31.8.07

Passwords Seguros

No es la primera vez que escribo del tema, ni será la última. Muchos saben que el tema de la seguridad y en especial el tema de los passwords seguros son mis temas preferidos. Además "el hilo se corta por lo más fino" y, en seguridad "hogareña" ese el punto más debil. He conocido casos donde el password era el nombre del hijo del usuario, o el nombre de su mascota, o su fecha de nacimiento, o alguna secuencia de números muy elegida o muy facil.
Hasta hace unos pocos años usar un password de 8 ó 9 dígitos nos garantizaba un alto nivel de seguridad, tal era así que muchos sitios que nos pedían palabras claves, nos permitían un máximo de seis dígitos y un mínimo de tres o cuatro. Ahora un password de seis dígitos es impensable, y se piden passwords de 15 ó 16 dígitos para considerarlo seguro.

Cada vez que elegimos una palabra clave no podemos escapar al hecho de que lo elige nuestro cerebro, por lo que se haya conectado con nosotros de una manera íntima e inseparable. Cada palabra o número que elijamos estará conectado con recuerdos, datos o con nuestra historia, aunque no nos demos cuenta... Por lo tanto podría ser descubierto o quebrado por alguien que nos conozca, y cuanto más nos conozca peor.
Para que un password esté totalmente desconectado de nosotros debería ser elegido, o bien por otra persona (que lo cargará con su "historia") o por una máquina o software. Existen programas para crear passwords seguros pero, personalmente, pienso que es inútil usarlos si podemos evitarlos.

Hace ya muchos años "inventé" una forma para crear mis passwords y poder recordarlos, y que a la vez estuvieran totalmente "desconectados de mi cerebro" y de todos los pensamientos que han pasado y que pasarán. Es simple, todos lo pueden hacer.

1- Creamos 10 ternas (a) de letras y números; una letra y dos números, o dos letras y un número; usando mayúsculas y minúsculas alternadamente, lo más aleatoriamente posible, en forma casi desordenada; y sin repetir letras o números (en realidad se puede hacer pero dificultará recordar las ternas). Por ejemplo:

2Pd 9xG 5Qa V1h c6M YL0 B3i t4K rN8 7wS

2-Ahora a cada terna le asignamos un número:

1= 2Pd 2= 9xG 3= 5Qa 4= V1h 5=c6M

6= YL0 7= B3i 8= t4K 9= rN8 0= 7wS

En este punto tendremos ternas de números y letras "totalmente" imposibles de relacionar con nuestra historia. Ninguno de nuestros recuerdos o datos se puede conectar con estas ternas extrañas.

3- Ahora pensemos en un número de tres cifras, por ejemplo el "369" (b) (c). Lo transformamos con las ternas formadas anteriormente, de modo que tenemos:

3= 5Qa 6= YL0 9= rN8 o sea que "369" será: 5QaYL0rN8 un password bastante seguro

De la misma manera eligiendo un número de 5 dígitos obtendremos un password de 15:

"25631" será: 9xGc6MYL05Qa2Pd realmente seguro.

4- La idea es hacer tarjetas con estas ternas de un lado y con el número correspondiente del otro (yo las hice). Entonces elijo un número, coloco las tarjetas, las doy vuelta y tengo mi password. Ya no importa el número que elija, el password seguirá siendo seguro. Con el tiempo nuestro cerebro recuerda las ternas y se hace más fácil recordar todo el password, que resultará una barrera interesante para los amigos de lo ajeno.
En algún post anterior (más de uno) hablé de este método que fue calificado por un lector como "conflictivo"... Reconozco que más que conflictivo es complicado, pero está bueno... porque resulta.-


Referencias:
a- Elegí ternas porque para nuestro cerebro es más facil recordar ternas que grupos de 4.

b- Un número muy elegido como password en todo el mundo, sobre todo en tarjetas de crédito al combinarse con un cuarto, por ej. 1369; 0369; 3690.

c- Hacer la prueba de ponerse a escribir números en una hoja de papel hasta que ya no quepan más, lo más rápido posible y sin pensar. Veremos que algunos números se repiten. Yo los llamo los favoritos inconcientes; esos son los que recordamos con mayor facilidad, y los que generalmente la gente usa para sus passwords.

