Categoría: Informatica
El scam nuestro de cada día, hoy: te encontré haciendo chanchadas
El otro día, como imagino que varios de ustedes, recibí ese famoso mail extorsivo pidiéndome bitcoins a cambio de no divulgar un video íntimo mío. Así como yo varios millones de personas recibieron el mismo mail intimidante y me causó mucha gracia. Me resultó muy loco verlo como primera plana en un diario, no es algo de todos los días.
Obviamente para alguien que viene utilizando hace rato estos medios es fácil darse cuenta del engaño: habiendo tantos sitios con datos comprometidos que guardaban los passwords en texto plano no me extraña ver nada y borro todas las semanas varias intentonas de estas. Son tiros al voleo, alguien cae y si tan sólo el 0.1% cae es mucho dinero.
En este caso hasta me tomé la molestia de responder por humor pero he aquí la pregunta ¿De dónde sacan estos datos? ¿Dónde puedo saber si estoy comprometido? Es fácil todo, las bases de datos estan disponibles, algunas viejas se consiguen fácil, otras más nuevas hay que pagarlas, pero básicamente cada vez que revientan a un sitio importante estos datos se filtran y uno tiene que ir por ahí cambiando contraseñas.
Obviamente una forma de jamás ser afectado es utilizar niveles de contraseñas, que es lo que muchos hacemos, es decir, tenemos un password para sitios irrelevantes y luego uno para cada otro sitio ya más importante. Los sitios irrelevantes son aquellos que te obligan a registrarte cuando uno sabe que no volverá jamás. Son esos donde usualmente mis passwords fueron comprometidos, nada que me preocupe porque son passwords descartables, pero justamente es ahí donde la práctica de tener distintos pass ayuda mucho porque si se compromete no te afecta.
En el blog ya hablamos mil veces de la complejidad de claves y todo lo que conlleva tener que administrar en tu cerebro, o con algún sitio administrador de contraseñas, mil claves y registros por todos lados. Facebook y Google aprovecharon su posición dominante para facilitar un poco eso pero muchas veces no queremos que sepan dónde estamos y preferimos registrarnos al viejo estilo (si, yo muchas veces prefiero), pero aquí el punto va por lo mal que manejan la seguridad algunas empresas realmente importantes.
El clásico para averiguar todo es "Have i been pwned" donde podemos consultar tanto por nuestro email como por nuestro password si fue comprometido y cuantas veces. Allí suben bases completas pero separadas, por un lado email-sitio y por el otro password-sitio, se pueden descargar y son 10GB puros de datos, una barbaridad de filtraciones. Algunas de las filtraciones son de más de 700 millones de usuarios, algunas bien conocidas son de MySpace, Adobe, Linkedin, Badoo, todas por encima de los 100 millones.
La de Adobe es un gran ejemplo porque en las épocas de Flash Player te exigían usuario-contraseña para descargar la última insegura versión y las claves las guardaban... en texto plano. Ideal para hackear cuentas! 152 millones de usuarios cayeron en esa "trampa" inducida por las pésimas políticas de seguridad de la firma, cuando ésta fue comprometida miles de usuarios quedaron expuestos.
Este es uno de esos casos donde uno debía utilizar password de descarte ¿Acaso estaban comprando productos de Adobe? Vamos, era para el pass descartable que funcionaba perfecto, ese creo que ya me lo vulneraron mil veces
, es más, el de este mail-scam no lo utilizo yo solamente y se encuentra vulnerado unas 3042 veces!
