Archivo de la categoría: Anime

#FelizDiaGamer Lo que he jugado en 2015

#DiaGamer #FelizDiaGamer #DiaDelGamer

El tiempo pasa volando, recuerdo como si hubiera escrito ayer el post que escribí el año pasado donde hablaba acerca de los videojuegos que jugaba durante mi tiempo de estudiante y en mis ratos libres.

Pues este año ya termine mis estudios universitarios 🙂 y actualmente soy consultor de seguridad informática (yeiii), ya dedicándome de tiempo completo a la vida de profesionista uno pensaría que tiene mas oportunidad para jugar videojuegos, pero la verdad es que no XD, el tiempo de ocio que tengo es bastante limitado, puesto que tengo mis responsabilidades como consultor y a parte tengo mis propios clientes a los que les desarrollo software, sin embargo con todas estas responsabilidades me las he arreglado para dedicarle algo de tiempo a los videojuegos.

The Last of Us

the-last-of-us-remastered

Este año como explicaba en uno de mis post anteriores salí un poco del mundo del pc master race y me compre un ps4 y una pantalla de 55 pulgadas, lo que me permitió jugar varios títulos épicos de esta consola, The Last of Us fue sin duda un juego que me marco, una obra maestra en mi opinión. La combinación de horror, acción, narrativa, soundtrack y sobre todo la historia fue algo que me mantuvo atrapado durante meses (tarde un par de meses en terminarlo), pocos videojuegos en mi vida me han dejado con una necesidad de querer mas y mas, buscar mas y mas, terminar el juego e ir inmediatamente a los foros para participar en las discusiones de los fans, descargar soundtracks / fanArt, y en general querer saber todo en detalle de su universo.


Para que sientan los feels

The Witcher 3: Wild Hunt

witcher3_en_wallpaper_wallpaper_4_1920x1080_1433245801

The Witcher 3, un juego que salió en la primavera de este año, aun no lo termino pero con lo que llevo hasta el momento puedo decir que valió cada peso que invertí en el. En algún momento llegue a jugar The Witcher 1 (recuerdo que hubo un paquete en steam donde podías adquirir el 1 y el 2 por menos de 10 usd), así que cuando anunciaron The Witcher 3 mis amigos y yo nos emocionamos y todos lo compramos para empezarlo a la par, creo que soy el único que no lo ha terminado, pero hasta el momento me ha gustado bastante la historia, el estilo de combate, los personajes y el mini juego de cartas Gwent.

Counter Strike: Global Offensive

csgo

Regresando un poco al terreno de los juegos para PC uno de los videojuegos multiplayer que he jugado bastante este año es CS:GO, Counter Strike es uno de esos shooters que juegas por que tus demás amigos lo juegan y termina siendo divertido, es uno de esos juegos donde al jugar tu primera partida eres tan malo que terminas 0/20/0 (K/D/A), pero conforme vas practicando mas y mas tu score va mejorando y vas agarrando el mismo nivel de vicio que aquellos jugadores que llevan meses o años jugando. Como en la gran mayoría de estos juegos, CS tiene su modo de juego casual y competitivo, así que si estas en busca de verdaderos retos en el modo competitivo te enfrentaras a jugadores que pueden atinarte un headshot con la Desert Eagle a los 5 segundos de iniciada la partida.

La saga Mass Effect (1,2 y 3)

masseffect_all_lr2

Que puedo decir… una de las mejores sagas que he jugado jamás, acción, aventura, romance, etc. Mass Effect es uno de esos juegos que te marca por su historia y narrativa pues el destino de toda la galaxia esta sobre tus hombros!

En lo personal me agradan bastante los juegos donde tienes que tomar decisiones que tiene consecuencias inmediatas o a largo plazo, y lo mejor de esta saga es que las decisiones que tomes por ejemplo en Mass Effect 1, afectan la historia del Mass Effect 2 y asi sucesivamente.

Mass Effect es un juego con una inmersión tan fuerte que te hace desarrollar empatía y cariño hacia los personajes (aun recuerdo el intro de Mass Effect 2 o.o), durante la historia tendrás que tomar decisiones realmente difíciles que te harán meditar y preguntarte si lo que estas haciendo y el camino que estas tomando es el correcto, durante el juego te enfrentas con dilemas morales muy fuertes que en mi opinión podrían ser mucho mejores casos éticos que cualquiera que haya tomado en alguna clase de la universidad XD.

