No se en que post de Maligno, puso este vídeo del anuncio del Windows ME (Milenium).
Nada. Lo dejo aquí, por poner algo que tenga que ver con los bits y los bytes, ¿no?
lunes, 28 de diciembre de 2009
sábado, 26 de diciembre de 2009
Windows y la UAC IV
El otro día leyendo a Maligno decía que había una manera de hacer que la UAC se comportara de una manera o de otra. Es uno de los posts que tiene de la serie de la UAC.
Para ello había que utilizar una de las consolas de administración de Windows. En este caso será la secpol.msc.
Como ya sabéis, en mi equipo yo utilizo un usuario "mortal". Para utilizar secpol.msc hay que ser administrador. Yo la he abierto de la siguiente manera. Seguro que hay muchas más:
- He buscado secpol.msc con el buscador del Vista.
Para ello había que utilizar una de las consolas de administración de Windows. En este caso será la secpol.msc.
Como ya sabéis, en mi equipo yo utilizo un usuario "mortal". Para utilizar secpol.msc hay que ser administrador. Yo la he abierto de la siguiente manera. Seguro que hay muchas más:
- He buscado secpol.msc con el buscador del Vista.
Buscando secpol.msc
- Una vez lo ha encontrado, lo he enviado al escritorio. Desde ahí he utlizado la opción de ejecutar como administrador. La razón de enviarlo al escritorio es para que se viera más claramente la operación.
Ejecutar como administrador
- Nos pide confirmación con la UAC:
UAC para abrir secpol.msc
- Una vez accedemos tendremos acceso a la configuración del comportamiento del control de usuarios, UAC.
Opciones de seguridad, opciones para el control de usuario
Hay muchas opciones para controlar su comportamiento. Las más importantes son las dos primeras.
- Distintas opciones para los administradores:
Opciones para los administradores
Las distintas opciones:
- Por defecto, pedir confirmación. Vamos, el famoso permitir o cancelar.
- Pedir credenciales tal y como se hace por defecto en un usuario mortal.
- Elevar sin preguntar. Que sería como desactivar la UAC pero sólo para los administradores. Acordarse de que esta es la más peligrosa.
¿Y para el resto de usuarios?
Sólo hay dos opciones:
- Elevar privilegios (como ya he dicho en varias ocasiones, introducir credenciales de administrador)
- Denegar el acceso. No pide nada. Suelta un aviso del tipo de "acceso denegado".
Opciones para los usuarios mortales
A parte tenemos la opición de poner el escritorio seguro (que se pone más oscuro cuando se activa el control de usuarios). O que al instalar aplicaciones se estime si es necesario privilegios o no. Y unas cuantas más que no me apetece nada mirar.
Espero que esta sea la última cosa que pueda contar sobre la UAC.
Feliz navidad!!!
Poco más puedo decir al respecto, que el título de este post.
Que tengáis unas felices fiestas. Unas felices vacaciones para aquellos que las tengan, y que no tengáis que dar palo al agua para aquellos que os toque currar. Que la familia (ahora me pongo a tocar El padrino en el piano) esté bien unida.
¿Qué más? Sí. A ponerse como el kiko. No pasa nada. Después se va al gym sin problemas.
Y poco más puedo contar. Ala. A pasarlo bien.
martes, 22 de diciembre de 2009
Windows y la UAC III
Bueno. Ya he hecho varias cosas con las máquinas virtuales.
Lo primero de todo es conseguir que se ejecute el troyano. Para eso se envía un ejecutable como el que se muestra en la captura:
Lo primero de todo es conseguir que se ejecute el troyano. Para eso se envía un ejecutable como el que se muestra en la captura:
El troyano que hay que ejecutar.
Este lo he compartido desde el Equipo01 para que lo pudiera pasar. Hay que tener en cuenta que esto no es un escenario ideal. Es un escenario montado para que el troyano sea muy facil de aplicar.
Ahora. Para manipular el troyano, que actúa de servidor, se necesita un cliente, que es la consola de administración.
Consola de administración sin conexiones
Esta es la consola de administración sin conexiones. Y esta es la consola cuando ya se ha ejecutado el troyano.
Consola de administración con una conexión
Una vez vemos que tenemos a alguien conectado, hacemos doble click sobre el equipo que queremos controlar. En nuestro caso, evidentemente, sólo habrá uno. Va a ser el Equipo02. Nos va a aparecer un panel de control parecido al de la imagen. Yo he seleccionado la sección que permite ver la pantalla del equipo troyanizado.
Capturando la pantalla de la víctima.
