pues si amigos ya salio, espero sea de su agrado es nuestra primera revista cualquier cosa diganme
saludos
saludos
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
Páginas1
#2
Batch - Bash / Re:Curso de comandos red del ms-dos Videotutoriales
Mayo 23, 2011, 07:33:42 PMNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No seas sentido xzite solo acabo de acerte un critica constructiva acerca de tus mediocres videotutoriales y un consejo que es el de creaarte tu foro o a caso es que no te gusto en la forma en que te lo dije? por que estoy seguro que a mas del 80% de los usuario del foro tampoco les gusta tu forma de criticarlos y mucho menos tu actitud, y deja de llorarle a ANTRAX el sabe que tipo de usuarios tiene por que mira sus post y aportaciones a la comunidad
+1000000000000000000
#3
Hacking / Re:Mapa conceptual del hacking
Mayo 23, 2011, 01:46:21 AM
Gracias bro que bueno que te gusto, espero les guste a los demas 
y seguire aportando a como pueda
pero este tuto no es mio
claramente puse la fuente abajo, pero otros que puse si son mios jeje
saludos
y seguire aportando a como pueda
pero este tuto no es mio
claramente puse la fuente abajo, pero otros que puse si son mios jeje
saludos
#4
Hacking / Terminos, Definiciones Exploit, Shell, Bof, Ruby
Mayo 23, 2011, 01:30:27 AMBueno aca pongo algunas definiciones, de algunas palabras que algunos no saben su significado
empezemos...
Que es una Shell
-Basicamente y Brevemente el término Shell se emplea para referirse a programas que proveen una interfaz de usuario para acceder a los servicios del sistema operativo. Estos pueden ser gráficos o de texto simple como la famosa CMD (Linea de comandos), dependiendo del tipo de interfaz que empleen. ...
Que es metasploit
- El Metasploit Framework, como sus iniciales MSF es una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Fue creado utilizando el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby.
El Metasploit Framework, tiene varios componentes y utilidades entre las cuales destacan:
● Msfcli (Cliente de Metasploit)
● Msfconsole (Consola de Metasploit)
● Msfweb (Servidor e Interfaz web de Metasploit)
● Msfgui (Interfaz gráfica de Metasploit)
● Msfopcode (Cliente de la base de datos de OPCODES de Metasploit)
Que es RUBY
- Ruby es un lenguaje de programación interpretado, reflexivo y orientado a objetos, creado por el programador japonés Yukihiro "Matz" Matsumoto, quien comenzó a trabajar en Ruby en 1993, y lo presentó públicamente en 1995. Combina una sintaxis inspirada en Python y Perl con características de programación orientada a objetos similares a Smalltalk. Comparte también funcionalidad con otros lenguajes de programación como Lisp, Lua, Dylan y CLU. Ruby es un lenguaje de programación interpretado en una sola pasada y su implementación oficial es distribuida bajo una licencia de software libre.
Sobre buffer overflow - Exploits
- C/C++
- Es un lenguaje de programación muy extendido, multiplataforma, y fácil. Es la
base de nuestros sistemas operativos(salvo cosas en ensamblador como rutinas de
boot) y es tremendamente potente y optimizado. Sus archivos básicos son *.c y
*.cpp (para los C++). Es el lenguaje más recomendable para aprender, el más
útil.
Ensamblador (ASM)
- Es el lenguaje más "básico" que permite al programador interactuar con el CPU.
Las instrucciones en ASM se pasan a binario, que es lo que "entiende" la CPU, es
decir, 1s y 0s (aunque se agrupan en cadenas hexadecimales para mayor claridad).
Realmente, un compilador ASM lo único que hace es calcularte las etiquetas, los
saltos y los calls, y "encapsular" el ejecutable. Todos los lenguajes de
programación, a la hora de compilar (obviamente, los lenguajes de script no),
convierten su código en instrucciones ASM.
Instrucciones en ASM (Intel) son por ejemplo mov, push, pop, etc....(En AT&T,
seria popl, movl, pushl, etc..) Es un lenguaje de programación difícil de
aprender, solo para cosas puntuales o que requieran una gran optimización, pero
saberlo te dará muchas alegrías
Cualquier informático debería poder entender y dominar las instrucciones básicas.
Debugger (Depurador)
- Un debugger es un programa que permite ir "paso a paso", instrucción a
instrucción a otro programa. Al ir instrucción a instrucción, podemos ver
completamente que esta pasando, los registros, la memoria, etc, así como muchas
mas funciones muy interesantes. Su función principal es la de auditar código, y
ver el porque falla (o simplemente porque no realiza lo que queremos que haga),
es una herramienta imprescindible para cualquier programador. Lo que pasa que
también puede servir para otras cosas
Dissasembler (Desamblador)
- Un desamblador es un programa que te muestra el código de un programa, una dll,
lo que sea que este hecho de código que el desamblador entienda. Normalmente, te
muestra su código en ASM (por ejemplo, un programa codeado en C, te muestra la
conversión de dichas instrucciones C en ASM), aunque hay desambladores que
permiten ver su código (o parte de el) de programas hechos en JAVA o VBasic, por
ejemplo.
Normalmente, debugger y dissasembler van en el mismo programa, los mas usados
son el Ollydbg (el que usare aquí), Softice, IDA, Win32dasm...
