Certificados Falsos de Google

No siempre podemos confiar en los mecanismos de seguridad disponibles en el mercado, por ello es que deben co-existir muchos productos para una misma necesidad, pongamonos en el caso de SSL, existen 1001 manuales en Internet que exponen ataques usando N tecnicas diferentes logrando comprometer la información transferida entre los 2 puntos. TLS nace para suplantarlo pero para algunos cojea de la misma pata pues mientras el mecanismo de encriptación genere resultados seguros a nivel militar y la información sea transferida entre los 2 puntos siempre habrá al menos un eslabón debil en la cadena y es el caso a continuación.

Al parecer una empresa dedicada a generar certificados de Seguridad “DigiNotar” a distribuido certificados fraudulentos para direcciones *.google.com a un tercero con intenciones de redirigir trafico de usuarios localizados en Iran. Lo curioso es que estos certificados pueden ser usados para generar ataques usando técnicas de Man in the Midle (MITM) para todos los servicios de Google. En mi opinión se han prostituido las llaves maestras del Internet, dándole poder a muchas empresas que no siguen al pie de la letra las condiciones de seguridad generar certificados a “titirimundachi”.

Todavía es muy temprano para realizar la caceria de brujas, me gustaria esperar un poco para quemar vivo al responsable y asegurarme de que es el antes de prenderle candela a la leña y evitar un nuevo Ipswich antes de tiempo. En CNET tienen la noticia completa, clic aquí para leerla.

Comenta… comenta…!!!

No todo lo grátis es bueno!

Desde que trabajo de manera independiente he tenido que ser más paciente e incisivo sobre las preferencias de los clientes, sobre todo cuando hay diseño gráfico involucrado, la mayoría de las veces no saben por cual muestra decidirse o escogen la que menos me gusta, irónico pero cierto. Aveces llega lo que defino como “clientes celestiales” estos ya saben lo que quieren, tienen bastante tiempo con el concepto en su cabeza y son muy decididos, la mayoría del tiempo ya poseen algunas muestras de lo que quieren o intentos hechos por otros freelancers que han fallado en completar el proyecto.

Hace semanas me contactaron para diseñar/desarrollar un sitio web completo, lastimosamente no puedo divulgar mucho sobre la finalidad del mismo, solo puedo decir que si todo va bien podría ser Trend Topic en twitter muy pronto, lo curioso es que fue uno de esos “clientes celestiales”, decidido y bien centrado en lo que quiere, tan atento que me proporciono algunas plantillas a modo de inspiración, estas plantillas para WordPress las había descargado de un sitio famoso, lo mejor de todo es que como el refirió, la plantilla “es gratis”.

Luego de examinar la plantilla en cuestión, me encontré con una linea bastante “diferente”, check this out:

La linea que me llamo la atención
Linea malvada!


WTF!, eso no parece un código común de una plantilla de WordPress, luego de decodificar varias veces esa linea me encuentro con esto:

Código Verdadero
Lo que escondia la linea en base64


Examinando el código observamos que no es tan grave, no están tratando de explotar una vulnerabilidad o algo parecido, solo están colocando publicidad, pero creo que a mi cliente no le hubiese gustado tener esa publicidad en su sitio. Moraleja… no todo lo gratis es bueno, siempre debemos al menos pasarle un antivirus al contenido que descargamos por la web, saludos.

Programas de TV (O pelis) dedicadas a Hackers/Geeks

Buscando alguna motivación que me permitiera salir de mi letargo vacacional (Bien merecido pues tenia 3 años seguidos sin tomar vacaciones) me decidi a buscar cualquier pieza en video que hablara de hackers, geeks, historia de la computacion, lo que me permitio ensamblar una lista con el contenido más relevante, aqui va:

