Portada
mis comunidades
otras secciones
#4:
username="admin" password="admin"
#12:
#1 Esto es ya la 3º guerra mundial, campos de batalla sin fronteras en la red y con miles de personas protestando en las calles de muchos países del mundo por el mismo fin. Vamos que en esta guerra los enemigos no son dos países, son el "establishment" y todos los que nos hemos quedado fuera de los beneficios que da nuestra madre tierra.
#1:
Ya hace un tiempo Anonymous les declaró la "guerra" aunque no han sido ellos ni lulzsec, sinó estos http://1337day.com/
Esto ya tiene mas números que una tómbola para ser declarado una 2da guerra fria.
Esto ya tiene mas números que una tómbola para ser declarado una 2da guerra fria.
#41:
#4, #20 como bien dice #22 en un tomcat puedes tener en ese xml definidos usuarios (incluido el admin) como viene por defecto en su instalación pero es posible que no tengas levantada la web de administración, es más, por defecto no se levanta, además aún levantada tendrías que habilitar el puerto de la misma, habitualmente levanta un 8080 pero se puede configurar y que habitualmente está bloqueado por un firewall desde el exterior (y se deja el 80 o el 443 para acceder via web) y además tienes que tener instalada la aplicación de administración de tomcat sobre el mismo
Vamos que ese fichero no me dice nada de nada y viene así en todos los tomcats por defecto y el tenerlo así NO significa que haya ningún fallo en la seguridad
Para más info miraros la docu del tomcat
http://wiki.apache.org/tomcat/HowTo#How_do_I_install_the_Administration_web_app.3F
Vamos que ese fichero no me dice nada de nada y viene así en todos los tomcats por defecto y el tenerlo así NO significa que haya ningún fallo en la seguridad
Para más info miraros la docu del tomcat
http://wiki.apache.org/tomcat/HowTo#How_do_I_install_the_Administration_web_app.3F
#22:
#14 Esos passwords probablemente son sólo de uso interno dentro de la máquina y no se puede acceder a la interfaz desde fuera de la máquina (a menos que, como en este caso, se gane acceso remoto a la máquina mediante otra vía).
También habría que ver el resto de la configuración. Por ejemplo, yo tengo servicios que tienen passwords por defecto (admin:admin, por ejemplo) pero esos servicios NO están corriendo, o tienen la interfaz de administración deshabilitada, etc.
Sí, a priori parece una cagada enorme... pero puede que no lo sea.
También habría que ver el resto de la configuración. Por ejemplo, yo tengo servicios que tienen passwords por defecto (admin:admin, por ejemplo) pero esos servicios NO están corriendo, o tienen la interfaz de administración deshabilitada, etc.
Sí, a priori parece una cagada enorme... pero puede que no lo sea.
#35:
¡Oh no, otra web hackeada...! ¿Y?
Que se metan en las redes internas y roben datos, a ver si tienen cojones. Lo demás son chiquilladas.
Que se metan en las redes internas y roben datos, a ver si tienen cojones. Lo demás son chiquilladas.
Comentarios
username="admin" password="admin"
#4 ¿En serio que algunas cuentas usaban estos users y passwords?
#14 sobre todo la "admin/admin"
#4, #20 como bien dice #22 en un tomcat puedes tener en ese xml definidos usuarios (incluido el admin) como viene por defecto en su instalación pero es posible que no tengas levantada la web de administración, es más, por defecto no se levanta, además aún levantada tendrías que habilitar el puerto de la misma, habitualmente levanta un 8080 pero se puede configurar y que habitualmente está bloqueado por un firewall desde el exterior (y se deja el 80 o el 443 para acceder via web) y además tienes que tener instalada la aplicación de administración de tomcat sobre el mismo
Vamos que ese fichero no me dice nada de nada y viene así en todos los tomcats por defecto y el tenerlo así NO significa que haya ningún fallo en la seguridad
Para más info miraros la docu del tomcat
http://wiki.apache.org/tomcat/HowTo#How_do_I_install_the_Administration_web_app.3F
#14 y #30 leeros #41
#14 Esos passwords probablemente son sólo de uso interno dentro de la máquina y no se puede acceder a la interfaz desde fuera de la máquina (a menos que, como en este caso, se gane acceso remoto a la máquina mediante otra vía).
También habría que ver el resto de la configuración. Por ejemplo, yo tengo servicios que tienen passwords por defecto (admin:admin, por ejemplo) pero esos servicios NO están corriendo, o tienen la interfaz de administración deshabilitada, etc.
Sí, a priori parece una cagada enorme... pero puede que no lo sea.
#4 Desde luego es vergonzoso, no alcanzo a comprender como un sysadmin (por llamarlo de alguna manera) puede llegar a poner esos passwords.
#30 es lo que pasa cuando el tolin de una carnica hace el trabajo de un profesional
#4 Hacker!