A su vez, podemos manipular cosas. Por ejemplo. Podemos manipular el teclado. Así, podremos escribir en este fichero de texto que se puede ver en la siguiente captura. A tener en cuenta. El check que está en un círculo rojo tiene que estar seleccionado. No lo he mostrado así porque no me dejaba capturar la pantalla del administrador, el Equipo01. Al estar seleccionado, me capturaba la pantalla del Equipo02.
Manipulando el fichero.
Y aquí el fichero manipulado.
Fichero manipulado.
Vale. Una vez que hemos visto qué se puede hacer con este troyano, ejecutado con el usuario usua02, vamos a ver cómo hacer saltar la UAC. Para ello, vamos a tocar la shell que nos ofrece el panel el panel de control y ejecutamos en ella (una vez nos permita introducir comandos) firewallsettings. Como se puede apreciar, también he hecho más pruebas.
Solicitando administración del firewall.
En el Equipo02, nos saltará la UAC. Momento en el cual, tendremos que sospechar que algo no va bien. Sería lo mismo que cuando hemos manipulado el fichero de texto.
UAC que salta al "manipular" el firewall.
¿Qué hubiera pasado si no hubiéramos tenido la UAC activada? No hubieramos tenido permisos para tocar nada. ¿Y si huberamos sido administradores? Bueno. Ahora podemos ver que el admin02 ha ejecutado el mismo troyano que el usua02. A parte de que ahora en el panel de administración del troyano vemos que aparecen dos entradas...
Dos usuarios infectados.
Una vez tenemos control sobre el administrador, ya podríamos hacer de tó. Y mucho más si quitásemos la UAC. Ya vimos antes qué sucedía si la quitábamos.
Vuelvo a recordar que esto es un escenario forzado para que saliera la UAC con el usuario mortal. Y he ido a por algo sencillo, como puede ser el firewall de windows. Que cantaría mucho si se manipulara. Pero también se ha visto que se puede manipular el teclado, el ratón... Si tuviera una webcam se podría ver lo que estuviera mirando...
También hay qeu tener en cuenta que este troyano tiene una características. Lo hay con más y con menos.
Soy consciente de que esto no supera las expectativas. Pero bueno. Creo que es mejor esto a nada. ¿No?
lunes, 21 de diciembre de 2009
Windows y la UAC II
Bueno. Casi, casi puedo decir que... "¡Al fin lo tengo!". ¿Por qué? Porque el montaje de las máquinas virtuales me ha costado más de lo que yo pensaba. Muchiiiiisimo más.
Aunque puede que este post poco tenga que ver con lo de la UAC (todo dependerá de lo que consiga escribir), sí va destinado a cómo tengo pensado hacer el experimento de las pruebas. Después tendré que ver cómo os las puedo mostrar.
Lo primero de todo. ¿Qué equipos están en juego? ¿Con qué sistemas operativos?.
Los equipos son dos Virtual PC. Cada uno de ellos lleva un Windows Vista instalado. Con el fin de diferenciarlos, uno de ellos se llama Equipo01 y el otro Equipo02.
Diferencias entre ambos:
- A día de hoy, cada uno de los dos equipos tiene un usuario administrador y un usuario mortal.
- El quipo 01 tiene la apariencia clásica, sin ningún efecto especial tipo Aereo. El 02, aunque el aspecto es el nuevo del Vista (que ya no es tan nuevo, dado que ya tenemos el W7), también he desactivado todos los efectos visuales.
- He utilizado el paquete de herramientas Sysinternal Suite. He utilizado la herramienta bginfo. Que permite mostrar información del sistema en el escritorio.
- Estaba teniendo problemas con la red. Estos equipos podían hacer ping a un router, pero no al resto de equipos. Total, que he visto que el firewall estaba activado en ambos sistemas. En ambas virtualizaciones los he desactivado.
¿Qué más os puedo contar sobre los equipos? No les he puesto antivirus. Si no, se comerían el troyano vivo. ¿Eso es un problema? Bueno. La idea no es troyanizar pasando desapercibido, sino lo que podría suceder de tener algún bicho pululando por el equipo que sí esté escondido, sin dar señales de vida.
Si hay algún detalle que se me pueda quedar en el tintero, lo haré saber.
Aunque puede que este post poco tenga que ver con lo de la UAC (todo dependerá de lo que consiga escribir), sí va destinado a cómo tengo pensado hacer el experimento de las pruebas. Después tendré que ver cómo os las puedo mostrar.
Lo primero de todo. ¿Qué equipos están en juego? ¿Con qué sistemas operativos?.