    Hackers La pelicula (1995): para algunos encontrar este película liderizando la lista tal vez no les sea de agrado pues definen el hack como una especie de graficos animados que supuestamente vemos al entrar usando un backdor en algun servidor, imagino que esa fue la forma mas atractiva de colocarlo pues mostrar una consola con lineas de comandos no pareciera encajar en la historia simplemente apelaron a lo atractivo graficamente.
    Hackers 2: Takedown: Esta pelicula cuenta una historia ficticia basada en el libro The Takedown escrito por Tsutomu Shimomura, John Markoff (Tampoco muy real) sobre el hacker mas buscado sobre la faz de la tierra Kevin Mitnik.
    Pirates of Silicon Valley (1999): Otra película que simplemente adoro, cuenta la historia del nacimiento del PC personal desde un punto de vista Applesiano, claro todo con muy drama y bastante controversia, recomendada 100%
    Revolution OS: Documenta sobre linux y la belleza del Software Libre, como dicen en mi tierra “impelable” o impresindible de ver.
    WarGames (1983): película que simplemente hay que ver solo por decir que se ha visto, es la pionera en mostrar ataques a maquinas importantes del gobierno; tan importantes que casi causa una guerra nuclear, 100% recomendada, 100% impelable para aficionados a la computación, dev y hack.
    Triumph of the nerds: Documental sobre el triunfo de los nerds desde punto de vista comercial, excelente, muy recomendado.
    Freedom Downtime: Documental muy famoso sobre el caso de Kevin Mitnik, el torrent también incluye una entrevista a Kevin Mitnik luego de haber sido puesto en libertad, así como también en el vídeo original se incluyen entrevistas a otros hackers famosos que fueron detenidos.
    Hackers: Outlaws and Angels (Discovery Channel): Es un documental sobre hackers de el cual no puedo opinar porque no he visto pero e propongo a hacerlo en las siguientes horas, lo incluyo para saciar cualquier curiosidad.
    Hackers Wanted: Otro documental que no he tenido la oportunidad de ver pero parece interesante, lo incluyo por la misma razón descrita arriba.

Si se preguntan porque no inclui a “The Net” en esta lista, sencillamente es porque no me gusto mucho la pelicula, pues no muestra alguna tecnica de hackeo o simplemente no me inspira mucho. Algunas otras podrian haberse incluido aqui pero no pude conseguirlas (Bajarlas): “23”, Johnny Mnemonic (1995), The sneakers (1992), etc o deje su comentario sobre su película relacionada favorita, ahora si les dejo el zip con los torrents.

Actualizado: 17-Ago-2010 4:54:pm

Siguiendo los comentarios decidi Agregar a Antitrust (2001)… que raro como se me pudo olvidar agregarla, esta película desarrolla una trama dramática con respecto al software libre, asesinatos de programadores y la ambición del sector privativo. Torrent gracias a thepiratebay.org.

Algunos sugieren series como “the big bang theory” y “it crowd”, de la primera tengo que decir que es excelente y muy divertida pero los integrantes son más cientificos que hackers y de la segunda nunca he tenido chance de ver algún capitulo, pero me dispondré luego bajarlos. Gracias por sus comentarios.

Phishing Venezolano

Ayer me llego un correo del Banco de Venezuela, extraño… aunque soy cliente del banco no tengo mi cuenta de gmail asociada al mismo, me sentí curioso al respecto y me di a la tarea de revisar la ip a donde redirecciona la página para que introduzcas tus datos inocentemente…. como lo imagine proviene de un ip local de cantv… lo que significa que dicho phisher está localizado en Venezuela y usa ABA.

¿Se puede denunciar esto?
Claro que sí!…

¿A donde?… esa es la pregunta del millon!…
Mi querido padrino de Ifá me recomendo que escribiera un informe para explicarle el asunto al Banco de Venezuela… sin duda hoy lo enviare.

Ni idea si CANTV tendrá un numero para reportas este tipo de actividades delictivas… para ellos sería muy facil saber desde que aba se están conectando y quién es el responsable.

Les dejo el IP para que revisen ustedes mismos y un screenshot del correo Mesmo!… claro si utilizan Firefox no tendrán problemas porque este reconocerá la usurpación de identidad!.

http://201.210.9.42/

y el email:

Identificandome con la Comunidad Hacker

Glider PAPA!!!

Como todos los usuarios tienen su “imagen” que los identifique (lee mas aquí), la comunidad hacker ha adquirido una imagen que los represente y puedes observarla en el comienzo del post. Que yo coloque este logo hacker en mi blog no me identifica como un hacker activo (de hecho la palabra hack en ingles se utiliza para denotar “atajos” en distintas situaciones computacionales) si no que me identifico con la comunidad hacker y admiro su devoción en encontrar fallas en sistemas que se creen perfectos y seguros (además los hackers me asustan 😉 … son poderosos…)

Hay que apoyarlos en su labor… y no me gustaría saber que me harían si empezara a hablar indebidamente de ell…. @”#