Ya hace un tiempo Anonymous les declaró la "guerra" aunque no han sido ellos ni lulzsec, sinó estos http://1337day.com/
Esto ya tiene mas números que una tómbola para ser declarado una 2da guerra fria.
#1 Esto es ya la 3º guerra mundial, campos de batalla sin fronteras en la red y con miles de personas protestando en las calles de muchos países del mundo por el mismo fin. Vamos que en esta guerra los enemigos no son dos países, son el "establishment" y todos los que nos hemos quedado fuera de los beneficios que da nuestra madre tierra.
#12 La tercera guerra mundial es de los pueblos contra sus Gobiernos
#13 Eso digo en el comentario ¿no?
#24 Sí, estaba resumiendo.
#12 ahora sólo falta coordinarse con todos los indignados mundiales y realizar un "ataque global" vía redes, manis (griegos que hagan lo que puedan, ), reacampadas, ... lo que se ocurra:
todo un mismo día a una misma hora.
No sería la ostia?
#32 Si pero es harto difícil, aquí nos hemos movido menos que en otros países de la UE y si no fuera por el 15M las protestas serían casi cero en España(es +1 por la huelga general y + 1000 por el 15M), luego están los distintos grupúsculos de hackers y crackers que al menos están todos de acuerdo en cosas como la transparencia administrativa y los derechos humanos, pero compiten entre si. Y por último los ejércitos digitales de cada gobierno que esos a saber que están haciendo ahora mismo. Vamos que la cosa es complicada siquiera imaginársela, sin contar con la guerra económica de Bitcoin...
#34 los ejércitos digitales de cada gobierno que esos a saber que están haciendo ahora mismo.
No se tú pero yo no tengo ninguna duda que el virus Stuxnet (diseñado para destrozar estaciones de enriquecido de uranio) fue diseñado por el govierno de los EEUU o como mucho la OTAN...
0h g3n73 qu3 3sKr1b3 k0n nUm3R0s. 4k0j0n4n73!!!!11!
#19 la unica utilidad que le veo a eso, es en los examenes, haces tu chuleta en alfanumerico y la dejas encima de la mesa.
#37 Pues no amigo, la principal utilidad es como contraseña para evitar los ataques de diccionario y/o fuerza bruta.
#39 Por fuerza bruta se sacan igual, estén como estén escritas.
#40 si la contraseña tiene 20 caracteres alfanuméricos y que la pass no exista en nigún diccionario (es decir obligatoriedad de usar al menos un número, una letra minúscula y otra mayúscula en la pass) ya me dirás tu cuantos años necesitarás, además la mayoría de los sistemas protegidos no permiten autenticarse más de una serie de veces en un espacio de tiempo, es decir, te dejo 3 intentos por minuto (por ejemplo) y puede que incluso lelven a un bloqueo de cuenta después de X intentos
#40 Te iba a rebatir, pero creo que #42 lo ha explicado bastante claro.
#47 Por esa regla de 3 los diccionarios tampoco sirven para reventar passwords... lo que digo es que si usas un patrón prececible de transliteración de palabras en diccionarios, es igual de atacable con diccionarios, aunque incremente el tiempo.
#49 Si...lastima que el ser humano sea finito.
#42 #47 Veo que no habéis entendido ni papa.
Un ataque de fuerza bruta contra la contraseña "pepe94" supone el mismo esfuerzo que contra "p3p394", así que no me vengáis con longitudes, años y bloqueos que no vienen a cuento. La transliteración sigue siendo una chorrada como un pino.
Es más: "h4X0R94" se saca muchísimo más fácil que "pepito tenia un perrito lindo". Sin números, sin mayúsculas, sin nada.
#52 "Es más: "h4X0R94" se saca muchísimo más fácil que "pepito tenia un perrito lindo". Sin números, sin mayúsculas, sin nada."
¿no seras tu el famoso capitán obvius?
Evidentemente, mientras una posee 7 caracteres, la otra tiene contiene 28, ¿y tú pretendes dar lecciones?,
#53 Bien, veo que sabes contar. Ahora vuelve a mirar la conversación a ver si también sabes leer.
