:::: MENU ::::

La Suplantación de Identidad o Phishing

El Phishing o suplantación de identidad consiste en hacer que el usuario confie en un sitio web o correo malicioso con fines de sacarle información. El phishing, aun que no lo parezca, a veces es difícil de percibir, incluso si te lo envía un correo en el que confíes como [email protected] puede ser que simplemente el servidor de correo no compruebe la IP de donde proviene, y de esa forma aún creas más que es un correo oficial (posteriormente mencionaré una forma de ver si es phishing y también mencionaré en que tipo de cosas deberíamos confiar).

 Algunos métodos de Phishing
-Web que parece confiable relacionada con la empresa, o que simula un login o petición de compra para que introduzcas datos sensibles así como contraseñas o tarjetas de crédito. Es uno de los más comunes.
-Email envíado por una empresa (o a veces ni tan solo eso puesto que hay servidores que comprueban la IP y los hay que no, ejem…) que piden la confirmación de algunos datos y en realidad se los quedan ellos.
-Página web que promete dar dinero o créditos de juegos o incluso bancos poniendo la contraseña (aquí ya hay que ser muy tonto para picar, pero la sociedad es así…).
Básicamente los mencionados son los más usados, pero hay más métodos.

Algunos casos son por ejemplo los del CelebGate en el cual más de una víctima sufrió ese tipo de ataque (entre muchos otros que no tienen nada que ver con el Phishing), se usó el del correo en una o más víctimas y está confirmado.

Precauciones a tomar
Antes de abrir ningun link de un correo electrónico, aun que la dirección la cual nos lo envía sea de una empresa confiable, es posible que simplemente sea por un fallo de seguridad del servidor de correo, así que debemos mirar el link siempre. Por ejemplo, este link: http://www.facebook.com/ parece que lleva a facebook, pero en realidad lleva a mi twitter, es un truco que también se usa en esos correos, pero si pasáis el ratón por encima veréis que abajo os aparece el link real. En un caso extremo, si ya habéis abierto el link y tenéis la suerte de que no es un exploit, simplemente revisad la barrita de arriba y cerradlo de inmediato.
Nunca aceptéis el link de nadie, y, si os agregan a skype o algun servicio de mensajería, aseguráos de que la persona es real, aun que sea comprobando su IP y certificando su residencia, comprobando que no es un bot, etc.

Aquí os dejo además un vídeo en el que se demuestra un caso de Phishing por Chema Alonso. Trata sobre el CelebGate mencionado anteriormente.

El artículo es corto pero me lo pidió Sergi en un comentario en mi último post, así que bueno, no estaba muy inspirado pero espero que te sirva :)
Mañana más y mejor, que ya tengo algo preparado sobre Bitcoin :P


Chats, ¿Seguros? Va a ser que no…

Sí, lo sé, Telegram es la leche, es lo más seguro, tiene chats secretos, bla bla bla. Claaaaro…
No hay ningún chat seguro, ninguno. ¿Crees que por usar Telegram ya eres invisible? Lo siento, no es así. Obviamente Telegram es mucho más privado que Whatsapp (por razones obvias), pero sigue estando expuesto a espionaje, y eso es inevitable.

Básicamente, para que un chat sea seguro debe ir de la persona a la persona sin pasar por ninguna interconexión desconocida, es decir, si en casa tenemos 2 ordenadores y los conectamos con un cable de red (al cual sabemos que no tiene acceso nadie para pincharlo) , ese si seria un chat seguro, ya que sabemos que no hay nadie en medio para leerlo. Pero os aseguro que a través de internet, con un cable que sale de tu casa y va submarinamente hasta la otra punta del planeta, pierdestotalmente el control de la información.

