EKO party Security Conference 7′ edition

El miércoles 21, junto con la llegada de la primavera, se celebró la cumbre hacker más importante de sudamérica en Buenos Aires:

EKOparty 2011

 

 

 

 

 

 

 

¿Cómo Recuperar una Cuenta de Twitter?

es una de las red sociales con mas crecimiento en los últimos años, ya que de forma simple permite a cualquier persona desde virtualmente “cualquier parte” publicar pequeñas piezas de texto (no mas de 140 caracteres) que puede ser visualizada por otras personas instantáneamente, lo que la ha convertido en una herramienta muy útil para personas, medios de comunicación, famosos, y una que otra revolución etc…

Para algunas personas perder su de Twitter es mucho peor que perder un ser querido y si no pueden a acceder a ella pierden la cabeza, por eso (antes que alguien comenta una locura) escribimos estas lineas, para que cualquier persona pueda recuperar su cuenta de Twitter fácilmente, utilizando los medios que esta red social nos proporciona.

Lo primero que debemos hacer si es que no lo has hecho es ingresar a este formulario (el aspecto de estos formularios puede cambiar con el tiempo, pero la esencia NO, por lo que este articulo debe servirte aunque el sitio parezca diferente), donde nos piden nuestra cuenta de electrónico y un código CAPTCHA.

 

Si todo sale bien, a tu correo llegara un enlace por el cual puedes cambiar tu contraseña fácilmente, pero si estas leyendo este articulo, lo mas seguro es que tu cuenta de correo electrónico también fue comprometida (ver recuperar cuentas de hotmail) y no puedes recuperar tu contraseña por este medio, en estos casos Twitter pone a nuestra disposición el siguiente procedimiento para que de todas formas podamos recuperar nuestra cuenta.

Entramos a esta dirección dentro del centro de ayuda de Twitter y buscamos el enlace “solicitud de ayuda”

Una vez en el menú AYUDA de Twitter elegimos la opción “Todo lo demás”

Encontraremos un formulario de contacto, donde debemos seleccionar la opción “Phishing o cuenta hackeada” y llenar TODA la información que nos solicitan…

Después de estos pasos, solo debemos esperar que se comuniquen con nosotros para restablecer nuestros acceso a la cuenta de Twitter y LISTO…

Recuerda que por lo menos en , el acceso NO AUTORIZADO a tu información privada (en esta categoría están incluidas las redes sociales y cuentas de correo) es penalizado en el ARTICULO 269F de la ley 1273 del 2009, por lo que es recomendable denunciar el caso a las autoridades pertinentes para que este delito no quede impune.

Algunos consejos adicionales POST recuperación:

  • NO ingresar a tus cuentas de correos o redes sociales, desde conexiones publicas (Centros Comerciales, Universidades, Congresos, Terminales, Aeropuertos, Restaurantes, Etc…) y desconfía de cualquier conexión que este abierta (sin seguridad).
  • Analizar tu computador y todos los computadores desde donde accedes a tu cuenta, con un software Anti Keyloggers y un buen Anti Virus ya que el uso de estas herramientas es un método comúnmente utilizado para tus datos de acceso.
  • No abras archivos adjuntos, ni accedas a enlaces de personas desconocidas, si la persona que te lo envía es conocida, preguntale primero qué es antes de abrirlo, muchas veces el malware envía enlaces y adjuntos maliciosos desde las cuentas de tus conocidos sin que ellos se enteren.
  • Utiliza una contraseña segura, que tenga mínimo 8 caracteres combinados entre números, letras y símbolos (#@!*&^%. etc..) que sea fácil de recordar, pero difícil de adivinar.
  • Nunca publiques tu , y si  es de vida o muerte hacerlo, cambia tu contraseña y tu pregunta secreta, tan pronto puedas hacerlo.

Ademas es recomendable que te leas los Consejos para hacer correcto uso de las redes sociales y la guía para configurar la privacidad en las redes sociales , como también los pasos para recuperar cuentas de Hotmail, Messenger y Facebook.

