Archive for Seguridad Informática

abril 18th 2018

¿QUÉ ES HARDENING?

Número de lecturas: 112
{lang: 'es-419'}

Hardening (palabra en inglés que significa endurecimiento) en seguridad informática es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades en el mismo, esto se logra eliminando software, servicios, usuarios, etc; innecesarios en el sistema; así como cerrando puertos que tampoco estén en uso además de muchas otros métodos y técnicas que veremos durante este pequeño resumen introductorio al Hardening de sistemas.

Haciéndole la vida difícil al atacante.

Ese es el resumen de la razón de ser del Hardening de sistemas operativos, que se podría decir es:

Un conjunto de actividades que son llevadas a cabo por el administrador de un sistema operativo para reforzar al máximo posible la seguridad de su equipo.

Su propósito, entorpecer la labor del atacante y ganar tiempo para poder minimizar las consecuencias de un inminente incidente de seguridad e incluso, en algunos casos, evitar que éste se concrete en su totalidad. Una de las primeras cosas que hay que dejar en claro del Hardening de sistemas operativos es que no necesariamente logrará forjar equipos “invulnerables”. Es importante recordar que, según el modelo de defensa en profundidad, el host es sólo una capa de éste.

En otras palabras, un factor más a considerar dentro del gran número de puntos a ser tomados en cuenta para defender “globalmente” un sistema. Entre las actividades propias de un proceso de hardening se pueden contar las siguientes:

