Trucos para mejorar las contraseñas

En Microsiervos publicaron hace unos días una serie de recomendaciones para memorizar mejor las contraseñas, siendo éstas un poco mas complicadas de lo normal:

  • No usar contraseñas obvias que todo el mundo usa como 1234, qwerty, admin, el mismo nombre que el usuario, el de la novia, mascota y cosas así
  • En general se recomienda no usar la misma contraseña en todos los sitios o servicios; hay quien sugiere usar la misma para los sitios poco importantes y distintas para todos los demás
  • Inventarse una contraseña memorizándola por los movimientos de los dedos en el teclado, sin mirar a las letras
  • Usar las letras y números de serie que tengan algunos aparatos que siempre tengas a mano como contraseña (el iPod, el teléfono o similar)
  • El truco de Bruce Schneier: hacer las contraseñas importantes tan complicadas que no se puedan ni memorizar. Apuntarlas en un papel y guardarlas en la cartera. Si pierdes la cartera te darás cuenta enseguida y podrás cambiarlas rápidamente
  • Convertir en contraseña una frase que te guste, usando una versión abreviada con sus iniciales. Por ejemplo «Mi primer coche era un Volkswagen del 76» = MPCEUVWD76
  • Quienes gestionan grupos de usuario y pretenden hacerles cambiar obligatoriamente la contraseña cada mes o algo así deberían reconsiderarlo: la gente tiende a elegirlas más «fáciles» todavía o en el formato MM/XXXX

Yo añado además alguna otra regla que suelo recomendar.

Usar frases en en lugar de palabras, por ejemplo «vivoenSevilla» y luego sustituir alguna letra por números hasta que quede algo asi «v1v0en5ev1lla»

También usar la letra de una cancion usando la primera letra de cada palabra. Por ejemplo de la canción «Mi carro», si cogemos la primera frase: «Mi carro me lo robaron anoche cuando dormia» quedaría algo asi: «Mcmlracd» , ahora se puede cambiar alguna letra por número y poner alguna mayúscula y quedar asi: «Mcm1rAcD». Si además le unimos un punto y una cifra (por ejemplo el año), se complica mas y no deja de ser fácil de recordar :»Mcm1rAcD.2oo9″

Como saltarse la password de Windows

Helektron publica este minitutorial para, en caso de pérdida o necesidad, saltarse la password de Windows:

Paso 1. Descarga y graba la utilidad

Se trata de un disco de arranque, por lo que tendremos que descargar la imagen desde la página web correspondiente y utilizar un programa de grabación para quemar una copia de dicha imagen. En la página web del autor podemos tambíen acceder a un archivo con las preguntas más frecuentes sobre esta utilidad que puede resultar de ayuda en caso de duda o problemas.

Paso 2. Inicia el sistema con la utilidad

El siguiente paso es introducir el CD que hayamos grabado en la unidad de disco del ordenador del que hemos extraviado las claves. Hay que comprobar que en la BIOS se establece el orden adecuado para que se cargue la información del sistema y que en esa lista figure la unidad de CD o DVD. Una vez comprobado encenderemos el ordenador con el CD en la unidad y aparecerá la imagen de arranque del programa. Para continuar pulsaremos la tecla de retorno de carro.

Paso 3 . Reinicia las palabras clave

En pantalla aparecerá el mensaje “Please select the partition number“. Si el sistema está instalado en la partición primaria de C: pulsaremos retorno de carro. En caso contrario escribiremos la partición correspondiente. También se nos preguntará “What is the path of Windows directory?” para que escribamos el direcrorio en el que se encuentran los archivos de Windows. Para la opción por defecto pulsaremos nuevamente retorno de carro. A la pregunta “Select wich part of registry to load“  pulsaremos 1 y a continuación una vez más retorno de carro. Se mostrará en pantalla una lista con las cuentas de usuario. Solo tendremos que elegir la cuanta cuya palabra clave queremos reiniciar y pulsaremos por última vez retorno de carro. Ya podemos reiniciar el sistema y acceder a Windows.

