miércoles, 28 de febrero de 2018

Explicación matemática de por qué se recomienda usar passwords complejas.

Normalmente se suelen recomendar utilizar passwords complejas, compuestas por letras,números y signos de puntuación. Esto hay mucha gente que no lo entiende de primeras, y hasta cierto punto lo entiendo, pues estamos tratando de que el usuario se crea algo, y no debería ser así, se lo deberíamos demostrar de forma que no quepa dudas, demostrárselo científicamente. Tendríamos que dejar de preocuparnos porque el usuario se crea algo y pasar a hacer que el usuario entienda lo que tiene que hacer. Nada de dogmatismos.



Podemos visualizar las contraseñas como huecos donde se insertan dígitos. Me voy a centrar en las sencillas, en las passwords de 4 dígito, que a pesar de no ser recomendables, se utilizan como en el PIN del móvil o WPS. Vamos a analizar cada tipo de contraseña y demostrándolo todo matemáticamente.

Passwords compuestas sólo por números


 En cada espacio, con passwords compuestas solamente por números, pueden ir dígitos del 0 al 9. Por supuesto, los dígitos se pueden repetir, esto, desde el punto de vista de la combinatoria, campo de las matemáticas, los números son muy claros.





Concretamente se denomina combinatoria con repetición, y este tipo de combinataria viene determinada por la fórmula anterior, donde m son las posibilidades y n al marco al que nos tenemos que ajustar, en nuestro caso n=4 ya que serán los espacios donde se insertarán dígitos de la contraseña.


Para el caso de las contraseñas compuestas por solamente números, existen 715 combinaciones, es decir, muy pocas.

Esto hace que este tipo de contraseñas sean muy débiles y que con ordenadores no muy potentes se pueda tirar de fuerza bruta y obtener la clave en menos de un día, y ya estoy poniendo mucho tiempo.

Passwords compuestas por números y letras

Vamos a considerar 26 letras del alfabeto, es decir, excluyo la ñ. Las 26 letras {minúsculas o mayúculas} más los 10 números hacen un total de 36 dígitos que vamos a combinar entre los 4 espacios.


Como vemos, usando 4 dígitos, pero ampliando el campo a números y letras {mayúsculas o minúsculas}, el número de combinaciones crece notablemente de 715 a 82251 combinaciones. Son muchas más, pero igualmente se puede sacar en unas horas con ataques de fuerza bruta.

*Nota: es 4! por {36-1}! no 35, eso ha sido un fallo que he cometido, pero el resultado sí está bien*

Password compuestas por números y letras {Mayúsculas y minúculas}

Aquí lo que tendremos que hacer es multiplicar por 2 el número de letras, ya que vamos a incluir tanto letras minúsculas y mayúsculas.


Aquí el número vuelve a crecer de forma exponencial, pero sigue sin ser del todo segura. No obstante ya creo que habéis podido observar la tendencia, si aumentamos el número de n, es decir, el número de caracteres de la contraseña, cada vez las combinaciones serán mayores y por tanto, será más complicado de de obtener mediante técnicas de fuerza bruta.

Yo ya os dije cómo generar contraseñas seguras en sistemas GNU/Linux y con esta entrada ya creo que podéis entender la importancia de generar contraseñas robustas. Si analizamos las posibles combinaciones que existen en el caso que expuse en la entrada que os he enlazo antes, obtenemos una prueba clara.


Como se ve se hace prácticamente imposible deducir la contraseña mediante ataques de fuerza bruta. Pero de nada sirve esto si ahora vas y almacenas estas contraseñas en un txt dentro de tu máquina. Una contraseña robusta hace que se tarde más o sea casi imposible la fuerza bruta, no que estés seguro, pero un comienzo es un comienzo.

¿Hackeamos el Mundo?

martes, 27 de febrero de 2018

A matar gigantes. Camilo José Cela Junior is down

Hoy va a caer uno de los gigantes de España. Bueno, más que gigante por sus obras, lo es por ser hijo de quien es, ya que con artículos como los que redactó Camilo José Cenal Junior el pasado 16 de febrero se demuestra que lo que es usar la cabeza, la usa bien poco.


