.

.

martes, 27 de diciembre de 2016

Entradas 2016 - Primer año de K-OOX Seguridad Informática




Aprovecho esta entrada para recopilar todo lo que se ha podido ver en "K-OOX Seguridad Informática " en este primer año de vida y os deseo un Feliz 2017 a tod@s!!

viernes, 23 de diciembre de 2016

Configurando Safari en macOS Sierra, para navegar anonimamente con Tor




Antes de empezar con esta entrada... Felices Fiestas Navideñas a tod@s desde España!!
Nuestras primeras navidades juntos desde este Blog, así que quiero dar las gracias a todos los que lo habéis seguido durante este último año.

Quitando una entrada recopilatoria de todo lo que ha sido el año que veremos la semana que viene, para finalizar 2016, seguramente con esta entrada me despido antes de estas fiestas, así que H@ppy H@cking para todos!!

Y acabamos el año con algo sencillito pero muy útil y quizás en lo que los que llevais poco tiempo en el mundo no habeís caído o quizás acabais de adquirir un Mac por primera vez y no habéis llegado a habilitar el navegador para navegar de forma anónima.

Vamos a configurar Safari para navegar de forma anónima a través de Tor.

La operación es sencilla, y partiendo de la premisa de que ya tod@s tenéis instalado Tor en vuestro equipo ... Vamos a verlo.


Configurando Safari para navegar por Tor anonimamente


Antes de empezar, si queremos navegar de forma "segura", no nos interesa ser detectados o identificados a través de nuestra IP, es por ello que utilizaremos una herramienta como Tor (cuyo objetivo principal es el desarrollo de una red de comunicaciones distribuida de baja latencia y superpuesta sobre internet, en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela su identidad, es decir, su dirección IP (anonimato a nivel de red) y que, además, mantiene la integridad y el secreto de la información que viaja por ella).

Dando por echo que tod@s sabemos instalar y hemos utilizado Tor alguna vez en nuestro equipo (y lo tenemos instalado ahora mismo), en esta entrada veremos como utilizar el anónimato que este nos ofrece, pudiendo navegar tranquilamente por el Safari de nuestro sistema operativo macOS Sierra.

Aunque tengamos Tor funcionando, si no navegamos a través de su propio navegador y consultamos nuestra IP, veremos que se muestra la verdadera, "la nuestra".



Si abro Safari y utilizo cualquier Web de las que me dicen la IP, por ejemplo:
https://www.iplocation.net/find-ip-address

Me dice mi IP original, con algún dato más, como por ejemplo más o menos mi ubicación.


Como lo que nos interesa, depende de lo que estemos o queramos hacer, es ocultar nuestra identidad, vamos a configurar nuestro navegador para que nos ofrezca los sevicios de Tor.

Para ello, solo tenemos que abrir Tor y dejarlo arrancado.
A parte, solo tenemos que copiar la misma configuración que está utilizando su navegador para salir a la red.

En mi caso, me meto en dicha configuración dentro del menú de dicho navegador y puedo ver que lo hace mediante "Servidor SOCKS" (De esta manera, se habilita el uso del protocolo Socket Secure que permite direccionar paquetes entre un cliente y servidor a través de un servidor proxy.)








Además vemos en la imagen como hace referencia a la IP 127.0.0.1 y al puerto 9150.

Ahora solo tenemos que configurar estos mismos parámetros en el navegador Safari (Como he dicho mantenemos arrancado Tor).

1. Abrimos Safari.
2. En el Menú superior, seleccionamos Safari y preferencias.


Hecho esto se abrirá la Configuración de redes, por lo que solo hay que acceder a lo que nosotros nos interesa. En este caso es la sección de "Proxies", ya que queremos que actue en forma de proxy modo SOCKS para imitar el funcionamiento del navegador de Tor.


Introducimos como ya hemos visto antes, la misma IP y el mismo puerto (127.0.0.1 / 9150).
Aceptamos y aplicamos el cambio.

Si ahora volvemos dentro de Safari y accedemos a la misma web en que comprobamos la IP de nuestro equipo, veremos que esta a cambiado completamente y de echo nos está ubicando en un lugar muy diferente del que nos encontramos físicamente.


A partir de aquí podremos seguir usando el navegador Safari de nuestro Mac de forma totalmente anónima.

Un saludo y Felices Fiestas!!! 

jueves, 8 de diciembre de 2016

Auditando la seguridad de Mac con Lynis


Como ya se ha podido ver en anteriores entradas, el autor de este blog tiene cierta debilidad por los sistemas, equipos, gadgets, que trae a la vida la compañía de Cupertino.
Se que dentro del mundo de la seguridad, como pasa en cualquier otro lugar y con cualquier otro tema, esto tiene gente a favor y totalmente en contra.

