Archives: seguridad

Las peores passwords de 2014

Como todos los años al comenzar enero son varias las firmas que publican un listado de las peores claves que puedes usar.

En este caso se trata de la lista de SplashData, que basa su listado en la información filtrada de más de 3 millones de usuarios durante 2014.

1.-    123456 (Nº1 desde 2013)

2.-    password (Sin cambios)

3 .-   12345 (Sube 17 puestos)

4 .-   12345678 (Baja 1 puesto)

5.-    qwerty (Baja 1 puesto)

6.-    1234567890 (Sin Cambios)

7.-    1234 (Sube 9 puestos)

8.-    baseball (Nueva)

9.-    dragon (Nueva)

10.-    football (Nueva)

11.-    1234567 (Baja 4 puestos)

12.-    monkey (Sube 5 puestos)

13.-    letmein (Sube 1 puesto)

14.-    abc123 (Baja 9 puestos)

15.-    111111 (Baja 8 puestos)

16.-    mustang (Nueva)

17 .-   access (Nueva)

18.-    shadow (Sin Cambios)

19.-    master (Nueva)

20.-    michael (Nueva)

21.-    superman (Nueva)

22 .-   696969 (Nueva)

23.-    123123 (Baja 12 puestos)

24.-    batman (Nueva)

25 .-   trustno1 (Sube 1 puesto)

Recordemos algunas recomendaciones sobre el tema de las claves:

1.- Usa claves largas, de 12 o más caracteres, incluye letras números y símbolos.

2.- No uses la misma clave para diferentes servicios, si uno se ve comprometido, el resto también lo estarán.

3.- Usa un gestor de contraseñas de los que ya hablé aquí hace tiempo,  podrás permitirte usar claves más seguras y largas que las que un cerebro normal es capaz de retener.

 

#BOFHers Herramientas para Google Chrome

Inspirado en este post sobre herramientas para Iceweasel/Firefox del gran Daboblog os comparto las herramientas/plugins que uso en Google Chrome y que os pueden resultar útiles para detectar problemas y valorar la seguridad de las páginas web que visitáis.

plugins

 

Voy a dividir en dos las herramientas, por un lado las de uso general y luego las especializadas en información, seguridad y de apoyo al pentesting.

Uso General

Do Not Track Me

Muy útil si nos os gusta ser rastreados por los múltiples servicios para anunciantes que hay disponibles. Un pellizco más de privacidad en un mundo donde cada día se diluye más este concepto.

AdBlock

No confundir con AdBlock Plus, este no muestra ni la publicidad no invasiva como el otro. Muy efectivo en páginas de torrents.

TamperMonkey

Un clon de GreaseMonkey, nos permite gestionar scripts de usuario de manera sencilla, activarlos o desactivarlos, importarlos, etc.

He dudado bastante en poner este plugin, mal usado puede resultar peligroso para el usuario.

Hay scripts como SaveTube que nos pueden servir de ayuda para descargar vídeos y audios de Youtube, Vimeo, IMDB, etc.

SaveTube añadiendo un desplegable para descargarnos un vídeo en diferentes formatos y resoluciones

SaveTube añadiendo un desplegable para descargarnos un vídeo en diferentes formatos y resoluciones

Otros como Green SSL Password Field que nos avisan cuando un formulario con un campo de tipo password se va a enviar a través de una conexión cifrada SSL.

Formulario con campo de clave enviado a través de HTTPS

Formulario con campo de clave enviado a través de HTTPS

 

Otro formulario idéntico pero que no usa HTTPS para enviar los datos cifrados.

Otro formulario idéntico pero que no usa HTTPS para enviar los datos cifrados.

Y luego auténticos fakes como Salesforce Field Security Profile Helper, que suena muy bien, está orientado a un usuario con un perfil más de ventas que técnico, y que en realidad se trata de un script para hacer «Me gusta» en tu nombre cuando accedas a tu cuenta de Facebook desde el navegador.

Antes de instalaros un script, a falta de tener conocimientos para ver que hace el código fuente, elige aquellos que tengan bastantes revisiones y buena puntuación en la web de UserScripts.

