jueves, 27 de mayo de 2010

Pensamientos en el IRC

No podia dejar de publicar algunas frases de desesperación y/o autismo de los participantes del último Defcon CTF 2010 Quals.

Todo g33k tiene la obligación de reirse!

w33t34m|Luwenth: I want a better brain than the one I have

[w33]deorth: oh f300 how we hate you
[00:34] Giant: f300 should be banned.


[01:12] AuTolyCos: give me hint~!!!!!!!!!!!!!!!!!!!
[01:12] foreee: Me too
[01:13] [InVaR]KwKeeper: me too!!!!!!!!!!!!!!!!!!!!!!!!1
[01:13] [skat8rs]beist: give me some food


[01:38] foreee: i wanna for100 needdd im got mad:

<|[censored]|> fuck I have an exam in two hours
(lo dijo cerca del final de los prequals - 4:00AM)

<[ddtek]mars> QUALS ARE OVER
<[ddtek]vulcan> QUALS ENDS IN 30 MIN!!!!
(Lo decia cada cierto tiempo, uno de los organizadores del wargame)


http://ddtek.biz/defaced.html
(un auto deface)

DELETE * FROM scores WHERE score <= 6000

are you even human?

Me too. Got a bucket of Vasoline and a special Colombian
donkey video.

<[sk8ers]beist> headache+++

<[vand]yotta> oh god, fuck f300

20 hours of my life gone

<[UM]Jolly> evil evil f300

<[vand]yotta> also i wasted like 5 hours on pkt100 before giving up
<[vand]yotta> :(

pkt100 is hell

(de acuerdo)

<[UM]rIncredible> There's obviously no good english resource.
<[UM]rIncredible> All the top teams are non-US.
<[painsec]Hockey> Yep, there are none.
<[UM]rIncredible> So, go learn another language?

I'm fairly sure killing sheep wouldn't delight ddtek at all.

What does pkt100 want from me?!

<[rewtarded]ar1s> t500 makes us mad


plz hint~ f300
f300 requires you to meditate on the cosmos, the fundamental
underpinnings of quantam mechanics, and the orientations of
spins of burros in schrodinger's mom's box


yeah because of the asteroid headed towards earth

any can tell me the trivia 200, im not compiting im to learn about this

give up now! quals is a lie. no hope for you!
death!
destruction!
pain!
suffering!
especially for burros in columbia!
think of the burros!
think of the burros!
(no me hizo tanta gracia)

<[jnop]neutral> For the love of god. Packet 100 must be staring us in the
face
<[UM]rIncredible> It is

It's officially my birthday. 26 years down, hopefully millions to
go :D

LOL

miércoles, 26 de mayo de 2010

Defcon CTF 2010 Quals


El pasado fin de semana,se realizaron las pruebas clasificatorias para el CTF de DefCon, en este post quiero contarles un poco de que se trata todo esto, quizas de esta forma para la próxima de animen a jugar.

En el mundo de la seguridad es muy común que las personas jueguen wargames, también conocidos como retos informáticos donde se pone un objetivo y las personas "juegan" a alcanzarlo. Pongo entre comillas juegan porque el que lee muy a la ligera piensa que se trata de un juego como XBOX o PLAY EXTATION y la verdad nada mas distante de la realidad. Estos juegos buscan que las personas demuestren sus habilidades en técnicas relacionadas con el mundo de la seguridad, podemos mencionar cosas como networking, hacking, reversing, análisis forense, programación, creatividad, innovación, auto control y un largo etcetera que perfilan a los competidores como auténticos hackers.


Generalmente estos wargames son organizados por personas conocedoras del tema que por simple diversión crean las plataformas tecnologicas del juego y diseñan los retos, pero en este caso especifico se hace como una actividad pre-clasificatoria a un evento similar pero con mas nivel llamado Capture The Flag (Captura la Bandera), este CTF se realiza durante una de las convenciones de hackers mas grandes que hay en el mundo: DefCon. Para poder participar (como jugador) en este evento es necesario clasificar primero, solo 9 equipos clasifican y tendrán la oportunidad de enfrentarse a nuevos desafíos durante el próximo Defcon 18.