  • Configuraciones necesarias para protegerse de posibles ataques físicos o de hardware de la máquina. Entre otras actividades, destacan el upgrade de firmware, el establecimiento de contraseñas complejas para el arranque del equipo y la configuración de la BIOS, la deshabilitación de inicio de sistema para cualquier unidad que no sea el disco duro principal, y en casos de servidores, la deshabilitación de dispositivos ópticos, usb o similares, para evitar cualquier entrada de malware desde un medio de almacenamiento externo.
  • Instalación segura del sistema operativo. Esto implica, entre otras cosas, el considerar al menos dos particiones primarias (1 para el sistema operativo en sí y otra para carpetas y archivos de importancia), el uso de un sistema de archivos que tenga prestaciones de seguridad, y el concepto de instalación mínima, es decir, evitando la instalación de cualquier componente de sistema que no sea necesario para el funcionamiento del sistema.
  • Activación y/o configuración adecuada de servicios de actualizaciones automáticas, para asegurar que el equipo tendrá todos los parches de seguridad que entrega el proveedor al día. En caso de que se encuentre dentro de una corporación, es adecuado instalar un servidor de actualizaciones, que deberá probar en un entorno de laboratorio el impacto de la instalación de actualizaciones antes de instalarlas en producción.
  • Instalación, configuración y mantención de programas de seguridad tales como Antivirus, Antispyware, y un filtro Antispam según las necesidades del sistema.
  • Configuración de la política local del sistema, considerando varios puntos relevantes:  Política de contraseñas robusta, con claves caducables, almacenamiento histórico de contraseñas (para no usar contraseñas cíclicas), bloqueos de cuentas por intentos erróneos y requisitos de complejidad de contraseñas. Renombramiento y posterior deshabilitación de cuentas estándar del sistema, como administrador e invitado. Asignación correcta de derechos de usuario, de tal manera de reducir las posibilidades de elevación de privilegios, y tratando siempre de limitar al mínimo los privilegios y/o derechos de los usuarios activos.
  • Configuración de opciones de seguridad generales, como aquellas relacionadas con rutas de acceso compartido, apagado de sistema, inicio y cierre de sesión y opciones de seguridad de red.
  • Restricciones de software, basado en lo posible en el uso de listas blancas de software permitido más que en listas negras del mismo.
  • Activación de auditorías de sistema, claves para tener un registro de algunos intentos de ataque característicos como la adivinación de contraseñas.
  • Configuración de servicios de sistema. En este punto es necesario tratar siempre de deshabilitar todos aquellos servicios que no vayan a prestar una funcionalidad necesaria para el funcionamiento del sistema. Por ejemplo, si su equipo no posee tarjetas de red inalámbrica, el servicio de redes inalámbricas debería estar deshabilitado.
  • Configuración de los protocolos de Red. En la medida de lo posible, es recomendable usar sistemas de traducción de direcciones (NAT) para direccionar los equipos internos de una organización. Deshabilitar todos aquellos protocolos de red innecesarios en el sistema y limitar el uso de los mismos al mínimo. TCP/IP es un protocolo que no nació pensando en seguridad, por lo que limitar su uso al estrictamente necesario es imperativo.
  • Configuración adecuada de permisos de seguridad en archivos y carpetas del sistema. En la medida de lo posible, denegar explícitamente cualquier permiso de archivo a las cuentas de acceso anónimos o que no tengan contraseña. Un correcto set de permisos a nivel de carpetas y archivos es clave para evitar acceso no deseado al contenido de los mismos.
  • Configuración de opciones de seguridad de los distintos programas, como clientes de correo electrónico, navegadores de internet y en general de cualquier tipo de programa que tenga interacción con la red.
  • Configuración de acceso remoto. En caso de no ser estrictamente necesario, es bueno deshabilitar el acceso remoto. Sin embargo, cuando es necesario tener control remoto de la máquina, es preciso configurarlo de manera adecuada, restringiendo el acceso a un número muy limitado de usuario, restringiendo al mínimo las conexiones concurrentes, tomando cuidado en la desconexión y cierre de sesión y estableciendo un canal cifrado de comunicaciones para tales propósitos, como SSH.
  • Configuración adecuada de cuentas de usuario, tratando de trabajar la mayor parte del tiempo con cuentas de acceso limitado y deshabilitando las cuentas de administrador. Es absolutamente recomendable usar la impersonificación de usuarios para realizar labores administrativas en vez de iniciar sesión como administradores.
  • Cifrado de archivos o unidades según las necesidades del sistema, considerando un almacenamiento externo para las llaves de descifrado. Considerar además la opción de trabajar con sistemas de cifrado de mensajería instantánea y correo electrónico.
  • Realizar y programar un sistema de respaldos frecuente a los archivos y al estado de sistema. En la medida de lo posible, administrar los respaldos vía red o llevar los respaldos a unidades físicas que estén alejadas del equipo que las origina.
Como se puede ver, el espectro de actividades que deben ser llevadas a cabo dentro de este proceso es bien amplio y tiene actividades de todo tipo. Sin embargo, la consigna para todas estas actividades es siempre la misma: Dejar el sistema operativo lo más restringido posible.
Y aquí es donde nace una pregunta que debería ser más o menos obvia. ¿Hasta qué punto el hardening es una ayuda y no una molestia?
En este punto, es importante considerar un paradigma muy interesante que tiene la seguridad. Al parecer, la seguridad por un lado, y la versatilidad y facilidad de uso de los sistemas por otro, son como dos grupos de personas tirando de ambos extremos de una cuerda.
En pocas palabras, a medida que se busca una seguridad mayor en los sistemas, la versatilidad y facilidad de uso del mismo se ven limitados, puesto que la cantidad de decisiones que puede tomar el usuario se reduce y la cantidad de posibilidades ajenas al propósito inicial del sistema en sí disminuye drásticamente.
Por otro lado, el aumentar la versatilidad y la facilidad de uso de los sistemas pareciera estar muy relacionado con el aumento en las decisiones y posibilidades del usuario, lo que por consiguiente aumenta la probabilidad del mismo de equivocarse y poner en peligro la seguridad de todo el sistema. Y el debate sobre el punto exacto de equilibrio en cuanto a la cantidad de decisiones que deben pasar por manos del usuario final es bastante extenso y no está del todo resuelto.
Por lo tanto, la respuesta a la pregunta planteada es la siguiente: El Hardening es una ayuda hasta el momento exacto en que entorpece el objetivo inicial que tiene el sistema.
Por citar un ejemplo, si un sistema trabaja con impresoras, redes inalámbricas y además con correo electrónico, no es recomendable deshabilitar la cola de impresión, el servicio de redes inalámbricas ni bloquear los puertos de smtp y pop. En otras palabras, en cada acción de Hardening que se vaya a ejecutar en el sistema operativo, hay que tener especial cuidado en que dichas acciones no afecten el propósito del sistema en sí.
Como conclusión, el Hardening es una ayuda indispensable para ahorrarse bastantes dolores de cabeza por parte de los administradores de sistemas. Entre sus ventajas, se puede contar la disminución por incidentes de seguridad, mejoras en el rendimiento al disminuir niveles de carga inútil en el sistema, una administración más simple y mayor rapidez en la identificación de problemas, ya que muchas de las posibles causas de ellos quedarán descartadas en virtud de las medidas tomadas, y finalmente la posibilidad – en muchos casos – de poder hacer un seguimiento de los incidentes y en algunos casos identificar el origen de los mismos.
Es un trabajo que no es trivial, pero que bien vale la pena hacerlo.

