Discovery en la Escuela: Drive-by Pharming, Tabjacking y Searchbox Stealing

Posted by myself - 20/02/07 at 01:02:39 pm

El Drive-By Pharming es un método mediante el cual se puede cambiar permanentemente las configuraciones de los routers, haciendolos víctimas fáciles de ataques. Se aprovecha de la común vulnerabilidad de los usuarios de NO cambiar las contraseñas por defecto de sus routers.

Hay scripts desarrollados para atacar routers cuyas contraseñas no han sido cambiadas. Lo que representa un riesgo inmenso para aquellos que no cambian la contraseña por defecto.

Un router atacado, no sólo puede ser reconfigurado, sino que también, puede ser utilizado para redirigir a los usuarios a sitios maliciosos. Muchos routers inalámbricos conservan las contraseñas por defecto y ciertamente son atacados a diario de manera sencilla. La educación de los usuarios al respecto, es la mejor herramienta.

Trend Micro, introdujo un par de conceptos en su último boletín de seguridad, a manera de pruebas concepto:

La evolución de los Pop-ups, llamada Tabjacking y la habilidad de un sitio de hacerse dueño de una pestaña de navegador y mostrar publicidad. Según Trend Micro, el problema radica es que bajo ciertas circunstancias, podría hacerse que la pestaña apareciera de manera latente, como el clásico adware mediante pop-ups.

El SearchBox Stealing, es el método que se utiliza para sustituir el motor utilizado en la caja de búsquedas y mostrar resultados truqueados con contenido malicioso.

Las contraseñas más comunes

Posted by Fede - 05/12/06 at 05:12:07 pm

En ;Modern life is rubbish encontré una pequeña lista de las 10 contraseñas más comunes que se usan en la red. Solo postearé algunas, tal vez las que me parezcan más usadas en todo el mundo, y no solo en Reino Unido.

  1. 123: Es, lamentablemente, la más usada. De alguna forma, a todos se nos ocurre que es la "mejor contraseña", cuando es simplemente una escala de caracteres en orden, y muy fácil de descifrar. Yo la calificaría como la más insegura, ya que es casi universal (no importa si conocemos o no a la persona).
  2. Password: Es tonto copiar la misma palabra que se nos pide. Si me piden que escriba una contraseña, escribo "contraseña". ¿Entonces, si me piden que escriba mi nombre pongo "mi nombre"? Es tonta, aunque nunca se me ocurrió como una opción.
  3. 123456: Cómo "123", esta contraseña es usada por personas con poca imaginación, o por quienes carecen de interés con respecto a la seguridad de sus datos. En muchos sitios, el mínimo de caracteres para una contraseña es de 6, y por eso no rebasa de ese número.
  4. qwerty: Son las primeras letras del teclado que usamos normalmente en nuestras PCs o máquinas de escribir. Justamente son las letras que dan nombre al teclado y, al igual que las anteriores, muy fácil de adivinar.
  5. Nuestro nombre: Los que cita la fuente son Thomas y Charlie, pero puede ser cualquiera. Cualquiera que nos conozca podría saber nuestra clave, entrar a nuestras cuentas de correo electrónico (y eso en el mejor de los casos), y hacer lo que quiera, sin ninguna restricción.

¿Esto nos asombra? El correo electrónico acaba de cumplir 35 años,y aún no sabemos proteger nuestros datos, a pesar de que muchos servicios nos brindan muchísima ayuda. Un ejemplo claro es Google, con unos prácticos <a xhref="https://www.google.com/accounts/PasswordHelp" mce_href="https://www.google.com/accounts/PasswordHelp">consejos</a>:

  • Puede incluir signos de puntuación y números. (esto entorpecerá el proceso de descifrado)
  • Utilice una combinación de letras mayúsculas y minúsculas. (la combinación de mayúsculas y minúsculas nos permite, además de una frase, un patrón desconocido para otros)
  • Incluya sustituciones de aspecto similar, como el número cero en lugar de la letra 'O' o el símbolo '$' en lugar de la letra 'S'. (otro item que entorpecerá el proceso de descifrado)
  • Incluya sustituciones fonéticas, como 'es3ado' por 'estresado'.
  • No utilice una contraseña que se ofrezca como ejemplo de buena contraseña.

  • No utilice información personal en la contraseña (como su nombre, fecha de nacimiento, etc.) (esto es importante, porque cualquiera que nos conozca podría saber nuestra contraseña, o adivinarla)
  • No utilice palabras o acrónimos que figuren en el diccionario. (si la palabra figura en el diccionario es vulnerable a ataques de contraseña por medio de métodos que usan las palabras del diccionario para probar)
  • No utilice patrones de teclado (asdf) ni números en secuencia (1234). (esto es algo muy repetido en los 5 ejemplos que dí antes)
  • No repita caracteres (aa11).
  • No escriba nunca su contraseña. (cualquier persona podría leerla)
  • No envíe nunca su contraseña en un mensaje de correo electrónico. (y menos si se la piden por medio de correo electrónico. Tampoco se deje engañar por sitios que nos pidan la contraseña de algún servicio externo -por ejemplo, Hotmail, MSN, Yahoo o Gmail)
  • Compruebe la contraseña actual y cámbiela de forma periódica.

    •  

¿Estos últimos ítems son tan difíciles de respetar? Sería sorprendente que todas las personas lo hicieran, pero por lo menos que algunos tomen conciencia de Internet no es tan seguro, y de que la protección de los passwords es fundamental para mantener nuestra privacidad.

Powered by WordPress with GimpStyle Theme design by Horacio Bella.
Entries and comments feeds. Valid XHTML and CSS.

Clicky Web Analytics