Archivo de etiquetas linux

PorLeón Ramos

Leer un Switch desde la Cubieboard

¡Saludos, comunidad de creadores digitales! En nuestra aventura continua por el cruce entre la programación y la electrónica, hoy vamos a profundizar en cómo utilizar la biblioteca gpiod en Python para interactuar con un switch de dos polos conectado a una Cubieboard A10, implementando una resistencia pull-up. Este tutorial está diseñado para aquellos de ustedes interesados en fusionar el poder del hardware y el software para dar vida a sus ideas electrónicas.

Lo Que Necesitas

Antes de adentrarnos en la mecánica del código, asegúrate de tener a mano:

  • Una Cubieboard A10.
  • Un switch de dos polos.
  • Cables de conexión.
  • Una resistencia pull-up (sugerimos 10KΩ).
  • Python y la biblioteca gpiod instalados en tu Cubieboard.

Preparación del Entorno

Si aún no tienes la biblioteca gpiod, instálala ejecutando el siguiente comando en tu terminal:

pip install gpiod

Esta biblioteca facilita la interacción con los pines GPIO de la Cubieboard A10 de forma eficiente.

Esquema de Conexión: Switch de Dos Polos con Pull-Up

Para garantizar una lectura precisa del estado del switch sin interferencias del ruido eléctrico, utilizaremos una resistencia pull-up. A continuación, te presento el esquema de cómo conectar el switch de dos polos con la resistencia pull-up al pin GPIO 11 (CSI1-D0, línea 196) de tu Cubieboard A10:

 

Este esquema muestra el correcto cableado, incluyendo la resistencia pull-up conectada entre el switch y la fuente de voltaje positivo (VCC), además de la conexión a tierra (GND) desde el switch. Es una configuración ideal para evitar lecturas falsas por el ruido.

 

Script de Python para Leer el Estado del Switch

Ahora que tenemos todo conectado correctamente, veamos cómo leer el estado del switch mediante Python y gpiod:

import gpiod
import time

CHIP_NAME = 'gpiochip0'
PIN_NUMBER = 196

chip = gpiod.Chip(CHIP_NAME)

line = chip.get_line(PIN_NUMBER)
line.request(consumer='read_switch', type=gpiod.LINE_REQ_DIR_IN)

print("Iniciando monitoreo del switch. Presiona CTRL+C para terminar.")

try:
   while True:
      state = line.get_value()
      if state == 1:
         print("Switch abierto (OFF)")
      else:
         print("Switch cerrado (ON)")
      time.sleep(0.5)

except KeyboardInterrupt:
   print("Finalizando monitoreo del switch.")

line.release()

Desglose del Código

El script inicia importando los módulos necesarios y estableciendo el chip GPIO y el número de pin. Accedemos al pin deseado como entrada y entramos en un bucle para leer constantemente el estado del switch, indicando si está abierto o cerrado.

Conclusión

Integrar componentes de hardware como un switch de dos polos con tu Cubieboard A10 abre un mundo de posibilidades para tus proyectos. Este tutorial te brinda los conocimientos básicos para empezar, desde la configuración física hasta la interacción a través de Python.

Nos encantaría ver qué proyectos increíbles puedes crear a partir de este conocimiento. ¡Comparte tus experiencias y aprendizajes con la comunidad!

PorLeón Ramos

Wrapper: Ejecutar un script desde un servidor web en una cubieboard

¡Hola!

En esta ocasión vamos a realizar un wrapper o un script para realizar algunas acciones desde una página web en nuestra cubieboard A10.

IMPORTANTE: Cabe resaltar que esta práctica es altamente insegura y deberán de colocarse controles adicionales como contraseñas o manejo de usuarios para evitar problemas futuros.

Instalar dependencias

  • Lo primero que hay que realizar es asegurarse de que tenemos el servidor web apache instalado:
sudo apt-get install apache2 php

¿Funciona apache?

  • Ahora probaremos que está funcionando, conéctate a la misma red de tu cubieboard y revisa cuál es su dirección ip.
ip a
  • Abre un navegador y deberás ver una página de inicio como la siguiente

 

El script bash

  • Crearemos un script sencillo para probar la ejecución en la carpeta /var/www/html/scripts
sudo mkdir -p /var/www/html/scripts

cd /var/www/html/scripts/

nano script1.sh

El contenido del script será el siguiente:

#!/bin/bash

usuario=$(whoami)
echo "Este es un script BASH!!!! ejecutado por $usuario"

Recuerda darle premisos de ejecución:

sudo chmod 755 script1.sh

La página html

  • Ahora generaremos una página web con un botón en el archivo boton.html
cd /var/www/html

nano boton.html

El contenido del archivo es este:

<!DOCTYPE html>
<html lang="es">
  <head>
  <meta charset="UTF-8">
    <title>Botón para invocar un script Bash</title>
    <script>
      function ejecutarScript() {
        // Realiza una solicitud HTTP POST a un script PHP que ejecutará el script Bash
        console.log("Invocando PHP de fondo");
        var xhr = new XMLHttpRequest();
        xhr.open("POST", "ejecutar_script.php", true);
        xhr.send();
      }
    </script>
  </head>
  <body>
    <h1>Botón para invocar un script Bash</h1>
    <form action="ejecutar_script.php" method="post">
      <input type="submit" value="Ejecutar script redirigiendo"/>
    </form>
    <form action="ejecutar_script_sudo.php" method="post">
      <input type="submit" value="Ejecutar script redirigiendo y sudo"/> 
    </form>
    <button onclick="ejecutarScript()">Ejecutar Script SIN redirigir</button>
  </body>
</html>

