:::: MENU ::::

Todo es posible si tienes acceso físico

Tal vez os extrañe un poco el título del post, la verdad es que puede significar muchas cosas, pero en verdad eso pasa con todo. Tal vez quiera hacer referencia a algo como: «por teléfono no te puedo pegar, pero si te tengo delante, sí», eso es así en cuanto a seres humanos, pero ocurre lo mismo en cuanto a máquinas (a pesar de los cifrados de los cuales no hablaré en este post).

A veces la gente puede llegar a creer que está segura solo con poner una contraseña al ordenador, o un patrón en el móvil, etc. pero la verdad es que eso es totalmente falso.
Hay muchos métodos con los que se puede conseguir el acceso total a un dispositivo, pero si tenemos acceso a el de forma física, nuestras posibilidades crecen de forma exponencial. En el caso de iPhone a veces puede ser tan simple como preguntarle a Siri quien somos, cambiar la contraseña desde otro teléfono y poner el código de confirmación que nos sale en la vista previa del mensaje (obviamente, puede ser desactivado, pero es una forma de las miles que hay, y ya por no hablar de si tenemos un ordenador a mano al que conectarlo).

Si tenemos un ordenador y tenemos otro dispositivo muchas veces es tan fácil como conectarlo, otras habrá que hacer alguna que otra cosilla, pero casi siempre lograremos el acceso sin tener que complicarnos demasiado. Es algo sencillo. En el caso de iPhone, al conectarlo a un PC tenemos acceso completo a sus datos de una manera más o menos sencilla, es por ello que no debemos enchufarlo vía USB a donde nos de la gana, si no que debemos tener en cuenta dónde lo estamos enchufando. Si vas a casa de un «amigo» (que no sea tan amigo) y os dice que podéis cargar vuestro dispositivo enchufándolo a su ordenador, en cuestión de milisegundos ya ha podido inyectaros cualquier cosa, ver vuestras fotos, leer/modificar vuestros WhatsApps (se puede ver un ejemplo aquí) y claro, imaginaos que ese «amigo» es vuestro jefe y os la quiere liar, con eso puede (excepto si recordemos que un mensaje en WhatsApp no tiene validez legal).
Obviamente lo de WhatsApp no es lo único que se puede hacer, hay muchisimas cosas que se pueden hacer, y no solo en iPhone, también en Android, BBOS o cualquier otro sistema operativo (para que luego no me digáis que odio Apple).

Pero no solo quería hablaros de móviles, también de otros dispositivos, y con ello no me refiero a Tablets, consolas portátiles y eso (que también) si no a ordenadores. Obviamente la gente normalmente ni tan solo se molesta en poner una contraseña en Windows por que no son conscientes del peligro, y por pereza pasan del tema, pero si olvidamos ese alto porcentaje de la población, y nos encontramos con que han puesto una contraseña, la solución es tan fácil como meter un Pen Drive (o en su defecto un CD/DVD) con un programa para Bootear (por no hablar ya si conseguiis que se ejecute un archivo en un Pen Drive directamente, de esa ya os doy un «Premio Martincito»). Bueno, que me salgo del tema, si tenemos un Pen Drive booteable, que lo podemos conseguir con cosas como Hiren’s BootCD (y lo metemos hacemos booteable con UUI, que a pesar del pensamiento general, no solo sirve para Linux) ya lo tenemos, Hiren’s nos da una herramienta para recuperar nuestra contraseña (cambiarla), y con ello, si somos algo maliciosos, tendremos acceso completo a todo el ordenador. No me digáis que habéis cambiado en la BIOS que no se pueda Bootear un Pen Drive, por que si el ladrón, «amigo», vecino, hijo, padre, tiene acceso al ordenador, también tiene acceso a la BIOS (y es por ello que digo que todo es posible si tienes acceso físico, y si no, es probable que también, por métodos más complejos).

Ejemplo del Hiren's BootCD

Ejemplo del Hiren’s BootCD

Otro método más fácil/difícil (según que ordenador tengamos) sería desmontar el disco duro, y si no está cifrado, tachán, lo conectamos por un cable sata, eSATA, adaptador de SATA a USB, IDE si es antiguo, o lo que quieras, y ale, tenemos todos los archivos a nuestra disposición, otra opción sería entrar con un LiveCD de Linux (u otro sistema operativo) y más de lo mismo, aun que bueno, eso ya es decisión vuestra, a veces puede ser mejor una cosa u otra según la situación, no cambiaréis la contraseña si no queréis que se den cuenta de que habéis entrado, ni desmontaréis el PC si no queréis que se rompa la pegatina (que llevan algunos ordenadores) de la garantía, etc.
Y vuelvo a repetir, lo que digo no solo es para Windows, también sirve para Linux y Mac OS X, no con Hiren’s pero si con otro software (y obviamente, un iMac no lo desmontaréis, por que no tenéis en vuestra casa las herramientas, ¿verdad?, ejem…).

Bueno, y ya para terminar vuelvo a aclarar que todo lo que enseño en este Blog no es para enseñar a romper la seguridad, si no para que la gente sea consciente de lo que le pueden hacer, y de lo que debe evitar. Básicamente, no confiéis en nadie, y menos si sabéis o desconocéis su cantidad de conocimientos informáticos, por que hay cosas que las hace hasta un niño (literalmente).

