Archive

You are currently browsing the archives for the Chicharrones category.

Nov

30

El mito de Hackear una cuenta de Facebook

By Jose Antonio Cely Saidiza

Frecuentemente amigos / conocidos / otros, me formulan preguntas tales como: “Me Hackearon el Facebook! Ayudame!” o el irónico “¿Me enseñas a Hackear un Facebook?”, o el molesto “¿Cuanto me cobras por Hackear un Facebook?” y por último la peor y más insultante… “Me hackeron el facebook! y fuiste tu!“.
Así pues este tema merecía un artículo, para poderlo enviar como respuesta a futuras preguntas y no perder más tiempo exponiendo mi punto de vista.

Antes de entrar en tema, aclaremos conceptos que generalmente causan confusión puesto han sido malversados por los medios:

Cracker: Aquel que rompe la seguridad de un sistema.
Facebook: Nevera de pobres (siempre lo abres aun sabiendo que esta vacío)
Hacker: Una persona que disfruta aprendiendo los detalles de los sistemas de programación y cómo extender sus capacidades, a diferencia de la mayoría de los usuarios que prefieren aprender sólo el mínimo necesario (3)
Hackear: Acción de explorar y buscar las limitantes de un código o de una máquina (3)
Ingeniería social: la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos
Key logger: Software cuya función es capturar todas las teclas presionadas en el computador donde esta instalado
Pirata: Marinero/Navegante que se dedica a asaltar otros barcos o a hacer incursiones en la costa
Troyano: Software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo le brinda a un atacante acceso remoto al equipo infectado

Continuando, vale la pena recordar que esta necesidad de asaltar la privacidad del prójimo no es nueva. Anteriormente llegaban las mismas preguntas, pero para la tecnología de turno (Ej. Messenger, skype, etc.etc.) y muy seguramente este artículo servirá para la siguiente moda tecnológica pasajera.

A continuación la respuesta genérica a las preguntas advirtiendo que hay humor negro. Absténgase de leer si no sabe interpretar bromas o sarcasmo.

P: ¿Es posible Hackear una cuenta de Facebook?

R: Si, todo sistema informático tiene vulnerabilidades y Facebook no es la excepción. Sin embargo Facebook o el servicio que sea esta en constante revisión y actualización por cientos de programadores, auditores de seguridad, etc. Esto hace difícil encontrar una vulnerabilidad y explotarla, pues requeriría muchas horas de ingeniería en continua investigación, de tal vez muchos programadores, o posiblemente un solo programador pero con gran conocimiento y suerte. Así pues cualquiera de estos escenarios requieren mucho tiempo y habilidades. Fácilmente se llega la conclusión que tiempo y habilidades es dinero.
Tal vez un Cracker con su ejercito de delincuentes lo pueda hacer, pero ten la seguridad que por este “servicio” te cobrará miles de dolares.

P: ¿Como se Hackea un Facebook?

R: A la fecha no he conocido UN solo mecanismo explotable de Facebook, de vez en cuando se escucha de vulnerabilidades pero no son tan críticas.
Cuando se han “robado” cuentas de facebook con intervención tecnológica, generalmente es por un virus, o troyano o Key logger instalado en el computador donde la victima accede a su cuenta de facebook, dejando su información personal fácilmente disponible a un Cracker.

Aclaré intervención tecnológica, pero tristemente la mayoría de ataques nacen en la “ingeniería social”, que consiste en engañar al usuario con historias que parecen lícitas, pero que en realidad se aprovechan de su buena fé o desconocimiento para que el propio usuario entregue su información o facilite la instalación de programas maliciosos. La siguiente pregunta aclara este escenario.

A: “Me hackearon el facebook! Ayudame!”

R: Triste, pero créeme, tengo cosas más importantes que hacer (tales como rascarme mi oreja derecha)…. Crap!, solo por ser este artículo responderé con más detalle.

Primero, ¿tu contraseña era segura?. La mayoría de los casos que escucho, es por vulnerabilidad de la contraseña. Una buena contraseña es la primera barrera de seguridad, para evitar esto ten en cuenta las siguientes recomendaciones:

  • Utiliza una contraseña diferente para todas tus cuentas importantes.
  • Cambia tu contraseña a menudo
  • Utiliza una contraseña que incluya letras, números y símbolos
  • Crea una contraseña que no se pueda adivinar con facilidad
  • Asegúrate de que las opciones de recuperación de contraseña estén actualizadas y sean seguras
  • Guarda las contraseñas en un lugar secreto que no esté a la vista

Si tu contraseña era algo como “misnombressinespcios” o “elnombredemiamante” o  “esa_fecha_tan_especial”,seguramente la falla estuvo por ese lado. Puede parecer obvio pero algunas personas consideran “seguros” datos tan públicos como los nombres de sus hijos o la dirección de su casa.