Los equipos son dos Virtual PC. Cada uno de ellos lleva un Windows Vista instalado. Con el fin de diferenciarlos, uno de ellos se llama Equipo01 y el otro Equipo02.
Diferencias entre ambos:
- A día de hoy, cada uno de los dos equipos tiene un usuario administrador y un usuario mortal.
- El quipo 01 tiene la apariencia clásica, sin ningún efecto especial tipo Aereo. El 02, aunque el aspecto es el nuevo del Vista (que ya no es tan nuevo, dado que ya tenemos el W7), también he desactivado todos los efectos visuales.
- He utilizado el paquete de herramientas Sysinternal Suite. He utilizado la herramienta bginfo. Que permite mostrar información del sistema en el escritorio.
- Estaba teniendo problemas con la red. Estos equipos podían hacer ping a un router, pero no al resto de equipos. Total, que he visto que el firewall estaba activado en ambos sistemas. En ambas virtualizaciones los he desactivado.
Equipo01 - Firewall desactivado
Equipo02 - Firewall desactivado
Como se puede ver en las capturas, el Equipo01 tenemos un usuario adminstrador logueado. Por lo tanto, la UAC que nos salte cada vez que queramos tocar cosas como el firewall, sólo nos pedirá confirmación. En cambio, con el Equipo02, se nos pedirá una contraseña. De hecho, el equipo que será troyanizado será el Equipo02. Más adelante, ya le pasaré el troyano con usuario más poderoso. ¿Qué más puedo contar? Nuestra victima no ha actualizado el sistema. El equipo que manejará el troyano está actualizado hasta el SP2.
¿Qué más os puedo contar sobre los equipos? No les he puesto antivirus. Si no, se comerían el troyano vivo. ¿Eso es un problema? Bueno. La idea no es troyanizar pasando desapercibido, sino lo que podría suceder de tener algún bicho pululando por el equipo que sí esté escondido, sin dar señales de vida.
Si hay algún detalle que se me pueda quedar en el tintero, lo haré saber.
viernes, 18 de diciembre de 2009
Spam
Todos sufrimos de spam. No hay día que no se reciba un correo que intente vendernos una pastillita azul, que nos entreguen una herencia multimillonaria de parte de una viuda de África a cambio de una determinada cantidad de dinero para pagar los impuestos de la transferencia... O, ese magnífico empleo desde casa que nos reportará grandes beneficios por hacer dos horas de trabajo diario. Vamos, los correos tipo.
Hay muchas formas conocidas para recibir este tipo de correos.
¿Os gustan esas presentaciones tan bonitas en las que salen unos lindos gatitos? Mola mucho re-enviarlas, ¿verdad? A toda la lista. Para que la vean y si les gusta a tus destinatarios que lo reenvien a su vez. Y así, poco a poco, muchas personas habrán visto a esos lindos gatitos. Incluso, es posible que dentro de 2 o 3 años, te vuelvan a llegar. En realidad, ya estarán muy creciditos. Pero en las fotos seguirán siendo los mismo minimos que hace 2 años atrás. Además, junto a las fotos, nos vendrán de regalo un montón de direcciones de e-mail. Direcciones de todos aquellos que han acogido a los felinos.
Total. Que ahí tenemos una gran fuente de direcciones de correo. ¿De dónde más se pueden conseguir direcciones de correo? De los foros donde hay gente que dice cosas así como:
Del mismo modo que tenemos los foros, también podemos utilizar las listas de distribución. Que también sirven de fuente de información para captar el preciado material.
Y, a la hora de suscribirse en servicios varios, éstos podrían vender nuestros datos, junto con el correo, a terceras empresas, que nos acabarán spameando.
Y ahora no me apetece seguir escribiendo sobre el tema. Lo voy a zanjar aquí. Si a alguien se le ocurren más fuentes de spam, adelante!!.
Hay muchas formas conocidas para recibir este tipo de correos.
¿Os gustan esas presentaciones tan bonitas en las que salen unos lindos gatitos? Mola mucho re-enviarlas, ¿verdad? A toda la lista. Para que la vean y si les gusta a tus destinatarios que lo reenvien a su vez. Y así, poco a poco, muchas personas habrán visto a esos lindos gatitos. Incluso, es posible que dentro de 2 o 3 años, te vuelvan a llegar. En realidad, ya estarán muy creciditos. Pero en las fotos seguirán siendo los mismo minimos que hace 2 años atrás. Además, junto a las fotos, nos vendrán de regalo un montón de direcciones de e-mail. Direcciones de todos aquellos que han acogido a los felinos.
