Hola, saludos a todos, tengo esta duda porque he entrado al dominio de CENSURADO (http://www.CENSURADO) y resulta que esta infectado con Malware, he dado aviso a sus administradores pero después de varios meses no han hecho nada, exactamente tienen el RANSOMWARE GLOBE que aun no se puede descifrar sin necesidad de pagar. Lo que he analizado es que funciona de la siguiente manera.

1. Entras al dominio y te pide actualizar chrome y descarga un archivo JavaScript
2. Al aceptar descarga un .EXE
3. Te infecta y cifra archivos como .word .xlm .html etc...

Mi curiosidad es saber como funciona, ya que he tratado de encontrar la parte del código en la web que hace esto y no lo he podido encontrar, también he pasado el dominio por varios AV que analizan dominios como virus total entre otros y los resultados dan 0 infecciones.

El manifiesto de Aaron Swartz a favor de la libertad de información y en contra del derecho de autor

El recientemente fallecido desarrollador y hacktivista Aaron Swartz abrazó la causa de liberar el conocimiento científico de la humanidad. Swartz estaba siendo incriminado por utilizar la red de MIT para subir a Internet cientos de miles de publicaciones científicas y hacerlas disponibles gratuitamente. Esto y la minuciosa vigilancia de agencias de inteligencia estadounidenses, según allegados, llevó a Swartz al suicidio (algunos incluso teorizan que pudo haber sido asesinado).

Swartz, quien desde la adolescencia fue uno de los arquitectos de la Red, antes de la efervesencia de WikiLeaks, ya había formulado un manifiesto a favor de la libertad de la información, afirmando el derecho a copiar y distribuir archivos que sean del interés público, como es el caso de los trabajo científicos que han sido cooptados por una élite. La ciencia, según la visión  de Swartz, es patrimonio de la humanidad y debe ser accesible gratuitamente a cualquier persona: por derecho y para fomentar la innovación.

Comaprtimos aquí la traducción del manifiesto de Swartz con el cual lanzó el movimiento de Guerrilla Open Access.

La información es poder. Pero como todo poder, hay aquellos que quieren quedarse con él. Todo el legado cultural y científico del mundo, publicado por siglos en diarios y libros, está siendo digitalizado y almacenado por un puño de corporaciones. ¿Quieres leer los trabajos con los resultados más importantes de la ciencia? Tendrás que enviar grandes cantidades a editoriales como Reed Elsevier.

Existen personas luchando para cambiar esto. El Open Access Movement ha luchado valientemente para asegurar que los científicos no firmen derechos de autor y en cambio se aseguren que su trabajo sea publicado en Internet, bajo términos que permitan a cualquiera tener acceso a él. Pero incluso en los mejores escenarios, esto sólo aplicará para publicaciones futuras. Todo lo que no ha sido publicado bajo este esquema se ha perdido.

Es un precio demasiado alto para pagar. ¿Forzar a académicos a pagar dinero para leer el trabajo de sus colegas? ¿Escanear bibliotecas enteras pero sólo permitir que la gente de Google los puedan leer? ¿Proveer artículos científicos a una élite de universidades del primer mundo, pero no a los niños del sur del mundo? Esto es indignante e inaceptable.

"Estoy de acuerdo", muchos dicen, "¿pero qué puedo hacer? Las compañías detentan los derechos de autor, generan enormes cantidades de dinero cobrando accesos, y es perfectamente legal –no hay nada que podamos hacer para detenerlas". Pero sí hay algo que podemos hacer, algo que ya estamos haciendo: oponernos a ellos.

Aquellos con acceso a los recursos –estudiantes, bibliotecarios y científicos– han recibido un privilegio. Pueden alimentarse de este banquete de conocimiento que el resto del mundo tiene vedado. Pero no deben –moralmente no pueden– mantener este privilegio para sí mismo. Tienen un deber de compartirlo con el mundo. Y tienen una forma: compartir contraseñas con colegas, llenar peticiones de descargas para amigos

[...] Pero toda esta acción ocurre en la oscuridad, oculta en lo subterráneo. Es llamada robo o piratería, como si compartir una riqueza de conocimiento fuera el equivalente a saquear una nave y asesinar a su tripulación. Pero compartir no es inmoral –es un imperativo moral. Sólo aquellos cegados por la ambición impedirían que un amigo hiciera una copia.

Las grandes corporaciones, desde luego, están cegadas por la ambición. Las leyes con las que operan lo requieren –sus accionistas se amotinarían si fuera de otra forma. Y los políticos que han comprado los apoyan, pasando leyes que las dan poder exclusivo sobre quién puede hacer copias.

No hay justicia en seguir leyes injustas. Es tiempo de aclarar las cosas, en la gran tradición de la desobediencia civil, y declarar nuestra oposición a este robo privado de la cultura pública.

Debemos tomar la información, donde sea que esté almacenada, hacer copias y distribuirlas por el mundo. Debemos de tomar el material que ya no tiene copyright y añadirlo al acrhuvo. Debemos comprar bases de datos secretas y subirlas a la red. Debemos de descargar publicaciones científicas y subirlas a la redes de compartición de archivos.Debemos de luchar por el Guerrilla Open Access.

Con suficientes de nosotros, en todo el mundo, no sólo enviaremos un mensaje fuerte en contra de la privatización del conocimiento –haremos que sea una cosa del pasado. ¿Te unirás a nosotros?

Aaron Swartz, julio 2008, Eremo, Italia

El futuro de Internet en Colombia se está definiendo en una reunión de la cual sabes poco o nada: Tu voz se hace indispensable y necesaria

En la Mesa de Gobernanza de Internet se están definiendo temas de interés para todos los internautas. Usuarios y ciudadanos deben impedir que fuerzas de corporaciones y gobierno tomen control de modelo de discusión sobre el futuro de la web.

¿Quién es dueño de Internet en nuestro país?. A simple viste podrías pensar que los dueños de los cables que nos permiten la conexión. Pero ellos serían nada sin la información creada por miles de colombianos que estamos todos los días usando su infraestructura.

¿El gobierno?. ¿El Ministerio de Tecnologías de la información?. Ellos crean la política pública. Pero realmente tienen la capacidad y conocimiento para abordar lo desconocido. En esto se debe pensar.

¿Las grandes corporaciones como Google, Facebook, Uber, Telefónica?... Suena a que tienen mucho poder y tienen bien claro cómo hacer dinero, ¿no? ¿Académicos, ONG, expertos y técnicos?: Un poco ñoños.

La pregunta de quién debe definir el futuro de Internet es bastante difícil de responder. Cómo y quién debe definir las reglas del Internet. ¡Quién sabe!

