comenzó con ese señor gordito, cuyo apellido se parece a CHAVEZ, del cual él no tiene una idea clara de qué es ‘el Hacking’ Ético.

Les voy a contar, él hacía una exposición para una conferencia, sobre ‘Hacking y Defacing’ en la Universidad Mayor de San Marcos. Pero al final la exposición fue diferente, tocó temas bastantes elementales (¿qué es virus? ¿qué es un troyano?, etc).

Por supuesto, llegó la tanda de preguntas y una de ellas fue: ¿Qué es Ethical Hacking?

Por supuesto, alzé la mano y respondí que es una serie de pruebas de penetración e intrusión a un sistema informático, con el debido permiso de la persona encargada de ese sistema informático, con el fin de encontrar vulnerabilidades, fallas de sistema, análisis de riesgos, entre muchas cosas.

¿Qué pasó? Escuché un ¡FALSO! El señor gordito me dijo que eso era falso, ya te imaginaras qué cara puse, algo como ¡WTF!

Comenzó a decir que Ethical Hacking es la compartición de información, que la información era libre y que pertenece a todos, que es algo como GNU, que comparte la ideología del software libre... “ESO ES ETHICAL HACKING”-terminó diciendo.

Pienso que una persona que no tiene ideas claras, e incluso no tiene preparación adecuada, algún certificado como CEH, CISSP, CCNA, CCNP, o algún otro, no puede estar hablando sobre términos científicos sin tener algo o alguien que revalide su capacidad. Me parece estúpido que una persona que no tenga un certificado que pruebe que está preparado, vaya a dar clases y conferencias, a veces gratis, a veces cobra poquito. Incluso dice que ninguna empresa del Perú puede dar certificaciones sobre seguridad informática, Hacking Ético, porque no son válidos en el exterior, y que no pierdan su tiempo. Para sorpresa mia, ese señor da certificados sobre casi las mismas cosas, incluso da clases de Linux, redes Wifi, entre muchas otras cosas más.

Me parece, aparte de estúpido, una taradez hacer eso y una negligencia por parte de los directivos de la Universidad Mayor de San Marcos. Bueno, quieren impartir un curso de ese rubro y como universidad del estado, no tiene mucho dinero. Se puede ‘entender’, pero esos señores… me parecen una burla para aquellos pequeños que no saben nada, que no tienen aún nociones, personas que quieren aprender. Al final, ellos verán la verdad y se darán cuenta que ese gordito, cuyo apellido se parece a CHAVEZ tiene muchas ideas erróneas. No digo que sea malo; como dijeron alguna vez sobre Ollanta Humala, que “es una buena persona con ideas malas”.

Ahora, yo estoy seguro que él contactó a Nanopene, él le dijo: “¿Vas a dejar que te plagee?” Yo soy bueno recolectando huellas y las huellas que pone nanopene, con el comentario de ese señor, son suficientes para mi. Me parece una mierda que haya dado información mia, me parece una completa mierda que haya dado información de mi enamorada, bueno, si es que la tiene, no lo creo, y me parece una inmunda y apestosa mierda que le haya dado datos mios de ESSALUD. Ahí es cuando uno dice ‘¡QUÉ HI-JO DE PU-TA!’. Para vuestra información, cambié mi dirección y mi teléfono, así que soy inubicable para ustedes, al menos por ahí.

Ahora ese ‘patita’ de nanopene, ¿qué hace? No puede aguantar que mi nombre salió en Peru.com, por mas que le expliqué que no he copiado su información, no me he hecho acreedor de esa información, solamente son datos revalidados, con ciertas dosis de humor del nanopene, que el cual, me parece muy vulgar, bueno ... yo lo hice menos vulgar.

Tal vez es por eso que me llamaron. Porque no fui tan vulgar.

Ahora me da plazo para rectificarme, vaya idea. Al final lo que hizo fue entrar a mi router, que por estupidez mia, había dejado la puerta bieeen abierta. A ver si puede entrar ahora, ¿no?