20.8.07

1 - Copias "piratas" de Windows Vista

Hoy voy a subir dos posts de una sola vez, pero como quiero que éste quede arriba, voy a hacer las cosas al revés: primero el segundo, y luego el primero...

Copias "piratas" de Windows Vista

¿Quien no ha deseado alguna vez tener una copia del flamante Windows Vista por muy poco dinero, o si fuera posible gratis. Todos sabemos que Windows Vista no es "freeware" como tampoco lo fueron Windows XP o Windows 98 y tantos otros, pero también sabemos que mucha gente, y a veces nosotros mismos, hemos "usado" alguna copia "pirata" (o "tuneada" como el Windows UE) de algún software, pagando muy poco.
Con Vista el secreto está en la activación, ya que el software propiamente dicho se puede descargar de la red (Internet) muy facilmente. Entonces, nada más buscado que algún truco que nos active nuestra copia "ilegal" en forma gratuita. Tal es el caso del "Windows Vista all versions activation 21.11.06.exe" que se puede conseguir facilmente, pero que es, nada más ni nada menos que, un hermoso troyano denominado "Trojan-PSW.Wind32. LdPich.aze" que puede obtener información confidencial del sistema como las mismas contraseñas.
Habrá que esperar mucho hasta que aparezcan, para desgracia de Bill y su pandilla, versiones "gratuitas" en Internet del nuevo Sistema Operativo; pero por ahora habrá que pagar nos guste o no.-

2 - SPLOGS = Spam & Blogs

Está comprobado y casi demostrado que para hacer dinero, o para que otros lo hagan con el nuestro, no hay límites de ningún tipo, sólo el que nos da nuestra imaginación. Siempre aparece algo novedoso que hace que alguien gane algunos pesos extras. Es el caso de los Splogs, una extraña mixtura entre SPAM y BLOGS que consiste en posts que comentan muy favorablemente las cualidades de algún producto o en comentarios subidos estratégicamente en blogs específicos, a cambio de algún dinerillo.
PayerPost y ReviewMe son dos empresas que pagan al usuario (o a un blogger) por escribir comentarios en blogs sobre determinados productos. Al parecer, la gran firma SONY también se ha servido de los splogs para alabar las excelencias de lagunos de sus productos, a cambio de unos pesos para el blogger.
¿A quién se le habrá ocurrido esta genialidad? Por favor, no digan que fue a un argentino...

5.8.07

Diccionario de Malware

Hace algunos años solo se hablaba de virus cuando uno se refería a ordenadores que no andaban bien o se ponían "locos"; los más expertos usaban el término "virus informático" para aclarar que no eran los mismos que atacaban a las personas (había gente que así lo pensaba) y así marcaban la diferencia entre unos y otros: los que sabían y los que no. Pero con el correr del tiempo se fueron agregando a nuestro vocabulario otros términos, como "spyware", "adware", "gusanos", "troyanos", y así de los decían saber quedaron la mitad... Hoy el término "malware" no solo está de moda sino que también sirve para agrupar a todas las calamidades informáticas que nos acechan. Aquí va un breve resúmen (incompleto, por supuesto) de muchas de las amenazas o "threats" que nos acompañan o acompañaron:

Virus: El término "virus" es utilizado por la gran mayoría de la gente para nombrar a todas las amenazas que encontramos para nuestra PC, las que vienen por Internet y las que no, sin embargo los virus son solo una de ellas. La razón de esta confusión radica en que los virus están entre las primeras amenazas conocidas, y recién en los últimos años han aparecido nuevas en gran cantidad. A través del tiempo los virus han cambiado y se han perfeccionado, al punto que han derivado en la aparición de dos nuevas grandes amenazas, mucho más peligrosas que ellos mismos: los troyanos y los gusanos, cada uno con sus características propias y muy diferentes entre si. Los virus pueden ser clasificados de varias formas, una de ellas es por el tipo de archivos a los que infectan, y otra por la forma que utilizan para propagarse que, en gran medida, está influenciada por el tipo de archivos que infectan.

