A día de hoy si el cliente no ha cacheado el HSTS funciona igual y si lo ha cacheado hay que dumpear el cert haciendo que caduque con alguno de los trucos como el Delorean. Pero sigue funcionando igual. www.elladodelmal.com/2015/08/atacar-la-seguridad-https-con-un.html Si es un man in the middle se acabó todo. Saludos!
#160 Amigo, en Salvados hice un Bridging HTTPs(IPv4)/HTTP(IPv6) con la herramienta Evil FOCA que desarrollamos en Informática 64. Tienes el detalle explicado en este post. Puedes aprender en este artículo que escribí hace ya mucho tiempo. www.elladodelmal.com/2013/03/bridging-httpipv6-https-ipv4-con-evil.htm Puedes aprender más de estos ataques en el libro que escribí de ataques IPv4/IPv6 0xword.com/es/libros/26-libro-ataques-redes-datos-ipv4-ipv6.html y si quieres puedes ver la conferencia con las mismas demos en la DEFCON en este vídeo en Youtube www.youtube.com/watch?v=gWf89h9uIXs&list=PLDyIJu2O4ugdiEKDmvVg_5ZF Saludos Malignos!
#169 a mí me gusta .NET y Java. El código fuente de Evil FOCA para que la gente estudie los ataques está en GitHub, además de estar publicados los Whitepapers de Evil FOCA en Español e inglés. Yo hago lo que puedo por compartir lo que sé dentro de mis posibilidades. }:) Saludos!
#167 Quién ha dicho que era nuevo? Nosotros implementamos todos los ataques conocidos hasta ese momento en Evil FOCA y desde luego la demo de salvados fue real. En evil FOCa implementamos como 10 ataques y la demo de Salvados fue con uno de ellos. Ahora tienes Evil FOCA liberada para que amplíes. Saludos!
#25 En iPhone no hay WhtasApp Web, y si el terminal está bloqueado no puedes hacer eso. Esto se puede hacer incluso con el terminal bloqueado con passcode
#21 Pero sí para saber cuándo lo lees, y el USER-AGENT de tu navegador (Versión de WebBrowser y Sistema Operativo). Es un fallo gordo de seguridad que carguen las imágenes por defecto en todas las cuentas.
#106 Los hackers no hacen eso, pero podría haberlo hecho. Eso es lo bonito de los hackers, que no hacen cosas malas. En cuanto al blog, yo creo que todas las semanas hay alguna cosa interesante.
#101 Si no te gusta el blog, eso es otra cosa. Este artículo habla de cómo mostrando interés a partir de una fuga de información (en la configuración del dominio de búsqueda de la configuración DHCP, el autor (que no es el autor del blog) busca información para averiguar la respuesta. Así es como lo hacen los hackers y tiene su gracia como una vez más se demuestra la inseguridad de los sistemas informáticos.
#15 Los hackers pierden horas en "saber", no en hacer mal. Los que hacen cosas malas son los cibercriminales o piratas informáticos. Para un hacker, el saber cómo y por qué es lo que hace que se pase horas y horas investigando y leyendo documentanción.
No es una técnica nueva, pero la automatización ayuda. Herramientas como SET hacen eso, automatizar ataques conocidos... No hay que irse muy lejos cuando Firesheep automatizó el session hijacking y la lió parda en Internet
#37 ¿Perdona? Google ha decidido prestar ese servicio NO los creadores. Debe prestarlo sin perjuicio de los creadores. Google no es el centro del universo amigo. Debe vender sus servicios sin perjudicar al resto incumpliendo la ley. Así funciona el mundo, que no es Google-centrista.
Y sí, para Google es un negocio redondo, de hecho, de lo que vive hoy es de ads principalmente.
#34 Youtube gana con el que tiene copyright... Millones! y son ellos los que más se llevan porque de cada anuncio ellos se llevan la mayor parte. Si Google ganara solo con el contenido X (sin copyright) estaría guay, pero también se lleva el de Y (con copyright) así el Z que es igual a X+Y es mucha pasta. Ese Y es enorme, y hay miles de millones de visualizaciones (y por tanto anuncios) con los que gana pasta. Debería devolverlo a los creadores.
#32 Error, no la gente no va a ver páginas con contenido que no es interesante y Youtube no puede poner publicidad. Cuanto más interesante es el contenido más tráfico hay, más anuncios se ponen y más dinero se gana. Los sitios como Series.ly vivían de la publicidad de la web por el contenido interesante que tenían. Youtube está explotando el mismo.
Con la nueva LPI no solo las que alojen contenido protegido con copyright, sino las que tengan enlaces a contenido con copyright. Youtube hace las dos cosas.
#29 Error, Fecsa/Endesa cobran sin piratería igual por la conexión a Internet. Youtube en esos casos cobra SOLO por la publicidad del contenido pirateado y se lo quedan cuando se retiran. Con la nueva LPI son igual que series.ly y MegaUpload.
#27 en Series.ly también subían los usuarios los enlaces... Lo que pide Google es que sean los usuarios los que monitoricen todos lo que suben los usuarios. Es decir, Youtube se convierte en colaborador necesario (igual que MegaUpload) para que la gente suba el contenido ilegal (igual que Series.ly) y traslada los costes de que no se cometa delito en Youtube a los creadores. Eso sí, todo lo recaudada mientras lo quitan se lo queda. Y por supuesto, los creadores deben ser aprobados como Partners, algo que no es fácil ni rápido.
#20 No según la nueva Ley de Propiedad Intelectual. Están alojando contenido ilegal y deberían ser ellos responsables de borrarlo. Como Series.ly SeriesYonki, SeriesPepito y demás. Youtube no debería ser una excepción ¿no? Otra cosa es lo que nos guste, pero la ley debería ser igual para Google que para Series.ly o Megaupload como dice el artículo.
#17 Y por supuesto, tus ideales suenan muy bien pero no haciendo que gane dinero Google saltándose la ley, mientras que a sitios como Series.ly o Megaupload los cerraron.
#27 EvilSecurity 