Yo digo, acaso ¿él no tiene nada qué hacer? ¡Carajo! Consíguete una mujer, seguro que así estarás mejor. Seguro ya tiene mujer, como ese señor nanopene, no es más que el mismo bastionbux, cuyo fin en las redes como Taringa, es la de dar historias para seducir mujeres, pero igual aún así, me sigue jodiendo.

Si fuera posible, como me lo dijo un amigo, tomaría acciones legales, pero él está en EUA o Argentina, no lo sé, yo estoy en Perú y lamentablemente, la idea de meterlo a la cárcel, aparte de ser una idea patética, es nula.

Ahora le digo a ese señor nanopene, que vuestros ataques no tienen sentido, un usuario X dice TU NOMBRE ESTÁ MANCHADO PARA TARINGA, bueno… aquí dicen LIMA NO ES EL PERÚ, TAMPOCO ES EL MUNDO. Si Lima no es el Perú, Taringa qué es para mi? Pues nada, creo que mi nombre ahí no haría nada, solo personas que no tienen nada qué hacer se arremeten contra el que escribe.

La mayoría que me escribe son argentinos, probando de nuevo su arrogancia y su estupidez ante los latinos, por algo es que son odiados, ¿no?. Tengo amigos argentinos y he conocido apartes otras personas y son muy amables… sí. Pero aquí se ven a los verdaderos idiotas argentinos, no a los que he conocido ni a las personas que tengo un buen concepto, los que me escriben tendrán algo de 13 a 15 años, por el nivel de respuesta que me dan, tal es como un “Negro peruano puto plagiador!”, o un “Ladrón hijo de puta, tu blog es una mierda y vos sos un hijo de puta fracasado. Das pena”.

Para qué decirles que me limpio el trasero con sus comentarios y que no los aprobaré por ser una falta de respeto muy grande, pero de hecho que no volverán a saber más de mi, no porque yo les haga algo, sino porque yo no soy nadie para la vida de “esas cucarachas de la red”.

Pues mi querido nanopene, eres mi primer enemigo de la red, pero yo sé que lo hago y sé lo que soy y nunca te haré daño, ni tampoco seré un intruso.

Yo tengo un sombrero blanco y se queda así.

Aqui les dejo algunos links:

Link de Cholohack:

http://cholohack.com/2011/04/26/objetivo-real-del-virus-de-facebook/

Link de NanoPene (mirá cómo se comporta ché):

http://www.taringa.net/posts/ciencia-educacion/10312737.7/Espiando-al-Equot_EspiaFace_comEquot_-El-objetivo-al-desnud.html

Link de Peru.com sobre mi y Cholohack:

http://www.peru.com/noticias/lima20110426/148881/Conozca-cual-es-el-objetivo-real-del-virus-de-Facebook---

Saquen sus conclusiones, si quieren insultarme, háganlo pero su comentario no saldrá en ningún lado, solo será un grito al vacío... o al water. Si ponen algo serio, con fundamentos y como persona madura, háganlo y lo aprobaré, tengo solo un comentario maduro, de unos tantos 40 y ese lo tengo que aprobar.

Gracias por leerme. Que Dios te bendiga.

Amor científico

2009-10-26T18:49:00.001-07:00

Dicen que el amor romántico es pura química, sentimos que estamos enamorados porque sufrimos un aumento de dopamina y de norepinefrina, que son sustancias excitantes y disminuye nuestra seratonina, que es la sustancia que regula nuestro estado de ánimo.

La dopamina favorece el aprendizaje de estímulos novedosos, en este caso el ser amado. Mientras que la norepinefrina nos ayuda a recordar los detalles de esa persona y los momentos que hemos pasado juntos. Los niveles bajos de seratonina producen pensamientos y conductas obsesivas.

