Blog de Calivent

encontre por ahi el Codigo Fuente del Windows Vista.. para analizar... :p

Como la comunidad tuitera y los que soportaron sus ataques de ansiedad saben, ayer Twitter se cayó más de dos horas. Un ataque similar sufrieron otras redes sociales como Facebook y Livejournal, que sí resistieron la ola y no se cayeron (aunque páginas como la de Gastón Acurio desaparecieron durante unos minutos).

¿Qué pasó? Nos ilustra Arturo Goga:

Al parecer, según nos cuenta Elinor Mills de CNET en un “mini-podcast”, el ataque habría estado dirigido hacia una sola persona, un blogger de la República de Georgia, con el nombre de usuario Cyxymu en Twitter habría sido la víctima principal. El ataque podría haberse llevado a cabo por Rusos (las IPs parecen provenir de allá), y el motivo, la crisis de Rusia – Georgia.

Si esto es cierto, no sería la primera vez que el gobierno ruso emprende un ataque DDoS contra una de las viejas repúblicas soviéticas. Hace ya dos años Rusia la emprendió contra Estonia y, de hecho, hace un año Georgia y Rusia se enfrascaron en una ciberguerra que incluso obligó al gobierno georgiano a trasladar la web de su Cancillería a blogspot.

(También cabe la posibilidad, sugerida por @hdanniel, de que sean los mismos georgianos los que iniciaron el ataque, para propagandizar su causa).

Esos son los antecedentes. Ayer fue Twitter, mañana podría ser cualquiera, por ejemplo, Perú. ¿Estamos listos para las ciberguerras? Sí, claro. Sigamos comprando tanques. Como si los fuéramos a necesitar.

Yo personalmente hago uso de las transferencias del BCP, y desde hace tres semanas ya no lo pude hacer porque requerían utilizar la clave digital, aparato especie de un reloj que te muestra tu clave y que cambia cada 5 minutos, esta metodología me parece muy buena opción más que todo por la seguridad de muchos, ya que en los últimos tiempos hubo muchos fraudes a causa de los famosos phishing,  http://es.wikipedia.org/wiki/Carding,  por este motivo también cayo  nuestro amigo Cyberalexis, por haber recibido malos consejos de hacer este tipo de trafa lastimosamente. El punto es otro. Ahora así los usuarios caigan en estas trampas de los hackers o cracker malos no podrán así tengan su número de tarjeta y su clave de internet, no podrán retirar dinero ni hacer  transferencias a sus cuentas, porque les pedirá la milagrosa “Clave Digital”. En Perú  el BCP es el primer banco  que utiliza esta tecnología de la clave digital con encriptación RSA, como lo indica el dispositivo.
La pregunta que nos hacemos ahora sobre la  clave digital es, es realmente segura?, no habrá algún hacker que pudiera descifrar nuestra clave digital, bueno a pesar de que sabemos que los bancos tienen una seguridad extrema, tampoco es la idea de alarmarlos,  pero escuchamos des este conocido hacker argentino que según sus artículos está a punto de romper la encriptación de las Claves RSA,.
Hablando de estos algoritmos el SrHugo Scoling mostró durante su presentación algunos programas muy interesantes y prometedores,  que resolvían con eficiencia encomiable, fragmentos del problema y en un tiempo muy razonable.
Hablando claro, si Scolnik tiene éxito con su aproximación al problema de la factorización entera, algo en lo que ha avanzado y mucho, se podría factorizar cualquier clave RSA, casi con independencia de su tamaño, en un tiempo polinómico razonablemente corto, usando para ello un simple ordenador de sobremesa. Se acabarían los oscuros tiempos de la fuerza bruta durante los que se llegó a factorizar el desafío RSA200, el 2 de noviembre de 2005 por Jens Franke de la Universidad de Bonn. El mismo que machacó los desafíos RSA160, RSA576 y RSA640, ganando jugosos premios en metálico con ello. Que no nos engañe el nombre RSA200, puesto que al igual que el desafío RSA160, el número hace referencia a su longitud en dígitos decimales, por lo que estamos hablando de la factorización de una clave con una impresionante longitud de 663 bits. Dicen las malas lenguas que Franke tuvo suerte con unos primos de Mersenne. Yo no lo he comprobado y seguro que los que han dicho esto son unos envidiosos de cuidado ¿no creen?. Pero no nos perdamos el preocupante hecho de que Franke considera que su límite práctico actual de factorización, usando la "Special Number Field Sieve", es una clave RSA de 1024 bits.
Si el Doctor Scolnik logra romper el desafío RSA2048 se haría acreedor de un premio de 200.000 dólares, pero al mismo tiempo, se cargaría gran parte de la criptografía de clave pública que conocemos.
Menos mal que todavía no lo ha logrado, y que por ello, alguno me puede acusar de alarmista, pero la mera posibilidad de que lo logre en un tiempo relativamente breve, me pone los pelos de punta. Si alguien me pregunta por mi impresión de todo esto, he de decir que su conferencia me pareció bastante sólida dentro de la complejidad de los conceptos empleados y las limitaciones impuestas por el tiempo de exposición. Si lo logra, ¿cuántos secretos cifrados con el GPG/PGP que circulan por el mundo podrían quedar al descubierto?, además de claves bancarias, claves simétricas intercambiadas mediante sistemas de clave pública, nuestra clave digital del banco de crédito,  tuneles ssh que se abren, VPN que ya no son tan privadas, llaves electrónicas que ya no protegen, sistemas de acceso que nos abren sus puertas de par en par, etc, etc, etc.

