2.6.09

Facebook, Hi5 y las redes sociales... virus, bugs y criminales "no tan virtuales."

Fuck!! Es q no le importa a la gente q todos esten viendo su intimidad? Conocen el concepto d “privacidad”? Leyeron (o vieron aunque sea) 1984? Saben adonde nos va a terminar llevando esto?? Mmm... no me lo quiero ni imaginar xq asusta. xD

Hoy dia es muy facil encontrar datos d personas simplemente xq ellos los ponen a la vista d todos. Cualquiera con conocimientos minimos puede ponerse a buscar gente y averiguar cosas sobre ellos con la unica herramienta d 1 conexión a internet. Esto no seria tan malo si vivieramos en 1 mundo perfecto donde todos son buenos y nadie quiere sacar provecho del otro, robar, matar, y violar todas las p... leyes, mandamientos o lo q sea, pero el caso es q no vivimos en 1 mundo asi y no c entiende como es posible q no abran los ojos.

La masividad d internet llevo a estas cosas, antes c cuidaba mucho mas la privacidad en la red, para empezar xq el usuario medio tenia 1 nivel mucho mas alto que hoy, ademas d q habia mas conciencia del problema y mas ganas d educar a la gente sobre como comportarse en su vida virtual. Siempre me acuerdo d 1 comercial d los 90´s en el q habia 2 perros chateando (irc x supuesto... je) y 1 le decia al otro “en internet nadie sabe q somos perros”. 1 imagen muy significativa x cierto, q tal vez hoy parezca mas obvia pero en realidad los hechos demuestran q no lo es tanto para muchos.

En esa epoca no tan lejana, poco mas d 10 años, el user leia mas los msgs q le entregaba el sistema o el mismo browser, en lugar d presionar “aceptar” a cualquier virus q anda x ahí como pasa hoy, pero el tema tambien esta en q a muchos les interesa justamente q la gente sea como es, para q? para tenerla bajo control x supuesto... je



Gusanos, phishing, malware y otros bichos...

Empecemos con el tema d los virus... hay 1 flia d gusanos (boface) hecho específicamente para la red facebook. No es gran cosa ni obra d 1 genio del codigo, pero debido a la masividad d la red y a los pocos conocimientos en gral d sus users c calculan los infectados en millones.

Según datos d panda activescan, 1 herramienta gratuita d scanneo online, c calcula q en los ultimos meses un 1% d las pcs q paso x ahí esta infectado con alguna d las variantes de boface. Se dice q hay 200 millones d users en facebook... solo hay q hacer cuentas para ver lo gordo y grande q esta el gusano ;)

La ultima versión llamada boface.bj c descarga en la pc x los medios habituales y entra en accion cuando el user d la pc infectada c loguea en su cuenta. Manda links a su “red d amigos” con 1 supuesto video d youtube (en realidad la url dice yuotube... jeje) q al querer ejecutar pide la descarga d 1 reproductor q en realidad es 1 d esos falsos antivirus q lanzan ventanas todo el tiempo pidiendo q lo compren... y lo peor es q muchos lo terminan comprando...

Esto x supuesto no es cosa d “hackers”. Hasta me acuerdo d haber visto 1 herramienta x ahí q automatizaba la creación d la pag falsa... “fake youtube” o algo asi c llamaba. La verdad q no me acuerdo xq lo vi d pasada y hace bastante tiempo. Cualquier niño puede armar 1 phisher similar con esto.

Otro peligro es justamente el phishing, no voy a ponerme a explicar la tecnica, pero ademas d tambien haber herramientas para crear los fakes, son muy faciles d hacer a mano, solo descargar la pagina original, apuntar el action a 1 simple php d no mas d 10 lineas, guardar user/pass y redireccionar a la pag verdadera. Con esto c obtienen mas passes y con ellos mas victimas para la infeccion o lo q sea.

X supuesto q ya no es el hecho d la infeccion xq si, sino con fines economicos y a veces no tan “inofensivos” como vendernos 1 falso anti-algo. Es bien sabido (y sino enterense) q los criminales del mundo real (vulgares ladrones o secuestradores) usan estas redes para obtener info d sus victimas como costumbres, modo d vida, nivel socioeconomico, relaciones, etc... la vieja y siempre valida “ingenieria social” a la orden del dia...

