martes, 31 de enero de 2017

Cómo un hacker puede saber más de tu sitio web que el administrador

En Internet, existe una paradoja muy curiosa, y es que los hackers, por lo general, saben más acerca de los sitios webs que los propios desarrolladores del sitio web. Esto se debe a que estar al 100 % seguros es aún, una tarea muy complicada y siempre, todas las empresas, han perdido información la cual ha podido ser almacenada en Google.



Pensé esto cuando estaba curioseando por alguna web para buscar algún que otro fallo o alguna que otra fuga de información y di con la web que estaba buscando, web que me inspiró a pensar en lo que hoy os voy a contar.


Hay muchas webs que comparten entre los equipos de Informática, estadísticas de su sitio web para así mejorar la visibilidad, llegar a más gente, poner su anuncio aquí o allí,etc. El caso es que lo comparten con un servidor FTP inseguro que es almacenado en Google y que puede ver cualquiera.


También, esta web, me permitía saber desde qué países tenían visitas ¿Para qué me puede servir? Para mucho. Imagínate que saben que tienen mucho tráfico en Alemania, mantener ese tráfico es muy importante, con lo que un atacante-haciéndose pasar por un alto cargo de Alemania- decide contactar con el director de la empresa-el cuál sabe o debería saber desde dónde visitan su web- haciéndole una gran oferta a cambio de un poco de publicidad en su web de Alemania-algo que nunca funcionará porque a los altos cargos de las empresas no les gusta el dinero; guiño guiño codazo codazo-. Ni que decir tiene que puede "obligar" al director de la empresa a que le pase un número de cuenta y demás información sensible, con lo que puede desembocar en una gran pérdida, ya no sólo de información sino de dinero. A los atacantes de hoy les basta con muy poco para robarte todo lo que tengas, así que avisados estáis.

¿Hackeaos el mundo?

P.D: Estos son los árboles que he ayudado a plantar.


lunes, 30 de enero de 2017

Analfabetismo selectivo y ludismo 2.0

Que los periodistas-la mayoría- son unos analfabetos - creo que no hace falta que lo demuestre mucho. Ese analfabetismo lo denotan cuando toca hablar de nuevas tecnologías y de cómo éstas "nos matan", "nos torturan", "nos acosan". Sí, dicen todo eso todos esos estúpidos.



Estaba yo haciendo varias cosas mientras escuché de fondo, una canal de televisión que supongo que muy pronto sabréis cuál es, pues hablaré bastante de él, de-cito textualmente: "Los teléfonos móviles nos acosan, nos hacen bullying  y tenemos que poner remedio porque de lo contrario nos pueden provocar grandes depresiones"

Claro, yo cuando escuché eso, me quedé aterrorizado, pues tenía el móvil al lado y no sabía en qué momento mi móvil se iba a levantar y me iba a agarrar del cuello mientras me pegaba una brutal paliza. Ya sabéis, lo ha dicho la tele y tiene que ser verdad eso de que son los móviles los que hacen bullying y no los que están detrás del móvil. Seguro que es el móvil el que, por su cuenta,  envía un insulto a un chico o una chica y no el que está detrás del móvil. Seguro que necesitamos educar a los móviles y no a los dueños de los móviles. Los móviles son los culpables y no nosotros.

Sinceramente, esto que dicen estos periodistas -que es lavar el cerebro- debería estar prohibido y por ello, estos periodistas deberían estar encerrados. Los periodistas esperan que pase lo mínimo en las redes sociales para acusar a las redes sociales-las cuales les han quitado mucha audiencia, casualidad-. Me sorprendió y mucho, que tras la muerte de Bimba Bosé y el comentario del analfabeto Antonio Burgos, los medios convencionales de comunicación no mostrasen el tweet dónde este impresentable faltaba el respeto a la familia.



