Seguridad Digital: cuentas de correo y passwords

ArcticWolf · 07-18-2008, 04:48 AM

Si bien llevamos un tiempo desde la última oleada de "robo" de cuentas (hurto, en el sentido técnico), considero apropiado actualizar este tema.

Existen varios tipos de técnicas para lograr como objetivo la intervención, captura y análisis de datos que generalmente viajan por red. Entre ellas se cuentan las de sniffing, captura de keystrokes e ingeniería social.

El sniffing es la "captura" de paquetes en la red en la que te encuentres. Esto generalmente no es peligroso, más en un juego, ya que la información que se maneja es administrada por los propios programas. En este caso, el punto especial es en los navegadores web. Para que la información viaje segura cuando te conectás depende del cifrado.

La mayoría muestra la barra de direcciones de color crema y un candado en uno de los laterales cuando esta función está soportada por el cliente. Aparte, debería usar el protocolo "https" y no el "http". ¿Qué importancia puede tener esto? Bueno, gran cantidad de cuentas son hurtadas mediante un mail que simula ser de la compañía de correo electrónico en el que argumentan "haber perdido tus datos" y "requieren confirmarlos". Si no ven el candado o el https, no introduzcan información importante!

NOTA: Para los usuarios de la RegnumFEST: NO introduzcan las claves que usan en el regnum, ya que son sólo para que no les modifiquen el perfil de usuarios en el sitio. Si no introducen nada, se genera una clave al azar. Lamentablemente, no tengo el https disponible por el router.

Otra de las técnicas más viejas es utilizar un programa que capture las pulsaciones del teclado (y mouse, tal vez) y las guarde en un archivo que es enviado al cracker[1] a la brevedad. Detecta todo, desde el "enter" hasta la tecla de borrar, por lo que si tu clave fue introducida en una máquina compartida puede verse afectada.

¿De dónde me pude pescar uno de estos programas? Está el famoso "hack del oro", que no es más que una aplicación precaria (pero efectiva) para ello. Sin embargo, podrías tener un troyano que haga el mismo trabajo más silenciosamente. A menudo se los "contagian" por MSN, así que cuidado con lo que abras y lo que te pida!

Vamos por la siguiente causa de "robo": el prestar la cuenta. La gente no es buena, nadie en la vida está totalmente limpio. No le presten la cuenta A NADIE, y menos a aquellos que confían y no conocen en la vida real (como para arreglarlo cara a cara

). La clave es como la llave de tu casa, ¿me van a dar una copia, o a cualquiera?

No es lo único, ya que también está el que sigue todos estos consejos y aún así tiene problemas. ¿Qué pasó, si no prestaste tu clave? Fuiste vulnerable bajo lo que es un "ataque de diccionario", o dicho en cristiano, te adivinaron la clave. Para eso se recomienda cambiar de clave cada mes y usar una combinación de caracteres. Mientras más larga y variada sea la frase, mejor.

No usen la misma clave para todo!!!! Es un riesgo, ya que si la obtienen también ganan acceso a TODAS tus otras cuentas y servicios!!! No uses la clave del banco, la de la alarma de tu casa o fechas. JAMÁS!!! [2]

Por último, creo que sólo queda tratar la ingeniería social:

Es constante ver que los usuarios depositan su confianza en los más cercanos. Este vínculo genera una brecha que ningún firewall ni anti-spyware puede crear: el poseedor de la cuenta entrega los datos voluntariamente. No hay software que te salve de esta... ¿Entonces qué hago? Cuidarte de todos.

Es lamentable que sea así, pero detrás de todas estas técnicas hay un "marco" de trabajo que se basa en la persona en sí. ¿Es un niño? ¿Qué tan inocente es? ¿Cuánto confía en mí? Entonces, por más que te pidan la clave, sea para lo que sea, podría ser alguien esperando a aprovecharse de vos.

Sin embargo, hay un remedio mágico para la Ingeniería Social si seguiste mis consejos (en realidad, los de muchos) hasta ahora: NO LE DES LA CLAVE A NADIE, NUNCA, NEVER, JAMÁS!!!!!!!!!

