[MINI-BIBLIA] ¿Cómo se lo hace el "hacker"?
17 años
1.573
Bueno, ya que no puedo dar clases de poker (todavía no, pero ya os pillaré ya :D), os voy a poner algunos métodos usados para la sustracción de passwords y consejos generales para quedarnos todos un poco más tranquilos.
Primero voy a decir que he estado unos cuantos años trabajando como auditor de seguridad informática entre otras cosas relacionadas con el tema y tengo ya el culo pelao de lamers de pacotilla, que serán por norma general los protagonistas de los "robos" de contraseña y demás. Ya no me dedico a todo esto por motivos personales pero vamos me queda el vago recuerdo.
Cansado de ver cómo algunos pringados consiguen meteros el miedo en el cuerpo, y como ya avisé en algun post, voy a exponer un poco el tema des de el punto de vista del atacante (sin ir más allá de lo interesante), para que, conociendo los "métodos" más comunes, os podáis defender y dormir más tranquilos.
No se lo largo que va a ser el post, avisados estáis :D
Vamos a ver las formas más sencillas y usadas para colectar un password de forma física o cercana, formas en las que son necesarias una proximidad física con el atacante:
Trashing (basureo): básicamente regirar la basura y demás en busca de papeles con información sensible (emails, passwords que hayamos apuntado, id's etc). Siempre triturar papeles con información sensible y mejor aún no tener esos papeles con información sensible (leer abajo en "contraseña segura").
Shoulder surfing: sencillamente mirar de reojo al teclado cuando alguien escribe su password. Patético pero es así xD
Keylogger físico: se trata de un aparatejo que se coloca entre el teclado y el ordenador y que hace eso, monitorizar las pulsaciones de tecla (keylogger) para mandarlas luego a un correo o no. Ya que al ser físico queda almacenado en el mismo dispositivo y luego vuelve el atacante y recoje el mismo dejándolo todo como estaba y llevándose la información.
Aquí tenéis uno por si queréis saber como es: Hardware Keylogger HRD Features
Basureo digital: Esto es como regirar en las basuras pero en versión moderna. Suponed que el ordenador se os queda viejo y lo actualizáis o compráis uno nuevo. Lo normal es vender el ordenador viejo, con vuestros datos sensibles ahí metidos ala... Hacéis un format "ya está vacio". Pero no.
Existen redes de compradores de segunda mano que compran discos duros para luego rastrear en busca de datos (logs, tarjetas de crédito, información bancaria, passwords etc) con programas de restauración de datos. El format NO borra datos, sólo da formato, los datos siguen ahí.
Cuando os queráis deshacer de un disco duro usad algun programa de borrado seguro (Borrado seguro (Ficheros Utilidades Windows): Softonic)
Y ahora el resto y las que más nos interesan a nosotros:
Ingeniería social: Aquí está la grande. Éste es el que más os tiene que preocupar. Básicamente englobo en este término todos los medios, artimañas y tácticas para que consigan el password de una forma "poco técnica" por así decirlo o incluso para que vosotros cedáis el password. ¿Ceder? Sí, ceder.
Por ejemplo si recibís un mail aparentando vuestra plataforma de poker, vuestro hotmail/gmail, vuestra entidad bancaria etc (spoofing/phising) que os pide vuestro password con CUALQUIER pretexto. No importa para qué sea, jamás os pedirán el password, nunca lo déis.
En ing. social también entran métodos más "atrevidos" como llamaros por teléfono para verificar datos o información sensible. Con cualquier dato por tonto que sea se puede ir tirando del hilo, poco a poco.
Claro, nos llaman con aquella voz grave y segura, con un tono firme y puede incluso impresionar...pero no. No revelar nunca ningún dato sensible por tonto que parezca, a no ser que realmente podáis verificar que se trata de un contacto legítimo. Desconfiad de todo y si tenéis cualquier duda llamáis vosotros a la at. al cliente y verificáis aquél email o llamada que habéis recibido.
Aquí dentro también englobo los spoofs, phising o "xploits", que son e-mails que llevan o conducen a páginas web o formularios imitando la entidad spoofeada o imitada. Esta es la forma más "clásica" de robar una cuenta hotmail. Repito, no os creáis los logos, nunca os pedirán información sensible ni por teléfono ni por mail, aunque sea de forma indirecta.
