|
|
La Taberna Un lugar para conversar sobre casi cualquier tema |
|
Thread Tools | Display Modes |
07-18-2008, 04:48 AM | #1 |
Duke
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
|
Seguridad Digital: cuentas de correo y passwords
Si bien llevamos un tiempo desde la última oleada de "robo" de cuentas (hurto, en el sentido técnico), considero apropiado actualizar este tema.
Existen varios tipos de técnicas para lograr como objetivo la intervención, captura y análisis de datos que generalmente viajan por red. Entre ellas se cuentan las de sniffing, captura de keystrokes e ingeniería social. El sniffing es la "captura" de paquetes en la red en la que te encuentres. Esto generalmente no es peligroso, más en un juego, ya que la información que se maneja es administrada por los propios programas. En este caso, el punto especial es en los navegadores web. Para que la información viaje segura cuando te conectás depende del cifrado. La mayoría muestra la barra de direcciones de color crema y un candado en uno de los laterales cuando esta función está soportada por el cliente. Aparte, debería usar el protocolo "https" y no el "http". ¿Qué importancia puede tener esto? Bueno, gran cantidad de cuentas son hurtadas mediante un mail que simula ser de la compañía de correo electrónico en el que argumentan "haber perdido tus datos" y "requieren confirmarlos". Si no ven el candado o el https, no introduzcan información importante! NOTA: Para los usuarios de la RegnumFEST: NO introduzcan las claves que usan en el regnum, ya que son sólo para que no les modifiquen el perfil de usuarios en el sitio. Si no introducen nada, se genera una clave al azar. Lamentablemente, no tengo el https disponible por el router. Otra de las técnicas más viejas es utilizar un programa que capture las pulsaciones del teclado (y mouse, tal vez) y las guarde en un archivo que es enviado al cracker[1] a la brevedad. Detecta todo, desde el "enter" hasta la tecla de borrar, por lo que si tu clave fue introducida en una máquina compartida puede verse afectada. ¿De dónde me pude pescar uno de estos programas? Está el famoso "hack del oro", que no es más que una aplicación precaria (pero efectiva) para ello. Sin embargo, podrías tener un troyano que haga el mismo trabajo más silenciosamente. A menudo se los "contagian" por MSN, así que cuidado con lo que abras y lo que te pida! Vamos por la siguiente causa de "robo": el prestar la cuenta. La gente no es buena, nadie en la vida está totalmente limpio. No le presten la cuenta A NADIE, y menos a aquellos que confían y no conocen en la vida real (como para arreglarlo cara a cara ). La clave es como la llave de tu casa, ¿me van a dar una copia, o a cualquiera? No es lo único, ya que también está el que sigue todos estos consejos y aún así tiene problemas. ¿Qué pasó, si no prestaste tu clave? Fuiste vulnerable bajo lo que es un "ataque de diccionario", o dicho en cristiano, te adivinaron la clave. Para eso se recomienda cambiar de clave cada mes y usar una combinación de caracteres. Mientras más larga y variada sea la frase, mejor. No usen la misma clave para todo!!!! Es un riesgo, ya que si la obtienen también ganan acceso a TODAS tus otras cuentas y servicios!!! No uses la clave del banco, la de la alarma de tu casa o fechas. JAMÁS!!! [2] Por último, creo que sólo queda tratar la ingeniería social: Es constante ver que los usuarios depositan su confianza en los más cercanos. Este vínculo genera una brecha que ningún firewall ni anti-spyware puede crear: el poseedor de la cuenta entrega los datos voluntariamente. No hay software que te salve de esta... ¿Entonces qué hago? Cuidarte de todos. Es lamentable que sea así, pero detrás de todas estas técnicas hay un "marco" de trabajo que se basa en la persona en sí. ¿Es un niño? ¿Qué tan inocente es? ¿Cuánto confía en mí? Entonces, por más que te pidan la clave, sea para lo que sea, podría ser alguien esperando a aprovecharse de vos. Sin embargo, hay un remedio mágico para la Ingeniería Social si seguiste mis consejos (en realidad, los de muchos) hasta ahora: NO LE DES LA CLAVE A NADIE, NUNCA, NEVER, JAMÁS!!!!!!!!! RESUMEN PARA LOS VAGOS:
[1] Es cracker, no hacker... A no confundirlos! ADENDA: [2] Agradecimientos a Ramona!!!