atte calivent

Revisando por ahí encontre este video que me pareció interesante, lo comparto y lo pongo aquí.

Bien pues donde el objetivo es realizar un Multitouch casero.

Para los que no recueren del multitouch es una tecnología usada por Macintosh en su iphone y ipod touch y por Microsoft por su surface , que este es el caso más cercano al siguiente tutorial.

Nuestro amigo christian una mañana que quiso entrar a su MSN, no pudo.. Quedo tan sorprendido que se desesperó al instante,... pues le robaron su identidad... cualquiera en esta situación estaría desesperado.
Así nuestro amigo perdió cuentas de los dos dominios cuentas panel correos gmail etc. se imaginan perder todo esto..
es que a veces ponemos como correo alternativo o correo para reenviar el password olvidado a uno solo.. Por ejemplo un hotmail... imagínense perder este correo o que alguien mas tenga acceso... perderíamos todo todo..
Esto nos llama a la reflexión de tener la seguridad extrema.. porque cualquier precaución es poca cuando se trata de asuntos importantes.
Por eso recomiendo siempre:
Tratar de no asistir a Cabinas. Suelen existir keyloggers, y por ende no abrir nuestro correo en cualquier lugar, puede estar siendo esniffeado.
Tener Password Largos en numéricos caracteres etc.
Nunca ejecutar archivos extraños o sospechosos en nuestra Pc personal
Realmente es una perdida, que a nadie le gustaría según algun lamer de por ahí aprovecho la distracción o descuido de chistian y se aprovecho de esto.

• En este capítulo hablaremos de la vulnerabilidad en la web y cómo lo hemos experimentando en carne propia cuando perdimos el control de los dominios Maestros del Web y Foros del Web mediante el hackeo a la cuenta de administración de Christian Van Der Henst.
• Aunque el tema de seguridad en la web parece trillado en esta oportunidad nos ponemos como ejemplo de lo que se experimenta a consecuencia del robo de identidad y la posibilidad de perder el control de tus proyectos por un posible descuido o mal servicio de un día para otro.
• Les pedimos que esta situación sirva de reflexión sobre la importancia de la seguridad, el buen uso de sus cuentas en conexiones seguras y contraseñas elaboradas. Agradecemos a todos por sus mensajes enviados a través de Twitter y por difundir la noticia a através de sus blogs.