Dota 2

dota-2-official

Como muchos saben mi MOBA favorito es League of Legends, y como ya lo describí en el post de gaming del año pasado no veo razón para hablar de el de nuevo, por el contrario este año empecé a dar un poco mas de atención a DOTA 2, estuve atentó a su evento “The International” y lo he jugado mas seguido con mis amigos, creo que mi héroe favorito es Storm Spirit, después de ver como lo usaban durante el torneo me he decidido a masterizarlo 🙂

Heroes Of The Storm

Digc1RgXjF7p.878x0.Z-Z96KYq

Este MOBA lo conocí desde que salió, pero realmente nunca me llamo la atención, hasta que descubrí que mis demás amigos @calderpwn @_hkm @lightOS en la empresa de seguridad informática con la que trabajo lo jugaban XD, un día me invitaron a jugar con ellos y vi que era bastante divertido, ha diferencia de otros MOBAS que había jugado antes, este tenia la particularidad de que es 100% orientado al trabajo en equipo, durante la partida hay una serie de Quest o objetivos que tienes que cumplir, lograr un objetivo le da a tu equipo una ventaja muy grande, por lo que entre mas objetivos cumplas a lo largo de la partida será mas fácil ganarle al equipo contrario.

Touhou Project

474104__remilia-flandre-scarlet_p

La saga Touhou Project cuenta con mas de 20 juegos tipo arcade, desde bullet shooters hasta fighters, todos desarrolladores por una misma persona, un desarrollador que se hace llamar ZUN del Team Shanghai Alice. Descubrí por casualidad acerca de Touhou Project en una lista de reproducción de Youtube, cuando lo vi por primera vez pensé “parece divertido y la música es bastante buena” así que me empecé a meter en el universo, sinceramente son demasiados juegos así que empecé a jugar algunos de los primeros que salieron para plataformas Windows y son bastantes entretenidos, como son juegos en japonés tuve que buscar los respectivos parche en ingles y creo que de todos los que he jugado mi favorito hasta el momento es Adventure of Scarlet Curiosity 🙂

Lo que sigue … Metal Gear Solid V The Phantom Pain

Captura de pantalla 2015-08-29 a la(s) 23.06.41

Esta será la siguiente saga que comenzare a jugar :), sin embargo para no ser casual antes tengo que jugar los títulos anteriores ya que nunca he jugado ningún Metal Gear Solid, amigos cercanos me recomendaron que para obtener la máxima experiencia de esta historia tendría que jugar al menos Metal Gear Solid 3: Subsistence, Metal Gear Solid: Peace Walker y Metal Gear Solid V: Ground Zeroes, solo después podría estrenar el que compre.

Creo que esto es lo mas relevante que he jugado y jugare durante este año 🙂

Zankyou no Terror: Anime de temporada con muchas referencias a la cultura hacker

Atención

Este post contiene muchas descripciones de sucesos y situaciones que algunos lectores podrían considerar SPOILERS dañinos para su salud xD, se recomienda discreción al continuar leyendo 🙂

Hace aproximadamente 1 mes se estrenó el anime Zankyou no Terror (Terror in Resonance), a grandes rasgos la historia comienza cuando dos chicos colocan explosivos para derribar un par de edificios durante un acto terrorista, además una compañera de clases se ve involucrada durante lo ocurrido y termina siendo cómplice de ellos, sin embargo esto no fue lo más interesante para mí, ahora les cuento porque decidí escribir este artículo :).

Existen muchísimas series y películas en donde cuando involucran cosas relacionadas con el mundo de la tecnología o la cultura hacker se hacen referencias que llegan a dar bastante risa (o en otros casos ganas de llorar :p, estoy hablando de cuando muestran direcciones ip con valores arriba de 255, dirección en hexadecimal con G, H, I, j o hasta X (enserio xD) y ni mencionemos al estereotipo del “hacker” con lentes negros trabajando en una habitación en plena oscuridad.

Sin embargo este no fue el caso en Zankyou no Terror (por lo menos no tanto) y hasta pareciera que los escritores del anime se dieron a la tarea de hacer investigación respecto a algunas de las escenas de hacking que ocurren en el capítulo 4, el capítulo causo mucha discusión y polémica en boards como reddit y 4chan, entre gente que trataba de justificar si era posible hacer lo que se mostraba en la serie, es por eso que en este artículo daré mi opinión personal respecto a algunas escenas que me parecieron las más interesantes, también echare a volar un poco la imaginación.

