Saltando los hotspots con un solo click

Hoy en día es muy habitual encontrarse pay-walls o portales cautivos en hotspots públicos, especialmente en sitios como hoteles y aeropuertos.

En esta entrada se mostrará como los WISP implementan estos pay-walls, y cuales suelen ser generalmente sus debilidades.

Si viajamos con un smartphone o tablet Android es muy fácil saltarse el portal cautivo desde el mismo dispositivo Android, sin necesidad de hacer túneles a través de DNS o ICMP. Presentaremos una herramienta que nos permite automatizar el proceso para saltarnos el pay-wall en "1 click".

Llega el finde... y la oportunidad de ganar 10.000$ con latchcontest

Las entradas de los viernes son particularmente deprimentes para mí...(por eso he escrito mil y es la primera que una ve la luz) ..con esto no quiero decir que odie la Hostelería......I HATE IT.
Pero es cuando digamos que pienso  me dijeron en el cole que si estudiaba podría ser astronauta que algo a fallado en mi vida   .... son las casi las 12 y estoy reventao.... hay que tomar una decisión, y rápido... (a parte de de lo que proponen nuestros dirigentes  put on Relaxing cup of café con leche in Picadilly circus)
.. todos sabemos que cuando necesitas  ...y no tienes una  tarjeta visa Muyaster card repleta de Durainero no te apellidas RATO sinverguenza y tampoco vendes a tu madre por ser consejero de Endesa .  Solo podemos tener en cuenta dos factores..... Internet y nuestro ingenio...
Por eso mola saber que hay empresas que a pesar de tener mucho talento en sus filas, contrapone su ego a la lógica; 1.000.000 pueden pensar peor que 10, pero en conjunto piensan más horas, es lo que se llama brainstorming..

Aquí quiero llegar ... desde Hackplayers os animamos a participar en  latchcontest.. No es ni mas ni menos un concurso de ideas donde puedes presentar tu plugin de LATCH y tener la fantástica oportunidad de por primera vez  a tus 30 y tantos tributar a hacienda  un 20%  ganar de 10.000 dólares.

Y como vale más una imagen que mil palabras os dejo con este vídeo....pero... sabéis que vamos a participar ..y de cabeza!!!...

Geolocalización con python y pygeocoder

pygeocoder es una biblioteca de Python bajo licencia BSD que facilita el uso de la funcionalidad de geolocalización de Google. Con este módulo, podrás encontrar fácilmente las direcciones correspondientes a las coordenadas y viceversa. También podemos utilizarlo para validar y formatear direcciones.

Se basa en googlemaps 1.0.2 pero recientemente se ha actualizado para hacer uso de la versión 3. Para instalarlo simplemente escribimos en el terminal:
$ pip install pygeocoder
Una vez instalado probaremos a obtener las coordenadas de una dirección de ejemplo:
# python
Python 2.7.3 (default, Apr 20 2012, 22:39:59)
[GCC 4.6.3] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> from pygeocoder import Geocoder
>>> results = Geocoder.geocode("Avenida de la Albufera, 78 28038 Madrid")
>>> print(results[0].coordinates)
(40.3949876, -3.6629345)
>>> print(results[0])
Avenida de la Albufera, 78, 28038 Madrid, Madrid, Spain
A parte de las coordenadas, podemos decirle que nos diga sólo el tipo de componente que nos interese:
>>> print(results[0].country)
Spain
>>> print(results[0].postal_code)
28038
>>>

El mejor firewall del mundo (humor)

1. Una célula humana contiene 75MB de información genética.
2. Un espermatozoide contiene la mitad; eso significa 37.5MB.
3. Un ml de semen contiene 100 millones de espermatozoides.
4. En promedio la eyaculación dura 5 segundos y contiene 2.24 ml de semen.
5. Esto significa que la producción de un hombre equivale 37.5MB x 100,000,000 x 2.25)/5 = 1,687,500,000,000,000 bytes/segundo = 1,6875 Terabytes/seg

Esto quiere decir que el óvulo femenino soporta este ataque DDoS a 1,5 terabytes por segundo, y solo permite que pase un solo paquete de información lo que la hace el mejor hardware firewall del mundo.

La mala noticia de esto, es que es paquete de información que deja pasar, cuelga el sistema aproximadamente nueve meses.


- ad hominem. Lo recibí por Whatsapp y no pude contenerme a publicarlo.

