Después de que el año pasado no pudiera disfrutar de mis vacaciones estivales, creo que tengo por delante un más que merecido descanso.
Mañana mismo me marcho y prometo estar desconectada de Internet. A ver si así se me pasa la webitis aguditis agravada por el dospuntocerismo que vengo padeciendo.
La fecha de retorno no está fijada aunque como tope tengo el 3 de septiembre. Hasta entonces, pásenlo bien, disfruten de estos días y cuídenme el chiringuito. 
Technorati tags: vacaciones, cierre
Hace unos días celebrábamos el primer aniversario de Nireblog y avanzábamos que habría sorpresas. Pues esta es la primera: Nireblog tiene un hermanito pequeño, Nirudia. Todo ello gracias al currazo que se ha pegado David.
No sé si inventarme un nuevo palabro para denominar al sistema (al más puro estilo Tim O'Reilly con su web 2.0 ;-)): fotomapblog. Y es que se pueden crear blogs en los que publicar fotos y geolocalizarlas en cualquier rincón de nuestro planeta Tierra.
Yo ya tengo el mío en funcionamiento: Miradas desde un cristal.
Estamos aún en la manida fase beta, así que todas las sugerencias serán bienvenidas.
Tenéis más información del funcionamiento en el blog de Ketari. Ya he visto a unos cuantos vecinos del barrio con blog allí ;-) Technorati tags: Nireblog, Nirudia, fotomapblog
Recordemos que John es software libre, así que si visitamos su página, podremos descargarnos tanto su ejecutable como su código (ya tenemos disponible la versión estable 1.7.0.2).
La instalación es tan simple que no requiere instalación ;-) Sólo tendremos que bajarnos el ejecutable y empezar a funcionar. Eso sí, en windows, si tenéis algún antivirus instalado, os dirá que es una herramienta del mal y puede que incluso os la borre del tirón.
En sistemas linux sabor Debian podemos también instalarlo con un simple:
apt-get install john
Sin embargo, si sois de los linuxeros de bytes en el pecho, podéis compilarlo a mano. Para ello nos descargamos las fuentes de aquí:
John the Ripper 1.7.0.2 (Unix - tar.gz, 784 KB) y su firma.
Descomprimimos con la siguiente instrucción:
tar -xzvf john-1.7.0.2.tar.gz
Entramos en la carpeta john-1.7.0.2/src y ejecutamos el comando: make clean generic. Si todo ha ido bien, se nos habrá creado un ejecutable denominado john en la carpeta john-1.7.0.2/run. Para probarlo, lanzamos:
./john --test
¿A que esta parte ha sido fácil? Pues mañana mismo empezaré a explicar el funcionamiento.
En anteriores capítulos de la saga:
¿Cómo de seguras son tus claves?
¿Cómo de seguras son tus claves? (segundo asalto)
Technorati tags: John the Ripper, contraseñas, passwords, claves, instalación
Seguimos destripando a John The Ripper (y nunca mejor dicho). En esta ocasión explicaré un poco la estructura y evolución de los archivos de claves de Unix/Linux, porque será con los que trabajemos más adelante.
Originalmente, en estos sistemas, el hash de las contraseñas residía en el archivo /etc/passwd. Pero éste debe tener necesariamente permisos de lectura para todos los usuarios (si no, no serán capaces de iniciar sesión), lo que suponía un problema de seguridad, ya que aunque las claves estuvieran cifradas, cualquiera podía ejecutar programas como John.
Cada línea del fichero /etc/passwd corresponde a un usuario y está dividida en 7 partes separadas por el símbolo “:” con la siguiente información:
usuario:contraseña:ID_Usuario:ID_Grupo:nombre:directorio:shell
Ejemplo:
loretahur:Ejrt3EJUnh5Ms:1000:1000:Lorena Fdez:/home/loretahur:/bin/bash
La primera parte corresponde al nombre de usuario y la segunda, a la clave cifrada. El resto, es sólo información sobre el usuario, su directorio de trabajo,... que no tiene importancia para John puesto que no lo necesita. De hecho, se podría dejar de la siguiente forma (lo importante es la estructura, de forma que john pueda reconocerlo como una clave unix):
loretahur:Ejrt3EJUnh5Ms:a:a:a:a:a
Posteriormente, para mejorar la seguridad, se incluyó un nuevo sistema: el shadowing o sistema de claves fantasmas. Éste consiste en ocultar las contraseñas del archivo /etc/passwd (dejando el campo de la contraseña o bien con “x” o con “*”). Ejemplo:
loretahur:x:1000:1000:Lorena Fdez:/home/loretahur:/bin/bash
Ahora, los hashes de las claves se encuentran en el archivo /etc/shadow, al que sólo tiene acceso el usuario root. Por tanto, ahora para obtener las claves son necesarios los ficheros passwd y shadow. Para hacer nuestras pruebas de calidad de claves, copiaremos estos dos ficheros (y reitero lo de copiar, que luego os cargáis cualquiera de ellos y la liáis parda).
Otra cuestión curiosa de los sistemas Unix es que cifran las contraseñas utilizando como llave de cifrado a la propia contraseña. Con esto se consigue que no pueda invertirse el proceso. Por lo tanto, para poder obtener la clave, John hace lo siguiente: utiliza las palabras de los diccionarios y variaciones de éstas como llaves del DES, comparando el resultado obtenido con la clave cifrada. Si coinciden, ha dado con la clave buscada.
En anteriores capítulos de la saga:
¿Cómo de seguras son tus claves?
