Go Back   Champions of Regnum > Español > La Taberna

La Taberna Un lugar para conversar sobre casi cualquier tema

Reply
 
Thread Tools Display Modes
Old 07-18-2008, 04:48 AM   #1
ArcticWolf
Duke
 
ArcticWolf's Avatar
 
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
ArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of light
Default Seguridad Digital: cuentas de correo y passwords

Si bien llevamos un tiempo desde la última oleada de "robo" de cuentas (hurto, en el sentido técnico), considero apropiado actualizar este tema.

Existen varios tipos de técnicas para lograr como objetivo la intervención, captura y análisis de datos que generalmente viajan por red. Entre ellas se cuentan las de sniffing, captura de keystrokes e ingeniería social.

El sniffing es la "captura" de paquetes en la red en la que te encuentres. Esto generalmente no es peligroso, más en un juego, ya que la información que se maneja es administrada por los propios programas. En este caso, el punto especial es en los navegadores web. Para que la información viaje segura cuando te conectás depende del cifrado.


La mayoría muestra la barra de direcciones de color crema y un candado en uno de los laterales cuando esta función está soportada por el cliente. Aparte, debería usar el protocolo "https" y no el "http". ¿Qué importancia puede tener esto? Bueno, gran cantidad de cuentas son hurtadas mediante un mail que simula ser de la compañía de correo electrónico en el que argumentan "haber perdido tus datos" y "requieren confirmarlos". Si no ven el candado o el https, no introduzcan información importante!

NOTA: Para los usuarios de la RegnumFEST: NO introduzcan las claves que usan en el regnum, ya que son sólo para que no les modifiquen el perfil de usuarios en el sitio. Si no introducen nada, se genera una clave al azar. Lamentablemente, no tengo el https disponible por el router.

Otra de las técnicas más viejas es utilizar un programa que capture las pulsaciones del teclado (y mouse, tal vez) y las guarde en un archivo que es enviado al cracker[1] a la brevedad. Detecta todo, desde el "enter" hasta la tecla de borrar, por lo que si tu clave fue introducida en una máquina compartida puede verse afectada.

¿De dónde me pude pescar uno de estos programas? Está el famoso "hack del oro", que no es más que una aplicación precaria (pero efectiva) para ello. Sin embargo, podrías tener un troyano que haga el mismo trabajo más silenciosamente. A menudo se los "contagian" por MSN, así que cuidado con lo que abras y lo que te pida!

Vamos por la siguiente causa de "robo": el prestar la cuenta. La gente no es buena, nadie en la vida está totalmente limpio. No le presten la cuenta A NADIE, y menos a aquellos que confían y no conocen en la vida real (como para arreglarlo cara a cara ). La clave es como la llave de tu casa, ¿me van a dar una copia, o a cualquiera?

No es lo único, ya que también está el que sigue todos estos consejos y aún así tiene problemas. ¿Qué pasó, si no prestaste tu clave? Fuiste vulnerable bajo lo que es un "ataque de diccionario", o dicho en cristiano, te adivinaron la clave. Para eso se recomienda cambiar de clave cada mes y usar una combinación de caracteres. Mientras más larga y variada sea la frase, mejor.

No usen la misma clave para todo!!!! Es un riesgo, ya que si la obtienen también ganan acceso a TODAS tus otras cuentas y servicios!!! No uses la clave del banco, la de la alarma de tu casa o fechas. JAMÁS!!! [2]

Por último, creo que sólo queda tratar la ingeniería social:

Es constante ver que los usuarios depositan su confianza en los más cercanos. Este vínculo genera una brecha que ningún firewall ni anti-spyware puede crear: el poseedor de la cuenta entrega los datos voluntariamente. No hay software que te salve de esta... ¿Entonces qué hago? Cuidarte de todos.

Es lamentable que sea así, pero detrás de todas estas técnicas hay un "marco" de trabajo que se basa en la persona en sí. ¿Es un niño? ¿Qué tan inocente es? ¿Cuánto confía en mí? Entonces, por más que te pidan la clave, sea para lo que sea, podría ser alguien esperando a aprovecharse de vos.

