Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.


Mensajes - Yavi

Páginas: [1] 2 3 ... 10
1
Hacking / Re:Rompiendo acceso SSH con fuerza bruta
« en: Marzo 25, 2017, 05:58:37 pm »
Interesante, uno pensaría en cambiar el puerto, pero aún así no basta. Verificar que la clave no esté en el diccionario, pero aún así no basta. Crear una contraseña fuerte, pero aún así no basta. Desconectarse de internet, y aún así sigue no bastando!

Enviado desde mi Bang 2 mediante Tapatalk


2
Dudas y pedidos generales / Re:Encriptar ip con C#
« en: Febrero 24, 2017, 02:54:39 pm »
podria ser que el compañero se refiere a algo asi como el hostmask o cloak en el irc... sera posible?

Mmmm.. creo que más bien tiene que ver con algo semejante a esto, porque por lo otro es... confuso  ???

3
Off Topic / Re:¿De donde el origen de tu Nick/Alias?
« en: Febrero 24, 2017, 02:46:13 pm »
Cuando me invitó, yo la acepté la invitación... yo todo casual entré a lo crudo, luego dije, ¡oh!. Así que recordé mi nick en antiguo LoL y quise hacer lo mismo (pero diferente). Entonces, quité la última letra del nombre y cambié la primera por Y, encima suena cool :v

Algunos bromean el en "¿ya viste?, si, ya vi", ;D, pero el motivo real es un juego con los caracteres.

4
Otros lenguajes / Re:Primeros pasos con Cramel
« en: Febrero 24, 2017, 04:43:55 am »
O.o entonces sólo compila para windows?

5
Noticias Informáticas / Google acaba de romper SHA-1
« en: Febrero 24, 2017, 04:28:32 am »

Google ha hecho un anuncio impactante sobre la criptografía, demostrando una colisión en el algoritmo SHA-1. Si algo pintaba bien, ahora no pinta nada bien, aunque siempre se habló de que no parecía que pintara tan bien, total. Google ha hecho un anuncio en el cual demuestra una posible colisión con el señor SHA-1, pero no hay porque correr (al menos que sí), ya que hoy en día pocos servicios fían su seguridad en SHA-1, ahora google demuestra su gran poder, dando a conocer algo que por encima es sólo un problema de seguridad... grave.

Gracias a una gran potencia de cálculos, Google ha demostrado (públicamente, no como la NSA) que SHA-1 es rompible. Al menos, nos ha hecho la bondad de darnos a conocer el hecho. Por eso, si usas SHA-1 en tus aplicaciones, mejor ve considerando si son (las apps) lo suficientemente importantes como para mudarse a otro algoritmo más... difícil de romper.

Como todos sabéis, sha1 es una función de hashing, y en lo que respecta a la verificación de la integridad de archivos, ésta es usada para producir un hash único para cada archivo y así poder verificar que un archivo trasmitido por la red es el mismo que se ha recibido, de esta forma se está tranquilo, hasta ahora. Si dos archivos tiene el mismo hash, entonces se trata del mismo archivo (en teoría, porque google ha demostrado que no siempre es así). Una cosa que también intrigante es que SHA-1 está siendo usada en muchos sistemas de inicio de sección, de esta forma se compara los hashes de las claves y no éstas directamente.

Y si no me crees, compara los archivos http://shattered.io/static/shattered-1.pdf y http://shattered.io/static/shattered-2.pdf. Mira aquí, desde http://onlinemd5.com/ :


y...


Como podemos ver en las imágenes anteriores, dos archivos dan el mismo hash produciendo una colisión. Esto es cuando dos cosas distintas producen el mismo hash, permitiendo así poder pasar un archivo que no es, como uno que se ha solicitado por la red, ejemplo: un malware. Esta colisión permitirá romper HTTPS, enviando malware y comprometiendo a muchas personas.

Ya se estaba hablando anteriormente (unos años atrás) sobre una posible colisión en el algoritmo SHA-1, incluso de un cómo y de cuánto recurso de cómputo se necesitaría para lograrlo, pero Google fue el primero en hacerlo (público), en demostrarlo, porque nadie se atrevía (?). Git usa, o usaba, sha1 para comprobar actualizaciones, pero esto ya es otro tema.

Citar
As of January 1st, every major browser will show you a big red warning when you visit a site secured by SHA-1.

Muchos piensan que esta caída de SHA-1, tan pública, es oportunismo por parte de Google para posicionarse en lo que respecta a rendimiento en seguridad web. Anteriormente, el navegador Chrome notificaba sobre los proveedores de certificados en sitios web que usaban sha1, ahora que todo está público, han quedado como los que "tenían razón". Cabe destacar que Google es una empresa que se basa mucho en publicidad web y tiene que asegurar a sus clientes que cuentan con un buen sistema de seguridad de cifrado, ellos no querían que se conociera una noticia como esta por parte de otras entidades o individuos, que comprometa la fiabilidad de sus cliente. Aunque parezca contraproducente que Google haya roto un algoritmo, esto fuerza a un cambio en el sistema de cifrado por parte de muchas webs. Todo para evitar que sus cliente queden insatisfechos.

