sábado, 30 de abril de 2016

Regañar a los amigos con Whatsapp desactualizado

¿Quién no utiliza Whatsapp? Este servicio tan popular adquirido tiempo atrás por Facebook ha sido objeto de estudio y se observaron comportamientos no deseables como la transmisión en texto plano de los número de teléfono de los usuarios, por lo que con un analizador de redes (Wireshark por ejemplo) se podía obtener información de las personas a nuestro alrededor.

Imagen 1. Regañar a los amigos con Whatsapp desactualizado

Con la última actualización de Whatsapp se introduce el cifrado de extremo a extremo, y se evitan fallos de seguridad como el mencionado anteriormente. En los links indicados al final de esta entrada se tiene mucha información al respecto, por lo que únicamente mencionaré una característica que me parece "graciosa" para utilizar entre nuestros amigos.

Dentro de uno de los grupos de los que formemos parte, al seleccionar el nombre del grupo para mostrar información (válido también para contactos individuales) podemos ver si todos los contactos tienen activo el cifrado de extremo a extremo o no. En el caso de iPhone se indica al final de la pantalla de información, en el apartado de 'Cifrado'; de acceder a este apartado se muestra una ventana con aquellos contactos con una versión antigua de Whatsapp y que por tanto impiden el cifrado de los mensajes y resto de características de la última actualización.

Imagen 2. Contactos con Whastapp desactualizado
Convendría avisar a estos contactos sobre actualizar su versión de Whatsapp; eso sí, sin necesidad de regañar.

¡Un saludo!

Carlos A. Molina

Webs

Whitepaper sobre el cifrado de Whatsapp (no acceder directamente, copiar y pegar en el navegador)
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf

WhatsApp: Cómo Verificar el cifrado extremo a extremo

Investigación en Whatsapp. Deepak Daswani en Mundo Hacker

Whatsapp evita difusión de los número de teléfono

Imágenes de uso libre

sábado, 23 de abril de 2016

Feliz día del libro

Hoy, 23 de abril del 2016 se celebra el Día del Libro y dado el carácter de este blog, aprovecho para hablar de dos libros que tratan el mundo de la red.

Imagen 1. Feliz día del libro

Los hombres que susurran a las máquinas


Un día paseando tuve la suerte de toparme con este libro de Antonio Salas en el escaparate de una librería.

Imagen 2. Los hombres que susurran a las máquinas

Me ha aportado una visión del mundo de la ciberseguridad en España nueva ya que el autor, gracias a sus numerosos contactos, realiza un viaje en el que conoce desde los cuerpos de seguridad hasta las personas más influyentes en esta materia.

A lo largo del libro también se dan consejos que todos podemos llevar a cabo para aumentar nuestra seguridad. Es un libro para todos, quiero decir, no son necesarios conocimientos para disfrutarlo, únicamente ganas de leer.

Internet negro - El lado oscuro de la red


Imagen 3. Internet negro - El lado oscuro de la red

El segundo libro lo he comprado en este día tan especial. De la mano de sus autores Pere Cervantes y Oliver Tauste, dos policías especializados en delitos cibernéticos, se abordan los peligros de la red.

Aún no he comenzado a leerlo pero creo que posee carácter divulgativo, su objetivo es informar, concienciar y aconsejar; de nuevo, un libro para todos.


Espero que hoy hayáis encontrado un buen libro, por mi parte os muestro estos dos que tratan un tema tan actual y presente en nuevas vidas.


Feliz día del libro,

Carlos A. Molina

Webs


Salas, Antonio, (2015), Los hombres que susurran a las máquinas, Espasa.
- Libro
- Imagen 

Cervantes Pascual, Pere y  Tauste Solá, Oliver, (2015), Internet Negro - El lado oscuro de la red, Temas'de hoy.
- Libro
- Imagen

Imágenes de uso libre
https://pixabay.com

sábado, 16 de abril de 2016

Movistar. Sms del 224407 y 1004

Estos días he recibido dos sms sobre servicios de Movistar.

  • El primero solicitaba consentimiento para tratar los datos de tráfico de internet y ubicación. Si en 30 días no respondía, entienden que doy mi consentimiento.
  • El segundo me informaba que el 18-5-16 cambian las condiciones de mi Contrato Móvil relacionadas con los datos móviles y que actualmente tengo activada la reducción de velocidad.

