Buenas gente, hoy leyendo por twitter y tal me he topado con un post de un tio al que yo sigo y es bastante interesante, el tio habla de como aprovechando ciertos recursos puede cambiar el precio de la gasolinar y acceder al dispositivo.

Os hago lo dejo tal cual espero que disfruteis de la lectura como yo lo he hecho

Cito (copio) literalmente:

"""Estimados amigos de Inseguros !!!

Estamos a fin de mes, o a principios, da igual. El pasar por la gasolinera a llenar el depósito es algo que tenemos que hacer cada cierto tiempo, al menos si como yo, eres un esclavo de la comodidad del coche.

Siempre andamos cabreados con las subidas, e incluso cuando baja el precio !!! ya que siempre consideramos poca la bajada.

Lo suyo sería poder cambiar el precio de la gasolina, en esta episodio vamos a aprender a hacerlo.


Tengo que decir que durante el artículo NO voy a dar ningún detalle que te permita reproducir o usar el contenido para tu provecho. Yo no lo he hecho, como siempre, me conformo con la emoción de probarlo y saber que puedo.

También tengo que decir que NO he comunicado nada a nadie.

La empresa que fabrica los productos es consciente del peligro de sus malas prácticas.

La empresa instaladora que hace mala implantación es consciente del peligro de sus malas prácticas.

La empresa cliente, la final, la gasolinera, pasa 20.000 auditorias de todo tipo para mantener su negocio funcionando, la auditoria informática/seguridad debería ser una más, y así de paso algunos podríamos llegar a fin de mes...

Dicho esto.

Todo comenzó como comienzan muchas veces estas cosas, por casualidad. Me gusta ver la cadena regional de televisión de Murcia, "LaSiete" a la hora de comer. Me informo mas o menos de lo acontecido, pero sobre todo, me gusta ver las noticias "tecnológicas". Mi mujer se ríe porque dice que la veo solo para eso, para luego "auditar" los sistemas de los paisanos, o al menos, ofrecerles mis servicios...

Un día apareció una noticia de la típica empresa de agrícola, con un sistema "móvil, inteligente, big data, industria 4.0, start up" etc etc. El sistema permite a la empresa usar a pie de campo los terminales para anotar cosas... Una pintaza... de tener la seguridad como lo primero en su desarrollo...

Esa misma tarde me pongo así curiosón y digo voy a ver así por encima, codo-comillas, si hay algo estrepitoso...y en efecto...ALGO ESTREPITOSO.

La empresa tenía el sistema de suministro de gasolina y gasoil de su flota y asociados abierto con la clave por defecto del fabricante.


Esa misma tarde, contacte con el gerente. Perdón, lo intenté.
Al día siguiente intenté contactar con el director financiero. Nada.
Al final invirtiendo horas y horas, muchas más que las necesarias para petar el sistema (5 minutos) encontré al informático, en este caso SEÑOR INFORMATICO. Nada.

Al final, una pobre empleada de RRHH se dignó a atenderme y hacerle llegar el recado al informático:


Si os preguntáis si 6 meses después se ha solucionado el problema, quitar el Nateo o cambiar la clave, es que no sois del gremio, porque la respuesta es OBVIA. NO
Dentro de poco tengo que dar una charla para un colectivo de ciudades conectadas... Y retomo este asunto que dejé aparcado.

Utilizo Shodan para buscar un "intitle" de los sistemas expuestos que revela el sistema. Encuentro con varios sistemas instalados por todo el mundo.


Me centro un poco más en los sistemas ubicados en España y en el 100% de ellos aparece como acceso el user y pass del fabricante, en TODOS. En los que he probado de la India también menos 1, pero no los he probado todos.

Tengo que decir que podría ir desde Murcia hasta el fin del mundo, Huesca xD, pasando de gasolinera en gasolinera vulnerable. Hay muchas y perfectamente localizables.
Tomando todas las medidas de seguridad posibles, empiezo a ver que se puede hacer con estos sistemas.

Por ejemplo, puedo cambiar el orden de los surtidores conectados a los tanques. Existen tanques de suministro, bombas y sensores. Podemos cambiar el gasoil normal por el B y viceversa. Esto más que nada sería una putada.


Uno de los campos que puedo configurar es el permiso de usarlo. Imagino que la estación de servicio al llegar un cliente activará el surtidor, como por ejemplo el modo noche de las gasolineras que no permite usarlo hasta que pagas. Esto se puede cambiar.


Otros datos que podemos cambiar es el cierre de caja, imagino que hara un "commit" que enlazará con el sistema TPV o vaya usted a saber. Podemos resetear el sistema tanto funcionalmente como a nivel de configuración. Lo mas curioso es que el log de eventos en todos los sistemas estaba DISABLE.


Lo más gracioso de esto es poder cambiar el precio del surtidor.






Aparte de los sistemas de control mediante Web, la mayoría tienen expuesto el mismo sistema en modo consola en otro puerto. En la web del fabricante te dan todas las especificaciones para que ajustes la terminal al número de filas y columnas y esas cosas de las terminales remotas :-)


Como he mencionado, todo esto se hizo en unos minutos, para exponer a los asistentes al evento que todo eso del Smart Cities está muy bien, que los precios de los equipos/baterías han bajado, que todos tenemos ideas mágicas para usar la tecnología, el IoT al beneficio de la ciudadanía, si todo eso está muy bien, pero la seguridad debe ser un MUST en todo esto.

Todos los que estamos en el sector vemos los fallos de seguridad de las empresas, algunas grandes, otras pequeñas, algunas son bancos, pero la mayoría son leaks de información que seamos sinceros, la repercusión de que una empresa de 50 personas en un pueblo de nosedonde sufra un incidente, pues es para el empresario, como mucho para sus trabajadores.

Sin embargo, como ciudadanos, están jugando con nuestra seguridad, con nuestra privacidad, con nuestros datos y esto puede tener repercusiones directas en nuestra vida. Se me ocurren 20.000 perrerías que hacer a los 20.000 proyectos de Smart Cities que leo.

Aquí os paso un vídeo muy divertido del maestro Juan Garrido en el que explica claramente como cargarse un sistema IoT de un proyecto Smart Cities con mucho salero xD


Queremos Smart Cities que nos hagan la vida más fácil, pero no que estén en manos de cualquiera.

Gracias por leerme.

En ningún momento se ha modificado ningún dato de los expuestos. En el cambio de precio la duración del mismo fue de 1 segundo y se comprobó en el registro que nadie durante ese tiempo utilizó el surtidor."""

---

FUENTE: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Me ha flipado el post por eso lo he querido compartir espero que les haya gustado

Un saludo

MUY BUENAS GENTE, gracias al moderador nobody me ha comentado mi problema tras explicarle por privado lo que me sucedia tras intentar subir ese modulo a metasploit, el problema es que me daba un error "syntax error" como muestro en la foto y como me ha explicado nobody.



Y cito literalmente: "El problema radica en que ese exploit en cuestión está programado en C, y por lo tanto no es un modulo de Metasploit. En resumen, no podés agregar ese código a Metasploit ya que no es un modulo."

CONCLUSION: PROBLEMA RESUELTO

AGRADECIMIENTOS A NOBODY

Buenas gente os traiga esta herramienta llamada Infernal-twin para realizar ataques en LAN, os dejo mas informacion acerca de la herramienta.


Infernal-twin es un término para un punto de acceso falso de Wi-Fi,es decir, lo que conocemos como un fake AP, pero en realidad ha sido creado para espiar las comunicaciones inalámbricas. Infernal-twin es la versión inalámbrica de la estafa de phishing. Un atacante engaña a los usuarios inalámbricos en la conexión de un ordenador portátil o teléfono móvil a un punto de acceso fake haciéndose pasar por un AP verdadero.