Si este fue el caso deberías cambiar tu pregunta a:
Hace un tiempo me inscribí en el servicio www.facebook.com, y dada mi ignorancia informática y/o pereza me inscribí usando una contraseña vulnerable y/o muy obvia, por lo tanto alguien fácilmente la supuso y/o obtuvo. ¿Me podrías asesorar sobre como escalar este tema con el soporte técnico oficial de www.facebook.com?
Tal vez con la pregunta de esta forma, podría dejar de rascar mi oreja derecha y prestarte algo de atención.

Si tu contraseña era segura pero aun así te “hackearon”, seguramente fuiste victima de un virus / troyano / keylogger. Seguramente te llego un mail o link lleno de morbo (Ej. “Haz click acá y verás las visitas a tu muro”) dando el primer paso para que se instale el programa malicioso en cuestión…. deja el morbo!
Incluso también pudo ser que fuiste algo iluso usando algún servicio en línea para “hackear facebook”. Sobra decir que entregaste todo en bandeja de plata, Ej. usuario en facebook, numero celular, etc.
Deja de ser tan iluso y deja el morbo!

Por último también pudo ser que usaste un computador ajeno (Ej. café internet, computador de un “amigo” cracker, etc) que tenía instalado el programa malicioso, capturando tu contraseña, nuevamante entregando todo en bandeja de plata.

P: ¿Me enseñas a Hackear un Facebook?

R: Eres un desgraciado por querer hacer esas cosas y un subnormal por pedir a un hacker que te ayude (1).
Pero aun eres mi amigo, por favor lee arriba donde dice ¿Es posible hackear una cuenta de Facebook?.
Sin embargo si eres capaz de formular esa pregunta, lo más probable es que no tienes las mínimas capacidades para ser un Hacker. Mejor sigue perdiendo el tiempo en esa nevera.

Te recomiendo una lectura a http://www.sindominio.net/ayuda/preguntas-inteligentes.html

P: ¿Cuanto me cobras por hackear un facebook?

R: Me ofendes.
Eres un desgraciado por querer hacer esas cosas y un subnormal por pedir a un hacker que te ayude (1).
Sin embargo, aun eres mi amigo, lee arriba donde dice ¿Es posible hackear una cuenta de Facebook?, si lees el parrafo, tal vez llegues a la conclusión que si un delincuente hiciera eso, te cobraría muchísimo dinero. ¿Vale tanto tu morbo? Creo necesitas ayuda de un psiquiatra.
Si tienes la capacidad de pagar ese dinero, mejor inviértelo en un consejero de pareja, en un espía, en una amante, etc. te aseguro será más efectivo. Si el dinero es problema para ti, te recomiendo que hables y/o enfrentes personalmente a tu pareja y/o “victima”, tal vez llegues a la solución verdadera y humana a tu problema.

Nuevamante te recomiendo una lectura a http://www.sindominio.net/ayuda/preguntas-inteligentes.html

A: Tienes que ayudarme de verdad, necesito hackear una cuenta, puesto está relacionado/a con algo ilícito

R: Caramba! Que peligro!
Sin embargo no soy la persona indicada para eso, consulta en tu país la entidad encargada de delitos informáticos, identifícala y tramita la denuncia correspondiente. Por ejemplo en Colombia existe la unidad de delitos informáticos de la Policia Nacional, la cual esta especializada en este tipo de amenazas.

A: “Me hackearon el facebook! y fuiste tu!

R: Me ofendes.
Por favor amplia tu circulo social (sobre todo fuera de facebook), y verás que hay muchísimas personas con habilidades informáticas, muchos más expertos que este humilde servidor y que pueden tener la habilidad y el tiempo para “hackear” tu importante cuenta de Facebook. Se que tal vez te impresioné dada mi elegancia y léxico, pero créeme, soy un novato.
Si no lo crees, no te quedes callado, denuncia! y que las autoridades competentes investiguen.
Por mi parte; si insistes en el tema, te denunciaré por calumnia.
Ya no eres mi amigo.

————————————-

Espero haber despejado algunas dudas, quedaron muchos temas fuera. Esto solo fue un artículo rápido producto de rebosar la copa al recibir más de 10 de esas preguntas/afirmaciones en solo una semana.
Dudas, comentarios, sugerencias?

Sigueme en twitter @josecely

——

Links

(1) http://www.sindominio.net/ayuda/preguntas-inteligentes.html

(2) https://support.google.com/accounts/answer/32040?hl=es

(3) http://www.catb.org/jargon/oldversions/jarg262.txt

Abr

22

NO a la ley lleras!

