Archivos del Tag: seguridad’

Mitos sobre seguridad

Tuesday, February 24th, 2009

Antes que nada, este es el primer articulo de nuestro nuevo colaborador jia200x. Decir que es un honor que lo tengamos aquí en el blog, pues es un genio de la informática y de muchas otras cosas. Esperamos ver más aportes de el.

Debido a las múltiples dudas, he decidido aclarar ciertas situaciones relativas a la seguridad en internet y sus derivados, retocando de vez en cuando las situaciones locales.

“Me llegó un mail diciendo que no agregara a un tal juanitoperez@hotmail.com, porque dice que es un jaker que borrará todos los datos de mi computador”


Este tipo de mensajes generalmente son un hoax (una falsa alarma).  ¿Cuál es el fin? O bien, generar bases de datos a partir de los mails que se reenvían, o simplemente generar molestias entre los usuarios.  En el caso de que el usuario fuera real, no debemos olvidar que la dirección de e-mail NO está relacionada con el computador; por lo tanto, a menos que Juanito Perez logre introducir algún programa de control remoto en nuestros computadores (para esto, previamente debe habernos contactado), o que ocupe algún agujero de seguridad, no podrá acceder a nuestro equipo sabiendo la dirección de correo.

“¡Dios mío! Me ha llegado un e-mail que dice que el programa de Messenger será de pago en un par de meses, y que para evitar esto, debo enviar el mensaje a XX personas”

¡Dios mío! El calibre de cosas que puede inventar el ser humano…

El servicio Messenger Service es un servicio gratuito financiado por publicidad, Microsoft jamás se arriesgaría a cometer un delito como aquel, obligando a los usuarios a migrar a otras alternativas. Por otro lado, no existen sistemas de control de envío de mensajes entre usuarios: No porque envíes un mensaje a XX personas, vas a producir un cambio tanto en tu cuenta como en el servicio (a no ser que sea una junta de firmas o alguna variante, pero no va al caso).

Además, si los programas clientes “MSN Messenger” o “Windows Live Messenger” comenzaran a ser de pago, se pontenciarían las alternativas (como A-Msn)

Entonces, ¿Cuál es el origen de estos HOAX (léase consulta anterior)? El 70% de los casos, estos mensajes que son reenviados, sirven para recolectar cuentas de e-mail, que posteriormente son vendidas como bases de datos para prácticas ilegales (como enviar spam).

“Creo que ya soy todo un jaker, descubrí que puedo enviar un mensaje a service_password_lost@hotmail.com con mi user y password, y logro confundir al sistema, enviándome la clave de la cuenta víctima. Pues, ¡Que listo soy!

Querido Lammer:

El sistema de autentificación de servicios como Hotmail es bastante más complejo que un simple e-mail. NO es posible confundir al sistema con texto de esa forma. Probablemente, la dirección service_password_lost@hotmail.com sea de algún lammer más astuto que tú, que logra que caigas en su trampa, enviando tu contraseña.

Este “novedoso y rápido sistema de jaker” se comenta mucho a lo largo de internet, y deben comprender que no es más que un fraude.

“Creo que ya entendí. El sistema de Messenger Service es muy seguro, porque de la misma forma que yo intento buscarle vulnerabilidades para explotarlas, ellos las buscan para arreglarlas. Sin embargo, ¿Por qué existen robos de contraseñas?”

El 90% de los ataques satisfactorios relativos al robo de contraseñas en las cuentas de e-mail o servicios de mensajes (MSN, AOL, etc),  son gracias a la ingeniería social (identidades falsas, sistemas de postales engañosas, o cualquier sistema en la cual se logre que el usuario entregue su clave), o a la simplicidad de la “Pregunta Secreta”.

El 10% restante, se debe a diversas causas. Entre ellas:

  • Descuido del usuario al aceptar la transferencia de  algún programa capturador de teclas, y ejecutarlo para beneficio del atacante
  • Técnicas de cracking (Fuerza Bruta, poco efectiva en este sistema)
  • Bugs del servicio o del cliente: Cross Site Scripting (XSS), inyección de SQL, buffer overflow (sobrecarga de buffer, ya hablaré de ello), inyección de código

Respecto a los bugs del servicio, la mayoría están parchados, es prácticamente imposible acceder a la clave de una cuenta sin fuerza bruta.

Pero se han detectado horribles fallas en los clientes de Messenger Service. Por dar un ejemplo, un equipo descubrió que era posible inyectar código en imágenes PNG cargadas desde el avatar.

PD: ¿Alguien dijo XSS?

“Me considero un usuario responsable, no confío en extraños, jamás aceptaría un programa de alguien, confío en que es muy difícil obtener una clave en el servicio Messenger por fuerza bruta, debido al tiempo empleado; así que me declaro una persona invulnerable al robo de contraseña”


SÃ. Alguien dijo XSS.

Cross Site Scripting es una técnica de inyección de código en el cliente (JavaScript, para ser más exacto). JavaScript puede obtener cookies del documento, y los puede enviar a un servidor para que los almacene, y que el atacante pueda acceder a tú cuenta, utilizando tú sesión.