Cómo evadir fácilmente el antivirus del correo de Yahoo! y varios IDS y otros antivirus

MIME describe el formato de transferencia de cualquier correo electrónico que contenga archivos adjuntos, imágenes incrustadas, etc. Este formato se remonta a los inicios de Internet y dado que los protocolos utilizados (UUCP y el actual SMTP) se basaban en texto ASCII, cualquier binario o mensaje no ASCII tenía que ser codificado previamente para el transporte.
Para especificar el tipo de codificación se utiliza la cabecera Content-Transfer-Encoding, sirva el siguiente ejemplo:

     From: foo
     To: bar
     Subject: foobar
     Mime-Version: 1.0
     Content-type: multipart/mixed; boundary=barfoot
   
     --barfoot
     Content-type: text/plain
   
     This is only ASCII text, but the attachment contains an image.
     --barfoot
     Content-type: image/gif
     Content-transfer-encoding: base64
   
     R0lGODlhHgAUAOMJAAAAAAgICAkJCRVVFSEhIfDw8PLy8vX19fj4+P//////////////////////
     /////yH5BAEKAA8ALAAAAAAeABQAAARaMMlJq7046827/2DoFQBQcKRJpWfCSm8Vw2VrzROOr/Xd
     57/YzvWjqYjHYarEZLaERWBz+vwZAgKD72isHg+DwWFrQ3pbCAIBQeYloxhdEH6Rv+/lrvusF3ki
     ADs=
     --barfoot--

Dado que para el transporte sólo es necesaria una única codificación la especificación permite el uso de un único encabezado. Pero ¿qué ocurre si se utilizan de todas formas varios encabezados?

Reproduce video y audio mediante Excel

¿En tu entorno de trabajo tienes una máquina con acceso restringido a cualquier reproductor multimedia?, ¿estas en un entorno Citrix y tu terminal tonto sólo tiene acceso a un conjunto de aplicaciones muy limitado? Por fin vas a poder trolear a gusto y ver los vídeos que a ti te apetezca... porque seguro que si te dejan ejecutar Excel ¿verdad?

Pues ahora y gracias al "Redditor" AyrA’s puedes explayarte a gusto y ver los vídeos a través de una hoja excel con las macros (VBA) listas para llamar al API de Windows, abrir Window Media Player y tostar tus más oscuras fantasías audiovisuales:

Llegan los drones con autonomía ilimitada

CyPhy Works, la nueva empresa del fundador de iRobot Helen Greiner, ha estado trabajando en secreto durante años en algo que involucra a drones y que ya hemos descubierto lo que es: UAVs que pueden operar por cantidades "ilimitadas" de tiempo. No es una especie de pila de combustible revolucionaria o una tecnología de transferencia inalámbrica de energía; más bien, si te fijas bien en la imagen de a continuación, verás que los UAVs de CyPhy están utilizando una nueva solución que en realidad es muy antigua: un cable irrompible que conecta el UAV a su estación de tierra en todo momento.


Mi primera reacción a este sistema puede ser descrita como, "eh, ¿qué?" Quiero decir, ¿un cable? Los cables para robots remotos se utilizaban antes de que tuviéramos las comunicaciones inalámbricas y las baterías. Sin embargo los cables de sujeción tienen una serie de ventajas importantes: pueden transmitir vídeo en alta definición a través de ellos y se pueden enviar comandos y recibir datos de los sensores de forma rápida y fiable. Además no hay que preocuparse por interceptaciones e interferencias o por la cobertura GPS. Y quizás lo más importante, tener una conexión física con el dron te permite enviar energía al mismo, que es donde la "duración ilimitada" entra en juego.

Esta es la novedad, pero hay una gran desventaja al estar atado como una cometa: estar atado. Por eso en CyPhy hablan siempre de microfilamentos porque la palabra "atadura" implica exactamente lo que estás pensando: algo que restringe el movimiento. Sin embargo, no tiene por qué. Como Greiner describe el sistema de AUVSI:

"El mayor problema con los robots terrestres hoy en día es que los mandan dentro de un edificio, se van a bajar las escaleras, no hay comunicaciones, van alrededor de la esquina y no hay comunicaciones. Entras en un bunker y tiene cierto aislamiento y no recibe comunicaciones ", dice Greiner. "Con el filamento, básicamente, se pueden obtener imágenes de vídeo de alta definición todo el tiempo, y luego tiene las ventajas añadida de que no hay retrasos en la recepción, suplantaciones y no pueden ser interceptados." El cable de sujeción utiliza un carrete para que no se enrede. Si se engancha o se rompe, el vehículo puede utilizar su energía de la batería para volar de regreso a su punto de origen.