Sin embargo, hay un remedio mágico para la Ingeniería Social si seguiste mis consejos (en realidad, los de muchos) hasta ahora: NO LE DES LA CLAVE A NADIE, NUNCA, NEVER, JAMÁS!!!!!!!!!


RESUMEN PARA LOS VAGOS:
  • Ver si la página donde meten datos importantes tiene cifrado (https). Esto va en especial para los mails!
  • Especial cuidado con los programas que instales y que te pasen. Ojo con los "hacks" para Regnum o todo programa que pida clave.
  • NO LE DES LA CLAVE A NADIE! En este mundo hay muchos "amigos" que te van a pegar tremendo cuchillazo en la espalda cuando te des vuelta. Si prestás la cuenta, cambiale la clave cuando te la devuelvan.
  • Cambiar la clave periódicamente.
  • Elegir una clave larga y con caracteres variados. Mientras más letras y números mezclados tenga, mejor!
  • No le des la clave a nadie.
  • No uses la misma clave para todo [2]



[1] Es cracker, no hacker... A no confundirlos!

ADENDA:
[2] Agradecimientos a Ramona!!!
__________________
I don't have a solution, but I admire the problem.

Last edited by ArcticWolf; 07-18-2008 at 05:38 AM.
ArcticWolf no ha iniciado sesión   Reply With Quote
Old 07-18-2008, 05:21 AM   #2
Snoid
Master
 
Snoid's Avatar
 
Join Date: Feb 2007
Location: Altaruk :) Posts:31,337
Posts: 446
Snoid will become famous soon enoughSnoid will become famous soon enough
Default

se te olvido una importante:

- No usen la misma clave para todo!

Es habitual que la gente use las mismas claves en distintos sistemas (hotmail, otros correos, trabajo, ciber, casa...). Si cualquiera de los sistemas es atacado o tu informacion revelada de algun modo, todos los demás quedarán igualmente comprometidos.

Ejemplo:
Suponed que vuestro buen amigo del ciber, almacena las contraseñas de los clientes registrados sin encriptar (las puede leer), y un dia que se aburre, se pone a probar esas mismas contraseñas en todas las cuentas de hotmail que sus clientes le han ido pasando. Es relativamente facil que esto suceda, y si usaste la misma contraseña en tu acceso al ciber y en tu msn (por ejemplo), estarias completamente a su merced (y la de sus amigos).

Y eso, no confien en nadie, ni siquiera en Xephandor.
__________________
I'm an outsider, outside of everything...
RAMNA

Elegida Miss Ignis 2009 por votación popular

Last edited by Snoid; 07-18-2008 at 11:35 AM.
Snoid no ha iniciado sesión   Reply With Quote
Old 07-18-2008, 01:12 PM   #3
arlick
Duke
 
arlick's Avatar
 
Join Date: Jan 2007
Posts: 3,939
arlick is a jewel in the rougharlick is a jewel in the rougharlick is a jewel in the rough
Default

Quote:
Originally Posted by Snoid
Y eso, no confien en nadie, ni siquiera en Xephandor.
Xephandor es un h4x0r!!
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia
"uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan
arlick no ha iniciado sesión   Reply With Quote
Old 07-18-2008, 04:05 PM   #4
Reivax
Initiate
 
Reivax's Avatar
 
Join Date: Mar 2007
Posts: 240
Reivax will become famous soon enough
Default

Lindo post Xephy^^

Quote:
Originally Posted by Xephandor
Si prestás la cuenta, cambiale la clave cuando te la devuelvan.
Me parece que seria mas apropiado decir " cambiale la clave, si es que te la devuelven". Es triste, conozco casos contados con la mitad de una mano en donde devolvieron la cuenta tal cual la robaron, ya que directamente no la recuperas, o de hacerlo, pueden haberte borrado los pjs.
__________________
Reivax - La Jihad - Yaara Heren Hyarmenor
Reivax no ha iniciado sesión   Reply With Quote
Old 07-18-2008, 04:11 PM   #5
AbouJaria
Pledge
 
AbouJaria's Avatar
 
Join Date: Aug 2006
Location: En sueños
Posts: 35
AbouJaria is on a distinguished road
Default

Muy buen dato chee!! Gracias Xeph!
Y Gracias a Ramona tambien !!!! Yo soy uno de esos que usan la misma clave para todo...