En este artículo, como ya he hecho en otros, voy a mostrar como con un Mac se puede hacer lo mismo que con cualquier otro tipo de equipo.

Para todos los que tienen un equipo de Apple (Macbook, Macbook Pro, Macbook Air, etc.) vamos a ver como poder auditar la seguridad de nuestro equipo. Para ello vamos a utilizar "Lynis", una estupenda herramienta para las auditorías de seguridad de código abierto.

Lynis es utilizada a menudo por administradores de sistemas, profesionales de seguridad y auditores, para evaluar las defensas de seguridad de sus sistemas basados ​​en Linux y UNIX. Se ejecuta en el propio host, por lo que realiza análisis de seguridad más extensos que los escáneres de vulnerabilidades.

En esta entrada se va a ver como se puede instalar en un sistema Mac, pero esta herramienta esta hecha para poder ejecutarse en casi todos los sistemas basados en Unix, como por ejemplo: AIX / FreeBSD / HP-UX / Linux / OS X / Mac OS / NetBSD / OpenBSD / Solaris.
También funciona en dispositivos como Raspberry Pi, o QNAP.

Lynis en su escaneo, realiza cientos de pruebas individuales, con lo que busca determinar el estado de seguridad del sistema. Además esto lo hace de manera totalmente inocua, ya que no necesita herramientas de terceros en su análisis, por lo que puede mantener el sistema totalmente limpio.
SI por ejemplo, Lynis detecta que Apache esta siendo ejecutado, comenzará a realizar pruebas relacionadas con Apache, y si durante esta ronda de pruebas detecta también una configuración de SSL / TLS, realizará posteriormente una auditoria de esto, guardando los certificados descubiertos para que el posterior escaneo.

Bien. Vamos a pasar a ver como se audita la seguridad de un Mac con Lynis.

Lo primero es descargar e instalar la herramienta. Hay varias posibilidades y no creo que haya una mejor que otra, ya que es algo que dependerá de como nos guste trabajar a cada uno.
Lynis esta disponible en sitios como "github.com", donde se puede descargar y posteriormente hacer todo el proceso de instalación.
Yo como se ha podido ver en otras entradas, cuando se trata de instalar en Mac, soy partidario de la utilización de gestores de paquetes, ya que facilitan mucho las cosas. En este caso como en otros, utilizaré Homebrew para instalar Lynis en mi equipo (En esta entrada no se verá evidentemente como instalar Homebrew, pero solo tienes que buscar como, ya que es verdaderamente sencillo).

 Abrimos el terminal y buscamos en el repositorio de Homebrew si está Lynis.


 Tras ver que si, pasamos a instalarlo.

 

Una vez que está instalado en el equipo, la ejecución es muy sencilla. Solo hay que ejecutar el comando: lynis -c ; y esta empieza atrabajar automáticamente, revisando todas las configuraciones en el sistema operativo.

El análisis empieza por lo más básico, va análizando y recopilando toda la información del sistema operativo, kernel, hardware, hostname, profiles, etc. 

 




































 
En su auditoría del sistema irá recabando información, encontrando a su paso vulnerabilidades y configuraciones por defecto.
Como se puede ver en la siguiente imagen, aún siendo una herramienta de terminal, consigue un aspecto muy visual, ya que emplea coloresalgo llamativos, a modo de semáforo, dando más importancia o menos a la información que va recopilando, siendo un "OK" Verde exponente de tranquilidad, hasta llegar al otro extremo, el Rojo de "WARNING".

 

Lynis hace un análisis totalmente extenso del sistema.
  • System Tools
  • Plugins
  • Boot and Services
  • Kernel
  • Memory and Proccesses
  • Users, Groups and Authentication
  • Shells
  • File Systems
  • Ports and Packages
  • Printers
  • Software
  • E-Mail and Messaging
  • Firewall
  • Support
  • PHP
  • Cryptography
  • Y un largo etc...
Analiza cada archivo de configuración para saber en qué estado se encuentra el núcleo, esto le permitirá al usuario saber en qué estado se encuentra y poder tomar las medidas necesarias para fortalecerlo más.



Finalmente Lynis te ofrece los resultados obtenidos, haciendo especial referencia las vulnerabilidades encontradas.
Aparte de la información que Lynis muestra en la pantalla, todos los detalles técnicos sobre la exploración se almacenan en un archivo de registro a modo de informe técnico.