Hex Editor (Editor Hexadecimal)
- No hay que confundir un dissasembler con un hex editor. El primero te muestra el
código de un programa, el hex editor simplemente te muestra el contenido de un
archivo, del tipo que sea, como un dumpeo hexadecimal y/o binario, así como la
posibilidad de modificar y guardar dicho archivo. Se usa para rastrear y
modificar archivos que usan programas, tanto para fines "de programación" (el
porque al cargar el archivo falla, el porque no se escribe bien, etc...) como de
"hacking" o "cracking".
A mi, personalmente, me gusta mucho el Hackman, pero se que hay mucho mejores
Cuestión de buscar.
La CPU (microprocesador)
- La CPU es el "corazón" de un ordenador. Es la unidad de hardware encargada de
ejecutar las instrucciones de un programa o sistema operativo, instrucción a
instrucción, que estén en una determinada área de memoria. Se ayuda de registros
donde almacena variables, datos o direcciones. Una explicación completa sobre el
tema, requeriría uno o varios libros, aunque googleando se encuentra muchísima
información.
Registros de la CPU.
- La cpu (microprocesador) contiene una serie de registros, donde almacena
variables, datos o direcciones de las operaciones que esta realizando en este
momento. El lenguaje ASM se sirve de dichos registros como variables de los
programas y rutinas, haciendo posible cualquier programa (de longitudes
considerables, claro). Los más interesantes son:
EIP Extended Instruction Pointer.
El registro EIP siempre apunta a la siguiente dirección de memoria que el
procesador debe ejecutar. La CPU se basa en secuencias de instrucciones, una
detrás de la otra, salvo que dicha instrucción requiera un salto, una
llamada...al producirse por ejemplo un "salto", EIP apuntara al valor del salto,
ejecutando las instrucciones en la dirección que especificaba el salto. Si
logramos que EIP contenga la dirección de memoria que queramos, podremos
controlar la ejecución del programa, si también controlamos lo que haya en esa
dirección.
EAX, EBX... ESI, EDI...
Son registros multipropósito para usarlo según el programa, se pueden usar de
cualquier forma y para alojar cualquier dirección, variable o valor, aunque cada
uno tiene funciones "especificas" según las instrucciones ASM del programa:
EAX:
Registro acumulador. Cualquier instrucción de retorno, almacenara dicho valor en
EAX. También se usa para sumar valores a otros registros en funciones de suma,
etc....
EBX
Registro base. Se usa como "manejador" o "handler" de ficheros, de direcciones
de memoria (para luego sumarles un offset) etc...
ECX
Registro contador. Se usa, por ejemplo, en instrucciones ASM loop como contador,
cuando ECX llega a cero, el loop se acaba.
EDX
Registro dirección o puntero. Se usa para referenciar a direcciones de memoria
mas el offset, combinado con registros de segmento (CS, SS, etc..)
ESI y EDI
Son registros análogos a EDX, se pueden usar para guardar direcciones de
memoria, offsets, etc..
CS, SS, ES y DS
Son registros de segmento, suelen apuntar a una cierta sección de la memoria. Se
suelen usar Registro+Offset para direccionar a una dirección concreta de
memoria. Los mas usados son CS, que apunta al segmento actual de direcciones que
esta ejecutando EIP, SS, que apunta a la pila y DS, que apunta al segmento de
datos actual. ES es "multipropósito", para lo mismo, referenciar direcciones de
memoria, y un largo etc...
ESP EBP
Extended Stack Pointer y Extender Base Pointer. Ambos los veremos más en
profundidad cuando explique la pila.
Sirven para manejar la pila, referenciando la "cima" (ESP) y la "base" (EBP).
ESP siempre contiene la dirección del inicio de la pila (la cima) que esta
usando el programa o hilo (thread) en ese momento. Cada programa usara un
espacio de la pila distinto, y cada hilo del programa también. EBP señala la
dirección del final de la pila de ese programa o hilo.
¿Que es una vulnerabilidad?
- Una vulnerabilidad es un fallo que compromete la seguridad del programa o
sistema. Aunque se le asocia también a "bug" (fallo), pero no es lo mismo. Un
bug es un fallo de cualquier tipo, desde que un juego no funcione bien porque
vaya lento, a un programa que funciona mal al intentar hacer una división por 0.
Las vulnerabilidades son bugs de seguridad, que pueden comprometer el sistema o
el programa, permitiendo al "hacker" ejecutar código arbitrario, detener el
sistema o aprovecharse del mismo para sacar cualquier tipo de beneficio.
¿Que es un exploit?
- Un exploit es un código, un "método", un programa, que realiza una acción contra
un sistema o programa que tiene una vulnerabilidad, "explotándola", y sacando un
beneficio de la misma. Dicho beneficio normalmente es la ejecución de código
(dentro de ese programa, con los privilegios del mismo) que nos beneficia,
dándonos por ejemplo una contraseña, o dándonos una shell de comandos, añadir un
usuario administrador al sistema, o incluso lo único que hacen es detener el
servicio o el sistema, según nuestros propósitos.
