ChichaPlanet

Durante bastante tiempo fui usuario de EncFS para guardar mis datos personales cifrados y poderlos transportar. La verdad que EncFS funciona de maravillas con fuse y es muy práctico, aunque el resultado es un directorio con datos (cifrados) y a mi siempre me atrajo la idea de armar mi sistemas encriptados en un archivo (contenedor), que yo pueda montar y ya hace tiempo que uso Truecypt para esto.

Truecrypt permite crear un archivo y luego montarlo en el filesystem y copiarle cosas adentro o trabajar con él, como si fuera un filesystem común, salvo que está encriptado.

Para instalarlo en sistemas *ubuntu, es tan fácil cómo descargar de aqui:

$ wget http://www.truecrypt.org/downloads/truecrypt-6.0a-ubuntu-x86.tar.gz
$ tar xf truecrypt-6.0a-ubuntu-x86.tar.gz
$ ./truecrypt-6.0a-setup-ubuntu-x86

y se siguen los pasos que se indican en la interfaz, lo mejor es instalar el .deb que sugiere y se va a encargar de colocar lo que haga falta (libfuse y fuse-utils).

Su uso por línea de comandos es muy simple:

Para crear un volúmen:

$ truecrypt -t -c archivo.tc
Volume type:
1) Normal
2) Hidden
Select [1]:

Enter volume size (sizeK/size[M]/sizeG): 10M

Encryption algorithm:
1) AES
2) Serpent
3) Twofish
4) AES-Twofish
5) AES-Twofish-Serpent
6) Serpent-AES
7) Serpent-Twofish-AES
8 ) Twofish-Serpent
Select [1]: 1

Hash algorithm:
1) RIPEMD-160
2) SHA-512
3) Whirlpool
Select [1]: 1

Filesystem:
1) FAT
2) None
Select [1]: 1

Enter password:
Re-enter password:

Enter keyfile path [none]:

Please type at least 320 randomly chosen characters and then press Enter:
asdlkfjdsalkfjasdlkfjasdl;kfjasd;lkfjasdl;kjf[...]

Done: 100,000% Speed: 13,8 MB/s Left: 0 s
The TrueCrypt volume has been successfully created.

$ ls -al archivo.tc
-rw——- 1 rodolfo rodolfo 10485760 2008-09-04 15:45 archivo.tc

y ahi está mi contenedor

Para montar el volumen encriptado en el filesystem es asi:

$ truecrypt -t -v archivo.tc /mnt
Enter password for /home/rodolfo/archivo.tc:
Enter keyfile [none]:
Protect hidden volume? (y=Yes/n=No) [No]:
Volume “/home/rodolfo/archivo.tc” has been mounted.

$ df -h
S.ficheros Tamaño Usado Disp Uso% Montado en
/dev/loop0 10M 0 10M 0% /mnt

$ truecrypt -t –list
1: /home/rodolfo/archivo.tc /dev/loop0 /mnt

y alli ya se puede usar copiando cosas para el /mnt

Para desmontarlo se pueden usar diferentes etiquetas, pero yo suelo usar el punto de montado:

$ truecrypt -t -d /mnt

Hay dos cosas que me gustan mucho de Truecrypt, la primera es que tiene una simple interfaz gráfica que funciona sola (al no usar el modificador -t):

la segunda cosa que me gusta es el hecho que es multi-plataforma, asi que mis contenedores truecrypt los abro transparentemente desde MacOSX también… y bueno, si algun día tengo que compartir algo con un usuario Windows, pues también! Así que en mi pendrive tengo una carpeta truecrypt con los ejecutables e instaladores para todas las plataformas.

