¿Son nuestro certificados seguros?

por:

Una de las cosas en las que más se basa la seguridad en nuestros días, consiste en generar los famosos certificados  que entre otras cosas nos aseguran que nuestros datos vayan cifrados de forma segura cuando los transmitimos a través de la red. Pero no solo se usa en el protocolo HTTPS sino en multitud de protocolos seguros como los de correo.

 

¿Cómo se genera un cerfificado?

Imagen de un certificado RSA con números primos

Básicamente los certificados se basan en un conjunto de información que se intercambia con el cliente, a cerca de las claves que van a utilizar para comunicarse, el tipo de encriptación que van a utlizar y datos sobre el proveedor del servicio.

Uno de los algoritmos que se usan en los certificados es RSA, este algoritmo es un método de cifrado de clave pública, que consta de dos claves que se intercambian, si queréis saber más sobre como funciona el mismo os dejamos este enlace.

Pero este tipo de algoritmos necesitan normalmente de un par de números que forman las claves del sistema. En este caso se necesitan unos números que tienen que tener unas propiedades especiales. Es por ello que normalmente se suele contratar con una empresa dedicada a ellos, para que te genere el certificado, aunque también hay formas de hacerlo por tus propios medios.

Leer más

Haciendo seguro y privado tu teléfono móvil

por:

Hoy nos centraremos en uno de los aspectos de la seguirdad y el hacking que, por su relevancia y su extensión, más debe interesarnos a todos aunque a veces pequemos por descuidar la privacidad allí donde más la necesitamos: nuestros teléfonos móviles.

Resulta alarmante comprobar la importancia (y siempre es poca) que le damos a la seguridad y a la privacidad en nuestros equipos informáticos (PC y teblets, aunque en menor medida), así como a nuestras comunicaciones online, olvidando implementar con el mismo celo la seguridad y la privacidad en nuestras comunicaciones móviles. Es decir, allí donde más necesaria es.

Incluso las personas más concienciadas y mejor formadas en materia de hacking y seguridad, tienden a olvidar que sus teléfonos móviles son ya auténticos ordenadores, conectados a internet y desde los que, además de comunicaciones online, acogen nuestras comunicaciones por voz, nuestros contactos personales y no poca información íntima (fotos, vídeos, mensajes de texto, etc…)

Por ello, conviene centrarnos en cómo lograr que nuestros terminales móviles sean verdaderamente seguros, privados y carentes de la mayor cantidad posible de bugs o agujeros potencialmente explotables por terceros.

El Blackphone: un teléfono pensado y diseñado para resistir ataques contra tu privacidad y tus comunicaciones.

El blackphone

El proyecto Blackphone se puso en marcha con único objetivo en la mente de sus creadores: desarrollar el terminar inexpugnable en una época en la que instituciones públicas, corporaciones privadas e individuos parecen muy interesados en nuestras comunicaciones e información personal.

Su configuración de fábrica incluye encriptación de punto a punto tanto en opciones de mensajería como en procesos de voz. También sustituyen no pocas aplicaciones como whatsapp, por otras open-source y con encriptación de alta calidad para garantizar la privacidad de las comunicaciones de los usuarios.

En suma, sus creadores lo comercializan (así lo anuncian) como un teléfono antiespionaje y antihacking. Como siempre, el tiempo será el encargado de que alguien logre romper su seguridad pero mientras tanto es una referencia a tener en cuenta a la hora de lo más importante: Convertir nosotros mismos a nuestro teléfono móvil en un terminal seguro y blindado, sin tener que recurrir a una marca o desarrollador determinado.

Leer más

Creando y codificando la contraseña indescifrable

por:

Hace tiempo que algunos “gurús” de esos que hay por Internet, aseguran que las contraseñas tienen los días contados y que, en breve, las nuevas tecnologías de reconocimiento y seguridad (iris, huella dactilar, comandos de voz…) se encargarán de convertir la seguridad en algo más serio de lo que es hoy en día.

Pero ese “futuro” no termina de llegar, y por el contrario, lo que sí está universalizado es el acceso y protección de datos, tanto offline como online, por contraseña. A lo más, podemos ver que de vez en cuando (casos de Google, Microsoft, etc…) implementan protocolos de doble check para la contraseña. Es decir, que puedes emplear tu móvil para verificar, en un segundo paso, tu acceso por contraseña o su confirmación, pero poco más al respecto de la innovación en este sentido.

Todo lo anterior sumado a que el tema de la seguridad, los secuestros de información y datos, la encriptación delictiva de sistemas ajenos, los ataques por fuerza bruta y demás lindezas están a la orden del día, nos encontramos con un panorama cada día menos fiable en materia de seguridad personal de nuestra información, datos, contenidos y vida digital.

