Hacking para este verano

por:

Hoy volvemos con otros de esos post tan necesarios, hoy en día en que se lee poco, mal y en formato ebook. Además, como ya estamos de vacaciones, qué mejor recomendación que unos cuantos libros (excelentes lecturas) de los temas que nos apasionan y que nos pueden acompañar a la playa, a la montaña o en casa, sea cual sea nuestro caso.

Como siempre, el hacking constituye una inagotable fuente de conocimientos, porque de eso se trata el hacking: De aprender, sobre todo, a pensar de forma distinta; De imaginar nuevas y diferentes formas de lograr algo; De saber alterar un Sistema, bien por el placer de conocerlo a fondo, o bien porque así podemos mejorarlo.

Y eso es lo que encontraremos en las publicaciones que hoy recomendamos y que, además del disfrute de sus páginas, nos enseñarán mentes épicas en plena acción. ¿Cómo lograron lo que alcanzaron, aquellos que desafiaron sistemas imposibles, sólo por el placer de hacerlo, informando en la mayoría de los casos a sus propios creadores?; ¿Cómo y por qué una mente armada con un sano y elevado grado de curiosidad puede alcanzar hitos imposibles, conocer o incluso crear rutas desconocidas para llegar a soluciones innovadoras?… Conceptos que, partiendo del hacking, pueden ayudarnos en nuestro día a día, en nuestro trabajo o en asuntos cotidianos. Porque en eso consiste pensar: En saber encontrar soluciones. Y esa es, precisamente, la especialidad del hacking.

Leer más

Eliminar el virus que hackea la webcam

por:

La cosa empezó alarmante, pero simple.

Estando trabajando en el portátil, percibo por encima del skyline de la mirada que la luz led del flash de mi webcam se enciende durante unos segundos.

Mi webcam está “ciega” de la forma más natural y artesanal imaginable: Es decir, tapada con una pegatina que impide su utilización. (Sí, lo sé, se puede desactivar su uso a través de la configuración del equipo, pero hay spyware que, precisamente, reactivan esta función por software, de modo que uso la técnica manual… La pegatina que la deja ciega).

A partir de ahí, mi mente se puso en guardia. Tenemos un espía.

Cálculos rápidos: Ok, no pueden obtener imágenes personales a través de mi webcam porque, como he dicho, la tengo inutilizada y tapada. Pero no me hace ni bendita la gracia saber que tengo un spyware de nuevo cuño que se ha saltado mi firewall y mi antivirus.

Así que debe ser reciente. Pienso.

Bien… vamos a ver qué está trabajando ahora mismo en segundo plano:

Ctrl + Alt + Supr y abro el Administrador de Tareas.

Una vez ahí, me voy a procesos en marcha y… Tachán!!! me aparece un software desconocido, pero de editor que se da a conocer. Y se me presenta el buen algoritmo y la casa que lo ha fabricado.

En concreto, el invitado no invitado se llama MWN.exe y su fabricante ARDAMAX.

Leer más

Ingeniería social y hackear gmail

por:

Hoy traemos un método de ingeniería social que, dada la facilidad de explotarlo y por lo extendido de este sistema de correo electrónico gratuito, debe ser conocido y bien propagado.

El caso es que cuando tuve noticias del mismo, no me lo podía creer. Era realmente sencillo por la escasísima ingeniería social necesaria para llevarlo a cabo y lo simple de su ejecución, dejando al descubierto para cualquiera el acceso a nuestras cuentas de correo electrónico de Gmail y, por si todo esto fuera poco, facilitándose el acceso de intruso por la propia Google.

Empecemos a exponerlo:

gmail-descargar-correos1

Recuperar y explotar una contraseña ajena en Gmail

Todos sabemos que los sistemas de recuperación de las contraseñas son el gran talón de Aquiles de los sistemas de email generales (Outlook, Yahoo, Gmail, etc…). Estos procesos de recuperación de contraseñas y acceso son un verdadero coladero para intrusos que han dedicado el suficiente tiempo a buscar sus agujeros.