Me sorprendió, porque medios como Antena3, cuando otros impresentables deseaban la muerte de un torero-ni mucho es respetable tal profesión, pero no se le puede desear la muerte, hay que educarle- no dudaron lo más mínimo en mostrar los tweets, pero aún estoy esperando que los medios muestren el tweet que os he enseñado anteriormente. Solamente dijeron:

"La policía detrás de aquellos que se metieron con la muerte de Bimba Bosé" Y ale, ya está, una imagen de un policía delante del ordenador pero nada del tweet ¿Cómo iban a meterse con un compi de profesión? Por cierto, tampoco dijeron nada de que publicase en el ABC-lo que muestra su ideología- ni que fuese periodista, insinuando después de mencionar su profesión "fuera los periodistas". Pero sí insinuaron "Fuera los animalistas" o cuando tratan el tema Youtubers, siempre con el tono de "Los youtubers, los niñatos estos tontos que cobran más que nosotros. Fuera ya" No, nada de eso.

Después se seguirá con el falso argumento de "el humano es el más inteligente, el más evolucionado, el superior". Pues menudo asco de ser superior.

¿Hackeamos el Mundo?

P.D: Estos son los árboles que he ayudado a plantar.




domingo, 29 de enero de 2017

Varios asesores de Donald Trump, hackeados

Esta misma semana, saltaba la noticia de que varios asesores de Donald Trump habían sido hackeados y sus credenciales han sido publicadas en varios repositorios de Internet. La noticia la daba Channel 4 y la podéis ver en el siguiente enlace. La situación es irónica y en esta entrada comentaré el por qué.



Uno de los nombres que salieron, fue el de, irónicamente, su asesor de cyberseguridad Rudy Giuliani. Muchas de las cuentas eran de Linkedin, Yahoo o MySpace, sitios web que, como cualquiera de vosotros puede comprobar en Have I Been Pwned, que son webs de donde se han obtenido más cuentas.




Decir que no solamente ha sido expuesto el asesor de cyberseguridad, también otros "13 top staff". Podemos comprobar también cómo su preocupación por la cyberseguridad brilla por su ausencia.


Si usamos el truco de pulsar en "He olvidado contraseña" tras escribir el nombre de usuario de Rudy Giuliani, vemos que solamente tiene el método de recuperar su identidad mediante un correo que se envíe a su dirección e-mail que proporciona.

Por supuesto, el usar un segundo factor de autenticación disminuye la probabilidad de que alguien, aún teniendo tu contraseña, pueda acceder a tu cuenta.

Lo irónico es que Donald Trump, en los debates antes de ser nombrado Presidente, criticaba a Hillary Clinton por la noticia que surgió de los correos de Hillary. Trump declaró que por ello, Hillary debía estar entre rejas.

Lo mejor de todo, es que muchos de los discursos de Trump iban en contra del partido de Hillary Clinton, alegando que el partido de Trump, era "Mucho más seguro". Pues bien, muchas de las identidades de estas brechas se conocían de hace 4 años, pero el señor Donald Trump, nunca dio a conocer tal información.

¿Hackeamos el Mundo?

P.D: Estos son los árboles que he ayudado a plantar.


sábado, 28 de enero de 2017

La censura y represión de Trump empieza ya

La entrada de hoy la estoy redactando el 21 de enero y no sé cómo se estarán dando las cosas el día 28, pero lo cierto es que el gobierno de Donald Trump, ya se ha puesto manos a la obra y, por el momento, las medidas que ha tomado son deplorables, dignas de criticarlas duramente y llegar al punto, de pedir que no gobierne los Estados Unidos.


Donald Trump ha emprendido el camino equivocado, el de la censura y la represión, el de callar a las minorías. Donald Trump, al día siguiente de ser nombrado Presidente, ha censurado, ha silenciado a LGTB. Este silencio que les ha impuesto es cibernético.


Si entras a la web de la Casa Blanca, y buscabas LGTB, te devolvía el mensaje de "Sorry, no results found for 'lgtb'. Try entering fewer or broader query terms" Y los que sigáis este blog, ya sabéis cómo podríamos saber si tal palabra existió alguna vez en su base de datos.