El hijo de Camilo José Cela escribió en el diario e Ibiza un artículo tras el que escribió Ana Merino y al cual contesté. En su artículo empieza fuerte, quiere defenderse antes de decir nada. "acaba de publicar un artículo que con toda probabilidad se ajusta a la opinión de una gran mayoría de ciudadanos". Tiene que cubrirse las espaldas, para eso tiene que decir "la mayoría de los ciudadanos", para que no parezca ni Ana ni él los únicos en pensar tales tonterías. Muchas letras pero poco cerebro. Trata de defenderse con el argumentum ad populum, vamos "si la mayoría piensa así, entonces será así". Aquí os dejo el artículo que estoy comentando por si lo queréis seguir mientras lo comento.

No pasa del primer párrado si quiera y ya dice que "casi siempre" nos movemos por el interés económico, por sacar el dinero que la gente guarda en sus teléfonos móviles u ordenadores. En serio, esta serie de sandeces deberían tener cárcel, es pura desinformación. Una cosa es hablar sin saber y otra es criminalizar una profesión. Puedes decir que un Hacker es un criminal y no te pasa nada, pero llamas asesino a un torero y como poco tienes una gran multa a pesar de usar sinónimos. Si alguien no sabe la definición de locura, es esto mismo que comento.

Como siempre digo, en el IETF en el RFC 1392 está la definición de Hacker, no te hace falta si quiera gastar saldo de tu móvil en llamar a expertos, una simple búsqueda en Internet y ya lo tienes, no es tan complicado. La definición del IETF es una definición que refleja la realidad de a lo que nos dedicamos.

Este artículo de Camilo José Cela Conde es una prueba más de que no me estaba equivocado ni en una coma cuando escribí el artículo RAE: Real Academia de Estúpidos. No me equivoqué cuando contesté a Reverte diciendo que a pesar de recoger términos, el Diccionario no se ha elaborado correctamente, tiene fallos estructurales que demuestran que la RAE no ha trabajado correctamente ni un sólo segundo desde que se fundó.

Y ahora contesto a ese párrafo, el primero, del artículo de Cela Junior. Lo que usted dice de "casi siempre" es falso desde la 'a' hasta la 'z'. Para empezar porque se tendría que asumir que un hacker es un cibercriminal, y aunque la RAE diga misa, yo sigo siendo ateo. Lo segundo es que para robar dinero de personas, para empezar, tienen que tener dinero en el móvil o PC. Es decir, si yo entro a tu ordenador y tú no tienes, por ejemplo, un txt con tus contraseñas de Paypal o tu cuenta bancaria, tranquile, que no te voy a robar nada, no porque no quiera, sino porque no tienes esas cuenta ¿Me puede usted decir cómo entro en su Paypal si usted no tiene Paypal? Que yo entre a su ordenador no significa que sepa lo que usted esté está escribiendo en su navegador. Hackear va desde sacar los metadatos a tus documentos ofimáticos, pasando por colarme en tu dispositivo y llegando hasta la denegación de servicio. Es un abanico muy amplio, no es pulsar un botón y ya tengo millones en mi bolsillo.

Esto es como cuando dicen que lo único que quieren es fama ¡¿Pero qué fama?! Si salgo a la calle y pregunto nombres de Hackers ¿Cuáles me dirán? Puede que me digan Chema Alonso y poco más, porque si pregunto por quién es Mark Zuckerberg alguno lo conocerá, pero seguro que no caen la gran mayoría. Puede que los jóvenes sí, pero la gran mayoría no tendrán ni idea.

Apartando que también nos llama miserables, sigo con el siguiente párrafo. El siguiente párrafo también es muy bueno, empieza así "Ya digo que cualquiera se apuntaría al paraíso de un mundo sin Hackers". Señor Cela Junior, sin hackers usted no escribiría ese artículo en ese periódico de forma digital. Sin Hackers moriríamos antes, pues el avance médico no se hubiese dado sin el avance tecnológico, avance que ha sido posible gracias a que Hackers, ha estudiado los sistemas durante mucho tiempo para pensar algo como "Oye, los equipos informáticos de un Hospital deberían estar protegidos con un SAI para que si hubiese un apagón en un Hospital, se pueda seguir operando con normalidad". Esto lo digo por poner un ejemplo. Pero le pongo otro si quiere. Un ejemplo con el dinero, que veo que es lo que le preocupa, no sé si porque Juan Calos I nombró Marqués de Iria Flavia a su padre y por eso el dinero es algo que ha visto usted desde pequeño. Sin hackers, su número de la cuenta bancaria a lo mejor no sería un número, o sí. O podrían haber surgido las tiendas online, pero en HTTP y sin un hacker que diga "Oye, una tienda online en HTTP no es recomendable, ya que cualquiera podría analizar el tráfico de red y obtener información privada de los usuarios conectados a dicha red".