Leyendo por ahí, encontre otros metodos de inyección que a de tener mucho cuidado...
los ejemplo aquí publicados son solo con fines educativos.
“Data Mining with SQL Injection and Inference” donde expone algunas técnicas :P de tiempo de retardo:

xp_cmdshell ‘ping –n 10 127.0.0.1’ ? aplicación en pausa durante 10 segundos.

“SQL Injection Cheat Sheet” de Ronald van den Heetkamp, muestra unos trucos de inyección SQL a ciegas para MySQL, basados en Benchmark, funciones que pueden llegar a generar tiempos de retardos,

SELECT BENCHMARK(10000000,ENCODE(’abc’,'123′)); [around 5 sec]
SELECT BENCHMARK(1000000,MD5(CHAR(116))) [ around 7 sec]
Ejemplo: SELECT IF( user = ‘root’, BENCHMARK(1000000,MD5( ‘x’ )),NULL) FROM login

Esta es otra muestra de la que salio en milw0rm:

¡$sql=”F***You’),(1,2,3,4,5,(SELECT IF (ASCII (SUBSTRING(se_games.admin_pw, “.$j.”, 1)) =”.$i.”) & 1, benchmark(200000000,CHAR(0)),0) FROM se_games))/*”;

Esto lo usaron para atacar el servidor de un juego llamado Solar Empire.
Pues si, la verdad todo va evolucionando, las técnicas, herramientas, todo… por eso me llamo mucho la atención este articulo que resumí de Microsoft.

Muchas personas usan conexión inalámbrica para Internet, para no estar arrastrando un cable hasta su Pc o hasta su laptop, sería un poco incomodo verdad.

En Perú el 90 % de personas usan Speedy, y éste ahora coloca router’s Inalámbricos para el Internet de Casa Wifi, ésta emite a una banda de 2.5 GHz, según los estándares comerciales.

Pero a veces ocurren problema como el olvido de la clave de encriptación para la conexión.. o se olvidaron el nombre SSDI del Router o mil y un cosas que puede ocurrir.

Para ello personalmente uso el Wifislax para mi una de las mejores herramientas para las auditorias de Wireless.

Capturando paquetes de transmisión de otros usuarios podemos descifrar su clave wep, o obtener sus los nombres SSDI, hasta que configuración de Ips tienen sus otros clientes

Algunos AP están configurados para que solo ciertas maquinas registradas puedan ingresar así se conozca todas las claves.. Este reconocimiento lo hace similar a un IP. Pero es un código el Numero de MAC ejemplo: 00:89:4F:D2:15:A3.

El detalle está que a nuestra tarjeta inalámbrica rescribimos la MAC y cambiamos a una MAC registrada, que obtendremos con el escaneo. Engañando al AP haciéndole creer que es una Pc conocida.

Otra es que este oculto el SSDI, lo cual nos imposibilita el acceso a un usuario normal, (pero no a nosotros verdad :P). AIRODUMP que viene en el Wifilax, es una buena herramienta de captura de data, utilizando las conexiones de terceras personas extraemos en unos segundos el SSDI.

Aircrack, excelente es un programa capaz de descodificar las claves WEP y WPA-PSK una vez que ha capturado un número suficiente de paquetes de la red Wifi que utilice este tipo de codificación de contraseñas..

continuará...

La falla de seguridad que permite a un usuario ser infectado al visitar una página web con un exploit corriendo en background recien sacaron su parche, según informa Microsoft en su sitio web. despues que miles de usuarios fueron vulnerados... hasta talvez fuiste tu..

el IE7 andaba su fallo desde mas de 2 semanas pudiendo a un atacante remoto obtener el control de nuestro equipo y hacer uso de los privilegios que se otorga para manipularlo a su gusto.

En este sentido es conveniente que todos parchen sus versiones de Internet Explorer 6, Internet Explorer 7, etc. con estos parches de seguridad. Los parches están disponibles para todas las versiones de Internet Explorer y pueden ser descargados desde el siguiente enlace.o mejor aun recomendable es usar Firefox, navegador más rapido, más seguro, y más manejable.. en realidad muchas cosas mejores...

Recopilación de los mejores juegos gratuitos para sistemas operativos Linux. Juegos completos, listos para jugar y no requieren Wine para funcionar.