Aunque la respuesta es difícil si se puede observar algo en común. Todos, sin lugar a duda, queremos tener  cierto dominio sobre Internet. Algunos lucharán por el anonimato, otros quieren que se acabe. Para unos, lo más importante la creación de un negocio, para otros la función social que puede tener Internet en un país como Colombia.

Hoy Colombia vive momentos históricos gracias a la conexión que nos permite Internet y parece vital que la red siga siendo neutral y tenga la infraestructura necesaria para que ofrezca a todos los colombianos las mismas oportunidades.

Participe, exprese, converse

Para un Internet posible es muy importante la participación de todos. No importa el nivel de conocimiento, dinero o influencia.  Colombia ya cuenta, al menos, con un espacio de discusión que poco a poco se convierte en un referente para todos los participantes.

¿Estamos preparados para discutir, debatir, construir y definir nuevas ideas acerca de Internet. Hoy tenemos retos, planteamientos que, ni siquiera existen: ¿o existe alguien que sepa qué hacer con certeza con Uber?.

Ideas, leyes, planteamientos técnicos, infraestructura de negocios y básicamente el futuro de Internet en Colombia se está definiendo en una reunión que se realiza cada mes bajo un modelo llamado La Mesa de Gobernanza de Internet. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¡Esto no puede estar en manos de grandes corporaciones o el mismo gobierno!. Se hace necesaria la participación de los usuarios, grupos hackers, técnicos, académicos, emprendedores, empresarios y todo aquel que quiere soñar con un Internet posible en Colombia.

Participar es sencillo. Lo primero que debe hacer es inscribirse a la lista de correos de la Mesa. Allí le llegarán las comunicaciones de todos los miembros. Los temas a discutir.   Luego deberá regalar un poco de su tiempo: Indispensable asistir  a las reuniones. La próxima se hará el próximo 3 de diciembre. Documéntese. Lleve ideas preparadas, estudie y defina su postura.  Ya van 11 reuniones.



La Mesa de Gobernanza de Internet es una idea comunitaria. No le pertenece a ningún grupo pero, por supuesto, para su funcionamiento necesita dineros para funcionar. Algunas empresas privadas ofrecen sus recursos.

Allí se están discutiendo temas como Internet para superar la pobreza, neutralidad, libertad de expresión, ciberseguridad.

La Mesa de Gobernanza de Internet es una oportunidad para crear y, hasta el momento, es la única viable que se ha encontrado para organizar los pensamientos y sacar conclusiones concretas.

Ojo, este modelo no es el único existente para definir el gobierno de Internet. De hecho existe un modelo antagónico. Mientras el pasado mes de noviembre en la ciudad de João Pessoa, Brasil, se realizó el Fórum de Gobernanza de Internet (IGF) que pretende ser multisectorial, democrático y transparente y al que asistieron representantes colombianos de la Mesa a pocas cuadras de allí se hizo  el Foro de Desgobernanza de la Internet con invitados internacionales tan importantes como el oficial.

Ese caótico mundo de Internet se resiste a ser organizado y al menos en Colombia todos deberíamos valorar y participar en lo que se vienen construyendo. El futuro de Internet está en juego y de los usuarios depende que no se repitan las viejas prácticas tan comunes en Colombia.

Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La NSA dice haber avisado del 91% de vulnerabilidades informáticas encontradas, pero no cuándo

¿Recuerdas el caso Heartbleed? Hace ya un año y medio, salía a la luz un fallo importante en OpenSSL que afectaba a la mayoría de servidores y de aplicaciones que utilizaban HTTPS a nivel mundial (a fin de cuentas, es una librería muy popular). Los parches llegaron rápido y afortunadamente no hubo demasiados problemas que lamentar. Sin embargo, pronto surgió la polémica: ¿conocía la NSA con anterioridad el bug y no avisó de él para seguir utilizándolo?

Si bien la NSA lo desmintió, lo cierto es que, si algo hemos aprendido de las filtraciones de Snowden, es que las agencias de seguridad estadounidenses aprovechan el más mínimo resquicio en la seguridad de un protocolo o programa para añadirlo a su lista de recursos. Un claro ejemplo era la versión modificada con malware de Xcode. Pero ¿hasta qué punto hace la NSA uso de estos bugs informáticos? En un documento publicado en su web, este organismo asegura haber avisado a los desarrolladores del 91% de las vulnerabilidades encontradas en sus programas o sistemas.

"En la gran mayoría de casos, el avisar con responsabilidad de una vulnerabilidad descubierta recientemente es claramente de interés nacional", explican en dicha sección. Sin embargo, también recalcan algunos inconvenientes: "el divulgar una vulnerabilidad puede significar renunciar a una oportunidad de recolectar inteligencia extranjera crucial que podría frustrar un atentado, detener el robo de la propiedad intelectual de nuestra nación o descubrir vulnerabilidades todavía más peligrosas que se estén utilizando para atacar nuestras redes".

¿Y el 9% de los bugs restantes de los que no avisan? "O bien fueron arreglados por sus propietarios o no se han divulgado por razones de seguridad nacional", añaden.

No qué, sino cuándo

Lo importante no es de cuántas vulnerabilidades "zero day" han alertado, sino en qué momento lo han hecho, según varias fuentes de inteligencia en activo y retiradas consultadas por Reuters. Un antiguo empleado de la Casa Blanca reconocía que lo más lógico era asumir que todos los bugs se aprovechan en un principio para conseguir información, mucho antes de avisar a las compañías propietarias de dichos sistemas con fallos.

Otras fuentes consultadas por el mismo medio reconocían que Estados Unidos aprovecha esta información para llevar a cabo sus propios ciberataques y ponían de ejemplo el virus Stuxnet, que recurría a vulnerabilidades hasta entonces desconocidas de Microsoft y Siemens. La autoría del mismo no ha sido reconocida oficialmente por ningún gobierno, pero algunas filtraciones aseguran que se trataba de un gusano programado por Estados Unidos e Israel con el fin de colarse en las instalaciones nucleares de Irán.

¿Cuánto tiempo pasa desde que detectan un fallo hasta que avisan y hasta qué punto se aprovechan de él? Ése es el gran misterio, y más teniendo en cuenta que la NSA es uno de los organismos que más exploits compra a terceros.



Fuentes: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta || No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos mis queridos fieles lectores en esta oportunidad vengo a reportar un fallo critico en el sistema operativo Kali linux en uno de sus repertorios mas utilizados a nivel mundial, como sabemos kali linux es la versión continuada del sistema leyenda "Backtrack", kali linux lleva casi 3 años  de ser lanzado al publico como sistema  operativo de pentesting por excelencia.

¿Como encontré la vulnerabilidad?