Así que se hacía indispensable hacer un post en el que nos encargásemos de dar las nociones necesarias, para todos (con cualquier nivel de formación y especialización) para ayudar a que cualquiera pueda implementar y crear la contraseña más segura, actualizable, memorizable y a la vez indescrifrable posible, para cuantos servicios, sistemas y procesos se puedan imaginar.

¿Cómo debe ser la contraseña perfecta?

Para empezar, debemos saber cómo ha de ser la contraseña más segura posible. Qué requisitos/características debe tener. Pues bien, toma nota mental, porque ha de ser así:

Compleja, muy compleja: que no pueda ser descifrada por los llamados “ataques de diccionario” en la que un sistema potente compara todas las palabras posibles para ejecutar la apertura. Normalmente se utilizan las palabras que están en el diccionario así que cosas como colcreta que no existen son más “fuertes” que casa o amapolas.

Alfanumérica: que contenga letras y números.

Memorizable: que sea tan fácil de recordar por su legítimo dueño, como difícil o imposible de descubrir por terceras personas. Al fin y al cabo, la contraseña que se olvida no sirve de nada y, además, puede hasta perjudicar a quien la olvidó. Por supuesto, que no deba ser apuntada en ninguna parte para ser recordada. Esto no hace falta ni explicar por qué.

Que no necesite ser recuperada: uno de los agujeros de seguridad más explotados para descubrir una contraseña, es el proceso de recuperación de la misma por parte de un tercero que se hace pasar por el legítimo dueño que la ha “olvidado”.

Que nada tenga que ver con nosotros, a simple vista: es decir, nada del número del DNI, las fechas de nacimiento, los códigos postales, o las siglas de los nombres y apellidos…. Mejor aún, que ni las personas más cercanas y que mejor nos conocen pudieran imaginarla. Así de profunda debe ser una buena contraseña.

Podríamos mencionar otras características, pero si una contraseña recoge o cumple estos requisitos con garantías, ya podemos ir considerando que estamos bien protegidos.

Creando una contraseña fuerte Leer más

El auge del Phishing y el robo de datos bancarios

por:

Hoy quiero hablaros de una de las modalidades de robo de datos bancarios más usadas en la actualidad, el phishing. Tal es el nivel de uso de esta técnica que se está empezando a utilizar de una manera masiva y hasta grandes organizaciones tanto privadas como públicas, han estado informando de como protegernos de él. Pero muchas fallan en explicar cómo funciona este sector.

Empezando en el Phishing: los emails

Básicamente para empezar en este sector, lo único que necesitas son emails, muchos emails, así que tu que sabes como va esto de Internet, recurres a comprar una base de datos de correos electrónicos. ¿De dónde se sacan estos correos? Bien muchos os lo preguntaréis y la respuesta está muy clara, muchas web de sorteos, regalos, foros etc se sacan un dinero vendiendo las bases de datos de los emails con los que se registran sus usuarios. Así que no sería ninguna sorpresa que en esa base de datos estuviera tu correo electrónico.
Pero lo más gracioso de esto es que esas bases de datos, se pueden comparar en dos clicks desde Google.

Preparando la web de phishing

Bueno ahora ya tenemos cientos de miles de emails a los que queremos mandarles nuestro estafa. Así que lo que nos queda es preparar la estafa, llegados a este punto no os voy a indicar como hacer una paso a paso, pero para aquellos que tengáis conocimientos de HTML y CSS seguro que no se os hace una labor muy complicada. En este caso vamos a utilizar como ejemplo la del Santander y justamente la página donde se introducen las claves de acceso.

Mostrando una web de Phishing
La web de la izquierda es una copia que he hecho yo en 10 minutos de la derecha, es verdad que faltan algunos iconos, un par de ellos. Pero seguramente coincidáis conmigo en que un usuario normal si le pones la de la izquierda va a ver que es la de su banco.

Leer más

Primeros pasos con Iptables el firewall de Linux

por:

¿Qué es IPTABLES?

Iptables es un módulo de Linux que se ocupa de filtrar paquetes. Es decir, iptables decide que paquetes permite que entren en tu ordenador, o cuales no. Todo y eso puede tener muchas más utilidades, pero en este artículo nos vamos a basar en eso, en permitir que tráfico queremos que entre y qué tráfico no.

Para trabajar con iptables es necesario tener permisos de administrador, así que antes de empezar, vamos a ponerle una contraseña al usuario Root, y vamos a loguear con él.