Encuentro en el blog de Jimmy Ruska un artículo que analiza las claves (passwords) más usadas, allí textualmente dice:

Claves más comunmente utilizadas

1. 123456, 123, 123123, 01234, 2468, 987654, etc
2. 123abc, abc123, 246abc
3. primer nombre
4. grupo musical favorito
5. cancion favorita
6. primeras letras del nombre y del apellido
7. qwerty, asdf, y otras secuencias de teclado
8. comic favorito o película favorita
9. deporte favorito o estrella del deporte
10. país de origen
11. ciudad de orígen
12. todo números
13. alguna palabra del diccionario
14. combinación de dos palabras del diccionario
15. cualquiera de las anteriores escritas al revés
16. aaa, eee, llll, 999999, y otras repeticiones

Jimmy hace todo un análisis muy interesante sobre las claves y su opinión sobre este comportamiento común, que sugiero leer. De alli rescato también este cuadro, donde se muestra el tiempo que se tarda en generar todas las combinaciones posibles para distintos formatos y largos de claves:

Obviamente, a medida que el poder de cálculo de las computadoras aumenta, estos tiempos disminuyen.

Generador de claves

Si esto de las claves te es de interés, puedes empezar por un asistente generador de claves. Mi sugerencia es que si andas perdido por ahí, tratando de crear una clave y luego poderla recordar, te vayas hasta SISMIT online Password generator with Sha-1 encryption, que te permite crear claves fáciles de recordar, para luego utilizar en distintos lugares. SISMIT es un sitio en Ajax que te pregunta un nombre favorito, una palabra favorita y una fecha favorita y con esos datos arma claves, que buscan ser fáciles de recordar a partir de esos datos favoritos.

También con

apt-cache search password generator

puedes ver varios generadores de claves para descargar y tener instalados en tu comutador.

Administrador de claves

Claro, luego llega un momento que por más mecanismos para recordar las claves, si queremos tener suficiente cantidad de claves distintas para sitios distintos, debemos recurrir a algun software de ayuda. (paradojicamente el software que estoy usando actualmente no es ninguno de los allí listados…. ya pondré un artículo sobre él).

Cordura de claves

Hasta que algun día evolucionemos intelectualmene y nos demos cuenta de lo obvio:

(a ver…., no tomen muy en serio esto último…., o sí, medítenlo!)

Indirectamente, y de la peor forma, me vengo a topar con este enlace: http://wordpress.org/support/topic/168964. Este problema compromete muchos sitios, corriendo versiones 2.1.3, 2.3, 2.3.1, 2.3.2, 2.3.3 y 2.5 de Wordpress, que muestra información sobre el servidor sobre el que está corriendo.

Creo que aun no hay parches disponibles. El sueño gana para seguir buscando.

El viernes pasado y dado que mi DNI estaba por vencer, fui a hacer mi tramite de la renovación de este y viendo los videos que pasaban mientras esperaba me enteré de la nueva opción que estaban “desarrollando”, el DNI electrónico. Primero me pareció una gran noticia y un buen proyecto, pero instantáneamente esa sensación fue seguida de varias preguntas, conociendo sobretodo como funciona el estado peruano, algunas de las cuales fueron:

• Que tipo de cifrado utilizarán para las firmas digitales
• Utilizarán algún algoritmo de cifrado desarrollado y probado o cometerán sacrilegio al usar el suyo propio
• El cifrado de documentos será mediante alguna aplicación propia de la reniec o una alternativa utilizada y libre
• Que tan fácil de romper será el cifrado
• Los “usuarios” generarán sus propias llaves privadas o simplemente les darán la llave ya generada en alguna computadora de dicha entidad con la opción que alguien pueda “sustraer” dicha llave privada
• En caso la llave privada sea robada, habrá alguna opción de cambiarla
• Si la anterior es Sí, que validez tendrán los archivos firmados anteriores
• Si la llave privada esta contenida dentro del chip del DNI, como se asegurarán que al ser robado el documento no sea utilizado por un ladrón para suplantarnos
• Si la llave privada esta contenida dentro del chip, como podré hacer uso de ella? Necesitaré una lectora de chips?
• Estarán las llaves públicas en algún lugar accesible o solo será posible verlas/obtenerlas por ciertas entidades

Como buen geek interesado en la seguridad empecé a investigar, buscar en internet, leer sobre el documento y mi respuesta fue la esperada: no hay información de NADA de esto en internet, o por lo menos no la encontré, será que lo que me temo es cierto y nadie sabe como funciona (como suele pasar en Perú), será que están confiando la seguridad en un cifrado “desconocido” por el atacante, será tan fácil de romper como hacer un simple ataque de ingeniería inversa?