El script php

  • Ahora crearemos un script ejecutar_script.php para que lance el script bash
nano ejecutar_script.php

el contenido del archivo es el siguiente:

<?php
// Ruta al script Bash
$scriptPath = "/var/www/html/scripts/script1.sh";

// Ejecuta el script Bash
$output = shell_exec("bash $scriptPath");

// Si deseas imprimir la salida del script Bash, puedes hacerlo aquí
echo "<pre>$output</pre>";
?>

El gemelo malvado

También haremos otro script muy parecido  ejecutar_script_sudo.php pero este lo usaremos para ejecutar el script con permisos de superusuario

nano ejecutar_script_sudo.php

el contenido del archivo es el siguiente:

<?php
// Ruta al script Bash
$scriptPath = "/var/www/html/scripts/script1.sh";

// Ejecuta el script Bash
$output = shell_exec("sudo bash $scriptPath");

// Si deseas imprimir la salida del script Bash, puedes hacerlo aquí
echo "<pre>$output</pre>";
?>

Primera prueba

  • Hasta el momento si abrimos el navegador y escribimos la dirección http://<ip_cubieboard>/boton.html vamos a  ver lo siguiente:

Si damos clic en el primer botón todo funcionará correctamente y nos aparecerá la siguiente leyenda:

Sin embargo, si usamos el segundo botón, que intenta ejecutar el script con permisos de superusuario, nos generará un error, es necesario agregar algo más para que los permisos de superusuario funcionen.

Si damos clic een el tercer botón, se lanzará el script pero de fondo y no sabemos si se ejecutó o no. Para esto abre la consola de desarrollador de tu navegador y al presionar le botón deberás ver una salida como esta:

Donde nos indica que el código javascript efectivamente lanzó la ejecución del script bash pero no vemos la salida en la pantalla.

Permisos de root

  • Para agregar los permisos de super usuario será necesario que escribamos realicemos el siguiente procedimiento:

Abrir la tabla de sudoers con el comando que valida la sintaxis:

sudo visudo

Agregar al final del archivo la siguiente línea:

www-data ALL=(ALL) NOPASSWD: /bin/bash /var/www/html/scripts/script1.sh

Guardar y salir del archivo. Si todo ha salido bien, ahora el segundo botón funcionará y el script bash se habrá ejecutado como root o superusuario.

Happy coding!

PorLeón Ramos

SOS: Enciende un LED con la GPIO de tu Cubieboard A10

Hola:

Acá les voy a compartir la receta de cocina para poder controlar un led desde uno de los pines de la GPIO. Tengo una Cubieboard A10 con Armbian 23.11.1 bookworm. Vamos a necesitar:

  1. Una resistencia de 220 (rojo, rojo, café) o 330 (naranja, naranja, café) ohms.
  2. Un diodo led de preferencia de bajo consumo (no ultrabrillante).
  3. Una protoboard
  4. Algunos cables dupont para conectar de header macho a protoboard (Dupont macho-hembra).

 

Para empezar, seleccionamos un pin de la GPIO. Para eso buscamos el diagrama pinout de la placa.

Diagrama pinout Cubieboard A10 GPIO

 

 

En nuestro caso vamos a seleccionar el pin 11 del puerto del lado derecho del diagrama. Es el pin margado como CSI1-D0. Y para aterrizar el circuito usaremos el pin 19 o 20  marcados como GND o Ground del mismo puerto. El circuito nos quedaría de la siguiente forma:

Diagrama de conexiones

Actualizar sistema

sudo apt update
sudo apt upgrade

Instalar dependencias de python

sudo apt install python3-libgpiod

Revisar pines disponibles

dtc -I dtb -O dts -o sun4i-a10-cubieboard.dts /boot/dtb/sun4i-a10-cubieboard.dtb

Script python

Acá estaría el script que debes de copiar y pegar en un archivo. Yo le puse de nombre sos.py.

#!/usr/bin/python

import gpiod
import time

def morse_code_signal(line, symbol):
    if symbol == ".":
        line.set_value(1)
        time.sleep(0.2)  # Duración del punto
        line.set_value(0)
        time.sleep(0.2)  # Espacio entre partes de la misma letra
    elif symbol == "-":
        line.set_value(1)
        time.sleep(0.6)  # Duración de la raya
        line.set_value(0)
        time.sleep(0.2)  # Espacio entre partes de la misma letra

def morse_code_sos(line):
    # Representación de SOS en Morse: ... --- ...
    for symbol in "... --- ...":
        morse_code_signal(line, symbol)
        if symbol == " ":
            time.sleep(0.6)  # Espacio entre letras

chip = gpiod.Chip('gpiochip0')
line_number = 196
led = chip.get_line(line_number)
led.request(consumer='gpio_led_morse', type=gpiod.LINE_REQ_DIR_OUT)

try:
    while True:
        morse_code_sos(led)
        time.sleep(5)  # Espera 5 segundos antes de repetir
finally:
    led.release()

 

Ahora podemos darle permisos de escritura

chmod 755 sos.py

Ejecutamos como superusuario

sudo ./sos.py

¡Y listo! ¡Ya podemos controlar un LED con un script python en linux!