Este tipo de ataque puede ser utilizado para robar las contraseñas de los usuarios confiados por cualquiera de husmear el enlace de comunicación o mediante phishing, que consiste en la creación de una página web fraudulenta y atraer a gente allí.



1.-Configurar la interfaz de monitoreo
2.-Configurar DB
3.-Conectarse a la red seleccionada SSID
4.-Obtener la página de inicio de sesión de autenticación
5.-Modificar la página de inicio de sesión con el atacante controlado script php para obtener las credenciales
6.-Configurar el servidor Apache y servir falsa página de inicio de sesión
7.-Dar una víctima una IP
8.-Configurar tabla NAT
9.-Dumpear el tráfico


git clone You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bueno una vez descargado ya sabes le damos permisos de ejecucion y nos leemos el fichero README que siempre viene bien

[/size]

1.-GUI Wireless security assessment SUIT (tiene un interfaz grafica)
2.-Impelemented
3.-WPA2 hacking
4.-WEP Hacking
5.-WPA2 Enterprise hacking
6.-Wireless Social Engineering
7.-SSL Strip
8.-Report generation
9.-PDF Report
10.-HTML Report
11.-Note taking function
12.-Data is saved into Database (los datos los guarda en un BD)
13.-Network mapping (mapea la red, vamos que escanea la red)
14.-MiTM



PD: Me acabo de dar cuenta de que ANTRAX subio informacion ya de esta herramienta al blog de Underc0de :-(
ANTRAX: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
FUENTE (mia) : You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Nos vemos gente

¿Se acuerdan del famoso celebgate? El que diga que no, está mintiendo. Pero para hacer un breve resumen, es acerca del hacker que filtro fotos de actrices desnudas en el 2014, por lo que fue motivo de un gran escándalo y demanda de por medio.

Ryan Collins, el culpable de 36 años de edad, se había declarado culpable hace algunos meses, de ser el autor de obtener las contraseñas de más de 100 personas, incluyendo los de varias actrices y cantantes; por medio de emails falsos.

Con la información personal de las víctimas, tuvo acceso a toda su información, incluyendo esas famosas selfies sin ropa de Jennifer Lawrence y Rihanna, entre muchas otras.

Collins estaba enfrentando el permanecer hasta cinco años en la cárcel y USD $250.000 en multas pero, de acuerdo a The Guardian, finalmente ha sido sentenciado a pasar 18 meses en prisión.

Si es justo o no, ya dependerá de cada quien y del daño que a los afectados les haya generado. Lo cierto es que seguro jamás olvidará sus actos y se la pensará dos veces antes de cometer un delito similar.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estamos por cerrar Octubre, el mes mas tenebroso del año y para celebrar Halloween, Facebook no quiso quedarse atrás; solo por tiempo limitado incorporarán un par de cambios a la plataforma para que mientras la uses te impregnes del espíritu de las fiestas.

El primer cambio es la adición de filtros temáticos que podrás utilizar al momento de transmitir video en vivo, similares a las máscaras y añadidos que puedes usar en Snapchat, pero con brujas, osos panda y otrs trajes, para que tu cara luzca muy tenebrosa durante tu stream. Para utilizarlos abre la barra creativa presionando la varita mágica en la esquina superior izquierda de la pantalla. La opción solo está disponible en iOS.


El segundo cambio es que desde hoy durante el día comenzarás a ver en tu feed que las reacciones de siempre recibirán un nuevo maquillaje que involucrará esqueletos, brujas, fantasmas, calabazas y un Frankenstein muy triste. El sitio menciona que dichas reacciones solo estarán disponibles en un selecto grupo de países, así que solo queda ver y esperar si el tuyo los recibe en los próximos días.


Como mencionamos, ambas adiciones son solo temporales, Facebook no ha mencionado cuando todo retorne a la normalidad, por lo cual aprovéchalos antes de que sea demasiado tarde!


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Buenas gente se que es tarde y pero me he topado con esto y me ha parecido oportuno compartirlo ahi va


PirateBox crea redes inalámbricas fuera de línea diseñado para el intercambio de archivos en el anonimato, el chat, el embarque de mensajes y transmisión de medios. Usted puede pensar en él como su propia conexión a Internet portátil en una caja! Cuando los usuarios se unen a la red inalámbrica PirateBox y abrir un navegador web, es redirigido automáticamente a la página de bienvenida PirateBox. Los usuarios pueden chatear de forma anónima, publicar imágenes o comentarios en el tablón de anuncios, ver o escuchar streaming media, o cargar y descargar archivos dentro de su navegador web.

PirateBox está diseñado para ser privado y seguro. No hay datos de acceso son necesarios y se registra ningún dato de usuario. Los usuarios permanecen en el anonimato - el sistema deliberadamente no está conectado a Internet con el fin de subvertir el seguimiento y preservar la privacidad del usuario. PirateBox es libre (como en libertad), ya que se ha registrado bajo la GNU GPLv3 . Esta licencia le otorga el derecho a la libertad de copiar, distribuir y transformar las obras de creación de acuerdo con los principios del copyleft

es un sistema de intercambio de archivos y las comunicaciones en línea anónima integrada con el software libre y de bajo costo de hardware off-the-shelf. Se puede utilizar para transformar cualquier espacio en una red de comunicaciones fuera de línea y compartir archivos gratuito y abierto.


Las siguientes instrucciones son para instalar PirateBox 1.1 en un nuevo router de TP-Link ( MR3020 o MR3040 ) o GliNet enrutador que está ejecutando la fábrica firmware instalado.

Nota: Si ya ha instalado OpenWrt en su router o si ya está ejecutando una más antigua versión de PirateBox en el router, saltar a la PirateBox actualización de la sección a continuación.

Si usted tiene OpenWRT en un dispositivo distinto de los routers anteriores, se puede probar su suerte con el Manual de método.
Para el soporte, asegúrese de revisar la página PirateBox OpenWrt y el foro de discusión OpenWrt en PirateBox Foro .

Cosas que necesitará

1.-Router inalámbrico (uno de los siguientes):
TP-Link MR3020
TP-Link MR3040
Router GLiNet  , Router GliNet con antena externa

Usted puede encontrar el hardware soportado adicional sobre Recomendaciones de hardware página, pero tenga en cuenta que este hardware no está cubierto por este COMO y por lo tanto su experiencia puede variar.

2.-USB Flash Drive (formato FAT32 con una sola partición). El DT Kingston 16GB funciona bien

Nota: Se recomienda una unidad flash USB 2.0 con mejor rendimiento, como una unidad USB 3.0 puede llamar demasiado la corriente, y una más lenta unidad USB 2.0 puede dar lugar a su PirateBox bloqueen cuando moderada -a pesadas o el uso a largo plazo.

3.-Cable Ethernet (esto puede venir con su enrutador inalámbrico)

4.-Ordenador con puerto Ethernet

5.- 5V / USB de la batería (opcional)


1.-Descargar Software,descargar los dos archivos siguientes a su equipo
2.-Una copia de install_piratebox.zip .
3.-Una copia personalizada de OpenWrt (asegúrese de descargar el "* squashfs-factory.bin" archivo que corresponde con su dispositivo específico) You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Importante: Asegúrese de utilizar una de las OpenWrt Las imágenes vinculadas arriba! estan personalizadas para trabajar junto con el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Si utiliza una imagen de archivo diferente, usted no será capaz de utilizar esta instalación automática

4.-Preparar USB Flash Drive:

Se extrae la install_piratebox.zip archivo (haciendo doble clic sobre ella) y arrastre el "instalar" carpeta a través de su unidad flash USB.
Ahora Extracción segura de la unidad USB del ordenador y conectar la memoria USB en el router OpenWrt.

