Te hackeo por tu propio bien

--Originally published at GG Guazaman

¿Atacar una pagina intentando robar su información para después ayudarla a corregirlo? Así es. En esta ocasión veremos un poco de hacking ético. Quizás al principio suene un poco difícil de creer que existan personas así, que pudiendo robar la información a grandes empresas, deciden informarles sobre bugs en su seguridad pero estas personas existen y se les conoce como White Hat.

Primeramente definamos bien:

¿Que es el hacking etico?

“Hacking ético es una forma de referirse al acto de una persona usar sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño.

La idea es tener el conocimiento de cuales elementos dentro de una red son vulnerables y corregirlo antes que ocurra hurto de información, por ejemplo.

Estas pruebas se llaman “pen tests” o “penetration tests” en inglés. En español se conocen como “pruebas de penetración”, en donde se intenta de múltiples formas burlar la seguridad de la red para robar información sensitiva de una organización, para luego reportarlo a dicha organización y así mejorar su seguridad.

Se sugiere a empresas que vayan a contratar los servicios de una empresa que ofrezca el servicio de hacking ético, que la misma sea certificada por entidades u organizaciones con un buen grado de reconocimiento a nivel mundial.

Las personas que hacen estas pruebas pueden llegar a ver información confidencial, por lo que cierto grado de confianza con el consultor es recomendado. ”

¿Pero para todos somos vulnerables al hackeo?

Los mas vulnerables

Por lo general, las empresas que más intentos de hackeo reciben son las que tiene que ver con los sistemas financieros, pues son ellas las que manejan dinero, sin embargo al ser los sistemas financieros los más fortalecidos en el medio, los ataques tienden

Continue reading →

Instalando actualización 5 de 20 …

--Originally published at GG Guazaman

¿A quién no le ha pasado que esta por irse a dormir o tiene que apagar su computadora lo más rápido posible por X o Y razón y de repente… “Instalando actualización? 1 de 15648426″? Molesto, ¿no?.
Pero todas estas actualizaciones de las que en muchas (99% de las veces) nunca logramos ver si quiera el más mínimo cambio en Windows, ¿sirven para algo?.
Permítanme hablarles de la seguridad en los Sistemas Operativos, más específicamente Windows.
Antes de comenzar y que todo el mundo se me ataque por hablar de Windows, entiendo que hay millones de personas que odian Windows con toda su alma, que IOS es mejor, que Ubuntu es para verdaderos desarrolladores, bla bla bla, etc etc etc. En mi carrera es mucha más común de lo que parece escuchar que compañeros e inclusive profesores se quejen o se burlen de Windows o mejor dicho de quienes lo usan. Solo quiero aclarar que no voy a hablar de si Windows es bueno (que lo es en algunas ocasiones) o si no lo es (que tampoco creo que sea malo) si no que solo hablare de la parte de sus actualizaciones y las implicaciones en la parte de seguridad que tiene.
Permítanme contarles que curiosamente he encontrado mucho más útil Windows desde su ultima actualización grande (Windows 10 Anniversary) que añade el Bash de Ubuntu como parte del paquete de desarrolladores, ¿Ironía? Pero antes que nada…

¿Qué es?

Como ya sabemos, Windows es un sistema operativo que siempre tiene vulnerabilidades, añadido a que constantemente estan surgiendo nuevos virus, spyware, bugs, etc. Todo esto necesita la revisión y actualizacion del software y aqui es donde entra Windows Update para facilitar esta tarea. Consiste en un servicio para descargar las actualizaciones componentes del sistema crítico, servicios, arreglos de la seguridad, y

41f47969c2d38d8b1fb9bf4a417075fa78c895c39c053d63bcfa35deaf92ca5f

Continue reading →

Shhh te tengo un pequeño secreto

--Originally published at GG Guazaman

¿Alguna vez has tenido el miedo de que al enviar algún archivo importante, cualquier persona pueda tener acceso a el?, permiteme hablarte de algo que quizás pueda ayudarte, como encriptar tus archivos. Para comenzar..

