Entre la versión gratutita de VirtualBox y lo que era VMware Player, me quedo con VirtualBox, que cuanta con más funcionalidades. En algunos aspectos creo que VMware Workstation supera a VirtualBox, pero no soy muy fan de cracks, keygens y similares y el precio me parece excesivo.

Últimamente lo que estoy usando es Qemu sobre KVM, y estoy bastante contento en cuanto a rendimiento y posibilidades de configuración la verdad. Lo uso más como virtualizador que como emulador de maquinas, la verdad xD.

Dejo por aquí un link por si alguien quiere más info:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Buenas gente!

Llevo unos días dándole vueltas a la forma que tenemos de aprender/enseñar informática con internet y terminé pensando que la mayoría de las veces le damos un mal enfoque. Me explico: muchas veces tratamos de transmitir/aprender toda una serie de conocimientos prácticos de una manera teórica. Con esto no quiero decir que la teoría no sea importante, ni mucho menos, me parece fundamental. Pero creo que tiene que ir acompañada de una parte de practica que en la mayoría de ocasiones dejamos de lado. Por otro lado, muchas veces no le prestamos la suficiente atención a algo que me parece fundamental, aprender a buscar información por nosotros mismos. Muchas veces nos encontramos ante la situación de no saber realizar determinada tarea, pero contamos con un gran aliado: Internet!

Ante esto lo que se me ocurrió fue la creación de algo así como un "Entrenamiento Underc0de" en el que semanalmente (por poner un ejemplo) se realice una pequeña explicación teórica de algo, y ya proponga un pequeño escenario para practicar, pero sin explicar cómo hacerlo. Por poner un ejemplo, instalar un Windows Server, y añadir usuarios elementos al Directorio Activo. O explicar iptables y un montar un pequeño escenario en PacketTracer donde puedas llegar a determinados sitios pero a otros no. En el post se podrían preguntar dudas, y se trataría de dar orientación, pero no se diría: tienes que poner tal comando. Como digo, creo que una de las partes importantes es aprender a buscar.

Como veis no son cosas directamente relacionadas con la seguridad, pero por las preguntas que muchas veces leo en el foro creo que faltan muchos de estos conocimientos, y me incluyo en el grupo eh! xD. Creo que es importante hacer hincapié en esto, si lanzas "Slow, comprehensive scan" pero no sabes que es un ACK no estás aprendiendo nada. Para mi de lo que se trata es de saber como funcionan las cosas, y desde ahí poder hacer lo que queramos.

Soy consciente de que existen CTF y muchos elementos prácticos, pero esto iría más relacionado con "Conocimientos necesarios para empezar en la seguridad informática"

Bueno, después de toda la chapa, las dudas. Me gustaría saber que os parece, opiniones críticas, porque me faltan cosas por pensar. Tengo muchas dudas al respecto y me parece que lo mejor para solucionarlas es someter el tema a debate público. No se por ejemplo si escenarios separados o que fueran incrementando dificultad, o mezcla, o como hacerlo atractivo, porque creo que suele resultar más llamativo un "Pincha aquí y hackea a tu vecina del 4º" que este tipo de iniciativas que requieren un trabajo mínimo para aprender. Pero es que estoy convencido de que es la única forma de aprender xD.

Creo que se me olvida algo, como siempre... pero como no recuerdo que... Saludos!

P.D. Espero que tenga más éxito que el grupo de lectura! 

+1 xyz, aunque normalemente no suele ser necesario cambiar la tarjeta de red y se debe a problemas de configuración.
Viendo que parecen preguntar bastante por este tipo de problemas quizá sería interesante una miniguia de resolución de problemas:
1º- ¿Está el gateway encendido?
2º- ¿Cual es el estado de la tarjeta?
3º- ¿Tienes asignada una dirección IP?
4- ¿Haces ping al gateway?
Ese plan pero más currado, claro xD Si tengo tiempo este finde le doy.