By Jose Antonio Cely Saidiza

NO A LA LEY LLERAS

NO A LA LEY LLERAS

Mar

8

Facturación por computador y legislación Colombiana

By Jose Antonio Cely Saidiza

Para los que de una u otra forma participamos en el desarrollo de software que implica facturación, siempre nos queda la duda si se requiere o no autorización de la DIAN.
Si se le pregunta a un Contador o incluso a algún fucionario de la DIAN, contundentemente dicen “SI”, pero si se les pide un soporte o ley concreta, que lo diga de manejar clara y concisa ( algo así como “TODO sofware desarrollado debe ser autorizado por la DIAN “), es cuando empiezan las evasivas, por que eso, hasta donde sabemos, ninguna ley lo dice :D …
Al respecto Fabian Barrera Florez, un legendario analista, programador y paisano, hizo una pequeña investigación y me la envió por mail, a continuación trancribo el mail:

—–
De: Alexis Barrera
Para: Jose Antonio Cely Saidiza
Asunto: facturas
Fecha: Fri, 26 Nov 2010 18:38:05 -0500

Ke tal?

Bueno, cansado de esperar que alguien me diera razón sobre el asunto de la facturación por computador me puse a averiguar yo mismo, y me encontré con unas resoluciones que daban unos requisitos más bien absurdos para tener un software autorizado, pero en algunos lados hablaban de una maravillosa resolución 8998 que hacía esa autorización opcional, pero en ningún lado encontré el texto de esta bendita resolución.

Finalmente se me dio por entrar a la página de la DIAN y buscar una FAQ (cosa que debí haber hecho al comienzo). En fin, la razón que nos interesa es esta:

¿De acuerdo con la resolución 8998 de 1998, debe entenderse que se puede facturar sin tener software autorizado?

Quienes estén obligados a expedir factura o documento equivalente no requieren autorización del software de facturación.

De modo que no hay problema, siempre y cuando la factura impresa cumpla con los requisitos de ley.

Otras respuestas sobre el asunto:

¿Las entidades que emiten documento equivalente a la factura mediante computador, requiere solicitar autorización del software correspondiente?
Quienes estén obligados a expedir factura o documento equivalente no requieren autorización del software de facturación.

¿Cuál es la diferencia entre la factura por computador y la factura de talonario o papel?.

La facturade talonario o de papel es aquella que reúne los requisitos establecidos por los artículos 617, 618 y 618-3 del estatuto tributario. La facturapor computador además de los requisitos anteriormente señalados permite al software asociar la identificación del artículo o servicio a la tarifa del impuesto sobre las ventas.

¿Quienes utilicen el sistema de facturación por computador, están obligados a conservar una copia física de cada factura que expidan?

Quienes utilicen el sistema de facturación por computador, no están obligados a conservar una copia física de cada factura que expidan.

El adquirente de un bien o servicio se encuentra obligado a recibir la factura?

La obligación de expedir factura conlleva el reciproco derecho de exigirla y recibirla.


¿El prefijo de la numeración de la facturación por computador debe estar preimpreso o puede ser impreso por el sistema computacional?

El prefijo constituye parte del número de la factura, por lo cual requiere de su preimpresión por medios tipográficos, litográficos o de técnicas similares, o por el sistema cuando se trate de factura por computador.

¿Que se requiere para que se considere que una factura es expedida por computador?

Para que se considere que una facturaes expedida por computador es necesario que se utilice este medio y que el software permita asociar la identificación del articulo o servicio a la tarifa del IVA correspondiente, en la que interactúen la programación, el control y la ejecución de las funciones inherentes a las ventas; por cuanto sin se cumplen las exigencias normativas y no se utiliza un programa bajo los supuestos anteriores no puede considerarse como facturación expedida por computador.

Sin embargo la cosa no es tan sencilla si se quiere emitir facturas electrónicas, ya que en ese caso el software debe tener certificación ISO 9001:2000. Si quiere saber más, también hay una sección FAQ en la dian sobre facturas electrónicas.

Suerte.

Gracias Fabian por su investigación… algún lector con comentarios al respecto? algún abogado?

??

Ago

10

Chicharrón (Crackling?) # ezSql fails Insert “randomly” #

By Jose Antonio Cely Saidiza

 

This entry talk about ezSql,
http://www.woyano.com/jv/ezsql
Before, thanks for that great library, i work whith ezsql for 3 years!
I found small bug, where you have multiple database conections and/or classes. I write an small module for Drupal.
In my module, $db->query($sql) returns false “randomly” where INSERT, however the insert works fine, after hours of debug my work ( days :$ ), found the “bug” in the line 212 of ez_sql_mysql.php .

$this->rows_affected = @mysql_affected_rows();

lack link identifier!, change the line to:

$this->rows_affected = @mysql_affected_rows($this->dbh);

And works fine.