Las «mejores» contraseñas

El título está en modo irónico. Lo que en realidad quiero decir es que las 500 contraseñas que aparecen en este informe que encuentro via Mangas Verdes, son las que mas se usan (o mejor dicho usaban en 2005), y por lo tanto las mas seguras para sus dueños.

Como se puede comprobar no tienen apenas una longitud, ni una fortaleza media que permita presentarlas como contraseñas seguras, pero es que muchas veces hacemos eso pensando que es lo mejor. Reconozco que en algún caso, para pruebas, o en determinados entornos he usado contraseñas asi, pero en los tiempos que estamos en los que usamos muchos servicios web, en los que almacenamos información crítica, me suelo complicar un poco mas la password.

Son datos de 2005, pero es casi seguro que serán muy similares a las actuales.

Cómo proteger una red wifi

Encuentro este post sobre seguridad WIFI:

Filtrado MAC
Por muchos considerado el mejor sistema de protección para accesos no deseados.

Antes de nada, ¿qué es una dirección MAC (Media Access Control address)? Una MAC es una dirección física escrita en nuestro adaptador de red (router, ethernet, …). Esa dirección debería ser única, e identifica el proveedor y otros datos como pueden ser el país de fabricación, el número de série, etc…
Tiene una ventaja respecto a la dirección IP. La dirección MAC es (en principio) inmutable.

El filtrado MAC impide la conexión al router a determinadas MACs. Normalmente se puede configurar de dos maneras:
1.- Denegar las MACs listadas (lista negra): con esa opción impedimos que se nos conecten algunas direcciones MAC que no queremos que usen nuestros sistemas.
2.- Aceptar sólo MACs listadas (lista blanca): con esa opción se impide el acceso a todo el mundo menos a las direcciones MAC listadas.

Mito: Es la forma más efectiva de impedir accesos no deseados.
Realidad: NO, es la PEOR de todas las protecciones.
Explicación: El filtrado MAC es equivalente a tener un portero en la entrada con una lista de nombres. El portero pregunta al cliente cuál es su nombre. Cuando el cliente le dice el nombre el portero mira la lista y si el cliente está permitido, le deja pasar. En caso contrario, le deniega la entrada.
A mucha gente le puede parecer el sistema más seguro, pero… y si os digo que la lista de gente admitida se puede saber con anterioridad?
No podemos saber quién está en la lista, pero sí quién ha entrado alguna vez, por lo tanto podemos modificar la MAC de nuestro adaptador para simular ser alguien que ya sabemos que ha podido acceder con anterioridad.
¿Es fácil de obtener esa lista? Es trivial, es tan simple que cualquier programa sniffer proporciona ese dato.
Conclusión: Es la peor de las protecciones, pues es de las más recomendadas y a la vez la más fácil de romper.

Ocultar SSID
El SSID es el identificador de nuestra red inalámbrica, para conectar a una red necesitamos especificar el SSID.

Mito: Ocultar dicha información dificulta el acceso a personas que no conocen el SSID por adelantado.
Realidad: NO, es de las protecciones más ridículas, el SSID se sigue transmitiendo.
Explicación: Desactivando la opción SSID broadcasting (u ocultación de SSID) sólo evita lo que se llama SSID beaconing en el punto de acceso.
Básicamente hay 5 mecanismos que envían el SSID haciendo broadcast, el SSID beaconing es sólo uno de ellos. Por lo tanto esa opción sólo evita que el punto de acceso se vaya anunciando, pero cuando haya tráfico en dicha red el SSID se mostrará.
Sólo permanecerá el SSID oculto en caso de que nadie esté asociado ni realizando peticiones para asociarse a dicho punto de acceso.
Conclusión: No merece ni el click en la configuración del router para activarlo, es tan trivial que no merece la pena activarlo.
Además, más que una solución es un inconveniente. En caso de usar varios APs para permitir WiFi roaming los clientes pueden perder la conexión pensando que no encuentran el SSID. Además, dificulta la configuración, ya que algunos programas de configuración de red buscan los SSID en vez de preguntar por el nombre manualmente.

