207b 2012 May
May 30

Asi se ve un intento de robo de cuenta bancario a Santander-Serfin

Hackers, Tools y Retos 5 Comments »

Muchas personas inquietas de que les roben el dinero del banco me preguntan ¿ y como le hacen para sacar el dinero ?

La respuesta es que uno mismo les da la clave.

Se recibe un correo donde te piden firmarte con tu usuario y clave por que hay un problema en tu cuenta, te dicen que tengas a la mano tu token , el dispositivo que te da claves al azar, entonces te piden tu teléfono por que un ejecutivo del banco te llamara para verificar que tus datos sean correctos.

Ellos te dirán algo como, para verificar sus datos díganos.

Cuando es que usted nació, Dirección donde le llega su estado de cuenta, Nombre completo.

Mientras te preguntan eso ellos meten las claves que escribiste en la pagina falsa, solo les falta la clave del token, asi que al final te dicen.

Ahora para finalizar y hacer una sincronización de su token por favor presione el botón y díganos que numero aparece, se los dices, ellos lo escriben y entran a tu cuenta. También te dirán que permanezcas en la línea para que puedan agregar cuentas y transferirse el dinero, después te dirán que es probable que te llamen en 30 minutos si hay algún problema, esto porque a veces dar de alta cuentas toma 30 minutos y tal vez requieran llamarte nuevamente para pedirte otra clave token.

Si han llegado a este punto, felicidades han vaciado tu cuenta y tu mismo diste las facilidades para hacerlo, así también lo hacen con otros bancos.

A continuación un video de demostración.

1fc2

May 27

Distribucion de la riquesa y el mito de que las empresas no pagan sus impuestos

Sociales, En la opinion de... 30 Comments »

Originalmente esto iba a ser una respuesta a este comentario, pero al explicarlo salió tanto material que prácticamente puedo escribir otro artículo completo a partir del.

Eso de que las empresas no pagan sus impuestos es un mito, todos dicen que las empresas no pagan, pero nadie explica el cómo evaden sus impuestos.

Yo estoy como persona física soy una empresa en mí mismo y sé que no te le escapas a hacienda pero ni de broma. Si alguien sabe cómo pagar solo el 5% por favor dígame, en serio por favor dígame si una empresa lo puede hacer de manera legal, yo también puedo, solo díganme como le hago.

Voy a explicar el por qué creo que es un mito, aun así si alguien piensa que estoy en un error le invito a hacerme un howto de cómo evito pagar más que el 5% de impuestos y estoy más que abierto a recibir esa VALIOSA información.

Mi explicación de cómo entiendo el pago de impuestos en el mítico caso del 5%
Es verdad que puedes pagar menos impuestos cuando estas dado de alta en hacienda aka SAT algo que difícilmente puede hacer un asalariado o alguien en el comercio informal y todo eso tiene que ver con algo que la misma gente pelea, “la distribución de la riqueza” la gente no sabe que la riqueza por ley o por conveniencia se tiene que distribuir y porque te conviene “distribuir tu dinero” obvio y lean las palabras una cosa es distribuir y otra regalar, la gente sin conocimiento del tema piensa que distribuir la riqueza es que llegue un rico a su casa y le de un fajo de dinero.

A mí como a cualquier empresa hacienda me cobra un impuesto sobre la renta aka ISR, traducción un impuesto sobre la ganancia, este impuesto puede fácilmente llegar al 30% casi la mitad de mi ganancia tendría que irse al pago de este impuesto, al contar ademas el 16% de IVA y otros impuestitos por ahí que en suma son una lana, así para rápido entendimiento del total de la ganancia fácilmente el 65% se va en impuestos.

Hacienda me obliga con el ISR a que el dinero fluya porque si decido guardármelo, me quedo con menos de la mitad de la ganancia en utilidad. Hacer que el dinero fluya me conviene en el esquema de distribuir la riqueza.

El ISR es un impuesto final sobre la ganancia total, la única forma de bajar el ISR es que tu ganancia baje y de nuevo como podría convenirme que la ganancia baje. Muy simple y ahora va la explicación de la distribución de la riqueza.
Gane un contrato de 700 mil, ok ya termine, me dan mi cheque y tengo 700,000 pesos yo se que de esos tengo que darle a hacienda el 16% de IVA y de entrada el 30%, TREINTA por ciento de mi dinero.

Entonces decido que para que mi negocio vaya mejor necesito una camioneta una de 350 mil pesos y me compro para el negocio un nuevo Celular de 10,000 pesos y unas 2 computadoras en el office depot de 25 mil cada una.

350 + 25 + 25 + 10 = 410

De los 700,000 solo me quedan 290 mil pesos de ganancia.