¿Qué es la criptografia?

Consiste en una técnica para proteger documentos, datos, mensajes, etc. a través de la utilización de algun algoritmos que permite alterar el orden de los objetos que tienes para que resulte imposible de leer para alguien que no tenga la clave que lo reacomoda. Pero esto no es para nada una técnica nueva o exclusiva de las computadoras.

Un poco de Historia

En la historia han existido multiples ejemplos de criptografia que van desde los metodos de los espartanos de hace 2500 años, el cifrado de Polybios de los griegos o el cifrador César de los romanos. Los romanos usaban codigos para ocultar sus proyectos de guerra de aquellos que no debian conocerlos, con el fin de que solo los que conocian el significado del codigo desifracen el codigo oculto. Y aquí me gustaría entrar un poco mas en detalles.

Cifrado César

Como ya mencione arriba consiste en un metodo de cifrado que Julio César utilizaba para enviar ordenes a sus generales en los campos de batalla. Consistia en escribir el mensaje en un alfabeto que estaba formado por letras del alfabeto latino normal desplazadas tres posiciones a la derecha.

Durante nuestra clase de Seguridad informatica se nos pidio crear un programa que encriptara y desencriptara palabras utilizando el metodo de César. En la parte inferior les dejo el repositorio en GitHub por si alguien gusta echarle un vistazo.

Cifrado Vigenère

De acuerdo a definiciones que podemos encontrar en internet encontramos lo siguientes:

El cifrado de Vigènere es un método de cifrado que usa una serie de diferentes cifrados César en base

Continue reading →

¿MR. Robot == Hackerman?

--Originally published at GG Guazaman

El día de hoy solo quería compartirles esta serie que estoy comenzando a ver, la cual se titula “Mr. Robot”, y me parece resultara interesante para todos los amantes de la tecnología y sobre todo aquellos que tengas un poco mas de curiosidad de la seguridad informática.

Aquí les dejo la sinopsis:

“Mr. Robot se centra en un joven programador, Elliot, que sufre de un trastorno antisocial debilitante y decide que sólo puede conectar con la gente a través de la piratería. Él maneja sus habilidades como un arma para proteger a las personas que le importan, trabajando como ingeniero de seguridad cibernética de día y como hacker de noche. Esta situación pondrá a Elliot en la disyuntiva de elegir entre una firma de seguridad cibernética para la que trabaja o apoyar a las organizaciones de los bajos fondos que le quieren reclutar para derribar la América corporativa.”

Se las recomiendo :p

Me loggeo y aparece autenticacion timeout, he sido timado!

--Originally published at GG Guazaman

¿Qué es?

Cada vez que intentamos hacer Log In en una pagina, conectarnos a un modem, entrar a nuestra cuenta de Gmail, conectarnos al cliente de LoL, etc. Siempre necesitamos hacer una autenticación, pero, ¿En que consiste?

La autenticación no es otra cosa que el proceso de identificar a un usuario en base de ciertas credenciales que proporciona, siendo las mas comunes usuario (o correo) más contraseña.

El objetivo de la autenticación es decidir si “alguien es quien dice ser”. Hay tres formas de reconocer a un usuario, que se conocen como lo son:

Sistemas basados en algo conocido. Ejemplo, un password (Unix) o passphrase (PGP).
Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad, una tarjeta inteligente(smartcard), dispositivo usb tipo epass token, Tarjeta de coordenadas, smartcard o dongle criptográfico.
Sistemas basados en una característica física del usuario o un acto involuntario del mismo: Ejemplo, verificación de voz, de escritura, de huellas, de patrones oculares.

En este post nos enfocaremos en la autenticación de usuario y contraseña, y no podríamos empezar de otra forma que por la parte mas complicada la contraseña.

Password = 1234

¿Tu contraseña es 1234, qwerty, abc123, password, etc?

