...Qué hacemos?? xD
viernes, 26 de febrero de 2010
jueves, 25 de febrero de 2010
Poemas.
Bueno, saliendo un poco de la temática de mis post, os os traigo, unos poemas los cuales se les pueden decir a la tía, cabra, caballo, mesa, planta, coche, cosa, pelusa, E.T. ( telefono mi casa! ) aunque a este último da un poco de miedo decirselo, sobretodo si te empieza a señalar con ese dedo marron, que vete tu a saber por que sera de color marron, en general a la persona que amas, ahí van:
En esta noche tan fría
yo te ofrezco mi estufa
no tiene pilas ni cables
pero igualmente se enchufa.
Quisiera ser pirata
no por el oro ni la plata
si no por ese tesoro
que tienes entre las patas.
Cariño, vamos a jugar al cepillo
tu pones los pelos y yo pongo el palillo.
Tus ojos son dos luceros
tus mejillas dos manzanas
que linda ensalada de frutas
haríamos con mi banana.
Mi amor, sentirás solo una esencia
pues me acercare con gran disimulo
y un poco mas notaras mi presencia
cuando te la meta por el culo.
Princesa, te voy a proponer un trato
tu te subes las enaguas
y yo te meto el aparato.
Por la ribera!!!
Esta versión tb está chula. A reirse con el acento que le han puesto al negro newyorkino. ojoooo ojoooo
Hiuro :)
martes, 23 de febrero de 2010
el Delegado...una especie en peligro de extinción
PD: me lo ha pasado el hombre mas gay de clase despues de Mr. Delegado, Aitor y El Lechón.
....miguel xD
viernes, 19 de febrero de 2010
Derechos del Detenido.
Delitos contra la Propiedad Intelectual.
Derechos del Detenido:
Últimamente ha habido un importante incremento de la actividad policial en lo referente a delitos contra la propiedad intelectual por copia de software. El tratamiento dado a las detenciones por los medios de comunicación ha sido, como ya viene siendo desgraciadamente habitual en estos casos, de carácter tendencioso y unidireccional, al basarse los periodistas exclusivamente en la información suministrada por la policía. Así, desde la agencia EFE hasta los más prestigiosos diarios , han hablado de la desarticulación de peligrosas mafias de delincuentes informáticos, limitándose a reproducir el comunicado policial, sin introducir los elementos valorativos que dan sentido al periodismo de investigación. En consecuencia, la opinión pública no ha podido conocer qué se esconde habitualmente tras la pregonada eficacia policial: pura ignorancia, y lo que quizás es más grave, la instrumentalización de un cuerpo policial por parte de las multinacionales del software.
La actividad policial en el terreno de la piratería informática siempre ha recordado bastante al símil, no por repetido menos vigente, del elefante en una cacharrería. Durante bastantes años, los procesos por este tipo de delitos se han visto abocados a la nulidad por la incompetencia técnica de los cuerpos policiales. A fin de subsanar dicho problema, las empresas productoras de software y sus abogados, han dedicado abundantes medios a incrementar la cultura informática de las fuerzas de seguridad del estado, siendo notables los esfuerzos en dicho sentido desarrollados a través de conferencias y seminarios. Los resultados, con todo, no han mejorado demasiado el panorama: en el último caso conocido, se produjo la divertida anécdota de que algún policía confundía a Traxdata, una de las principales empresas distribuidoras de CD-R vírgenes, con el alias de un pirata; afortunadamente, el equívoco no acabó en detencíón.
Decía Oscar Wilde que la ausencia de talento debe suplirse con trabajo duro. Quizás por ello, ante las dificultades técnicas que se le presentan a los cuerpos policiales a la hora de encontrar pruebas en este tipo de delitos, han decidido recuperar técnicas más castizas. Dado que una vez se produce una detención, la policía dispone de 72 horas para poner al detenido a disposición judicial, se intenta obtener de éste toda la información que no ha podido conseguirse por otras vías. Lo que sucede es que, antes de hacer la primera pregunta, el investigador policial debe cumplir con un doloroso trámite: recordarle al detenido cuales son sus derechos, regulados en el artículo 520 de la Ley de Enjuiciamiento Criminal (LECr). Dicho trámite es bastante pobre en la práctica, ya que en la mayoría de los casos se obliga al detenido a firmar, deprisa y corriendo, un folleto que los enumera, pero no se le permite reflexionar sobre el contenido de dichos derechos. Las líneas que siguen a continuación no persiguen otro objetivo que corregir dicha deficiencia: que la persona que lea el contenido de dichos derechos ante su ordenador, en su casa, cuando es libre y no le amenazan, sepa que un día los puede leer en unas circunstancias mucho peores, y en ese momento quizás no tendrá la templanza de ánimo necesaria para pensar sobre ellos.