5.-Configurar router
Ajuste el swich de palanca situada al lado de la LAN puerto / WAN del router al modo 3G , si un interruptor está disponible.
Conectar el router a través del cable Ethernet al ordenador y encienda el router. (Asegúrese de que el router está conectado a una fuente de alimentación.)
6.-Instalar software
Una vez que el router está en funcionamiento y que está conectado a ella a través del cable Ethernet, abra un navegador web y visite la siguiente dirección:

MR3020:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
MR3040: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
GLiNet: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Introduzca el nombre de usuario y contraseña por defecto (admin y admin). Nota: Para el router GLiNet tendrá que seleccionar un idioma, la zona horaria y la contraseña.

Vaya a Herramientas del sistema> Actualización de Firmware y seleccionar el firmware OpenWRT que ha descargado en el equipo durante la primera etapa anterior.

Nota: Para el router GLiNet que debe desplazarse a: Firmware> Cargar firmware
Seleccione la actualización.

Nota : Para el router GLiNet, debe asegurarse de que la bandera "mantener la configuración" no está marcado.

Una vez finalizada la actualización, el router se reiniciará

Importante: Usted debe esperar 15-20 minutos para que se complete la instalación (para unidades flash USB más lentas, puede tardar hasta 45 minutos - sea paciente!). El dispositivo se reiniciará un par de veces durante la instalación. Nota: La página Web Admin para su router se "congela" durante el proceso de instalación. Esto es normal y se debe a que la dirección IP por defecto OpenWrt a 192.168.1.1, que difiere de la dirección IP de administración Web original para su router. Por favor, no trate de visitar 192.168.1.1 durante el proceso de instalación como PirateBox no se suministra con una página Web Admin predeterminada y visitar esa dirección IP puede interferir con la instalación.

7.-Próximos pasos

-Una vez finalizada la instalación, abra una ventana de terminal (para OS X, vaya a Aplicaciones> Utilidades> Terminal; para Windows, instalar y abrir la masilla , seguro de hacer Telnet está seleccionada para el tipo de conexión ), y telnet al dispositivo:

telnet 192.168. 1.1

-Ahora puede seguir las siguientes instrucciones para finalizar la instalación.



Si actualmente está ejecutando una versión de 1.0 * PirateBox en el router, estas instrucciones deben conseguir que la puesta en funcionamiento en un flash (literalmente!). Por favor Nota: Las siguientes instrucciones son específicamente para el TP-Link MR3020, TP- enlace MR3040, y los routers GLiNet.

Nota: Si actualmente está ejecutando un PirateBox en el router con la versión 0.6 y por debajo, se debe seguir la actualización de una muy antigua PirateBox-COMO .

1.-Descargar Software
descargar los dos archivos siguientes a su equipo:

-Una copia de install_piratebox.zip .
-Una copia personalizada de OpenWrt (asegúrese de descargar el "* squashfs-factory.bin" archivo que corresponde con su dispositivo     específico) You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Importante: Asegúrese de utilizar una de las OpenWrt Las imágenes vinculadas arriba! Ellos son personalizados para trabajar junto con el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Si utiliza una imagen de archivo diferente, usted no será capaz de utilizar esta instalación automática !

2.-Instalar OpenWrt personalizada
Arrastre el "* squashfs-factory.bin" archivo en la unidad flash USB (no es necesario para extraer este archivo primero!).
Ahora Extracción segura de la unidad USB del ordenador y conectar la memoria USB en el router OpenWrt.

Conectar el router a través del cable Ethernet al ordenador y encienda el router.

Una vez que el router está ejecutando, abra una ventana de terminal (para OS X, vaya a Aplicaciones> Utilidades> Terminal; para Windows, instalar y abrir PuTTY ) e ingrese con ssh:
[email protected] ssh

Nota: Si no ha configurado una contraseña, utilice el comando telnet en vez de ssh:

telnet 192.168.1.1

ve hasta el directorio / mnt / usb:
cd / mnt / usb

Instalar la versión personalizada de OpenWrt y PirateBox 1.1 con:

sysupgrade -n OpenWRT <TAB>

Nota: Usa la tecla de "ficha" al final de "OpenWRT" autocompletar el nombre completo del archivo del firmware. Nota: Si sysupgrade rechaza la actualización y que esté seguro de que es el archivo correcto, entonces se puede disparar el flash con el siguiente comando

mtd escritura -r OpenWRT <TAB> firmware

Una vez finalizada la actualización, el router se reiniciará dos veces. ¡Espera pacientemente!

3.-instalar PirateBox
-Apagar el router y conecte la unidad flash USB en su ordenador.
-Extraer el archivo install_piratebox.zip (doble clic sobre ella) que descargó anteriormente y arrastre el "instalar" carpeta a través de su unidad flash USB.
-Ahora Extracción segura de la unidad USB del ordenador y conectar la memoria USB en el router OpenWrt.
-Encender el router. Esto hará la instalación de los nuevos paquetes

Nota: Usted debe esperar 15-20 minutos para que se complete la instalación (dependiendo de su unidad flash USB, puede tardar hasta 45 minutos - sea paciente!). El dispositivo se reiniciará un par de veces durante la instalación.

4.-Próximos pasos
-Una vez completada la instalación, puede utilizar telnet para conectarse al dispositivo:

telnet 192.168.1.1

-Ahora puede seguir las posteriores a la instalación instrucciones para finalizar la instalación.



Una vez que haya instalado o actualizado PirateBox, puede seguir estos pasos finales para establecer una contraseña, active la Imagen Kareha y tablero de discusión y configurar e iniciar el servidor de medios UPnP.

1.-Configuracion
Si usted aún no está conectado a su PirateBox, unirse a la " PirateBox: Compartir libremente " red inalámbrica, abra una ventana de terminal (para OS X, vaya a Aplicaciones> Utilidades> Terminal; para Windows, instalar y abierta PuTTY ) y telnet en su PirateBox:

telnet 192.168.1.1

-Ejecute el siguiente comando para iniciar el menú de configuración box_init_setup.sh
-Crear una contraseña para el acceso a la raíz administrativa
-Seleccione "Opción 1", a continuación, introduzca la contraseña dos veces.

Aviso: No se muestra al entrar en ella. Nota: Una vez que haya creado una contraseña para su PirateBox, telnet se desactivará. Esto significa que en el futuro tendrá que utilizar el siguiente comando para acceder a su PirateBox desde el terminal:

[email protected] ssh

Activar la función "timesave" seleccionando "Opción 2" e introduciendo la fecha y la hora actuales.
Kareha Imagen y tablero de discusión

Para activar su imageboard, ejecute el comando siguiente:

/opt/piratebox/bin/board-autoconf.sh

-Introduzca su contraseña
-Activar el servidor de medios UPnP copiando el fichero de configuración:
cp /opt/piratebox/src/openwrt.example.minidlna / mnt / ext / etc / config / minidlna

Nota: Opcionalmente, puede editar el archivo de configuración (cambiar el nombre para mostrar , etc) con: vi / etc / config / minidlna

Iniciar el servidor de medios UPnP con:
/etc/init.d/minidlna empezar
/etc/init.d/minidlna permitir

---

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Un saludo buenas noches

gracias tio no me habia dado cuenta de que si lo buscaba en ingles me salian mas opciones gracias sos 1 genio
Tio entiendo y agradezco que intentes colaborar pero al menos haber leido mis respuestas si te fijas en lo que postee ya menciono  anteriormente que sigo esos pasos y los que me recomiendan mis compañeros,cuando hago un reload_all en la consola de metasploit me salta un error del codigo del exploit y mañana seguire buscando informacion, solo decirte que me ha aparecido un poco pesima tu aportacion y lo siento si te has ofendido o algo pero es lo que realmente pienso

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
intenta a hacer un

msfupdate

Eso es lo que hice, msfupdate y termino de actualizarse...y nada sigue sin fucionar el modulo que subi

La seguridad informática es una de las prioridades de infinidad de empresas tecnológicas. Pero no son los únicos que ven cómo sus datos se ponen en jaque por ataques o errores particulares. Un fallo de seguridad en masa en Australia ha hecho que los datos personales de más de medio millón de donantes de Cruz Roja salgan a la luz en Internet.

