lunes, 31 de julio de 2017

Nuevo artículo terminado, el 12 y sin publicar

He terminado un nuevo artículo, es el 12 de este año en el que estoy realizando tantos estudios y terminando tantos artículo. El nivel de trabajo es altísimo y la exigencia que me autoimpongo es más alta aún. Os dejo el titular. Es un artículo bastante interesante, pero que no publicaré por lo que os dije en la entrada de "Castigados".



Ahora mismo, una vez que he terminado este artículo, estoy en medio de 2 investigaciones, una de una teoría y un teorema matemático. Deseadme suerte.

¿Hackeamos el Mundo?


domingo, 30 de julio de 2017

Puestos a escoger, utiliza los Google Docs

Como todos sabréis ya, los documentos ofimáticos guardan metadatos, es por eso que si queréis cambiar las notas de vuestro Instituto o Universidad, cuidado con los metadatos, pero hay una forma, al menos con documentos pdf y de doc en la que te puedes librar de los metadatos sin necesidad de utilizar herramientas extras para limpiar estos rastros de información.


En teoría cuando usas los servicios de Google Docs con los que puedes crear documentos de Excel, Word y Power Point, esos documentos deberían llevar como mínimo, tu dirección de correo electrónico, ya que ese sería el usuario que lo está creando. Así que decidí descargarme dos documentos en pdf y otro en doc para ver toda la información que podrían mostrar.


Utilizando la famosísima FOCA, no me muestra metadatos más allá de los folders que son las referencias que yo usé para crear ese documento .doc y que dejé las fuentes tal cuál escritas en ese documento. Lo anecdótico es que ese documento es el mismo que uno de los pdfs y en el correspondiente en pdf, no aparecen los folders.

Podemos sacar la conclusión de que para los auditores de seguridad, nos va a resultar muy complicado diferenciar a un usuario que se preocupa de la seguridad y elimina los metadatos de un usuario que simplemente redacta documentos desde Google Docs y se limita a descargarlos como pdf para evitar fugas de información como las fuentes usadas, aunque esto es una tontería ya que se pueden obtener revisando el documento. Pero con esa simple acción de usar Google Docs en vez de las herramientas de edición de textos, hojas de cálculo, presentaciones,etc. podremos salvarnos de una gran fuga de información.

¿Hackeamos el Mundo?


sábado, 29 de julio de 2017

¿Resuelves este problema que me he inventado?

Una de las cosas que más me gusta hacer cuando me reúno con amigos es juntarnos y cada uno proponer un reto matemático y ver si nuestros problemas tienen o se aproximan a una solución interesante o bella matemáticamente. Pues en una de estas "reuniones matemáticas" propuse un reto y encontraron cierta belleza matemática en el resultado y hoy os lo comparto por si vosotros llegáis a la misma solución o proponéis otra diferente y os resulta interesante y queréis que la vea.


El reto se basa en dos triángulos, uno equilátero y otro rectángulo, y el reto consiste en decir si las áreas son iguales o diferentes. Ya está. Os dejo la foto de cómo he montado el problema con GeoGebra, que es la primera vez que lo uso y espero que quede todo claro, aunque he podido meter un poco la pata, pero con que sepáis que uno es equilátero y el otro rectángulo, os debería bastar.


Me podéis enviar vuestras soluciones a contactomalvadoalen@gmail.com, que yo lo veré y no publicaré ninguna respuesta, simplemente es para ver cómo lo resolvéis vosotros. Espero que os animéis muchos y os lo paséis bien con este reto de sábado. Es muy sencillo. Ánimo a todos.

¿Hackeamos el Mundo?

viernes, 28 de julio de 2017

¿Me podrían pillar al cambiar las notas?

La forma primera de cómo cambiar las notas, vimos cómo podríamos hacerlo entrando en el sistema operativo del Rector o profesor y descargándonos los Excels con las notas y limitarnos a cambiar nuestras notas, pero la pregunta es ¿Podrían pillarnos haciéndolo así?


No voy a entrar en el tema de que el programa ejecutable que le pasamos tenga nuestra dirección IP, voy a entrar en algo aún más básico y que a lo mejor no habéis caído ninguno. Los metadatos del Excel.


Si analizamos los metadatos del archivo, vemos que hay un solo usuario que es el mío cuando me pasé el documento a mi equipo físico y lo modifiqué desde mi Excel. Para detectar quién ha sido, les bastaría con analizar los metadatos y pillado, ya que si solamente se ha modificado la nota de Manu Alén y el usuario que aparece es Manu Alén; blanco y en botella es leche de soja.

Así que podríamos montar un plan para realizar un ataque casi perfecto, pero al fin y al cabo, ser pillados por una gran tontería que se nos ha podido pasar, una tontería como limpiar los metadatos ¿Veis lo importante que es limpiar metadatos y tener cuidado con la información que aportamos consciente o inconscientemente?

¿Hackeamos el Mundo?

jueves, 27 de julio de 2017

Cómo hackear notas de Universidades e Institutos [Way 2]

Ya os subí hace 2 días la primera forma de hacker una Universidad para modificar tus notas. Pero como en casi todo, hay más formas de lograr lo que nos proponemos, así que esta vez comentaré esta segunda forma de lograr acceder a un sistema de una Universidad o Instituto y modificar tus notas.



