Blog de Orlando Alonzo

Comentarios sobre tecnología, redes sociales y cosas como desarrollo de software, libros y películas.

Tag: passwords

Evita usar uno de estos 306 millones de passwords

Nube de contraseñas comunes

Si estás necesitado de nuevos passwords, ya tienes 306 millones de opciones menos para elegir uno; un experto en seguridad liberó una lista con esa cantidad de passwords, los cuales han sido extraidos de hackeos y otras violaciones de datos en la red, algunas de alto perfil y otras no tanto, pero a fin de cuentas contribuyen a engrosar listas como éstas. Independientemente de lo peligrosa que es una lista como la liberada, hay que ver el lado positivo: las empresas u organizaciones pueden comparar registros nuevos de empleados o usuarios con todos los millones de passwords almacenados, o bien para sensibilizar a las personas a que refuercen sus contraseñas, que muchas veces caen en palabras como ‘123456’ o ‘dios’ o más cosas simples, a pesar de que leemos y leemos casos al respecto, pero muchos jamás aprenden a darle el valor adecuado a esta sencilla cuestión de seguridad, hasta que se ven afectados por un hackeo, donde algunas veces llegan a perder parte de su información en los casos más extremos.

Si lo deseas, puedes descargar la base de datos de passwords como archivo 7z (7-Zip) de 5.3 GB, del cual se extrae un archivo de texto de 11.9 GB, el cual procesarás con la herramienta que desees. Vale la pena mencionar que si bien se puede descargar, esta base de datos sólo contiene hashes SHA1, de modo que no se afecte de más a las personas que hayan sido víctimas de estas filtraciones. Si bajas la base de datos, tendrás que calcular tu hash y buscarlo en la base de datos. Nada de texto plano.

Si lo deseas puedes consultar en línea si tus contraseñas han sido comprometidas, pero el mismo autor del sitio advierte que no lo aconseja, y mucho menos si es la contraseña que usas actualmente, pues no ofrece ninguna garantía, así que quedas advertido; puedes revisar tus contraseñas en este enlace.

Les aconsejo leer el post del autor de la base de datos, es bastante interesante e informativo.

Lecciones del fiasco de los passwords en Google Chrome

Supuesta vulnerabilidad de passwords en Chrome (tomado de ElliottKember.com)

Todavía no creo la cantidad de reacciones negativas que han habido contra Chrome por el “problema de seguridad” de los passwords; para los que no lo sepan, un pequeño experimento: abran Chrome, en la barra de direcciones introduzcan “chrome://settings/passwords” (sin comillas, claro) y cuando lo hagan verán el manejador de passwords de Chrome. El drama viene debido a que, si le das click a un password, verás que aparece un botón “Mostrar“, el cual te muestra sin más el password que gustes. Por supuesto la molestia viene de muchos usuarios que no sabían que esto así funciona desde tiempos lejanos, que pasa en todos los navegadores, y más aún, que no es un problema de seguridad. Pero peor aún, todo este problema nos dice que los usuarios son ignorantes de temas de seguridad esenciales, y que en algunas ocasiones, no piensan mucho. Bajen las piedras y déjenme explicar.

Quiero iniciar diciendo que no es posible que sólo unos pocos se hayan dado cuenta de que el reporte de este supuesto “problema de seguridad” viene de un desarrollador, y no de un investigador de seguridad o algo parecido. ¿Cómo es posible esto? ¿acaso la comunidad de investigadores de seguridad no se habían percatado de esto? claro que si, pasa que es un tema viejo, pero que al parecer con el tiempo se olvida, y se vuelve recurrente.

