Como usar Google para hackear

por:

Como usar Google para hackear

Hoy vamos a tocar un tema del que se ha escrito mucho (tanto en papel como en digital) y del que hay centenares de referencias de buena calidad en la Red, a poco que se busque. Me refiero del Hacking con buscadores, que no es sino un eufemismo para hablar soterradamente del hacking empleando Google (el rey indiscutible de los buscadores).

Pero me he dado cuenta de que no poca de la mucha información que hay en la red e incluso en libros sobre el asunto (muchos de ellos escritos y publicados en los primeros años del dos mil) está anticuada, obsoleta o, sencillamente, te lleva a un rincón sin salida no sirviendo hoy en día, ni para realizar búsquedas avanzadas en Google. No digamos ya para tratar de “hackear” con dicho buscador.

De manera que me parece un tema muy importante por el potencial que ofrece a mentes curiosas o inquietas, así como porque nunca está demás saber sacarle un poco más partido a todo el potencial que ofrece Google, con su capacidad de indexar, penetrar y localizar información por muchas capas de abstracción que la cubran.

De modo que hablemos un poco del hacking con buscadores… Vaya, ya he caído en la trampa: Quería decir, hackear con Google.

Los comandos que nos permiten sacar ventaja de Google.

Lo que se puede encontrar en Internet con facilidad (aunque no siempre acabamos dando con información actualizada)  son los comandos o pequeñas porciones de “código” que se pueden introducir en el buscador para forzarlo a afinar las búsquedas en los lugares más insospechados, y en las plataformas web más blindadas (bases de datos, intranets con algún agujero de seguridad, páginas o partes de sistema que ahora están custodiadas por usuario y contraseña, pero que en algún momento pasado estuvieron en abierto y que Google conservó en caché, etc…)

Por hacer un conciso ejercicio de ilustración, podemos destacar unas cuantas, invitando al lector interesado a que rebusque en la Red o lea algún manual de los muchos que hay sobre Hacking con Google. Que no estamos aquí para enseñar a nadie a delinquir, sino para compartir conocimiento, dentro siempre de la legalidad y la ética.

Hackeando con google

Leer más

Consigue tu certificado https gratis

por:

te enseñamos a obtener tu certificado https gratis con let's encrypt

Hoy en día cada vez es más importante asegurar nuestra página web de una manera efectiva, por ello os traemos este sencillo tutorial para conseguir un certificado gratuito para poder disponer de https en tu dominio.

¿Cómo conseguir un certificado?

Si bien cualquiera puede generar e instalar su propio certificado para su dominio, al hacerlo de esta manera tendrías el problema de que ese certificado no va a ser directamente reconocido por los navegadores. La otra opción que te queda es comprar un certificado a una entidad reconocida por todos los navegadores como puede ser Comodo. Pero claro esta empresa no te va a regalar un certificado y por ello algunas personas renuncian a utilizarlo en sus webs, porque simplemente es un gasto más.

El tener un certificado te va a permitir que toda la información envidada desde y hacia tu servidor web vaya cifrada, por lo que tu protección frente ataques MITM (Man In The Middle) es superior.

Leer más

Qué es ZeroNet : El nuevo Internet P2P

por:

Cuando hablamos del «otro internet» automáticamente nos viene a la mente la Deep Web, esa otra Red de redes más clandestina y opaca de lo que podemos imaginar y que escapa a la indexación de los navegadores convencionales. Pero ahora no sólo la Deep Web puede ser denominada «la otra internet» porque está surgiendo un nuevo modelo de Red que cubre no pocas de las carencias y necesidades relativas a seguridad, anonimato y encriptación que nada tiene que ver con la internet profunda.

Se llama ZeroNet y su modelo de desarrollo, implementación y crecimiento es, desde mi punto de vista, más que interesante. ZeroNet es un nuevo modelo de Internet basado en el protocolo P2P y cuya característica más destacable es el cifrado de los datos.

Características de ZeroNet

La principal característica de la ZeroNet es su su estabilidad y seguridad general. Podemos decir al respecto que está estructurada a prueba de caídas. Sencillamente no puede ser tumbada, ni de manera global ni de forma particular sus páginas web. Los ataques por fuerza bruta contra ella no sirven, porque está basada en P2P, de manera que su modelo de expansión y alojamiento no sólo está completamente descentralizado, sino desubicado al 100%, lo que garantiza su estabilidad.