Para empezar deja que te cuente lo siguiente. Existen diversas formas de que nos roben nuestras contraseñas tales como que la vean, que la adivinen, suplanten nuestra identidad o bien se cree un almacén de cuentas. Uno de los métodos utilizados consiste en la fuerza bruta, pero, ¿Qué tan efectivo puede llegar a ser? Para que te des una idea existe la siguiente formula:

Siendo S la longitud de la contraseña y N el numero de simbolos que se pueden usar en las contraseñas:

Pero, ¿Qué significa esto?, tomemos un ejemplo. Imagina que tu contraseña consiste en solo minúsculas y su longitud es de máximo

Continue reading →

Availability, Integrity and Confidentiality (Triforce of security)

--Originally published at GG Guazaman

En esta ocasión solo quería compartirles el link a un pequeño articulo creado en colaboración para el blog de un compañero de la clase, espero puedan checarlo y dejar su comentario.

Visitar: La Trifuerza de la seguridad

What if the universe is an OS and we´re all malware?

--Originally published at GG Guazaman

En muchas ocasiones escuchamos que las computadoras se ven afectadas por virus, pero en muy pocas escuchamos hablar de malware como tal así que:

¿Malware = Virus?

R = No necesariamente.

Comenzando por lo básico: Un malware es todo aquel código malicioso diseñado para infectar una computadora o dispositivo, que realizan cosas que no queremos tal como: robo de información, envío de mails masivos, robó contraseñas, creación de puertas traseras para que un tercero pueda acceder a nuestros archivos, etc. En fin puras cosas que no queremos que nos pasen nunca.

En cambio, un virus, si lo tomamos en un sentido un poco más correcto, es código malicioso que se propaga mediante la infección de archivos existentes, por ejemplo y uno de los medios mas comunes de infección: cadenas de correos y USB´s conectadas a equipos infectados.

Así que a final de cuentas un virus es un tipo de malware, pero no solo los virus son malwares, existen una amplia variedad tal como lo son:

¿Existen muchos tipos de malware?

Claro que si, de acuerdo a la pagina oficial de Kaspersky existen:

Virus clásicos
- Programas que infectan a otros programas por añadir su código para tomar el control después de ejecución de los archivos infectados. El objetivo principal de un virus es infectar.
Gusanos de red
- Este tipo de malware usa los recursos de red para distribuirse. Su nombre implica que pueden penetrar de un equipo a otro como un gusano. Lo hacen por medio de correo electrónico, sistemas de mensajes instantáneos, redes de archivos compartidos (P2P), canales IRC, redes locales, redes globales, etc. Al penetrar un equipo, el gusano intenta obtener las direcciones de otros equipos en la red para empezar enviarles sus copias.
Caballos de Troya (troyanos)
- Esta clase de programas maliciosos incluye una gran variedad de programas
  
  Continue reading "What if the universe is an OS and we´re all malware?" →

Hello world #TC2027

--Originally published at GG Guazaman

Hola a todos y bienvenidos a mi Blog.

Mi nombre es Guazaman (o por lo menos mi username) y soy un pequeño blogger principiante.

Este es el primer blog que creo en toda mi vida y aun estoy trabajando y pensando el formato y las características del mismo.

Para empezar, este espacio sera utilizado para compartir con todos ustedes algunas de las cosas que llevare durante la materia de Seguridad Informática con mi profesor Ken Bauer (les recomiendo muchísimo darle una visita a su Twitter) y me gustaría convertirlo en un espacio donde podamos intercambiar información al respecto y discutir sobre la misma.

Además de vez en cuando publicare cosas referentes a mis otras materias de la carrera de Ingeniería en Sistemas Computaciones y que creo yo podrían ser de su interés o bien, que me gustaría obtener una segunda o tercera opinión.

También podrán encontrar de repente cosas que me apasionan fuera de lo académico como lo es la música (soy baterista), los videojuegos, la política, entre otras cosas.

Espero convirtamos este blog en un sitio muy interesante y a la vez lleno de información útil para toda la comunidad y ahora diganme, ¿Comenzamos?