Muy típico el xploit que simula ser un formulario oficial, una encuesta, una postal, un augmento de los servicios de forma gratuita etc.
Adivinación de la pregunta secreta y similares, os aseguro que de todos los casos que conozco, el 95% de las veces la sustracción de la cuenta ha sido mediante la pregunta secreta. ¿Qué es eso de tener como pregunta secreta cuál es mi color favorito? No hombre no, abajo os doy unos consejos generales.
Troyanos/keyloggers: Estos también forman parte del TOP10. Generalmente archivos exe, bat, vbs etc el 99% de las veces de transferencias por msn, cracks que nos bajamos para no pagar PT (culpable :D) etc etc.
También pueden entrar por vulnerabilidades con controles activex en el navegador, macros en el word...claro, millones de cosas que ahora tampoco interesan.
El troyano clásico es una aplicación cliente-servidor, a vosotros os mandan el servidor diciendo que es un flash (que tb pueden son win32 executable *.exe) u otra cosa y ñaca, os la han jodido, se conectan con su cliente y ala a divertirse. Aquí interesa estar detrás de un router bien configurado.
Si son muy paquetes sencillamente al abrir el exe no pasará nada a vuestra vista y si tienen un poco de cortesía lo juntarán con un flash de verdad (con un joiner por ejemplo) para que no sospechéis tanto.
El 99% de troyanos tienen también un keylogger que mandará vuestras pulsaciones de forma periódica a su correo o similar.
Esto lo arreglamos con un antivirus (recomiendo avast o kaspersky) y sobretodo NO aceptando nada de nadie. Ni de tu novia ni de tu padre. ¿Que por qué? Pues por que ellos pueden estar también infectados y ni saber que te lo están mandando. Antes de aceptar confirma que saben lo que te envian y que sea de alguien fiable. Y una vez recibido pásale un escan por si acaso, pero vamos, lo mejor es no aceptar nada (no os fiéis de los antivirus por que tampoco hacen magia).
Sniffing: pues se trata de snifar (monitorizar) el tráfico de la red. Esto es lo más clásico en cybercafés, LAN's, wifi etc. Todos los datos que no van encriptados son susceptibles a la lectura de terceros (y los que no, con un poco de maña, también :P).
No uséis cuentas sensibles en cybercafés y similares, pq estáis expuestos a esto, a los keyloggers etc.
Y no logueéis en wifi's abiertas o compartidas. De hecho lo mejor sería nunca jugar por wifi pero si la wifi está bien asegurada (fuerte encriptación, filtrado de macs, corto radio de alcance etc) creo que no os debe preocupar mucho para lo que tratamos aquí.
Pero no jugar en wifis de la calle, de la universidad, de la biblioteca..
Bruteforcing: Esto ya ni caso, vamos no creo que en el 2008 pueda pasar pero lo explico por si a alguien le interesa. Se trata de probar de forma secuencial contraseñas contra un servidor, ya sean sacadas de un diccionario (una lista de cientos o miles de contraseñas populares) o de forma aleatoria probando todos los carácteres.
De forma directa (hacia el servidor por ejemplo) lo descartaría, no conozco las políticas de seguridad de las plataformas de poker pero vamos, seguramente que a los 4 o 5 intentos os bloqueará la cuenta por unos minutos o parecido.
Luego está el otro bruteforcing, o cracking, que se trata de sacar un password mediante el hash (un hash és entre otras cosas el resultado de la encriptación de vuestra contraseña).
Por ejemplo, cuando le dáis a "recordar contraseña", lo más probable (y no os lo aseguro pq cada plataforma usará el método que prefiera) es que vuestra contraseña se encripte usando un algoritmo y se almacene el hash, no la contraseña en texto plano que se dice. Por lo que si un atacante accede a vuestro hash de alguna manera (usando una vulnerabilidad del navegador, un troyano, accediendo a vuestro pc etc) no la pueda leer. A la práctica lo que se hace es crackear ese hash con un programa (john the ripper, por ejemplo) a modo de fuerza bruta (o de otras formas).