Fuente:

blog.smartekh.com

abril 9th 2018

WiFi o cable de red: ¿cuál es más rápida y más segura?

Número de lecturas: 232
{lang: 'es-419'}

Si bien en teoría WiFi ofrece una mayor capacidad de velocidad que la conexión a través de cable, la conexión vía Ethernet termina siendo en la práctica la más rápida y también la más segura.

La era tecnológica en la que estamos inmersos nos lleva, y en algunos casos hasta casi que nos obliga, a estar conectados permanentemente. Una de las consecuencias de esta conectividad de la que hablamos se percibe claramente en las comunicaciones y en cómo nos hemos acostumbrado a la instantaneidad. Y es que los usuarios de tecnología consideramos natural obtener la información o comunicarnos con otra persona de forma inmediata.

En este contexto, tenemos principalmente dos opciones para conectarnos a Internet, la primera es de manera inalámbrica atreves del WiFi, la segunda mediante un cable de red comúnmente conocido como Ethernet. A continuación, analizamos las dos opciones para ver las diferencias entre ambas y de paso cuestionar la creencia de que el cable de red es siempre la mejor opción.

La conexión a Internet a través de un cable de red: ¿es más rápida?

Naturalmente, la llegada de conexiones inalámbricas resultó ser una bendición ya que nos permite mantener el espacio físico más ordenado y evitar múltiples cableados entre todos los dispositivos conectados. Pero más allá de la comodidad que supone la conexión inalámbrica, al pensar exclusivamente en la velocidad de la conexión desde hace tiempo se plantea un debate que genera controversias: ¿es más rápida la conexión por WiFi o por cable de red? Es que contrario a lo que muchos creen, WiFi ofrece, en teoría, una mayor capacidad de velocidad que la conexión a través de cable. Si bien son muchos los factores (solo mencionaremos algunos en este post) que entran en juego y que influyen en que una conexión pueda ser más rápida que otra, el problema principal que explica por qué muchas veces esto no condice con la realidad es debido a la saturación de canales y a la gran cantidad de conexiones por defecto, lo que hace que sea inestable y disminuye la capacidad de transmisión de datos.

En el eje horizontal de la siguiente imagen se puede apreciar claramente el fenómeno de la saturación de canales.

A esto debemos agregar el factor estructuras, como por ejemplo, paredes de hormigón, piscinas y otros materiales de construcción que provocan perdidas de señal y una reducción del rendimiento que atenta contra la velocidad de la conexión WiFi. A modo general podemos decir que cuanta más alta sea la frecuencia, mayor es la tasa de absorción de muros y suelos.

Desde luego que detectar estas leves variaciones, casi imperceptibles, durante una sencilla navegación es casi imposible. Sin embargo, pueden resultar más obvias estas diferencias en el rendimiento a la hora de jugar juegos en línea, compartir archivos en red o inclusive reproducir contenidos ultraHD en streaming.

En resumen, podemos decir que si bien existen varias normas y estándares distintos en cada tipo de conexión, comúnmente la que se realiza por cable de red y es implementada de manera correcta termina siendo más rápida que la conexión WiFi. Cuando observemos las capacidades de cada protocolo, como por ejemplo el estándar 802.11ac, debemos entender que son velocidades Máximas teóricas de 6,5 Gbps (superiores a las de Ethernet 2,5 a 6 Gbps) pero que en la mayoría de los casos no pueden explotar su máximo potencial porque son afectadas por los obstáculos anteriormente comentados. Por su parte, las conexiones vía Ethernet presentan un rendimiento más estable al no verse afectado por esos agentes u otros factores externos. Para finalizar, vale la pena destacar que hace aproximadamente dos años se lanzó el protocolo Cat.8 de Ethernet, el cual no es muy común verlo implementado por sus altos costos, pero que brinda velocidades altísimas que alcanzan hasta los 40Gbps.

Conectarse a Internet vía Ethernet es más seguro que por WiFi

Si pensamos en términos de seguridad en las comunicaciones, la batalla para las conexiones inalámbricas está perdida si las comparamos con Ethernet. Existen numerosos tipos de ataques que pueden realizarse de manera remota, tanto para desautenticar un dispositivo como para romper la clave de cifrado e ingresar a la red. Además, durante el año pasado fuimos testigos de vulnerabilidades como KRACK que afecta a uno de los protocolos más robustos y utilizados como es el WPA2, y que probablemente haya sido la causa que impulsó el desarrollo del novedoso WPA3 que aún no se implementó. Por otra parte, con mayor o menor medida de éxito, un atacante podría también bloquear este tipo de comunicaciones inalámbricas a través de los famosos jammers o inhibidores de señal.