Al no comprender lo que implicaba cada mensaje así como su veracidad, me informé y acabé llamando. Finalmente comprobé que ambos mensajes son efectivamente son de Movistar, por lo que se puede llamar a los números que indican sin problemas, los cuales además son gratuitos.

En ambos casos para configurar mi participación o no en dichos servicios debía llamar a los números indicados ya que de no llamar se entiende que doy mi consentimiento para aceptar los cambios.

Por tanto, en esta entrada explico lo que supone cada mensaje y las opciones que se presentan para configurarlos.



Imagen 1. Movistar. Sms del 224407 y 1004


Mensaje 1.Tratar datos de tráfico de internet y ubicación; tiempo para manifestar mi oposición de 30 días.


El sms recibido es el siguiente:

---------------------------------------------------------------------------------------------------------------------------------------

Movistar Info
Movistar info: Solicitamos consentimiento para tratar los datos de tráfico de internet y ubicación de las comunicaciones de su dispositivo móvil, con la finalidad de optimizar y mejorar la cobertura de sus servicios móviles, garantizar la seguridad de redes, sistemas y equipos mediante la prevención y defensa ante incidentes de ciberseguridad y comunicarle ofertas personalizadas sobre productos de Movistar. Si en el plazo de 30 días no ha manifestado su oposición, entenderemos que consiente. Le recordamos que puede oponerse o conocer el estado de sus consentimientos y gestionarlos a través de esta línea, en todo momento, en el teléfono gratuito 224407.

---------------------------------------------------------------------------------------------------------------------------------------

Número de teléfono que envió el sms: 224407
¿Es de Movistar? Si
¿Es gratuito el número al que hay que llamar? Si
¿De no llamar acepto el nuevo servicio? Si
¿En caso de pasarse los 30 días puede modificarse? Si (comprobado)

El mensaje de texto informa que Movistar desea tratar la información indicada para distintos fines. En caso de no querer, seguir estos pasos:

1. Llamar al 224407 (llamada gratuita).
2. Tras una, no breve, explicación accedemos al menú en el hay varias opciones; por defecto están todas aceptadas; habrá que ir de una en una en caso de no querer que se lleve a cabo lo indicado.

A continuación se muestra cada opción:

  • Opción 1. Recibir por carta ofertas personalizadas de productos y servicios de Movistar.
  • Opción 2. Tratamiento de sus datos para ofrecerle servicios de valor añadido.
  • Opción 3. Tratamiento de sus datos de tráfico y facturación para informarle sobre ofertas personalizadas de productos y servicios.
  • Opción 4. Recibir por medios electrónicos y/o digitales ofertas personalizadas de productos y servicios de Movistar.
  • Opción 5. Recibir llamadas de Movistar para informarle sobre ofertas personalizadas de productos y servicios.
  • Opción 6. Tratamiento de sus datos de navegación para informarle sobre ofertas personalizadas de productos y servicios.
  • Opción 7. Uso de sus datos de ubicación para informarle sobre productos y servicios del sector de telecomunicaciones y nuevas tecnologías, así como para la optimización y mejora de la cobertura de sus servicios móviles.
  • Opción 8. Tratamiento de sus datos de tráfico para mejorar la seguridad y proteger los intereses y de terceros de posibles amenazas en la red, a través de internet, ciberamenzas y evitar así posibles ataques en sus dispositivos, ciberataques.
  • Opción 0. Si desea salir.

3. Se selecciona una opción pulsando el correspondiente botón en el teléfono móvil. Tras esto se nos indica cómo activar o desactivar dicha opción.

4. Por último se irá repitiendo la grabación para seleccionar una nueva opción hasta que escojamos salir.

Recordar que una vez accedido a un menú no es necesario escuchar la grabación entera para poder elegir una opción, de saber su número puede escribirse directamente.


Mensaje 2. Condiciones contrato móvil datos de móviles cambian el 18-5-16. Reducción de velocidad.


