Infografía.- Cómo filtrar información

La última fotografía gustó bastante y creo que esta no gustará tanto en algunos sectores. Pero, es que me ha parecido genial y divertida a partes iguale y como ya llevamos tiempo repasando conceptos básicos hoy toca aprender a ser un poco Ninjas

Sed buenos ;) 

WhatsApp y su Backdoor

Desde ayer la comunidad, mas o menos, está revolucionada con el "backdoor" de Whatsapp que Tobias Boelter explico en su vídeo. La verdad es que [yo estaba muy contento con el cifrado de punto a punto de WhastApp] y hasta le dedique una entrada. 

Aquí tenéis el vídeo:

Este fallo de seguridad es bastante curioso. Os recordáis que hablamos de que WhatsApp utilizaba una clave privada y otra publica y que esta esta pública la que se distribuía entre tus contactos. Pues, si alguien es capaz de duplicar tu tarjeta SIM puede llegar a ver todos los menajes que tengas no recibidos. Esto es debido a que al registrar un nuevo dispositivo, se genera otra clave publica y WhatsApp obliga a los emisores a reenviar los mensajes pendientes con la nueva clave publica. Así que el mensaje nos llegará en los dos equipos a la vez. 

Muchas mas información en el Blog del Maligno: 

• http://www.elladodelmal.com/2017/01/el-bug-de-whatsapp-que-permite-que-te.html

Yo voy a replantearme si seguir utilizando WhatsApp.

Sed Buenos ;) 

MailSniper.- Búsqueda de información confidencial en el mail

La verdad es que yo he de hacer un pensamiento y aprender a utilizar PowerShell como se merece que parece me da miedo o que no la toque ni con palo.  Pero bueno, ya hay gente que piensa en gente como nosotros y comparte herramientas 100% escritas en PoweShell. 

Pensad que en medio de un pentest habéis conseguido vulnerar una máquina Windows, [elevar privilegios] y ahora toca ver si podemos obtener información sensible de la entidad para seguir vulnerando otras máquinas. Pues MailSniper nos permite revisar en un entorno Microsoft Exchange palabras claves como (passwords, insider intel, network architecture information, etc.) A quien no le han pasado un usuario y una contraseña por mail .. (aunque sean en mails distintos ...) Aix ... 

Enlace a la herramienta: 

• https://github.com/dafthack/MailSniper

Sed Buensos ;) 

El Baile de Capuchas y Mascaras (El Leak)

Hace nos días hablamos de la [operación KKK] de Anonymous y os comentaba que no había encontrado por ningún lado el leak con la información de las 1000 personas.  Pues hoy, después de escuchar por las noticias los disturbios ocasionados al 5 de noviembre, entro en the hacker news para ver las novedades y me encuentro con el enlace a pastebin donde han pegado el leak con toda la información. Ahora ya entiendo, en parte, porque se lío tanto anoche. 

Os dejo el enlace aquí y copiadlo antes de que lo acaben borrando:

• http://pastebin.com/wbvP95wg

Pero si quereis saber mucho mas de esta hisotria os aconsejo leeros las noticias de The Hacker News respecto a este tema:

• http://thehackernews.com/2015/11/anonymous-group-kkk.html

Que cada uno extraiga la opinión que quiera sobre los actos que se han cometido bajo el nombre de Anonymous, pero estoy seguro que mas de uno le pica la curiosidad sobre los nombre del leak al igual que yo la tenia y al no poder encontrarla hace un par de dias solo ha incrementado mi curiosidad.

Sed Buenos ,)

El Baile de Capuchas y Mascaras.

Esta mañana viendo las noticias como cada día junto a mi café con leche me ha sorprendido la noticia que Anonymous había filtrado 1000 identidades de miembros del Ku Klux Klan (KKK). La verdad es que yo antes de irme a la cama no había visto nada así que me ha chocado verlo por las noticias. Tampoco es el primer ataque de este grupo de Hacktivistas pero esto si que me ha parecido comentable. 

We've gained access to yet another KKK Twitter account. Using the info obtained, we will be revealing about 1000 klan member identities.