Uso Profesional

HTTP Headers

Visualiza de manera rápida las cabeceras que devuelve el servidor web de la página que estás visitando.

Edit This Cookie

Permite visualizar las cookies de una web y variar su contenido. Muy útil para evaluar como manipula una web los datos que recibe a través de las cookies que envía el navegador web del usuario.

Os sorprendería saber cuantas webs confían en los datos recibidos y no los sanean, algunos incluso los usan para generar consultas en la base de datos, por lo que son vulnerables a ataques de inyección de SQL.

Wappalyzer

Realiza un análisis de las tecnologías web que usa la página que estamos visitando, desde el CMS (Joomla, Drupal, WordPress) a Google Analytics, JQuery, PHP, Python… detecta más de 500 tecnologías y servicios diferentes.

Web Developer

Del mismo autor que el conocido plugin para Firefox. Es un conjunto de utilidades que nos permiten manipular la web, diseño, formularios, cookies, etc.

Form Fuzzer

Para realizar Fuzz Testing en formularios.

Proxy SwitchySharp

Permite crear perfiles de Proxy y cambiar entre ellos de manera sencilla. Muy útil cuando tienes que hacer pruebas con ZAP, MitM Proxy, etc.

Cache Killer

Para limpiar la caché de Chrome antes de cargar una página.

XSS Rays

Scanner XSS, herramienta de ingeniería inversa, etc.

WebSecurify

Conjunto de utilidades para testear la seguridad de sitios web. Dispone de varios plugins gratuitos y muchos más de pago porsubscripción (los más interesantes).

Port Scanner

Plugin para escanear los puertos del servidor que aloja la web que estamos visitando.

HPP Finder

Testea si la web y sus formularios son vulnerables al HTTP Parameter Pollution. Más información sobre HPP en este post de Chema Alonso.

IP Address and Domain Information

Completa información sobre la IP, proveedor y dominio de la web que visitamos.

ModHeader

Manipulación de las cabeceras que se envían al servidor.

Algunas funciones están repetidas, como la manipulación de cabeceras y cookies en diferentes plugins… Confieso que es por vagancia ya que unos son más rápidos de usar que otros (Web Developer) aunque sean menos completos.

Nota: El uso de estas herramientas no debe substituir nunca una buena auditoría de seguridad de vuestras webs y de los servidores en las que están alojadas.

De Whatsapp a Telegram, salir de la sartén para caer en las llamas

Facebook compra Whatsapp, le gente se pone en modo on fire en las redes sociales y todos en manada cambiando a Telegram, que visualmente es una copia de Whatsapp pero esta promete cifrado fuerte de los datos, que siempre va a ser gratuita, que…

Whatsapp prometía que no iba a poner publicidad en su aplicación ni a comerciar con sus usuarios, $42 por usuario le ha pagado Facebook con la promesa de que la empresa se mantendrá independiente… será interesante ver cómo lo hacen, a $1 al año por usuario (sin contar que sigue existiendo gente que lo tiene gratis) hablamos de que van a facturar $400 millones anuales (descontad gastos, impuestos, etc), una cifra muy lejana a los $19.000 millones por los que se ha vendido, $4.000 millones en dinero y el resto en acciones de Facebook.

Facebook no es una ONG, vive de la publicidad y esta se alimenta de su base de usuarios, sus completos perfiles de gustos personales que ellos mismos generan pulsando los «Me Gusta», compartiendo enlaces, etc.

Las condiciones de la compra y  esa presunta libertad para Whatsapp es algo que queda en el ámbito privado de estas dos empresas, de algún lado recuperará FB esta inversión, cruzando perfiles de FB con los de Whatsapp, números de teléfono, email, geoposición, relaciones entre usuarios. El Big Data haciéndose más y más «big».

¿Es Telegram la solución?

Respuesta corta: No

Respuesta larga:

1.- Telegram pertenece a Pavel Durov, el «Zuckerberg ruso», creador de la red social más conocida del este de Europa, VK, al que algunos recordamos como el imbécil ese que tiraba dinero por la ventana hasta que hubo heridos.

