Publicados por Mystix

marcalj, para que veas que es cuestión de potencia y estamos trabajando con números de combinaciones jodidamente grandes (muy jodidamente grandes x))

Pongamos que trabajamos con 25 carácteres, ¿vale?

Una password de 1 cifra serán 25 combinaciones,
una password de 2 cifras serán 2525 combinaciones,
una password de 3 cifras serán 2525*25 combinaciones (ya estamos hablando de 15.625 posibles combinaciones para tan solo tres cifras) así que usando potencias podemos saber que una password de, pongamos, 8 cifras tiene 25^8 combinaciones diferentes (esto son 152.587.890.625 combinaciones ciento cincuenta y dos mil millones y medio más o menos. Si el PC de Khronos procesaba 500.000 claves por segundo hacemos un pequeño cálculo del que sacamos que necesitaría 84 horas para probar todas las combinaciones.

Por cierto, ahora me doy cuenta de que he metido la pata porque md5 también usa números, con lo que los cálculos para 8 carácteres y 35 cifras nos daríán que khronos necesitaría 1251 horas para probar todas las combinaciones (52 días enteros).

Ah, si hilamos fino md5 no cifra, simplemente hace un digest (una especie de resumen), por eso se usa para calcular la integridad de lo que nos bajamos de internet (lo habréis visto todos aquellos que hayais bajado alguna distro linux).

Si os interesa el tema y os gusta leer os recomiendo una novela de Neal Stephenson llamada Criptonomicón. A parte de ser una historia genial (bueno, más de una) aprendes bastantes cosillas de criptografía

Una trozo del libro que citan en un artículo de Kriptopolis dice así:

_"Cuanto más larga es la clave que quieres generar, más largo es el proceso. Randy intenta generar una ridículamente larga. Le ha comentado a Avi, por medio de un mensaje cifrado, que si cada una de las partículas de materia del universo pudiese emplearse para construir un único superordenador cósmico, y ese ordenador trabajase en intentar romper la clave de cifrado de 4096 bits, le llevaría más tiempo que toda la vida estimada del universo.

Empleando la tecnología actual -le respondió Avi- eso es cierto. Pero ¿qué hay de los ordenadores cuánticos? ¿Y si se desarrollan nuevas tecnologías matemáticas que simplifiquen la factorización de grandes números?

-¿Cuánto tiempo quieres que sean secretos esos mensajes?- le preguntó Randy en el último mensaje antes de abandonar San Francisco-. ¿Cinco años? ¿Diez años? ¿Veinticinco años?.

Después de llegar al hotel esa tarde, Randy descifró y leyó la respuesta de Avi. Todavía la tiene colgada frente a los ojos, como la imagen remanente de un flash:

- "Quiero que sigan siendo secretos mientras los hombres sean capaces del mal."

(Neal Stephenson, "Criptonomicón")_

Incluso un ataque con diccionarios sería bastante improbable que tuviera éxito antes de que el atacante muera de asco o el servidor web se vaya abajo :risitas:

¡Ojo! Pero por si acaso mejor mantener passwords difíciles, que no sean palabras existentes, blablabla… Y seguir protegiendo el acceso a las claves

Buenas,

Desconozco si ahora mismo hay algún fallo en última versión de PHP-Nuke, pero a lo que yo me refería es al historial de bugs que ha tenido y el hecho de tener un desarrollo casi cerrado a tan solo Burzi. Me fío más de un equipo de desarrolladores que de un desarrollador solo (normalmente ;-))
De todas maneras es lo que tu dices… Que cada uno use el que le guste.

Respecto a lo de banear la IP después de 3 intentos pues tampoco es como para ponerse así y te explico porqué: La velocidad de respuesta de un servidor de internet es muy (pero que muy xD) mayor a la velocidad a la que un programa como John The Ripper puede probar una sola password con md5 y el susodicho necesita de mucho rato (minutos, horas) para sacar según que passwords. Así que sacar la password por fuerza bruta contra el server es bastante improbable, otra cosa es que accedan a tu BD y se lleven las passwords para probar en local con el John
Además, causaría más problemas a usuarios legales (los usuarios somos torpes) que a intentos de acceso

Respecto a lo que me cuentas de PHP... A parte de la explicación de que se ejecuta en servidor y que a veces la mala programación puede ser la fuente de una intrusión en el sistema (hay que vigilar los permisos del usuario que ejecuta Apache...) no entiendo que me quieres decir o si simplemente era por añadir algo más

Marcalj: No puedes decir que PHP-Nuke está muy bien hecho y luego decir que el código no se entiende, es contradictorio jeje
Suerte con el proyecto

josefu: bulmalug no usa drupal, usan bulmita :risitas:

Otros Drupales son:
http://blog.nirvanis.net
http://www.drupal.org (por supuesto xD)
http://www.librexpresion.org

Y no lo recomiendo por ser más o menos bonito, es por su funcionalidad, extensiones y posibilidades. Si podeis probarlo como administrador os va a gustar almenos a mi me convence más que PHP-Nuke, PostNuke, GeekLog y algún otro que he podido probar

Me consta que todos o casi todos los CMS que he visto funcionan también así
Incluso las passwords en Linux están así (# cat /etc/shadow)

Por cierto, antes de entrar a saco con PHP-Nuke yo miraría otras opciones como GeekLog (http://geeklog.sf.net) o Drupal (http://www.drupal.org), tienen un desarrollo más abierto, menos bugs y, en mi opinión, un mejor acabado (sobretodo Drupal ¡es la caña!).