__________________
I don't have a solution, but I admire the problem. Last edited by ArcticWolf; 07-18-2008 at 05:38 AM. |
07-18-2008, 05:21 AM | #2 |
Master
Join Date: Feb 2007
Location: Altaruk :) Posts:31,337
Posts: 446
|
se te olvido una importante:
- No usen la misma clave para todo! Es habitual que la gente use las mismas claves en distintos sistemas (hotmail, otros correos, trabajo, ciber, casa...). Si cualquiera de los sistemas es atacado o tu informacion revelada de algun modo, todos los demás quedarán igualmente comprometidos. Ejemplo: Suponed que vuestro buen amigo del ciber, almacena las contraseñas de los clientes registrados sin encriptar (las puede leer), y un dia que se aburre, se pone a probar esas mismas contraseñas en todas las cuentas de hotmail que sus clientes le han ido pasando. Es relativamente facil que esto suceda, y si usaste la misma contraseña en tu acceso al ciber y en tu msn (por ejemplo), estarias completamente a su merced (y la de sus amigos). Y eso, no confien en nadie, ni siquiera en Xephandor.
__________________
I'm an outsider, outside of everything... RAMNA Elegida Miss Ignis 2009 por votación popular Last edited by Snoid; 07-18-2008 at 11:35 AM. |
07-18-2008, 01:12 PM | #3 | |
Duke
Join Date: Jan 2007
Posts: 3,939
|
Quote:
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia "uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan |
|
07-18-2008, 04:05 PM | #4 | |
Initiate
Join Date: Mar 2007
Posts: 240
|
Lindo post Xephy^^
Quote:
|
|
07-18-2008, 04:11 PM | #5 |
Pledge
Join Date: Aug 2006
Location: En sueños
Posts: 35
|
Muy buen dato chee!! Gracias Xeph!
Y Gracias a Ramona tambien !!!! Yo soy uno de esos que usan la misma clave para todo... Ahora ya cambie todas las claves... tengo como 15 dando vueltas por mi casa...
__________________
|
07-18-2008, 04:29 PM | #6 |
Duke
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
|
Gracias a ustedes
Otro consejo más, este un tanto más personal. No almacenen las claves en el mail o un papel, al menos no todas en el mismo. Si lo encuentran, estás al horno! Por ningún motivo den pistas, tampoco. Si dicen "mi clave tiene sólo números" o "es una clave larga", por más que parezca algo trivial, es una pista que ayuda a confeccionar un buen diccionario de claves para el ataque conocido como "fuerza bruta" (probar claves hasta que entra).
__________________
I don't have a solution, but I admire the problem. |
07-18-2008, 04:43 PM | #7 | |
Initiate
Join Date: Mar 2007
Posts: 240
|
Quote:
Prefiero hacer Ingenieria Social(?) |
|
07-18-2008, 04:55 PM | #8 | |
Duke
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
|
Quote:
Si ves a un "hacker" que sólo usa una técnica, lo más probable es que no tenga la más mínima idea de lo que está haciendo. Diferentes tareas requieren diferentes convenciones, y eso implica "protocolos de ataque" únicos para cada caso. El marco general se basa en las falencias del usuario para proteger la información. Ahí podríamos decir que el primer paso para obtener una clave o cualquier otro tipo de elemento es, a priori, intentar un ataque social. ¿Por qué? Por su alta tasa de efectividad y el corto tiempo que lleva. Si tratás a modo bruto de entrar lo más probable es que jamás en tu vida lo logres. Es por eso que las otras técnicas refieren al uso de cierto conocimiento de la víctima para acotar el rango de búsqueda. Uno de los ejemplos es confeccionar un diccionario con las claves más comunes basadas en objetos o frases cercanas al atacado. Otra es engañar a la víctima para que ejecute un programa o introduzca sus datos en un sitio web falso (ya pasó con el regnum, se acuerda alguno?). ¿Hay seguridad absoluta? No, pero sí hay un mayor grado de seguridad, y eso depende de la combinación con la que estés mezclando los consejos. Un atacante va a necesitar más tiempo y mejores estrategias para conseguir la información!!!
__________________
I don't have a solution, but I admire the problem. |
|
07-18-2008, 05:41 PM | #9 |
Count
Join Date: Jan 2007
Location: Rosario
Posts: 1,440
|
Xephy bonita, si queres yo te doy una copia de la llave de casa ;-) :P
__________________
Usuario GNU/linux registrado Nº450915 "Sólo hay un problema con el sentido común: que no es demasiado común" -- Milt Bryce |
07-18-2008, 05:48 PM | #10 | |
Duke
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
|
Quote:
__________________
I don't have a solution, but I admire the problem. |
|
Thread Tools | |
Display Modes | |
|
|