No tengo muy claro a que te refieres, quizá estás confundiendo VPN con VPS. Un VPS es un servidor privado virtual, que contratas para hacer lo que te venga en gana, mientras que una VPN es una red privada virtual, que entre otras cosas puedes utilizar para navegar de manera anónima. Puedes montar un servicio de VPN en un VPS con OpenVPN, pero si el VPS está pagado con una tarjeta de crédito o algún elemento que te pueda identificar no tiene mucho sentido. Si pudieras reformular la pregunta creo que podría responder mejor.
Saludos!

Para mi para solucionar problemas lo mejor siempre es acudir a la documentación oficial, al igual que si no tienes muy claro como hacer algo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para las versiones actuales de Kali sólo es necesario poner:

Citarapt-get update
apt-get install -y virtualbox-guest-x11
reboot

Todo lo del CD es para versiones antiguas. Otro punto que considero importante es ir despacio y leer las cosas. Si no recuerdo mal una vez que instalabas desde los repositorios, cuando querías instalar desde el CD te decía que al tenerlo instalado desde los repositorios ya podría dar problemas. Tenemos que salir de la dinámica de siguiente, siguiente, siguiente xD

Todo esto lo digo pensando en el escritorio estandar, con el escritorio XFCE creo recordar que daba problemas.

P.D. Siempre se aprende más instalando un Debian limpio (por ejemplo) y añadiéndole herramientas según sea necesario!

Dejo la noticia donde lo leí yo por primera vez, y que contiene el link a pastebin, por si alguien quiere descargarlo o verlo alli:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

También dejo un enlace de Mercè Molist sobre su supuesta detención. Es del 2 de Febrero. Por si alguien no tiene FB o no quiere entrar pongo también el texto.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

CitarHe estado hablando con Phineas Fisher en las últimas horas. Puedo confirmar que es él quien está mandando mails desde la dirección de siempre, en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Para comprobarlo le hice una pregunta sobre algo que sólo sabíamos él y yo. Y ha dado la respuesta correcta. Por otra parte, está usando la misma clave PGP de siempre así que, a no ser que le hayan cogido el disco duro, diría a ciencia cierta que es él.

Me escribe para corregirme, como no: las cuentas de Twitter y Reddit no las borró en diciembre porque sospechase de una operación policial en marcha, sino porque "no me fio de líderes, de personas importantes con poder social, y me di cuenta que me había convertido en uno de ellos. Si hago mas hackeos inventaré nombres y cuentas nuevas". Y acaba: "Estoy bien, no sé quienes han detenido los mossos".

Empecé a cartearme con Phineas Fisher en primavera de 2016. O, más bien, debería decir que me carteaba con alguien que decía ser Phineas Fisher porque, en el mundo de los hackers y sus apodos, en la oscuridad del ciberespacio, nunca sabes de verdad con quién estás hablando. Sólo un detalle le daba credibilidad: usaba la misma cuenta en Twitter, @gammagroupPR, que había usado el autor del ataque a Hacking Team, Phineas Fisher.

Respecto a la vida privada de Phineas, poco podría decir porque todo lo que contó puede ser mentira, afirmaciones incomprobables. Otra cosa seria conocer su pensamiento porque no se simulan tan fácilmente firmes convicciones político-sociales como las suyas. Las canciones (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) que formen la banda sonora del vídeo donde muestra cómo hackea el servidor del Sindicat de Mossos d'Esquadra (SME) son toda una bandera.

Un día, me dijo: "Te respeto por haber puesto en marcha los hackmeetings y por ser activista, pero me parece que has olvidado la política, junto con los hackers sobre los que escribes. Cuando crecen y consiguen un trabajo bien pagado, pierden la conciencia política. Por eso incluí en el vídeo de los Mossos la canción "Which side are you on?". Quieren mantener su imagen de hacker y rebelde, al mismo tiempo que tienen una vida estable y cómoda".

