Categoría: Seguridad

Windows 10 y la privacidad

por:

Ya estamos de nuevo aquí para tratar algunos temitas de seguridad, hacking y privacidad, marca de la casa. Y hoy nos centraremos en el nuevo Windows 10, como no podría ser de otro modo.

¿Está la privacidad en peligro con Windows 10?

Windows 10 ha llegado y trae, muchas vulnerabilidades para tu privacidad, y no pocas herencias para tu seguridad que se mantienen de versiones anteriores.

Entre las vulnerabilidades que trae el nuevo sistema operativo de Microsoft y que no son achacables a versiones anteriores, sino que son un ejercicio de nuevo cuño propio de la política de la empresa de querer saber todo lo que pueda de nosotros, nuestros hábitos, datos, intimidades y demás, podemos destacar:

Que, por defecto el Sistema Operativo viene preconfigurado con todas las opciones de privacidad, no sólo al mínimo, sino explícitamente encaminadas a que Microsoft recolecte toda la información de nuestros hábitos de navegación, historial, información personal tanto online como offline, documentación contenida en nuestros discos duros (con la excusa de que Cortana precisa acceder a esta información íntima para poder darnos un “mejor servicio y atención”, etc, etc…

Mi recomendación en materia de seguridad es clara:

  • Acceder a las opciones de privacidad en “configuración” y leer hasta el último detalle cada opción.
  • Desconectar o Inhabilitar todo lo que te parezca grotesco o que atenta contra tu intimidad, tu privacidad, tu seguridad o tu información personal. (Hay tanto que deshabilitar, ya te lo anticipo, que este post sería enorme si trato una a una cada opción).
  • Desactivar Cortana si no lo vas a usar. Y si lo vas a usar, ten en cuenta que el precio a pagar en vulnerabilidad de tu intimidad es demasiado alto como para que el juguetito del asistente personal resulte ya atractivo.
Windows 10 y sus problemas de privacidad

Leer más

Hacking para este verano

por:

Hoy volvemos con otros de esos post tan necesarios, hoy en día en que se lee poco, mal y en formato ebook. Además, como ya estamos de vacaciones, qué mejor recomendación que unos cuantos libros (excelentes lecturas) de los temas que nos apasionan y que nos pueden acompañar a la playa, a la montaña o en casa, sea cual sea nuestro caso.

Como siempre, el hacking constituye una inagotable fuente de conocimientos, porque de eso se trata el hacking: De aprender, sobre todo, a pensar de forma distinta; De imaginar nuevas y diferentes formas de lograr algo; De saber alterar un Sistema, bien por el placer de conocerlo a fondo, o bien porque así podemos mejorarlo.

Y eso es lo que encontraremos en las publicaciones que hoy recomendamos y que, además del disfrute de sus páginas, nos enseñarán mentes épicas en plena acción. ¿Cómo lograron lo que alcanzaron, aquellos que desafiaron sistemas imposibles, sólo por el placer de hacerlo, informando en la mayoría de los casos a sus propios creadores?; ¿Cómo y por qué una mente armada con un sano y elevado grado de curiosidad puede alcanzar hitos imposibles, conocer o incluso crear rutas desconocidas para llegar a soluciones innovadoras?… Conceptos que, partiendo del hacking, pueden ayudarnos en nuestro día a día, en nuestro trabajo o en asuntos cotidianos. Porque en eso consiste pensar: En saber encontrar soluciones. Y esa es, precisamente, la especialidad del hacking.

Leer más

Primeros pasos en criptografía

por:

Una de las ramas más importantes hoy en día de la informática es la criptografía, que se encarga de la transmisión segura de la información. En este artículo queremos acercarnos a los principales conceptos y enseñaros un ejemplo de su uso.

Por qué es necesario cifrar los datos

Todavía hoy en día gran cantidad de personas piensan que no es necesario cifrar los datos, puesto que estos viajan de manera segura cuando son enviados. Esta idea es totalmente falsa, todos los datos (incluidas contraseñas) viajan de la misma manera por internet y esta manera consiste en enviarlos tal cual son. Debido a ello pronto se descubrió que no era muy seguro que en nuestro tráfico figurasen cosas como “user=pepe&pass=laPassDePepe” y se empezó a aplicar el cifrado de las comunicaciones.
El cifrado por lo tanto no es una cosa que haga la implementación de Internet por nosotros, sino que es un añadido por parte de los administradores web.

