Pequeño curso sobre TOR y la Deep Web (II)

Continuamos con nuestro curso sobre Deep Web, navegación anónima y la Red Tor que comenzamos hace unas semanas y que vamos intercalando entre el resto de artículos sobre hacking y seguridad que venimos redactando en esta sección de Somos Binarios.

Antes de comenzar esta segunda entrega, convendría mencionar a los que (por casualidad) hayan dado con este artículo, que deberían comenzar por la primera de las entregas de este curso. Como siempre, los conocimientos se organizan sobre sustratos, lo que hace especialmente interesante comenzar y seguir este curso en orden. Aquí podéis acceder a la primera entrega.

Y dicho lo anterior, sigamos:

Hoy comenzaremos dejando claro cómo de profunda es la Deep Web o Internet Profundo. Para que todo el mundo pueda hacerse una idea, con total independencia de su grado de conocimiento o especialización informática, podéis haceros la siguiente imagen mental:

Si tomásemos una jarra de un litro de capacidad y la llenásemos completamente de agua, añadiendo al final unas gotas de aceite (que se quedaría en la superficie), esas gotas de aceite serían la Internet que conocemos y a la que accedemos común y generalmente con buscadores como Google, o en la que tenemos nuestra cuenta de email de Yahoo, Gmail o cualquier otra. Ahí está Wikipedia, las redes sociales y todo un mundo de entretenimiento globailzado. A eso llamamos “internet”. La Deep Web sería el resto del litro de agua de esa jarra… Así de simple, inmensa, profunda y compleja es la verdadera red de redes “clandestina” o a la que no accede ni indexan los buscadores que conocemos todos.

posible mapa de la deep web

Hecha esta aclaración ilustrativa, conviene ahora responde otra de las preguntas que ya dejamos apuntada en nuestra primera entrega: ¿Cómo de peligrosa es la Deep Web?.

Bueno, aquí es el sentido común de cada cual es que debe determinar la profundidad del término “peligrosidad”.

Leer más

Prolog el lenguaje de programación lógico

Prolog el lenguaje de programación lógico

Hoy en día cuando queremos estudiar o realizar un proyecto tenemos una gran cantidad de lenguajes a nuestra disposición. Pero hay muchos de ellos cuyas características principales son similares. Sin embargo dentro de ese grupo de lenguajes distintos y poco conocidos está Prolog.

¿Qué es Prolog?

Prolog es un lenguaje lógico, utilizado para programar en el campo de la inteligencia artificial. Sus características son bastante peculiares ya que no sigue la filosofía estructurada ni la orientada a objetos. Algunas de las cosas llamativas que podemos encontrar en el mismo es que no hay bucles.

El lenguaje se basa principalmente en:

  • hechos algo que siempre es verdadero.
  • reglas algo que para que sea verdadero se tienen que cumplir aquellas condiciones del cuerpo de la regla.

El proceso de resolución

La solución que suele ofrecer es verdadero o falso y para ello intenta buscar el objetivo que le indicamos analizando las cláusulas (hechos y reglas) de arriba a abajo. Además utiliza el algoritmo de backtracking para intentar al alcanzar la solución aunque sea utilizando múltiples reglas.

Leer más

Qué son los snippets o fragmentos de código

Que son los snippets o fragmentos de codigo

Normalmente cuando desarrollamos programas, nos encontramos con cierto código que se suele repetir de manera constante en la mayoría de los proyectos. Normalmente esto lo solemos encapsular en una clase, en una plantilla de proyecto o en un fichero externo, según el lenguaje y plataforma que utilicemos. Sin embargo hay otras líneas de código, que sin ser tan frecuentes como las anteriores, sí nos gustaría tener a mano para solucionar un problema o recordar de una manera rápida cómo se solucionaba el mismo.

Snippets o fragmentos de código

Como sabréis los lectores más fieles a mis artículos, normalmente intento utilizar los términos en español para las palabras inglesas, siempre que esa traducción se use con frecuencia. En este caso, la mayoría de gente que conozco siempre dice snippets, así que he decidido incluir el término en el artículo.

Leer más

¿Cuál es el estado de la batería de mi iPhone o iPad?

Seguramente que muchos de vosotros os habéis preguntado si la salud de la batería es correcta, ya que últimamente os está durando menos de lo normal.

Se podría llegar a pensar que puede ser un fallo del software, que esté consumiendo demasiada batería y quizá pensemos que sea necesario restaurar nuestro dispositivo. Pero esto nos lo podemos ahorrar con el siguiente programa: coconutBattery.

CoconutBattery es un programa que tan solo está disponible para Mac OS X. Se puede realizar su descarga desde su página web

El programa es muy sencillo. Es capaz de mostrarnos información acerca de la batería de nuestro MacBook y además también puede ver el estado de la batería de cualquier dispositivo iOS que conectemos.