En cuanto a lo que dice de que el castigo que sugiere Ana Merino es estúpido, no por ser un castigo estúpido-ese debería haber sido su argumento- sino porque nos resultaría fácil estar en contacto con un amigo que nos deje el ordenador y seguir adelate como si nada. Porque claro, sin hackers a lo mejor no ha pensado que esos ordenadores podrían estar protegidos frente accesos no deseados, protegidos con biometría o un segundo factor de autenticación. Un segundo factor de autenticación que a los 30 minutos por ejemplo, te expulse del sistema y tenga que volver a entrar con otro código. Sin hacker, es verdad, nos sería fácil saltarnos ese castigo, por eso mismo somos necesarios.

No, no bastaría con que nuestro amigo se compre un ordenador y nos los deje a nosotros. Usted es muy suspicaz, pero con sistemas protegidos con biometría, nos sería imposible que un amigo compre un ordenador nuevo y nosotros accedamos, ya que cuando un delincuente queda fichado por la policía, una de las cosas que hace la policia, es tomar las huellas. Esas huellas se podrían meter en una Base de datos y así asegurarnos de que una persona con semejante condena, la cumple, pues si un amigo le compla un ordenador y e lo deja al hacker del que habla y el amigo le dice algo como "Te he comprado el ordenador, ahora eres tú el dueño" no bastaría, ya que las huellas del hacker están en las bases de datos de la policia y es muy fácil negar el acceso a alguien con esa información, se lo aseguro. Bueno, perdón, sería fácil si contásemos con hackers, sin ellos es verdad, sería más fácil saltarnos esas medidas que no existirían.

Nos sigue insultando llamándonos "sinvergüenzas" y dice que podríamos colarnos en la wifi de un vecino. Bueno, eso no siempre es así, ya que si usted hubiese seguido mi blog, habría visto que un día alguien entró en la wifi de mi Novia y si hubiese seguido los How Somebody fucked my girlfriend hasta su última entrada hubiese visto que quien lo hizo no era un hacker, sino una persona que sabía, supongo de derecho, un político o, al menos, aprendiz de político.

Usted finaliza su artículo diciendo que para terminar con los hackers, se tendría que terminar con Internet y que usted se apuntaba a terminar con Internet. Lamento decirle que se equivoca, pues el que, al menos para mí, ha sido el primer hacker, surgió sin que Internet se hubiese inventado. Por no existir, no existían ni los ordenadores. Estoy hablando, por supuesto, del Hacker que terminó con la Segunda Guerra Mundial, el Matemático y padre de la Informática, Alan Turing. A un periodista o a un escritor, si destrozas sus papeles y sus lápices o bolígrafos, lo destuyes a él directamente, pues no tiene cómo continuar con su oficio. A un pensador no, a un pensador tendrás que matarlo, pues incluso sin herramientas seguirá teniendo su mente, seguirá teniendo uso de la razón.

Usando el método científico, he demostrado que se equivoca con pruebas, con experimentos, pero sé que no va a cambiar una coma de loq ue ha dicho, a usted, como a muchos de letras, no le gustan las ciencias. Le pido que observe, que observe quién crece y quién desaparece. La gente que usa la mente crece, la que se limita a escribir por escribir sin tener nada que decir, la que escribe sin pensar, se hunde, a lo mejor no ahora, pero le aseguro que acabarán hundidos, siempre acaban hundidos. Ahora le pregunto ¿En qué bando va a jugar? Fíjese que le digo jugar y no luchar. Yo no quiero separar, yo no ¿Y usted?

