[RETARDS] Seguridad en las webs de la red PutaLocura.

[GalaxyStarliner]

Hola Torbe.

Quisiera saber qué tan buena crees tú que es la seguridad en las webs de la red PutaLocura.

Como muchos saben, existen infinidad de programas para probar la seguridad de los servidores, como así también hay utilitarios al estilo L0phtCrack, AccessDiver y GoldenEye que permiten entrar a servidores de pago pero sin pagar, obviamente.

Por otra parte, también hay en Internet muchos sitios web, la mayoría de ellos de acceso privado (es decir que para entrar primero hay que colaborar mucho y hacerse conocer antes de tener la confianza de quienes están ahí dentro), donde se intercambian todo tipo de métodos y passwords para entrar a sitios de pago, por difícil que sea el acceso a los mismos. He visto grupos de estas personas que están durante semanas martillando un sitio web hasta que logran entrar. También he visto lo ingeniosos que son algunos, por ejemplo, una vez vi un mensaje de alguien que decía haber encontrado un agujero de seguridad en varios servidores, pues afirmaba que podía entrar en ellos simplemente poniendo un espacio en blanco como usuario y otro espacio como contraseña. Esta falencia estaba presente en un sistema de validación de SMS cuyos creadores tardaron meses en corregir.

Yo sé de muchísimos sitios, programas y métodos para entrar a servidores de pago, por eso te hago esta consulta. Aclaro que el ánimo de este hilo no es amedrentar ni divulgar información que atente contra tus webs, por el contrario, simplemente quisiera saber cuánto tiempo le has dedicado a este tema. Quizás te preocupe, como quizás eres de esos webmasters o encargados de sistemas que simplemente instalan los servidores, servicios o protocolos y listo, se dejan estar, sin actualizarlos ni emparcharlos jamás, y piensan "total, mientras haya suscriptores al sitio y mientras sea mínimo el porcentaje de ilegales que entran, está todo bien".

Según veo en tus sitios, has delegado el tema de la seguridad, los SMS y las tarjetas de crédito a CCbill y otras. El problema radica en que este mismo sistema es utilizado por muchísimas otras webs a las cuales entran miles de usuarios ilegales (no digo hackers porque no es el vocablo correcto), con la consiguiente pérdida de dinero y ancho de banda que eso significa, entre otras cosas. Todos los sistemas de seguridad y barreras anti-ladrones tiene(n) su(s) punto(s) flojo(s), y los veteranos de la seguridad informática lo saben -sabemos- bien. Claro que existen muchos otros sistemas de seguridad, como los tokens y las barreras al estilo Pennywize o Flicks, pero tarde o temprano (y con un poco de paciencia) todo sistema es pasible de caer.

Bueno, no te quito más tiempo. Espero tu respuesta y repito que la idea de este mensaje es saber qué piensas acerca del tema, y si te pudiera ayudar en algo, tanto mejor.

Saludos.

 

[CHORIPAN]

PAGA Y CALLA PAJERO

 

[black mamba]

Muy interesantes los 2 post tuyos sobre estos temas, x cierto, Torbe creo q está fuera y tardará en responder.

 

[GalaxyStarliner]

PAGA Y CALLA PAJERO

¿Por qué dices que me calle?

Saludos.

 

[GalaxyStarliner]

Muy interesantes los 2 post tuyos sobre estos temas, x cierto, Torbe creo q está fuera y tardará en responder.

Gracias por tu respuesta. Esperaré a que regrese Torbe, pues.

Saludos.

 

[GalaxyStarliner]

¿Para cuándo?

Han pasado casi dos meses desde que publiqué mi pregunta y el buen Torbe todavía no ha respondido. Según he visto, ya ha regresado de sus viajes por el mundo porque ha respondido a otras preguntas por ahí.

Torbe, respóndeme por favor: ¿con cuáles esquemas de seguridad proteges tu red de sitios web, o los dejas "así nomás" tal como vienen configurados los servidores por defecto?

Saludos.

 

[TORBE]

eso lo lleva un tecnico
yo no

 

[Guest]

Lo mejor es poner un par de puertas ukranianos que no dejen entrar a los que llevan deportivas.

