tag:blogger.com,1999:blog-21555208.post8514135172855598001..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: La Web de Confianza Online de Inteco HackeadaChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger50125tag:blogger.com,1999:blog-21555208.post-88132627505332536992012-01-02T10:29:21.083+01:002012-01-02T10:29:21.083+01:00Pues no han aprendido nada ;)
Esta mañana
http://...Pues no han aprendido nada ;)<br /><br />Esta mañana<br />http://www.confianzaonline.es/Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-53183296036330329302011-06-08T15:14:18.757+02:002011-06-08T15:14:18.757+02:00En la web de INTECO: Pasteo: Así mismo se le infor...En la web de INTECO: Pasteo: Así mismo se le informa que, si lo desea puede ejercitar los derechos previstos en el Art. 5 de la Ley a través del siguiente formulario de contacto, seleccionando como asunto LOPD e indicando su nombre completo, dirección de correo electrónico, y en el campo comentarios su DNI y el tipo de derecho que desea ejercitar, Acceso, Rectificación, Cancelación u Oposición, o cursar baja en los servicios ofrecidos por INTECO a través de su portal Web, solicitando la baja a través del enlace "Solicitar baja del portal", disponible en la pantalla de edición del perfil del usuario.<br />http://www.inteco.es/aviso_legal/<br />Por si fuera de interés para algún afectado u otro. Atentamente.Winston Smithhttp://cultureleaks.wordpress.com/noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-33585239253908801472011-06-08T11:31:47.865+02:002011-06-08T11:31:47.865+02:00Como decia... me "encanta" ver como el/l...Como decia... me "encanta" ver como el/los "anónimos" discuten y crean polémica mientras los nicks comentan sanamente... así da gusto!!!<br /><br />Vamos anónimos del mundo, poneros un nick que es gratis y seguís teniendo privacidad... ;Dfossiehttps://www.blogger.com/profile/04459507874163936269noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-75146085885969712662011-06-08T10:12:27.587+02:002011-06-08T10:12:27.587+02:00Ha estos señores la pasta les da igual, pagamos to...Ha estos señores la pasta les da igual, pagamos todos los españoles...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-11776073474500505482011-06-08T10:05:29.874+02:002011-06-08T10:05:29.874+02:00Está animado esto....ya sabemos que hablar de segu...Está animado esto....ya sabemos que hablar de seguridad no es seguro, ¡nunca menciones la seguridad!, y toca madera. Ahora todo el mundo se desnuda en La Red,<br />(dejando a un lado el extraño placer de la exhibición), mostrarlo<br />todo significa algo así como "ahí está todo", no queda nada más que descubrir, es de dominio público. y<br />el destape impúdico de datos curiosamente queda cubierto por la inmensidad de modelos y perfiles colgados. Toda esa paja informática<br />que tanta memoria ocupa es un cementerio de datos inerme y esteril que se replica por las inercias del funcionamiento. Una locura. Se nos ha olvidado hablar de ese fenómeno tan interesante y muy de moda....las filtraciones. El flujo de información tiene dos direcciones no?, entra y sale. Atentamente.Winston Smithhttp://hacksperger.wordpress.com/noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-86708288245694796082011-06-08T09:37:03.655+02:002011-06-08T09:37:03.655+02:00Anda que no leo bobadas, a ver a sido un ataque a ...Anda que no leo bobadas, a ver a sido un ataque a una web, si hubiera sido a otra pagina rollo "petardas" no nos quejaríamos tanto, jajaja.<br /><br />El problema de todo esto no son las dimisiones, ni los amiguismos, que por cierto estamos en ESPAÑA y eso esta a la orden del día, hasta en el McDonals, lo importante puede ser la repercusión mediática, que el Inteco pierde toda credibilidad, que los que hemos hecho un máster con ellos de aquí a 3 o 4 años cuando vayamos a buscar curro vamos a tener que aguantar la gracieta y por ultimo y lo mas importante que la gente si empieza a tomar medidas legales pueden crear una situación muy desagradable ya que si la auditoria dice que ha sido un fallo y estaba dentro del plan SGSI puede costarles mucha pasta.<br /><br />Espero que mis datos no se difundan mucho o bueno si mi teléfono le llega a una sueca tremenda tampoco me importaría. jajajaDon_gashhttps://www.blogger.com/profile/16087944563141787256noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-88223349917772443372011-06-07T21:34:19.384+02:002011-06-07T21:34:19.384+02:00Ouch! ¤#B@*! Blackberry...Ouch! ¤#B@*! Blackberry...Raistlinnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-40333437869852447022011-06-07T21:31:25.083+02:002011-06-07T21:31:25.083+02:00Habria que ver si el sgsi certificado cubria la pl...Habria que ver si el sgsi certificado cubria la plataforma de formacion.