Cuando Phineas Fisher era más joven, decía, "admiraba a expropiadores como Lucio Urtubia, Enric Duran y Los Solidarios, no a guardias de seguridad de bancos. Ante este sistema, responsable de tanta miseria y destrucción, lo ético es atacarlo, no protegerlo". Y me criticaba: "Escribes sobre hackers de sombrero blanco y cibercriminales, poniendo etiquetas de "buenos" y "malos" sin cuestionar cómo de buenos son los buenos y cómo de malos son los malos".

¿Qué quieres decir con eso? le pregunté. "Quiero que veas que los criminales son personas. En la prensa hablan como si no tuviéramos sentimientos ni motivaciones. O, si tenemos motivaciones, el único es el dinero, diferente a los "whitehats", que no les interesa el dinero, sólo quieren salvar el mundo". Nótese la ironía.

Un día le pregunté: ¿Por qué atacaste a los Mossos?. Y me dijo: "Buscaba evidencias de que estaban espiando a activistas o algo así. En 5 minutos de buscar en Google "mossos" ya había encontrado la página del Sindicat y el error de SQL Injection". Entonces pensó que "en las bases de datos estaban los números de placa y esto permitía relacionarlos con los nombres de los policías, podía ser útil para periodistas que investigasen casos de abusos". Y, como según él "no quería perder más tiempo con esto, tenía otras cosas más interesantes por hacker", decidió "asaltar su cuenta en Twitter, filtrar la base de datos y hecho".

Pero el ir con prisas le hizo cometer un error: "No me dí cuenta de que en el archivo torrent donde puse todos los datos también había una base de datos de 4.200 estudiantes de la academia de policía online del SME". Le preocupaba este error porque "yo quería difundir la información por si alguien intentaba investigar a la policía de forma seria, no para que gente normal tuviese que sufrir bromas telefónicas o que alguien enviase una pizza a su casa". Circunstancia que, aseguraba, "si queremos ser honestos son los únicos peligros reales a los que se enfrentan los Mossos con esta filtración".

Mientras hablábamos pasaban las semanas y no paraba su frenética actividad hacktivista. Donó 10.000 dólares -que aseguraba haber "expropiado" a un banco- a los anticapitalistas kurdos de Rojava (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), publicitó la idea de formar un movimiento político hacktivista (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), propuesta que le valió el aplauso de la musa de Anonymous, Biella Coleman, y se dejó entrevistar ante las cámaras disfrazado de marioneta (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Le dije que no le dejaría ir sin entrevistarle y me preguntó qué quería saber. A boleo, le dije: ¿Qué opinas de la comunidad hacker?. Y respondió: "Honestamente, no me relaciono con otros hackers, para mi la cultura hacker son una panda de mamones, narcicistas, grandes egos, machistas y competitivos. Me identifico más con la ética punk Do It Yourself. Tiene todo lo bueno de la cultura hacker: DIY, usar "mal" de forma creativa cosas para que sirvan a propósitos diferentes, compartir conocimiento, zines, anti-autoritarismo, etc. Excepto que, a diferencia de los hackers, muchos punks a los que he conocido son realmente buena gente, generosos y con los pies en la tierra".

Phineas solía recomendarme libros. Me llamaron poderosamente la atención dos: "How non-violence protects the state" y "Smash Pacifism; A Critical Analysis of Gandhi and King". Y de vez en cuando me daba lecciones como esta: "Aquellos que sienten que necesitan dividir su movimiento en partes "buenas" y "malas" y condenan y aislan a los que se involucran en accionen más combativas e ilegales, pensando que esto les hará ganar el favor de sus opresores y salvarles de la represión, están equivocados, son perjudiciales y malinterpretan completamente movimientos sociales históricos tratando de justificarse a sí mismos".