Me despido aquí por hoy, mañana más y mejor. Feliz domingo y mañana lunes ;)


Con Skype expones tu IP

¿Cuántos de vosotros tenéis Skype?
Skype es un servicio de mensajería instantánea y de llamadas famoso, utilizado mundialmente y la verdad es que es muy práctico. El problema entra cuando tienes enemigos.
¿Has visto últimamente que a veces se caen los directos de algunos Youtubers famosos? Se ha puesto de moda agregar a gente que no conoces a Skype, lo cual no es un problema hasta que te toca alguien que sabe algo que tu no sabes, y es que solo con tener tu nombre de Skype (no hace falta ni tenerte agregado) ya puede conseguir tu IP, y luego simplemente ataca a tu IP con algún programa (lo haya creado el u otra persona, dependiendo de su nivel) y cataplof, el directo se va al garete.
La cosa no afecta tan solo a directos en Youtube, también pueden atacarte por que sí, cuando quieran y el tiempo que quieran, así que imagina que estás echando una partidilla al League of Legends (u otro juego), tienes el mismo nombre en Skype y en el juego, y hay un hacker por ahí, puede provocar que tu equipo tenga una desventaja de 4vs5, así que es otra cosa a tener en cuenta.

IP Resuelta

Ejemplo de IP resuelta de Skype

¿Cómo lo hacen?
Hay métodos manuales para obtener la IP de alguien, pero ya hay muchas webs que se encargan de hacerlo por ti, y te ahorran bastante trabajo.
Aquí tenéis un ejemplo en el que saco mi propia IP:
Y luego para tirarle la conexión a alguien es tan fácil como acudir a un servicio gratuito como inboot.me (en caso de que no sepas sacarte las castañas del fuego) y simplemente con pagar una cantidad insignificante bum, despídete de la conexión. Por si no lo creéis, podéis hacer la prueba aquí: https://inboot.me/testboot.php y os la tirará a vosotros mismos durante 45 segundos.

Aviso: Con esto no quiero incitar a que lo intentéis, solo os demuestro lo fácil que es para cualquiera, sin necesidad de grandes conocimientos informáticos, sacar vuestra IP y jugaros una mala pasada.

¿Se puede evitar?
Por supuesto, hay varias formas de evitarlo:
-Podéis usar un Proxy/VPN, pero como ya demostraron en una pequeña investigación, el 18% de los proxies modifican el source de las páginas para obtener datos (ya sea con o sin tu consentimiento) y el otro 82% puede también conseguir información por otros métodos, más adecuados, en el caso de que solo se use para Skype. Así que u os compráis un VPS y os montáis vuestro proxy para Skype, lo que os puede suponer un gasto de 5€/mes con Kimsufi (no es por hacer publicidad, pero sus servidores son muy asequibles), u os arriesgáis con un Proxy/VPN gratuito.
-Desinstalando Skype y usando alternativas como TeamSpeak.
-Evitando el uso del mismo nombre en Skype y en juegos, así como evitando pasar vuestra cuenta a gente desconocida o amigos «hackers» que os puedan gastar una broma.

Bueno lectores, este es mi primer post y como tal no es muy largo, pero creo que puede ser interesante y por ello lo he publicado, buen fin de semana :)


El comienzo

Bueno lectores (si es que tengo), esta es la primera entrada de mi nuevo blog, así que, ¿por qué no aprovechar y explicar las causas por las cuales me creé dicho blog?

La idea surgió cuando empezé a desarrollar GeekZone (página la cual no terminé por que soy bastante perezoso, está entre mis proyectos y tengo intención de terminarla en un futuro cercano), la cosa es que en esa web iba a publicar noticias de tecnología y videojuegos, pero aún me faltaba algo más personal, dónde pudiera dar mi opinión y publicar lo que me diera la gana, no una simple web de noticias (y no digo simple por mal, si no por que no podría publicar todo lo que quisiera), así que básicamente, surgió la idea.
La cosa es que aún me faltaba una chispita para abrir el blog, puesto que una simple idea entre otras miles, pues no se llega a formar. Esa chispa que necesitaba surgió cuando empezé a leer algunos libros de seguridad informática (los cuales me gustaría comentar y recomendar en otro post), la cuestión (que me desvío demasiado) es que la forma en la que estaban escritos me hizo pensar: «caramba, yo también podría hacer algo así», pero todos sabemos que yo no escribiré un libro (o al menos de momento), y además, tampoco sabría que decir en 200 páginas, por ello, y por que algunos de mis hackers preferidos poseen blogs, por ejemplo, un grande de España, Chema Alonso, cuyo blog también me ha inspirado para llegar a abrir este.

Básicamente hago este post por que obviamente, algo tenía que hacer como inicial, no podía empezar a publicar cosas a lo loco (o al menos no lo considero correcto), y si alguien lee esto y cree que le va a interesar el contenido (según he explicado, más o menos, anteriormente), pues será un placer que guarde la página en favoritos :)

Una pregunta que seguro que alguien me hará: «¿por qué, ya que eres programador web, no te has hecho tu propia web y has usado WordPress en su lugar?» a la que yo responderé: «No soy diseñador, soy programador, puedo programar el front-end de la página, sí, pero no soy nada original, y, por norma general, me quedan feas las páginas. Eso sumado a la pereza hace que use WordPress».

Saludos a todos y buen fin de semana. Y sí, son las tres y media de la mañana y sigo aquí dándole caña al blog, pero es lo que hay.


Páginas:12345