Muchos diran mi perfil es privado, blah blah blah, etc. Y eso seria aunque sea una ayuda si en verdad estas redes fueran seguras, pero x ej hay 1 bug en facebook hace ya meses q nadie parece parchar (vaya a saber xq) con el cual c pueden ver los albumes privados d quien queramos.



Ver fotos sin permiso en facebook

Este bug, q en realidad no es 1 bug sino 1 falta d atención x parte d la gente d facebook, es muy facil d explotar, cualquiera q pueda hacer copy/paste esta capacitado... je. Lo voy a explicar xq en realidad es algo bastante lamer, pero me parece 1 verguenza q nadie c preocupe x arreglarlo en tanto tiempo, sobre todo teniendo en cuenta la amenaza a la seguridad y privacidad d los users d la red en cuestion. Tal vez cuando hasta el ultimo d los internautas sepa ya como hacerlo c decidan a parcharlo... :/

Los pasos serian los siguientes:

1. abrir nuestra cuenta d facebook. O hacerse 1 cualquiera x supuesto ;)

2. entrar a: http://developers.facebook.com/tools.php

3. en el menu desplegable “metodo” seleccionar “fql.query”

4. completar el campo “query” con:

SELECT location, link
FROM album
WHERE owner=xxxxxxxxxx

Donde xxxxxxxxxx es el id del usuario del q queremos ver sus albumes sin estar agregados.

El query nos devuelve en el cuadro d la derecha 1 serie d datos entre los cuales c encuentran las urls d los albumes. Algo parecido a esto:

<album>
<location/>
<link> http://www.facebook.com/album.php?aid=xxxxx& amp; id=xxxxxxxxxx </link>
</album>

Tomamos el link y le sacamos el “amp;”, con lo q quedaria asi:

http://www.facebook.com/album.php?aid=xxxxx&id=xxxxxxxxxx

Ponganlo en el navegador y... bingo!!! Ya estan juackeando gente... xD

Al dia d hoy esto sigue funcionando después d meses, hasta el propio creador d facebook fue victima del bug y sus fotos privadas estan dando vueltas x toda la red. Ademas d q... x supuesto cualquier criminal q sepa apretar 2 botones tambien esta viendo info privada del q quiere para saber q le puede robar o como lo puede engañar.

C siguen sintiendo seguros? No les importa? Solo googleen 1 poco para buscar info sobre criminales usando facebook para obtener datos d sus victimas... c van a asustar.

La privacidad es algo muy importante y q hay q guardar muy bien, 1 mundo donde la vida d cada persona c puede encontrar en 1 base d datos publica no es nada seguro ya q la información es poder, poder para controlar a los demas, y el q tenga control sobre la bd tiene control d 1 forma u otra sobre esas personas ya q conoce su vida y todo lo q hace... la vieja historia del “big brother” pero real y en versión sXXI.

6 comentarios:

Alesteir dijo...

Excelente post amigo Locutus, y la verdad no se por que las masas se caracterizan por su falta de raciocinio, con solo decir que un juanker, puede tomar los "daticos" mas relevantes que se dejan mas de uno por el facebook y en un santiamen elaborar un vector de ataque,ya nos podemos imaginar la cantidad de desfalcados (eso les pasa por andar de vagos),te cuento que en el tiempo que llevo en la red, te puedo decir que solo unas pocas personas saben mi verdadero nombre (mi mama, mis hermanos etc... jajajaja), y aunque se que uno no le interese a nadie es mejor mantener un minimo status de anónimo (aun después de muchos nicknames y unas cuantas fotines) en la red, y es que las redes sociales de verdad apestan. Me gusto mucho lo del script para poder ver las fotos privadas de los demas(no has visto famosas desencueradas?,xD), lo que mas me gusta del script es esta parte:

SELECT location, link
FROM album
WHERE owned=xxxxxxxxxxDD


Recuerdas que hemos hablado de cosas similares, de los robos y de la gente que lo hace, que ni informáticos son siquiera?, y en cuanto el YoutubeFakeCreator es un soft argentino que ha tenido un impacto grande a nivel internacionl, tanto así que ya lo venden mejorado y con muchisimas funciones: especial para script kiddies!
Sigue escribiendo de estas cosas que me encantan, jajajajaja

Suertes Locus!