Ahora ya cambie todas las claves... tengo como 15 dando vueltas por mi casa...
__________________
AbouJaria no ha iniciado sesión   Reply With Quote
Old 07-18-2008, 04:29 PM   #6
ArcticWolf
Duke
 
ArcticWolf's Avatar
 
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
ArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of light
Default

Gracias a ustedes


Otro consejo más, este un tanto más personal. No almacenen las claves en el mail o un papel, al menos no todas en el mismo. Si lo encuentran, estás al horno!

Por ningún motivo den pistas, tampoco. Si dicen "mi clave tiene sólo números" o "es una clave larga", por más que parezca algo trivial, es una pista que ayuda a confeccionar un buen diccionario de claves para el ataque conocido como "fuerza bruta" (probar claves hasta que entra).
__________________
I don't have a solution, but I admire the problem.
ArcticWolf no ha iniciado sesión   Reply With Quote
Old 07-18-2008, 04:43 PM   #7
Reivax
Initiate
 
Reivax's Avatar
 
Join Date: Mar 2007
Posts: 240
Reivax will become famous soon enough
Default

Quote:
Originally Posted by Xephandor
para el ataque conocido como "fuerza bruta" (probar claves hasta que entra).
Siendo boludo, probar claves hasta que entra, llegando a los limites de la pelotudez

Prefiero hacer Ingenieria Social(?)
__________________
Reivax - La Jihad - Yaara Heren Hyarmenor
Reivax no ha iniciado sesión   Reply With Quote
Old 07-18-2008, 04:55 PM   #8
ArcticWolf
Duke
 
ArcticWolf's Avatar
 
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
ArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of light
Default

Quote:
Originally Posted by Reivax
Siendo boludo, probar claves hasta que entra, llegando a los limites de la pelotudez

Prefiero hacer Ingenieria Social(?)
Hmm... No me quiero ir mucho del tema, quería un sticky (debo admitirlo), pero la seguridad me puede.

Si ves a un "hacker" que sólo usa una técnica, lo más probable es que no tenga la más mínima idea de lo que está haciendo. Diferentes tareas requieren diferentes convenciones, y eso implica "protocolos de ataque" únicos para cada caso.

El marco general se basa en las falencias del usuario para proteger la información. Ahí podríamos decir que el primer paso para obtener una clave o cualquier otro tipo de elemento es, a priori, intentar un ataque social. ¿Por qué? Por su alta tasa de efectividad y el corto tiempo que lleva.

Si tratás a modo bruto de entrar lo más probable es que jamás en tu vida lo logres. Es por eso que las otras técnicas refieren al uso de cierto conocimiento de la víctima para acotar el rango de búsqueda. Uno de los ejemplos es confeccionar un diccionario con las claves más comunes basadas en objetos o frases cercanas al atacado. Otra es engañar a la víctima para que ejecute un programa o introduzca sus datos en un sitio web falso (ya pasó con el regnum, se acuerda alguno?).


¿Hay seguridad absoluta? No, pero sí hay un mayor grado de seguridad, y eso depende de la combinación con la que estés mezclando los consejos. Un atacante va a necesitar más tiempo y mejores estrategias para conseguir la información!!!
__________________
I don't have a solution, but I admire the problem.
ArcticWolf no ha iniciado sesión   Reply With Quote
Reply

Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump


All times are GMT. The time now is 11:32 AM.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
NGD Studios 2002-2024 © All rights reserved