Evitando Spammers

Xonico (Cz) ha publicado unos buenos consejos para “mantenernos a salvo” de los spammers

 

Una de las causas por las que recibimos spam en nuestros correo, son por las registraciones indiscriminadas que hacemos en sitios que no son de confianza, algun robot que tomo nuestro correo de una pagina personal, algun spammer que se encargo de extraer mails de cadenas o fordwards, y otros casos que aveces son inevitables.

Registrarse en un sitio que no es de confianza implica que empecemos a recibir spam del mismo sitio, o bien de algun spammer al cual llego a la base de datos del sitio.
Una manera cómoda y rápida para evitarlo, es utilizar Bugmenot, un sitio donde se comparten usuarios y contraseñas para miles de sitios que requieren registro previo para acceder.

http://www.bugmenot.com

En el caso que no porder acceder mediante bugmenot podemos hacer un registro con alguna cuenta de correo temporal, existen muchas para hacernos mas facil y rapido los registros

Generalmente utilizo spam.la, pookmail, mailinator que últimamente debido a su popularidad los sitios detectan que es una cuenta temporal.
http://www.spam.la
http://www.pookmail.com
http://www.mailinator.com
http://www.spamcero.com ( enviado por Julius )

Cuando nos estemos registrando en la parte de mail, solo debemos poner algún nombre que se nos ocurra @spam.la, o @mailinator.com
(ejem: nicolas@spam.la ) una vez que terminamos el registro solo debemos entrar al sitio www.spam.la y verificar el correo que nos enviaron

Respecto a los webmasters que publican sus correos pueden aplicar algún método de ofuscación para que los robots no puedan recolectar cuentas de mails

- Encubrir nuestro correo mediante una frase entendible al usuario pero no a los robots como “mi correo es xonico y es de gmail”, que aveces no es tan entendible al usuarios o algo como usuario(arroba)gmail(punto)com esteticamente no queda muy bien y un robot podria utilizar expresiones regulares para deducir la dirección.

- Otro método es utilizando codificación html y/o javascript ocultando al robot nuestra dirección pero interpretada por el navegador y visible al usuario
con javascript: http://www.codehouse.com/webmaster_tools/email_obfuscator/
sin javascript: http://www.wbwip.com/wbw/emailencoder.html
de esta manera el usuario vería nuestra dirección: usuario@server.com

- Una opción que suelen utilizar mucho es colocar una imagen

visualmente no queda mal, pero no es accesible si no utilizamos un alternativa en el caso de que no se pueda ver la imagen, que lo podríamos solucionar colocándole a la imagen el atributo alt=”usuario -arroba- gmail -punto- com”

generador de imágenes: http://services.nexodyne.com/email/

- También podemos evitar algunos problemas en nuestros sitios agregando alguna blacklist de robots que son perjudiciales, solo debemos crear un archivo robots.txt y colocarlo en la raíz de nuestro sitio, generalmente es public_html o htdocs

lista negra: http://www.tech-faq.com/lang/es/bad-robots.shtml

- Otra forma es mediante .htaccess que en otro momento explicare.

Artículo original

Compártelo

Tags: Seguridad, Spam

19.mar.08 General, Seguridad Comment (1)

Hackeando a “manos libres” :)

A traves de El Blog de Gospel veo este interesante Video/Articulo que muestra lo facil que puede ser comprometer la seguridad de un dispositivo Manos Libres Auriculares.

La tecnica es apodada “Headsets Hijacking“.

El ataque es sencillo de entender y se desarrolla del mismo modo que el ataque Car Whisperer contra dispositivos Manos Libres de Automóvil. Básicamente…

La primera vez que dos dispositivos Bluetooth intentan establecer comunicación, se utiliza un procedimiento de emparejamiento para crear una clave de enlace común a partir de un código de seguridad Bluetooth (clave PIN), que es requerido a cada dispositivo y que debe ser el mismo para los dos. Posteriormente, cuando los mismos dispositivos se comuniquen, utilizarán la clave de enlace para funciones de autenticación y cifrado.