Happy coding!

PorLeón Ramos

¿Tiene unos minutos para hablar de Debian? ¡Jonathan nos cuenta!

¿Tiene unos minutos para hablar de Debian?

Nos acompaña, Jonathan, desarrollador de Debian y un apasionado de Debian desde
el 2008. Disfruta mucho de usar Debian en su vida diaria, en el trabajo
así como de colaborar directamente en la comunidad de Debian. Ha ayudado
a hacer traducciones de plantillas po.debconf del inglés al español, a
organizar eventos de Debian en México como el Día Debian, fiestas de
instalación, el FLISOL en algunas sedes, en algunas tareas de algunas
DebConfs, en el equipo de Video de Debian, en el equipo de Reproducible
Builds, así como recientemente en el equipo de Debian Academy. Ha
compartido diversos talleres y presentaciones sobre Debian, GNU/Linux y
Software Libre.

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
PorLeón Ramos

51 – Las noticias de Seguridad y TI con Alina, Hiram y León

Emisión 51

  1. Flutter llega a Ubuntu de la mano de snapd
  2. Panel de 1Emprende en el que participa Ivonne Muñoz y León Felipe Sánchez, contrapone lo que dice R3D
  3. Plataformas mexicanas YoTePresto, Kavak y páginas del Gobierno de México de Banxico y del SAT bajo ciberataques.
  4. Alemania se perfila para ser el primer país desarrollado en dejar de usar carbón y energía nuclear.
  5. La policía usa FaceID para arrestar a un hombre que resulta inocente
  6. Dos servidores de Gentera estaban abiertos a cualquiera en internet

[muylinux] Esta nota es para los desarrolladores, pocas veces tocamos temas de desarrollo de software, pero creo que esta noticia es importante por lo que representa.

Para nuestros amigos que no conocen Flutter, es una plataforma de desarrollo que te permite fabricar software una vez y convertirlo en aplicaciones nativas de diferentes plataformas como iOS y Android.

El proyecto Flutter, impulsado por Google, llega al mundo Linux de la mano de Canonical, la marca que impulsa a Ubuntu. La meta es traer el mundo Linux las mismas aplicaciones creadas con Flutter ya disponibles en otras plataformas.

Las aplicaciones desarrolladas con Flutter estarán disponibles en la Snap Store, que es la tienda de aplicaciones de Ubuntu y necesitarán que tu distribución sea compatible con la solución snapd para instalar aplicaciones.

La solución snapd genera un entorno independiente para cada aplicación e intenta evitar la melcocha que se hace con otros sistemas de dependencias cuando diferentes aplicaciones piden diferentes versiones de bibliotecas y no pueden coexistir en el mismo sistema.

Canonical pondrá un número de desarrolladores dedicados a traer la mejor experiencia de flutter al sistema Ubuntu.

Es importante esta noticia porque leyendo lo que pasa a nivel mundial, en donde Apple deja a Intel para crear sus propios procesadores ARM y Huawei ya probó los caprichos de las leyes de veto americanas. No suena descabellado que algunos fabricantes saquen a mercado equipo basado en sus propios procesadores cargados con Ubuntu y la nube de aplicaciones de Flutter.


Plataformas mexicanas YoTePresto, Kavak y páginas del Gobierno de México de Banxico y del SAT bajo ciberataques.
YoTePresto se describe como Una plataforma de préstamos que conecta directamente a personas que necesitan un préstamo con personas que quieren invertir su dinero. De esta manera logran que el que pide prestado pague menos intereses y que el que invierte su dinero gane buenos rendimientos.
Sus usuarios recibieron un correo informándoles que el pasado domingo 21 de Junio por la noche, personas no autorizadas obtuvieron acceso a información de su base de datos. El incidente fue detectado el lunes 22 de Junio. Las personas no autorizadas tuvieron acceso a datos como cuentas de correos, contraseñas “encriptadas” (hash+salt) y datos de configuración de las cuentas no relevante. En el correo declaran “Puedes estar tranquilo, pues no se filtraron datos personales, ni información sensible como nombres de teléfono, direcciones, cuentas, comprobantes, etc.”
De cualquier manera, YoTePresto invita a sus usuarios a cambiar sus contraseñas.

La plataforma Kavak, quien se describe como “KAVAK es la plataforma online que ofrece una experiencia excepcional de compra y venta de autos seminuevos en México con los mejores precios del mercado. Con KAVAK, la compra o venta de autos en México es más sencilla que nunca, ya que puedes hacerlo desde la comodidad de tu computadora o smartphone. ¡Sin salir de casa!”