Estuve elaborando unos análisis en unas maquinas virtuales con nessus and metasploit en un rango general para obtener los análisis de todo el trafico de ordenadores conectados a mi red, no vi nada particular porque dichas herramientas constan de un análisis enlazados con exploits generados por las aplicaciones de testeo.

Entonces recurrí hacer un trafico arp de mis maquinas virtuales y  se me ocurrió hacer un análisis de teste en mis sistemas, mi objetivo era romper la seguridad de mi impresora conectada a windows XP.

- Omar Rodriguez

Post con toda la información/Fuente:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Extra:

Ya tenemos fecha para la salida de Kali Linux 2.0, la popular distro para auditorías de seguridad
Escrito por Sergio De Luz                                                                                                                                                                                          7 julio, 2015 a las 10:00

Kali Linux es sin lugar a dudas una de las distribuciones basadas en Linux orientada a auditorías de seguridad más conocida y utilizada. En el año 2013, los creadores de BackTrack, lanzaron la popular distribución con un nuevo nombre, Kali Linux, y ahora hemos conocido la fecha de salida de la versión Kali Linux 2.0 que incorpora un gran número de mejoras.

Hacía mucho tiempo que no teníamos ninguna noticia de nuevas versiones de Kali Linux, sin embargo tienen un gran motivo: han estado trabajando duramente en la segunda versión de la distribución donde habrá un gran número de cambios y mejoras. Si todo va como hasta ahora, Kali Linux 2.0 verá la luz el día 11 de Agosto de 2015, es decir, queda poco más de un mes para disfrutar de la nueva navaja suiza para pentesters e investigadores de seguridad.

Principales cambios y mejoras en Kali Linux 2.0
El principal cambio que ha sufrido Kali Linux 2.0 es su interfaz gráfica, ha sido rediseñada totalmente para optimizar al máximo el trabajo de los usuarios que empleen esta distribución. Asimismo también se han rediseñado todos los menús y las categorías de herramientas de seguridad incorporadas, facilitando al máximo su búsqueda. Asimismo desde Kali Linux se han preocupado mucho de las actualizaciones de software, y ahora tendremos actualizaciones de las principales herramientas de manera semanal, su instalación será tan fácil y rápida como hasta ahora.

Una de las principales herramientas de seguridad que incorporará Kali Linux es el framework Metasploit, han prestado especial atención a esta herramienta de pentesting tan utilizada y han incorporado Ruby 2.0 de manera nativa para acelerar al máximo los tiempos de carga.

Respecto a la interfaz gráfica, tendremos notificaciones en el propio escritorio para no perder detalle de todos los trabajos. Asimismo también se han incorporado herramientas para grabar vídeos de la propia interfaz gráfica con el objetivo de facilitar la elaboración de videotutoriales.

Una de las herramientas más utilizadas en Kali Linux son las relacionadas con las auditorías inalámbricas, en esta versión tendremos disponibles las últimas herramientas como por ejemplo Reaver o PixieWPS, así como una gran cantidad de diccionarios ya incorporados en la distribución.

Os recomendamos ver el vídeo promocional de esta nueva versión Kali Linux 2.0:


Podéis acceder a la página web oficial de Kali Linux donde veréis el anuncio oficial de la salida de esta nueva distro. Os recomendamos acceder a nuestra sección de seguridad informática donde tenéis disponibles una gran cantidad de manuales.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El campo de batalla hoy es digital. Las agresiones entre países son continuas en todo el mundo, sin códigos éticos ni regulación internacional


Hace apenas unos días, se hacía pública la noticia de que los datos de cuatro millones de empleados de la Administración Federal de los Estados Unidos habían sido robados durante un ciberataque contra la OPM, la agencia que gestiona la información personal de los empleados federales en Estados Unidos. Las autoridades norteamericanas dijeron que el ataque se produjo el pasado diciembre, pero no fue descubierto hasta abril. ¿Los culpables? Probablemente «hackers» chinos, aunque no se sabe a ciencia cierta si trabajaron por su cuenta o por encargo directo del Gobierno de la nación asiática.

No es un caso aislado. De hecho, basta darse una vuelta por la página web de nuestro Instituto Nacional de Ciberseguridad para encontrarse, solo en las últimas semanas, con titulares como éstos: «Irán, acusado de provocar un gran apagón en Turquía» (31/03/2015); «El Estado Islámico hackeó la televisión TV5Monde francesa» (08/04/2015); «China y Rusia firman un pacto de no "ciberagresión" mutua» (08/05/2015)... Y eso no es más que un botón de muestra.

¿Qué está pasando? ¿Estamos envueltos, sin saberlo, en una ciberguerra? Y si es así, ¿Quiénes son los contendientes? Para Chema Alonso, de la empresa Eleven Paths, un experto en ciberseguridad reconocido en todo el mundo, «los ataques son continuos, y se producen en todas partes. Es un todos contra todos desde hace mucho tiempo. Hay muchos grupos dedicados a colarse en empresas y organizaciones, no siempre respaldados por estados, aunque sí que hay gobiernos con divisiones específicamente dedicadas al ciberespionaje. En este juego participan grupos de inteligencia de países, grupos de cibercrimen que roban datos y los venden por su cuenta, y organizaciones criminales que simplemente se mueven por dinero».

El 90% de las amenazas digitales que se producen en la actualidad son achacables al cibercrimen. No buscan información, sino dinero, y atacan directamente a los ciudadanos. Solo el otro diez por ciento de las amenazas se producen entre grupos organizados o gobiernos. O por lo menos eso es lo que trasciende, aunque podría ser solo la punta del iceberg.

Cuatro millones de registros
Chema Alonso no cree que en este caso estemos ante un ciberataque masivo. «Lo que se han llevado -afirma- es una base de datos con 4 millones de registros, y eso no supone un esfuerzo gigantesco, ni hace falta una gran organización para llevarlo a cabo. Una sola persona podría hacerlo perfectamente, con solo conseguir un usuario y una contraseña de alguien que esté dentro del sistema».

Los expertos en seguridad viven y trabajan en un mundo paralelo en el que las agresiones, grandes y pequeñas, son continuas. Y en la mayoría de los casos, además, es muy difícil saber quienes son los culpables. Para Dani Creus, analista de seguridad de Kaspersky, cada caso es diferente. «Durante este último año -afirma-, China y Estados Unidos se han enfrentado en muchas ocasiones».