El hecho de incorporar una clave PIN por defecto (por ejemplo, 0000) en un dispositivo Bluetooth significa que cualquier usuario con conocimiento de esa clave estándar puede emparejarse con el dispositivo y comunicarse con él de forma autorizada. En el caso de un Manos Libres Auriculares, un atacante podría acceder a las funciones de audio implementadas en el terminal y llevar a cabo las siguientes acciones con fines maliciosos:

Capturar el audio recogido por el micrófono del dispositivo

Inyectar audio que sería reproducido por el auricular.

Como bien comenta Josh, es importante que el dispositivo Manos Libres esté activado pero no en uso en el momento del ataque, es decir, que no esté cursando una llamada telefónica.

Para llevar el ataque, Josh hace uso de tres elementos importantes:
- La herramienta Car Whisperer del grupo Trifinite, para Linux.
- Una antena unidireccional para incrementar el alcance del adaptador Bluetooth y detectar dispositivos a mayor distancia.
- Una Tablet PC Nokia 770, que corre sobre Linux, para controlar el portatil de su mochila de forma inalámbrica y pasar desapercibido mientras lleva a cabo el ataque.

Realmente hace un poco el paripé ya que el ataque podría ser desarrollado perfectamente desde la Tablet PC Nokia 770 si la herramienta Car Whisperer estuviera portada a Maemo, la plataforma de desarrollo de las Tablet PC de Nokia con Linux, al igual que otras herramientas del grupo Trifinite.

Video:

(Y)

Compártelo

Tags: Hacking, Seguridad

28.sep.07 Seguridad Comments (0)

BackTrack 2

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general.

Deriva de de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX.

Ya está disponible Backtrack 2, que integra diversas novedades realmente interesantes, especialmente por lo que respecta al soporte de tarjetas inalámbricas. Pero veamos la lista de los principales cambios:

• Kernel actualizado a la versión 2.6.20
• Soporte de tarjetas wireless con chip Broadcom
• La mayoría de drivers wireless soportan inyección de paquetes
• Integración de Metasploit2 y Metasploit3
• Menús rediseñados para un uso más sencillo

Lista de Herramientas incluidas en la distro:

• http://backtrack.offensive-security.com/index.php?title=Tools

Descarga:

• http://www.remote-exploit.org/backtrack.html

Compártelo

Tags: GNU/Linux, Hacking, Seguridad

12.mar.07 GNU/Linux, LiveCd, Seguridad Comments (0)

Secretos imperfectos

CARLOS SARRAUTE, MATEMATICO

Secretos imperfectos

Junto a la teoría de las probabilidades, la criptografía es una de las caras concretas de la matemática. Sus principios se aplican cada vez que alguien envía un e-mail, compra por Internet y a la hora de proteger de ojos curiosos la privacidad y la confidencialidad.

Por Federico Kukso

Puede que el escritor Dan Brown la haya puesto en boca de todo el mundo con sus best-sellers conspirativos, paranoicos y previsibles. Puede que se la asocie siempre con secretos y acciones bélicas, con el ocultamiento de la verdad, con la astucia, el ingenio y la perspicacia de las “mentes brillantes”. Pero lo cierto es que la criptografía, una de las tantas aplicaciones prácticas de la matemática, como la teoría de las probabilidades, forma parte de la cotidianidad mucho más de lo que se cree. Sus principios se aplican cada vez que alguien manda un mail, compra alguna chuchería por Internet o que algún impávido se pretende aferrar hasta más no poder a la confortable idea de privacidad, como bien lo explica el matemático Carlos Sarraute.

–Empiece contándome a qué se dedica.

–Trabajo en el laboratorio de investigación de Core Security Technologies, donde estudiamos cosas de criptografía, ataques informáticos y seguridad de la información.

–¿Core Security Technologies?

–Sí. Es una empresa de seguridad informática que, entre otras cosas, tiene un producto llamado “Core Impact” para hacer “test de intrusión” o penetration test.

–Y eso es…

–… un servicio de consultoría que una compañía contrata para testear la seguridad de sus redes informáticas. El test consiste básicamente en atacar la red y ver si lográs meterte en alguna máquina, acceder a archivos, robar información. Es algo así como buscar alguna vulnerabilidad interna.

–¿Y usted a qué se dedica en particular?

