{"id":51,"date":"2017-10-24T12:34:52","date_gmt":"2017-10-24T17:34:52","guid":{"rendered":"http:\/\/blogs.gentoo.org\/chrisadr\/?p=51"},"modified":"2019-11-01T03:35:28","modified_gmt":"2019-11-01T08:35:28","slug":"evita-ser-hackeado-con-estos-3-pasos","status":"publish","type":"post","link":"https:\/\/blogs.gentoo.org\/chrisadr\/2017\/10\/24\/evita-ser-hackeado-con-estos-3-pasos\/","title":{"rendered":"Evita ser hackeado con estos 3 pasos"},"content":{"rendered":"

Hasta ahora\u00a0creo que\u00a0no he tocado uno de mis temas favoritos, seguridad inform\u00e1tica<\/em>, y considero que este ser\u00e1 el tema que les vengo a contar hoy :) Espero que tras este peque\u00f1o art\u00edculo puedan tener una mejor idea de lo que puede ayudar a tener un mejor control de sus riesgos y c\u00f3mo mitigar bastantes al mismo tiempo.<\/p>\n

Riesgos por doquier<\/h3>\n

Es inevitable, en este a\u00f1o solamente, ya llevamos m\u00e1s de 15000 vulnerabilidades descubiertas y asignadas de manera\u00a0p\u00fablica<\/em><\/strong>. \u00bfC\u00f3mo lo s\u00e9? Porque parte de mi trabajo es revisar CVEs en los programas que usamos en Gentoo para saber si corremos software vulnerable, de esta manera podemos actualizarlo y asegurar que todos en la distribuci\u00f3n tengamos equipos seguros.<\/p>\n

CVE<\/h4>\n

Common Vulnerabilities and Exposures<\/em> por sus siglas en ingl\u00e9s, son los identificadores \u00fanicos que se asignan a cada vulnerabilidad existente. Puedo decir con mucha alegr\u00eda que varios Developers de Gentoo apoyan al bien de la humanidad, investigando y publicando sus hallazgos para que puedan ser corregidos y solucionados. Uno de los \u00faltimos casos que tuve el gusto de leer fue el de Optionsbleed;\u00a0<\/em>una vulnerabilidad que afectaba a servidores Apache a nivel mundial. \u00bfPor qu\u00e9 digo que estoy orgulloso de esto? Pues porque ellos hacen un bien al mundo, mantener las vulnerabilidades en secreto solo beneficia a pocos, y las consecuencias de esto pueden ser catastr\u00f3ficas dependiendo del objetivo.<\/p>\n

CNA<\/h4>\n

Las CNA son entidades encargadas de solicitar y\/o asignar CVEs, por ejemplo, tenemos la CNA de Microsoft, encargada de agrupar sus vulnerabilidades, resolverlas y asignarles un CVE\u00a0<\/em>para su posterior registro a lo largo del tiempo.<\/p>\n

Tipos de medidas<\/h3>\n

Vamos a comenzar aclarando que ning\u00fan equipo es o ser\u00e1 100% seguro, y como dec\u00eda un refr\u00e1n bastante com\u00fan:<\/p>\n

El \u00fanico equipo 100% seguro es aquel que se encuentra encerrado en una b\u00f3veda, desconectado de internet y apagado.<\/p><\/blockquote>\n

Porque es cierto, los riesgos siempre estar\u00e1n ah\u00ed, conocidos o desconocidos, solo es cuesti\u00f3n de tiempo por lo que frente al riesgo podemos hacer lo siguiente:<\/p>\n

Mitigarlo<\/h4>\n

Mitigar un riesgo no es m\u00e1s que reducirlo (NO\u00a0<\/strong>anularlo). Este es un punto bastante importante y crucial tanto a nivel empresarial como personal, uno no quiere ser “hackeado”, pero a decir verdad el punto m\u00e1s d\u00e9bil de la cadena no es el equipo, ni el programa, ni siquiera el proceso, es\u00a0el humano.<\/em><\/p>\n

Todos tenemos costumbre de culpar a otros, sean personas o cosas, pero en seguridad inform\u00e1tica, la responsabilidad siempre es y ser\u00e1 del humano, podr\u00e1s no ser t\u00fa directamente, pero si no sigues el camino adecuado, ser\u00e1s parte del problema. M\u00e1s adelante les doy un peque\u00f1o truco para mantenerse un poco m\u00e1s seguros ;)<\/p>\n

Transferirlo<\/h4>\n

Este es un principio bastante conocido, tenemos que imaginarlo como un\u00a0banco<\/em>. Cuando tu necesitas cuidar tu dinero (me refiero de manera f\u00edsica) lo m\u00e1s seguro es dejarlo con alguien que tenga la capacidad de resguardarlo mucho mejor que t\u00fa. No necesitas tener tu propia b\u00f3veda (aunque ser\u00eda mucho mejor) para poder cuidar cosas, solamente necesitas contar con alguien (de confianza) para que guarde algo mejor que t\u00fa.<\/p>\n