Ahí queda, por ejemplo, la «operación Aurora» de 2009, un ataque chino contra los servidores de Google y que terminó con la salida del gigante informático de la nación asiática. O el caso de 2007 y 2008, cuando atacantes chinos se colaron en la red de satélites de los Estados Unidos para interceptar sus comunicaciones. En 2011, un programa de la TV china llegó a mostrar un software para llevar a cabo ciberataques, con una lista que incluía un ataque en curso contra una universidad norteamericana. Pero los americanos, por supuesto, tampoco son simples testigos en estos juegos de guerra. Basta recordar, por ejemplo, que EE.UU espiaba a los dignatarios del G7 y del G20, a la Santa Sede, a dirigentes de países aliados, incluso a Angela Merkel...

«Fíjese por ejemplo -recuerda Creus- en el caso Sony, que fue muy sonado y que resulta curioso porque USA lo atribuyó enseguida a Corea del Norte. Los hackers accedieron, en diciembre de 2014, a más de cien terabytes de información reservada, difundieron películas y datos confidenciales de la compañía. ¿Pero cómo supieron los americanos que el ataque venía de Corea? Averiguar la procedencia de un ciberataque no es tan fácil. Algunos muestran ciertas peculiaridades en sus ataques que sugieren quién puede estar detrás, pero es muy difícil atribuir la autoría a algún gobierno concreto. El código malicioso no deja de ser software, y este es cada vez más sofisticado y difícil de detectar. Solo más tarde Estados Unidos reconoció que cuatro años antes ellos mismos habían accedido a las redes de Corea del Norte. Por eso lo sabían. Sería ingenuo pensar que algún gobierno esté renunciando hoy a los medios que brindan las redes digitales».

El peor incidente
«Sin duda -recuerda Chema Alonso- el incidente de guerra más impactante a día de hoy sigue siendo Stuxnet, llevado a cabo a medias por Estados Unidos e Israel contra las centrales nucleares de Irán. Stuxnet manipulaba los valores de los sensores, haciendo creer a los ingenieros iraníes que algo iba mal en las centrales, de forma que terminaban lanzando las medidas de protección y anulando su funcionamiento».

Por supuesto, ninguno de los incidentes que se producen está precedido por una declaración de guerra formal. Dani Creus piensa que la situación «se parece más a la guerra fría. No hay hostilidades declaradas, pero todo el mundo está combatiendo en el campo de batalla digital».

Cada país, además, suele actuar por su cuenta. De hecho, es difícil que se den colaboraciones, aunque a veces sucede. «La razón -explica Creus- es que, en cada ataque, los objetivos suelen ser muy específicos. No existen códigos éticos, ni regulación internacional. Cada uno hace la guerra por su cuenta y el que más recursos tiene más ventajas consigue. En este terreno, además, los países menos digitalizados son los más peligrosos, porque pueden atacar a otros, pero es más dificil atacarlos a ellos, que tienen menos sistemas vitales digitalizados».

No hay aún ninguna guerra declarada, pero podría haberla en cualquier momento. Sin necesidad de enviar un solo soldado, en la actualidad se pueden atacar infraestructuras críticas, como las redes eléctricas, o de suministro de agua, o de comunicaciones de cualquier país. Hoy, afirma Creus, «a una guerra convencional le precede siempre una guerra informática. Antes de enviar a las tropas se obtienes información, se boicotea, se hacen sabotajes de sistemas críticos... Los militares lo llaman el quinto dominio, un nuevo campo de batalla además de la tierra, el mar, el aire y el espacio».
España, naturalmente, tampoco escapa a esta situación. Aunque aquí, lo más corriente no son los ciberataques de corte político, sino económico. «En España -asegura Chema Alonso- hubo 70.000 incidentes de seguridad el año pasado, según dijo el propio ministro Margallo. Es decir, que los ataques son continuos. Pero la mayor parte de ellos fueron para robar dinero. De corte político no hay muchos. En ese campo, lo que tenemos son más bien ataques "hacktivistas", de grupos ideológicos concretos y dirigidos contra partidos políticos, o contra la escolta del Rey... pero creo que en nuestro país no podemos hablar de una ciberguerra pura y dura».

Muchos ataques a empresas
Creus también parece estar de acuerdo en este punto. «Aquí hay muchos ataques a empresas -afirma el experto de Kaspersky-, a menudo para lograr ventajas competitivas. Trabajamos en casos de los que no podemos decir mucho... Y también hemos descubierto campañas de espionaje hechas por hispano parlantes contra Marruecos y diversos objetivos en Oriente Medio».

En España hay un mando de Ciberdefensa en el Ejército, y diversas instituciones, como INCIBE (Instituto Nacional de Ciberseguridad), que trabajan en la defensa contra ataques informáticos. También se llevan a cabo cibermaniobras con países aliados de la OTAN. «Todo el mundo publicita que está desarrollando defensas, pero nadie admite que también está desarrollando una capacidad ofensiva. Son, en ambos casos, medidas muy caras en términos económicos. Requieren de mucha inversión».

¿Y qué pueden hacer ante esta situación los simples ciudadanos de a pie? Chema Alonso lo tiene claro: «tener conciencia de que en una organización cualquier persona puede ser el punto de entrada para una organización criminal. Con solo un mail mal procesado ya puedes haber abierto las puertas al enemigo. Pen drives, wifis, correos... todo cuenta, y la amenaza puede llegar en cualquier momento y desde cualquier parte».

Creus, por su parte, cree que la opinión pública no tiene aún muy claro qué es eso de la ciberguerra. «Estamos empezando a asimilar el cibercrimen -afirma-, que nos afecta al bolsillo, pero vemos la ciberguerra como si fuera una película, algo ajeno a nosotros. Nada más lejos, sin embargo, de la realidad. La ciberguerra existe, ocurre, y seguirá ocurriendo».

  Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ella fue encontrada  en una reunión internacional donde todas nuestras oficinas de todo el mundo llegaron a la sede de Palo Alto de nuestra empresa. Estábamos allí para ser entrenados en la nueva campaña de marketing en la competitividad y la marca. Ella había viajado desde Alemania, el día anterior, y no decía mucho.

Todos tuvimos nuestros portátiles abiertos, la nueva página web iba a ser una gran parte de la nueva identidad de la marca y cada país tenía que mantener su propio pedazo de localización. Ella escribe constantemente. No era extraño, porque muchos otros escriben notas de la presentación, pero ¿por qué? ella escribió con prontitud  al estar completamente enfocada en  su pantalla. Pero, ella estaba prestando atención a la presentación.

En algún momento, el vicepresidente de marketing global que lideraba este entrenamiento, dijo que este cambio sería una sorpresa en el panorama de la industria y de nuestro principal competidor, que también era una potencia internacional con sede en Silicon Valley, serían atrapados desprevenidos. Fue entonces cuando ella levantó la mano y sin ser llamada adelante, declaró que el competidor ya sabía, "Ellos sabían desde hace al menos cuatro meses."