Dentro de Windows:

• Error 005606: imposible detectar teclado, pulse una tecla para continuar
• La unica diferencia entre windows y un virus es... que el virus si funciona
• ¿Cuantos técnicos de Microsoft hacen falta para cambiar una bombilla?, Ninguno, es un problema de Hardware.
• Papi, papi, ¿que significa FORMATTING DRIVE C: 99% completed?
• Si eres programador y no logras hacer algo que sirva, llámalo versión 1.0

1. Hay 10 tipos de personas en el mundo, las que saben binario y las que no.
2. Si no lo logras a la primera, llamalo versión 1.0.
3. Microsoft: “Vosotros teneis preguntas, nosotros tenemos clips bailarines”.
5. s1 pu3d35 l33r 35t0 n3c3s174s 3ch4r |_|n p0lv0.
6. No soy antisocial, simplemente soy poco amigable con el usuario.
7. Me gustaría cambiar el mundo, pero no me dan el codigo fuente.
8. La programación es una carrera entre ingenieros tratando de hacer mejores y mas grandes programas resistentes a idiotas y el universo haciendo mejores y grandes idiotas. Por ahora gana el universo.
9. Un ordenador te deja cagarla mas rápido que cualquier otro invento de la humanidad, excepto las pistolas y el tequila.
10. Mi software nunca tiene fallos, simplemente desarrolla características aleatorias.
11. En la caja decía: “instalar win 95 o superior”, así que instalé Linux.
12. Las rosas son #ff0000 las violetas son #0000ff. All my base are belong to you. (la segunda frase es intraducible xD).
14. La velocidad del sonido es la distancia entre la puerta y tu ordenador dividida por el intervalo de tiempo necesario para cerrar el reproductor de vídeo y te subes los calzoncillos cuando tu madre grita:”¡OH DIOS MÍO! ¡QUÉ ESTÁS HACIENDO!”.
18. Las contraseñas son como la ropa interior: Nunca tienes que dejarlas donde la gente pueda verlas, tienes que cambiarlas regularmente y no tienes que dejarselas a extraños.

Este es el primero de una serie de post, que en principio no serán consecutivos, en los que tratare sobre herramientas útiles para un administrador de redes. Las herramientas serán tanto para la plataforma Windows como para la plataforma Linux y algunas multiplataforma.

En este post voy hablar dos herramientas: una para Windows llamada Free IP Tools y otra multiplataforma llamada Nemesis.

Free IP Tools.
Esta aplicación es un conjunto de herramienta de red, agrupadas en una cómoda interfaz grafica.

Free IP Tools contiene además del clásico ping y traceroute las siguientes herramientas:

• PortScan es un escáner de puertos, que permite explorar la red buscando puertos abiertos. Utiliza el modo silencioso para evitar ser detectado.
• HostAlive es una herramienta para supervisar disponibilidad de un anfitrión y de los servicios en red proporcionados por el anfitrión (tal como HTTP o ftp server).
• EmailVerify comprueba si existe una dirección de correo electrónico, verificándola en el servidor correspondiente.
• SNMPAudit es un explorador avanzado del dispositivo SNMP que puede localizar rápidamente los dispositivos SNMP.
• SysFiles ofrece una manera fácil de corregir cinco ficheros del sistema que son importantes para el establecimiento de una red: servicios, protocolo, redes, hosts y lmhosts.
• IPBlackList es una utilidad que comprueba si la dirección IP o el nombre del host proporcionado está incluido en una lista negra como emisor de Spam. Algunas veces se le deniegan servicios a host por estar incluidos en estas listas.
• NBScan explorara la red buscando recursos compartidos por sistemas Windows: las carpetas, las impresoras y otros dispositivos. Este explorador de NetBIOS es muy rápido debido a la característica de la exploración paralela, así que puede explorar y enumerar todos los recursos compartidos de una red de clase C en un minuto.
• RawSocket puede crear socket de TCP y de UDP para probar y ajustar diversos servicios en red.
• Shares supervisa recursos compartidos en la computadora y monitoriza las conexiones a dichos recursos. Puede también ser utilizada para conectar recursos compartidos fácilmente.
• NSLookup es un programa, para saber si el DNS está resolviendo correctamente los nombres y las IPs.

