miércoles, 24 de septiembre de 2014

¿Seguimos con el WPS activado en nuestros routers domésticos?

Hace ya unos meses, allá por diciembre del año pasado, colgué una entrada en este blog sobre el problema de seguridad que representa tener la función WPS activada, algo que viene por defecto.
Y hoy ha llegado a mis manos un "log" con el resultado, que obviamente he ocultado, de un ataque realizado a un router doméstico, en este caso -que no es el único- de Vodafone:


20140923

ESSID: VodafonexxxX

Pin cracked in 4049 seconds
[+] WPS PIN: 'xxxxxx81'
[+] WPA PSK: 'XXXXXXXXXXXXXX'
[+] AP SSID: 'vodafonexxxX'

---
 Como podéis ver, toda la seguridad que nos ofrece una encriptación WPA con 14 caracteres alfanuméricos se va al traste por la debilidad de implantación del WPS. Y deja nuestra red WiFi "con el culo al aire", si me permitís la expresión.
Este resultado el de ejecutar el programa de testeo de seguridad Reaver, desde el que con la friolera de ¡¡cuatro!! líneas de comando a partir de una terminal se averigua logra. Y, a partir de aquí, el "malo" se entretuvo en entrar en la red, ejecutar un Nmap una vez dentro y ver cuántos hosts, cuántos equipos, estaban conectados... y alguna cosita más:


sábado, 6 de septiembre de 2014

¡Y mis fotos por ahí!

OMG! Mis fotos "sólo mías" están por todos lados...

Esta semana hemos tenido como noticia más mediática, en lo que a seguridad informática se refiere, el "robo" de fotos a famosas de muy buen ver en situaciones comprometidas. Vaya por delante que yo no las he visto ni, por supuesto, he sido el autor de la filtración, aunque no me importaría tener la capacidad de tamaña fechoría, dados los conocimientos que implica tener.

Pero vamos a lo nuestro, que no es lamentarnos de lo que no sabemos sino intentar extraer alguna ensañanza de ello.

Leyendo por aqui y por allí vimos que la culpa en primera instancia se la llevó Apple por una flagrante falla de seguridad en un servicio (find my iPhone) que permitió acceder a su sistema de almacenaje en la nube, iCloud, consistente en que las copias de seguridad de sus dispositivos se hacen sin cifrar, en claro. A lo que se añade que hasta hace poco no han adoptado la autenticación en dos pasos, algo así como una doble contraseña: la "normal" y otra que se genera en el momento en que queremos acceder al servicio y recibimos por un segundo medio (otra cuenta de correo electrónico, una aplicación en el móvil...) Pero esta segunda medida de seguridad no viene "de serie" sino que aunque está disponible hay que activarla sí o sí voluntariamente. Y, claro, eso es un "coñazo" que va en contra de la comodidad de pulsar un botón y que esté todo hecho. ¿Hablamos del almacenamiento en "la nube"? Porque si la doble autenticación nos supone un trabajo excesivo, el mero hecho de buscar un servicio que lo guarde cifrado es un "extra" al que no estamos dispuestos... ¡y no hablemos de cifrar el contenido y subirlo, ya encriptado, a un servidor tipo dropBox, Copy... ¡o Google Drive! sin ir más lejos. Trabajo para chinos, dicho sea con todo el respeto pero en lenguaje de la calle. Eso sólo lo hacen los frikis o los neuras.