Profile

Cover photo
Elie Azagoury
12,297 views
AboutPostsPhotosVideos

Stream

Elie Azagoury

Shared publicly  - 
 
What if I say I'm not like the others. :)
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
POLÍTICAS DE SEGURIDAD QUE APESTAN
CAPÍTULO 2: CONFIRMATION SMS


El confirmation SMS consiste en enviar un código (estilo OTP) por medio de SMS a un teléfono móvil para confirmar la identidad de la persona. Este método es mediocre al usarlo en combinación con una clave de acceso, y completamente malo al usarlo como sustituto de una clave de acceso.

1- El SMS no es un protocolo seguro!

El protocolo HTTPS por el cual estamos autenticándonos nos ofrece comunicación cifrada punto a punto, nadie que intercepte la comunicación podrá descifrarla.

Los mensajes SMS son triviales de interceptar y lo único que los protege es el hecho de que está prohibido interceptarlos, es decir, hay una ley por ahí que solo sirve para asegurarse de que los SMS solo sean interceptados por la gente que viola la ley.


2- Estar en posesión del dispositivo no implica ser el dueño del dispositivo.

El robo de smartphones se ha convertido en uno de los delitos más comunes de los últimos años, para variar, los smartphones son una de las cosas más fáciles de robar, tan fáciles de robar, que a veces cuesta decidir si es robo o hurto.

Dependiendo del dispositivo y su configuración, algunos no requieren de clave para leer los mensajes que llegar por SMS, ya que muestran el mensaje de algún modo en el lock screen, permitiendo a un ladrón leer el mensaje sin necesidad de conocer la clave del dispositivo.


3- Estar en posesión de la línea no implica ser el dueño de la línea.

Es trivial ubicar agentes irresponsables que no verifiquen correctamente la identidad de una persona que reclame una línea telefónica. Ya he visto agentes que permiten a una persona decir que solicita la línea de "un familiar" sin ninguna otra prueba que un email sin ningún tipo de autenticidad mostrado en la pantalla de un smartphone, pagar en efectivo, firmar sin ningún tipo de requerimiento de fotografía o huella dactilar, y recibir la línea de otra persona sin siquiera necesitar una cédula con el mismo apellido del dueño de la línea. Así de fácil es obtener la línea telefónica de otra persona, y eso es sin necesidad de ningún tipo de complicidad o soborno.

4- Los banking trojans reciben el código de confirmación.

Los banking trojans de smartphone, al estar convenientemente alojados en el mismo dispositivo que se usa para realizar las transacciones y a su vez para recibir los códigos de confirmación por SMS, puede generar la transacción y además recibir el código de confirmación por SMS y usarlo para completar el proceso.


5- Representa un riesgo a la privacidad.

En aquellos servicios en los que se puede ocasionar el envío de un SMS o rings a un usuario sin necesidad de conocer las credenciales del usuario es posible que este método sea utilizado para revelar la identidad del usuario bajo ciertas circunstancias.

6- Hace ver al desarrollador como un estúpido ignorante.

Porque se demuestra que lo es, que otra razón puede haber.
 ·  Translate
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
How would YOU know that?
reviewed:
NSA Utah Data Center
N 11600 W, Bluffdale, UT 84045, United States
All you stupid people have no idea what it is for if you think they are even slightly interested in you and your precious information. They aren't getting a kick out of listening to you call your mom
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
Microsoft promete proteger la privacidad de los usuarios.

Microsoft está prometiendo tomar acciones para proteger la privacidad de los usuarios en contra de intrusiones ilegales por parte del estado, principalmente se refieren a la NSA pero es bueno recordar que la NSA no son los únicos ni los peores y que Microsoft tiene datacenters en varios países.

Es un buen comienzo pero no es suficiente, el gobierno de Estados Unidos aún tiene el poder de forzar a Microsoft a cooperar y a mantener silencio sobre su cooperación con una orden de una corte que puede ser emitida en secreto.
 ·  Translate
News and perspectives covering the top stories, events and activities from Microsoft. The content for this blog includes the official information and stories from all of Microsoft's primary businesses.
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
badBIOS

Dragos Ruiu ha encontrado sus computadoras infectadas con un posible worm. Ha estado estudiando el malware y dice haber encontrado comportamientos muy interesantes:

- Al producirse la infección, el BIOS es modificado y ya no permite iniciar el sistema desde CDs.
- El Malware ha infectado sistemas operativos Apple, Windows, y BSD.
- Pareciera utilizar el sistema de audio para hacer networking con otras computadoras infectadas.
- El malware pareciera persistir en el BIOS o firmware para infectar el sistema operativo.
- Parece transmitir tráfico ipv6 inclusive en máquinas que no tengan ipv6 activado.