En teoría perdí dinero por que el gobierno me obligo a gastarlo, pero no es así por que ahora tengo una nueva camioneta, 2 computadoras y un celular que de todos modos con dinero iba a comprar, pero en lugar de comprarlo a mi nombre lo compro a nombre de la empresa., pero la empresa no lo disfruta, lo disfruto yo, qué más da si da si esta como activo de la empresa y al final la empresa es mía, ¿no?

Ocurre que ahora pagare el 30% de ISR pero ya no de 700 mil, sino de 290 mil, es un mundo de diferencia , si decido quedarme con los 700 mil igual el 30% es un mucho de la ganancia y no tendría nada nuevo, pero ahora tengo los objetos que cite y que compre, además el IVA transfiere es decir, como yo compre una camioneta de 350 mil pesos, esta ya tenía IVA incluido, igual las computadoras y el celular, todo ese IVA será transferido en sus respectivas proporciones a la agencia del vehículo, la tienda de computadoras y la tienda del celular

Si iba a pagar tal vez unos 80 mil de IVA ahora tal vez solo pague unos 20 mil pesos, deduci IVA sigo pagando el 30% de ISR pero ahora sobre 290 mil.

A la vista de una persona que no conoce el mundo empresarial, es fácil

OYE COMPRO COCHES Y TRAE UN CEL NUEVO Y TODAVIA NO PAGO SUS IMPUESTOS COMPLETOS, EL GOBIERNO LO FAVORECE Y YO SI TENGO QUE PAGAR TODO, POBRE DE MI

Obviamente este individuo es un mal agradecido por qué no valora la distribución de la riqueza.

Ahora como se beneficia el pobre trabajador de estos movimientos.

Fácil, si trabajas vendiendo autos y tu compañía o la agencia de auto vende autos que de hecho es ese es su negocio, pues entonces esa compañía tiene para tu salario, si yo decido quedarme el dinero y no te compro el auto y si además así lo deciden muchos otros, te despiden porque no hay dinero, la economía se detiene si todos empiezan a guardar su dinero, es ahí donde entra el juego ISR, porque si melo guardo entonces pago mucho dinero de impuestos pero no obtengo nada le regalo todo al gobierno, pero si compro cosas baja mi ISR porque mi ganancia es menor y apoyo a que el dinero mueva entre los comercios, comercios que a su vez tienen 2 opciones, guardarse la ganancia o comprar cosas para esas compañías y deducir ISR, entonces todas las empresas del país por sentido común y lógico deciden comprar, carros, computadoras, ETC, ETC con tal de bajar sus ganancias mientras que al mismo tiempo renuevan su flota de vehículos, compran papelería, vamos todo lo que pueda comprar y que de todos modos vas a necesitar.

Entonces al entender eso sabes que si trabajas office depot, yo te compro 2 computadoras y otras compañías harán lo mismo, distribuyendo el dinero, la riqueza, para que office depot siga vendiendo y no te despida por falta de ventas.

Es así como se distribuye la riqueza, nunca va a llegar nadie a darte un fajo de dinero de gratis que es lo que entiende mucha gente pobre y nadie se los explica. Que en realidad la distribución de la riqueza significa, hacer que el dinero fluya en la economía para que ganes un salario a través de trabajo.

Muchos asalariados pagan su ISR, pero nunca lo deducen por que no están inscritos en el SAT, explicado asi, es obvio que a todos les conviene inscribirse en el SAT y pagar impuestos si después puedes deducir gran parte de los impuestos que te cobran, si no te inscribes en le SAT, es tu problema.

El ISR viene desglosado para un asalariado en su recibo de nomina.

Pero de nuevo si yo estoy equivocado y existe algún método mágico para solo pagar el 5%, no seas OGTs, díganme como para guardarme mi dinero y solo pagar 5% y claro afectar a la economía global ya que si decido no comprar alguien pierde su trabajo por no vender.

2977

May 20

Televisa, Tv Azteca Enrique Peña Nieto, Andres Manuel Lopez, Josefina Vázquez Mota y el poder del internet.

Sociales 41 Comments »

Es interesante como cada día el poder del internet es mayor y el de los medios institucionales va decreciendo aunque aun hoy en Mayo del 2012 siguen siendo grandes para el 2018 podrían ya no ser gran cosa.

Los medios institucionales empiezan a jugar sus últimas cartas y lo hacen tan desesperadamente que no les importa ser discretos.

Desde que inicio la campaña presidencial televisa ha hecho hasta lo imposible por dañar la imagen de los adversarios de Peña Nieto, incluso invitando a sus rivales como Josefina Vázquez Mota programas que alguna vez fueron de primer mundo como tercer grado para hacerle preguntas tramposas, tratándola mal y menospreciarla al aire lo que obviamente lejos de causarle daño le caso simpatía.