La información a mostrar es la siguiente:

Obtener el estado de la batería de nuestro iPhone

Con respecto al dispositivo iOS que conectemos (en mi caso he conectado un iPhone 4S):

  • Modelo.
  • Día en el que fue manufacturado.
  • Versión iOS.
  • Espacio usado.
  • Edad del dispositivo.
  • Serial.
  • Número de teléfono.
  • Versión del baseband.
  • Carga actual de la batería.
  • Máxima carga capaz de albergar la batería.
  • Carga máxima para la que se diseñó la batería.
  • Ciclos de carga.
  • Temperatura.
  • Estado de la batería (cargando, descargando).

Estado de la batería de mi iPhone

Leer más

Hackeando teléfonos móviles con un smartwatch

Hackeando teléfonos móviles con un smartwatch

Bueno señores, empezamos el año como lo dejamos, es decir, aprendiendo y compartiendo conocimientos sobre Tecnología y, en concreto, sobre Hacking y Seguridad Informática.

Hoy vamos a compartir con todos vosostros un análisis de seguridad realizado a uno de esos nuevos dispositivos que se están imponiendo y que están experimentando un boom de usuarios: Los relojes inteligentes o Smartwatches.

Vamos a aprender cómo esta nueva tecnología tiene (como no) sus vulnerabilidades, o mejor expresado, puede ser empleada para explotar vulnerabilidades en otros dispositivos como teléfonos móviles con sistema operativo Android.

En concreto vamos a publicar en este post un análisis de seguridad que hemos realizado sobre un reloj inteligente en concreto (modelo y marca que identificaremos) así como las dos formas en que lo hemos empleado para testar su capacidad de ser utilizado como método de hackeo de teléfonos móviles ajenos. En la primera de estas formas que hemos probado no necesitaremos tener acceso al teléfono móvil a hackear. En el segundo método de hackeo que hemos analizado sí necesitaremos un acceso de un minuto de duración al teléfono móvil de la víctima.

Una vez más, y como siempre, recordamos que el objetivo de estos post y de esta publicación es compartir conocimiento para concienciar y, sobre todo, para aumentar nuestra capacidad de defensa y seguridad frente a riesgos reales para nuestra intimidad, anonimato y propiedad digital. en ningún caso nos hacemos responsables ni alentamos la utilización de estos conocimientos con fines ilícitos o delictivos.

Empecemos…

El Smartwatch analizado y el primer modo de usarlo para hackear un teléfono móvil ajeno.

El reloj inteligente que hemos testado con fines de hackeo y testeo de seguridad es un Innwatch, del fabricante Injoo, marca blanca de fabricantes orientales de excelentes calidades tanto tecnológicas como a nivel de acabados. Un buen terminal de estas características mucho más económicos y de usos generales que los de marcas con ecosistemas cerrados como Apple o Samsung, por definición mucho más caros y centrados específicamente en sus teléfonos de misma marca.

smartwatch que usaremos para hackear

Modelo Innwatch 1 del fabricante InnJoo utilizado en nuestro testeo de seguridad y hacking.

Lo primero que debemos preguntarnos es ¿Qué es lo que ha hecho que este terminal en concreto sea muy apto para tareas de hacking? Pues el hecho de que el software de sincronización del reloj con teléfonos móviles mediante Bluetooth que trae el terminal de fábrica ha sido diseñado con las mejores intenciones para dotarlo de comodidad para el usuario en todo lo relacionado con conectividad entre dispositivos, lo que, por añadidura, lo hace óptimo para todo tipo de labores de hackeo como veremos.

Leer más

Cómo sincronizar carpetas en Mac

Un problema al que podemos tener que enfrentarnos es la sincronización de carpetas, ya sean locales o remotas.

Para solucionar esto, en Mac OS X podemos aprovecharnos de una magnífica herramienta llamada automator, que nos permite crear ejecutables a partir de sencillos scripts.

A esta solución llegué cuando necesitaba mantener sincronizada cierta carpeta de mi disco duro con dropbox, y no encontraba la opción en el cliente de dropbox de seleccionar una carpeta de mi equipo para mantener sincronizada.

En mi caso se trata de la sincronización de la carpeta de mi disco duro externo en la que tengo todos los datos de la universidad (apuntes, ejercicios, trabajos, etc) que sería una pena perder por un fallo de disco.

Para ello creé dos programas, uno que al ejecutarlo “manda” para dropbox los cambios en la carpeta del disco duro, y otro que al ser ejecutado “importa” los cambios de dropbox al disco duro.

El segundo programa es ideal para cuando he estado trabajando en el portátil o en algún pc de la facultad, y quiero tener los datos de vuelta en mi pc de escritorio.

Creando el script para sincronizar los datos

1 Para comenzar lanzamos el programa “Automator”

Leer más

JSON el formato de datos mas popular

Con el creciente desarrollo de Internet en los últimos tiempos debido a los dispositivos móviles, hemos asistido a una revolución en la manera de intercambiar datos. La mayoría de servicios nacieron para ser consultados desde un navegador web, pero se tuvieron que ir adaptando para poder hacer aplicaciones nativas, que permiten un mayor y mejor uso de los mismos. En estos casos la mayoría de las empresas decidió que la manera más sencilla de proveer a esas aplicaciones de datos, sería mediante una API.