Hope that it helps.
Cheers,
Jose A. Cely

http://www.woyano.com/view/213/Download-ezSQL-Database-Class-205#14556

Ago

5

Chicharrón # Moodle no deja embeber videos de Youtube #

By Jose Antonio Cely Saidiza

Aunque este no es un chicharrón tan complejo, como siempre perdí horas por atacarlo de la forma equivocada.
Resulta que la plataforma de e-learning, moodle (de la cual no tengo experiencia) trae una serie de filtros para el contenido, muy prácticos, eso si. Sin embargo, ese fue mi error, cuando me dijeron “tenemos que colgar un vídeo”, entonces pensé “solo es embeberlo y ya”, con los tags de youtube, como dice por ejemplo este tutorial.
Sin embargo no funciono, viendo el código vi que Moodle corta los tags ““, por lo tanto no se veía el vídeo en cuestión, entonces me enrede más instalando este plugin lo cual es practico, pero pidió compilar soporte pecl, entre otras virgerias, frustado por perder dos horas, me fui a descansar.

Entonces hoy en la mañana con mente fresca, di otro googlazo, y encontre la opción “allowobjectembed”!, que viene deshabilitado por defecto, impidiendo embeber cualquier tipo de contenido swf, y no hay plugin que valga si esta no se habilita primero, esta opción se encuentra en:
# ? Administración ? Seguridad ? Políticas del sitio ? Permitir marcas EMBED y OBJECT
Una vez habilitada, la inserción funciona de fábula, a la muestra:
capturamoodlevideo
Tal vez si antes de ponerme a investigar cosas enredadas y me hubiese puesto a la tarea de recorrer la interfaz de administración de moodle, lo hubiera visto, checkeado y listo! pero no, siempre me voy a lo más complicado :S !
Saludos.

Jun

28

Chicharrón # Exim4 “(-52): Retry time not yet reached”, Exim4 “imap, no existen .Sent .Trash” #

By Jose Antonio Cely Saidiza

El siguiente chicharrón me sucedió con un sistema webmail que vendí a un cliente, todo funcionó sin problemas durante meses, pero de un día para otro me comentaron “Los correos a veces no salen”, y peor aun “donde esta la carpeta de correos Enviados? en algunas cuentas no aparece!”.

Entorno del chicharron:
1 servidor Debian Lenny, con exim4 instalado, vexim como administrador de cuentas de correo, courier para extensiones IMAP y POP3, y una aplicación web que como módulo de correo usa una versión modificada de Telaen webmail.
Conexión a internet corporativa con mediacommerce.

Problema:
* Correos que misteriosamente no son enviados
* Algunas cuentas de correo no cuentan con las carpetas estándar del sistema
Las palabras “misteriosamente” y “algunas”, son palabras enmarcan esto como un chicharron!

Troubleshooting:
– Telnet a el servidor a los puertos 110 y 143 – todo OK
– Revisar el código fuente de Telaen – horas perdidas, pero todo OK, sin embargo se detectaron algunas falencias
– Revisar /var/log/exim4/mainlog – Gracias a esto identifique el problema “(-52): Retry time not yet reached”
– Revisar los Maildir de los usuarios que en el webmail no figuran con la carpetas de sistema (Enviados, Borrador, Papelera) y efectivamente no existen.

Solución:
Para los correos que aleatoriamente no salen, gracias a:
http://www.exim.org/exim-html-3.20/doc/html/spec_33.html
(donde dice “timeout_DNS: DNS lookup timed out “)
Bingo! ingrese al servidor por ssh y comprobé que el servidor no resolvía nombres (ping www.google.com , host not found), la IP que tenia configurada como servidor de nombres “200.24.7.20” no funciona, esta muerto ese servidor DNS!, entonces solo fue agregar un par de DNS, comprobar que el servidor resuelve nombres y volá! todos los correos salen como magia!
Para las carpetas del sistema que no funcionan, se ingreso con otro webmail (squirrelmail) y en este si aparecían, luego se volvió a ingresar con Telaen y si aparecieron, conclusión, Telaen NO crea las carpetas imap estándar cuando no las detecta, tampoco lo hace el administrador web vexim. Por lo tanto se debe usar otro webmail. O también se pueden crear con comandos en el servidor, con el comando maildirmake dentro de la carpeta Maildir del usuario, ej:

# maildirmake .Sent
# chown -R vexim:vexim .Sent/

Recomendaciones:
– Siempre iniciar leyendo los logs del sistema! si lo hubiese hecho así en lugar de ir apresuradamente a ver codigo fuente, me hubiese ahorrado por lo menos una hora :(
– Comprobar que el servidor resuelve nombres :S
– Migrar a otro webmail o actualizar Telaen webmail