Sin embargo todo lo que han hecho ha servido para disminuir la popularidad de Peña Nieto y aumentar la de Josefina Vazquez Mota y la de Andrés Manuel López Obrador.

Para entender el poder que tiene el internet hoy contra los medios es que los Jóvenes ya no ven la televisión, ven Youtube y usan Twitter para comunicarse con gente que esta en toda la nación, por lo que las campañas televisivas ya no tienen tanto impacto y en cuanto a los medios escritos, creo ningún joven preferirá leer el periódico a una pagina WEB.

Las personas que ven la TV cada día son más viejas y pronto morirán y con ellas muere el poder de la televisión, esto es lo que desespera a televisa a tv azteca y a medios impresos como milenio, que en lugar de dar el salto lógico a internet, prefieren atacarlo. Es obvio en el internet solo serian una opción mas pero no tendrían ningún poder

Sin embargo estos medios saben del poder del internet sobre ellos y tratan de usarlo a su favor, si ellos no pueden convencer a la gente que vote por peña nieto entonces atacaran a sus rivales usando el internet.

Tan saben el poder del internet, que le tienen mas miedo a Internet que al regreso del PRI y más adelante explicare como es que los medios que deben temer al PRI lo apoyan con tal de que se legisle contra el internet.

Se ha publicado en milenio que Josefina Vazquez Mota fue la autora de la marcha anti Peña Nieto , según como una nota de cobertura al poder de convocatoria de Josefina, sin embargo esto es falso, ella no es la autora, pero esperaban que los Jovenes estallaran contra Josefina por adjudicársela, es decir intentan que twitter se vuelva en contra se Josefina . Josefina inmediatamente salió a decir la verdad, que esta marcha es de autoria de los jóvenes y para los jóvenes, la acción de los medios nos deja claro cada momento el terror que le tienen a internet que incluso lo empiezan a tratar de manipular para intentar de nuevo darle un respiro a su candidato.

¿Cómo llegamos a esta marcha?

Todas las pifias cometidas por enrique peña nieto desde hace 6 meses, incluidas las que su hija insultara a la población mexicana llamándoles prole, que no supiera de libros, que actualmente haya usado practicas del PRI antiguo, donde llego a una universidad específicamente la Ibero y al no ser bienvenido la gente del PRI hizo un comercial cambiando la historia por completo mostrando a un Enrique Peña Nieto cobijado por universitarios, causo la ira de los estudiantes de la ibero, en su campaña se les llamo porros a los estudiantes y estos reaccionaron creando un video donde mostraban su identificación y desmentían aquel video de supuesto apoyo a peña nieto. A estos movimientos se les llamo “ Los 131” por los 131 estudiantes de la Ibero que demostraron en Internet no ser porros.

Enrique Peña Nieto y el PRI

No es para mi nada bueno que gane el PRI, esto es porque yo viví parte de la época PRIISTa, una época de obscurantismo, donde las cosas oficiales eran solo las que dictaba el PRI y el presidente de México que era prácticamente un dictador, incluso los medios metían sus colas entre las patas y ninguno se atrevía a desafiar al todo poderoso presidente de la nación o al PRI.

Si el PRI regresa, volverá ese Mexico de obcuridad, ya lo demostraron con el video de apoyo a Enrique Peña Nieto por su fracaso en la Ibero, es el PRI que ocultaba los fracasos y pobre del medio de comunicación que hablara de lo opuesto.

Si el PRI regresa los medios institucionales perderían lo que han ganado y es la libertad de expresarse, sin embargo de libertad de expresión no se vive sino de dinero y es por eso que le temen mas al internet que al PRI, el PRI los va a censurar como en el pasado, pero al menos tendrán dinero y seguirán comiendo. Entonces de los males el menor, el menor para ellos mientras tanto el pueblo se queda desinformado. Obviamente con el internet esto se aminora pero no hay que menospreciar al PRI es capas que sus primeras acciones lleguen a censurar el Internet para favorecer a los medios y para poder controlar las pifias que su presidente podría y que seguramente cometerá.

En lo personal yo no deseo al PRI de regreso, mi mayor deseo es que pierdan su registro como partido, en el 2006 acaricie ese deseo pero como tal no se cumplió.

Josefina Vazquez Mota y el PAN

Josefina es representante de los hombres de negocios, los que dan empleo a los Mexicanos, es obvio que los más pobres no la ven como mucho agrado ni a ella ni a toda la clase media, ya que esta es la clase que apoya a Josefina, exceptuando a los Jóvenes estudiantes que aunque estén en una escuela privada ellos mismos no la pagan y no conocer el valor del dinero de papi.