<br /><br />En caso afirmativo, si el control de vulnerabilidades tecnicas es eficiente.<br /><br />El impacto y daño sobre la imagen de INTECO ha sido enorme, pero que nadie se asuste, que recuerdo algo parecido en una importante empresa de hosting en el 2008.Raistlinnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-53204250855750962762011-06-07T21:30:37.321+02:002011-06-07T21:30:37.321+02:00Habria que ver si el sgsi certificado cubria la pl...Habria que ver si el sgsi certificado cubria la plataforma de formacion.<br /><br />En caso afirmativo, si el control de vulnerabilidades tecnicas es eficiente.<br /><br />El impacto y daño sobre la imagen de INTECO ha sido enorme, pero que nadie se asuste, que recuerdo algo parecido en una importante empresa de hosting en el 2008.Raistlinnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-31316052796192027812011-06-07T21:28:31.354+02:002011-06-07T21:28:31.354+02:00Habria que ver si el sgsi certificado cubria la pl...Habria que ver si el sgsi certificado cubria la plataforma de formacion.<br /><br />En caso afirmativo, si el control de vulnerabilidades tecnicas es eficiente.<br /><br />El impacto y daño sobre la imagen de INTECO ha sido enorme, pero que nadie se asuste, que recuerdo algo parecido en una importante empresa de hosting en el 2008.Raistinnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-55301702956044677202011-06-07T21:19:43.251+02:002011-06-07T21:19:43.251+02:00Para el que hablaba de querellas, aquí la cosa est...Para el que hablaba de querellas, aquí la cosa está más o menos así.<br />Un Director de IT o de Seguridad Informática sólo será responsable a título personal cuando sea autor del delito, es decir, cuando haya realizado el hecho por sí solo, conjuntamente o por medio de otro del que se haya servido como instrumento. Así lo establece el artículo 28 del Código Penal.<br />También son considerados autores los que inducen a directamente a otra persona o personas a ejecutar el hecho delictivo y los que cooperan en su ejecución con un acto sin el cual no se habría efectuado.<br />Como vemos, en todos estos casos el Código Penal exige una implicación directa y dolosa del directivo en la ejecución de los actos. Esta implicación puede consistir en la participación directa en el acto delictivo o en la emisión de órdenes e instrucciones que lleven a los subordinados a cometer el delito.<br />Los delitos tecnológicos no admiten otra forma de comisión que la dolosa. Es decir, no pueden cometerse por imprudencia. Exigen una conducta activa e intencional del sujeto, una voluntad deliberada de cometer el delito.<br />La jurisprudencia ha desarrollado el concepto de responsabilidad penal por omisión, en la que puede incurrir un directivo respecto a conductas delictivas ejecutadas por quienes ocupan en la organización empresarial puestos subordinados. Para que se dé esta figura, el directivo debe tener conocimiento de los hechos y poder de disposición sobre los mismos, omitiendo el ejercicio de las facultades propias de su cargo para impedir el delito.<br />Para ello, es necesario que el directivo disponga de datos suficientes para saber que la conducta de sus subordinados, ejecutada en el ámbito de sus funciones y en el marco de su poder de dirección, crea un riesgo penal, y es necesario también que el directivo no ejerza las facultades de control que le corresponden sobre el subordinado y su actividad, o no actúe para impedir el acto delictivo.<br />Esta tolerancia dolosa, que situaría al directivo en la esfera de la autoría, es independiente del rango del directivo, ya que existirá responsabilidad penal por omisión siempre que el directivo tenga una posición de garante, es decir una obligación de supervisión y control sobre los actos de sus subordinados.<br />Por ello, para que los directivos de un Departamento de IT o de un Departamento de Seguridad Informática puedan ser declarados responsables penales de un delito cometido por uno de sus subordinados, el nivel de implicación del directivo en los hechos debe ser alto, a través de la autoría directa o del conocimiento y la tolerancia dolosa de los actos de sus subordinados.<br />La deliberada falta de control sobre riesgos con un nivel de probabilidad medio o alto podría ser asimilada a tolerancia dolosa, aunque será necesario analizar las circunstancias de cada caso.<br /><br />En fin, we are in spain, Who will be the following?.....El mismo de antesnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-47377541300032204862011-06-07T20:06:24.685+02:002011-06-07T20:06:24.685+02:00Aquí algo que lo corrobora