La expresión Capturar la Bandera es muy común en algunos juegos de FPS, sin embargo existe una gran diferencia, la bandera esta representada por una clave o un archivo importante que contiene la pista final para pasar el reto. Así que cuando se dice que vamos a jugar CTF en unos prequals, lo que se quiere decir es que un grupo de personas nos vamos a reunir (física o lógicamente) a trabajar con nuestros computadores durante varias horas a intentar pasar retos informáticos hasta encontrar las claves válidas que nos permitan pasar a los siguientes niveles del juego. ¿Cúal es la motivación?, El conocimiento.


Entendido esto puedo empezar la entrada ;)

El pasado fin de semana, se realizaron las pruebas clasificatorias para el CTF de DefCon, esta es la primera vez que participo en estos prequals, siempre he jugado en otro tipo de wargames y bueno, porque no sacar un fin de semana para juntarme con amigos y aprender un poco mas?.


El juego empezó desde el viernes 21 de Mayo, me dí cuenta como a las 2 PM, desde ahí y hasta el domingo 23 de Mayo 9:00PM, jugamos sin parar :P

La prueba consistía en 30 niveles organizados por categorías: Trivias, Criptografía, Binarios, Paquetes de red, Explotación y Análisis Forense. Estas categorías a su vez estaban organizadas por orden de dificultad, los retos mas "sencillos" sumaban 100 puntos y los más dificiles (quien dijo imposibles?) sumaban 500. Para mejor comprensión observar la siguiente tabla.


¿En que consistía el juego?, en sumar todos los puntos que pudiéramos en 55 horas, todas las indicaciones estaban en el sitio de ddtek (http://quals.ddtek.biz/board.html), quienes fueron los encargados de montar los retos. Adicional se tenia un canal de IRC (irc.ddtek.biz:16667) para solucionar las dudas o para hablar con el resto de los concursantes.

Al final del juego quedamos en la posición 97/265 con un total de 1300 puntos.

Espero que para el próximo CTF hayan mas colombianos jugando y a los que estén cerca del HackLab, los invitamos a que se pongan en contacto y se unan a la diversión, entre mas jugadores participen, mas experiencia acumularemos y mas aprenderemos todos. Para los interesados, tenemos una lista de correo por medio de la cual se discuten los temas relacionados con los CTF y wargames en general.


Les dejo algunos enlaces interesantes.

Writeups (soluciones) DefCon CTF 2010 Quals (por el HackLab):

B100:
http://maybe-successful.blogspot.com/2010/05/defcon18-ctf-quals-binary-l33tness-100.html

C300:
http://maybe-successful.blogspot.com/2010/05/defcon18-ctf-quals-crypto-badness-300.html

T200:
http://nonroot.blogspot.com/2010/05/writeup-pt200-defcon-ctf-2010-quals.html

PKT300:
http://dumacx.blogspot.com/2010/05/el-fin-de-semana-pasado-entre-el-21-y.html

PKT100:
http://nonroot.blogspot.com/2010/05/writeup-pkt100-defcon-ctf-2010-quals.html


Writeups (soluciones) DefCon CTF 2010 Quals (resto do mundo):

Desde DefCon:
https://www.defcon.org/html/links/dc-ctf.html

VnSecurity:
http://www.vnsecurity.net/2010/05/defcon-18-quals-writeups-collection/

Pentester.es:
http://www.pentester.es/2010/05/defcon18-ctf-prequals-writeups.html


Hasta la próxima.

Writeup PKT100 DefCon CTF 2010 Quals

Este es el reto 100 de paquetes de red, en esta categoría generalmente se entrega un archivo .pcap que hay que analizar. En este caso el paquete de muestra tenia paquetes ping entre dos maquinas y como ayuda teniamos la pista: sumthing is not like other...