En resumen: el estado quiere darnos una nueva tecnología y una nueva forma de “identificarnos”, virtualmente, pero no hay información sobre como funcionará esta, que es lo que realmente nos están dando, a que peligros nos podríamos exponer y al buscar una respuesta a estas interrogantes solo se encuentran más preguntas y dudas, pero total, a la población no le interesa, si un pequeño porcentaje tiene acceso a una computadora, y de ese pequeño porcentaje somos incluso mucho menor la proporción de ciudadanos que conocemos del tema, entonces no nos preocupemos por informarles! Pero no podemos dejar que jueguen con la seguridad de nuestra identidad, la reniec debe poner bien en claro todos los aspectos de este nuevo cambio, los legales, los de uso y los técnicos.

Ubuntu Pentesting Team is team formed to continue check the security of the ubuntu resources (i.e: wiki.ubuntu.com, launchpad.net, qa.ubuntu.com, etc…) and as it will deal with the security holes on those resources it’s a restricted team. It has a really nice purpose, and sound like really exciting tasks so i try to join it, attend to the previous meeting only to sit and watch, but at this time i apply myself, and i was approved! so now i’m part of the Ubuntu Pentesting Team!! I’m really excited and hoping to start working soon, see you on the Pentest Day!!

Buscando información sobre Scapy, que dicho sea de paso es una herramienta magnífica y que merece un post aparte, me topé con un tutorial de iptables que esta muy bien explicado y muy fácil de seguir y que sirve para detener los ataques mas comunes que se pueden encontrar en internet como por ejemplo los SYN Flood, smurf, port scanning, spoofing, etc etc. Visiten la guía en la siguiente dirección:

Neat tricks with iptables: http://www.newartisans.com/blog_files/tricks.with.iptables.php

Lo dije antes y no me cansare de repetirlo: Microsoft nunca va a dejar de sorprenderme:

De Kriptópolis

“Arrieros somos y en el camino nos encontraremos”, reza un dicho popular.

Y es que -dicho sea sin acritud- el tiempo acaba poniendo a todo el mundo en su sitio.

Y ha querido el tiempo (o el Destino, que es otro de los dioses inmisericordes, neutrales y cegatos que afligen con sus caprichos al ser humano) que para atacar al usuario de una determinada manera acabara siendo necesaria la cooperación de dos navegadores rivales.

Por recordar un poco, la cooperación consiste en lo siguiente:

Si se visita la página maliciosa con Firefox no existe riesgo alguno.
Si se visita la misma página con Explorer (y el usuario también tiene Firefox instalado), el desastre se consuma.
Dejando de lado los tecnicismos (en los que algunas mentes alicortas prefieren embarrarse), parece de sentido común que ante esa situación sólo cabe una aproximación honrada: que cada uno solucione la parte que le toca.

Sin embargo, desde el primer momento la aproximación de los dos “afectados” (y nótese aquí el uso intencionado de la palabra “afectados”, en vez del término “culpables”) no ha podido ser más contrapuesta…

Así, Mozilla, que podía haberse escudado fácilmente tras la expresión “no es mi problema” (al fin y al cabo, cualquier usuario que navegue con Firefox no es vulnerable a este ataque), afirma de inmediato que solucionará su parte del problema. A los siete días justos, en efecto, esa parte está solucionada.

Por el contrario, Microsoft afirma desde el primer día que éste “no es su problema”, de donde se desprende que no hará nada por reparar su parte (es decir, por mejorar su filtrado de los manejadores de eventos). Y en esas sigue.