Por ultimo, otro ataque muy común es el que utiliza los falsos puntos de acceso y que permite a la victima conectarse de modo automático al dispositivo del atacante para espiar su tráfico y robar sus datos. Por supuesto, estos ataques son imposibles de hacer de forma remota a través de una red Ethernet, ya que solo podrían realizarse si se tuviese acceso físico. Debido a esto, las conexiones por cable son más seguras que las comunicaciones inalámbricas, en otras palabras, posee menor riesgo de sufrir incidentes sin profundizar en las medidas de seguridad que podrían aplicarse.

Entonces ¿más cables y menos wifi?

Luego de haber llegado hasta aquí, quizás estés pensando en actualizar la arquitectura de tu red y conectar todo a través de Ethernet. Por supuesto que quedan afuera de esta opción dispositivos como smartwach, tablets, celulares o lámparas inteligentes.

Como conclusión, es lógico que lo más adecuado para transferir archivos a máxima velocidad entre dispositivos sea el cable de red Ethernet. Es importante aclarar que la velocidad que tengamos contratada para acceder a Internet mediante nuestro ISP en este caso no tiene incidencia alguna.

Evidentemente, la movilidad marcará las necesidades en conjunto con las bocas o puertos disponibles en tu router. Si trabajas con una notebook y estás constantemente cambiando de puesto dentro de la cobertura WiFi, quizá no podrás limitarte a un cable que te obligue a permanecer en el mismo espacio físico. En el caso de las PC de escritorio es diferente, ya que, aunque puedan contar con tarjeta inalámbrica, solo es recomendable cuando no se te permita llevar el cable de red Ethernet hasta el equipo. Para unidades compartidas de Red o Media Player también se recomiendan conexiones por cable.

Si bien el sueño de no utilizar más cables para los dispositivos ya es posible, en muchos casos para los amantes de la velocidad no es la mejor opción. Por lo tanto, será cuestión de priorizar tus gustos.

Fuente:

 

febrero 16th 2018

Manual de Carding

Número de lecturas: 796
{lang: 'es-419'}

Hace varios años (2006) , escribi un manual del tema. El post esta publicado aqui:

https://www.underground.org.mx/index.php/topic,16080.msg91210.html#msg91210

Varias personas me han preguntado por el manual aqui lo dejo como .pdf …. Se debe actualizar y mejorar pero es un documento que puede servir de referencia.

Manual de Carding

1.- Introducción
2.- Carding
3.- Estructura de las Tarjetas de Crédito
4.- Tengo el numero que hago?
5.- Quiero tener más Números de tarjetas rápidamente
6.- Trashing
7.- El Verdadero Peligro
8.- Herramientas

Disclamer: NO asumo ninguna responsabilidad debida al mal empleo de la información aquí contenida, puesto que este texto solamente tiene fines educativos y en ningún caso pretende incitar a nadie a cometer ningún delito ya sea informático o de otra índole.

Buenas con todos los que puedan leer este documento.

1.- Introducción

En este manual voy a indicar que es el carding? Algunos términos del mismo como utilizarlo y sacar provecho :)

Comencemos……………….

2.- Carding

Este es un concepto que indica lo más claramente posible que es y de que se trata el carding

Carding: Es el uso ilegitimo de las tarjetas de crédito, o de sus números, pertenecientes a otras personas. Se relaciona con el hacking, porque para conseguir números de tarjetas de créditos, una de las formas es utilizando Ingenieria Social y sobre todo nuestra inteligencia (esto es lo mas importante)

Se debe tener mucho cuidado en hacer esto ya que nos podemos meter en muchos líos.
Con nuestras tarjetas de crédito debemos ser cuidadosos ya que alguien puede leer este documento antes que uno de ustedes y ser capaz de estafarlos.

Se puede recuperar el dinero talvez pero para eso tendrían que hablar con el administrador del sitio donde se realizo el pago del artículo solicitando la IP de donde se hizo la compra y luego de todo esto tenemos que demostrar que nosotros no hicimos la compra del mismo.

El carding consiste en comprar usando la cuenta bancaria o la tarjeta crédito de otro, esto se consigue con un poco de ingenieria social y mucha perseverancia.