RESUMEN PARA LOS VAGOS:

Ver si la página donde meten datos importantes tiene cifrado (https). Esto va en especial para los mails!
Especial cuidado con los programas que instales y que te pasen. Ojo con los "hacks" para Regnum o todo programa que pida clave.
NO LE DES LA CLAVE A NADIE! En este mundo hay muchos "amigos" que te van a pegar tremendo cuchillazo en la espalda cuando te des vuelta. Si prestás la cuenta, cambiale la clave cuando te la devuelvan.
Cambiar la clave periódicamente.
Elegir una clave larga y con caracteres variados. Mientras más letras y números mezclados tenga, mejor!
No le des la clave a nadie.
No uses la misma clave para todo [2]

[1] Es cracker, no hacker... A no confundirlos!

ADENDA:
[2] Agradecimientos a Ramona!!!

Snoid · 07-18-2008, 05:21 AM

se te olvido una importante:

- No usen la misma clave para todo!

Es habitual que la gente use las mismas claves en distintos sistemas (hotmail, otros correos, trabajo, ciber, casa...). Si cualquiera de los sistemas es atacado o tu informacion revelada de algun modo, todos los demás quedarán igualmente comprometidos.

Ejemplo:
Suponed que vuestro buen amigo del ciber, almacena las contraseñas de los clientes registrados sin encriptar (las puede leer), y un dia que se aburre, se pone a probar esas mismas contraseñas en todas las cuentas de hotmail que sus clientes le han ido pasando. Es relativamente facil que esto suceda, y si usaste la misma contraseña en tu acceso al ciber y en tu msn (por ejemplo), estarias completamente a su merced (y la de sus amigos).

Y eso, no confien en nadie, ni siquiera en Xephandor.

arlick · 07-18-2008, 01:12 PM

Quote:

Originally Posted by Snoid

Y eso, no confien en nadie, ni siquiera en Xephandor.

Xephandor es un h4x0r!!

Reivax · 07-18-2008, 04:05 PM

Lindo post Xephy^^

Quote:

Originally Posted by Xephandor

Si prestás la cuenta, cambiale la clave cuando te la devuelvan.

Me parece que seria mas apropiado decir " cambiale la clave, si es que te la devuelven". Es triste, conozco casos contados con la mitad de una mano en donde devolvieron la cuenta tal cual la robaron, ya que directamente no la recuperas, o de hacerlo, pueden haberte borrado los pjs.

AbouJaria · 07-18-2008, 04:11 PM

Muy buen dato chee!! Gracias Xeph!
Y Gracias a Ramona tambien !!!! Yo soy uno de esos que usan la misma clave para todo...

Ahora ya cambie todas las claves... tengo como 15 dando vueltas por mi casa...

ArcticWolf · 07-18-2008, 04:29 PM

Gracias a ustedes

Otro consejo más, este un tanto más personal. No almacenen las claves en el mail o un papel, al menos no todas en el mismo. Si lo encuentran, estás al horno!

Por ningún motivo den pistas, tampoco. Si dicen "mi clave tiene sólo números" o "es una clave larga", por más que parezca algo trivial, es una pista que ayuda a confeccionar un buen diccionario de claves para el ataque conocido como "fuerza bruta" (probar claves hasta que entra).

Reivax · 07-18-2008, 04:43 PM

Quote:

Originally Posted by Xephandor

para el ataque conocido como "fuerza bruta" (probar claves hasta que entra).

Siendo boludo, probar claves hasta que entra, llegando a los limites de la pelotudez

Prefiero hacer Ingenieria Social(?)

ArcticWolf · 07-18-2008, 04:55 PM

Quote:

Originally Posted by Reivax

Siendo boludo, probar claves hasta que entra, llegando a los limites de la pelotudez

Prefiero hacer Ingenieria Social(?)

Hmm... No me quiero ir mucho del tema, quería un sticky (debo admitirlo), pero la seguridad me puede.

Si ves a un "hacker" que sólo usa una técnica, lo más probable es que no tenga la más mínima idea de lo que está haciendo. Diferentes tareas requieren diferentes convenciones, y eso implica "protocolos de ataque" únicos para cada caso.

El marco general se basa en las falencias del usuario para proteger la información. Ahí podríamos decir que el primer paso para obtener una clave o cualquier otro tipo de elemento es, a priori, intentar un ataque social. ¿Por qué? Por su alta tasa de efectividad y el corto tiempo que lleva.