Desactivar DHCP
El DHCP es el protocolo de auto-configuración para los clientes de red. Permite que un cliente configure los DNS, gateway, IP, máscara de red y otros parámetros de configuración de forma automática.

Mito: Combinado con usar IPs poco frecuentes (por ejemplo un subrango de 172.16.0.0/12) dificulta al hacker para configurar la red.
Realidad: NO, es muy fácil descubrir qué IPs usan los clientes ya asociados y deducir la máscara de red y el gateway a partir de ahí.
Explicación: En las tramas IP se encapsulan las direcciones IP por lo que con un sniffer es muy simple ver qué IPs generan tráfico e incluso qué gateway utilizan.
Conclusión: No es una protección fiable para nada. Y facilita mucho la configuración de clientes o sea que suele ser mayor la molestia que la posible seguridad que ofrece.

WEP con claves de 128bits o más
La encriptación WEP (Wired Equivalent Privacy) es la primera implementación de seguridad para redes inalámbricas, ha demostrado ser muy poco segura y actualmente es posible romperla en minutos.

Mito: Usando WEP con claves largas (128bits, 256bits, …) dificultan romper la encriptación.
Realidad: Usar claves WEP de más longitud retrasan pero no impiden romper la encriptación.
Explicación: WEP utiliza unos vectores de iniciación que se repiten con mayor o menor frecuencia. Las herramientas que se usan para petar encriptación WEP generan tráfico expresamente para aumentar la repetición de los mismos vectores y permitir descubrir el password en pocos minutos.
Conclusión: Aún usando claves relativamente seguras los programas que se usan para petar redes inalámbricas permiten inyectar tráfico que facilitan enormemente romper la encriptación, sea cual sea la longitud de las claves (y los vectores de iniciación).

WPA ó WPA2 (y variaciones)
WPA es la solución que salió tras el desastre de WEP. WPA corrige las deficiencias de su predecesor y permite configurar redes inalámbricas seguras que no pueden romperse fácilmente en cuestión de tiempo o de forma automática.

Mito: WPA y WPA2 son inexpugnables hasta la fecha.
Realidad: WPA (y WPA2) son protocolos mucho más seguros que WEP, no tienen fallos en el diseño y por lo tanto dificultan mucho petar una red de ese tipo, pero no son invulnerables a los ataques de fuerza bruta.
Explicación: WPA elimina los defectos de WEP, usa un sistema de autenticación más complejo, usa cifrado RC4, añade verificación de integridad al mensaje, e incluye protecciones contra ataques de repetición.
Conclusión: WPA (y WPA2) es la mejor solución actualmente, pero no son inexpugnables.

¿Cómo puedo protegerme, entonces?
No hay receta para eso, en la seguridad informática siempre hay gente que buscará vulnerabilidades en los diseños. Por ejemplo, una vulnerabilidad en el algoritmo de cifrado RC4 o en el sistema TKIP podría perjudicar a WPA.
Actualmente el único ataque contra WPA es la fuerza bruta, lo que implica que sólo será realmente efectivo si el password que usamos está basado en diccionario o es muy simple.

Básicamente lo más aconsejable a día de hoy es hacer lo siguiente:

* Usar WPA ó WPA2. WEP no es seguro ni puede hacerse seguro, de ningún modo. Yo mismo, para enseñarle a un amigo le peté su WEP de 128bits en 5 minutos, es terriblemente fácil.
* Usar TKIP para WPA en caso de que esté disponible, ya que aumenta la seguridad WPA. Y si está disponible AES, mucho mejor.
* Usar un password complejo, de más de 8 carácteres, mezcla de carácteres alfanuméricos y carácteres “raros”, por ejemplo: X$gh98NjKX$qp.K8J7dfX.z/3
* Cambiar el password de vez en cuando si es posible (por ejemplo, si hay pocos clientes).
* Usar Windows XP SP1 (mínimo) o SP2 (mejor) o superior (eso incluye Linux :D) ya que el soporte WPA no está hasta el SP1, y está mejorado en SP2.

