domingo, 27 de diciembre de 2015

Twitter está fallando en la lucha contra el abuso a menores



Twitter esta fallando en la lucha contra el abuso a menores.- 


Primero que todo quiero compartir con ustedes la siguiente aclaración tomada desde la página de la Interpol.
Es muy común oír o leer cuando hablan de Pornografía Infantil en los medios de comunicación, redes sociales o inclusos nosotros mismos(me incluyo), sin embargo hace un tiempo se lleva a cabo una campaña en la cual buscan terminar con el uso de termino "Pornografía Infantil" cuando hablamos de imágenes que describen el abuso sexual de un menor. 

El abuso a menores, no es pornografía

Una imagen sexual de un menor, es "abuso" o "explotación", y no debe jamás ser descrito como "pornografía"

La pornografía es un término usado para los adultos que participan en actos sexuales consensuales distribuidos (su mayoría)legalmente al público en general para su placer sexual.

Jamás debemos olvidar que las imágenes de abuso infantil, son documentos de prueba de un delito en curso, un niño siendo víctima de un abuso sexual.

domingo, 22 de noviembre de 2015

Privacidad hoy en día | Registro Civil ?





Creo que la privacidad quedó en el pasado - aun muchos siguen luchando por que no sea así - pareciera que para el común de la gente fuese normal que su información personal pueda ser expuesta a cualquier persona en el mundo. Ya es sabido que el Registro Civil chileno ha pasado por diversas situaciones cuestionables en cuanto a privacidad,  recordar que aunque obligado por una ley,puso a disposición de todos la información de aproximadamente 13 millones de chilenos correspondiente al padrón electoral y hasta el día de hoy los pdfs andan rondando en cualquier parte del mundo o cuando denunciaron el robo de una base de datos "Registro Civil denuncia copia irregular de bases de datos de carnés y pasaportes" , bueno de esos hay varios casos y no vale la pena recordarlo todos. No siempre es necesario un fallo informático o una gran vulnerabilidad explotada, sino que "fallas" o "descuidos" humanos también son una gran fuente de exposición de datos personales. 

A todo esto por el paro, ayer sábado 21 de noviembre el registro civil abrió sus puertas, y era el último día para obtener el pasaporte antes del alza de precio - canallas qls c: - así que era hora de levantarse después de una buena celebración el día anterior, y piscolas por todos lados, pero esa ya es otra historia.


- Esperando mi turno para obtener pasaporte fue que me puse a mirar que en cada cubículo de atención ( alrededor de 7 ) tenían una pantalla que daba hacia el público donde se iba mostrando la información de la persona que estaba siendo atendida, a medida que avanzaba en el proceso de obtención de cédula o pasaporte.


viernes, 8 de mayo de 2015

Sitio del Mineduc vulnerado?, let's see!


No es nuevo encontrar que sitios del gobierno han sido vulnerados de alguna u otra forma, hemos visto: deface, enlaces a pornografia ocultos [Sí, la JUNJI] , robo de información?, incluso ataques automatizados que toman ventaja de vulnerabilidades conocidas en Webapps.

Hoy es el turno de un subdominio del Mineduc, me refiero a: http://sgdce.mineduc.cl/ 

Haciendo una búsqueda en Google con un pequeño DORK nos damos cuenta que mantiene contenido con variadas rutas finales que ninguna relación tienen con el contenido que esperariamos encontrar en una pagina del Gobierno.

Aquí solo Algunos: =x




martes, 14 de abril de 2015

#BotCommentsCL : Es momento de ser responsable de nuestros sitios


#BotCommentsCL 

BotCommentsCL es una iniciativa con la cual se busca dejar en evidencia a sitios chilenos que no se hacen cargo de lo que se comenta en sus webs, muchas veces por Bots entrenados para propagar publicaciones con contenido Sexual | Drogas u otro tipo de contenido no apropiado.

Es común navegar por Internet, en este caso en sitios chilenos, y encontrarnos con algunos foros abandonados o páginas que permiten comentarios, en donde no utilizan captcha o algún otro sistema para evitar robots , o simplemente son deficientes. Son estos tipos de sitios los que almacenan miles de publicaciones con links a todo tipo de contenido inapropiado, muchas veces incluso promocionando sitios de Pornografía Infantil, Venta y uso de Drogas .

Por otro lado, existe otra forma de ataque donde explotan vulnerabilidades en los CMS o Servidores para así dejar contenido en los sitios de la forma http://web.cl/ContenidoInapropiado/ , donde es común ver que la página nos redirecciona a otros sitios, o nos incentiva a descargar algún tipo de ejecutable u ofrece contenido pornográfico muchas veces ILEGAL.
#BotCommentsCL busca exponer estos sitios haciendo uso del mismo hash en Twitter acompañado del link al sitio para dejarlo en evidencia.


