Archivos del Tag: Hack’

Mitos sobre seguridad

Tuesday, February 24th, 2009

Antes que nada, este es el primer articulo de nuestro nuevo colaborador jia200x. Decir que es un honor que lo tengamos aquí en el blog, pues es un genio de la informática y de muchas otras cosas. Esperamos ver más aportes de el.

Debido a las múltiples dudas, he decidido aclarar ciertas situaciones relativas a la seguridad en internet y sus derivados, retocando de vez en cuando las situaciones locales.

“Me llegó un mail diciendo que no agregara a un tal juanitoperez@hotmail.com, porque dice que es un jaker que borrará todos los datos de mi computador”


Este tipo de mensajes generalmente son un hoax (una falsa alarma).  ¿Cuál es el fin? O bien, generar bases de datos a partir de los mails que se reenvían, o simplemente generar molestias entre los usuarios.  En el caso de que el usuario fuera real, no debemos olvidar que la dirección de e-mail NO está relacionada con el computador; por lo tanto, a menos que Juanito Perez logre introducir algún programa de control remoto en nuestros computadores (para esto, previamente debe habernos contactado), o que ocupe algún agujero de seguridad, no podrá acceder a nuestro equipo sabiendo la dirección de correo.

“¡Dios mío! Me ha llegado un e-mail que dice que el programa de Messenger será de pago en un par de meses, y que para evitar esto, debo enviar el mensaje a XX personas”

¡Dios mío! El calibre de cosas que puede inventar el ser humano…

El servicio Messenger Service es un servicio gratuito financiado por publicidad, Microsoft jamás se arriesgaría a cometer un delito como aquel, obligando a los usuarios a migrar a otras alternativas. Por otro lado, no existen sistemas de control de envío de mensajes entre usuarios: No porque envíes un mensaje a XX personas, vas a producir un cambio tanto en tu cuenta como en el servicio (a no ser que sea una junta de firmas o alguna variante, pero no va al caso).

Además, si los programas clientes “MSN Messenger” o “Windows Live Messenger” comenzaran a ser de pago, se pontenciarían las alternativas (como A-Msn)

Entonces, ¿Cuál es el origen de estos HOAX (léase consulta anterior)? El 70% de los casos, estos mensajes que son reenviados, sirven para recolectar cuentas de e-mail, que posteriormente son vendidas como bases de datos para prácticas ilegales (como enviar spam).

“Creo que ya soy todo un jaker, descubrí que puedo enviar un mensaje a service_password_lost@hotmail.com con mi user y password, y logro confundir al sistema, enviándome la clave de la cuenta víctima. Pues, ¡Que listo soy!

Querido Lammer:

El sistema de autentificación de servicios como Hotmail es bastante más complejo que un simple e-mail. NO es posible confundir al sistema con texto de esa forma. Probablemente, la dirección service_password_lost@hotmail.com sea de algún lammer más astuto que tú, que logra que caigas en su trampa, enviando tu contraseña.

Este “novedoso y rápido sistema de jaker” se comenta mucho a lo largo de internet, y deben comprender que no es más que un fraude.

“Creo que ya entendí. El sistema de Messenger Service es muy seguro, porque de la misma forma que yo intento buscarle vulnerabilidades para explotarlas, ellos las buscan para arreglarlas. Sin embargo, ¿Por qué existen robos de contraseñas?”

El 90% de los ataques satisfactorios relativos al robo de contraseñas en las cuentas de e-mail o servicios de mensajes (MSN, AOL, etc),  son gracias a la ingeniería social (identidades falsas, sistemas de postales engañosas, o cualquier sistema en la cual se logre que el usuario entregue su clave), o a la simplicidad de la “Pregunta Secreta”.

El 10% restante, se debe a diversas causas. Entre ellas:

  • Descuido del usuario al aceptar la transferencia de  algún programa capturador de teclas, y ejecutarlo para beneficio del atacante
  • Técnicas de cracking (Fuerza Bruta, poco efectiva en este sistema)
  • Bugs del servicio o del cliente: Cross Site Scripting (XSS), inyección de SQL, buffer overflow (sobrecarga de buffer, ya hablaré de ello), inyección de código

Respecto a los bugs del servicio, la mayoría están parchados, es prácticamente imposible acceder a la clave de una cuenta sin fuerza bruta.

