Archive for enero, 2014


Cookies

Entre los botones para compartir, el software de estadísticas y los anuncios, cada vez que visitamos una web nos aparecen un montón de pequeños scripts de terceros. Normalmente no son malos, e incluso algunos nos aportan cosas interesantes. Sin embargo, no siempre es así.

Lo primero, lo obvio: la velocidad de la web. En algunos casos, entre los anuncios y los widgets podemos estar esperando un rato hasta que se cargue una página. También está el problema de la privacidad, que hace Facebook/Twitter/Google con todos esos datos de las páginas que visito gracias a sus botones sociales.

Por supuesto, nos quedan los anuncios. Tardan en cargar, a veces saben demasiado sobre nosotros (no sabéis cuántas veces me han aparecido anuncios de “cargadores para Mac” desde que busqué uno en Amazon) y en muchos casos son molestos. ¿Cómo podemos librarnos de todo esto? ¿Cómo podemos controlar nuestra experiencia web?

> Primer paso: navegación privada y borrado de cookies

Aunque después vamos a revisar extensiones y plugins, hay una forma de mejorar el control que tenemos sobre la web sin instalar nada, sólo configurando nuestro navegador. El modo más sencillo es empezar siempre en navegación privada, pero tiene la desventaja de que perdemos el historial de navegación.

Por otra parte, tenemos la opción de borrar cookies automáticamente al cerrar el navegador. De esta forma evitamos almacenar un montón de cookies a lo largo de nuestra navegación, y se lo ponemos más difícil (pero no imposible) a los que quieran seguir nuestro rastro. A cambio, perdemos la posibilidad de que los sitios recuerden nuestra cuenta y tendremos que hacer login de nuevo cada vez que abramos el navegador.

Una vez explicado qué hacer, veamos cómo hacerlo. El procedimiento es muy sencillo en todos los navegadores.

  • Firefox: Menú opciones, pestaña privacidad. En el apartado de “Historial”, elegid “Configuración personalizada”, y cambiad la opción de mantener cookies a “Hasta que cierre Firefox”.
  • Chrome: En Configuración, pulsad “Mostrar opciones avanzadas”. El primer apartado que aparece es el de Privacidad. Pulsad el botón de Configuración de contenido y cambiad el botón de “Cookies” a “Guardar datos locales hasta que cierre el navegador”.
  • Opera: Pulsad Preferencias, pestaña “Avanzado” y en la sección de cookies activad la opción de “Borrad cookies al salir de Opera”.

Ni Safari ni Internet Explorer ofrecen la opción de borrar las cookies automáticamente al salir. Sin embargo, sí que podéis usar la navegación privada en ambos.

> Ghostery, Disconnect y DoNotTrackMe, controlando al milímetro quién te sigue

Ghostery

Vamos a revisar ahora tres extensiones muy similares: Ghostery, Disconnect y DoNotTrackMe. El propósito es el mismo: controlar qué contenidos de terceros se cargan en cada página. Bloquean tanto redes sociales como empresa de rastreo (anuncios, estadísticas) y te permiten configurar los bloqueos de forma individual y por página.

Los tres tienen una mecánica de uso muy similar: un contador que indica cuántos sitios se han bloqueado, que al pulsarlo despliega una lista en detalle desde donde podemos bloquear o desbloquearlos directamente. Los tres cuentan con una lista predefinida de sitios bloqueados, y podemos crear listas blancas/negras de sitios que queramos dejar desbloqueados o bloqueados respectivamente.

Además, tienen la ventaja de ser amigables para el usuario. Por ejemplo, cuando bloquean los botones de Twitter o Facebook los sustituyen por una imagen estática, de tal forma que no pierdes funcionalidad en la página web.

De todos ellos, el que más me gusta por posibilidades de configuración y potencia es Ghostery. Lo único malo es que por defecto no bloquea los sitios (hay que cambiar los ajustes). Por lo demás, el mejor de los tres.

disconnect-1

Disconnect tiene la ventaja de ser muy fácil de usar y con una interfaz muy buena. Sin embargo, no bloquea tantos sitios como Ghostery o DoNotTrackMe. Un punto a su favor, eso sí, es la posibilidad de forzar HTTPS en todos los sitios web que lo soporten para mejorar la seguridad.

