Empezando a ahondar en el mundo del hacking

  Escrito por Lautarorx            El 3 de octubre de 2014


Ser un experto en seguridad informática no es algo que se logre de un día para el otro, ni mucho menos una cuestión de esfuerzo acotado, uno debe estar realmente entregado a ello y convencido de que quiere hacerlo. Teniendo a Internet como una base de datos casi inagotable podemos obtener material de todo tipo para embarcarnos en esta aventura.

Es preciso aclarar que primero hay que tener una base de conocimientos sólida acerca de programación Web tanto del lado del servidor como del cliente (PHP, MySQL, HTML, CSS, JS, Apache, etc.). No debemos olvidarnos de también conocer algún lenguaje de programación de intérprete como C++, Java, Phyton y manejar al menos uno de ellos con fluidez.

Luego de tener esos conocimientos y otros muchos más orientados a redes podremos empezar a incurrir en el mundo de los que realmente significa ser un hacker. El conocimiento conlleva una gran responsabilidad y no debemos causar problemas a otras personas ni violar sus derechos bajo ninguna circunstancia o podríamos acabar metidos en problemas legales muy serios.



Lo fundamental para ser un buen experto en seguridad es básicamente experimentar todo el tiempo, equivocarse una y otra vez sin miedo al fracaso, ser persistente es un término clave de la fórmula. Uno siempre debe estar dispuesto a hurgar hasta el fondo de la cuestión, no conformarse con una sola respuesta jamás e indagar de todas las maneras que podamos.

Es así que nos encontraremos con obstáculos infranqueables, pero siempre hay que pensar lo siguiente: ningún sistema que tenga la más mínima interacción con el exterior es imposible de intervenir y vulnerar. Siempre habrá mil maneras de poder entrar y mientras la superficie de ataque sea mayor, eso nos ofrecerá una gran ventaja por lo que es muy importante analizar minuciosamente nuestro objetivo en cuestión para lograr una mayor tasa de éxito.

Todos estos consejos serán muy útiles cuando adquieran los conocimientos necesarios y empiecen a necesitar un método que puedan aplicar sistemáticamente para lograr descubrir un agujero en cualqueier sistema y ponerlo a prueba. Recuerden que para poder averiguar si algo es lo suficientemente seguro y resistente primero hay que darle bastantes golpes. Un manual muy interesante que analiza todas estas cuestiones a fondo y de manera muy detallada es el que ha publicado la OSSTMM (Open Source Security Testing Methodology Manual), que vendría a ser algo así como la biblia que todos los hackers utilizan para poner a prueba cualquier sistema, consciente o inconscientemente es algo que hacemos naturalmente.

Los manuales siempre serán nuestra mejor forma de adquirir conociemientos básicos.

Un buen curso introductorio a las implicancias de sumergirse en este mundo es la serie de suplementos que Hacker Highschool ha publicado gratuitamente en su Web, explicando de forma introductoria las principales herramientas que tiene un hacker para poder lograr su objetivos y la cantidad de cosas que se pueden hacer desde un simple ordenador. Un gran material didáctico si quieres tener un panorama claro y conciso de cuales serán las cosas que deberás enfrentar y dominar para lograr tu objetivo.

Los libros siempre serán la mejor opción para empezar a adquirir conocimientos generales, esto se debe a que generalmente estará mejor explicado y organizado, la mecánica básica de un lenguaje de programación nunca cambiará. Esto no quiere decir que debamos solo buscar información en ellos ya que rápidamente se vuelven obsoletos, por lo que habrá que mantenerse al día con tutoriales, noticias e información de diferentes páginas especializadas en el tema si no nos queremos quedar atrás. 

Para terminar, solo quiero dejar en claro que la principal herramienta que necesitamos para lograr nuestras metas (y en especial esta), es nuestra inteligencia y sobre todo la fuerza de voluntad, persistencia, organización y dedicación. Fusionar todas estas cosas nos llevará irremediablemente al éxito, no escuestión de milagros ni suerte, simplemente tener ganas de hacerlo y no desaprovechar las oportunidades que se nos presentan en esta era de la información que nos ofrece todo para triunfar y acumular conocimiento, solo hay que saber buscarlo y utilizarlo adecuadamente.

10100001 01000010 01110101 01100101 01101110 01100001 00100000 01110011 01110101 01100101 01110010 01110100 01100101 00100001

El contendio de esta entrada esta protegido bajo Derechos de Autor y leyes de Copyright. Su reproducción PARCIAL O TOTAL sin mencionar la fuente esta penada por la Ley 11.723 y la DMCA vigente en EE.UU. Todo el contenido está bajo licencia de Creative Commons.


