:::: MENU ::::

¡Cuidado con las contraseñas!

Supongo que estaréis cansados de escuchar lo mismo cada día, cuidado con las contraseñas es una frase que os dirán muchos informáticos/hackers cuando os hablen de seguridad informática.
Por si no sabéis por que o creéis que el riesgo es inferior y os pensáis que cuando os lo decimos somos exagerados, voy a explicar varias razones por las cuales deberíais tener contraseñas largas, raras, diferentes en todos los sitios y además, a ser posible, con un segundo o incluso tercer factor de autenticación (con un segundo factor es suficiente, aun que aun así, no estamos nunca del todo seguros).

Razones para que la contraseña no tenga sentido
Sinceramente, no eres el único que sabe cuando te casastes (se acordará más tu mujer) y tampoco eres el único que sabe el nombre de tu perro. Y sí, sobre esto creo que no hay más.

Razones para que las contraseñas sean largas y raras
Básicamente una de las razones fundamentales es para evitar la fuerza bruta, que consiste en probar contraseñas hasta averiguarla, obviamente eso no lo hace una persona si no un programa, y es por ello que no se cansa de probar hasta encontrarle, obviamente llegará un punto que se dará por vencido, pero eso significa meses probando, ya que con la velocidad de los proxies que iría intercambiando, buf, mejor ni pensar en esa velocidad que nos deprimimos. Obviamente, si es una contraseña que no tenga nada que ver con internet o que sea una conexión rápida, supondría mucho menos esfuerzo, pero aun así hay una cosa llamada diccionarios, por lo que si pones algo coherente será más fácil encontrarla puesto que es lo primero que buscan dichos programas. Además, si intentan “desencriptar” (y lo pongo entre comillas por que no se desencripta) van a buscar el hash (lo cual mencionaré en la siguiente razón) y cuanto más complicada sea, menos posibilidades habrá de que la haya generado el robot que va metiendo contraseñas (si no la ha introducido otra persona ya por que apretó al azar las mismas teclas/números/símbolos que tu, lo cual es extraño).

Razones para que sean diferentes en todos los sitios
Para empezar hay sitios que ni encriptan las contraseñas al almacenarlas (lo cual es ilegal según el artículo 93.3 del reglamento que desarrolla la Ley orgánica de protección de datos), y los hay que encriptan las contraseñas con métodos comunes, por ejemplo, una de las encriptaciones más realizadas es la de MD5. Muy bien, ¿cual es el problema de eso? pues muy fácil, si encuentran una vulnerabilidad en el sitio web en cuestión mediante la cual puedan acceder a la base de datos (o al sitio donde guarden dichas contraseñas) simplemente será tan fácil como buscar tu nombre para encontrarlas, y si las tienen y tienes la misma contraseña en todas las páginas webs… Creo que no hace falta decir nada más.
¿Y que pasa si está encriptada diréis algunos? Pues como he mencionado anteriormente hay webs que ofrecen gigantescas bases de datos repletas de palabras y combinaciones con un montón de variedad de Hashes para poder encontrar dicha contraseña. Es posible que otra contraseña que no sea la tuya también te permita entrar a una web puesto que hay un número de hashes limitado y por ello se van repitiendo, pero hay poquisimas posibilidades entre incontables millones, por lo que eso no debería preocuparte, pero si que es posible que si pongo ‘a’ en un caso hipotético eso coincida con ‘sijndf9uewghf98342egf4eg894g89324tg89gt80934e2’ (me lo he inventado, pero podría ocurrir), y entonces la contraseña ‘sijndf9uewghf98342egf4eg894g89324tg89gt80934e2’  pasaría a ser una de las más inseguras del mundo. Adjunto abajo un ejemplo de contraseña “desencriptada”.

Hash 'e10adc3949ba59abbe56e057f20f883e' MD5 "desencriptado"

Hash ‘e10adc3949ba59abbe56e057f20f883e’ MD5 “desencriptado”

Creo que con eso queda claro el por qué usar contraseñas diferentes en todos los sitios, contraseñas largas (si eres un gurú de la seguridad comprobando que no coincida con ninguna contraseña de al menos 8 caracteres con todos los simbolos en MD5 y SHA1), contraseñas con muchisimos símbolos y sin sentido para evitar que la descifren y evitar fuerza bruta y diccionarios, etc.