Cualquier hallazgo (advertencias, sugerencias, recopilación de datos) se almacena en un archivo de informe. Este lo podemos encontrar, si nos fijamos en la imagen de debajo, en "Follow-up" nos indica las rutas.



En Lynis "security scan details" en la imagen superior, se puede ver entre otras cosas en nivel de fortaleza que tiene el sistema auditado. En este caso un 73%.


Ahora solo tenéis que descargar la herramienta y empezar a practicar.





Un saludo y hasta la próxima entrada ;)

sábado, 19 de noviembre de 2016

Esteganografía: OpenStego / ...Parte 2


Como ya se explicó en la primera parte de este artículo:

La esteganografía es la técnica y arte, que se encarga de ocultar información en diferentes objetos o elementos.

Así después de esta introducción, vamos a conocer algunas herramientas.
 

OpenStego - Esteganografía con imágenes

 La herramienta es muy fácil de utilizar. A través de ella, vamos a utilizar una imagen como objeto contenedor, para ocultar un mensaje secreto.
Se puede ver lo intuitivo de este software en la siguiente imagen.

Selecciono un documento de texto que he creado para la ocasión denominado "Claves secretas", la imagen en la que va a ser ocultado, y donde quiero guardar el documento resultante y como lo voy a llamar. En este caso "barco_dali".

Como puede verse, en las capturas de pantalla, OpenStego, no trabaja sobre la imagen original, si no que crea otro archivo de imagen, en el que ocultará la información.

El procedimiento habitual en terminos estenograficos, es cifrar el texto sin formato para luego modificar el covertext de alguna manera, para contener el texto cifrado.  
 (El "convertext" es digamos el envase contenedor del texto cifrado, en este caso la imagen, pero puede ser sonido, otro texto, etc.).


 Aquí tenemos la nueva imagen creada, la cual en su interior contiene el documento "claves secretas".

 El stegotext generado (denominamos así a: Los datos generados después de la incorporación del texto en claro / texto cifrado en el covertext.) voy a enviarlo a una cuenta de correo que he creado para la ocasión y que abriré en una máquina virtual a parte, para que veamos el resultado obtenido en un escenario diferente al de la generación del documeto.  


En el caso de que un tercero (un atacante) capturara el mail durante su envio, entonces apenas vería una imagen inofensiva como este cuadro de Dalí.

Recibo el mail en la cuenta de correo. Solo tengo que descargar el JPG adjunto.



Una vez que el receptor recibe el stegotext, el texto cifrado se extrae de él mediante la inversión de la lógica, que se utilizó para integrar en el primer lugar y es descifrado a texto plano.

Como se ve en la imagen anterior, habría que realizar el procedimiento a la inversa.
Solo habría que seleccionar el documento y decir donde lo queremos extraer la información que tiene oculta.

En la ruta seleccionada, tendremos ahora un documento de texto, y si lo abrimos:



viernes, 11 de noviembre de 2016

Esteganografía: OpenStego / ...Parte 1


Ya hemos hablado en otras ocasiones de la "Esteganografía", esa técnica milenaria que consiste en ocultar mensajes dentro de un objeto "contenedor", de manera que su presencia pasará inadvertida, ya que no hay nada que haga imaginar de su existencia.

La esteganografía es la técnica y arte, que se encarga de ocultar información en diferentes objetos o elementos.

Los que no sepan diferenciar este arte, de la criptografía, hay que decir que aunque el objetivo es parecido,tienen grandes diferencias.
En criptografía, se cifran mensajes para que solo los pueda leer el receptor a quien van enviados. Esto se consigue, porque solo este receptor, será el poseedor de la clave que descifre en mensaje.

La diferencia viene, en que en criptografía este mensaje es visible, si alguien lo capturara, aunque no supiera descifrarlo, sabría que hay información oculta, que está habiendo una comunicación entre algunos individuos.

La gran ventaja de la esteganografía, es que nadie sabe de la existencia de esta información al estar oculta, solo la persona a la que va dirigido el mensaje. Algunos ejemplos de esto serían tinta invisible, información oculta entre lineas de un escrito, debajo de la pintura en un cuadro, etc.

Por lo tanto, mientras que la criptografía es la práctica de proteger el contenido de un mensaje, la esteganografía se ocupa de ocultar el hecho de que se está enviando un mensaje secreto, así como ocultar el contenido del mensaje.

Algunos programas, nos permiten hacer pasar desapercibidos grandes documentos de texto dentro de archivos de imagen, audio, vídeo, programas, etc. 
Por ejemplo, los archivos de tipo multimedia, son perfectos y muy usados en la esteganografía debido al gran tamaño que suelen tener.