Citar
So while it might seem like a mathematical curiosity, this is really a victory lap for Google — and one that cost quite a bit of server time. People have been saying SHA-1 was shaky for years, and now we all know they were right. Luckily, we all listened to the crypto folks, and nothing too serious got broken.


Ahora bien, no es simplemente un cambio de algoritmo, esto también implica dinero, recurso, mano de obra. Habrá costo, no por el nuevo sistema de encriptación que se usará, sino porque este no se va a poner solo. Cabe destacar lo complejo que puede ser un cambio en diferentes dispositivos como servidores o router antiguos, pero funcionales que cambiarlo implicaría dinero. Lo claro es que después de una colisión, no tardará en llegar la próxima.

Citar
«"If the hash function is working properly, each file will produce a unique hash"

That’s not true. Hashes won’t be unique. There are more possible files than possible hashes, so collisions are inevitable. What makes a cryptographically secure hash function secure is its one-way nature. It’s supposed to be extremely difficult to work backwards from the hash to find files that will match it.» (balazer, 2017)

Ahora bien, ¿creéis que sea tan fatal como se ve?, sabemos que buenos proveedores de certificados de seguridad usan mejores algoritmos que el SHA-1, ¿es necesario mirar la tecnología actual para dejar totalmente a sha1 como cosa del pasado?, veamos...

Fuente:
The Verge, 23 de febrero del 2017, Google just cracked one of the building blocks of web encryption (but don’t worry). Ruta: http://www.theverge.com/2017/2/23/14712118/google-sha1-collision-broken-web-encryption-shattered

De interés:
https://blog.cryptographyengineering.com/2013/12/03/how-does-nsa-break-ssl/

6
Underc0de / Re:Nuevo Lenguaje de programación CRAMEL
« en: Febrero 24, 2017, 12:42:48 am »
Bonito, buena iniciativa @Yuki
Le echaré un ojo, ya que recuerdo leer la palabra "español"  ;D

7
Hola @Yavi un procesador de 1 tb para que no olvide su ID? 

Saludos :)

hehehe, evidentemente hago referencia a la noticia del joven y su procesador de un 1tb  ;D ;D como forma extraña de crítica humor

8
Vaya belgas cerebro de pollo que no pueden recordar un ID  ;D

Que patraña, ¿es que no tenemos ya tecnologías como lectores de huella de dedo (o de pie), que es una tecnología usada actualmente y conocida por todos, que tiene que "innovar"? ¿que sigue ahora? ¿procesadores de 1tb?)

9
Pues @[email protected], así como lo comenta @kawaxi, agrego, WA cada vez está más sospechoso, pero como lo está haciendo en cuasiequilibrio las masas no lo notan así, además han sabido pintar todo con vídeollamadas, gifs, menciones, links de grupos, en fin. Las operadoras también le hacen propaganda, y encima de que es un servicio non free no hay certeza en que si tiene agujeros de seguridad, y de que ese tal cifrado de dos punto es seguro como tal. La empresa necesita dinero, lo sabemos, pero que lo hagan de forma que el usuario sea inconsciente no es para nada ético (hablando por aquellos señores mayores, niños y personas sin conocimiento pre-pre-pre-básico en informática; que usan WA). Otra cosa, un ente mayor, como la policía, con una orden ya puede violar la seguridad de los usuarios de WA, en fin.

10
Un diccionario en inglés ha adivinado tu contraseña en dos minutos  :o :o

11
Sólo cito...
Citar
Identificados en todo momento. Identificados en todo momento. Por tu seguridad, identificados en todo momento. Todo esto es por tu seguridad. No podemos confiar en nadie, identificados en todo momento. Toda persona que desarrolle cualquier tipo de actividad contra el gobierno será detenida, interrogada y considerada terrorista. Por tu seguridad, todo esto es por tu seguridad, la ley nos protege

PD: ¿todavía seguís usando la red social favorita de Zuckerberg? mejor la de una muñeca más recursiva que un método para calcular el factorial de un número.

12
Debates / Re:Hackers ¿Somos los buenos? ¿los malos?
« en: Febrero 03, 2017, 11:52:48 am »
Buenos días a todos,
Escribo esto, porque desde hace algún tiempo, me he dado cuenta de que mucha gente justifica sus acciones; dando mil vueltas al asunto, hasta que por fin encuentran un enfoque menos malo.

Por mi parte, no estoy de acuerdo y dado que no tengo toda la verdad. Quiero conocer vuestra opinión. En este caso me centrare en el hacking. Así que quiero conocer vuestra opinión (siempre es útil y bueno conocer otros puntos de vista).