Hasta donde yo se md5 no es lo más seguro del mundo para cifrar datos, pero tampoco te van a sacar las claves en 5 minutos con un script

Para cifrar, md5 usa una "semilla" con la que a partir de ahí empieza a hacer sus cálculos de cifrado. Sin esta semilla es imposible descifrar los datos. Esta semilla suele ser la propia clave que vas a encriptar Así que para saber que la clave cifrada es "clavedemarcalj" primero tienen que saber la semilla que, casualmente, es "clavedemarcalj".

Pero claro, se puede ir probando (=fuerza bruta) hasta dar con la semilla correcta. Por lo que es importante que nadie, salvo el administrador, tenga acceso a las claves aunque sean cifradas.

Espero haberte servido de ayuda

¿ IMDB ?

emule para linux

Si estamos tranquilos pako, almenos yo

Veamos, por partes otra vez:

· Tú mismo dices que el fin no justifica los medios.

· La "gracia" de que un hacker (sic) entre en tu sistema no es que lo modifique, creo que eso está bastante claro. Y si es cierto que al que le pagan se le llama "analista de seguridad" o similares, pero estos no te cambian el index.html

· Lo del CSIC no demuestra el "nivelazo" que hay en este país. Pues en este país hay un nivel altísimo (por ejemplo es uno de los más densos en cuestiones de desarrolladores de software libre / habitantes) pero los buenos salarios están en el sector privado.

· Ha sido un ataque de un script-kiddie en toda regla. Con más o menos conocimientos pero usando bugs conocidos y antiguos. Un ataque más serio sería el que te encontrara fallos de configuración o descubriera nuevos bugs.

Copio y pego el comentario del chaval en barrapunto:
"Con esa seguridad podria hackearlo hasta mi abuela, no era mas que explotar remotamente openssl y luego este nuevo bug del kernel pa rootearla k me vino al pelo Lo que decian que la habian dejado parcheada era mentira, sino no hay mas que ver como la rehackee ademas esta gente iba diciendo k no habia hecho nada y en el irc se iba rulando una account con login/pass para entrar por ssh a la maquina, en definitva ese admin se merece un premio xPPPPPP"

Si quereis montar una campaña y que se vea (no creo que tenga muchas visitas CSIC.es) os contratais publicidad en terra.es, en ya.com y os montais un dominio www.noalascalabazas.com También hay sitios donde te puedes expresar libremente y que son bastante leídos como Indymedia ( barcelona.indymedia.com madrid.indymedia.com …)

Venga, sin acritud. Y un poco más de compañerismo, que el panorama informático parece una selva.

psgonza: No se si exagero, pero yo no voy jodiendo a los demás para protestar por algo por lo que no tienen ninguna culpa. Imagina si el admin fueras tú y tu familia comiera de tu sueldo… Estarías acojonado ahora mismo. Y es que además no sabemos en que circunstancias se encuentran el admin / los admins (a veces tienes algún jefe por encima tuyo que no te deja libertad absoluta y ya sabes...).

IHateMyself: No se donde ves mis humos mi prepotencia, ¿estás seguro de que sabes que significan esas palabras? :rolleyes:
Ahora en serio. El admin del CSIC cobrará la mitad que tú porque para empezar en el CSIC [n]no sobra el dinero ni mucho menos. Además seguro que no es de lo único que se encarga (ya sabes como está el trabajo hoy en día). Es una forma de protestar que llama mucho la atención pero es como protestar haciendo una pintada en la puerta de tu casa (uy ji ji que gracioso el graffinker) o tirando piedras con mensaje a la cristalera de la sede del PP.

A veces nos pensamos que la vida es un juego y nosotros ponemos las reglas.

P.D.: No he insultado. He usado esas palabras porque se ajustan a la idea que tengo sobre ellos. Quizá he pecado de generalizar pero es que solo tienes que pegarte un par de sesiones de IRC para conocer al 90% de esta fauna script-kiddie

P.D.2: Bueeeeno vaaale, lo de medio retrasado sobraba. Las otras no

Lo diré sin pelos en la lengua:

El CSIC depende del gobierno igual que vuestro instituto o facultad (excepto las privadas :D).
El CSIC no tiene presupuesto suficiente para hacer todo lo que están capacitados para hacer (sobretodo en investigaciones).
El CSIC es independiente del gobierno que haya en cada momento.

Así que cambiar la web del CSIC para protestar por la guerra es como cambiar la web de la UPC o de la federación española de fútbol

Por tanto, el que ha modificado la web del CSIC es:
1.- Imbécil.
2.- Medio retrasado.
3.- Prepotente.