Technorati tags: John the Ripper, contraseñas, passwords, claves
Poco puedo agregar al revuelo montado estos días con el secuestro de la revista El Jueves. Me parece increíble que hoy en día aún sigan vigentes estas prácticas (luego se nos llena la boca cuando decimos que somos un país DEMOCRÁTICO). Pero me he tronchado de risa al ver que habían reabierto la web y mostraban la portada alternativa (es innegable que tienen un par de narices y un humor ácido donde los haya):
Recordad: la familia real no hace cosas sucias, sólo se poliniza (lo que puede explicar el porqué tienen tantos vástagos).
Con todo esto aún tengo más ganas de leer el libro que me regaló Picapiedra: Un rey golpe a golpe. Technorati tags: El Jueves, censura
Ayer, gracias al blog de Feedburner, me enteré de que ya era posible redirigir el feed nativo de Blogger al de Feedburner (aquí viene muy bien explicado cómo hacerlo). Sin embargo, me temo que no funciona del todo bien porque esto no es muy normal:
¿De 154 suscriptores a 546 en un solo un día? Ni el coche de Fernando Alonso ;-) Technorati tags: Feedburner, Blogger, error
Tantas y tantas aplicaciones inundan hoy en día nuestro ordenador, que nos toca memorizar una gran cantidad de contraseñas. Como consecuencia terminamos poniendo siempre la misma. De hecho, conozco a mucha gente ¡que usa su clave de cajero! Así que el robo de nuestras passwords puede ser catastrófico.
Por eso voy a hacer una serie de posts explicando el funcionamiento de John The Ripper, un programa que nos servirá para evaluar lo fuerte o débil que es nuestra contraseña. Porque la mejor defensa es un buen ataque ;-)
¿Qué es John the Ripper?
John the Ripper es una aplicación de código abierto que se utiliza para la recuperación de claves, o dicho de otra forma y dependiendo de quién lo use, un crackeador de contraseñas (de ahí lo de destripador). Con ella podremos comprobar la calidad de las claves de los usuarios, intentando encontrar las que sean débiles (y por tanto inseguras) y así previniendo que un presunto atacante que obtenga el fichero de claves, pueda hacer lo mismo.
Es multiplataforma (lo tenemos tanto para Unix, como para Windows, MS-DOS, BeOS y OpenVMS). Gracias a esta característica, se permite su uso incluso continuando una sesión que se comenzó en otro sistema.
Está diseñado para ser a la vez potente y rápido (aunque su rendimiento depende mucho de la máquina en la que se ejecute). Combina bastantes modos de recuperación de claves en un solo programa y es completamente configurable para distintas necesidades (incluso se puede definir un modo propio usando el compilador interno, que soporta un sublenguaje de C).
Hay tres formas de aplicar John:
- Single Crack: Este modo intentará usar la información de login/GECOS para obtener la password. Es decir, si al crear nuestro usuario hemos introducido nuestro nombre y apellidos, tratará de combinar esos datos para obtener la contraseña.
- Utilizando diccionarios de claves o archivos de palabras. Con esta posibilidad se permite añadir reglas para que el programa “juegue” con las palabras del diccionario. Esta opción es muy potente. De hecho, estoy convencida que con un diccionario del Señor de los Anillos sería capaz de conseguir el 50% de claves de los usuarios de la Red ;-)
- Modo incremental o también conocido como fuerza bruta: como su propio nombre indica, probará todas las combinaciones de caracteres posibles. También será el modo que más recursos y tiempo consuma.
Y vosotros, ¿sois de los que usáis la misma contraseña para todo?
Technorati tags: John the Ripper, contraseñas, passwords, claves
Hace ya un año que Nireblog hacía su "Hello World" y arrancaba un proyecto en el que hemos depositado mucha ilusión.
Recapitulando un poco (es lo que toca en estas fechas señaladas...) puedo decir que nuestra pretensión no es comercial (apenas si nos llega para pagar el hosting). Pero creo que ahí está la gracia. Si tuviese que hacer lo que hago por dinero (y por consiguiente, por obligación), Nireblog pasaría de ser un hobby a otro trabajo más.
Ojalá nunca perdamos esto de vista, porque la satisfacción que te dan los muchos mensajes recibidos por parte de los usuarios, felicitándonos por el trabajo bien hecho (también hemos recibido merecidos tirones de orejas, que no todo va a ser de color de rosa...), son una inyección continua de ánimo.
También haré una recapitulación numérica:
- A día de hoy, Nireblog cuenta con 24694 usuarios registrados. Los principales idiomas en los que escriben estos son: 11906 en español, 8870 en portugués, 1325 en árabe y 838 en euskera.
- El número de blogs creados es de 24566.
- El sistema está ya traducido a más de 59 idiomas (si queréis ayudarnos a aumentar este número, podéis hacerlo desde Niretrad). Como dato curioso en esto de los idiomas, tenemos a gente colaborando en la traducción de Nireblog a Klingon, la lengua del universo Star Trek.
Concluyendo, quizás no seamos ni los más guapos, ni los más fuertes, ni los más listos pero lo que no se nos puede reprochar es el espíritu que le imprimimos al sistema. Por cierto, pronto presentaremos novedades, pero no os puedo desvelar más... para que la intriga nos mantenga vivos ;-)
Aunque no lleve desde el primer minuto tirando de este barco, puedo decir que no me arrepiento de haberme unido al equipo. Ojalá lleguen muchos años más y que todos vosotros lo veáis.
Technorati tags: Nireblog, aniversario