En cuanto a DoNotTrackMe, su mayor ventaja es la posibilidad de ver estadísticas de sitios bloqueados. Tiene una fuente de datos muy grande y caza prácticamente todos los sitios, pero tiene menos opciones que Ghostery y la interfaz tiene algunos fallos bastante molestos, a la hora de cerrar la ventana por ejemplo.

DoNotTrackme (1)

Ghostery es también el plugin que soporta más navegadores. De hecho, no sólo soporta todos los de escritorio sino también está disponible en iOS. DoNotTrackMe está en Firefox, Chrome, Safari e Internet Explorer y Disconnect se queda sólo en Chrome, Firefox y Safari.

Si estáis preocupados por la privacidad, estas son las mejores opciones que hay. Os ayudan amantener el control pero sin perder funcionalidades.

Descarga | Disconnect | DoNotTrackme | Ghostery

> Bloquear anuncios: AdBlock, como siempre

La otra parte de mantener nuestra privacidad es bloquear los anuncios. Aquí no me voy a extender mucho porque todos conocemos AdBlock, una extensión disponible para Chrome, Opera, Firefox y Safari que bloquea todos los anuncios imaginables y por imaginar.

Además de no necesitar prácticamente configuración, tiene otras ventajas muy interesantes. Por ejemplo, no bloquea los anuncios aceptables (no molestos) para no ahogar a sitios web que dependan de la publicidad para mantenerse. También tiene opciones para bloquear páginas de seguimiento y botones sociales, aunque de forma bastante más burda (los bloquea directamente como si fuesen anuncios) que los plugins que hemos comentado antes.

Descarga | AdBlock Plus

> Soluciones poco prácticas: Do Not Track y NoScript

Por último, vamos a revisar dos soluciones que no son muy prácticas, pero que está bien que conozcamos. Una de ellas es el famoso Do Not Track, que no es más que un parámetro que envía el navegador a los servidores y que viene a decir “Por favor, no me sigas”.

¿Por qué es poco práctico? Porque la implementación depende totalmente del que sirve los anuncios. No tienen por qué hacerte caso, y probablemente los únicos que acatarán esa indicación serán precisamente los que menos problemas te causan si te siguen por Internet. Hasta que no haya un acuerdo generalizado entre anunciantes y navegadores, Do Not Track no es efectivo.

En el otro lado del espectro tenemos a NoScript, que es demasiado efectivo. Lo que hace es bloquear los contenidos JavaScript y Java de cualquier página web. Está claro que de esa forma no te siguen, pero también pierdes muchas funcionalidades y páginas enteras pueden dejar de funcionar directamente. Aunque es cierto que puedes desactivarlo añadiendo las páginas web a una whitelist, es bastante incómodo y desde mi punto de vista no merece la pena.

Como ya habéis visto, tenemos bastantes opciones que podemos usar para evitar que nos sigan en Internet y mantener nuestra privacidad. Si tenéis algún plugin o consejo más, no dudéis en ponerlo en los comentarios.

Fuente | Genbeta

Anuncios

ciberataque

Los nombres de usuario y contraseñas de alrededor de 16 millones de ciudadanos alemanes han sido robados en un gigantesco ciberataque descubierto por la Oficina Federal de Seguridad de la Información (BSI) de dicho país.

Según informa RT, los responsables de la BSI han descubierto este robo masivo de datos en el transcurso de una investigación que realizaban sobre las redes de bots, telarañas de ordenadores ‘zombis’ de las que los ciberdelincuentes se aprovechan para lanzar ataques masivos.

El portavoz de dicho organismo, Tim Griese, ha reconocido que todavía es pronto para saber si el ataque solo ha afectado a ciudadanos alemanes, aunque sí ha adelantado que la mayoría de los usuarios afectados residen en ese país.