Los datos cuentan con información privada: dirección, datos de contacto, tipo de sangre o información comprometida como el consumo de drogas o "comportamiento sexual de alto riesgo". Una información que se ha publicado por un error humano en un servicio de terceros que desarrolla y mantiene el sitio web de Blood Service y que la Cruz Roja asegura que está trabajando para asegurarse que no queda rastro de la información en linea.


Los datos han podido estar expuestos desde el 5 de septiembre de este año hasta el 25 de octubre y desde Cruz roja aseguran que los expertos están trabajando para confirmar las fechas exactas de la filtración y, según informan, se han eliminado todas las copias conocidas aunque las investigaciones continúan.

"Estamos profundamente decepcionados de haya sucedido. Asumimos toda la responsabilidad por este error y nos disculpamos sin reservas", explica el jefe ejecutivo, Shelly Park. "Sabemos que la gente va a tener un montón de preguntas y hemos establecido una página dedicada a proporcionar la información que tenemos respecto a la situación", añade Park.





Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

nada amarillo, he actualizado metasploit y nada sigue sin pillar el modulo

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Lo único que se me ocurre de momento es que dentro de la Ruta

/usr/share/metasploit-framework/modules/exploits/unix/ftp

hagas un ls -la <<<esto te devolverá por consola los archivos y los permisos y grupos de cada archivo

Fíjate en el archivo que has creado si tiene o pertenece al mismo grupo que los otros archivos, si no es
así tendrás que modificar como root el grupo id para que pueda ser accesible desde metasploit.

-rw-r--r--  1 root capdawar   675 ago 14 21:28 .profile
esto es algo parecido a lo que verás el primero root es el user y capdawares el grupo al que pertenece
en concreto  el archivo .profile y los permisos son solo de lectura y escritura  para root y de lectura para
el grupo capdawar y otros grupos.

Es un poco compilicado de entender al principio pero es una maravilla una vez lo comprendes  suerte y
al Toro..!

muchas gracias por contestar, se lo que quieres decir,se por donde van los tiros, voy a probar y con lo que me salga subo foto y posteo

Buenas gente, esta tarde leyendo y tal encontre un exploit para el protocol FTP de la version ProFTPD 1.2.10 que se llama Remote Users Enumeration Exploit y bueno pues dije voy a probarlo,copie el codigo me dirigi a la ruta que se muestra en la imagen, abri un gedit,pege el codigo y lo guarde como enum_users.rb,compruebo que esta el archivo con un ls y me dispongo abrir metasploit


Y a la hora de de buscar el exploit dentro de la consola no me aparece


No sé si estoy haciendo algo mal o no,me he quedado atascado ahi, si alguien me echar un cable o explicarme el porque no lo encuentra o no esta dentro de la consola estaria de lujo

Un saludo

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Añadir extensiones a Tor, para traducir y demás, rompe con la privacidad que Tor te quiere dar.

Los que conozco son Flash player y poco más. Si quieres traducir, abre en otro navegador el traductor y listo!

gracias socio por contestar =)

Buenas gente, esta mañana leyendo por twitter me he topado con un blog que cuenta la historia de como Andrés Sepúlveda altero las elecciones durante 8 años en Latino America

La narracion es larga pero muy interesante os recomiendo que si teneis 20 min os pareis a leerla.


Justo antes de la medianoche Enrique Peña Nieto anunció su victoria como el nuevo presidente electo de México. Peña Nieto era abogado y millonario, proveniente de una familia de alcaldes y gobernadores. Su esposa era actriz de telenovelas. Lucía radiante mientras era cubierto de confeti rojo, verde y blanco en la sede central del Partido Revolucionario Institucional, o PRI, el cual había gobernado por más de 70 años antes de ser destronado en el 2000. Al devolver el poder al PRI en aquella noche de julio de 2012 Peña Nieto prometió disminuir la violencia ligada al narcotráfico, luchar contra la corrupción y dar inicio a una era más transparente en la política mexicana.

A dos mil millas de distancia (3.200 kilómetros), en un departamento en el lujoso barrio de Chicó Navarra en Bogotá, Andrés Sepúlveda estaba sentado frente a seis pantallas de computadores. Sepúlveda es colombiano, de constitución robusta, con cabeza rapada, perilla y un tatuaje de un código QR con una clave de cifrado en la parte de atrás de su cabeza. En su nuca están escritas las palabras , una encima de la otra, en una oscura alusión a la codificación. Sepúlveda observaba una transmisión en directo de la celebración de la victoria de Peña Nieto, a la espera de un comunicado oficial sobre los resultados.

Cuando Peña Nieto ganó Sepúlveda comenzó a destruir evidencia. Perforó agujeros en memorias USB, discos duros y teléfonos móviles, calcinó sus circuitos en un microondas y luego los hizo pedazos con un martillo. Trituró documentos y los tiró por el excusado, junto con borrar servidores alquilados de forma anónima en Rusia y Ucrania mediante el uso de Bitcoins. Desbarataba la historia secreta de una de las campañas más sucias de Latinoamérica en los últimos años.

Sepúlveda, de 31 años, dice haber viajado durante ocho años a través del continente manipulando las principales campañas políticas. Con un presupuesto de US$600.000, el trabajo realizado para la campaña de Peña Nieto fue por lejos el más complejo. Encabezó un equipo de seis hackers que robaron estrategias de campaña, manipularon redes sociales para crear falsos sentimientos de entusiasmo y escarnio e instaló spyware en sedes de campaña de la oposición, todo con el fin de ayudar a Peña Nieto, candidato de centro derecha, a obtener una victoria. En aquella noche de julio, destapó botella tras botella de cerveza Colón Negra a modo de celebración. Como de costumbre en una noche de elecciones, estaba solo.

La carrera de Sepúlveda comenzó en 2005, y sus primeros fueron trabajos fueron menores - consistían principalmente en modificar sitios web de campañas y violar bases de datos de opositores con información sobre sus donantes. Con el pasar de los años reunió equipos que espiaban, robaban y difamaban en representación de campañas presidenciales dentro de Latinoamérica. Sus servicios no eran baratos, pero el espectro era amplio. Por US$12.000 al mes, un cliente contrataba a un equipo que podía hackear teléfonos inteligentes, falsificar y clonar sitios web y enviar correos electrónicos y mensajes de texto masivos. El paquete prémium, a un costo de US$20.000 mensuales, también incluía una amplia gama de intercepción digital, ataque, decodificación y defensa. Los trabajos eran cuidadosamente blanqueados a través de múltiples intermediarios y asesores. Sepúlveda señala que es posible que muchos de los candidatos que ayudó no estuvieran al tanto de su función. Sólo conoció a unos pocos.

Sus equipos trabajaron en elecciones presidenciales en Nicaragua, Panamá, Honduras, El Salvador, Colombia, México, Costa Rica, Guatemala y Venezuela. Las campañas mencionadas en esta historia fueron contactadas a través de ex y actuales voceros; ninguna salvo el PRI de México y el Partido de Avanzada Nacional de Guatemala quiso hacer declaraciones.

De niño, fue testigo de la violencia de las guerrillas marxistas de Colombia. De adulto se unió a derecha que emergía en Latinoamérica. Creía que sus actividades como hacker no eran más diabólicas que las tácticas de aquellos a quienes se oponía, como Hugo Chávez y Daniel Ortega.