Cuando alguna persona utiliza carding para comprar objetos materiales se suele utilizar una dirección falsa con una identificación también falsa, es decir todo el formulario de compra lo llena con datos falsos.
De esta manera el comprador quedara esperando en el lugar indicado la entrega del material como si se tratara de su residencia.

La filosofía de los carders se basa en que existe mucha gente que tiene grandes cantidades de dinero que no cae nada mal utilizar algo de ese dinero para comprar algunas cositas para cada uno de ellos, ya que posiblemente el dueño de la tarjeta ni se de cuenta de esta compra que el no la hizo.

Si ustedes están pensando en comprar por Internet programas o suscripciones y piensan que utilizando el carding será muy fácil pues tienen toda la razón resulta muy sencillo.
En este manual se conseguirá revisar los métodos que utilizan los carders para hacerse de los números de tarjetas y burlar las seguridades para poder comprar sin ningún tipo de problemas.

Tienen que saber que el robo de una tarjeta de crédito es un delito universal por lo que puede tener causas penales muy graves si no quieres irte de paseo a Cana..da (para otros países Cárcel) no intenten hacer nada de esto.

3.- Estructura de las Tarjetas de Crédito

Para mi esta es la parte más importante ya que aquí sabremos como funcionan las tarjetas de crédito porque se puede hacer programas para que nos den números validos pero lo importante es saber como es que se hace todo eso

Comencemos…..

Los números de las tarjetas se forman de 16 dígitos divididos en 4 grupos de 4 dígitos pueden tener valores del 0 al 9 los primeros 4 dígitos sirven para determinar  el banco.

El resto de números se pone al azar no mentira vamos a ver el algoritmo

Hagamos un ejemplo de la creación de un número de tarjeta

Numero de tarjeta: 5180 2345 3942 8765

Las posiciones impares son:

5
8
2
4
3
4
8
6

Luego de esto se multiplica los 2 primeros dígitos entre si luego los siguientes y asi sucesivamente para que sea mas claro quedaría de la siguiente forma:

5*8=40
2*4=8
3*4=12
8*6=48

Si tenemos cifras mayores a 9 se suma los números es decir las cifras reducidas 8+5=13 entonces
1+3=4

En el ejemplo quedaría asi:

5*8=40     4+0=4
2*4=8       8
3*4=12     1+2=3
8*6=48     4+8=12     1+2=3

En resumen los números que nos quedan son:

4
8
3
3

Luego de esto suma los números pares que descartamos al principio y súmalos con estos el resultado debe ser un número múltiplo de 10 para que el número sea correcto:

4+8+3+3+1+0+3+5+9+2+7+5=50

Si no nos diera un numero correcto como va a suceder en la mayoría de los casos lo recomendable es dejar el ultimo casillero libre y jugar con este digito hasta que nos de un numero valido.

Esta es una de las formas de conseguir un numero de tarjeta de crédito es decir adivinando a ver si nos sale otra puede ser esperar pacientemente el fin de mes el momento que llega el corte de pago de la tarjeta del vecino nos robamos su correspondencia y listo ahí tenemos un numerito.

O buscamos dentro de su basura (esto creo que es mas feo) pero igual funciona ya que no suelen romper los cortes de tarjeta de crédito simplemente los botan arrugados a la basura pero igual obtenemos el numero deseado.

Otra de las formas es creando un portal de Internet donde ponemos artículos a la venta se explicara esto mas adelante

4.- Tengo el numero que hago?

El momento de realizar una compra en línea nos solicitan una serie de datos pero los mas importantes es decir los que nunca faltan son estos:

Nombre.
Numero de Cuenta.
Fecha de Expiración.
Tipo de tarjeta.
Numero de verificación

Estos datos son muy fáciles de conseguir (a veces)

El nombre es el de la victima sencillo de conseguir, el número de su tarjeta es un poco más complicado pero hay formas revisando su correspondencia por ejemplo

La fecha de expiración la podremos conseguir haciéndonos pasar por el banco con los datos que ya conocemos podremos decirle que vamos ampliar su cupo por sus pagos puntuales o cualquier cosa esto ya queda a su imaginación lo que si nos queda claro es que conseguir estos datos resulta sumamente sencillo.

Tipo de Tarjeta ya lo sabemos ya revisamos su correspondencia revisar paso uno ;)
Para reconocer el tipo de tarjeta se puede utilizar, el primer digito de la tarjeta que nos indica el tipo de la misma.