 

[GalaxyStarliner]

El tiempo ha pasado... y todo sigue igual!!!

eso lo lleva un tecnico
yo no

Mi estimado Torbe: Hace casi un año y medio me diste esa escueta respuesta respecto de quién se encargaba de la seguridad de tus numerosas webs. Lo cierto del caso es que todo este tiempo me la he pasado haciendo una o dos pruebas por mes en tus servidores, y siempre ha sido posible entrar a cualquiera de tus sitios sin pagar. Eso sí: no me interesa ver ni descargar absolutamente nada de tus webs, ni robar el trabajo que haces, sólo me interesa el saber qué tan seguros es el sistema de acceso, ya que a eso me dedico desde hace casi veinte años.

Yo podría asesorarte acerca de la seguridad en tus webs, y cómo resolver eficientemente los problemas relacionados con este asunto tan importante. Varias empresas ya se han beneficiado con mis asesorías. A modo de ejemplo, te cuento que _www.cybernetentertainment.com (una productora de porno norteamericana) estuvo a punto de cerrar sus puertas hace un par de años porque su sistema de login y el método de autenticación de sus servidores eran pésimos, cualquiera con un mínimo conocimiento de causa podía entrar y descargar decenas de Gb sin que ellos pudieran hacer nada, y para colmo, en Internet había infinidad de sitios web (ej.: _www.3xhq.com) donde se publicaban kilométricas listas de users y passwords para entrar ilegalmente a las webs XXX de esta empresa. Yo dirigí el proyecto que solucionó este tema, y ahora tienen un sistema de acceso realmente seguro, los ataques de brute force, DoS, TCP/IP masking y demás maniobras de hacking han disminuido en un 88,4% y los ingresos líquidos generados por sus sitios web han aumentado en un 392%. Pregúntales a estos tipos si quedaron contentos o no.

Por todo lo comentado, te pregunto: ¿cuándo vas a prestar real atención a este tema? ¿Quién(es) es(son) el(los) técnico(s) que dices tener, y que hace(n) tan mal su trabajo? ¿Realmente te interesa que la seguridad de tus webs sea decente, o te da igual?

Te doy unas pistas: conexiones vía VPN, HTTP tunneling y técnicas de modficación de datos de sincronismo en la estructura de paquetes del protocolo TCP/IP.

Espero tu gentil respuesta y desde ya te agradezco por tomarte el tiempo de leer este mensaje.

Hasta luego.

 

[GalaxyStarliner]

El tiempo ha pasado... y todo sigue igual!!!

eso lo lleva un tecnico
yo no

Mi estimado Torbe: Hace casi un año y medio me diste esa escueta respuesta respecto de quién se encargaba de la seguridad de tus numerosas webs. Lo cierto del caso es que todo este tiempo me la he pasado haciendo una o dos pruebas por mes en tus servidores, y siempre ha sido posible entrar a cualquiera de tus sitios sin pagar. Eso sí: no me interesa ver ni descargar absolutamente nada de tus webs, ni robar el trabajo que haces, sólo me interesa el saber qué tan seguros es el sistema de acceso, ya que a eso me dedico desde hace casi veinte años.

Yo podría asesorarte acerca de la seguridad en tus webs, y cómo resolver eficientemente los problemas relacionados con este asunto tan importante. Varias empresas ya se han beneficiado con mis asesorías. A modo de ejemplo, te cuento que _www.cybernetentertainment.com (una productora de porno norteamericana) estuvo a punto de cerrar sus puertas hace un par de años porque su sistema de login y el método de autenticación de sus servidores eran pésimos, cualquiera con un mínimo conocimiento de causa podía entrar y descargar decenas de Gb sin que ellos pudieran hacer nada, y para colmo, en Internet había infinidad de sitios web (ej.: _www.3xhq.com) donde se publicaban kilométricas listas de users y passwords para entrar ilegalmente a las webs XXX de esta empresa. Yo dirigí el proyecto que solucionó este tema, y ahora tienen un sistema de acceso realmente seguro, los ataques de brute force, DoS, TCP/IP masking y demás maniobras de hacking han disminuido en un 88,4% y los ingresos líquidos generados por sus sitios web han aumentado en un 392%. Pregúntales a estos tipos si quedaron contentos o no.