Ninguna de esas protecciones es 100% segura, puesto que hay herramientas para saltarse todo tipo de protección con mayor o menor éxito y dedicación. Pero una cosa es segura, ante un posible atacante, cuantas mas medidas de seguridad implantemos mas difícil se lo pondremos, y a lo mejor desiste si encuentra otra red wifi en su radio de acción que no tenga tantas protecciones.

3 trucos para proteger WordPress

Leo en Ayuda WordPress un interesante artículo sobre la seguridad que podemos implementar en nuestro blog nada mas instalarlo y que lo aseguraría un poco mas.

1. Eliminar del código fuente del wordpress toda relación que apunte a la versión que estamos utilizando en el blog. Si conocen nuestra versión, resultará más fácil descubrir que agujeros de seguridad tiene la versión que estamos corriendo y atacarlo.

El código a eliminar, ubicado en el fichero header.php de nuestra plantilla es este …

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

que podemos dejar así …

<meta name=”generator” content=”WordPress” />

2. Proteger la carpeta de plugins creando un archivo vacío llamado index.html dentro de la carpeta. De este modo evitamos que puedan ver los que tenemos instalados.

3. Proteger la carpeta wp-admin añadiendo un fichero .htaccess donde solo permitamos acceso a las IPs de los usuarios que sepamos que deben acceder. El contenido del fichero sería este …

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# IP cuando estoy en casa
allow from xx.xxx.xxx.xx
# IP cuando estoy en el trabajo
allow from xx.xxx.xxx.xxx
allow from xxx.xxx.xxx.200
# IP de otro usuario con permisos
allow from xxx.xxx.x.xx

Donde xx.xx.xxx.xx es la IP con acceso.

Accediendo a Gmail de distintas maneras

Si tienes cuenta de correo de Gmail, te vendrá bien saber que hay distintas formas de acceder:

  • Modo seguro, deshabilita las opciones experimentales y deja una versión lo más estable posible.
  • Modo seguridad, accede desde el entorno seguro HTTPS.
  • Modo antiguo, nos permite acceder a la versión que se reemplazó en Octubre de 2007.
  • Modo básico, versión HTML sin javascript. Muchas funcionalidades dejan de funcionar.
  • Modo Móvil, versión adaptada a los dispositivos móviles.
  • Modo iPhone, versión adaptada a las características del iPhone.
  • Modo Widget, versión que nos encontramos en el nuevo iGoogle.
  • Modo sin control de navegador, no comprueba la versión del navegador que estamos usando y simplemente muestra una versión HTML  (modo básico).

Via Anieto2k

Sinowall, un ‘supertroyano’ ladrón de bancos

En Heraldo de Aragón:

Es un ‘ladrón de bancos’ tan maligno como eficaz. ‘Sinowal’, el ‘troyano’ más dañino de cuantos se han descubierto, serpentea impunemente por la red desde hace tres años. Ha robado más de medio millón de datos bancarios y de tarjetas de crédito y sigue activo.
Lo denuncia la firma británica RSA FraudAction, una de las más reputadas del sector de la seguridad informática, que disparó las alarmas a través de la BBC. La investigación de RSA pone los pelos de punta. ‘Sinowal’ ha puesto a disposición de ‘los malos’ los datos de 300.000 cuentas bancarias online y de 250.000 tarjetas de crédito.

Su eficacia lo convierte en el troyano más temido, la herramienta «más eficaz en manos del ‘cibercrimen’ nunca creada hasta ahora», según RSA. Un virus informático muy activo que se renueva constantemente con versiones cada vez más sofisticadas y de cuya autoría y origen se sabe poco o nada. «Su efecto es realmente global», advierte Sean Brady desde RSA

Sigiloso

Lanzado en febrero de 2006 El ‘supertroyano’ ha infectado ordenadores de todo el mundo sin que sus usuarios se percaten. Lo hace mediante un sistema relativamente novedoso. Un ‘ataque’ bautizado como guiado mediante descarga. ‘Sinowal’ se aloja en servidores de páginas web poco conocidas y menos vigiladas, a menudo, pero no siempre, relacionadas con la pornografía o las apuestas.