De ahí a tener una contraseña segura (explicado más abajo), para que el tiempo de crackeo sea tan largo que el atacante desista o vosotros ya hayáis cambiado esa contraseña.
********************
********************
Usad un email de gestión desconocido: el e-mail que uséis para gestionar vuestra cuenta bancaria y/o pokeril tiene que ser desconocido. Esto es, sólo lo debéis saber vosotros, ni vuestra novia, ni el cura. Para el msn y los e-mails de los amigos usad una cuenta y para el poker usad otra y no le déis más uso que ese. Siguiendo este consejo vamos a tener cubierto mucho.
Usad una contraseña segura: siempre medianamente larga (para dificultar el shouldersurfing y el cracking), con números, letras y a poder ser símbolos (para dificultar terriblemente un intento de crackear el hash del password o un sniffing) y para ser perfecta no deben de tener sentido (no uséis como password vuestro numero de telefono...aunque lo pongáis del reves ¬¬). En teoria habría que cambiar la contraseña periódicamente...yo recomiendo cambiarla si sospecháis de cualquier cosa o si habéis estado jugando mediante wifi o creéis que habéis sido expuestos de alguna forma.
Si para tener un password seguro creéis que no lo váis a recordar, no tengáis miedo de anotar el password. Eso sí, esa libretita con los passwords guardada como oro en paño. Por experiencia sale a cuenta tener un password que no podáis recordar y que sea seguro pero sí apuntar, aunque el consejo número uno es "nunca apuntar las contraseñas" en nuestro caso no es válido y no compensa. Las apuntáis pero las dejáis en un sitio seguro que no esté a la vista o alcance de nadie y no pongáis "Mi password" o cosas así, lo anotáis y vosotros ya sabréis lo que es. Y a poder ser para quedarnos más tranqulos, las escribís con una mini criptografía: desplazando uno o más carácteres a la izquierda o la derecha (si el password es "g4mbl3r" (lo que sería una contraseña ridículamente insegura, pero es para el ejemplo) pues anotáis "h5ncm4s", pero luego acordaros, que si tenéis coco para el poker podréis recordar esto :D) aunque esto último aunque lo he visto hacer no lo recomiendo que ya es rizar el rizo demasiado y ya os digo que con vigilar el tema de ingeniería social lo tenemos ya ganado.
No uséis la pregunta secreta: ¿mi consejo? Si podéis no la habilitéis pero bueno eso se deja hacer poco. Si estáis obligados pues de pregunta ponéis la que queráis y de respuesta: rkhi3ryh239rq823dh9i...Cualquier cosa aleatoria, ni miréis lo que escribís...eso sí, luego no perdáis el password :P.
Me diréis que es una locura y que si de veras olvidáis el password estáis jodidos, pero no. La diferencia entre un atacante y tú es que tú eres tú y él no :P
Siempre váis a poder recuperar la contraseña hablando con el servicio al cliente y facilitando los datos que vuestro atacante no tiene (o no debería tener si seguís esta "mini guia") como por ejemplo la dirección física, el DNI, el bankroll que tenéis... información que at. al cliente necesita para realmente verificar que sóis quién decís ser.
Usad firefox: firefox es más seguro que otros entre muchas otras cosas y tiene un sistema de detección de phishing y engaños que da muy buenos resultados.
No compartir información sensible: procurad no divulgar por ahí vuestros teléfonos o e-mails (aunque sea el e-mail informal) por que se empieza con una pizca de información y se va tirando del hilo.
Y por último:
La seguridad es como una cadena, es tan fuerte como el más débil de sus eslabones.
Si bien esta mini-biblia solo abarca los aspectos más generales, siguiendo estos consejos no tendréis ningun problema. Espero que se haya entendido todo bien aunque no soy un brillante escritor. No dudéis en postear cualquier duda (mejor que en MP que así aprendemos todos).
Además por lo que he visto hay bastante erudito en el tema o sea que ningún problema 😄
Saludos!😄
PD: tengo los dedos rotos! XD
17 años 6 meses
1.787
Muy completo, me ha gustado; hala te has ganado reputacion!!
19 años
89
Por cierto, como supongo que la paranoia se habrá adueñado de más de uno, hay un método para saber si vuestro ordenador está conectándose a dónde no debe.