Entrar como Root

Para entrar como usuario Root, primero de todo le pondremos una contraseña, con el comando que observaremos en la imagen.

Siendo root para el uso de iptables

Como podemos ver, ahora ya tiene contraseña el usuario Root, si escribimos [su], nos pedirá dicha contraseña y ya estaremos logueados en terminal como usuario Root.

Viendo el estado de las tablas con iptables

Si utilizamos un iptables -L, podemos ver que las tablas están vacías.

Iptables esta vacío

Leer más

Inseguridad en los grades productores de software

por:

Inseguridad en los grades  productores de software

Desde hacía tiempo, el inconsciente colectivo (es decir, la opinión pública que se mueve por lo que lee, le cuentan o escucha) consideraba que los principales productores voluntarios de “bugs” en los sistemas que se programan debían ser pequeños estudios de software o desarrolladores individuales no muy preocupados por su prestigio y sin una marca reconocida que proteger.

Y es que la lógica nos indica que las grandes corporaciones de software (Adobe, Apple, Microsoft, Sun, Cisco, Google…) tienen mucho que perder (explicaciones que dar a sus accionistas, prestigio frente a sus clientes internacionales, daño a su marca) si sus productos son catalogados de defectuosos y no digamos ya si, además, se encuentra en ellos bugs cuanto menos sospechosos o aparentemente voluntarios, que están ahí precisamente para poner en peligro la seguridad y la privacidad de sus usuarios.

De nuevo, y como tantas veces hemos hecho desde estas líneas en Somos Binarios, esta es otra creencia tanto equivocada como peligrosa.

En los útlimos años los principales daños de seguridad, peligros (accidentales o provocados) y agujeros por los que el malware propio o ajeno entra en los sistemas de los usuarios, está viniendo justamente por el flanco que damos por más seguro: el de los grandes desarrolladores y el de los productos de software más consolidados y con más renombre.

Facebook y la publicidad

A Facebook son ya años los que se les lleva reprochando que cada nuevo add-on que implementa en su red social conlleva menos privacidad para los usuarios, más facilidades para los anunciantes que emplean la plataforma para colocar publicidad dirigida al usuario (en base a un profundo conocimiento de la intimidad de éste) y una no menos preocupante política de “mirar hacia otro lado” en bastantes casos en los que las bondades de la red social más famosa del mundo es empleada para fines no siempre lícitos.

Facebook es poco seguro

Leer más

Como desactivar Ping en Ubuntu

por:

Como desactivar el Ping en Ubuntu

¿Qué es el Ping?

Ping es una herramienta muy utilizada, para saber si nuestro ordenador funciona, en una red o no, podríamos abrir una ventana, y hacer un Ping a www.google.com (por ejemplo) y veremos que da respuesta, ahora mismo no nos centraremos en qué tipo de respuesta da o que tendría que responder, pero podemos ver que responde.

Probando ping

En otras futuras entradas añadiremos todas las herramientas y utilidades de el comando PING y veremos que tipo de respuestas da y puede dar.

Ping, como toda herramienta, puede ser mal usada, con ámbitos perjudiciales, como por ejemplo, el Conocido DDoS mediante Ping. DDoS mediante ping, es un malware, que su función es bloquear nuestro sistema mediante miles y miles de Pings por segundo.

Leer más

¿Son las actualizaciones oficiales un peligro?

por:

Regresamos con otro post sobre seguridad para centrarnos hoy en un manido consejo que, pese a estar extendido, como tantas otras cosas, no tiene por qué ser cierto.

Hablamos de la archiconodia recomendación de que para garantizar la seguridad en nuestros equipos y mantenernos alejados de “bugs” debemos mantener actualizado tanto nuestro sistema operativo como nuestras aplicaciones residentes. Y, por supuesto, asegurarnos también de que dichas actualizaciones provengan de una fuente “oficial”, es decir, de los propios fabricantes del software que estamos actualizando.

Bien, sobre el papel y a modo teórico, nada que objetar a tal consejo. Pero veremos que la práctica es otra cosa bien distinta.

Todo comenzó con dos autoridades en la materia contradiciéndose mutuamente y a través de sus posiciones tanto en redes sociales como a nivel público.

De un lado, Eugene Kaspersky, fundador y CEO de la empresa de antivirus que lleva su apellido (que dicho sea de paso, sabe lo suyo de esto de la seguridad online) no dudó en posicionarse a favor de las actualizaciones oficiales como primera y elemental línea de defensa de cara a mantener nuestros equipos lo más protegido posibles.

