Categoría: Seguridad

John The Ripper criptografía en Linux

por:

Primero de todo quería decir que esto no es un artículo para piratear contraseñas ni nada relacionado con el Cracking, y no me hago responsable del uso que los lectores puedan hacer con él.

Es un artículo relacionado con criptografía y comprobar la seguridad de nuestras contraseñas propias.

¿Qué es John The Ripper?

John the Ripper tu programa de criptografia y seguridad en Linux

John The Ripper es un programa de criptografía que aplica ataques de diccionario, o de fuerza bruta, para descifrar contraseñas. Es una herramienta muy popular, ya que permite a los administradores de sistemas comprobar que sus contraseñas son lo suficientemente buenas y seguras.

John es actualmente uno de los más usados, ya que permite personalizar su algoritmo de pruebas de contraseña.

Primer paso: instalación de John The Ripper

Para instalarlo iremos a nuestra terminal Linux y escribiremos:

$ sudo apt-get install john

Una vez acabada esa instalación, iremos a la página http://www.openwall.com/john/ para descargar el archivo comprimido llamado “John The Ripper 1.8.0 sources, tar.gz, 5.2MB” y lo extraeremos, por ejemplo en el escritorio y nos moveremos hasta la carpeta extraída (john_1.8.0) y entraremos en la carpeta /SRC.

Una vez dentro, ejecutaremos el siguiente comando para compilar el proyecto y generar el ejecutable:

$ make clean generic

Imagen de John compilado

Leer más

Comprobar vulnerabilidades con un script

por:

Linux, Windows, Mac, todos los sistemas operativos tiene vulnerabilidades y a medida que pasa el tiempo, se van actualizando con paquetes, parches o actualizaciones, y renovando contenido para hacerlo menos vulnerable, y a su vez desgraciadamente, hay más gente intentando descubrir las vulnerabilidades restantes.

Esto hace que, hace no mucho, se ha conocido una nueva vulnerabilidad sobre Shellshock que las personas que tengan su sistema operativo actualizado, ya no se han de preocupar, pero por si acaso, aquí explicaremos de que va esa vulnerabilidad, como comprobar si tu sistema Linux es vulnerable, y como solucionarlo.

¿Qué es Shellshock?

Shellshock es una vulnerabilidad que ofrece a usuarios no registrados, poder asignar variables de entorno Bash, es decir, que puedan acceder de forma remota a tu ordenador, o a cualquier ordenador que ejecute comandos en Bash, sin tener permisos.

Este Shellshock, se empezó a descubrir aproximadamente en Septiembre del 2014, pero hasta hace relativamente poco no se ha sabido como defenderse de él perfectamente. Shellshock ha llegado a afectar desde  a Oracle, hasta los servidores de Yahoo, entre muchos otros servidores importantes, hay que tener en cuenta que actualmente, el 51% de los servidores son mantenidos bajo sistemas operativos Unix, así que lo podemos considerar una vulnerabilidad importante y algo a lo que dar importancia.

Leer más

Resolviendo tus dudas sobre privacidad y seguridad

por:

Hoy venimos con un post, en materia de seguridad, que pretende desmitificar por una parte, y enseñar por otra.

Y es que cada vez hay más productos de software en la Red (hace años diríamos en el mercado) y a veces la impericia de los usuarios o la desinformación, hace que se confundan para qué sirven herramientas que, quizá con un poco de maldad, se nos presentan como semejantes.

Así, no es infrecuente que se confunda software Antyspyware, con otros tendentes a garantizar el anonimato en la Red; En otras ocasiones, son los antivirus generales, los que se confunden con los específicos o con funciones reducidas. Además, que mucho de este material esté disponible en internet y en la mayoría de los casos de manera gratuita, no facilita las cosas, porque los usuarios menos expertos tienden a descargar e instalar, sin saber que muy posiblemente las herramientas adquiridas no serán ni las que precisan, ni las que les ofrezcan la seguridad que buscan.

Por eso, pongamos un poco de orden en todo este asunto del software comercial de seguridad.

Los antivirus y los antispyware

Esta es una de las confusiones más comunes. Usuarios que tienen a considerar sus equipos como seguros por tener uno u otro de estos programas instalados, sin saber muy bien qué hace cada uno de ellos o cuál necesitaría realmente.