— Operation KKK (@Operation_KKK) octubre 22, 2015

Me he puesto a buscar un poco mas de información y pese que no he podido dar con la filtración entera, si que han subido un resumen con los nombres de los VIPs que estaban en esa filtración.

Aquí tenéis el enlace al pastebin con esta información:

• http://pastebin.com/Yh2muT9r 

La verdad es que es curioso y si alguno de vosotros puede hacer algo con esta información mejor que mejor pero lo que me impresiona es lo que puede hacer el esfuerzo de personas que no tienen porqué conocerse entre si cuando hay un objetivo en común y lo efectivo de su colaboración. 

Sed Buenos ;) 

Como Destruir Un Portatil de Categoria Top Secret

Muchos veces pensamos que para destruir 100% la información solo es necesario extraer el disco duro y espachurrarlo bien espachurrado para que no se pueda extraer ni un bit de información. Pero nada mas lejos de la realidad como se aprende en cursos de forensica informática, hay mas de un sitio de donde un experto podría rescatar información que le fuera útil.

De esta manera y basando se en informes del GCHQ (Government Communications Headquarters) dos investigadores presentaron en el [Cccamp del 2015] una ponencia relacionada con este tema.

La verdad es que entre esto, los espionajes rusos y los papers para el hackeo de drones y satélites daría para una novela diga de Tom Clancy. Pero para mi ya esta bien, esta información es hecha por gente civil para gente civil así que ya esta bien que sea difundida por nosotros.

Ahora ya no veis tan raro cuando Elliot de Mr. Robot mete la RAM y demás circuitería en el microondas, ¿no?

Sed Buenos ;)

Google Hacking de Logs de AWSTATS

Hace unos días haciendo experimentos con diferentes dork de Google me aparecieron diferentes logs indexados  con el nombre "AWSTATS DATA FILE 6.5 (build 1.857) # If you remove this ..." Así que, me vi en la obligación moral de investigar un poco mas sobre que era eso y que oportunidades le podría dar a un atacante si encontrara estos logs. 

Primeramente saber que, según Wikipedia, Awstats es una herramienta open source de informes de análisis web, apta para analizar datos de servicios de Internet como un servidor web, streaming, mail y FTP. Pero, por la falta de formación de algunos administradores estos logs quedan públicos y acaban siendo siendo indexados por Google. 

Estos logs contienen muchísima información pero para mi la mas "suculenta" es desde donde es vista las páginas y a que directorios del servidor van estas visitas. Por ejemplo si entramos en un log y vemos que entre los directorios mas visitados hay un wp-content sabremos que en ese servidor hay motado un wordpres y ya podríamos forzar mensajes de error para que el wordpress revelara su versión para luego atacarlo con herramientas especificas. 

Dorks de google para la bus queda de estos logs: 

• intitle:"statistics of" "advanced web statistics"
• intext:"AWSTATS DATA FILE" filetype:txt
• inurl:/(cgi-bin|awstats)/awstats.pl?config=
• intitle:"Statistics of" inurl:/(cgi-bin|awstats)/awstats.pl?config=

La verdad es que otorga información bastante jugosa para un atacante si se rebusca bien así que tener estos logs públicos pueden ocasionar un problema en la seguridad del servidor web. 

Fuente de los Dorks; 

• http://www.caceriadespammers.com.ar/2013/03/google-hack-awstats.html

Sed Buenos con esto 0;) 

El Grupo HALT y La Filtración del SDK de Xbox One

Si ayer os decía que estaba sorprendido por haber descubierto ZoomEye, un buscador parecido a Shodan, hoy me he sorprendido al enterarme de que el SDK de Xbox One ha sido filtrado. Bueno, supongo que los que estáis mas familiarizados con el mundo de la programación o de los videojuegos os  sonarán estas siglas pero para los que no que sepáis que un SDK es un kit de herramientas para desarrollar software para una plataforma determinada, en este caso seria para Xbox One.