El pasado 6 de Julio encontré en un foro de venta de base de datos robadas, que un usuario estaba vendiendo una base de datos de Kavak con 488,814 registros. La Base de datos contiene datos como Usuarios, correo electrónico, hashes de contraseñas (MD5), IPs y más!
El “hacker” colocó 18 registros como prueba. Al realizar la búsqueda por email, es posible identificar las redes sociales de algunas personas. Hasta el dia de hoy Kavak no ha emitido un comunicado en sus redes sociales. Ese mismo día se pusieron en contacto conmigo y me pidieron dar de baja el post que hice y prometieron realizar una investigación.

Y por último las páginas de Banxico y del SAT estuvieron bajo un ataque de DDoS lo que hizo que las páginas estuvieran intermitentes durante 3 horas aproximadamente la del SAT y casi 1 hora la de Banxico. Estos ataques se los atribuyeron el grupo de hackers @an0n_mexico.


[BonstonHerald] La semana pasada, los parlamentos alemanes aprobaron leyes para terminar el uso del carbón para generar energía. Esto coloca a Alemania como la primera economía desarrollada en independizarse de dicho carburante.

La meta es cerrar la última planta de generación de energía con carbón para el año 2038. Sin embargo, a diferencia de sus vecinos franceses, que por cierto están locos por la energía nuclear, Alemania también quiere eliminar el uso de energía nuclear para el año 2022.

En este trayecto a energías limpias se gastarán 45mil millones de euros en inversión en energías limpias.

No todo es color de rosa, habrá un buen número de desempleados relacionados con la minería de carbón por ejemplo, pero se preparan para trasladarlos a sectores como el turismo y aún así, esta noticia es alentadora.

Esta actitud contrasta por completo con la tomada por Trump, quien argumenta que el cambio climático es una estrategia mediática China que busca agredir a la economía americana.

Esta noticia también es importante si tomamos en cuenta que la Administración de Información de Energía Americana preveé un aumento de la demanda global de energía para el 2050. Aunque el mayor incremento en la demanda energética se dará en Asia, cada clic que damos en nuestras aplicaciones demanda una cuota alta de energía en cualquier parte del mundo. Así que la carrera es contra reloj.

Como nota al calce me gustaría comentar que, para poder alcanzar la ambiciosa meta, Alemania está buscando generar acuerdos con otros países que tienen mayores porcentajes de irradiación. Por ejemplo, si se dan una vuelta por los documentales de la DW, podrán encontrar uno en donde fundaciones de energía solar Alemanas financian la adopción de equipo solar en Marruecos a pequeños productores y mezquitas. “Mezquita verde” es el programa, no es de extrañarse que el acuerdo para dicha coinversión sean unos cuantos kiloWatts por hora del magnífico sol marroquí.

¿Ven a México caminando en dirección Merkel o caminando en dirección Trump?


El Economista: Dos servidores de Gentera estaban abiertos a cualquiera en internet.
Los 2 servidores pertenecen a la Unidad de Investigaciones e Innovación Financiera de Gentera. Gentera posee a marcas como Banco Compartamos y la red de corresponsales bancarios Yastás. Los dos servidores estuvieron expuestos durante 7 meses sin ninguna medida de seguridad hasta el 17 de Junio y contenían información como datos personales, como nombres de las cuentas de usuario, nombres completos, correos electrónicos, sexo, fecha de nacimiento, CURP, RFC, dirección y teléfono.
Gentera le comentó a El Economista que la información contenida en los servidores era información ficticia, sin embargo WizCase, la empresa de seguridad que descubrió estos servidores, dice que después de realizar el descubrimiento, analizaron la información contenida en ellos e identificó 140,000 registros, que los datos eran reales y no falsos como declaró Gentera. WizCase realiza un procedimiento de validación de registros para estas situaciones y para contar con evidencia en caso de que los dueños de las bases de datos digan lo contrario. El Economista pudo verificar la veracidad de uno de los registros proporcionados por WizCase.
Según la holding, los servidores fueron utilizados por Fiinlab entre noviembre y enero del 2020 y estuvieron expuestos en internet hasta el 17 de junio pasado. Los servidores afectados son externos a la operación del banco por lo que la información de sus clientes no fue comprometida, dijo en entrevista Alejandro Puente, director ejecutivo de Relaciones Institucionales de Gentera. “No se vulneró en ningún momento datos, información de clientes o cualquier información sensible del negocio”, añadió.
En el artículo de El Economista también menciona las consecuencias legales y de protección de datos.
Cuando se trata de instituciones financieras, los incidentes de seguridad de datos personales deben notificarse también a las autoridades financieras, esto es la Comisión Nacional Bancaria y de Valores (CNBV), el Banco de México (Banxico) y la Secretaría de Hacienda (SHCP), según las Bases de Coordinación en Materia de Seguridad del sistema financiero mexicano.