¿De que hablo? 

Colegios:

Obispado:



Universidades:

Municipalidades:




Como Publicar en Twitter:


#BotCommentsCL NOMBRE DE LA INSTITUCIÓN [Cuenta de Twitter si tiene]: Link al sitio con el contenido 


Sigue el Hash en Twitter: #BotCommentsCL



----------------------------------------------------------------
Por una red responsable y más segura !

Finish|

sábado, 7 de marzo de 2015

Ferl: Facebook con Perl



Ferl, Facebook con perl :D

He nombrado este miniproyecto "Ferl" Facebook con perl , iré actualizando el código agregando nuevas características apenas vaya teniendo un poquito de tiempo.


Es claro que día a día buscamos como automatizar o hacer mas fácil ciertas tareas que hacemos, o mas simple aun ¿porque no actualizar nuestro estado de Facebook desde nuestra linea de comandos?
¿Porque hacerlo? , porque podemos :D .

Esta demás decir que estas herramientas nos sirven para marketing online, pasar avisos o incluso ganar concursos =x (darkside) pero hoy solo veremos como mediante perl podemos actualizar nuestro estado mediante la graphAPI de Facebook ! 

¿Que módulos vamos a utilizar? ( hay quienes le gusta complicar todo, pero ¿porque no hacerlo simple )


  • URI
  • LWP::Simple

Vamos a ver que todo se basa en enviar peticiones a : https://graph.facebook.com y en la documentación veremos los parámetros disponibles y como se conforma la estructura de la peticion.

Como lo que nos interesa publicar, veremos que esto se hace de la siguiente manera:

Vamos a generar un POST para me/feed, con la variable "message" con el contenido que queremos que salga en nuestro muro, en otras palabras y mas simple hemos realizado la siguiente peticion:




POST graph.facebook.com
  /me/feed?
    message="Hello, World."&
    access_token={your-access-token}


Lo que finalmente se vera reflejado en nuestro muro, ya explicado esto vamos al codigo ! #perl


#!/usr/bin/perl

#Ferl, Facebook con Perl
#ShineeLabs
#contacto@xshinee.cl

use strict;
use URI;
use LWP::Simple;

my $access_token = 'Aqui va el token';

my $message = <STDIN>;
chop($mensaje);

conecta ('me/feed',  {
 access_token => $access_token,
 message      => $mensaje,
 method       => 'post'

});

exit 0 ;

sub conecta {
  my $urlbase = new URI ('https://graph.facebook.com' . shift );
  $urlbase -> query_form(shift);
  my $respuesta = get("$urlbase");

}



Como pueden ver en este ejemplo utilizamos la entrada estándar, pero basta un poquito de conocimiento en #perl para poder enviar mensajes de forma automatizada, o usar una lista de mensajes haciendo uso de el manejo de ficheros en perl, o abusar de algunos while & sleep para hacer que el mensaje se envié de forma automática y sincronizada.


¿Qué otros parámetros podemos utilizar? , revisen la Documentación de la grapAPI .


FIN 

exit;

sábado, 24 de enero de 2015

Verificación Anti-Spam ? - Hell no !

Revisaba unas páginas locales, mas específicamente una revista y me llamo la atención esta "suerte" de captcha. [ Imagen ]



Vemos que el patrón del captacha no debiera ser muy difícil de sortear con un poco de captcha recognition o OpenCV pero veamos el source:

UPS!:



El Captcha esta en texto plano en el source.

Entonces podemos automatizar y SPAMEAR al objetivo sin problema no?

Para obtener el captcha:[ Perl ]





#!/usr/bin/perl

#blog.xshinee.cl
#@shinee_

    use LWP::UserAgent;
    use strict;


    print "## Explointing...\n";
    my $baseUrl="http://URLDESTINO";

            my $dato = &httpGet($baseUrl);
            while ( $dato =~ m!(.*?)!ig){
                    my $rg = $1;
                    my @data = split(/\+/, $rg);

my $FinalCaptcha = @data[1]+@data[2]+@data[3] ;
print " Este es el captcha $FinalCaptcha\n" ;

};



    sub httpGet{
    my $url = shift;
    my $navegador = new LWP::UserAgent;
    $navegador -> agent ("Internet of Things? - Labs");
    my $req = HTTP::Request -> new (GET => $url);
    my $respuesta = $navegador -> request ($req);
    my $contenido = $respuesta ->as_string;
    return $contenido;
    }
___

Solo queda agregar un par de lineas en el código para que haga el la petición POST y mande el comentario cada cierto tiempo que queramos.



:)