La trascendencia del ataque es tal que la web que el gobierno alemán ha puesto a disposición de sus ciudadanos para que éstos comprueben sí también han sido víctimas del robo de sus datos lleva horas colapsada. Los usuarios introducen en dicha web su cuenta de correo y, en caso de que ésta figure en la base de datos de la BSI de cuentas hackeadas, se les envía un correo de advertencia.

La gravedad del ataque también se ha visto acentuada por el hecho de que la mayoría de los usuarios afectados utilizaban sus cuentas de correo electrónico como nombre de usuario para iniciar sesión en sus perfiles en redes sociales y en otras webs, como tiendas online. Muchos, como es habitual, también empleaban la misma contraseña en todas estas plataformas.

Las autoridades federales sospechan, además, que el ataque también haya instalado malware y software malicioso en los ordenadores de los usuarios afectados.

La mayoría de las cuentas comprometidas en el ataque pertenecen al dominio ‘.de’. El gobierno alemán ha recomendado a los ciudadanos afectados, como medida de precaución, que se apresuren a cambiar sus claves.

El suceso es otro más de una serie de episodios de ciberespionaje que mantienen alerta al país europeo, tradicionalmente muy celoso de su información personal. Como recoge elWall Street Journal, hace un mes que un ciberdelincuente robó la información de dos millones de clientes de la telefónica Vodafone, con datos bancarios incluidos.

La revelación de que las escuchas telefónicas de la NSA también llegaron al móvil de la canciller alemana, Angela Merkel, también cayó recientemente como un jarro de agua fría sobre la sociedad alemana.

Fuente | TICbeat

social_engineering_tutorial_thumbnail_by_shadowzknowledge-d66ihbj

La ‘ingeniería social’ es el arte de engañar a otros para conseguir algo, que puede ser desde que nos creamos el timo de la lotería hasta que dejemos que un virus se cuele en el ordenador. Los hackers saben mucho de ingeniería social, pues el ser humano que está ante el ordenador es siempre el eslabón más débil de la seguridad informática. Si nos cuentan una mentira bien aderezada, no dudaremos en pinchar un enlace malicioso, dar nuestra contraseña e incluso el número de tarjeta de crédito a quien nos la pide.

Hace unos años, una empresa realizó una curiosa encuesta a la salida del metro: preguntaba a los viajeros cuál era la contraseña de su correo electrónico, a cambio de un bolígrafo. La mayoría accedió al trato. Una de aquellas personas podría haber sido el secretario del presidente de una gran empresa y los encuestadores, agentes de la competencia que sabían que el secretario salía cada día a la misma hora de aquella estación, abriéndose así una importante brecha de seguridad en la compañía.

Grandes hackers de ayer y de hoy han usado la ingeniería social en sus ataques y algunos han llegado a ser auténticos maestros del engaño, como el hacker más famoso del mundo, el norteamericano Kevin Mitnick, quien ha escrito diversos libros sobre la materia. Según Mitnick, la ingeniería social se basa en cuatro principios básicos de pura psicología: todos queremos ayudar, siempre tendemos a confiar de entrada en el otro, no nos gusta decir que no y sí nos gusta que nos alaben.

Efectivamente, el arte de la ingeniería social precisa de buena psicología, así como de documentarse a fondo sobre a quién se va a engañar, especialmente cuando la víctima es un experto, supuestamente inteligente, de una compañía de telecomunicaciones o un agente de seguridad. La mayoría de estos engaños se llevan a cabo por teléfono, que permite tergiversar la voz y juega con la ventaja de no dejarse ver. Pero los hay también que se realizan en mundo físico, lo que añadirá un plus de peligrosidad y obligará al atacante a disfrazarse y hacer teatro, con gran sangre fría.

Los hackers de los años 80 y 90 fueron los primeros en usar la ingeniería social para conseguir llamadas gratuitas o poderse conectar a redes y sistemas informáticos prohibidos para ellos. Así como todo grupo que se preciase debía tener un buen ‘phreaker’ en sus filas, era también importante tener a un ingeniero social. Destacaba en este menester la gente que se movía alrededor de laBBS God’s House (La Casa de Dios), cuyo propietario, Agnus Young, era un experto en el tema.