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
PorLeón Ramos

47 – Las noticias de Seguridad y TI con Alina, Hiram y León

Emisión 47

  1. Se incrementan los ataques cibernéticos a organizaciones anti-racistas en EUA
  2. La guerra de Donald Trump contra las redes sociales de cara a su reelección
  3. Anonymous:¿El regreso del hacktivismo o manipulación de masas?
    Junto con la tripulación, Space X, llevó a la estación espacial internacional a nuestro querido TUX. Sus sistemas corren linux.
  4. Telmex debloquea 7 nodos de Tor y Google podría espiarte mientras estás en modo incógnito.
  5. Cancún, inundado de Skimmers rumanos que generaron robos de 20 Millones de dólares al mes

Una semana hace la diferencia entre el encierro y protestas masivas de personas en EUA. Si para este momento no te has enterado porque has estado confinado y no tenías datos. Aquí una breve reseña:

George Floyd es detenido en EUA por haber comprado cigarros con un billete falso
La policía lo asesina durante el arresto
Miles de personas en casi todas las ciudades importantes de EUA marchan en protesta

Pues en este contexto, Cloudfare, una empresa que protege sitios de Internet contra ataques, reporta que ha detectado un incremento de ataques del tipo DDOS, o como le dicen los compas los ddoseos, a las organizaciones antiracistas.

El DDoS consite en fingir peticiones de un número gigante de usuarios que colapsen la capacidad de los sitios atacados, es decir, muchas peticiones que los tiran.

Pues el extra que Cloudfare detectó es de 19 mil millones, es decir, un 17% comparado con el mes pasado. Esto representa 110 mil peticiones adicionales por segundo bloqueadas por los servicios de Cloudfare.

Sin embargo, en su servicio gratuito para organizaciones vulnerables, Cloudfare reporta hasta 20 mil peticiones por segundo. Las organizaciones anti-racismo que pertenecen al programa gratuito de protección de Cloudfare sufrieron el paso de casi 0 ataques hasta 120 millones de peticiones bloqueadas.

También ha habido un incremento de ataques contra instituciones gubernamentales y sitios militares de 1.8 y 3.8 veces.


Desde el 29 de mayo, el presidente Donald Trump firmó un decreto para regular las redes sociales…. tal vez lo que muchos estábamos pidiendo ante la ola de noticias falsas o infodemia, pero esto en realidad fue un arranque del berrinchudo personaje después de que Twitter, calificara como “sin fundamento” dos de sus posteos.

Esta orden propone elimina las protecciones legales tradicionalmente dadas a estas plataformas, que no son legalmente responsables del contenido que publican.

Las acusó de tener un poder sin control.

Trump hizo declaraciones posiblemente falsas acerca de las boletas de voto por correo y esto provocó que Twitter utilizara su herramienta de verificación de datos (o que este contenido podría ser falso) en ese post.

Pero ya esta semana afirmó que está preparado para afrontar el proceso electora si deja Twitter y su director de campaña Brad Parscale dijo que su equipo está trabajando en una plataforma alternativa de noticias, información y entretenimiento para los seguidores del precandidato.


Anonymous:¿El regreso del hacktivismo o manipulación de masas?
Historia :
Anonymous es un movimiento/colectivo activista/hacktivista internacional “descentralizado” que es ampliamente conocido por sus diversos ataques cibernéticos contra varios gobiernos, instituciones gubernamentales y agencias gubernamentales, corporaciones y la Iglesia de Scientology. Anonymous se originó en los foros de 4chan y la máscara la tomaron de la película V for Vendetta. NOTA de Máscara: (Que en realidad es de Guy Fawkes, un Católico Inglés que intentó derrocar la monarquía protestante durante la rebelión de la pólvora, NO confundir con la máscara usada en la serie “La casa de papel”, donde se usa el rostro de Salvador Dalí, un artista Español representante del Surrealismo).
.
.
Operaciones que se han atribuido:
2008

Project Chanology (2008)

2010

Operation Payback (2010)

2013

Million Mask March
#OpOk
Operation Safe Winter

2014

Shooting of Michael Brown
Shooting of Tamir Rice

2015

Charlie Hebdo shootings
Anti-Islamic «Reclaim Australia» rally
Operation CyberPrivacy
Operation KKK
#OpSaudi
#OpISIS
#OpParis
#OpNASADrones

2016

#BoycottThailand: Thailand jail hack
2016 US presidential election
South African corruption

2020

United Nations hack
Killing of George Floyd

.
.