Si tratás a modo bruto de entrar lo más probable es que jamás en tu vida lo logres. Es por eso que las otras técnicas refieren al uso de cierto conocimiento de la víctima para acotar el rango de búsqueda. Uno de los ejemplos es confeccionar un diccionario con las claves más comunes basadas en objetos o frases cercanas al atacado. Otra es engañar a la víctima para que ejecute un programa o introduzca sus datos en un sitio web falso (ya pasó con el regnum, se acuerda alguno?).

¿Hay seguridad absoluta? No, pero sí hay un mayor grado de seguridad, y eso depende de la combinación con la que estés mezclando los consejos. Un atacante va a necesitar más tiempo y mejores estrategias para conseguir la información!!!

sunos · 07-18-2008, 05:41 PM

Xephy bonita, si queres yo te doy una copia de la llave de casa ;-) :P

ArcticWolf · 07-18-2008, 05:48 PM

Quote:

Originally Posted by sunos

Xephy bonita, si queres yo te doy una copia de la llave de casa ;-) :P

Una cosa es prestarle la casa a los amigos (con tal de que se lleven las cabras después de la fiesta y no rompan nada...), pero otra muy distinta es prestar una cuenta. La última no la podés reclamar con la policía.

07-18-2008, 04:48 AM	#1
ArcticWolf Duke Join Date: Nov 2006 Location: 0x00CAFE Posts: 3,366	Seguridad Digital: cuentas de correo y passwords Si bien llevamos un tiempo desde la última oleada de "robo" de cuentas (hurto, en el sentido técnico), considero apropiado actualizar este tema. Existen varios tipos de técnicas para lograr como objetivo la intervención, captura y análisis de datos que generalmente viajan por red. Entre ellas se cuentan las de sniffing, captura de keystrokes e ingeniería social. El sniffing es la "captura" de paquetes en la red en la que te encuentres. Esto generalmente no es peligroso, más en un juego, ya que la información que se maneja es administrada por los propios programas. En este caso, el punto especial es en los navegadores web. Para que la información viaje segura cuando te conectás depende del cifrado. La mayoría muestra la barra de direcciones de color crema y un candado en uno de los laterales cuando esta función está soportada por el cliente. Aparte, debería usar el protocolo "https" y no el "http". ¿Qué importancia puede tener esto? Bueno, gran cantidad de cuentas son hurtadas mediante un mail que simula ser de la compañía de correo electrónico en el que argumentan "haber perdido tus datos" y "requieren confirmarlos". Si no ven el candado o el https, no introduzcan información importante! NOTA: Para los usuarios de la RegnumFEST: NO introduzcan las claves que usan en el regnum, ya que son sólo para que no les modifiquen el perfil de usuarios en el sitio. Si no introducen nada, se genera una clave al azar. Lamentablemente, no tengo el https disponible por el router. Otra de las técnicas más viejas es utilizar un programa que capture las pulsaciones del teclado (y mouse, tal vez) y las guarde en un archivo que es enviado al cracker[1] a la brevedad. Detecta todo, desde el "enter" hasta la tecla de borrar, por lo que si tu clave fue introducida en una máquina compartida puede verse afectada. ¿De dónde me pude pescar uno de estos programas? Está el famoso "hack del oro", que no es más que una aplicación precaria (pero efectiva) para ello. Sin embargo, podrías tener un troyano que haga el mismo trabajo más silenciosamente. A menudo se los "contagian" por MSN, así que cuidado con lo que abras y lo que te pida! Vamos por la siguiente causa de "robo": el prestar la cuenta. La gente no es buena, nadie en la vida está totalmente limpio. No le presten la cuenta A NADIE, y menos a aquellos que confían y no conocen en la vida real (como para arreglarlo cara a cara ). La clave es como la llave de tu casa, ¿me van a dar una copia, o a cualquiera? No es lo único, ya que también está el que sigue todos estos consejos y aún así tiene problemas. ¿Qué pasó, si no prestaste tu clave? Fuiste vulnerable bajo lo que es un "ataque de diccionario", o dicho en cristiano, te adivinaron la clave. Para eso se recomienda cambiar de clave cada mes y usar una combinación de caracteres. Mientras más larga y variada sea la frase, mejor. No usen la misma clave para todo!!!! Es un riesgo, ya que si la obtienen también ganan acceso a TODAS tus otras cuentas y servicios!!! No uses la clave del banco, la de la alarma de tu casa o fechas. JAMÁS!!! [2] Por último, creo que sólo queda tratar la ingeniería social: Es constante ver que los usuarios depositan su confianza en los más cercanos. Este vínculo genera una brecha que ningún firewall ni anti-spyware puede crear: el poseedor de la cuenta entrega los datos voluntariamente. No hay software que te salve de esta... ¿Entonces qué hago? Cuidarte de todos. Es lamentable que sea así, pero detrás de todas estas técnicas hay un "marco" de trabajo que se basa en la persona en sí. ¿Es un niño? ¿Qué tan inocente es? ¿Cuánto confía en mí? Entonces, por más que te pidan la clave, sea para lo que sea, podría ser alguien esperando a aprovecharse de vos. Sin embargo, hay un remedio mágico para la Ingeniería Social si seguiste mis consejos (en realidad, los de muchos) hasta ahora: NO LE DES LA CLAVE A NADIE, NUNCA, NEVER, JAMÁS!!!!!!!!! RESUMEN PARA LOS VAGOS: Ver si la página donde meten datos importantes tiene cifrado (https). Esto va en especial para los mails! Especial cuidado con los programas que instales y que te pasen. Ojo con los "hacks" para Regnum o todo programa que pida clave. NO LE DES LA CLAVE A NADIE! En este mundo hay muchos "amigos" que te van a pegar tremendo cuchillazo en la espalda cuando te des vuelta. Si prestás la cuenta, cambiale la clave cuando te la devuelvan. Cambiar la clave periódicamente. Elegir una clave larga y con caracteres variados. Mientras más letras y números mezclados tenga, mejor! No le des la clave a nadie. No uses la misma clave para todo [2] [1] Es cracker, no hacker... A no confundirlos! ADENDA: [2] Agradecimientos a Ramona!!! __________________ I don't have a solution, but I admire the problem. Last edited by ArcticWolf; 07-18-2008 at 05:38 AM.