 

Fuente: La WeB de DragoN

Corazones 0.1.1

Bueno, ya está en SourceForge una release nueva del proyecto (0.1.1)

Feature list:

# Arreglé un par de detalles menores.
# Incorporé una nueva herramienta:   Diccionarios / Brute Force
Es un gestor que permite almacenar los diccionarios y revisarlos, y en un futuro permitirá eliminar palabras repetidas, mergear diccionarios y lógicamente utilizarlos para hacer alguna prueba de fuerza bruta.

corazonesBF

Corazones Web Toolbox

Pasaron unos días desde mi último post, es que estuve ocupando mi poco tiempo libre en avanzar este nuevo proyecto, les cuento de que se trata.

Desde hace algún tiempo al leer los post de los usuarios de Diosdelared.com veo que existen muchos scripts para tareas variadas referidas a la web, pero cada uno a su modo, en distintos lenguajes, con distinta estética, etc.  Por lo que se me ocurrió nuclear esos scripts formando una toolbox. Eso es Corazones, un conjunto de herramientas para auditoría en redes y uso general.

corazones

La tarea de agrupar estos script no es tan fácil como parece, pero va tomando forma. Además no es solo agruparlos, casi todos los script tuvieron modificaciones para «pulirlos», mejorando la usabilidad y agregando funcionalidades.

Algunas de las herramientas que ya incluye (se irán agregando más)

MAC spoofing
Este pequeño script nos acelera el uso de macchange para cambiar la {es:dirección_MAC|dirección MAC} de nuestra interfaz de red. Uno de los usos puede ser bypassear filtrado por MAC de un Access Point.

Port Scanner
Bueno, no necesita explicación, pasamos un host (local o remoto) y nos muestra los puertos abiertos.

Admin panel finder
Esta herramienta nos ayuda a encontrar la puerta de entrada al backend de una aplicación o sitio web.

General Inyection Explorer
Esta excelente herramienta permite explotar una inyección de SQL recorriendo completamente la BD en forma visual.

MD5 multi search
Ingresando un md5 nos busca en 16 sitios distintos la palabra a la que corresponde el hash.

Metasploit Launcher
Un lanzador de la interfaz web del framework Metasploit.

Lo más importante:  este proyecto es abierto, estan bienvenidos todos los que quieran participar ya sea con sus propios scripts o como sea.
El proyecto es software libre, tiene licencia {es:GPL}.
Se puede bajar para probarlo desde su sitio oficial en Sourceforge.

Saludxs!
Diego

Tuquito con sabor amargo

A continuación les dejo  el post de Lisandro Lizaeta donde expone una investigación sobre Mauro Torres, creador de la distribución Tuquito y supuesto administrador de al menos un sitio dedicado al robo de cuentas de MSN.

…………………..

A continuación el post de Lizandro Lezaeta:  (fuente)

Hola a todos, escribo este artículo para evidenciar públicamente la total y absoluta falta de etica del supuesto «Experto en Seguridad» Argentino y desarrollador de Tuquito Linux, Mauro torres.

Junto a Daniel Godoy continuamos una investigación iniciada por un tercero (a quien nombraré si es que me da su autorización), de universomsn.com, un sitio de pishing de correo electrónico. Este sitio utiliza el «Quien te admite» para robar emails, acceder a ellos y robar lista de contactos, además almacena todas las contraseñas y los emails robados en una base de datos.

En la IV Jornadas de Software Libre realizamos, en vivo y en directo, una demostración que relacionaba a Mauro Torres con Universomsn.com, una web de pishing de msn. Además accedimos al servidor de universomsn y dumpeamos la base de datos demostrando a todos los espectadores que el sujeto había robado más de 3500 mails.