¿Anonymous regresó?
La realidad es que nunca se ha ido, ya que diversos grupos que se asocian a Anonymous siguen teniendo actividad en internet (No todo se trata de grandes hacks). Si es el grupo original o no, lo más probable es que no. Hoy cualquiera puede decir que es anonymous para cubrirse detrás del nombre. La realidad es que el grupo inicial se pudo haber desintegrado y algunos decidieron formar Lulzsec entre otros grupos de blackhats importantes.
Una de las cuentas de Twitter que dice ser Anonymous y que cuenta con 120k seguidores, era una cuenta falsa de sorteos de K-pop hasta hace 3 días, después cambió de nombre y se volvió AnonNews.
.
.
Hack al departamento de policía minneapolis.
En cuanto a la información que sacaron del departamento de mineapolis, Troy Hunt (creador de haveibeenpwned) hizo un análisis y los resultados dicen que no realizaron ningún hackeo, sino probablemente esos registros los obtuvieron de bases de datos robadas anteriormente y que se encontraban en internet. Tomaron esas bases de datos, extrajeron los correos con dominios del departamento de mineapolis y los colocaron en una pequeña base de datos. En el análisis de Troy Hunt dice que hay correos repetidos en la base de datos y que el 95% de correos únicos ya estaban anteriormente en bases de datos que circulan en internet.
Por otro lado, Troy Hunt dentro de su análisis también se dio cuenta que las contraseñas que se encuentran en la base de datos son muy sencillas, dice que el sistema de minneapolis no acepta ese tipo de contraseñas tan inseguras,
.
.
Los medios de comunicación y su desinformación
Algunos medios de comunicación decían que el hackeo comenzó desde el sábado 30 de mayo. Lo que en realidad sucedió fue un ataque de DDoS. Un ataque de DDoS es cuando muchas “personas” (peticiones) intentan entrar a un sitio web (en este caso) y el sitio web no cuenta con la capacidad de soportar a tantas “personas” al mismo tiempo.
Acerca del DDoS, el grupo de Anonymous que subió el video no se lo han atribuido, la cuenta que posteo el video no habla de un ataque de DDoS, solo se podía ver el video. Pudo haber sido otro grupo pero no los que subieron el video.
.
.
¿El DDoS fue real?
De que hubo un ataque de DDoS el 30 de mayo, si lo hubo (ver imagen), pero al tratarse de una página tan pequeña, lo más probable es que no se haya necesitado tanto tráfico para tirarla. El ataque que se ve en el mapa, algunos tuvieron una duración de 10 minutos, otros de 15, otros de menos y venía de España, Alemania, China, Corea, Australia, Brasil, Arabia Saudita, México y otros pocos países de LA.
.
.
¿Hackeo a el vaticano?
No sucedió… fin. 😀
Publimetro hizo una nota donde hace referencia a un usuario de Twitter de nombre Manel Márquez, pero ya borró su tuit, otro usuario Robibooli no lo ha borrado. Pero la información que ellos dicen que ha sido “hackeada” es de un blog llamado “evangelizadorasdelosapostoles” de hace 1 año.
.
.
¿Hackeo a los radios de la policia de Chicago?
Solo hay videos en las redes sociales con close-up al radio, no más.
.
.
Los supuestos leaks de Jeffrey Epstein.
Es información que ya existía en internet y pueden leer este hilo de @zallyhg: https://skty.cc/gy
.
.
Conclusión
Lo que si sucedió es que el video provocó reacciones entre los estadounidenses y aumentó los disturbios y la violencia. Yo creo que las personas solo necesitaban una razón para hacer mas grandes los disturbios y una de esas razones fue anonymous.
También las redes sociales generaron desinformación que fue tomada por medios nacionales e internacionales sin que ellos hicieran alguna verificación antes de escribir sus artículos.


Pues si amigos, el cohete espacial Falcon 9 o, dicho en español, el Halcón 9, llevó a dos astronautas, Bob Behnken y Doug Hurley, a la estación espacial Internacional junto con otro pasajero que no es Alien, es nuestro querido amigo Tux, ya que este cohete basa su funcionamiento en Linux.

Un equipo integrado por 35 personas desarrolló los sistemas que se encargaron de controlar el vuelo del cohete. Dicho software se ejecuta en un sistema operativo Linux recortado que corre en tres computadoras x86 paralelamente y está escrito en C y C++.

El chiste es que las tres compus deben de tomar la misma decisión, si no llegan al mismo acuerdo, la decisión se desecha, se sigue con la decisión anterior y se vuelve a iniciar el proceso hasta alcanzar otro consenso.

En la estación espacial, por ejemplo, se utiliza Debian Linux y Scientific linux para comunicarse con comando y control y windows, para que ahí caiga el malware. Y esos sistemas que están en la estación espacial deben de estar protegidos contra radiación porque puede causar interferencia y dañar los sistemas.

La diferencia aquí, es que como la primera etapa de la Falcon 9 se aterriza sola, los chips no deben de ser a prueba de radiación porque pasan poco tiempo fuera y la redundancia resuelve los posibles problemas.

Los sistemas de la cápsula dragón también están soportados por un linux y escritos en C++. La interface gráfica touch que vimos está escrita en javascript sobre Chromium y, si llegara a trabarse, hay botones que se pueden usar en su lugar.

Quién diría, los pingüinos si pueden volar…


Hace dos horas, Jacobo Nájera, del Proyecto Magma, de la UNAM reportó que las 7 direcciones IP pertenecientes al sistema de autoridades directorio de la red Tor fueron desbloqueadas, por Telmex, para la red bajo el ASN 8151. Después de más de 4 años de estar bloqueadas a nivel ruta. Confirmamos y verificamos por medio de 35 pruebas en 5 locaciones diferentes, con el apoyo de Ripe Atlas.

La Red de Defensa de los Derechos Digitales publicó un comunicado, horas antes donde afirmaba que “Esta red es una herramienta de privacidad y también de la libertad de expresión, ya que es utilizada por periodistas y organizaciones de la sociedad civil que defiende los derechos humanos. Actualmente en México hay entre 10 y 15 mil personas usuarias de Tor”

ah pero por otra parte, Google fue demandada por 5 mil millones de dólares…. así que si usted creía que nadie se enteraba de lo que hacía en modo incógnito, se equivoca ya que Google recopila datos a través de Google Analytics, Google Ad Manager y otras aplicaciones y complementos de sitios web, incluidas las aplicaciones para smartphones.