Los riesgos de descargar software en Softonic

  Escrito por Lautarorx            El 2 de octubre de 2014



La mayoría de las veces cuando buscamos algún programa por Internet uno debe tener cuidado y serciorarse de que la página de descarga se trata de un sitio oficial o al menos seguro y certificado por el creador de la herramienta. El riesgo que supone descargar un archivo de un sitio no confiable es considerable, la mayoría del malware se distribuye y multiplica de esta forma, comuflándose detrás de un programa que el usuario despistado necesita.

En este caso hablaré de Softonic, un sitio que pretende ser un reservorio de Software catalogado y clasificado según su calidad, pero que en realidad solo busca hacerse de dinero empaquetando software y agregando quién sabe cuantas clases de Adware y troyanos sin nuestro permiso, aunque suene un poco fuerte.

Esta empresa fue fundada en 1997, la versión más vieja de la página parece tener un formato muy similar al de hoy pero sin tantas noticias, más bien era un directorio que recopilaba software y ofrecía servicios para que, mediante una cuota mensual, los usuarios pudieran descargar a mayor velocidad (eran los tiempos del Dial-Up y se pagaba por pulsos) y no tuvieran que rellenar formularios ni registrarse para obtener el software que deseaban.


Sin embargo, esto empezó a cambiar con el tiempo ya que Internet se volvió más masivo y obtener programas era mucho más sencillo y había menos genete dispuesta a pagar US$15 trimestrales solo para descargar programas. Es así que tuvo que mutar para evitar caer en desgracia y empezó a optar por un modelo gratuito y en el que las ganancias se obtenían a partir de publicidad. Pero eso no fue todo, al parecer eso no les dejaba suficiente rédito y decidieron que era mucho más efectivo engañar a sus usuarios ofreciéndoles un software supuestamente seguro (testeado por variso antivirus) pero que en realidad terminaba instalando programas del tipo adware potencialmente indeseados y hasta troyanos.

Su principal premisa para lograr semejante popularidad a pesar de ser tan nefasto, es su gran inversión en SEO, básicamente lo que hacen es crear una gran cantidad de noticias para tener más peso en los resultados de buscadores como Google y así aumentar su PageRank además de lograr gran reputación con hipervínculos de publicidad de otras páginas importantes. Con esto, sumado al hecho de hacer pequeñas reseñas y contener foros de ayuda, logran un perfecto circulo virtuoso que los posiciona casi siempre en la primera página de Google cuando buscamos cualquier tipo de programa.

Cuando accedemos al descargador del programa que se guarda en nuestro directorio inmediatamente es detectado por mi antivirus como un PUP (programa potencialmente indeseado), en el caso de otros directamente lo catalogan como un troyano. ¿Por qué? Simplemente porque las publicidades que pone cuando vamos a instalar el programa que deseamos corresponden a otro software de dudosa procedencia que además instala otro tipo de Adware sin ningún tipo de aviso, actuando en segundo plano y poniéndo todo tipo de publicidad que incluso podría llegar a espiarnos.

Advertencia de Windows al intentar ejecutar el instalador de Softonic.
Para refutar todo esto, basta con descargar un programa cualquiera desde esta página, en este caso, PhotoScape, un programa de edición de imágenes bastante sencillo intuitivo para usuarios estándar. Softonic nos ofrece con un botón bien llamativo la opción "Descarga gratis, de forma segura" en la que se descargará el dichoso instalador conteniendo software indeseado con él. Por otra parte, en un link apenas resaltado, se ofrece la opción de descargar desde un servidor externo el cual nos dará directamente el ejecutable del programa para instalar sin más vueltas.

En el primer caso, si elegimos la "Descarga segura" y descargamos el instalador personalizado, al analizarlo con Micrsosoft Security Essentials (un antivirus muy básico) vemos que lo detecta como UPX (Trojan Downloader), al abrirlo, aparecen sucesivos anuncios en los que hay que estar muy atentos en la configuración del instalador para no caer en la trampa de instalar algún programa indeseado. Aún así, nunca estaremos seguros de lo que puede llegar a hacernos, haciendo de esta una opción arriesgada y poco recomendable. Es por eso que en todo momento debemos estar protegidos con un antimalware en tiempo real además del antivirus como puede ser el famoso MalwareBytes Anti-Malware.

El contendio de esta entrada esta protegido bajo Derechos de Autor y leyes de Copyright. Su reproducción PARCIAL O TOTAL sin mencionar la fuente esta penada por la Ley 11.723 y la DMCA vigente en EE.UU. Todo el contenido está bajo licencia de Creative Commons.