¿Hackeamos el Mundo?

lunes, 26 de febrero de 2018

WHEEEEEEEAAAAAAAAATHOOOOOOON

Si sois fieles seguidores de The Big Bang Theory, sabréis la gran pelea que tenían al principio Sheldon Copper y Will Wheathon. Yo soy Team Sheldon, y como buen fiel, también quiero destruir a Will, el cuál "mató" a su 'mimau' para ganar un torneo de cartas. Eso no se hace Will Wheathon, te destruiré.



La verdad es que he llegado a esto de casualidad, ya que estaba irando los Showcases de Wordpress cuando me encontré la web de Will Wheathon. La búsqueda era obligatoria.


Tenía una oportunidad de ayudar a Sheldon en su cruzada contra Will {en las primeras temporadas}. Es mi enemigo mortal y debía ir a por él.


Como pude encontrar en un momento, tenía acceso al phpinfo. Yo cuando audito un Wordpress, tras echar un vistazo con la extensión Wappalyzer, miro en el phpinfo.php y en el readme.txt.

Si nos vamos a la web de Descargas de PHP, veremos que la versión actual de PHP es la 7.2.2, mientras que Will usa la 5.4.38. Sabemos la versión y tenemos el phpinfo, todo lo que queramos saber, ya lo sabemos.


El siguiente paso es claro, buscar por CVE Details para ver posibles fallos de seguridad de la versió de PHP que usa Will Wheathon. Como podemos observar, muchos DoS. Esta sería una buena manera de empezar la cruzada contra Will Wheathon, lo que no sé es cómo no se le ha ocurrido antes al gran Sheldon, ya que en algunos capítulos nos ha mostrado que sabe de seguridad, como cuando accedió al Facebook de Leonard o al correo del profesor Protón.

¿Hackeamos el Mundo?

domingo, 25 de febrero de 2018

Usa Fruho, una VPN gratuita para tu sistema GNU/Linux

Una recomendación que se suele hacer siempre en seguridad es que se utilicen VPNs para crear un túnel seguro donde puedas escapar de posibles ataques Man in The Middle que ocurran en tu red. VPNs hay de varios tipos, de pago y gratuitas, yo os voy a enseñar Fruho, que es gratuita aunque si quieres puedes contratar un plan premium.


Usar una VPN beneficia enormemente a nuestra privacidad, ya no sólo porque gran parte de los ataques te los puedes evitar, sino porque nuestro tráfico iría cifrado punto a punto. Si ya usamos TOR también, entonces damos un gran plus a nuestra privacidad, pero de momento, vamos a contentarnos con cifrar nuestro tráfico.


Uno de los problemas que encontraba cuando quería usar una VPN en GNU/Linux, era que no encontraba uno que me gustase, hasta que encontré Fruho, la cual te puedes descargar en SecurityKISS. En el tiempo que llevo usando Fruho, la verdad es que estoy muy contento con esta solución VPN, yo os lo recomiendo si usáis GNU/Linux, tenéis un plan gratuito y otro premium. Ya os digo que con el gratuito podéis tirar de sobra, pero el plan premium tienta y mucho.



Lo que necesitarás será una cuenta en cualquiera de estos VPN Provider. Ya digo, con una cuenta gratuita os basta, pero vosotros decidís{Lo de la bandera es una coña mía xD}.


Si antes de utilizar nuestra nueva VPN nos vamos a Duck Duck Go y buscamos cuál es mi dirección IP, veremos que nos saca que estamos en Córdoba. De momento aún no estamos muy seguros. Pero vamos ahora a la guerra.


Para comenzar a usar nuestra VPN, tendremos que pulsar en "Servers" y seleccionar el que queramos. Por supuesto en la versión free te aparecerán menos, pero tienes opciones en Francia, Alemina, Reino Unido y Estados Unidos.Yo me voy a conectar a Cambridge.


Y ya "estamos" en Reino Unido. Como veis una cosa muy sencilla. También existen otras opciones como AirVPN que también es muy buena, VPNs hay muchas, escoged una y mejorad vuestra privacidad, que para algo es vuestra.

¿Hackeamos el Mundo?



sábado, 24 de febrero de 2018

La importancia de usar un SAI en tu organización

Una de las cosas de las que nos encargamos los que no dedicamos a la seguridad informática, es a tratar de garantizar una alta disponibilidad de los datos y servicios que ofrece una organización o nuestra propia organización. Una de las cosas que se recomiendan es tener un implantada una solución SAI, la cual te puede ayudar mucho en caso de fallos energéticos.


