tag:blogger.com,1999:blog-21555208.post2865924665212991778..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: Agua pasada no mueve molinoChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger40125tag:blogger.com,1999:blog-21555208.post-15329053992280314222008-07-24T12:45:00.000+02:002008-07-24T12:45:00.000+02:00Hola Chema,Te conozco de asistir a varios seminari...Hola Chema,<BR/><BR/>Te conozco de asistir a varios seminarios de los que impartes y comprendo que tengas dudas sobre poner los enlaces o no, pero tienes que tener en cuenta, que aunque se pueda hacer daño con ello, es muy util para mucha gente.<BR/><BR/>Trabajo en una empresa de programacion de paginas web, y hace años estabamos pez (ahora un pelin menos) en cuestion de seguridad, y gracias al ejemplo que nos pusiste de sql injection en la pagina del barsa, revisamos nuestras webs y encontramos muuuchas cosas que corregir.<BR/><BR/>Ahora nos encontramos buscando posibles agujeros, y solo los encontramos cuando vemos de que ingeniosa manera han entrado en algun otro lugar.<BR/><BR/>Por ello yo te aconsejaria/rogaria, que si informes de sitios y tacticas habituales para acceder a webs, etc.. ya que es la mejor herramienta que tenemos muchos para no cometer esos errores.<BR/><BR/>Un saludo y gracias.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-34743443367594097462008-06-24T16:55:00.000+02:002008-06-24T16:55:00.000+02:00Para la gente que empezamos, es un poco dificil al...Para la gente que empezamos, es un poco dificil al principio. Esta claro que lo principal en este mundillo es el auto aprendidaje, y tu propio afan por aprender cosas nuevas. Pero cuando alguien te habla de una tecnica y te enseña 4 cosas y tu te lees otras 4 tienes el concepto pero es dificil aplicarlo. Un step by step esta claro que ayudaria. El tema de publicarlo supongo que puede dar problemas. Y si lo mandas al correo a quien te lo solicite?? Es una sugerencia<BR/><BR/>Yo intento hacerme una carrera en el mundo de la seguridad (estoy empezando) y me parece que hay mucho por abarcar y por aprender. una ayudita nunca viene mal. Leyendo este foro se aprende y te echas unas risas, ya con las guias paso a paso estaria completisimo XD<BR/><BR/>Saludos :)Darth Kiwihttps://www.blogger.com/profile/16669791684837605026noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-40002099209503807562008-06-23T17:36:00.000+02:002008-06-23T17:36:00.000+02:00Yo creo que podrias publicar la de paginas que ya ...Yo creo que podrias publicar la de paginas que ya no existan, o que no hallan corregido el error, asi podemos ver como se utilizan las tecnicas y no te metes (ni se meten) en lios por publicar fallos existentes en estos momentos<BR/><BR/>Un Saludo.Diego Arranz Pradahttps://www.blogger.com/profile/16378568026268172696noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-10002855291248716692008-06-22T23:55:00.000+02:002008-06-22T23:55:00.000+02:00Yo creo que deberiais prohibir los DVDeses porque ...Yo creo que deberiais prohibir los DVDeses porque hay gente que creo que graba una cosa muy feita que se llama porno en ellos.<BR/>Ahora en serio. Yo sí lo publicaría si pudiese, aprender no es malo, además no se hacen cursos que hay que pagar para aprender esas técnicas para luego poder defenderse de ellas?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-27758906029150247852008-06-22T15:10:00.000+02:002008-06-22T15:10:00.000+02:00Ni te cortes, publicalo.Ni te cortes, publicalo.aleixhttps://www.blogger.com/profile/18289510731808460186noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-87002005569977773252008-06-22T14:46:00.000+02:002008-06-22T14:46:00.000+02:00me gusta la idea de duck, que quien supere el prox...me gusta la idea de duck, que quien supere el proximo reto se gane el derecho a acceder a esos tutoriales, se supone que esa gente sabe lo que hace, y la responsabilidad ya corre de su cuenta, no?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-57098960064656603402008-06-22T12:01:00.000+02:002008-06-22T12:01:00.000+02:00Mi consejo...Si no vas a mostrar nada nuevo no pub...Mi consejo...