P.D. A mi el tipo en general me cae simpático xD

Dejo un articulo que leí ayer sobre el tema de la centralización  y la censura, que viene muy a cuento y me pareció bastante interesante:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Muy interesante. Dejo el enlace a una charla relacionada:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No se si existen modelos de impresora que reconocen tarjetas inalámbricas directamente por USB, yo siempre lo he visto hacer con una Rpi la verdad. Te dejo enlace por si es de utilidad:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si no sabemos que cosas probaste y cuales no, resulta muy difícil ayudarte... ¿La imagen que metiste está bien? ¿Te detecta el USB pero no arranca o ni siquiera lo detecta? ¿Secure Boot?¿UEFI o Legacy?¿Como creaste el USB Booteable? Se me ocurre esto, pero vamos, que como comento las posibilidades son muchas, demasiadas xD

Buenas, dejo por aquí unos apuntes sobre fundamentos de programación, del profesor Luis Hernández Yáñez. Son de la UCM del año 2013-2014 y me pareció bastante interesante por la profundidad con la que trata algunos puntos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo!

Buenas, con -sP estás enviando un echo ICMP y un TCP al 80. Si no dispone de portal web en el 80, y tiene bloqueados los ping, no te aparecerá nada. Para escanear un rango distintos sólo tienes que cambiar la máscara, a /16 por ejemplo.
De todas formas me parece un poco raro, en el router deberías ver que direcciones de red estás otorgando por DHCP, y a no ser que le pusieras previamente una IP estática (ni idea de vdr, la verdad) o se la asignes por MAC, debería estar en el mismo rango que tu ordenador.
Cualquier cosa comenta, un saludo!

Diría que el fallo es que no tiene instalado ni dhcpd, ni hostapd, ni php-cgi. En principio instalandolos con apt-get te debería funcionar. hostapd no se si está en los repos, sólo lo instale en una rpi, pero si no está con clonar de github te debería funcionar.

P.D. Tira antes un dpkg -l para ver si lo tienes o un service status para ver si está corriendo.

Un saludo!

Buenas! El siguiente texto del grupo es sobre la historia de internet. El texto es un poco viejo...vale, bastante viejo, del ´92 para ser exactos xD. Pero no lo considero algo negativo, es una de las cuestiones por las que me parece interesante, nos hace un breve recorrido por el surgimiento de internet, y a la vez vemos como era en 1992. Solamente comentaros que he pensado que un texto por semana puede que sea mucho, posiblemente tardaré un poco más en poner el siguiente, y que esta vez hablaré sobre las ideas que veo importantes además de enumerarlas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Citar- Multitud de avances tecnológicos en momentos bélicos, posibles causas

Siempre me resultó interesante la cantidad de avances tecnológicos que se dan en periodos conflictivos. Si lo pensamos, muchas de la tecnología que hoy usamos a diario proviene de avances que se dieron durante la segunda guerra mundial, desde el fuerte desarrollo de la aviación al radar, por no hablar del salto de frecuencia, gracias Hedy Lamarr xD.

Para mi el motivo fundamental de esto fue la fuerte inversión publica. Era importante desarrollar tecnología antes que el bando enemigo, y para eso lo estados invirtieron mucho dinero. Me parece interesante también todo lo que fue la Operación Paperclip.

Citar- La importancia de la descentralización en los orígenes de Internet, ¿hacia que tipo de Internet vamos?

La verdad es que si internet fue creado para resistir un ataque nuclear o no, es algo que está en entredicho. Por mi parte me lo creo. Mientas que el texto nos sitúa en un internet descentralizado, tengo la sensación de que en la actualidad no lo es tanto. Mientras que si creo que el método de enrutamiento si continúa siéndolo, para los servicios la cosa cambió bastante. Creo que ahora estamos ante algo que podríamos llamar centralizado-distribuido. Me explico xD. Los servicios que comúnmente usamos, como el correo, suelen estar en manos de grandes compañias, léase Google por ejemplo. Si bien existen diversos servicios donde elegir (de ahí el distribuido) creo que pocas compañias mantienen y gestionan la mayoria de nuestros servicios. Poca gente se crea un mail propio, o mantiene sus propios servicios.

Citar- Parte social de ARPANET, de computación a distancia a listas de distribución. Importancia de lo social.