Contexto del capitulo

Los dos niños terroristas empiezan a colocar explosivos mientras lanzan acertijos al departamento de policía de Japón, cuyo objetivo será resolverlos para de esta manera encontrar la ubicación de las bombas y desactivarlas. Así mismo uno de los “loquillos”, quien al parecer es un experto en informática super h4x0r, se da a la tarea de infiltrarse en los servidores de la policía xD.

Escena 1

20140804_224627

Contexto: La policía en una reunión interna está hablando sobre lo sucedido, y uno de sus expertos en informática está explicando que es difícil rastrear la ubicación de donde se publicaron los videos de YouTube debido a que los chicos utilizaron un software de anonimato llamado Tor.

Comentarios con un poco de imaginación: Pues eso, los protagonistas utilizaron Tor (Onion network, lo que se usa para acceder a la Deep web, etc) para “proteger” su identidad y después publicar sus videos en youtube, probablemente los publicaron con una cuenta recién creada y enviaron el link a algunos medios de comunicación influyente mediante cuentas de twitter también recién creadas.

¿Posibilidad?: Es tan posible que hasta un niño de 8 años podría hacerlo, solo hace falta descargarse el navegador tor y listo.

Escena 2

Zankyou no Terror - 04 - Large 04

Contexto: Los investigadores de la policía explican el material con el que fueron construidas las bombas con las que derribaron los edificios, también mencionan que algunos materiales fueron comprados utilizando tarjetas de crédito robadas (un saludo a todos los carders xD) por lo que no pueden vincular directamente las compras con los culpables.

Comentarios con un poco de imaginación: Las compras por Internet no son algo nuevo hoy en día, es posible conseguir este tipo de material “exótico” (TNT, nitroglicerina, termita, etc.) en el mercado negro o comprar la materia prima y fabricarlo uno mismo, los otros materiales que se mencionan como los detonadores se pueden conseguir en tiendas de construcciones y pagarlas con tarjeta de crédito, existen foros en internet en donde se pueden conseguir tarjetas de crédito con saldo desde 1 dólar, o hasta ellos mismos pudieron haberlas conseguido si tienen acceso a alguna botnet o algún sitio que utilice tarjetas de crédito como medio de pago. Probablemente los chicos compraron las suyas en algún foro ruso xD y con eso compraron los detonadores y el demás material, seguramente también hicieron uso de algún “drop” para que recibiera sus cosas y se las entregara.

¿Posibilidad?: 100% posible, la complejidad radicaría en la manera en que se consiguen las tarjetas de crédito, ya sea compradas en foros de carders u obtenidas por uno mismo, y bueno, también ponerse de acuerdo con un drop de “confianza” XD XD XD para que no te vaya a rippear / robar las cosas que pidas por Internet.

Escena 3

Zankyou no Terror - 04 - Large 05

Contexto: Aquí los investigadores rastrearon algunos componentes de las bombas usando el número de serie hasta una tienda en Internet donde se reciben “Kittocoins” XD XD XD, lo que hace aún más difícil rastrar a los chicos porque no hay entidades bancarias involucradas (a diferencia del fraude con tarjetas de crédito).

Comentarios con un poco de imaginación: Obvia referencia a Bitcoin, la cripto-moneda con más valor hoy en día, en la actualidad comerciar con el bitcoin y con cripto-monedas en general ya es una realidad (Lightcoin, Dogecoin, etc.), como ventaja, tenemos que es una moneda descentralizada y debido a que no hay instituciones bancarias involucradas es difícil para un tercero (alguien que no envió o recibió el pago) rastrar transacciones, hubo un par de charlas muy interesantes sobre el Bitcoin en #CPMX5 :).

¿Posibilidad?: Si, muy posible, cualquier persona con acceso a Internet puede abrir una Wallet y comenzar a comprar y vender bitcoins, los dueños de sitios web también pueden recibir pagos utilizando esta moneda, tan solo hace falta que publiquen la dirección a donde realizar los pagos, para mas información: Terminología del Bitcoin

Escena 4

Zankyou no Terror - 04 - Large 09

Contexto: Nuestro protagonista le dice a su amigo que encontró un backdoor en el sitio web de la policía http://ohcihsiek/hack.php, que al contrario es keishicoh que es la policía japonesa xD. Esta escena fue muy polémica en Reddit ya que la mayoría de la gente no entendió bien lo que sucedía, decían cosas como: “cómo es posible que la policia utilice contraseñas en texto plano para acceder a la página de la policía” o “Claro, soy un policía y mi contraseña es [email protected], nadie la descubrirá” xD, pero como bien decía nuestro protagonista, este era un backdoor que alguien más había subido al servidor, el solo estaba tratando de adivinar la contraseña para robarle el acceso al dueño original xD.