Los objetos contenedores más utilizados, suelen ser las imágenes digitales, sobre todo en el formato".bmp", al tratarse de un formato que no utiliza compresión y por tanto no hay peligro de perdida de la información, como podría pasar con otros tipos de formatos que si se comprimen y descomprimen como el ".jpg".

El proceso, consiste en ir sustituyendo y alternando información de la imagen "contenedora" (bits) por los de la información oculta. Los bits sustituidos serían los menos importantes (LSB), o lo que es lo mismo, los que estén en una escala de color de 24 bits (mas de 16 millones de colores). Esto quiere decir simplemente que la única diferencia sería, que un píxel de un tono concreto se vería un 1% más oscuro. De esta manera al ser un proceso tan sutil, el objeto contenedor no se ve apenas alterado y por tanto no disminuye apenas su calidad, siendo inapreciable el cambio al ojo humano. 

De manera muy parecida, se actúa en ficheros de audio.
Por ejemplo, muchos desconocen ha día de hoy, como se crea un fichero de formato ".mp3".
Para crear este tipo de formato mucho más comprimido, simplemente se procede, eliminando del audio original las partes no audibles por el oído humano, pero que sin embargo si ocupan casi la mitad del espacio. Al eliminarlas el archivo ocuparía la mitad o menos que el original.

Pues bien, en el proceso de esteganografía, para ocultar información dentro de un audio procederíamos de la misma manera, solo que en este caso en vez de sustituir la información no audible por el oído humano, la sustituiríamos por la información que queremos ocultar.

Al terminar este proceso no solo habría una información valiosa oculta dentro de ese archivo, sino que nosotros seguiríamos escuchando el audio con la misma calidad que lo oíamos antes del proceso ya que esa información no ha sido alterada.

En la serie Mr.Robot, podemos ver como el protagonista Elliot, utiliza DeepSound, una herramienta de esteganografía y conversor de audio muy facilita de usar con la que podremos ocultar datos en archivos de audio.



Ahora, vamos a ver algunas herramientas más utilizadas en este noble arte.

  • OpenStego - Esteganografía con imágenes


Seguimos en la segunda parte ...

viernes, 14 de octubre de 2016

SHODAN: El buscador del Internet de las cosas


Este artículo trata sobre el buscador de dispositivos conectados a internet más potente del mundo: SHODAN.

Todos a día de hoy hemos escuchado hablar del "internet de las cosas". ¿Qué es esto? Pues ni más ni menos una expresión que hace referencia a todos los dispositivos conectados a internet, bajo una IP, simple y sencillo: cámaras de seguridad, frigoríficos, alarmas, impresoras, web cam, semaforos, farolas,... y todos los dispositivos que sus dueños conectan a Internet, a veces (la mayoría de ellas) sin la seguridad necesaria.

Shodan busca direcciones HTTP conectadas a Internet, muchas provenientes de la deep web imposibles de encontrar para otros buscadores como Google, Firefox, etc. Localiza cualquier dispositivo que sea visible en la Red. Además del mencionado HTTP (puerto 80), también recoge datos FTP (p 21), SSH (p 22) Telnet (p 23), SNMP (p 161) y SIP (p 5060).


Shodan tiene servidores ubicados en todo el mundo y además proporciona una API pública que permite a otras herramientas acceder a todos los datos encontrados.

Lo primero que tenemos que hacer es acceder a la url oficial y crear una cuenta:
https://www.shodan.io/

 Lo siguiente, ya que yo no os lo voy a mostrar, es que seais curiosos y navegueis por las diferentes pestañas y opciones de menú de SHODAN.
Una vez que os hayais movido un poco por el entorno podemos seguir. Yo voy a ir directamente a entrar en acción.

¿Que hace SHODAN? Pues vamos a verlo...
Como en cualquier otro buscador, tenemos la barra de búsqueda en la que añadiremos el valor que queramos buscar y daremos a intro para ver que resultados nos devuelve. En el caso de SHODAN lo que vamos a buscar son dispositivos de cualquier tipo conectados a la red.
Para haceros una idea de que se puede buscar, os aconsejo que os metais en un primer momento en el apartado "Explore" donde se puede ver un Top de búsquedas hechas en el sitio, las últimas, lo más buscado, etc. Y ante todo navegar y navegar probando este fantastico buscador, ya que en cualquier momento os puede sorprender... cuentan sus creadores que ellos mismos se han  visto sorprendidos llegando a encontrar centrales nucleares, centrales electricas, o la línea de semaforos de una ciudad entera.