Pero como ni las grandes empresas están a salvadas de un cyberataque, el grupo H4LT consiguió filtrar el SDK, subirlo a MEGA y difundirlo por Twitter para que todos puedan tenerlo. Este es el famoso tweet:

Hey, @Xbox! We thought we'd drop on by and End 2014 with a Bang ;) https://t.co/dQH9CIPrb0
— // Microhalt (@notHALT) diciembre 30, 2014

Pero no solo se quedaron aquí sino que también han subido la documentación del SDK para que todo el mundo que quiera utilizarlo sepa como funciona.

Documentation for the SDK available: https://t.co/chv86kLt65
— // Microhalt (@notHALT) diciembre 30, 2014

Fuente de la noticia:

• http://www.hackplayers.com/2015/01/filtran-el-sdk-de-microsoft-xbox-one.html

 Sed Buenos ;)

#9N .- Tweets y DNIs

Hoy ha sido un día un poco especial aquí en Barcelona por el tema de las votaciones. Yo, he ido a votar y me he encontrado con un cámara fotografiando el evento y a gente haciéndose un montón de fotos/selfies. Así que, como vivimos en un mundo donde las fotos se suben a Internet al segundo de ser fotografiadas y estaba en un lugar publico donde la gente mostraba su DNI para votar, se me ha ocurrido buscar en los diferentes Hashtags en twitter alguna foto de algún documento nacional de identidad a ver si encontraba alguno completo. 

xDDD me ha encantado este meme

Al princio he encontrado estos ... una pena que Twiitter re-escale la imágenes y no tenga ningún programa para poder hacer zoom decentemente. 

La primera votant a l'escola Mas Casanovas bcn #9nrac1 @Araeslhora @assemblea @AnnaSimo @vialliure @MiriamBallber pic.twitter.com/IkTGJVLf9z
— Fr9Ncesc Buxeda Aliu (@francescbuxeda) noviembre 9, 2014

Emoció de jornada #9N #hemvotathemguanyat #omplimlesurnes pic.twitter.com/r9ReTy6VVD
— Elena Albouy Bardina (@ElenaAlbouy) noviembre 9, 2014

Esta sobretodo es la que me ha dado mas pena.

Bueno, después de un rato mas dandole viendo mas fotos he encontrado un par que casi llega a ser lo que yo buscaba.

Preparados, listos, ya....gracias @marianorajoy por animarme a votar!!! #jojahevotat pic.twitter.com/SaI8E6pgVX
— El Racó dels Amics (@Elracodelsamics) noviembre 9, 2014

@marianorajoy Lo voy a decir en castellano #paraquemeentiendatodoel mundo: YO YA HE VOTADO #omplimlesurnes pic.twitter.com/NRsPsAiZKc
— Edgar Quilez (@EdgarKTD) noviembre 9, 2014

 Pero bueno, al final utilizando un poco de magia se encuentra lo que se quiere.

#JoJaHeVotat #SiSi #OmplimLesUrnes pic.twitter.com/BlFfsh7XG1
— Àlex Moré SíSí #9N (@alaxmo13) noviembre 9, 2014

Por favor, si estas leyendo esta entrada y uno de estos DNI es el tuyo. Borra esta información de inmediato ya que pueden ser utilizada para fines ilícitos.

;

Sed Buenos y borrad las fotos ;) 

La Info de Runtastic Indexada y PoC Html en Python

Hoy en el blog del Maligno hemos aprendido como [extraer las rutas y datos de bastantes usuarios de la app Runstastic] gracias a Google, a su araña y al Dork: 

•  site:runtastic.com/es/usuarios/ rutas

Yo he estado haciendo mis pruebas gracias a la herramienta que cree para el blog de [estación informática] para hacer una búsqueda en 3 buscadores al mismo tiempo.  el cual tengo un poco abandonado pero espero que esta PoC que voy a presentar ahora sirva para una buena entrada. 