Nos guardamos la guinda para publicar por internet, ahora es el turno de msnsinadmision.com subida en el mismisimo servidor de tuquito. Sin duda propiedad de Mauro Torres, al igual que Universomsn, en este caso no ha tenido ni siquiera la dignidad de ocultar el sitio, publicandolo directamente en el SERVIDOR DONADO que recibió para tuquito.org.ar. Encontramos montones de backups subidos que van desde los 81mb comprimidos (500 mb reales) con unos 100mil mails/contraseña hasta un backup (que dejo al final) de más de medio giga.

http://www.youtube.com/watch?v=U4u9v5VHTbw

No tengo posibilidad de reportar 100mil mails robados, por eso decido hacerlo público antes de que sigan sirviendo a las malas intenciones del ladrón.
Personalmente no voy a denunciar, pero si alguno de los afectados está interesado en hacerlo, no dude en contactar conmigo para recibir toda la información relevante.

Acá dejo un log interesante:

pwd
/var/www/tuquito.org.ar/public_html/videos/wp-content/themes/classic
cd /var/www/tuquito.org.ar/public_html/hack
ls -la
total 527052
drwxrwxrwx 4 root root 4096 Nov 3 17:31 .
drwxr-sr-x 99 www-data root 4096 Oct 21 16:34 ..
-rw-rw-rw- 1 www-data root 162242 Oct 30 2008 c99shell.txt
-rwxrwxrwx 1 www-data root 122 Mar 13 2008 cmd.gif
-rwxrwxrwx 1 www-data root 122 Mar 13 2008 cmd.gif.php
-rwxrwxrwx 1 www-data root 122 Mar 13 2008 cmd.jpg.php
-rwxrwxrwx 1 www-data root 122 Mar 12 2008 cmd.php
-rw-rw-rw- 1 www-data root 409 Aug 21 17:10 cookie.php
-rw-r–r– 1 www-data root 12080 Nov 25 2008 e.php
-rw-r–r– 1 www-data root 10875 Nov 25 2008 e.pl
-rw-r–r– 1 www-data root 45 Oct 30 2008 echo.txt
-rw-r–r– 1 www-data root 44624 Apr 25 2008 erne.php
-rw-r–r– 1 www-data root 44624 Apr 25 2008 erne.txt
-rw-r–r– 1 www-data root 85 Aug 21 17:07 fotolog.js
-rw-r–r– 1 www-data root 313 Aug 21 16:56 fotolog.php
-rw-r–r– 1 root root 79 Oct 31 15:28 fotolog.txt
drwxrwxrwx 2 www-data root 4096 Oct 30 2008 hack
-rw-r–r– 1 www-data root 18 May 30 2008 index.php
-rw-r–r– 1 www-data root 538618251 May 19 2008 msn2DB-120508.sql
-rw-r–r– 1 www-data root 1905 Apr 24 2008 nc.pl
-rw-r–r– 1 www-data root 414 Apr 25 2008 next.php
-rwxrwxrwx 1 www-data root 400 Nov 1 19:54 passwords.txt
-rw-r–r– 1 www-data root 291 Apr 25 2008 personal.html
-rw-r–r– 1 www-data root 454 Oct 31 2008 personal.php
drwxrwxrwx 4 www-data root 4096 Oct 31 2008 php-mailer
-rw-r–r– 1 www-data root 1465 Oct 30 2008 phpbb.pl
-rwxr-xr-x 1 www-data root 10393 Apr 24 2008 prueba
-rwxr-xr-x 1 www-data root 19242 Apr 24 2008 r0nin
-rw-r–r– 1 www-data root 38548 Apr 25 2008 safe0ver.php
-rw-r–r– 1 www-data root 38548 Apr 25 2008 safemode.txt
-rw-r–r– 1 www-data root 45746 Mar 12 2008 shell.php
-rw-r–r– 1 www-data root 19224 Mar 13 2008 shellbot.pl

Curiosidades con las que nos topamos: El experto no pone password de root a mysql, el experto hacer correr apache con suid (root), el experto sube shells sin contraseña para administrar sus servidores y ensima las sube con nombres sencillos como «cmd.php» o «shell.php».