Esto lo aprendí en un blog jeje, me interesó el tema y comencé a buscar más huevadas xD. Se podría decir que el amor es una droga, porque es como ser adicto a algún tipo de sustancia, osea nos volvemos drogadictos de la dopamina y la norepinefrina. ¿No les ha pasado que cuando surgen obstáculos para poder estar o ver a la persona que queremos, nos motivamos más para superarlos? Somos capaces de pasar cualquier dificultad, todo esto es gracias al aumento de la dopamina. Hablan del efecto Romeo y Julieta y es porque nos sentimos así, sentimos que somos capaces que ir contra todo y contra todos para estar con nuestro gran amor. Dicen que somos capaces de cruzar continentes enteros sólo para abrazar a nuestra pareja. El amor romántico es así, leí que cuando estamos enamorados se activan los sistemas de recompensar del cerebro, lo que nos impulsa a actuar para obtener premios. Se activan sobre todo dos áreas, una es el área ventral tegmental, que es la mayor fábrica de dopamina que tenemos y el otro es el núcleo caudado, que es de donde emana la pasión.

Me gustaría explicar más pero no he encontrado más información al respecto jaja aunque después de este resumen de amor romántico, he de concluir con que el amor es una droga y el terminar con él es como desintoxicarse ... y yo hasta ahora estoy sano y libre de drogas jeje al final la rehabilitación es fuerte y dolorosa.

Abusos Informáticos

2009-08-22T12:06:00.000-07:00

Esto es lo que sufren todos los informáticos, es la historiaaaa de mi vidaaaaaaaaaaaaaaa.

Bluesnarf

2009-08-22T10:39:00.000-07:00

Uno de estos días trabajando recibí la llamada de un amigo que no veía hace mucho tiempo, pensé que me iba a invitar a alguna reunión para recordar viejos tiempos pero no, me llamó porque quería que le arregle su laptop. Fui a socorrerlo y por venganza me puse a practicar en su laptop, para eso me llevé la computadora a mi casa. Me fui a Starbucks a ver qué podía hacer, le puse el Backtrack 3 y comencé a hacer pruebas de rutina. Busqué dispositivos bluetooth y para sorpresa mia, en un radio de 50 metros y pico habían cerca de 60 dispositivos bluetooth. Usé 3 programas con el que pude tomar muchos datos, primero utilicé un programa OpenSource que no recuerdo bien el nombre, diseñado para extraer la dirección MAC de los teléfonos, de ahi usé el Blue-Snarfer y otro programa que hace conexiones a los otros equipos para explotar una que otra falla de seguridad en los dispositivos bluetooth. Pude sacar cerca de 2 mil directorios telefónicos(con su respectivo nombre, apellidos, etc) y como 600 sms, todo eso con una conexión a internet de baja señal y con unas que otras limitaciones, pero al fin y al cabo, logré un cometido que no era mio. Claro está que los datos extraídos (clandestinamente) no me sirven, pero si un delincuente o secuestrador que tenga conocimiento sobre esto lo hace, pueden haber resultados muy malos. Se puede evitar ataques de esta forma apagando el Bluetooth, aparte que apagando el bluetooth se ahorra batería pero bueno... es un consejo que se lo hago a expertos y novatos, el bluetooth es una herramienta potente pero también un peligro mucho más potente, modificando algunos códigos se podrían ver correos, mensajes, números de teléfono, con el bug de Bluesnarf. Mejor prevenir que lamentar.

Refranes - Humor

2009-08-12T20:25:00.000-07:00

Unos refranes chistososss para la gente:

No hay mail que por bien no venga.
No postees mañana lo que puedes publicar hoy.
Al idiota, bloc de notas.
Amigo desaparecido, te tiene no admitido.
No por mucho RAM carga Windows más rapido
A programa pirateado no le funcionan los pluggins.
Amigo que un .exe te adjunta, mala junta.
Historial ayer borrado, anteayer hubo pecado.
Esposa con blog no hace la comida.
Más vale post publicado que cientos preparados.
La esposa en el chat, el marido en PizzaHut.
Chatea a diario con menores, y usarás emoticones.
Tarde o temprano, el último comentario es spam.
Tanto va el webmaster a la fuente, que al final Verdana.
Friki que ladra no programa.
Cuando el rio suena es porque bloggers postean.
Browser que no ve, CSS que no interpreta.
A contactos necios, estado: No Admitido.
A programa pirateado no se le miran las fuentes.

Fuente: Taringa.net

Protección biométrica gratuita al alcance de todos!

