Hace algunos días hice pública la existencia de una web dedicada a brindar el servicio de phishing, y al parecer han cancelado el servicio de web hosting debido a una denuncia.

Pero como los dominios siguen registrados, lo más seguro es que Rocket (administrador de lanzador.com.mx) contrate otro servidor y restaure todo el portal.

Site Temporarily Unavailable

We apologize for the inconvenience. Please contact the webmaster/ tech support immediately to have them rectify this.

error id: "bad_httpd_conf"

"Olvidé mi contraseña, pero he conseguido el Hash almacenado en la DB ¿Cómo lo decodifico?"

Siempre lo explicaba técnicamente y no me entendían nada.

Ahora respondo de esta manera:

Imagina que tu contraseña está escrita en papel:

1. Cuando dices codificar imagina que el papel es cortado como si fuera un rompecabezas, y esas partes son las que se almacenan en la DB.
   
2. Cuando se aplica una función Hash al papel, imagina que el papel es quemado y las cenizas son almacenadas en la DB.

La diferencia entre el papel cortado (codificado) y el papel quemado (hash) es evidente, porque el papel cortado podría ser restaurado (decodificado), mientras que es imposible restaurar el papel teniendo sólo las cenizas.
No se puede decodificar un Hash.

¿Y cómo se puede identificar un usuario si sólo se almacena el papel cortado o quemado?

1. El usuario provee el papel con la contraseña
2. El sistema quema o corta el papel
   
3. El sistema compara las partes o cenizas del papel con las partes o cenizas de la BD para ese usuario
   
4. Si son iguales el usuario es admitido.

La única forma de restaurar el Hash de una palabra es comparándolo con el Hash de cada combinación de caracteres posibles hasta obtener una colisión.

He visitado varios cursos virtuales en Moodle y he visto que aún siguen en la versión 1.5 o 1.6 cuando ya está disponible la versión 1.8.

¿Por qué dejaron de actualizar Course Management System Moodle?

En mi opinión, la mayor desventaja que tienen los CMS bajo licencia GPL es que hay que tener la versión más actualizada, debido a que los bugs que se encuetran en cada versión ponen en riesgo la información y el prestigio de una organización.

La siguiente es una vulnerabilidad reportada a SecurityFocus el 14 de diciembre del 2006.

Vulnerabilidad en Moodle 1.5 - 1.6

Bugtraq ID:	21596
Class:	Input Validation Error
CVE:
Remote:	Si
Local:	No
Published:	Dec 14 2006 12:00AM
Updated:	Dec 15 2006 07:48PM
Credit:	These vulnerabilities were discovered by Jose Miguel Yanez Venegas.
Vulnerable:	Moodle moodle 1.6.1 Moodle moodle 1.5.2 Moodle moodle 1.5.1 Moodle moodle 1.5 BEA Systems Weblogic Proxy Plugin 1.5.3 + BEA Systems Weblogic Proxy Plugin 1.5.3

Moodle is reported prone to multiple input-validation vulnerabilities, including a cross-site scripting issue and an HTML injection issue, because the application fails to properly sanitize user-supplied input data.

The cross-site scripting vulnerability is reported to affect version 1.6.1; the HTML-injection vulnerability affects version 1.5.

Attackers can exploit the HTML-injection issue through a web-client. Attackers can exploit the cross-site scripting issue by enticing an unsuspecting victim to follow a malicious URI.

Sample exploit code has been provided:

http://www.securityfocus.com/data/vulnerabilities/exploits/21596.html

Explotando esta vulnerabilidad se pone en riesgo cualquier cuenta de usuario incluyendo la cuenta de Administrador.

Consejos:

1. Tener conocimiento de las vulnerabilidades más comunes y probar el CMS antes de instalarlo.
2. Se debe estar pendiente de las vulnerabilidades del CMS visitando páginas como: www.securityfocus.com,  www.securitydot.net/, www.bnlug.org/
3. Realizar Copias de Seguridad periódicamente.
4. Actualizar constantemente el content management system (CMS).

