Buscando correos en la red

Esta busqueda se podria considerar como parte de la tecnica de Footprinting ya que al fin de cuentas es la recolección de información.

El procedimiento de busqueda de correos es sencilla y para ello se utiliza el buscador más utilizado de los tiempos "google".

Cabe mencionar que estos datos están publicados en la red y son faciles de identificar utilizando un poco de inteligencia competitiva.

Bien comencemos:

Dentro del buscador de google ponemos un @ después seguido el dominio de la empresa donde quiero averiguar los correos ejemplo quiero averiguar correos de televiza para ello pongo @televiza.com.mx

Uno de los primeros resultados que obtuve es encontra el correo de fundación televiza, muy bueno no lo creen?

Segui navegando y buscando y me encontre con el correo de tv novelas ahora que sepa un chisme ya se donde mandar un correo.

Cabe mencionar que esto es un procedimiento en donde se debe tener paciencia ya que si quiero encontrar un correo en específico lo tengo que estar buscando entre todos los resultados que me arroja google, tenemos que ir observando en todas las paginas cuales son los correos que me arroja y encuentro.

Vamos a encontrar muchos correos y resultados solo tenemos que especificar cual es la empresa o institución donde yo quiero conseguir el correo.

Espero les haya gustado esta tecnica de como buscar correos, hasta la proxima.

Redacción: Ana González- SI3H

Lleva la Wikipedia a todos lados sin tener acceso a Internet

Que beneficios traeria tener el acceso a información sin tener conexion a internet esto ya es posible gracias a un proyecto de Python Argentina.

La informacion la pueden adquirir en español y CDPedia es el nombre de este proyecto que ha logrado recoger toda la información de la Wikipedia hasta Febrero del 2011, y plasmarla en un CD/DVD para que personas sin acceso a internet puedan beneficiarse de la mayor enciclopedia libre colaborativa del mundo.

Si conoces personas con un PC pero sin acceso a Internet, seguro que una copia de la CD/DVD Pedia le ayudaría muchísimo.

Podras encontrar los links de descarga visitando Dragonjar.org

Facebook dara recompensa a quien detecte fallos de seguridad en su web

Facebook podría ser otra de las empresas que abriera un programa de recompensas económicas para quienes informen a la compañía de fallos de seguridad. Según Softpedia, el objetivo de Facebook es mejorar la seguridad contando con la ayuda de los internautas. Para los desarrolladores de un sitio complejo resulta difícil detectar todos los errores que pueden tener consecuencias graves. El plan de Facebook pediría al informante suministrar los datos a la empresa y dejar un tiempo razonable de reacción a la misma para solucionarlo antes de comunicarlo públicamente. Facebook, de hecho, ya hace tiempo adquirió el compromiso de no perseguir a quien, detectando un fallo de seguridad en sus sistemas, lo comunique a la compañía.

Esta política no es inédita. Google ofrece un cheque de 3.133,7 dólares a quien comunique un error en su navegador Chrome. También Mozilla tiene un sistema de recompensas con Firefox. El descubrimiento de un fallo crítico da derecho a tres mil dólares. Esta política de comunicación responsable consigue la colaboración de internautas expertos en seguridad que, de otro modo, acudirían a otras fórmulas como la participación en concursos remunerados de hackers como Pwn2Own. De hecho, algunas de estas firmas dan premios patrocinados por compañías interesadas en obtener información sobre las debilidades en la arquitectura de su sitio.

Softpedia asegura que un experto de seguridad de Facebook, que asiste a la Hack in the Box Amsterdam 2011, les ha comunicado los planes de la compañía y que el lanzamiento del programa es inminente. Estas ofertas tienen otra consecuencia favorable: llamar la atención de expertos de seguridad que, atraídos por la recompensa, analizan el sitio que las ofrece.

Microsoft

La empresa Microsoft también ha demostrado estar más interesada en obtener la colaboración de hackers que en combatirlos. No solo no ha actuado contra quienes consiguieron que el mando gestual Kinect trabajara sobre un ordenador sino que, tras descubrir, los intentos de un joven irlandés de 14 años para entrar en los servidores de Xbox, en lugar de llevarlo a los tribunales le ha propuesto aprovechar su talento de forma legal.

Esta posición contrasta con la de Sony quien inició una persecución legal de George Hotz, un hacker que logró saltarse las protecciones de la PlayStation 3. Tras iniciar la persecución judicial del mismo, lo que provocó la reacción solidaria de sus colegas y ataques informáticos a Sony, la empresa decidió llegar a un acuerdo judicial con el mismo.