En esta entrada, lo que vamos a hacer es crear un Phishing sencillo para que la víctima entre al enlace que le proporcionamos en el mail. Por supuesto, esa dirección, no es que sea una web de Phishing-que sería otra opción- sino que si estamos en la misma, podríamos hacerle una DNS SPOOFING para posteriormente realizar un Man In The Middle ARP SPOOFING y robarle la password.


La cosa es sencilla, vamos a crear un código sencillito en PHP donde haremos un spoofing de una dirección de correo electrónico. 

Nos crearemos una cuenta en una web de hosting gratuito y subiremos el archivo PHP creado anteiormente para modificarlo con los datos que deseemos. Yo voy a suplantar el correo de Facebook, pero podríamos suplantar el correo de un directivo de la Universidad o Instituto enviándole una web con el login a la plataforma de e-learning que use la Universidad en cuestión.


Accederemos a la dirección donde está ubicado el archivo y vemos que nos aparecerá que el mail se ha enviado con éxito.


El Correo nos aparece en el inbox sin problema. Podríamos hacerlo más profesional creando un dominio que se llame Facebook Security o algo por el estilo, aunque hay plataformas de hosting que poniendo en el archivo el from, ya te aparecería como emisor, el que hayas escrito en el from.


Le hemos enviado en el cuerpo del mensaje, la dirección de Facebook, que, recuerdo, previamente deberíamos haber realizado el DNS SPOOFING y el MiTM ARP SPOOFING.


Tras realizar todo el proceso, veremos que nos llegará el email y la contraseña. Podríamos aprovechar -si se diese el caso- de que el usuario usuase el la misma contraseña en su dirección de correo. Esto nos puede ser útil por lo siguiente que se va a comentar.



Hay muchos Institutos y Universidades que usan la plataforma e-learning Moodle, y podremos-una vez que sepamos si usa la misma contraseña que hemos obtenido anteriormente- decir que hemos olvidado la contraseña de Moodle y pedir que nos envíe la recuperación a la cuenta a la que, previamente ya tenemos acceso y conseguir el acceso a la plataforma y poder cambiar notas de varios alumnos.

Como vemos, son formas relativamente sencillas, aunque si es cierto que hay que saber de antemano algunas cosas, aunque esto es como todo. Todo se resume a cuánta información puedo sacar de un determinado sitio y cómo aprovechar y usar esa información.

¿Hackeamos el Mundo?


miércoles, 26 de julio de 2017

La Informática es una mierda

Sí, la Informática es una verdadera mierda, no sirve para nada y no tiene proyección de futuro. La mentalidad de lo que la gente cree que es la Informática, es una mierda y es inútil. Sí, la Informática es algo genial y que me apasiona, lo que no me apasiona es lo que la mayoría cree que es la Informática, y es eso sobre lo que voy a dejar este pensamiento que me gustaría que en vosotros y vosotras fuese un proceso en ejecución y que lo dejéis por ahí rondando.


Y es que la gente tiene una visión de la Informática que poco tiene que ver con la realidad o con nuestro trabajo de verdad y esto lleva a grandes equívocos de los más jóvenes que escogen una rama de estudio creyendo que es una cosa y después descubren que no es así.

La Informática no es algo que estudies y ya no vuelvas a estudiar nunca más, no, en la Informática estás estudiando todos los días. La gente a lo mejor cree que es montar un ordenador y creen que si saben montar un ordenador, se les va a dar bien la Informática, y no, no pienses así que a lo mejor te llevas una sorpresa.

Tampoco pienses que si te gustan los videojuegos, ya necesariamente tienes que estudiar algo de Informática, porque te lo digo por experiencia de amigos míos, se dan cuenta de que no les gusta la Informática y lo dejan.

La Informática no se escoge porque "tenga salidas", no, si decides estudiar esto, ten en cuenta que vas a estudiar, algo que a lo mejor no te gusta toda tu vida, y eso no creo que te vaya a agradar mucho. Piénsalo así, yo sería incapaz de ir todos los días a misa a escuchar durante 6 horas a un cura y encima después estudiarme la Biblia. Sería incapaz porque no es lo que me gusta y,puede que lo haga, pero lo haré desganado y sin disfrutar lo que estoy haciendo.

La Informática tiene muchas ramas, y a vaces, si quieres crear un proyecto grande, tienes que mezclarlas todas y saber de Hardware, programación, seguridad, Big Data,etc. y te garantizo que te puedes ver muy saturado al ver que le tienes que dedicar tantas horas a algo que no te gusta y haces con desganas.

Pero ¿Por qué aparece esta mentalidad?

Por la gente. Sin más. Yo me he llegado a encontrar a gente que le he dicho que me dedico a la Informática y Seguridad Informática y me han respondido "Menudo valiente, eres un valiente tío" y yo WTF. No entiendo por qué tienes que ser valiente para dedicarte a la Informática, de verdad, simplemente es tener pasión y querer dedicarle muchas horas y renunciar a una parte de tu vida social y tiempo libre.