En la otra esquina del ring, tenemos a John McAfee, también fundador de la otra gran compañía de software antivírico que también lleva su nombre (y que cada vez que abre la boca dispara contra todo lo que se mueve y también sabe lo suyo en materia de seguridad). En este caso, no dudó en criticar precisamente las actualizaciones de software oficiales como otra puerta más de entrada de basura y peligros para nuestra privacidad y seguridad en las comunicaciones.

Leer más

Liberar un iPhone bloqueado por IMEI e iCloud

por:

Liberar un iPhone bloqueado por IMEI e iCloud

Bueno, tras algunos post más teóricos (pero sin duda necesarios en materia de seguridad y hacking) hoy regresamos con otro de esos post que son más prácticos. Es decir, de esos en los que nos metemos de lleno por alguna que otra puerta trasera para lograr algo que no está permitido por algún sistema o por determinado fabricante.

¿Cómo liberar un iPhone bloqueado por IMEI e iCloud?

Y lo vamos a hacer, en el caso de hoy, con los iPhone. En concreto, algo que trae de cabeza a muchos usuarios legítimos de uno de estos terminales y que, a causa de incompatibilidades con iTunes, pérdida de clave, olvido de contraseña o cualquier otra razón, su iCloud invalida e inutiliza por completo su teléfono móvil. Estamos hablando del bloqueo por iCloud de un terminal.

Claro que este sistema se pensó originariamente como seguridad frente a robos, sustracciones o pérdidas de los iPhones, de manera que el terminal no pudiera ser utilizado por otra persona ajena a su propietario y que su información (y de hecho el uso de todo el móvil) quedasen protegidos. Más concretamente: invalidados y bloqueados.

Desbloqueando un iPhone bloqueado

El terminal queda a cero. Imposible de usarse y, de facto, inservible. De modo que, sea para quienes son legítimos propietarios de un iPhone pero que han sufrido este tipo de bloqueo e inutilización; O sea para quienes (como yo) se han comprado en Ebay algunos iPhones muy baratos por estar inutilizados y bloqueados por iCloud, para luego salvar este bloqueo y recuperar un móvil muy caro comprado por muy poco dinero, aquí vamos a enseñaros a hackear de manera sencilla, rápida y gratuita cualquier Iphone (4, 4S, 5, 5S, 5C, 6 y 6 PLUS).

Leer más

Seguridad en Internet: corren malos tiempos

por:

De vez en cuando hay que hacer un alto en el camino y presentar un post sobre seguridad y hacking que abarque varias cuestiones, porque los tiempos (que en materia tecnológica se cuentas en horas) vienen movidos. Es lo que vamos a hacer hoy, dado que las noticias que nos llegan (a los que las buscamos, porque esto no aparece en los mass media) son para echarse a temblar un poco en materia de seguridad en la Red.

Un baño de actualidad rápido

Smart TV nada seguras

Por un parte, tenemos a Kaspersky Labs emitiendo avisos a través de sus foros, webs y redes sociales, de los peligros que encierran los nuevos Smart TV. Que lo diga Eugene Kaspersky o la propia compañía de antivirus de manera oficial y pública, debe ser tenido como referente, porque esta gente sabe pero que mucho de cómo está el panorama en materia de seguridad online ahora mismo.

De modo que, sin cortarse un pelo, la cuenta oficial en Twitter de Kaspersky Labs daba estos días dos avisos importantes al respecto. Primero, afirmando que no se debe realizar ninguna transacción bancaria ni compras por internet con un Smart TV, y aquí tenéis el artículo que publicaron al respecto en su blog corporativo.

Además, se lanzaron a la piscina y le pusieron nombre, días atrás, a los más peligrosos de estos televisores inteligentes. En concreto, Kaspersky lazó un aviso sobre Samsung y apadrinó este otro artículo que promovió por redes sociales desde sus cuentas oficiales, titulado “Cuidado con lo que dices delante de tu Smart TV de Samsung”.

La seguridad en la red cada vez está más comprometida y hasta los dispositivos que parecían seguros, se descubre que ya no lo son tanto

Otros eventos importantes

En paralelo, esta misma semana, saltaba la noticia de que Barack Obama acaba de crear un mando central y conjunto de respuesta a ciberataques. Es decir, que los americanos ya tienen nueva agencia de espionaje centrada únicamente en Internet y dedicada oficialmente a librar al mundo de la tiranía digital (averiguase clandestinamente a qué). Se supone que para hacer un frente común y coordinar la política digital entorno a la seguridad, pero bien podría ser el primer paso para la defensa ante una ciberguerra.

Leer más