Por @Wicho — 24 de Noviembre de 2020

Password Box (CC) Microsiervos @ Flickr

No es que sea una sorpresa pero la lista de las 200 contraseñas más habituales filtradas en 2020 publicada por Nordpass está encabezada por contraseñas rematadamente malas. Un año más. Las diez primeras, por orden de popularidad, son:

  1. 123456
  2. 123456789
  3. picture1
  4. password [contraseña en inglés]
  5. 12345678
  6. 111111
  7. 123123
  8. 12345
  9. 1234567890
  10. senha [contraseña en portugués]

Todas ellas, salvo picture1 y senha, durarían un segundo ante un ataque para averiguarlas; senha duraría 10 segundos; y picture1 tampoco es nada del otro mundo, aunque se va la cosa hasta las tres horas.

Y luego está lo de usar tu nombre, el de tu pareja, el de tus hijos, el de tu mascota, o sus fechas de cumpleaños, el nombre de tu deporte o equipo favoritos, etc. Son sólo un poco más difíciles de adivinar que las de la lista con un poco de investigación. Y es que dejamos un montón de información acerca de nosotros por la red adelante. Lo que no necesariamente es malo. Pero debemos ser conscientes de lo que contamos y a quién se lo contamos y quién va a poder verlo.

Otro día hablamos de esos tuits «inocentes» que preguntan por tu animal favorito, o tu marca de coche preferida y cosas así. O de que te pregunten por la calle según qué cosas sobre tus contraseñas y contestes alegremente.

Si tienes dudas de si alguna de tus contraseñas puede haberse visto comprometida en una fuga de datos, por muy segura que fuera y por mucho cuidado que pusieras, Have I been Pwned? es un magnífico sitio para comprobarlo.

Relacionado,

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Alvy — 13 de Noviembre de 2020

Trivial de la Ciberseguridad | Oficina de Seguridad del Internauta

Este Trivial de la Ciberseguridad de la Oficina de Seguridad del Internauta es una simpática iniciativa que pone en tarjetas de preguntas sobre diferentes temáticas la seguridad informática cotidiana. Se puede descargar en PDF e imprimir directamente; en total tiene 60 preguntas.

Las seis categorías de rigor de este Trivial son:

  • Redes sociales y mensajería instantánea
  • Gestión de contraseñas
  • Compras online
  • Fraudes online
  • Navegación segura
  • Protección de dispositivos

Trivial de la Ciberseguridad | Oficina de Seguridad del Internauta

Utilizando las conocidas del Trivial Pursuit® todo consiste en conseguir los quesitos en forma de ciberpuntos; gana el que consiga antes los seis quesitos o quien más puntos tenga cuando se acaben las tarjetas. Estaría bien que tuviera más de preguntas, porque 60 se antojan pocas; habrá que ver si lo amplían en el futuro, o incluso que lo abran a las aportaciones de gente a través de Internet para potenciarlo.

Desde luego con lo entretenido de la fórmula imprimir-y-recortar y luego el juego en sí, aunque sea breve, los más jóvenes de la casa pueden repasar algunas de las ideas básicas relacionadas con la ciberseguridad personal.

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Alvy — 15 de Octubre de 2020

Reverse engineer whispersync | ptbrowne

Whispersync es el sistema de sincronización de Amazon que permite mantener el mismo punto de lectura de libros y audiolibros entre varios dispositivos. De este modo puedes estar leyendo en el Kindle en casa y abrir el ebook en al mismo punto exacto al abrir el móvil en el autobús, o hacer una consulta rápida en el ordenador, cuyo software Kindle también se mantiene sincronizado.

Ahora PTBrowne se ha currado la ingeniería inversa de Whispersync no por nada sino porque podía hacerlo, y porque quería ver qué tipo de cosas se pueden hacer: recuperar tus propias anotaciones en los libros, meter en una hoja de cálculos los datos de lectura (cuánto lees por día o semana) e incluso desarrollar una especie de «biblioteca personal» con sus libros Kindle.

La ingeniería del hackeo es bastante interesante, dado que requiere acceder en algún punto intermedio de la comunicación entre Amazon Whispersync y el dispositivo para capturar todos los datos (un Android cualquiera) y desentrañar qué es lo que sucede ahí. Es lo que los criptólogos conocen como ataque de intermediario (man-in-the-middle). Aunque suene fácil porque se pueden leer y enviar los datos fácilmente, todo eso está encriptado y con el certificado digital de Amazon. De modo que otra de las cosas que hay que hacer es crear una Autoridad Certificadora (CA) que simule ser el servidor de Amazon. Al final todo esto «queda en casa» y el dispositivo vive en una especie de mundo irreal donde Amazon y sus claves son las que se le dicen que son, porque no tiene forma de «salir fuera» a comprobarlas.

El resto es también bastante interesante: volcar todos los datos HTTP, entender qué hace cada petición, la forma en que se identifica/registra el dispositivo, el formato de los metadatos (llamado sidecar) y luego decodificar y trabajar un poco con todo ello.

Tal y como cuenta PTBrowne al embarcarse en una aventurilla como estas «se aprenden cosas», entre ellas cómo realizar un ataque de intermediario en la práctica, algo de criptografía, codificación y decodificación en binario y codificación de cadenas de textos (base64 y similares). Una buena demostración de que todos los días se puede aprender algo nuevo.

(Vía Hacker News.)

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Alvy — 6 de Octubre de 2020

Según cuenta la agencia Reuters, John McAfee, el pionero creador del famoso antivirus para PCs que lleva su nombre –aunque lleva desvinculado décadas tras vender la compañía– ha sido detenido en el aeropuerto de Barcelona. Sobre él hay varios cargos de la SEC (Comisión de Bolsa y Valores) estadounidense en asuntos judiciales civiles relacionados con la promoción de criptodivisas en base a recomendaciones falsas, con las que dicen que ha ganado millones.

La historia del excéntrico millonario en el MundoReal™ es digna de película. De hecho hay un documental sobre sus andanzas donde no faltan las armas, las drogas, la violencia y los asesinatos en lo que se ha calificado como «una vida retirada, pero caótica», muy al estilo de la película Asesinos natos de Oliver Stone.

En su cuenta de Twitter @OfficialMcAfee ha habido movimiento hasta hace algunos días; sus últimas apariciones eran para denunciar el «control secreto de América», cómo «el poder está corrompido» y darle publicidad a apariciones varias en reportajes de televisión. [Actualización: 7 de octubre de 2020 – Su mujer ha tuiteado algo acerca de su detención y la cuenta de McAfee ha hecho un retuit.]

Es curioso que después de tener que recorrer el mundo en yates de una exótica isla a otra huyendo de enemigos, policía, agentes del gobierno y ser acusado de asesinato a sangre fría haya finalmente sido detenido en un lugar tan mundano como El Prat de Barcelona, por algo tan corriente una acusación de manipulación informativa en la Bolsa de valores estadounidense. A ver cómo acaba la historia.

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD




PUBLICIDAD


Encuesta AIMC 2020

Microsiervos Selección


Lightning Strikes

EUR 27,21

Comprar


The Polar Bear

EUR 14,08

Comprar


Amazon Associates

Los productos aquí enlazados están a la venta en Amazon. Incluyen un código de Afiliado Amazon Associates que nos cede un pequeño porcentaje de las ventas. Los productos están seleccionados por los autores del blog, pero ni Amazon ni los editores de los libros o fabricantes de los productos participan en dicha selección.

Más libros y productos en:

Microsiervos Selección