Página 28 de 51

mpd-twitter: Publicar en twitter lo que estas escuchando

Ultimamente he estado usando el Music Player Daemon (MPD) para escuchar música. Tambien me he dado cuenta que en Twitter hace varios días está de trending topic el hashtag #nowplaying, donde la gente publica lo que está escuchando. En base a ésto y a un poco de imaginación y tiempo libre, cree un script en bash que me permite publicar lo que estoy escuchando.

El script, llamado mpd-twitter,  usa el cliente mpc para conectarse a mpd y obtener el artista y nombre de la reproducción actual, hacer el parseo necesario y posteriormente publica un estado en twitter.

Seguir leyendo

Bottom Stack en Dynamic Window Manager (DWM)

Hace meses que me decidí por usar DWM y de a poco voy teniendo distintas necesidades, por lo que he ido configurando poco a poco el gestor. Ultimamente, me dieron ganas de querer ordenar las ventanas de forma horizontal y revisando el sitio de DWM he encontrado el llamado “Bottom Stack”, que me ayudará a cumplir mi propósito.

Para lograrlo, simplemente tenemos que agregar un par de líneas al config.h y volver a compilarlo.

Seguir leyendo

La difusión de la filosofía del Software Libre

El modelo actual de difusión del software libre no está siendo efectivo, queremos mejorarlo.

En una reunión improvisada que tuve con 3 o 4 amigos, salió el tema del software libre y el cómo se está difundiendo en el país. Cuestionamos la efectividad de los distintos centros de difusión, grupos de usuarios, métodos y formas de difusión, etc. Dentro de tantas cosas que conversamos, decidimos volver a juntarnos para continuar conversando el tema y así buscar una solución a los distintos problemas que encontramos. Lo primero que decidimos fue que ante cualquier opinión o desacuerdo que tengamos, actuaremos. No buscaremos llenarnos la boca de palabras. Nuestro fín, es encontrar una solución al problema de la difusión de la filosofía del software libre en nuestro país, para ésto, hicimos una lista de los principales problemas que detectamos en el actual modelo de difusión:

  • Los distintos grupos de difusión no están practicando lo que predican.
  • Los eventos de difusión buscan masividad y no efectividad.
  • Por lo general se buscan usuarios, dejando de lado el concepto de libertad.
  • Se busca difundir el software libre usando software, drivers o firmwares privados.
  • Las charlas no son efectivas, pues siempre asiste la misma gente. Además, las personas buscan que les enseñen, no que les digan cómo hacer las cosas. (hay una pequeña situlesa en aquella diferencia)

Para éstos problemas, nosotros encontramos la siguiente solución:

Mediante un proceso de educación y concientización, buscamos una migración efectiva y no masiva. No nos enfocamos en migrar sistemas operativos, sino en migrar mentes.

Seguir leyendo

Haciendo phishing explotando una vulnerabilidad XSS

Usaré de ejemplo un sitio que ya he usado en alguno de mis post, cuando hice los tests a las empresas de hosting. Mostraré cómo explotar una vulnerabilidad del tipo XSS para hacer phishing, capturar datos de acceso de usuarios para ganar acceso a un sistema, ftp , email, etc.

La empresa afectada es una inmobiliaria y constructora “Yagode”, la vulnerabilidad XSS se encuentra en el script “proyectos.php“, al no parsear la variable tipo. Tiene protección contra XSS, pero no es efectiva. Podemos comprobar ingresando a

https://www.yagode.cl/proyectos.php?Tipo=<script>alert(this)</script>

Obtenemos el mensaje de error 406 “Not Acceptable”,

Not Acceptable

An appropriate representation of the requested resource /proyectos.php could not be found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Sin embargo, permite incluir otro tipo de código como un iframe.

Seguir leyendo

El arte del ‘phishing’

Sin duda el phishing es una de las técnicas más usadas actualmente para el robo de información y suplantación de identidad, pero debemos reconocer que es todo un arte. Para quienes no saben lo que es el phishing, les extraigo lo siguiente desde la wikipedia:

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).

Como dice la definición, son técnicas que se aplican mediante ingeniería social y ésta es, por si misma, un arte.
Podemos detectar distintos tipos de phishing, desde uno muy simple como falsificar un sitio y lanzarlo al mundo para que la gente caiga o bien uno más complejo con objetivos determinados y con víctimas específicas. En el primer tipo, me gustaría hacer referencia a todos los conocidos ataques que se han hecho a bancos simplemente falsificando el sitio web y obteniendo información de gente al azar, por ejemplo el caso en que se vio envuelto Mastercard Argentina. Con el segundo tipo, quiero hacer referencia a casos más trascendentes que generalmente no son conocidos, ya que no afectan a mucha gente sino mas bien a una víctima específica. Para mi, el primer tipo es una mierda, sin embargo, me gustaría destacar los ataques del segúndo tipo. De ahora en adelante, los distinguiré según su tipo.

Seguir leyendo

Proyecto de ley para la protección de datos “privados”

delitos informaticos

En Chile lanzaron un proyecto de ley para la protección de datos personales, luego de diversos hackeos ocurridos, donde se “publicó” información de millones de chilenos desde sistemas de información del servicio electoral y junaeb, entre otros. Lo que quieren hacer con éste proyecto de ley, es “aumentar las sanciones a quienes resulten responsables” y “entregarles las facultades a las distintas entidades afectadas para que puedan dar garantías“. Irónicamente, la ley sólo protegerá a quienes hagan mal su trabajo y no a los afectados, las entidades públicas que no sepan proteger la información privada de las personas, tendrán ahora una ayuda desde el gobierno para que nadie pueda hacer públicas sus fallas y, por ende, las personas afecetadas jamás sabrán que sus datos son públicos.

Una de las preguntas que me hago es ¿Si son privados los datos, entonces por qué son de acceso público?
Existen muchas entidades públicas y privadas que simplemente no protegen la información, formularios sin captchas, acceso a información mediante el RUT o con usuarios y password basadas en el rut. Para los que no saben, el RUT cumple con un patrón y generar millones y millones de RUT es tan fácil como sumar dos números.

Seguir leyendo