Habría que distinguir entre exploits "completos" (los que están completamente
funcionales) y los POCs (proof of concept) que son exploits que demuestran que
dicha vulnerabilidad existe y que es explotable, pero que no dan ningún
beneficio o el beneficio es mínimo. Normalmente se usan estos últimos para
evitar el uso de los mismos por niñatos (script kiddies) o para evitar gusanos
(supongo que se acuerdan del blaster o del sasser, se liberaron los exploits
completamente funcionales)
¿Que es una shellcode?
- Una shellcode es un código básico en ASM, muy corto generalmente, que ejecuta
los comandos que queremos, como system("cmd.exe") (ejecuta una shell msdos en
windows); o execv("/bin/sh") (ejecuta una shell sh en Linux/Unix), o sirve
para añadir un usuario a la cuenta del sistema, para descargar un troyano y
ejecutarlo, para dejar abierto un puerto conectado a una shell, etc.... Es el
código que ejecutara el programa vulnerable una vez tengamos su control. No es
nada difícil de programar sabiendo ASM básico y como funciona tu SO.
Una vez programada en ASM (para testearla, por ejemplo, además de que es mas
fácil programarla en ASM que directamente con opcodes
), se pasa a un string, compuesto por los opcodes (codigos de operacion, en hexadecimal) de dichas
instrucciones ASM. Lo veremos mas adelante
¿Que es un overflow?
- Un overflow es, básicamente, cuando resguardamos espacio de memoria insuficiente
para una variable (allocate), y le introducimos más datos a dicha variable de
los que puede soportar. La variable "desborda", y los datos que no caben
sobrescriben memoria continua a dicha variable. Si declaramos una variable que
solo debe soportar 8bytes, si le movemos 10bytes, los 2bytes restantes no se
pierden, sino que sobrescriben la memoria contigua a dicha variable.
Hay distintos tipos de overflow, stack overflow (el que veremos aquí, también
llamado buffer overflow, o desbordamiento de buffer, etc...), heap overflow (ya
lo veremos en algún otro texto, se refiere a desbordar una variable declarada en
el heap en vez de en la pila...), format string overflow (bugs de formato de las
cadenas de texto), integer overflow (debidos a declaraciones de variables con un
espacio mínimo o negativo que proveemos nosotros...), etc...
¿Porque se le llama Stack Overflow?
- La pila (stack) es una estructura tipo LIFO, Last In, First Out, ultimo en
entrar, primero en salir. Pensad en una pila de libros, solo puedes añadir y
quitar libros por la "cima" de la pila, por donde los añades. El libro de mas
"abajo", será el ultimo en salir, cuando se vacíe la pila. Si tratas de quitar
uno del medio, se puede desmoronar.
Bien, pues el SO (tanto Windows como Linux, como los Unix o los Macs) se basa en
una pila para manejar las variables locales de un programa, los retornos (rets)
de las llamadas a una función (calls), las estructuras de excepciones (SEH,
en Windows), argumentos, variables de entorno, etc...
Por ejemplo, para llamar a una función cualquiera, que necesite dos argumentos,
se mete primero el argumento 2 en la pila del sistema, luego el argumento 1, y
luego se llama a la función.
Si el sistema quiere hacer una suma (5+2), primero introduce el 2º argumento en
la pila (el 2), luego el 1º argumento (el 5) y luego llama a la función suma.
Bien, una "llamada" a una función o dirección de memoria, se hace con la
instrucción ASM Call. Call dirección (llamar a la dirección) ó call registro
(llama a lo que contenga ese registro). El registro EIP recoge dicha dirección,
y la siguiente instrucción a ejecutar esta en dicha dirección, hemos "saltado" a
esa dirección.
Pero antes, el sistema debe saber que hacer cuando termine la función, por donde
debe seguir ejecutando código.
El programa puede llamara la función suma, pero con el resultado, hacer una
multiplicación, o simplemente mostrarlo por pantalla. Es decir, la CPU debe
saber por donde seguir la ejecución una vez terminada la función suma.
Para eso sirve la pila
Justo al ejecutar el call, se GUARDA la dirección de la siguiente instrucción en la pila.
Esa instrucción se denomina normalmente RET o RET ADDRESS, dirección de
"retorno" al programa principal (o a lo que sea).
Entonces, el call se ejecuta, se guarda la dirección, coge los argumentos de la
suma, se produce la suma y, como esta guardada la dirección por donde iba el
programa, VUELVE (RETORNA) a la dirección de memoria que había guardada
en la pila (el ret), es decir, a la dirección siguiente del call.
Saludos, espero les sirva, si falta algun termino me dicen
a users que recien emiezan yo creo les servira
Bueno aca añado mas
Que es Spoofing
- Bueno, teoricamente y en pocas palabras se conoce spoffing a la creación de tramas TCP/IP utilizando una dirección IP falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Y como los anillos de confianza basados en estas características tan fácilmente falsificables son aún demasiado abundantes (no tenemos más que pensar en los comandos r-, los accesos NFS, o la protección de servicios de red mediante TCP Wrapper), el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización.
Porque se le conoce como ARP Spoffing
- Bueno el ARP Spoofing, que bien tambien conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de área local), modificar el tráfico, o incluso detener el tráfico (conocido como DoS: Denegación de Servicio).
El principio del ARP Spoofing es enviar mensajes ARP falsos (falsificados, o spoofed) a la Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (gateway). Cualquier tráfico dirigido a la dirección IP de ese nodo, será erróneamente enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una víctima, asociando una dirección MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima.