"¿Cómo sabes eso?", Preguntó el vicepresidente.

"Ellos tienen un nombre de dominio similar en su servidor DNS que fue registrado a escondidas bajo una administración diferente, hace 4 meses casi exactamente."

El VP parecía aturdido.

Luego nos separamos para tomar un café y yo estaba cerca de ella cuando el vicepresidente se acercó a ella. La conversación fue algo como esto:

"¿Los has hackeado a ellos?"

"No. La información se muestra públicamente. Se llama Opensource Intelligence Gathering. Sólo necesita saber cómo buscar ".

"¿Hay algo más?"

"Sí, ellos también están en el re-lanzamiento de su sitio web con características similares a las nuestras."

"¿Dónde?"

"Todavía no es público."

"Si esto no es público ...".

"Ellos usan una caché web a través de su proveedor de Internet, así que básicamente pedí que me envíe lo que tenía de ese dominio y lo hizo."

"Puedo ver esto?"

Ella lo llevó de vuelta a su computadora portátil y le mostró.

"¿Hay más?", Preguntó.

"Eso es todas las páginas que podía obtener de su nueva página web. Pero te puedo decir de la zona horaria en la que están desarrollando es de Reino Unido y esa fue la última actualización de esta mañana ".

"No teníamos ni idea. ¿Puedes decirme lo cerca que viven para investigarlos? "

"Esa es la cosa. Miré el nombre que utilizan para registrar los dominios y es una nueva compañía que fundaron hace unos 6 meses para hacer todo esto delante de tus narices. La dirección es justo al lado de su cuartel general. En los mapas de Google se puede ver que es casi justo encima de ellos ".

El VP se sentó mientras tecleaba rápidamente en una pantalla en negro.

"Aquí he buscado el rango de IP y dirección de correo electrónico, propiedad de la nueva compañía," dijo ella. "Me encontré algunas listas de correo publicadas."

"Para qué?"

"Algunos desarrolladores las tienen sin orden, pero cuando miré los encabezados, vi que están usando un esquema de números para sus equipos internos. Eso se apega a los correos que envían para mostrar de dónde vino. Éste dice msworkstation09 y las otras dos terminan en 74 y 257. Así que sabemos que podrían tener al menos 257 empleados para dar una idea de la magnitud de este esfuerzo ".

"Y fue justo debajo de nuestra nariz."

"Ellos han estado en esto que casi desde el primer día."

"Así que tenemos una fuga", el vicepresidente declaró.

"Tal vez no. Acabo de mirar y que están haciendo los mismos errores tontos. Pueden ver lo que estás haciendo con lo mismo que yo puedo verlos. Así que ellos probablemente sólo te observan".

"Así que estamos en la pantalla? ¿Podemos arreglar eso? "

"Más o menos. Dado que alguna de esta información tiene que ser pública, realmente no se puede proteger. Pero usted puede ocultarlo mucho mejor, así es difícil para ellos recogerla. "

Dio un paso atrás y la miró con curiosidad. "Entonces, ¿cómo acabaste en marketing de todos modos?"

"Necesitaba un trabajo."

Más tarde esa noche, durante la cena, ella nos explicó a nosotros en mayor detalle. Necesitaba un trabajo rápidamente para pagar las facturas después de haber sida reducida su última empresa. Así que ella hackeo su medio en el trabajo con la ingeniería social. Ella explicó que ella investigó varios jefes de departamento de los que se contrata y les miró.

Ella investigó  de sus gustos y disgustos. Ella levantó la vista de sus amigos y familiares. Entonces ella hizo a mano  curriculum que la hacía más como ellos y golpear la mayoría de las palabras clave asociadas con la posición. Estaba claro que ella no mintió acerca de la educación, experiencia laboral, habilidades que ella puso allí.

Ella envió diez hojas de vida de esa manera, directamente al de e-mail de cada gerente y consiguió entrevistas. Dentro de una semana tenía una devolución de llamada desde los diez y seleccionó el que tiene el salario más alto.

Pero ese no era Marketing. Hubo un error en el sistema. Tal vez fue porque el sistema de recursos humanos no podía manejar tantos empleos de la misma persona. Tal vez alguna secretaria se confundió.

Así que debido a un error informático, ella terminó en Marketing. Ella pasó a llevar una unidad de inteligencia competitiva para el departamento de marketing de Alemania y después de un año, una oficina en Palo Alto también. Resultó ser el accidente más afortunado que la compañía podría haber hecho.

Esta es una historia verdadera, razón por la cual los nombres se han omitido. Por lo tanto, debe hacer que te preguntes si su organización es segura contra la inteligencia de fuente abierta (Open-source intelligence). Hazlo con OSSTMM. Es el Open Source Security Testing Methodology Manual, es la lista de comprobación de seguridad y privacidad más completa que existe. Compruebe si hay fugas de privacidad  hacia la Web, redes inalámbricas, redes, personas, edificios, documentos, Gadgets y Móviles.

Las opiniones expresadas en los artículos 'este y otros contribuyentes son únicamente las del autor y no reflejan necesariamente el parecer de Norse Corporation.



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las contraseñas han sido siempre objeto de debate. Se trata de un método de seguridad que, con el paso del tiempo y la expansión de internet, ha demostrado ser insuficiente para proteger datos más sensibles como las cuentas bancarias o incluso nuestras cuentas de correo y redes sociales –que cada vez almacenan más información sensible sobre nosotros–. Muchos han intentado matarla, pero nadie ha conseguido hacerlo definitivamente.

Ante esta disyuntiva, un grupo de ingenieros integrantes de la empresa Intelligent Environments ha decidido plantear el problema de una forma diferente. En lugar de matar la contraseña como la gran mayoría pretenden, ¿qué tal si la reinventamos y mejoramos? Eso es lo que han logrado con las contraseñas con emojis.


Las contraseñas con emojis solventan dos problemas de las clásicas contraseñas alfanuméricas:

Son más fáciles de recordar. Gracias al toque "amigable" y cercano que proporcionan los emojis, no tendremos que recordar combinaciones de números y letras que, en realidad, no significan nada. Bastará con recordar emojis que pueden representar sentimientos de un momento determinado. Por ejemplo: el día de mi graduación universitaria me sentí triste, alegre, pletórico y bailarín. Esos cuatro estados de ánimo son fácilmente representables con emojis. Y, obviamente, son mucho más fáciles de recordar que las combinaciones alfanuméricas.

Son más seguras. Un código PIN al uso ofrece 7.290 combinaciones distintas. Una contraseña basada en emojis permite 3.498.308 combinaciones diferentes. Esto hace que adivinar la contraseña mediante algoritmos matemáticos sea mucho más complejo de lo habitual.