Leer más

Hackeando contraseñas con Firefox

por:

Ya lo hemos dicho tantas veces que casi me cuesta trabajo repetirlo en tantos post, pero como de hecho es una constante en materia de hacking y seguridad, volveremos al mantra tantas veces mencionado: La comodidad en materia de software y tecnología, está reñida con la seguridad.

Es decir, y expandiendo un poco más esta norma no escrita: Cuantos mayores grados de comodidad para el usuario se implementan en los productos de software y hardware, más posibilidades hay de que su seguridad y privacidad estén en peligro o sean vulnerables.

Lo que traemos hoy es otro ejemplo práctico de cómo sacarle partido a esta regla.

Usando un navegador para dinamitar las contraseñas que un usuario tenga en otro navegador.

Como sabéis, la lucha de los navegadores por convertirse en nuestro software de cabecera cuando navegamos por Internet, comenzó en los 90. Por aquel entonces, un recién llegado Netscape Navigator que empleaba software libre para su desarrollo y expansión, se las vio durante años con Internet Explorer de Microsoft, que terminó imponiéndose (todavía no sé muy bien por qué, pero no me hagáis caso porque yo no soy imparcial en esto) y Netscape, sencillamente, terminó desapareciendo tras ceder toda la cuota de mercado que lo hacía viable.

Hoy en día se ha heredado esa tradición de que los distintos navegadores peleen por ganar cuota de ordenador, para aspirar a ser el más usado, en más instalado y empleado en dispositivos personales de todo el planeta.

Ahora tenemos a Explorer (desaparecido como tal y que en breve reaparecerá bautizado como Microsoft Edge); También tenemos a Chrome de Google (haciendo de las suyas con la fuerza que le da su preminencia en Android); Y tenemos a Mozilla Firefox, el más admirado y respetado por muchos, aunque otros no lo pueden ni ver…

Firefox-logo_svg

El caso es que, una vez más, tanto Microsoft, como Google o Mozilla (así como los desarrolladores de Opera y demás navegadores secundarios) pugnan por (una vez que te los has instalado) convertirse en tu “navegador predeterminado”. Es decir, que sea su programa y no el de la competencia el que uses tanto tú como tu PC para abrir, ejecutar, navegar y visualizar todo lo que tenga que ver con la Red.

Hasta ahí algo normal teniéndose en cuenta todo ese rollo de la libre competencia y demás. Pero, claro, tantas facilidades quieren incluir entre las comodidades que se lleva el usuario cuando se descargan e instalan un nuevo navegador, que empiezan a aparecer las vulnerabilidades y los “huecos” por los que nuestra seguridad, intimidad y privacidad se vean comprometidas a manos de algún listo que se estudie la materia y se aproveche de nuestra buena ignorancia.

Leer más

Evernote un nuevo peligro para tu privacidad

por:

Este post será corto (rara avis cuando se trata de mi), porque se centrará en uno de esos programas tan útiles, necesarios, bellos, bien pensados y gratuitos, pero que ponen en peligro nuestra privacidad personal, de datos y de información.

Ya sabéis, los que seguís estos post sobre Hacking y Seguridad en Somos Binarios, que estos versan sobre diferentes temáticas y materias que, en suma, repercuten en nuestro conocimiento sobre los peligros, amenazas y vulnerabilidades que la tecnología implica para nuestra seguridad o intimidad personales.

Lo normal en este tipo de casos es que hablemos de Google, de Facebook y, en una medida más amplia y general, de Microsoft. Pero no sólo las grandes megacorporaciones con supuestos intereses supranacionales introducen o descuidan funciones en sus productos de software que terminan jugando contra el usuario, o que vulneran su intimidad, información personal y datos.

También las firmas menores parecen estar empezando a sumarse a esta desgraciada tendencia de que todo el mundo ahí fuera, conozca lo que hacemos, desde dónde y, sobre todo, qué guardamos en nuestros PCs y discos duros.Ahí es donde entra ahora Evernote.

