Si tu no los proteges quien lo hará?

Para dar batalla a esa gente enferma, sin cerebro y sentimientos.

Si tienes información;  ya sea websites, emails, nombres, etc.
No dudes en enviarla, en el siguiente link
Click Aqui
(esto es mientras GAP crea el sistema de envío de información anónima)
para que NO te veas involucrado en nada

Apúntate y ayuda con información.
ATTE GAP

Hace un par de meses fué la del Senado de la República, ahora la del Poder Judicial  del Estado de México

Un Hacker bajo el seudonimo de Zero Z0orG ha echo un deface a la Página principál del sitio http://www.pjedomex.gob.mx/

Las fraces de este “Owned”

Para todos los paises:

Espero poder hacer una entrevista al igual que a Knet.

Por lo pronto les dejo el ScreenShot

¿Qué opinas de esta forma de protesta (cyber Protesta) ante nuestro gobernantes?

Nota: Cabe hacer nota que en este caso, se agregó un link a la canción Gimme the Power del grupo Molotov, un a mi gusto Excelente “logo”, de una deformación de la bandera mexicana.

Prólogo:

Hoy en día la seguridad informática ha dejado de ser un tema Underground  y a pasado a ser un tema de gran importancia  para la mayoría de personas que diariamente utilizamos una computadora.
La necesidad de proteger nuestros archivos; fotos, textos, programas, videos, canciones, grabaciones inclusive nuestras propias contraseñas, es inevitable.

Introducción:

El formato de compresión de archivos zip, originalmente usado en pkzip  creado por Phil Katz  y que actualmente es usado en programas como Winzip, AllZip, Winrar y el mismo sistema Windows a partir de la versión XP, permite entre todas sus opciones el poder encriptar los archivos que se comprimirán “dentro de él” Cada uno de estos archivos puede contener una contraseña distinta y ésta es usada para encriptar y comprimir el archivo. Existen varios tipos de encriptación algunos más seguros que otros y a su vez con mayor o menor capacidad de compresión.

Tipos de encriptación:

1. Standard Zip 2.0 encryption
2. AES encryption de 128 Bits
3. AES encryption de 256 Bits

¿Cómo se hackea la conraseña de un Archivo comprimido en formato zip?

Los algoritmos que se utilizan para encriptar los archivos en formato zip son irreversibles, es decir que no hay forma (formula o ecuación matemática) de conseguir la contraseña original basándose en los datos encriptados, por lo tanto sólo restan tres opciones viables un ataque Brute Force (Fuerza Bruta)  un Ataque A Diccionario o una combinación de ambos.

Nota: Claro que también existe la posibilidad de un keyloger, mas no es el tema a tratar en este tuto 

Métodos:

• Brute Force
  Este tipo de ataque se basa en generar todas las combinaciones posibles entre distintos conjuntos de caracteres y probar cada una de ellas hasta dar con la correcta.
  Por ejemplo: Todas las letras del alfabeto en minúsculas, Todas las letras mayúsculas y minúsculas más los números del 0 al 9, Todas las letras del alfabeto más todos los números más todo los caracteres, Etc. También se puede decidir la longitud  de la contraseña, por ejemplo; La combinación de todas las letras minúsculas en 4 dígito, esto probará desde la contraseña aaaa hasta la contraseña zzzz  otra opción podría ser generár el mismo tipo de clave en minúsculas y mayúsculas usando de 4 a 6 dígitos, lo cual generaría de la contraseña aaaa hasta la contraseña ZZZZZZ.
  
• Ataque a diccionario
  El ataque por diccionario es algo parecido al Brute Force sólo que en este caso las contraseñas que probará estarán en un archivo (Un diccionario). Esté archivo suele ser un archivo de texto plano, es decir un “simple” archivo como el que puedes crear con tu Block De Notas y cada una de las palabras(contraseñas) están separadas por un Enter.
  
• Brut Force y ataque por diccionario combinados.
  Este ataque combinado puede ser muy efectivo ya que al combinar la fuerza bruta con palabras de un diccionaro se elimina la posibilidad de generar contraseñas que “casi seguramente”  no sean las que buscamos. por ejemplo aaBBcc11 en cambio al unir los dos tipos de ataque se pueden generar contraseñas mezcladas por ejemplo las palabras “mi” y “password” en el diccionario y combinaciones de 4 números al principio y al final, se podrá crear contraseñas como mipassword1234, 1234mipassword, password2008, etc.