Pero se han detectado horribles fallas en los clientes de Messenger Service. Por dar un ejemplo, un equipo descubrió que era posible inyectar código en imágenes PNG cargadas desde el avatar.

PD: ¿Alguien dijo XSS?

“Me considero un usuario responsable, no confío en extraños, jamás aceptaría un programa de alguien, confío en que es muy difícil obtener una clave en el servicio Messenger por fuerza bruta, debido al tiempo empleado; así que me declaro una persona invulnerable al robo de contraseña”


SÃ. Alguien dijo XSS.

Cross Site Scripting es una técnica de inyección de código en el cliente (JavaScript, para ser más exacto). JavaScript puede obtener cookies del documento, y los puede enviar a un servidor para que los almacene, y que el atacante pueda acceder a tú cuenta, utilizando tú sesión.

Por lo tanto, si eres paranóico, no aceptes un link de hotmail de un desconocido.

Espero que éste FAQ sirva como referencia de comportamiento ciberespacial, y que les sea útil.

2 Commentarios
Autor: jia200x
Categorias: Computación, Geek, Tips
Tags: , ,

Programación en Batch 4º Parte

Sunday, June 8th, 2008

Esta es la cuarta parte de otros tres tutoriales más. Ve aquí El primero, El Segundo y El tercero.
En el tutorial pasado vimos como ejecutar acciones en gran cantidad de archivos a la vez y además creamos un código que creaba listas de reproducción para winamp.
Como prometí, ahora les enseñare a hacer listas pero para Windows Media Player, agrege un tema más para que entiendan mejor el código de la lista.

Indice:

  • Acortar direcciones
  • Listas de reproducción para Windows media Player.

Acortar direcciones:

Cuando usamos un for para recorrer los archivos nos devuelve la dirección entera del archivo. Esto es molesto, cuando lo que queremos es solo su nombre, o saber su ubicación.
Ahora les voy a enseñar una técnica para acortar esas direcciones.
En el caso por ejemplo de que la variable X tenga la dirección de un archivo y solo quisiéramos saber su extensión, usaríamos:

%~xX

y si quisiéramos saber en que unidad se encuentra:

%~dX

Para entender un poco mejor esto, miremos esto como una sintaxis.
Siempre se usara %~ seguido de una letra que representa lo que queremos obtener (el nombre, la extensión, etc) y por ultimo el nombre de la variable.
Las letras que podemos usar son:

  • f Ruta y Nombre
  • d Nombre Unidad donde se encuentra
  • p Solo ruta
  • n Solo nombre
  • x Extensión
  • s Ruta abreviada
  • a Atributos
  • t Fecha y hora de creación
  • z Tamaño del archivo

Por ejemplo, este programa nos mostrara algunos datos de los archivos que existan en la misma carpeta y directorios superiores.

@echo off
FOR /R %%X in (*) DO (
echo Nombre: %%~nX
echo Extension: %%~xX
echo Tamaño: %%~zX
echo.
)

Como vez, en el caso de los FOR debemos agregar un % extra adelante.

Lista de Reproducción para Windows Media Player:

Más o menos siguiendo el esquema anterior, lo que hize fue ver como era aproximadamente como era un archivo de Lista de Reproducción. Después de un no muy intenso análisis podemos ver que es así.