http://pastebin.com/9d...Aquí algo que lo corrobora<br /><br />http://pastebin.com/9d4HA5gBAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-79038795609740092322011-06-07T17:31:17.696+02:002011-06-07T17:31:17.696+02:00Madre mía vaya peñazos...Madre mía vaya peñazos...tayokennoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-56291331682760390282011-06-07T15:38:11.906+02:002011-06-07T15:38:11.906+02:00En este sitio me parece a mi, que poca gente hace ...En este sitio me parece a mi, que poca gente hace su trabajo y el que lo quiere hacer bien se lo cargan o lo crucifican.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-19487765538212579562011-06-07T15:14:53.439+02:002011-06-07T15:14:53.439+02:00Se han sustraído porque alguien no ha hecho su tra...Se han sustraído porque alguien no ha hecho su trabajo. En España nadie dimite, pero aquí donde estoy yo (USA) no dimitirían, estarían en la calle porque alguien los habría echado ya. Y querella, porsupu.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-1061149774585140332011-06-07T15:01:33.493+02:002011-06-07T15:01:33.493+02:00¿Muy preocupado estas tu por las dimisiones? Lo pr...¿Muy preocupado estas tu por las dimisiones? Lo preocupante recalco, es que de un servidor de INTECO se ha sustraído los datos de mas de 20.000 usuarios.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-58646738187175878362011-06-07T14:56:38.166+02:002011-06-07T14:56:38.166+02:00Adaptación de la parábola anterior. (haber si sube...Adaptación de la parábola anterior. (haber si sube está vez)<br /><br /><br />Habia seis pentesters discutiendo sobre la seguridad de un sitio web, dado que estaban ante un sistema cerrado, decidieron hacer un test de vulnerabilidad en modo Black Box.<br /><br />El primero de ellos realizo una búsqueda en Google del dominio con la FOCA y dijo "El sitio tiene problemas de Information Disclousure, veo sobre que sistemas se ejecuta, es un problema de los Webmaster"<br /><br />El segundo de ellos, ejecuto Nmap sobre el dominio y exclamo "Tiene el puerto de ftp abierto y ejecuta una versión vulnerable, es un problema del administrador del sistema"<br /><br />El tercero de ellos utilizo ParosProxy y proclamo "El sistema tiene problemas de Cross Site Scripting y Sql Injection, evidentemente es un sitio que fue mal desarrollado"<br /><br />El cuarto dio uso de sqlmap y levantando la mano expresó "Las consultas a la base de datos se realizan con el usuario administrador, puedo<br />ejecutar comandos en el shell del sistema, es claro que es un problema del administrador de la base de datos"<br /><br />El quinto pentester abrió un comando en el shell y vio que la base de datos estaba en el mismo segmento de red que los usuarios, entonces dijo "Es un problema de los administradores del firewall, no hay zonas de seguridad creadas"<br /><br />Por último el sexto de ellos envió un email malicioso a la secretaria del gerente de sistemas y consiguió instalar un troyano en su maquina " Es un problema de educación, es muy fácil utilizar ingeniería social"<br /><br />Asi todos discutían acaloradamente cual de los problemas era mas grave, y aunque parcialmente cada uno en lo cierto, ante ellos se erigia la enorme verdad de que en esa empresa a nadie le importaba la seguridad.<br /><br />"Parábola de los Seis Pentesters".<br />Encontrada en una abadia abandonada en las afueras de Gerli.El mismo de antesnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-43603217344883711642011-06-07T14:42:50.702+02:002011-06-07T14:42:50.702+02:00uy cuantas siglas te sabes "Anónimo"... ...uy cuantas siglas te sabes "Anónimo"... ya podías usar un nick.<br /><br />Todo el mundo esta sometido a la LOPD, la gente no puede dar datos personales alegremente y que yo sepa ellos no lo han hecho por lo que no han infringido la LOPD. Quien ha infringido la LOPD ha sido el hacker por difundir la información.