Portada
mis comunidades
otras secciones
#85 Uso el voto positivo o negativo cuando estoy o no de acuerdo con algo, con todo lo que tu dices no estoy de acuerdo, ya que no solo he he hecho un MitM (
y después de habérselo avisado a los responsables de movilidad de la EMT en público y en persona ( y haberles ofrecido ayuda y nuestra app (gratis), creo que cometer el mismo error otra vez está muy mal hecho.#95@Salmonela si todo esto
solo es capturar tráfico, vuelve a donde hayas estudiado anda, que necesitas repasar un poquitín.#97 Que hayan analizado la aplicación y te expliquen el procedimiento no quiere decir que hayan hackeado nada. Confundes una parte del proceso con el proceso completo. Por ponerte un ejemplo. hacer ingeniería inversa de una aplicación, aunque sea java que sacas el source casi real, aunque no este ofuscado, solo por el volumen de codigo puede ser una labor que lleve meses. Pero eso no quiere decir que hayas hackeado nada. Te hablaría mas concretamente del video pero ahora mismo no puedo ponerme con un video de 45 minutos. Tendras que esperar a la noche.
#98 Si de verdad crees que hacer un MitM e ingeniería inversa sobre un código ofuscado para encontrar una vulnerabilidad y reportarla públicamente no tiene nada que ver con la definición de security hack, entonces no es necesario que pierdas tus 45 minutos para concretar tu opinión, no me interesa conocerla.
#99 Y por cierto, ofuscar el codigo java solo hace que lleve mas trabajo, pero no tiene nada de complicado. La unica parte que puedes ofuscar son los objetos que creas tu. Luego llega un momento que son llamadas al API de Java y eso no lo puedes renombrar, por lo que con eso deduces la utilidad de cada clase. Ademas de que no necesitas analizar todo el código. Por ejemplo si quieres crackear algo, lo primero que debes hacer es localizar los strings, por ejemplo el de validacion de licencia (el texto del boton, de la respuesta, el titulo del dialog, etc) y ya de ahí solo analizas la parte que necesitas. ¿Alguna vez lo has hecho? ¿No verdad?
#103 ¿No te estoy diciendo que si? Que mal me debo expresar...
#110 Estamos de acuerdo en que no estamos de acuerdo.
#92 Me refería a cosas que nos encontramos como idestacion, numero_estacion, activo, bases_libres, numero_bases, bicis_enganchadas, luz, no_disponible, porcentaje...
De todas ellas me quedo con luz que es un string con un integer dentro...
#86 Si sacar las estaciones está tirado, lo que es (un poquito, no mucho, jeje) mas complicado es el login. Aquí mas info sobre este tema:
#85
Pues las apps que simplemente ponen iAds o Google Ads, ya están ganando dinero. Las que tienen in-app purchase también. ¿Ves alguna forma de que nosotros ganemos dinero con esto? No, porque no la hay.
Con perdidas nos referimos a gasto en servidores, licencias de las stores, camisetas, pegatinas para los usuarios... Todo eso sale de nuestro bolsillo y no esperamos nada a cambio. Por lo que no, no queremos ganar dinero con esto. En el TechHub explicamos que no teníamos modelo de negocio porque no es un negocio, lo hacemos para pasarlo bien y para que la gente pueda usar las bicis de Madrid sin desesperarse con una app que no funciona.
Lo de "hacker" lo dice el artículo, yo no me considero un "hacker", simplemente me parece mal hacer público el fallo hasta que no lo arreglen, nada de romanticismo... Si Bonopark nos denuncia por lo menos se comunicarían con nosotros, cosa que no ha ocurrido en ningún momento, pero no nos denunciarían por lucrarnos porque eso no ha ocurrido. ¿Consideras lucrarse tres meses de Dropbox o un 15% de descuento para comprar productos de Adobe? Porque es el tipo de cosas que nos ha dado FBStart.
Y a tu pregunta, no, no hace falta cambiar el user-agent, no hace falta saltarse el CSRF, no hace falta ninguna de esas cosas porque la seguridad que metieron a la API después de esto (https://eskerda.com/auditoria-bicimad/) fue nula.
#81
- Primero, nada de CSRF, simplemente utilizamos su API igual que la utilizan ellos.
- Segundo, solo hemos tenido pérdidas, los $40000 de FbStart son solo en software y SAAS pero ni un euro en cash ni en inversión. No ganamos ni un euro con esto.
- Tercero, a Bonopark hemos intentado contactarles de mil maneras y pasan de nosotros. Ya tengo escrita la auditoría para nuestro blog, al igual que tenemos pensado hacerlo todo Open Source, pero no pienso sacarla hasta que no arreglen la API.
#84 Mira, ya que me calzas un negativo a un comentario sin seguir las reglas de menéame (racismo, insulto, spam), y eres el autor de la app, voy a ser más crudo y menos comedido.