Por todo lo comentado, te pregunto: ¿cuándo vas a prestar real atención a este tema? ¿Quién(es) es(son) el(los) técnico(s) que dices tener, y que hace(n) tan mal su trabajo? ¿Realmente te interesa que la seguridad de tus webs sea decente, o te da igual?

Te doy unas pistas: conexiones vía VPN, HTTP tunneling y técnicas de modficación de datos de sincronismo en la estructura de paquetes del protocolo TCP/IP.

Espero tu gentil respuesta y desde ya te agradezco por tomarte el tiempo de leer este mensaje.

Hasta luego.

 

[Tirso]

Re: El tiempo ha pasado... y todo sigue igual!!!

eso lo lleva un tecnico
yo no

Mi estimado Torbe: Hace casi un año y medio me diste esa escueta respuesta respecto de quién se encargaba de la seguridad de tus numerosas webs. Lo cierto del caso es que todo este tiempo me la he pasado haciendo una o dos pruebas por mes en tus servidores, y siempre ha sido posible entrar a cualquiera de tus sitios sin pagar. Eso sí: no me interesa ver ni descargar absolutamente nada de tus webs, ni robar el trabajo que haces, sólo me interesa el saber qué tan seguros es el sistema de acceso, ya que a eso me dedico desde hace casi veinte años.

Yo podría asesorarte acerca de la seguridad en tus webs, y cómo resolver eficientemente los problemas relacionados con este asunto tan importante. Varias empresas ya se han beneficiado con mis asesorías. A modo de ejemplo, te cuento que _www.cybernetentertainment.com (una productora de porno norteamericana) estuvo a punto de cerrar sus puertas hace un par de años porque su sistema de login y el método de autenticación de sus servidores eran pésimos, cualquiera con un mínimo conocimiento de causa podía entrar y descargar decenas de Gb sin que ellos pudieran hacer nada, y para colmo, en Internet había infinidad de sitios web (ej.: _www.3xhq.com) donde se publicaban kilométricas listas de users y passwords para entrar ilegalmente a las webs XXX de esta empresa. Yo dirigí el proyecto que solucionó este tema, y ahora tienen un sistema de acceso realmente seguro, los ataques de brute force, DoS, TCP/IP masking y demás maniobras de hacking han disminuido en un 88,4% y los ingresos líquidos generados por sus sitios web han aumentado en un 392%. Pregúntales a estos tipos si quedaron contentos o no.

Por todo lo comentado, te pregunto: ¿cuándo vas a prestar real atención a este tema? ¿Quién(es) es(son) el(los) técnico(s) que dices tener, y que hace(n) tan mal su trabajo? ¿Realmente te interesa que la seguridad de tus webs sea decente, o te da igual?

Te doy unas pistas: conexiones vía VPN, HTTP tunneling y técnicas de modficación de datos de sincronismo en la estructura de paquetes del protocolo TCP/IP.

Espero tu gentil respuesta y desde ya te agradezco por tomarte el tiempo de leer este mensaje.

Hasta luego.

Si eres experto en seguridad deberias saber que una de las cosas que se hacen en primera estancia es sacar informacion de las victimas de las maneras mas peregrinas. Asi que no esperes que publicamente te den la informacion que pides publicamente en un foro.

Es como decir a todo el mundo que tipo de puerta y modelo tienes en tu casa para que entren de la manera mas facil.

Es como decir que firewall llevas a voces para que intenten entrar en la web buscando solo las vulnerabilidades de ese firewall.

No se deben dar datos publicos.

Segunda cosa a tratar. Los que nos dedicamos a la seguridad informatica... nunca... damos explicaciones de las vulnerabilidades en publico.

Eso hace que pueda caer nuestro cliente por unos desalmados a los que les das pistas. Asi que si quieres informar a alguien te recomiendo que lo hagas via privada. Y si no cambia su manera de proceder, eticamente te lavas las manos pues ya has avisado.