–Yo trabajo en varios proyectos, como por ejemplo modelar ataques: tanto modelar al atacante como la red atacada. Es una simulación de alto nivel para ver cuál sería el camino más conveniente para un atacante que pretenda maximizar sus intentos de meterse en las computadoras de una empresa.

–Sería algo así como pensar cómo lo haría un hacker.

–Exacto. El punto de vista siempre es el del atacante. La idea es poder usar eso después para una defensa. Ver por dónde se metería el atacante, cuáles son los caminos más críticos para mejorarlos. De hecho, el servicio de consultoría es como un ataque real. Una empresa contrata el servicio, pero no avisa a sus trabajadores para testear también los mecanismos normales de defensa de su infraestructura. Un sistema se considera seguro si resiste a los ataques.

–Se parece a las simulaciones de incendio, donde la gente no sabe si es una simulación o un incendio real.

–Y… sí.

–¿Y eso qué tiene que ver con la matemática?

–Mucho. Es matemática aplicada. El contacto más común que tiene la gente con las matemáticas consiste en entenderlas como algo medio abstracto, como si nadie supiera bien para qué sirven. Pero de hecho sirven mucho. Es más, muchas teorías abstractas surgen de intentar resolver problemas concretos. Para no ir más lejos, la aritmética partió de la idea de contar elementos, la geometría, de medir campos para la agricultura. Y hay otros dos casos que rozan más lo concreto que lo abstracto: la criptografía y la teoría de las probabilidades.

–Cuénteme eso.

–Hay una historia muy interesante que tiene como protagonista al noble francés Chevalier de Mére, que en 1654 inventó un juego que consistía en tirar un dado cuatro veces y, si en alguna de las tiradas salía un seis, ganaba. El asunto es que efectivamente terminaba ganando siempre y ya los amigos de la corte no querían jugar más. Hasta que inventó otro juego que se basaba en sacar doble seis en veinticuatro tiradas. Y ahí empezó a perder. Consternado, le pidió a Blas Pascal que lo ayudara a estudiar las probabilidades de éxito o fracaso en ciertos juegos de azar. Fue pensando en estos problemas de dados que empezó a desarrollarse la teoría de las probabilidades que ahora se usa prácticamente en todos los campos. Recién en el siglo XX, un matemático ruso, Andrei Kolmogorov, formalizó la teoría.

–La sacó del mundo de los dados…

–Sí, y le dio la forma con la que se la enseña ahora.

–¿Y la criptografía?

–La criptografía es una de las herramientas de base para la seguridad informática. Es la que provee todos los bloques básicos para encriptar mensajes, proveer confidencialidad. Los puristas llaman criptografía a lo que tiene que ver con fabricar código; criptoanálisis, a las técnicas para romper códigos; y a la disciplina que engloba a los dos, criptología. Pero todo el mundo usa la palabra criptografía. Una pequeña definición podría ser “el estudio de las comunicaciones en presencia de adversarios”. Introduce los términos principales: gente que busca comunicarse en un ambiente hostil, donde se quiere o espiar las comunicaciones o meterse en el medio y falsear los mensajes.

–¿Le parece que la mayoría de las personas sigue pensando con los mismos conceptos del correo habitual?

–Así es. Los mails antes de llegar a destino pasan en el medio por docenas de servidores y de personas que los puede leer tranquilamente. Lo curioso es que hay muchas herramientas gratis para encriptar mails y, sin embargo, la mayoría del mundo los manda como texto plano.

–Como también ocurre con los mensajes de texto.

–La criptografía tiene una historia muy antigua. El primer cifrado conocido es el de Julio César, que era sumar a cada letra tres: la A se reemplazaba por D, la B por E… y así. Hasta el siglo XX todos los sistemas de cifrado estaban basados en letras. Uno de los que se usó por más tiempo fue el de sustitución: agarrar una letra y reemplazarla por otra, o por un símbolo.

–Y el boom ocurrió en la Segunda Guerra Mundial con la máquina de cifrado alemana Enigma, Alan Turing y los intentos de romper los códigos nazis. Todo esto habla mucho de la importancia de la comunicación como un factor desestabilizante, ¿no?