La denuncia incluye a «millones» de usuarios de Google que desde el 1 de junio de 2016 navegaron por internet en modo «incógnito». Por tal motivo, solicitan al menos 5,000 dólares de daños y perjuicios por usuario por violar las leyes federales de escuchas telefónicas y de privacidad de California.


Cancún, inundado de Skimmers rumanos que generaron robos de 20 Millones de dólares al mes

Esta es una investigación realizada por Brian Krebs en Cancún, la investigación duró más de 3 años.
Cancún está lleno de ATMs para disponer de efectivo en pesos y dólares, muchos de ellos contaban con chips que recolectaban la información de las tarjetas que eran introducidas en los cajeros automáticos.
Los skimmers estaban a cargo de una banda de Rumanos que sobornaba a los técnicos e instaladores de cajeros ATM ofreciéndoles hasta 100 veces su salario mensual con la condición de que les permitieran tener acceso físico a los ATM.
Brian Krebs detectó que algunos dispositivos emitían señales bluetooth de nombre “you” y que las señales provenían de los ATMs.
Estos dispositivos miden 1 cm de ancho por 2 cm de largo, relativamente pequeños y que a ojos inexpertos, no puedes identificar si es parte de los componentes del ATM o es un skimmer. Estos dispositivos tienen su propia memoria de almacenamiento, lo que le permite guardar los datos de las tarjetas y cada que los criminales necesitaban recolectar la información almacenada en el dispositivo, solo tenían que estar a unos pocos metros del ATM, conectarse vía bluetooth, escribir la clave de acceso y descargar la información con un celular.
Si alguien sabe la contraseña para conectarse al dispositivo, no importa, la información se encuentra cifrada lo que evita que alguien más la “robe”. Los skimmers constan de dos componentes Bluetooth:
Uno conectado al lector de tarjetas dentro de cada máquina.
Otro conectado al teclado PIN.
Ambos componentes emiten una señal Bluetooth llamada «Free2Move». Los ladrones pueden recuperar la tarjeta robada y los datos del PIN simplemente caminando hasta el cajero automático con un teléfono.
Una vez que la empresa dueña de los ATMs descubrió esto, envió a su personal a revisar si los demás ATMs emitían señales Bluetooth, durante los escaneos de señales bluetooth descubrieron que Cancún estaba lleno de cajeros que emitían a gritos señales “Free2Move”.
Brian encontró cajeros con Skimmers en el Hotel Barcelo y Marriott CasaMaga, Tulum, Playa del Carmen, 5ta Av. en el Aeropuerto Cancún y en Puerto Vallarta.
En el hotel Marriott CasaMaga, el gerente de prevención de pérdidas dijo que recibieron quejas de huéspedes contra el ATM, el llamó a los técnicos y los técnicos dijeron que no había nada malo.

La empresa detrás de esto se llama Intacash, el banco que respalda a esta empresa es Multiva.
Instacash también tiene ATMs y en ellos cuando los usuarios sacan efectivo en pesos, reciben su ticket de la transacción, pero cuando sacan dólares, no reciben ticket.
La ausencia de recibos y la propensión de los cajeros automáticos a «cancelar» transacciones al azar después de que los usuarios inserten sus tarjetas e ingresen sus PIN facilitaría que una operación de clonación de tarjetas sea silenciosa. Por ejemplo, si la transacción se cancela antes de que llegue al interruptor de procesamiento del banco del cliente, no habría absolutamente ningún registro del cliente que usa el cajero automático, a pesar de que los datos de la tarjeta y el PIN se vean comprometidos.
Vender o explotar las tarjetas de débito robadas de los ATM de solo una compañía de cajeros automáticos atraería rápidamente la atención no deseada de los bancos, Visa y MasterCard a esa compañía. Los criminales tenían que encontrar la forma de evadir esta situación para no ser detectados.
Cualquier persona a cargo de una operación de fraude de este tipo, está conciente que necesita muchos cajeros automáticos infectados como sea posible: cuantos más cajeros automáticos y más compañías de cajeros automáticos participen, más difícil será rastrear la fuente de las transacciones fraudulentas.

¿Que pasa con la seguridad en los ATM?
Si un ladrón al azar entrara en un cajero automático y conectara dispositivos electrónicos capaces de interceptar los códigos PIN ingresados por los clientes, el cajero automático simplemente dejaría de funcionar correctamente después de eso. Cuando los fabricantes de cajeros automáticos o los bancos desean actualizar el software o el hardware en sus máquinas, deben ingresar una clave criptográfica especial. Esa clave, conocida como la «clave maestra», es válida para un solo ATM, y es generada directamente del fabricante o del banco.
Algunos bancos y compañías de cajeros automáticos van un paso más allá y requieren que todos los cambios sean aprobados por dos personas autorizadas. Este enfoque de doble autenticación, el uso de dos claves, cada una asignada a personal diferente que debe aprobar cambios físicos y de software en el cajero automático, está diseñado para provocar un cortocircuito en cualquier intento realizar un cambio no autorizado en el ATM, tristemente esto no se lleva acabo en muchos cajeros automáticos mexicanos.
Detrás de todo esto está la Banda Criminal de la Riviera Maya integrada por rumanos, quienes eran dueños de la empresa Intacash (Dueña de muchos cajeros), y que también instalaron chips en más de 100 ATMs en México de distintos bancos.
Después de clonar las tarjetas, el dinero era sacado desde otros países. Clonaban aprox 1,000 tarjetas al mes y sacaban $200 dólares de cada una (20 Millones de dólares al mes). Uno de los trucos era «Utilizarían las tarjetas en diferentes ciudades de todo el mundo y esperan tres meses para que los bancos luchen por localizar dónde se había clonado originalmente la tarjeta.