<BR/><BR/>Si no vas a mostrar nada nuevo no publiques. Ya tu mismo lo dijiste, lo unico que añadirias es el morbo.<BR/>Para aquellos que dicen de aprender... realmente aprenderiais algo de ver que la web de paquito pascual tiene tal fallo? El como hacer, que es lo realmente importante, ya lo has explicado en este mismo blog a tus lectores.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-14389169344437286142008-06-22T10:45:00.000+02:002008-06-22T10:45:00.000+02:00creo que te has respondido a tí mismo con esto que...creo que te has respondido a tí mismo con esto que has dicho: "poner aquí decenas de webs con técnicas similares lo único que tendrá es la gracia y el morbo de verlo en determinadas webs conocidas..."<BR/><BR/>si es así, no lo hagas, sería tomatero<BR/><BR/>mola lo que te ha propuesto Mikelats "...simular con otro aspecto esas web-s con problemas. Se podrían reproducir las vulnerabilidades y publicar la forma de explotarlos...<BR/>"<BR/><BR/>besosAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-68675234800949764202008-06-22T03:30:00.000+02:002008-06-22T03:30:00.000+02:00Maligno, te propongo una tercera vía.Publicalo per...Maligno, te propongo una tercera vía.<BR/><BR/>Publicalo pero con condiciones, la primera como has comentado que sólo sea sobre sitios ya parcheados y la segunda que tenga un periodo de carencia, es decir, si es sobre una vulnerabilidad ya parcheada de principios del 2008, pues hasta mediados del 2009 no lo publiques, un año y medio de margen (según creas) por dos razones:<BR/>a)me parecen impresentables los admin que se duermen en los laureles y pasan de la seguridad como el caso del FCB o tantos otros, será un aliciente para que espabilen...<BR/>b)los que quieran solo fastidiar y no aprender, quedaran neutralizados con este periodo de carencia.<BR/><BR/>Y así todos contentos, por un lado potenciamos la conciencia de seguridad en este país (que es casi nula) y aprendemos por el otro lado.<BR/><BR/>Saludos.Onlyamdhttps://www.blogger.com/profile/07934445052331805518noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-79393903741697602972008-06-22T00:16:00.000+02:002008-06-22T00:16:00.000+02:00@romansoft, ya me conoces, nunca quiero que se enf...@romansoft, ya me conoces, nunca quiero que se enfade nadie, pero algunas veces se enfadan.... y esa noche no duermo...Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-87663091369365579202008-06-21T20:38:00.000+02:002008-06-21T20:38:00.000+02:00SI están ya parcheadas y SI no te importa que algú...SI están ya parcheadas y SI no te importa que algún webmaster o informático de turno se te cabree (es lo máximo que podría pasar), publica.<BR/><BR/>Legalmente no deberías de tener ningún problema.<BR/><BR/>-rAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-64724863682970654542008-06-21T20:27:00.000+02:002008-06-21T20:27:00.000+02:00Hombre Maligno, si son de sitios ya parcheados yo ...Hombre Maligno, si son de sitios ya parcheados yo creo que no hay ningún problema. Yo si tuviera en mis manos eso me pasaría lo mismo, no sabría si publicarlo o no, es un dilema muy grande. <BR/><BR/>No se, en parte apetece que lo publiques para ver ciertas cosas en real, pero que este post haya conseguido 28 comentarios parece un poco que la gente solo te quiere cuando haces cosas malas??<BR/><BR/>Hoy no duermes ni de coña jaja!!!Asfasfoshttps://www.blogger.com/profile/01836848245453150160noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-62102010926169060672008-06-21T20:16:00.000+02:002008-06-21T20:16:00.000+02:00Hola informático en el lado del mal,IMHO yo propon...Hola informático en el lado del mal,<BR/><BR/>IMHO yo propondría un "reto hacking" y quien lo supere gane derecho al acceso del tutorial (y si el reto es la misma técnica usada en el tutorial mejor que mejor).<BR/>Y de más fácil a más dificil tmb.<BR/><BR/>Aunque tampoco le veo nada de malo publicarlas directamente, si ya han corregido el fallo que más da.