Muchos de los esfuerzos de Sepúlveda no rindieron frutos, pero tiene suficientes victorias como para decir que ha influenciado la dirección política de América Latina moderna tanto como cualquier otra persona en el siglo XXI. "Mi trabajo era hacer acciones de guerra sucia y operaciones psicológicas, propaganda negra, rumores, en fin, toda la parte oscura de la política que nadie sabe que existe pero que todos ven", dice sentado en una pequeña mesa de plástico en un patio exterior ubicado en lo profundo de las oficinas sumamente resguardadas de la Fiscalía General de Colombia. Actualmente, cumple una condena de 10 años por los delitos de uso de software malicioso, conspirar para delinquir, violación de datos y espionaje conectados al hackeo de las elecciones de Colombia de 2014. Accedió a contar su versión completa de los hechos por primera vez con la esperanza de convencer al público de que se ha rehabilitado y obtener respaldo para la reducción de su condena.

Generalmente, señala, estaba en la nómina de Juan José Rendón, un asesor político que reside en Miami y que ha sido catalogado como el Karl Rove de Latinoamérica. Rendón niega haber utilizado a Sepúlveda para cualquier acto ilegal y refuta de forma categórica la versión que Sepúlveda entregó a Bloomberg Businessweek sobre su relación, pero admite conocerlo y haberlo contratado para el diseño de sitios webs. "Si hablé con él puede haber sido una o dos veces, en una sesión grupal sobre eso, sobre el sitio web", declara. "En ningún caso hago cosas ilegales. Hay campañas negativas. No les gusta, de acuerdo. Pero si es legal lo haré. No soy un santo, pero tampoco soy un criminal" (Destaca que pese a todos los enemigos que ha acumulado con el transcurso de los años debido a su trabajo en campañas, nunca se ha visto enfrentado a ningún cargo criminal). A pesar de que la política de Sepúlveda era destruir todos los datos al culminar un trabajo, dejó algunos documentos con miembros de su equipo de hackers y otros personas de confianza a modo de "póliza de seguro" secreta.

Sepúlveda proporcionó a Bloomberg Businessweek correos electrónicos que según él muestran conversaciones entre él, Rendón, y la consultora de Rendón acerca del hackeo y el progreso de ciberataques relacionados a campañas. Rendón señala que los correos electrónicos son falsos. Un análisis llevado a cabo por una empresa de seguridad informática independiente demostró que un muestreo de los correos electrónicos que examinaron parecen ser auténticos. Algunas de las descripciones de Sepúlveda sobre sus actividades concuerdan con relatos publicados de eventos durante varias campañas electorales, pero otros detalles no pudieron ser verificados de forma independiente. Una persona que trabajó en la campaña en México y que pidió mantener su nombre en reserva por temor a su seguridad, confirmó en gran parte la versión de Sepúlveda sobre su función y la de Rendón en dicha elección.

Sepúlveda dice que en España le ofrecieron varios trabajos políticos que habría rechazado por estar demasiado ocupado. Al preguntarle si la campaña presidencial de EEUU está siendo alterada, su respuesta es inequívoca. "Estoy cien por ciento seguro de que lo está", afirma.

Sepúlveda creció en medio de la pobreza en Bucaramanga, ocho horas al norte de Bogotá en auto. Su madre era secretaria. Su padre era activista y ayudaba a agricultores a buscar mejores productos para cultivar que la coca, por lo que la familia se mudó constantemente debido a las amenazas de muerte de narcotraficantes. Sus padres se divorciaron y a los 15 años, tras reprobar en la escuela, se mudó donde su padre en Bogotá y utilizó un computador por primera vez. Más tarde se inscribió en una escuela local de tecnología y a través de un amigo que conoció ahí aprendió a programar.

En 2005, el hermano mayor de Sepúlveda, publicista, ayudaba en las campañas parlamentarias de un partido alineado con el entonces presidente de Colombia Álvaro Uribe. Uribe era uno de los héroes de los hermanos, un aliado de Estados Unidos que fortaleció al ejército para luchar contra las Fuerzas Armadas Revolucionarias de Colombia (FARC). Durante una visita a la sede del partido, Sepúlveda sacó su computador portátil y comenzó a analizar la red inalámbrica del recinto. Con facilidad interceptó el computador de Rendón, el estratega del partido, y descargó la agenda de Uribe y sus próximos discursos. Sepúlveda señala que Rendón se puso furioso y lo contrató ahí mismo. Rendón dice que esto nunca ocurrió.

Durante décadas, las elecciones en Latinoamérica fueron manipuladas y no ganadas, y los métodos eran bastante directos. Los encargados locales de adulterar elecciones repartían desde pequeños electrodomésticos a dinero en efectivo a cambio de votos. Sin embargo, en la década de 1990 reformas electorales se extendieron por la región. Los votantes recibieron tarjetas de identificación imposibles de falsificar y entidades apartidistas se hicieron cargo de las elecciones en varios países. La campaña electoral moderna, o al menos una versión con la cual Norteamérica estaba familiarizada, había llegado a Latinoamérica.

Rendón ya había lanzado una exitosa carrera que según sus críticos - y más de una demanda - estaba basada en el uso de trucos sucios y la divulgación de rumores. (En 2014, Carlos Mauricio Funes, el entonces presidente de El Salvador, acusó a Rendón de orquestar campañas de guerra sucia dentro de Latinoamérica. Rendón lo demandó en Florida por difamación, pero la corte desestimó el caso señalando que no se podía demandar a Funes por sus actos oficiales). Hijo de activistas a favor de la democracia, estudió sicología y trabajó en publicidad antes de asesorar a candidatos presidenciales en su país natal, Venezuela. Después de acusar en 2004 al entonces presidente Hugo Chávez de fraude electoral, dejó el país y nunca regresó.

Sepúlveda dice que su primer trabajo como hacker consistió en infiltrar el sitio web de un rival de Uribe, robar una base de dato de correos electrónicos y enviar correos masivos a los usuarios con información falsa. Recibió US$15.000 en efectivo por un mes de trabajo, cinco veces más de lo que ganaba en su trabajo anterior como diseñador de sitios web.

Rendón, que era dueño de una flota de automóviles de lujo, usaba relojes ostentosos y gastaba miles de dólares en trajes a medida, deslumbró a Sepúlveda. Al igual que Sepúlveda, Rendón era un perfeccionista. Esperaba que sus empleados llegaran a trabajar temprano y se fueran tarde. "Era muy joven, hacía lo que me gustaba, me pagaban bien y viajaba, era el trabajo perfecto". Pero más que cualquier otra cosa, sus políticas de derecha coincidían. Sepúlveda señala que veía a Rendón como un genio y mentor. Budista devoto y practicante de artes marciales, según su propio sitio web, Rendón cultivaba una imagen de misterio y peligro, vistiendo solo ropa negra en público e incluso utilizando de vez en cuando la vestimenta de un samurái. En su sitio web se denomina el estratega político "mejor pagado, más temido y también el más solicitado y eficiente". Sepúlveda sería en parte responsable de aquello.

Rendón, indica Sepúlveda, se dio cuenta de que los hackers podían integrarse completamente en una operación política moderna, llevando a cabo ataques publicitarios, investigando a la oposición y hallando maneras de suprimir la participación de un adversario. En cuanto a Sepúlveda, su aporte era entender que los votantes confiaban más en lo que creían eran manifestaciones espontáneas de personas reales en redes sociales que en los expertos que aparecían en televisión o periódicos. Sabía que era posible falsificar cuentas y crear tendencias en redes sociales, todo a un precio relativamente bajo. Escribió un software, llamado ahora Depredador de Redes Sociales, para administrar y dirigir un ejército virtual de cuentas falsas de Twitter. El software le permitía cambiar rápidamente nombres, fotos de perfil y biografías para adaptarse a cualquier circunstancia. Con el transcurso del tiempo descubrió que manipular la opinión pública era tan fácil como mover las piezas en una tablero de ajedrez, o en sus palabras, "pero también cuando me di cuenta que las personas creen más a lo que dice Internet que a la realidad, descubrí que 'tenía el poder' de hacer creer a la gente casi cualquier cosa".


Según Sepúlveda, recibía su sueldo en efectivo, la mitad por adelantado. Cuando viajaba empleaba un pasaporte falso y se hospedaba solo en un hotel, lejos de los miembros de la campaña. Nadie podía ingresar a su habitación con un teléfono inteligente o cámara fotográfica.