Ahora ps aquellos que usan IE7, cuiiidenseee

El fallo de seguridad está relacionado con la forma en que IE7 procesa la página de mensaje de error HTML (Hypertext Markup Language) almacenada localmente que generalmente se muestra cuando el usuario cancela la carga de una página Web, según el investigador israelí especializado en seguridad Aviv Raff.

El mensaje de error informa al usuario que “la navegación hacia la página Web ha sido cancelada” y le ofrece la posibilidad de refrescarla. Si se acepta esta alternativa, el fallo permite al atacante hacer que IE despliegue la dirección de la Web diseñada como falsificación de la legítima. Raff ha publicado un código de “prueba de concepto” que demuestra cómo es posible engañar a IE para desplegar una página de su propio sitio Web como si fuera parte del dominio cnn.com.

Este tipo de agujeros se conocen como vulnerabilidades cross-site scripting. En el caso del reportado por Raff afecta a IE 7 sobre vista y XP.

Por su parte, Microsoft no ha confirmado el descubrimiento de Raff, pero ha emitido un comunicado en el que asegura estar investigando el asunto y no haber tenido hasta el momento noticia de ningún ataque dirigido contra la vulnerabilidad.

Mejor usen Firefox. click

eh aquí la presentación de un entorno Gráfico aquellos que les gusta los efectos a comparación de Windows Vista, Ustedes opinen cual elijen.

estamos hablando de entorno gráfico, ademas de sus otras potencialidades que en parte los detalle en otro Post.

Robusto Versatil Seguro, y es libre... nadie te acusará de pirata. mientras se llenan los bolsillos los de Microzot.

en este video, creen que es windos? pues no.. es Linux!!!

aqui otros links adicionales

http://www.youtube.com/watch?v=HNYs_nsWMhI

http://www.youtube.com/watch?v=YhHCl8j_RbU

Linux se ha caracterizado siempre por la robustez de su sistema ya que pueden pasar meses e incluso años sin la necesidad de apagar o reiniciar el equipo, también si una aplicación falla simplemente no bloquea totalmente al equipo.br

En Windows siempre hay que reiniciar cuando se cambia la configuración del sistema, se bloquea fácilmente cuando ejecuta operaciones aparentemente simples por lo que hay que reiniciar el equipo.
Aunque Linux no esta detrás de ninguna casa comercial gracias a su elevada popularidad ofrece una alta compatibilidad ofreciendo, además, actualizaciones frecuentes.

Windows al ser parte de Microsoft intenta ofrecer una gran cantidad de drivers ya que su gran poder económico hace que las empresas mismas de hardware creen sus propios drivers./ Aca le dejo mi lista de porque uso Linux y Software Libre…
No tengo ganas de esperar el reinicio de mi PC cada 2 X 3 porque se me cuelga.
No tengo ganas de instalar drivers por cada componente que le pongo a mi compu.
No tengo ganas de tener antivirus, spyware, adware etc etc.
No tengo ganas de esperar para abrir programas.
No tengo ganas de usar serials o cracks.
No tengo ganas de que la compu use mas energia gracias al sistema operativo (michosoft tiene la culpa del calentamiento global xD).
No tengo ganas de robar(legalmente) pirata (ups, usar serials o cracks es hacer eso, no sabias?)
No tengo ganas de fijarme si la actualizacion automatica que me ofrecen es o no perjudicial para mi sistema operativo.
Yo quiero elegir… que no me venga el tipo mas feo y rico del mundo y me diga -Usa Windos JuJaJu!-.
Yo quiero ser desordenado, necesito mas lugar para hacerlo, no me gusta tener un solo escritorio (uso 4 como minimo).
Yo quiero encontrar información para arreglar mis propios problemas si algo no funciona.
Yo quiero un diseño con interface moderno , atractivo y fácil de usar.
Yo quiero usar programas gratis y abiertos (Nota: Los versiones de los mismos para Windows son disponibles pero no corren tan rápidamente).
Yo quiero instalar programas en línea en vez de buscar discos de instalación que se puede perder.
Yo quiero configurar mi compu como servidor.
Yo quiero que todo sea libre
Yo quiero que mi sistema avance y crezca en cada version, y no que todos las rechacen.
Yo quiero que todo sea compatible, y no preocuparme si el programa que bajo o el componente que compro no funcione, porque no es compatible.
Yo quiero comprarme una compu celeron de 1.2 ghz con 256Mb de memoria para tener al 100% el sistema operativo mas nuevo Yo no quiero que me denuncien por piratería.