En Barrapunto se puede leer algún comentario del "lumbreras" explicando que aprovechó un fallo conocido hace tiempo en OpenSSH y el bug del ptrace en el kernel que te deja una bonita shell de root. Un capón para el admin por no tener el servidor actualizado y con soporte para módulos.
Que el admin deje los archivos del atacante (la imagen, el index.old) no es un síntoma de incompetencia. Quizá no es tan machote como el juanker y le ha parecido gracioso el tema o quizá lo guardan como prueba o documentan lo sucedido.
Quien diga que le parece bien que se cambie el índice de la web del CSIC o está de coña o es MUY corto de miras o simplemente está en la pre-adolescencia

Se lo que es hacer lo que ha hecho el chaval este (yo no lo he hecho nunca ;);)). Te sube la adrenalina y el ego, te crees capaz de muchas cosas después de tu triunfo, pero la verdad es que al final solo somos script-kiddies que tienen un buen repositorio de exploits y mínimas nociones de servicios. Todos hemos tenido una época gilipoyas, pero a algunos les dura para siempre

Yo creo que te iria mejor una Palm por varios motivos:

· Más baratas
· Mucha mayor autonomía
· Más pequeñas
· Más software disponible
· Sin problemas de sincronización y sin cuelgues extraños
· El software ocupa muy muy poca memoria. De hecho yo tengo una Palm m505 con 8MB y lo llevo lleno de juegos, ebooks, canales avantgo y documentos varios (y aún me sobran unos 3MB). Luego le metes una simple tarjeta SD de 64MB de 20EUR+IVA y tienes Palm para meses…

Eso sí, si vas a tirar mucho de multimedia pues quizá lo mejor sea un PocketPC, aunque no dejes de considerar la posibilidad de una Palm Tungsten T o de una Sharp Zaurus SL5500 que ahora están sobre los $180 porque ha salido la 5600, aunque en muchas tiendas de por aquí la verás a 600, 700 e incluso 800EUR. Ten en cuenta una cosa, la autonomía no va a ser mayor de 4 ó 5 horas (sin ver videos y esas cosas).

Espero no haberte liado un poco más

Eso es para la web que enlazan desde el principio

This website is not available for Netscape users. Please download Internet Explorer if you would like to view this site.
If you have been redirected to this page in error and want to enter anyway - Click here.

Usando Safari… Sin comentarios

También cada poco tiempo se hace una ViladeLans party en Viladecans, la última fue el fin de semana pasado y la próxima..:

Viladelans VI
Semana Santa 2003 - 3 dias

A ver…

En los primeros mails te dicen que por no se que motivos suyos, los pagos saldrán a nombre de GINIX.COM en tu libreta y te dicen que respondas diciendo que lo has entendido. Supongo que te asustaste y respondiste algo como "yo no tengo ningún dominio con vosotros". También te dicen que te has pasado del límite de transferencia y debes pagar $134,85 por ello.

En los siguientes mails dicen que algunas personas -para no pagar- les dicen que no han contratado nada con ellos (y que puede ser que NO sea tu caso) y te explican los pasos que siguen en estos casos...

En definitiva yo creo que debes pagar los $134,85 y pasarte a algún hosting en el que te puedan tratar en castellano para evitar malentendidos. Como dice Radheya "lo barato sale caro"

También dicen:
Did you lost your domain name?
We will provide you one for free!
just email us the wanted domain
name and we will register it for you.

¿Has perdido tu nombre de dominio?
¡Te damos uno gratis!
tan solo dinos en un e-mail que dominio quieres
y te lo registraremos.

Ahora mismo usas los drivers del FrameBuffer. Este se activa después del Lilo/grub y solo permite 60Hz, así que no es por la salida de video.

Haz lo que te dice marcalj, instálate los drivers de tu tarjeta

A un amigo mio le llegó SPAM por… tachán tachán ¡NETBIOS!

Con algún scriptillo que vaya haciendo "net send $ip compra nuestro producto" o algo así ya tienes forma de spamear a todo aquel que use NT/2K/XP y no tenga desactivado el servicio de mensajes. O a aquellos que usen 9x y tengan el Winpopup abierto

Bueno, no "le conozco". Se que existe y es amigo de un amigo. Solo hemos intercambiado algún e-mail (sobretodo en listas de correo)

Por cierto, si tienes una Nvidia mírate una aplicación que se llama nvclock… ¡sorpresa! :D:D

marcalj, presiona en tu facultad (aunque sea la que es y sean cabezotas) para que se use soft multiplataforma. A lo mejor incluso hay sustituto en Linux…

En nuestra facultad presionamos y las cosas están cambiando

P.D.: Hay un linuxero por allí, Carles Pina, que seguro que no usó Windows en su momento... Debe andar en 3er curso, intenta enterarte de si tienes solución

No desaparece Mandrake (ni la empresa tampoco :D), está en suspensión de pagos y para que eso se de tiene que haber un proyecto de reflote sólido detrás… Yo soy optimista

P.D.: El problema de fondos de Mandrake viene del blufff de las puntocom en el que se perdió un montón de dinero, no por su modelo de negocio que le reporta beneficios aunque no los suficientes para pagar las deudas del bluf puntocom.