Pero la gente se equivoca, la gente cree que la Informática es golpear teclas y que de ahí saldrá algo. Joder, a mí me ha pasado en mi familia que me han llegado a decir "Oye, me puedes reparar la impresora-esto de la impresora me mata-/ordenador/móvil que me va mal". Entiendo que muchos de los que leéis esto sóis o queréis ser Informáticos, así que si podéis, cuando tengáis una situación similiar, responded así.

La gente va a un médico experto en oídos y o no se les ocurre preguntar por un problema que tienen en el tobillo o si preguntan y le responden: "No, verás, yo es que soy experto en oídos, tengo base en cómo funciona el tobillo y sus partes, pero no te puedo decir qué te pasa". Si les responden así, la gente se va contenta y lo entienden sin problemas. Ahora, si es con un Informático con el que se encuentran que su especialidad es la programación y le preguntan "Oye, quiero comprarme un ordenador y no se si decidir entre la que tiene una tarjeta gráfica NVIDA GFORCE X765414ChuchoPerroDeAguaGHz o la que tiene una NVIDIA GFORCE X45MeEstoyFollandoATuHermana y a ese pobre Informático se le ocurre, en un mal día, decir "No, yo soy experto en programación, tengo una base de Hardware pero no puedo responderte a eso", la respuesta de la mayoría de la gente es "Vaya-mierda-de-Informático".

A ver, es cierto que tenemos que saber -al menos- un poco de todo, pero hay veces que los usuarios nos preguntan por especificaciones de un campo en el que no somos expertos y es lógico que no sepamos lo que preguntan, pero la gente se enfada y no entienden que es el mismo caso que el de un médico experto en oídos. Ya no es que yo a lo mejor sea un experto en JAVA y me digas programar en Python, que ahí, vale, tengo la base de C y C++ y además sé scripts de Linux, y puedo entender rápidamente cómo se programa en Python, pero eso es dentro de la misma especialidad, programación. Es como si al experto en oídos, le preguntas por el tímpano, pero su especialidad es el funcionamiento de cualquier otra parte del oído, a eso sí va a saber responderte.

Así pues, los Informáticos-por estas situaciones- tenemos que saber mucho de todo y parece que si no estamos al día en todo lo relevante a la Informática, somos unos malos Informáticos. Vale que si tienes pasión, te veas algo de procesadores cuando lo tuyo es la programación, pero eso es por pasión.

Vale, en un trabajo te van a pedir realizar una tarea determinada, pero al llegar a casa, tu gente más cercana a ti, te preguntará por algunas cosas y ¿Qué suele importar más, lo que piense tu jefe o tu familia y amigos? Suele tirar más lo segundo, y de ahí, puede que rindas mal en el trabajo.

Es por eso, que entiendo que a alguien que no le guste la Informática, pero se haya metido ahí porque no supiese lo que era realmente la Informática o se metiese aquí porque es lo que más salidas tiene, se planteé dejar la Informática y no volver a tocarla más, es normal, lo entiendo. Sobre todo al principio, que parece que tienes que saber mucho de todo por estas situaciones que he comentado.

Yo no pienso que la Informática sea una mierda, al contrario, la amo y no me importa tirarme hasta 3 días sin dormir haciendo cosas y leyendo cosas e diferentes ramas de la Informática, pero porque entiendo lo que es la Informática y sé que si te metes aquí es por pasión y sólo pasión.

¿Hackeamos el Mundo?

martes, 25 de julio de 2017

Cómo hackear notas de Universidades e Institutos [Way 1]

Ayer ya subí una entrada sobre uno de mis próximos proyectos de crear una 'Universidad Online' y conforme terminé la entrada empecé a pensar varias formas de cómo hackear Universidades e Institutos para modificar las notas de los alumnos. Así que me senté a pensar en cómo actúan y actuaban los profesores con los que he estado durante mi vida como estudiante y pude sacar algunas conclusiones que son las que os quiero presentar en este artículo y como mínimo, en otro más.


Las-como mínimo- dos formas de acceder al sistema de una Universidad para modificar las notas se basan en el uso de determinadas herramientas de Kali Linux, y en concreto la forma que vamos a ver hoy, ya la hemos visto en las entradas 'Hackear Windows con Kali Linux' y 'Elevación de privilegios con Metasploit' . Vamos a ello.


Lo primero que haremos en Kali Linux es lanzar un multi handler para ponernos a la escucha y configurar un payload para obtener una sesión meterpreter.


Por supuesto, deberemos tener en el equipo víctima, un archivo infectado que se haya descargado o que se lo hayamos pasado, para que cuando corramos el exploit, podamos tener montado el escenario y la sesión meterpreter abierta. Como vemos ya estamos en el Windows 7 de la víctima que puede ser el jefe de estudios o el director del Instituto o el Rector de la Universidad.


Lo que vamos a hacer es buscar un Excel donde tenga guardadas todas las notas de los alumnos, ya que esto de tener en un Excel las notas es algo que yo me he encontrado en muchos profesores que me han dado clase. Por si acaso, trataremos de hacer un Bypass de UAC para no tener ningún problema.