El sms recibido es el siguiente:

---------------------------------------------------------------------------------------------------------------------------------------

Condiciones datos móviles
Movistar Info: El 18-5-16 cambian las condiciones de su Contrato Movil relacionadas con los datos moviles. Como actualmente tiene activada la reducción de velocidad, una vez agote la franquicia de datos contratada le mantendremos esta situacion. Recuerde que siempre podra navegar a máxima velocidad tras superar su franquicia de datos llamando gratis al 223528. +Info: movistar.es, tiendas Movistar, 1004, 1489 o Gestor Comercial.

---------------------------------------------------------------------------------------------------------------------------------------

Número de teléfono que envió el sms: 1004
¿Es de Movistar? Si
¿Es gratuito el número al que hay que llamar? Si
¿De no llamar acepto el nuevo servicio? Si

Hasta ahora, tras consumir los gigas que tengamos contratados en nuestra tarifa móvil, dejamos de navegar a máxima velocidad y lo hacemos a una velocidad reducida sin gastos adicionales. Esto es a lo que en el sms llaman como reducción de velocidad.

A partir del 18-5-2016 el comportamiento cambia, y tras consumir los gigas contratados, se seguirá navegando a máxima velocidad, eso sí, cada mega costará 1.5 céntimos, siendo el máximo consumo de 1Gb, donde se cobrarán por tanto 15€.

En el caso de querer seguir con la reducción de velocidad hay que seguir estos pasos:

1. Llamar al 223528, llamada gratuita.
2. Seguir el menú indicado para seleccionar que se mantenga la reducción de velocidad (simplemente habrá que pulsar el número 2).


Cada uno querremos participar en una u otras opciones, pero lo que debe quedar claro es que para no hacerlo hay que indicarlo.

Un saludo,

Carlos A. Molina


Webs utilizadas


Imágenes de uso libre

domingo, 10 de abril de 2016

Ruta directorio en variable de entorno. Ubuntu

Cuando accedemos a un archivo, navegamos por las carpetas de nuestro ordenador hasta completar la ruta o path en el que se aloja.

En esta entrada se explica cómo guardar dicha ruta en una variable de entorno de nuestro sistema operativo de modo que escribiéndola en terminal se accede directamente a la carpeta deseada (directorio) sin tener que navegar hasta ella o crear un acceso directo.

Imagen 1. Ruta directorio en variable entorno. Ubuntu

Las explicaciones son para que quede guardada de manera permanente, es decir, estará disponible hasta que no se borre del mismo modo que se añadió.

Introducción


¿Qué es el PATH de los sistemas operativos?

Se trata de una variable de entorno, es decir un valor que el sistema operativo tiene en cuenta a la hora de ejecutar acciones, que guarda las rutas donde el sistema operativo busca los programas a ejecutar. Siendo una ruta la dirección hacia algo, es decir, las carpetas que hay que recorrer para llegar al objetivo.

De este modo, al guardar en el PATH una variable que contenga la ruta, se podrá trabajar desde terminal con dicha variable en lugar de tener que escribir la ruta.

Ubuntu


Tras tener claro el concepto de PATH, se va a crear una variable de entorno que pese a que no se incluirá en el PATH, tendrá el mismo efecto que si así se hiciera. 

Para ello se trabaja con el archivo .bashrc alojado en la carpeta personal del usuario.

1. Acceder al archivo

Para modificar el archivo indicado, primero se abre el terminal (control + t) y en él se ejecuta la orden:

nano ~/.bashrc

Pulsar tecla enter.

Explicación:
- nano: comando para escribir en un archivo.
- ~: ruta a la carpeta personal del usuario. Se escribe pulsando alt gr + ñ
- /: separa la ruta del archivo
- .bashrc: script que se ejecuta cada vez que se inicie el terminal en modo interactivo (para más detalles visitar el link sobre este archivo indicado al final de la entrada).

2. Modificar archivo

En pantalla aparece toda la información que contiene el archivo, bajamos hasta el final con la flecha que apunta hacia abajo del teclado y ya en la última línea debe escribirse (puede dejarse una línea en blanco pulsando enter):

export nombreVariable = ruta

ejemplo: export SCANEO_HOME=/home/moli/Descargas/pentesting_core

Explicación:
- export: necesario para crear la variable.
- SCANEO_HOME: nombre de la variable, debe definir bien adonde lleva. En este ejemplo se crea para poder lanzar la herramienta de pentesting en la que participo, desarrollando como TFG.
- /home/moli/Documentos/pentesting_core: ruta a guardar en la variable.