Búsqueda en Google: 

Búsqueda en Bing:

Búsqueda en Duck Duck Go: 

No sale el numero de resultados pero hay muchos

Después de jugar un rato con esto se me ha iluminado la bombilla ya que, tenia [una idea clara hace mucho] pero no sabia como aplicarla. La verdad es que hacer muchas búsquedas en diferentes buscadores y cada uno en una pestaña diferente es muy molesto. Así que, es mucho mas fácil crear una tabla en html, especificar que buscador es y meterle un enlace en la columna de al lado para que se le pued hacer clic y acceder a la búsqueda deseada. 

Como veis la PoC está limitada a 3 buscadores que mañana intentaré que sean mas. Pero, es un buen sistema para probar un mismo Dork con diferentes buscadores/arañas a ver que resultados nos dan. 

Os dejo el código del script de la PoC aaquí: 

#!/usr/bin/env python

# -*- coding: utf-8 -*-

import webbrowser

def webinput():

while True:

busqueda = raw_input("Copia tu Dork favorito: ")

search(busqueda)

def search(peticion):

google =  "https://www.google.com/?#q="+ peticion

bing = "https://www.bing.com/search?q="+ peticion

duckgo = "https://duckduckgo.com/?q="+ peticion

list = [google,bing,duckgo]

html ="""

<html>

<head>

<meta charset="UTF-8">

<title>StateX Results</title>

</head>

<body>

<h1>

Resultados

</h1>

<table>

<tr>

  <td><strong>Buscador</strong></td>

  <td><strong>Url Busqueda</strong></td>

</tr>

<tr>

  <td>Google</td>

  <td><a href="%s">Ver Resultados</a></td>

</tr>

<tr>

  <td>Bing</td>

  <td><a href="%s">Ver Resultados</a></td>

</tr>

<tr>

  <td>DuckDuckGo</td>

  <td><a href="%s">Ver Resultados</a></td>

</tr>

</table>

</body>

</html>

""" %(google,bing,duckgo)

d1 = open("resutados.html", "w")

d1.write(html)

d1.close

print "Resutados guardados como resultados.txt"

if __name__ == "__main__":

print """ 

|-----| Bing, Google & DuckDuckGo |-----|

                          Hacking   

""" 

webinput()

De momento no lo he subido a Github por que me parece un poco tontería y quiero afinarlo un poco mas pero aquí tenéis una idea para todos lo que quieran hacer algo con un html. 

Sed Buenos ;) 

Python.- Extrayendo Metadata con PIL

Hace menos de una semana os di la vara con el tema de los metadatos Exif y os presente un [par de PoC] para ver como se podía extraer y eliminar. La verdad es el código que utilice para la PoC de extraer metadatos utilizaba una librería un poco desfasada y de la que ya me queje [en la siguiente] entrada.

Así que me había llegado hace ya semanas el libro de Python para Pentesters y sabiendo que había un capitulo donde se hablaba de metadatos, he decidido volver a mirar el código a ver si podía sacar una idea y no solo me he encontrado con una idea si no con la solución entera. Ademas, utilizando la librería PIL así que no voy a tener que importar tantas cosas cuando junte los dos scripts y va a quedar un código mas bonito. 

from PIL.Exif.Tags import TAGS 

from PIL import Image 

def testForExif(imgFileName):

try: 

   exifData =  {}

   imgFile =  Image.open(imgFileName)

   info =  imgFile._getexif()

   print info

   if info:

         for (tag,value) in info.items(): 

               decoded = TAGS-get(tag,tag)

               exifData[decoded] = value

         exifGPS =  exifData['GPSInfo']

         if exifGPS: 

              print '[*] ' + imgFiileName + 'GPS Data: ' + exifGPS

except: 

    pass

testForExif('D:\\StateXMola.png')

La verdad es que me parece una solución cojonuda, solo que la mía estaba hecha con menos lineas de código. Pero, con esto ganamos unificar librerías y trabajar con una libreria que no está en desuso. Os recomiendo encarecidamente este libro porque la verdad es que es una maravilla.  

 Mas información del libro: 

•  http://infostatex.blogspot.com.es/2014/09/hola-vengo-hablar-de-su-libro-python.html

Sed Buenos ;) 

Eliminado Metadatos Exif Con Python

Ayer estuve intentando por todas las maneras borrar le información Exif por la librería que os enseñé y la verdad es que desistí después de pasar toda la mañana tocando cosas por culpa de problemas de permisos. Así que, después de toda una mañana, decidí buscar otras maneras de hacerlo. 