También se le ha detectado en páginas nada sospechosas y aparentemente seguras desde las que salta a nuestro ordenador.
Entonces el mal está hecho. Cuando el propietario de ese ordenador opere con su cuenta bancaria o su tarjeta de crédito, ‘Sinowal’ desplegará todo su poderío.

‘El supertroyano’ es capaz de identificar más de dos millares de entidades bancarias que operan on line en todo el mundo. Cuando su base de datos las reconoce, modifica la página original e introduce campos adicionales que el incauto usuario rellena confiado. Está cazado. La información crítica, el pin, el nombre de usuario o los números de sus documentos de identidad son un tesoro que ‘Sinowal’ remite a los servidores donde quedan almacenas y dispuestas para la estafa. Quien esté detrás de este troyano, destacan desde RSA, «ha de tener una fuerte capacidad tecnológica y de inversión» que les permita almacenar los cientos de miles de datos que roban, contrastan e identidades que usurpan.

La investigación ha detectado que el ‘supertroyano’ está robando desde febrero de 2006 sin interrupción datos o datos bancarios, financieros y de cuentas de correo electrónico. De momento no se atreve a fijar su origen, pero juzga muy preocupante que esté activo desde hace tanto tiempo y que se oculte bajo muy distintas apariencias, ya que también se le identifica como ‘Torpig’ o ‘Mebroot’. Los ataques se han detectado en Australia, Canadá, Estados Unidos, Reino Unido y Polonia. Se limitan a destacar desde RSA que les parece sospechoso que no se haya registrado ningún ataque en Rusia, foco de algunos de los virus más sofisticados y activos en los últimos años.

‘Sinowal’ es especialmente pernicioso, ya que al ser técnicamente el usuario quien facilita el acceso no se puede exigir responsabilidades a las entidades bancarias. RSA recomienda que ante la menor sospecha o cuando se observe el más mínimo cambio en la páginas web de nuestra entidad bancaria, no se continúe con el proceso de identificación.

Exponencial

Los expertos recuerdan las actitudes de seguridad que nunca debemos dejar de lado. Mantener siempre activado y actualizado el antivirus. Eludir las páginas sospechosas y no pinchar jamás en las que susciten dudas. No ejecutar nunca un archivo exe. que no sea seguros y no abrir correos electrónicos desconocidos o no solicitados.

Alertan sobre páginas muy activas en las trasmisión de virus, como las redes sociales Facebook o Tuenti, los portales que soportan más tráfico y más sensible a la acción del software maligno.

La plaga crece de modo exponencial, ya que, según algunos estudios, la presencia de amenazas informáticas se multiplica por diez cada año. Afecta al 80% de los ordenadores domésticos españoles, según los datos de un informe realizado este mismo año por el Instituto Nacional de Tecnologías de la Comunicación (INTECO). Otro estudio, éste de la firma Sophos, habla de más de 6.000 nuevas amenazas diarias de lo que los técnicos llaman malware, software malicioso. Unos virus con capacidad para infectar una página web cada 14 segundos.

Como obtener la clave de una red wifi WLAN_XX – How to get wifi key on WLAN_XX (Telefonica Spain)

En este artículo explican como conseguir una clave WEP Wifi.

Naturalmente se explica para casos en los que nos hayamos olvidado de nuestra propia clave, o similares.

Si lo usas para otros fines, como acceder a la red de otro usuario, debes saber que es un delito.

Que el sistema de cifrado WEP, tiene fallos que permiten obtener la clave gracias a los vectores de inicialización, no es ningun secreto, asi como tampoco lo es, que las redes WLAN_XX (siendo XX un byte en hexadecimal) del proveedor de ADSL Telefónica tienen por defecto la clave WEP configurada como una letra identificativa por marca de router seguida de la mac del adaptador WAN.

Es este último caso es en el que vamos a profundizar.

El por que se obtienen tan facilmente estas claves, es gracias a que en las direcciones MAC, los 3 primeros bytes identifican al fabricante, y por lo tanto entre diferentes adaptadores de red de un mismo fabricante los 3 primeros bytes de sus MAC, van a ser identicos. por ejemplo poniendo el caso del fabricante Zyxel, cuyos 3 primeros bytes son 00:13:49 tendriamos un ejemplo similar a esto:

ADSL – WAN MAC => 00:13:49:11:22:33
WIFI – LAN MAC => 00:13:49:44:55:66
ESSID => WLAN_33

Donde la clave por defecto sería una letra que haría referencia a la marca seguida de 001349112233.