Es una internet paralela, completamente abierta y (lo que aún la hace más interesante), desarrollada al completo por la comunidad de desarrolladores voluntarios empleándose y basándola en software libre.

Hasta aquí los criterios básicos de estabilidad, pero analicemos la seguridad y la escalabilidad de esta otra forma de concebir Internet que está empezando a desarrollarse.

zeronet mensaje de bienvenida

Leer más

Asegurando nuestro servidor con Chroot

por:

Asegurando nuestro servidor con Chroot guia
Uno de los problemas más comunes que podemos tener en materia de seguridad son las cuentas de FTP o SFTP. En algunos casos estas cuentas se dejan a colaboradores para poder subir algunos archivos o imágenes al servidor, sin implementar en ellas las medidas de seguridad oportunas.

El problema de una cuenta de FTP mal configurada

En el caso de que tengamos una cuenta de FTP mal configurada, cualquier usuario al que le diéramos acceso (o lo consiguiera) podría copiar, borrar y modificar los archivos que tengamos en nuestro servidor. Esto podría dañar seriamente nuestra página.

Aunque muchas personas creen que teniendo bien configurados los permisos ya está todo el problema resuelto, la verdad es que se equivocan. Porque el usuario podría navegar entre las distintas carpetas ya que en muchos casos tendremos que tener amplios permisos para que funcione nuestra web.
Leer más

Netflix no tan seguro como parece

por:

Lo que traemos hoy a nuestra sección de Hacking y Seguridad es otro ejemplo de las muchas vulnerabilidades que presentan hoy en día sistemas online aparentemente robustos y que permiten que, con sólo un poco de ingenio, nos colemos por algún que otro agujero de dicho sistema para beneficiarnos de todo lo que de otro modo sería de pago, al tiempo que logramos obtener, precisamente, lo que dichos sistemas no permiten.

En este caso hablamos de Netflix, la famosa plataforma de películas, vídeos, documentales y series en streaming.

A estas alturas no hace falta presentarla pero, por si acaso, sólo decir que es un servicio de visionado de películas (de todo tipo y género), con buenas calidades tanto de imagen como de sonido, así como de retransmisión y almacenamiento de series, documentales y demás contenido audiovisual de calidad.

Personalmente, y tras probarlo durante un mes (después sabréis por qué), no me ha terminado de conquistar. Lo que he visto es que su catálogo (al menos en lo que a películas se refiere) no está muy actualizado, pero he de reconocer que es una gozada tener acceso en una única plataforma a un buen surtido de películas para todos los gustos, y sobre todo, documentales y series de televisión nacionales e internacionales.

Netflix no tan seguro

Leer más

Anécdotas de un hacker perdido en Somos Binarios

por:

Estos días se cumplen 2 años desde que se me dio la oportunidad de escribir asiduamente en esta publicación especializada, llevando la sección de Hacking y Seguridad. Y no se me ocurría forma mejor de celebrarlo que haciendo un pequeño resumen o compendio de lo mejor que me ha acontecido desde estas páginas, así como de las anécdotas que han surgido a través de los muchos artículos escritos.

Además, es una buena oportunidad para hacer algo que se practica mucho en las publicaciones especializadas: Incluir los enlaces a algunos de los post que más «ruído» generaron o que mejor (y peor) acogida tuvieron, en esta sección sobre Hacking.

En este rincón dentro de Somos Binarios ha habido tiempo y lugar para escribir sobre las más diversas temáticas, dado que hoy en día la Seguridad tanto online como offline, en materia informática y tecnológica, lo abarca ya todo.

Desde los más recientes post sobre TOR y la navegación anónima, que estamos desarrollando en una especie de minicurso para todos los públicos cuya primera entrega podéis visitar desde aquí y a la segunda se puede acceder desde aquí, hasta los menos lúdicos y más especializados artículos que hemos redactado y publicado sobre materias bastante más sensibles.

hacking en somos binarios

Leer más

Pequeño curso sobre TOR y la Deep Web (II)

por:

Continuamos con nuestro curso sobre Deep Web, navegación anónima y la Red Tor que comenzamos hace unas semanas y que vamos intercalando entre el resto de artículos sobre hacking y seguridad que venimos redactando en esta sección de Somos Binarios.