Aceptarlo<\/h4>\n

Pero cuando el primero y el segundo no aplican, pues ah\u00ed es donde viene la pregunta realmente importante.\u00a0\u00bfQu\u00e9 tanto vale este recurso\/dato\/etc para m\u00ed?\u00a0<\/em>Si la respueseta es mucho, pues deber\u00edas pensar en los primeros dos. Pero si la respuesta es un\u00a0no tanto<\/em>, tal vez simplemente debas aceptar el riesgo.<\/p>\n

Hay que afrontarlo, no todo es mitigable, y algunas cosas mitigables costar\u00edan tantos recursos que ser\u00eda pr\u00e1cticamente imposible aplicar una soluci\u00f3n real sin tener que cambiar e invertir mucho tiempo y dinero. Pero si puedes analizar aquello que intentas proteger, y no encuentra su lugar en el primer o segundo paso, pues simplemente ll\u00e9valo en el tercer paso de la mejor manera, no le des m\u00e1s valor del que tiene, y no lo mezcles con cosas que realmente tienen valor.<\/p>\n

Mantenerse al d\u00eda<\/h3>\n

Esta es una verdad que escapa a cientos de personas y negocios. La seguridad inform\u00e1tica no se trata de cumplir con tu auditor\u00eda 3 veces al a\u00f1o y esperar que nada suceda en los otros 350 d\u00edas. Y esto es verdad para muchos administradores de sistemas. Yo hace poco al fin me pude certificar como LFCS<\/em><\/strong> (les dejo a ustedes buscar en d\u00f3nde lo hice :) ) y este es un punto cr\u00edtico durante el curso. Mantener al d\u00eda tu equipo y sus programas es vital,\u00a0crucial<\/strong><\/em>, para evitar la mayor\u00eda de riesgos. Seguro aqu\u00ed muchos me dir\u00e1n, pero el programa que usamos no funciona en la siguiente versi\u00f3n<\/em> o algo similar, pues la verdad es que tu programa es una bomba de tiempo si no funciona en la \u00faltima versi\u00f3n. Y eso nos lleva al anterior apartado,\u00a0\u00bfpuedes mitigarlo?,\u00bfpuedes transferirlo?,\u00bfpuedes aceptarlo?…<\/em><\/p>\n

A decir verdad, solo para tenerlo presente, seg\u00fan las estad\u00edsticas 75% de los ataques de seguridad inform\u00e1ticas son originados desde el interior. Esto puede ser porque tiene usuarios en la empresa incautos, o malintencionados. O que sus procesos de seguridad no le han hecho dif\u00edcil a un hacker\u00a0<\/em>irrumpir en sus locales o redes. Y casi m\u00e1s del 90% de ataques son originados por software desactualizado, no<\/strong> por vulnerabilidades de d\u00eda cero<\/em>.<\/p>\n

Piensa como m\u00e1quina, no como humano<\/h3>\n

Este ser\u00e1 un peque\u00f1o consejo que les dejo de aqu\u00ed en adelante:<\/p>\n

Piensen como m\u00e1quinas<\/em><\/p><\/blockquote>\n

Para los que no comprendan, pues ahora les doy un ejemplo.<\/p>\n

\"Resultado<\/p>\n

Les presento a John.<\/em> Entre los amantes de la seguridad es uno de los mejores puntos de partida cuando comienzas en el mundo del ethical hacking<\/em>. John\u00a0<\/em>se lleva de maravilla con nuestro amigo\u00a0crunch<\/em>. Y b\u00e1sicamente agarra una lista que se le entrega y empieza a probar las combinaciones hasta encontrar una clave que resuelva la contrase\u00f1a que busca.<\/p>\n

Crunch<\/em> es un generador de combinaciones. esto quiere decir que tu le puedes decir a crunch que quieres una contrase\u00f1a con 6 caract\u00e9res de largo, que contenga letras min\u00fasculas y may\u00fasculas y crunch empezar\u00e1 a probar uno por uno… algo como:<\/p>\n

aaaaaa,aaaaab,aaaaac,aaaaad,....<\/code><\/p>\n

Y se preguntar\u00e1n cu\u00e1nto tiempo lleva ir por toda la lista seguro… no toma m\u00e1s de unos cuantos minutos<\/em>. Para los que se quedaron con la boca abierta, perm\u00edtanme explicarles. Como conversamos anteriormente, el eslab\u00f3n m\u00e1s d\u00e9bil de la cadena es el hombre, y su forma de pensar. Para una computadora no es complicado probar combinaciones, es algo sumamente repetitivo, y con el pasar de los a\u00f1os los procesadores se han vuelto tan poderosos que no necesitan m\u00e1s de un segundo para hacer mil intentos, o incluso m\u00e1s.<\/p>\n

Pero ahora lo bueno, el ejemplo anterior es con el pensamiento humano,<\/em> ahora vamos por el\u00a0pensamiento de m\u00e1quina<\/em>:<\/p>\n