Pero no todo es color de rosa con esta invención. Al ofrecer más combinaciones, la introducción de la contraseña se vuelve más compleja. Una contraseña alfanumérica cuenta con 62 opciones para cada dígito (letras alfanuméricas en mayúscula y minúscula más los números del 0 al 9). Emojis hay más. Muchos más. Por lo tanto, podremos pasar horas y horas haciendo scroll entre nuestra lista de emojis para introducir nuestra contraseña.

Así pues, esta solución solo sería válida como segundo método de autenticación. Imagina tener que introducir cuatro emojis cada vez que quieras desbloquear tu smartphone. Ahora compáralo con la sencillez de un patrón de bloqueo o el uso de tu huella dactilar. ¿Cuál es más rápido? Está claro que las contraseñas con emojis, tal y como están planteadas actualmente, saldrían perdiendo. Por lo tanto, aunque suponen un claro avance en varios aspectos, las contraseñas con emojis siguen sin ser la solución definitiva y quedan solo como algo curioso y llamativo. Al menos por el momento.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

TAL VEZ UNA DE NUESTRAS RESPONSABILIDADES COMO USUARIOS DE INTERNET SEA IMAGINAR FORMAS DE BURLAR LOS RAPACES ALGORITMOS DE LAS COMPAÑÍAS QUE ANALIZAN NUESTRA DATA.

POR: JAVIER BARROS DEL VILLAR - 03/10/2013 A LAS 03:10:01


Tras años de interactuar con múltiples plataformas digitales, en un intercambio que tiene como principal activo el legado de información por parte de los usuarios a cambio de diversos servicios, se ha consolidado una inimaginable cantidad de data. Ya sea para participar en una red social, enviar correos electrónicos, adquirir libros o comentar alguna nota en cierto blog, en muchos casos lo 'único' que se nos ha requerido –recordemos que muchos de estos servicios son gratuitos–, es introducir ciertos datos.

Lo que en algún momento parecía una generosa dinámica para nosotros, los usuarios, en la que de pronto accedíamos a maravillosas posibilidades a cambio de 'nada', eventualmente se fue revelando como un modelo con espectacular potencial para ser comercializado: la obtención de información detallada de millones de personas que, en síntesis, damos vida al 'mercado'.

Por medio del diseño de cada vez más complejos algoritmos, compañías han desarrollado rutas de procesamiento de data, gracias a lo cual descubren o definen perfiles puntuales de consumidores –lo cual no solo les permite segmentarnos con inédita precisión, en segmentos detallados, también son capaces, incluso, de predecir con alto grado de efectividad, nuestras conductas.

Como ejemplo de esta 'pre-cognición' marketingera, podríamos citar la posibilidad de que, tomando el banco de términos empleados en tu historial de Twitter, un algoritmo podría tuitear por ti, replicando con sorprendente fidelidad tu identidad semántica. Otro caso mucho más básico, es el algoritmo que utiliza Google para insertar anuncios 'relevantes', asociados a palabras clave incluidas en tu correspondencia digital, dentro de Gmail. También se han dado muestras de esta habilidad dentro de contextos científicos –que seguramente serán adquiridos en un futuro cercano por la industria del Big Data. Aquí tenemos el ejemplo de un método para predecir tu ubicación futura, partiendo de la actividad que realizas en tu teléfono móvil, rastreada mediante GPS, y tu actividad en la Red. El algoritmo creado por Chaoming Song raramente baja de 80% de efectividad.

Confundiendo al Big Data

Más allá de la polémica alrededor de estas prácticas comerciales, a mi juicio cuestionables, o de las extraña sensación que nos genere el sabernos 'observados' y procesados, creo que imaginar maneras de confundir a estos algoritmos, o al menos jugar con la posibilidad, debiera ser una especie de obligación, tanto ética como lúdica, de los usuarios. Y para esto se me ocurre un recurso básico, pero potencialmente efectivo: recurrir, periódicamente, a conductas absurdas, que poco tengan que ver con nuestra identidad.

En un plano estrictamente digital, esta actividad generaría bits de data que, ajenos a nuestros hábitos culturales y gustos, serían incorporados a nuestro perfil informativo, restando precisión a los algoritmos que se ocupan de ubicarnos en un determinado segmento del mercado. Lo anterior obligaría a los analistas a sofisticar sus herramientas de monitoreo y procesamiento, pero quiero pensar que, con un poco de creatividad, podríamos siempre estar un paso delante de ellos.

Pasando a un plano de existencia off-line, el ejercicio  podría aportarnos distintas bondades terapéuticas. Al obligarnos a pensar fuera de nuestra propia caja, para imaginar comportamientos que realmente rompan con la personalidad que nos hemos auto-asignado, estaríamos eludiendo nuestro guión identitario, algo que psicológicamente resulta, a mi juicio, en algo particularmente saludable.

En fin, ojalá que Pablito Ruiz lea esta nota, pues no puedo esperar a leer el próximo libro de Paulo Coelho; todo parece indicar que los próximos juegos de la NFL serán memorables, y nada me emociona más que imaginar a Paulina Rubio en Starbucks, paseando a un gato siamés que come pollo frito y bebe Red Bull –no olvidemos que el mundo es en sí un paraíso de cross fit y pilates, con una brújula confeccionada por Versace y algoritmos de cheez-whiz musicalizados por Cut Copy .


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Alibaba Group Holding, Ltd. presentará su plataforma de streaming de vídeo en China en unos dos meses con el objetivo de replicar el éxito de la estadounidense Netflix, Inc. tal y como han afirmado este domingo 14 de junio.

'TBO', Tmall Box Office, será el nombre del servicio. El contenido llegará a China y otros países, incluyendo producciones propias como está haciendo Netflix. Así lo confirmó Patrick Liu de Alibaba a la prensa en Shanghai.

TBO se presentará en un mercado de servicios online muy competitivo en China, donde las compañías invierten miles de millones para hacerse con los derechos de contenido lo suficientemente atractivo para los usuarios, haciéndoles elegir su propia plataforma. Hay competidores grandes, con ofertas de empresas como Baidu, Inc., Tencent o Sohu.

"Nuestro objetivo, el objetivo de todo el grupo Alibaba, es redefinir el ocio en el hogar," declaro Liu. "Nuestra misión es convertirnos en el HBO de los Estados Unidos, ser como Netflix en los Estados Unidos."

Alibaba no aclaró cómo afectará a su nueva plataforma la inversión en Youku Tudou, de la cual compró un 16.5% de las acciones de la compañía. Lo que sí sabemos, a través de sus declaraciones, es que TBO tendrá un 90% de contenido de pago, mediante suscripción mensual como Netflix, o pagando por show como Wuaki. El 10% restante será completamente gratis según Liu.