Un software antivirus no tiene por qué ofrecer soluciones antispyware. Y desde luego, un antispyware, no es un antivirus. De modo, que esto ha de quedarle claro a la mayoría de los usuarios.

Debemos usar un antivirus y un antispyware para mejorar nuestra seguridad

Todos deberíamos tener instalado y bien actualizado un antivirus. Eso, por descontado. Y también es altamente recomendable un software que localice y ponga en cuarentena (o al menos nos avise) en caso de que existan amenazas de espionaje en el sistema. Esto segundo, correrá a cargo de un antispyware, dado que no pocas soluciones antivíricas pueden pasar por alto software bien construido no catalogado como infeccioso, pero que registre marcadores, historial, o desarrolle un buen keylogger y registre las pulsaciones de nuestro teclado.

De modo que, bien entendida la diferencia, lo mejor es tener ambas herramientas en nuestro equipo instaladas y actualizadas corriendo en paralelo, sin confundir para qué sirve cada una.

Windows defender, el firewall de Windows etc

Si, ya lo sé. Esta es otra de esas grandes confusiones que no pocos usuarios tienden a padecer. Que si su Windows le dice que tiene capacidad de defender al sistema de agresiones; que si puede regular la agresividad defensiva del firewall del sistema operativo; que si hay productos de Microsoft preinstalados y preconfigurados (Windows Defender) que le sirven de antivirus, etc, etc…

No vamos aquí a hacer una alegoría de la empresa de Redmond, pero si desde Microsoft se hubieran tomado alguna vez en serio las amenazas que sufren los usuarios de sus sistemas operativos, ya hace muchos años que habrían incorporado en sus Windows, soluciones antivíricas reales, actualizables y de calidad. Cosa que jamás han hecho. Ellos se preocupan de corregir los posibles errores, para evitar que otros los exploten. Pero no ofrecen una protección proactiva.

Y en cuanto al firewall… En fin, cualquiera con un nivel medio sabrá decir un par de cosas sobre la inutilidad de esta herramienta que Windows incorpora y de la que garantizan que aporta un plus de seguridad al sistema.

Leer más

Hackers de alquiler: Entre lo patético y lo peligroso

por:

La entrada que traemos hoy, nunca debería haberse dado. Es una de esas cuestiones que, sencillamente, rozan lo esperpéntico en el mejor de los casos. Hablamos de los hackers de alquiler y las webs y plataformas que están proliferando dedicándose a poner en contacto a usuarios con “hackers” “profesionales” (Y entrecomillo bien ambos términos, porque no son ni lo uno ni lo otro).

Para empezar, nadie que ofrezca servicios de hacking (entendiéndose como tales, el trabajo de alquiler para tumbar una web, dinamitar una contraseña de correo web de un tercero, infectar un sistema con un virus, etc…) debería llamarse hacker. Ni lo es, ni sabe nada sobre el término, cómo surgió, cuál es la cultura hacker y la filosofía que hay detrás de ese movimiento técnico-intelectual.

Un hacker no es un delincuente y quienes se ofrecen para tales “servicios” son precisamente eso: Delincuentes reales o potenciales, porque cualquiera de dichos trabajos son ilegales, dolosos y nada tienen que ver ni con materia alguna de seguridad informática, ni desde luego, con el sano arte de la curiosidad técnica, la búsqueda de soluciones paralelas, la ingeniería inversa o la localización de puertas traseras para solucionar problemas reales y necesarios. Todo esto SÍ es hacking y ni se oferta como mercancía mercenaria, ni desde luego, se alquila como quien vende productos ilegales en una esquina.

Pero veamos hasta dónde ha llegado el esperpento de esta situación en internet.

El alquiler de hackers en los medios de comunicación

Siempre hubo hackers, crackers y delincuentes siendo contratados por individuos y empresas (la mayoría de las veces en materia de hacking ético y seguridad corporativa), así como por propios gobiernos (ya se conocen los casos de los “ejércitos cibernéticos” que Estados Unidos, Irán, Siria, Corea y China, entre otros, tienen ya operativos y sabe Dios haciendo qué).

Pero hasta no hace mucho, estas actividades de contratación, comunicación y encargos de proyectos clandestinos y delictivos, se realizaban en la Deep Web, alejados de miradas ajenas y, por supuesto, fuera de los cauces comerciales comunes y sin ofertarse de manera abierta para cualquiera.