Establece el citado artículo 520 de la LECr. que toda persona detenida o presa será informada, de modo que le sea comprensible, y de forma inmediata, de los hechos que se le imputan y las razones motivadoras de su privación de libertad, así como de los derechos que le asisten y especialmente de los siguientes:
Derecho a guardar silencio no declarando si no quiere, a no contestar alguna o algunas
de las preguntas que le formulen, o a manifestar que sólo declarará ante el Juez..
La mejor forma de ejercitar este derecho es no decir nada. Así de sencillo y aunque parezca una perogrullada. Desde el principio, desde el mismo momento de la detención, nada, absolutamente nada. La policía querrá saber donde están los Cds, la agenda del detenido, a quién le ha comprado y vendido éste el material, etc. En ese momento, lo mejor que puede hacer el detenido es sonreir... y guardar silencio. Pese a lo que se le hace creer al ciudadano desde la escuela, el detenido no tiene ninguna obligación de colaborar con la policía, y lo que diga sólo le puede perjudicar. No está de más comentar en este punto que cualquier intento de sonsacar al detenido con cualquier tipo de coacción, por suave que parezca, debe ser denunciado en la primera declaración ante el Juez. Es muy posible que se informe al detenido que si declara, lo dejarán inmediatamente en libertad, y que si no lo hace, detendrán a sus amigos o familiares, o avisarán a su empresa. Teniendo en cuenta que el detenido en este tipo de delitos suele ser joven e inexperto, este
tipo de presiones son intolerables y deben denunciarse a la primera oportunidad.
Derecho a no declarar contra sí mismo y a no confesarse culpable.
Está íntimamente relacionado con el derecho anterior, del que trae causa.
Derecho a designar Abogado y a solicitar su presencia para que asista a las diligencias policiales y
judiciales de declaración e intervenga en todo reconocimiento de identidad de que sea objeto.
Si el detenido o preso no designara Abogado, se procederá a la designación de oficio. No es imprescindible avisar al abogado de confianza, dado que en el supuesto de no declarar, es indiferente que a dicha negativa asista un letrado particular, o el de oficio Lo que sucede es que en el caso de cambiar posteriormente de abogado, se incrementan los gastos, dado que se ha de abonar la minuta al primer designado. Una vez firmada la negativa a declarar, el detenido tiene derecho a una entrevista a solas con el letrado, para preparar la declaración ante el Juez, en la que sí es conveniente asesorarse con alguien que entienda de informática.
Derecho a que se ponga en conocimiento del familiar o persona que desee, el hecho de la detención y el lugar de custodia en que se halle en cada momento. Los extranjeros tendrán derecho a que las circunstancias anteriores se comuniquen a la Oficina Consular de su país.
Deben olvidarse las vergüenzas, ya que está en juego algo más importante que una bronca familiar. Cuanta más gente conozca la detención, mejor, así que la familia debe avisar a todos los amigos que figuren en la agenda del detenido, antes de que los avise la policía. Otra razón para avisar a la familia es que en caso que la detención se alargue innecesariamente, se puede recurrir al Habeas Corpus, una petición ante el Juez de Guardia para que se ponga inmediatamente al detenido en presencia de la autoridad judicial, lo que a veces puede ser necesario, sobre todo si se trata de jóvenes de ánimo débil...
Derecho a ser asistido gratuitamente por un intérprete, cuando se trate de extranjero que no comprenda o no hable el castellano.
En este punto el detenido podría ponerse a exigir hablar en el idioma propio, lo que es perfectamente inútil cuando no se piensa declarar...
Derecho a ser reconocido por el Médico Forense o su sustituto legal y,en su defecto, por el de la Institución en que se encuentre, o por cualquier otro dependiente del Estado o de otras Administraciones Públicas.
Aprovechando que no tiene nada mejor que hacer, es conveniente que el detenido insista en que venga el médico. Así, además de pasar más entretenidas las horas de la detención, en el supuesto de que venga el médico ya hay un primer diagnóstico que informa que el detenido entró sin lesiones en comisaría. Si dicha situación cambia, alguien tendrá que dar explicaciones.