Antes de comenzar esta segunda entrega, convendría mencionar a los que (por casualidad) hayan dado con este artículo, que deberían comenzar por la primera de las entregas de este curso. Como siempre, los conocimientos se organizan sobre sustratos, lo que hace especialmente interesante comenzar y seguir este curso en orden. Aquí podéis acceder a la primera entrega.

Y dicho lo anterior, sigamos:

Hoy comenzaremos dejando claro cómo de profunda es la Deep Web o Internet Profundo. Para que todo el mundo pueda hacerse una idea, con total independencia de su grado de conocimiento o especialización informática, podéis haceros la siguiente imagen mental:

Si tomásemos una jarra de un litro de capacidad y la llenásemos completamente de agua, añadiendo al final unas gotas de aceite (que se quedaría en la superficie), esas gotas de aceite serían la Internet que conocemos y a la que accedemos común y generalmente con buscadores como Google, o en la que tenemos nuestra cuenta de email de Yahoo, Gmail o cualquier otra. Ahí está Wikipedia, las redes sociales y todo un mundo de entretenimiento globailzado. A eso llamamos «internet». La Deep Web sería el resto del litro de agua de esa jarra… Así de simple, inmensa, profunda y compleja es la verdadera red de redes «clandestina» o a la que no accede ni indexan los buscadores que conocemos todos.

posible mapa de la deep web

Hecha esta aclaración ilustrativa, conviene ahora responde otra de las preguntas que ya dejamos apuntada en nuestra primera entrega: ¿Cómo de peligrosa es la Deep Web?.

Bueno, aquí es el sentido común de cada cual es que debe determinar la profundidad del término «peligrosidad».

Leer más

Hackeando teléfonos móviles con un smartwatch

por:

Hackeando teléfonos móviles con un smartwatch

Bueno señores, empezamos el año como lo dejamos, es decir, aprendiendo y compartiendo conocimientos sobre Tecnología y, en concreto, sobre Hacking y Seguridad Informática.

Hoy vamos a compartir con todos vosostros un análisis de seguridad realizado a uno de esos nuevos dispositivos que se están imponiendo y que están experimentando un boom de usuarios: Los relojes inteligentes o Smartwatches.

Vamos a aprender cómo esta nueva tecnología tiene (como no) sus vulnerabilidades, o mejor expresado, puede ser empleada para explotar vulnerabilidades en otros dispositivos como teléfonos móviles con sistema operativo Android.

En concreto vamos a publicar en este post un análisis de seguridad que hemos realizado sobre un reloj inteligente en concreto (modelo y marca que identificaremos) así como las dos formas en que lo hemos empleado para testar su capacidad de ser utilizado como método de hackeo de teléfonos móviles ajenos. En la primera de estas formas que hemos probado no necesitaremos tener acceso al teléfono móvil a hackear. En el segundo método de hackeo que hemos analizado sí necesitaremos un acceso de un minuto de duración al teléfono móvil de la víctima.

Una vez más, y como siempre, recordamos que el objetivo de estos post y de esta publicación es compartir conocimiento para concienciar y, sobre todo, para aumentar nuestra capacidad de defensa y seguridad frente a riesgos reales para nuestra intimidad, anonimato y propiedad digital. en ningún caso nos hacemos responsables ni alentamos la utilización de estos conocimientos con fines ilícitos o delictivos.

Empecemos…

El Smartwatch analizado y el primer modo de usarlo para hackear un teléfono móvil ajeno.

El reloj inteligente que hemos testado con fines de hackeo y testeo de seguridad es un Innwatch, del fabricante Injoo, marca blanca de fabricantes orientales de excelentes calidades tanto tecnológicas como a nivel de acabados. Un buen terminal de estas características mucho más económicos y de usos generales que los de marcas con ecosistemas cerrados como Apple o Samsung, por definición mucho más caros y centrados específicamente en sus teléfonos de misma marca.

smartwatch que usaremos para hackear

Modelo Innwatch 1 del fabricante InnJoo utilizado en nuestro testeo de seguridad y hacking.