<br /><br />¿Ellos tienen un CERT? Microsoft también y ¿alguién dimite? ¿acaso tener un CERT nos garantiza que seamos infalibles?. Si estan sometidos a un SGSI tal vez sea ese SGSI quien deba dar explicaciones ¿no?fossiehttps://www.blogger.com/profile/04459507874163936269noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-6811927342120535572011-06-07T14:41:54.636+02:002011-06-07T14:41:54.636+02:00El mismo de antes dijo...: justamente leí ayer tu ...El mismo de antes dijo...: justamente leí ayer tu parábola en otro tema que no tiene nada que ver. Que casualidad. :)Alex Millàhttps://www.blogger.com/profile/10491400771156357866noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-61542506617633533732011-06-07T14:41:35.702+02:002011-06-07T14:41:35.702+02:00Habia seis pentesters discutiendo sobre la segurid...Habia seis pentesters discutiendo sobre la seguridad de un sitio web, dado que estaban ante un sistema cerrado, decidieron hacer un test de vulnerabilidad en modo Black Box.<br /><br />El primero de ellos realizo una búsqueda en Google del dominio y dijo "El sitio tiene problemas de Information Disclousure, veo sobre que sistemas se ejecuta, es un problema de los Webmaster"<br /><br />El segundo de ellos, ejecuto Nmap sobre el dominio y exclamo "Tiene el puerto de ftp abierto y ejecuta una versión vulnerable, es un problema del administrador del sistema"<br /><br />El tercero de ellos utilizo ParosProxy y proclamo "El sistema tiene problemas de Cross Site Scripting y Sql Injection, evidentemente es un sitio que fue mal desarrollado"<br /><br />El cuarto dio uso de SQLPowerInjector y levantando la mano expreso "Las consultas a la base de datos se realizan con el usuario administrador, puedo<br />ejecutar comandos en el shell del sistema, es claro que es un problema del administrador de la base de datos"<br /><br />El quinto pentester abrio un comando en el shell y vio que la base de datos estaba en el mismo segmento de red que los usuarios, entonces dijo "Es un problema de los administradores del firewall, no hay zonas de seguridad creadas"<br /><br />Por ultimo el sexto de ellos envio un email malicioso a la secretaria del gerente de sistemas y consiguió instalar un troyano en su maquina " Es un problema de educación, es muy facil utilizar ingeniería social"<br /><br />Asi todos discutían acaloradamente cual de los problemas era mas grave, y aunque parcialmente cada uno en lo cierto, ante ellos se erigia la enorme verdad de que en esa empresa a nadie le importaba la seguridad.<br /><br />"Parábola de los Seis Pentesters".<br />Encontrada en una abadia abandonada en las afueras de Gerli.El mismo de antesnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-31147722102380372972011-06-07T14:39:39.160+02:002011-06-07T14:39:39.160+02:00Podría aplicarse después de todos los comentarios ...Podría aplicarse después de todos los comentarios para paràbola de los seis hindúes.<br /><br />Seis hindúes sabios, inclinados al estudio, quisieron saber qué era un elefante. Como eran ciegos, decidieron hacerlo mediante el tacto.<br />El primero en llegar junto al elefante, chocó contra su ancho y duro lomo y dijo: «Ya veo, es como una pared».<br />El segundo, palpando el colmillo, gritó: «Esto es tan agudo, redondo y liso que el elefante es como una lanza».<br />El tercero tocó la trompa retorcida y gritó: «¡Dios me libre! El elefante es como una serpiente».<br />El cuarto extendió su mano hasta la rodilla, palpó en torno y dijo: «Está claro, el elefante, es como un árbol».<br />El quinto, que casualmente tocó una oreja, exclamó: «Aún el más ciego de los hombres se daría cuenta de que el elefante es como un abanico».<br />El sexto, quien tocó la oscilante cola acotó: «El elefante es muy parecido a una soga».<br />Y así, los sabios discutían largo y tendido, cada uno excesivamente terco y violento en su propia opinión y, aunque parcialmente en lo cierto, en su frente se erigía la enorme verdad del elefante.<br /><br />"Parábola de los Seis Sabios Ciegos y el Elefante".<br />Atribuida a Rumi, sufí persa del s. XIII.El mismo de antesnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-4228893529363196822011-06-07T14:34:37.170+02:002011-06-07T14:34:37.170+02:00Pero si ellos tienen un CERT... y son referentes e...Pero si ellos tienen un CERT... y son referentes es seguridad, están sometidos a un SGSI y a la LOPD. Eso significa que existen los procedimientos necesarios para identificar ese problema de seguridad antes de que ocurra. AHHHH vale, que se han pasado los procedimientos por ahíAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-11754835546743795632011-06-07T14:32:03.128+02:002011-06-07T14:32:03.128+02:00Me ha recordado la parábola de los 6 pentesters.