Si le decimos a crunch que empiece a generar una contrase\u00f1a con solo 8<\/em><\/strong> d\u00edgitos, bajo los mismos requerimientos anteriores, hemos pasado de minutos a\u00a0horas<\/em><\/strong>. Y adivinen qu\u00e9 sucede si le decimos que use m\u00e1s de 10, se convierten en\u00a0d\u00edas<\/em><\/strong>. Para m\u00e1s de 12 ya estamos en\u00a0meses<\/em><\/strong>, adem\u00e1s del hecho de que la lista ser\u00eda de proporciones que no podr\u00edan ser almacenadas en una computadora normal. Si llegamos a 20 hablamos de cosas que una computadora no va a poder descifrar en cientos de a\u00f1os (con los procesadores actuales claro est\u00e1). Esto tiene su explicaci\u00f3n matetm\u00e1tica, pero por cuestiones de espacio no se las voy a explicar aqu\u00ed, pero para los m\u00e1s curiosos tiene mucho que ver con la permutaci\u00f3n<\/em>, las combinatorias<\/em> y las combinaciones<\/em>. Para ser m\u00e1s exactos, con el hecho de que por cada letra que agregamos al largo tenemos casi 50\u00a0<\/em>posibilidades, as\u00ed nos quedar\u00e1 algo como:<\/p>\n

20^50<\/code>\u00a0posibles combinaciones para nuestra \u00faltima contrase\u00f1a. Ingresen ese n\u00famero a su calculadora para que vean cuantas posibilidades existen con una clave de longitud de 20 s\u00edmbolos.<\/p>\n

\u00bfC\u00f3mo puedo pensar como m\u00e1quina?<\/h4>\n

No es sencillo me dir\u00e1 m\u00e1s de uno pensar en una clave de 20 letras seguidas, sobre todo con el antiguo concepto de que las contrase\u00f1as son palabras\u00a0<\/em>clave. Pero veamos un ejemplo:<\/p>\n

dXfwHd<\/code><\/p>\n

Esto es dif\u00edcil de recordar para un humano, pero s\u00famamente sencillo para una m\u00e1quina.<\/p>\n

caballoconpatasdehormiga<\/code><\/p>\n

Esto por otro lado es s\u00famamente f\u00e1cil de recordar para un humano (hasta incluso divertido) pero es un infierno para crunch<\/em>. Y ahora m\u00e1s de uno me dir\u00e1, \u00bfpero no es recomendable tambi\u00e9n cambiar de manera seguida las claves? S\u00ed, es recomendable, por lo que ahora podemos matar dos p\u00e1jaros de un tiro. Supongamos que este mes est\u00e1n leyendo\u00a0El Quijote de la mancha, tomo I.<\/em> En la contrase\u00f1a pondr\u00e1n algo como:<\/p>\n

ElQuijoteDeLaMancha1<\/code><\/p>\n

20 s\u00edmbolos, algo bastante dif\u00edcil de descubrir sin conocer a la persona, y lo mejor es que cuando acaben el libro (suponiendo que leen de forma constante :) ) sabr\u00e1n que deben cambiar su contrase\u00f1a, incluso el cambiar a:<\/p>\n

ElQuijoteDeLaMancha2<\/code><\/p>\n

Es ya un progreso :) y seguramente les ayudar\u00e1 a mantener sus contrase\u00f1as seguras y al mismo tiempo les recordar\u00e1 que deben acabar su libro.<\/p>\n

Ya es bastante lo que he escrito, y aunque me encatar\u00eda poder hablar sobre muchos m\u00e1s temas de seguridad, lo dejaremos para otro momento :) Saludos<\/p>\n","protected":false},"excerpt":{"rendered":"

Hasta ahora\u00a0creo que\u00a0no he tocado uno de mis temas favoritos, seguridad inform\u00e1tica, y considero que este ser\u00e1 el tema que les vengo a contar hoy :) Espero que tras este peque\u00f1o art\u00edculo puedan tener una mejor idea de lo que puede ayudar a tener un mejor control de sus riesgos y c\u00f3mo mitigar bastantes al … Continue reading Evita ser hackeado con estos 3 pasos<\/span><\/a><\/p>\n","protected":false},"author":169,"featured_media":52,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[3],"jetpack_featured_media_url":"https:\/\/blogs.gentoo.org\/chrisadr\/files\/2017\/10\/seguridad.jpeg","_links":{"self":[{"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/posts\/51"}],"collection":[{"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/users\/169"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/comments?post=51"}],"version-history":[{"count":5,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/posts\/51\/revisions"}],"predecessor-version":[{"id":57,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/posts\/51\/revisions\/57"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/media\/52"}],"wp:attachment":[{"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/media?parent=51"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/categories?post=51"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.gentoo.org\/chrisadr\/wp-json\/wp\/v2\/tags?post=51"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}