Realizando la búsqueda por Internet, vemos que nos aparecen varios resultados. Si probamos entrando el que tiene que ver directamente con la Casa Blanca.


Como era de esperar, nos dice que no se ha encontrado ningún resultado, pues como hemos visto antes, tal entidad, la han borrado de la base de datos.


Pero no nos podemos quedar parados, pues usando Archive.org, encontramos, al menos 1 resultado sobre LGTB en la web de la Casa Blanca durante el mandato de Barack Obama. Es decir, Donald Trump y su gabinete han borrado todo lo habido y por haber sobre LGTB.



Como puede que más de uno piense que lo han hecho simplemente porque es un nuevo presidente y quiere empezar de nuevo con todo lo que tenga que ver con la Casa Blanca, en la captura anterior os dejo cómo no han borrado todo. 


Por si aún existen dudas de que esto lo han subido el gabinete de Donald Trump, os dejo también la copia de Archive.org y de cómo muestra que el 25 de marzo de 2017 ya estaba subido.


Este ser al que le han dado un cerebro de forma innecesaria, también la ha liado bastante con la entidad "climate change". Como vemos, aparecen varios resultados sobre el tema.


Devuelve el mismo resultado que con LGTB. Aunque, aún puede ser que durante la presidencia de Obama, fuese exactamente igual-ya os aseguro que no, porque de lo contrario ni siquiera aparecería lo que aparece en la captura anterior-.


Y como podemos comprobar, durante la presidencia de Obama, sí que aparecía la entidad "climate change" pero Trump no es que quiera dividir en vez de sumar, Trump quiere romper y no puedo sentir respeto alguno por trasgresores que estén más interesados en el poder que en ayudar. Para mí es inaceptable que tal espécimen esté al poder del país, posiblemente, más importante y poderoso del mundo.

¿Hackeamos el mundo?

P.D: Estos son los árboles que he ayudado a plantar.


viernes, 27 de enero de 2017

Espiar el Whatsaap de despistados cibernéticos

Hay algunos que en la entrada de Despistes en empresas que valen millones no se creían que pudiesen existir tales despistes en una empresa, pues bueno, hoy os voy a mostrar cómo hay algunos que no tienen despistes, sino que entregan toda su vida a todo Internet.


Hay muchos que saben poco o nada de seguridad, no obstante, no creo que eso sea excusa para aber hacer lo básico en Internet. Son por cosas como las que voy a contar hoy, que me afirmo a mí mismo que la seguridad al 100% parece imposible. A pesar de esto, lo sigo intentando.


En cada vídeo de Youtube, se pueden dejar comentarios ¿el problema? que cualquiera puede escribir un comentario y algunos como el de la captura anterior que deja su número de teléfono en un vídeo público que puede ver cualquiera.


Si lo agregamos a Whatsapp vemos que permite que todo el mundo vea su foto, algo que para "Potenciar tu privacidad en Whatsapp" no es muy aconsejable.


También permite que cualquiera vea su estado, lo que implica que su privacidad, si es que tenía alguna , se ha reducido aún más. Podríamos enviarle ahora un mensaje simulando ser ese Youtuber y así sacarle toda la información posible gracias al fenómeno fan.

¿Hackeamos el Mundo?

P.D: Estos son los árboles que gracias a Ecosia he ayudado a plantar.


jueves, 26 de enero de 2017

Apps, apps, apps,apps...

Las aplicaciones son un mundo, y la cantidad de ellas que hay a nuestra disposición, asciende exponencialmente cada día. Cada aplicación es un mundo, y lo más seguro, es que más de una de esas aplicaciones sea maliciosa. Para comprobar esto, quise probarlo con los repositorios de Linux y ver cuántas aplicaciones hay disponibles para mi Linux.


Descargar una aplicación en Linux es extremadamente sencillo, basta con escribir apt-gt install [paquete del programa] y listo.


Para listar  las aplicaciones que tenemos disponibles nos basta con escribir el comando apt list y nos aparecerá una gran lista con todas las aplicaciones disponibles.