Los estudiantes en su mayoría son de izquierda, pero todo derechista de hoy fue un izquierdista ayer, cuando la gente entiende cómo funciona el mundo, las prioridades cambian a eso le llamamos madurar, yo mismo alguna vez quise que el izquierdismo ganara hasta que me di cuenta de que sería un error.

Yo espero que Josefina gane, incluso apoyo su campaña y participo en ella es a la única campaña a la que no le cobro honorarios, no puedo negar que a los otros partidos los apoyo con mis conocimientos y consejo sincero porque soy un profesional, pero con sus respectivos honorarios.

Por lo que se ve en los medios, la batalla es entre Josefina y Enrique Peña Nieto y por algún motivo absurdo descartan a Andrés Manuel López Obrador, lo que para mí es un error muy grave. Porque han dejado a AMLO por la libre mientras Josefina y Peña Nieto tienen su batalla AMLO crece sin despeinarse.

Andrés Manuel López Obrador y el PRD

Fue mi candidato favorito para la presidencia del 2006 y en el 2005 con el asunto del complot tuvo mi apoyo incondicional hasta el 2006 donde perdió mi voto y se lo di al PAN a Felipe Calderón, esto debido a que siempre lo he visto como un hombre poco preparado, incluso hipócrita , donde él se mueve en un viejo tsuru pero su familia en camionetas que mucho de los pobres que el mismo representa ni en toda una vida podrían pagarla, sin embargo… mi enojo contra el puede incluso leerse en un articulo que escribí hace 6 años en este mismo blog Andrés Manuel López Obrador - AMLO

Sin embargo hoy en el 2012 he cambiado mi actitud contra el, principalmente motivada por Enrique Peña Nieto, aunque mi candidato favorito es Josefina Vazquez Mota, si ella perdiera me gustaría que fuera contra Obrador, porque le tengo más miedo al regreso del PRI que a la ineptitud de Obrador.

Y sé que si gana obrador si hace un buen trabajo todos estaremos bien, pero si falla dentro de 6 años el PAN volverá al poder, si el PRI queda, pasaran al menos 70 años antes de que otro milagro logre sacarlos de su dictadura, de entre los males el menor, por lo que mi segunda apuesta si no llega Josefina Vázquez Mota, que llegue Andrés Manuel, que llegue uno de los 2 pero que no llegue el PRI.

La fuerza de obrador radica en las clases bajas y parte de la clase media que lo ven con simpatía y es ahí donde obtiene mucho poder, porque como en toda economía basada en capitalismo, los pobres siempre serán mayoría.

Mi mayor temor con Obrador es que haga lo más simple, si no puede convertir a todo el pueblo a la clase media, entonces bajara a la clase media a la pobreza y todos los pobres felices, lo cual es obvio que no es una solución pero suena como algo razonable en la mente de este señor. Pero de nuevo le temo más a Peña Nieto y al PRI que las locuras de Obrador.

Existe un cuarto candidato Gabriel Quadri

Este señor solo representa dinero, milita en el partido creado por Elba Ester Gordillo, para lo único que sirve es para convencer poco mas del 2% de los Mexicanos, ya que con una votación inferior al 2% el partido perdería su registro y esto para Elba Ester representa millones, saben perfectamente que no ganara, pero tienen fe en que al menos mas de 2% de la población vote por el y con eso recibir millones de pesos del IFE.

Al momento de escribir esto mis 2 gallos van empatados, por gallos hablo de Josefina Vázquez Mota y López Obrador y todo parece indicar que han superado a Peña Nieto.


Ver mas grande

5f6f

May 14

Nginx vs Apache con PHP

Personal, En la opinion de... 6 Comments »

A pesar de lo pretensioso que se lee nginx vs apache he estado haciendo pruebas a estos 2 servidores WEB y el resultado podría no ser tan favorable para Nginx

Mi opinión con NginX es como la de Qmail, fue una moda creada debido a que muchos les gusta adoptar soluciones que no son propias para el proyecto. por ejemplo muchos Sendmail fueron sustituidos por Qmail hace unos 15 años ¿por que? ¿por que Sendmail no hacia bien su trabajo? no. El asunto era por que hotmail usaba en sus servidores de correo Qmail.

Asi paso con GNU/Linux, muchos Linux fueron sustituidos por FreeBSD solo por que yahoo y otros portales de la época usaban FreeBSD como OS y asi hay varios ejemplos.

Como modas que son terminaron pasando y las aguas volvieron a su cauce y todo de nuevo normal.