Un API está hecho por definición para ser utilizado por otro software como una capa de abstracción. Dado que ellos no han dado su autorización para ser usada, ni la han documentado para tal fin, es trivial deducir que a lo que tú llamas API, realmente es un uso ilícito de sus funciones privadas a las que tienes acceso porque has hecho reversing a la aplicación de android o has escuchado las peticiones en plano.
Por cierto, si dices que has tenido perdidas, entiendo que estamos hablando de algo empresarial con el fin de ganar dinero. Volvemos a lo mismo ¿hacer dinero usando los sistemas de un tercero que no te autoriza a ello? A mi no me parece algo sobre lo que ir presumiendo.
Desde que os han dado un euro para esto, en especias por lo que indicas, el romanticismo del hacker que va buscando fallos de seguridad por compromiso con la comunidad se acaba, y viene la parte empresarial. Y no saldríais bien parados si bonopark os denuncia por lucraros de este modo.
Una pregunta sin maldad ¿para "acceder" a la "API" de bonopark es necesario impersonarse (ej. via user-agent) como si fuerais la aplicación original?
#85
Pues las apps que simplemente ponen iAds o Google Ads, ya están ganando dinero. Las que tienen in-app purchase también. ¿Ves alguna forma de que nosotros ganemos dinero con esto? No, porque no la hay.
Con perdidas nos referimos a gasto en servidores, licencias de las stores, camisetas, pegatinas para los usuarios... Todo eso sale de nuestro bolsillo y no esperamos nada a cambio. Por lo que no, no queremos ganar dinero con esto. En el TechHub explicamos que no teníamos modelo de negocio porque no es un negocio, lo hacemos para pasarlo bien y para que la gente pueda usar las bicis de Madrid sin desesperarse con una app que no funciona.
Lo de "hacker" lo dice el artículo, yo no me considero un "hacker", simplemente me parece mal hacer público el fallo hasta que no lo arreglen, nada de romanticismo... Si Bonopark nos denuncia por lo menos se comunicarían con nosotros, cosa que no ha ocurrido en ningún momento, pero no nos denunciarían por lucrarnos porque eso no ha ocurrido. ¿Consideras lucrarse tres meses de Dropbox o un 15% de descuento para comprar productos de Adobe? Porque es el tipo de cosas que nos ha dado FBStart.
Y a tu pregunta, no, no hace falta cambiar el user-agent, no hace falta saltarse el CSRF, no hace falta ninguna de esas cosas porque la seguridad que metieron a la API después de esto (https://eskerda.com/auditoria-bicimad/) fue nula.
#86 ¿algún@admin que evite que@Salmonela censure mi uso del positivo y negativo?
#85 Uso el voto positivo o negativo cuando estoy o no de acuerdo con algo, con todo lo que tu dices no estoy de acuerdo, ya que no solo he he hecho un MitM (
y después de habérselo avisado a los responsables de movilidad de la EMT en público y en persona ( y haberles ofrecido ayuda y nuestra app (gratis), creo que cometer el mismo error otra vez está muy mal hecho.#95@Salmonela si todo esto
solo es capturar tráfico, vuelve a donde hayas estudiado anda, que necesitas repasar un poquitín.#97 Que hayan analizado la aplicación y te expliquen el procedimiento no quiere decir que hayan hackeado nada. Confundes una parte del proceso con el proceso completo. Por ponerte un ejemplo. hacer ingeniería inversa de una aplicación, aunque sea java que sacas el source casi real, aunque no este ofuscado, solo por el volumen de codigo puede ser una labor que lleve meses. Pero eso no quiere decir que hayas hackeado nada. Te hablaría mas concretamente del video pero ahora mismo no puedo ponerme con un video de 45 minutos. Tendras que esperar a la noche.
#98 Si de verdad crees que hacer un MitM e ingeniería inversa sobre un código ofuscado para encontrar una vulnerabilidad y reportarla públicamente no tiene nada que ver con la definición de security hack, entonces no es necesario que pierdas tus 45 minutos para concretar tu opinión, no me interesa conocerla.
#99 Y por cierto, ofuscar el codigo java solo hace que lleve mas trabajo, pero no tiene nada de complicado. La unica parte que puedes ofuscar son los objetos que creas tu. Luego llega un momento que son llamadas al API de Java y eso no lo puedes renombrar, por lo que con eso deduces la utilidad de cada clase. Ademas de que no necesitas analizar todo el código. Por ejemplo si quieres crackear algo, lo primero que debes hacer es localizar los strings, por ejemplo el de validacion de licencia (el texto del boton, de la respuesta, el titulo del dialog, etc) y ya de ahí solo analizas la parte que necesitas. ¿Alguna vez lo has hecho? ¿No verdad?
#103 ¿No te estoy diciendo que si? Que mal me debo expresar...
#110 Estamos de acuerdo en que no estamos de acuerdo.
#92 Me refería a cosas que nos encontramos como idestacion, numero_estacion, activo, bases_libres, numero_bases, bicis_enganchadas, luz, no_disponible, porcentaje...
De todas ellas me quedo con luz que es un string con un integer dentro...