Brute Force Vs Ataque a diccionario

Las Diferencias entre ataque a diccionario y el bruteforce son muy simples y obvias.

1. El ataque a diccionario puede ser más rápido ya que las cantidad de contraseñas a probar es mucho menor que todas las que se pueden generar en un brute force. Pero no nos garantiza  encontrar la clave, ya que existe la gran posibilidad de que ésta no se encuentre entre las palabras del diccionario.
2. El ataque Bruto Force  te garantiza que la contraseña será encontrada, más sin embargo esto puede llegar a tomar mucho tiempo. El tiempo que tomará depende mucho de las características de la compu en la que se realiza el ataque asi como del tipo de contraseña que tiene el archivo. por ejemplo, si la contraseña es de 4 dígito y de letras en minúsculas podrías encontrar la contraseña en segundos o minutos, Sin embargo si la contraseña es de 10 dígito con mayúsculas y minúsculas, acentos, caracteres como guiones y números, encontrar la contraseña podría tomar meses inclusive años. 

 Software para hackear/crackear Contraseñas de archivos ZIP

1. PicoZip (Gratuito) Descargarlo gratis de aquí
2. (Después iré poniendo algunos otros) 

Cómo hackear un zip con Picozip

1.- Descarga el programa, descomprime e instalalo

2.- Ejecuta el programa y verás una pantalla como la siguiente

3.- Prepara el programa para hackear el archivo

• En Encrypted Zip File Arhivo Zip Encriptado Debes de poner el archivo que quieres hackear dándo click al botón de la carpetita que tiene una flecha.
• En Recovery Metod  Método de recuperación ahí encontraras dos tipos Brute Force y Dictionary  En este caso seleccionaremos Brute Force a  menos que quieras hacer un ataque con diccionario.
• En Range Rango  seleccionamos  Lowercase Alphabets and Numbers.
  Las demás opciones significan lo siguiente:
  Numbers (0-9)  Números
  Lowercase Alphabets and Numbers (a-z, 0-9) Minúsculas
  Uppercase Alphabets (A-Z) Mayúsculas
  Uppercase Alphabets and  Numbers (A-Z, 0-9) Mayúsculas y Números
  All Alphabets (a-z, A-Z) Todo el Alfabeto
  All Alphabets and Numbers  (a-z, A-Z, 0-9) Todo el Alfbeto y Números
  All ASCII Characters  Todos  los caracterés ascii
  Only Non Alpanumeric Characters  Sólo caracteres no Alpanumericos
• En Starting Password  Inicio de contraseña. Lo dejamos en blanco
• En Min Length Mínimo de longitud. Usamos 3
• En Max Length Máximo de longitud. Usamos 6

4.- Iniciando el ataque. Damos click en el botón Start (Iniciar) Con esta configuración lo que estamos haciendo es probar todas las combinaciones posibles  de letras minúsculas y números, con longitud de 3 a 6 caracteres.

En el primer Tab (pestaña) Tenemos Status (Estado) Podemos ver la siguiente información

Current Password:  Contra seña actual  es la contraseña que se está probando en ese momento.
Password Length: Longitud de contraseña es el tamaño de la clave que se está probando en ese momento.
Passwords Tester: Contraseñas probadas Cantidad de contraseñas que se han probado. 
Total Passwords: Total de contraseñas” La cantidad de contraseñas que se probarán.
Progress:  Progreso” El progreso en % y en bárra gráfica.
Time Elapsed : Tiempo transcurrido” Es el tiempo que lleva desde que inició.
Time Remaining: Tiempo que le tomará probar todas las contraseñas posibles.

5.- Esperar a que las contraseñas sean probadas y tener pasiencia y “suerte”

En el segundo tab (Pestaña) Results (Resultados) Vererás la siguiente información:

Filename: Nombre de archivo, Aquí verás el nombre del archivo que estás crackeando.
Password: Contraseña, Verás la contraseña que se ha hackeado, en este caso es “eter”
Total Time: Tiempo total, Tiempo que tardó en encontrar la contraseña.
Total Passwords Tested: Total de contraseñas probadas.
Password Tested per Second: Contraseñas probadas por segundo.