Actualmente veo que existe mucho movimiento con el NginX , incluso he visto comparaciones tramposas donde un Apache cargado con N cantidad de módulos es puesto a competir contra un Nginx que solo sirve paginas HTML, no PHP, no ASPX, no perls, no cgis, NADA!!! es una comparación un poco injusta ya que si liberamos a apache de la carga modular sin duda podría comportarse como un Nginx o incluso mejor. pero mejor un poco de detalle

NginX

Es un ligero servidor WEB con pocas funcionalidades y las que tiene son delegadas como la ejecución de PHP, una delegación que tiene problemas de seguridad

Delegación de PHP

No tiene un modulo de PHP que trabaje directamente la interpretación del PHP se tiene que delegar a un proceso externo del PHP con el método de
FPM (FastCGI Process Manager)

es un FastCGI pero orientado a sesión de red, como las X de X-Windows, donde un programa no accede directamente a la tarjeta de video sino entrega sus datos por red en localhost, así mismo hace FPM.

Esto tiene ciertas ventajas, por ejemplo es posible crear servidores y clusterizarlos para altar cargas de trabajo ya que podría tener cientos de servidores WEB dedicados a ejecutar PHP como único propósito dejando la parte de entrega de información solo al servidor WEB.

Este método tiene un alto costo de seguridad y de rendimiento cuando todo se ejecuta en una misma máquina, no tiene sentido usar FPM si tanto el servidor WEB y el php se ejecutan en la maquina y se usan de forma local por que el acceso al FPM es atreves de conexión de red dando por lo tanto una latencia y causando los problemas que el X le causa al entorno grafico pero en este caso en el despacho de páginas WEB.

Que nos da a cambio, el proceso es independiente y el que un proceso PHP se bloquee no afecta de ninguna forma al servidor WEB aunque esto no es del todo una ventaja y pronto cuando le toque a Apache comparare estos párrafos, a lo mucho su ventaja se limita a protección de memoria, es decir. Tener un usuario para el servidor WEB y un usuario para el PHP de forma que si un Script en PHP es vulnerable no pueda afectar de ninguna forma a otros sitios archivos alojados en el servidor. Por lo que si incrementa la seguridad cuando de PHP se trata sin embargo deja una vulnerabilidad en el servidor WEB

Volviendo a NginX al delegar la parte PHP lo hace más liviano rápido en si mismo pero lento en el cuello de botella al mandar por red los datos php y esperar la respuesta y su propia seguridad se entrega como pago Nginx y PHP en la misma maquina no tiene sentido y el costo de seguridad es alto y la supuesta velocidad ganada se pierde en el cuello de botella de la sesión de red

NginX no cuenta prácticamente con ningún modulo, solo tiene funciones básicas de rewrite y ssl por lo que toda la configuración incluso la de las maquinas virtuales se puede hacer en poquito más de 50 líneas

     
      1 user  web;
      2 worker_processes  1;
      3
      4 events {
      5    
worker_connections  1024;
      6 }
      7
      8
      9 http {
     10    
include       mime.types;
     11     default_type 
application/octet-stream;
     12
     13    
sendfile        on;
     14
     15    
keepalive_timeout  65;
     16
     17     server {
    
18        
listen       80;
    
19         server_name 
localhost;
     20
    
21         location / {
    
22            
root   /usr/ngix1.2.0/exechtml;
    
23            
index  index.html index.htm;
    
24         }
     25
    
26        
error_page   500 502 503 504  /50x.html;
    
27         location = /50x.html
{
    
28            
root   html;
    
29         }
     30
     31     }
     32
     33
     34     server {
    
35        
listen       80;
    
36         server_name 
lastdragon.net  alias  www.lastdragon.net;
     37
    
38         location / {
    
39            
root   /paginas/lastdragon/html;
    
40            
index  index.html index.php;
    
41         }
     42
    
43          location ~
\.php$ {
    
44            
fastcgi_pass   127.0.0.1:9000;
    
45            
fastcgi_index  index.php;
    
46            
fastcgi_param  SCRIPT_FILENAME 
/paginas/lastdragon/html/$fastcgi_script_name;
    
47            
include        fastcgi_params;
    
48         }
     49
    
50         location 
/wp-admin  {
    
51        
auth_basic           
.Restricted.;
    
52        
auth_basic_user_file  /.htaccess;
     53
    
54         }

Apache Web Server

Apache es un servidor WEB maduro y poderoso tal poder requiere de modularizar funciones, sin embargo esta característica modular le permitiría quitarse todos los módulos que le dan poder y ser robusto y quedar tan liviano o mas que el NginX un Apache compilado sin prácticamente nada da el mismo resultado que NginX en rendimiento pero realmente nadie quiere quitarle esas funcionalidades al Apache, seria absurdo, la seguridad del sitio está en esos módulos que de hecho no lo hacen tan lento como para justificar una migración a NginX o a otro servidor WEB