 Para que os hagais una ligera idea, yo mismo haciendo este artículo, escribia en el buscador la palabra "camara" y me lleve una pequeña sorpresa.
Aquí en la siguiente imagen se puede ver el entorno que nos ofrece SHODAN.
Devuelve todos los resultados encontrados y los separa por país, servicio, organización, ...
y a la derecha se pueden ver ya directamente direcciones IP con el lugar de procedencia, la compañía telefonica que ofrece el servicio y más a la derecha una descripción más detallada, en donde podemos ver datos tan interesantes como la MAC, el host, IP y MAC alternativas, producto y versión, etc.


 Quería mostrar algo como camaras de seguridad o algo por el estilo, ya que puede ser algo muy vistoso y resultón.
 Filtro por país...



Y mi sorpresa viene cuando veo entre los resultados esto:


Os podeis imaginar. Ya solo esta imagen vale más que mil palabras..., tenemos un equipo con el nombre "MIRIAM_PORTATIL" y Shodan directamente nos está mostrando el nombre de los directorios, con nombres tan apetecibles de hackear como "Backups_Rafa", "Fotos", "Rafa-Movil", etc... ¿Veis el potencial de este buscardor?

Evidentemente omito la IP... pero cualquiera con fines maliciosos o que le pueda más la emoción que la razón lo tiene muy facil. Porque si fuese poco, SHODAN nos ofrece en bandeja hasta la ubicación de esta IP.









Con tantas facilidades y aunque solo sea por curiosidad, solo tendría que empezar por ejemplo por aquí...


... y a ver que pasa.

Volviendo a SHODAN y a la idea inicial de las cámaras:
Podemos filtrar, buscando por ejemplo por los diferentes tipos de marca de cámaras de seguridad:
  • Webcamxp
  • Acti
  • Axis
  • Sony
  • Cisco
  • Toshiba
  • Panasonic
  • Y un largo etc...

En el resultado SHODAN nos dará una serie de IPs como hemos visto en ejemplos anteriores, solo tendremos que pinchar sobre muchas de ellas y directamente tendremos acceso a la cámara. Si no, con copiar y pegar la IP en el navegador, añadiendo el puerto 8080 en muchas debe de valer.

Tienda de alimentación en México

Algunas veces no hace falta ni acceder a la propia cámara, siendo Shodan quien incluso nos ofrece la imagen.
Aquí vemos como a través del navegador, he conseguido acceder al circuito de cámaras de la Universidad Princeton en Estados Unidos, donde Shodan me ofrece diferentes camaras del circuito perteneciente a una IP concreta.












A estas alturas, muchos no habeis parado de clicar y pegar direcciones IP y estareis cabreados porque muchas de ellas están protegidas y no os muestran nada.


Pero que no cunda el pánico... Pues aunque no lo creais, lo que suelen decir las noticias diariamente sobre la mala gestión de contraseñas es verdad.

Para mayor ejemplo, el otro día estuve en una conferencia sobre seguridad y dieron un dato muy gracioso que yo desconocía. Sacaron a relucir un informe que habían hecho en referencia al famoso hackeo a Aslhey Madison, con las 50 contraseñas más usadas... xD (risas en la sala). Como la más usada (el top 1) estaba, no recuerdo el número exacto y no lo voy a buscar ahora, pero con muchos más de 100.000: 123456. Pero no os lo perdais, la siguiente en el ranking con unos 50.000: 12345.

IMPRESIONANTE, sobre todo si contamos que hablamos de una web para infieles y se supone que no quieren que su mujer les pille.
Bueno pues esto era solo una anécdota para que cojáis el concepto de lo vaga que es la gente cuando de poner contraseñas se trata. Dicho esto, me quiero referir a que un grandiiiiisimo número de cámaras que os pidan contraseña, tendrán la que viene por defecto, por qué jamás nadie se planteo que podían espiarle a través de ella.

Solo tenéis que buscar en Google o donde os de la gana: "Password (O contraseña) por defecto para "nombre de la cam"" así o claro está en ingles, que tendreis más resultados : (Nombre de la cámara) "default password".

En el caso de la de la imagen anterior, una Webcamxp, las credenciales por defecto suelen ser: Nombre=Admin y Contraseña= (ninguna).... y ahí lo teneis.

