Id a Menú Inicio -> Ejecutar. Escribid cmd y os aparecerá una consola de comandos (lo que antes era MS-DOS). Escribid netstat -bn 1 en la consola y veréis todas las conexiones que tiene abiertas vuestra máquina y qué programa las está haciendo, esa lista se refrescará cada segundo (si va demasiado rápido para vosotros, cambiad el 1 por un 5 y se refrescará cada 5 segundos).
Por ejemplo, esta es mi lista de conexiones mientras juego en Unibet y tengo el firefox abierto:
Conexiones activas
Proto Dirección local Dirección remota Estado PID
TCP 127.0.0.1:4924 127.0.0.1:4925 ESTABLISHED 3104
[firefox.exe]
TCP 127.0.0.1:4925 127.0.0.1:4924 ESTABLISHED 3104
[firefox.exe]
TCP 127.0.0.1:4926 127.0.0.1:4927 ESTABLISHED 3104
[firefox.exe]
TCP 127.0.0.1:4927 127.0.0.1:4926 ESTABLISHED 3104
[firefox.exe]
TCP 192.168.0.128:1025 66.212.236.14:443 ESTABLISHED 3172
[MPPoker.exe]
TCP 192.168.0.128:4997 66.212.246.73:80 ESTABLISHED 3172
[MPPoker.exe]
TCP 192.168.0.128:4998 66.212.246.69:1986 ESTABLISHED 3172
[MPPoker.exe]
TCP 192.168.0.128:4999 66.212.246.65:1979 ESTABLISHED 3172
[MPPoker.exe]
Si tenéis alguna duda con alguna de las direcciones a la que se está conectando vuestra máquina, WHOIS es vuestro amigo:
Por ejemplo, voy a la página:
y en el cuadro de texto escribo la ip 66.212.246.73 a la que se conectaba mi equipo y me da la siguiente información:
Mohawk Internet Technologies MIT-BLK-01 (NET-66-212-224-0-1)
66.212.224.0 - 66.212.255.255
Domain Escrow Services Limited MIT-MICRG-10 (NET-66-212-246-0-1)
66.212.246.0 - 66.212.246.255
# ARIN WHOIS database, last updated 2008-02-13 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
Que en román paladino significa que esa dirección está dentro de un bloque de direcciones que pertenece a Mohawk Internet Technologies que es la compañía que opera la reserva de Kahnawake, con lo que sé que las direcciones son buenas.
Si en el listado que os da netstat hay alguna aplicación que no tiene porqué estar conectada, ¡DESCONFIAD!
PD: Yo IRL me gano la vida trabajando en estos temas, así que si he pasado alguna parte demasiado rápido, preguntad.
16 años 11 meses
366
nmaxcom.
Lo que comentabas de los troyanos, precisamente hoy he instalado el Nod32 y he hecho un escaneo, me ha detectado el TROYANO "ObfuscatedA1" 33 veces!!! Por lo ke parece se copiaba en variaas partes del disco duro le di a la opción eliminar del Nod32 y se supone ke esta solucionado...
Según tengo entendido el tema de los troyanos tienen ke averiguar tu ip para meterse en tu pc, y si tienes ip dinamica ke cambia cada vez ke enciendes el modem no tienes problema....
De todas formas sabes ke puerto utiliza el troyano este y como puedo comprobar si lo tengo abierto?
Saludos!
17 años
1.573
Pasa varias veces el antivirus (actualizado a poder ser) para asegurarte que todo está bien. También sería bueno saber cómo llego ese troyano ahí para que no te vuelva a pasar.
La gran mayoria de troyanos sí, sin tu ip no hacen nada. También hay otros que son de conexión inversa, son ellos los que se conectan al atancate (ideal para saltar filtrado de routers, algunos firewalls y olvidarse del tema de la ip) a una hora y días concretos por ejemplo.
En lo de la ip dinámica "no hay problema" como tu dices siempre y cuando no te tengan ya fichado y te la puedan sacar siempre que les interese (si es un contacto tuyo del msn etc).
Lo importante ya te digo, si ha entrado una vez es que puede entrar más veces, procura que eso no pase.