Este reto fué de nivel 100, pero creo que hizo llorar a mas de uno. Como siempre una vez visto el resultado todo parece tan fácil ;)

Lo primero que observamos es que el archivo viene comprimido con lzma:

>$file pkt100_6b233464726cfa8fa.pcap.lzma
pkt100_6b233464726cfa8fa.pcap.lzma: data
>$

lo descomprimimos entonces:

>$lzma -d pkt100_6b233464726cfa8fa.pcap.lzma
>$file pkt100_6b233464726cfa8fa.pcap
pkt100_6b233464726cfa8fa.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)
>$

Lo cargamos en el wireshark y tratamos de entender de que se trata el asunto.


La pista nos daba a entender que algo en el paquete no era como los otros y al mezclar la palabra something con la palabra sum (de summary quizas), entendiamos que se trataba de algo en suma o resumen que no era como los demas ...

En este punto y para no hacer muy larga la historia (y el sufrimiento XD) podemos decir que se intentaron cosas como:
  • Verificar cada checksum de los paquetes tratando de encontrar incongruencias
  • Verificar posibles datos que identificaramos dentro del campo data de los paquetes icmp
  • Uno de los paquetes era diferente en bytes al resto, tenia 129 bytes, mientras el resto tenia 256, probamos todas las posibles claves relacionadas con ese paquete, se trata del primero, asi que probamos con uno, first, first packet, 1 frame, frame 1, frame 1 packet, etc.
  • También probamos con los nombres de cada campo del header IP e ICMP, pero tampoco dió resultado.
Algo que nunca vimos y que por ahí estaba el truco era que cada DATA del paquete ICMP era diferente, generalmente los PINGS son homogeneos tanto en la pregunta (ICMP tipo 8), como en la respuesta (ICMP tipo 0).

Como se soluciona el ejercicio?

Podemos hacer un pequeño script usando la libreria scapy:

>$cat sacadata.py
#!/usr/bin/env python
#Extrae la data de los paquetes ICMP que encuentre en
#el archivo .pcap, sys.argv[1] == paquete.pcap de entrada
import sys
from scapy.all import *
a=rdpcap(sys.argv[1])
for data in a:
print data.load
>$

Este script extraerá todos los campos DATA de los paquetes ICMP que se encuentre en el archivo .pcap. La salida de este script la podemos redireccionar a un archivo.

>$python sacadata.py pkt100_6b233464726cfa8fa.pcap > salida
>$tail -2 salida
��ighRSYgV�SXU��Rhf�XXRWf��dfVX�OdXTWdWWgPg�TgYP��iYXPhP���XgTXS4ffhSh�VS�ghj�4RO�TR�iTPWTdfUYShji�h�fVUXXg�Xd�XP�X�VYYfXUf�fdRh�X�gTfX�S�PTgd�4�YRghg�S�TdhS�iWRggTg�h�dOPOf���Ud�dR���jTOSUj�����jf�SO�Ud
UW�PVjOV�U�4�h��d�SUUUVYY�jV�YRSfRjPg�hi��S�ff�fPP�PS�fd�PgiVj��WVYgRY�Y�XRTUS�ijTRYW�jUdT4SRVfVRg�TgYV�WfgU�j��SP�OdT���W����Vf�i�RRXidUUYhWhVW�Uigj�iRPX�4��VUTgOSd�VS�SdRdgR�gSSURV�hj��PTi���S�OX��Sf�S
...

Al leer el archivo resultante nos damos cuenta que hay caracteres no imprimibles, y el comando file nos reporta lo siguiente:

>$file salida
salida: Non-ISO extended-ASCII text, with CRLF, CR, NEL line terminators
>$

Que hacemos entonces?, podemos pensar que el texto esta codificado y que seguramente existirá algo que lo decodifique. En este punto un pájaro cruza la ventana del HackLab y se posa en mi hombro y me twittea al oido lo siguiente:

yydecode, yydecode, yydecode ...


En un principio pense que eran cosas sin sentido, cosas de pajaros, pues que mas le puede decir a uno un pajaro a travez de su pico?