Pero hace unas semanas el grupo de hackers que se autoproclamó como los causantes del ataque a Sony, pensaron que una vez esta hazaña había adquirido tintes míticos y mediáticos, lo mejor sería rentabilizar su fama técnica. ¿Cómo…? Pues anunciando a los cuatro vientos que sus servicios podían ser contratados y que las cuantías de los mismos dependían del tipo de ataque que se encargara y de la duración que el cliente deseara sobre el mismo. Así que pusieron a disposición del público una web con sus servicios y tarifas.

No… no vamos a redireccionar desde aquí a esa web, porque además de ilícito e ilegal, lo consideramos demencial ya.

Pero sí vamos a pasaros un par de parodias similares que están teniendo lugar hoy en día y que emulan lo anterior, siguiendo el ejemplo de este grupo de hackers que ofrecen sus servicios al mejor postor. Veréis que la cosa puede llegar a ser, cuanto menos, incluso kafkiana.

Leer más

El tipo de software que usan los hackers

por:

Hoy vamos con un post desmitificador para algunos y quizá inspirador para otros. Queremos desmontar la imagen generalizada que se tiene de un hacker como una raza distinta, una especie aparte que desarrolla o emplea herramientas informáticas ultrasecretas y sofisticadas para cometer delitos o acceder por puertas traseras a sistemas ajenos.

Y aunque de todo hay en la viña del Señor y, por supuesto, hay muchos especialistas que se amoldan perfectamente a esta definición presente en el inconsciente colectivo de la gente, querría dejar claro que un hacker no es más que una mente inquieta, no delictiva (si comete un delito no es un “hacker” es un delincuente y punto); Una persona que no para de aprender, de estudiar problemas o carencias (a veces se seguridad, a veces de cualquier tipo) y un enamorado de la tecnología que se plantea a cada paso cómo se podrían hacer las cosas de manera diferente.

Cuando esta manera de pensar te lleva a encontrar una puerta trasera en cualquier sistema (informático o no) has hackeado ese sistema. Has encontrado una forma de hacer algmo mejor, de manera distinta y, en la mayoría de los casos, insospechada incluso para quienes crearon ese sistema, producto, servicio o arquitectura.

Tú puedes ser un hacker si te especializas en algo o te obsesionas positivamente con un proyecto, modelo, sistema, cosa o circunstancia que estás convencido/a de que se puede hacer mejor de otro modo, para que sea más beneficioso, abierto y libre para más gente, que como se encuentre actualmente.

hacker utilizando software

Instrumentos con posibles usos hacker o de seguridad

Como muestra ilustrativa de lo que defiendo hoy en este post, quería (como ya he hecho en otros artículos míos aquí en Somos Binarios) enseñaros que muchas herramientas útiles en materia informática, están dispoibles en el mercado, en internet o en software abierto, para que se puedan usar de manera alternativa. Es decir, con otros fines… Y que cada cual elija esos fines, sin que desde esta plataforma nos hagamos responsables de lo que cada cual hace con la información y el aprendizaje que pueda encontrar aquí.

Un hacker, como decimos, no sólo es una persona que piensa diferente y crea o descubre métodos nuevos y distintos de hacer las cosas, sino que también emplea herramientas más o menos comunes y que se crearon para un fin determinado, de manera que con ellas pueda hacer cosas para las que, no fueron pensadas dichas herramientas.

Leer más

Google Chrome y Android: Una pareja peligrosa e insegura

por:

Todo comenzó con un regalo de Reyes Magos, una tablet. Ha sido genial, porque además del regalo, he podido constatar una deficiencia o agujero en el navegador Google Chrome y el sistema operativo Android, que merece la pena ser publicada para que se conozca y, sobre todo, los usuarios puedan tomar medidas, porque el agujero es grande y deja tu información y acceso a cuentas de email y demás servicios online, totalmente abiertos a terceros.

Como he dicho, mi flamante tablet nueva viene cargada con el sistema operativo Android, concretamente la versión 4.4.2. El caso es que cuando se estrena uno de estos dispositivos, los buenos de Google (que son los encargados del desarrollo de Android y del navegador Chrome) te “ayudan” a configurar la tablet o el Chrome PC, y te piden unos minutitos de tu tiempo para que dejes activado tu cuenta de Google, o en su defecto, que te crees una.  Esto, en sí mismo, es práctico, dado que teniendo una cuenta de referencia en Google, tienes acceso a tus correos electrónicos, sesiones favoritas en Youtube, todos los datos y archivos que tengas en Google Drive y demás. Así se nos vende, y así nos lo comemos.