Doy por acabada esta entrada por hoy.... pero no os preocupeis por que SHODAN da para algunas entradas más.
Nos vemos en la siguiente.
H@ppy H@cking!!

lunes, 10 de octubre de 2016

"Sandbox" el termino de moda de este otoño

Sandbox (Caja de arena)
 Aunque este es un blog en su mayoría dedicado a la actividad técnica, no excluye entradas teóricas o de cualquier tipo en cuanto a lo que a seguridad informática o de la información se refiere. Y hoy es uno de esos días! xD
Quiero dedicar esta breve entrada a mencionar unos terminos que aunque no son nuevos ya que llevan un tiempo entre nosotros, si bien es cierto que deben de estar muy de moda y es que en las últimas conferencias y eventos dedicados a la seguridad,  a los que he estado asistiendo en el último mes, no he escuchado otra cosa por parte de todos los ponentes que sandbox, sandbox, sandbox,...

 Pues aunque para muchos de los lectores de este blog sea algo evidente y básico, hay otros muchos que no lo han escuchado o que tienen una vaga idea, pero no lo terminan de tener claro. Para estos últimos va dirigida esta entrada.

¿Qué es Sandbox?

A parte de significarse en castellano "Caja de arena" (si de esas en las que juegan los niños con sus cubos en algunos parques), en informática se denómina a entornos aislados, entornos situados fuera de la parte general/principal de un sistema, una red, un sistema operativo... dependiendo del contexto... pero siempre un entorno aislado.
Puede ser o denominarse así a una zona de la memoria completamente aislada del resto de la memoria disponible, con el objetivo de ejecutar un programa o aplicación para verificar si contiene malware o software malicioso. También a un entorno de pruebas (virtual) que aísla los cambios en el código, fruto de la experimentación, del propio entorno de producción o entorno de edición.

 En conclusión, un mecanismo para ejecutar programas con seguridad y de manera separada al resto del sistema, para no ponerle en riesgo, de cuales quiera sean las causas.
Por ejemplo, podemos encontrar aislamiento del tipo Sandbox en muchos antivirus, que lo utilizan para aislar programas en ejecución, para mantener el equipo protegido.

El Sandbox es normalmente desarrollado y gestionado mediante herramientas destinadas al control de revisiones, de manera que se pueda trabajar con una copia del código fuente original, para crear un entorno similar al real, sin dañarlo o modificarlo.
Este entorno es utilizado normalmente por desarrolladores a forma de espejo de un sistema original, para probar nuevo software producido y posteriormente migrar su aplicación al entorno de producción después de haberlo testeado.

Asimismo, podemos utilizar sandbox solitarios como sandboxie para windows (software que crea un «contenedor» dentro del cual los programas de aplicación se ejecutan de forma segura) para evaluar aplicaciones pequeñas y evitar ser víctimas de ciberdelincuentes.

jueves, 29 de septiembre de 2016

Cifrado de datos (Parte 3) - Cryptomator



En la actualidad el guardar documentos en la nube es sin duda algo muy atractivo, nos ofrece comodidad, agilidad y despreocupación ante tediosas prácticas del pasado (muchas empresas a día de hoy guardan sus backups en la nube).
Pero como siempre suelo decir, no es oro todo lo que reluce, ya que en muchos casos esta práctica trae de la mano nuevos riesgos para la seguridad de la información. No todas las plataformas de cloud o mejor dicho casi ninguna aclara en que lugar del planeta se encuentran almacenados nuestros documentos, que políticas de seguridad utilizan para protegerlos y ya hemos escuchado más de una ocasión en que una de estas plataformas ha sido hackeada. Sin ir más lejos este verano saltó la noticia: "Dropbox reconoce el ‘hackeo’ de 60 millones de cuentas: cómo saber si la tuya está afectada".
Por eso, la mejor medida que podemos tomar antes de subir nuestros datos a la nube es... cifrarlos.

Página oficial: https://cryptomator.org/
Cryptomator es una solución ideal de cifrado del lado del cliente.
Esta herramienta es libre y de código abierto y además esta disponible para Linux, Windows y Mac OS X, así como IOS. Una aplicación para Android está actualmente en desarrollo.

Está especialmente desarrollado para cifrar archivos en la nube, en plataformas como Dropbox, Google Drive, Mega, onedrive, Nextcloud y otros que se sincronizan con un directorio local.
  • Sin Backdoors.
  • Del lado del cliente: No hay cuentas, no hay datos compartidos.
  • Totalmente transparente: Sólo funciona en la unidad virtual como si se tratara de una unidad flash USB.
  • Cifrado AES con longitud de clave de 256 bit.
  • Los nombres de ficheros cifrados.
  • Multibóvedas en Dropbox, con contraseñas individuales.
  • Claves de 256 bits.
  • Cada archivo contiene toda la información necesaria para el descifrado (a excepción de la clave).


Vamos a crear lo que Cryptomator denomina caja fuerte, en la que poder asegurar nuestros archivos. 
Su uso es super sencillo y muy intuitivo.