–Exacto. Uno de los objetivos de la criptografía es la confidencialidad. Poder comunicarse en forma segura sobre un canal inseguro. Por el desarrollo de Internet es una necesidad básica. También tiene que ver con proteger la privacidad de la gente. Fácilmente puede haber sistemas a la escala del Estado registrando todos los mails de los ciudadanos buscando palabras clave.

–Como la famosa red de espionaje norteamericana Echelon.

–Si uno quiere tener comunicaciones privadas tiene que encriptarlas.

–¿Hay algún código que no pueda ser descifrado?

–Sí. Es algo que estuvo estudiando Claude Shannon durante la Segunda Guerra Mundial. Pensó cómo sería un sistema que resista a cualquier atacante incluso si tuviera poder de cómputo y tiempo infinito. Llegó a la conclusión de que la clave tiene que ser tan larga como el mensaje. En la práctica mucho no sirve, pero da un límite teórico a lo que se puede hacer. El sistema se llama one time pad y se usó durante la Guerra Fría entre Washington y el Kremlin.

–¿Cree que se puede legislar sobre estos asuntos?

–En la Argentina no hay mucha legislatura en cuanto a seguridad informática, pero en Estados Unidos es terrible. No sólo prohíbe meterse en la red de alguien y robarle información, sino que prohíbe hacer lo que se conoce como “ingeniería inversa” de productos comerciales.

–¿Cómo es eso?

–La ingeniería inversa es cuando agarrás un programa, o sea una serie de códigos para la máquina, y lo empezás a interpretar. Te dan un programa y no tenés derecho a analizarlo. Es como si te dieran una máquina y te prohibieran abrir la tapa para ver cómo funciona por dentro. Es una de las formas que encontraron para poder reforzar medidas de seguridad y de protección de contenido digital; como no pueden encontrar la manera de resolverlo técnicamente, ponen leyes que prohíben directamente mirar lo que tienen “adentro”.

–De ahí surge toda la filosofía del software libre con Linux a la cabeza.

–Así es.

–La idea de privacidad también cambia. Es como si uno se estuviese manejando con ideas viejas. Hay una ilusión de privacidad.

–Es un tema recurrente en seguridad informática que, cuando tenés una ilusión de seguridad o de privacidad, es mucho peor. La sensación de seguridad hace también que el trabajo de uno se vuelva más inseguro.

–Bueno, pero uno no puede vivir con una sensación de inseguridad permanente.

–No, pero digamos que la gente que trabaja en seguridad informática es bastante paranoica…

Compártelo

Tags: Lecturas, Seguridad

06.jul.06 Lecturas, Seguridad Comments (0)

SecureDVD LiveDVD con los 10 mejores LiveCD de seguridad

SecureDVD es un LiveDVD que contiene los 10 mejores LiveCD de seguridad.(Pen-Test, Forensics & Recovery).

1. BackTrack 1.0
2. Operator v3.3.20
3. PHLAK v0.3
4. Auditor v200605-02 (no-ipw2100)
5. L.A.S. Linux – Local Area Security v0.5
6. Knoppix-STD v0.1
7. Helix v1.7
8. F.I.R.E. v0.3.5
9. nUbuntu vFlight 6
10. INSERT Rescue Security Toolkit v1.3.6

• BackTrack. Distribución bastante modularizada basada en SLAX, conteniendo funcionalidades de Whax y Auditor (otras distribuciones) una de las más completas del DVD. Utiliza KDE como entorno de escritorio.

• Operator. Distribución centrada en la seguridad en red. Está basada en Debian y también utiliza KDE.

• Phlack. Contiene muchas aplicaciones dirigidas a la seguridad, así como una intensiva documentación. Utiliza Fluxbox y XFCE4 como entornos de escritorio.

• Auditor. Completa distribución basada en Knoppix, pero más dirigida a la seguridad. Casi cualquier aplicación de testeo o de seguridad en general lo puedes encontrar aquí.

• LAS Linux. Otra distribución basada en Knoppix, esta vez el entorno es Fluxbox.

• Knoppix-STD. Completísima colección de aplicaciones de seguridad, sus paquetes se cuentan por millares. Utiliza FluxBox.

• Helix. Otra Knoppix-based, especialmente dirigida a reparar daños y/o datos, se podría decir que actúa como “forense”. Con XFCE4.2 y una gran cantidad de documentación sobre seguridad.