Sistemas criptográficos y funciones hash

Básicamente hay dos tipos de cifrados:

  • Cifrados de clave privada: en este caso tanto el emisor como el receptor comparten una clave con la cual se cifra y descifra la información que se quiere transmitir. Tienen como ventaja el ser más sencillos y rápidos a la hora de descifrar y cifrar, pero tienen el problema de que hay que compartir una misma clave. Un ejemplo de este tipo de sistema de cifrado es AES
  • Cifrados de clave pública: en este caso el emisor y el receptor tienen distintas claves. Sus claves son más complejas y están formadas por dos partes: una pública que se anuncia a cualquier emisor y una privada que nunca se envía. La ventaja radica en que no se necesita compartir una clave y por lo tanto se puede enviar datos por canales inseguros de forma segura. Las desventajas son principalmente el mayor coste computacional y la complejidad de este tipo de comunicaciones. En este caso encontramos RSA como máximo exponente de los sistemas criptográficos de clave pública.
    Leer más

Eliminar el virus que hackea la webcam

por:

La cosa empezó alarmante, pero simple.

Estando trabajando en el portátil, percibo por encima del skyline de la mirada que la luz led del flash de mi webcam se enciende durante unos segundos.

Mi webcam está “ciega” de la forma más natural y artesanal imaginable: Es decir, tapada con una pegatina que impide su utilización. (Sí, lo sé, se puede desactivar su uso a través de la configuración del equipo, pero hay spyware que, precisamente, reactivan esta función por software, de modo que uso la técnica manual… La pegatina que la deja ciega).

A partir de ahí, mi mente se puso en guardia. Tenemos un espía.

Cálculos rápidos: Ok, no pueden obtener imágenes personales a través de mi webcam porque, como he dicho, la tengo inutilizada y tapada. Pero no me hace ni bendita la gracia saber que tengo un spyware de nuevo cuño que se ha saltado mi firewall y mi antivirus.

Así que debe ser reciente. Pienso.

Bien… vamos a ver qué está trabajando ahora mismo en segundo plano:

Ctrl + Alt + Supr y abro el Administrador de Tareas.

Una vez ahí, me voy a procesos en marcha y… Tachán!!! me aparece un software desconocido, pero de editor que se da a conocer. Y se me presenta el buen algoritmo y la casa que lo ha fabricado.

En concreto, el invitado no invitado se llama MWN.exe y su fabricante ARDAMAX.

Leer más

Ingeniería social y hackear gmail

por:

Hoy traemos un método de ingeniería social que, dada la facilidad de explotarlo y por lo extendido de este sistema de correo electrónico gratuito, debe ser conocido y bien propagado.

El caso es que cuando tuve noticias del mismo, no me lo podía creer. Era realmente sencillo por la escasísima ingeniería social necesaria para llevarlo a cabo y lo simple de su ejecución, dejando al descubierto para cualquiera el acceso a nuestras cuentas de correo electrónico de Gmail y, por si todo esto fuera poco, facilitándose el acceso de intruso por la propia Google.

Empecemos a exponerlo:

gmail-descargar-correos1

Recuperar y explotar una contraseña ajena en Gmail

Todos sabemos que los sistemas de recuperación de las contraseñas son el gran talón de Aquiles de los sistemas de email generales (Outlook, Yahoo, Gmail, etc…). Estos procesos de recuperación de contraseñas y acceso son un verdadero coladero para intrusos que han dedicado el suficiente tiempo a buscar sus agujeros.

Leer más

Hackeando contraseñas con Firefox

por:

Ya lo hemos dicho tantas veces que casi me cuesta trabajo repetirlo en tantos post, pero como de hecho es una constante en materia de hacking y seguridad, volveremos al mantra tantas veces mencionado: La comodidad en materia de software y tecnología, está reñida con la seguridad.

Es decir, y expandiendo un poco más esta norma no escrita: Cuantos mayores grados de comodidad para el usuario se implementan en los productos de software y hardware, más posibilidades hay de que su seguridad y privacidad estén en peligro o sean vulnerables.

Lo que traemos hoy es otro ejemplo práctico de cómo sacarle partido a esta regla.

Usando un navegador para dinamitar las contraseñas que un usuario tenga en otro navegador.