Evernote y la privacidad

Evernote es un peligro para la privacidad o no

No siempre fue así. De hecho, me reconozco un seguidor y admirador del trabajo de los ingenieros de software de Evernote, al menos, hasta que decidieron implementar la función que hoy critico, por insegura y por dejar nuestra privacidad en manos de Google.

Su aplicación multiplataforma me parece excelente, desde el concepto hasta la presentación. Empleo Evernote para almacenar conocimiento e información que descubro en la Red y que quiero conservar para posteriores consultas o relecturas. Además, saber que está accesible desde mi PC, tablet y Smartphone, además de manera deslocalizada, es otro recurso potente.

Hasta ahora era una aplicación nativa en mi PC y la consideraba garante de cuanto me interesa, lo que dice mucho de mi y de cualquiera, porque, admitámoslo, ¿Qué hay más personal que aquello que nos gusta, y que además nos gusta o atrae tanto, que queremos guardarlo para conservarlo?. Pues sobre esta base pivota Evernote, y algún iluminado ha considerado que esa información debe estar en manos (no sólo de sus servidores) sino también de Google y terceras corporaciones con cookies en nuestros navegadores.

Leer más

¿Qué es el hacktivismo y cual es su origen?

por:

Ahora que los tiempos parecen estar hechos para confundirnos y que todo se compra, se vende o se cambia por un sucedáneo, se hace indispensable volver a las raíces.

Regresar a los orígenes de uno de los grandes movimientos sociales y altamente especializados de los últimos tiempos.

El hacktivismo

Ahora que a cualquiera que hace una fechoría por internet se le llama “hacker“. O que este arte/ciencia parece haberse pervertido a base de niñatos que “venden” en la Red su capacidad para dinamitar una contraseña de hotmail, o para pasarte unas cuantas numeraciones de tarjetas de crédito robadas… Se vuelve importante que recordemos qué es un Hacker, de dónde y cómo surgió no el término (que es lo de menos) sino la filosofía y el movimiento que hay detrás y, sobre todo, qué tenían en mente aquellos originarios pioneros de la informática y el cálculo que rompieron para siempre las reglas del juego establecidas por las grandes compañías como IBM, una recién nacida Microsoft o una pedante (aunque de orígenes igualmente piratestos) Apple.

Y para ello nada mejor que leer y releer a Richard Stallman, el padre del Software Libre y el Código Abierto. Su obra “Software libre para una sociedad libre” y que te puedes descargar, como no, libre, legal y gratuitamente, es mucho más que un manifiesto del Hacktivismo con mayúsculas. Es todo un compendio filosófico-técnico de por qué copiar código no sólo es legítimo sino que debería ser el modus operandi predominante entre autores, o por qué lo que verdaderamente debería ser considerado ilegal e ilegítimo es el software privativo y los derechos de autor o copyrights.

Richard StallmanRichard Stallman, creador de la Free Software Foundation

Pero, dejando a un lado consideraciones filosóficas que no tienen desperdicio sinceramente, hoy es un buen día para recordar algunos y enseñar a otros, el cómo y el por qué del Hacktivismo como movimiento de liberación mental, técnica y social.

Leer más

Haciendo seguro y privado tu teléfono móvil

por:

Hoy nos centraremos en uno de los aspectos de la seguirdad y el hacking que, por su relevancia y su extensión, más debe interesarnos a todos aunque a veces pequemos por descuidar la privacidad allí donde más la necesitamos: nuestros teléfonos móviles.

Resulta alarmante comprobar la importancia (y siempre es poca) que le damos a la seguridad y a la privacidad en nuestros equipos informáticos (PC y teblets, aunque en menor medida), así como a nuestras comunicaciones online, olvidando implementar con el mismo celo la seguridad y la privacidad en nuestras comunicaciones móviles. Es decir, allí donde más necesaria es.

Incluso las personas más concienciadas y mejor formadas en materia de hacking y seguridad, tienden a olvidar que sus teléfonos móviles son ya auténticos ordenadores, conectados a internet y desde los que, además de comunicaciones online, acogen nuestras comunicaciones por voz, nuestros contactos personales y no poca información íntima (fotos, vídeos, mensajes de texto, etc…)

Por ello, conviene centrarnos en cómo lograr que nuestros terminales móviles sean verdaderamente seguros, privados y carentes de la mayor cantidad posible de bugs o agujeros potencialmente explotables por terceros.