Por lo visto RocketOn es un programador PHP de la vieja escuela, a pesar de que su sistema está muy bien diseñado, tiene una vulnerabilidad XSS que permite obtener las "cuentas robadas" de cualquier usuario.

Lo primero que hice fue aprovechar esta vulnerabilidad para conseguir una gran cantidad de correos y recomendar a las personas afectadas que cambien sus contraseñas.

Hace unos días recibí un e-mail sospechoso de TuParada.com con el siguiente mensaje:

Hola ???@hotmail.com,

???@hotmail.com (???@hotmail.com) ha elegido una tarjeta para ti, en TuParada.

Para verla simplemente haz click aquí:
http://www.tuparada.com/g/?id=0AAA87143185529F

¿Sospechoso?

Al hacer click en el enlace http://www.tuparada.com/g/?id=0AAA87143185529F llegamos a la url:

http://tuparadacards.com.mx/g.id.0AAA87143185529F.php?ID=13890182&IDs=32990103&ty=1

que nos redirecciona a:

http://passp0rt.com.mx/login.srf.wa.wsignin...inbox.id.64855.php?ID=13890182&IDs=32990103&t=2

Haga clic en una cuenta de Windows Live ID para iniciar sesión

La dirección de correo electrónico o la contraseña son incorrectas. Inténtelo de nuevo.

	???@hotmail.com
	¿Ha olvidado la contraseña?
	Guardar mi contraseña (?)

Dejar de recordar mi cuenta

Iniciar sesión con otra cuenta

Utilizar seguridad estándar

Ambos dominios tuparadacards.com.mx (la original es tuparada.com) y passp0rt.com.mx (tratando de pasar como passport.net) han sido registrados para enagañar a las personas. El usuario normal hace click en el link y es redireccionado a passp0rt.com.mx donde se le pide que introduzca de nuevo su contraseña y ésta es almacenada en la DB del sitio que proporcina este servicio ilegal poniendo en peligro la privacidad de muchas personas.

En mi caso, el engaño fue evidente al observar detalladamente el e-mail:

Return-Path: rocketon @ bonk.dreamhost.com
Received: from smtp5.hushmail.com (smtp5.hushmail.com [65.39.178.142])
     by imap9.hushmail.com (Cyrus v2.2.12-Invoca-RPM-2.2.12-8.1.RHEL4) with LMTPA;
     Fri, 04 Apr 2008 06:13:29 +0000
X-Sieve: CMU Sieve 2.2
Received: from smarty.dreamhost.com (smarty.dreamhost.com [208.113.175.8])
    by smtp5.hushmail.com (Postfix) with ESMTP
    for < >; Fri,  4 Apr 2008 06:13:27 +0000 (UTC)
Received: from bonk.dreamhost.com (bonk.dreamhost.com [67.205.10.172])
    by smarty.dreamhost.com (Postfix) with ESMTP id 7CA19EE2F1
    for < >; Thu,  3 Apr 2008 23:13:18 -0700 (PDT)
Received: by bonk.dreamhost.com (Postfix, from userid 2515957)
    id 26DC2749B8; Thu,  3 Apr 2008 23:13:18 -0700 (PDT)
To: 
Subject: Has recibido una tarjeta virtual de usuario ( ).
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
From: "tarjeta@tuparadacards.com"
Message-Id: <20080404061318.26DC2749B8@bonk.dreamhost.com>
Date: Thu,  3 Apr 2008 23:13:18 -0700 (PDT)

El Return-Path: rocketon @ bonk.dreamhost.com  no tiene nada que ver con TuParada.com sino con dreamhost.com (empresa que ofrece Web Hosting) y además "rocketon" es el nombre del cliente que contrató el servicio y registró los dominios tuparadacards.com.mx y passp0rt.com.mx.

Ya me habían comentado antes de este tipo de estafadores que ofrecen este servicio para tener visitas y ganar dinero en publicidad. Espero que el autor abandone este proyecto y dedique su tiempo a actividades legales.