En un principio la forma de comunicar datos entre dos aplicaciones fue XML, un lenguaje de marcado (similar a HTML). Pero su sintaxis es poco clara y en muchos casos tiende a generar ficheros con mucha sintaxis para la información real que queremos transmitir. Para sustituir a XML el formato que mejor se ha posicionado es JSON.

JSON

JSON es un formato mucho más claro, con mucha menor sintaxis al no utilizar etiquetas para indicar cada contenido y esta basado en un sistema similar a los diccionarios (relación clave-valor). Este formato ha sido elegido por la mayoría de las APIs y desarrollos en los últimos años y actualmente XML se está quedando relegado a aplicación antiguas.
Leer más

La inseguridad de las opciones por defecto

Una de las cosas más criticadas del nuevo Windows 10 es que su configuración por defecto puede no ser de todo segura, y puede afectar a nuestra privacidad. Por un lado los nuevos servicios como Cortana necesitan tener acceso a gran cantidad de datos para poder funcionar, algo que es fácil de entender, ya que no hay otra manera de que Cortana te avise de un evento sin tener acceso a tu agenda y así sucesivamente. Por otro lado las personas que no usan estas nuevas características pueden ver en ellas un ataque a la privacidad. Esta última manera de pensar también es entendible, ya que para qué quiero darle acceso a mi ubicación, mi correo o mi calendario si no quiero usar estos sistemas.

Privacidad vs comodidad

Como en la mayoría de los casos nos encontramos ante dos opciones que son contrapuestas. La privacidad es un elemento cada vez más importante en nuestras vidas, ya que todos nuestros datos están en nuestros equipos y es información muy sensible. Sin embargo, cada día buscamos sistemas que nos hagan la vida más fácil, por ejemplo queremos que nos avisen automáticamente si hay un evento, si recibimos un correo o si ha marcado un gol nuestro equipo favorito.

Analizando a fondo la cuestión de como funcionan los mecanismos de predicción, los sistemas de recomendación y los asistentes digitales, podemos ver que los tres mecanismos tienen una cosa en común: necesitan una gran cantidad de datos para ser fiables. Si vamos a un modo más técnico la mayoría de ellos están basados en mecanismos de inteligencia artificial, que buscan extraen de un conjunto cuanto más grande mejor de datos patrones de usuarios similares, para así poder ofrecerte algo que sabe la máquina que te va a gustar y esto lo sabe porque a alguien muy similar a ti, le gustó lo que te mostró.

El segundo problema que se plantea es que no es posible analizar los datos en el propio ordenador de la persona, sino que es necesario tenerlos todos juntos y aplicarlos algoritmos de inteligencia artificial. Para ello nos encontramos con que todos los grandes de la informática envían nuestros datos hacia sus centros de datos, para procesarlos. Aquí ya vemos que nuestra privacidad puede correr peligro.

Como conclusión puedo deciros que hay básicamente dos opciones, renunciar a la comodidad de este tipo de tecnologías y preservar nuestra privacidad, o creer que el fabricante tratará estos datos de manera confidencial y usar esa tecnología. La capacidad de elección está en nuestra mano.

Leer más

Hackeando tarjetas NFC

Hackeando tarjetas NFC

Seguimos con nuestra línea de formación constante en materia de Seguridad y Hacking, centrándonos hoy en la forma de acceder, modificar, extraer o eliminar la información contenida en las tarjetas NFC.

¿Qué es una tarjeta NFC?

Una tarjeta NFC es prácticamente un circuito impreso muy liviano y flexible que, por dichas características, está presente en no pocos dispositivos y tiene múltiples usos. Podemos encontrar estos circuitos en infinidad de artículos y precios de ropa, alimentos y todo tipo de productos en grandes almacenes y supermercados; También se usan en las nuevas tipologías de tarjetas de visita y en no pocas tarjetas bancarias también.

De hecho, con la nueva ola de “pagos sin contacto” a través de tarjetas y teléfonos móviles a dispositivos de cobro por radiofrecuencia, este tipo de circuitos y tarjetas están teniendo una segunda vida muy provechosa… Y con ello, claro está, también muy vulnerable.

Seguro que si veis algunas imágenes reconoceréis este tipo de tarjetas que, quizá por su nombre, desconocéis:

pegatina NFCTarjeta NFC empleada comúnmente en el etiquetado de precios y control de innumerables productos en supermercados.

Leer más

Visual Studio y la telemetría

Una de las cosas más criticadas de Windows 10 ha sido que invadía la privacidad por su sistema de telemetría. Hoy os vamos a explicar qué es y qué datos nos da la telemetría utilizando un ejemplo real de aplicación realizada con Visual Studio.

Añadiendo telemetría a nuestra aplicación

Lo primero que tenemos que hacer es crearnos una cuenta de Azure para que recoja y procese nuestros datos sobre telemetría. Después cuando vayamos a crear nuestra aplicación debemos marcar la siguiente opción:

La telemetria en Windows 10 y Visual Studio

Esto va a cargar de manera automática información sobre el uso de nuestra aplicación a nuestra cuenta de Azure.

Leer más