...Me ha recordado la parábola de los 6 pentesters.<br /><br />Habia seis pentesters discutiendo sobre la seguridad de un sitio web, dado que estaban ante un sistema cerrado, decidieron hacer un test de vulnerabilidad en modo Black Box.<br /><br />El primero de ellos realizo una búsqueda en Google del dominio y dijo "El sitio tiene problemas de Information Disclousure, veo sobre que sistemas se ejecuta, es un problema de los Webmaster"<br /><br />El segundo de ellos, ejecuto Nmap sobre el dominio y exclamo "Tiene el puerto de ftp abierto y ejecuta una versión vulnerable, es un problema del administrador del sistema"<br /><br />El tercero de ellos utilizo ParosProxy y proclamo "El sistema tiene problemas de Cross Site Scripting y Sql Injection, evidentemente es un sitio que fue mal desarrollado"<br /><br />El cuarto dio uso de SQLPowerInjector y levantando la mano expreso "Las consultas a la base de datos se realizan con el usuario administrador, puedo<br />ejecutar comandos en el shell del sistema, es claro que es un problema del administrador de la base de datos"<br /><br />El quinto pentester abrio un comando en el shell y vio que la base de datos estaba en el mismo segmento de red que los usuarios, entonces dijo "Es un problema de los administradores del firewall, no hay zonas de seguridad creadas"<br /><br />Por ultimo el sexto de ellos envio un email de pishing a la secretaria del gerente de sistemas y consiguió instalar un troyano en su maquina " Es un problema de educación, es muy facil utilizar ingeniería social"<br /><br />Asi todos discutían acaloradamente cual de los problemas era mas grave, y aunque parcialmente cada uno en lo cierto, ante ellos se erigia la enorme verdad de que en esa empresa a nHabia seis pentesters discutiendo sobre la seguridad de un sitio web, dado que estaban ante un sistema cerrado, decidieron hacer un test de vulnerabilidad en modo Black Box.<br /><br />El primero de ellos realizo una búsqueda en Google del dominio y dijo "El sitio tiene problemas de Information Disclousure, veo sobre que sistemas se ejecuta, es un problema de los Webmaster"<br /><br />El segundo de ellos, ejecuto Nmap sobre el dominio y exclamo "Tiene el puerto de ftp abierto y ejecuta una versión vulnerable, es un problema del administrador del sistema"<br /><br />El tercero de ellos utilizo ParosProxy y proclamo "El sistema tiene problemas de Cross Site Scripting y Sql Injection, evidentemente es un sitio que fue mal desarrollado"<br /><br />El cuarto dio uso de SQLPowerInjector y levantando la mano expreso "Las consultas a la base de datos se realizan con el usuario administrador, puedo<br />ejecutar comandos en el shell del sistema, es claro que es un problema del administrador de la base de datos"<br /><br />El quinto pentester abrio un comando en el shell y vio que la base de datos estaba en el mismo segmento de red que los usuarios, entonces dijo "Es un problema de los administradores del firewall, no hay zonas de seguridad creadas"<br /><br />Por ultimo el sexto de ellos envio un email de pishing a la secretaria del gerente de sistemas y consiguió instalar un troyano en su maquina " Es un problema de educación, es muy facil utilizar ingeniería social"<br /><br />Asi todos discutían acaloradamente cual de los problemas era mas grave, y aunque parcialmente cada uno en lo cierto, ante ellos se erigia la enorme verdad de que en esa empresa a nadie le importaba la seguridad.<br /><br />"Parábola de los Seis Pentesters".<br />Encontrada en una abadia abandonada en las afueras de Gerli.adie le importaba la seguridad.<br /><br />"Parábola de los Seis Pentesters".<br />Encontrada en una abadia abandonada en las afueras de Gerli.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-48995874671275611262011-06-07T14:30:05.659+02:002011-06-07T14:30:05.659+02:00Si, así es, igual los avisaron y nadie hizo nada. ...Si, así es, igual los avisaron y nadie hizo nada. Igual el hackeo es cosa de un extraterrestre...<br /><br />Es lo guay de esto, es fácil hablar con suposiciones y conjeturas pero ¿quien habla con rigor?<br /><br />Si alguien tiene los datos que los exponga y no empeceis con polémicas ni escandalos porque eso no ayuda.<br /><br />Si yo veo un problema de seguridad en un sitio lo primero que hago es avisar y si pasado un tiempo pasan de mi pues se hace público y que se busquen la vida pero que yo sepa el hacker no ha dicho que les hubiera avisado ¿porque no ha hecho público el email donde les informaba del problema?<br /><br />Y... en el caso de detectar un problema de seguridad seguro que si habrían hecho caso si se pone en conocimiento del grupo de delitos tecnológicos.<br /><br />Toy cabreao!!!!!! jajajajajafossiehttps://www.blogger.com/profile/04459507874163936269noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-34449384184590961932011-06-07T14:25:00.518+02:002011-06-07T14:25:00.518+02:00Igual si los avisaron durante años y nadie hizo na...Igual si los avisaron durante años y nadie hizo nada para remediarlo...Anonymousnoreply@blogger.com