Sobre seguridad, un baneo y otros asuntos

usuariofriki escribió: (...)

Ahora, quiero una prueba de vuestro tecnicismo... yo me conecto desde ips protegidas, no quiere decir que estén protegidas porque yo lo haya hecho, quiere decir que yo escribo desde un organismo internacional, ¿seríais capaces de monitorizar también mis IP?

¿Podríais hacerme una demostración para ver si las "pruebas" que presentais son viables?

Gracias.

PD: La hora de los accesos, la estadística del host de conexión, el hecho de que ella tenga un nokia lumia windows phone, conexion 3g, todoas estas conexiones fueron desde asturias, o el foro no almacena tanta info...

Desde un simple correo electrónico se puede investigar una IP. En otros casos, con un simple programa enmascarado que le envíe la info a quien le interese (un virus). Y desde un teléfono móvil es todavía más fácil, con cualquier aplicación donde le des permisos para obtener información de la red donde te conectas, donde si no tienes ningún programa que detecte actividades sospechosas, pues ya se puede uno imaginar.

Desde mi conocimiento no sé, pero seguro que para hackers del gobierno chino o estadounidense (por poner un ejemplo), no tienen ningún problema en ver tus IPs y espiarte (si no lo hacen ya ). En serio, en tu caso sería más difícil, pero no imposible.


Bueno, realmente conociendo la IP de alguien no se hace nada, de hecho ni siquiera puedes conocer desde donde se conecta (salvo el país), la cosa es mucho más compleja. Hay que investigar puntos débiles del PC/dispositivos y 20 tinglados más.

Tampoco creo que el foro almacene tanta información sobre un usuario, básicamente porque es información personal, pero yo eso sí que no lo sé. Aunque con esos datos este asunto estaría más que resuelto

Pero si descartamos esta posibilidad, lo único que nos queda es que haya usurpado la Base de Datos del foro (metiéndose a través de fallos en la web), desencriptado las contraseñas de los usuarios afectados y utilizado sus cuentas (a no ser que todos esos usuarios le hayan dado sus contraseñas o le haya mandado algún tipo keylogger para investigar sus contraseñas), y no se crean nada de lo que hayan visto en la tele sobre esto. O conociendo las vulnerabilidades del foro hubiera hecho un SQL Injection que no es una cosa muy sencilla porque requiere de un estudio profundo de problemas de seguridad del foro y conocimiento en programación: campusvirtual.unex.es/cala/epistemowikia...n_de_c%C3%B3digo_SQL

Esas son las posibilidades de lo ocurrido básicamente, puede haber otras, supongo.

darkenzo escribió: Usuariofriki si te lees el post entero veras que otros usuarios afectados si que hemos comentado, y el que no lo aya echo alomejor es por que no quieren hacerlo, no por que los administradores no lo hayan notificado.

Perdona Darkenzo, si que es verdad que sois dos o tres, pero como no he coincidido con vosotros, pues no os conozco mucho, me referia en cuestion a la gente que si conozco, a Will, a Mister...


Una cosa más, por la captura de Lacri, en el que pone IP usada en un mensaje, eso me retintinea un poco...

Es una pregunta técnica...

En esta web, como se graban las IP, con acceso de usuario, o con inserción de mensajes...

-usuariofriki inicio sesión con la IP: 000000000
-Mensaje de usuariofriki con la IP: 00000000

A lo que me lleva a la pregunta, esas comparaciones de IP, son... por mensaje publicado y por insercion de nick??? porque doy por supuesto que las "supuestas" implantaciones, no han dejado prueba fisica, osea mensaje en el foro...

Entonces se ha comparado IP de mensaje, con IP de inserción de cuenta...

La ultima de todas, existen 166 mensajes y dos usuarios comparten la IP en este caso, ambos estaban en la misma casa...

Los otros son IP iguales, en 1, o 2 o 3 mensajes...

Pregunto y pongo en duda todas estas pruebas, porque, he hablado con Ana y ni ella tiene el nivel tecnico para hacer esto, ni lo necesita, y me ha asegurado que no lo ha hecho, entonces me basta.

Ahora bien, como soy tan "defensor" lo mismo me la juegan a mi también, y mañana aparezco yo baneado, y quiero evitarmelo...

Por eso tantas preguntas y las pruebas no me valen, porque yo puedo hacer eso y más con dos minutos de mi tiempo, y como el "doctor" la misma persona que nos decía como jugar a Mass Effect con un proxy para saltarnos la protección de región de EA, es el que dice que existen muchas pruebas, pues la verdad no me gustaría saber, que lacri, administrador del foro ha compartido con terceros no afiliados a la web, las direcciones IP e información privada del foro y de sus usuarios, me atreveria a decir que es incluso más grave que lo que supuestamente ha hecho Ana.

A ver, está claro que a Lacri le ha caído un buen marronazo con esto y bastante tiene de momento. Pero si esas entradas en cuentas ajenas se produjeron entre abril y mayo, yo recuerdo bien varios fallos del foro por esa época, y el más sonado fue la desaparición de la guía multijugador de Gardus en el limbo de los justos. Gracias a que la información seguía en la base de datos no llegó la sangre al río, pero un detallito de ese hecho que se me quedó grabado es este: de tener casi 12.000 mensajes, el foro pasó a tener alrededor de los 120.000. Es decir, el número total de mensajes se multiplicó por diez de golpe, pero esos 108.000 mensajes nuevos no aparecen por ningún lado. Son como los "10 días perdidos de la historia"
Más fallos: noticificaciones de mensajes privados inexistentes, intentar postear y que te saliera el letrerico de "Internal Server Error". Justo el otro día Sere se quejaba de esto mismo, que le costaba horrores postear en no sé qué tema. Y a mí también me pasó.
A lo mejor son chorradas, pero es que son muchas chorradas y puede que este caso sea una más, un simple fallo como ha dicho Usuariofriki, y más si resulta que el tema del karma era él quien se lo estaba subiendo a Yghde.