Aún no ha sido posible confirmar la información pero está muy interesante. Sería una buena demostración sobre la necesidad de mejor seguridad en firmware, BIOS, etc.
 ·  Translate
Dan Goodin at Ars Technica has reported on Dragos Ruiu's "badBIOS" analysis. I thought I'd explain how some of this stuff works. First, a disclaimer The story so far is this: Dragos's laptops appear to be have been infec...
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
So long 2014. So long... ich hasse dich nicht.
https://www.youtube.com/watch?v=HsvxiAtfjMg
 ·  Translate
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
#Internet level #MITM attack spotted on the wild

So I was just having a superprivate conversation about superprivate things that happen in Venezuela, you know, talks about how I'm tired of electric failures and how it's hard to find food at the groceries, this is on the news, but it is superprivate because my conversation isn't something I want to share with the entire world, or with #spies .

And all of sudden, a connection attempt hits us from an IP belonging to a #TOR node.

If you think you are completely anonymous just by using TOR you haven't done your homework. A TOR node means that whoever wanted to connect (bannergrabbing, I guess) also wanted to be anonymous. So we don't know the "content" (who it was) but we know the metadata (it was someone who wanted to be anonymous), we also got more metadata (it was someone who was attempting to sniff the connection) and yet some more metadata (it was someone who owns a pipe and can perform a MITM attack).

So yeah, I would NEVER EVER EVER IN MY LIFE KNOW THE DATA (who it was) because I only have the metadata and that tells me nothing... I'm godawful at sarcasm but I do it on purpose.

15 minutes later, I lose connection, after repeated attempts to reconnect, I was looking at the logs and, guess what, the entire handshake is fine, but certificates do not match.

Over 50 attempts to reconnect, all with the same problem, certs do not match.

I guess some people would think that it doesn't matter because I have nothing to hide, but I am of the opinion that, since I'm not on the business of reading the news to people for free, those who want news should either visit ntn24.com or put me on a contract and pay me something lucrative for reading the news to them.

But I'll admit it was kind of exciting, it's like when you see an action movie thing happening in real life. Heh.
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
POLÍTICAS DE SEGURIDAD QUE APESTAN
CAPÍTULO 1: LA PREGUNTA SECRETA


Los sistemas de pregunta secreta son posiblemente la estupidez más grande que he visto en mi vida.

1. LA PREGUNTA SECRETA NO TIENE NADA DE SECRETA: Siempre son preguntas de la vida privada de la persona, irónicamente, cualquier persona que tenga un verdadero interés en un usuario específico conoce suficiente sobre él para saber dónde obtener la respuesta a sus preguntas secretas... y ese lugar casi siempre es facebook.

2. LA PREGUNTA SECRETA NO ES TRATADA POR EL PROVEEDOR COMO UN SECRETO: Existen metodologías estrictas y comprobadas para el almacenamiento de claves, pero para las preguntas secretas no existe tal cosa, la mayoría de los proveedores las almancenan en texto plano y en muchos casos todo el personal de call center, IT, atención al cliente, etc, tiene acceso a visualizar dicha información.

3. NO SE SABE PARA QUÉ SIRVE LA PREGUNTA SECRETA. Unos ejemplitos:

Yahoo Mail (estúpidos) usan la pregunta secreta como método de recuperación de la clave. Si un intruso quiere entrar en el correo de quien me lee (saludos) podría romperse la cabeza adivinando la clave (que sí es secreta) o podría contestar la respuesta a la pregunta secreta (que no lo es).

Por otro lado, hay gente que no ha estudiado razonamiento lógico nunca en su vida y hace sistemas para BANCOS (por eso los joden). Ya que el sistema pide la clave, que sí es secreta, y luego, si el usuario responde correctamente la clave, le lanza la pregunta secreta, ¡que no lo es!. Según la lógica del desarrollador un intruso que sea capaz de descubrir la clave (dato secreto) aún no sería capaz de conseguir la respuesta a la pregunta personal... (maldito ignorante de mierda cuando sepa quien eres te voy a joder).

