contraseña

Todas las entradas etiquetadas como contraseña

Roba contraseñas de Chrome mediante una extensión

Publicado por sh4r3m4n el 5 octubre, 2012
Publicado en: Client-Side, Hacking General, Programación, Red local, Red remota, Seguridad, Software Libre, Web. Etiquetado: , , , , , , , , . 7 comentarios

En los navegadores basados en Chromium, en los que se incluye el conocido Google Chrome, se incluye la posibilidad de incluirles extensiones creadas por los usuarios, que permiten complementar las funciones del navegador. Hace unos meses publiqué las que yo tenía instaladas dedicadas a la seguridad.

Cuando desarrollamos una extensión, tenemos la posibilidad de hacer que se inyecte un código Javascript o CSS en todas las páginas que queramos. Esto puede ser aprovechado por una atacante, y es lo que voy a mostrar hoy.

Vengo a hablar de chrome-pass-stealer, una extensión libre y de código abierto que, al ser instalada, nos envía todas las contraseñas que introduce la víctima a un servidor remoto que tenemos configurado de antemano.

Este es un video que muestra la instalación del servidor atacante, la empaquetación a CRX y el funcionamiento del complemento:

Espero que esto concientice a los usuarios, y que no instalen cualquier extensión que vean. Como acabo de demostrar, es muy sencillo hacer algo maligno, y si el usuario no toma las precauciones necesarias pordría recibir un ataque.

Uno de los casos más conocidos fue el de la extensión de Cuevana para Firefox, un sitio para ver series y películas online, sin necesidad de descargarlas. Este complemento estaba infectado (según los desarrolladores de Cuevana ellos no tuvieron nada que ver) y robaba cuentas hasta de Paypal.

Recomiendo ver los permisos que tiene cada extensión que instalamos, y verificar que no sean excesivos. Si queremos, por ejemplo, un notificador de Gmail verificamos que solamente tenga acceso a Gmail y no a todas las páginas (esto hace chrome-pass-stealer), ya que es bastante sospechoso.

También recomiendo inhabilitar las extensiones que no necesitemos, o usar el modo incógnito en el que se suelen desactivar temporalmente.

Saludos!

Las medidas simples de seguridad no son suficientes

Publicado por sh4r3m4n el 11 julio, 2012
Publicado en: Client-Side, Hacking General, Local, Red local, Red remota, Redes, Redes, Seguridad. Etiquetado: , , , , , , , , , . Deja un comentario

Al día de hoy es muy importante estar seguro para poder navegar en Internet adecuadamente. Mucha gente cree que por cumplir con unas pocas reglas ya está 100% asegurada (seguridad de contraseñas, antivirus, el «candadito» de HTTPS, etc).

En el post de hoy vengo a aclarar, para los más novatos de la informática, lo incorrecto que esta esto, ya que para estar seguro hay que tomar una gran cantidad de medidas, que todo el tiempo van cambiando según el entorno y el tiempo en donde nos encontramos situados.

Para demostrar esto, voy a dar tres ejemplos de medidas que los usuarios suelen llevar a cabo, creyendo así que estan totalmente protegidos. Luego de estas medidas, muestro como se puede atacar esto, o simplemente la falsedad de esto.

«Le puse contraseña a mi Windows, por lo tanto me aseguro de que nadie puede ver lo que tengo en mi máquina sin introducirla»

Para los que saben de informática es un hecho que las contraseñas de inicio de Windows pueden ser muy sencillas de cambiar, eliminar o evitar, accediendo así a los datos de nuestra víctima.

Además, insertando el disco duro de la máquina víctima en nuestra PC, como esclavo, también es posible ver toda la información del disco, sin precisar ninguna contraseña.

«Para que un punto de acceso inalámbrico sea seguro, este debe tener una contraseña de acceso»

La contraseña del Access Point nada tiene que ver con el nivel de seguridad que tenemos. Lo único que nos garantiza es un acceso limitado y selectivo hacia algunos usuarios. En muchos lugares públicos con solo pedir la clave ya nos la dan.

Igualmente, alguien con conocimientos de fácil manera puede crackear la clave del Wi-Fi, por lo que no necesita la aprobación del administrador o alguien que la sepa para lograr acceder al sistema.

«Estoy seguro porque tengo mi Windows actualizado»

Al actualizar nuestra versión del sistema operativo se suelen corregir ciertas vulnerabilidades que sin la actualización podrían ser aprovechadas por un atacante y obtener información sensible o acceso ilegítimo al equipo.

Si actualizamos podemos corregir algunas de estas vulnerabilidades, pero lo que realmente importa para estar seguros es una buena configuración de la computadora: de nada sirve tener nuestro Windows actualizado si dejamos las configuraciones por defecto, que en muchos casos pueden causar problemas fácilmente solucionables haciendo simples modificaciones en la configuración.

Visto todo esto, está claro que la gente con conocimientos medios debería tener un mayor conocimiento respecto a la seguridad, ya que este no es suficiente para estar seguros.

Saludos!

¿Sirve un gestor de contraseñas?

Publicado por sh4r3m4n el 4 julio, 2012
Publicado en: Client-Side, Hacking General, Local, Red local, Redes, Seguridad, Software Libre. Etiquetado: , , , , , , , , . Deja un comentario

En el post de hoy quiero presentar una opinión personal que tengo sobre los gestores de contraseñas. Estos son programas que le facilitan el tener que recordar contraseñas a un usuario, dado que se suelen tener contraseñas diferentes para cada aplicación. Los mejores gestores tienen la característica de de proteger todas las contraseñas diferentes bajo una misma contraseña, intentando evitar a un atacante hacerse con estas.