Truco: para indicar la ruta sin necesidad de escribirla, simplemente con arrastrar y soltar la carpeta al terminal aparece, pero se debe borrar las comillas que aparecerán al principio y al final de la ruta.

Tras modificar el archivo se guardan los cambios, pulsando:

control + o

Indica el archivo que se modificará, aceptamos pulsando enter. Para salir, control + x.

3. Aplicar cambios

Tras añadir la variable, para poder utilizarla deben aplicarse los cambios en el archivo, para ello escribir en el terminal:

source ~/.bashrc

Y pulsar enter.

4. Comprobar funcionamiento

Para ver la ruta añadida, escribir en el terminal $nombreVariable o echo $nombreVariable. En el primer caso muestra su contenido y define qué es, y en el segundo muestra su contenido. 

Con el ejemplo se comportaría del siguiente modo (el símbolo $ antes de la orden indican que se trabaja con el el terminal de Ubuntu y el símbolo ~ el directorio actual de trabajo):

~$ $SCANEO_HOME
bash: /home/
moli/Descargas/pentesting_core: Es un directorio 

~$ echo $SCANEO_HOME
/home/
moli/
Descargas/pentesting_core

En caso de no funcionar y haber seguido los pasos correctamente, cerrar el terminal y abrir una nueva.

5. Utilización

El objetivo de esta entrada es poder acceder a una carpeta o utilizar su contenido sin tener que navegar a través de todas las que la contienen, ni tener que crear un acceso directo, por lo que trabajando con la variable de entorno, desde el terminal conseguimos esto.

5.1. Acceder a la carpeta

Cambiar de ruta con el comando cd, sin olvidar el símbolo $:

cd $nombreVariable

Ejemplo: cd $SCANEO_HOME

En el terminal se aprecia que el directorio de trabajo ha cambiado:
~/Descargas/pentesting_core$

Ahora desde terminal se puede trabajar con los archivos en dicha ruta, para abrir la carpeta del directorio actual, escribir:

nautilus .

Pulsar enter.

5.2. Utilizar contenido de la carpeta

Por último, como la ruta está en el PATH, puede utilizarse la variable creada para ejecutar lo que contenga el directorio sin necesidad de acceder a la carpeta.

En el siguiente ejemplo se lanza un script contenido en la ruta guardada en la variable de entorno que he llamado MOLI_SCRIPTS, añadiendo barra (/) al final:

~$ python $MOLI_SCRIPTS/

Tras esto se pulsa el botón tabulador del teclado y aparece la ruta almacenada

~$ python /home/moli/Software/

Solo debe escribirse el nombre del script a ejecutar y pulsar enter.

~$ python /home/moli/Software/deleteMetadata.py

El script utilizado en este último ejemplo borra los metadatos de las imágenes indicadas, puede descargarse desde mi cuenta en GitHub.
 
Todo esto resulta muy útil cuando se trabaja habitualmente con el contenido de una carpeta gracias al ahorro de tiempo que conlleva.

Un saludo,

Webs


Mi cuenta en GitHub

Definición path

Definición variable de entorno

Archivo .bashrc Ubuntu

Modificar path Ubuntu

Entradas sobre herramienta de pentesting de mi TFG
http://cmoli.blogspot.com.es/2016/03/tfg-i-nmap-scan-instalacion.html

domingo, 3 de abril de 2016

Contraseña usuario = contraseñas internet

Esta semana comento una característica de los navegadores web cuando almacenan las contraseñas, y es el poder visualizarlas. Parece lógico pero muchos al principio no lo sabemos.

Imagen 1. Contraseña usuario = contraseñas internet

El título de esta entrada se debe a que al acceder a nuestra cuenta de usuario en el ordenador o dispositivos móviles, pueden verse todas las contraseñas que están almacenadas en los navegadores web.

Se describe el proceso en Safari, Firefox y Chrome.

