Chema Alonso - Creo en internet

Inis

#27 cada vez que decia mus es porque no estara autorizado o no tendra tiempo para hablar de ciertas cosas, ya que si se tiene que poner a explicar lo que es la deep web delante de la gente que habia ahi (tenian pintas de ser empresarios, papis, etc) no hubiera terminado nunca y los otros tampoco se habrian enterado.

bertobrvc

Enorme. He visto el vídeo entero y no se como podría estar más de acuerdo con este hombre.

Soy estudiante del CFGS de administración informática con vistas a la universidad y todo lo que dice es cierto. Después de haber montado un servidor en mi casa, he corroborado que los ataques al FTP/SSH/WEB son constantes. No trata de tener un buen antivirus, sino de saber muy bien lo que haces, tratar de adelantarte a lo que quieren hacerte y tener todo actualizado a la última versión día a día.

Sin ir más lejos, el servidor de mi instituto es un Win2003-SP2 (imaginaros...); Entrar a él usando la consola m.....it para lanzar el exploit elegido gracias al conveniente uso del z.....p para ver qué puertos tiene o no escuchando (y por ende qué servicios) és el reto más sencillo que me he encontrado jamás. Los password hasheados de TODOS los usuarios (tanto alumnos como profesores y administrador de la red) los habría podido tener en mis manos con solo copiarlos y, por ende, mediante otra herramienta o.....ck poder poseer las contraseñas tal cuál (Como texto).

Para hacernos una idea, la seguridad en la red es como una botella (nuestro ordenador), agua (la información) y agujeros (los fallos de seguridad). Cuantos más agujeros haya, más fácil que se nos escape el agua sin darnos siquiera cuenta de lo que está pasando a nuestras espaldas.

Como últimos consejos:
1.- Nunca entréis en páginas web que no sepáis con certeza que son seguras o conocidas.
2.- No introduzcáis en vuestro ordenador un pen-drive que no consideréis seguro.
3.- No instaléis los programas de publicidad asociados a otros (Ask.com, TuneUP, etc...)
4.- (Y MUY IMPORTANTE) Tener un MAC o un sistema LINUX NO EXIME DE SER VULNERABLE

Saludos y suerte <3

2 respuestas
LoBezNo

Vaya un pedazo de crack. Te abre bien los ojos de lo que tenemos delante. Y ademas no puedes dejar de escucharle, engancha xD

#27 "mus" del juego de cartas. En plan "pasopalabra" xD

B

Por cierto, a los que os molen las conferencias de Chema Alonso y la seguridad informática os pongo esto aquí, es de la rooted de este año y está subida a internet desde hace poco:

"Owning bad guys and mafia with javascript botnets"

Lo mejor de todo son los ejemplos, en la rooted graban pantalla y ponente simultaneamente y mola más, no pierdes detalle xD.

P.S: Ni mac, ni linux, ni windows ni pollas o borras caché cada 2x3 o usas noscript o no estás a salvo xDD.

3 2 respuestas
syst3m-

#32 Basicamente lo que ha dicho el tio del video, no se para que ocultas nombres de programas que encuentras en la red gratis.

1 respuesta
Polakoooo

El video está muy bien, pero me falta una parte importantísima: ¿Qué hacemos para minimizar las amenazas? Y no me vale con hacer cosas de informático fuera del alcance de un usuario normal y corriente. Y si no se puede hacer nada, entonces no veo el sentido a obsesionarse con estas cosas, si total, tarde o temprano te van a estar monitorizando.

1 respuesta
1mP

#36 Lo dice por ahí en el video, actualizar siempre las aplicaciones/programas y tener un antispyware/malware. Y es como dices, no te puedes obsesionar, porque siempre habrá algo que pueda hacer que tu equipo esté en peligro, como conectarte a una pagina web o estar en alguna red social.