EL ataque de ARP Spoofing puede ser ejecutado desde una máquina controlada (el atacante ha conseguido previamente hacerse con el control de la misma: intrusión), un Jack Box, o bien la máquina del atacante está conectada directamente a la LAN Ethernet.
Que es Xploit
- Primero que todo no confundan Xploit y Exploit, ok bueno la definicion de Xploit es: basicamente un fake mail o mas comunmente llamado xploit. Enviar correo electrónico falseando el remitente. Se trata de una técnica muy empleada en Ingeniería Social.
Como modo de obtener contraseñas de hotmail,yahoo o cualquier tipo de compania para los correos electronicos. Esta tecnica es considerada lammer para la comunidad de hackers o para quienes se interesan verdaderamente en el tema del hacking. y bueno le recomendacion que doy yo que da cualquiera es que no des tu contraseña a ninguna web que te pidaa amm en un correo, digamos, solo en las webs oficiales de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,etc.
#5
Hacking / Mapa conceptual del hacking
Mayo 23, 2011, 01:24:35 AM
Curiosidad
Veréis; soy profesor de informática y tecnología en Baleares, España, y casi podría asegurar que la pregunta que más me han hecho el primer o segundo día, en el aula de informática ha sido: "Profe, ¿tú eres un hacker?" Si la curiosidad aprieta, no se cortan y tal y como están las cosas, la verdad es que no me extraña.
Si tuvieseis 13 años o algo parecido, ¿no os produciría curiosidad el mundo del hacking? Pues eso hay que aprovecharlo. La curiosidad es una de las claves en el aprendizaje.
Veamos cómo, pero antes, otro enfoque...
Madres y padres
Como tutor que he sido, al presentar el curso a los padres y sobretodo a las madres, que vienen en proporción mayor, al hablar de informática, me han pedido que les hable de los peligros de internet.
Supongo que antes, lo que preocupaba era más algo de privacidad e instinto de protección, ahora creo que es más directamente la pederastia y los posibles maltratos lo que hace que pregunten "¿les vais a hablar de no poner fotos o dar sus datos a desconocidos?".
Nos piden que hablemos de los peligros de internet, los ciberpeligros. Y es natural, lo que les preocupa sale a las noticias de los periódicos y en la tele con frecuencia y además tienen una percepción de la inseguridad muy en primera persona por el malestar en carne propia debido a virus, gusanos troyanos, phishing...
Por eso lo añado a este material, para dar un poco de guía en este asunto. Pero antes de ver cómo integro esa faceta, un último detalle que es clave para entenderlo todo.
La privacidad
Hoy en día todo el mundo asume que se esta perdiendo la privacidad, que se nos está escurriendo entre las manos e incluso, algunos más modernos, defienden que aun debe perderse más puesto que es lo que va a pasar tarde o temprano y es torpe oponerse.
No es que las comunicaciones electrónicas no sean seguras, es que hemos llegado a puntos en los que la violación de este derecho fundamental ha llegado a absurdos. Ningún juez español que yo sepa ha puesto ninguna pega a que, en los sistemas operativos de Microsoft y Apple, el Windows Media Player y RealPlayer han informado de lo que los usuarios ven o escuchan por internet a alguien en EEUU. Ningún juez ni ningún fiscal español ha movido un puñetero dedo.
Y como éste muchos casos y mucha falta de sensibilidad. Y la impresión es que va a ir a peor.
Bien, pues manos a la obra, ayudémosles desde las clases a avanzar en los valores, los hábitos, los conocimientos y las destrezas que exige esta realidad.
¿Cómo?
Por interés en el tema, me he preparado material para una unidad didáctica sobre Hacking-ciberpeligros-privacidad. Hacking que es lo que despierta la curiosidad de los alumnos, ciberpeligros que es lo que preocupa a los padres y privacidad que es el ingrediente clave si se enfoca desde un punto de vista más técnico.
Con esos objetivos en mente he preparado un hipermapa conceptual usable a modo de presentación, que permite en unas pocas clases abordar el tema sin causar una gran desviación de la programación del curso:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pulsar sobre la imagen superior para ir al mapa conceptual funcional
Funcionalidad
El mapa que he querido presentar en mi apreciada Kriptópolis, que ha sido para mí una referencia en el tema desde siempre, está hecho con Inkscape en forma de imagen vectorial que al clicar va pasando por las diferentes etapas de la presentación.
Uno puede clicar en zonas no señaladas y seguir digamos las transparencias o puede pulsar el botón central (de un ratón que no lo tenga asociado a otra funcionalidad) y elegir en el menú desplegable que aparece, a que momento quiere ir.
Si se sigue el orden en que aparecen las zonas del mapa, primero se verá un vistazo general para poder introducir el tema y que los alumnos lo relacionen con el mismo mapa impreso en papel que tienen.
Después, se da por iniciada la clase y pasamos a un mapa mucho menos denso pero también con una panorámica general para explicar las zonas que se van a comentar. Y luego en detalle y en grande cada una de las zonas.
Hacking
Al explicar el Hacking el mapa facilita que se mencionen las diferentes formas de entenderlo.