#86 Si sacar las estaciones está tirado, lo que es (un poquito, no mucho, jeje) mas complicado es el login. Aquí mas info sobre este tema:
#85
Pues las apps que simplemente ponen iAds o Google Ads, ya están ganando dinero. Las que tienen in-app purchase también. ¿Ves alguna forma de que nosotros ganemos dinero con esto? No, porque no la hay.
Con perdidas nos referimos a gasto en servidores, licencias de las stores, camisetas, pegatinas para los usuarios... Todo eso sale de nuestro bolsillo y no esperamos nada a cambio. Por lo que no, no queremos ganar dinero con esto. En el TechHub explicamos que no teníamos modelo de negocio porque no es un negocio, lo hacemos para pasarlo bien y para que la gente pueda usar las bicis de Madrid sin desesperarse con una app que no funciona.
Lo de "hacker" lo dice el artículo, yo no me considero un "hacker", simplemente me parece mal hacer público el fallo hasta que no lo arreglen, nada de romanticismo... Si Bonopark nos denuncia por lo menos se comunicarían con nosotros, cosa que no ha ocurrido en ningún momento, pero no nos denunciarían por lucrarnos porque eso no ha ocurrido. ¿Consideras lucrarse tres meses de Dropbox o un 15% de descuento para comprar productos de Adobe? Porque es el tipo de cosas que nos ha dado FBStart.
Y a tu pregunta, no, no hace falta cambiar el user-agent, no hace falta saltarse el CSRF, no hace falta ninguna de esas cosas porque la seguridad que metieron a la API después de esto (https://eskerda.com/auditoria-bicimad/) fue nula.
#81
- Primero, nada de CSRF, simplemente utilizamos su API igual que la utilizan ellos.
- Segundo, solo hemos tenido pérdidas, los $40000 de FbStart son solo en software y SAAS pero ni un euro en cash ni en inversión. No ganamos ni un euro con esto.
- Tercero, a Bonopark hemos intentado contactarles de mil maneras y pasan de nosotros. Ya tengo escrita la auditoría para nuestro blog, al igual que tenemos pensado hacerlo todo Open Source, pero no pienso sacarla hasta que no arreglen la API.
#84 Mira, ya que me calzas un negativo a un comentario sin seguir las reglas de menéame (racismo, insulto, spam), y eres el autor de la app, voy a ser más crudo y menos comedido.
Un API está hecho por definición para ser utilizado por otro software como una capa de abstracción. Dado que ellos no han dado su autorización para ser usada, ni la han documentado para tal fin, es trivial deducir que a lo que tú llamas API, realmente es un uso ilícito de sus funciones privadas a las que tienes acceso porque has hecho reversing a la aplicación de android o has escuchado las peticiones en plano.
Por cierto, si dices que has tenido perdidas, entiendo que estamos hablando de algo empresarial con el fin de ganar dinero. Volvemos a lo mismo ¿hacer dinero usando los sistemas de un tercero que no te autoriza a ello? A mi no me parece algo sobre lo que ir presumiendo.
Desde que os han dado un euro para esto, en especias por lo que indicas, el romanticismo del hacker que va buscando fallos de seguridad por compromiso con la comunidad se acaba, y viene la parte empresarial. Y no saldríais bien parados si bonopark os denuncia por lucraros de este modo.
Una pregunta sin maldad ¿para "acceder" a la "API" de bonopark es necesario impersonarse (ej. via user-agent) como si fuerais la aplicación original?
#85
Pues las apps que simplemente ponen iAds o Google Ads, ya están ganando dinero. Las que tienen in-app purchase también. ¿Ves alguna forma de que nosotros ganemos dinero con esto? No, porque no la hay.
Con perdidas nos referimos a gasto en servidores, licencias de las stores, camisetas, pegatinas para los usuarios... Todo eso sale de nuestro bolsillo y no esperamos nada a cambio. Por lo que no, no queremos ganar dinero con esto. En el TechHub explicamos que no teníamos modelo de negocio porque no es un negocio, lo hacemos para pasarlo bien y para que la gente pueda usar las bicis de Madrid sin desesperarse con una app que no funciona.
Lo de "hacker" lo dice el artículo, yo no me considero un "hacker", simplemente me parece mal hacer público el fallo hasta que no lo arreglen, nada de romanticismo... Si Bonopark nos denuncia por lo menos se comunicarían con nosotros, cosa que no ha ocurrido en ningún momento, pero no nos denunciarían por lucrarnos porque eso no ha ocurrido. ¿Consideras lucrarse tres meses de Dropbox o un 15% de descuento para comprar productos de Adobe? Porque es el tipo de cosas que nos ha dado FBStart.
Y a tu pregunta, no, no hace falta cambiar el user-agent, no hace falta saltarse el CSRF, no hace falta ninguna de esas cosas porque la seguridad que metieron a la API después de esto (https://eskerda.com/auditoria-bicimad/) fue nula.
#86 ¿algún@admin que evite que@Salmonela censure mi uso del positivo y negativo?