Por lo tanto, si eres paranóico, no aceptes un link de hotmail de un desconocido.

Espero que éste FAQ sirva como referencia de comportamiento ciberespacial, y que les sea útil.

2 Commentarios
Autor: jia200x
Categorias: Computación, Geek, Tips
Tags: , ,

Consejos de seguridad en Internet.

Wednesday, February 18th, 2009

Dado el reciente caso de robo de identidad, aprovecho para escribirles una serie de recomendaciones para cuidarse y mantener nuestra seguridad online.

Evitar cibercafés.

Los cibercafés son una opción para muchos que no tienen computador o acceso a Internet. Pero al usar estos computadores estamos abriéndonos a millones de posibilidades de que nos roben claves e informacion. Estos computadores, al estar abiertos a todo publico normalmente están llenos de Keycatchers (Guarda todo lo escrito por el teclado, incluyendo claves, usuarios y conversaciones personales) , troyanos y spywares.

En caso de que no tengamos otra opción, y sea necesario usar estos nos queda prevenir por lo menos un poco con los siguientes consejos.

Borrar nuestros huellas.

huella
En caso de que usemos algún computador que no sea nuestro, sea compartido o peor aun si es publico. Es recomendable borrar el Historia, Cache, Cookies y obviamente las Claves recordadas. Siempre que ingresemos a una web verifiquemos que NO este marcada la opción “recordar contraseña”, en caso de apretarlo por error podemos intentar eliminar las contraseñar recordadas. En Firefox y IE7 es fácil, pero en IE6 es una tarea más complicada.

En caso de que nuestro computador sea personal, este paso no es tan importante. (Al menos que lo fuésemos a enviar a reparar o algo parecido)

Claves complejas

Clave web

Al momento de registrarnos en alguna web, en especial si es una web de importancia para nosotros, debemos elegir una clave compleja.  Al referirse a Compleja no quiero decir  imposible de recordar como un trabalenguas, si no,  que tenga las siguientes características.

  • Por lo menos 8 caracteres.
  • Incluya mayúsculas y minúsculas.
  • Contenga caracteres especiales.
  • Contenga números.
  • No se asemeje a nuestro nombre.
  • No contenga informacion personal publica.

Por ejemplo, una clave para alguien llamado Pedro Ruiz, no debería ser Pedro19Ruiz.
Podría ser por ejemplo el nombre de nuestra película favorita, un mix de nombres de amigos, un mix de nuestras bebidas favoritas, etc…
Por ejemplo: Cofasp!77
La clave para mí, seria fácil de recordad pues son las 2 primeras letras de tres bebidas (Coca cola, Fanta, Sprite) más un signo de exclamación y luego el numero 77.
También recordemos jamas usar las clásicas claves:

  • 123456
  • 654321
  • clave123
  • asdfghj
  • miclave
  • minombre
  • iloveyou
  • ihateyou

Según encuestas hechas a distintos hackers gran parte de los usuarios hackeados fácilmente, tienen claves como las anteriores o secuencias en el teclado, por ejemplo una linea de letras o formas con el teclado numérico.
También, es común el uso de claves con el nombre de un pariente, o famoso.
La clave con nombre más registrada fue “Hannah”.

También es altamente recomendando, no usar la misma clave para todo. Pues ¿Te imaginas lo que seria que descubran tu clave de mail? Luego tendrían acceso a todas tus otras cosas.
Recomiendo tener por lo menos 3 claves. Una importante que ocupemos en sitios seguros y importantes, otra mediana que usemos en sitios de uso común pero de baja importancia y otra clave basura que ocupemos cuando nos registramos en webs solo por que queremos descargar algo, o cualquier clase de web insegura que no nos parezca de mucha utilidad.

Además, intentar cambiar cada cierto tiempo nuestra clave importante.

Pregunta Secreta

pregunta secreta

¿Cual es tu color favorito? El VERDE!

Es muy común que la gente que seleccione su pregunta secreta, la haga extremadamente simple.
Es más, luego responden cadenas de email donde preguntan por  ¿Cuales es tu color favorito? ¿Cual es el nombre de tu mascota? dando las respuestas de sus preguntas secretas.
Este método, que a mi parecer es una pésima manera de recobrar una clave, es extremadamente peligroso. Cualquiera que supiese la respuesta de nuestra pregunta secreta, tendría el control sobre nuestra cuenta de Email (y de seguro luego de otras cosas).
Recomiendo tener mucho cuidado, tal vez sea mejor poner una respuesta 100% ilógica y anotarla en algún papel. Gran parte de los “Juakeos” (Acción realizada por un lammer) de Hotmail son por culta de la pregunta secreta.

Tenga cuidado.

Espero, que este post les abra un poco más los ojos frente a como deben cuidar su identidad en Internet o les haya sido de utilidad para poder prevenirse mejor frente a amenazas.

2 Commentarios
Autor: JaLeRu
Categorias: Computación, Extras, Geek, Noticias, Personal, Tips
Tags: , , ,

JaLeRu Blog vive gracias a WordPress
Entradas RSS y Comentarios RSS.