Me puse a mirar hasta como [trabajaba el formato Exif] en bits y mas librerías. Hasta que leyendo en foros vi que con abriendo y guardando una foto con la [libreria PIL] por defecto sobrescribía los metadatos Exif que le pongas. Así que, si no le ponemos ninguno sobrescribe nada dejándolos en blanco.

De esta manera me he creado una mini PoC  muy cutre: 

from PIL import Image

foto = Image.open( raw_input ("Foto: "))

foto.save("copiasinmeta.jpg")

Así que si cogemos la imagen de ayer y la copiasinmeta.jpg y las pasamos por la FOCA vemos, primeramente,  que el peso es significativamente diferente. 

Después la analizamos y vemos como la copiasinmeta.jp ya no posee metadatos en su interior. Mientras que la foto de ayer, la cual he llamado prerasd.jpg aun tiene sus metadatos. 

Un truco efectivo y la verdad es que me dan ganas de profundizar mucho ams en el campo de los metadatos. 

Sed Buenos ;) 

Pyexiv2.- Extrayendo Metadatos EXIF En Python

En la entrada de ayer vimos una herramienta para limpiar los metadatos de diferentes tipos de archivo. Además, os dije que tenia ganas de ver como podía montarme un script propio para este tema. Así que esta mañana me he estado dando de cabezazos con diferentes librerías hasta que he encontrado Pyexiv2.

Por lo que he leído en la documentación con esta librería seria muy fácil limpiar archivos que utilicen el formato EXIF. Yo me he montado un miniscript funcional para entender como funciona la librería y ver lo que es capaz de extraer antes de borrar. 

from pyexiv2 import ImageMetadata, ExifTag

image = ImageMetadata(raw_input("Foto: "))

image.read()

for item in image.exif_keys: 

tag = image[item]

print tag

Esto es facil si antes hemos hecho una lectura de la documentación de Pyexiv2: 

• http://tilloy.net/dev/pyexiv2/tutorial.html

Con image =  ImageMetadata() y image.read() cargamos el archivo que nosotros queramos. 

Si os miráis la documentación image,exif_keys revela todas la lista de Exif tags que podemos mirar en una imagen. 

Lista de Tags: 

• metadata.exif_keys:
• ['Exif.Image.ImageDescription','Exif.Image.XResolution', 'Exif.Image.YResolution', 'Exif.Image.ResolutionUnit', 'Exif.Image.Software', 'Exif.Image.DateTime', 'Exif.Image.Artist', 'Exif.Image.Copyright', 'Exif.Image.ExifTag', 'Exif.Photo.Flash', 'Exif.Photo.PixelXDimension', 'Exif.Photo.PixelYDimension']

Por lo tanto, si tenemos una lista podemos utilizar un bucle for para que por cada objeto de la lista nos imprima el nombre del objeto llamado tag y el valor.  

for item in image.exif_keys: 
tag = image[item]
print tag

Haciendo la prueba he elegido la siguiente imagen, la cual posee muchísimos metadatos.

Bingo así que tenemos toda la información de los metadatos de la foto con su versión de sistema operativo, marca, resoluciones, etc.

Para mañana he de mirar como eliminar toda esta información y a ponerme un poco al día con el formato EXIF.

Sed Buenos ;) 

MAT.- Limpiando Metadatos en Python

Hace bastante tiempo que quería meterme con es extracción y eliminación de metadatos en Python para poder hacer un script propio. Pero rebuscando en Google, en una de las entradas del [Binario.net], he encontrado a MAT una herramienta para la limpieza de metadata de muchísimos tipos de archivos. 

MAT son las siglas de Metadata Anonymisation Toolkit que, en mi opinión, no es un nombre muy bien escogido porque por muchos metadatos que borres si en el documento hay información confidencial no va a ser anónimo. Pero solo es mi opinión.  La verdad es que este programa funciona bien y es capaz de limpiar bastantes tipos de archivos. 