Apache WEB Server con PHP

Apache de la serie 1.3.X podía compilarse con el PHP incrustado, era parte del código de PHP esto lo hacía verdaderamente rápido ya que incluso la parte PHP estaba en RAM junto con la parte del servidor WEB, es posible que nunca haya sido mas rápido el PHP y Apache como en esa serie. Sin embargo en la serie 2.X.X se reescribió Apache y el PHP tuvo que funcionar únicamente como un modulo, sin embargo el modulo aun siendo código externo al cargarse queda en RAM y todos sabemos que dentro de la PC la RAM y el CPU son uña y mugre por lo tanto, unos cuantos punteros y se mueve información tan rápido como no se puede hacer por ningún otro medio, al estar cargado PHP en RAM el apache solo tiene que enviar por RAM y los datos del Script PHP y esperar por RAM la respuesta del PHP algo realmente rápido ya que no existe la latencia de bajar estos movimientos a la capa de Red del sistema operativo como todos sabemos más capaz en el proceso significan mayor latencia al tener que atravesar capa por capa.

Cuando de PHP se habla la carga de los módulos adicionales de PHP se ve amortiguada en cuanto a la rapidez y flujo de ejecución de PHP , lo inverso en NginX su velocidad adicional se ve mermada al pasar por las capas de Red y ni siquiera hablamos de que termina los datos en UDP, no señor. TCP con todo y el ritual de sesión que eso involucra porque TCP se requiere por seguridad

Aunque de forma simple el PHP configurado en Apache usa la misma memoria que Apache, esto nos deja un poco vulnerables con un Script PHP mal hecho, sin embargo se pueden aplicar otros medios de seguridad e incluso asignarle por código un usuario diferente al ejecutar el PHP aunque prácticamente ningún programador hace eso y deja la seguridad del lado del administrador del servidor.

Un servidor WEB Apache con algunos módulos básicos son por mucho mas de 100 líneas, son tantas que incluso la configuración debe ser modular con un archivo para los Vhost , otro para SSL, otro para el manejo de sesiones TCP tanto al menos unas 150 líneas de configuración repartidas en varios archivos, esta complejidad que de hecho no lo es tanto nos da como recompensa un sitio mas seguro

El siguiente httpd.conf no incluye los módulos .conf de vhost pero ni ssl pero sera suficiente para probar el punto.

     1 ServerRoot “/usr/apache2.4.2″
      2
      3 Listen 80
      4
      5 LoadModule authn_file_module
modules/mod_authn_file.so
      6 LoadModule authn_core_module
modules/mod_authn_core.so
      7 LoadModule authz_host_module
modules/mod_authz_host.so
      8 LoadModule authz_groupfile_module
modules/mod_authz_groupfile.so
      9 LoadModule authz_user_module
modules/mod_authz_user.so
     10 LoadModule authz_core_module
modules/mod_authz_core.so
     11 LoadModule access_compat_module
modules/mod_access_compat.so
     12 LoadModule auth_basic_module
modules/mod_auth_basic.so
     13 LoadModule socache_shmcb_module
modules/mod_socache_shmcb.so
     14 LoadModule socache_dbm_module
modules/mod_socache_dbm.so
     15 LoadModule reqtimeout_module
modules/mod_reqtimeout.so
     16 LoadModule filter_module
modules/mod_filter.so
     17 LoadModule mime_module modules/mod_mime.so
     18 LoadModule log_config_module
modules/mod_log_config.so
     19 LoadModule env_module modules/mod_env.so
     20 LoadModule headers_module
modules/mod_headers.so
     21 LoadModule setenvif_module
modules/mod_setenvif.so
     22 LoadModule version_module
modules/mod_version.so
     23 LoadModule ssl_module modules/mod_ssl.so
     24 LoadModule unixd_module modules/mod_unixd.so
     25 LoadModule status_module
modules/mod_status.so
     26 LoadModule autoindex_module
modules/mod_autoindex.so
     27 LoadModule dir_module modules/mod_dir.so
     28 LoadModule alias_module modules/mod_alias.so
     29 LoadModule
php5_module        modules/libphp5.so
     30
     31 <IfModule unixd_module>
     32 User web
     33 Group web
     34
     35 </IfModule>
     36
     37 ServerAdmin you@example.com
     38
     39 <Directory />
     40     AllowOverride none
     41     Require all denied
     42 </Directory>
     43
     44 DocumentRoot “/usr/apache2.4.2/htdocs”
     45 <Directory “/usr/apache2.4.2/htdocs”>
     46     Options Indexes
FollowSymLinks
     47     AllowOverride None
     48     Require all granted
     49 </Directory>
     50
     51 <IfModule dir_module>
     52     DirectoryIndex
index.html index.php
     53 </IfModule>
     54
     55 <Files “.ht*”>
     56     Require all denied
     57 </Files>
     58
     59 ErrorLog “logs/error_log”
     60
     61 LogLevel warn
     62
     63 <IfModule log_config_module>
     64     LogFormat “%h %l %u
%t \”%r\” %>s %b \”%{Referer}i\” \”%{User-Agent}i\”" combined
     65     LogFormat “%h %l %u
%t \”%r\” %>s %b” common
     66
     67     <IfModule
logio_module>
     68      
LogFormat “%h %l %u %t \”%r\” %>s %b \”%{Referer}i\”
\”%{User-Agent}i\” %I %O” combinedio
     69     </IfModule>
     70
     71     CustomLog
“logs/access_log” common
     72
     73 </IfModule>
     74
     75 <IfModule alias_module>
     76     ScriptAlias
/cgi-bin/ “/usr/apache2.4.2/cgi-bin/”
     77
     78 </IfModule>
     79
     80 <IfModule cgid_module>
     81 </IfModule>
     82
     83 <Directory “/usr/apache2.4.2/cgi-bin”>
     84     AllowOverride None
     85     Options None
     86     Require all granted
     87 </Directory>
     88
     89 <IfModule mime_module>
     90     TypesConfig
conf/mime.types
     91     AddType
application/x-compress .Z
     92     AddType
application/x-gzip .gz .tgz
     93     AddType
application/x-httpd-php .php
     94
     95 </IfModule>
     96
     97 # Virtual hosts
     98 Include conf/extra/httpd-vhosts.conf