• Fire. Otra distribución “forense”: recuperación de datos, escaneado de virus y vulnerabilidades. También incluyen binarios listos para ejecutar desde cualquier otra distro de Linux, Windows o Sparc Solaris.

• nUbuntu. Versión de Ubuntu centrada en la seguridad, a la cuál le han quitado aplicaciones de escritorio como OpenOffice o Evolution. También reemplazan Gnome por Fluxbox.

• Insert. Otra pequeña (60 megas) distribucion con muchos programas relativos a la seguridad y al mantenimiento, también incluyendo interfaz gráfica gracias a fluxbox.

Descarga:

• Torrent

Pagina Oficial

Compártelo

Tags: GNU/Linux, LiveCd, Seguridad

02.jun.06 GNU/Linux, Seguridad Comments (0)

Nuevo número de [IN]SECURE Magazine

Acaba de publicarse el número 6 de esta revista, con los siguientes contenidos destacados:

• Best practices in enterprise database protection
• Quantifying the cost of spyware to the enterprise
• Security for websites – breaking sessions to hack into a machine
• How to win friends and influence people with IT security certifications
• The size of security: the evolution and history of OSSTMM operational security metrics
• Interview with Kenny Paterson, Professor of Information Security at Royal Holloway, University of London
• PHP and SQL security today
• Apache security: Denial of Service attacks
• War-driving in Germany – CeBIT 2006

Libre descarga:

• (IN)SECURE Magazine

Compártelo

Tags: Lecturas, Seguridad

31.mar.06 Lecturas, Seguridad Comments (0)

Los 10 mejores LiveCD de seguridad

Via

Compártelo

27.mar.06 Seguridad Comments (0)

Actualizaciones Windows en CD

Este archivo de imagen de CD ISO-9660 contiene todas las actualizaciones de alta prioridad y de seguridad para Windows publicadas en Windows Update hasta el 14 de febrero de 2006. Imprescindible para administradores y sufridores del Windows Update que tienen que realizarlo a menudo en muchas máquinas.

- Más Información y descarga

Compártelo

19.mar.06 Seguridad, Windows Comment (1)

Man in the Middle Proxy

Anteriormente había hablado sobre como interceptar cabeceras HTTP con Burp Proxy.

Man in the Middle Proxy (MITM, u Hombre en el medio): Son aplicaciones para interceptar, analizar y modificar el tráfico HTTP y HTTPS entre el server y el cliente (browser), incluyendo cookies, formularios, user-agent, etc.

Windows:

• Fiddler
• TamperIE (plugin IE)
• Odysseus

Comercial:

• Webproxy (descontinuado)
• Burp Tools
• HttpWatch (windows, IE plugin)

Compártelo

08.mar.06 Aplicaciones, Seguridad Comments (0)

Interceptando Cabeceras HTTP con Burp Proxy

Burp Proxy es un proxy man in the middle, sirve para atacar y analizar aplicaciones basadas en web, con la posibilidad de interceptar, modificar e inspeccionar el tráfico entre el navegador y el sitio web.

browser <---> proxy <---> server

No necesita instalación, solo necesitamos tener Java instalado y correr el script “proxy.bat” o ejecutarlo manualmente con la linea “java -jar -Xmx256m burpproxy_v1.3.jar”.

Por ultimo tenemos que configurar nuestro Browser, por ejemplo en Mozilla-Firefox “Herramientas–>Opciones–>General–>Configuración de conexión” tildar “Configuración manual de proxy” y poner el host local como Proxy HTTP, 127.0.0.1 puerto 8080.

En Internet Explorer “Herramientas–>Opciones De Internet–>Conexiones–>Configuracion de LAN” Tildar “Utilizar un servidor porxy para su LAN”. Poner el host local como Proxy HTTP, 127.0.0.1 puerto 8080.

A partir de ahora todas las peticiones Http que haga el Browser, seran interceptadas por BurpProxy. Esto es muy util para modificar las cabeceras http, ya sea falseando el User-Agent, las cookies, pasar o modificar variables que pasen por la cabecera O_o, y demas cosas que dejo a su imaginación.

Compártelo

21.feb.06 Seguridad Comments (3)