#52 no se porque dices que no tengo ni idea, no tiene nada que ver con lo que tú dices, además tampoco tienes razón al 100% y te voy a explicar por qué
-La mayoría de la gente usa sólo contraseñas con caracteres en minúsculas y típicamente son palabras existentes en diccionarios, después le suelen poner alguna fecha detrás, el buen hacker sabe esto y realiza primero un ataque de fuerza bruta contra "palabras de diccionario+variables" esto es probando palabras existentes en "diccionários" (como "pepe" que existe en estos diccionarios especiales de hackeo por fuerza bruta) más variablés numéricas(1, 2, 3 ó 4 por ejemplo y tu "94" estaría dentro) esto nos da un "pepe94" que es la que tú dices. De esta manera acotamos más la búsqueda y saldría relativamente rápido mientras que tu "h4X0R94" no saldría y aún así usando un método de busqueda absoluto sin diccionário usando caracteres alfanuméricos, mayúsculas y minúsculas saldría antes "pepe94" que "h4X0R94", porque primero, "pepe94" son SEIS caracteres alfanuméricos y "h4X0R94" son SIETE ...!!! (el que no sabes contar eres tú como le dices a #53 en #54) por lo que el esfuerzo es mayor en la segunda y segundo "pepe94" los 4 primeros son todo minúsculas y los programas de fuerza bruta prueban de la siguiente manera "a...x, A...X, 1...0" por lo que saldrían antes las minúsculas que las mayúsculas y tu "h4X0R94" tiene mayúsculas por el medio, vamos que es como decir que si tengo que encontrar un número de uno a cien y una contraseña es 77 y la otra 89 sadría antes el 77 aunque el coste estimado sea el mismo
#55 Que no te enteras, que no he dicho eso, que he dicho que no te enteras... oh, wait
Sobre lo que dices, aún asumiendo eso del "a...x, A...X, 1...0" (¿por qué no Z?), hablábamos de si tiene sentido la chorrada de la transliteración:
- Comparemos "haxor94" con la transliterada "h4X0R94"
- Para llegar a la primera "h", habrá que buscar "a..g" con todo el resto de combinaciones: 7*(23+23+10)^6 = 215886856192
- En el caso original, la siguiente "a" es la primera que se busca
- En el caso transliterado, al "4" se llega tras comprobar "a..x A..X 1..3", con todo el resto de combinaciones, por tanto: (23+23+3)*(23+23+10)^5 = 26985857024... mas el original 215886856192 = 242872713216
Resultado:
- Un 12.5% más de tiempo para llegar al "4" en la transliterada en vez de la "a" en la original
Léase: una gilipolllez
#56 "Resultado:
- Un 12.5% más de tiempo para llegar al "4" en la transliterada en vez de la "a" en la original"
¿Pero...?, ¿no se trata de eso?
El "enterao" te llamaran.
#57 Jaja, sí, exactamente de eso
#56 he puesto de la "a" a la "x" siendo la "x" cualquier letra en el alfabeto, variables...
Aclarado esto ¿por quyé me comparas "haxor94" con "h4X0R94" cuando al principo me has puesto "pepe94" (6 caracteres alfanuméricos) comparado con "h4X0R94" (7 caracteres alfanuméricos) y es sobre lo que te estaba diciendo que NO tenías razón ya que uno era 6 caracteres y el otro 7?
Si manipulas comentarios para darte la razón a tí mismo cuando NO la tienes por muchas cuentitas que hagas, te equivocaste claramente antes, ahora NO le des la vuelta a la tortilla editando tu anterior comentario...
Además vuelves a NO tener razón incluso después de haber modificado el comentario que haces en #52
"pepe94" saldrá por fuerza bruta antes que "p3p394" aunque el coste estimado en ambos casos sea el mismo, en este caso la primera en salir sería si fuese "aaaaa" y la última "999999" (o "000000" si empieza por los 1s antes que con los 0s, he visto ambos casos)
#59 #60 ...
En fin, tú mismo.
Si me importase, te recomendaría humildad y comprensión lectora, pero la verdad es que no me importa.
Suerte.
#40 que por cierto investigando un poco he descubierto que hay métodos de encriptación "irrompibles mediante fuerza bruta, por lo que vuelves a NO tener razón como en #52
http://en.wikipedia.org/wiki/Brute-force_attack#Unbreakable_codes
Unbreakable codes
Certain types of encryption, by their mathematical properties, cannot be defeated by brute force. An example of this is one-time pad cryptography, where every cleartext bit has a corresponding key bit. One-time pads rely on the ability to generate a truly random sequence of key bits. A brute-force attack would eventually reveal the correct decoding, but also every other possible combination of bits, and would have no way of distinguishing one from the other. A small, 100-byte, one-time-pad–encoded string subjected to a brute-force attack would eventually reveal every 100-byte string possible, including the correct answer, but mostly nonsense. Of all the answers given, there is no way of knowing which is the correct one. Nevertheless, the system can be defeated if not implemented correctly, for example if one-time pads are re-used or intercepted.[9]
A similar argument can apply when a single plaintext is encrypted by any method where the text is shorter than the key. For example, if the text is a single byte, then (for most types of encryption with large key sizes such as 128 bits) all bytes from "00"-"FF" will appear, with equal probability, as possible plaintexts corresponding to guessed keys.
Ejem, ¿otra fuente antes de menear?
#6 Aquí tienes otra fuente: http://www.itnews.com.au/News/262676,nato-server-hacked-files-published.aspx
¡Oh no, otra web hackeada...! ¿Y?