P.D. Perdonad si esto que estoy diciendo son burradas, se lo podéis achacar a mi ignorancia en materia de informática. Pero es que la otra opción no tiene sentido, entrar en otras cuentas de paseo...

Leyendo el post que puso lacri, la explicación más logica es la del programita. Yo cuando jugaba al LC, la gente se robaba las cuentas como si fueran piruletas, y un amigo mío informático me explicó porqué. Me dijo: Lo importante no es que tú des tu contraseña, o tu correo (éso siempre puedes cambiarlo y recuperarla), lo importante es que nunca des tu nombre de usuario. En juegos/webs/foros donde no hay límite de inicios de sesión, con un simple programita que va probando combinaciones te saca la contraseña de quien quieras, siempre que tengas su nombre de usuario. En un juego es más complicado porque si tú no lo das nadie sabe tu user, pero en un foro donde el nombre con el que te conectas es el mismo que el que usas públicamente, es muy simple. En éste foro no había ninguna medida de seguridad contra eso, y como bien dijo lacri con los móviles modernos bajándote una simple aplicación el móvil lo hace solo. No hay que ser un pro en informática o saber hackear la NASA para hacerlo. Por eso ahora si os fijáis para conectarnos hay un captcha de esos, que son una molestia, pero hacen que ya nadie pueda utilizar métodos así para robar contraseñas de otros usuarios.

Dicho ésto, yo ya no me voy a meter en si es así o no, si lo ha hecho así o no, porque éso ni yo ni todos los que no tenemos acceso directo a las pruebas lo sabemos, supuestos hay muchos, podemos suponer que hiciera eso o no, podemos suponer que un super hacker haya manipulado la IP de su móvil durante un año para conectarse con cuentas sin hacer nada con ellas, para ponerla a ella como culpable.. podemos suponer que un duende mágico se cuela en su casa por las noches mientras duerme, le coge el móvil y hackea el foro de UME, que sea un error... Como ya he dicho supuestos y posibilidades hay muchos, pero hay que atenerse a las pruebas. Y de éso ya se está encargando lacri y el informático pro, y creo que en éste hilo no deberíamos ninguno asegurar ni su inocencia ni su culpabilidad, yo sé que muchos estáis indignados y no lo podéis creer, y otros indignados porque se haya cometido algo así. Pero no saquemos las cosas de quicio, por más suponer nosotros, investigar, o aportar modos de demostrar posibilidades para que sea inocente o culpable, no significa que haya ocurrido, si no simplemente eso, es una posibilidad. Lo único que sabremos 100% seguro es lo que aporten las pruebas. Hay que respetar la investigación que se está haciendo, y los resultados que dé, nos gusten o no, yo confiaré en la palabra de lacri y creo que es lo que deberíamos de hacer todos, no creo que ésto sea tampoco agradable para él. Así que paciencia que al final la verdad siempre sale, y si es inocente se demostrará, y si no, pues también.

Y dicho ésto, y esperando que se calmen un poco los ánimos,

os dejo con,

un Kal'reegar buenorro:


by Katakanasta

Pues los sistema de foros funcionan así (he hecho una comprobación en mi foro ahora mismo), la IP de cada usuario es su IP pública, es decir, la IP con la que se conectan a internet. Si tienes una IP dinámica pues cambiará cada vez que reinicies el router dentro de un rango, en mi caso va desde 80 a 88 (las dos primeras cifras, las otras cambian según le apetecen).

Debería de funcionar así en este foro.

Si los ánimos están calmados, yo siempre debato con tranquilidad, para que nadie pueda reprocharme nada en un juicio, jaja

El asunto es, duendes y tonterías las justas, existen programas de fuerza bruta, parece que muchos de vosotros los conocéis al dedillo...

En windows phone, no se pueden usar, porque windows ha sacado el móvil con su propio market cerrado, tal y como hace iphone, y todavía no ha sido rooteado con facilidad, por consiguiente para que alguien use un programa de fuerza bruta de manera fácil con el móvil, tendría que saber un mínimo de informática avanzada.

Saltándonos todas esas cosas, porque doy por hecho de que todos pensamos que Ana no es un activista de anonymus, porque de ser así, seguramente nos hubiéramos quedado sin foro, con sus malas artes PIRATAS.

Entonces, ¿que decimos que se puede hacer porque es fácil?

Osea yo ahora cuando llegue a casa me instalo dos o tres programas de fuerza bruta y me pongo a ello, a ver si uso la cuenta de manolito, para ver que se yo... ehm... subirme el karma... a ver si me toca el euromillon... a más karma, mas suerte ¿no?

Acaso en venganza no podría esta activista hacer un ataque de denegación de servicio, o provocarle un sobresaturo a lacri en sus servidores, con el consiguiente gasto extra?

El foro no es la NASA, no, ni tampoco es seguro, ninguno es seguro a buen hacker muchas protecciones sobran.

Ahora lacri le ha añadido herramientas disuasorias, bien por él, bien por el foro.

Ahora será más difícil. Que no imposible.