La lista de empresas y sitios reventados es enorme y no dejará de crecer porque es normal que los procedimientos de seguridad sean laxos en muchos lados, no es tan raro, por eso utilizar verificación de dos pasos suele ser una muy buena medida de seguridad para los sitios importantes y, si no lo tienen, no utilizar la misma contraseña en todos lados. Otra opción paranoide es borrar los datos de pago una vez efectuado este (algunos sitios te permiten pagar y no guardar los datos en esa ocasión) aunque en este sentido también te pueden estar ocultando que conservan dicha información. No suelo ser tan paranoico por suerte
Volviendo al mail que me enviaron me resultó muy gracioso el encare, era obvio que era un envío automatizado por base de datos, pero es muy divertido cómo está redactado y como buscar hacerte caer con algo que mucha gente hace y con un miedo latente que siempre hay, el de la webcam de la notebook
Estimo que más de uno se preocupará viendo este tipo de correos (por ahí si no sabés inglés lo borrás y ni te enterás) y terminó googleando cómo comprar bitcoins, por mi parte prefiero ser expuesto a pagarle algo a alguien
Buscar en MySQL con REGEX y detectar cuentas... ¿falsas?
No tenía idea de que se podía así groseramente en un query de la base de datos buscar utilizando expresiones regulares pero increíblemente funciona muy bien.
La cuestión surgió así: empecé a notar en mi aplicación de detección de actividad política que muchos usuarios de Twitter que podrían fácilmente asociarse a un partido político utilizaban para sus nombres el esquema Nombre+número. El número era bastante amplio y parecía el DNI o similar.
¿Bots? ¿Truchos? ¿Militantes? Un poco y un poco, mi impresión siempre fue que eran militantes que ponían el DNI en el usuario para ser medidos por alguien y luego "percibir" algún tipo de beneficio. El número era para confirmar quién era o algo así, su propio DNI, un teléfono, un ID único, no lo se. No pude encontrar correlación entre el nombre y el DNI en la muestra que usé pero eso no significa mucho.
Lo cierto es que sí había una correlación entre cuentas truchas o "semi truchas" y este patrón utilizado para el nombre. Una simple búsqueda con REGEX me sirvió:
SELECT screen_name, name , location, description , statuses_count , favourites_count , followers_count , friends_count
FROM user WHERE screen_name REGEXP '^[a-z]+.[0-9]+$'
AND (es09 = 100 or es10 = 100)
Donde screen_name es el nombre con el que uno aparece en Twitter, conservo eso en la base de datos tal cual, es09 son los macristas, es10 los kirchneristas, como para que la muestra me tire datos amplios, y lo gracioso es que me dio la misma proporción de usuarios partidarios de siempre, 3:1, cada tres kirchneristas un macrista.
Si se quiere filtrar más a la estructura y que no entren con un sólo numerito usé esto, que no es prolijo porque de expresiones regulares no se un cuerno:
SELECT screen_name, name , location, description , statuses_count , favourites_count , followers_count , friends_count
FROM user WHERE screen_name REGEXP '^[a-z]+.[0-9][0-9][0-9][0-9][0-9][0-9][0-9]+$'
AND (es09 = 100 or es10 = 100)
No voy a juzgar a todo aquel que utiliza un nombre de usuario del tipo pepe20202011 como si fuere un militante ciego o una cuenta trucha, pero hay una linda tendencia fácil de encontrar y tengo unos 20.000 usuarios ya clasificados utilizándola. Con ya clasificados me refiero a que ya los involucré en campañas por algún partido político.
Si me preguntan cual partido es el que más cuentas tiene "militando" es esa misma relación 3:1 que mencioné. ¿Son todas estas cuentas falsas? No, desde ya que no, hay de todo pero me llama mucho la atención que usualmente tienen participación política. Como si fuese que lo usan para identificarse de alguna manera y no es pepe_22 porque pepe estaba lleno de gente.
Tampoco se si es el teléfono, podría ser, medio boludo pero todo es posible ¿Las crea así una aplicación? Tipo al crear nuevo usuario desde la app? Pero de paso me sirvió para aprender algo nuevo en MySQL 
Conectarse a WiFi mediante línea de comandos en Windows 10 o 7
Creo que es una de esas cosas que rara vez van a necesitar pero me sucedió. Arreglando una PC con Windows 10 original y todo la aplicación que te permite conectarte al WiFi no funcionaba. Al intentar desplegar el menú se quedaba ahí colgado eternamente por ende no me dejaba cambiar de red ni conectarme a nada.