Que se metan en las redes internas y roben datos, a ver si tienen cojones. Lo demás son chiquilladas.
Y algunos decían que la seguridad de la OTAN era inexpugnable... Relacionada: Anonymous advierte a la OTAN: "No nos pueden derrotar" (ING)
Anonymous advierte a la OTAN: "No nos pueden ...
thinq.co.uk#11 ¿Eso es lo que han obtenido? Mmm, vaya birria, ¿no?
#0 Y por cierto, sigo leyendo e informándome
http://www.opensource.apple.com/source/JBoss/JBoss-737/jakarta-tomcat-LE-jdk14/bin/digest.sh
Ahí tenéis el script digest.sh que publican, a ver, es un script de JBoss/Tomcat ,joder que ya lo trae el Tomcat que lo publiquen no quiere decir que hayan Hackeado nada, sólo que lo han copiado de una instalación de Tomcat
Menuda falsedad de noticia
Una vez más en meneame llega algo a portada más falso que un billete de 3 euros con lo que me queda que es mejor publicar chorradas de gatos (a lo que me suelo dedicar) mejor que temas serios y hago autocrítica ya que soy el primero que publica noticias que me parecen interesantes pero también suelo contrastar, cosa que no suelen hacer los meneantes
#46
El motivo principal de la noticia era para saber si alguien mas sabia algo, si habian otras fuentes, es decir mas información, yo tambien creo que esos datso que proporcionan tanto el blog como el zip son aire.
En #antisec (canal del irc, no el twitter) ya han confirmado que esto es un fake.
Si está en portada y de esa manera se descubren mas cosas pues mejor.
Se pone la noticia como fake y a otra cosa.
Ahora..eso no quita de que les tienen ganas a los de la NATO /OTAN, espremos que las siguientes noticias que salgan sobre este tipo de temas no sean tan "panfletistas"
Esto, muy majo si pero:
Los "datos" contenidos en esos ficheros son de 2005 y 2006
#5
Exacto el único con fecha del 2011 es el Note.txt que pone:
NATO lamers! I've been watching you day and night since then! W00t! Your Machines rooted! Servers restored to default! what else! Fuck you and your crimes! and soon enough all your stupid ideas will be published on WikiLeaks!
Greetz.. I stand alone
Pero si leemoss el post..
They Leak a Backup of Random 2,646 files from Server as Proof of Hack
#7 Me he bajado el ZIP, nada relevante, parece una configuración por defecto de un tomcat ¿Han juankeado el backup después de resetear el server ?
"tomcat" "default". qué juankearon? el /usr/share/doc? =D
A veces, me planteo si estos ataques no son mas que pantomimas provocadas por los propios gobiernos , para así tener la excusa perfecta para poder empezar a meter mano a Internet y a la libertad de expresión . En fin.....
A C O H O N A N T E
#3 Aclaración una vez leido el resto de comentarios. No será "nada relevante" pero para los que no tenemos muchos conocimientos informáticos (mas que nada por la edad, que todo esto nos pilla ya un poco mayores) esto de entrar en un servidor de la Otan es algo espectacular (aunque sea para acceder al menú de la base)
Sensacionalista a mas no poder. Ese servidor, parece un servidor donde estaban probando una aplicación llamada "SmartFinder" y se lo dejaron olvidado.
#26 Pero si tomaron control del mismo y luego se sacaron todos los ficheros adjuntos que estan para descargar?
Me estoy mirando el ZIP y no hay apenas información relevante... a parte de esos users y pass del tomcat, que parece el nombre de una mascota.
Joder cómo está el jacking oiga.
Y yo que me quejaba de que ultimamente eran todo niñatos con el Hajiv defaceando webs
Después de esta noticia, el ejército de hackers de Kim Yong-il cobra otra dimensión...
Otro más, la globalización del conocimiento esta rindiendo sus frutos...
http://www.cibercronicas.com/wp-content/uploads/2011/01/gordo-granudo.jpg
Bravo!
Le ha costado subir a portada. Nada menos que 1 día, 12 horas y 40 minutos !
Esto no es guerra alguna guerra, esto es un acto teatral. Osea que me quieren hacer creer que a la otan le preocupa que le hakeen el servidor? Si fuese asi los autores del hakeo ya estarian en el limbo o fuera de circulación o trabajando para la otan, no jodamos, osea que me quieren dar a entender que sus secretos mas importantes los tienen en internet? Pues no, no me lo creo.
Algún admin debería marcarla como fake, que esto esté en portada..
osea que les hakean el servidor? a la OTAN? osea que los secretos de la otan en internet?? , jajajajajajajaja, y estamos en manos de estos inutiles????? no me extraña que no puedan con gadafi. jjajajajajajajajajajajajaja