Un auditor debería analizar cada programa y sacar una gráfica con los programas que pueden ser maliciosos o potencialmente maliciosos. Podríamos, por ejemplo, analizarlo con VirusTotal y obtener mayor información.

¿Hackeamos el Mundo?

P.D: Estos árboles que he ayudado a plantar.


miércoles, 25 de enero de 2017

Despistes en empresas que valen millones

El caso que os vengo a contar hoy es un caso real con el que me ha tocado lidiar. No puedo decir el nombre de la empresa, pero me comentaron que sufrieron un ataque informático que conllevo a la fuga de documentos confidenciales de la empresa. Hoy os vengo a contar cómo el atacante o el grupo de atacantes, pudieron hacerlo. No sé si es el caso que se dio, pero parece posible según lo que me contaron y lo que vi.


Como he dicho, no sé si este fue el método que usaron, pero he optado y he pensado que este tipo de ataque podría estar entretenido para que lo cuente por el blog. Muchas cosas son inventadas, pero ataques que se podrían hacer perfectamente, así que con lo que me contaron y con lo que vi, sería muy posible que el ataque ocurriese tal y como lo estoy contando.


Empecemos por presentar a los protagonistas. Los nombres son totalmente inventados y no tienen nada que ver con el ataque a la empresa que contactó conmigo. Empecemos de izquierda a derecha de la foto que os he adjuntado anteriormente. En primer lugar está el atacante, el cual pertenece a una red distinta de la organización a la que pretendía atacar, un atacante que era cortado por el cortafuegos de la empresa. A continuación tenemos a Álvaro, un trabajador despistado que cada 2 semanas justamente, tiene un problema con su ordenador y tiene que contactar con el equipo de Informática de la empresa-tercer protagonista- para que le solucione de manera remota un problema.

Lo que ocurre en la empresa, el atacante no lo sabe, pero investigará sobre la empresa hasta dar con la información necesaria para que su ataque sea efectivo.


Pongamos, por poner un ejemplo, que el atacante conoce algunas direcciones de correo de trabajadores de la empresa tras analizar metadatos o por usar en Kali Linux, theharvester. Pongamos, además, que el atacante ha dado con la dirección de correo de Álvaro, el trabajador despistado.


Pongamos, por poner otro ejemplo, que el atacante no necesitó realizar ataque alguno, pues con program*url host [gmail/twitter/facebook/.../etc] escrito en el navegador da con la contraseña de la dirección de correo electrónico que ha encontrado antes. El atacante, en menos de 10 minutos, ya tiene acceso al correo de uno de los trabajadores de la empresa.


Una vez que el atacante tiene acceso al correo de Álvaro, el trabajador despistado, el atacante pudo ver todos sus correos, encontrándose con que cada 2 semanas, Álvaro el despistado, pedía ayuda al equipo de Informática. Llegados a este punto, el atacante ya tenía acceso pleno al correo de Álvaro el despistado y también sabía el correo de Luis, el encargado del equipo de Informática de solucionar los problemas a Álvaro. Esto de saber el correo de Luis, es un dato muy importante.

Lo siguiente que tendría que hacer el atacante, es ver si tenían los cortafuegos activados. Esto puede parecer obvio y podéis pensar que todos los trabajadores de todas las empresas lo tienen activado, pero os garantizo, que no es así.

Para saber si los equipos de una red tienen habilitados el cortafuegos, existe un truco muy viejo, pero lo primero es, pertenecer a la red, ya que como recordaréis, el atacante pertenece a otra red diferente. Posiblemente la forma más fácil de entrar a la misma red que Luis y Álvaro-primer fallo, trabajadores normales y el equipo de Informática no deben estar nunca en la misma red- sea conectándose a la red wifi de la empresa ¿la forma de hacerlo? El atacante no se tiene que romper la cabeza pensando, pues tiene el correo de Álvaro, le puede bastar con esperarse a que estén en horario lectivo y enviarle al equipo de Informática un mail desde el correo de Álvaro, pidiendo la contraseña de la wifi, ya que a "Álvaro" se le ha olvidado. Una vez que le contesten al correo con la contraseña, puede hacer captura de pantalla del correo y borrar el mismo para que Álvaro el despistado no lo vea.



