miércoles, 21 de septiembre de 2016

Desenmascarando el modo "incógnito" del navegador
Me imagino que muchos de vosotros utilizaréis el modo "incógnito" del navegador. Sólo deciros que navegando en este modo no te librarás de que te "espíen".

Vamos a resumir que es el modo "incógnito" en el navegador por si no conocías esta opción:

El modo incógnito o navegación privada te permite navegar por Internet sin guardar ningún tipo de información sobre las páginas web que visitas.

Según Mozilla Firefox, uno de los mejores navegadores que podemos encontrar añade lo siguiente:

La navegación privada también incluye Navegación privada con protección contra el rastreo, que impide que las distintas compañías rastreen tu historial de navegación en distintas páginas web. Para saber más sobre la Navegación privada y la protección contra el rastreo en Firefox, consulta el artículo Navegación privada con protección contra el rastreo.

Importante: El modo de navegación privada no te asegura el anonimato en Internet. Tu proveedor de servicios de internet, tu jefe o los propios sitios web pueden rastrear las páginas que visitas. De la misma forma, el modo de navegación privada no te protege de los Keyloggers ni de los programas espía que puedan instalarse en tu equipo.

Estoy de acuerdo excepto en la siguiente línea "incluye Navegación privada con protección contra el rastreo, que impide que las distintas compañías rastreen tu historial de navegación en distintas páginas web" será cierto? Pues No!! es mentira, os dejo fotos mientras comento como he podido conseguir ver el contenido y no sólo eso, sino también con que navegador estaba visualizando, idioma, sistema operativo.... Mammamia!!!


Empecemos el tour



Antes de empezar, voy a explicar que es lo que he hecho para poder "visualizar" los sitios webs que estaba visitando en modo "incógnito". Para ello he utilizando una herramienta llamado "Wireshark" para capturar todo lo que pasa por mi red, esta aplicación se encuentra instalada de forma predeterminada en Kali Linux, una distro basada en Debian y optimizada para prácticas de pentesting y otros tipos de pruebas de seguridad informática.

Todas las pruebas siempre las hago conmigo mismo y con mis equipos (lo digo por si me lee mi vecino y piensa mal de mi, estate tranquilo, que jamás diré las webs porno que ves!! :D).

Dicho esto, empecemos con el tour.


1. Empezaré entrando en modo normal visitando la web a mi blog.



2. Ahora veremos lo que Wireshark nos ha capturado.


Cómo podemos ver en la foto, sabemos la fecha y hora que se entró al sitio web, desde donde se entró (arriba pone www.google.com), desde que sistema operativo se entró (GNU/Linux) , desde que navegador (Mozilla Firefox o Iceweasel, es lo mismo) y que página web visitó (www.elmalodebatman.com).

Vale, ya hemos comprobado que Wireshark es capaz de capturar e interpretar los paquetes de una navegación NO anónima.

Ahora, vamos hacer la prueba en modo "incógnito" o "navegación privada".

3. Entramos en la web de "Marca" con el mismo navegador, pero esta vez en modo "anónimo". 



4. Ahora volvemos a capturar con Wireshark y vamos a comprobar lo que ocurre.



5. Cómo podemos observar en ambas fotos, en modo "privado" o "incógnito" de poco sirve, ya que aunque te "vendan" que es un modo "anónimo" no lo es. Hemos podido capturar los paquetes del equipo que ha estado navegando en "privado".

Ahora visualizamos en el enlace que ha capturado Wireshark en nuestro navegador y nos aparecerá la página que ha estado visualizando el usuario, lógicamente, si esto hubiera sido un caso real.


6. Tachaaaaaaaaán! estamos viendo la página que estaba en modo "incógnito", por lo que queda demostrado que no sirve para mantener un anonimato fiable en Internet.


Ahora vas y lo cascas!!!

sábado, 17 de septiembre de 2016

Así camuflan los "hackers" sus mensajes en internet.
Ya deberíamos de saber que estamos siendo "espiados" sin que nos demos cuenta. Muchos de vosotros os da completamente igual, siempre escucho la típica frase de... "para lo que van a encontrar...".