Estas actividades eran cubiertas por personas dentro del gobierno de Cancún quien brindaba protección a esta banda, lo que los hacía intocables.

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
PorLeón Ramos

Asegurar tu Linux RedHat – Entrevista a Iván Chavero

Asegura tu Linux RedHat – Entrevista a Iván Chavero

Iván Chavero escribió sus primeros programas en basic a los 10 años, promotor y desarrollador de software libre desde 1997, cursó ingeniería en sistemas en la Universidad Autónoma de Chihuahua en donde también se dedicó durante 15 años a desarrollar y administrar sistemas de alta disponibilidad. Durante más de cinco años fungió como Senior Software Engineer en Red Hat donde actualmente es Curriculum Developer desarrollando contenidos para los cursos de certificación de la misma empresa.

Contribuye activamente en varios proyectos de Software Libre y Código Abierto como Fedora y SotolitoOS, su empresa, SotolitoLabs desarrolla sistemas de nubes personales y dispositivos embebidos enfocados a la privacidad. Es miembro fundador del Grupo Linux Chihuahua y catedrático de la facultad de ingeniería de la UACh. Cuando no está domando ordenadores o programando se le puede encontrar patinando en los skateparks de Chihuahua o en algún bar de la república tocando con su grupo Seis Pistos.

Hablamos sobre algunos puntos importantes de seguridad en tu Linux RedHat como:

  • PAX
  • iptables
  • fail2ban
  • logs

Escucha el podcast:

En ivoox:

En Spotify

iTunes

Podcast en iTunes

En Youtube

PorLeón Ramos

29 – Ransomeware en las empresas más grandes de España.

Emisión 29

  1. Ciberataque contra central nuclear India.
  2. Microsoft Edge para Linux.
  3. Facebook oculta likes.
  4. Ransomeware en empresas españolas.
  5. Obsolescencia programada ahora en baterías.
  6. Empleados de Trend Micro filtran información.
  7. Un reader electrónico completamente abierto.
  8. Robo de información en Facebook.
  9. Jailbrake en IOS.

Escucha el podcast:

En ivoox:

En Spotify

iTunes

Podcast en iTunes

En Youtube

Creative Commons Audios Used

Background Sound – Black Ice – Mr_Yesterday http://ccmixter.org/files/Mr_Yesterday/58884
Jingle Background – texasradiofish – Funk Boulevard http://ccmixter.org/files/texasradiofish/59753

PorLeón Ramos

Fedora Women’s Day 2019 Entrevista previa Alex Callejas y Sr_Kraken

Entrevista a Alex y Efren sobre el próximo Fedora Women’s Day 2019

El Fedora Women’s Day 2019 que se celebrará en CDMX en la FES Acatlán busca visibilizar y reconocer la colaboración de varias mujeres en el proyecto Fedora.

La cita es en punto de las 9 de la mañana y la agenda promete mantenernos ocupados hasta las 4pm. Se llevará a cabo en el Edificio A1 planta baja, Auditorio 1 Gerardo de Lizarrituri y Olagüe.

Acompáñenos a escuchar a Efren Robledo @sr_kraken, Embajador de Fedora, y a Alejandro Callejas @dark_axl, Ingeniero de soporte de RedHat, para conocer más sobre qué hay detrás de este magnífico evento.

Escucha el podcast:

En ivoox:

En Spotify

iTunes

Podcast en iTunes

En Youtube

Creative Commons Audios Used

Background Sound – Black Ice – Mr_Yesterday http://ccmixter.org/files/Mr_Yesterday/58884
Jingle Background – texasradiofish – Funk Boulevard http://ccmixter.org/files/texasradiofish/59753

PorLeón Ramos

Entrevista a Gunnar Wolf desarrollador de Debian

Entrevista a Gunnar Wolf desarrollador de Debian

CCOSS o la Cumbre de Contribuidores de Open Source Software, se llevará a cabo el 14 y 15 de septiembre del 2019 en Guadalajara, Jalisco, y busca acercar a los programadores, escritores técnicos, project managers, community managers, o gente interesada en contribuir a proyectos de código abierto. Ser contribuidor de software libre va más allá de ser usuario, implica tener un rol de influencia en el futuro de la tecnología.

Cumbre de Contribuidores al Software de Código Abierto

Escucha el podcast:

En ivoox:

En Spotify

iTunes

Podcast en iTunes

En Youtube

Creative Commons Audios Used

Background Sound – Black Ice – Mr_Yesterday http://ccmixter.org/files/Mr_Yesterday/58884
Jingle Background – texasradiofish – Funk Boulevard http://ccmixter.org/files/texasradiofish/59753