Esto me pareció muy gracioso. Creas una red para la computación a distancia y la gente se pone a charlar sobre ciencia ficción xD. En la actualidad parece que el ocio continúa siendo lo predominante, la mayor parte del trafico de internet es video.

Citar- Censura y control en internet

Bueno, parece que esta parte la ganaron las grandes compañias y los estados, esto es algo que ya nadie se plantea en la época post-snowden.

Para evitarlo para mi lo importante son dos cosas, servicios propios/distribuidos y cifrado. Hasta el año 2000 EEUU tenía fuertes normativas para la exportación de criptografía, y durante mucho años muchos avances en este área fueron bloqueados por agencias de inteligencia. 

Junto a esto, me parece fundamental el uso de servicios propios, como puede ser XMPP para mensajería, nubes privadas, editores de texto colaborativos, etc. Quizá sería interesante hacer una lista de todos los servicios que podemos mantener por nosotros mismos...

Citar- Evolución, hacia la conectividad permanente.

Una imagen vale más que mil palabras:



Parece que ya estamos permanentemente conectados, es lo que tienen los móviles. Pero en un escenario de IoT, ¿Cómo imagináis el internet del futuro?

Un saludo!

Gracias a ti por el articulo ^^. Es una pena que casi todo lo que desarrollamos continué siendo de forma insegura :S

Lo de los marcapasos ya tiene un tiempo, pero parece que no se ha continuado avanzando mucho, por lo que pueda pasar. Lo de fácilmente, pues bueno los medios ya sabéis xD No se si conocéis lo que le pasó a Barnaby Jack, dejo noticia aunque es vieja.


A unos días de presentarse en la conferencia Black Hat, Barnaby Jack es encontrado muerto en su apartamento de San Francisco

Barnaby Jack, el hacker que sabía cómo tomar control de los marcapasos, ha muerto hoy en San Francisco y se ha llevado a la tumba el secreto. Barnaby tenía planeado presentarse en la convención de hackers Black Hat la próxima semana donde contaría cómo acceder a estos implantes, sin embargo la muerte lo encontró antes.

Hace más de un año Barnaby, empleado en ese tiempo de McAfee, realizó un experimento en donde tomó control de una bomba de insulina utilizando una antena a cien metros de distancia. Algunos modelos de estas bombas, así como los marcapasos y otros implantes físicos vienen con conectividad inalámbrica que permitiría que hackers tomaran el control para detenerlos o afectar su funcionamiento.

Barnaby se volvió famoso cuando mostró cómo hackear cajeros automáticos (ATM) en la conferencia Black Hat de 2010. Luego de dos años de ausencia tomaría de nuevo el escenario en donde mostraría una vulnerabilidad que encontró en marcapasos y desfibriladores que permitirían hackearlos por medio de su sistema de comunicación inalámbrica.

El hacker fue encontrado sin vida la tarde de ayer en su apartamento de Nob Hill. La policía desconoce las causas del deceso e indicó que se sabrá hasta dentro de un mes luego que se le practique la autopsia.

Fuente:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En la rootedcon los autores hablaron sobre el tema:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vale, entonces sí captura paquetes, que era lo que no terminaba de cuadrarme.

Al ser algo tan especifico no he visto nada, la verdad. Al ser basado y compatible con PHP siempre puedes aprender con PHP y luego ir mirando las diferencias.
Un saludo!

CitarNo Amigo mira. Intercepter no funciona como Aircrack, no captura paquetes. Funciona una vez que te conectas a la red publica o privada de WiFi. Y ahi sniffea todos los equipos conectados a esa red WiFi. Cualquier otra duda consultame xD.
Saludos Rootkit_Pentester.

No tengo mucha idea sobre 802.11, pero no entiendo muy bien como funciona. Veo que tiene el logo de Wireshark, y si es un sniffer, tiene que capturar paquetes, que es lo que hacen los sniffers xD. Y si la tarjeta no está en modo promiscuo, todo el trafico que no está dirigido a nuestra maquina se descarta. Lo único que veo es ARP Poison.