Emprendedor millonario y anarcocapitalista (no puedo evitar soltar una risa cada vez que leo esta palabra) tiene un modelo de negocio similar al de Facebook, una red social con un diseño plagiado de FB al igual que Telegram plagia a Whatsapp.

Que Telegram vaya a ser gratuito siempre no me cabe duda, es una extensión más de su red social (que ya está traducida a varios idiomas, incluyendo el español) que le permitirá captar usuarios, perfiles, etc. para mejorar la experiencia de los publicistas y los beneficios obtenidos por su empresa.

Recordad esta máxima, cuando el producto que usas es gratuito, es que el producto que se vende eres tú.

Mantener una estructura de servidores, comunicaciones y personal para mantener un servicio como Telegram cuesta mucho dinero, y no siendo el servicio de una ONG sino de una red social, el dinero no saldrá de donaciones, sino de lo que paguen los publicistas por los completos perfiles de usuario y la publicidad enfocada a los gustos de cada uno.

Que comercie con los datos un americano capitalista o un ruso capitalista imagino que es cuestión de gustos personales, los míos pasan por no tener cuenta en FB, VK, Whatsapp o Telegram, si no me quedase más remedio me decantaría por los americanos por algo tan simple como la aceptación de las directivas europeas de protección de datos mediante Safe Harbor.

Rusia tiene varias decenas de leyes donde se habla de protección de datos privados, pero no son aplicables en el mundo real ante la falta de procedimientos judiciales que fuercen el cumplimiento de las mismas. Si habláis con alguien que haya trabajado allí en estos temas os contará historias sobrecogedoras de la falta de privacidad real.

Y sí, seguramente la CIA está detrás de FB, y el FSB ruso detrás de VK, y el CNI español detrás de… Lo cierto es que el cifrado de las comunicaciones de Whatsapp es tan ridículo que la CIA o la NSA no necesitaban que FB se gastase $19.000 millones para tener acceso a las comunicaciones de sus usuarios.

Existen alternativas con modelos de negocio diferente, Viber (Viber no es una alternativa) que vende llamadas voip a teléfonos tradicionales a bajo coste, Line que vende stickers, objetos en los múltiples juegos que oferta asociados a su programa de mensajería y cobra por las cuentas oficiales de famosos y empresas en su sistema… No hay más que rebuscar un poco por la red para entender como se mantiene cada uno de estos servicios, a quien pertenecen, etc.

2.- La seguridad. Lo cierto es que quienes usaban Whatsapp no estaban demasiado preocupados  por la seguridad de sus comunicaciones, así que esto tampoco va a ser un problema, Telegram tampoco es seguro, aunque vende la moto de que sí lo es.

Viendo el esquema del sistema criptográfico que usan surgen las primeras dudas de como están implementando toda la estructura de la aplicación para proteger los mensajes que circulan por ella.

Buscando información se pueden encontrar preocupantes conversaciones como esta en YCombinator entre un miembro del equipo de Telegram y un experto como Moxie, donde el miembro de Telegram muestra la ignorancia sobre criptografía que tienen, el uso de sistemas fallidos allá por los años 70…

Hay más análisis sobre la criptografía usada por Telegram y que sus miembros no tienen formación en criptografía.

El problema es la falsa sensación de seguridad que muchos usuarios están mostrando en las redes sociales.

Alternativas para tener seguridad real en las comunicaciones en diferentes plataformas es el uso de clientes de Jabber con la extensión OTR para cifrar las conversaciones entre pares, Pidgin, Chatsecure en plataformas móviles; Redphone y Textsecure para proteger llamadas voip y SMS, etc.

3.- A mi no me veréis en ninguna de estas dos aplicaciones ni redes sociales.

Aunque ambas tienen o acabarán teniendo mis datos personales sin mi consentimiento gracias a aquellos que me tengan en su agenda de contactos, se den de alta en alguna de estas apps y carguen su agenda para que el sistema les añada de manera rápida y cómoda a los contactos que también estén usando sus servicios.