Ya sea como lo ven las películas que ya no tienen el personaje de la dinamita que entra en el equipo que roba el banco sino que lo han cambiado por otro que suele estar fuera en una furgoneta y que abre todo y sabe lo que pasa por todo el edificio y por donde salir cuando pasa algo.
O ya sea dividiendo el mundo entre los buenos, hackers y los malos, crackers. Que es un punto de vista bastante extendido.
O ya sea como un tercer punto de vista más incluyente y detallado defiende: que el hacking es disfrutar encontrando soluciones sorprendentes a temas complejos y eso incluye los hacklabs de Debian o los de KDE; que los crackers son hackers pero especializados en temas de seguridad y cosas como romper protecciones por cifrado y que los que realmente cometen delitos, por mucho que sepan no son hackers sino delincuentes; Ciberdelincuentes. Cada uno con unas características.
Así el profesor muestra la información plural y dice: "los medios y las películas juntan estas zonas, algún periódico y otra gente lo ve de esta otra forma, y algunas comunidades ponen especial interés en que no se confundan los detalles y que no se les clasifique mezclándoles con la delincuencia".
En internet podemos encontrar todo tipo de hacks, exploits o técnicas, en foros, youtube, revistas, blogs especializados... Así que toda la información ya se encuentra al alcance de las manos de cualquiera que un día tenga curiosidad o incluso antes con las redes sociales actuales. La diferencia es que un profesor puede intentar adaptar el nivel de profundidad, puede fijarse unos criterios didácticos, puede mostrar los valores propios del tema y así, realizar su labor, ayudar al alumno a aprender a vivir en libertad. No es lo mismo ver simplemente una charla de un hacker en youtube, lo que es mucho más frecuente de lo que muchos quieren darse cuenta, que recibir una clase de un profesor de una forma más integral.
Valores
Una de las claves del hacking son sus valores. Privacidad, Ética hacker, transparencia, libertad, habilidades técnicas y naturalmente todo lo relacionado con seguridad. La sección de los valores de los hackers es clave a la hora de contagiar precaución en privacidad y por eso toca asuntos como el sexting o la precaución con las contraseñas.
Si se trata de aprender a vivir en una realidad que tiene las tentaciones de las que luego se habla, creo que es necesario comentarles las experiencias de la gente en la red y la valoración de riesgos que ayuden a desarrollar una actuación responsable.
Por ejemplo, yo suelo comentar que los equipos de seguridad no se han quedado parados en sus posiciones de partida. Tanto las medidas de seguridad como la complejidad de los ataques han ido incrementándose en una carrera como la de los cañones y las murallas: más alto dispara el cañón, pues más fuerte y alta la muralla y viceversa.
Alumnos de secundaria o incluso bachiller, no pueden esperar meterse en la CIA y que entren a la primera sin que pase nada. Lo que ocurrirá es que estarán en un honeypot, en un ordenador trampa en el que pensarán que hacen algo pero lo único que lograrán serán las risotadas de los vigilantes que estén viendo lo que hacen en sus monitores. Y luego las consecuencias.
Hay que enseñar que experimentar es interesante pero que no es lo mismo probar cosas en tu casa con tu pc que probarlas con el pc de una agencia de seguridad o una empresa cualquiera. Tienen que saber que las penas son muy duras y eso sin encontrarse con un sicópata al otro lado que casualmente tenga conocimientos técnicos, detecte el ataque y les coja manía.
Ciberpeligros
Nada más empezar la clase y con el mapa en su primera vista, abro el navegador y les demuestro lo sencillo que es enviar un email haciéndose pasar por otra persona. No dura más de tres minutos y me ayuda a enseñar en detalle como confirmar que un email es falso. Esto les abre los ojos.
No necesito ir luego más allá de decirles que si yo hago eso en 3 minutos, no se pueden imaginar lo que puede hacer la mafia contratando a gente técnicamente muy hábil, trabajando en equipo y 12 horas al día durante meses.
El mapa nombra y enlaza términos como el grooming y así puedo seguir explicando y solo tengo que ir ajustándome al tiempo que me he marcado inicialmente con la flexibilidad que decida.
Eventos y tipología
Por supuesto no puedo explicar el mundo del hacking sin nombrar al menos algunos de los eventos que se realizan y dar algunos detalles. Y lo mismo pasa con los tipos de hackers. Les resulta bastante interesante que explique que si el hacktivista es más activo en intentar conseguir efectos sociales, que el hacker artista le gusta el comunicar y la estética y ya no digo lo interesante que es explicar diferentes tipos de hacking a software o hardware.
Se hace un poco más difícil, por lo complejo técnicamente, explicar o más bien introducir algunos términos, sobretodo a edades tempranas; pero al alumno, que su curiosidad le tiene excitado, no se lo parece, es todo atención.
Para que se vea el grado de aceptación de estas sesiones, he de decir que suelen los alumnos mostrar su sorpresa y agrado hasta tal punto que llegan a aplaudir. Y no solo cuando otros profesores me invitan a hablar este tema en sus clases, incluso en mis propias clases a alumnos que les enseño otras cosas y están acostumbrados a mí, me lo han agradecido con aplausos y otras formas como pedir que continúe así el curso. Es algo extraordinario, no suele pasar. Y resulta gratificante.