Pero despues me di cuenta que existe otra cosa diferente a base64 para hacer este tipo de codificación y que efectivamente yydecode y yencode son cosas que existen en este mundo.

Con esta pista clara, procedemos a decodificar el texto:

>$yydecode salida
yydecode: salida: No `=ybegin' or `begin' line found
>$

Supongo que yydecode requiere algo estandar para funcionar, así que descargo el yencode y lo uso a modo de prueba:

>$cat prueba.txt
esto es una prueba.
>$yencode prueba.txt
prueba.txt: prueba.txt.ync (1/1): file OK: (470.0%)
>$

El resultado queda en el archivo prueba.txt.ync

>$cat prueba.txt.ync
=ybegin line=128 size=20 name=prueba.txt
�J���J���X4
=yend size=20 crc32=087F0ABC
>$

De esta forma me doy cuenta como espera el yydecode que le pasemos el archivo, lo que hago es usar el archivo de salida del .pcap y agregarle las cabezeras del archivo de prueba. Al intentar decodificar el archivo, me dice que el original existe, entonces lo borro.

>$yydecode salida
yydecode: salida: prueba.txt: File exists
>$

Intento de nuevo.

>$yydecode salida
yydecode: salida: prueba.txt:1: Part longer than expected
yydecode: prueba.txt:1: Part broken (of 1 parts)
yydecode: prueba.txt: wrote 0 bytes; should have been 0
yydecode: prueba.txt: renamed to prueba.txt.broken
>$

Lo que me suponia, se requiere una longitud correcta y un CRC32 válido para el archivo para que el yydecode haga su trabajo.

=ybegin line=128 size=5000 name=prueba.txt

Edito el tamaño (variable size) a 5000 y pruebo nuevamente.

No funciona, que hago?, abro el editor nano y le doy CTRL + C para que me informe cuantos caracteres tiene el archivo:

[ line 66/67 (98%), col 128/128 (100%), char 8449/8450 (99%) ]

Pruebo cambiando el dato de los caracteres a 8450.

Ahora que el tamaño es correcto o por lo menos parece, yydecode arroja un error diferente:

>$yydecode salida
yydecode: salida: prueba.txt:1: Part CRC32 error -- got 0x6796de83, should be 0x087f0abc
yydecode: prueba.txt:1: Part broken (of 1 parts)
yydecode: prueba.txt: wrote 0 bytes; should have been
yydecode: prueba.txt: renamed to prueba.txt.broken
>$

Esto me indica que el CRC32 esta malo (obviamente) pero me hace el favor de recalcular uno correcto. Así que tomo el valor 0x6796de83 y edito el archivo.

=yend size=8450 crc32=0x6796de83

Pruebo nuevamente ...

>$yydecode salida
yydecode: salida: prueba.txt:1: warning: Wrong part size -- decoded 8384 bytes, expected 8450
yydecode: prueba.txt: wrote 8384 bytes; should have been 0
yydecode: prueba.txt: renamed to prueba.txt.broken
>$

Sigue generando errores pero me informa que gran parte del archivo fue decodificado (decoded 8384 bytes).

La salida la obtenemos en: prueba.txt.broken

>$tail prueba.txt.broken
+&?)^=>][+,+,]}.(}]?-?]--.@(%<|>*|%){^|=]}],&&|(-,*^<[/:+[{:{:/, @]@<{[{:-{:<)~,@=%-=~&>{,&(~.~&=|}&?(,&)=@&/^?<&-|{.)-(,:%[]<~<& :{.-,-[]:*>|*)/.=}>*~>%~)*]]-|//~|.^[},&]]<))%/=+..>?+&]<(%]|)-, *|&}@./*.&<<@-|%[[.%::{*{+~)&][.<{(]&::[,*&,)|>]),?}=*.^/+:?^)&[
]).%/(,>}=(>.@[~&{-+>}][=]}{-%=]/(^.+/(+(-<{:<,<+(+?>&&=,&-[-]|%
)>>)|/^-/,>+<*|>&|>@@^/?%^,*]={~~%>~&^},&)|>(<%&[=*|:%%?)~[(]@({ ~*+/&**=}:([*-{({+/=,|,:=?~&^,{^(~}))(/:(/{{@)&-}%,]@)>%))[^*=,]
~@,{|=]/+)>]=^&~%&%@[>=](}.?(=.}%~,](--.[.%~*-|)]->.]=-:??^&[<{[ ^)(]^&-*[//=+}]%{.)->%[?@(%>=^})|-^*{~|->&/*,?[[-&-=}-]:,%]&*(~[
...