Nota: es importante saber que cada archivo dentro del Zip puede tener una contraseña distínta, por lo tanto el programa probará las contraseñas en cada uno de los archivos y te mostrará el pass encontrado para cada archivo. tambien puedes notar que entre más archivos tenga tu zip, más tardarás en desifrar la contraseña.

 Dedicado a “La pollita“

Un de los libros que más me han gustado (y el primero que leí en una palm ) sobre hackers es “The Hacker Crackdown: Law and Disorder on the Electronic Frontier” (La caza del hacker) escrito por  Bruce Sterling en 1992

Este libro trata sobre los acontesimientos sucedidos en los Estados Unidos de Norte America  en los años 90s, así como pasajes en la historia sobre de dónde provienen palabras como hack, hackear, crackear . Pequeñas historias sobre grupos de hackers, hackers famosos… en fin un libro que te atrapará si te gusta todo estos asuntos de la informática. 

La traducción no la concidero muy buena, pero la información historica, la “novela“, las tácticas, hechos, anecdotas y demás  son lo importante.

Te dejo con un pequeño texto de la introducción, si te interesa sólo descargalo

En su introducción expresa correctamente: “Este es un libro sobre policías, locos “adolescentes prodigio”, abogados, anarquistas, técnicos industriales, hippies, millonarios con negocios en la alta tecnología, aficionados a los juegos, expertos en seguridad en ordenadores, agentes del Servicio Secreto, y ladrones…

Fallos en FOTOLOG.COM
 

1. Presentación
2. Explicación de fallos
3. Explotación de fallos

• Despedida

Aquel mensaje que no debió haber leído
Aquel botón que no debió haber pulsado
Aquel consejo torpemente desoído
Aquel espacio, era un espacio privado.

Pero no tuvo ni tendrá la sangre fría,
Ni la mente clara y calculadora,
Y aún creyendo saber en lo que se metía
Abrió una tarde aquella caja de pandora.

Y la obsesión
Desencripta lo críptico
Viola lo mágico
Vence a la máquina;
Y tarde o temprano
Nada es secreto
En los vericuetos
De la informática.

Leyó a mordiscos en un lapso clandestino
Tragando aquel dolor que se le atragantaba,
Sintiendo claramente el riesgo, el desatino
De la pendiente aquella en la que se deslizaba.

Y en tres semanas que parecieron años
Perdió las ganas de dormir y cinco kilos,
Y en flashbacks de celos aún siguen llegando
Las frases que nunca debió haber leído.

Y en esa espiral
La lógica duerme,
Lo atávico al fin
Sale del reposo;
Y no hay contraseña,
Prudencia, ni pin,
Que aguante el embate
De un cracker celoso.

Hackean Página Web del Senado de La República.

Oscar Rovira dice (03:36 p.m.):

Hola Knet, antes que nada te agradezco aceptar permitirme entrevistarte

Knet dice (03:36 p.m.):

Hola Oscar, por favor, es un gusto.

Oscar Rovira dice (03:36 p.m.):

Bueno, primero que nada, sabemos que eres el responsable del hackeo de la página web del Senado de la República Mexicana, junto con otro compañero tuyo.

Oscar Rovira dice (03:37 p.m.):

¿Qué podemos saber de ti?  ¿Tu edad?

Knet dice (03:37 p.m.):

Bueno, de mí pueden saber que tengo 17 años

Knet dice (03:37 p.m.):

y que aún no termino la secundaria

Oscar Rovira dice (03:37 p.m.):

¡Wow! Bastante joven, pensé que eras mayor.

Knet dice (03:38 p.m.):

Sí, todos dicen lo mismo

Oscar Rovira dice (03:38 p.m.):

Ahora, dime … qué te motivó a hackear la web?