De por qué prefiero Python a Java, un claro ejemplo lol!

Ya lo dicen en the build, un ejemplo del código necesario en cada lenguaje para cargar una URL vía https y verificar el certificado contra una CA local:

Java, Android SDK:
// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
    ca = cf.generateCertificate(caInput);
    System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
    caInput.close();
}

// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);

// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);

// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);

// Tell the URLConnection to use a SocketFactory from our SSLContext
URL url = new URL("https://certs.cac.washington.edu/CAtest/");
HttpsURLConnection urlConnection =
    (HttpsURLConnection)url.openConnection();
urlConnection.setSSLSocketFactory(context.getSocketFactory());
InputStream in = urlConnection.getInputStream();
copyInputStreamToOutputStream(in, System.out);

Python:
import requests
x = requests.get('https://certs.cac.washington.edu/CAtest/', verify='load-der.crt')

Las 15 cosas más terroríficas de hackear (infografía)

Estamos en el inicio de Internet de las cosas (IoT), donde una multitud de dispositivos interconectados presentarán un paraíso para los hackers. Una nueva infografía en Web Hosting Buzz presenta algunos escenarios escalofriantes en los que un atacante podría comprometer las tecnologías actuales que transcienden al mundo físico con el consiguiente aumento del riesgo.

Las amenazas van desde el hacking de electrodomésticos, monitores para bebés o neveras inteligentes hasta habitaciones de hotel e incluso aeropuertos y reactores nucleares.

A principios de este año, hackers comprometieron 100.000 electrodomésticos inteligentes y los utilizaron para enviar 750.000 mensajes de spam.
En abril, una pareja de Estados Unidos se despertó con el sonido de un hombre gritando "wake up baby" a través de su monitor de bebé inalámbrico.
Este verano un consultor de seguridad usando sólo un iPad fue capaz de tomar el control de las luces, las temperaturas y las persianas de 200 habitaciones de un hotel en China.
Muchos cajeros automáticos en todo el mundo siguen utilizando el obsoleto Windows XP. 

En junio de dos escolares canadienses hackearon los cajeros automáticos de Montreal antes avisar del riesgo al banco.
Los automóviles de hoy en día contienen 50 o más unidades de control electrónico y los hackers pronto serán capaces de desbloquear y arrancar el vehículo mediante el envío de un sencillo SMS. Ya se ha demostrado que es posible hackear cualquiera de los equipos de baja potencia en un coche moderno en menos de 10 segundos.
Hasta aquí en Hackplayers ya hemos demostrado que muchos de los gadgets que tenemos en casa hoy pueden ser comprometidos.
Por no hablar de que las consecuencias podrían ser aún más importantes si tenemos en cuenta las plantas de energía, los equipos médicos e incluso los aviones que están ahora conectados a Internet...

Esta es una infografía no para generar temor, si no para que los fabricantes tomen conciencia y dediquen sus recursos a mejorar la seguridad de los productos (vaya semana llevamos de reivindicaciones XD):

Bash gráfico ¿por qué no? (GUIs)

Quien siga el blog sabrá lo asiduo que soy al bash script. Mucha gente se equivoca con este lenguaje; sobre todo en que con el no podemos hacer nada visual...

Hace ya algún tiempo tuvimos que llevar acabo un sistema de autenticación de usuarios, una vez acabado se nos planteó un problema.

El "Sr administrador de red" no había visto en su vida un sistema Linux, y por descontado no tenía ni idea que era un servidor Radius y mucho menos como administrarlo. Por lo tanto me tocaba dárselo mascadito (administración de usuarios, creación de credenciales y certificados, tiempos de conexión permitidos, logs, etc., etc.) y  por supuesto le hice un script muy completito.

Lo bueno fue cuando me mandaron a explicarle como funcionaba el script (cosa de niños)...el hombre cuando vio el terminal lo vio negro, negro (en ambos sentidos de la palabra) su cara era un poema frente al parpadeo constante del prompt.

Tras esto mi jefe propuso hacerle un frontend mas "amigable" con php, lo cual nos horrorizó... Después de auditar  el ISP pretendían conectarse al Radius por web?...y lo mejor fue el plazo... 3 días...

Puff necesitaba que mi script pudiese interactuar gráficamente con este hombre y rápido...

Fue ahí donde conocí Zenity.