2009-08-07T07:26:00.000-07:00

Ahora es posible tener un sistema de protección biométrica en tu pc sin gastar mucho dinero y con solo utilizar tu webcam gracias a KeyLemon.

KeyLemones un software GRATUITO (aún en beta), el cual permite mediante unos cortos pasos, configurar el acceso a tu computador de tal forma que sólo tú puedas acceder simplemente colocando tu cara frente a la webcam.

Es muy sencillo de usar, sólo tienes que instalarlo y configurar tu cara por primera vez, en este paso el KeyLemon te tomará una foto y te pedirá una contraseña.Cuando pases un tiempo sin usar el pc (vas al baño o dejas descargando algo) automáticamente KeyLemon bloquea la máquina y para activarla es necesario tu rostro, así evitaras el acceso FÍSICO de otros usuarios a tu máquina.

¿Qué pasa si cambio mi aspecto o si KeyLemon no me reconoce?

Cuando lo configuras por primera vez te pide un password, el cual puedes usar para que te tome de nuevo una foto (con tu nuevo aspecto) y asi tener acceso a tu máquina.

En la wikipedia/Biometría existe una tabla que nos muestra qué tan fiable es la autenticación biométrica dependiendo de la parte del cuerpo que se use como patrón, la cara tiene una calificación muy alta.

El KeyLemon aún está en BETA, por lo tanto, no se debe tener confianza 100% en él, aquí les dejo un listado de los pros y contras que a mi parecer tiene el programa.

PROS:
Fácil de Usar y Configurar
Gratuito
Funcional
No más contraseñas olvidadas ( a menos que te olvides de tu cara =P )

CONTRA:
Solo funciona en Windows (dan por prometido una versión para MAC/Os pero no han comentado nada respecto a GNU/Linux).
El programa está en versión BETA, puede fallar repentinamente.
Enfocado a Sistemas MONO usuario. Si compartes tu computadora puede ser un problema

Si tienes webcam no pierdes nada con intentarlo, recuerda que está en BETA.

DESCARGAR KEYLEMON

Los 10 mandamientos para una Gestión de Seguridad Informática

2009-08-02T06:29:00.000-07:00

Bueno como a mi los 10 mandamientos de la religión católica me parece un poco anticuado e irreal... quiero poner acá 10 mandamientos que de seguro sí le servirán a muchos y a pocos nada.

“Quien hace, puede equivocarse. Quien nada hace, ya está equivocado” - Daniel Kun.

1. No menospreciarás una Situación de Crisis/Contingencia

Es habitual efectuar la prueba de los parlantes en cada uno de los pisos de la empresa y más común aún no avisar a la población de que se trata de un testeo. No informar “la prueba” quita valor a la misma y el día que no lo sea, los pasos a accionarse no se ejecutarán en el orden y tiempo debidos. Esté preparado, el problema siempre es peor de lo que parece.

2. No tomarás la Continuidad del Negocio en vano

Comprenda las consecuencias de un escenario no previsto; Ud. afrontará una situación de caos desconociendo qué hacer, cuándo hacerlo, cómo hacerlo y a quién contactar. Gestionar correctamente una situación de crisis resultará en una gran oportunidad para fortalecer la imagen y reputación de su empresa.

3. Prevendrás lo Inesperado

Prepararse para lo inesperado es obtener el mejor resultado y lucir el estandarte de la organización que “todo lo puede”.

4. No serás Arrogante

El error más común es la arrogancia sintetizada en la frase: “A mí, no me puede pasar”.

5. Actuarás cada Ejercicio de Continuidad

Ejercitar su plan de continuidad de negocio involucra a toda la organización, de nada sirve que se testeen año a año los mismos escenarios integrados por los mismos sistemas y actuados por los mismos protagonistas los cuales no asumen el rol protagónico declarada una crisis.

6. No carecerás de la Cadena de Comunicación

Actualice y practique su cadena de comunicación. Contar con un documento que no es validado y no es mantenido regularmente, no asegura “continuidad” en lo absoluto.

7. No colocarás todos los huevos en una misma canasta

Contar con sistemas humanos redundantes es la máxima fundamental. Debe ser política habitual: 1. No permitir a dos altos ejecutivos viajar en un mismo avión, 2. Definir y entrenar dos backups por cada empleado definido en su plan de continuidad del negocio y 3. Establecer una formación cruzada entre departamentos.