Como sabéis, la lucha de los navegadores por convertirse en nuestro software de cabecera cuando navegamos por Internet, comenzó en los 90. Por aquel entonces, un recién llegado Netscape Navigator que empleaba software libre para su desarrollo y expansión, se las vio durante años con Internet Explorer de Microsoft, que terminó imponiéndose (todavía no sé muy bien por qué, pero no me hagáis caso porque yo no soy imparcial en esto) y Netscape, sencillamente, terminó desapareciendo tras ceder toda la cuota de mercado que lo hacía viable.

Hoy en día se ha heredado esa tradición de que los distintos navegadores peleen por ganar cuota de ordenador, para aspirar a ser el más usado, en más instalado y empleado en dispositivos personales de todo el planeta.

Ahora tenemos a Explorer (desaparecido como tal y que en breve reaparecerá bautizado como Microsoft Edge); También tenemos a Chrome de Google (haciendo de las suyas con la fuerza que le da su preminencia en Android); Y tenemos a Mozilla Firefox, el más admirado y respetado por muchos, aunque otros no lo pueden ni ver…

Firefox-logo_svg

El caso es que, una vez más, tanto Microsoft, como Google o Mozilla (así como los desarrolladores de Opera y demás navegadores secundarios) pugnan por (una vez que te los has instalado) convertirse en tu “navegador predeterminado”. Es decir, que sea su programa y no el de la competencia el que uses tanto tú como tu PC para abrir, ejecutar, navegar y visualizar todo lo que tenga que ver con la Red.

Hasta ahí algo normal teniéndose en cuenta todo ese rollo de la libre competencia y demás. Pero, claro, tantas facilidades quieren incluir entre las comodidades que se lleva el usuario cuando se descargan e instalan un nuevo navegador, que empiezan a aparecer las vulnerabilidades y los “huecos” por los que nuestra seguridad, intimidad y privacidad se vean comprometidas a manos de algún listo que se estudie la materia y se aproveche de nuestra buena ignorancia.

Leer más

Evernote un nuevo peligro para tu privacidad

por:

Este post será corto (rara avis cuando se trata de mi), porque se centrará en uno de esos programas tan útiles, necesarios, bellos, bien pensados y gratuitos, pero que ponen en peligro nuestra privacidad personal, de datos y de información.

Ya sabéis, los que seguís estos post sobre Hacking y Seguridad en Somos Binarios, que estos versan sobre diferentes temáticas y materias que, en suma, repercuten en nuestro conocimiento sobre los peligros, amenazas y vulnerabilidades que la tecnología implica para nuestra seguridad o intimidad personales.

Lo normal en este tipo de casos es que hablemos de Google, de Facebook y, en una medida más amplia y general, de Microsoft. Pero no sólo las grandes megacorporaciones con supuestos intereses supranacionales introducen o descuidan funciones en sus productos de software que terminan jugando contra el usuario, o que vulneran su intimidad, información personal y datos.

También las firmas menores parecen estar empezando a sumarse a esta desgraciada tendencia de que todo el mundo ahí fuera, conozca lo que hacemos, desde dónde y, sobre todo, qué guardamos en nuestros PCs y discos duros.Ahí es donde entra ahora Evernote.

Evernote y la privacidad

Evernote es un peligro para la privacidad o no

No siempre fue así. De hecho, me reconozco un seguidor y admirador del trabajo de los ingenieros de software de Evernote, al menos, hasta que decidieron implementar la función que hoy critico, por insegura y por dejar nuestra privacidad en manos de Google.

Su aplicación multiplataforma me parece excelente, desde el concepto hasta la presentación. Empleo Evernote para almacenar conocimiento e información que descubro en la Red y que quiero conservar para posteriores consultas o relecturas. Además, saber que está accesible desde mi PC, tablet y Smartphone, además de manera deslocalizada, es otro recurso potente.

Hasta ahora era una aplicación nativa en mi PC y la consideraba garante de cuanto me interesa, lo que dice mucho de mi y de cualquiera, porque, admitámoslo, ¿Qué hay más personal que aquello que nos gusta, y que además nos gusta o atrae tanto, que queremos guardarlo para conservarlo?. Pues sobre esta base pivota Evernote, y algún iluminado ha considerado que esa información debe estar en manos (no sólo de sus servidores) sino también de Google y terceras corporaciones con cookies en nuestros navegadores.