Efectivamente el archivo esta decodificado y entonces?, cual es la clave?
Lo que hacemos es examinar todo el archivo y en algun lugar perdido encontramos un md5.


Para romper el md5 visitamos los sitios de siempre (google, bing, md5crack, passcracking). Recuerden siempre intentar encontrar bases de datos donde ya esten crackeados los MD5 que buscan antes de sacar sus propias tablas arcoiris, para los interesados les puedo enviar las del grupo por correo, solo pesan 150GB ;)

Finalmente usamos esta respuesta en la scoreboard del juego y ... nos damos cuenta que el juego ya se acabó y que estos 100 puntos se perdieron ;)

Como ven, era solo cuestión de entender un poco mas a fondo la estructura ICMP y pensar en que la DATA va encodeada, fácil, muy fácil XD.

Writeup PT200 DefCon CTF 2010 Quals

El reto de trivia200 tenia como pista un usuario, un dominio,, un puerto y la frase: sheep go baaAaaA.

Aunque no lo crean y bajo la presión del tiempo es normal que no se sepa que hacer en esas circunstancias, sin embargo uno de los compañeros de grupo encontró que la clave para acceder por ese puerto era baaAbaaA y listo ya sabíamos por donde empezar.

Una vez entrabas al sistema por SSH, nos encontrábamos con una pantalla negra que no daba mas pistas, lo que uno hace instintivamente es presionar la letra CTRL + todos los caracteres posibles que tenga el teclado tratando de generar errores o por lo menos que se cambie el fondo a algo mas amigable.

Después de algunos intentos se descubre que esa pantalla negra es un editor similar a vi, es por esto que empezamos a probar la combinación de comandos :w, :q, etc, etc, tratando de salirnos del editor, pero no funciona.

unas horas después ...

Reintentamos en el reto y nos aseguramos de que efectiva mente era vi o vim, ya que con algunos comandos podíamos escribir aunque la letra no se visualizaba, es por eso que se me ocurre intentar cambiar el color del fondo, quizás la letra con la que se escribe y el color de fondo eran iguales.

Con el comando: :hi normal ctermfg=white ctermbg=black pude ver lo que escribía y pude ver la salida de los diferentes comandos que ejecutaba. En este punto estaba confirmado que era el editor vim, pero entonces como encontrar la clave?

Intente cosas como:

  • Tratar de leer archivos y directorios (:r [arc|dir]) para "mapear" la estructura de directorios donde estaba, me enteré del chroot y de los comandos limitados que tenia.
  • Abrir la ayuda y cargar archivos para reconocer la versión del vim y el sistema operativo objetivo (al parecer un fedora)
  • Intentar ejecutar comandos con el viejo truco de !comando, pero no había shell disponible en el sistema, puesto que el usuario no tenia shell y no pude encontrar ninguna otra válida (sh, tcsh, zsh, ash, etcsh).
  • Cargar el archivo de arranque del vim, llamado .vimrc, este archivo si abrió y pude ver todas las configuraciones que habían realizado.
  • Tratar de grabar un archivo en algún lugar para luego ejecutarlo, pero todo estaba en modo lectura y aunque intenté quitárselo con los parámetros "set" de vim, no funcionó.
Y así, una y otra cosa hasta que decidí empezar a probar al azar (es muy raro pensar que esto no se me ocurriera antes, pero siempre sucede así) y traté de leer el archivo llamado key.