<smil><body><seq>
<media src="RUTA NO FIJA DEL ARCHIVO.mp3" />
</seq></body></smil>

El problema que encontré en la sintaxis de los archivos es que al intentar hacer un echo a los signos < y > el código dejaba de funcionar. Pues encontré la solución, simplemente agregando el signo ^ antes de cada < o >. Pues así quedó:

@echo off
echo. > Lista.wpl
echo ^<smil^>^<body^>^<seq^> >> Lista.wpl
FOR %%X in (*.mp3) DO (
echo ^<media src="%%~nX%%~xX" /^> >> Lista.wpl
)
echo ^</seq^>^</body^>^</smil^> >> Lista.wpl
start Lista.wpl
exit

Explicación:

(Si tienes dudas sobre esta explicación, es que no entendiste bien los 3 tutoriales anteriores)

  • @echo off
    Eliminamos el Eco
  • echo. > Lista.wpl
    Creamos un nuevo archivo Lista.wpl o borramos su contenido si existe
  • echo ^<smil^>^<body^>^<seq^> >> Lista.wpl
    Escribimos <smil><body><seq> en la primera linea del archivo Lista.wpl
  • for %%X in (*.mp3) DO ()
    Ejecutar la acción entre paréntesis para cada archivo encontrado con extensión .mp3
  • echo ^<media src=”%%~nX%%~xX” /^> >> Lista.wpl
    Escribir <media src=”NombreArchivo+Extencion”/> en la siguiente linea de Lista.wpl, esta accion se repite por cada mp3 encontrado.
  • echo ^</seq^>^</body^>^</smil^> >> Lista.wpl
    Escribir </seq></body></smil> alfinal del archivo.
  • start Lista.wpl
    Abrir la lista con el programa predeterminado
  • exit
    Cerrar ventana DOS

Pues, eso es todo por hoy. Ojala les sea de gran utilidad. Hasta la próxima ;) (Si es que me da para más)

34 Commentarios
Autor: JaLeRu
Categorias: Computación, Tutoriales
Tags: , , , , ,

Programación en Batch 3º Parte.

Monday, May 19th, 2008

Antes de leer esto deberías ya saber algo de Batch, tal vez te sirva leer la primera y segunda parte.
Si sigo así tendré que escribir un libro. xD

En esta tercera parte, sera básicamente de técnicas y tips. Nuestro indice sera:

  • Abrir archivos con
  • Borrar de agrandes cantidades
  • Mover o Copiar de a grandes cantidades
  • Crear listas de reproducción (Para Winamp)

Abrir Archivos Con:

Como algunos saben al hacer clic en un archivo la mayoría de las veces nos muestra la opción Abrir Con.

Este tip es especial para archivos que necesitamos abrir y no podemos ingresar a la carpeta, para archivos que no tienen la opciones de Abrir Con, y también para los que tienen computadoras lentas que al apretar esta opción demoran mucho en mostrarla.

Como hablamos en los tutoriales anteriores con la función start iniciamos procesos, por lo que por eso haremos lo siguiente.

start archivo programa.exe

o también.

start programa.exe archivo

Ambas dos funcionan igual. Lo que hacemos es elegir un programa, y un archivo de manera que el programa abrirá al archivo dado. Como un ejemplo simple, abramos la carpeta C:/WINDOWS con el explorer.

start C:/WINDOWS explorer.exe

Para algunos archivos (Los que tiene direcciones y nombres con espacios) deberemos encerrarlos en comillas.

start "C:\Carpeta con Espacios\Archivo con Espacios.txt" notepad.exe

Como en este ejemplo donde abrimos un texto con Notepad (Bloc de Notas).

De esta manera podemos abrir cualquier archivo o carpeta solo sabiendo su dirección.

Aqui una pequeña lista de programas, para que sepan sus “nombres”.

  • explorer.exe -> Explorer (El para ver las carpetas)
  • iexplorer.exe -> Internet Explorer
  • firefox.exe -> Firefox (Abrir webs con: start firefox.exe www.jestudio.cl)
  • wmplayer.exe -> Reproductor de Musica Windows Media Player
  • winamap.exe -> Reproductor de Musica Winamp player.
  • mspaint.exe -> Paint
  • cmd.exe -> Shell de comandos
  • notepad.exe -> Bloc de notas
  • photoshop.exe -> Photoshop

Entre muchos otros, para saber como se “llama” un programa podemos ver en la pestaña procesos de el administrador de tareas mientras el programa este abierto(CTRL+ALT+SUPR, o CRTL+ALT+DEL).
Además muchas veces podemos simplemente adivinar su nombre.