Mi experiencia
No hay formación para los profesores sobre el mundo del hacking, muchísimos simplemente lo desconocen del todo y la reacción es no querer entrar por miedo, por no querer meterse en líos.
Un ejemplo de mi propia experiencia con el email falso: el primer año que empecé a hablarlo en clase cometí un par de errores, intenté dar un poco de mi experiencia a chicos que no eran exactamente mis alumnos y no coordiné el tema con otros profesores del departamento. Y de entre los cinco grupos míos y uno que no lo era, hubo un alumno que decidió, unos meses después, buscar la forma de hacer algo que yo había mostrado que se podía hacer para que viesen el peligro. Les demostré que era fácil hacerlo y les enseñé a detectarlo; quería que supiesen cómo actuar.
Mis compañeros se sintieron mal y muy decepcionados conmigo. El director del centro tuvo que intermediar con el padre que también se sentía enfadado por la respuesta del niño: "me lo ha enseñado un profe" sin entender la situación. Se podría resumir en que todos mis jefes y mis compañeros de departamento pensaban que eso no se debía enseñar.
Yo me disculpé y dije que si lo hubiésemos hablado y coordinado antes, esto no hubiese pasado y les dije que prepararía material didáctico y lo coordinaría con el siguiente departamento que me tocase. Fueron comprensivos y la tensión se relajó.
Y es cierto. Al año siguiente, sin tener aún el material, lo comenté con mi nuevo departamento y recibieron la idea con muchísimo interés y acabé dando clases sobre este tema a grupos de otros profesores.
Libre
Uno de mis objetivos es parar la idea extendida de que el hacking es un mal para la sociedad, lo que es consecuencia de la falta de comprensión del término. Miro siempre de comentar que si quitamos al hacker del mapa los que se aprovechan de que haya agujeros de seguridad para hacer daño a la gente van a estar más tranquilos.
Que los hackers en la práctica, con sus valores, con su full disclosure, con su activismo, no solo o no son el peligro, sino que son muchas veces los que detectan los fallos de seguridad y avisan y ayudan a ser conscientes de los peligros y a que sean corregidos.
Cuando alguna vez me preguntan compañeros "¿Qué tal el día?" de vez en cuando respondo excitado: "hoy les he dado una clase de hacking". Algunos abren los ojos en un gesto de sorpresa y preocupación. Lo que no saben es lo que disfrutamos y lo fácil que es hacerlo bien, mejorando su educación.
Me gustaría que otros profesores supiesen que pueden usar este material y compartir conmigo sus dudas si quieren, que yo les hecho una mano en lo que pueda. Se usa en dos o tres sesiones dependiendo el nivel, desde segundo de ESO a bachiller.
Todo el contenido del mapa es libre. Puede usarse sin tener que pagar y adaptarse a lo que se necesite e incluso venderlo, que yo estaré encantado de ver que alguien lo usa. Y de hecho, así ha sido cuando me he dado cuenta de que en una conferencia en Perú, al otro lado del mundo, a alguien le ha resultado útil a la hora de explicar algo.
Si me informáis de que lo habéis usado me daréis un gustazo y si detectáis algún error o posible mejora comentádmelo que me interesa y así todos tendremos las mejoras compartidas.
Por René Mérou en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Veréis; soy profesor de informática y tecnología en Baleares, España, y casi podría asegurar que la pregunta que más me han hecho el primer o segundo día, en el aula de informática ha sido: "Profe, ¿tú eres un hacker?" Si la curiosidad aprieta, no se cortan y tal y como están las cosas, la verdad es que no me extraña.
Si tuvieseis 13 años o algo parecido, ¿no os produciría curiosidad el mundo del hacking? Pues eso hay que aprovecharlo. La curiosidad es una de las claves en el aprendizaje.
Veamos cómo, pero antes, otro enfoque...
Madres y padres
Como tutor que he sido, al presentar el curso a los padres y sobretodo a las madres, que vienen en proporción mayor, al hablar de informática, me han pedido que les hable de los peligros de internet.
Supongo que antes, lo que preocupaba era más algo de privacidad e instinto de protección, ahora creo que es más directamente la pederastia y los posibles maltratos lo que hace que pregunten "¿les vais a hablar de no poner fotos o dar sus datos a desconocidos?".
Nos piden que hablemos de los peligros de internet, los ciberpeligros. Y es natural, lo que les preocupa sale a las noticias de los periódicos y en la tele con frecuencia y además tienen una percepción de la inseguridad muy en primera persona por el malestar en carne propia debido a virus, gusanos troyanos, phishing...
Por eso lo añado a este material, para dar un poco de guía en este asunto. Pero antes de ver cómo integro esa faceta, un último detalle que es clave para entenderlo todo.
La privacidad
Hoy en día todo el mundo asume que se esta perdiendo la privacidad, que se nos está escurriendo entre las manos e incluso, algunos más modernos, defienden que aun debe perderse más puesto que es lo que va a pasar tarde o temprano y es torpe oponerse.
No es que las comunicaciones electrónicas no sean seguras, es que hemos llegado a puntos en los que la violación de este derecho fundamental ha llegado a absurdos. Ningún juez español que yo sepa ha puesto ninguna pega a que, en los sistemas operativos de Microsoft y Apple, el Windows Media Player y RealPlayer han informado de lo que los usuarios ven o escuchan por internet a alguien en EEUU. Ningún juez ni ningún fiscal español ha movido un puñetero dedo.