Fuente: El Pais

El arte de la Ingenieria Social

En muchas ocasiones los que nos dedicamos a temas de seguridad de la información nos tenemos que plantear como penetrar en cierto sistema y nos quebramos la cabeza buscando información con herramientas como Anubis, Foca, o Maltego, haciendo escaneos de red con Nessus, OpenVas o GFI Languard e intentando explotar alguna vulnerabilidad con Metasploit, cuando penetrar en un sistema puede ser tan sencillo como utilizar alguna técnica de “Ingeniería Social”.

Algunas de las técnicas de Ingeniería Social que mas se suelen utilizar a diario y que mas solemos sufrir son las siguientes:

Phising: Probablemente la que mas fama tenga por el número de veces que es usada. Consiste, normalmente, en un email, llamada telefónica, etc. en el que se trata de suplantar la identidad de otra persona o entidad para solicitar cierta información. En los últimos años se han realizado miles de intentos de phising intentando suplantar a bancos para hacerse con las credenciales de los usuarios y robarles dinero.

Shoulder surfing: La más fácil de utilizar y la que mas rendimiento ofrece, consiste como su definición indica, en mirar por encima del hombro. Hace unos meses fui con un amigo a sacar dinero en un cajero, el pasó a sacar dinero, y yo me quedé afuera esperando, pues bien, desde la calle pude ver la combinación de la tarjeta de crédito que introdujo. Lógicamente le eché la bronca. Siempre hay que intentar tapar el teclado con la otra mano para evitar las miradas de curiosos, sobretodo por las numerosas bandas de cogoteros que poblan las grandes ciudades españolas.

Esto mismo puede realizarse en ambientes empresariales, mirando a un confiado administrador mientras se loga en un sistema.

Dumpster diving: El Dumpster diving consiste en rebuscar entre la basura, para intentar buscar facturas, documentos o cualquier tipo de información que nos pueda servir. Es normal que las organizaciones se deshagan de documentación con importantes detalles como nombres, números de teléfonos, datos internos de empresas, informes desechados, por ello es recomendable que se triture toda la documentación con trituradoras antes de tirarla a la basura.

Eavesdropping. Ésta técnica consiste en afinar el oído para escuchar la información que se pasan hablando los usuarios con privilegios de un sistema, como contraseñas, etc.

PiggyBacking: Aunque es mas conocida por utilizarse en el metro, etc. también es aplicable al ámbito de la seguridad de la información y consiste en seguir a un usuario autorizado hasta una zona restringida aprovechándonos de sus privilegios. Para ello es normal disfrazarse con monos de trabajo o similares para pasar desapercibido. ¡Cuidado con las señoras de la limpieza!

Fuente: flu-project

Vende Twitter los datos personales de sus usuarios

Un estudio realizado por el periódico El País acusa a Twitter de vender la información confidencial de sus usuarios a distintas agencias de mercadotecnia digital.

El diario señala que un tuit no sólo consta de 140 caracteres sino que va acompañado de una serie de datos de los que el usuario no tiene conocimiento.

Entre los datos ocultos que se envían a través de un tuit se encuentra la información de cómo, cuándo y dónde se originó el mensaje, denunciaron.

El reporte a cargo del rotativo señala que cada tuit comienza con una matrícula de identificación de diez dígitos, detrás de dicha cedula se ubican los 140 caracteres (pueden ser menos) a los cuales tienen derecho cada tuitero, explican.

Twitter esconde detrás de los 140 caracteres la información personal de los usuarios, entre dicha información se indica el nombre, alias y dirección IP del usuarios, además se especifica desde dónde se generó el tuit, alertó el diario.

Las denuncias señalan que en algunos casos también se indica cuándo fue creada la cuenta desde la que se envió el tuit, que idioma usa, la zona horaria donde está activada y el número de seguidores y de tuits que ha generado el usuario.

De acuerdo con el diario lo alarmante reside en que gracias a esta información se pueden crear patrones de comportamiento de la población, lo cual serviría para definir tendencias de votación en una elección política o conocer cuáles son las películas, música y programas de televisión favoritos, de los pobladores de cierta zona geográfica, o de algún rango de edad en específico.

Medios especializados indican que en la actualidad Twitter permite que Crimson Hexagon y Mediasift, ambas empresas de marketing digital, tengan acceso a estos datos. Los reportes señalan que la transacción de los datos esta valuada en sólo 8,000 dólares anuales.

Las denuncias hechas por medios internacionales aseguran que Mediasift cuenta con programas que permiten identificar si se habla bien o mal de una marca, o de  algún producto que éste a la venta. Además de poder especificar en dónde tiene más éxito, entre que rangos de edad y qué genero lo consume con mayor frecuencia.

Cifras oficiales señalan que al día se generan en el mundo más de 50 millones de tuits.

El País concluye señalando que estos procesos, contrario a lo que se puede pensar,  se hacen en tiempo real siendo incluso más rápidos que Google Analytics. 

Fuente: b-secure