Con esto, llegaremos a ser SYSTEM en el equipo y tendremos control total sobre la máquina de la víctima. Aquí empieza lo bueno.


Vamos a meter entre tus cosas la nariz como diría Rosendo hasta que encontremos el Excel que en este caso es un .ods. Nos bajaremos ese documento que lo guardaremos en el Escritorio tal y como se ve en la captura anterior.


El documento me lo he pasado al Windows ya que en el Kali Linux no tengo LibreOffice ni nada por el estilo para modificar el documento. Vamos a cambiar las notas de Marta de Sociales que la tiene suspensa y necesita tenerla aprobada.


Algo que no se nos puede olvidar es borrar el documento del equipo de la víctima, ya que de lo contrario seguirá con las mismas notas que antes. Podemos ver que ya no tiene el documento NotasClase.


Solamente nos quedará subir el documento modificado-al cual le he cambiado el nombre por NotasClase1 para que noteis el cambio- al mismo directorio en el que estaba antes para que la víctima no sospeche nada.


Ya que lo tenemos de nuevo en el escritorio de la víctima, podremos abrirlo y ver cómo hemos cambiado la nota.


Se ha subido la nota de Sociales de un 4 a un 7, algo que puede sorprender ya que son 3 puntos, pero por supuesto, tendríamos que hacerlo más disimulado para que no salten las alarmas y nos pillen.

Como veis, es un ataque muy sencillo y efectivo. Solamente tendríamos que saber una serie de datos como cuál es el sistema operativo que usa para enviarle el archivo infectado con una u otra extensión,etc. Por eso puede ser muy peligrosa cualquier fuga de información, por pequeña o insignificante que parezca.

¿Hackeamos el Mundo?

lunes, 24 de julio de 2017

La Universidad 'abre sus puertas' para todos

Este es uno de mis proyectos más ambiciosos y estoy feliz de que de a luz ya. Es un proyecto que quiero que crezca poco a poco gracias a vosotros, que seréis los que vais a hacer que este proyecto llegue a más o se quede en nada. Quiero que este proyecto llegue a mucho más y que tenga importancia y alcance mundial, pero eso solamente será posible con vuestra colaboración.



Todos conocéis de sobra mi opinión sobre las apestosas intelectuales Universidades españolas. Todos sabéis que mi opinión es bastante mala sobre las Universidades españolas y ya me he cansado y creo que esto debe parar, la gente se merece, os merecéis una educación digna y valiosa; así que me he puesto manos a la obra.

Aunque me suponga menos tiempo de descanso, he decidido embarcarme en este proyecto tan ambicioso que comenzaré sólo. He decidido montar una 'Universidad Online' donde los alumnos sean los que demanden conocimientos.

En principio se trata de un gran Slideshare donde podréis subir vuestras propias investigaciones, independientemente de vuestro campo de estudio. Es cierto, que por el momento no es nada 'grande' y que posiblemente no tenga mucha repercusión o al menos no tanta como si lo publicáis en cualquier otra Universidad, pero es ahí donde vosotros entraríais en acción, ya que sería gracias a vuestros comentarios y a vuestras propias investigaciones, los que podréis hacer que vuestro trabajo mejore y llegue a más gente. Aquí 'profesor' y 'alumnos' parten todos desde 0 y tratarán de ir creciendo poco a poco con su trabajo.

También tengo pensado crear un canal de Youtube donde en cada vídeo vaya enseñando algo de varias asignaturas y varias ramas del conocimiento de una manera entretenida. Por supuesto, al principio sería yo el que escoga la temática de cada clase, pero después seréis vosotros los que escogáis qué queréis que os explique.

Si la cosa va bien, crearé una web donde sea allí donde se generen los debates-que también quiero que se hagan directos donde todos podáis entrar y debatir sobre el tema que propongáis-. Esto me llevará menos tiempo de descanso, pero creo que hay que hacer cualquier cosa por una educación avanzada y que pueda llegar a todo el mundo. Supondrá mucho trabajo, pero creo que es necesario.

Si tenéis trabajos que enviar a cualquier Universidad, podéis enviarlo al correo  LaUniversidadManu@gmail.com y lo subiré al canal del SlideShare que os he dejado antes ¿Qué decís? ¿Os apuntáis?


domingo, 23 de julio de 2017

Haciendo Skate por tu Android...para hackearte el Whatsapp

Ya vimos en entradas anteriores cómo entrar a una máquina con Windows 7 aprovechando la confianza de la víctima la cual se descargó previamente un archivo infectado. Usando el mismo método que el que se usó en esa entrada, hoy veremos cómo podemos entrar al Android de una víctima para visualizar toda su información personal e incluso ver sus conversaciones de Whatsapp.


Lo primero que tenemos que hacer como paso obligatorio, es crear un apk que llame la atención de la víctima. Las cosas que le llamen la atención a nuestra víctima lo sabremos en la fase de footprinting y fingerprinting, con lo que si estas fases las realizamos correctamente, tendremos una lista con sus gustos.


El archivo infectado lo he llamado WhatsappSpy, ya que es un nombre de una aplicación que suele llamar la atención a una gran cantidad de usuarios, con lo que nuestras probabilidades de éxito son bastantes altas.