Si el primer numero es….

3  ->American Express (15 dígitos)
4  ->VISA (13 o 16 dígitos)
5  ->Mastercard (16 dígitos)
6  ->Discover (16 dígitos)

Con estos datos ya se puede comprar algo en línea generalmente los carders realizan una compra de algún software pequeño que sea de descarga o una subscripción para ver pornografía esto lo hacen para probar si la tarjeta funciona o no .

Si el momento de la compra nos solicitaran mas datos ya saben que hacer es mas creo que al momento de revisar su correo no tendrán estos datos tendrán muchos mas.

5.- Quiero tener más Números de tarjetas rápidamente

Como aquí se a explicado bastante me canse y ahora hagan un repaso de lo que aprendieron hasta aquí y piensen en una posible victima hasta mientras me voy hacer un juguito y regreso para seguirles explicando unas cositas bastante interesantes.

Bueno después de estos 15 minutos de tranquilidad volvamos en lo que estábamos..

Para obtener tarjetas podría entrar en juego la famosa Ingenieria Social que tal si llamamos a nuestra victima y decimos algo como lo siguiente:

“Buenas tardes, soy Camilo Albornoz de la sección fraudes de Master Card , hemos detectado un posible uso fraudulento de su tarjeta, por lo que necesitamos que nos indique todos los datos de la misma, para realizar una comprobación”

Este tipo de llamada es bueno realizarla en horas de trabajo ya que la persona se encuentra preocupada con la cabeza enfocada solo en su trabajo por lo que puede resultar un buen momento para que nuestra victima caiga en esta trampa.

Si nos llamaran de un banco diciéndonos algo parecido a lo que escribí anteriormente lo que tienen que hacer es pedir que les repita su nombre completo solicitarle el numero y devolver la llamada de esta manera se evitaran este tipo de estafa.

Todos los que lean pilas que ya están avisados de cómo funciona este método

Aunque parezca mentira existe gran cantidad de gente que cae en este juego y dan todos los datos que les solicitan sin ningún tipo de inconveniente.

Para verificar si la tarjeta es útil se puede hacer una llamada a la entidad bancaria de donde pertenece la tarjeta nos hacemos pasar como dueños de la tarjeta indicando que quisimos hacer una compra y nuestra tarjeta fue rechazada para verificar si hablan con el dueño de la tarjeta pedirán verificar unos datos harán preguntas sencillas como cual es el numero de tarjeta, numero de verificación esto ya no es problema para nosotros ya que tenemos toda la información que conseguimos antes al hacernos pasar como empleados de la entidad que emite la tarjeta

La información que conseguimos aquí es fundamental ya que podremos saber si la tarjeta es principal o es un adicional si es de uso nacional o mundial cuanto es el cupo que tiene la misma , etc.

Las compras que suelen hacer los carders son mediante Internet o telefónicamente no de montos muy altos para que no se pida confirmación al dueño de la tarjeta y para no levantar sospechas

El carder es muy cuidadoso no puede andar gritando al mundo sus hazañas porque el es un ladrón el esta robando , si hace un pedido de un articulo no puede pedir otro y otro articulo a la misma dirección tiene que ir rotando de lugares .

Generalmente si el encargo esta en la oficina de correos el ira cuando no haya nadie si estuviera mucha gente preferirá no arriesgarse y ni siquiera acercarse mas al lugar ya que podría resultar peligroso para el

Un carder nunca pide algo gigante no se comprara un carro para que le traigan por DHL ni nada extremadamente caro (un collar de oro de 18 kilates) tampoco algo muy baratito pero estaría bien que se compre una palm ultimo modelo ese es un buen carder.

El problema que se podría presentar es que el carder cada vez quiere comprar algo mas y no para se vuelve mas adicto por el riesgo y por que se esta comprando buenas cositas pero no se da cuenta que talvez lo tiene fichado y próximamente le haga una visita la policía

Los lugares de entrega de tus pedidos:

NOTA.- NUNCA HAGAS QUE TE ENTREGUEN EN TU CASA

Pero si lo puedes hacer al azar escogiendo alguna persona de la guía telefónica claro que no este tan lejos de tu casa eso si necesitas hablar muy bien para explicar a alguien porque le llego algo tuyo en su casa debes ser bueno para tratar con la gente y no ponerte nervioso.
La casa de un amigo próximo a cambiarse de casa que te ayude con este favor antes de irse difícil esta forma pero puede ocurrir.