Al iniciar la aplicación veremos una imagen como la anterior. 
Hacemos Clic en "+" para crear una nueva caja fuerte.

Para realizar este ejemplo cifrando archivos en la nube, seleccionamos el directorio de Dropbox para guardar el directorio cifrado que vamos a crear.
En mi caso voy a denominarlo "K-oox_Security".
 Una vez hecho esto, lo demás es bastante sencillo. Solo hay que coger el documento o carpeta que queramos proteger y lo arrastramos dentro de la "caja fuerte que hemos creado con Cryptomator. Entonces este empezará a cifrar.
 


Una vez que este copiado y cifrado en la caja fuerte, si voy al directorio de Dropbox encontraré una carpeta con el mismo nombre que la caja que he creado y allí en mi caso "Expedientes X" y podré acceder a los archivos que contiene.
Sin embargo una vez que cierre Cryptomator el volumen se desmontará, desapareciendo la caja fuerte de mi escritorio. Si vuelvo al directorio de Dropbox la carpeta creada con el nombre "K-oox_Security" sigue estando ahí, pero si la abro, ahí no encontrare nada (la carpeta Expedientes X ha desaparecido).

Para volver a tener acceso a nuestros documentos encriptados, solo hay que abrir Cryptomator de nuevo y seleccionar el volumen K-oox_Security en la barra lateral, entonces nos pedirá contraseña!!


La introducimos y eureka!! mis "Expedientes X" vuelven a estar disponibles.
 ------------

Y para terminar esta tercera entrada dedicada al cifrado de datos, aprovechando esta imagen y solo haciendo una breve mención a ella.  Y es que para muchos el poder cifrar su información sensible utilizando harware, les ofrece una sensación de mayor tranquilidad.

Existen en el mercado algunos productos que serán muy del gusto de este tipo de público, por ejemplo los Pen Drive que permiten el cifrado de archivos y desbloqueo por clave númerica.
Entre ellos encontramos el "Encrypted USB Flash Drive" de Toshiba con un cifrado AES de 256 bits y se vale de un pequeño teclado para introducir el código de acceso.
En caso de robo o extravío, Toshiba dice que el dispositivo cuenta con un mecanismo que destruye la información luego de diez intentos fallidos al introducir la contraseña (fuerza bruta).

También se encuentran en la actualidad en el mercado otros como el "Kingston Data Traveler", "Corsair Padlock 2", o "iStorage datAshur".


miércoles, 14 de septiembre de 2016

Cifrado de datos (parte 2) - AES Crypt / FileVault



Vamos con la segunda parte de esta serie dedicada a las herramientas de cifrado y encriptación.
En la primera parte nos quedamos viendo que posibilidades de filtrado ofrecían los SO de Apple, vamos a seguir con ello en la presente entrada.


Encriptando en Mac con FileVault

FileVault es la herramienta nativa de OS X perfecta, para encriptar los datos guardados en el disco de un Mac.
Con esta encriptación del disco se evitará el acceso a dicha información por parte de usuarios, o Apps no autorizadas.

FileVault utiliza la encriptación XTS-AES de 128 bits, que será la que impida el acceso a los datos privados si no se está en poder de la contraseña de desencriptación de 256 bits.


Una vez acabado el proceso de activación de FileVault, se deberá de reiniciar el equipo.
Cuando el Mac vuelva a arrancar, la encriptación comienza a realizarse en segundo plano.

Podemos acceder a esta utilidad desde las preferencias del sistema, en el apartado Seguridad y Privacidad.


AES Crypt

Es un software de cifrado, pero a diferencia de lo que se puede hacer con FileVault que es el cifrado del disco completo, con AES Crypt se pueden cifrar archivos concretos de la forma más sencilla.
Esta herramienta es multiplataforma y utiliza un potente algoritmo de cifrado de 256 bits.
Esta App es muy util cuando lo que se pretende es proteger archivos con los que se está trabajando, información sensible que se va a enviar o almacenar, para mantenerla de la forma más segura posible.

Uno de los puntos a favor de AES C es la integración con Gnome y KDE, además de que puede utilizarse tanto desde un entorno gráfico, como desde la consola de comandos.

Se puede descargar facilmente desde la web oficial del proyecto: https://www.aescrypt.com/ , dependiendo la instalación del sistema en el que se vaya instalar.

En OS X, yo lo he instalado para la práctica de forma sencilla mediante Homebrew.