Como yo lo veo, ser hacker no implica nada malo, (siempre que lo entendamos como experto o aficionado a la seguridad Informática) ahora bien, SOLO si utiliza sus conocimientos  con el consentimiento de la víctima. En cambio, el otro ámbito (mucho más divertido ;D) es entrar en páginas web, servidores, aplicaciones, etc. Sin que nadie se entere y con la adrenalina por si te pillan. Esta parte considero que no está bien, alguien que normalmente ni conocemos y que no ha pedido a nadie que pruebe su seguridad; está siendo vulnerado y estamos entrando en sus archivos privados.

Mucha gente se justifica diciendo que les dejamos mensajes corrigiendo los errores que tienen o que realmente no dañamos nada, sino que simplemente entramos por ver si podemos y después te vas sin entrar en archivos privados ni modificar nada.  Pero como yo lo veo, nadie nos ha pedido que lo hagamos e ignoramos las opiniones del propietario.

Por ello, mi opinión del hack en sitios sin permisos es:
Que en el sentido estricto de la palabra somos los malos. Si, quizás no somos terroristas ni hacemos daño físico a nadie, pero, hacemos que la gente a la que entramos se sienta insegura, aun así, al menos yo, soy un egoísta pues aun sabiendo que está mal, continuo haciéndolo y seguramente seguiré mucho mas.

Así que decidme [email protected] ¿vosotros que opináis?  ¿Somos los malos? ¿Los buenos? ¿Que pensáis de lo que hacemos?

Siempre funciona la analogía con el cerrajero. Están los que tú contratas y te prueban tu seguridad, los que aprovechan sus conocimientos para comer gratis entrar a cuantas casas encuentren (si lo logran), y están esos que justifica diciendo que ellos solamente entraron, comprobaron que la seguridad estaba mala y dejaron una nota en el refrigerador diciendo le al propietario del inmueble que su seguridad apesta.

Con todo ésto dicho... pues, se puede llegar a pensar que todo depende del conocimiento y del fin del uso de ése; ahora no vais a comprar una ganzúa para ganzuado automático, y creerte un experto.

13
Off Topic / Re:Tu lenguaje de programación.
« en: Agosto 12, 2016, 01:09:09 am »
páiton Python, porque es el que más he desarrollado

14
C# - VB.NET / Re:[C#] Adf.ly Killer 0.5
« en: Agosto 11, 2016, 11:42:20 pm »
Huy!, ahora tocará contratar un hosting y crear su propio acortador de URL... (?)

Naa, es broma o es una buena idea. Gracias por compartir ;)

15
Cita de: Cl0udswX
1.- Ataque normal sin modificar los temporizadores
2.- Al recibir el warning de que el AP ha bloqueado WPS guardar la sesion.
3.- Modificar la dirección MAC y cargar la sesión previamente guardada.
4.- Continuar con el ataque hasta conseguir que la primera parte del PIN deje de recibir ACK negativos.

Ésto realmente funciona?
Entonces se podría hace que la herramienta pruebe con diferentes MAC's, ya sean reales o no. Hasta sería interesante, pero no cargando una sesión suspendida, si no dividiéndose el trabajo para probar algunos PIN's con una MAC y otros con otra MAC.

16
Off Topic / Re:Denunciar a un scrip-kiddie...
« en: Junio 13, 2016, 11:29:05 pm »
y si usa un poco de astucia e ingeniería social para obtener más datos del atacante?
Así si podrían contar con las pruebas para la denuncia.

17
Noticias Informáticas / Re:Traducen pensamientos en palabras
« en: Junio 11, 2016, 10:43:39 pm »
Esto quiere decir que ahora nada será privado??
El caer esto en malas manos (lo cual pasará) se convertirá en una herramienta buena-y-mala al mismo tiempo.

Por otro lado, gusta mucho la idea de hablar sin mover los labios :P (ya saben, da pereza abrir la boca :v )

18
Pentesting / Re:Method Ninja of Google Hacking
« en: Junio 11, 2016, 10:28:13 pm »
El pensar que algunos estarán usándolos para atacar a diestra y a siniestra por allí. Trama.

Buen Post!, cuando se es ético y se es necesario hacer para mejorar la seguridad, está muy bien.

19
Hola.

No conocía de ésto, pero... Veo que cualquiera podría tachar de comentario indebido por el sólo hecho de querer hacerlo sin un motivo cierto, entonces ésto otro afectaría al autor del comentario. O no podría pasar?

Chao.

20
Hacking / Re:Estafando a los estafadores
« en: Junio 10, 2016, 03:10:00 pm »
LOL!

feliz tarde luego de leer este post, y muy bueno también. Quién diría que ellos continuarían con la estafa después de lo del script  ;D
Respecto a la información, es valiosa pero trama ver la actitud de los estafadores  jeje jè.
cabe decir que uno que ya sabe puede evitarlo, pero hay gente que cae (fácil) :|

Páginas: [1] 2 3 ... 10