Knet dice (03:38 p.m.):

Bueno, al principio no sé, podría llamar una etapa de observación…

Knet dice (03:39 p.m.):

Comencé por curiosidad a “testear” fallos en el sitio…

Knet dice (03:40 p.m.):

debo confesar que no fue del todo fácil penetrar dentro del sistema de la página del Senado, parte del código fuente de la aplicación que gesta las noticias/publicaciones, etc., estaba cifrada

Knet dice (03:41 p.m.):

principalmente, fue por auto-superarnos

Oscar Rovira dice (03:41 p.m.):

Pero sabemos que tú eres…. ¿el argentino o el chileno?

Leer todo el articulo »

Si te ha llegado un mail diciendo que google te dará hosting gratis de su nuevo servicio “google-webs.com”
 NO Introduscas tu contraseña ya que esto es falso.
El mail me llegó hace como una hora, estuve apunto de dar click y enterarme de qué se traba. lo bueno es que apesar de la falta de dormir, justo apunto de escribir mi contraseña pensé… -mmmm. ¿po rqué google usaría un dominio con un guión? ¿ por qué no lo llamaría “webs.google.com” en fín mil cosas, así que decidi escribir una contraseña incorrecta, y el sistema como si me hubiera reconocido me redireccionó a https://www.google.com/a/help/intl/en/admins/editions_spe.html el sistema de servicios de google, en el cual no existe ningun servicio de hosting gratuito. Después investigué el propietario del dominio  google-webs.com y oh sopresa… ¡Sí ! adivinaron. “malditos chinos spamers”
 
Bueno, son las 5:39 am, muero de sueño y mañana terminaré este posts con imagenes y todo… y porsupuesto una revisada a la ortografía. Les dejo el “whois” del dominio , una imágen de como se ve el mail y el e-mail original.

Leer todo el articulo »

 Entrevista Con Knet (Keynet.Security), Autor del Deface a la página Web Del senado de la república de México

Prólogo:

Desde hace ya algunos años, muchas personas me han preguntado por como hackear una cuenta de hotmail, algunas otras han acudido por ayuda ya que su cuenta fue hackeada o creen que fue hackeada, en fín una variedad de casos, asi que hace algunos meses comencé este pequeño tutorial que explica las tecnicas usadas para “hackear” una cuenta de correo… esto aplica tambien a algunos correos como @yahoo.com, @latinmai.com, etc... 

Introducción:

Hace tres días mi amiga Karla acudió a mí pidiéndome ayuda puesto que habían “Hackeado” su cuenta de Hotmail®. (Hace algunas semanas a mi amiga blue le ocurrió lo mismo). Dentro de esta cuestión del hack existen muchos mitos y muchas personas que se jactan de ser hackers así que para todos aquellos que tienen dudas sobre la seguridad de su cuenta de Hotmail® aquí explicaré algunosmétodos utilizados para hackear una cuenta de Hotmail® y cómo prevenirlo, para que no se dejen engañar ni apantallar.Primera parte

¿A qué llamaríamos hackear hotmail?

Técnicamente: sería burlar la seguridad de los servidores de Microsoft utilizados para Hotmail®

Prácticamente: al simple hecho de obtener la contraseña de un usuario por el medio que sea, así que el término sería “hackear una cuenta de Hotmail®”

¿Qué es Hotmail®?

No pretendo profundizar en este tema, así que seré breve y poco técnico, además de que no conozco a la perfección los sistemas de Microsoft.

Hotmail® es el sistema de correo electrónico a través de página web más conocido del mundo y me atrevo a decir que el que más usuarios tiene.

Este sistema es un programa CGI (programa que se ejecuta del lado delservidor y utiliza los datos que le son enviados desde un navegador) este programa secomunica con un servidor de correo SMTPSVC (ver 6.0.3790.211) yPOP a través de una página web. En pocas palabras digamos que es un Outlook® que abres con un navegador (Internet Explorer) así lo vemos desde una pagina Web.

Veamos algunosmétodos para Hackear una cuenta de Hotmail®

Separaremos estos métodos en dos grupos:remotos y locales

Primera parte 

• Keyloggers
• Xploits
• Snifers
• Brute Force

Segunda parte 

• Troyanos
• Screen Fakes

·Pregunta secreta y claves débiles

·Ingeniería Social

Key loggers:

Como su nombre lo indica: “Grabadores de tecla” es la mejor traducción que le pude dar. Estos son programas que se instalan en una computadora y básicamente lo que hacen es registrar todo lo que es tecleado en tu computadora, existen desde los más sencillos hasta variaciones más complejas con diferentes opciones, incluso hasta plugins.