Lo único es que tendremos que preocuparnos de que a la víctima le le llegue el archivo. Yo lo he pasado por un servidor en Apache donde he ido subiendo los archivos. Aunque podremos ponerla en el Play Store o crear una web donde la gente se lo pueda descargar.


La única diferencia con el ataque a Windows, es que ahora nuestro objetivo es un android, y por la tanto el payload, cambiará en eso y ya está. Y una vez que lo tengamos todo configurado, lo lanzamos y esperamos a que el usuario instale la aplicación infectada.


Son muy curiosos los permisos de la aplicación, algo que por supuesto todos los usuarios miran detenidamente antes de instalar una app -guiño guiño codazo codazo-.


Y como vemos, disponemos de una sesión meterpreter capturada, y es aquí donde tenemos pleno control sobre el dispositivo Android y podremos ver sus fotos, contactos, las fotos y vídeos que pasa y un largo etc.


Una de las cosas que podríamos ver sería, dentro de Whatsapp, ver las SQLites de las conversaciones cifradas en crypt12, bases de datos que podríamos pasar por un sitio web online que lo desencripte. Además si tuviese alguna backup de archivos y conversaciones también podríamos verlo. Todo lo que queramos, ya hemos vistolos permisos que teníamos cuando la víctima instaló la aplicación maliciosa.

Todo este proceso es invisible para el usuario, al cual no le sale ninguna alerta en ningún momento, sobr todo porque en Android, pocos son los que tienen un antivirus y archivos infectados sin pasar ningún encoder, serían muy fáciles de detectar por una casa de antivirus, pero claro, para eso hay que tener un antivirus al menos.

¿Hackeamos el Mundo?


sábado, 22 de julio de 2017

Artificialis Intelligentia

Dados los avances recientes, creo que ya puedo presentar una de las nuevas organizaciones que he montado. Es una organización en la que trabajaremos con la Inteligencia Artificial para mejorar nuestro día a día.


De momento no hay más, estamos trabajando muy duro en un proyecto que esperamos tener en menos de un año si todo va como deseamos.

¿Hackeamos el Muno?

viernes, 21 de julio de 2017

El gran dominio de Facebook

Facebook puede que sea la empresa que mejor esté jugando a este negocio empesarial. Si yo digo esto sin poner pruebas, a lo mjor no os lo creéis, aunque sí que os podéis hacer una idea de que esto puede ser bastante cierto ya que estáis en el mundo. Pero ¿Es ésto así?


Por mera curiosidad quise ver quiénes eran los Top del Google Play para aconsejar a amigos y familiares, qué tipo de aplicaciones podrían hacer y cuáles no, ya que o son muy buenos, o luchar contra los mejores, si no eres bueno, puede no ser del todo aconsejable.


Como podéis comprobar, las aplicaciones que tienen relación con Facebook, están en los puestos más altos de la lista, aunque la propia Facebook "sea la perdedora" están en el puesto más bajo del Top 5. Hacer una aplicación que trate de sustituir a Whatsapp, va a ser complicado ya que el usuario se ha acostumbrado a Whatsapp y Facebook tiene mucha calidad, aunque no es imposible si eres bueno y sientes pasión.


Unas horas después del día siguiente de hacer esta búsqueda, la cosa no cambiaba mucho, solamente en el puesto 4. "Hacerse amigo de Facebook" puede suponer -a día de hoy- una gran estrategia empresarial, aunque en esto de la tecnología nunca se VHSabe.

¿Beteamos el Mundo?

jueves, 20 de julio de 2017

¿Eres realmente inteligente para saber cuándo vas a morir en tu entorno?

Vale que por mi filosofía vegana, razonamientos como el que os voy a tratar de plasmar hoy, pueden que sean más frecuentes en mi que en cualquier otra persona opuesta a esta filosofia. Pero realmente no es así, cualquiera podría darse cuenta de esta idea a poco que la razone un poco durante unas horas y sabe un poco sobre seguridad informática y está al día de los últimos ataques o trabaja auditando empresas. Porque ¿Quién se da cuenta de que ha muerto en Internet?


Partamos de la idea de que todos hemos muerto en Internet. Puede parecer una idea alocada, pero no necesariamente. Pensemos un momento sobre qué datos puedes perder cuando sufres un ataque Informático. Los datos que puedes perder son:
  1. Nombre y Apellido
  2. Tus compras realizadas
  3. Tus likes
  4. Dónde vives
  5. Contraseñas
  6. Tu DNI.
  7. Fecha de nacimiento
  8. etc.
De nombre y apellido te puedes cambiar. Te puedes cambiar de casa, aunque esto ya es más complicado. Puedes cambiar tu password. Pero no puedes cambiar tu número de DNI o no puedes nacer otro día, no puedes cambiar las compras que hiciste en el pasado. Todo esos datos no los puedes cambiar y una vez que los pierdes, los pierdes para siempre y da igual lo que hagas, los datos que subes a Internet no se borran aunque los borres

A día de hoy, los humanos tenemos dos vidas-la gran mayoría-. Una vida física y otra vida en Internet. Las dos son iguales de importantes, y con el paso del tiempo, no podremos distinguir nuestra vida física de nuestra vida digital con la implementación de IoT.