El siguiente video muestra como esas 2 configuraciones pueden ser un detrimento de seguridad en el caso de NginX

¿Por que NginX falla en algo tan simple?

El problema está en la delegación de responsabilidad en la zona de configuración

 43          location
~ \.php$ {
    
44            
fastcgi_pass   127.0.0.1:9000;
    
45            
fastcgi_index  index.php;
    
46            
fastcgi_param  SCRIPT_FILENAME 
/paginas/lastdragon/html/$fastcgi_script_name;
    
47            
include        fastcgi_params;
    
48         }

Esta linea rompe con la seguridad, debido a que se le dice protege esta carpeta..

 50         location 
/wp-admin  {
    
51        
auth_basic           
.Restricted.;
    
52        
auth_basic_user_file  /.htaccess;
     53
    
54         }

y al PHP se le dice ejecuta despues de esta carpeta y wp-admin esta despues de esa carpeta

fastcgi_param SCRIPT_FILENAME /paginas/lastdragon/html/fastcgi_script_name

En la parte de PHP le dice ejecuta todo después de este punto, al no estar coordinados el NginX protege su carpeta pero el PHP no sabe que NginX no quiere que se ejecute nada después de esa carpeta si no se da primero las credenciales correctas esto es porque el PHP no es parte del NginX es un proceso delegado, en apache no ocurre por que tanto el Apache como el PHP son el mismo proceso y por lo tanto PHP sabe que Apache no desea que ningún dato se lea de la carpeta

Todas las delegaciones como la de PHP tendrán como resultado hoyos en la seguridad

Y sin embargo a mí se me hace un error fatal que NginX permita la ejecución incluso como un delegado porque finalmente la solicitud de ejecución viene del navegador y la recibe el NginX, esto me dice que el NginX tiene poco código pero que esta programado por con las patas. Tan simple que sería no entregarle la ejecución al PHP-FPM

Como esta hoy el mundo de los servidores WEB

Apache nunca ha dejado de ser el rey indiscutido, esto es debido a que los administradores saben que es una gran pieza a la hora de despachar paginas WEB incluso si por seguridad debe cargar con módulos, en el 2007 Internet Information Server estuvo muy cerca de Apache como nunca antes un servidor WEB lo estuvo, sin embargo después del 2008 la gente perdió el interés y regreso a Apache.

Esto nos da muchos diagnósticos, aunque apache puede ejecutar .NET y ASPX con Mono, la realidad es que muy pocos sitios usan .NET porque su plataforma nativa es Windows con IIS y es obvio que si el total de IIS es mínima entonces los sitios con ASPX también son mínimos.

Por lo que en PHP vs (.NET C# ASPX)

PHP le pone una brutal paliza a .NET en el área de páginas WEB

Esta es la grafica de cómo se veía la guerra de servidores web en hace unos años


Ver mas grande

Y así se ve hoy en el 2012-05-14


Ver mas grande

2d3c

May 02

La red segura de Anonymous - Anonymous VPN

Hackers, Tools y Retos 10 Comments »

Muchos anonymous me dicen que solo critico su movimiento, que no aporto nada y que no los ayudo en nada.

Bueno, hoy voy a hacer mi buena acción del día.