La posición de Microsoft es, más o menos, la siguiente: “Esto es Internet; si su Firefox es incapaz de manejar una entrada maliciosa, arreglen ustedes su maldito Firefox”.

Sin duda muy cómodo para Redmond, pero para su desgracia hay planteamientos mucho más responsables en materia de seguridad, como el siguiente: “Un programa seguro ha de cuidar tanto sus entradas como sus salidas”. O incluso esta versión menos estricta: “Que tu programa sea liberal con sus entradas, pero estricto con sus salidas”. En definitiva; aceptemos un razonable compromiso: Explorer debería filtrar mejor sus salidas y Firefox manejar mejor sus entradas. En este caso, Mozilla ya ha hecho sus deberes con la segunda parte, mientras Microsoft sigue considerando que no ha de hacer nada con la primera.

Pero, ¿realmente Microsoft no necesita parchear este asunto en su Explorer? No lo sé, pero este “bug” (que Microsoft considera -otra vez- una “feature”) no sólo permite -o permitía- pasar parámetros indeseables a Firefox, sino que sigue sirviendo de vector de ataque contra Adobe Acrobat, AOL Instant Messenger, Skype, e incluso otros productos de Microsoft, como Outlook, Outlook Express, NetMeeting y Windows Media Player.

Ante este ejemplo palmario de lo que Microsoft entiende por “seguridad” no es de extrañar que algunos medios ya estén pidiendo a gritos a los de Redmond que reparen su parte… ni tampoco sorprende que Explorer continúe perdiendo terreno a pasos agigantados.

Articulo original

Por suerte no uso iExplorer mas que para cosas puntuales, ojala los webmasters se den cuenta de esto y empienzen a preparar sus paginas para que se vean en cualquier navegador.

En mi Google reader veo este video que demuestra las delicias del uso de Windows como usuario final.



Al final del video se recomienda el uso de un sistema de protección contra Malware.

Esperar que un sistema de protección contra Malware brinde seguridad a un sistema windows, es como tener la esperanza de que un amputado de las 4 extremidades las regenere milagrosamente con la toma de una aspirina.

Espero que con esta analogía entiendan lo MALA que es la seguridad en Windows.

Por suerte hay sistemas amigables al usuario final con una seguridad mucho mejor.

(video via Arturo Goga)

tags: seguridad, windows, ubuntu

Así como lo leen, de la misma página de Teleticket que vende las entradas al concierto:



La descripción del lugar (SOLO PROGRES, NO POBRES) va con los precios verdad?

Bromas aparte, el objetivo de este post es, además de hacer un comentario gratuito sobre la tiranía que sufre el pueblo cubano con artistas comodones que usan ese sufrimiento como panfleto, es el de comentar un terrible agujero de seguridad presente en Teleticket hace al menos un par de años en que les envié un correo reportando esto, pero al parecer "no llegó".

En qué consiste el agujero? Un ataque sofisticado a sus servidores de DNS? No. Complicadas sentencias de XSS? Tampoco. Inyección de SQL? Menos.

Las páginas de Teleticket generan su contenido desde la URL.

Un error tan infantil que resulta increíble, especialmente viniendo de una empresa que tiene transacciones de dinero por Internet, y para colmo con el sello de "Verified by Visa". No pudieron contratar al menos un desarrollo que tenga un MÍNIMO de nociones de seguridad de la información?

Y si tienen este tipo de problemas (que saltan a la vista tan solo con su URL), que cosas mas tendrán. Mis predicciones incluyen al menos SQL injection y XSS.

Lo mejor de todo es este mensaje en su página: "Además, podrás comprar tus boletos on line con la seguridad que sólo TELETICKET puede darte."

Y Cuba es un paraíso socialista, protegido por el Flying Spaghetti Monster, verdad?

(Mas información en el Útero)

tags: cuba teleticket seguridad infosec silvio+rodriguez