Total. Que ahí tenemos una gran fuente de direcciones de correo. ¿De dónde más se pueden conseguir direcciones de correo? De los foros donde hay gente que dice cosas así como:
Necesito ayuda. No me funciona el ordenador. Para responder escríbeme un e-mail a agus2011@gmail.com.Total. Que después, con los programitas adecuados, y con las herramientas adecuadas, consiguen un montón de direcciones. Cada vez menos, por una técnica que con las herramientas automáticas es más difícil de obtener. Y, esas técnicas incluyen el hecho de que mi e-mail deja de ser agus2011@gmail.com y pasa a ser agus2011 [arroba@] gmail [puntillo, puntazo, punto] com. Y la búsqueda de patrones que suelen utilizar dicha herramienta falla.
Del mismo modo que tenemos los foros, también podemos utilizar las listas de distribución. Que también sirven de fuente de información para captar el preciado material.
Y, a la hora de suscribirse en servicios varios, éstos podrían vender nuestros datos, junto con el correo, a terceras empresas, que nos acabarán spameando.
Y ahora no me apetece seguir escribiendo sobre el tema. Lo voy a zanjar aquí. Si a alguien se le ocurren más fuentes de spam, adelante!!.
viernes, 11 de diciembre de 2009
Autenticación
Mientras consigo preparar las máquinas virtuales para los posts sobre la UAC y las contraseñas en Windows (I y II ), voy a ver qué os puedo contar.
¿Alguien sabe cuántas formas o niveles de autenticarse existen? A la hora de identificarnos en un sistema determinado, nos pueden exigir una serie de métodos para saber que nosotros somos... nosotros. En principio tenemos tres niveles:
¿Alguien sabe cuántas formas o niveles de autenticarse existen? A la hora de identificarnos en un sistema determinado, nos pueden exigir una serie de métodos para saber que nosotros somos... nosotros. En principio tenemos tres niveles:
- Nivel 1: Basado en algo que conocemos. Como norma general, es el nombre de usuario con su contraseña. Es muy básico, porque, de tener ese dato, pueden hacerse pasar por nosotros. Por lo que, entre los siguientes niveles, es el más fácil de saltar.
- Nivel 2: Basado en algo que tenemos. Este nivel añade más seguridad al nivel 1. En este caso, para autenticarnos, necesitaremos algún elemento que si no tenemos, no podremos acceder a aquello que se está protegiendo. Además, esto es susceptible de perderse. Aquí podemos hablar de algunas cosas que podrían ser:
- Smart-cards: tarjetas inteligentes, como podrían ser tarjetas con chip, con RFID, con banda magnética. Con el lector adecuado, será posible que el sistema lea la tarjeta para darnos paso, o para denegarnos el acceso.
- Tokens: A ver cómo lo puedo explicar. Para resumirlo, y sin ser muy preciso: un token es un elemento que te devolverá una serie de caracteres que habrá que introducir cuando el sistema lo solicite. Este dato que nos devuelve varía cada cierto tiempo. Lo suyo es que sea cada muy, muy poco tiempo: unos cuantos segundos.
- Nivel 3: Basado en lo que somos. Si queremos resumir esto es una palabra, utilizaría biometría. Los seres humanos, a excepción de casos poco comunes, estamos diseñados con dos piernas, dos brazos, dos ojos... 5 dedos por mano, otros 5 dedos por pie. Bueno, ya se me entiende. Pero, hay otras que se entienden únicas por cada persona. Entre otras, las huellas dactilares, el iris del ojo, la palma de la mano, la voz. Uno de los riesgos de la voz es que, a parte de que existe la posibilidad de que cambie (un mísero catarro, haberse levantado de la cama hace cinco minutos), cortes en el dedo que mira la huella dactilar... A parte se necesitará el lector para realizar la comprobación y haber capturado antes aquella parte del cuerpo que será verificada.
Estos son los niveles que a día de hoy se pueden establecer para autenticarse en un sistema. Cuanto más alto el nivel, más complicado es el que alguien se haga pasar por nosotros. Estos se pueden combinar. Aunque no es necesario, sí sería recomendable. Una tarjeta perdida, si no se pide contraseña, dejaría paso a cualquier persona que se la encontrara. También se podría montar para permitir distintas alternativas: utilizar una huella dactilar o utilizar un token junto a una contraseña. Por poner otro ejemplo, que haberlos, los hay a miles.
Espero que esto sea de utilidad.
miércoles, 9 de diciembre de 2009
Contraseñas en Windows II
Si bien este post va dirigido a las contraseñas en Windows, se podría aplicar a las contraseñas en general.