Existen una variedad de estos, aunque algunos son demasiado pobres. El que más uso es KeePass, con múltiples características y un buen algoritmo de cifrado. Tiene una interfaz bien sencilla, aunque esto no tiene que ver con sus funcionalidades, ya que estas son muy amplias:

Su funcionamiento es sencillo: el gestor de contraseñas abre o crea una base de datos de contraseñas, y la cifra con contraseña. En esta base de datos se agregan datos de inicio de sesión de diferentes cuentas. Estos datos suelen ser usuario y contraseña, pero se pueden agregar anotaciones, URL, etc. Cuando queremos acceder a un sitio, entramos al gestor de passwords, nos autenticamos en este y obtenemos la información de sesión, o dejamos que el gestor nos la ingrese automáticamente.

Todo esto parece muy bueno, pero la manera en que la usan los usuarios no es la eficiente: mucha gente la usa en computadoras desconocidas, sin conocer los riesgos que esto puede causar, como el robo de información. Siempre se recomienda usar diferentes contraseñas para cada servicio, de una longitud considerable y con un tema abstracto. Según los autores de los programas indicados anteriormente, estos programas nos ofrecen una sencilla solución a estas dos problemáticas. Creo que la segunda la solucionan eficientemente (hay una opción de generar contraseñas complejas), pero la primera es lo contrario a lo que dicen las webs. Sí, podemos tener una contraseña distinta para cada servicio, pero en la mayoría de los casos se usa una única contraseña para toda la base de datos, por lo que si un atacante tiene acceso a esta podría acceder a la base de datos, el dueño de esta se vería muy comprometido.

Me gustaría que quede claro que, aunque no los considere la mejor manera de almacenar claves, esto es mucho mejor que usar una misma contraseña para todos los sitios, ya que el dueño de este sitio o un atacante podría obtenerla y usar la misma para todo. También es importante no usar una contraseña corta o predecible, ya que con unos pocos intentos esta se podría adivinar fácilmente.

Considero seguro usar un gestor de contraseñas teniendo las siguientes precauciones (muy poco cumplidas por lo que me cuentan):

  • Tener múltiples bases de datos y no solo una, guardar las diferentes contraseñas en solamente una de ellas, agrupándolas según el nivel de importancia de la cuenta (no es lo mismo mi cuenta de Gmail que una en un servicio que casi no uso)
  • Para cada una de estas, usar una clave maestra segura. Esta es una buena manera de hacerlo y recordarlas fácilmente
  • Cambiar la contraseña periódicamente, evitando así que si alguien la tiene, ya no le sirva más
  • Acceder siempre desde un lugar seguro a la base de datos, ya que en un equipo inseguro un atacante podría hacerse con las bases de datos y contraseñas
  • Almacenar preferentemente contraseñas de servicios no tan triviales, y las demás recordarlas mentalmente, para asegurar su confidencialidad

En conclusión, los gestores de contraseñas me parecen una buena alternativa para no tener que acordarse tantas palabras y símbolos raros pero, respecto a la seguridad, no me parece la mejor manera de hacerlo a excepción de que se tomen las precauciones vistas anteriormente.

Saludos!

Generando contraseñas seguras mediante un patrón

Publicado por sh4r3m4n el 8 febrero, 2012
Publicado en: Local, Otros, Redes, Seguridad. Etiquetado: , , , . Deja un comentario

Considero a las contraseñas de lo más importante para tener un sistema seguro, ya que de nada sirve tener todas las protecciones posibles en nuestra máquina si tenemos una contraseña que pueda ser adivinada fácilmente. Hoy les comparto un artículo que vi en 21sec donde se explica como es posible generar contraseñas seguras y fáciles de recordar:

1. Vamos a escoger un par de versos de una canción. Para este ejemplo se utilizarán dos  estrofas de una canción de Rick Astley.
Las estrofas dicen así:
«Never gonna give you up
Never gonna let you down»
2. Vamos a seleccionar la primera letra de cada palabra. Quedará así:
NggyuNglyd
3. Ahora sustituiremos alguna letra por un carácter numérico. En éste se van a sustituir la  letra g por 8. Nos queda así:
N88yuN8lyd
4. Como siguiente paso, añadiremos algún símbolo para que la contraseña sea todavía más  segura:
@N88yuN8lyd!
5. Por último, añadiremos al principio o al final las 3 o 4 primeras letras del servicio para el  que estamos creando la contraseña. De ésta manera aunque la base de la contraseña sea la  misma, cambia para cada servicio diferente.
Es importante recalcar que en casos en los que se busque una mayos seguridad habría que  hacer alguna operación sobre las letras que añadimos para identificar el servicio, para que  el método resulte menos llamativo, como por ejemplo sustituir las letras que vamos a añadir  por las siguientes en el alfabeto (o cualquier permutación que dificulte la identificación del  patrón utilizado) aunque es un paso que se va a omitir en este tutorial.
Un par de ejemplos de cómo quedaría la contraseña según el servicio.
En una cuenta de google: @N88yuN8lyd!goog
En una cuenta de S21sec: @N88yuN8lyd!S21s
De ésta manera, se obtendrá una contraseña segura para cada servicio.
Es muy habitual que muchos servicios ofrezcan un servicio de recuperación de contraseñas mediante preguntas y respuestas (que decidimos al registrar el servicio). Una costumbre muy recomendable es que la respuesta que se dé a esas preguntas, no tenga ninguna relación con la pregunta ya que es relativamente fácil ( y hoy en día más aún con el auge de las redes sociales) obtener respuestas a preguntas típicas como el apellido de soltera de nuestra madre, colegio en el que estudiamos… etc.
Si se cumplen todos estos consejos, obtendremos una contraseña robusta que permitirá incrementar nuestra seguridad.
Saludos!