Lo primero que debemos preguntarnos es ¿Qué es lo que ha hecho que este terminal en concreto sea muy apto para tareas de hacking? Pues el hecho de que el software de sincronización del reloj con teléfonos móviles mediante Bluetooth que trae el terminal de fábrica ha sido diseñado con las mejores intenciones para dotarlo de comodidad para el usuario en todo lo relacionado con conectividad entre dispositivos, lo que, por añadidura, lo hace óptimo para todo tipo de labores de hackeo como veremos.

Leer más

La inseguridad de las opciones por defecto

por:

Una de las cosas más criticadas del nuevo Windows 10 es que su configuración por defecto puede no ser de todo segura, y puede afectar a nuestra privacidad. Por un lado los nuevos servicios como Cortana necesitan tener acceso a gran cantidad de datos para poder funcionar, algo que es fácil de entender, ya que no hay otra manera de que Cortana te avise de un evento sin tener acceso a tu agenda y así sucesivamente. Por otro lado las personas que no usan estas nuevas características pueden ver en ellas un ataque a la privacidad. Esta última manera de pensar también es entendible, ya que para qué quiero darle acceso a mi ubicación, mi correo o mi calendario si no quiero usar estos sistemas.

Privacidad vs comodidad

Como en la mayoría de los casos nos encontramos ante dos opciones que son contrapuestas. La privacidad es un elemento cada vez más importante en nuestras vidas, ya que todos nuestros datos están en nuestros equipos y es información muy sensible. Sin embargo, cada día buscamos sistemas que nos hagan la vida más fácil, por ejemplo queremos que nos avisen automáticamente si hay un evento, si recibimos un correo o si ha marcado un gol nuestro equipo favorito.

Analizando a fondo la cuestión de como funcionan los mecanismos de predicción, los sistemas de recomendación y los asistentes digitales, podemos ver que los tres mecanismos tienen una cosa en común: necesitan una gran cantidad de datos para ser fiables. Si vamos a un modo más técnico la mayoría de ellos están basados en mecanismos de inteligencia artificial, que buscan extraen de un conjunto cuanto más grande mejor de datos patrones de usuarios similares, para así poder ofrecerte algo que sabe la máquina que te va a gustar y esto lo sabe porque a alguien muy similar a ti, le gustó lo que te mostró.

El segundo problema que se plantea es que no es posible analizar los datos en el propio ordenador de la persona, sino que es necesario tenerlos todos juntos y aplicarlos algoritmos de inteligencia artificial. Para ello nos encontramos con que todos los grandes de la informática envían nuestros datos hacia sus centros de datos, para procesarlos. Aquí ya vemos que nuestra privacidad puede correr peligro.

Como conclusión puedo deciros que hay básicamente dos opciones, renunciar a la comodidad de este tipo de tecnologías y preservar nuestra privacidad, o creer que el fabricante tratará estos datos de manera confidencial y usar esa tecnología. La capacidad de elección está en nuestra mano.

Leer más

Hackeando tarjetas NFC

por:

Hackeando tarjetas NFC

Seguimos con nuestra línea de formación constante en materia de Seguridad y Hacking, centrándonos hoy en la forma de acceder, modificar, extraer o eliminar la información contenida en las tarjetas NFC.

¿Qué es una tarjeta NFC?

Una tarjeta NFC es prácticamente un circuito impreso muy liviano y flexible que, por dichas características, está presente en no pocos dispositivos y tiene múltiples usos. Podemos encontrar estos circuitos en infinidad de artículos y precios de ropa, alimentos y todo tipo de productos en grandes almacenes y supermercados; También se usan en las nuevas tipologías de tarjetas de visita y en no pocas tarjetas bancarias también.

De hecho, con la nueva ola de «pagos sin contacto» a través de tarjetas y teléfonos móviles a dispositivos de cobro por radiofrecuencia, este tipo de circuitos y tarjetas están teniendo una segunda vida muy provechosa… Y con ello, claro está, también muy vulnerable.

Seguro que si veis algunas imágenes reconoceréis este tipo de tarjetas que, quizá por su nombre, desconocéis:

pegatina NFCTarjeta NFC empleada comúnmente en el etiquetado de precios y control de innumerables productos en supermercados.

Leer más