8. No mentirás ni levantarás falsos testimonios

Brinde una comunicación clara, no ignore la situación, es inútil mentir o permanecer callado. Defina los protagonistas claves y autorizados, para brindar la información fidedigna de la crisis a la que se enfrenta su compañía.

9. No avisarás día y horario de la práctica de evacuación

Diseñe prácticas realistas, jamás avise el día y horario de las mismas, tenga por seguro que la evacuación no será total y que diez minutos previos de iniciarse, el 50% de la población abandonará la empresa.

10. Conocerás las habilidades y debilidades de tu personal

Existen personas cuyo rendimiento es impecable pero ante una situación de estrés pueden tomar decisiones erróneas. Descubra los pros y contras de sus empleados. Identifique quién de ellos está mejor preparado para afrontar una situación de desastre.

Bienaventurado el que comprenda y profese los diez mandamientos. Si todavía no lo hubiere hecho, dé hoy el primer paso. Es preferible hacer y equivocarse, a no hacer nada permaneciendo en el equívoco y perderlo todo. Así sea.

Publicado en la Revista CXO Community #6 La revista sobre la auditoria y gestión de los sistemas de información.

Hackear msn

2009-07-30T07:24:00.000-07:00

Ahora hablaré de una cosita, de la cual me han estado fastidiando muchas personas, no con el afán de fastidiar sino porque no saben hacerlo ellos mismos. Desde que comenzé a interesarme por la seguridad informática y bueno, como también tengo conocimiento de ello, muchas personas me han estado preguntando cuánto cobraba por hackear alguna cuenta de correo en hotmail, yahoo, gmail, etc. Yo sólo les digo que es muy tedioso hacerlo pero para que tengan alguna idea de cómo hacerlo, les voy a dictar las pautas necesarias para hackear una cuenta de msn, las personas que querían aprender y nunca pudieron, ya pueden hacerlo:

1.- Deben de Conseguir la IP de la persona a la que quieren hackear.

2.- Consigan un Bruter de Conexión por puerto, de preferencia háganlo ustedes para que después no le hechen la culpa al programa.

3.- Una vez que hayan conseguido acceso, pues es fácil, usen un programa que sirva como keylogger o mejor, escriban el código ustedes mismos para que no le hechen la culpa al programa.

4.- Instálenle el keylogger a la víctima por algún lugar que ustedes quieran, de preferencia, con un Binder cojan un archivo del system32 para que no se arriesgue a borrar nada.

5.- Espera un tiempo a que tu víctima consiga escribir su contraseña.

6.- Vean la contraseña en el archivo donde se tienen que guardar segun su programa.

7.- Dejenle un backdoor para cualquier tipo de inconveniente que tengan ustedes con la contraseña.

8.- Descárguense el Pidgin y/o Amsn y pueden intentar conectarse y podran conectarse normalmente.

9.- Anda a la página de hotmail e ingresa al correo hackeado, puedes hacer lo que te dé la gana

10.- Luego cada vez que quieran monitorearla usen el Backdoor que dejaron.

Creo que con estos pasos ya habrán muchas personas hackeadas jeje. Sólo úsenlo en casos de emergencia, no es bueno hacer daño a la gente, el mundo da vueltas.

2009-07-27T19:40:00.000-07:00

¿Cómo puedo proteger la red inalámbrica?

Hay unos simples pasos que se pueden seguir para proteger la red inalámbrica y el router y minimizar así estos riesgos:

- Cambia la contraseña del administrador para el router inalámbrico. A un hacker le resulta fácil dar con la contraseña predeterminada por el fabricante y usarla para acceder a la red inalámbrica. Evita las contraseñas que se puedan adivinar con facilidad.

- Apaga la transmisión SSID (Service Set Identifier) para prevenir que el dispositivo inalámbrico anuncie su presencia ante el mundo.

- Activa la codificación en la configuración de la conexión: La mejor codificación es la WPA. Si no es compatible con el dispositivo, entonces usa la codificación WEP.