Como ya comenté en un anterior post, nos podemos encontrar con unos ficheros llamados rainbow tables. Estos son unos ficheros donde se tiene una gran colección de hashes correspondientes a contraseñas. ¿Para qué sirve tener una colección de hashes? En principio, nos permitirá hacer unas cuantas cosas. Por ejemplo. Dado el hash de una contraseña, se puede buscar éste dentro de la tabla.
También hay que tener en cuenta que dependiendo del conjunto de caracteres que se esté empleando, será más fácil, o no, encontrar la contraseña. Por el lado de las rainbow tables la dificultad radicará en que si se están utilizando caracteres especiales, como pueden ser guiones bajos (_), guiones (-), o, si vamos más allá, eñes (Ñs), acentos, etc, hará que el fichero donde están almacenados los hashes ocupen más que si sólo se tuvieran las combinaciones sencillas del ASCII. Y, desde el punto de vista de la contraseña, porque cuantos más caracteres especiales se utilicen, unido a la longitud de ésta, más costará el poder encontrar dicha contraseña dentro de las tablas, si es que está representada ahí dentro. También es cierto que a medida que la tabla va creciendo es más probable que se produzca una colisión. Y cuando hay colisiones implica que hay un hash que valdría para más de una contraseña.
Es muy, muy importante darse cuenta de que a medida que se van añadiendo caracteres a la combinatoria de las posibles contraseñas de las que queremos almacenar su hash, más ocupará el fichero donde estén almacenadas. Ayer estuve buscando material para poder hacer alguna demo y, para que se vea hasta donde puede llegar el tamaño de una colección de estas, un bicharraco de estos que contenga los hashes para LM de una longitud máxima de 7 caracteres, ocupa 120 GB.
En este sitio hay una buena presentación en la que se ve cómo se pueden generar estas tablas, y algunas características que se me queden colgadas o que no sean muy precisas.
De momento no puedo dar muchos más detalles. De todas maneras, como ya he dicho, quiero hacer una demo con una de estas para que veáis cómo funcionan.
Como ya comenté en un anterior post, nos podemos encontrar con unos ficheros llamados rainbow tables. Estos son unos ficheros donde se tiene una gran colección de hashes correspondientes a contraseñas. ¿Para qué sirve tener una colección de hashes? En principio, nos permitirá hacer unas cuantas cosas. Por ejemplo. Dado el hash de una contraseña, se puede buscar éste dentro de la tabla.
También hay que tener en cuenta que dependiendo del conjunto de caracteres que se esté empleando, será más fácil, o no, encontrar la contraseña. Por el lado de las rainbow tables la dificultad radicará en que si se están utilizando caracteres especiales, como pueden ser guiones bajos (_), guiones (-), o, si vamos más allá, eñes (Ñs), acentos, etc, hará que el fichero donde están almacenados los hashes ocupen más que si sólo se tuvieran las combinaciones sencillas del ASCII. Y, desde el punto de vista de la contraseña, porque cuantos más caracteres especiales se utilicen, unido a la longitud de ésta, más costará el poder encontrar dicha contraseña dentro de las tablas, si es que está representada ahí dentro. También es cierto que a medida que la tabla va creciendo es más probable que se produzca una colisión. Y cuando hay colisiones implica que hay un hash que valdría para más de una contraseña.
Es muy, muy importante darse cuenta de que a medida que se van añadiendo caracteres a la combinatoria de las posibles contraseñas de las que queremos almacenar su hash, más ocupará el fichero donde estén almacenadas. Ayer estuve buscando material para poder hacer alguna demo y, para que se vea hasta donde puede llegar el tamaño de una colección de estas, un bicharraco de estos que contenga los hashes para LM de una longitud máxima de 7 caracteres, ocupa 120 GB.
En este sitio hay una buena presentación en la que se ve cómo se pueden generar estas tablas, y algunas características que se me queden colgadas o que no sean muy precisas.
De momento no puedo dar muchos más detalles. De todas maneras, como ya he dicho, quiero hacer una demo con una de estas para que veáis cómo funcionan.
lunes, 7 de diciembre de 2009
Windows y la UAC I
Vaya.... Te me has adelantado!!!!
Estaba leyendo cosas, pensando cómo escribir un post sobre las contraseñas en Windows y... veo en el reader que Maligno se me adelanta con la UAC. Ahora tengo que ver cómo me las apaño para contarlo. xD. Vamos a ver. Lo que quería hacer era contar un poco de qué iba el tema, tal y como lo ha hecho en su post, pero de distinta manera.
