El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

AutorZerial

Autopista Vespucio Norte no protege los datos de sus “clientes”

junio 27, 2009 /

Así es, como el título lo dice, la empresa de autopista Sociedad Concesionaria Vespucio Norte Express S.A. (AVN) no está protegiendo la información de sus clientes y es posible mediante el sitio web obtener información tal como nombres, apellido paterno y materno, direccion de facturación, osea donde vive el cliente, patente del vehículo, información sobre partes, valores a pagar, valores pagados con sus fechas correspondientes, numero de telefono particular, direccion de correo electrónico, fecha de nacimiento, deudas a la empresa.

avn

Tal como lo explica Ivan en su blog, hay que seguir una serie de pasos para lograr el objetivo. Personalmente creo que sería muy complicado escribir un bot que sea el encargado de obtener la mayor cantidad de información posible, pero no imposible. Con un poco de imaginación y destreza podemos lograrlo.

Luego de intentar comunicarnos con la gente encargada del sitio web de esta empresa mediante los correos electrónicos seleccion@vespucionorte.cl y contacto@vespucionorte.cl y sin tener ningun tipo de respuesta, decidimos hacer publico el documento.

Documento completo: https://blog.cuack.org/2009/bug-en-sitio-de-empresa-avn-cl-avenida-vespucio-norte-tags-autopistas/

Obtención automatizada de información en NIC Chile

junio 24, 2009 /

NIC Chile es la entidad encargada de la gestión de dominios .cl, a cargo de la Universidad de Chile. Actualmente, para realizar la compra de un dominio es necesario entregar una serie de información personal como el rut, nombre, dirección, ciudad, entre otros. Es obvio que esos datos ingresados quedan almacenados en algún lugar y lo que tambien es obvio, acceder a dicha información de una u otra forma.

NIC ha puesto a disposición de todos nosotros algunos datos de esas personas, de manera tal que podamos hacer la relación rut-nombre. La forma en que NIC facilita el registro de dominios es que, al escribir el rut del registrante, automáticamente rellena los campos del nombre de la persona, sin verificación ni ningún tipo de validación.

Seguir leyendo

Viaje por el mundo conociendo hackers

junio 21, 2009 /

Hace un par de días, recibí un comentario en mi blog de un estadounidense que estába de viaje por el mundo conociendo hackers. Lo que me llamó mucho la atención es como una persona puede tener tanto tiempo y tanto dinero para darse ese tipo de gustos, asi que se lo pregunté. Brendan (el estadounidense) me contó que se ganó una beca llamada Thomas Watson que consiste basicamente en otorgar estudios sobre algun tema en especifico del cual no se enseñe en las universidades, él quizo estudiar “Los hackers en el mundo”.

Me contactó, nos juntamos en el laboratorio de CMDLabs, en KernelHouse y estuvimos conversando. Me hizo una entrevista que publicará en HackerSpaces, yo tambien aproveché de hacerle algunas preguntas a modo de entrevista.

Seguir leyendo

Voto electrónico: Los riesgos de una ilusión

junio 14, 2009 /

Hace un par de semanas viajé a Mendoza (.ar), a la expo2009 organizada por LUGMen. Entre todas las cosas que vi, me llamó la atención un libro cuyo titulo es “Voto electrónico: Los riesgos de una ilusión“.
evote

Hasta antes que empezara a leer ese libro y comenzara a informarme al respecto, mi postura sobre el voto electrónico era a favor, yo no estoy inscrito en el registro electoral y pensaba “No me registraré hasta que la inscripción sea automatica y el voto sea por internet“, pero mi pensamiento cambió radicalmente. Nunca me había detenido a pensar ni 5 minutos que es lo que significaba la implementación de este tipo de votación, los riesgos e inseguridades (a nivel técnico).
Como dice en el sitio dedicado a informar sobre los riesgos del voto electrónico en Argentina,

Es un sistema más rápido, más barato, más transparente, elimina el clientelismo político y aumenta la participación ciudadana. Éstas son, según sus defensores, algunas de las ventajas del voto electrónico. El libro “Voto Electrónico. Los riesgos de una ilusión” presentado en Buenos Aires a fines de marzo por la Fundación Vía Libre, con el apoyo de la Fundación Heinrich Böll, procura abrir un debate, informando a la ciudadanía sobre cómo funcionan estos sistemas de votación y cuáles son sus riesgos.

Seguir leyendo

Xen: Creación y configuración de una máquina virtual (pt2)

junio 13, 2009 /

Si la instalación y configuración de Xen resultó ser fácil, lo que mostraré a continuación es mucho más sencillo. Para instalar una máquina nueva (con Debian) debemos ejecutar el siguiente comando:

xen-create-image --hostname=xen1 --size=5Gb --swap=256Mb --ide \
--ip=192.168.0.101 --netmask=255.255.255.0 --gateway=192.168.0.1 --force \
--dir=/vm --memory=128Mb --arch=i386 --kernel=/boot/vmlinuz-2.6.26-2-xen-686 \
--debootstrap --dist=lenny --mirror=https://ftp.cl.debian.org/debian/ --passwd

Si destripamos los parámetros nos damos cuenta que le estamos asignando (en orden) el hostname, tamaño de disco duro, cantidad de swap, tipo de disco, dirección ip, netmask, gateway, el directorio donde instalarla, ram, arquitectura, kernel para usar, metodo de instalación, distribución, mirror para descargar y por último, que nos pregunte la pass de root cuando termine de instalar. Estos parametros se pueden cambiar según los requerimientos.

El archivo de configuración de las máquinas virtuales es algo como:

kernel = '/boot/vmlinuz-2.6.26-2-xen-686'
ramdisk = '/boot/initrd.img-2.6.26-2-xen-686'
maxmem = '256'
memory = '64'
root = '/dev/hda2 ro'
disk = [
'file:/vm/domains/xen01/swap.img,hda1,w',
'file:/vm/domains/xen01/disk.img,hda2,w',
]
name = 'xen01'
# Red
vif = [ 'ip=192.168.20.202,mac=00:16:3E:6F:E3:3B' ]
# Comportamiento
on_poweroff = 'destroy'
on_reboot = 'restart'
on_crash = 'restart'

Podemos modificar arbitrariamente las opciones segun lo que nosotros necesitemos, tambien existen más opciones que le podemos agregar, como la asignacion de X cpus, decirles que cpu usen, por ejemplo si tenemos 4 núcleos, asignarle el 1 y el 4.

vcpus = 2;
cpus = '0,3'

De esta forma le estamos asignando 2 núcleos virtuales y le estamos diciendo que use los nucleos 0 y 3.

Vulnerabilidades criticas en sitio web de Caffarena

junio 13, 2009 /

Como es de costumbre, cada vez que encuentro alguna vulnerabilidad en sitios web lo primero que hago es intentar comunicarme con los responsables de ese sitio web, si estas personas me contestan entonces los ayudo a solucionar los problemas y, una ves solucionado, genero un reporte sobre las vulnerabilidades y las publico aca, en caso contrario, si las personas con quien intento comunucarme tienen una reaccion negativa o derechamente ni si quiera responden los correos electronicos, tambien las hago publicas.
Esta vez es el turno de Caffarena.cl quien tiene cinco vulnerabildiades críticas en su sitio web.
Si entramos al sitio y pinchamos en “Acceso clientes” llegaremos a formulario de inicio de sesion de la intranet

caf1

Seguir leyendo

Antiguas entradas Nuevas entradas

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