<BR/><BR/>Pero lo del reto me hace más gracia jejej<BR/><BR/>Saludos malignos!Dukhttps://www.blogger.com/profile/08950681137864186293noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-37448980775905101302008-06-21T18:52:00.000+02:002008-06-21T18:52:00.000+02:00Bueno, he leido muchas opiniones al respecto, y os...Bueno, he leido muchas opiniones al respecto, y os agradezco todos los consejos. Creo que uno de los documentos que más me gustó leer fue el de rpf, (el primero que habló de SQL Injection hace ya casi 10 años) que se titulaba: <BR/><BR/><A HREF="http://www.wiretrip.net/rfp/txt/rfp2k01.txt" REL="nofollow">How i hacked PacketStorm</A><BR/><BR/>El documento me enseñó mucho y no creo que sea malo si el sitio está corregido, pero... entiendo las otras opiniones.<BR/><BR/>Seguiré pensando en ello.<BR/><BR/>Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-24673544138278956232008-06-21T18:45:00.000+02:002008-06-21T18:45:00.000+02:00Si lo haces, sé discreto en formas y contenido, es...Si lo haces, sé discreto en formas y contenido, esa es mi opinión.<BR/><BR/>Saludos!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28352478056161238582008-06-21T17:33:00.000+02:002008-06-21T17:33:00.000+02:00Como dices si los sitios estan corregidos yo las p...Como dices si los sitios estan corregidos yo las publicaria... para zopencos como yo el tener más ejemplos nos puede ayudar a entender y ver nuevas formas de trabajo...<BR/><BR/>ahora que tu mandas, tu decides...Toniohttps://www.blogger.com/profile/17848697528112314228noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-17168422739960496332008-06-21T16:42:00.000+02:002008-06-21T16:42:00.000+02:00Cuanto tiempo sin escribirte, aunque te leo todos ...Cuanto tiempo sin escribirte, aunque te leo todos los dias...A ver...Acabas de preparar una batalla similar a Windows-Linux XD.<BR/><BR/>Ahora en serio, a mi personalmente me encantaría acceder a esa información, ya que soy un aprendiz (llevo ya seis meses enganchado al lado del mal), aprendo como puedo (y con tu ayuda, aunque imagino que ya lo sabrás) y me vendría muy bien ver ejemplos reales de ataques, pero no me parece buena idea que lo hagas público, aunque las paginas ya no sean vulnerables hay mucho script kiddie que aplicará ese step by step a otras páginas y seguro que acaba encontrando una página vulnerable.<BR/><BR/>Respecto a los newbies que quieran aprender lo único que os puedo decir es que leáis manuales (creo que es mejor aprender de un manual en plan genérico, que de un ejemplo especifico), de esta pagina o de otras, hay cientos pululando por internet, pero no hay mayor satisfacción, por lo menos para mi, que enfrentarse a un reto hacking y acabar encontrando el agujero de seguridad y pensar que no he echo un copy-paste de un ejemplo de tal pagina, si no que he aplicado tal ataque con una pequeña variación por que tal o por que cual...y ya de paso aprender sobre la marcha como explotarle y acabar en el hall of fame.<BR/><BR/>En resumen, para los vagos que no lean mi comentario entero :P mi opinion es NO.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-62316525326785373212008-06-21T15:53:00.000+02:002008-06-21T15:53:00.000+02:00Yo personalmente lo que haria seria hablar con los...Yo personalmente lo que haria seria hablar con los responsables del sitio web, asegurar que el problema está solucionado (por lo que dices ya lo está) y si ellos quieren, publicarlo.<BR/>Esto no es EEUU, pero supongo que si una empresa queda delatada por dar un mal servicio en el pasado no le hará gracia y no se si podria haber alguna demanda por mala imagen o algo así.<BR/>Por la parte de los scripts kiddies... bien, si: Podria ser que alguno intentase repetir esos ataques en bateria, pero ese es su riesgo.warp3rhttps://www.blogger.com/profile/12507664999111279742noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-76359974992200930452008-06-21T15:51:00.000+02:002008-06-21T15:51:00.000+02:00si porque posibles personas puedan llegar a hacer ...si porque posibles personas puedan llegar a hacer mal con la info que publiques entonces mejor no publiques nunca nada no vaya a ser que digan que han aprendido de ti.<BR/>Ademas si ya estan corregidos los fallos no entiendo que problema hay. Quizas se podría ocultar los nombres de dominio y logos de las web para que queden 'irreconocibles' no?