Al parecer era la clave correcta

Siiiiiiiiiiii!!!!!!!!!, 200 puntos mas.
;)

lunes, 17 de mayo de 2010

How Strong is Your FU ?

Hace algunos días la gente de Offensive Security organizó un wargame donde podían participar todos los que quisieran poner a prueba sus conocimientos en técnicas hacking.

El reto resultó bastante entretenido como era de suponerse, pues conocemos el historial de las personas que están detrás de este site, sus proyectos y la famosa distribución backtrack.

Este post es para recordar algunos momentos de estres durante el wargame, cuando uno como participante no sabe que hacer, se le acaban las ideas, se desespera y empieza a alucinar en el IRC. Durante estos periodos logré capturar algunas frases de los concursantes y estoy casi seguro que no eran los únicos que pensaban estas cosas.

Espero que después de leerlas se rían igual que yo. XD

Antes de las frases, aquí esta la documentación relacionada con la solución al reto, el cual consistía en vulnerar 3 maquinas y encontrar 3 banderas (flags), que en la vida real pueden ser tokens, claves o simplemente archivos.

Documetación de los participantes:
http://www.information-security-training.com/news/hsiyf-runner-up-documentation/

Documentación oficial (1/3):
http://www.information-security-training.com/news/offsec-hsiyf-report-part1/

En resumen los retos se explotaban con las siguientes técnicas:

La tabla de putuación final fue:
http://scoreboard.information-security-training.com/scoreboard/

(para entender el contexto imaginense estar en un juego bajo presión del tiempo, con cientos de personas compitiendo por un puesto, con la escacez de ideas y pensando en tener que comprar un regalo para la mamá o asistir a una reunión familiar)

Y ahora sí, las frases celebres ...

---

Fireking300
:
I will pwn the gh0st sooner or later
[20:03] Fireking300:
Anyone still trying? :p
[20:03]
Dade[painsec]
:
yes
[20:03] Dade[painsec]:
and desperated too

--

raph0x88
:
its written "mv social.life /dev/null" on my shirt =/

--

wimremes
:
is it just me or is it only the desperate people blabbing in here ?

WickedClown
:
@wimremes.. you right, I am desperate! :D

--

Guest84931
:
offensive should offer the course for a winner and a big loser like me...winner already know about security .. :(

--

nick8ch
:
muts you are an evil evil person, but i love ya for it! cheerz!

--

Fireking300
:
I'm tryin my best. but I guess this is for the best. To tell me my FU is weak

--

johnnycannuk
:
and if I don't makeit, Ill still learn something when its done..

--

fuxu2
:
I'm finally done with some really boring mother's day type stuff for my wife. Holy crap I was wanting to go home soooo bad.

--

logan_WHD
:
stupid holidays stopping you from hacking
[21:21] logan_WHD:
:)

--

DaKahuna
:
OneLastSin: can yo help me on phase 1 ?
[22:05]
cleguevara
:
lol

--

thew00
:
!hint
[22:10]
BT-Ninja
:
thew00: hint is your FU is weak

--

acespades
:
Seriously the systems are hella slow and we can't do what we gotta do. And you guys just say whine! Its annoying!!


BT-Ninja
:
John: slow is if it's slow it means u r making it wrong

--

Pd: hay que recordar que el juego se realizó durante el día de las madres. Porque se empeñan en hacer este tipo de wargames en año nuevo, dia de las madres, guerra de la independencia, etc?, acaso no tenemos derecho a tener una vida social?. LOL.

domingo, 16 de mayo de 2010

Me robaron mi cuenta de correo! ...



Es común para mi recibir respuestas como :

Frase celebre 1
No me importa que alguien se robe mi cuenta de correo, no tengo nada importante allí.

Frase celebre 2
Realmente no me importa que alguien se robe mi cuenta de correo, no tengo nada que ocultar.

Frase celebre 3
Meh!

Decidí escribir este post para que las personas que aún piensan que el asunto del robo de una cuenta de correo no puede pasar a mayores tengan un segundo punto de vista. Resumo los riesgos en 5 aspectos que deberías considerar antes de levantar los hombros y manifestar que no te interesa el tema, si se me olvida algo, por favor usa los comentarios.

1. Tú perfil

Tu cuenta de correo, lo quieras o no, puede perfilarte en gustos, clase social, económica y religiosa, aunque no lo creas tendrás correos que te identifican con una forma de pensar y de vivir, un intruso informático extraerá toda la información que quiera sobre ti de los correos que consideres no importantes. Generalmente esta será la cuenta que usas para enviar correos privados e información personal tal como tus hojas de vida y obviamente será el lugar donde las personas interesadas en tu talento te escribirán, ¿Qué pensarías si en este mismo instante no la tuvieras disponible?, alguien adivinó tu contraseña y ahora no puedes ingresar!


2. Mensajes falsos

Tu cuenta de correo puede ser usada para engañar a tus contactos, la pueden usar para pedir favores, establecer citas, organizar reuniones, dar ordenes, coordinar proyectos o lo que se le pueda ocurrir a un intruso dependiendo del perfil de la cuenta a la que tenga acceso, no es lo mismo una cuenta personal a una cuenta corporativa. ¿Qué piensas ahora?, ¿tienes alguien en el trabajo que quisiera tener tu cuenta para enviar este tipo de correos?

3. Difamación

Tu cuenta de correo puede ser usada para difamarte o difamar a un compañero de trabajo o hasta tu mismo jefe, piensa por un minuto si desde tu cuenta se escribiera un correo grotesco a tu jefe, ¿Qué pensaría de ti?, ¿Qué sucede si eres alguien nuevo en la empresa?, ¿Qué sucede si le escriben a un profesor del colegio o universidad?, ¿te creerían?. Tu cuenta de correo robada puede ser un canal para enviar fotos, vídeos, mensajes, campañas y hasta malware a nombre tuyo, piensa en lo que esto le ocasionaría a tu reputación. ¿Te importa tu reputación?


4. Recordatorios

Tu cuenta de correo no solo tiene información acerca de los correos que van dirigidos a ti en esa cuenta, muchos sistemas y portales en Internet usan cuentas de correos como recordatorios, quizás tu cuenta de correo robada sea el lugar al que llegarán los típicos correos recordatorios de contraseñas de facebook, gmail, hotmail, yahoo, de algunos cursos en línea, del pago de los servicios, los comprobantes de pagos de salud y pensión, de nomina, los abonos de la tarjeta de credito, los recordatorios de claves privadas de otros sistemas como el DAS, la procuraduría, los bancos, etc. Haz el ejercicio de pensar cuantos portales, blogs, sistemas de IM usas y cuantos de estos apuntan sus recordatorios a tu cuenta de correo robada. Un intruso con esta cuenta en su poder, podrá recuperar cada uno de los accesos a estos servicios. ¿Cuanta información podrá recolectar?, ¿ Hará lo mismo para cada una de los servicios recuperados?. Por supuesto!.
¿Sigue sin importante?


5. Disponibilidad

La NO disponibilidad de tu cuenta de correo te acarreará problemas con otros contactos, no solo amistosos, si no de trabajos, citas, reuniones, proyectos, pagos pendientes y todo el día a día que tienes almacenado. No poder contactarte con alguien porque no recuerdas su correo es algo molesto y asumir que perderás estos contactos para siempre es mucho peor. o NO?