El Blackphone: un teléfono pensado y diseñado para resistir ataques contra tu privacidad y tus comunicaciones.

El blackphone

El proyecto Blackphone se puso en marcha con único objetivo en la mente de sus creadores: desarrollar el terminar inexpugnable en una época en la que instituciones públicas, corporaciones privadas e individuos parecen muy interesados en nuestras comunicaciones e información personal.

Su configuración de fábrica incluye encriptación de punto a punto tanto en opciones de mensajería como en procesos de voz. También sustituyen no pocas aplicaciones como whatsapp, por otras open-source y con encriptación de alta calidad para garantizar la privacidad de las comunicaciones de los usuarios.

En suma, sus creadores lo comercializan (así lo anuncian) como un teléfono antiespionaje y antihacking. Como siempre, el tiempo será el encargado de que alguien logre romper su seguridad pero mientras tanto es una referencia a tener en cuenta a la hora de lo más importante: Convertir nosotros mismos a nuestro teléfono móvil en un terminal seguro y blindado, sin tener que recurrir a una marca o desarrollador determinado.

Leer más

Creando y codificando la contraseña indescifrable

por:

Hace tiempo que algunos “gurús” de esos que hay por Internet, aseguran que las contraseñas tienen los días contados y que, en breve, las nuevas tecnologías de reconocimiento y seguridad (iris, huella dactilar, comandos de voz…) se encargarán de convertir la seguridad en algo más serio de lo que es hoy en día.

Pero ese “futuro” no termina de llegar, y por el contrario, lo que sí está universalizado es el acceso y protección de datos, tanto offline como online, por contraseña. A lo más, podemos ver que de vez en cuando (casos de Google, Microsoft, etc…) implementan protocolos de doble check para la contraseña. Es decir, que puedes emplear tu móvil para verificar, en un segundo paso, tu acceso por contraseña o su confirmación, pero poco más al respecto de la innovación en este sentido.

Todo lo anterior sumado a que el tema de la seguridad, los secuestros de información y datos, la encriptación delictiva de sistemas ajenos, los ataques por fuerza bruta y demás lindezas están a la orden del día, nos encontramos con un panorama cada día menos fiable en materia de seguridad personal de nuestra información, datos, contenidos y vida digital.

Así que se hacía indispensable hacer un post en el que nos encargásemos de dar las nociones necesarias, para todos (con cualquier nivel de formación y especialización) para ayudar a que cualquiera pueda implementar y crear la contraseña más segura, actualizable, memorizable y a la vez indescrifrable posible, para cuantos servicios, sistemas y procesos se puedan imaginar.

¿Cómo debe ser la contraseña perfecta?

Para empezar, debemos saber cómo ha de ser la contraseña más segura posible. Qué requisitos/características debe tener. Pues bien, toma nota mental, porque ha de ser así:

Compleja, muy compleja: que no pueda ser descifrada por los llamados “ataques de diccionario” en la que un sistema potente compara todas las palabras posibles para ejecutar la apertura. Normalmente se utilizan las palabras que están en el diccionario así que cosas como colcreta que no existen son más “fuertes” que casa o amapolas.

Alfanumérica: que contenga letras y números.

Memorizable: que sea tan fácil de recordar por su legítimo dueño, como difícil o imposible de descubrir por terceras personas. Al fin y al cabo, la contraseña que se olvida no sirve de nada y, además, puede hasta perjudicar a quien la olvidó. Por supuesto, que no deba ser apuntada en ninguna parte para ser recordada. Esto no hace falta ni explicar por qué.

Que no necesite ser recuperada: uno de los agujeros de seguridad más explotados para descubrir una contraseña, es el proceso de recuperación de la misma por parte de un tercero que se hace pasar por el legítimo dueño que la ha “olvidado”.