También piensa que muchos de los archivos que el antivirus marca como troyanos no son troyanos estrictamente hablando. En este caso concreto no conozco el que tú mencionas pero me suena a malware general.
Y por último añadir que si son dudas tan concretas lo mejor es que preguntes en un foro de informática que es más adecuado que en uno de poker. Vamos a mi no me importa contestar las dudas para nada pero a ver que dice simón 😄
17 años
147
ya dormire mucho mas tranquilo teniendo mi mini bank roll a salvo!!:D
gracias portu post que a sido muy interesante
Saludos!!😉
18 años 11 meses
1.055
muy buen aporte nmaxcom.si señor....
saludos
17 años
1.573
Gracias tetanu. Lo que me sorprende es que nadie haya preguntando sobre ninguna parte del contenido... ¿tan bien me explico? :D:D
Preguntar cualquier cosa que no os quede clara o que queráis saber más, que con esto y 4 pipas terminamos con el terror de los "hacks" 😄
18 años 4 meses
5.181
Muy buen artículo, muchas gracias nmaxcom, gran ayuda.
Un saludo
18 años 11 meses
1.055
Gracias tetanu. Lo que me sorprende es que nadie haya preguntando sobre ninguna parte del contenido... ¿tan bien me explico? :D:D
si , te explicas perfectamente, la informacion es sufiiente como para digerirla durante un buen rato....lo que me interesa, estoy en plan rosa:o, nombrabas "motivos personales" , 😄😄😄, por no dedicarte a la seguridad informatica,...
saludos
17 años
1.573
Bueno, esa historia es muy larga. Si algún dia nos vemos en un torneo me pagas unas copas y te cuento lo que quieras con la corbata en la cabeza :D:D
18 años 11 meses
1.055
Bueno, esa historia es muy larga. Si algún dia nos vemos en un torneo me pagas unas copas y te cuento lo que quieras con la corbata en la cabeza :D:D
wuaasssaaaaaa jajaja... me estaba mirando el correo de gmail, donde guardo las pass de webX, el dia que saqueen al correo de google, esto sera una fiesta impresionante:D:D:D
17 años
1.573
Basureo digital: Esto es como regirar en las basuras pero en versión moderna. Suponed que el ordenador se os queda viejo y lo actualizáis o compráis uno nuevo. Lo normal es vender el ordenador viejo, con vuestros datos sensibles ahí metidos ala... Hacéis un format "ya está vacio". Pero no.
Existen redes de compradores de segunda mano que compran discos duros para luego rastrear en busca de datos (logs, tarjetas de crédito, información bancaria, passwords etc) con programas de restauración de datos. El format NO borra datos, sólo da formato, los datos siguen ahí.
Cuando os queráis deshacer de un disco duro usad algun programa de borrado seguro (Borrado seguro (Ficheros Utilidades Windows): Softonic)
Aprovecho que tengo esta información para corroborar con datos esta parte:
"Un estudio realizado hace un tiempo por dos estudiantes del MIT (Instituto de Tecnología de Massachussets) realizado a partir de discos duros procedentes de subastas en Internet y tiendas de segunda mano reveló que:
- De los 158 discos duros que adquirieron más de un 80% estaban operativos.
- Recuperaron información de más del 43% de los discos duros.
- En más de un 70% esta información era privada o confidencial (datos del personal de una empresa, datos médicos, números de tarjetas de crédito, correo electrónico, imágenes pornográficas…😉
- Sólo un 7,59% de los discos duros, habían pasado por un proceso de borrado seguro de datos.
En su mayoría, estos dispositivos habían sido formateados.
En la actualidad la mayoría de la información digital puede ser recuperada con la ayuda de software de recuperación de datos, incluso mucho tiempo después de haber realizado una operación de eliminación de los archivos o tras una operación de formateo normal de disco.
Para asegurar el “Borrado Seguro de los Datos” a nivel lógico, se debe utilizar herramientas informáticas específicas para evitar la recuperación de datos. "
Aunque sea un poco paranóico también hay que incluir aquí el dejarle el pc al amigo/vecino de turno para que te lo repare y lo mismo con el técnico/especialista de la tienda de la esquina.
PD: sorry si es muy offtopic
17 años 4 meses
605
Pedazo de aportacion... reketereputado...Gracias!!!