DuckDuckGo, nuestro anonimato asegurado

  Escrito por Lautarorx            El 1 de octubre de 2014


Todos conocemos a Google, su popularidad ha crecido tanto hasta el punto de crear sus propios términos vulgares en lenguaje coloquial como "googlear", que se refiere a la acción de buscar algo por Internet en este partícular motor de búsqueda. Hace poco tiempo estuvo en el ojo de la crítica por sus nuevos Términos y Condiciones bastante polémicos pero que vienen a dejar en claro que en Internet nuestra actividad no es tan privada como parecía, cosa que ha molestado a muchos usuarios.

He aquí que me pareció oportuno hablarles de este buscador no tan reciente pero que tiene un futuro muy prometedor gracias a que clama no rastrear ninguna de nuestras búsquedas. A continuación mencionaré las principales diferencias con respecto a Google y su modo de funcionamiento.

Por empezar, observamos que cuenta con una interfaz sencilla y moderna, con una barra de búsqueda y un panel oculto en el sector superior izquierdo que permite una rápida personalización y acceso a las principales características que tiene para ofrecernos.

El panel de configuración es increíblemente sencillo y claro, dejando poco margen a las dudas que podríamos tener acerca de su transparencia y fiabilidad. La apariencia se puede modificar con un solo clic en varios diseños y temas que también permiten cambiar otros parámetros como el diseño de la fuente y la combinación de colores que deseemos. Vale aclarar que toda configuración que realizemos podrá ser guardado en la Nube y que solo requiere una clave anónima. De todos modos, la misma también se encuentra guardada en cookies no personales del navegador, por supuesto.


Respecto a la privacidad, hemos dicho que no trackea nuestras búsquedas ni las personaliza en base a nuestros gustos, cosa que puede no ser tan práctica en algunas ocasiones, pero la diferencia entre nuestras búsquedas con los resultados de Google hacen ver la gran cantidad de datos que son registrados y almacenados sin que nosotros tomemos real conciencia de lo que eso significa. Así, podemos elegir cifrar nuestra coenxión por https (por defecto), usar peticiones GET (por defecto) o POST y decidir si queremos que las páginas que visitemos puedan obtener información de nuestra búsqueda, con lo que permaneceremos en el anonimato, lo cual no es una buena noticia para los Webmasters que para mejorar su SEO dependen de esos datos tan valiosos.

Siempre podemos elegir si refinar las búsquedas por país sin que esto sea necesario, nuestras búsquedas siempre permanecerán anonimas. Los anuncios tan comunes en Google cuando hacemos una búsqueda determinada aquí solo son circunstanciales y puntuales. Además, cuenta con opciones de búsqueda de imágenes y video que logran completar a un buscador que crece exponencialmente y gana terreno frente a otros navegadores como Bing.

La forma de realizar las búsquedas es bastante particular, ya que utiliza APIs de diferentes buscadores como Yahoo! por lo que se lo considera un motor de búsqueda híbrido que saca los datos para indexar páginas Web de sitios públicos como Wikipedia, es por eso que generalmente al buscar algún termino se nos remita con frecuencia a datos de esa página en un recuadro especial con los principales datos e información al respecto, tal como lo viene implementando Google hace algún tiempo.


En la parte superior suele dar algunos resultados instantáneos que suelen contenter los sitios más visitados y que se condicen con el término de búsqueda, un aporte nada desdeñable. Los !Bangs también hacen nuestras búsquedas mucho más prácticas cuando queremos buscar en algún sitio particular ingresando "!amazon" (para buscar productos de Amazon) seguido del término de búsqueda; hay varios de ellos y hasta podemos crear el nuestro.

Podría hablar mucho más acerca de las ventajas en materia de privacidad y como reforzarlas con un red Tor que, aunque no sea del todo segura ya que han logrado interceptar varias comunicaciones, es una mejor opción que se puede combinar con prácticas más saludables. Los términos de privacidad de DuckDuckGo son bastante claros y concisos al respecto, no dejan lugar a dudas con su método de búsqueda y como manejan la información de sus usuarios, algo que genera una gran confianza desde el primer momento. De todos modos, siempre recomiendo el hecho de buscar en varios navegadores si se está haciendo una investigación y no quedarse solo con los resultados que nos pueda ofrecer un motor de búsqueda particular.