- Cambia el nombre predeterminado SSID del dispositivo. A un hacker le resulta fácil dar con el nombre predeterminado por el fabricante y usarlo para ubicar tu red inalámbrica. Evite usar un nombre que se pueda adivinar con facilidad.

Para proteger su red inalámbrica:

- Cambia la contraseña del administrador;

- Activa la codificación WAP o WEP;

- Apaga el SSID y cambia el nombre predeterminado del router inalámbrico.

Qué miedo

2009-07-27T09:24:00.000-07:00

Sacado de un libro guardado en mi computadora

intitle:”Index of” passwords modified
allinurl:auth_user_file.txt
“access denied for user” “using password”
“A syntax error has occurred” filetype:ihtml
allinurl: admin mdb
“ORA-00921: unexpected end of SQL command”
inurl:passlist.txt
“Index of /backup”
“Chatologica MetaSearch” “stack tracking:”

Se imaginaran q son estos:

Amex Numbers: 300000000000000..399999999999999
MC Numbers: 5178000000000000..5178999999999999
visa 4356000000000000..4356999999999999

Directorios y contraseñas al descubierto:

“parent directory ” /appz/ -xxx -html -htm -php -shtml -opendivx -md5 -md5sums

“parent directory ” DVDRip -xxx -html -htm -php -shtml -opendivx -md5 -md5sums

“parent directory “Xvid -xxx -html -htm -php -shtml -opendivx -md5 -md5sums

“parent directory ” Gamez -xxx -html -htm -php -shtml -opendivx -md5 -md5sums

“parent directory ” MP3 -xxx -html -htm -php -shtml -opendivx -md5 -md5sums

“parent directory ” Name of Singer or album -xxx -html -htm -php -shtml -opendivx -md5 -md5sums

En estas busquedas se está cambiando el nombre luego de “parent directory ”, lo cambiamos por lo que se quiera y lo que se pueda y se obtendrá distintos resultados.

Ejemplos:

?intitle:index.of? mp3

Solo hay que poner el nombre del cantante o canción

Ejemplo: ?intitle:index.of? mp3 Metallica

inurl:microsoft filetype:iso

Pueden cambiar la busqueda a lo que quieran, ejemplo: Microsoft a Linux , iso a rar ….

“# -FrontPage-” inurl:service.pwd
Contraseñas de Frontpage Cheesy

“AutoCreate=TRUE password=*”
Contraseñas de “Website Access Analyzer”, un programa japonés que crea estadísticas web.

“http://*:*@www” dominio

Contraseñas, solo se substituye “dominio” por el dominio que busques sin el .com, .net o lo que sea.

Ejemplo:
“http://*:*@www” micronosoft or “http://*:*@www”micronosoft

Otro modo es escribiendo:
“http://bob:bob@www”

“sets mode: +k”
Esta busqueda muestra contraseñas de los canales de IRC en los logs.

allinurl: admin mdb
Bases de datos Grin

allinurl:auth_user_file.txt
Archivo de contraseñas de DCForum’s y DCShop(carrito de compras). Este archivo contiene muchas contraseñas crackeables, nombres de usuarios y emails.

intitle:”Index of” config.php
Estos archivos nomarlmente contienen el usuarios,dir y contraseña de las bases de datos.Tendras administracion total de la DB.

eggdrop filetype:user user
Nombres de usuario y contraseñas en canales de IRC.

intitle:index.of.etc
Esta búsqueda te mostrará la pagina principal de la carpeta etc/ donde se pueden encontrar muchos archivos importantes y contraseñas, no siempre se encontrarán contraseñas pero puedes encontrar muchas cosas interesantes aca.

filetype:bak inurl:”htaccess|passwd|shadow|htusers”
Esto mostrará muchos archivos de backups(respaldos) creados por programas o por el administrador.

Si necesitas buscar algun numero serial para algun programa,digamos windows XP profesional.

“Windows XP Professional” 94FBR

El 94FBR es debido a que este pedazo de código se encuentra en muchos de los CD-keys de windows, asi que esto disminuirá la cantidad de paginas pornos que intentan engañarte, no queremos que sus ojos vírgenes vean otra cosa cuando se busca algo bueno .