¿Cómo intentan solucionar ese problema?
Para que nadie pueda leer los mensajes que van de una a punta a otra no pueden enviarlos como texto plano, lo que hacen es cifrarlos. La cosa es: Si cifras un mensaje (criptograma a partir de este momento), para que el receptor pueda leerlo, debe haber una forma de descifrarlo, y el problema entra ahí, si se encuentra la forma de descifrarlo, por ingeniería inversa, o por que se conozca el software, estamos perdidos, cualquiera con acceso a un punto de la conexión entre ambas máquinas puede leer nuestros mensajes, y eso es así actualmente puesto que hay muchisimas empresas y muchisima gente que pincha las conexiones, ya sea en cables submarinos, en ciudades, trabajadores o incluso el gobierno (como el conocido caso de la NSA, también conocida como Agencia de Seguridad Nacional).
Pero aclaro, si el lector lo puede descifrar, los intermediarios también.

Entonces, ¿Pueden leer lo que yo escribo?
Desafortunadamente sí. No solo hay esa forma de leerlo, tal vez el gobierno no tenga interés en lo que le digas a tus amigos, o quien sea que te espie «legalmente», pero a lo mejor tu amigo/vecino/padre/jefe/enemigo si lo tiene, y el, con los conocimientos necesarios, podría llegar a leer los mensajes. Es más, hasta hace poco Whatsapp era facilisimo de espiar con tan solo un simple Man in the Middle, al igual que los correos, que a día de hoy son texto plano, y con conectarse a la misma red Wi-Fi… Pero bueno, Whatsapp ha mejorado su seguridad, Telegram nació bastante seguro y ahora vendrá Heml.is, pero ¿quién sabe quien tiene la posibilidad de descifrar nuestros mensajes?

Ejemplo
Os mostraré un ejemplo, pero aún no lo tengo preparado, seguramente editaré el post y lo pondré por aquí abajo, de momento os pongo un ejemplo teórico y no práctico. El ejemplo que os mostraré cuando esté listo consistirá en un source de un chat hecho en C#, será P2P, es decir, de cliente a cliente, pero uno de ellos actuará como servidor, y enseñaré básicamente que pasa a la hora de las encriptaciones.
Un cifrado ultra-mega-básico (el cual no serviría más que para hacer perder 5 minutos de su vida a un ingeniero) sería coger el valor en la tabla ASCII de un caracter, restarle 1 y volverlo a pasar a su caracter correspondiente. El dispositivo que lo leyera solo tendría que ir letra por letra sumando (vamos, a la inversa) y ya lo habría descifrado, pero eso obviamente es muuuuy fácil, normalmente se hace con procedimientos matemáticos bestiales.

Ejemplo del ROT-13

Ejemplo del ROT-13

Otro ejemplo de cifrado sería el ROT-13, es un cifrado básico y que solo se sa en un foro si quieres decir alguna cosa para que solo te entienda una determinada persona y para perder de vista a los bots que se pasan por ahí, pero en verdad no es nada seguro usarlo en un chat ya que sería cuestión de segundos descifrar los mensajes.


Petición a la RAE

Muchos hackers hemos realizado ya esta petición últimamente, y obviamente no voy a iniciar una recogida de firmas puesto que me leen cuatro gatos, pero sí que voy a intentar aportar mi granito de arena a una que inició Chema Alonso hace relativamente poco.
Pero obviamente no voy a hacer un post solo pasándoos un link del suyo, también os hago un pequeño resumen por aquí :)

Bueno, la RAE en su definición para ‘Hacker’ tiene lo siguiente: ‘Pirata informático’. Esa entrada relaciona explícitamente el término ‘hacker’ con pirata informático, lo cual no tiene nada que ver puesto que un pirata informático es un tipo de delincuente que usa técnicas Hacker para cometer sus delitos.

Definición de 'hacker' de la RAE

Definición de ‘hacker’ de la RAE

Un ejemplo claro es un Ninja, puedes utilizar técnicas Ninja para hacer el mal, eres un delincuente por ello, pero un Ninja no tiene por que ser malo, es más o menos así, solo que ni si quiera se considera hacker al pirata, aun que utilize dichas técnicas.