Tipos de archivos que puede limpiar: 

• Gráficos: png, jpg, jpeg, … 
• Documentos ofimaticos libres: odt, odx, ods, … 
• Documentos ofimaticos openXml: docx, pptx, xlsx, … 
• Archivos de documentos portables: pdf 
• Archivos comprimidos: tar, tar.bz2, … 
• Audio: mp3, mp2, mp1, ogg, flac, … 
• Torrents: . Torrent

Contiene una interfaz gráfica pero también puede ser ejecutado en consola. Ademas es bastante facil de usar como podéis ver en este vídeo. 

Es una herramienta muy buena pero, no se ha hecho una buena gestión de las dependencias y requiere todas estas librerías e herramientas para poder ser utilizada. 

• python2.7
• python-hachoir-core y python-hachoir-parser
• python-pdfrw, gir-poppler y python-gi-cairo
• python-gi
• shred
• python-mutagen
• exiftool

Si la queréis descargar y aprender un poco mas de ella os dejo el link de la fuente aquí: 

• http://elbinario.net/2014/08/02/mat-limpiando-los-metadatos-de-tus-documentos/

Sed Buenos ;) 

La COPE, La Cache, The Archive y El Robot .txt

Hace unos día vi el siguiente tweet de la cope con su correspondiente contestación.

Que, unido a otro tweet que me he encontrado hoy sobre el robot.txt de la cope.es me ha activado el sentido arácnido.

Así que me he puesto a comprobar quien de los dos lados mentía. Estaba claro, pero tenia que hacerlo.  Lo primero que he hecho es comprobar el robot.txt a mano con lo que me he encontrado con lo siguiente. 

Bueno, pues si no me lo puedes ofrecer lo tendré que conseguir. Así que he utilizado el robot.txt Extractor de la herramienta [Parameter Fuzz] para obtenerlo y veréis que la similitud con la foto es bastante grande solo que ya han sacado ese enlace. 

Ahora ya me podía creer que lo habían tocado, al menos actúan rápido. Pero, como tenia la url, de la noticia la he buscado por la cache de Google y en la misma pagina pero nada solo me he encontrado con este error 404 tan sugerente.

Pues nada, como Internet es así de chulo y aquí no se escribe con lapiz sino con tinta indeleble. Me he dirigido a [The Archive] a ver lo que encontraba con la url www.cope.es el día 9 de noviembre (como se ve en el primer tweet). The Archive solo hizo tres Snaps con esa url y en ninguna de ellas estaba la noticia. Pero, si otra de menos alarmante e igual de falsa. 

Pero, al poner la url entera (www.cope.es/detalle/muere-la-auxiliar-de...etc) es otra cosa.

Así que no se quien es el pobre Community Manager de la cuenta de Twitter pero el o sus jefes se han cubierto de gloria. xD

Sed Buenos ;) 

Metadatos En LibreOffice

LibreOffice es una suite ofimática de código libre creada por antiguos miembros de OpenOffice.org por miedo a que OpenOffice quedara sin continuación por culpa de la compra por parte de Oracle Corporation de Sun Microsystem. Así que, no es de extrañar que encontrarnos similitudes en la manera de anexar los metadatos. En el blog del maligno hay [muchísima información sobre los metadatos en Openoffice] y rebuscando por Internet he encontrado [los metadatos que podría extraer la herramienta extract ] de un .odt. 

Metadatos de un .odt con la herramienta extract:

$ extract documento.odt
date - 2009-02-28T14:15:50
creation date - 2009-02-11T20:37:02
page count - 1
software - OpenOffice.org/3.0$Linux OpenOffice.org_project/300m15$Build-9379
mimetype - application/vnd.oasis.opendocument.text

Así que siguiendo los procedimientos del blog del maligno y después de ver que LibreOffice también usaba el formato ODF (OpenDocument Format definido por OASIS), lo cual se puede ver utilizando un editor hexadecimal, utilizaremos cualquier herramienta que pueda extraer un .zip ya que ODF utiliza este formato para almacenar los archivos con los metadatos. 