Virus de Booteo o Arranque: Son aquellos capaces de instalarse en el sector "maestro" de booteo (MBR - Master Boot Record). Estos virus no necesitan alojarse en un archivo para ser ejecutados, ya que se ejecutan cada vez que se inicia el ordenador. Entre ellos tenemos al Michelangelo, al Jerusalem, y muchos de los que corrían bajo DOS.

Virus de Archivo: Son capaces de copiarse dentro del cuerpo de algunos archivos, agregándose al código, y ejecutarse cuando el archivo infectado se ejecuta. Son lo más parecido a los virus biológicos, dado que la forma de mantenerse "vivos" y reproducirse es similar. Entre ellos el conocido Chernobyl.

Macrovirus: Malware escrito con macros para infectar documentos. Son capaces de infectar solo archivos de Word o Excel en sus comienzos, y en la actualidad archivos de Powerpoint, Access, Autocad y otros, que por mucho tiempo parecieron seguros, los Virus de Macro, como se los llama, todavía siguen vigentes. Entre ellos el Melissa que tiene características de gusano y virus de macro; y el viejo y antiguo Laroux, que luego de varias mutaciones sigue infectando ordenadores.

Adware: software que durante su funcionamiento despliega publicidad de distintos productos o servicios. Éstas aplicaciones incluyen código adicional que muestra la publicidad en ventanas emergenteso a través de una barra que aparece en la pantalla.

Spyware: aplicaciones que recopilan información (principal característica) sobre una persona u organización sin su consentimiento. En general el spyware recolecta datos sobre nuestros hábitos de navegación para que luego la publicidad que nos aparezca esté dirigida a nosotros y apuntando a nuestros gustos.

Backdoors: del inglés "puerta trasera", programa que permite acceder de forma remota a los sistemas infectados y obtener el control de los mismos. Un Backdoor solo abre "la puerta" para que ingresen peligros mayores como gusanos o troyanos. Los más conocidos mundialmente son el BackOrifice y el NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad. Otro muy conocido es el SubSeven, que también se encargó de infectar millones de ordenadores en el mundo.

Worms o Gusanos: programas autoreplicables que no alteran los archivos y se duplican o se autodistribuyen (su principal característica).

Troyanos: programa malicioso que, a diferencia de los virus y gusanos no se autoreplica ni se distribuye por sí mismo. Generalmente lleva consigo alguna otra "amenaza" (principal característica), de allí su nombre.

Exploits: códigos que explotan vulnerabilidades en el software, utilizado por atacantes y por el malware para infectar sistemas de forma automática y transparente, sin la intervención del usuario. (ver)

Phishing: (muy de moda) mensajes falsos utilizados para capturar las credenciales de acceso a la banca electrónica y otros servicios de uso privado por internet.

Dialers: troyanos que realizan llamadas a números con tarifa especial, con el consiguiente aumento en la factura del teléfono. Muchos sitios porno nos instalan un dialer para cobrar en un solo "click" por el servicio prestado.

Hacktools: (herramientas de hacking) conjunto de herramientas que facilitan el ataque de los sistemas.

IRC-Boots: troyanos que permiten ser controlados de forma centralizada y formar una red de bots (robots) o máquinas zombies que ejecutarán las órdenes dadas por el atacante.

Scripts: malware escrito en lenguajes scripts como javascripts, vbscript, etc. usualmente los encontramos dentro de páginas web. (ver)

DoS: (Ataque de Denegación de Servicio) es un ataque a un sistema de ordenadores o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.

Keyloggers: troyanos especializados en capturar las pulsaciones de teclado del usuario, muy utilizado para robar contraseñas y para el control del personal en las empresas.

Password Capture: malware especializado en el robo de contraseñas a través de diferentes técnicas.

Rootkits: malware capaz de esconder los procesos y archivos que permiten al intruso
mantener el acceso al sistema, a menudo con fines maliciosos, intentando pasar desapercibido incluso para las propias soluciones de seguridad. (ver)

Bankers: troyanos especializados en el robo de nombres de usuario y contraseñas para acceder a los servicios de banca electrónica por internet.

Hay más amenazas, pero las veremos después ya que son más especializadas.