¿Para qué tomarse la molestia de arremeter contra un sitio web en busca de vulnerabilidades que hayan pasado inadvertidas cuando se puede entrar con toda comodidad por la puerta delantera?

Estas intrusiones se pueden realizar gracias a que existen bases de datos con conexión a Internet. Como las herramientas de gestión de bases de datos utilizan plantillas (templates) estandarizadas para presentar los datos en la red, al ingresar ciertas frases específicas, el usuario muchas veces puede acceder directamente a las páginas que utilizan esas plantillas. Por ejemplo, al ingresar la frase “Select a database to view” (seleccionar una base de datos para ver) -una fase habitual en la interfaz de base de datos FileMaker Pro- en el Google, se obtuvieron alrededor de 200 links, de los cuales casi todos conducían a bases de datos creadas con FileMaker a las que se puede acceder online.

Por ejemplo si usas lo siguiente:
1 – www.google.com
2 – Buscar
“Index of /admin” + passwd
o
“Index of /wwwboard” + passwd
o
“Index of /backup” + mdb
Se verán grandes resultados!

Si escribes lo que aparece abajo en el buscador de google podras acceder a base de datos, contraseñas, webs con bugs, hasta a números de tarjeta de crédito. Practica un poco y prueba los distintos comandos, luego crea tus propias lineas para buscar. Un buen sitio de información de como hackear con google es http://johnny.ihackstuff.com/ está en inglés, pero no llegarás a nada si no visitas páginas como esta

filetype:htpasswd htpasswd
intitle:”Index of” “.htpasswd” -intitle:”dist” -apache -htpasswd.c
index.of.private (algo privado)
intitle:index.of master.passwd
inurl:passlist.txt (para encontrar listas de passwords)
intitle:”Index of..etc” passwd
intitle:admin intitle:login
“Incorrect syntax near” (SQL script error)
intitle:”the page cannot be found” inetmgr (debilidad en IIS4)
intitle:index.of ws_ftp.ini
“Supplied arguments is not a valid PostgreSQL result” (possible debilidad SQL)
_vti_pvt password intitle:index.of (Frontpage)
inurl:backup intitle:index.of inurl:admin
“Index of /backup”
index.of.password
index.of.winnt

inurl:”auth_user_file.txt”
“Index of /admin”
“Index of /password”
“Index of /mail”
“Index of /” +passwd
Index of /” +.htaccess
Index of ftp +.mdb allinurl:/cgi-bin/ +mailto
allintitle: “index of/admin”
allintitle: “index of/root”
allintitle: sensitive filetype:doc
allintitle: restricted filetype :mail
allintitle: restricted filetype:doc site:gov
administrator.pwd.index
authors.pwd.index
service.pwd.index
filetype:config web
gobal.asax index
inurl:passwd filetype:txt
inurl:admin filetype:db
inurl:iisadmin
inurl:”auth_user_file.txt”
inurl:”wwwroot/*.”
allinurl: winnt/system32/ (get cmd.exe)
allinurl:/bash_history
intitle:”Index of” .sh_history
intitle:”Index of” .bash_history
intitle:”Index of” passwd
intitle:”Index of” people.1st
intitle:”Index of” pwd.db
intitle:”Index of” etc/shadow
intitle:”Index of” spwd
intitle:”Index of” master.passwd
intitle:”Index of” htpasswd
intitle:”Index of” members OR accounts
intitle:”Index of” user_carts OR user _cart

_vti_inf.html
service.pwd
users.pwd
authors.pwd
administrators.pwd
test-cgi
wwwboard.pl
www-sql
pwd.dat
ws_ftp.log
http://usuarios.lycos.es/unsafebytes/hackingfreestyle/hackearcongoogle.htm

Revelar datos con Google no parece nada complicado, especialmente para todos los sistemas mal configurados… una búsqueda específica permite mostrar directorios poniendo en un índice y accediendo, la contraseña, los archivos, los caminos, etc, etc…