Una herramienta que os puede resultar útil es haveibeenpwned.com, una web que comprueba si has sido víctima sin darte cuenta de accesos indeseados a varias empresas, entre ellas Adobe, que tubo una gran crisis no hace demasiado tiempo, y lo comprueba ya que muchas veces las contraseñas son publicadas en lugares como pastebin (y también otro tipo de información sensible). Obviamente no contiene todas, pero si bastantes, si sales ahí, al menos date por aludido y cambia la contraseña, y no digas “no van a por mi, no me harán nada”, por que esto no es así, y si no puedes buscar libros, documentales, vídeos, charlas, etc.

Ya que estoy os cuento una anécdota:
Hará un año más o menos, me aburría bastante, así que decidí hacer un robot que generara Hashes en MD5 y SHA1 y me los guardara en una base de datos junto a su respectiva cadena de texto para poder tener contraseñas a cholón a lo MD5decoder (entre otros cientos de webs existentes que ofrecen exactamente lo mismo). El robot iba generando contraseñas con un patrón, empezaba a, b, c… y, z, aa, ab, ac… zy, zz, aaa; más o menos como Excel, pero no solo con letras, también con números y caracteres que se usan comunmente en contraseñas (es decir, los que están en el teclado), tardé solo 20 minutos y generaba hasta 10.000/segundo y los guardaba en MySQL, en nada conseguí 100 millones de contraseñas, pero lo paré por que ocupaba mucho espacio, y total, solo quería demostrar que se podía hacer, con solo 20 minutitos de mi tiempo pude hacer eso, con ello demuestro que MD5 y SHA1 no es lo mejor a la hora de encriptar. Os iba a adjuntar el código, pero cabezón de mi, lo perdí al formatear :(

Bueno, ya es martes, un día menos para llegar al fin de semana, recordad que sigo preparando un post algo especial en el cual me gustaría eneñar a crear un chat seguro en C#, y explicaros cuatro cositas sobre los chats más comunes a la par que inseguros ;)

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

Conectarse a una red Wi-Fi pública es un suicidio

Contínuamente estamos pendientes de encontrar alguna red donde conectarnos para no gastar nuestros “valiosos” megas, ¿verdad?
Con este post quiero demostrar que dichas acciones no son las más recomendables, os lo aseguro.

La cosa es que cuando te conectas en una red pública, no sabes a dónde te estás conectando, ni a través de dónde estás entrando a internet. Si vamos a una cafetería que ponga ‘Wi-Fi Zone’ lo más seguro es que sea un router normal con Ono, Movistar o cualquier otra ISP de estar por casa. Lo que quiero decir con eso es que un router de ese tipo no tiene ningún tipo de seguridad, cualquiera se puede conectar, y al ser algo tan pequeño con herramientas como Network Spoofer para Android, FaceNiff (también de Android) o Wireshark (de Windows), entre otras de ámbito más profesional, o incluso propias, podéis encontraros con un Man in the Middle, que traducido es básicamente “El hombre en medio”, que consiste básicamente en un dispositivo (móvil, ordenador…) que se conecta a la misma red y hace algo como: “A partir de ahora todo el tráfico pasa por mi, por que nadie en ese router lo puede evitar, y yo me encargo de rebotaros a internet y viceversa”, lo que supone un grave peligro.

¿Qué permiten hacer esas herramientas?
Pues muy fácil, la primera es más que nada para “divertirse” un rato, nos permite alterar las páginas web, pero puede llegar a suponer un gran problema de seguridad, puesto que puedes estar entrando a Facebook, Twitter o lo que sea, alterar el contenido de dicha página y colarte un exploit, un archivo (en el que tu confies al no tener constancia del Man in the Middle), etc. Con ello podrías obtener un rico troyano. Adjunto abajo una captura para que se aprecie lo fácil que puede ser usarlo con tan solo unos conocimientos básicos de inglés, y por ello el riesgo que implica.
El segundo es algo más mezquino, en un principio nos permitía robar cuentas de Facebook, pero ahora mismo permite robar cuentas de muchos más servicios, como Twitter, YouTube, VK Videos, GMail, etc.
El tercero es un analizador de paquetes, se requieren más conocimientos para usarlos, puesto que los demás los puede usar cualquiera que sepa leer en inglés, en este en cambio eres tu el que se encarga de revisar los paquetes que se envían por tu red, pero de la misma forma podrías robar cuentas de Facebook, de Twitter, de Tuenti, etc… vamos, lo que se te ocurra (y no solo robar cuentas, puedes robar cualquier tipo de información que pase por la red.