La falta de etica no es nada nuevo hoy en día, pero la hipocresía con la que este personaje se autodenomina «ético» es increible.

Si alguien quiere continuar la investigación (o hacer algo peor) puede facilmente pasar un nmap y localizar algo que alguien olvidó cerrar :P

pwd;ls -la
/root
total 1352636
drwxr-xr-x 37 root root 4096 Oct 30 11:28 .
drwxr-xr-x 24 root root 4096 Oct 29 23:15 ..
drwx—— 2 root root 4096 Dec 10 2008 .aptitude
-rw——- 1 root root 7972 Oct 31 21:39 .bash_history
-rw-r–r– 1 root root 412 Dec 15 2004 .bashrc
drwxr-xr-x 4 root root 4096 Dec 10 2008 .gem
drwx—— 2 root root 4096 May 22 18:19 .links2
drwxr-xr-x 3 root root 4096 Oct 31 18:56 .mc
-rw——- 1 root root 7432 Sep 10 01:17 .mysql_history
-rw-r–r– 1 root root 110 Nov 10 2004 .profile
-rw——- 1 root root 1024 May 31 2008 .rnd
drwx—— 2 root root 4096 Feb 12 2009 .ssh
drwxr-xr-x 3 root root 4096 Jun 6 2008 .subversion
-rw——- 1 root root 9115 Oct 30 11:28 .viminfo
-rwx—— 1 root root 6413 Jan 10 2008 1.png
-rwx—— 1 root root 6739 Jan 10 2008 2.png
-rwx—— 1 root root 6988 Jan 10 2008 3.png
-rwx—— 1 root root 2126779 Feb 28 2008 BajaRemeras.3gp
drwx—— 2 root root 4096 Jan 17 2007 EGG-INFO
-rwx—— 1 root root 165069 Jan 10 2008 Minty_Pligg_Template.zip
drwx—— 2 root root 4096 Jun 11 2006 NX
-rwx—— 1 root root 6248172 Jan 16 2007 NX-tuquito.tgz
-rwx—— 1 root root 62267 Jan 17 2007 TracAccountManager-0.1.2-py2.3.egg
-rwx—— 1 root root 112205 Jan 17 2007 TracWebAdmin-0.1.2dev_r4240-py2.3.egg
drwx—— 4 root root 4096 Jan 17 2007 TracWebAdmin-0.1.2dev_r4429-py2.3.egg
-rw-r–r– 1 root root 932528 Mar 18 2009 Tuquito-2.0-r5.iso
-rwx—— 1 root root 1191455 May 30 2008 all-db
drwxr-xr-x 2 root root 4096 Jun 6 16:37 apache-confs
drwxr-xr-x 7 root root 4096 Jun 2 2008 apache2
-rw-r–r– 1 root root 24193 Jun 6 02:16 apache2.conf
drwx—— 3 root root 4096 Jul 12 2007 apf-0.9.6-3
-rwx—— 1 root root 105119 Feb 12 2008 apf-current.tar.gz
drwx—— 2 root root 4096 Feb 12 2008 back
drwx—— 3 root root 4096 May 30 2008 backup-apache
drwx—— 2 root root 4096 Jul 1 16:22 backup-db
drwx—— 2 root root 4096 May 30 2008 backup-dbs
-rwx—— 1 root root 18268 Feb 12 2008 bannerMSN.png
-rwx—— 1 root root 20250 Feb 12 2008 bannerMSN2.png
drwx—— 2 root root 4096 Dec 14 2007 bot
-rwx—— 1 root root 8 Jan 10 2008 caca
-rwx—— 1 root root 319 Jan 26 2008 check
-rwx—— 1 root root 137 Apr 25 2008 clave
-rwx—— 1 root root 210944 May 30 2008 databasebackup.sql.bz2
-rwx—— 1 root root 2 Apr 22 2008 done
-rw-r–r– 1 root root 3319 Nov 25 2008 e.php
-rwx—— 1 root root 19707 Dec 15 2007 email
-rw-r–r– 1 root root 1185 Feb 12 2009 example.rb
-rwx—— 1 root root 1687 Nov 9 2007 extrae7
-rw-r–r– 1 root root 0 Oct 30 11:21 fastcgi-php.pid
drwx—— 12 www-data root 4096 Jun 9 08:51 fastcgi_temp
drwx—— 13 root root 4096 Jan 29 2008 ffmpeg
-rwx—— 1 root root 173219 Jan 10 2008 futurepligg_03.zip
-rw-r–r– 1 root root 351 Jan 6 2009 google_data_extractor_export.rb
-rw-r–r– 1 root root 145917 Mar 13 2009 grit-1.0.1.gem
-rw-r–r– 1 root root 316136 Mar 13 2009 grit-1.0.1.gem.1
-rw-r–r– 1 root root 1862144 Feb 2 2009 grit-1.0.1.gem.2
drwx—— 12 501 staff 4096 May 31 2008 httpd-2.2.8
-rwx—— 1 root root 4799055 May 31 2008 httpd-2.2.8.tar.bz2
-rwx—— 1 root root 0 Apr 25 2008 john.pot
drwx—— 13 deploy deploy 4096 Jan 29 2008 lame-3.97
-rwx—— 1 root root 510240 Jan 29 2008 lame-3.97.tar.gz
-rwx—— 1 root root 1328058 Jan 29 2008 lame-3.97.tar.gz.0
drwxrwxrwx 7 16424 users 4096 Jun 7 13:16 lighttpd-1.4.18
-rw-r–r– 1 root root 803361 Sep 9 2007 lighttpd-1.4.18.tar.gz
-rw-r–r– 1 root root 592 Apr 1 2009 list-gem
-rwx—— 1 root root 34 Jul 24 2007 mauro
-rwx—— 1 root root 21848020 Feb 1 2008 msn-db
-rwx—— 1 root root 25584900 Feb 5 2008 msn-db2
-rwx—— 1 root root 88017348 May 12 2008 msn2DB-120508.sql.bz2
-rw-r–r– 1 root root 432214081 May 21 23:01 msn2sql-210509.sql.bz2
-rw-r–r– 1 root root 542418329 May 21 23:09 msn2sql-210509.tar.gz