Y como éste muchos casos y mucha falta de sensibilidad. Y la impresión es que va a ir a peor.
Bien, pues manos a la obra, ayudémosles desde las clases a avanzar en los valores, los hábitos, los conocimientos y las destrezas que exige esta realidad.
¿Cómo?
Por interés en el tema, me he preparado material para una unidad didáctica sobre Hacking-ciberpeligros-privacidad. Hacking que es lo que despierta la curiosidad de los alumnos, ciberpeligros que es lo que preocupa a los padres y privacidad que es el ingrediente clave si se enfoca desde un punto de vista más técnico.
Con esos objetivos en mente he preparado un hipermapa conceptual usable a modo de presentación, que permite en unas pocas clases abordar el tema sin causar una gran desviación de la programación del curso:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pulsar sobre la imagen superior para ir al mapa conceptual funcional
Funcionalidad
El mapa que he querido presentar en mi apreciada Kriptópolis, que ha sido para mí una referencia en el tema desde siempre, está hecho con Inkscape en forma de imagen vectorial que al clicar va pasando por las diferentes etapas de la presentación.
Uno puede clicar en zonas no señaladas y seguir digamos las transparencias o puede pulsar el botón central (de un ratón que no lo tenga asociado a otra funcionalidad) y elegir en el menú desplegable que aparece, a que momento quiere ir.
Si se sigue el orden en que aparecen las zonas del mapa, primero se verá un vistazo general para poder introducir el tema y que los alumnos lo relacionen con el mismo mapa impreso en papel que tienen.
Después, se da por iniciada la clase y pasamos a un mapa mucho menos denso pero también con una panorámica general para explicar las zonas que se van a comentar. Y luego en detalle y en grande cada una de las zonas.
Hacking
Al explicar el Hacking el mapa facilita que se mencionen las diferentes formas de entenderlo.
Ya sea como lo ven las películas que ya no tienen el personaje de la dinamita que entra en el equipo que roba el banco sino que lo han cambiado por otro que suele estar fuera en una furgoneta y que abre todo y sabe lo que pasa por todo el edificio y por donde salir cuando pasa algo.
O ya sea dividiendo el mundo entre los buenos, hackers y los malos, crackers. Que es un punto de vista bastante extendido.
O ya sea como un tercer punto de vista más incluyente y detallado defiende: que el hacking es disfrutar encontrando soluciones sorprendentes a temas complejos y eso incluye los hacklabs de Debian o los de KDE; que los crackers son hackers pero especializados en temas de seguridad y cosas como romper protecciones por cifrado y que los que realmente cometen delitos, por mucho que sepan no son hackers sino delincuentes; Ciberdelincuentes. Cada uno con unas características.
Así el profesor muestra la información plural y dice: "los medios y las películas juntan estas zonas, algún periódico y otra gente lo ve de esta otra forma, y algunas comunidades ponen especial interés en que no se confundan los detalles y que no se les clasifique mezclándoles con la delincuencia".
En internet podemos encontrar todo tipo de hacks, exploits o técnicas, en foros, youtube, revistas, blogs especializados... Así que toda la información ya se encuentra al alcance de las manos de cualquiera que un día tenga curiosidad o incluso antes con las redes sociales actuales. La diferencia es que un profesor puede intentar adaptar el nivel de profundidad, puede fijarse unos criterios didácticos, puede mostrar los valores propios del tema y así, realizar su labor, ayudar al alumno a aprender a vivir en libertad. No es lo mismo ver simplemente una charla de un hacker en youtube, lo que es mucho más frecuente de lo que muchos quieren darse cuenta, que recibir una clase de un profesor de una forma más integral.
Valores
Una de las claves del hacking son sus valores. Privacidad, Ética hacker, transparencia, libertad, habilidades técnicas y naturalmente todo lo relacionado con seguridad. La sección de los valores de los hackers es clave a la hora de contagiar precaución en privacidad y por eso toca asuntos como el sexting o la precaución con las contraseñas.
Si se trata de aprender a vivir en una realidad que tiene las tentaciones de las que luego se habla, creo que es necesario comentarles las experiencias de la gente en la red y la valoración de riesgos que ayuden a desarrollar una actuación responsable.
Por ejemplo, yo suelo comentar que los equipos de seguridad no se han quedado parados en sus posiciones de partida. Tanto las medidas de seguridad como la complejidad de los ataques han ido incrementándose en una carrera como la de los cañones y las murallas: más alto dispara el cañón, pues más fuerte y alta la muralla y viceversa.
Alumnos de secundaria o incluso bachiller, no pueden esperar meterse en la CIA y que entren a la primera sin que pase nada. Lo que ocurrirá es que estarán en un honeypot, en un ordenador trampa en el que pensarán que hacen algo pero lo único que lograrán serán las risotadas de los vigilantes que estén viendo lo que hacen en sus monitores. Y luego las consecuencias.
Hay que enseñar que experimentar es interesante pero que no es lo mismo probar cosas en tu casa con tu pc que probarlas con el pc de una agencia de seguridad o una empresa cualquiera. Tienen que saber que las penas son muy duras y eso sin encontrarse con un sicópata al otro lado que casualmente tenga conocimientos técnicos, detecte el ataque y les coja manía.