Las Puntas de la búsqueda

las entradas de la búsqueda comúnes debajo de le dará una idea… por ejemplo si usted quiere buscar el un índice de “root”

En la caja de la búsqueda puesta exactamente en como usted véalo debajo
source jhonyyhackstuff.com
Ejemplo 1:

allintitle: “index of/root”

Resultad:

http://www.google.com/search?hl=en&ie=ISO-8859-1&q=allintitle%3A+%22index+of%2Froot%22&btnG=Google+Search

lo que revela es 2,510 páginas que usted puede ver y posiblemente se encuentre su testamento…

Ejemplo 2:

inurl:”auth_user_file.txt”

http://www.google.com/search?num=100&hl=en&lr=&ie=ISO-8859-1&q=inurl%3A%22auth_user_file.txt%22&btnG=Google+Search

Este da un resultado de 414 posibles archivos para acceder

INVESTIGUE LOS CAMINOS…….

*************************************

“Index of /admin”
“Index of /password”
“Index of /mail”
“Index of /” +passwd
“Index of /” +password.txt
“Index of /” +.htaccess
index of ftp +.mdb allinurl:/cgi-bin/ +mailto

administrators.pwd.index
authors.pwd.index
service.pwd.index
filetype:config web
gobal.asax index

allintitle: “index of/admin”
allintitle: “index of/root”
allintitle: sensitive filetype:doc
allintitle: restricted filetype :mail
allintitle: restricted filetype:doc site:gov

inurl:passwd filetype:txt
inurl:admin filetype:db
inurl:iisadmin
inurl:”auth_user_file.txt”
inurl:”wwwroot/*.”

top secret site:mil
confidential site:mil

allinurl: winnt/system32/ (get cmd.exe)
allinurl:/bash_history

intitle:”Index of” .sh_history
intitle:”Index of” .bash_history
intitle:”index of” passwd
intitle:”index of” people.lst
intitle:”index of” pwd.db
intitle:”index of” etc/shadow
intitle:”index of” spwd
intitle:”index of” master.passwd
intitle:”index of” htpasswd
intitle:”index of” members OR accounts
intitle:”index of” user_carts OR user_cart

2009-07-27T08:55:00.000-07:00

Wikipedia al 0,01%

Un joven llamado Rob Matthews se puso en la tarea de escoger 437 artículos destacados de Wikipedia (la enciclopedia que mas fama a tomado en los últimos años) y los imprimió creando un libro con un total de 5.000 páginas y 48,3 cm de alto(como puede ser visto en la imagen de la cabecera del post).

Lo increíble de esto es que se dice que estos 437 artículos no son mas que el 0.01% del contenido de wikipedia, por lo que deducimos que imprimirla completa serían 10000 libros de estos mismos o en su defecto un libro de aproximadamente 4830 metros de alto (la mitad de la altura del Everest al nivel del mar o para que se den una idea los de Colombia, sería casi la altura del nevado del ruiz que está a 5321 metros). ahora imagínense lo que significaría imprimir todo el conocimiento que ahora es digital. sin duda pudiera llegar a la Luna o mucho más allá.

Esto nos puede dar una idea relativa de la cantidad tan inmensa de información que existe hoy en día en internet, y en general en el mundo. ya queda por discutir, ¿es útil toda esta información?, ¿es cierta?, ¿es realmente necesario almacenar todo esto?. estas son preguntas en las que seguro estaríamos un buen tiempo indagando, pero a las que nunca podremos darles una respuesta objetiva. Lo que sí se puede responder con cálculos matemáticos que no quiero resolver es ¿cuántos árboles se salvaron después de tanta información?

2009-07-26T06:07:00.000-07:00

Hola, soy Gokú! jaja después de un largo y perdurable tiempo, voy a volver a escribir muchas cosas, mis cosas, tus cosas y las cosas de todos, menos de esa "cosa" que da cosa jaja. Lo hago sólo porque estoy aburrido, necesito plasmar experiencias y porque necesito poner cosas que sean interesantes para todo el mundo. Yo soy informático y hablaré sobre informática ( quién sabe, tal vez de otras cosa ), ojalá no me dé flojera como para no escribir acá. Nos vemos. Éxitos!