Safari


Imagen 2. Navegador Safari
Comienzo con el navegador de OS X. Tras iniciar sesión como usuario en el ordenador y abrir Safari, podemos acceder a las contraseñas web almacenadas del siguiente modo:

Menú superior: Safari > Preferencias > Contraseñas

Aparecen todas las cuentas de internet que en su momento se escogió que el navegador recordara. Para ver su información, tras seleccionar una y hacer click en 'Mostrar contraseñas de los sitios web seleccionados', se debe volver a escribir la contraseña de sesión del ordenador.

Imagen 3. Safari, contraseñas almacenadas



Imagen 4. Safari, pedir contraseña de usuario
 
Imagen 5. Safari, contraseña

Esta opción de Safari también se encuentra en el dispositivo móvil.

La ruta para ver las contraseñas es:

Ajustes > Safari > Contraseñas

Imagen 6. Safari, teléfono móvil, acceso a contraseñas

En este caso, para acceder a la información almacenada pide reconocimiento por Touch ID, aunque también se puede introducir el código fallando el primer reconocimiento.

Imagen 7. Safari teléfono móvil, pedir contraseña de usuario

De nuevo, aparece la lista con todas las cuentas guardadas. Seleccionar la que se quiere consultar.

Imagen 8.  Safari, contraseñas almacenadas


Imagen 9.  Safari, contraseña
Una buena medida el que haya que escribir de nuevo nuestra password.

Firefox


Imagen 10. Navegador Firefox

La ruta para acceder a la información en este navegador, pasos explicados (imagen 11) en el link del final de esta entrada, es:

Menú superior derecha > Preferencias > Seguridad > Credenciales guardadas...

Imagen 11. Firefox, acceso a contraseñas

Tras mostrarse la lista de cuentas almacenadas, seleccionar una y hacer click en 'Credenciales guardadas...', curiosamente no se pide la contraseña de usuario para poder mostrar la información, simplemente pregunta si estamos seguros de ello.



 Imagen 12. Firefox, no pide contraseña de usuario

Como se ha visto, al contrario que en Safari, ya con la sesión de usuario iniciada en el ordenador, no se pide de nuevo la contraseña para mostrar las de internet.

Chrome


Imagen 13. Navegador Chrome

La ruta para ver las contraseñas (imagen 14), tanto en el navegador de escritorio como en dispositivos móviles, se explica en el link indicado más abajo.


Menú superior derecha > Configuración > Mostrar configuración avanzada (al final de la página) > Administrar contraseñas

Imagen 14. Chrome, acceso a contraseñas


De este modo se accede a la lista de cuentas guardadas. Tras pinchar sobre una aparece la opción 'Mostrar', click en ella. En este caso, como en Safari, se pide la contraseña del usuario para ver la contraseña asociada.

Imagen 15. Chrome, pedir contraseña de usuario


Tras introducirse se muestra la contraseña de la cuenta escogida.

Conclusión


Con esta característica tan sencilla queda claro que quien tenga acceso a nuestro ordenador es capaz de saber mucho más en menos de lo que tardamos en ir a beber agua. Por tanto, es algo a no olvidar siempre que prestemos el ordenador para "consultar algo".

Personalmente, me ha sorprendido que Firefox no pida la contraseña de usuario del ordenador para mostrar las contraseñas web almacenadas. Espero que sea por mi configuración del navegador o de mi ordenador y pueda cambiarse.

¿Maneras de evitar esto? Utilizar el navegador que más nos convenza y ver sus opciones de configuración para que no sea tan fácil consultar las contraseñas. Por supuesto, si alguien conoce nuestras contraseñas pero utilizamos un segundo factor de autenticación (2FA) u otra medida, no le servirá para acceder a la cuenta web.


Saludos!

Carlos A. Molina

Webs


Google. Explicación ver contraseñas en ordenador y dispositivos móviles
https://support.google.com/chrome/answer/95606?hl=es

Firefox. Explicación ver contraseñas en ordenador
https://support.mozilla.org/es/kb/administrador-de-contrasenas-recordar-borrar-cambiar-importar-contrase%C3%B1as-firefox#w_ver-y-borrar-contraseagas

Imágenes de uso libre