Algunos simplemente guardan en un archivo de texto todo lo que has escrito, otros lo mandan a un correo, a su vez muchos de estostienen opciones para registrar conversaciones que tienes en MSN Messenger®, también hay los que graban (Screen Shots) imágenes de tu computadora cada x tiempo, los más sofisticados pueden grabar un registro de qué programas abriste, a qué programa le diste clic, etc.

¿Cómo funciona?

Básicamente es una de las formas más fácil de obtener un password. El atacante sólo requiere de tener acceso unos minutos ala computadora donde la víctima checa su correo e instalar el key logger. Si usas una computadora pública es mucho más fácil que contenga un key logger, ya sea para obtener específicamente tu password o simplemente por alguien que obtiene passwords de personas al azar.

Al estar instalado el software y después de que has checado tu mail en ella, el atacante simplemente tiene que regresar a la computadora para obtener el archivo con las claves guardadas o revisar su cuenta de correo para revisar que el programa haya enviado este archivo o la clave específicamente.

¿Cómo protegernos?

Algunas medidas son: 

• No checar tu correo en una computadora que alguien más usa, o
• No permitir a cualquiera usar tu máquina,
• Si utilizas computadoras públicas como las de la escuela, trabajo, cyber cafés, etc. simplemente debes acostumbrar cambiar tu contraseña constantemente (algo tedioso) y obviamente en computadoras distintas.
• Otro punto es verificar la posibilidad de que la computadora donde te encuentras esté infectada. Es un poco difícilsaber si ha sido o no “infectada” por un key logger, algunos métodos para protegerte son los siguientes:
  • Instalar unantivirus, (aunque los key loggers normalmente no son detectados por Norton
  • Instalar un anti-spyebot (tampoco ayuda tanto aunque sí un poco más que el antivirus
  • Buscando en tu sistema control+alt+sup (en Windows) puedes ver los programas que se están ejecutando en el sistema en ese momento, aunque algunos de estos se esconden al ser ejecutados como servicios, los cuales no pueden ser vistos desde la ventana de procesos, otro inconveniente es que algunos programas “join” permiten unir programas en uno solo, es decir se puede unir messeger.exe con un key logger.exe, así que cuando ejecutamos messenger se ejecuta el key logger y por último, es difícil saber qué debe y qué no correr en tu sistema, sobre todo si no eres un experto en la materia.

Nota: No pretendo dar el nombre de algún key loggery mucho menos recomendar alguno, puesto que este artículo no pretende enseñar a “hackear” una cuenta. Xploit:

Los xploit son programas diseñados para aprovecharse de un “bug” ( Error de programación) en algún sistema

¿Cómo funcionaría?

Básicamente necesitaríamos un error en msn Messenger®, en el navegador utilizado para checar la cuenta, en el programa cgi de hotmail® o en los servidores de Microsoft, lo cual implicaría hackear directamente a Microsoft y no a una cuenta.

Seguramente has visto e incluso instalado los famosos service packs o actualizaciones (parches); también últimamente se ha visto un parche de seguridad para msn 6.2… Bueno, pues precisamente todos estos parches corrigen esos errores de seguridad (y algunos otros como de rendimiento) en los cuales puede haber uno para obtener la cuenta de correo, algunas personas llaman Xploits a los Screen Fake

Comentario: en la versión 6.2 se corrigió un error que permitía ver a quienes te bloqueaban.

Sniffers. Veamos como explicar esto…

Cuando te conectas a Internet, lo que haces en realidad es conectar tu computadora con otra (servidor) la cual a su vez se conecta con otras. Al abrir la página de hotmail® y poner tu nombre de usuario y contraseña, estos datos son enviados a la computadora a la que te conectaste, es decir, al servidor de tu proveedor de Internet, éste a su vez los enviará a otro servidor y así hasta llegar al servidor de Hotmail, dentro de todo este transcurso, tu mensaje no debió haber sido leídopor ninguno de estos servidores, sólo enviado al siguiente y así sucesivamente hasta llegar al de hotmail, ya que el paquete no iba dirigido a ellos.