Pedir que lo envíen a una dirección de un condominio generalmente lo dejan al guardia ya que asumen que el conoce a toda la gente del condominio y por seguridad a la persona que deja la correspondencia no la dejaran pasar porque son “Ordenes de la Administradora” y quien será la única persona que ira a pedir el paquete??   Exacto el carder.

Bueno estas son una de las tantas formas en las que pueden recibir sus compras seguramente a ustedes se les ocurrirá muchas mas .

6.- Trashing

Me parece un tema interesante y  que no se lo ve regularmente aquí les explico de que se trata aunque entre las ideas que indique antes ya lo mencione.

Se trata de buscar y remover la basura de la victima que estas buscando es decir intentar encontrar estados de cuenta, cortes de pago, recibos, etc.

Por eso un sano consejo cuando boten algo importante rompanlo y botenlo si es posible haciendolo tiritas talvez piensen este tipo esta medio loco pero yo supe de alguien que quemaba sus papeles una vez por semana quien es el loco el o yo??

7.- El verdadero Peligro

Ahora con toda la tecnología a nuestro alcance se pueden hacer muchas cosas , esto es lo que utilizan los carders necesitan saber programar y dos invitados muy importantes.

PHP + MySQL

PHP.- Lenguaje de programación web
MySQL.- Base de Datos trabaja excelente con PHP

Que es lo que hacen??

Se esmeran un par de horas programando un sitio de venta de artículos pueden ser de cualquier tipo deportivos, tecnológicos, etc.

Con precios sumamente accesibles y con productos de excelente calidad la victima se emociona con esta verdadera gamga cuando va a adquirir un producto viene el método de pago el cual es con tarjeta de crédito.

La victima ingresa su tarjeta , nombres , numero de verificación todos los datos necesarios luego de esto el carder ya posee todo lo que necesita queda simplemente enviar un e-mail o hacer una llamada disculpándose y notificando que la transacción no se realizo por no tener el articulo en stock o simplemente el momento que supuestamente hace la compra se le muestra un mensaje de error que diga algo similar a esto:
“NO SE PUDO CONCLUIR LA TRANSACCION”
La victima pensara que no paso nada pero nuestra base de datos ya se engordo un poco mas y con datos totalmente reales y listos para usar.

8.- Herramientas

Existen programas que nos ayudan a generar números de tarjetas validos esto ahora tiempo a los carders

Si desean los pueden descargar de:

www.hackecuador.org/bajatelas/carding.zip

Estas herramientas son:

Fakeid

Te da otros datos de personas verificables, interesante para quienes no tienen habilidad de inventarse personalidades.

Para aquellos programas que no te brindan la fecha de expiración solo queda hacerlo manualmente, probando al mejor estilo brute forcing.

CCards

En caso de que quieran ver unos números de tarjeta de crédito validos como ejemplo, vean el programa CCards.exe que les genera de una manera sencilla y rápida estos números

Credit Card Master 4

Este completo programa permite realizar una amplia cantidad de acciones destinadas al carding, genera numeros te ayuda viendo si el digito verificador es correcto y si no es asi no te preocupes ahi mismo te genera otro lo importante es que todos los datos estén correctos

Credit

Es un programa muy potente parecido al Credit Card Master aunque tiene interfaz grafica y tiene algunas otras utilidades como por ejemplo generar identidades falsas que como estuvimos viendo pueden ser de gran utilidad.

Bueno espero que toda la explicación del manual este clara y que les sirva para conocer el carding más a fondo.
Nunca olviden que esto es totalmente ilegal y que si no quieren meterse en líos no lo pongan en práctica suerte a todos.

Download (PDF, 56KB)

enero 5th 2018

Microprocesadores vulnerables: ¿qué son Meltdown y Spectre?

Número de lecturas: 822
{lang: 'es-419'}

La innovación en microprocesadores está en la base del progreso tecnológico: una industria que demanda velocidades de ejecución cada vez mayores, y que ha generado un progreso enorme a lo largo de las últimas décadas. Por eso, las nuevas vulnerabilidades descubiertas en los microprocesadores de todos nuestros dispositivos modernos y comunicadas de manera general ayer, Meltdown y Spectre, tienen un nivel de criticidad tan sumamente elevado, aunque en la práctica poco podamos hacer con respecto a ellas.