<BR/><BR/>para gente como yo que somos nuevos nos viene muy bien para aprender y mas o menos todo el mundo sabe lo que uno puede hacer y lo que no.<BR/>Pero bueno todo queda en tus manos, si crees que puede haber repercusiones no lo hagas!aunque dudo que las haya<BR/><BR/>Un saludodalvarez_shttps://www.blogger.com/profile/15762132693688259268noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-32566277378118319412008-06-21T14:36:00.000+02:002008-06-21T14:36:00.000+02:00Yo soy el último anónimo, que se me olvidó poner e...Yo soy el último anónimo, que se me olvidó poner el nombre.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-44789449012879643742008-06-21T14:35:00.000+02:002008-06-21T14:35:00.000+02:00Veo que hay mucha gente que no está de acuerdo en ...Veo que hay mucha gente que no está de acuerdo en publicarlo. @pedro dicen que "el que quiera peces que se moje el culo" y un anónimo que el que quiera aprender que se lo curre él mismo. Veo que hay más que están en esa línea.<BR/><BR/>Creo que este razonamiento es totalmente incompatible con este blog. No tiene sentido porque uno de los aspectos es el didáctico. Como ejemplo el último tutorial de LDAP. De la forma anterior de razonar, tampoco se debería haber publicado ni ese tutorial, ni ninguno de los anteriores.<BR/><BR/>El único impedimento que veo es el legal. Si sabes que no tendrás problemas, yo diría adelante. <BR/><BR/>Veo todo esto como cuando estudiaba. Primero veía la teoría. Después trataba de hacer los ejercicios (el símil serían los retos hacking). Y por último hacía exámenes de otras convocatorias. Los exámenes serían parecido a problemas reales de webs. Por eso yo te animo a que los publiques siempre que no te metas en líos legales.<BR/><BR/>Y para los que dicen que es una información que puede ser usada para hacer "daño". No publicarlo no sería algo parecido a "seguridad por oscuridad". Además, el que quiere joder a alguien, seguro que no le resulta complejo en Internet encontrar información de unas cuantas técnicas.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-4301718796451618012008-06-21T14:22:00.000+02:002008-06-21T14:22:00.000+02:00Si están corregidos los bugs creo que estaría bien...Si están corregidos los bugs creo que estaría bien.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-8282928622676454292008-06-21T13:26:00.000+02:002008-06-21T13:26:00.000+02:00@anonimilloDefinitivamente tienes razón, el que qu...@anonimillo<BR/>Definitivamente tienes razón, el que quiera tener esa información de una forma más clara que aprenda la lengua de Shaskpeare que por lo visto es más extendida en la tierra (o es el chino?) y se trage todo con un buen diccionario en la mano (bendito google translator) recorriendo los blogs, viendo videotutoriales de lengua inglesa exigiendo más esfuerzo y tiempo (cosas que ya no sabe uno de donde sacarlas) para tener un nivel medianamente decente. después dicen que España en tecnología va atrasada...<BR/>Un saludoAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-63277105655293586742008-06-21T13:14:00.000+02:002008-06-21T13:14:00.000+02:00Mas bien, yo diría que no lo hagas.Saludos Inferna...Mas bien, yo diría que no lo hagas.<BR/><BR/>Saludos Infernales.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-60025468743877716532008-06-21T12:39:00.000+02:002008-06-21T12:39:00.000+02:00@Maligno: Yo diría que la respuesta es clara: ...@Maligno: <BR/> Yo diría que la respuesta es clara:<BR/><BR/> No, más que nada por la mayoría de comentarios tipo "me gustaría ver un ataque en real", creo que explicar la teoría, hacer retos hacking (explicando las soluciones), incluso mostrar capturas de según que errores y explicarlo con todo lujo de detalles es más que suficiente.<BR/><BR/> Si publicases casos reales no verás comentarios mejorando la técnica ni nuevas formas de explotar el error, ni nada parecido, sólo verás cosas como: "Qué way! hoy mismo voy a buscar agujeros similares en todas las páginas que conozco."<BR/><BR/> Y recuerda que una vez publicas algo queda como una gran losa inamovible en internet... :)<BR/><BR/> Así que si esto es un POLL! i say no.Anonymousnoreply@blogger.com