Android y Chrome los productos de Google

Lo cierto es que también es posible que, con tal de empezar cuanto antes a estrenar tu flamante tableta, teléfono móvil nuevo o portátil Chrome recién regalado, introduces tu cuenta de correo de Gmail y, con ello, todo es rápido y suave. En teoría (y en la práctica) todo se sincroniza y un maravilloso universo de comodidad se abre ante tus ojos.

Compatibilidad total de los productos de Google: Agujero de seguridad

El caso es que los de Google hacen muy bien su trabajo. Quizá, incluso, demasiado bien. Como de ellos es Android, y también de ellos Gmail, Drive, Youtube y el navegador Chrome, todo quedará inmediatamente coordinado entre sí para que tu experiencia de uso y el acceso a tus archivos, correo e información, estén siempre a un clik de distancia para ti.

El problema es que tanta sincronicidad es NOCIVA para tu seguridad y la de tu información o datos.

Veamos el caso en concreto que me llevó a que saltasen las alarmas y que es lo que ha dado lugar a este post.

Leer más

Contraseñas: El talón de Aquiles de nuestra seguridad

por:

2014 ha sido el año en el que hemos visto verdaderas rupturas épicas en materia de ciberseguridad y hacking. Y, si no, que se lo digan a Sony.

Los ataques (tanto los denominados “de fuerza bruta” como los más sofisticados basados en software y no en enjambres de máquinas atacando una determinada IP) han venido por varios flancos y no sólo por parte de cibercriminales.

Los servicios de inteligencia británicos, La NSA, el FBI y no se sabe cuántas otras agencias gubernamentales tanto dentro como fuera de los Estados Unidos, han llevado a cabo, y reconocido, operaciones encubiertas en el marco de la Seguridad Nacional, desarrolladas en el ámbito de Internet.

Hackers coreanos han sido apuntados con el dedo del ataque al gigante japonés y conglomerado norteamericano, Sony, dejándolo en ridículo y haciendo que el mismísimo presidente Obama haya tenido que salir al paso prometiendo a la opinión pública que USA sabrá dar la respuesta adecuada y en el mismo terreno contra Corea del Norte.

Y 2015 (ya lo dice el propio Eugene Kspersky, que es uno de los expertos en seguridad más importantes) parece que será movidito en este sentido. De modo que vamos a dar algunas recomendaciones que deberíamos implementar, a diario y en cualquier movimiento que hagamos en la Red, para que uno de los talones de Aquiles de la ciberseguridad, quede un poco más protegido: hablamos de las contraseñas.

Las constraseñas : la clave está en la claves

Algunos juran que los accesos basados en contraseñas son dinosaurios a punto de extinguirse, pero ese día no parece llegar nunca. Apple parecía haber certificado esta muerte, con su sensor de huellas dactilares para los iPhones, pero parece ser que el resto de fabricantes no han querido entrar en ese área y que la patente no se ha estandarizado.

Otros proveedores de software, servicios y contenidos online (entre ellos Microsoft) han apuntado al acceso por contraseña y el doble paso, para aumentar la seguridad en sus cuentas de Hotmail y de Skype, entre otros productos.

Contraseña con huella dactilarDesde Google advirtieron a los de Redmond que ellos llevaban mucho tiempo tratando de convencer a sus usuarios de Gmail de que emplearan este doble ckecking para asegurar sus cuentas de email, pero que el personal no parece estar por la labor. A los clientes les parece una pérdida de tiempo.

De modo que las contraseñas siguen vivas y coleando para acceder a todo en la Red (desde Twitter, Facebook y demás redes sociales, a los servicios más comunes como emails, videoconferencias y altas en portales de juegos, compras y demás…)

Leer más

La ciberseguridad se pone seria

por:

Estas últimas semanas están dando de mucho en materia de ciberseguridad, hacktivismo y ciberdelincuencia y, como no podía ser de otra manera, debemos hacer un pequeño alto en el camino y detenernos a analizar cuanto está pasando, porque es importante y quizá aún no sepamos interpretar cuánto.

Corea del Norte y Estados Unidos: ¿El primer conflicto cibernético oficial?