La mayoría de los trabajos eran acordados en persona. Rendón entregaba a Sepúlveda una hoja con nombres de objetivos, correos electrónicos y teléfonos. Sepúlveda llevaba la hoja a su hotel, ingresaba los datos en un archive encriptado y luego quemaba el papel o lo tiraba por el excusado. Si Rendón necesitaba enviar un correo electrónico, empleaba lenguaje codificado. "Dar caricias" significaba atacar; "escuchar música" significaba interceptar las llamadas telefónicas de un objetivo.

Rendón y Sepúlveda procuraron no ser vistos juntos. Se comunicaban a través de teléfonos encriptados que reemplazaban cada dos meses. Sepúlveda señala que enviaba informes de avance diarios y reportes de inteligencia desde cuentas de correo electrónico desechable a un intermediario en la firma de consultoría de Rendón.

Cada trabajo culminaba con una secuencia de destrucción específica, codificada por colores. El día de las elecciones, Sepúlveda destruía todos los datos clasificados como "rojos". Aquellos eran archivos que podían enviarlo a prisión a él y a quienes hubiesen estado en contacto con ellos: llamadas telefónicos y correos electrónicos interceptados, listas de víctimas de piratería informática e informes confidenciales que preparaba para las campañas. Todos los teléfonos, discos duros, memorias USB y servidores informáticos eran destruidos físicamente. Información "amarilla" menos sensible - agendas de viaje, planillas salariales, planes de recaudación de fondos - se guardaban en un dispositivo de memoria encriptado que se le entregaba a las campañas para una revisión final. Una semana después, también sería destruido.

Para la mayoría de los trabajos Sepúlveda reunía a un equipo y operaba desde casas y departamentos alquilados en Bogotá. Tenía un grupo de 7 a 15 hackers que iban rotando y que provenían de distintas partes de Latinoamérica, aprovechando las diferentes especialidades de la región. En su opinión, lo brasileños desarrollan el mejor malware. Los venezolanos y ecuatorianos son expertos en escanear sistemas y software para detectar vulnerabilidades. Los argentinos son artistas cuando se trata de interceptar teléfonos celulares. Los mexicanos son en su mayoría hackers expertos pero hablan demasiado. Sepúlveda sólo acudía a ellos en emergencias.

Estos trabajos demoraban desde un par de días a varios meses. En Honduras, Sepúlveda defendió el sistema computacional y comunicacional del candidato presidencial Porfirio Lobo Sosa de hackers empleados por sus opositores. En Guatemala, interceptó digitalmente datos de seis personajes del ámbito de la política y los negocios y dice que entregó la información a Rendón en memorias USB encriptadas que dejaba en puntos de entrega secretos. (Sepúlveda dice que este fue un trabajo pequeño para un cliente de Rendón ligado al derechista Partido de Avanzada Nacional (PAN). El PAN señala que nunca contrato a Rendón y dice no estar al tanto de ninguna de las actividades que relata Sepúlveda). En Nicaragua en 2011, Sepúlveda atacó a Ortega, quien se presentaba a su tercer período presidencial. En una de las pocas ocasiones en las que trabajó para otro cliente y no para Rendón, infiltró la cuenta de correo electrónico de Rosario Murillo, esposa de Ortega y principal vocera de comunicación del gobierno, y robó un caudal de secretos personales y gubernamentales.

En Venezuela en 2012, impulsado por su aversión a Chávez, el equipo dejó de lado su precaución habitual. Durante la campaña de Chávez para postular a un cuarto período presidencial, Sepúlveda publicó un video de YouTube anónimo en el que hurgaba en el correo electrónico de una de las personas más poderosas de Venezuela, Diosdado Cabello, en ese entonces presidente de la Asamblea Nacional. También salió de su estrecho círculo de hackers de confianza y movilizó a Anonymous, el grupo de hackers activistas, para atacar el sitio web de Chávez.

Tras el ataque de Sepúlveda a la cuenta de Twitter de Cabello, Rendón lo habría felicitado. "Eres noticia " escribió en un correo electrónico el 9 de septiembre de 2012 adjunto un enlace a una historia sobre la falla de seguridad. Sepúlveda proporcionó pantallazos de decenas de correos electrónicos y varios de los correos originales escritos en jerga hacker ("Owned!", decía un correo, haciendo referencia al hecho de haber comprometido la seguridad de un sistema), que muestran que durante noviembre de 2011 y septiembre de 2012 Sepúlveda envió largas listas de sitios gubernamentales que había infiltrado para varias campañas a un alto miembro de la empresa de asesoría de Rendón. Dos semanas antes de la elección presidencial en Venezuela, Sepúlveda envió pantallazos mostrando cómo había infiltrado el sitio web de Chávez y cómo podía activarlo y desactivarlo a voluntad.

Chávez ganó las elecciones pero murió de cáncer cinco meses después, lo que llevó a realizar una elección extraordinaria en la que Nicolás Maduro fue electo presidente. Un día antes que Maduro proclamara su victoria, Sepúlveda hackeó su cuenta de Twitter y publicó denuncias de fraude electoral. El gobierno Venezolano culpó a "hackeos conspiradores del exterior" y deshabilitó internet en todo el país durante 20 minutos.

En México, el dominio técnico de Sepúlveda y la gran visión de una máquina política despiadada de Rendón confluyeron plenamente, impulsados por los vastos recursos del PRI. Los años bajo el gobierno del presidente Felipe Calderón y el Partido Acción Nacional, PAN) se vieron plagados por una devastadora guerra contra los carteles de drogas, lo que hizo que secuestros, asesinatos en la vía pública y decapitaciones fuesen actos comunes. A medida que se aproximaba el 2012, el PRI ofreció el entusiasmo juvenil de Peña Nieto, quien recién había terminado su período como gobernador.

A Sepúlveda no le agradaba la idea de trabajar en México, un país peligroso para involucrarse en el ámbito público. Pero Rendón lo convenció para realizar viajes breves desde el 2008 y volando frecuentemente en su avión privado. Durante un trabajo en Tabasco, en la sofocante costa del Golfo de México, Sepúlveda hackeó a un jefe político que resultó tener conexiones con un cartel de drogas. Luego que el equipo de seguridad de Rendón tuvo conocimiento de un plan para asesinar a Sepúlveda, este pasó la noche en una camioneta blindada Suburban antes de regresar a Ciudad de México.

En la práctica, México cuenta con tres principales partidos políticos y Peña Nieto enfrentaba tanto a oponentes de derecha como de izquierda. Por la derecha, el PAN había nominado a Josefina Vázquez Mota, la primera candidata del partido a presidenta. Por la izquierda, el Partido de la Revolución Democrática (PRD), eligió a Andrés Manuel López Obrador, ex Jefe de Gobierno del Distrito Federal.

Las primeras encuestas le daban 20 puntos de ventaja a Peña Nieto, pero sus partidarios no correrían riesgos. El equipo de Sepúlveda instaló malware en enrutadores en el comando del candidato del PRD, lo que le permitió interceptor los teléfonos y computadores de cualquier persona que utilizara la red, incluyendo al candidato. Realizó acciones similares contra Vázquez Mota del PAN. Cuando los equipos de los candidatos preparaban discursos políticos, Sepúlveda tenía acceso a la información tan pronto como los dedos de quien escribía el discurso tocaban el teclado. Sepúlveda tenía conocimiento de las futuras reuniones y programas de campaña antes que los propios miembros de cada equipo.

El dinero no era problema. En una ocasión Sepúlveda gastó US$50,000 en software ruso de alta gama que rápidamente interceptaba teléfonos Apple, BlackBerry y Android. También gastó una importante suma en los mejores perfiles falsos de Twitter, perfiles que habían sido mantenidos al menos un año lo que les daba una pátina de credibilidad.