El contendio de esta entrada esta protegido bajo Derechos de Autor y leyes de Copyright. Su reproducción PARCIAL O TOTAL sin mencionar la fuente esta penada por la Ley 11.723 y la DMCA vigente en EE.UU. Todo el contenido está bajo licencia de Creative Commons.


Como administrar eficientemente las contraseñas

  Escrito por Lautarorx            El 30 de septiembre de 2014


Mucho se ha dicho acerca de la elección de contraseñas seguras, de su forma de generarlas y la periodicidad con que debemos cambiarlas; pero yo no pretendo innovar en nada, solo em limitaré a ennumerar cuales son las principales estrategias con las que contamos para lograr una mayor seguridad de nuestros datos.

Por empezar, debemos serciorarnos de no usar la misma contraseña para ninguna otra cuenta, sobre todo la del correo electrónico. Muchas veces solemos tener una contraseña genérica que repetimos en cada identidad nueva que creamos en la red. El principal riesgo de esto es que si alguno de los cientos de servidores en los que están guardados nuestros datos es perpetrado, y probablemente nos enteremos tarde (si es que nos llegamos a enterar), todas nuestras demás cuentas estarán en riesgo; sobre todo si logran entrar a nuestro correo.

Pero eso no termina ahí, no alcanza con solo estar inmunes en el caso de que una de nuestras cuentas sea robada, también hay que tratar de que eso no pase bajo ninguna circunstancia. Entonces debemos hacer uso de la doble barrera de seguridad que nos ofrecen algunas cuentas como Google o Facebook y también Microsoft, estos consisten en el envío de un codigo por SMS al usuario que tendrá que insertar además de la contraseña. Claro que esto supone un costo adicional, pero por el otro tenemos al ya mencionado Latch, que no supone ningún costo extra y es mucho más práctico ya que si pierdes tu teléfono no tendrás problema alguno.

Existe la opción de usar un administrador de contraseñas para que solo debamos acordarnos de una pass maestra, aunque esto resulta ser un poco riesgoso ya que hay malware dando vueltas capaz de poder robar nuestras bases de datos y descifrarlas muy fácilmente. De todos modos, no hay que preocuparse demasiado por la robustes de nuestras contraseñas, ya que no nos aseguran nada y en ocasiones simplemente no influye en nuestra seguridad si el servidor no tiene las medidas de seguridad adecuadas. Tal como lo menciona Chema Alonso en su blog e incluso varios documentos académicos que llegan a la conclusión de que, de hecho, la complejidad de una contraseña no influye en las posibilidades de ser robado, solo en el caso de un ataque de adivinanza offline al administrador y que eso pueda llegar a hacer ganar un poco más de tiempo.


Es entonces que, como he explicado, la robustes de una contraseña no influye en casi nada a la hora de estar un poco más protegidos, la mayor responsabilidad pasa por el lado del servidor y quienes lo administran deberían saber cuales son las principales medidas que deberían tomar tales como evitar ataques de fuerza bruta al servidor y al usuario, aplicar un cifrado y almacenamiento robusto  de contraseñas, etc.

Cabe mencionar una posibilidad de establecer un "algoritmo" o patrón para crear las contraseñas de nuestros diferentes servicios, aunque no lo recomiendo a menos que sea realmente difícil de descifrar y no siga un patrón claro. En el caso de Dan Kaminsky, famoso por descubrir uno de los fallos de seguridad más importantes de Internet, el enevenenamiento del Caché de DNS, usaba contraseñas de la forma "fuck.servicio" por lo que su contraseña de facebook resultaba ser fuck.facebook y el atacante que haya logrado descubrir una de esas contraseñas pudo averiguar cualquiera de las otras.

En conclusión, no hay mucho que el usuario pueda hacer más que tratar de no repetir sus contraseñas e intentar poner un segundo factor de autenticación si es que la compañí lo ofrece. Eso sin tener en cuenta que  el cliente debe estar prevenido de ataques por la red como gusanos, rootkits, spyware y todo tipo de accesos por medio de la conexión Wi-Fi. Espero que puedan tomar conciencia de esto y no entrar en pánico ya que nunca se puede estar 100% seguros.

El contendio de esta entrada esta protegido bajo Derechos de Autor y leyes de Copyright. Su reproducción PARCIAL O TOTAL sin mencionar la fuente esta penada por la Ley 11.723 y la DMCA vigente en EE.UU. Todo el contenido está bajo licencia de Creative Commons.