En las capturas se muestran 2 máquinas virtuales, a las cuales se les ha configurado us respectivas direcciones IP, en este caso, ambas de tipo C y que están, como se ha propuesto en el esquema del ataque,  tanto Álvaro el despistado como Luis, en la misma red.



Para comprobar si ambos equipos tienen habilitado el cortafuegos, se realizará un ping al equipo con la dirección IP 200.7.10.5. Como se muestra, nos devuelve la respuesta de que no se ha podido realizar el ping, esto se debe a que  en el equipo con IP 200.7.10.5 tiene configurado el cortafuegos.


Para comprobar qué ocurriría si el cortafuegos se desactivase,  probaremos a hacerlo y posteriormente realizaremos el ping al mismo equipo con la misma IP.


Como se puede probar por la captura anterior, el ping, al tener desactivado el cortafuegos del equipo 2, es capaz de llegar al equipo 2, pero al volver se encuentra con que el cortafuegos del equipo origen, sigue activado, aún así, nosotros vemos cómo se ha realizado el ping. Esto le puede permitir al atacante saber si los equipos de la red tienen o no el cortafuegos habilitado, para que en el momento que un equipo de la red lo tenga deshabilitado, poder enviarle cualquier documento infectado. Cierto es que también debería tener desactivado el antivirus, pero lo lógico, es que cuando alguien decide desactivar el cortafuegos, también lo hará con el antivirus, pues si desactivan ambos, es porque quiere descargar algún documento o programa que el cortafuegos y/o el antivirus lo puedan anular. Así que un atacante solamente tendría que esperar a que el cortafuegos y casi seguro, el antivirus para enviar un documento infectado.



Una vez llegados a este punto, lo que sí que pudo hacer el atacante, es simular ser Luis del equipo Informático para darle "asistencia" a Álvaro. Recordemos que el atacante tenía acceso al correo de Álvaro, con lo que solamente tendría que esperar a que Álvaro le pidiese por correo asistencia, ya que siempre lo solía pedir por correo.


El método que Álvaro decidía usar para que Luis le ofreciese asistencia remota, era creando un archivo que actuase como invitación para Luis. Un archivo que, a mayores, le enviaría por correo también, un correo que tenía controlado el atacante.


Cuando se genera el archivo, a la par, se genera una contraseña que el asistente tendrá que introducir cuando el propio asistente abra el archivo.


Una vez que se abre el archivo y se introduce la contraseña, se le pregunta al que ha solicitado la asistencia remota, en este caso Álvaro, si quiere que el asistente le ofrezca la asistencia que ha solicitado.


Entra el juego de que en el mensaje, se muestra el nombre del equipo de quien ha abierto la invitación de realizar la asistencia, pero también entra en juego otra vulnerabilidad, que es la de que los usuarios, por norma general, no leen antes de pulsar un botón.


Cuando se comienza la asistencia, el asistente solamente puede mirar la pantalla del que ha solicitado la asistencia, aunque si el asistente le pide al que va a ser asistido si le permite interactuar también, al asistido le aparecerá un mensaje como el que se muestra en la captura anterior.


En este punto, el atacante ya puede hacer todo lo que quiera con el ordenador de la víctima. Y cuando digo todo, es todo; y si además se suma que, en este caso Álvaro, por fiarse de Luis, se va de la mesa porque, simplemente se fíarse, el atacante podría hacer todo lo que quiera y enviarse por correo todos los archivos confidenciales de la empresa a la que está atacando.