En la carpeta descomprimida nos encontramos con varias carpetas y archivos. Pero ahora, nos centraremos en el archivo llamado meta.xml 

"meta.xml: Contiene metadatos relativos al documento y, como se indica en la ayuda del producto, este fichero no se cifra ni siquiera cuando el documento esté protegido mediante contraseña."

Ahora abrimos el archivo. Os recomiendo que lo abráis con alguna herramienta como sublimetext ya que es un poco lioso y poner bien las etiquetas xml os ayudara a entenderlo mejor. 

Darle a la foto para que se vea mas grande.

La imagen se ve un poco pequeña pero si le dais un clic podéis ver que están los mismos campos que la herramienta extract ha sacado de un odt por lo que LibreOffice y OpenOffice utilizan el mismo sistema de anexión de metadata.

Sed Buenos ;)

Windows 10 Tecnical Preview y Su Keylogger.

Pues si, la versión Tecnical Preview de Windows 10 viene con una grata sorpresa. Según su política de privacidad Windows sera capaz de captar el nombre, el correo electrónico, preferencias de uso, intereses, navegación e historial de archivos, llamadas de voz, mensajes SMS, cambios en la configuración y resultados de los sensores de tu equipo. 

Esto mismo ha hecho que no quiera probar Windows 10 en mi equipo actual y dudare mucho en pasar a la siguiente verisón hasta que me lo asegure otra fuente mas fiable que microsoft. Así que, mientras trato de tranquilizarme os dejo los mejores puntos de la política de privacidad de Windows 10.

1. “Podemos recopilar información acerca de su dispositivo y las aplicaciones instaladas y utilizarlas para fines tales como la mejora de la compatibilidad y la experiencia de usuario” , “utilizar las funciones de entrada de voz como de voz a texto, podemos recopilar información de voz y utilizarla para fines tales como mejorar el procesamiento del habla “
2. “Microsoft recolectará información acerca del usuario, sus dispositivos, aplicaciones y redes, así como de su uso. Entre esos datos podrían incluirse el nombre, el correo electrónico, preferencias de uso, intereses, navegación e historial de archivos, llamadas de voz, mensajes SMS, cambios en la configuración y resultados de los sensores“.
3. “Si usted abre un archivo, podemos recopilar información sobre el archivo, la aplicación que se utiliza para abrir el archivo, y el tiempo que tarda en responder para fines tales como la mejora del rendimiento, o si introduce texto, podemos recopilar los caracteres escritos y utilizarlos para fines tales como la mejora de las funciones de autocompletado y corrección ortográfica”

Sed Buenos ;) 

WhatsApp Tracker Yo Toco WhatsApp Ni Con Un Palo.

Los que me conocéis en persona supongo que estaréis hasta los mismísimos de tenerme que enviar sms o directamente llamarme por no utilizar un servicio con tan mala seguridad como WhatsApp. Bromas a parte, la verdad es que hace mucho que este servicio tiene severas fallas de seguridad y cada día, existen mas herramientas para vulnerarlas. Como por ejemplo WhatsApp Tracker.  (A los jefes os va a encantar xDD)

"Es una herramienta que permite rastrear los últimos tiempos en línea del usuario. Para usuarios que tengan activa la última hora en línea, no es que sea muy útil, pues cualquiera puede ver cuando fue la última vez se conectó. Pero esta herramienta te permitirá saber también cuando fue la última vez que se conecto un usuario que tenga 'la última vez en línea' invisible."

Comandos

• php watracker.php

Una lista con los comandos que actualmente tiene el programa:

• -check < numero > Te muestra por pantalla la última hora en línea del usuario. (solo funciona con usuarios que tengan visible su última hora en línea).
• -cRemote0 < tuNumero > < numero > Te muestra por pantalla la última hora en línea del usuario y manda un log al número que tu le asignes. (solo funciona con usuarios que tengan visible su última hora en línea).
• -cHidden < numero > Te muestra por pantalla la última hora en línea del usuario. (Funciona para todos los usuarios, enfocado para los que lo tienen en invisible).
• -cRemote1 < tuNumero > < numero > Te muestra por pantalla la última hora en línea del usuario y manda un log al número que tu le asignes. (Funciona para todos los usuarios, enfocado para los que lo tienen en invisible).