Hemos de tener en cuenta que Netflix lleva tiempo considerando su entrada en China. Un país donde se adopta muy rápidamente los servicios y nuevas tecnologías, y cuya cuota de usuarios puede convertirse en un grandísimo flujo de usuarios, ingresos y crecimiento. Quedará saber cómo de fácil o difícil será su penetración allí, tanto por el perfil de usuario como las posibles restricciones gubernamentales.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como protesta por la votaciones intermedias Anonymous hackeó la página de la Cámara de Diputados, filtrando de paso una serie de contratos millonarios.

El grupo Hacktivistas de Anonymous también tuvo su momento de participación durante las votaciones intermedias de este 7 de junio en México, realizando un hackeo en sitio web oficial de la Cámara de Diputados y publicando de paso una serie de contratos realizados por el Congreso, ventilando con ello la transparencia de las finanzas de dicha entidad.

Según reportes de Proceso, el colectivo de ciberactivistas habría realizado este movimiento como una forma de protesta ante las elecciones, realizadas en un panorama de incertidumbre social, inseguridad e inestabilidad política a raíz de los diversos incidentes acontecidos durante la administración del actual Presidente de la República Enrique Peña Nieto, como el caso Ayotzinapa.



Fue el mensaje subido sobre el subdominio del índice de comisiones de la Cámara de Diputados, habilitando en él un enlace a una extensa base de datos, en donde era posible consultar diversos contratos millonarios realizados por la entidad entre los años 2005 y 2010, en donde es posible encontrar un amplío número de compañías reconocidas de diversos ramos, desde Microsoft hasta TV Azteca.

El ataque fue autoadjudicado desde la cuenta de Twitter de @Mexicanh, y en esta misma han ido liberando datos sobre los contratos filtrados. Luego de un relativo periodo de silencio Anonymous se muestra activo, aunque el sitio de la Cámara de Diputados ya ha vuelto a la normalidad a estas alturas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para evitar que los usuarios elijan contraseñas débiles o fáciles de adivinar, Dropbox utiliza una extensa lista de palabras prohibidas. Esto ha sido descubierto por el investigador Jerod Brennen por la aplicación Dropbox  app para móviles, al extraer a través del programa 7-Zip. Ambos archivos APK de Android y iOS IPA son realmente sólo archivos zip.



En la app hay un archivo llamado pw.html, desde lo que parecía ser 52 líneas de JavaScript.

El script tiene como objetivo evitar que los usuarios de Dropbox elijan contraseñas débiles cuando se crea una cuenta a través de la aplicación móvil. El script usa una línea con 85 100 palabras prohibidas que no pueden ser elegidas como contraseña.

Estas son son algunas de las palabras:

• password
• computer
• QWERTY
• 123456
• 696969
• 111111

También es notable la gran cantidad de palabras obscenas que no deja ser seleccionadas como contraseña.

Según ha Brennen en la lista en línea ha puesto, los profesionales de seguridad pueden añadir la palabra a sus propias listas y herramientas.

Ejemplos:

Citarpassword

123456

12345678

1234

qwerty

12345

Lista completa 85.100 palabras consideradas inseguras por DropBox:

• No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Es increíble lo que se puede aprender sobre una aplicación móvil mediante una simple utilidad zip y un editor de texto.

Como alguien que ha pasado años trabajando en el espacio de seguridad de aplicaciones móviles, una de las dos herramientas favoritas de Windows son 7-zip y Notepad ++. ¿Por qué? Debido a que  cada .ipa descargado desde iTunes y cada archivo .apk descargado desde Google Play es sólo un archivo comprimido zip con otro nombre.

Al descomprimir una de estas aplicaciones y comenzar a examinar el contenido con el editor de texto, puedes aprender mucho acerca de cómo la aplicación se ha hecho, incluyendo algunos de los trucos de seguridad utilizados por los desarrolladores.

Por ejemplo la aplicación Dropbox:

En el archivo zip Dropbox app /, encontrará una carpeta de activos con nombre. En la carpeta de activos, encontrarás una subcarpeta denominada js (¿JavaScript?), Y en esa carpeta encontrarás un solo archivo llamado pw.html.

Si has trabajado en infosec durante más de 3 minutos, esas dos letras (PW) deben dar lugar al instante una palabra en su mente: contraseña.

Si abre el archivo HTML, usted encontrará un elegante poco de JavaScript que es todo de 52 líneas largas. El propósito de ese guión? Para asegurarse de que los usuarios de Dropbox que están registrando sus cuentas desde dentro de la aplicación móvil de elegir una contraseña segura.


(En serio, quiero dar mi apoyo Dropbox para hacer cumplir este control. He usado aplicaciones móviles y web que permiten contraseñas de un solo carácter, que es un flagrante desprecio por la seguridad de los usuarios y de los datos que puedan almacenar en el app.)

Tengo el presentimiento de que Dropbox puede haber comenzado a prestar un poco más de atención a la aplicación de seguridad de la contraseña después de su incidente de seguridad 2014. Cualquiera sea la razón, me alegro de verlos hacerlo.

Lo de este pequeño archivo HTML que me fascina es que una línea de su guión contiene 85.100 palabras que sus usuarios de aplicaciones móviles están prohibidos desde la selección como una contraseña, incluso si estas palabras se reúnen los requisitos de complejidad de contraseña de Dropbox.

De todas las listas de palabras en todas las aplicaciones en todas las tiendas de aplicaciones en toda la palabra, esta lista aparece en el suyo.


Además de esta lista, Dropbox también utiliza No tienes permitido ver los links. Registrarse o Entrar a mi cuenta(un nombre que no dice mucho), un proyecto Open Source para calcular la fortaleza de las contraseñas.


+ No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuente:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un nuevo documento filtrado por Edward Snowden revela los ambiciosos planes que la NSA tenía para tener una forma más de espiar y monitorizar a todos los usuarios de la plataforma Android: lograr acceso a la tienda de aplicaciones Google Play (en aquella época, "Android Market") para modificarla y así conseguir tener una puerta trasera para acceder a estos dispositivos.

El proyecto fue lanzado por una unidad denominada Network Tradecraft Advancement Team, que incluía a espías de cada uno de los países en la alianza llamada "Five Eyes". A ella pertenecían Estados Unidos, Canadá, Reino Unido, Nueva Zelanda y Australia. Las técnicas para tratar de infiltrarse en Google Play y en la tienda de aplicaciones de Samsung fueron ideadas entre noviembre de 2011 y febrero de 2012.