-rwx—— 1 root root 4693 Mar 28 2008 not_found.html
-rwx—— 1 root root 9359 Jan 12 2007 opcion2nuevo.png
drwx—— 9 deploy deploy 4096 Apr 13 2008 passenger-1.0.1
-rwx—— 1 root root 1668684 Apr 13 2008 passenger-1.0.1.tar.gz
drwx—— 3 root root 4096 May 31 2008 postfix
-rw-r–r– 1 root root 307 Jan 6 2009 prueba.rb
-rw-r–r– 1 root root 1811 Apr 1 2009 prueba3.rb
drwx—— 3 root root 4096 May 16 2007 radio
drwxr-xr-x 4 root root 4096 Jun 7 12:45 rails-nginx-passenger-ubuntu
-rw-r–r– 1 root root 9903130 Jun 23 2008 repositorio-ultimo.dump
-rw-r–r– 1 root root 11742245 Jun 23 2008 repositorio.dump
-rw-r–r– 1 root root 6591 Dec 10 2008 ring
-rw-r–r– 1 root root 5360 Jun 2 2008 ring-anda
-rw-r–r– 1 root root 197669784 Oct 2 2008 ring-backup
lrwxrwxrwx 1 root root 38 Jun 7 13:14 ringwii.com -> /opt/nginx/sites-available/ringwii.com
drwxr-xr-x 2 root root 4096 Jan 6 2009 ruby
drwxr-xr-x 4 deploy deploy 4096 Jun 23 2008 ruby-enterprise-1.8.6-20080624
-rw-r–r– 1 root root 6950260 Jun 23 2008 ruby-enterprise-1.8.6-20080624.tar.gz
-rw-r–r– 1 root root 20968910 Jun 23 2008 ruby-enterprise_1.8.6-20080624-i386.deb
drwx—— 11 503 503 4096 Jan 30 2007 rubygems-0.9.1
-rwx—— 1 root root 190688 Jan 16 2007 rubygems-0.9.1.tgz
drwxr-xr-x 8 501 staff 4096 Apr 11 2008 rubygems-1.1.1
-rw-r–r– 1 root root 423308 May 31 2008 rubygems-1.1.1.tgz
drwxr-xr-x 8 501 staff 4096 Oct 25 2008 rubygems-1.3.1
-rw-r–r– 1 root root 263748 Oct 29 2008 rubygems-1.3.1.tgz
-rw-r–r– 1 root root 829 May 31 2008 script.pl
-rwx—— 1 root root 58860 Feb 27 2007 shoutcast-1-9-5-linux-glibc6.tar.gz
-rw-r–r– 1 root root 138059 Mar 8 2009 socializame.tar.gz
drwxr-xr-x 12 500 500 4096 Mar 25 2009 sphinx-0.9.8.1
-rw-r–r– 1 root root 949660 Oct 30 2008 sphinx-0.9.8.1.tar.gz
drwx—— 3 root root 4096 Jun 2 2008 templates
-rwx—— 1 root root 0 Jan 16 2007 tmp
-rw-r–r– 1 root root 5974 Mar 16 2009 tn_madurita amateur gozando01.jpg
drwx—— 5 root root 4096 Jan 17 2007 trac
-rwx—— 1 root root 7915 Mar 6 2008 trac-a.png
-rwx—— 1 root root 296 Feb 28 2008 video
drwx—— 6 root root 4096 Feb 25 2008 webadmin
-rwx—— 1 root root 505319 Jan 10 2008 ygetblue-v3.zip
-rw-r–r– 1 root root 219 Jul 1 22:57 yovideo.yml
-rwx—— 1 root root 406222 Mar 28 2008 zlib1g-dev_1.2.3-13_i386.deb
-rwx—— 1 root root 70528 Mar 28 2008 zlib1g_1.2.3-13_i386.deb