Por supuesto, el atacante deberá enviarse un correo a Álvaro, desde el correo de Álvaro, para no caer en el error de dejar esa pista que lo pueda delatar. Así pues, así es como el atacante pudo atacar a la empresa que me contactó para comentarme su problema, cierto es que pudo realizar otros métodos, como usar Kali Linux para entrar a su equipo aprovechando determinadas vulnerabilidades, presentes en el equipo de la víctima; pero, por impresionante que parezca, esa opción puede resultar mucho más improbable.

¿Hackeamos el Mundo?

P.D: Estos son los árboles que he ayudado a plantar.


martes, 24 de enero de 2017

El problema de la actualización para mejorar la seguridad

Este año es mi cuarto año en el blog, 4 años en los que han cambiado muchas cosas, pero siempre, absolutamente siempre me he encontrado con un gran problema difícil de erradicar, posiblemente el problema que puede tumbar mi teoría unificada de la Informática en caso de que llegase a ella. Ese problema, es la humanidad. Rara la vez en la que se propone algo y no existe conflicto con el usuario común acostumbrado a una tecnología.


Lo que voy a comentar en esta entrada, si trabajáis innovando, si trabajáis en Informática, lo más normal es que os haya pasado. Existe un problema con el que tenemos que lidiar todo Informático, ese problema camina erguido, el usuario.

Cuando eres Informático y realizas un nuevo programa mejor, que gestiona mejor la memoria, que accede más rápido a los datos, que no consume mucha RAM y que, sobre todo, realiza su trabajo tal y como lo tiene que hacer y además de realizar tu trabajo, pensar y/o desarrollar un programa, también tienes que presentarlo al usuario que es el que, al final de cuentas lo debe de usar; existe el problema de la desconfianza por parte del usuario.

Hay un problema en todo usuario común, y eso es indiscutible. Ese problema es que un usuario corriente se acostumbra a usar un determinado software, y una vez que se acostumbra, una vez que ha aprendido a usar un software, es muy difícil hacerle ver que el que has diseñado es mejor que el que usaban anteriormente.

Imagínate cuando el uso de la Informática se implementa en la empresa, en la pequeña empresa en la que un trabajador de 50 años, que lleva 30 años en la empresa y que siempre ha usado un albarán para llevar la contabilidad de la empresa, le dices que tiene que aprender a usar Excel o cualquier otro programa que realice la misma tarea. Lo normal es que te responda lo siguiente:

          -"¿Para qué voy a usar el ordenador si me va bien con el albarán?"
          -"Pero y mis datos ¿Dónde van a guardarse? ¿Y si los pierdo?"
          -"Usar el albarán es lo natural, lo que se ha hecho siempre"

Hay muchas más excusas, pero estas son algunas de las más pronunciadas. Pues bien, un usuario común dispone de estas y otras excusas para no actualizar su software, para no aprender algo nuevo, no obstante, cuando un usuario se atreve a pensar y tacha una por una todas esas excusas, no le queda más remedio que ser lógico y optar por usar el software nuevo y bueno, aunque "expertos" digan que no, que usar el albarán es mejor porque es lo normal.

Si llegados a este punto me entendéis, no creo que os cueste imaginar cuando yo hablo sobre veganismo, que, a fin de cuentas, es usar un software nuevo, un software que tiene detrás una gran lista de excusas para "No usar este nuevo software", ya que "hemos usado el albarán siempre y nos va bien con el albarán"-aunque no sea cierto-. Supongo que pillaréis la semejanza entre albarán y consumo de carne, leche, huevos y pescado. Cambiar el mundo no es una locura ni utopía, sino justicia, y si al principio no te entienden ese razonamiento que ha sido tan meditado, amigo, vas por muy buen camino y puede que estés derrumbando un cimiento muy arraigado.

¿Hackeamos el Mundo?

P.D: Estos son los árboles que he ayudado a plantar.


Related Posts Plugin for WordPress, Blogger...

Entrada destacada

BOUM!! "ARRANS" DE SUELO

WE ARE SEX BOB-OMB!!! ONE, TWO, THREE!!!...Así empiezan las canciones el grupo de mi cómic favorito, Scott Pilgrim. Scott Pilgrim es un gran...