Despues de tantas luchas y pesares.:p,
me dispuse separar un tiempo y dedicarme a la programación,
claro ya desde muuuuucho tiempo no agarro mi delphi, hasta la fecha
mi favorito... pensaba desarrollar un sistema de pagos/notas etc.
pero esta vez quería progrmar en linux, pues bien como quería
utilizar el clon de delphi en Linux, pero lamentablemente no encontré
para fedora y redhat el cual utilizo. Solo para debian/ubunto, no
pude ademas este clon llamado kilyx esta descontinuado después
que Borland Creador de Delphi fue comprado por microsoft, y por
supuesto microsoft elimino de la pantalla a kilyx por supuesto, no
querría una competencia para desarrolladores libres, realmente
una pena. y por ende la ultima versión de delphi ya se parece
al .NET. Prácticamente lo mismo!,

Pues ahora viendo la situación
estoy inclinándome para usar mono develp, el cual me parece un
poco mejor

 

Todos estamos en desacuerdo creo, ante los fraudes, así como los phising porque hasta uno mismo puede ser victima, pues no se en que pensó realmente cyberalexis, lo siento por él. fui uno de los amigos de la red que tuve, pero no supe que andaba en estos "negocios turbios",  pero aclarando a la policía que tal grupo de cyberdestructores no Existe!. es un nombre que usualmente ponen los policias para hacer saber que atraparon a una graaan banda, bueno es común así como de sembrar narcóticos a las viviendas que allanan.

todos sabemos que esta muy mal el actuar de cyberalexis por el cual tendrá que rendir ante el poder judicial pero siempre habrá personas que lo apoyaran por lo que hizo menos en su delito.

ahora seguro que se mofará machado por su captura, y seguirá diciendo que es el mejor que es el hacker con mas experiencia siendo solo un hablador, el hablando de seguridad, convenciendo a los policías de ser un experto en informática.

J machado me retó alguna vez que penetrara su correo, siendo solo una propuesta como muchos niños que quieren jugar a ser hacker "a puesto que no me hackeas", "hackeame si eres un hacker de verdad" frases comunes usados por aquellos como él.

saludos "SDM" :P y a todos los informáticos de la Red.

Enlaces Relacionados.

• Juegos on- hackeda (con comentarios)
• Wf-Zone el video incluido
• perutech peru noticias
• La Republica
• las demas son similares, vean los comentarios

Retorno: Introduce el texto en el campo superior y pulsa el botón!

a veces alguien a necesitado una herramienta en linea para convertir texto a MD5 con urgencia aquí un pequeño algoritmo ejecutado :P... muy útil, por ejemplo te olvidaste el password, solución codifícalo en la BD. ups pero esta en MD5, solución tenemos para convertirlo el texto "nueva clave" y guardarlo en MD5! fin. Somos felices.

Introduje un script en Java Ajax simple simplemente eso con innerHTML listo, para experimentar, vean el código. ;)

Google acaba de modificar el diseño de la página principal de su buscador, hace unos minutos aún se mantenía el clásico que se había visto con la opción de búsquedas mediante pestañas, sin embargo ahora el menú de búsqueda de imágenes se encuentra en la parte superior junto con Noticias y un conjunto de servicios que ofrece hace un tiempo como Grupos, Libros y Gmail.