Me pregunté si existía forma alguna de conectarse mediante línea de comandos porque, al fin y al cabo, Windows también tiene sus aplicaciones para ello, aquí les dejo la solución.
Hack de VestaCP y correcciones
Esta semana comenzamos con un pequeño gran problema muchos de los que tenemos servidores propios: surgió un hack 0day, es decir, fresquito y sin aviso, que atacaba a VestaCP, el sistema de administración de hosting que muchos utilizamos.
Esto impactó fuerte en proveedores como Digital Ocean que sencillamente dieron de baja cientos de "droplets" de servidores enteros dejando "en bolas" a muchos. En un día ya estaba el fix de seguridad de VestaCP pero obviamente afectó a muchos.
Tuve la suerte de que me avisaron muy rápido, gracias Alberto!, y que rápidamente muchos proveedores cerraron el puerto TCP 8083 que utiliza habitualmente VestaCP. A continuación les dejo los pasos para, primero saber si te infectaron, luego para actualizar desde terminal el VestaCP y tercero para cambiar el puerto a otro que no sea tan fácil de encontrar ya que el ataque masivo se realizó en típico modo "bobo" de pasearse por rangos de IP con un script y no mucho más.
¿Qué le pasa al buscador de Facebook?
Bueno, no se, usualmente no busco nada en Facebook pero luego de ver este artículo en Motherboard quería verificar si en español se estaba dando lo mismo: las sugerencias de búsqueda se van al carajo.
Así de sencillo, los buscadores suelen sugerirte búsquedas antes de que termines de teclear la propia, como para "adivinar" y facilitarte la tarea. El autocompletar es una idea, en papel, muy buena pero en la práctica puede llegar a tener algún que otro problemita.
Primero que nada, que la gente busque mucho algo no significa que sea de tu interés, segundo por más que mucho busquen ¿Y si no se encuentra nada acorde? Por más que busquen algo que allí no está la falta de un resultado debería ser suficiente motivo para no sugerir esa búqueda en particular.
Bueno, tomen el autocompletar más vulgar del mundo, ahí tienen el de Facebook, pasen a ver los ejemplos:
¿Es tan malo tener un password anotado en un papelito?
En mis inicios informáticos no existía el password, era algo reservado para grandes computadoras de empresas inaccesibles, mi vieja máquina de 8 bits no necesitaba de eso, hasta booteaba en un milisegundo, era tan poca la memoria que no existía el concepto. Ni aun en mi PC 286 hizo falta pero recién para cuando empecé a conocer sistemas multiusuario me di cuenta para qué servía y cuando accedí al primer módem era imprescindible.
Un mito que surgía en aquella época era la de memorizar las claves de usuario, pero no podían ser las mismas entre sitios y servicios, así que había que memorizar una gran variedad. Pero no sólo eso, aquél que anotaba en un papel un password era un blasfemo directamente, el anti informático.
Pasaron los años y nos volvimos locos inventando métodos para recordar nuestras claves, algunos terminaron usando la misma para todo, otros pasaron a sistemas de administración de contraseñas (yo digo que éstos son los peores porque no tienen control real de sus cuentas
) y el papelito pasó al olvido.
Pero luego la nube nos dio la posibilidad de anotarnos todas las claves en un archivo y leerlas allí si las olvidábamos, hasta poder copypastear sin problemas ¿Es que acaso alguien tipea un password hoy en día? Si no lo guardó el browser lo copio y pego, ni siquiera podría escribir tanto! (vagos)
Pero he aquí que, entonces, el mayor riesgo ya no es que alguien pueda leer tu password en una agenda que tenías, ya nadie usa agendas, ya nadie las mira, ya nadie las entiende y de pedo saben escribir. El riesgo real es que encuentren la versión digital de tu clave de acceso, esa copia fiel de tus códigos de acceso a cualquier servicio que, para colmo, seguro es la misma en todos los servicios así que sólo basta con robarte una.