En esas reuniones se buscaban nuevas formas de aprovechar la tecnología presente en los dispositivos móviles para labores de espionaje, y utilizaron el programa XKEYSCORE para identificar el tráfico de smartphones que se conectaban a las tiendas de aplicaciones de Samsung y Google. El programa para modificar el acceso a esas tiendas se denominó IRRITANT HORN (en alusión a las famosas vuvucelas del Mundial de Sudáfrica), y tenía como objetivo ofrecer la capacidad de implantar código que permitiera luego recolectar datos de los teléfonos afectados sin que los usuarios lo supieran.


UC Browser, otro de los afectados

En estos ataques man-in-the-middle permitiría a los hackers de estas agencias situarse entre las tiendas de aplicaciones y los dispositivos de los usuarios, para luego modificar los paquetes de datos que se transferían insertando el código necesario durante esa transferencia y situando ese código malicioso sin que ni las tiendas de aplicaciones ni los usuarios pudieran darse cuenta.

Otro de los objetivos consistía en poder difundir propaganda o confundir a potenciales adversarios, algo que preocupaba a los responsables de estas agencias a la hora de tratar de evitar otra "Primavera Árabe". El interés por diversos países africanos como Senegal, Sudán o el Congo se sumaba a los potenciales ataques a tiendas de aplicaciones en países como Francia, Cuba, Marruecos, Suiza, Holanda o Rusia.

Ese programa también logró descubrir vulnerabilidades en el navegador UC Browser, que aunque en países occidentales es menos conocido se usa de forma masiva en Asia. Según otro documento filtrado, este navegador permitía obtener mucha información de los usuarios de los teléfonos en los que estaba instalado, y por lo que parece fue vital para el descubrimiento de las operaciones de una unidad militar extranjera que estaba planificando diversas operaciones en países occidentales.

El navegador ha sido actualizado y esa vulnerabilidad ya no existe, pero desde Citizen Lab -un grupo de investigación de la Universidad de Toronto- advertían que en lugar de avisar de esa vulnerabilidad, las agencias de inteligencia "la convierten en un arma". Todos estos datos vuelven a poner de manifiesto la ambición de los programas de espionaje de la NSA y de las agencias de inteligencia de otros países que se aliaron en ese esfuerzo -parece que cada vez hay más implicados- en un escándalo que no deja de ofrecer más y más datos preocupantes.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Kali Linux ha lanzado su contenedor Docker oficial basado en la versión Kali Linux 1.1.0a

Pero qué es Docker?
Docker es una plataforma de código abierto para desarrolladores y administradores de sistemas, para la construcción de un entorno seguro (contenedores) para probar aplicaciones o sistemas de una manera distribuida,  con la tecnología Docker podremos crear una virtualización ligera con todas las aplicaciones y configuraciones del sistema para "empaquetarlo" y desplegarlo en cualquier otro sistema compatible con este tipo de tecnología compatible con la comodidad de introducir algunos comandos.

Las características principales de estos contenedores son la portabilidad, la ligereza y la autosuficiencia:

Portabilidad
Los contenedores Docker podremos desplegarlos en cualquier otro sistema (con soporte de esta tecnología), por lo que ahorraremos tiempo al instalar las aplicaciones usuales en un nuevo entorno.

Ligereza
Una gran ventaja es el peso de este sistema, el cual se reduce drasticamente, un ejemplo un poco "grosero" al virtualizar con Virtual Box un Ubuntu con Apache y alguna que otra aplicación web pesaría alrededor de 2 GB, en un contenedor Docker pesaría unos 200 Mb, ahora la pregunta más valiosa ¿Por qué?.

Máquina Virtual
La gran diferencia es sobre todo el peso y la portablidad, las MV incluyen al Sistema Operativo más las librerías y aplicaciones.

Docker
Los contenedores consisten en una copia de las configuraciones, libreríasy aplicaciones por lo cual ahorramos todo el peso del Sistema Operativo

Autosuficiencia.
Contenedor como ya lo explicamos no contiene todo un sistema completo, sino únicamente aquellas librerías, archivos y configuraciones necesarias para desplegar las funcionalidades que contenga. Asimismo Docker se encarga de la gestión del contenedor y de las aplicaciones que contenga.

Como se podrán dar cuenta tienen grandes ventajas, aquí una imagen de como se vería Kali Linux

Espero que se despierte la curiosidad por esta nueva tecnología, aquí dejo algunos links de interés.
Link Oficial de Docker Kali Linux: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Script para crear una imagen personalizada de Kali: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Guía de Usuario Docker: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

@KEANbs
Fuentes: World Wide Web

Hola,
Hoy les dejo un tutorial de un amigo, al cual le he pedido permiso de postear su tutorial, espero les sirva para seguir aprendiendo.


Maikel: "no hay problema, me alegra que alguien aprenda de mi."

Hola, a todos quiero compartirles una galería de unas cuantas firmas que he hecho, no soy diseñador gráfico y algunas de estas son de hace varios años, espero les guste.

Hola, hace poco me encontre con información del adaptador USB Teensy No tienes permitido ver los links. Registrarse o Entrar a mi cuenta pero lo que me pareció curioso es que lo vendían para hacerle Brute Force a al código de bloqueo de Icloud, lo único es que solo sirve para MacBook Pro, MacBook Air iMac, Mac Mini. Bueno quería contarles sobre eso ya que me llamó la atención, aquí algunas características del adaptador.

Características:

• Procesador: 32 bit ARM Cortex-M4 72 MHz CPU (MK20DX256VLH7)
  
• Memoria: 256K, 64K RAM, 2K EEPROM
  
  • 14 pines analógicos de alta resolución (13 bits usables y 16 bit en hardware)
    
  • 34 pines digitales I/O (10 son compartidos con los analógicos)
    
    • DMA de 16 canales
      
    • 12 salidas PWM
      
      • 7 temporizadores (Timers)
        
      • DMA dedicado para USB
        
        • 3 puertos UARTs (série)
          
        • Protocolos soportados: SPI, I2C, I2S, modulador IR
          
          • I2S (para interfaz de audio de alta calidad)
            
          • Soporta RTC añadiendo un cristal de 32.768 KHz y batería externa
            
            • 4 canales DMA para uso general (separados del USB)
              
            • Dimensiones: 35x18 mm
              
              • Entradas táctiles!

Hola,

Tenía mucho tiempo sin tocar el Pothoshop y hoy al registrarme decidí crear una nueva imagen y esto es lo que ha salido.

Avatar:


Firma:


Criticas o sugerencias serán bien recibidas.

Hola,

Vengo a aprender y a colaborar en todo lo posible, llevo tiempo leyéndolos y hoy me anime a registrarme. Algo sobre mi? soy estudiante de Ing. Informática y me gusta mucho el área de seguridad y creo que es todo. 

Un saludo