Una vez ha pasado el miedo de la primera fase de la detención, se podrá reflexionar tranquilamente sobre qué declarar ante el Juez. Cada caso es diferente, y el más preparado para diseñar la estrategia de ese momento será el abogado que libremente escoja el detenido. En cualquier caso, no está de más recordar que para que exista delito por copia ilegal de software, ésta debe ser con ánimo de lucro y en perjuicio de tercero. A sensu contrario, pueden deducirse de ello dos consejos, a saber:
- Nunca debe reconocerse haber cobrado o pagado por una copia.
- Debe proclamarse solemnemente que de no copiar el software, tampoco lo hubiésemos comprado, lo que descarta el perjuicio del tercero, que no podrá en tal caso argumentar que ha perdido una venta. Ya que Bill Gates no es altruista, seámoslo nosotros con nuestros semejantes...
Articulo extraído del WebZine de !Hispahack. Enlace: !Hispahack
Siempre viene bien saber todo esto ;) Saludos!
!S
jueves, 18 de febrero de 2010
martes, 16 de febrero de 2010
[/Hack] Petando contraseñas en Unix.
Hace poco vimos la manera de crackear una contraseña en windows, como se pudo observar, es un proceso muy simple y que en un par de minutos se hace, pero, y que pasa con los ordenaores que corren un Unix, como puede ser un servidor que corra una versión de linux, o un ordenador de Apple, bien, en estos casos toca tirar de un fichero que hay en /etc/ aqui, si hacemos un ls -la en una terminal observaremos que hay un fichero llamado passwd, si hacemos un cat passwd en una terminal, nos aparecera esto:
- root:XY53xxh3gVvvE:0:3::/root:/bin/sh
daemon:*:1:5::/:/bin/sh
bin:*:8:2::/bin:/bin/sh
adm:*:3:4::/usr/adm:/bin/sh
uucp:*:5:8::/usr/spool/ucppublic:/usr/lib/uucp/uucico
lp:*:8:8::/usr/spool/lp:/bin/sh
hpdb:*:38:1:ALLBASE:/:/bin/sh
user1:g.um3CCF4uVIk:247:25:Sheik NoHibi:/disc/users/!Sheik:/bin/csh
Cada linea corresponde a un usuario, lo que contiene cada linea, por orden, es lo siguiente:
El username, el password encriptado, ( como podreis observar, en algunas lineas, en este campo hay un * , esto significa que el password es un password inválido, no se corresponde con nada, en estas cuentas no se puede entrar ), el user_id, el group_id, el nombre real de la cuenta, el directorio perteneciente a esa cuenta, y el shell que se carga en el inicio de esa cuenta.
Los dos puntos separan un campo de otro, separan por ejemplo el user_id del group_id.
en la primera linea, donde el user_id es "0" significa que esa cuenta pertenece al grupo de root, en la última linea no se da el caso de user_id sea "0" , si se diera, significaria que ese usuario tiene algunos privilegios de root ya que pertenece a este grupo.
Intentar desencriptar una contraseña en Unix es una tarea imposible ya que no se puede desencriptar, Unix usa un nivel de cifrado de 1024 bits para las contraseñas, toca tirar de listas de palabras :D.
Bien, sabiendo todo esto, procedamos.
1º Conseguimos listas de palabras, puedes o crearte tus propias listas de palabras, con nombres, fechas, deportes, insultos, guarradas, los propios username de inicio de sesión, todo lo que se te pase por la cabeza sirve ;) , o bien puedes descargarte listas de palabras ya echas, dejo enlace a continuación:
2º Obtener la lista de contraseñas:
La lista de contraseñas, como ya he dicho antes se encuentra en /etc/passwd, bien, si el sistema tiene activado Shadow Passwords o NIS, lo mas probable es que la terminal os arroje basura sin sentido, en este caso podeis probar a realizar un ypcat /etc/passwd, con esto obtendreis por pantalla la lista real de passwords, siempre y cuando tengais permisos para poder ejecutar un ypcat, si no teneis privilegios sufiientes lo mas probable es que os vuelva a arrojar basura otra vez, en este caso habra que recurrir a programas los cuales obtengan esas contraseñas las cuales de la manera tradicional no salen a la luz , uno muy bueno que hay es el PWGET, cuando lo descarguemos, simplemente lo subimos al servidor que queremos petar, se descomprime:
Descomprimimos:
gzip -d -f PWGET.TGZ
tar -x -f PWGET.TAR
Compilamos:
cc -o pwget pwget.c
Y ejecutamos:
./pwget
A continuación obtendremos la lista de passwords por pantalla, si queremos sacarlo por un fichero para conservarlo, ejecutamos lo siguiente:
$ ./pwget > fichero
o
$ ypcat /etc/password > fichero
o
$ cat /etc/passwd > fichero
A continuacion, nos conectamos con un cliente FTP que nos permita descargar ficheros, y lo descargamos.