Al final del camino aquél postit con la clave no era tan malo, la agenda con teléfonos de la abuela sigue siendo el mejor escondite porque podemos "enterrar" el password de la forma que querramos y sabemos, tenemos la seguridad, que nadie, ningún hacker, tendrá acceso a la misma. ¿Dónde vieron un ladrón que se lleve un anotador de papel? Se podrán llevar la PC entera pero sin la clave de desencripción anotada en la pared en letras de 20 cm no la van a sacar
Así es, hasta podríamos tener las claves explícitas pegadas como empapelado que difícilmente alguien las vería, tan sólo sin decir qué es cualquier clave puede pasar desapercibida. El exceso de información y cadenas de texto es nuestro mejor escondite, un anotador con garabatos y listas de supermercado termina siendo el mejor escondite para tus passwords más reservados.
PS: tampoco digo que sea la mejor opción, sólo estaba divagando
PS2: creo que técnicamente, en mi vida, yo ya cometí todos los errores posibles con mis claves
Neutralidad de la red ¿Por qué?
No esperaba escribir sobre el tema en mi blog porque lo vi escrito en un millón de lugares pero ayer me encontré con la consulta, alguien quien sabe de mucho y es muy docente sobre sus temas preferidos no tenía una referencia clara ni concisa sobre este tema. Me sentí obligado a expresarme.
En estos momentos en los EEUU el tema de la Neutralidad de la Red está muy en boga, por aquí nos desentendemos creyendo que lo que sucede en dicho país no nos afectará demasiado, pero este es un problema global, no local, es algo que puede afectar todo lo que hasta ahora conocemos como Internet, las telecomunicaciones en general y los derechos más básicos del actual siglo.
Obviamente muchos han escrito mejores ensayos y explicaciones, yo tan sólo quería contarlo con mis palabras.
Cómo tener tu propia VPN (y no depender de nadie)
El otro día quería ver si era posible tener mi propia VPN, red privada virtual, y sí, lo encontré fácilmente: OpenVPN.
Pero claro, los tutoriales suelen estar bien llenos de información y no todo usuario linuxero está preparado para entenderlo. Así que busqué un poco más y creo que dí con una buena solución.
Cómo bajar MP3 al "viejo estilo": Soulseek
¿Que no usas Spotify? No estás loco, para nada, muchos odiamos la idea de tener que escuchar música con interrupciones imposibles, no nos molesta la radio FM con publicidades y eso, cosas como Spotify que sólo estan pensadas para que paguemos una suscripción e interrumpen cualquier música con los audios más deplorables para incentivarte al pago de una cuenta premium.
Existimos en el mundo seres más normales, no nos sentimos piratas, hasta pagamos Netflix, pero el streaming de música por alguna razón nos incita algo más bajo, descargar como en los "viejos tiempos", hasta pagaríamos por hacerlo, pero Spotify no te permite hacerlo de esa manera, te obliga a estar online.
Justo el otro día leía una nota del clásico Soulseek y me propuse chequear si existe todavía y si funciona...
Cómo tener tu propio hosting usando Vesta CP
Desde hace un tiempo que tengo que lidiar con dos opciones posibles, o un servidor compartido, típica opción de los hostings, o un VPS donde tengo que arremangarme y ponerme a configurar todo de cero. Pero hay una tercera opción que es la de utilizar un paquete que prepare tu VPS como un hosting completo.
Esto no reemplaza, para nada, los buenos servicios de hosting que hay ya que éstos te ofrecen backup y soporte técnico, así que para casos críticos donde uno instala el sitio de un cliente importante sigo recomendando una infraestructura mayor. Ahora bien, para todo lo demás, eso que uno puede manejar por cuenta propia (ej: sitios propios, experimentos, trabajos, etc.) esta es una excelente opción: volverte tu propio hosting.
En resumen aquí les voy a explicar cómo instalar Vesta CP que es una de las tantas opciones para armar tu propio servidor. Hay más variadas, más completas y más complejas también, pero esta es libre, gratuita y, por suerte, funciona a la perfección.