Leer más

¿Cómo encriptar un archivo?

por:

Seguro que alguna vez has pensado en poner una contraseña a un archivo valioso, o a un conjunto de fotos que no querías que nadie viera. Hoy vamos a enseñar cómo se realiza esto con un sencillo programa llamado AxCrypt.

Para descargar el programa (gratuito) tienen que hacer click aquí.

Encriptar un archivo paso a paso

Una vez que hayáis descargado e instalado el programa, hay que hacer lo siguiente:

  1. Busca el archivo que quieras encriptar (también puede ser una carpeta).
  2. Haz click derecho sobre él y te saldrá una opción como esta:

La manera mas sencilla de encriptar un archivo

 

Leer más

¿Qué es el hacktivismo y cual es su origen?

por:

Ahora que los tiempos parecen estar hechos para confundirnos y que todo se compra, se vende o se cambia por un sucedáneo, se hace indispensable volver a las raíces.

Regresar a los orígenes de uno de los grandes movimientos sociales y altamente especializados de los últimos tiempos.

El hacktivismo

Ahora que a cualquiera que hace una fechoría por internet se le llama “hacker“. O que este arte/ciencia parece haberse pervertido a base de niñatos que “venden” en la Red su capacidad para dinamitar una contraseña de hotmail, o para pasarte unas cuantas numeraciones de tarjetas de crédito robadas… Se vuelve importante que recordemos qué es un Hacker, de dónde y cómo surgió no el término (que es lo de menos) sino la filosofía y el movimiento que hay detrás y, sobre todo, qué tenían en mente aquellos originarios pioneros de la informática y el cálculo que rompieron para siempre las reglas del juego establecidas por las grandes compañías como IBM, una recién nacida Microsoft o una pedante (aunque de orígenes igualmente piratestos) Apple.

Y para ello nada mejor que leer y releer a Richard Stallman, el padre del Software Libre y el Código Abierto. Su obra “Software libre para una sociedad libre” y que te puedes descargar, como no, libre, legal y gratuitamente, es mucho más que un manifiesto del Hacktivismo con mayúsculas. Es todo un compendio filosófico-técnico de por qué copiar código no sólo es legítimo sino que debería ser el modus operandi predominante entre autores, o por qué lo que verdaderamente debería ser considerado ilegal e ilegítimo es el software privativo y los derechos de autor o copyrights.

Richard StallmanRichard Stallman, creador de la Free Software Foundation

Pero, dejando a un lado consideraciones filosóficas que no tienen desperdicio sinceramente, hoy es un buen día para recordar algunos y enseñar a otros, el cómo y el por qué del Hacktivismo como movimiento de liberación mental, técnica y social.

Leer más

¿Qué es multicast y para qué sirve?

por:

Quizás alguna vez hayas escuchado la palabra multicast y no has sabido su significado. Vamos a intentar explicar de una manera muy sencilla y resumida lo que significa.

Multicast es un método de envío simultáneo de paquetes (a nivel de IP) que tan sólo serán recibidos por un determinado grupo de receptores, que están interesados en los mismos.

Cómo funciona multicast

Para que el equipo reciba paquetes, antes deben de haberse subscrito a ese grupo, haciéndolo saber mediante un mensaje de tipo IGMP (este tipo de mensaje no solo sirve para que un equipo se apunte para recibir paquetes multicast de una dirección, sino también sirve para que un router sepa que en su interfaz tiene a un equipo interesado en recibir paquetes de una determinada dirección multicast). Cuando el router sepa esa información y le lleguen paquetes con la dirección de destino a la que el host estaba interesado, el router los redigirá y los enviará al host.

Imagen de una comunicación multicast

Cuando hablamos de direcciones, multicast tiene un rango de direcciones IP que va desde la 224.0.0.0 hasta la 239.255.255.255 (esto para IPv4, en IPv6 las podemos identificar porque comienzan con ff00).

Multicast es ampliamente utilizado para tráfico multimedia (video, música, restransmisiones en streaming etc).

Un ejemplo de uso de este tipo de comunicaciones es el reproductor de vídeo VLC que permite realizar una emisión multicast en una determinada dirección. Si algún PC se subscribe a la dirección en la que estés emitiendo, será capaz de verlo.

Leer más