En principio, y tal y como se puede leer en el post, la UAC permite que aunque se esté con un usuario administrador, si se va a realizar una tarea de la que se necesitan sus privilegios, se pida confirmación. El hecho de desactivarla reduce la seguridad que nos brinda esta... ¿herramienta?
Cuando se realiza una instalación, el primer usuario que se crea es un usuario con poderes de administración. Si se intenta realizar una tarea, como podría ser, cambiar la configuración del firewall de windows, nos tendría que salir algo así:
¿Qué sucedería si este usuario hiciera estas cosas con la UAC activada?
Estaba leyendo cosas, pensando cómo escribir un post sobre las contraseñas en Windows y... veo en el reader que Maligno se me adelanta con la UAC. Ahora tengo que ver cómo me las apaño para contarlo. xD. Vamos a ver. Lo que quería hacer era contar un poco de qué iba el tema, tal y como lo ha hecho en su post, pero de distinta manera.
En principio, y tal y como se puede leer en el post, la UAC permite que aunque se esté con un usuario administrador, si se va a realizar una tarea de la que se necesitan sus privilegios, se pida confirmación. El hecho de desactivarla reduce la seguridad que nos brinda esta... ¿herramienta?
Cuando se realiza una instalación, el primer usuario que se crea es un usuario con poderes de administración. Si se intenta realizar una tarea, como podría ser, cambiar la configuración del firewall de windows, nos tendría que salir algo así:
Admin con UAC activada
En el caso de que desactivemos la UAC, esta pregunta no se realizará. Y por lo tanto, si ejecutamos algo sin saber qué es, e intenta tocar alguna cosa como puede ser este firewall, lo haría sin enterarnos. Si se tiene activada, nos saltaría el aviso, y por lo tanto, las alarmas de que algo no va bien.
¿Qué pasa con un usuario "mortal"? Vale. Lo primero de todo. Hay gente que se ríe con eso de "mortal". O pone cara de póker. Donde digo "mortal" significa un usuario raso. Sin apenas permisos. Un usuario que no puede modificar absolutamente nada del sistema.
Si dejamos la UAC desactivada, un usuario de estas características podría acceder a la parte de configuración del firewall, si bien no le permitiría tocar nada.
Usuario mortal con UAC desactivada
O, incluso, con otra herramienta como puede ser la que se utiliza para configurar el sistema, ni siquiera te permitiría ver, saltando un mensaje de error (más contundente que una alerta) indicando que no se tiene permisos para utilizarla.
¿Qué sucedería si este usuario hiciera estas cosas con la UAC activada?
Usuario mortal con UAC activada
Como se puede ver, nos pide confirmación. Y esa confirmación incluye el subir privilegios, sólo para esa tarea, introduciendo unas credenciales válidas.
Según se pude ver en las capturas, a la hora de pedir confirmación, si eres administrador sólo hay que hacer click sobre "aceptar". Mientras que si no lo eres, hay que "loguearse" con un usuario con poderes para realizar la tarea.
Si alguien me pidiera consejo, yo le diría que se creara otra cuenta a parte de la que se hizo cuando instaló el sistema y que ésta no fuera administrador. Y que la utilizara. Y que nunca iniciara sesión con el administrador.
En algún momento haré otro post mostrando mejor las ventajas que tiene dejarla activada.
Actualuazión: En el post de hoy de Maligno, al final, hay una forma para poderse saltar la UAC. Y nada fácil es.
domingo, 6 de diciembre de 2009
Contraseñas en Windows I
Algo que es de cajón: En Windows se utilizan contraseñas. Y éstas se almacenan en el sistema. Pero, si éstas se almacenaran en claro, del mismo modo que estamos leyendo este texto, sería muy, muy fácil obtenerlas. Sólo habría que encontrar el lugar donde están guardadas y abrir un bloq de notas. Ya está.
Y ahí está el quid de la cuestión. Que no es tan fácil hacer eso. Porque no se almacenan en claro. Estas se almacenan en lo que se llama (la) SAM (cuando se habla de eso se dice "la SAM esto, la SAM lo otro..."). La SAM es un fichero (no una BB.DD) que está en el registro de Windows donde se guarda la correspondencia usuario / contraseña utilizando hashes.
¿Qué es un hash? Un hash es un algoritmo que al aplicarlo sobre un elemento dado (en este caso, la contraseña), se bebería de obtener una codificación única. Y digo "se debería" porque si, dados dos elementos distintos, se produce el mismo hash, tenemos una colisión.