¿Qué deberíamos saber al respecto? Fueron descubiertas por investigadores en seguridad: la primera, Meltdown, se debe al trabajo independiente de tres equipos en la Universidad Técnica de Graz, en Cyberus Technology y en Google Project Zero; la segunda, Spectre, también en Google Project Zero y por el investigador Paul Kocher. El descubrimiento, como ocurre en muchas ocasiones en cuestiones relacionadas con la seguridad, se remonta a hace algunos meses, durante los cuales han podido presuntamente ocurrir cosas como que algunos de los implicados se preparasen para ofrecer seguridad a sus usuarios, y otros se dedicasen a vender rápidamente acciones de sus propias compañías.

¿En qué consisten? Todos los microprocesadores modernos utilizan una serie de capacidades de ejecución especulativa para los accesos de memoria: el microprocesador no solo lleva a cabo lo que le pedimos, sino que dedica una parte de sus recursos a especular que una condición determinada, por ejemplo, será verdadera, y a llevar a cabo los accesos a memoria correspondientes a que así fuese, y así optimizar su tiempo de ejecución. Si finalmente esa especulación no resulta cierta, las instrucciones ejecutadas especulativamente son descartadas. Sin embargo, aunque esa especulación y ese descarte no tienen ningún efecto en la ejecución de los programas (además de acelerarla, que no es poco), sí producen cambios en los componentes del microprocesador, tales como, por ejemplo, cargar determinados datos en la cache. La presencia de esos datos en la memoria cache o en otros componentes del microprocesador es detectable porque su acceso es más rápido que si no estuvieran ahí, y eso podría permitir el acceso a información sensible. Básicamente, hablamos de vulnerabilidades que, en el caso de Meltdown, rompen la frontera entre las aplicaciones del usuario y el sistema operativo, permitiendo así que un programa malicioso pueda acceder a la memoria y, por tanto, a datos de otros programas o del propio sistema operativo. En Spectre, más difícil de explotar que Meltdown pero también más difícil de parchear o solucionar, hablamos de la ruptura del aislamiento entre distintas aplicaciones, lo que permite que una aplicación maliciosa pueda engañar a otras aplicaciones sin errores para obtener datos de las mismas.

Todos los microprocesadores modernos utilizan ejecución especulativa, y de hecho, es una funcionalidad que está en la base de sus prestaciones y que los microprocesadores de Intel llevan a cabo de una manera particularmente agresiva. Los parches que se han puesto en marcha hasta el momento son una primera solución, ponen bajo control o eliminan las funciones especulativas, y provocan al hacerlo pérdidas de prestaciones de hasta un 30%. Renunciar a la ejecución especulativa no parece el camino a seguir, y la solución final podría demorarse bastante tiempo, durante el cual, indudablemente, surgirán actores capaces de explotar las vulnerabilidades en sistemas que no hayan sido parcheados.  Algo tan evidente como que debes aplicar los correspondientes parches de seguridad no es en realidad tan sencillo: aunque en muchos casos esos parches se aplican de manera automática, no todos los usuarios tienen la cultura adecuada como para aplicarlos regularmente. Pero además, la solución debe considerarse como algo temporal: a lo que nos dirigimos es a un replanteamiento fundamental sobre el uso de la ejecución especulativa en microprocesadores, un proyecto de nueva arquitectura que solucione estos problemas de la manera adecuada que llevará mucho tiempo.

¿Es normal que pasen estas cosas? Sí, desgraciadamente, es lo que tiene que la industria avance a la velocidad que avanza. ¿Quiere decir que todo es vulnerable? ¿Estás en riesgo? Si simplemente usas un dispositivo, lo normal será que no, porque las vulnerabilidades no son suficientes – o no en su estado actual – para, por ejemplo, comprometer tu máquina a través de su navegador. Apple, por ejemplo, ha confirmado que todos sus dispositivos, tanto ordenadores como smartphones, están afectados, aunque no se conoce todavía ningún esquema de ataque, y dado que dichos ataques precisan de una aplicación o programa instalado en el dispositivo, recomiendan instalar únicamente software procedente de fuentes fiables. El riesgo fundamental es para los proveedores de servicios de computación en la nube, que por lo general ya habrán aplicado los correspondientes parches a costa de un descenso en su rendimiento, con todo lo que ello conlleva en términos de coste. Básicamente, un problema para el que no vas a poder hacer nada más – ni nada menos – que seguir una serie de instrucciones cuando estas vayan llegando, que debería servirte para extremar la precaución y las rutinas de seguridad – nunca es malo que lo hagas – y que se mueve a unos niveles que están muy por encima del usuario común.

Fuente:

enriquedans.com