07-18-2008, 05:21 AM	#2
Snoid Master Join Date: Feb 2007 Location: Altaruk :) Posts:31,337 Posts: 446	se te olvido una importante: - No usen la misma clave para todo! Es habitual que la gente use las mismas claves en distintos sistemas (hotmail, otros correos, trabajo, ciber, casa...). Si cualquiera de los sistemas es atacado o tu informacion revelada de algun modo, todos los demás quedarán igualmente comprometidos. Ejemplo: Suponed que vuestro buen amigo del ciber, almacena las contraseñas de los clientes registrados sin encriptar (las puede leer), y un dia que se aburre, se pone a probar esas mismas contraseñas en todas las cuentas de hotmail que sus clientes le han ido pasando. Es relativamente facil que esto suceda, y si usaste la misma contraseña en tu acceso al ciber y en tu msn (por ejemplo), estarias completamente a su merced (y la de sus amigos). Y eso, no confien en nadie, ni siquiera en Xephandor. __________________ I'm an outsider, outside of everything... RAMNA Elegida Miss Ignis 2009 por votación popular Last edited by Snoid; 07-18-2008 at 11:35 AM.

07-18-2008, 04:11 PM	#5
AbouJaria Pledge Join Date: Aug 2006 Location: En sueños Posts: 35	Muy buen dato chee!! Gracias Xeph! Y Gracias a Ramona tambien !!!! Yo soy uno de esos que usan la misma clave para todo... Ahora ya cambie todas las claves... tengo como 15 dando vueltas por mi casa... __________________

07-18-2008, 04:29 PM	#6
ArcticWolf Duke Join Date: Nov 2006 Location: 0x00CAFE Posts: 3,366	Gracias a ustedes Otro consejo más, este un tanto más personal. No almacenen las claves en el mail o un papel, al menos no todas en el mismo. Si lo encuentran, estás al horno! Por ningún motivo den pistas, tampoco. Si dicen "mi clave tiene sólo números" o "es una clave larga", por más que parezca algo trivial, es una pista que ayuda a confeccionar un buen diccionario de claves para el ataque conocido como "fuerza bruta" (probar claves hasta que entra). __________________ I don't have a solution, but I admire the problem.

07-18-2008, 05:41 PM	#9
sunos Count Join Date: Jan 2007 Location: Rosario Posts: 1,440	Xephy bonita, si queres yo te doy una copia de la llave de casa ;-) :P __________________ Usuario GNU/linux registrado Nº450915 "Sólo hay un problema con el sentido común: que no es demasiado común" -- Milt Bryce