Blog de Orlando Alonzo

Comentarios sobre tecnología, redes sociales y cosas como desarrollo de software, libros y películas.

Etiqueta: hackeo

Evita usar uno de estos 306 millones de passwords

Nube de contraseñas comunes

Si estás necesitado de nuevos passwords, ya tienes 306 millones de opciones menos para elegir uno; un experto en seguridad liberó una lista con esa cantidad de passwords, los cuales han sido extraidos de hackeos y otras violaciones de datos en la red, algunas de alto perfil y otras no tanto, pero a fin de cuentas contribuyen a engrosar listas como éstas. Independientemente de lo peligrosa que es una lista como la liberada, hay que ver el lado positivo: las empresas u organizaciones pueden comparar registros nuevos de empleados o usuarios con todos los millones de passwords almacenados, o bien para sensibilizar a las personas a que refuercen sus contraseñas, que muchas veces caen en palabras como ‘123456’ o ‘dios’ o más cosas simples, a pesar de que leemos y leemos casos al respecto, pero muchos jamás aprenden a darle el valor adecuado a esta sencilla cuestión de seguridad, hasta que se ven afectados por un hackeo, donde algunas veces llegan a perder parte de su información en los casos más extremos.

Si lo deseas, puedes descargar la base de datos de passwords como archivo 7z (7-Zip) de 5.3 GB, del cual se extrae un archivo de texto de 11.9 GB, el cual procesarás con la herramienta que desees. Vale la pena mencionar que si bien se puede descargar, esta base de datos sólo contiene hashes SHA1, de modo que no se afecte de más a las personas que hayan sido víctimas de estas filtraciones. Si bajas la base de datos, tendrás que calcular tu hash y buscarlo en la base de datos. Nada de texto plano.

Si lo deseas puedes consultar en línea si tus contraseñas han sido comprometidas, pero el mismo autor del sitio advierte que no lo aconseja, y mucho menos si es la contraseña que usas actualmente, pues no ofrece ninguna garantía, así que quedas advertido; puedes revisar tus contraseñas en este enlace.

Les aconsejo leer el post del autor de la base de datos, es bastante interesante e informativo.

Lecciones de seguridad informática que todos deben aprender del hackeo de Mat Honan

Seguridad digital

En días pasados se publicó bastante respecto al hackeo sufrido por el escritor de Wired Mat Honan (les recomiendo lo lean completito ),  a quien en espacio de una hora le robaron y borraron su cuenta de GMail, tomaron su cuenta de Twitter para publicar tweets racistas, tomaron control de su cuenta de AppleID que usaron entonces para borrar su iPhone, iPad y MacBook, en ésta última perdiendo fotos de su hija que había tomado por espacio de un año. Si lo quieres ver así, le borraron su vida digital casi por completo. Si bien el hackeo fue posible gracias a agujeros en la algunos servicios de atención al cliente de Amazon y Apple; Amazon hasta antes de este escándalo mostraba cierta información que a la vez servía para que Apple permitiera darle control de una cuenta (un AppleID) a cualquiera que hable usando las mieles de la ingeniería social. Ambos estuvieron pésimos, Amazon y Apple, y hasta donde sé ambos ya han ha cambiado sus políticas a raíz de este problema.

Pero retomando la situación, si bien Amazon y Apple estuvieron mal, Mat Honan estuvo peor. Todo esto le pasó porque, a pesar de ser un escritor relacionado con tecnologías y que sabe como moverse en éstas, simple y sencillamente hizo caso omiso de algunos principios básicos y sencillos de seguridad informática. Estas son las lecciones que todos deben aprender para que no les pase lo que a Mat Honan:

  • Crea y ejecuta un esquema de respaldos: lo que perdió Mat Honan que fue lo que mas le dolió fueron las fotos de su hija; si tuviera un respaldo, esto no hubiera pasado de un susto. Los respaldos son un verdadero dolor de trasero, todos los que manejamos una computadora lo sabemos, pero hoy por hoy, son una de las formas más efectivas de sobrevivir a un hackeo o una falla de hardware. Crea un calendario para tus respaldos, escoje una buena utilería que te permita programarlos, y cuando toque hacerlos, espera hasta que terminen, por tedioso que pueda ser el proceso. Y para quedar claros, me refiero a un respaldo local.
  • Siempre usa passwords seguros: una simple búsqueda en Google te llevará a herramientas o guías que te permitan crear paswords seguros para que uses en las cuentas de los diversos sitios; puntos extra si usas una cuenta distinta para cada servicio, así le complicarás las cosas a quien quiera hackearte.
  • Activa la autenticación de dos factores: en el caso de Honan, sus cuentas estaban encadenadas: Amazon llevó a Apple, Apple llevó a Google, Google llevó a Twitter. Pero, y este es un gran pero, Google tiene soporte de autenticación de dos factores; si Honan la hubiera tenido activada, ahí se hubiera detenido el ataque. La autenticación de dos factores consiste en presentar dos o más factores de autenticación que son algo que el usuario sabe, algo que el usuario tiene, y en los casos de hasta un tercer factor algo que el usuario es (en referencia a una característica biométrica ). En el caso de GMail, el soporte de autenticación de dos factores funciona como el token que te dan los bancos; para entrar en el servicio necesitas un código que se renueva con el tiempo. Ojo: activar esta autenticación conlleva cambios significativos en tu forma de operar servicios de Google, tu mismo modus operandi diario, y hasta herramientas de terceros que usen servicios de Google. FaceBook igual tiene soporte para esto, aunque un poco diferente. Si, de todas las medidas esta es la que es más un dolor en el trasero, pero su uso se paga por si solo.

Continue reading

¿Está seguro tu blog con WordPress?

Logo de WordPressEl software que se usa defacto en muchos blogs (como este) es WordPress; pero esta popularidad tiene su precio. Los hackers, que nunca descansan, siempre buscando agujeros de seguridad, ya encontraron otro en esta plataforma de blogging. Al parecer WordPress tiene un agujero de seguridad que permite que se instale un plugin que se sube al sitio en la forma de una imagen, pero que en realidad es código PHP disfrazado. A partir de esto suceden muchas cosas, como redirección de tráfico a partir de búsquedas de Google, y por si fuera poco también los widgets son afectados, si es que tu sitio los usa. Si aún no estás infectado, lo más recomendable es que te actualices a la última versión de WordPress, la 2.5.1 al momento de escribir este artículo. Lo más lamentable es que hasta el momento no hay una respuesta por parte del equipo de WordPress al respecto, así que tendremos que esperar a una solución o parche oficial.

¿Cómo saber si estás infectado? la forma más fácil es hacer una búsqueda en Google relativa a tu sitio, y hacer clic en alguno de los resultados de la búsqueda: si llegas a tu sitio, felicidades, todo está bien; pero si paras en otro sitio (no pondré el link para ya no darle más visitas a esos imbéciles), entonces tu blog puede estar seriamente comprometido. Y no sólamente es con el tráfico de Google, sino también con el tráfico de Yahoo y MSN. Afortunadamente hay un procedimiento para reparar tal infección, y el cual les paso a continuación, para lo que necesitarás alguna herramienta que te deje ver tu base de datos, como phpMyAdmin o el MySQL Administrator, y recuerda sacar un respaldo antes de hacerlo:

Continue reading