 

Captura de Network Spoofer de Android

Captura de Network Spoofer de Android

No quiero decir que pase en todas las redes Wi-Fi pasen esas cosas, pero si que, desafortunadamente, pasa en muchas, sobretodo en sitios grandes tales como un aeropuerto, un Starbucks, etc.
Y desafortunadamente también, pueden ocurrir cosas así en redes de colegios y sitios donde niños de 5 años puedan conectarse con sus reducidos conocimientos acerca de internet, y, al entrar en una página de juegos, encontrarse un contenido no demasiado agradable, y eso ha pasado, demasiadas veces ya, por falta de seguridad.

¿Cómo se puede evitar?
Lo que recomiendo es que nunca os conectéis a una red pública (excepto si os encontráis en un caso de emergencia de tal magnitud que sin contacto con el exterior os puedan suceder cosas graves, lo cual no debería pasar…).
Además de no conectaros a redes públicas, tampoco a ninguna red privada en la cual no confiéis, hay redes en institutos la contraseña de las cuales solo es conocida por sus alumnos, pero con la cantidad de información que hay en internet, y reiterando menciono este blog, es tan fácil para alguien que posea un móvil como buscar ‘hackear mi instituto’ o cosas así, y con saber leer inglés (como se puede apreciar en la imágen superior) y con un teléfono rooteado con Android (el cual se rootea en 5 minutos), es tan fácil como seleccionar entre unas apetitosas opciones la que nos haga más ‘gracia’.
Otra recomendación sería desactivar el Wi-Fi al salir de casa. ¿Por qué? Pues por que muchos teléfonos (como es el caso de iPhone) se conectan a las redes que tengan guardadas, es puede ser útil y perjudicial a la vez sin su determinada seguridad (la cual no hay en dicho teléfono) puesto que si encuentra un router con el mismo SSID (con ello quiero decir, una red con el mismo nombre) se intentará conectar, ignorando la dirección MAC y cualquier otro parámetro vital para evitar la desafortunada conexión, de modo que si quieren hacerte un Man in the Middle planificado, solo tienen que acercarse a tu casa, ver cual es el nombre de tu red (con suerte no tendrán que sacar la contraseña a fuerza bruta o con diccionarios/cálculos) y crear una red, ya sea con el móvil (si no tienen nada más) o con un router y usar una de las herramientas mencionadas anteriormente (u otra que hayan creado ellos mismos, o incluso otra que haya en internet, puesto que las hay para aburrir).

El artículo de hoy ha sido algo más pobre puesto que no estaba demasiado inspirado, ha sido una idea de última hora puesto que estaba preparando algo para hoy pero no me ha dado tiempo, espero tenerlo para esta semana. Feliz resto del lunes y que aprovechéis bien la semana ;)

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

Todo es posible si tienes acceso físico

Tal vez os extrañe un poco el título del post, la verdad es que puede significar muchas cosas, pero en verdad eso pasa con todo. Tal vez quiera hacer referencia a algo como: “por teléfono no te puedo pegar, pero si te tengo delante, sí”, eso es así en cuanto a seres humanos, pero ocurre lo mismo en cuanto a máquinas (a pesar de los cifrados de los cuales no hablaré en este post).

A veces la gente puede llegar a creer que está segura solo con poner una contraseña al ordenador, o un patrón en el móvil, etc. pero la verdad es que eso es totalmente falso.
Hay muchos métodos con los que se puede conseguir el acceso total a un dispositivo, pero si tenemos acceso a el de forma física, nuestras posibilidades crecen de forma exponencial. En el caso de iPhone a veces puede ser tan simple como preguntarle a Siri quien somos, cambiar la contraseña desde otro teléfono y poner el código de confirmación que nos sale en la vista previa del mensaje (obviamente, puede ser desactivado, pero es una forma de las miles que hay, y ya por no hablar de si tenemos un ordenador a mano al que conectarlo).

Si tenemos un ordenador y tenemos otro dispositivo muchas veces es tan fácil como conectarlo, otras habrá que hacer alguna que otra cosilla, pero casi siempre lograremos el acceso sin tener que complicarnos demasiado. Es algo sencillo. En el caso de iPhone, al conectarlo a un PC tenemos acceso completo a sus datos de una manera más o menos sencilla, es por ello que no debemos enchufarlo vía USB a donde nos de la gana, si no que debemos tener en cuenta dónde lo estamos enchufando. Si vas a casa de un “amigo” (que no sea tan amigo) y os dice que podéis cargar vuestro dispositivo enchufándolo a su ordenador, en cuestión de milisegundos ya ha podido inyectaros cualquier cosa, ver vuestras fotos, leer/modificar vuestros WhatsApps (se puede ver un ejemplo aquí) y claro, imaginaos que ese “amigo” es vuestro jefe y os la quiere liar, con eso puede (excepto si recordemos que un mensaje en WhatsApp no tiene validez legal).
Obviamente lo de WhatsApp no es lo único que se puede hacer, hay muchisimas cosas que se pueden hacer, y no solo en iPhone, también en Android, BBOS o cualquier otro sistema operativo (para que luego no me digáis que odio Apple).