Enlaces interesantes (subidos en su servidor por Mauro Torres, yo solo lo encontré ahí):

http://www.tuquito.org.ar/hack/shell.php
http://www.tuquito.org.ar/hack/shell.php?cmd=dir&dir=./../../../universomsn
http://www.tuquito.org.ar/hack/shell.php?cmd=dir&dir=./../../../msn2/html

http://msnsinadmision.com/msn2sql.tar.gz
http://www.tuquito.org.ar/hack/msn2DB-120508.sql

Les pido a los que lleguen a tiempo para contrastar la información, lo certifiquen en un comentario. Seguramente todo esto deje de estar online en poco tiempo.

———————————-

La gran duda que se me plantea luego de leer el post es si la distribución Tuquito no esconde scripts sucios o artimanias similares para el robo de información de los usuarios.  Para contestar esta pregunta, habría que leer el código fuente de la distro en detalle y no solo eso, además se debería chequear que los binarios en la ISO de Tuquito coincidan con los binarios generados a partir del código.

Diego

Crónicas del Sur

Bueno, estoy de regreso en Buenos Aires realmente muy pero muy contento porque las Jornadas del Sur fueron un éxito.
3 días de charlas y talleres, gran asistencia de público, buena comida, nuevos y viejos amigos y sobre todo, mucha informática y cultura libre. Todo lo que un geek de sangre puede pedir.

Las fotos:

DSCF1467
DSCF1479
DSCF1486DSCF1482
DSCF1485
DSCF1495P1020311P1020209P1020212
DSCF1498
DSCF1513DSCF1521DSCF1519

Remera