3º Petar la lista de passwords:
Una vez tengamos la lista de password o programas para generar listas de passwords y el archivo de passwords, simplemente necesitamos un programa que encripte nuestras palabras y las vaya comparando con la lista de passwords que tenemos.
Primero vamos a realizarles algunas modificaciones al fichero de passwords para que el petado tarde menos.
Eliminamos del fichero de passwords todas aquellas lineas las cuales el password sea o "*" o "*NO PASSWORD*" o cosas por el estilo.
Ordenamos las lineas del fichero de passwords por los dos primeros caracteres del password encriptado.
Todos aquellos usuarios que tienen el campo de password vacio no tienen password por lo tanto esa linea la eliminamos del fichero para que tarde menos.
Una lista de petadores, ordenados de mejor a peor, y los tiempos que tardaron en crackear:
Jonh the ripper --> 6'15''
Star Crack --> 9'15''
Cracker Jack --> 13'33''
Hades --> 47'05''
Brute -->59'54''
Guess --> 141'58''
Killer Cracker --> 151'12''
Xit --> 195'37''
Ahora simplemente ejecutamos uno de los petadores, conseguirlos es fácil, google es vuestro amigo ;)
le pasamos el fichero que hemos arreglado para que tarde menos tiempo en sacar las contraseñas y esperamos a que nos saque los resultados.
Saludos.
Fuente de toda la documentación, tutoriales, etc de este post : !Hispahack
!S.
miércoles, 10 de febrero de 2010
El penultimo superviviente 2ª parte
aqui teneis la segunda parte de... "EL PENULTIMO SUPERVIVIENTE" de la ribera.
;) Hiuro
martes, 9 de febrero de 2010
[/Hack] Inyección de código sql a ciegas.
Hay otras formas de saber si en una pagina es posible inyectar y ejecutar código sql o no, y es mediante el tiempo que tarde la pagina en ofrecernos un resultado, si tarda mucho en responder significa que se esta procesando la consulta que nosotros estamos ejecutando, aunque el único resultado que de sea un error del SGBD o de la pagina web en cuestión, ello nos lleva a pensar que si que es posible inyectar código sql en dicha página.
!Sheik.
[/Hack] Algo que no dijeron en la conferencia del otro día.
Como diferenciar paginas las cuales sean vulnerables a ataques por inyección de código sql de las que no.
Tenemos la siguiente página.
En la imagen donde dice id=9316a0d5bc65......51e
Añadiendo abs() en la dirección podemos llegar a identificar si una pagina es vulnerable o no a ataques de inyección de código sql, la dirección con el abs se quedaria asi:
Si la pagina se visualiza con total normalidad significa que si que es vulnerable a ataques de inyección de código sql. Otra forma de saber si una página es vulnerable o no es mediante los tiempos de respuesta de la página, esto ya lo miraremos mañana.
!Sheik
lunes, 8 de febrero de 2010
domingo, 7 de febrero de 2010
El capullo de Rafa Mora
Mirad al personaje que descubrí durante mis días de recuperación. Sí, este es Rafa Mora, el tonto-lava de valencia que se cree guapo por un lado y fuerte por el otro. No se da cuenta de que tiene cierto parecido a un "curasan" y que con esa cara de bollo, con los ojos pegaos y achinaos, con menos pelos en las cejas que un huevo pulido y sobre todo con esos aires de chulo-playa de esos a los que le darías dos galletas y una de regalo, por guaperas. Y dicen que ese tío es policía portuario? así va el mundo, con gentuza como ese.
The Midnight Beast - Tik Tok Ke$ha Parody
Es pegadiza, la llevo escuchando toda la semana, y el videoclip esta guay.
jueves, 4 de febrero de 2010
Suscribirse a:
Comentarios (Atom)