El escenario es el problema

Mucho se ha argumentado sobre que no existe tal problema en Chrome, y otros dicen que ven el problema como ingenieros, no como usuarios; en el caso de estos últimos, piensen en el escenario de tener un hijo curioso, una ex-esposa o novia celosas o simple y sencillamente locas, o bien cualquiera que se pueda sentar en tu computadora y ver tus passwords. Esto lleva al siguiente punto…

No es Chrome, son todos

En todos los navegadores pasa lo mismo; si, FireFox tiene una opción para un password maestro, pero una vez que lo usas quedas en las mismas; y para colmo es opcional, y ya sabemos como le va a las cosas opcionales con los usuarios. Explico más a fondo: no hay forma de defenderse de un ataque físico local. Por definición, el usuario físico local de la computadora es quién dice ser. ¿Sobre que bases le niegas el acceso? y si es alguien que tiene acceso a tu cuenta, amigo, tiene acceso a todo en tu computadora. En pocas palabras, eres tú. Incluso esto está en el FAQ de seguridad de Chrome, donde indican claramente porqué estos ataques no están considerados en su modelo de amenazas, y ¿sabes qué? tienen toda la razón. Es un concepto tan sencillo que confunde a la gente.

Continue reading

Lección del hack de Gawker: los usuarios son estúpidos y no saben crear passwords seguros

En días pasados, hackers (aparentemente llamados “Gnosis” ) lograron entrar a la red de Gawker Media, que publica importantes sitios como Lifehacker y Kotaku; estos hackers se llevaron las credenciales de login de millones de lectores que dejan comentarios en esos mismos (y otros) sitios. Como debe de ser, Gawker se dijo “apenado por este problema,” aunque eso de poco sirve para todo lo que se está filtrando en la red a raíz de este hackeo. La información robada fueron nada menos que 1.3 millones de cuentas de usuario, así como el código fuente para el sistema de manejo de contenidos desarrollado por ellos mismos; muchos passwords de las cuentas estaban encriptados, pero unas 200,000 cuentas fueron descubiertas, así como también cuentas de los mismos empleados de Gawker: ahora ya puedes encontrar esta información en un bonito torrent de unos 500 MB que puedes descargar fácilmente. Los sitios afectados son DeadSpin, FleshBot, Gawker, Gizmodo, Jezebel, io9, Jalopnik, Kotaku y Lifehacker.

Pues bien, analizando la información filtrada, The Wall Street Journal publicó en su sitio los 50 passwords más usados en dicha base de datos robada de Gawker Media. Los resultados son impactantes, y peor aún, asustan; el password más usado es…”123456“, seguido por “password” y después por “12345678“. Otras bellezas son el password “lifehack“, “gizmodo“, “monkey“, y por supuesto, “qwerty“. La razón de que asustan es que si esto es lo que hacen los lectores de blogs que se supone tienen cierto nivel técnico (me refiero a los lectores, no a los blogs), ¿qué hará la gente que no tiene ni idea? y para colmo a los mismos empleados de Gawker no les fue muy bien que digamos: muchos de ellos tenían passwords que eran variaciones leves de palabras comunes.

Continue reading

Discos duros externos Seagate con troyano de regalo

Unidad externa MaxtorUn pequeño grupo de drives externos de la marca Seagate salieron de la fábrica con un regalo no planeado, pues incluían un troyano escondido en la misma unidad. La infección no es de mucho riesgo, a menos que jueges World of Warcraft. Hasta el momento sólo 1,800 máquinas han sido infectadas. La unidad en cuestión es la Maxtor Basics Personal Storage 3200; de alguna manera, un virus llamado Win32.AutoRun.ah, un virus que busca passwords en juegos en línea, se metió en las unidades.

Todos los juegos afectados son chinos, excepto World of Warcraft. Después de obtener el nombre de usuario y el password la información se envía a servidores en Corea y los Estados Unidos. El virus también borra otros irus similares y puede desactivar el software antivirus. Para asistir a sus clientes, Seagate está poniendo a disposición de los mismos una versión de Kaspersky Antivirus de 60 días de prueba. Por su parte, Seagate acusa a un fabricante chino subcontratado de esta infección.

Leer nota completa en Internet News.