Os adjunto aquí un vídeo con información sobre ello de Chema Alonso:

Esta es la petición de firmas: https://www.change.org/p/real-academia-de-la-lengua-espa%C3%B1ola-que-cambien-la-definici%C3%B3n-de-hacker-como-pirata-inform%C3%A1tico

Se que esta entrada es bastante corta, la verdad es que tengo poco tiempo ahora mismo y no puedo entretenerme más. Cuando pueda hago otra entrada (no se si será hoy).
Espero que colaboréis con esto y muchas gracias por leerme. Y recordad, mañana ya es viernes :D


¡Cuidado con las contraseñas!

Supongo que estaréis cansados de escuchar lo mismo cada día, cuidado con las contraseñas es una frase que os dirán muchos informáticos/hackers cuando os hablen de seguridad informática.
Por si no sabéis por que o creéis que el riesgo es inferior y os pensáis que cuando os lo decimos somos exagerados, voy a explicar varias razones por las cuales deberíais tener contraseñas largas, raras, diferentes en todos los sitios y además, a ser posible, con un segundo o incluso tercer factor de autenticación (con un segundo factor es suficiente, aun que aun así, no estamos nunca del todo seguros).

Razones para que la contraseña no tenga sentido
Sinceramente, no eres el único que sabe cuando te casastes (se acordará más tu mujer) y tampoco eres el único que sabe el nombre de tu perro. Y sí, sobre esto creo que no hay más.

Razones para que las contraseñas sean largas y raras
Básicamente una de las razones fundamentales es para evitar la fuerza bruta, que consiste en probar contraseñas hasta averiguarla, obviamente eso no lo hace una persona si no un programa, y es por ello que no se cansa de probar hasta encontrarle, obviamente llegará un punto que se dará por vencido, pero eso significa meses probando, ya que con la velocidad de los proxies que iría intercambiando, buf, mejor ni pensar en esa velocidad que nos deprimimos. Obviamente, si es una contraseña que no tenga nada que ver con internet o que sea una conexión rápida, supondría mucho menos esfuerzo, pero aun así hay una cosa llamada diccionarios, por lo que si pones algo coherente será más fácil encontrarla puesto que es lo primero que buscan dichos programas. Además, si intentan «desencriptar» (y lo pongo entre comillas por que no se desencripta) van a buscar el hash (lo cual mencionaré en la siguiente razón) y cuanto más complicada sea, menos posibilidades habrá de que la haya generado el robot que va metiendo contraseñas (si no la ha introducido otra persona ya por que apretó al azar las mismas teclas/números/símbolos que tu, lo cual es extraño).

Razones para que sean diferentes en todos los sitios
Para empezar hay sitios que ni encriptan las contraseñas al almacenarlas (lo cual es ilegal según el artículo 93.3 del reglamento que desarrolla la Ley orgánica de protección de datos), y los hay que encriptan las contraseñas con métodos comunes, por ejemplo, una de las encriptaciones más realizadas es la de MD5. Muy bien, ¿cual es el problema de eso? pues muy fácil, si encuentran una vulnerabilidad en el sitio web en cuestión mediante la cual puedan acceder a la base de datos (o al sitio donde guarden dichas contraseñas) simplemente será tan fácil como buscar tu nombre para encontrarlas, y si las tienen y tienes la misma contraseña en todas las páginas webs… Creo que no hace falta decir nada más.
¿Y que pasa si está encriptada diréis algunos? Pues como he mencionado anteriormente hay webs que ofrecen gigantescas bases de datos repletas de palabras y combinaciones con un montón de variedad de Hashes para poder encontrar dicha contraseña. Es posible que otra contraseña que no sea la tuya también te permita entrar a una web puesto que hay un número de hashes limitado y por ello se van repitiendo, pero hay poquisimas posibilidades entre incontables millones, por lo que eso no debería preocuparte, pero si que es posible que si pongo ‘a’ en un caso hipotético eso coincida con ‘sijndf9uewghf98342egf4eg894g89324tg89gt80934e2’ (me lo he inventado, pero podría ocurrir), y entonces la contraseña ‘sijndf9uewghf98342egf4eg894g89324tg89gt80934e2’  pasaría a ser una de las más inseguras del mundo. Adjunto abajo un ejemplo de contraseña «desencriptada».