Borrar de Agrandes Cantidades:

A mi me a pasado muchas veces que me han quedado carpetas infectadas de archivos inútiles y he comenzado a borrarlos uno por uno. Cuando iba en la mitad me aburrí y decidí ser eficiente, asi que se me ocurrió un código para borrar.

Los archivos que yo quería borrar tenían todos la misma desconocida extensión que ya no me acuerda como era, pero supongamos que era .sfk, ¿Como aniquilarlos todos sin mover un dedo?
Pues con esta función, podemos borrar todos los archivos que tengan cierta cosa en común, pero recuerden tener extremo cuidado pues pueden llegar a borrar algo no deseado.

FOR /R %%x in (*.sfk) DO (DEL "%%x")

Como vemos tiene el formato:

FOR /R %%Variable in (ElValorEnComun) DO (AccionAEjecutar)

Donde /R significa que no solo afectara a una carpeta si no que a todas las superiores.

Si agregáramos ese código en algún Batch, al correrlo comenzara a borrar todos los archivos con la extensión sfk que hayan en directorios superiores al suyo o en el mismo. (Directorios = Carpetas)

Claramente yo quise tener cuidado, y no borrar cosas indeseadas. Por lo que antes hice esto:

FOR /R %%x in (*.sfk) DO (echo "%%x")

Es lo mismo, solo que como acción en vez de borrar los listé. Una vez verificado que no había ningún archivo que me importara ejecute el otro.

Para el “valor en comun” hay varias maneras de darlo. Son de la siguiente manera.

  • común.mp3 -> Todos los archivos con ese nombre exacto.
  • común.* -> Todos los archivos con ese nombre, sin importar la extensión.
  • común* -> Todos los archivos que comiencen en común.
  • *común.mp3 -> Todos los archivos terminados en común.mp3.
  • *.mp3 -> Todo los archivos con la extensión mp3.
  • *común* -> Todos los archivos que contengan la palabra común.
  • * -> Todos los archivos, sin importar su nombre o extensión.

Por ejemplo si ejecuto:

FOR /R %%x in (*a*) DO (DEL "%%x")

Se borraran todos los archivos que tengan una a en su nombre o extensión.

FOR /R %%x in (*) DO (DEL "%%x")

Se borraran todos los archivos existentes.

Yo mi “programa” lo deje así:

@echo off
echo Se han encontrado los siguiente sfk:
FOR /R %%x in (*.sfk) DO (echo "%%x")
echo -----------------------------------------
echo Presione una tecla si desea eliminarlos
echo De lo contrario cierre la ventana.
pause>nul
echo Estas seguro?
pause>nul
echo Pues comencemos
pause>nul
FOR /R %%x in (*.sfk) DO (DEL "%%x")
echo LISTO
pause>nul
echo adiós
pause>nul
exit

Mover o Copiar de a grandes cantidades

Como se puede ver, en el punto anterior se borran muchos archivos en común con solo una linea de codigo. Pues para copiar y mover se hace casi lo mismo.

FOR /R %%x in (*) DO (MOVE "%%x" C:\DestinoDeLosArchivos\)

En la carpeta que lo ejecutemos moverá todos los archivos a “C:\DestinoDeLosArchivos\”

FOR /R %%x in (*.txt) DO (COPY "%%x" C:\DestinoDeLosArchivos\)

En la carpeta que lo ejecutemos moverá todos los archivos con extensión .txt a “C:DestinoDeLosArchivos”.

Crear una lista de reproducción.

Como fue visto en los tutoriales anteriores, podemos crear fácilmente archivos desde batch. Pero comúnmente solo se nos ocurriría escribir otro batch o un texto.
Bueno, me di cuenta que la forma de escribir de las listas de reproducción de Winamp son extremadamente simple. Simplemente los nombres de las canciones. (Solo sirve para winamp)

Por ejemplo, si quisiéramos crear un bat que al apretarlo crea una lista de reproducción con todos los archivos de música existentes en la carpeta haríamos lo siguiente.