Pero no solo quería hablaros de móviles, también de otros dispositivos, y con ello no me refiero a Tablets, consolas portátiles y eso (que también) si no a ordenadores. Obviamente la gente normalmente ni tan solo se molesta en poner una contraseña en Windows por que no son conscientes del peligro, y por pereza pasan del tema, pero si olvidamos ese alto porcentaje de la población, y nos encontramos con que han puesto una contraseña, la solución es tan fácil como meter un Pen Drive (o en su defecto un CD/DVD) con un programa para Bootear (por no hablar ya si conseguiis que se ejecute un archivo en un Pen Drive directamente, de esa ya os doy un “Premio Martincito”). Bueno, que me salgo del tema, si tenemos un Pen Drive booteable, que lo podemos conseguir con cosas como Hiren’s BootCD (y lo metemos hacemos booteable con UUI, que a pesar del pensamiento general, no solo sirve para Linux) ya lo tenemos, Hiren’s nos da una herramienta para recuperar nuestra contraseña (cambiarla), y con ello, si somos algo maliciosos, tendremos acceso completo a todo el ordenador. No me digáis que habéis cambiado en la BIOS que no se pueda Bootear un Pen Drive, por que si el ladrón, “amigo”, vecino, hijo, padre, tiene acceso al ordenador, también tiene acceso a la BIOS (y es por ello que digo que todo es posible si tienes acceso físico, y si no, es probable que también, por métodos más complejos).

Ejemplo del Hiren's BootCD

Ejemplo del Hiren’s BootCD

Otro método más fácil/difícil (según que ordenador tengamos) sería desmontar el disco duro, y si no está cifrado, tachán, lo conectamos por un cable sata, eSATA, adaptador de SATA a USB, IDE si es antiguo, o lo que quieras, y ale, tenemos todos los archivos a nuestra disposición, otra opción sería entrar con un LiveCD de Linux (u otro sistema operativo) y más de lo mismo, aun que bueno, eso ya es decisión vuestra, a veces puede ser mejor una cosa u otra según la situación, no cambiaréis la contraseña si no queréis que se den cuenta de que habéis entrado, ni desmontaréis el PC si no queréis que se rompa la pegatina (que llevan algunos ordenadores) de la garantía, etc.
Y vuelvo a repetir, lo que digo no solo es para Windows, también sirve para Linux y Mac OS X, no con Hiren’s pero si con otro software (y obviamente, un iMac no lo desmontaréis, por que no tenéis en vuestra casa las herramientas, ¿verdad?, ejem…).

Bueno, y ya para terminar vuelvo a aclarar que todo lo que enseño en este Blog no es para enseñar a romper la seguridad, si no para que la gente sea consciente de lo que le pueden hacer, y de lo que debe evitar. Básicamente, no confiéis en nadie, y menos si sabéis o desconocéis su cantidad de conocimientos informáticos, por que hay cosas que las hace hasta un niño (literalmente).

Me despido aquí por hoy, mañana más y mejor. Feliz domingo y mañana lunes ;)

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

Con Skype expones tu IP

¿Cuántos de vosotros tenéis Skype?
Skype es un servicio de mensajería instantánea y de llamadas famoso, utilizado mundialmente y la verdad es que es muy práctico. El problema entra cuando tienes enemigos.
¿Has visto últimamente que a veces se caen los directos de algunos Youtubers famosos? Se ha puesto de moda agregar a gente que no conoces a Skype, lo cual no es un problema hasta que te toca alguien que sabe algo que tu no sabes, y es que solo con tener tu nombre de Skype (no hace falta ni tenerte agregado) ya puede conseguir tu IP, y luego simplemente ataca a tu IP con algún programa (lo haya creado el u otra persona, dependiendo de su nivel) y cataplof, el directo se va al garete.
La cosa no afecta tan solo a directos en Youtube, también pueden atacarte por que sí, cuando quieran y el tiempo que quieran, así que imagina que estás echando una partidilla al League of Legends (u otro juego), tienes el mismo nombre en Skype y en el juego, y hay un hacker por ahí, puede provocar que tu equipo tenga una desventaja de 4vs5, así que es otra cosa a tener en cuenta.