4. PEOR QUE LA PREGUNTA SECRETA ES EL CUESTIONARIO DE DATOS PERSONALES. En Venezuela, los sistemas de tarjetas de pago usan como método preferido (¡o como método único!) la comunicación con una contestadora vía telefónica (¿nunca han oído del cifrado punto a punto?) y las preguntas utilizadas para realizar la operación son los datos personales junto con varios datos fáciles de adivinar, la mayoría de esos datos están disponibles en facebook.

En nuestro próximo capítulo, CONFIRMATION SMS!!
 ·  Translate
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
Cantv.Net BLOQUEA acceso a pastebin.com

Para los que etienden de redes, la prueba:

(La IP de pastebin.com es 141.101.112.16)

root@kali:~# tcptraceroute 141.101.112.15 -q1 -f2
traceroute to 141.101.112.15 (141.101.112.15), 30 hops max, 60 byte packets
 2  190.74-32-1.dyn.dsl.cantv.net (190.74.32.1)  8.417 ms
 3  172.16.40.3 (172.16.40.3)  10.242 ms
 4  10.150.0.165 (10.150.0.165)  25.248 ms
 5  10.150.0.217 (10.150.0.217)  22.260 ms
 6  10.82.0.133 (10.82.0.133)  27.077 ms
 7  so-3-3-0.usa.nmi-core01.columbus-networks.com (63.245.40.137)  64.167 ms
 8  63.245.106.190 (63.245.106.190)  76.075 ms
 9  198.32.125.60 (198.32.125.60)  83.994 ms
10  141.101.112.15 (141.101.112.15) <syn,ack>  69.000 ms
root@kali:~# tcptraceroute 141.101.112.16 -q1 -f2
traceroute to 141.101.112.16 (141.101.112.16), 30 hops max, 60 byte packets
 2  190.74-32-1.dyn.dsl.cantv.net (190.74.32.1)  9.569 ms
 3  172.16.30.1 (172.16.30.1)  10.442 ms !H
root@kali:~# tcptraceroute 141.101.112.17 -q1 -f2
traceroute to 141.101.112.17 (141.101.112.17), 30 hops max, 60 byte packets
 2  190.74-32-1.dyn.dsl.cantv.net (190.74.32.1)  8.777 ms
 3  172.16.40.3 (172.16.40.3)  9.469 ms
 4  10.150.0.165 (10.150.0.165)  25.519 ms
 5  10.150.0.217 (10.150.0.217)  23.456 ms
 6  10.82.0.133 (10.82.0.133)  26.403 ms
 7  so-3-3-0.usa.nmi-core01.columbus-networks.com (63.245.40.137)  72.443 ms
 8  xe-1-0-3.usa.nmi-teracore01.columbus-networks.com (63.245.5.108)  93.316 ms
 9  198.32.125.60 (198.32.125.60)  85.234 ms
10  141.101.112.17 (141.101.112.17) <syn,ack>  81.325 ms
root@kali:~# dig pastebin.com @200.44.32.12

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> pastebin.com @200.44.32.12
;; global options: +cmd
;; Got answer:
;; >>HEADER<< opcode: QUERY, status: SERVFAIL, id: 10507
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;pastebin.com. IN A

;; Query time: 50 msec
;; SERVER: 200.44.32.12#53(200.44.32.12)
;; WHEN: Sat Feb 22 19:15:38 2014
;; MSG SIZE  rcvd: 30
 ·  Translate
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
El peor marketting del mundo: Microsoft Corporation.

En mi vida he visto muchos ejemplos de deficiencia y errores en las campañas publicitarias, pero debo decir, que Microsoft se ha estado llevando el premio por ser el más peor de todos los peores del mundo. Es tan peor, que le dá validez gramatical a la expresión "el más peor".

Lo digo porque los he estado observando.

Teniendo el Internet Explorer los peores problemas de seguridad entre los navegadores de internet, veo un pendón que dice que "Internet Explorer, Seguros por naturaleza. El navegador más seguro".