Figura 1: Reserva de asientos en un Cine
Actualmente podemos reservar y comprar nuestras entradas por Internet para ir al cine, saltándonos posibles discusiones con el/la que atienda en la taquilla, marchando directos a comprar las bebidas y comida y pasar las entradas que están en mi móvil por un lector y a ver la película. Igual ocurre por ejemplo para pedir cita en muchos médicos o dentistas, lo puedes hacer por Internet y listo.

Pero hacer esto, supone transmitir nuestra información personal como nuestra tarjeta de crédito o cuenta de Paypal y si no conocemos las posibles amenazas, nuestra vida en Internet se puede terminar, podríamos morir en Internet y nosotros ni nos hemos enterado.

Figura 2: Usuarios de Endomondo y sus frecuencias cardíacas
Y es que mucha gente está "siendo hackeada" por aseguradoras o por empresarios al ver como en la Figura 2, se puede observar la frecuencia cardíaca de sus posibles clientes en el caso de una aseguradora o en el caso de futuros trabajadores. Está claro que si ven que tu frecuencia cardíaca es muy elevada, las aseguradoras se encargarán de subirte el precio para que asegurar tu vida sea muy cara.

Pero eso que he comentado de poder "perder tu vida digital" puede ser algo literal, y es que ya hubo un hacker que sabía cómo hackear los marcapasos y que a los días apareció muerto. Este es uno de esos casos en los que mueres en la vida digital y física. Cualquier pérdida de datos, por insignificante que parezca puede contribuir a la pérdida de esa "vida biespectral".

Parece que una ventaja evolutiva en los seres humanos, además de juntarse con una IA, es la de darse cuenta de esta "muerte próxima" y tratar de remediarla lo mejor posible ¿Quién quiere sufrir una pérdida de los datos de la tarjeta de crédito o tener una pareja que no consigue puestos de trabajos mejores por la fuga de sus pulsaciones? Es aprender a darnos cuenta de cuándo vamos a morir en esta nuestra vida biespectral que parece que se está implantando poco a poco o investigar en tecnologías que puedan ser seguras casi al 100%. Sobre esto, hablaré en otra entrada y en la de cómo evitar los Man In The Middle en el futuro.

Esto que nos ocurre a nosotros los humanos, en teoría los más inteligentes del mundo animal-ya que somos animales-, les debe ocurrir igual, pero en su entorno a otros animales no humanos ¿no? Si nos pasa a nosotros "los más inteligentes" y los "mejores adaptados" ¿Cómo no les va a pasar a los que no son tan inteligentes como nosotros?

Lo cierto es que esto no se da de igual manera en otros seres del reino. Por ejemplo, los elefantes se dan cuenta y saben cuándo van a morir, además de que hacen funerales y tratan de "resucitar" a sus familiares y amigos muertos mostrando compasión por los muertos. Los elefantes parecen que sí detectan cuándo van a morir, un aspecto evolutivo, del que nosotros en nuestra vida biespectral, carecemos.

Los cerdos son seres altamente inteligentes y sociables y saben resolver problemas abstractos ¿Por qué la mayoría de humanos no sabemos cómo resolver un problema de seguridad incluso antes de que ocurra?

Los gatos entienden las leyes de la física estableciendo un relación causa efecto para saber dónde están sus presas. Pero muchos de nosotros no encontramos a nuestra 'presa' en la red o a nuestro 'atacante'. Y ya hemos visto que lo gatos y perros son 'más tontos' que los cerdos y elefantes. Por la ley de la transitivida, si nosotros no encontramos a nuestra presa y/o atacante ¿Eso no convertiría en 'más tontos' que los gatos? Y aplicando la ley de la transitividad ¿Seríamos 'más tontos' que elefantes, cerdos, gallinas, gatos y perros?

No voy a aportar ninguna respuesta, prefiero que penséis por vosotros mismos ya que me resulta un tema interesante de pensar.

¿Hackeamos el Mundo?

miércoles, 19 de julio de 2017

Con TOR te evitas muchas tonterías...dentro de tu red

Con la red TOR puedes lograr un cierto anonimato que no te garantiza la conexión a Internet convencional. Usar la red TOR es una opción muy aconsejable simpre y cuando se sigan una serie de medidas y se tenga cuidado.


En el blog he insistido bastante en el problema que puede suponer introducir tus credenciales en una web que trabaja bajo HTTP, ya que cualquiera que analice la red, puede encontrarse esos datos sin problema alguno. Pero ¿Qué solución le podemos dar si aún así tenemos que introducir los datos en esas webs?


Pues basta con que nos metamos en la red TOR y naveguemos por ahí, como vemos, evitamos que cualquiera que analice la red, intercepte nuestros datos. Claro está que deberemos de tener cuidado dentro de la red TOR, ya que esta "medida de seguridad" puede provocar un fallo aún mayor.