Ahora podemos entenderqué es un snifer, el snifer es un programa que se instala en una computadora, en este caso un servidor y sirve para leer paquetes que no son para él, así que las computadoras (servidores) desde tu proveedorhastaantes de llegar al de hotmail podrían tener instalado un sniffer y obtener tu clave. Lo mismo sucede con un cyber café o la red de la escuela, la computadora envía la información al servidor del cyber café, normalmente la computadora donde está sentado el encargado o dueño, la cual podría tener un snifer. En este caso cabe destacar que hotmail corre bajo una conexión “segura”, es decir, tú entras a http://hotmail.com,pero al enviar la contraseña te manda a una página como http://by18fd.bay18.hotmail.msn.com/cgi-bin/hmhome?fti=yes&curmbox=F000000001&a=d0a17415ecdb526effet4fdl13mfdf52&_lang=ES&country=MX , en fin, sin entrar en complicaciones, tu clave “viaja” por la red encriptada, así que tu contraseña digamos “mi clave” se veríapor ejemplo así: 3a9e2949768ef8dbba16e6007a29034e y el atacante tendría que desencriptarla

¿Cómo nos protegemos?

Básicamente no hay nada que hacer contra eso, aunque existe la protección de Microsoft al correr su servidor en un protocolo “seguro” el httpsBrute force

El brute force es un método de ataque en el cual se busca probar diferentes claves de acceso por medio de un programa, estas claves pueden ser: 

• Generadas al azar o bajo cierto criterio como mayúsculas minúsculas X cantidad de caracteres, números, etc.,
• Tomando las palabras de un diccionario, es decir un archivo de texto con diferentes claves,
• Una mezcla de estos dos.

Existe un programa muy conocidopor la red que permite atacar a Hotmail, Yahoo, Aol, prácticamente a cualquier sistema de e-mail por web, si mal no recuerdo se llama “mungabunga” si deseas buscarlo y probarlo te recuerdo que trae incluido un “free virus” … sí, así es, y no te emociones con que te dan algo gratis o que no tiene virus, sino todo lo contrario, al instalar este programa estarás instalando un troyano en tu máquina.

¿Cómo nos protegemos?

Lo principal es escoger claves “fuertes” es decir que tu clave sea compleja. Una combinación de mayúsculas y minúsculas, números y de ser posible caracteres, y de un mínimo de 8 caracteres.

Asimismo, no debes usar alabaras de “diccionario comunes” es decir, existen listas de diccionario que puedes encontrar y bajar fácilmente, estas listas están hechas para ciertos perfiles o generales, por ejemplo si la victima es un doctor, podemos encontrar listas con claves como nombres de medicinas, nombres técnicos de los órganos del cuerpo, etc.

Nunca guardes tus contraseñas en un archivo en tu computadora o en un postip en la pantalla de la computadora, que créanme que lo he visto muchas veces.

Otra protecciónes que nuevamente nuestros “amigos” de Microsoft han desarrollado un sistema para proteger una cuenta de Hotmail® de este tipo de ataques. Este sistema es muy simple y bajo mi punto de vista tiene algunos bugs por allí. Consiste en bloquear la cuenta después de aproximadamente 10 intentos fallidos, no estoy seguro si lo hacen por cantidad o es una relación de la cantidad de intentos y el tiempo en el que fue ejecutado, aunque me inclino más por el último.

Nota: antes de escribir esta parte hice el intento con una cuenta mía y fueron 10 intentos, lo interesante o el inconveniente es que mi cuenta sigue bloqueada desde hace aproximadamente 20 horas :/

Inconvenientes: Es obvio que si alguien nos quiere fastidiar y no precisamente “hackear”, esto permite a cualquiera mantener nuestra cuenta bloqueada. Muy mal señores de Microsoft

El proposito de éste documento es dar una explicación sencilla
del funcionamiento de estos tipos de corré electrónico. y que
las personas estén pregenidas ante estas técnicas de atake
espero publicar pronto la segunda parte.
Oscar Rovira 2005