Escaneando mediante un adaptador wifi que pueda ponerse en modo monitor, deberiamos de capturar vectores de inicializacion, ademas de visualizar el BSSID que es la MAC del adaptador wireless del router. En el caso del ejemplo seria 00 13 49 44 55 66. Gracias a esto ya tendriamos gran parte de la clave:

La letra que comienza la clave, ya que por cada marca Telefónica les asigno una determinada letra, los 3 primeros bytes, ya que van a ser los mismos para el WAN que para el BSSID y el último byte, ya que en WLAN_33 ese 33 es el último byte del adaptador WAN. Así que solo deberíamos sacar por fuerza brutal 256^2 (2 bytes) lo que atacando a un vector de inicialización es bastante sencillo y rápido.

Lo que debemos hacer es capturar al menos 1 iv (vector de inicializacion) para esto hay numerosos procesos a poder seguir, no obstante yo os recomiendo que useis una distribución livecd de Linux que ha sido pensada para realizar auditorias de seguridad, se llama BackTrack. Una vez arranque seguiremos unos pasos:

1º Identificar la tarjeta wifi
2º Ponerla en modo monitor
3º Escanear hasta tener al menos 1 iv de la red WLAN_XX que deseemos (os recomiendo que al menos sean 4 o 5 iv)
4º Copiarlos a un pendrive u otro dispositivo para poder acceder a ellos

Aquí os dejo un video que he grabado realizando estas acciones para que no os quede ninguna duda de como se realizan estas acciones.

Tendremos 2 archivos, uno con extensión txt y otro cap, dentro del txt tendremos los datos referentes a la red wifi, mientras que en el cap tendremos los datos capturados.

Para continuar deberemos bajarnos el WlanRipper. Es una utilidad para Win32 que nos automatiza la tarea de probar las 256^2 posibles claves.

Copiamos el archivo .cap a la carpeta donde tengamos el WlanRipper y lo lanzamos de este modo: WLAN_RIPPER.bat 00:01:38:70:93:06 WLAN_21 file-01.cap

Total valid packets read: 5
Total packets read: 19135

Statistical cracking started! Please hit enter to get statistics from John.
Weplab statistics will be printed each 5 seconds

It seems that the first control data packet verifies the key! Let's test it with
 others....
Right KEY found!!
Passphrase was --> X000138712321
Key: 58:30:30:30:31:33:38:37:31:32:33:32:31

This was the end of the dictionnary attack.

Gracias por usar el WLAN_Ripper 1.1!!!

Y ya tendremos la clave WEP.

Un grupo de ‘hackers’ logra colarse en el sistema de seguridad del LHC

Vaya seguridad:

Un grupo de ‘hackers’ ha organizado un ataque informático al recién inaugurado Gran Colisionador de Hadrones (LHC), aumentando las preocupaciones acerca de la seguridad del mayor experimento científico de la historia.

Al tiempo que las primeras partículas comenzaron a circular con éxito el pasado miércoles en la máquina, un grupo de piratas informáticos griegos se introdujo en el sistema informático del LHC y enviaron un mensaje alertando debilidad de su infraestructura, según informa el Daily Telegraph.

El grupo, que se hace llamar ‘El equipo de seguridad griego, burló el sistema del proyecto, describiendo a los técnicos encargados del mismo como ‘un puñado de niños de escuela’.

Sin embargo, los hackers aseguran que su hazaña no debe causar mayor preocupación ya que su intención no es ‘causar molestias en el trabajo de los científicos del acelerador’. «Les bajamos los pantalones porque no queremos verlos salir corriendo del LHC cuando cunda el pánico», aseguraron en la nota que introdujeron en el sistema.

Como resultado del ataque, la página web del grupo -www.cmsmon.cern.ch- no puede ser accedida por el público.

Via El Mundo