El gallego Lester The Teacher, asiduo a God’s House y autor de un interesante Curso de Ingeniería Social, que se publicó por entregas en el foro’Hacking’, explica que Agnus tenía 14 años cuando montó la BBS. Era una de las personas que más sabían de “phreaking” en España a principios de los 90 y, según The Teacher, “escribía documentos que los demás hackers utilizaban para poder llamar gratis a cualquier lugar”.

Pero para escribir estos textos necesitaba documentación, manuales que eran propiedad privada de las compañías telefónicas y que conseguía con ingeniería social. Lester “The Teacher” lo explica: “Utilizando la terminología de algunos libros sobre el tema, llamó a una de las centrales catalanas en las que había una línea internacional importante y se hizo amigo de uno de los técnicos de noche. Se hizo pasar por un compañero nuevo de la casa y así consiguió que aquel técnico “mucho mas experimentado” le contara un montón de cosas que luego él utilizaba para sus pruebas. Pero no sólo consiguió información, su amigo técnico le dejaba una conexión abierta al exterior por la que luego Agnus llenaba el disco duro de una de las BBS del underground informático más importantes de la época “Gods House”. Había conseguido aquella conexión tras convencer a su “compañero de trabajo” que su familia residía fuera de España y así sus llamadas le salían mas baratas.”

Lo más curioso del caso, explica Lester, es que Agnus tenía la voz de un niño de 14 años y sin embargo pudo mantener conversaciones de alto nivel técnico sin que su “compañero” se percatase. Agnus era, según el gallego, un personaje altamente asocial pero a quien le encantaba regalar llamadas de cabinas a las ancianas. Otros asiduos a su BBS eran Omega, D-Orb, El Quijote o The Saint.

> Exceso de confianza

No pasaban de los 20 años y algunos protagonizaron arriesgadas operaciones de ingeniería social que les llevaron a introducirse físicamente en importantes empresas para conseguir información o acceso gratuito a las redes. Fue el caso de Omega, que relata The Teacher: “Caminaba despacio con aquella caja de herramientas metálica de color azul óxido en la mano y una bufanda al cuello que le protegía el rostro. Tenía 17 años aunque aparentaba más”.

Y sigue: “Llegó a la puerta de aquel edificio gris, más allá de la medianoche. No llevaba encima documentación alguna. Llamó al timbre y le habló la voz del vigilante:

-¿Quién es?

– Alberto de Sintel, al parecer alguien de tercer canal se ha quejado por una caída en las líneas de no sé qué hotel y me han sacado de la cama para que venga a mirarlo.

– Pasa, te abro que estás empapado.

El vigilante no le pidió ni un dato, ninguna identificación, ningún parte de avería. La cara de mala leche, las ropas de Omega y su conocimiento de los departamentos de Telefónica fueron suficientes.

Había más gente en las salas de monitorización del edifició aunque jugaban a las cartas y nadie le preguntó nada mientras subía a la sala donde estaba la centralita. Una “Pentaconta”. Había conseguido los manuales de aquellas salas llenas de cables y relés en una librería alemana de Madrid donde se especializaban en información sobre sistemas eléctricos y electrónicos de la industria. Si no lo tenían lo traían de donde fuera. Sólo le bastó una llamada a la librería comentando que preparaba oposiciones para Telefónica para que se lo enviaran sin problemas.

Sabía que el número que le interesaba pertenecía a la central en la que se encontraba. A través de una charla “casual” con un técnico de telefónica que fue a su casa a reparar su línea de teléfono supo cómo se organizaban las numeraciones en aquellos armarios de la central.

Tardó menos de 15 minutos en encontrar lo que buscaba y otros 5 en instalar el “Diverter” (para desviar llamadas). En total no estuvo más allá de 20 minutos en la central. Una vez ganada la confianza del vigilante, nadie le preguntó absolutamente nada. Utilizando aquel Diverter se realizaron llamadas durante un año entero por diversos hackers”.

Fuente | El Mundo

A %d blogueros les gusta esto: