Noticias Informáticas

Información Tecnica, Noticias Informáticas, Seguridad

El negocio de las webs y aplicaciones de hackeo

/

Soy un seguidor de Chema Alonso, como sabéis los que leéis el blog, y el siempre comenta que diariamente le llegan, como hacker famoso, peticiones de diversa índole relacionadas con el hackeo de cuentas a terceras personas. Algunas son muy graciosas y es impresionante que la gente piense que pueden solicitarle a alguien que hackee la cuenta de su novia, o su jefe de trabajo. No es algo nuevo, en el Deep Web, o en páginas “underground” siempre ha existido esto. Pero ahora se anuncian y todo. Me están sorprendiendo mucho las ofertas de páginas y aplicaciones de actividades delictivas relacionadas con la seguridad informática que están saliendo. Casos como el falso “quien me espía en facebook” o el “whatsapp de escritorio”. Chema ya nos advirtió hace poco de las “aplicaciones para hackear Facebook“, que luego mirando el código sólo generaban un código aleatorio. Eso si mucha gente las descargan y ellos consiguen monetizar esas descargas de varias maneras. Hay mucho primo suelto. Hace unos días salió un servicio online de Lizard Squad (grupo de hackers responsable de la caída de las redes de Xbox Live y PlayStation en navidades), llamado Lizard Stresser que servía para solicitar a los usuarios de Lizard, bajo previo pago, que atacasen por DDOs a una web de tu elección (bajo la excusa de servir como prueba de seguridad). La gente podía entrar, registrarse con usuario y contraseña y pedir (pagando) esos ataques al grupo Lizard. Tirando de la fama conseguida en navidades e intentando monetizarla. Como podéis ver en el enlace la página ha sido hackeada, y es que parece ser que el que la hizo no tenía mucha idea y puso los usuarios y contraseñas en texto plano. Estos usuarios y contraseñas han sido filtrados y la web se cae frecuéntemente. Desde entonces no sólo se ha filtrado la lista de usuarios y contraseñas de esta web (y se ha visto las solicitudes de pago y ataques), sino que las cosas no parecen haber ido bien para este grupo porque se han realizado varios arrestos. Esta semana he visto la salida de http://hackerslist.com/, una supuesta página donde puedes registrarte y solicitar, también bajo pago un trabajo de hackeo. Los usuarios registrados como “hackers” pueden llevar a cabo ese trabajo y la página, una vez realizado, transmite el pago. Algo que, obviamente dado el carácter de los trabajos muy legal no es. Pero además no veo a la comunidad hacker viendo esto como una oportunidad para monetizar sus conocimientos y muchos lo verán como un sitio “a atacar”. Si no lo tiran los sistemas legales….me temo que los usuarios lo harán. Ni que decir tiene que no recomiendo para nada este tipo de sitios, ya habéis visto con el caso de Lizard Stresser que no dan buen resultado, pero además estas páginas también son muy dadas a gente aprovechando el tirón mediático para clonarlas o atacarlas. Si realmente tienes que descubrir la contraseña del correo de tu novia déjala. Y si quieres algo investiga, descubre y aprende. El mundo de la seguridad informática es fascinante…pero no está para hackear la cuenta de tu jefe.

Android, Noticias Informáticas, Seguridad

Que es el NFC que están poniendo en las tarjetas de crédito. Ventajas y peligros.

/

Muchos habréis oído los términos “tarjetas Contactless” , ha llegado la era “Contactless” etc. Sobre todo en los bancos. ¿Qué es esto? Se trata del uso de la tecnología NFC (Near Field Communication) en las tarjetas (banco, DNI, abono transportes…) y todo indica que cada vez iremos más en esa dirección. ¿Qué es la NFC? Es una tecnología de comunicación inalámbrica (como si tuvieras una pequeña wifi) basada en el anterior RFID. Pero mientras el RFID permitía leerse a varios metros (dependiendo del tipo y la fuente usada), lo que podía ser un gran problema de seguridad, el NFC sólo se puede leer a distancias de hasta 10 cm aproximádamente (de ahí lo de Near). ¿Que ventajas tiene? Básicamente es una evolución de los códigos de barras, las tarjetas magnéticas e incluso los códigos BIDI. Se puede crear pegatinas o emisores con información NFC que cualquier lector puede leer y permitan ejecutar algo (un cobro, mandar un email, añadir un recordatorio al calendario, abrir una aplicación etc etc). Esto ya os está permitiendo pasar tarjetas de abono transporte en lectores y que abra el torno,ver la información con el móvil sobre el estado de los autobuses en la parada… y va a permitir pagos son sólo acercar una tarjeta, fichar fácilmente en el trabajo, realizar muchas acciones automáticamente, leer datos (igual que los Bidi) desde el móvil etc etc . Incluso el DNI 3.0  va a disponer de NFC lo que permitirá identificarte rápidamente en muchos servicios. Y muchos bancos os están cambiando la tarjeta a “Contactless” en “modo lentejas” ,la coges si o si. De hecho no sólo son las empresas las que pueden usarlo sino que ya venden tarjetas que puedes programar (de varios costes, baratas en China y algo más caras las de las marcas).  Y la mayoría de los móviles actuales van incluyendo lectores de NFC (parte del peligro..todo el mundo tiene un lector). Mirad este vídeo. PELIGROS: A cualquier informático esto le hace temblar y ver luces rojas de alarma. Porque hay una regla en la informática, todo lo que tu puedes ver de manera remota lo pueden ver también “los malos”. Esto se vió en USA donde era fácil leer a distancia la información de la tarjeta de crédito con un lector a distancia (de hecho salió una aplicación para móvil que retiraron). Eso si, como es una tecnología reciente no se conocen mucho todavía sus vulnerabilidades. Saldrán más. Apuntamos algunas: Obtención de la información de la tarjeta.  Esto permite a cualquier persona con un lector obtener la información contenida en la tarjeta. Información que pueden ser los datos de tu tarjeta de crédito o, algo que preocupa mucho con el DNI 3.0 , que te identifique la policía (o cualquiera) sin autorización. A saber que hace luego esa persona con esos datos. Pagos pequeños sin más seguridad: Al principio del uso del RFID y ahora NFC en las tarjetas de crédito los bancos permitían (y permiten) el cobro de pequeñas cantidades desde un lector sin necesidad de PIN (por temas de estar offline etc). Esto quiere decir, por ejemplo, que en teoría yo podría cobrarte pequeñas cantidades (Electronic Pickpoketing) pasando un lector cerca de ti (menos de 10cm) sin mayor autorización. Pequeñas cantidades a muchas personas es una cantidad muy grande. Parece que ahora han limitado el número de cobros así que se requieren sin PIN…pero sigue siendo un riesgo enorme. Tráfico sin cifrar. GRAN fallo. El tráfico por RFID (NFC incluído) NO está cifrado (cómo se les ha pasado esto hoy en día creando la tecnología es impensable). Esto quiere decir que cualquiera puede leer el tráfico si lo intercepta. ¿Difícil? Proyectos como el https://www.openpcd.org/  ya crean tanto software como hardware que lee tráfico NFC. Ataque Relay: Un tercero puede leer la información entre la tarjeta y un lector, y usarla en una tarjeta falsa posteriormente. Por ejemplo así. Bueno …..espero haberos acojonado un poco porque sólo así uno es consciente de cómo debe proteger sus datos. Más información hackeando NFC. ¿Que puedo hacer para protegerme?   No usar esta tecnología no es solución…nos la van a imponer (bancos, DNI 3.0 etc) y además toda tecnología tiene sus ventajas. Y se pueden (Y DEBEN) tomar medidas de seguridad. Ya venden carteras que bloquean el RFID porque crean una jaula de Faraday desde la que los emisores de tu tarjetas no pueden salir fuera de la cartera. Esta es una solución. Para el que no quiera comprar una cartera también venden fundas para tarjetas anti-RFID , mucho más económicas, donde puedes meter la tarjeta y no deja que emita fuera. Las hay de muchas calidades y tipos pero como mínimo recomiendo ir comprando algunas de estas. Ya estáis advertidos….vienen fraudes a punta pala.    

Internet, Noticias Informáticas, Opinión

El gobierno,AEDE y la tasa Google. El abusón que se mete con uno mayor

/

Hay una ley en la calle “no andes buscando pelea porque a lo mejor la encuentras“. Algo parecido es lo que le ha pasado al gobierno, y AEDE, con la llamada “tasa Google” . Os lo cuento por encima. Erase una vez el abusón típico de pueblo (el gobierno actual de España), acostumbrado a imponerse, pegar a los débiles del patio del pueblo y hacer las cosas a sus anchas. En este caso a decretazo limpio. Tiene, como es normal en estos casos, un corrillo de gente muy ladradora que le alaba, le dice lo bueno que es, le aconseja y le azuza a hacer lo que ellos no quieren o no pueden hacer (la SGAE, ADE etc). Además, como suele pasar en estos casos, el verdadero cerebro no es el abusón, que suele ser bastante inculto y algo “cortito de mente” (simplemente tiene fuerza bruta) sino alguien detrás tirando de los hilos (banca, eléctricas etc). Tanto se salen con la suya el abusón y su cuadrilla que cada vez se hace más descarado y más temerario. Hasta que un día intenta tomarle el pelo al “malote” de la gran ciudad (Google)  y quitarle el dinero de la comida (que AEDE dice que es suyo).  Claro, el simplón abusón no sabe nada de la gran ciudad (Internet), pero en su ignorancia se vuelve más atrevido y quiere aparentar dominio a base de fuerza (demostrando ignorancia suprema). En este caso intenta tomarle el pelo con la llamada Tasa Google, que para el que no sepa es una ley por la que todos los que publiquen contenido de otros sitios tiene que pagarles. Pero no lo cobran los sitios…sino un consorcio de amiguetes que ya si es lo recogerán por tí. También se llama canon AEDE (¿os suenan otros cánones?). Más informació aquí.  Como algunos la han llamado la “ley más infame de la historia de Internet”. Si lo queréis explicado en plan parábola de heladería mirad esto. Ante el primer intento Google les dijo ok, si me penalizáis al buscador os quito la indexación, y entonces el abusón, al ver “la hostia” viniendo reculó e hizo una variación por la que el buscador no se vería afectado por eso. Pero siguió erre que erre azuzado por su cuadrilla e ignorando casos de abusones de otros pueblos que ya recibieron “el guantazo padre” y reconocieron que la pérdida de no indexarse por Google era demoledora. Nada…para chulo el gobierno de España. Con dos cojo… Así que el malote de la gran ciudad, al ver que el pardillo abusón de pueblo sigue intentando venir con intenciones nada razonables ha pegado el siguiente puñetazo en la mesa: cierra Google News en España. Esto quiere decir que no indexará en su “periódico” digital (gratuito) los periódicos españoles.  Mayor prueba de soy el más fuerte y no sigas por ahí…no puede hacer. Aunque mucho me temo que el abusón español es muy ignorante y no hará ni caso. Esto es lo que acaba de hacer Google. ¿Por qué temían los de AEDE la indexación de Google? Porque aparecían sus noticias junto a las del periódico de Castilla, el de la PYME pequeñita etc. Es decir alentaba la libre competencia y perdían exclusividad. Desgraciadamente ellos podrían estar contentos porque si Google News cierra la gente leerá a los grandes…en detrimento de los pequeños (de nuevo). Lo que no se dan cuenta es cómo va a repercutir es en su SEO, el posicionamiento en el buscador. Cuando, como ha pasado en Alemania y en otros sitios, bajen de posiciones en el buscador y pierdan dinero empezarán a temblar. Lo gracioso es que la manera de compensar esto es pagar a Google para Adwords (jajajaja..el karma que es muy jodido). De hecho empiezan a darse cuenta….y asustados van a su colega el abusón llorando pidiendo que haga algo. Lo que no se dan cuenta es que están acostumbrados al campo y se han ido directos al mar a navegar. No sólo eso…se han ido a meter con el tiburón blanco del mar. O salen del agua y aprenden a nadar…o se van a ahogar. Para descojone general del resto de peces en el agua. PD: Esto no quiere decir que Google no deba ser controlado y monitorizado. Pero tienen que hacerlo gente que al menos sepa lo que es Internet, y con algo más de diálogo y de humildad.  

Información Tecnica, Noticias Informáticas, Trucos

Discos duros híbridos. Qué son y por qué los recomendamos

/

Los discos duros híbridos (SSHD) con, como su nombre indica, una mezcla de la tecnología de estado sólido SSD, con los discos duros tradicionales (HDD). Lo bueno es que han conseguido las ventajas del SSD (rapidez de lectura y delgadez) con las ventajas del HDD  (relación capacidad precio) haciendo que sean algo muy aconsejable. Hace un tiempo salieron los SSD, discos que consiguen muchísima velocidad respecto a los discos duros tradicionales. Esto hizo que, salvo problemas de compatibilidad, puedas hacer que tu ordenador mejore muchísimo en velocidad con este cambio. Eso si, al cabo de un tiempo nos dimos cuenta que venía con fallos (normal): el precio y la capacidad. Los discos duros SSD son bastante más caros y con menos capacidad que un disco duro tradicional. Esto hace que la mayoría de usuarios no se planteen cambiar su disco de, digamos 500GB, por un SSD de, digamos, 120Gb. No les merece la pena. Sobre todo porque los discos duros tradicionales siguen creciendo en capacidad (varios Tb ahora). La solución parece ser la tomada con los discos híbridos. Son básicamente (hay varios tipos) un disco HDD pero con una parte de SSD. Tienen una caché o una parte de SSD que sirve tanto de caché como de partición donde se instalar, por ejemplo el SO. De esa manera la mayor parte de las lecturas en disco tienen la ventaja del disco SSD de velocidad. Ademas al no estar todo el rato los platos girando el disco tiene más “vida útil” y consume menos energía. Suelen, ademas, si leemos datos en la parte clásica del disco, meter en “caché” esa información y la siguiente vez se consigue más rápido. A igual capacidad son algo más caros que los discos HDD, pero con unas diferencias pequeñas, por lo tanto suele merecer muchísimo comprar un disco híbrido. La mejoría en velocidad de procesamiento y lectura/escritura hace que tanto el ordenador como los programas vuelen. Quizás no tanto como un SSD, pero es que el precio de estos es demasiado elevado para el usuario medio.    

Linux, Noticias Informáticas

Guía rápida de instalación de Ubuntu por Mountain

/

Ya os hemos hablado de los ordenadores Mountain, como le decía el otro día a una clienta, si quieres gastare el dinero no en diseño sino en prestaciones, es una buena opción. Estos días han sacado una guía rápida de instalación de Ubuntu. ¿Por qué lo compartimos? Porque muestra lo que llevamos tiempo diciendo (recalco que yo llevo ya unos 5 años trabajando sólo con Ubuntu y recientemente con Lubuntu sin problemas), que Ubuntu es un sistema operativo excelente para empezar con Linux. Atrás han quedado muchísimos de los problemas que tenía Linux, y ahora podemos contar con la estabilidad de Linux, su poca tasa de virus ( ambas parte de lo que hace de Mac tan apreciado y que realmente se debe a su base Linux entre otras cosas), y las enormes ventajas de ser gratuito, actualizarse de versión gratis también y dar unas prestaciones increibles en equipos nuevos, viejos e incluso de otras marcas. Esto, junto a que la mayoría del trabajo ahora se hace online, lo que homogeiniza los sistemas operativos, su uso y las aplicaciones ya que casi todo se hace con navegadores, ha conseguido que poco a poco Ubuntu vaya consiguiendo una cuota de mercado más alta. De hecho estamos viendo de nuevo la venta de equipos sin sistema operativo incorporado, para poder instalarles Linux, cosa que debería abaratar los costes de la compra porque un Windows son unos 100€. Y digo debería porque me imagino que si se vuelve tendencia los fabricantes simplemente subirán el precio. Tanto es así, que ya los fabricantes como Mountain sacan instrucciones de instalación de Ubuntu, para que los usuarios vayan acostumbrándose. Si quieres atreverte a usar Ubuntu….disfrutad del vídeo.

Noticias Informáticas, Seguridad, Sistemas

Latch: una gran solución de seguridad para tus servicios y páginas web

/

Después de los problemas mencionados en los artículos anteriores esta semana, está claro que las contraseñas largas no sirven mas que para ataques directos y la autenticación de dos pasos es molesta (y por lo tanto muchos usuarios no lo usarán). Si queréis que os lo explique Chema Alonso en esta charla lo hace de maravilla, paso por paso con el razonamiento que hemos expuesto estos días. También cuenta cómo llegaron a la idea de Latch, pero ahora lo resumo. Latch, de Elevenpaths, me parece una idea genial, no exagero: simple útil y cómoda. Le veo mucho futuro y responde a la necesidad de otra manera de securizar los servicios y las webs sin que sea tan incómodo que no se use. Sigue la idea de los cerrojos tradicionales de las puertas (latches), es decir, si tengo el cerrojo echado desde dentro, me da igual que tengas la llave no entras. El mecanismo es “simple”. Instalas Latch en tu servicio, servidor o web (hay plugisn, widgets, líneas de código etc para ello), activas en el servidor de Elevenpaths el latch del servicio que quieres y los pareas. Con eso ya tienes un cerrojo para esa aplicación (puedes tenerlo para las que quieras). Elevenpaths sólo sabe que tienes un cerrojo para una aplicación en una IP, nada más. ¿Cómo funciona? Muy sencillo, cuando sepas que nadie va a querer entrar en tu servicio o web echas el cerrojo (por ejemplo desde una aplicación en tu móvil). Se puede programar que esté echado ciertas horas, caso típico de por la noche. También puedes dejarlo siempre echado y quitarlo sólo en el momento que vayas a entrar. Al servicio sólo se puede acceder cuando el usuario sea correcto, la contraseña sea correcta Y el latch esté abierto. Esas tres combinaciones. Por más que alguien pruebe el usuario y la contraseña correctos (por ejemplo si te lo han robado), si el latch está cerrado no entrarán. Es más, te llegará un aviso por sms al móvil y eso te servirá para saber que alguien tiene tu contraseña y cambiarla. ¿Qué pasa si pierdes o te roban el móvil? Entras por web en Elevenpatch, borras los latch y creas otros. ¡FÁCIL!  La idea es sencillísima pero tiene muchísimo potencial porque de este que es el uso normal han ido desarrollando más y permiten tener varios candados (que sólo puedas acceder abriendo dos candados tipo la seguridad de los misiles en las películas :-D), candados no sólo a la web sino a servicios específicos como pagos, newsletter etc (para que sólo se puedan usar cuando quieras) y mucho más. Lo único que  “me escama” es por qué es algo tan sencillo y con tantas opciones gratis y hasta cuando. Eso si, yo lo estoy empezando a usar en mis servicios y lo iré recomendando a los clientes, porque realmente me parece un avance tremendo en seguridad y usabilidad de la misma. Pronto nos centraremos en su uso en los diferentes servicios según los vayamos probando. El único fallo que le encuentro es que sea concepto tipo Blackberry, es decir que todos dependamos del servidor de ElevenPaths. Si este se cae o hay algún fallo…el cristo que se monta es enorme 😀 Más Info: – Latch: Cómo proteger las identidades digitales (I de IV) – Latch: Cómo proteger las identidades digitales (II de IV) – Latch: Cómo proteger las identidades digitales (III de IV) – Latch: Cómo proteger las identidades digitales (IV de IV)

Buscadores, Noticias Informáticas, Seguridad

Google: formulario de derecho al olvido

/

Esta fue la noticia más importante de finales de la semana pasada. Google se ha visto forzada por las directrices europeas a poner a disposición de los usuarios un formulario de petición de “derecho al olvido“.  Sólo el viernes Google recibión 12,000 peticiones. ¿Qué es esto? En resumen si apareces en el buscador por un enlace que no te gusta, que consideras que atenta a tu honor etc, o que simplemente no quieres que aparezcan (están anticuadas o inexactas) puedes solicitarle a Google que lo quite mediante este formulario. Eso si tienes que tener una causa justificada, claro. Obviamente la Agencia de Protección de Datos está contenta con esta solución, ya que es uno de los derechos que pide como fundamentales para el usuario. También nos parece bastante lógico, aunque Google va a tener muuucho trabajo con esto. Puedes acceder al formulario desde este enlace. Google solicita además de que aportes los datos, que adjuntes  un documento acreditativo de indentificación, para eliminar peticiones fraudulentas. Os recuerdo también que Google tiene otro enlace desde el que pedir la retirada de contenido de diferentes productos.

Linux, Noticias Informáticas

Nueva LTS de Ubuntu disponible: 14.04 Trusty Tahr

/

     Ya está disponible la nueva versión LTS (versión estable con soporte de larga duración) de Ubuntu, la llamada 14.04 (sale en Abril del 2014) Trusty Thar. Y claro, esto es también aplicable a todas las distros de Ubuntu (Xubuntu, Lubuntu, Ubuntu Studio etc). Momento perfecto que ha elegido Canónical para sacar esta versión dado que XP ya ha sido dado por muerto, pero además empieza ya a tener problemas “casualmente”. Por lo tanto Ubuntu se muestra como, en mi opinión, la mejor distribución de Linux para un usuario nuevo y gran baza a la que cambiar tus ordenadores menos modernos (y los modernos también). Podéis leer el caso de un colegio donde van a  actualizar 98 de sus 100 ordenadores con el ahorro de costes que supone. Si quieres descargarte Ubuntu 14.04 para probarla (recuerda que la podéis probar sin instalar, desde un CD),  o para instalarla puedes hacerlo desde aquí. Obviamente nuestra recomendación es, si tienes una versión anterior, actualizar.  Para ello, si todavía el sistema no te lo ha indicado (si, linux permite actualizar gratis sus sistemas operativos a otros más nuevos), debes ejecutar lo siguiente en el terminal. sudo apt-get update sudo apt-get upgrade sudo update-manager -d Y seguramente el sistema te dirá que tienes una nueva versión para descargar. Nosotros ya lo estamos probando.  

Compartir, Noticias Informáticas, Webs

Academic Torrents: una manera de compartir documentos científicos

/

Academic Torrents se ha creado por la necesidad de algunos científicos de compartir grandes cantidades de documentos. En correo no se puede, los servidores son costosos y una lata para mantener y cualquier otro sistema dependería de un tercero. Con una red torrent, los documentos se pueden compartir sin problemas, de manera segura y además no son posesión de nadie en concreto, sino de la comunidad.  Puede crecer según lo necesite la red, y pueden verse las colecciones a través de RSS. Podéis descargaros la wikipedia en inglés entera jejeje Una manera muy sencilla, ingeniosa y útil de compartir esos documentos. Muy buena solución:

Scroll al inicio