Una vez reflexiones acerca de las consecuencias de no prestarle atención a tu cuenta de correo pasemos a plantear algunas contramedidas que puedes aplicar.


a. Los sistemas de correos son útiles para nuestra vida diaria, sin embargo compartir información privada sin usar mecanismos de seguridad adecuados no es para nada recomendable, por esto se recomienda usar aplicaciones de llaves públicas como GPG, donde podrás crear un par de llaves (privada y pública) y de esta forma podrás cifrar y firmar cada correo electrónico que vayas enviar. En caso de alguien logre robarte la identidad en el correo no podrá recuperar los mensajes en texto claro, pues solamente estarán disponibles para la persona a la que se lo enviaste.

b. Una segunda contramedida es no enviar a través de este medio, fotos, vídeos, o material que no quisieras ver publicado en sitios de Internet sin tu autorización, la mejor forma de no perder el control sobre esta información, es no compartirla.

c. Para verificar que un correo es tuyo y no de una persona que lo esta suplantando, alguien debería comprobar tu identidad digital, una forma de hacerlo es a través de las firmas electrónicas o de los certificados digitales, si tu empresa aún no usa esto, es hora de que se lo cuentes, de esta forma cuando llegue un correo electrónico aparentemente firmado por X, todos tendrán la certeza de que se trata de X y no de alguien suplantándolo. El mito es que estos sistemas son costosos y por eso las empresas no los implementan, la verdad es que existen sistemas libres y opensource totalmente gratuitos y que la implementación se puede hacer en menos de un mes dependiendo del tamaño de la compañía.

d. Trata de usar los recordatorios de las cuentas lo menos posible, en algunos casos es preferible arriesgarse a perder la información almacenada allí, que establecer un mecanismo de recuperación fácil de adivinar, como las típicas preguntas ¿ Donde nació su Madre?, ¿Cual es mi color favorito?, estas preguntas se pueden deducir despues de visitar tu facebook o haciéndote la pregunta directamente en el MSN cuando alguien se hace pasar por una rubia de 1.80 de estatura a la que le encanta bailar "pegaito". Por favor evita responder a estas preguntas y evita los mecanismos de recuperación de contraseñas. Pero si es necesario hacerlo, garantiza que la cuenta a donde llegarán todos los recordatorios es la mas segura de todas y que la clave la estas actualizando por lo menos cada mes. Como recomendación general usa respuestas en los sistemas recordatorios bastante complejas de mas de 20 o 40 caracteres y anota esta respuesta en un papel y guardalo bajo llave en tú casa, de esta forma podrás recuperar tu acceso si algo extremo ocurre, es algo mas complicado, pero le harás la vida mas difícil a cualquier delincuente informático o amigo aficionado que quiera husmear en tus archivos.

e. Crear respaldos de los correos es una buena política. Cuando tengas respaldados los correos intenta eliminarlos de las fuentes originales, esto hará que existan menos copias de la misma información, lo que logra un mejor control de la misma. De vez en cuando puedes ponerte en el escenario donde no tienes acceso a tus cuentas de correo y esto te obligará a pensar cual es la información que consideras IMPORTANTE y así podrás determinar que es lo que debes respaldar. Recuerda que los respaldos no solo son los textos que van con los correos, recuerda que en gran parte el sistema de correo se usa para transportar ficheros (doc, odt, xls, ppt, pdf, avi, exe, etc) que pueden ser vitales para tu estudio o trabajo, trata de prestarle atención a estos y trata de mantenerlos en lugares seguros fuera del sistema de correo.

f. Una recomendación que suena bastante drástica es limpiar/purgar el sistema de correo cada cierto tiempo, personalmente borro mis cuentas de correo cada cierto tiempo, al punto de dejar 1 o 2 mensajes importantes, se que es algo que puede ocasionar un infarto para algunos, pero ya lo he hecho y he sobrevivido, mi última limpieza resultó en -14.000 correos en mi Inbox, aunque fue motivado por un ataque de paranoia me ayudó a comprender que datos eran los realmente importantes en ese mar de mensajes. Después de eso lo hago con mas cautela, selecciono la información, respaldo y luego DELETE ALL. :)


Espero que este post te haya parecido interesante, si tienes aportes sobre otros posibles problemas u otras posibles contramedidas, eres bienvenid@ para aportar en los comentarios.

lunes, 3 de mayo de 2010

Day Against DRM - DRM sucks


Hoy es el día para protestar en contra del DRM incluido en los dispositivos digitales

Entradas populares