18 años 2 meses
849
No le podemos quitar reputación por poner semejate tocho???:D
17 años 1 mes
909
Chaval eres un crak de la informatica,como seas tan bueno al poker..Je,je,je.
Gracias por tu makroinformacion.
Un saludo.
18 años 7 meses
2.662
Esta bueno el articulo (ya lo habia leido anteriormete) y ahora tengo la siguiente duda, son detectables los keyllogers con estos programas o hay que tener algún otro? Versiones gratuitas de Nod32, zonealarm (solo como firewall) y el Spybot.
Gracias por el articulo, saludos.-
17 años
1.573
Esta bueno el articulo (ya lo habia leido anteriormete) y ahora tengo la siguiente duda, son detectables los keyllogers con estos programas o hay que tener algún otro? Versiones gratuitas de Nod32, zonealarm (solo como firewall) y el Spybot.Gracias por el articulo, saludos.-
Hombre, no conozco todos estos antivirus/firewall ni cómo trabajan, pero deberían detectar todos los keyloggers del mercado/oficiales sin ningún problema.
Ojo con los homemade keyloggers que pueden ser más complicados de reconocer y más si no se está usando algún sistema eurístico.
Lo mejor no es curar, siempre mejor prevenir (los keyloggers no entran por arte de mágia)
Saludos!
18 años 5 meses
3.550
Yo la otra vez escribi algo de hacking y como protegerse en mi blog :D
17 años 8 meses
6.083
Muy bueno nmax 😉
18 años 7 meses
2.662
17 años
1.573
Esta bueno el articulo (ya lo habia leido anteriormete) y ahora tengo la siguiente duda, son detectables los keyllogers con estos programas o hay que tener algún otro? Versiones gratuitas de Nod32, zonealarm (solo como firewall) y el Spybot.Gracias por el articulo, saludos.-
Hombre, no conozco todos estos antivirus/firewall ni cómo trabajan, pero deberían detectar todos los keyloggers del mercado/oficiales sin ningún problema.
Ojo con los homemade keyloggers que pueden ser más complicados de reconocer y más si no se está usando algún sistema eurístico.
Lo mejor no es curar, siempre mejor prevenir (los keyloggers no entran por arte de mágia)
Saludos!
nmaxcoHombre, no conozco todos estos antivirus/firewall ni cómo trabajan, pero deberían detectar todos los keyloggers del mercado/oficiales sin ningún problema.
Ojo con los homemade keyloggers que pueden ser más complicados de reconocer y más si no se está usando algún sistema eurístico.
Lo mejor no es curar, siempre mejor prevenir (los keyloggers no entran por arte de mágia)
Saludos!
Oka, gracias x la respuesta. Desde mi basico conocimiento de informatica crei que para detectar un keyloger era necesesario utilizar especificamente un "antikeyloger" y no un antiviurs común. Salu2
17 años
1.573
Bueno los antikeyloggers más que detectar lo que hacen es bloquear este tipo de operaciones en el sistema.
Lo dicho, mejor prevenir que curar.
18 años
160
Muy bueno tu articulo.
¿Que te parecen los programas de guardado de contraseñas (como el KeePass u otro similar)?
A mi me resulta comodisimo y muy seguro.
Un saludo.
Puzo
17 años
1.573
Muy bueno tu articulo.¿Que te parecen los programas de guardado de contraseñas (como el KeePass u otro similar)?
A mi me resulta comodisimo y muy seguro.
Un saludo.
Puzo
A mi no me acaban de gustar, confiar múltiples passwords en uno sólo? Mala idea; es como poner todos tus tesoros bajo una misma llave y colgartela del cuello, algunos pros y muchos contras. Siempre que sea posible hay que evitar usar estas soluciones.
En estos casos concretos de jugar poker online y no estar sujetos (en principio) a una amenaza física (si jugáis desde casa por ejemplo) prefiero mil veces antes una libretita con los passwords (con las directrices que escribí en el primer post) con lo que ya escapamos del medio digital que no un software que tendrás instalado en el mismo ordenador al que intentas proteger con TODAS tus claves en una sola (o en un disco-llave que para el caso es lo mismo).
Saludos.