Sepúlveda administraba miles de perfiles falsos de este tipo y usaba las cuentas para hacer que la discusión girara en torno a temas como el plan de Peña Nieto para poner fin a la violencia relacionada con el tráfico de drogas, inundando las redes sociales con opiniones que usuarios reales replicarían. Para tareas menos matizadas, contaba con un ejército mayor de 30.000 cuentas automatizadas de Twitter que realizaban publicaciones para generar tendencias en la red social. Una de las tendencias en redes sociales a las que dio inicio sembró el pánico al sugerir que mientras más subía López Obrador en las encuestas, más caería el peso. Sepúlveda sabía que lo relativo a la moneda era una gran vulnerabilidad. Lo había leído en una de las notas internas del personal de campaña del propio candidato.

Sepúlveda y su equipo proveían casi cualquier cosa que las artes digitales oscuras podían ofrecer a la campaña de Peña Nieto o a importantes aliados locales. Durante la noche electoral, hizo que computadores llamaran a miles de votantes en el estratégico y competido estado de Jalisco, a las 3:00a.m., con mensajes pregrabados. Las llamadas parecían provenir de la campaña del popular candidato a gobernador de izquierda Enrique Alfaro Ramírez. Esto enfadó a los votantes —esa era la idea— y Alfaro perdió por un estrecho margen. En otra contienda por la gobernación, Sepúlveda creó cuentas falsas en Facebook de hombres homosexuales que decían apoyar a un candidato católico conservador que representaba al PAN, maniobra diseñada para alienar a sus seguidores. "Siempre sospeché que había algo raro", señaló el candidato Gerardo Priego al enterarse de cómo el equipo de Sepúlveda manipuló las redes sociales en la campaña.

En mayo, Peña Nieto visitó la Universidad Iberoamericana de Ciudad de México y fue bombardeado con consignas y abucheado por los estudiantes. El desconcertado candidato se retiró junto a sus guardaespaldas a un edificio contiguo, y según algunas publicaciones en medios sociales se escondió en un baño. Las imágenes fueron un desastre. López Obrador repuntó.

El PRI logró recuperarse luego que uno de los asesores de López Obrador fue grabado pidiéndole a un empresario US$6 millones para financiar la campaña de su candidato, que estaba corta de fondos, lo que presuntamente habría violado las leyes mexicanas. Pese a que el hacker dice desconocer el origen de esa grabación en particular, Sepúlveda y su equipo habían interceptado las comunicaciones del asesor Luis Costa Bonino durante meses. (El 2 de febrero de 2012, Rendón le envío tres direcciones de correos electrónicos y un número de celular de Costa Bonino en un correo titulado "Trabajo"). El equipo de Sepúlveda deshabilitó el sitio web personal del asesor y dirigió a periodistas a un sitio clonado. Ahí publicaron lo que parecía ser una extensa defensa escrita por Costa Bonino, que sutilmente planteaba dudas sobre si sus raíces uruguayas violaban las restricciones de México sobre la participación de extranjeros en elecciones. Costa Bonino abandonó la campaña pocos días después. Recientemente señaló que sabía que estaba siendo espiado, solo que no sabía cómo. Son gajes del oficio en Latinoamérica: "Tener un teléfono hackeado por la oposición no es una gran novedad. De hecho, cuando hago campaña, parto del supuesto de que todo lo que hable por teléfono va a ser escuchado por los adversarios".

La oficina de prensa de Peña Nieto declinó hacer comentarios. Un vocero del PRI dijo que el partido no tiene conocimiento alguno de que Rendón hubiese prestado servicios para la campaña de Peña Nieta o cualquier otra campaña del PRI. Rendón afirma que ha trabajado a nombre de candidatos del PRI en México durante 16 años, desde agosto de 2000 hasta la fecha.

En 2012, el presidente colombiano Juan Manuel Santos, sucesor de Uribe, inesperadamente dio inicio a las conversaciones de paz con las FARC, con la esperanza de poner fin a una guerra de 50 años. Furioso, Uribe, cuyo padre fue asesinado por guerrilleros de la FARC, formó un partido y respaldó a un candidato independiente, Óscar Iván Zuluaga, quien se oponía al diálogo.

Rendón, que trabajaba para Santos, quería que Sepúlveda fuera parte de su equipo, pero este último lo rechazó. Consideró que la disposición de Rendón para trabajar con un candidato que apoyaba un acuerdo de paz con las FARC era una traición y sospechaba que el asesor estaba dejando que el dinero fuera más fuerte que sus principios. Sepúlveda señala que la ideología era su principal motivación, luego venía el dinero, y si su fin hubiera sido enriquecerse, podría haber ganado mucho más hackeando sistemas financieros en vez de elecciones. Por primera vez, decidió oponerse a su mentor.

Sepúlveda se sumó al equipo de la oposición y le reportaba directamente al jefe de campaña de Zuluaga, Luis Alfonso Hoyos. (Zuluaga niega conocimiento alguno del hackeo; Hoyos no pudo ser contactado para dar comentarios). Sepúlveda señala que juntos elaboraron un plan para desacreditar al presidente al mostrar que las guerrillas seguían dedicadas al narcotráfico y la violencia, pese a que hablaban de un acuerdo de paz. Transcurridos algunos meses, Sepúlveda había hackeado los teléfonos y cuentas de correos electrónicos de más de 100 militantes, entre ellos el líder de las FARC Rodrigo Londoño, también conocido como Timochenko. Tras elaborar un grueso archivo sobre las FARC, que incluía evidencia sobre cómo el grupo suprimía los votos de campesinos en zonas rurales, Sepúlveda accedió a acompañar a Hoyos a los estudios de un programa de noticias de TV en Bogotá y presentar la evidencia.

Quizás no fue muy astuto trabajar de forma tan obstinada y pública en contra de un partido en el poder. Un mes después, Sepúlveda fumaba un cigarillo en la terraza de su oficina en Bogotá cuando vio acercarse una caravana de vehículos policiales. Cuarenta agentes del Cuerpo Técnico de Investigación de la Fiscalía de Colombia vestidos de negro allanaron su oficina y lo arrestaron. Sepúlveda dice que su descuido en la estación de TV fue lo que condujo a su arresto. Cree que alguien lo delató. En tribunales, usó un chaleco antibalas y estuvo rodeado de guardias. En la parte trasera del tribunal hombres sostenían fotografías de sus familiares y pasaban sus dedos sobre sus gargantas, simulando cortar sus cuellos, o ponían sus manos sobres sus bocas dando a entender que debían mantener silencio o atenerse a las consecuencias. Abandonado por sus antiguos aliados, terminó por declararse culpable de espionaje, hackeo y otros crímenes a cambio de una sentencia de 10 años.

Tres días después de llegar a la cárcel La Picota en Bogotá, visitó al dentista y fue emboscado por hombres con cuchillos y navajas, pero fue socorrido por los guardias. Una semana más tarde, los guardias lo despertaron y lo sacaron rápidamente de su celda, señalando que tenían información sobre un plan para dispararle con una pistola con silenciador mientras dormía. Luego que la Policía Nacional interceptó llamadas telefónicas que daban cuenta de un nuevo complot, fue enviado a confinamiento solitario en una cárcel de máxima seguridad ubicada en una deteriorada zona del centro de Bogotá. Duerme con una manta antibalas y un chaleco antibalas al lado de su cama, detrás de puertas a prueba de bombas. Guardias van a verlo cada hora. Como parte de su acuerdo con la fiscalía, dice que se ha convertido en testigo del gobierno y ayuda a investigadores a evaluar posibles casos contra el ex candidato Zuluaga y su estratega Hoyos. Las autoridades emitieron una orden para el arresto de Hoyos, pero según informes de la prensa colombiana él escapó a Miami.