Un pestillo de seguridad para controlar nuestras cuentas, Latch

  Escrito por Lautarorx            El 29 de septiembre de 2014


Chema Alonso ha dejado de lado su vieja compañía Informática 64 para formar un nuevo grupo de trabajo con varios de los antiguos miembros, pero esta vez bajo el nombre de Eleven Paths. Lo cierto es que poco después de salida esta noticia, ha visto la luz el primer gran proyecto que promete mejorar sustancialmente la seguridad de nuestras identidades en Internet.

Seguramente la mayoría no tiene ni la más remota idea de la cantidad de identidades que posee en este momento circulando por la red y guardada en servidores distantes y desconocidos. ¿Cómo evitar estar a la deriva en esa masa de servidores que denominamos nube? Lo cierto es que hoy en día es muy difícil estar 100% seguro del robo de cuentas, todas las grandes compañías han sido víctimas de esto, y es un hecho innegable aunque se oculte información constantemente. No hay una manera certera de saber si uno ha sido ultrajado de alguna de sus identidades, pero el sitio Have I been pwned? ha registrado en su base de datos unas 175.000.000 de cuentas robadas entre las que podría estar la tuya, solo debes insertar tu dirección de correo electrónico.


Aunque esto pueda parecer inmenso, hay muchas herramientas que podemos usar para minimizar el riesgo. En este caso vengo a hablarles de Latch, una aplicación que lo que básicamente hace es bloquear nuestras cuentas para que nadie pueda intentar acceder sin que nosotros lo permitamos. No es nada complicado, solo tienen que instalarlo en su servidor y la aplicación hará su trabajo. Desde nuestro smartphone o PC podremos habilitar o desahabilitar el acceso a nuestras cuentas.

¿CÓMO FUNCIONA?

La mecánica de funcionamiento es sencilla: la aplicación adjudica un número de identificación único a nuestra cuenta que se guarda en un servidor remoto de Eleven Paths, sin que se guarde rastro alguno en el servidor. El servidor envía un pedido indagando acerca del estado del Latch, si está cerrado, se negará el acceso a la cuenta (siempre y cuando se hallan puesto el usuario y contraseña indicados) y se enviará una advertencia al usuario informándole que alguien ha intentado entrar a su cuenta; por el otro lado, si el servidor de Latch informa que el "pestillo" está abierto, entonces se podrá acceder a la cuenta normalmente. Así, tendremos el control total de nuestras cuentas.

Entre las ventajas que esto presenta respecto a otros sevicios similares, es que se puede seleccionar que secciones o servicios dentro de nuestra cuenta pueden estar abiertos: por ejemplo, si tenemos una cuenta bancaria podemos elegir entre habilitar o deshabilitar las transacciones internacionales o locales, hacer depositos o incluso transferencias y compras. Además de esto, es un sistema muy sencillo de usar para cualquier usuario dado que el servidor se encarga de todo por si mismo y es gratuito. Por otro lado, si extraviamos nuestro smartphone solo tedremos que informar a Latch del extravío y nos devolverán nuestra cuenta, recuperando el control inmediatamente. Aunque seamos robados, la persona que tome control de nuestro teléfono solo podrá jugar temporalmente a bloquear nuestro acceso a las diferentes cuentas, Latch no almacena ninguna contraseña.


Así, si el servidor de la empresa es perpetrado, la persona que obtenga nuestras identidades no podrá hacer nada con ellas ya que la cuenta estará cerrada y en cuanto intente ingresar se verá imposibilitado y se nos enviará una notificación de lo sucedido con lo cual procederemos a cambiar nuestra contraseña inmediatamente. En otro caso, si el servidor de Latch es atacado, los atacantes no sabrán a quién pertenece cada clave de identificación, por lo cual les será imposible obtener cualquiera de nuestras identidades.

Para empezar a usarlo solo debes registrarte como desarrollador y podrás agregarlo rápidamente a tu servicio Web con las decenas de plugins y SDKs que permiten integrarlo de manera inmediata incluso a tu cuenta de Wordpress. Visita la página para más información por si te han quedado algunas dudades y deseas empezar a implementarlo: Latch - Eleven Paths

Por último me atrevo a dejarles un video de una de las tantas conferencias que suele dar el creador de esta herramienta, es muy entretenida y no tiene desperdicio:



El contendio de esta entrada esta protegido bajo Derechos de Autor y leyes de Copyright. Su reproducción PARCIAL O TOTAL sin mencionar la fuente esta penada por la Ley 11.723 y la DMCA vigente en EE.UU. Todo el contenido está bajo licencia de Creative Commons.


New Games + Hacks | Diseñado por Lautaro Rodríguez Xavier

© Informatics 2011-2012 | Se recomienda el uso de Mozilla Firefox