PD. Has escuchado focus?, mira en youtube el video hocus pocus, de PM.

|_ocutus dijo...

WHERE owned!! jajja... me hiciste reir con eso.

coincido perfectamente con todo lo q decis. como sabes siempre fui muy cuidadoso con s tema, pero como decia, la nueva generacion d internet tiene en su mayoria otra forma d pensar en cuanto a la privacidad y asi c estan abusando d ellos.

yo creo q c podria hacer 1 distincion entre pre y post año 2k en s sentido. despues del 2k la masividad fue tanta q la red nunca volvio a ser lo mismo.

youtubeFakeCreator!!! asi era! no me podia acordar el p... nombre... alguien metio la idea en 1 worm y x ahi anda... je

hocus pocus d focus? ja... pense q no habia mucha gente q lo conociera. tengo 1 vecino (bastante mas grande q nosotros) q me lo hizo escuchar hace muchos años. lo q creo q no habia visto nunca son videos. dejo link para el q le interese:

http://www.youtube.com/watch?v=bpV5InLw52U

creo q es el unico tema conocido q tienen... me parece q estaba demasiado "high" el cantante para mas... xD igualmente 1 joyita el tema.


saludos alesteir!!

Alesteir dijo...

Te cuento que en facebook algo han hecho con el bug pero no es suficiente,de forma que si lo haces de primer vez tal vez el sistema te deje obtener la url del album en el query, pero una vez lo haces te banean la ip o el user.

Pd. Me tienes que mostrar todo lo que hagas sobre el arduino, si no entiendo mal hasta el pcb lo vas a hacer, pues yo pude, pero me era mas dificil obtener todos los materiales en un corto lapso. tal vez despues tambien me arme mi placa tambien de cero, pero con el ATmega328, espero que publiques fotos y esas cosas.

Ya despues parlamos Locus!

|_ocutus dijo...

t bannea la ip?... je... c rompieron el craneo para hacer algo... xDD

en fin... menos mal q hablamos solamente d fotitos xq 1 bug asi con info importante seria desastroso... aunque 1 sola foto puede hacer bastantes lios en las manos equivocadas. y es muy facil cambiar la ip o abrir otra cuenta... ;)

esperemos q c dignen arreglarlo definitivamente algun dia.

con el tema d la arduino aca los materiales c consiguen... bah... elektro tiene sus contactos... je. creo q lo mas dificil era el chip y lo consiguio d 1 dia para otro.

igual todavia ni empece, estoy con mucho trabajo, pero en cuanto haga algo lo pongo aca ;)


saludos amigo

Anónimo dijo...

Esto es una locura, nombres reales, datos reales quien pone eso en internet, de que sirve... el gobierno te encontrara rápido con el mas mínimo movimiento..

Aunque la gente no se da cuenta lo que hace.. claro esta que todos los que tienen cuentas por ahí o al menos un 99% no tienen idea de estas cosas.

Y como dijo alguien una vez esto puede ser cosa del gobierno, nos quieren tener controlados, saber donde estamos, tienen todos nuestros datos, nuestra ciudad, nuestro apartado postal, todo en una enorme base de datos, facebook, hi5, tuenti..


Si quieren saber donde esta tal persona, buscan por ahí..


Aunque bueno.. es solo una teoria loca, pero algo de realidad tiene, es algo mas que una red social... si no para que programar algo así dar un servicio gratuito, con algo de publicidad... algo mas abra por ahí..


Y en cuanto al bug, como todo sistema en este mundo uno que otro bug tendra, pero un servicio gratuito, no te quejes del bug aunque claro la gente quiere algo seguro, pero sea como sea cual loco cuelga una foto en internet, y pone sus datos reales...


Nos vemos..


Ubuntero :P

|_ocutus dijo...

el tema es q con el bug queda expuesta mucha info incluyendo fotos, amigos, costumbres, etc. y eso es alimento para ladrones y secuestradores.

ademas la ultima vez q lo checkee todavia funcionaba. parece q no piensan parcharlo... xD

q sea cosa del gobierno no me extrañaria mucho. tal vez nos llamen paranoicos pero x las dudas yo prefiero no poner mis datos y fotos al alcance d cualquiera.


saludos amigo ;)