Vi unos videos donde algunos usuarios de anonymous trataban de mantenerse anónimos, cuando los vi dije, pobrecitos. Así salvo guardan su identidad, que bonito es la ingenuidad e iba a responder esos Twitts, pero de nuevo me iban a decir que soy muy mal ciudadano del mundo, así que decidí apoyarlos en su causa, no atacando sitios, no me gusta lo ilegal, pero si defendiendo su derecho a la intimidad, garantizándoles seguridad para poder platicar entre ellos sin ser espiados por agencias de gobierno.

El servicio que les voy a proveer solo sirve para mantenerse anónimos, aunque lo deseen no podrán usarlo para atacar otros sitios en la red, así que mi apoyo termina solo con proteger su intimidad y para que por una vez al menos sean anónimos de verdad y no solo del nombre.
Porque anónimos por primera vez, pues he visto sus mecanismos de ocultación, dan miedo si piensan que así se pueden esconder, de hecho si no los han llevado a la cárcel es porque no quieren las autoridades ya que es muy fácil identificarlos y rastrearlos. Además que usan Twitter para coordinarse, otro grave error, porque twitter tiene que entregar los registros de al gobierno de USA, algunos piensan que con borrar cookies y ponerse un proxy de esos de internet se salvan, que ingenuidad, existen cookies no tradicionales, como las de flash que sobreviven al borrado, todo internet los rastrea, solo falta que pasen por una página con un botón de twitter o de facebook para que el gobierno sepa quiénes son aunque hayan cambiado 50 veces la ip y ninguno de sus métodos filtra esos detalles, ningún es anónimo y con botones de facebook por todos lados de me gusta en las páginas web, simplemente no pueden navegar sin dejar un rastro que facebook , google, twitter y youtube pueden seguir con una facilidad que muchos anonymous que juran estar seguros haría que se hicieran en los pantalones de lo que sabe el gobierno de ellos.

En otros intentos, tienen que instalar software de terceros, shareware y otros que de lejos se ve que tienen backdoor y virus escondidos, en mi solución no será necesario instalar nada de software maligno.

En fin, no seguiré criticando esos esfuerzos de anonimato, mejor los voy a ayudar con la VPN Anonymous de Last Dragon.

No tienen que instalar software raro que podría y que seguro traen backdoor para hacer zombie a tu computadora, aquí no tendrás que instalar nada en sus computadoras que no hayas instalado antes y que ya está probado que seguro.

Esto lo podrás realizar con un Windows XP, Vista y 7.

Requieres configurar una conexión de VPN de Windows, la conexión será cifrada para evitar que alguien pueda espiarte.

El servidor que provee la conexión es anonymous.lastdragon.net.

el usuario y la clave de para entrar es anonymous

Una vez dentro estarás en un submundo, en una intranet segura desde la que podrás mandar información segura. Adentro la ip 200.34.0.1 es la del servidor central anónimo y es el que proveerá los servicios de internet a tu conexión. Necesitas este servidor porque, tu computadora perderá conexión a internet, la recuperara cuando te desconectes de la VPN, ¿pero por que dejo que pierdas conexión? Es por tu protección, como dije antes las cookies y la ip no es lo único que puede delatarte y yo trato de garantizarte el anonimato.

Applets de Java, Applets de Flash y otros programas en las páginas WEB pueden delatar tu IP real y exponerte aun cuando crees que estas seguro, por ese motivo y para mantenerte seguro, tu conexión directa a internet será interrumpida.

¿Y como navegaras a internet así?
Instala si no lo tienes FireFox y en los proxys configura el 200.34.0.1 con el puerto 3128 , esta ip solo funciona cuando estas dentro de la VPN, si le configuras la IP sin estar conectado a la VPN no funcionara tu firefox. Esto debes hacerlo con FireFox funciona bien con este navegador, el Explorer no funciona y tal vez chrome tampoco funcione con este nivel de seguridad.

Si necesitas platicar con otros anonymous, cítate con ellos dentro de la VPN y usa el MIRC para enviar archivos o mensajes, a diferencia de twitter, facebook y otros todo lo que ocurre dentro de la VPN está cifrado y no hay forma de rastrear el origen y destino de los paquetes de datos, tampoco los participantes de las charlas sabrán cuál es tu verdadera ip. No uses Messenger ni ningún otro medio, lo que escribes viaja como texto plano y será leído si quieren por cualquier agencia de gobierno o espía.

En el MIRC usa el servidor central anónimo 200.34.0.1 y entren a un canal común como #anonymous, incluso si desean mas privacidad unos anonymous pueden moverse a canales privados donde ni siquiera los otros anonymous pueden saber que dicen.

El siguiente video muestra como configurar la VPN en Windows 7, es muy similar en XP y Vista no deberías tener problemas con tu Windows, también se muestra como configurar el firefox y como se conecta el MIRC

Ya no podrán decir que solo critico.

0