Lo explicaba al principio, es como ir por la calle, es peligroso porque te pueden atracar, pero tal vez eso no pase, pero te estas exponiendo a ello.

otheR

Me ha hecho gracia cómo hackearon el Pentagono, curioso xD

pontaeri663

Muy bueno, que fácil es burlarse de la seguridad xD

ssinister

Por qué MUS a la pregunta de Deep Web? hmm

ssinister

#34 me cago en las mil putas, estoy flipando jajaj, el chaval que sale al lado, Manu, es primo de mi amigo. He estado con el muchas veces cuando venía por aquí, se iba a Las Vegas a concursos de hackers. ESTOY 0.o jajajaj

1 respuesta
E

que se afeite el brazo ite

_Akiles_

#34 Jajajaja que bueno cuando enseñan al tio que hackeo una web pero que a su vez estaba siendo troyanizado por otro xDD

1 respuesta
bloodhound

Muy grande el tío este. No le conocía.

De todas formas como estudiante de informática la seguridad es uno de los temas que más me llama aunque no tenga ni puta idea. XD

Thanat0s

Básicamente estamos jodidos :D

B

#41

Si, a la Defcon imagino, es bastante famosete en el "under".

#43

Si xDDD, la coña es que de todos los que enseñan solo había uno que lo usaba para algo interesante xDD.

ekelon

#32

"Entrar a él usando la consola m.....it para lanzar el exploit elegido gracias al conveniente uso del z.....p para ver qué puertos tiene o no escuchando (y por ende qué servicios)"

explicate un poco no? lo de los puertos es un simple netstat pero no entiendo la primera parte.

1 respuesta
Kelem

Me acabo de ver el video entero y necesito clases suyas now!! :D pago lo que sea por aprender de este mundillo con un verdadero genio en esto :D,

bertobrvc

#35 y #47 No puse los nombres por 2 motivos sencillos. El primero es la facilidad para encontrar esas herramientas y el daño que pueden hacer; El segundo es que para usarlas correctamente hace falta tener unas nociones bastante avanzadas acerca de la seguridad en redes y su estructura.

Para #47: Hablo del uso del toolkit metasploit (Esta es la herramienta que menciona Chema)

Google is your friend. :clint:

1 respuesta
_Akiles_

No entiendo el secretismo, las herramientas se suelen utilizar para auditorias o para atacar tu propia red para ver los fallos de seguridad.

#49 pero como se supone que entraste con el metasploit, tengo entendido que necesita de un usuario que "pique" para que se lance el exploit, explicate un poco, en estos foros se ha hablado de ARP poison y de muchas otras cosas no veo el porque de ocultarlo.

1 respuesta
bertobrvc

#50

Bueno, visto lo visto paso a explicarlo.

El tema trata de entrar en un sistema, pero en este caso sin la intervención de un cliente.

Gracias al ZENMAP (Derivado gráfico del ZENMAP) escaneamos los puertos abiertos con sus servicios asociados y nos "adivina" el tipo de sistema operativo. Partiendo de este punto, buscamos en internet la lista de vulnerabilidades por sistema operativo y/o servicio. Después de encontrar la vulnerabilidad pasamos a buscar el exploit asociado a esta vulnerabilidad y mediante la consola METASPLOIT probamos a lanzar un ataque (En mi caso utilizando un payload, concrétamente el METERPRETER). Si al lanzar el ataque se abre una sesión es que la vulnerabilidad no ha sido parcheada y estamos dentro del sistema. En caso de que no se abra sesión, volveremos a iniciar el proceso de busqueda de vulnerabilidades y así hasta aburrirnos.

Esta es una de las mil formas de entrar a un equipo. Algunas son compilando un troyano de tipo BACKDOOR asociado a un programa normal de modo que cuando se ejecute en la victima, este crea un backdoor para poder ser utilizado a voluntad sin que la víctima se de cuenta. Otra forma es suplantando la identidad en la web como por ejemplo se explica en el vídeo.

Quien hizo la ley hizo la trampa ;)

jadgix

Me tragué el vídeo entero, muy ameno e interesante, la verdad, el tío un cachondo, me encanta su risa irónica xDDD

Empirico

alguien sabe donde esta el video en youtube del tio ese q esta con el panel de control mirando todas sus victimas del que habla alonso en #1?

duendeRX

Bastante bueno, pero muchas cosas ya sabia. 9/10

Toredum

Me ha encantado el vídeo, es más, a raíz de este me he picado a ver más, muy interesante.

El caso es que no tengo ni idea de informática pero aun así...