Os la podeis descargar desde aquí: 

• https://github.com/mgp25/WhatsApp-Tracker

Fuente: 

• http://blog.segu-info.com.ar/2014/10/whatsapp-tracker-rastrea-linea-de.html

¡OJO!.- Cinco Millones de Cuentas de Google Filtradas. (Mira el TXT y Comprueba)

He llegado esta noche a mi casa después de entrenar cuando, de repente, mirando la lista de correos de la rooted he entrado en pánico. Cinco millones de cuentas de Google filtradas con contraseñas y todo. Mañana supongo que saldrá la historia por algún lado pero ahora toca correr. 

¡Ya puede cundir el pánico!

¿Que puedo hacer para saber si mi cuenta ha sido Hackeada o no?

1. Descarga el dump de la lista desde este enlace de Mega. Es un .zip, descomprimidlo, abridlo e id a Edición > Buscar si habéis abierto con el Bloc de notas de Widnows. 
• Enlace de la lista sin contraseñas:
•  https://mega.co.nz/#!ewU1wCKA!P52rdL5tMcugRxi8ALyZlGnfE_KSB4pERGIJjsPsyCQ
2. Si esta tu correo teme y ve corriendo al Dashboard de Google para cambiar tu contraseña.
• Enlace al Dashboard:
• https://www.google.com/settings/security
3. Por ultimo, para quedarnos seguros de que no ha habido ninguna intrusión, os recomiendo mirar la Actividad Reciente de vuestra cuenta.
• Enlace a la Actividad Reciente:
• https://security.google.com/settings/security/activity
4. Ya puedes respirar xD

Lamento esta entrada tan expres pero creo que ahora es útil. 

Sed Buenos. 

Tinfoleak.- Obteniendo Información De Twitter

En la ultima entrada hablamos de como distribuía Twitter los metadatos y cual ha sido mi sorpresa que hoy, al leer el mail,  me he encontrado con el comentario de "[Richard Langly]". El cual me recomendaba Tinfoleak, una herramienta hecha por [Vicente Aguilera Diaz] CEO de [Internet Security Auditors] muy versatil y capaz de sacar toda la información que queramos de la cuenta de Twitter que nos apetezca. Ademas, está desarrollada en Python. No puedo pedir nada mas. 

Extracción de la información básica de una cuenta

Detalles de todo lo que puede extraer esta herramienta: 

• basic information about a Twitter user (name, picture, location, followers, etc.)

• devices and operating systems used by the Twitter user

• applications and social networks used by the Twitter user

• place and geolocation coordinates to generate a tracking map of locations visited

• show user tweets in Google Earth!

• download all pics from a Twitter user

• hashtags used by the Twitter user and when are used (date and time)

• user mentions by the the Twitter user and when are occurred (date and time)

• topics used by the Twitter user

Os he puesto lo de enseñar los Tweets en Google Earth porque, mientras estaba estaba jugando con la herramienta, me ha sorprendido muy gratamente. 

Dejo aquí el enlace a la web personal de Vicente para que veais ejemplos y os descargueis la herramienta que está genial: 

• http://vicenteaguileradiaz.com/tools/

Recuerdo que está escrita en Python por lo que entender el código se vuelve algo tribial y puede reutilizarse. Acorados, también, de rellenar los campos CONSUMER_KEY, CONSUMER_SECRET, ACCESS_TOKEN y ACCESS_TOKEN_SECRET si no no os funcionará por el simple hecho de que utiliza la Tweepy una API para Twitter y necesita estos campos para la autorización. 

En este enlace encontrareis ayuda por si no sabeis como rellenar estos campos:

• http://infostatex.blogspot.com.es/2014/07/twitter-permisos-el-sistema-de-pin-con.html

Sed Buenos con esto 0;)