Comentarios con un poco de imaginación: Para empezar veamos que al dominio http://ohcihsiek/ le falta el .jp xD, así que digamos que nuestro protagonista edito su archivo hosts para que tuviera que escribir solo ohcihsiek sin el top level domain de japon por comodidad, flojera o que se yo xD, resuelta esa incógnita ahora pasamos a la manera en la que está haciendo la conexión y la fuerza bruta. Aquí podemos ser tan imaginativos como queramos para justificar el programita con el que está tratando de conectarse, creo que lo más sencillo es decir que tiene un pequeño script en donde defines una url y un parámetros y realiza una petición GET al servidor, parsea lo que devuelve el servidor y si no es lo que estas esperando (algún texto como Access granted o Login successful) te imprime un 404 Not Found en la consola, XD XD XD, por el contrario si la respuesta del servidor es lo que tú quieres el script lanza el navegador con la url, el parámetro y el valor que sirvió para acceder, está de más decir que es una completa tontería meter los datos a mano cuando pudo ser todo automatizado desde un diccionario.

¿Posibilidad?: Ammm un poco probable, encontrar backdoors si no tienes acceso al sistema mismo es complicado, es como si quisieras encontrar un número de teléfono en el directorio telefónico, pero este no tuviera índice ni nada y tienes solo el teléfono pero no tienes los datos de a quién pertenece ni nada relacionado con él; al menos que sea un webshell popular de esas que puedes encontrar usando dorks o que los buscadores la hayan indexado o compartido en foros de defacers, teniendo en cuenta que la webshell se llama hack.php, que es una palabra muy común, es probable que si haya sido indexada o compartida, ahora nos queda solamente la parte de adivinar la contraseña, lo cual si es complicado ya que aunque tengas el diccionario más completo si la contraseña del webshell es algo como iuy123%&/($%#klj123%&/ es muy probable que no la encuentres nunca, entonces mi teoría final es que algún amigo defacer de nuestro protagonista le dio acceso a esa webshell y a manera de reto le dijo, si adivinas la contraseña es tuya, entonces él protagonista se puso a probar los passwords que se le ocurrían hasta que intento con el nombre de su amigo defacer “peeponsanju” y esa era la contraseña correcta xD.

Escena 5

Capture2

Contexto: Bueno, una vez que adivinan la contraseña del webshell se encuentran con una interfaz similar a la de la imagen, en donde usando la consola web hace un wget a un archivo que se encuentra en el mismo dominio ??? y después ejecuta lo que descargo (que probablemente es un script), aquí una explicación profunda de por que ejecutamos scripts usando ./ Why do you need ./ (dot-slash) before script name to run it in bash?

Comentarios con un poco de imaginación: Para justificar esta parte se me ocurre que el protagonista en esta escena está escribiendo comando en una segunda webshell de un segundo sitio que tambien vulnero y que puede ser accedido solamente a través del primer servidor, como si el segundo servidor estuviera en una intranet, entonces para subir archivos al segundo servidor, primero debe de subirlos al primero, http://ohcihsiek/, (valga la redundancia). Además en la segunda webshell si utiliza el dominio completo http://www.ohcihsiek.jp/, lo que apoyaría aún más mi teoría de que el protagonista modifico su hosts xD, adelantándome un poco a lo que viene en las siguientes escenas, el script que descargo y ejecuto probablemente lo que hace es descargar malware, mas scripts y otros binarios que permitan ganar root del server, así como hacer tunneling para hacer las conexiones más transparentes hacia las máquinas de la intranet xD.

¿Posibilidad?: Posible, en este punto el protagonista demuestra ciertos conocimientos sobre redes, algunos protocolos de red y administración de sistemas xD.

Escena 6

Capture3

Contexto: En esta escena se muestra un control total del departamento de policía por el protagonista.

