domingo, 5 de junio de 2016

Gracias novi@, amig@, por tu culpa he sido hackeado

La entrada de hoy es un trabajo que he realizado los últimos dos meses, aunque más que un trabajo de investigación puro, es un pensamiento que suele rondar con bastante frecuencia por mi cabeza, y es algo, que me preocupa y bastante, y se trata de cómo, puede que yo tenga una buena actitud en cuanto a la seguridad y que esté intentando estar seguro, pero que por culpa de una persona "de confianza", esa seguridad que estoy tratando de obtener,  se evapore y pueda ser yo víctima de un ataque que terminen con mis datos en esos lares de Internet donde todo el mundo quiere comerse a un corderillo indefenso.



Por este motivo, estos dos meses, además de continuar con la Teoría-la cual se cambiará y no se aplicará solo a los relojes atómicos, el proyecto es mucho mayor-. Pero además de eso, he estado buscando de qué maneras y siguiendo yo "los consejos para estar seguro"-o al menos intentarlo- me podrían atacar y obtener información que yo no tengo por qué querer que salga a la luz, y no por un fallo mío, sino por fallo de una persona "de confianza".

Robarte la contraseña

Hay muchas maneras obviamente, pero por culpa de una persona u organización "de confianza", el número se reduce un poco, y las que a mí más me preocupan, pues no están haciendo lo básico, son principalmente:

            -Te envío tu nueva contraseña a tu correo: Esto es algo que frecuentan realizar muchas organizaciones, y es que cuando pides restablecer tu contraseña, te envían la contraseña nueva o la que ellos te han puesto a tu correo. Esto, por ejemplo, lo hacía antes Shodan.



Es un problema, pues el mensaje no ha sido cifrado-como se puede observar por ese candado rojo-. Lo que podría implicar que si alguna persona ha consigo obtener y leer el mensaje sin cifrar, ha podido entrar en mi cuenta y me podría cambiar él la contraseña para dejarme sin acceso a mi propia cuenta-siempre y cuando yo no tuviese un 2FA, pero la mayoría de gente, no usa un 2FA-.Es decir, que yo puedo estar preocupado por la seguridad-cuando los 2FA no existían-, pero por culpa de una  organización despreocupada, podría perder mis credenciales.

                     -No uso HTTPs para que te hackeen mejor: Esto es algo, que a día de hoy, existen una gran cantidad de sitios webs que aún no se han preocupado por implementar HTTPs para que así, mis credenciales vayan, en tránsito, seguras. De eso en este blog hemos visto multitud de ejemplos, un caso, es el de la Universidad de Córdoba.



Mi novi@, amig@, familia no quieren un 2FA

Si alguno piensa que si sus amigos, su pareja, su familia e incluso su Instituto deciden no usar un 2FA, y esa decisión es problema suyo, se equivoca y mucho; y si sigue insistiendo en que es problema de ellos, entonces mienten desde la A, hasta la Z.

En los días en los cuales nos ha tocado vivir, al prójimo, sin tener culpa de nada, se le ha obligado a que almacene datos de sus conocidos. De esto, te da cuenta, cuando, por ejemplo, una opción a "Alternativa Española", ves que sigue a Falange Española.


Que para los que seáis de fuera y no sepáis qué es Falange Española, es un partido fascista y que Franco, en su dictadura de 40 años, se apropió de varios símbolos falanguistas, para terminar llamando a ese "partido"-aunque Franco, como los falanguistas, no querían partidos políticos- Movimiento Nacional. Esto no tiene nada que ver, pues Alternativa  Española, puede seguir a Falange porque les haga gracia sus tweets-aunque es raro que les siga la cuenta de Girona, Málaga,etc-. No tiene que ver, pero cuanto menos, es sospechoso.

Pero esto es lo de menos, ya que cada usuario guarda, sin darse cuenta, una gran cantidad de información del prójimo, y si cae uno, caen varios.