IP Resuelta

Ejemplo de IP resuelta de Skype

¿Cómo lo hacen?
Hay métodos manuales para obtener la IP de alguien, pero ya hay muchas webs que se encargan de hacerlo por ti, y te ahorran bastante trabajo.
Aquí tenéis un ejemplo en el que saco mi propia IP:
Y luego para tirarle la conexión a alguien es tan fácil como acudir a un servicio gratuito como inboot.me (en caso de que no sepas sacarte las castañas del fuego) y simplemente con pagar una cantidad insignificante bum, despídete de la conexión. Por si no lo creéis, podéis hacer la prueba aquí: https://inboot.me/testboot.php y os la tirará a vosotros mismos durante 45 segundos.

Aviso: Con esto no quiero incitar a que lo intentéis, solo os demuestro lo fácil que es para cualquiera, sin necesidad de grandes conocimientos informáticos, sacar vuestra IP y jugaros una mala pasada.

¿Se puede evitar?
Por supuesto, hay varias formas de evitarlo:
-Podéis usar un Proxy/VPN, pero como ya demostraron en una pequeña investigación, el 18% de los proxies modifican el source de las páginas para obtener datos (ya sea con o sin tu consentimiento) y el otro 82% puede también conseguir información por otros métodos, más adecuados, en el caso de que solo se use para Skype. Así que u os compráis un VPS y os montáis vuestro proxy para Skype, lo que os puede suponer un gasto de 5€/mes con Kimsufi (no es por hacer publicidad, pero sus servidores son muy asequibles), u os arriesgáis con un Proxy/VPN gratuito.
-Desinstalando Skype y usando alternativas como TeamSpeak.
-Evitando el uso del mismo nombre en Skype y en juegos, así como evitando pasar vuestra cuenta a gente desconocida o amigos “hackers” que os puedan gastar una broma.

Bueno lectores, este es mi primer post y como tal no es muy largo, pero creo que puede ser interesante y por ello lo he publicado, buen fin de semana :)

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

El comienzo

Bueno lectores (si es que tengo), esta es la primera entrada de mi nuevo blog, así que, ¿por qué no aprovechar y explicar las causas por las cuales me creé dicho blog?

La idea surgió cuando empezé a desarrollar GeekZone (página la cual no terminé por que soy bastante perezoso, está entre mis proyectos y tengo intención de terminarla en un futuro cercano), la cosa es que en esa web iba a publicar noticias de tecnología y videojuegos, pero aún me faltaba algo más personal, dónde pudiera dar mi opinión y publicar lo que me diera la gana, no una simple web de noticias (y no digo simple por mal, si no por que no podría publicar todo lo que quisiera), así que básicamente, surgió la idea.
La cosa es que aún me faltaba una chispita para abrir el blog, puesto que una simple idea entre otras miles, pues no se llega a formar. Esa chispa que necesitaba surgió cuando empezé a leer algunos libros de seguridad informática (los cuales me gustaría comentar y recomendar en otro post), la cuestión (que me desvío demasiado) es que la forma en la que estaban escritos me hizo pensar: “caramba, yo también podría hacer algo así”, pero todos sabemos que yo no escribiré un libro (o al menos de momento), y además, tampoco sabría que decir en 200 páginas, por ello, y por que algunos de mis hackers preferidos poseen blogs, por ejemplo, un grande de España, Chema Alonso, cuyo blog también me ha inspirado para llegar a abrir este.

Básicamente hago este post por que obviamente, algo tenía que hacer como inicial, no podía empezar a publicar cosas a lo loco (o al menos no lo considero correcto), y si alguien lee esto y cree que le va a interesar el contenido (según he explicado, más o menos, anteriormente), pues será un placer que guarde la página en favoritos :)

Una pregunta que seguro que alguien me hará: “¿por qué, ya que eres programador web, no te has hecho tu propia web y has usado WordPress en su lugar?” a la que yo responderé: “No soy diseñador, soy programador, puedo programar el front-end de la página, sí, pero no soy nada original, y, por norma general, me quedan feas las páginas. Eso sumado a la pereza hace que use WordPress”.

Saludos a todos y buen fin de semana. Y sí, son las tres y media de la mañana y sigo aquí dándole caña al blog, pero es lo que hay.

Tweet about this on TwitterShare on FacebookShare on Google+Share on RedditEmail this to someone

Páginas:1234