Teniendo Windows 8 severos problemas de usabilidad y grandes quejas por parte del público, hacen una campaña con niños enfocada a mostrar que el sistema es fácil de usar.

Su campaña sobre la privacidad en la que criticaban a GMail por espionaje etc, debió habernos servido de pista para saber lo de la NSA sin necesidad de Snowden.

Es decir, no han hecho más que buscar los atributos negativos reales del producto y hacer campañas publicitarias para decir que son mentira. Yo los califico como el peor equipo de marketting del mundo, esto me lo esperaba de sectores de gente sin cerebro (por ejemplo campañas políticas) pero nunca me lo habría esperado del sector tecnología y menos aún de Microsoft.

Así que ya saben, si quieren saber cuál es el defecto de un producto de Microsoft, solo hay que ver la publicidad.
 ·  Translate
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
Tal vez, tal vez, es la hora de borrar.

Para muchas personas sus archivos registran mucha información privada. Privada no quiere decir que tenga algo malo que ocultar, privada quiere decir que no tiene ninguna intención de compartirla.

El cifrado de datos tiene sus limitaciones, por ejemplo, las claves del cifrado podrían ser obtenidas por medio de coacción.

http://imgs.xkcd.com/comics/security.png

Hoy día existen varias circumstiancias en las que las autoridades podrían revisar sus datos injustificadamente, en algunos casos podrían exigir acceso a los datos e inclusive solicitar las claves para descifrarlos.

Cada quien puede pensar en distintas formas de resolver el problema, mi solución es borrar todos aquellos datos que no quiera compartir.

Cada archivo tiene una vida útil, un período de tiempo en el que es demasiado útil y no puede ser borrado, pero en poco tiempo llega un momento en que se vuelve preferible perderlo que compartirlo, cuando llega ese momento, tal vez, es la hora de borrar.
1
Add a comment...

Elie Azagoury

Shared publicly  - 
 
Regulaciones de internet...

Hay países con intenciones de imponer regulaciones sobre internet, inclusive las Naciones Unidas tienen una discusión sobre el tema, siempre he opinado que es mala idea.

Los políticos y abogados de hoy día no están preparados para trabajar en el área informática. Tienen el poder de imponer leyes pero no tienen conocimientos en el área, cualquier análisis que hagan solo podrá estar sustentado sobre la ignorancia.

Se supone que cualquier legislador que deba legislar sobre materias especializadas que excedan su conocimiento se asesoraría debidamente de especialistas, pero se ha demostrado que lo más común es que simplemente se dejen influenciar por lobbies que les presenten argumentos convincentes en defensa de sus conveniencias.

Sin embargo, lo que sucede con la privacidad de datos me hace pensar en que tal vez sí hay cosas que regular en internet, por ejemplo:

- Todo proveedor de servicios debería garantizar que borrará todos los datos que el usuario borre del servicio. (Si yo borro un mensaje de Gmail, gmail no debe conservarlo).

Por otro lado, si las Naciones Unidas quieren hacer algo decente por la internet, podrían hacer un tratado en el que los países se comprometen a no invadir la privacidad de ciudadanos de otros países.

La NSA no admite interceptar los datos de residentes americanos porque hay leyes que lo prohiben, pero admite que puede interceptar las transmisiones del resto del mundo cuando estas transitan por cableado en territorio americano, no hay ninguna ley que prohiba estas acciones.

Y la NSA es el caso más notorio de intercepción de transmisiones pero no es ni el único, ni el primero, ni tampoco es el más invasivo. Hay muchos wiretappers en el mundo y no todos son tan buenos chicos como la NSA.

Pero lo que muchos gobiernos quieren "legislar" es el hacer que otro país censure sitios web que les resultan inconvenientes pero que están alojados fuera de sus fronteras.
 ·  Translate
1
Add a comment...
Story
Tagline
I am what I am.
Introduction
Me gustan Microsoft, Linux y Android. Prefiero el software libre por su transparencia y libertad pero el software propietario también me gusta.

Prefiero la simplicidad, la confiabilidad y el minimalismo que la sofisticación y la complejidad.
Work
Occupation
Ingeniero de Sistemas
Skills
Sé como usar una computadora y una red. Q tal?
Employment
  • Engineer, 2010 - present