La alta disponibilidad es esa serie de medidas que tratan de garantizar que un servicio y/o los datos de un usuario estén operativos 24X7X365 días al año. Es un protocolo de diseño de sistemas que garantiza un grado absoluto de disponibilidad de un servicio y que la comunidad de usuario pueda acceder a los servicios que se ofrecen en cualquier momento. En caso de fallo de un servicio se le dice que el servicio no está disponible, y a esto se le denomina downtime

Esta alta disponibilidad o high availability la podemos conseguir aplicando varias soluciones, pero la que voy a comentar hoy es la solución SAI.
SAI es un conjunto de baterias que garantizan el funcionamiento de un sistema a pesar de apagones o subidas repentinas de tensión. Otra de sus funciones es la de la mejora energética aplicando filtros ante subidas o bajadas de tensión y reduciendo los armónicos en caso de usar corriente alterna.

Pero existen varios tipos de SAI, en concreto 3, aunque algún autor puede decir que existen 2 ya que hay 2 muy parecidos. Los 3 tipos de SAI que existen son:

  • Off-line. Recibe su alimentación de la red eléctrica. En caso de fallo el dispositivo genera su propia alimentación. Existe un periodo de tiempo en el que no hay suministro ya que no son activos y la forma de su onda no es sinusoidal, por lo que son adecuados para dispositivos críticos como lo pueden ser el sistema informático de un Hospital.
  • In-line.Energéticamente hablando es muy parecido al off-line, con la diferencia de que este filtra activos para estabilizar la tensión de entrada. Sólo genera su propia alimentación ante fallos muy graves y también presenta un tiempo en el que no hay suministro. La forma de su onda es pseudo-sinusoidal.
  • On-line. Este es el SAI más complejo de los 3 ya que genera su propia alimentación limpia con una onda sinusoidal, por lo que es ideal para equipos informáticos críticos y funciona de tal manera que mientras genera alimentación, se carga a la vez. Esto mismo hace que esté activo constantemente y no exista ese periodo de tiempo en el que no hay suministro. Pero esto es también un inconveniente, ya que al estar operativo y trabajando, implica que se deba sustituir con más frecuencia.

Dependiendo para lo que lo queramos usar o dependiendo de nuestra organización, tendremos que usar uno u otro SAI. Por ejemplo, para equipos críticos es ideal el SAI On-line, pero esto variará, como digo, de la organización.

¿Hackeamos el Mundo?

viernes, 23 de febrero de 2018

Generar contraseñas "seguras" en GNU/Linux con un sencillo comando

Como digo muchas veces, GNU/Linux es maravilloso, te brinda una gran cantidad de posibilidades. Para mi cuando alguien dice "descarga X" pienso automáticamente en apt-get install por poner algún ejemplo. Hoy os quiero enseñar un programa sencillo de usar para generar contraseñas robustas.


La instalación de la herramienta es muy sencilla, se denomina pwgen y basta con sudo apt-get install pwgen -y y se nos descargará automáticamente. Usar esta herramienta es asquerosamente sencillo, pero procedo a explicarlo.


Hay varias opciones para ejecutar esta herramienta, pero entre todas sus opciones, las que más podréis utilizar son -n -s y -y. Os pongo un ejemplo de la ejecución de este programa.
















Con -n indicamos el número de caracteres, con -s indicamos que sea segura y con -y que se use al menos un símbolo. Para encontrar más información sobre la herramienta, os dejo información sobre los comandos y la herramienta en la web de la misma

Esta es una manera sencilla de generar contraseñas "robustas", aunque no olvidemos que si almacenas estas contraseñas en un txt y acceden con un meterpreter, nada imposibilita al atacante copiar y pegar o descargar el archivo. Eso sí, un familiar no va a dar con la contraseña en la vida y el uso de fuerza bruta se dificulta tanto hasta el punto de ser casi imposible, más que nada por el tiempo que se tendría que emplear, y es cantoso si miras los logs de tus servicios y además porque muchos atacantes quieren hackear o tumbar sitios rápidamente para acceder y sacar la información que les interese.

¿Hackeamos el Mundo?
Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...