¿Hackeamos el Mundo?

martes, 18 de julio de 2017

El bozal que necesita el Ayuntamiento de Madrid

Que conste que con el título de esta entrada no pretendo silenciar a ningún político del Ayuntamiento de Madrid, simplemente es una broma motivada por lo que en esta entrada voy a comentar. No quiero que a nadie se le ponga un bozal y se le limiten sus movimientos necesarios para satisfacer sus necesidades. Aclarado esto, espero que nadie manipule lo que digo. Dejo aquí el aviso.


La verdad es que desconocía por completo esto, pero me enteré por Instagram cuano unas usuarias que sigo subieron un Stories comentando que estaban empezando a llevar a sus perros en el Metro, pero que para ello, tenían que comprar un bozal para poder viajar. Esta medida me parece absurda y para nada se deja el especismo atrás, pero al menos el Ayuntamiento de Madrid está dando pequeños pasos para lograrlo. Gracias por esa parte, pero quedan cosas que hacer. Pero quise comprobar su seguridad de manera rápida para ver si lo básico, lo saben hacer.

Figura 1: Theharvester para encontrar direcciones de correo del Ayuntamiento de Madrid
encargados de la gestión del Metro de Madrid

Tiré de TheHarvester para tratar de sacar algunas direcciones de correo electrónico de trabajadores del Metro de Madrid. Todos los que sigáis el blog, sabréis que sería una muy mala idea que alguna de estas direcciones de correo se encontrase en alguna base de datos de sitios hackeados ¿Les pasará esto al Metro de Madrid?

Figura 2: Una de las direcciones de correo encontradas en bases de datos hackeadas
Una de las direcciones de correo de uno de los trabajadores del Metro de Madrid aparece en bases de datos de sitios hackeados en Have I Been Pwned? Los sitios hackeados eran DropBox y Money Brokers.

Figura 3: Comprobando la política SPF del metromadrid.es
Si comprobamos la política SPF del Metro de Madrid vemos que esta política es inexistente. Si comprobamos en otro sitio como Google, esta política sí que existe, no es -all, pero algo es algo. De lo contrario se estaría facilitando mucho los ataques de Phishing. Y teniendo en cuenta que tenemos una pequeña lista de direcciones de correo de trabajadores del Metro de Madrid, podemos hacer varias cosas.

Figura 4: Algunas debilidades del Metro de Madrid

Por último pue tirar de la herramienta nikto para encontrar algunas debilidades de la web del Metro de Madrid. Lo que encontré es lo que aparece en la Figura 4. Algunas debilidades que si no las cuidas, pueden suponer un gran problema en el futuro.

¿Hackeamos el Mundo?


lunes, 17 de julio de 2017

Vale que Hacienda somos todos, pero no te lo tomes al pie de la letra

Creo que hay gente que se ha tomado muy al pie de la letra eso de que Hacienda somos todos y se empeñan en enseñar toda su vida a todo Internet para que veamos cuánto están gastando y si están gastando más de lo que cobran para que denunciemos a Hacienda cualquier posible irregularidad.


De vez en cuando, me gusta pensar cómo haría yo el trabajo de otros trabajadores-valga la redundancia- y empiezo a pensar qué pasos seguiría un trabajador de un oficio determinado para realizar su actividad profesional de la mejor manera posible. Hay veces que pienso en cómo lo haría un periodista-eso es fácil, con mentir ya haces el mismo trabajo que ellos-, cómo lo haría un profesor, un conductor o como se me pasó por la mente, cómo un trabajador de Hacienda podría detectar un posible fraude al no declarar todo lo que un ciudadano estaría cobrando.

Figura 1: Un usuario de Instagram cuya ubicación es un gimnasio

Rápidamente se me ocurrió estudiar los perfiles de las redes sociales de distintos usuarios y comenzé a pensar lo siguiente: "¿De qué se compone una foto?".

No, no me refería a 0s o 1s, tampoco me refería a píxeles, no, nada de eso. Me refería a que normalmente, suele salir una persona, la cual-normalmente- va vestida y en un lugar del espacio y el tiempo. Todo eso es dinero. La ropa cuesta dinero, que esa persona esté ahí en ese recinto cuesta dinero-normalmente- por el recinto y porque esa persona tiene que comer y beber. Estaba uniendo hilos muy rápido.

Me fui a Instagram y en el buscador simplemente escribí Go-Fit, que es un gimnasio muy conocido de Córdoba. Los resultados que me iban a aparecer iban a ser personas que hayan subido una foto con esa ubicación. Así que decidí a un usuario al azar y me centré en el usuario de la captura anterior, no por nada personal, sino porque fue la primera o segunda foto que me apareció y no quería pararme mucho más.

Figura 2:Precios del gimnasio Go-Fit

Como la ubicación era del gimnasio Go-Fit, inmediatamente me fui a su web para ver sus precios. Pude comprobar que depende si es el primer pago o no. Si era el primer pago del primer mes, serían unos 80 euros, y el resto de los meses sería solamente la matrícula que son 43 euros. Si os fijáis en la Figura 1 de nuevo, veréis que la fecha de la foto que subió ese usuario data de enero, lo que puede hacernos pensar que sea el primer mes por eso de los propósitos de año nuevo. Pero sino lo sabemos, simplemente deberíamos buscar en su perfil para ver si iba a ese gimnasio antes de enero.