Hace un par de semanas desayunábamos con una noticia internacional de que un grupo de hackers (no sé por qué se les ha llamado así) que habían atacado nada menos que a Sony. Más que ataque, lo podríamos denominar una mezcla entre secuestro y robo de información sensible y alta confidencialidad.

Gigas y gigas de películas aún no estrenadas, archivos con información personal de estrellas de Hollywood y todo lo que nos podamos imaginar en materia financiera, comunicativa y de lo que se viene conociendo como información industrial de primer nivel.

El FBI entró en juego y en cuestión de días se hizo oficial una acusación: Corea del Norte.

El pentágono uno de los sitios donde hay oficinas se ciberseguridad

La cosa ha sido de tal calado que los ciberdelincuentes han logrado que Sony renuncie a estrenar una película en la que la figura del dictador norcoreano salía mal parado. De ahí que la cosa haya llegado a tomar tintes bastante serios, con el propio Presidente de los Estados Unidos Barack Obama declarando públicamente que Sony no debería haber cedido al chantaje, acusando a Corea del Norte de estar detrás del ataque y amenazando a Corea de que habrá una respuesta americana proporcional.

Vamos que, a lo tonto a lo tonto, estamos a las puertas de lo que podría ser, oficialmente, la primera guerra cibernética internacional entre dos potencias que, de momento, ya se están amenazando.

Habrá que estar pendientes de cómo evoluciona este asunto, pero por los tintes iniciales, no parece que la cosa tenga buena pinta.

Leer más

Descubriendo web vulnerables

por:

En esta nueva entrada de Somos Binarios, vamos a volver a tratar un tema de seguridad, pero no desde el punto de vista técnico. Sino desde el punto de vista práctico.

Descubriendo web vulnerables

Cómo encontrar web vulnerables

Las web como todo sistema informático presentan múltiples y diversas vulnerabilidades. Muchas de ellas relacionadas con una mala programación ( SQL Inyections) y otras debido a la falta de mantenimiento. Hoy vamos a analizar estas últimas.

Nos vamos a centrar en ellas, porque es bastante sencillo identificarlas y además nos va a permitir saber más sobre las páginas que solemos visitar.

Pero muchos os preguntaréis, bueno y cómo se que una web es vulnerable, pues esto es bien sencillo, una vez que utilicemos nuestra herramienta, nos dirá en muchos casos la versión de la aplicación que está detrás de ese servidor. Sabiendo la versión en la mayoría de los casos bastará con poner en Google “explosit OpenSSH version X” para encontrar las vulnerabilidades.

Leer más

Historia de los Hackers españoles III

por:

Continuando con nuestros post de “historia” de los hackers nacionales que durante la década de los 80 y de los 90 marcaron un hito en cuanto a calidad intelectual y habilidad técnica a nivel internacional, hacemos hoy un breve repaso a algunas de sus más grandes “víctimas” de aquellos días.

Como hemos mencionado en las entradas anteriores relacionadas con estos inicios de lo que más tarde se conocería como la generación de la piratería española (muy mal llamada así, por cierto), estos adolescentes que aprendieron código partiendo de los manuales básicos que acompañaban a sus Spectrum 48, 64 y 128 K, o de sus Amstrad y Comodores, practicaron sus recién adquiridos conocimientos de la única forma que podían. Saltándose algunas normas.

Historia de los hackers españoles

Algunas de las aventuras de los hackers españoles

La innovación, el descubrimiento y el ingenio debían ponerse a prueba y las formas más cercanas y baratas (estos jóvenes siempre andaban cortos de liquidez) eran elementales:

  • Por una parte (sobre todo en la década de los 80), agenciarse algunos juegos de PC lo más baratos posible, así como duplicarlos (desprotegiéndolos o crackeándolos previamente) para compartirlos con el resto de amigos y familiares. Así aparecieron las primeras víctimas de estos jóvenes prodigios. Las editoras de videojuegos.
  • Por otra, (ya a finales de los 80) la compañía telefónica nacional, pero para lograr llamar por teléfono de manera gratuita. El conocido phreaking (de los términos ingleses “phone” y “hacking”)
  • Y ya en la década de los noventa, esa misma compañía telefónica nacional, pero para lograr el acceso a internet (o a las redes telefónicas internacionales que lo constituían en aquellos inicios) sin tener que pagar las costosas llamadas y conexiones vía módem.

Leer más