Que nada tenga que ver con nosotros, a simple vista: es decir, nada del número del DNI, las fechas de nacimiento, los códigos postales, o las siglas de los nombres y apellidos…. Mejor aún, que ni las personas más cercanas y que mejor nos conocen pudieran imaginarla. Así de profunda debe ser una buena contraseña.

Podríamos mencionar otras características, pero si una contraseña recoge o cumple estos requisitos con garantías, ya podemos ir considerando que estamos bien protegidos.

Creando una contraseña fuerte Leer más

Los libros que un hacker no puede dejar de leer

por:

Hoy vamos a centrarnos en materia de estudio. Pero eso sí, de estudio por diversión, por el placer de conocer más, de saber más y de descubrir.

Una de las facetas más interesantes del mundo del hacking (que para mi no es otra cosa que aprender a pensar y a hacer las cosas de manera distinta) es descubrir cómo otros lograron ciertas hazañas. Poco importa, sinceramente, que esas hazañas fueran informar a una compañía de una vulnerabilidad concreta en sus sistemas informáticos, o que se tratara de penetrar sistemas ajenos y de envergadura como los de una institución militar o financiera.

Lo que se aprende cuando se lee sobre hacking, es a reconocer unas mentes privilegiadas que entendían los problemas como retos que debían ser manejados de una forma diferente. Con patrones mentales sustancialmente distintos a los que empleamos comúnmente, desde luego.

Y eso es siempre lo más sorprendente cuando uno se adentra en la historia y vida de hackers de los ochenta, los noventa y de los más actuales y recientes.

Porque si interesante puede resultar comprobar lo que a día de hoy se está llevando a cabo a nivel internacional (Stuxnet, Ataques coreanos contra Sony en USA, sistemas de filtraciones y encriptación de Wikileaks, etc… ) aún más apasionante es conocer cómo comenzaron a descubrir (literalmente investigando líneas de código propias) en los ochenta el modo en que adolescentes, muchos de ellos españoles y sin experiencia previa, se adentraban y aprendieron a operar sistemas de comunicación en red de Unix, Amstrad y hasta Spectrum.

Leer más

Inseguridad en los grades productores de software

por:

Inseguridad en los grades productores de software

Desde hacía tiempo, el inconsciente colectivo (es decir, la opinión pública que se mueve por lo que lee, le cuentan o escucha) consideraba que los principales productores voluntarios de “bugs” en los sistemas que se programan debían ser pequeños estudios de software o desarrolladores individuales no muy preocupados por su prestigio y sin una marca reconocida que proteger.

Y es que la lógica nos indica que las grandes corporaciones de software (Adobe, Apple, Microsoft, Sun, Cisco, Google…) tienen mucho que perder (explicaciones que dar a sus accionistas, prestigio frente a sus clientes internacionales, daño a su marca) si sus productos son catalogados de defectuosos y no digamos ya si, además, se encuentra en ellos bugs cuanto menos sospechosos o aparentemente voluntarios, que están ahí precisamente para poner en peligro la seguridad y la privacidad de sus usuarios.

De nuevo, y como tantas veces hemos hecho desde estas líneas en Somos Binarios, esta es otra creencia tanto equivocada como peligrosa.

En los útlimos años los principales daños de seguridad, peligros (accidentales o provocados) y agujeros por los que el malware propio o ajeno entra en los sistemas de los usuarios, está viniendo justamente por el flanco que damos por más seguro: el de los grandes desarrolladores y el de los productos de software más consolidados y con más renombre.

Facebook y la publicidad

A Facebook son ya años los que se les lleva reprochando que cada nuevo add-on que implementa en su red social conlleva menos privacidad para los usuarios, más facilidades para los anunciantes que emplean la plataforma para colocar publicidad dirigida al usuario (en base a un profundo conocimiento de la intimidad de éste) y una no menos preocupante política de “mirar hacia otro lado” en bastantes casos en los que las bondades de la red social más famosa del mundo es empleada para fines no siempre lícitos.

Facebook es poco seguro

Leer más