Figura 3: Mirando en el perfil del usuario para tratar de saber su edad
Otro asunto importante es saber su edad, ya que en la Figura 2 se puede ver que las bonificaciones varían de si, por ejemplo, eres menor de 22 años. Echando un ojo por el perfil del usuario vemos en una foto una tarta de cumpleaños y con un 33 que hace referencia a los años. Si te ibas a la foto veías en los comentarios que era su cumpleaños y que por lo cual, había cumplido 33 años, por lo cual no es menor de 22 años y por lo tanto, cada mes pagará 43 euros de gimnasio. Ya sabemos con seguridad lo que paga cada mes de gimnasio.

Figura 4: Compobando si este usuario siguía yendo al Gimnasio
Pero es vital saber si este usuario ha ido más veces al gimnasio, ya que puede ser que simplemente en enero estuviese probando. En su perfil vemos que en junio, estaba en la piscina de ese gimnasio, por lo cual ya sabemos que, al menos hasta junio, sigue pasándose por el gimnasio y por lo tanto, sigue pagando por ello.

Figura 5:Comprobando el precio de las camisetas que el usuario llevaba en la Fugura 1

Como dijimos, normalmente las personas salen vestidas en la foto, y en la Figura 1 iba con una camiseta de Nike. Ergo el siguiente paso está claro, comprobar el precio de las camisetas de Nike. Lo ideal sería obtener una gran cantidad de camisetas de Nike con precios distintos y hacer la media aritmética del precio para salvar posibles errores de que no sea exáctamente la misma camiseta que la de la foto. El gasto de este usuario sigue subiendo.

Figura 6: Posiblemente el móvil que usa el usuario que estamos estudiando

En la Figura 1 también veíamos que este usuario estaba usando un iPhone, por lo cual deberíamos irnos para ver el precio de los iPhone. Muy posiblemente sea el 5S, aunque para salvar posibles errores, deberíamos hacer lo mismo que con las camisetas, obtener muchos modelos y hacer la media aritmética del precio de los iPhone. Yo estoy tirando por lo bajo con los posibles gastos del usuario para ponérselo mejor al usuario, pero el gasto sigue subiendo.

Otro factor a tener en cuenta es que posiblemente lo pague a plazos el móvil, y los plazos en España suelen ser 20€ al mes durante X meses, así que deberíamos sumar esos 20€ todos los meses. Es posible que ya lo tenga pagado, pero es un 50% de probabilidad de acierto y que por 20€, nos podemos arriesgar.

Figura 7: Obteniendo el precio medio de las mallas deportivas

En la Figura 1 podíamos ver que el usuario estaba usando malals deportivas. Para esto lo ideal es irse a sitios como Amazon donde tienen una gran vriedad de productos de diferentes usuarios que han comprado esos productos en distintas tiendas y hacer de nuevo la media artimética del precio de las mallas y sumar al total que teníamos hasta ahora.

Figura 8: Precio de las zapatillas que puede estar usando el usuario


También vimos que usaba unas zapatillas que parecían de Adidas. Hacemos de nuevo lo mismo, obtener una gran cantidad de modelos de zapatillas de Adidas, hacer la media aritmética y sumar al total que teníamos hasta este momento.

Otra cosa que deberíamos tener en cuenta es que el usuario sigue vivo. Esto puede parecer una tontería, pero que siga vivo es una causa de que come todos los días o casi todos los días, y la comida cuesta dinero. Deberíamos buscar en sus redes sociales por si sube lo que come, tratar de sacar el precio de eso o sino, decir cuánto suelen gastar las personas de esa edad que viven sólos-esto lo suponemos- en una semana y suponiendo que todas las semanas reserve el mismo dinero para comida, lo multiplicamos por 4 semanas y tenemos lo que gasta en un mes.


Con todo esto en cuenta, podemos meter el gasto mensual que estimamos en un Excel y sacar una gráfica. A mí Power BI me ordenaba los meses por orden alfabético y hasta julio ya que aún no hemos terminado este mes. Pero lo lógico y lo normal es que cuando esta gráfica más se incremente, sea en los meses de noviembre, diciembre y enero por el tema de Navidad.

Lo siguiente sería buscar a este usuario o cualquiera por Linkedin para tratar de sacra dónde trabaja y cuánto suelen cobrar de media la gente que realiza su misma actividad profesional para ver si gasta más de lo que tiene declarado, con lo que Hacienda ya podría meterse por medio y estudiar ellos más en profundidad el caso.

Como véis se puede realizar una estimación muy aproximada simplemente con información pública que un usuario deja en sus redes sociales y estudiarlo con el Big Data. Pero recuerdo que estamos estudiando esto para el caso de Hacienda, pero a un ciber-criminal le puede interesar que tú gastes mucho, ya que si quiere ganar mucho dinero rápido, tú puedes ser su víctima favorita.

¿Hackeamos el Mundo?
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

BOUM!! "ARRANS" DE SUELO

WE ARE SEX BOB-OMB!!! ONE, TWO, THREE!!!...Así empiezan las canciones el grupo de mi cómic favorito, Scott Pilgrim. Scott Pilgrim es un gran...