Como menciono con anterioridad, esta herramienta solo es capaz de cifrar archivos. Por lo tanto si la intención es por ejemplo cifrar un directorio entero, habrá que buscarse las mañas y convertirlo en un archivo único, por ejemplo comprimiendolo en un .zip .

La utilización sencilla. Si por ejemplo se quiere cifrar un archivo "fiscal.pdf" y la contraseña a utilizar es "12ConTraseñA": $ aescrypt -e -p 12ConTraseñA fiscal.pdf
El (-e) alude a encriptar y la (-p) password.

Siguiendo el mismo método, para desencriptar: $ aescrypt -d -p 12ConTraseñA fiscal.pdf.aes

Evidentemente, muchos estarán pensando que el introducir la contraseña en la línea de comandos de forma visible, no cumple con ningún principio de seguridad. A todos esos solo puedo decirles que tienen toda la razón.
Para soluccionarlo, solo habrá que operar de la misma manera pero sin introducir (-p), tras lo que el terminal nos pedirá la contraseña dos veces, una inicial y otra para confirmar, las dos de manera invisible: 
$ aescrypt -e 12ConTraseñA fiscal.pdf

viernes, 9 de septiembre de 2016

Cifrado de datos - Parte 1 (Encriptación de imagenes de disco)


La siguiente entrada, va a ser dedicada a uno de los procedimientos utilizados por un arte ancestral, que aunque en la actualidad está muy de moda debido al ambito tecnológico, al tratamiento seguro de datos, a la confidencialidad en las comunicaciones, ya era utilizado en la antiguedad por grandes civilizaciones, como en el antiguo Egipto o la Grecia clásica.
Este arte es la Criptografía (literalmente del griego "Escritura oculta") y el procedimiento del que se va a hablar "El Cifrado".


La evolución tecnológica, ha hecho que el aumento de las comunicaciones y por tanto la circulación de información sea masiva, lo cual replantea un gran problema y reto a la hora de asegurar estas comunicaciones y que los datos personales y confidenciales que circulan por ellas, estén debidamente protegidos para que no sean accesibles a terceras personas.

Debemos asegurar que las comunicaciones estén protegidas en su tránsito de información, lo que quiere decir que solo los participantes de dicha comunicación (remitente y destinatario) sean los unicos que tengan acceso a ella. Para conseguir y asegurar este proceso se deben de utilizar herramientas y servicios que encripten los datos que se transmiten (y en caso de servicios, que estos datos no se almacenen en por ejemplo servidores de terceros).

 Hemos sido testigos en los últimos tiempos en lo relacionado con esta materia, de por ejemplo las declaraciones de Snowden, en las que recomendaba la encriptación de aplicaciones.
Recomendaba algunas, por ejemplo para telefonía: Signal y RedPhone para cifrar llamadas y TextSecure para mensajería.
Como sevicio de alojamiento de archivos en la nube según Snowden el mejor SpiderOak, frente a otros más conocidos del mercado como Dropbox.

Políticas de protección de información de SpiderOak

Más recientemente vimos como Whatsapp cifraba sus comunicaciones de extremo a extremo.
Esto quiere decir que cifran todo el proceso de comunicación, desde que el emisor envía el mensaje, hasta que el receptor lo recibe en su terminal.
WhatsApp deja de almacenar las claves de cifrado en un servidor central, las cuales pasan a estar solo presentes en los terminales de cada uno de los participantes de la comunicación y sin las cuales no se podrá acceder de ningún modo a la información.

Cifrado extremo a extremo de WhatsApp

Ahora vamos a ver diferentes formas de poder cifrar nuestros datos de forma segura para mantenerlos protegidos de la menor forma posible.

Encriptación de imagenes de disco en OS X o macOS Sierra

A veces cuando estamos trabajando, nos interesa compartir una imagen de disco con cierta información o hacer una imagen para uso personal propio en la que simplemente guardaremos datos confidenciales.
En Mac la extensión de estas imagenes de disco es: DMG.
El mismo sistema operativo da la opción de encriptarlo mediante su propia app "Utilidad de disco".

Abrimos Utilidad de Discos y creamos una imagen nueva vacia.






Saldrá una ventana, en la que se tiene que configurar la nueva imagen de disco que se va a crear.


 Recomiendo se elija la encriptación a 256 bits ya que es la más segura entre las opciones ofrecidas.
Automaticamente, la utilidad pedirá una contraseña para la nueva imagen.




Guardamos y en unos segundos estará creada y guardada la nueva imagen de disco.
Aquí se puede guardar toda la información y archivos que se quiera (hasta la capacidad que hemos indicado en la configuración).
Para desmontar solo hay que hacer doble click he introducir la contraseña.