Hash 'e10adc3949ba59abbe56e057f20f883e' MD5 "desencriptado"

Hash ‘e10adc3949ba59abbe56e057f20f883e’ MD5 «desencriptado»

Creo que con eso queda claro el por qué usar contraseñas diferentes en todos los sitios, contraseñas largas (si eres un gurú de la seguridad comprobando que no coincida con ninguna contraseña de al menos 8 caracteres con todos los simbolos en MD5 y SHA1), contraseñas con muchisimos símbolos y sin sentido para evitar que la descifren y evitar fuerza bruta y diccionarios, etc.

Una herramienta que os puede resultar útil es haveibeenpwned.com, una web que comprueba si has sido víctima sin darte cuenta de accesos indeseados a varias empresas, entre ellas Adobe, que tubo una gran crisis no hace demasiado tiempo, y lo comprueba ya que muchas veces las contraseñas son publicadas en lugares como pastebin (y también otro tipo de información sensible). Obviamente no contiene todas, pero si bastantes, si sales ahí, al menos date por aludido y cambia la contraseña, y no digas «no van a por mi, no me harán nada», por que esto no es así, y si no puedes buscar libros, documentales, vídeos, charlas, etc.

Ya que estoy os cuento una anécdota:
Hará un año más o menos, me aburría bastante, así que decidí hacer un robot que generara Hashes en MD5 y SHA1 y me los guardara en una base de datos junto a su respectiva cadena de texto para poder tener contraseñas a cholón a lo MD5decoder (entre otros cientos de webs existentes que ofrecen exactamente lo mismo). El robot iba generando contraseñas con un patrón, empezaba a, b, c… y, z, aa, ab, ac… zy, zz, aaa; más o menos como Excel, pero no solo con letras, también con números y caracteres que se usan comunmente en contraseñas (es decir, los que están en el teclado), tardé solo 20 minutos y generaba hasta 10.000/segundo y los guardaba en MySQL, en nada conseguí 100 millones de contraseñas, pero lo paré por que ocupaba mucho espacio, y total, solo quería demostrar que se podía hacer, con solo 20 minutitos de mi tiempo pude hacer eso, con ello demuestro que MD5 y SHA1 no es lo mejor a la hora de encriptar. Os iba a adjuntar el código, pero cabezón de mi, lo perdí al formatear :(

Bueno, ya es martes, un día menos para llegar al fin de semana, recordad que sigo preparando un post algo especial en el cual me gustaría eneñar a crear un chat seguro en C#, y explicaros cuatro cositas sobre los chats más comunes a la par que inseguros ;)


Conectarse a una red Wi-Fi pública es un suicidio

Contínuamente estamos pendientes de encontrar alguna red donde conectarnos para no gastar nuestros «valiosos» megas, ¿verdad?
Con este post quiero demostrar que dichas acciones no son las más recomendables, os lo aseguro.

La cosa es que cuando te conectas en una red pública, no sabes a dónde te estás conectando, ni a través de dónde estás entrando a internet. Si vamos a una cafetería que ponga ‘Wi-Fi Zone’ lo más seguro es que sea un router normal con Ono, Movistar o cualquier otra ISP de estar por casa. Lo que quiero decir con eso es que un router de ese tipo no tiene ningún tipo de seguridad, cualquiera se puede conectar, y al ser algo tan pequeño con herramientas como Network Spoofer para Android, FaceNiff (también de Android) o Wireshark (de Windows), entre otras de ámbito más profesional, o incluso propias, podéis encontraros con un Man in the Middle, que traducido es básicamente «El hombre en medio», que consiste básicamente en un dispositivo (móvil, ordenador…) que se conecta a la misma red y hace algo como: «A partir de ahora todo el tráfico pasa por mi, por que nadie en ese router lo puede evitar, y yo me encargo de rebotaros a internet y viceversa», lo que supone un grave peligro.