Cuando Sepúlveda sale a reuniones con fiscales en el búnker, la sede central de la Fiscalía General de Colombia, viaja en una caravana armada que incluye seis motocicletas que atraviesan la capital a 60 millas por hora y colapsan las señalas de teléfonos celulares a medida que transitan para bloquear el rastreo de sus movimientos o la detonación de bombas a lo largo del camino.

En julio de 2015, Sepúlveda se sentó en un pequeño patio central del Búnker, se sirvió un café de un termo y sacó un paquete de cigarrillos Marlboro. Dice que desea contar su historia porque la gente desconoce el alcance del poder que ejercen los hackers en las elecciones modernas o el conocimiento especializado que se requiere para detenerlos. "Yo trabajé con presidentes, personalidades públicas con mucho poder e hice muchísimas cosas que finalmente, de absolutamente ninguna me arrepiento porque lo hice con plena convicción y bajo un objetivo claro, acabar las dictaduras y los gobiernos socialistas en Latinoamérica", señala. "Yo siempre he dicho que hay dos tipos de política, la que la gente ve y la que realmente hace que las cosas pasen, yo trabajaba en la política que no se ve".

Sepúlveda dice que se le permite usar un computador y una conexión a internet monitoreada como parte de un acuerdo para ayudar a la Fiscalía a rastrear y alterar a carteles de drogas empelando una versión de su software Depredador de Redes Sociales. El Gobierno no confirmó ni negó que tenga acceso a un computador o el uso que le da a este. Sepúlveda dice que ha modificado el software Depredador de Redes Sociales para contratacar el tipo de sabotaje que solía ser su especialidad, entre otras cosas tapar los muros de Facebook y los feeds de Twitter de los candidatos. Utilizó su software para analizar 700.000 tweets de cuentas de partidarios de ISIS para aprender qué se necesita para ser un buen reclutador de terroristas. Sepúlveda dice que el programa ha podido identificar a reclutadores de ISIS minutos después de haber creado cuentas de Twitter y comenzar a publicar y espera poder compartir la información con Estados Unidos u otros países que luchan contra el grupo islamista. Una firma independiente evaluó muestras del código de Sepúlveda y determinó que eran auténticas y sustancialmente originales.

Las afirmaciones de Sepúlveda respecto a que operaciones de este tipo ocurren en todos los continentes son plausibles, dice David Maynor, quien dirige una compañía de servicios de control de seguridad en Atlanta, llamada Errata Security. Maynor que de vez en cuando recibe solicitudes para trabajos relacionados a campañas electorales. Le han pedido que su compañía obtenga correos electrónicos y otros documentos de los computadores de candidatos, aunque el nombre del cliente final nunca es revelado. "Esas actividades ocurren en Estados Unidos, y ocurren todo el tiempo", indica.

En una ocasión a Maynor se le pidió robar datos a modo de realizar un control de seguridad. Pero el individuo no pudo demostrar una conexión real con la campaña cuya seguridad deseaba poner a prueba. En otra oportunidad, un posible cliente le encargó un informe detallado sobre cómo rastrear los movimientos de un candidato cambiando el iPhone de un usuario por un dispositivo clonado e interceptado. "Por razones obvias, siempre rechazamos estas solicitudes", indica que Maynor, quien no quiso nombrar a los candidatos involucrados.

Tres semanas después del arresto de Sepúlveda, Rendón fue obligado a renunciar a la campaña de Santos en medio de acusaciones en la prensa sobre cómo había aceptado US$12 millones de narcotraficantes y se los había entregado al candidato, hecho que él niega.

Según Rendón, funcionarios colombianos lo interrogaron poco tiempo después en Miami, lugar donde reside. Rendón señala que los investigadores colombianos le preguntaron sobre Sepúlveda y les dijo que la participación de Sepúlveda se limitaba al desarrollo de sitios web.

Rendón niega haber trabajado con Sepúlveda de forma significativa. "Él dice que trabajó conmigo en 20 lugares y no, no lo hizo", afirma Rendón. "nunca le pagué un peso".

El año pasado, medios colombianos señalaron que según fuentes anónimas Rendón trabajaba para la campaña presidencial de Donald Trump. Rendón dice que los informes son falsos. La campaña se acercó a él, pero los rechazó porque le desagrada Trump. "Según tengo entendido, no estamos familiarizados con este individuo", señala la vocera de Trump, Hope Hicks. "No había escuchado su nombre, y tampoco lo conocen otros altos miembros de la campaña". Sin embargo, Rendón dice estar en conversaciones con otra de las principales campañas presidenciales de Estados Unidos - no quiso decir cuál - para comenzar a trabajar con ellos una vez que concluyan las primarias y comiencen las elecciones generales.

FUENTE: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Buenas gente queria preguntar si alguno de vosotros sabe algun plugin para traducir paginas desde TOR o alguna configuracion del navegador, estuve buscando pero no he encontrado nada, cualquier informacion que me podais dar os lo agradeceria

Un saludo

Buenas gente, esta tarde intente acceder a uno de los talleres subidos por ANTRAX de PHP, os recomiendo leer los talleres de esa seccion, el caso es que cuando intente acceder a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
me sale lo siguiente adjunto imagen



y no se me parece muy raro que salga eso

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Muy bueno, espero con ganas el cap.3, !!! por mientras que me recomiendan seguir?

yo te recomiendo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Buenas, quiero mostraros un ejemplo de como podriamos crear un backdoor con meterpreter,el escenario es el mismo del You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, con nuestra kali nos hemos metido en el Win XP y hemos creado una sesión de meterpreter, el problema es que si la victima reinicia o apaga el sistema nosotros perderemos la sesión pero meterpreter nos da la opción de poder crear un backdoor que al menos nos de algo de persistencia en el sistema y podamos recuperar la sesión si se produce un reinicio.

Para crear el backdoor utilizaremos un script de meterpreter, ejecutamos en nuestra shell "run persistence" y se ejecutara el script que nos permitira instalar un backdoor en el sistema.

Solo podremos tirar "run persitence" si tenemos permisos de administrador

Resultado al tirar "run persistence"


El resultado digamos que es un poco abstracto no? lo hemos tirao asi a ciegas si configurar ningun parametro ni ná pero era tan solo para ver como se resolvia.
Ahora veremos las opciones de persistence, escribimos "run persistence -h" y vemos las opciones que tiene.


Disponemos de varias opciones de configuracion, tanto como el payload que podemos usar como la localizacion de donde queremos ocultar el backdoor, cuanto tiempo intentara conectar y demás.

Procedemos a configurar nuestro backdoor


Con la opción -A establezco el multi/handler
Con la opcion -L C:\\ le digo que meta el backdoor en esa ruta
Con la opcion -X lo que le estoy diciendo es que se intente conectar una vez que inice el sistema
Con la opcion -r (IP) le digo que se conecte a esa IP que es mi direccion
Con la opcion -p sera el puerto con el que corra la conexion
Con la opcion -i sera el tiempo de intento de cada conexion es decir cada 10 segundos intentara recuperar la conexion hasta que logre conectarse

salimos del meterpreter y comprobamos que tenemos una nueva sesion


Comprobamos graficamente que se ha generado el fichero


Vale ahora tenemos que reiniciar el equipo de la victima esto supone que perdemos la sesion pero al haber creado el backdoor deberemos recuperar la sesion una vez finalice el reinicio,entonces cerramos la primera sesion y con la segunda sesion reiniciamos el sistema


La maquina se ha reiniciado, hemos perdido la conexion, pero en cuanto acabe veremos lo siguiente.



Vemos que hemos recuperado la sesion una vez que el usuario volvi a entrar al sistema, pero como podemos comprobar una vez que interactuamos con la sesion vemos que somos un simple usuario y no tenemos permisos de administrador


Pero no pasada nada, al usar el comando getuid conseguimos elevear privilegios y ser admin


Bueno hasta aqui mi post, espero que les haya gustado
Un saludo