Ahora que sabemos dónde se guardan las usuarios y sus contraseñas (en la SAM) y qué usa para que no se vea la contraseña (un hash)... ¿Cuál es su algoritmo? Bueno. Yo puedo contar las características de los distintos algoritmos que utiliza. Porque, a lo largo del tiempo, Windows ha ido creando distintos formatos.
Y ahí está el quid de la cuestión. Que no es tan fácil hacer eso. Porque no se almacenan en claro. Estas se almacenan en lo que se llama (la) SAM (cuando se habla de eso se dice "la SAM esto, la SAM lo otro..."). La SAM es un fichero (no una BB.DD) que está en el registro de Windows donde se guarda la correspondencia usuario / contraseña utilizando hashes.
¿Qué es un hash? Un hash es un algoritmo que al aplicarlo sobre un elemento dado (en este caso, la contraseña), se bebería de obtener una codificación única. Y digo "se debería" porque si, dados dos elementos distintos, se produce el mismo hash, tenemos una colisión.
Ahora que sabemos dónde se guardan las usuarios y sus contraseñas (en la SAM) y qué usa para que no se vea la contraseña (un hash)... ¿Cuál es su algoritmo? Bueno. Yo puedo contar las características de los distintos algoritmos que utiliza. Porque, a lo largo del tiempo, Windows ha ido creando distintos formatos.
- Hash LM (Lan Manager):
- No se utiliza en red
- Se mantiene por compatibilidad hacia atrás. Es decir, para mantener la compatibilidad con sistemas antiguos.
- La longitud máxima es de 14 caracteres. Si la contraseña tiene mayor longitud no se guarda con en este tipo de hash. Si es menor, se añaden nulos hasta alcanzar esta cifra máxima.
- No es case sensitive, sensible a mayúsculas / minúsculas. Se escriba como se escriba, se guardará en mayúsculas.
- Utiliza ASCII puro y duro. No valen las Ñs ni los acentos. Se pueden utilizar 142 símbolos.
- La contraseña se separa en 2 mitades, cada una de 7 caracteres. (Por lo tanto, son 2 hashes, no 1).
- Como máximo, se puede conseguir una combinación de 6,8 · 1012 contraseñas.
- A partir de GPOs (de las que puede que hable en otro post) se puede evitar utilizarlas
- Hash NT
- La contraseña tendrá una longitud no fija, pero como máximo podrá ser de 127 caracteres.
- Es case sensitive, Permite utilizar 65.535 símbolos.
- Si nº caracteres es menor o igual a 14, llegamos aproximadamente a las 4,6 · 1025 contraseñas (set de caracteres de LM). Si es mayor, 2,7 * 1067 posibles contraseñas. (full charset). Si es igual a 127, podremos conseguir, 4,9 · 10611 combinaciones.
- No se rellena si faltan carcateres para llegar a un valor determinado (lo contrario a lo que hacía LM).
- Se utiliza el algorítmo MD4, por lo que hay colisiones.
- NTLM: v1 y v2
- Permiten autenticación por red.
- Funcionan de un modo parecido al MS-CHAP, desafío / respuesta.
- Se generan hashes de sesión, una vez se ha realizado la autenticación.
- Entre la versión 1 y la 2, es preferible utilizar la 2 (capitán obvio al rescate!!).
En general, los algoritmos de antes citados se pueden romper en mayor o menor medida por fuerza bruta. Si bien, los últimos, a nivel práctico, no sería viable por la gran cantidad de combinaciones existentes. Otra opción es utilizar unas rainbow tables. Unos ficheros con las contraseñas ya codificadas. (explicado de forma muy concisa). En otro post hablaré sobre las posibilidades de que esto puede brindar.
Espero que os gustara eso. Como siempre, se aceptan criticas.
jueves, 3 de diciembre de 2009
En defensa de los derechos fundamentales en Internet
Estos días he estado leyendo sobre un manifiesto que voy a
suscribir, en el que se destaca que la nueva ley de Economía Sostenible
incluye alguna... ¿enmienda?, ¿sección?, en la que, grosso modo,
permite que una comisión pueda cerrar una página web (sobretodo va
dirigida a las páginas de enlaces para descaragas de contenidos con
derechos de autor) sin orden judicial. Y, esa es la
razón por la que lo suscribo. Como indican en las varias fuentes que he
ido leyendo al respecto, y de donde voy a hacer un copy and paste del manifiesto, se pasan la constitución por el forro.