@echo off
echo. > lista.m3u
FOR %%x in (*.mp3) DO (
echo %%~nx.mp3 >> lista.m3u
)
start lista.m3u winamp.exe
exit

Al ejecutarlo nos crearía un lista de reproducción de nuestra carpeta y comenzaría a reproducirla.
La lista quedaría creada, si es que quieres que la lista no quede en tu pc.
agrega estas lineas antes de exit:

pause
DEL lista.m3u

Basicamente lo que hago con este codigo es crear un archivo con extensión .m3u que dentro contiene los nombres de las canciones.
%%~nx significa que nos devolverá solo el nombre de el archivo sin la dirección.

Eso es básicamente todo lo que doy a conocer hoy.
Si alguien descubre la manera de hacer el creador de Lista de Reproducción pero que sirva incluso si es que se abre en un directorio raíz le pediría que me lo haga saber, pues no lo logré. (Solo funciona para una carpeta, no funciona como todos los otros batch que hice.)

51 Commentarios
Autor: JaLeRu
Categorias: Computación, Tips, Tutoriales
Tags: , , , ,

Programación en Batch 2º Parte.

Sunday, April 20th, 2008

Esta es la segunda parte de mi tip Programación Batch con archivos .bat, así que te recomiendo leerlo si es que no estas instruido en el tema.

A continuación veremos los siguientes temas:

  • Uso de etiquetas
  • Condicionales
  • Creación de Menús
  • Apagado y Reiniciado de Pc con archivos .bat
  • Leer archivos externos
  • Insertar al Registro
  • Otras cosas útiles

Si te interesa, sigue leyendo.
(more…)

36 Commentarios
Autor: JaLeRu
Categorias: Computación, Tutoriales
Tags: , , , ,

Programación en Batch 1º Parte.

Thursday, April 17th, 2008

En este tutorial hablaremos sobre cómo manejar algunas funciones de Windows mediante archivos Batch.

Batch, según Wikipedia es:
Es un archivo de procesamiento por lotes: se trata de archivos de texto sin formato, guardados con la extensión *.bat que contienen un conjunto de comandos DOS. Cuando se ejecuta este archivo bat, los comandos contenidos son ejecutados en grupo, de forma secuencial, permitiendo automatizar diversas tareas.

Cualquier comando DOS puede ser utilizado en un archivo batch.
Hay que aclarar Batch que no es un Lenguaje de Programación. Es un archivo de código que contiene comandos del, Shell de Windows, llamado MS-DOS, que pueden ejecutar desde Inicio->Ejecutar->CMD.

Hay dos maneras de ejecutar comandos Batch.

  • Desde el Shell de Windows.
  • Escribiéndolos en un archivo de texto con extensión .bat y luego ejecutarlo.

Hola Mundo en Batch

Comenzaremos creando un Simple y clásico “Hola Mundo”, escribiendo en un archivo de texto el siguiente código.

@echo off
echo Hola Mundo
pause
exit

Ahora guardemos el archivo como Nombre.bat y lo ejecutamos. Nos aparecerá una pantalla negra que dirá “Hola Mundo”, luego una linea abajo dirá “Presione una tecla para continuar”

Explicamos:

echo:

Imprime un texto en pantalla, que es el texto que viene después (el que le pasamos como parámetro), que en este caso es “Hola Mundo”. Echo significa eco, por lo mismo “@echo off” elimina el eco, la repetición de la ruta en la que nos encontramos en cada línea código.

pause:

Como bien se lee, pausa la ejecución del código. Además muestra el texto “Presione una tecla para continuar”

exit:

Cierra la ventana de comandos.

Para dejar más en claro cual sería la diferencia de no ocupar la linea @echo off la imagen de a continuación muestra como se vería la pantalla sin esta linea.

Imagen1

Ahora aprenderemos algunas funciones de Batch: (more…)

14 Commentarios
Autor: JaLeRu
Categorias: Computación, Tutoriales
Tags: , ,

JaLeRu Blog vive gracias a WordPress
Entradas RSS y Comentarios RSS.