Pérdida del número de teléfono

Hay también muchas formas de que tu número de teléfono vuele y acabe en manos de gente que no conoces, pero a causa de una mala gestión de tus conocidos y que es, la que más me preocupa, es que un conocido pierda sufra un ataque a su cuenta de Gmail, y si este conocido, guarda los números en los contactos, si te roban el correo, te roban los contactos 



Esta es la forma que más me preocupa, ya que Android es el sistema operativo para smartphones más vendido, lo que implica que mucha gente, use como cuenta de Google de sus smartphones, la cuenta-normalmente la única que tienen- de su Gmail, y normalmente usan ese correo para todo, lo que supone que si atacan a su correo [Nota: la mayoría de gente-al menos adolescentes- no está pendiente de su cuenta de correo, entonces no saben si han podido ser víctimas de un ataque], puedan obtener la lista de sus contactos. Y esto puede suceder si en su cuenta de Gmail, no usan un 2FA ¿Veis como es importante un 2FA?

La información de las redes sociales

Esto es una demostración de lo que he mencionado en párrafos anteriores, y es que, en nuestras redes sociales, muchas veces sin darnos cuenta, pero otras sí, guardamos mucha información del prójimo.

Yo he querido demostrar esto-no os lo niego, de esto me di cuenta sin querer, cuando estaba perdiendo el tiempo en Instagram- metiéndome en Instagram y mirando las fotos de la gente que sigo, y es que algo tan tonto como una mera foto, te puede llevar a una persona, que puede que esa persona no quiera que yo la vea.

Esto lo iba a hacer con una foto de una chica que conozco y que simplemente mirando los "Me gusta" de sus fotos PÚBLICAS, me llevaba al perfil de Instagram PÚBLICO, de una persona, con la cual tuve un pequeño problema y que seguro, no quiere que vea nada de su vida, pero por culpa de una amiga suya, con un perfil PÚBLICO, llegué a ver, sin querer, una foto de dicha persona. Pero, este caso, después de tenerlo preparado desde hace meses, no os lo voy a mostrar, pues prometí a una persona que no sacaría nada de esta persona, y yo soy leal; así que todo el trabajo a la basura y ayer mismo, me puse a buscar otra persona, hasta que di con el perfil de un amigo mío que le ocurre algo parecido o peor.


En las fotos de Instagram, al igual que en Twitter, puedes etiquetar a gente; y esto lo puedes aprovechar para visitar los perfiles de estas personas y ver sus fotos, fotos de unas personas, que aunque tengan sus cuentas públicas, puede que no quieran que les visite cualquiera.


En el caso de visitar el perfil de una de esas personas que aparece etiquetadas en la imagen y veas que es un perfil privado, es decir, que solo quiere que vean su perfil gente que el vea conveniente. Pues hacer la técnica que narré para ver los perfiles privados de Instagram


Y llegando a su Twitter, puedes ver si publica los enlaces de sus fotos en su cuenta de Twitter, es decir, hemos conseguido poner cara, ver que le gusta, que no le gusta, a una persona que no quiere que esa información, la tenga cualquiera, y todo por demasiado sociabilidad de sus conocidos.

En este artículo, no he añadido la posibilidad de entrar en sus route wifis si lo tienen mal configurado, infectarles el equipo, usar Metasploit para descargarte ficheros de una persona y que tenga en su ordenador,etc ya que mi intención es mostrar, como de manera sencilla, y por culpa de gente "de confianza" puedes sufrir una fuga de información.

Por esto, a mis conocidos, les exijo cierta seguridad, ya que no se ponen en peligro solo a ellos, también me pueden poner en peligro a mi, y es por esto mismo, por lo que la gente se asusta de mi y me cuesta tanto socializar, así que he llegado a la conclusión, de que la gente es inútil, y los robots y mi ordenador y la Informática por supuesto, van a ser mis mejores amigos :P

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...