No estoy diciendo que no se pueda solicitar el cierre de un sitio vía judicial. Si una persona ve que alguien atenta contra sus derechos, siempre tiene la opción de solicitar amparo por dicha vía. Pero éso es distinto a que una "comisión" decida por su cuenta cerrar un página, sin respestar los derechos de parte a la que afectaría ese cierre. Entre otras cosas que he podido leer en algunos de los blogs que sigo, es que "afectan al libre ejercicio de las libertades de expresión, información y el derecho al acceso a la cultura en Internet".
Mis distintas fuentes están a la derecha de este blog. Entre otras (tengo que buscar los enlaces porque esto lo leí ayer y me he puesto a escribirlo hoy) son:
- ALT1040 (este sí que es importante!!!)
- SbD
- Singeria sin control
- (Editando: Este blog también es muy interesante)
Por cierto. Esto se parece mucho al manifiesto que vi en el periodico el otro día y que emitia la PROMUSICAE. No es malo, ni mucho menos. Al revés. Tienen que exponer su problema. Supongo que siempre hay un punto intermedio. Y, tal y como se publican las cosas en los medios, no parece que gusten mucho. Para aclarar, digo tal y como se publican porque, como decía Mafalda: "Dado que los diarios no dicen la mitad de las cosas que pasan y dado que la mitad de lo que dicen es mentira[...]" (el resto no viene al caso).
Si hay más... Lo siento. He intentado recopilar los máximos datos posibles para dar esta información. Si falta algo. O no es correcto. O alguien no está de acuerdo con estas líneas... Que lo exponga.
Y aquí, el manifiesto.
1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.
2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.
3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.
4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.
5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.
6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.
7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.
8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.
9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.
10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate públicoy habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.
Este manifiesto, elaborado de forma conjunta por varios autores, es de todos y de ninguno. Si quieres sumarte a él, difúndelo por Internet.
Bueno. Espero que el siguiente post tenga que ver con la temática del blog en su conjunto.
Actualización: Según puedo leer, en una reunión que se ha mantenido los autores del manifiesto con la Ministra:
No estoy diciendo que no se pueda solicitar el cierre de un sitio vía judicial. Si una persona ve que alguien atenta contra sus derechos, siempre tiene la opción de solicitar amparo por dicha vía. Pero éso es distinto a que una "comisión" decida por su cuenta cerrar un página, sin respestar los derechos de parte a la que afectaría ese cierre. Entre otras cosas que he podido leer en algunos de los blogs que sigo, es que "afectan al libre ejercicio de las libertades de expresión, información y el derecho al acceso a la cultura en Internet".
Mis distintas fuentes están a la derecha de este blog. Entre otras (tengo que buscar los enlaces porque esto lo leí ayer y me he puesto a escribirlo hoy) son:
- ALT1040 (este sí que es importante!!!)
- SbD
- Singeria sin control
- (Editando: Este blog también es muy interesante)
Por cierto. Esto se parece mucho al manifiesto que vi en el periodico el otro día y que emitia la PROMUSICAE. No es malo, ni mucho menos. Al revés. Tienen que exponer su problema. Supongo que siempre hay un punto intermedio. Y, tal y como se publican las cosas en los medios, no parece que gusten mucho. Para aclarar, digo tal y como se publican porque, como decía Mafalda: "Dado que los diarios no dicen la mitad de las cosas que pasan y dado que la mitad de lo que dicen es mentira[...]" (el resto no viene al caso).
Si hay más... Lo siento. He intentado recopilar los máximos datos posibles para dar esta información. Si falta algo. O no es correcto. O alguien no está de acuerdo con estas líneas... Que lo exponga.
Y aquí, el manifiesto.
1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.
2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.
3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.
4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.
5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.
6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.
7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.
8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.
9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.
10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate públicoy habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.
Este manifiesto, elaborado de forma conjunta por varios autores, es de todos y de ninguno. Si quieres sumarte a él, difúndelo por Internet.
Bueno. Espero que el siguiente post tenga que ver con la temática del blog en su conjunto.
Actualización: Según puedo leer, en una reunión que se ha mantenido los autores del manifiesto con la Ministra:
Si existe una denuncia y la comisión considera que merece ser bloqueada, hablará con los servidores donde se aloje esa web para que la descuelgue de la red. ¿Y si la página está en un servidor de fuera de España? Según Corral, la solución consistirá en obligar a los operadores españoles, a Telefónica a Vodafone o a Ono, a que bloqueen desde sus máquinas el acceso a sus servidores.Actualización II: Aquí hay una entrevista de varias personas a David Bravo. Son bastante buenas, tanto las preguntas como las respuestas.
Suscribirse a:
Entradas (Atom)