¿Qué permiten hacer esas herramientas?
Pues muy fácil, la primera es más que nada para «divertirse» un rato, nos permite alterar las páginas web, pero puede llegar a suponer un gran problema de seguridad, puesto que puedes estar entrando a Facebook, Twitter o lo que sea, alterar el contenido de dicha página y colarte un exploit, un archivo (en el que tu confies al no tener constancia del Man in the Middle), etc. Con ello podrías obtener un rico troyano. Adjunto abajo una captura para que se aprecie lo fácil que puede ser usarlo con tan solo unos conocimientos básicos de inglés, y por ello el riesgo que implica.
El segundo es algo más mezquino, en un principio nos permitía robar cuentas de Facebook, pero ahora mismo permite robar cuentas de muchos más servicios, como Twitter, YouTube, VK Videos, GMail, etc.
El tercero es un analizador de paquetes, se requieren más conocimientos para usarlos, puesto que los demás los puede usar cualquiera que sepa leer en inglés, en este en cambio eres tu el que se encarga de revisar los paquetes que se envían por tu red, pero de la misma forma podrías robar cuentas de Facebook, de Twitter, de Tuenti, etc… vamos, lo que se te ocurra (y no solo robar cuentas, puedes robar cualquier tipo de información que pase por la red.

 

Captura de Network Spoofer de Android

Captura de Network Spoofer de Android

No quiero decir que pase en todas las redes Wi-Fi pasen esas cosas, pero si que, desafortunadamente, pasa en muchas, sobretodo en sitios grandes tales como un aeropuerto, un Starbucks, etc.
Y desafortunadamente también, pueden ocurrir cosas así en redes de colegios y sitios donde niños de 5 años puedan conectarse con sus reducidos conocimientos acerca de internet, y, al entrar en una página de juegos, encontrarse un contenido no demasiado agradable, y eso ha pasado, demasiadas veces ya, por falta de seguridad.

¿Cómo se puede evitar?
Lo que recomiendo es que nunca os conectéis a una red pública (excepto si os encontráis en un caso de emergencia de tal magnitud que sin contacto con el exterior os puedan suceder cosas graves, lo cual no debería pasar…).
Además de no conectaros a redes públicas, tampoco a ninguna red privada en la cual no confiéis, hay redes en institutos la contraseña de las cuales solo es conocida por sus alumnos, pero con la cantidad de información que hay en internet, y reiterando menciono este blog, es tan fácil para alguien que posea un móvil como buscar ‘hackear mi instituto’ o cosas así, y con saber leer inglés (como se puede apreciar en la imágen superior) y con un teléfono rooteado con Android (el cual se rootea en 5 minutos), es tan fácil como seleccionar entre unas apetitosas opciones la que nos haga más ‘gracia’.
Otra recomendación sería desactivar el Wi-Fi al salir de casa. ¿Por qué? Pues por que muchos teléfonos (como es el caso de iPhone) se conectan a las redes que tengan guardadas, es puede ser útil y perjudicial a la vez sin su determinada seguridad (la cual no hay en dicho teléfono) puesto que si encuentra un router con el mismo SSID (con ello quiero decir, una red con el mismo nombre) se intentará conectar, ignorando la dirección MAC y cualquier otro parámetro vital para evitar la desafortunada conexión, de modo que si quieren hacerte un Man in the Middle planificado, solo tienen que acercarse a tu casa, ver cual es el nombre de tu red (con suerte no tendrán que sacar la contraseña a fuerza bruta o con diccionarios/cálculos) y crear una red, ya sea con el móvil (si no tienen nada más) o con un router y usar una de las herramientas mencionadas anteriormente (u otra que hayan creado ellos mismos, o incluso otra que haya en internet, puesto que las hay para aburrir).

El artículo de hoy ha sido algo más pobre puesto que no estaba demasiado inspirado, ha sido una idea de última hora puesto que estaba preparando algo para hoy pero no me ha dado tiempo, espero tenerlo para esta semana. Feliz resto del lunes y que aprovechéis bien la semana ;)


Páginas:12345