Monthly Archives: noviembre 2019

“TU CONTRASEÑA NO ES VÁLIDA”

Validación proactiva de contraseñas

Desde que el mundo es mundo y el hombre camina sobre dos pies, hay una serie de verdades universales que han acompañado a la especie humana durante todo su desarrollo. Una de ellas, muy usada por los que nos dedicamos a la seguridad de los datos, es esa de que “somos tan fuertes como el eslabón más débil”. Y de eso vamos a hablar en este post, de la debilidad, tanto de una contraseña en sí como del conocimiento del uso de tecnología de quien elige una contraseña débil.

Cierto es que la mejor manera de evitar esto es usar una tecnología de identidad que añada una capa de seguridad para que la identificación del usuario no resida solo en la dupla login/contraseña, pero hoy en día, multitud de empresas, organismos y servicios todavía se siguen basando en ese sistema sabidamente tan vulnerable.

He escrito bastante otras veces sobre el uso de contraseñas. Recomiendo especialmente ya que esta reflexión está basada mayormente en este otro artículo. Básicamente, una de las más arduas batallas de la seguridad es bastionar ese eslabón débil que es el usuario, de forma que sepa lo que significa que use una contraseña débil, o la reuse en varios servicios. En este menester juega un papel importantísimo la CONCIENCIACIÓN COMO SERVICIO (ver artículo de mi compañero @n4xh4ck5), en el que cada vez más estamos implicados las empresas de seguridad: Enseñar a nuestros usuarios a protegerse contra amenazas comunes haciendo un uso responsable de la tecnología que cada vez implica más aspectos de nuestras empresas e instituciones.

Pero ¿Por qué confiar en que no usará una contraseña muy frágil? ¿No sería mejor impedir que esto pueda tener lugar? De modo que, como buen “Doer-No-Powerpointer”, me puse a darle una vuelta de tuerca a ese PWANALIZER que ya publiqué en GITHUB, y desarrollé un PWCHECKER, para que de modo fácil e instantáneo se pueda validar con un “SI” O “NO” si vamos a aceptar una contraseña para un determinado usuario.

Resumido: El concepto (tan simple como útil) ahora consta de 2 scripts:

PWANALIZER: contrasta nuestra lista de passwords (o listas user:password) contra una serie de diccionarios comunes, que podemos añadir a nuestra lista bajo la carpeta “-dics-“ en formato txt. El más común y usado es el archiconocido RockYou.txt. Y nos dará un porcentaje de las contraseñas incluídas en esos ficheros, lo cual, depende del tamaño del fichero de diccionario, pues habrá que valorar. Tómese esto como una forma de VALORAR EL ESTADO DE CONCIENCIACIÓN DE CIBERSEGURIDAD, ya que un número muy alto de fechas, nombres propios o peor aún, de “123456” puede dejar bien claro que nuestra empresa necesita de un repaso a la ciberseguridad.

PWCHECKER: Es una validación True/False en base al código de salida de ejecución (“%ERRORLEVEL%  en sistemas Windows, $? En linux) partiendo de 2 validaciones separadas:

  • POLÍTICA DE CONTRASEÑAS: Si queremos que tenga una mayúscula, minúscula, números o simbolos. Estos parámetros se definen con un True/False.
  • EXCLUSIÓN DE DICCIONARIO: El diccionario usado, se pasa como argumento, pudiendo usar el mencionado RockYou, o bien otro. Incluyo en el GITHUB, el diccionario de 10.000 contraseñas más comunes, uno de los pilares y más recomendables al realizar pruebas de ataque de diccionario.

En fin, eso ha sido todo, de momento. Como puede verse, a veces implementar medidas de seguridad es más cuestión de proactividad que de horas/hombre, y pequeños gestos pueden significar la diferencia entre dormir tranquilos y una terrible debacle.

Seguiremos informando. Permanezcan en sintonía.

Andrés Naranjo @TheXXLMAN

Monitorizar procesos con Telegram

Hacks para una vida fácil: Monitorizar procesos con Telegram

A menudo tengo ideas de esas que piensas que con pequeño esfuerzo, pueden resultar en una vída más cómoda, y que mejor idea que refleje el pensamiento hacker que ideas sencillas proporcionen un gran resultado.

De esa manera se me ocurrió la idea de tener monitorizados procesos en una máquina, revisar su estado y relanzarlos si estaban caídos. Recibiendo un pequeño reporte de “buenos días” siempre acerca del “status”.

El código resultante, para revisión de los procesos, lo he publicado en 5 pequeños scripts que seguro que a más de un sysadmin le hará la vida más fácil.

Podeis descargar los archivos en :
https://github.com/XXL-MAN/processmonitor

 

FUNCIÓN DE CADA SCRIPT:

aliases.txt          Archivo de “alias”

pmonitor.sh      Proceso principal, revisa el estado de un proceso y nos envia resultado via Telegram

prunbin.sh         Comprueba el estado de un proceso, devolviendo 0 ó 1 (también en exit code)

prunning.sh       idem, pero con cadena de texto en consola

status.sh             Devuelve una lista de procesos predefinida, sirva de ejemplo

telegrame.sh    Envía la cadena de texto introducida en $1 como argumento por Telegram

 

COMO CREAR UN BOT (Fuente: EL ANDROIDE LIBRE)

Ahora vamos a explicar paso por paso como se crea un Bot. Es muy fácil de hacer ya que Telegram se ha esforzado para que así sea. Mediante un BotFather tendremos que crear nuestro bot.

Lo que primero que tienes que hacer es dar constancia a Telegram de que quieres crear un nuevo Bot. Para ello tenemos que mandar un mensaje al BotFather (@BotFather), en concreto el de «/newbot».

Posteriormente el propio bot te preguntará por el nombre que quieres para tu bot. Importante, tiene que acabar en Bot. Ejemplo: EalBot o Eal_Bot.

Si todo está correcto, te verificará la creación de tu Bot.

Ahora es el turno de configurar la privacidad de tu bot. Escribimos «/setprivacy» y posteriormente, el nombre de tu bot mencionándolo por su nombre «@Bot». El BotFather te responderá con las opciones y puedes hacer que sólo atienda a mensajes que lo mencionen o que empiecen por un «/» con el modo ENABLED. O recibir cualquier mensaje del grupo si marcamos la opción DISABLED.

Bot creado y listo para personalizar.

Que lo disfrutéis. Nos vemos en los servers

Andrés Naranjo – Nov.19

Mercado negro de objetos de videojuegos

Ya podéis leer mi nuevo artículo en AS ESPORTS:

https://esports.as.com/firmas/Mercado-negro-items-videojuegos_0_1297970198.html