Vamos a ver como hacen los "ciberdelicuentes" o como lo denomina la sociedad... "hackers" (insisto, que no es lo mismo....) para esconder mensajes por medios de archivos de texto o no :P para poder hacerlo llegar a su receptor sin ser visto.

Para ello utilizaremos la siguiente web: www.ascii2hex.com

En esta web podemos ver 6 tipos diferentes de texto, pero nos centraremos sólo en 3:

Binario, hexadecimal y base64 son mis favoritos.

¿Cómo funciona?


Fácil, escribiremos el texto con normalidad en el primer casillero llamado "Text (ASCII/ANSI)" y pulsaremos sobre el botón de abajo "Convert". Automáticamente nos aparecerá el mensaje transformado en los diferentes textos que hemos hablado anteriormente. 

Ahora con el texto "cifrado" sólo nos quedaría esconderlo en un documento de texto, una url, una foto, un mp3, etc....Cada uno con su imaginación jejejeje


¿Cómo descifrarlo?


Pues el receptor deberá de ingresar ese "cifrado" en el casillero del tipo de texto que hayamos elegido. Por ejemplo: Si fuera "Hexadecimal" pegaríamos el texto en el casillero Hexadecimal y pulsariamos en "Convert" y nos aparecería el texto "traducido" en el casillero Text (ASCII/ANSI).

A que mola!

martes, 6 de septiembre de 2016

¿Están obligados a pedirme el DNI al pagar con mi tarjeta con CHIP?

En mi blog me gusta mucho hablar sobre la seguridad, ya sea de sistemas operativos, que de móviles o incluso APPS y juegos. Hoy me gustaría hablar sobre la seguridad de las tarjetas de débito/crédito con chip y sobre las "obligaciones" que tenemos o deberían de "inculcarnos" a la hora de pagar en un establecimiento con ella.

Hoy he estado en un supermercado realizando una compra, cuando le he entregado a la cajera mi DNI junto con mi tarjeta con CHIP para realizar el pago. Al parecer, a la chica le ha molestado que le enseñara mi DNI, por lo que me ha dicho lo siguiente: "No me hace falta el DNI". Por lo que yo le he contestado: "Yo te lo enseño, que es mi obligación, ya que podría estar usando la tarjeta de otra persona" directamente ella me responde: "No, no estas obligado a enseñarlo y si no es tuya... ya se apañará su dueño".

Es un establecimiento que voy a menudo y no he querido poner ninguna queja, ni tampoco seguir debatiendo para evitar una pelea. He preferido buscar información y preguntar a los que mas saben del asunto (@Policia) y las respuestas son estas:

"Si tu tarjeta bancaria lleva incorporado el chip, no es necesario mostrar el DNI, ya que dicho chip + la clave que debes saberte de memoria certifica que tú eres el dueño de la misma. Aun así, no está de más que soliciten el DNI a los que vayan a hacer un pago con tarjeta, ya que a más de uno le han sustraído su tarjeta en la que llevaba en un papelito apuntado su número secreto..."

"No hay una norma expresa que lo estipule, pero aunque la ley no recoja la obligación de pedir el DNI los contratos entre los comercios y las entidades financieras sí establecen la obligación de identificar a quien entrega una tarjeta para pagar, del mismo modo que los titulares, en su contrato, asumen que velarán porque no la utilicen terceros, es decir, tanto cliente, como local de venta, como entidad bancaria forman una interrelación de intereses comerciales que exige compromisos por todas las partes.
Además si nos ponemos tan estupendos con frases como "yo no tengo la obligación de...", pues hay otras alternativas mas incómodas:

1. Que el cliente nos pida una hoja de reclamaciones y refleje esa incidencia.
2. Que el cliente se vaya a otro local comercial donde tengan mejores prácticas comerciales.
3. Que la entidad financiera retire el sistema de pago a quién hace un mal uso del mismo."