Comentarios con un poco de imaginación: Del lado derecho se puede ver un software que parece ser un cliente FTP conectado a un servidor con nombre MPD Server (¿Metropolitan Police Department?), en medio una Shell de Windows que está ejecutando un tracert a google que pasa por www.ohcihsiek.tokyo_archive.jp (estos pueden ser dominios dentro de la misma red) y también se ven varias referencias a softether.co.jp que es un servicio real de VPN. La información arrojada por el tracert nos muestra detalles interesantes, como que el request hace saltos hacia nodos de la VPN, esto podría implicar que los servidores están usando la conexión segura.

Entonces la teoría es que el protagonista ya ganando acceso a las máquinas de la intranet mediante el servidor web, consiguió privilegios de super usuario, system en el caso de Windows, y conecto las máquinas de la policía al servicio de VPN que compro en softether, lo más seguro es que la maquina desde donde está atacando también ya esté dentro de la VPN o alguna otra, el punto es que en este momento ya hay una comunicación segura establecida entre el atacante y las máquinas de la intranet de la policía xD, todo eso sin que el hacker sea detectado por IDS, IPS o antivirus xD.

¿Posibilidad?: Es muy posible, pero no es trivial, aquí las acciones del protagonista ya implicarían un conocimiento profundo de redes, seguridad informática, comunicaciones, administración de sistemas, configuración de VPNs, etc.

Escena 7

Capture5

Contexto: En el último reto que lanzan los terroristas tiene que ser resuelto utilizando una página web donde aparece un contador, tiene un formulario con un campo de texto para escribir la contraseña y se supone que si se ingresa la contraseña correcta el explosivo del reto queda desactivado.

Comentarios con un poco de imaginación: Esto se resolvería desarrollando una pequeña página web con JavaScript para el contador y PHP para validar la contraseña introducida del lado del servidor, la contraseña puede estar hardcodeada en el propio script, el desarrollo del sitio web no tendría nada de ciencia, y creo que la parte de conectar la página web y el servidor en si a la bomba se podría resolver con un arduino xD. El script en PHP se podría conectar a un socket o algo por el estilo cuando recibiera la respuesta correcta y con eso desactivar la bomba.

¿Posibilidad?: Es posible, se necesitarían conocimientos de desarrollo web básicos y conocimientos medios de C, Arduino y microcontroladores en general, ha y por supuesto ser todo un experto en bombas y explosivos xD.

Escena 7

Captur6

Zankyou no Terror - 04 - Large 32

Contexto: Una vez que el contador de la página web llegaba a 0 resulta que la bomba no era bomba, bueno al menos no de las que explotan, si no lo que ocurrió es que el protagonista hacker hizo público todos los documentos de investigaciones internas del departamento de policía de Japón xD via twitter.

Comentarios con un poco de imaginación: Aunque esto suene descabellado es bastante posible, se podría realizar un pequeño script en bash que utilizara la api de twitter, incluyera la api key y secret key desde donde queremos twittear, y en donde mediante comandos como find o locate listara todos los archivos docx, pptx, xlsx, pdf, txt, imágenes, vídeos, audios (y en general cualquier tipo de archivo) que queramos de un servidor para publicar un tweet con ellos, debido a que twitter solo permite adjuntar imágenes, se podrían subir los archivos antes a algún otro servicio como mega, fileupload, fileshare, etc usando sus respectivas apis y ya solo se publicaría el link del archivo en el tweet final xD.

¿Posibilidad?: Es bastante factible poder hacer esto, se necesitarían conocimientos de programación, bash / batch si queremos hacer scripts rápidos, y saber cómo usar las apis de los servicios a utilizar (twitter, mega, fileshare, etc), podríamos desarrollar nuestros scripts tan sofisticados como queramos, incluso hacer que se twittearan archivos si cumplen solo ciertas características como fechas de creación, de modificación, extensión del archivo, peso del archivo, propietario del archivo y muchas cosas más :).

Escena 7

Capture7

Capture4

Contexto: Una vez que todos los documentos salen a la luz aparece una persona, quien al parecer es un administrador de sistemas de la policía encargado de proteger toda la información y los servidores xD, y quien está bastante frustrado por el hackeo que acaban de recibir x’D (ahí lo pueden ver casi llorando en su escritorio).

——————————————————————————————————-

Bueno espero les haya gustado esta publicación y se hayan divertido tanto como yo pensando y descubriendo que tanta realidad hay en la ficción :p, creo que siempre es un buen ejercicio voltear a ver las cosas que están haciendo los demás y hacerse la pregunta a uno mismo ¿Cómo lo haría yo?

Los dejo con el opening de la serie que por cierto es bastante bueno 🙂

Salu2