Ciberpeligros
Nada más empezar la clase y con el mapa en su primera vista, abro el navegador y les demuestro lo sencillo que es enviar un email haciéndose pasar por otra persona. No dura más de tres minutos y me ayuda a enseñar en detalle como confirmar que un email es falso. Esto les abre los ojos.
No necesito ir luego más allá de decirles que si yo hago eso en 3 minutos, no se pueden imaginar lo que puede hacer la mafia contratando a gente técnicamente muy hábil, trabajando en equipo y 12 horas al día durante meses.
El mapa nombra y enlaza términos como el grooming y así puedo seguir explicando y solo tengo que ir ajustándome al tiempo que me he marcado inicialmente con la flexibilidad que decida.
Eventos y tipología
Por supuesto no puedo explicar el mundo del hacking sin nombrar al menos algunos de los eventos que se realizan y dar algunos detalles. Y lo mismo pasa con los tipos de hackers. Les resulta bastante interesante que explique que si el hacktivista es más activo en intentar conseguir efectos sociales, que el hacker artista le gusta el comunicar y la estética y ya no digo lo interesante que es explicar diferentes tipos de hacking a software o hardware.
Se hace un poco más difícil, por lo complejo técnicamente, explicar o más bien introducir algunos términos, sobretodo a edades tempranas; pero al alumno, que su curiosidad le tiene excitado, no se lo parece, es todo atención.
Para que se vea el grado de aceptación de estas sesiones, he de decir que suelen los alumnos mostrar su sorpresa y agrado hasta tal punto que llegan a aplaudir. Y no solo cuando otros profesores me invitan a hablar este tema en sus clases, incluso en mis propias clases a alumnos que les enseño otras cosas y están acostumbrados a mí, me lo han agradecido con aplausos y otras formas como pedir que continúe así el curso. Es algo extraordinario, no suele pasar. Y resulta gratificante.
Mi experiencia
No hay formación para los profesores sobre el mundo del hacking, muchísimos simplemente lo desconocen del todo y la reacción es no querer entrar por miedo, por no querer meterse en líos.
Un ejemplo de mi propia experiencia con el email falso: el primer año que empecé a hablarlo en clase cometí un par de errores, intenté dar un poco de mi experiencia a chicos que no eran exactamente mis alumnos y no coordiné el tema con otros profesores del departamento. Y de entre los cinco grupos míos y uno que no lo era, hubo un alumno que decidió, unos meses después, buscar la forma de hacer algo que yo había mostrado que se podía hacer para que viesen el peligro. Les demostré que era fácil hacerlo y les enseñé a detectarlo; quería que supiesen cómo actuar.
Mis compañeros se sintieron mal y muy decepcionados conmigo. El director del centro tuvo que intermediar con el padre que también se sentía enfadado por la respuesta del niño: "me lo ha enseñado un profe" sin entender la situación. Se podría resumir en que todos mis jefes y mis compañeros de departamento pensaban que eso no se debía enseñar.
Yo me disculpé y dije que si lo hubiésemos hablado y coordinado antes, esto no hubiese pasado y les dije que prepararía material didáctico y lo coordinaría con el siguiente departamento que me tocase. Fueron comprensivos y la tensión se relajó.
Y es cierto. Al año siguiente, sin tener aún el material, lo comenté con mi nuevo departamento y recibieron la idea con muchísimo interés y acabé dando clases sobre este tema a grupos de otros profesores.
Libre
Uno de mis objetivos es parar la idea extendida de que el hacking es un mal para la sociedad, lo que es consecuencia de la falta de comprensión del término. Miro siempre de comentar que si quitamos al hacker del mapa los que se aprovechan de que haya agujeros de seguridad para hacer daño a la gente van a estar más tranquilos.
Que los hackers en la práctica, con sus valores, con su full disclosure, con su activismo, no solo o no son el peligro, sino que son muchas veces los que detectan los fallos de seguridad y avisan y ayudan a ser conscientes de los peligros y a que sean corregidos.
Cuando alguna vez me preguntan compañeros "¿Qué tal el día?" de vez en cuando respondo excitado: "hoy les he dado una clase de hacking". Algunos abren los ojos en un gesto de sorpresa y preocupación. Lo que no saben es lo que disfrutamos y lo fácil que es hacerlo bien, mejorando su educación.
Me gustaría que otros profesores supiesen que pueden usar este material y compartir conmigo sus dudas si quieren, que yo les hecho una mano en lo que pueda. Se usa en dos o tres sesiones dependiendo el nivel, desde segundo de ESO a bachiller.
Todo el contenido del mapa es libre. Puede usarse sin tener que pagar y adaptarse a lo que se necesite e incluso venderlo, que yo estaré encantado de ver que alguien lo usa. Y de hecho, así ha sido cuando me he dado cuenta de que en una conferencia en Perú, al otro lado del mundo, a alguien le ha resultado útil a la hora de explicar algo.
Si me informáis de que lo habéis usado me daréis un gustazo y si detectáis algún error o posible mejora comentádmelo que me interesa y así todos tendremos las mejoras compartidas.
Por René Mérou en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Páginas1