Entonces la respuesta está clara, NO TENEMOS LA OBLIGACIÓN POR LEY DE MOSTRAR EL DNI. Aunque no lo comparto, en mi humilde opinión, la persona encargada de cobrarnos por un servicio debería de "obligar" (y por lo que dice la policía puede hacerlo) a pedirnos nuestro DNI para su comprobación y así, actuaria como "filtro" evitando un fraude o delito bancario.

"Ricemos el rizo"


Imaginaros que vais paseando por la calle, cuando un individuo os atraca con un arma y os obliga a entregarle vuestra tarjeta con vuestro pin. Ahora esa persona va a un establecimiento (como por ejemplo al supermercado que yo he ido) y utiliza nuestra tarjeta. ¿Ahora no os gusta verdad?


En resumen....


No cuesta nada pedir el DNI, como tampoco cuesta nada, entregar la tarjeta junto al DNI. Creo que ante todo es la seguridad del cliente, está claro que somos personas y nos podemos equivocar, pero tenemos que conocer todos los problemas colaterales que puede ocasionar la "mala gestión" (en mi opinión) del que nos está atendiendo, ya que nosotros perderemos el dinero de nuestra cuenta, y el cajer@ sólo dirá "No estoy obligado por ley pedir el DNI.......ya se apañará el dueño de la tarjeta".

Ahí lo dejo chicos!

viernes, 2 de septiembre de 2016

Cómo recuperar espacio perdido en un pendrive
Os traigo un "truquito" para recuperar el espacio perdido de un Pendrive (lápiz USB). En ocasiones, al instalar algún software de arranque o al crear particiones en él, podemos dañarlo, ocasionando pérdida de memoria (un ejemplo el problema que me pasaba, un lápiz USB de 2 gb sólo reconoce 1 gb).


Vemos en la foto que de 2 gb sólo hay disponible 878 mb. ¿Donde está el resto de memoria? 


Desde el administrador de particiones observamos que efectivamente, faltan 1,02 gb que no reconoce nuestra memoria. 


¿Cómo lo solucionamos?


1. Nos descargamos este programa (no se instala, es sólo un ejecutable): HP USB Disk Storage Format Tool

Nota:
1. La clave para el cifrado es: "!IUd2aUuNDfU8Q0hSbyWLoKQmGNVeQMk1bakexlOLaM0"
2. La contraseña para descomprimirlo es: elmalodebatman.com

2. Ejecutamos como "administrador", seleccionamos en la lista de dispositivo nuestra memoria USB, seleccionamos el casillero de "Formato rápido" y pulsamos sobre el botón "iniciar".


Ya hemos acabado, ahora buscamos la unidad de nuestro pendrive y le hacemos un "propiedades" para ver la capacidad que nos marca ahora.


Cómo veis en la foto, he solucionado el problema que tenía con mi pendrive, nuevamente sigue siendo de 2 gb. :P


jueves, 1 de septiembre de 2016

Cómo saber si han vendido tus datos en el mercado negro

Cómo ya deberías de saber, llevamos unos años que no paran de robar información de las base de datos de muchas empresas, ayer fué a Dropbox, pero estos años han caído: Adobe, Steam, LinkedIn, Badoo, Ashely Madison, etc....

Por lo que seguro que en alguna web que hayamos tenido alguna cuenta se han hecho con nuestros datos y habrán sido vendidos al "mejor postor".


¿Cómo lo compruebo?


1. Accederemos a este sitio web haveibeenpwned.com


2. Escribimos en el casillero nuestro correo electrónico que queremos comprobar y hacemos "clic" sobre el botón "pwned?". 



3. De ser afirmativo, nos aparecerá un listado con las empresas que tenemos una cuenta y han obtenido nuestros datos en un ciberataque.



Como podéis ver, he escrito un correo del que hable la semana pasada, por un intento de phishing, ahora he podido conocer de donde lo han sacado. (Os dejo el enlace del artículo).




¿Has hecho ya la prueba con tus correos?