Ya que no quieres robar informacion, ni descargarte nada de manera ilegal, soy por hecho que tienes etica.

Asi que mi recomendacion es que estos asuntos los resolvais via privada. Pues se a ciencia cierta que Torbe contesta los mails que lee.

Espero no resultar ofensivo para nadie, pues no es mi intencion. Un saludo para los dos.

 

[MADXTAR]

Re: El tiempo ha pasado... y todo sigue igual!!!

eso lo lleva un tecnico
yo no

Mi estimado Torbe: Hace casi un año y medio me diste esa escueta respuesta respecto de quién se encargaba de la seguridad de tus numerosas webs. Lo cierto del caso es que todo este tiempo me la he pasado haciendo una o dos pruebas por mes en tus servidores, y siempre ha sido posible entrar a cualquiera de tus sitios sin pagar. Eso sí: no me interesa ver ni descargar absolutamente nada de tus webs, ni robar el trabajo que haces, sólo me interesa el saber qué tan seguros es e...l blablablabla...
Hasta luego.

Coño, como te aburres, eh? Tienes que tener una vida social que te cagas.

 

[GalaxyStarliner]

Re: El tiempo ha pasado... y todo sigue igual!!!

Coño, como te aburres, eh? Tienes que tener una vida social que te cagas.

Sí, tengo una vida social que ni te imaginas, y por eso no te daré detalles, para que no me envidies XDDD

Saludos.

 

[GalaxyStarliner]

Re: El tiempo ha pasado... y todo sigue igual!!!

Si eres experto en seguridad deberias saber que una de las cosas que se hacen en primera estancia es sacar informacion de las victimas de las maneras mas peregrinas. Asi que no esperes que publicamente te den la informacion que pides publicamente en un foro.

No estoy pidiendo información, sino que estoy haciendo una advertencia (o un aviso, o un llamado de atención o como quieras llamarle) públicamente.

Es como decir a todo el mundo que tipo de puerta y modelo tienes en tu casa para que entren de la manera mas facil.
Es como decir que firewall llevas a voces para que intenten entrar en la web buscando solo las vulnerabilidades de ese firewall.
No se deben dar datos publicos.

No he pedido que nadie me diga nada de eso, repito, sólo estoy haciendo un llamado de atención porque simplemente quisiera saber si alguien se está encargando de la seguridad en las webs de PL.

Segunda cosa a tratar. Los que nos dedicamos a la seguridad informatica... nunca... damos explicaciones de las vulnerabilidades en publico. Eso hace que pueda caer nuestro cliente por unos desalmados a los que les das pistas.

Eso ya lo sé, y por esa razón he citado ciertas pistas a modo de ejemplo, no creerás que esas pistas son efectivamente los métodos para vulnerar la seguridad de los servidores de PL.

Asi que si quieres informar a alguien te recomiendo que lo hagas via privada. (...) Pues se a ciencia cierta que Torbe contesta los mails que lee (...) Asi que mi recomendacion es que estos asuntos los resolvais via privada.

Ya me cansé de intentarlo por vía privada y no obtuve respuestas. Creo que con este tema sucederá lo mismo que pasó con otro hilo que publiqué hace más de un año, donde cuestioné la forma en que se hacía publicidad en los sitios de PL. Sólo recibí una escueta respuesta de Torbe y después algunas personas se encargaron de desvirtuar el hilo que publiqué acerca de ese tema, razón por la cual todo quedó en la nada.

Y si no cambia su manera de proceder, eticamente te lavas las manos pues ya has avisado.

Es exactamente lo que haré, si es que a nadie le preocupa el tema de la seguridad.

Ya que no quieres robar informacion, ni descargarte nada de manera ilegal, soy por hecho que tienes etica.

Puedes estar seguro de ello.

Espero no resultar ofensivo para nadie, pues no es mi intencion. Un saludo para los dos.

Lo mismo digo, saludos :)

 

[TORBE]

el pennywize es magico, con eso no entra nadie
desde que puse eso nunca mas he tenido ningun problema y no ha entrado nadie alli