Github avisará si tú contraseña ha sido expuesta en otras webs

Github ha modernizado sus sistemas de seguridad para emitir advertencias a los usuarios cuando sus contraseñas han sido expuestas en línea a través de otras webs.

GitHub se asoció recientemente con Have I Been Pwned, un motor de búsqueda operado por el experto en seguridad Troy Hunt para dar al público en general una manera de descubrir rápidamente si sus cuentas y contraseñas en línea han sido expuestas o no.

En 2012, LinkedIn sufrió una grave violación de datos en la que, cuatro años después, se descubrió que 167 millones de registros de usuarios habían sido robados. Esta brecha de datos posiblemente aumentó la popularidad del servicio Have I Been Pwned y sacó a la luz el tema de las contraseñas reutilizadas, que los atacantes pueden utilizar para comprometer otras cuentas y servicios en línea.

Autenticación de dos factores

La autenticación de dos factores (2FA) es otra capa de seguridad que se puede agregar a muchas cuentas en línea para disminuir el riesgo de compromiso, incluso si la misma contraseña se usa en otro lugar.

Pero con tantos sistemas en línea protegidos por nada más que una contraseña que puede reutilizarse o exponerse en otro lugar, y los usuarios que optan por no habilitar 2FA, notificar a los titulares de cuentas sobre un posible compromiso es un paso crítico hacia una mayor seguridad.

Hunt permitió a Github descargar todo el repositorio de registros de Have I Been Pwned, que actualmente se encuentra en aproximadamente 517 millones de registros.

"Al utilizar estos datos, GitHub creó una versión interna de este servicio para que podamos validar si se ha encontrado la contraseña de un usuario en cualquier otro servicio filtrada públicamente", dice la compañía.

Ahora los usuarios de Github que usan contraseñas comprometidas están siendo conscientes de ello y se les pedirá que creen nuevas credenciales durante el inicio de sesión o en el proceso de registro en la plataforma.

GitHub recomienda que los usuarios habiliten 2FA para mejorar la seguridad de su cuenta.

Los usuarios también deben considerar registrarse para recibir notificaciones que lo alertarán automáticamente si su dirección de correo electrónico ha sido detectada en una nueva brecha de seguridad.

Enlace | Tecnonucleous

#GitHub Hacking: Your password is ...

Comenzamos a publicar algunas de las cosas interesante que GitHub y sus usuarios dejan para que cualquier persona los pueda encontrar, en muchos cosas se encuentran proyectos que no deberían ser públicos, archivos que no tendrían que estar en los repositorios, información en los códigos fuentes o comentarios que se podrían evitar.

La idea es encontrarlos, advertirlos, exponerlos, buscar métodos para que esto no pase, divertirnos un poco y por sobre todas las cosas aprender no solo de nuestros propios errores sino ayudando a los demás.

Antes de comenzar a publicar algunos repositorios con archivos de configuración, intentar crackear password en MD5 o SHA1 le pedimos a GitHub que nos encuentre todos aquellos archivos de extensión log con la clásica frase: “your password is”

La cadena final para buscarlos sería la siguiente:

"your password is" extension:log

https://github.com/search?l=&p=1&q=%22your+password+is%22+extension%3Alog&ref=advsearch&type=Code

nos vamos hasta la sección de código ya que el operador extension funciona para todo lo que es búsqueda de código y vemos con qué nos encontramos:

Por otro lado encontramos ofuscada la contraseña XD

Ahora bien la pregunta es, como podemos resolver este problema de publicar archivos que quizás no deberían ser públicos, incluso no deberían estar en los repositorios.

Lo primero que vamos a hacer en todo proyecto es analizar cuál es el contenido y los archivos que voy a estar subiendo, busqué las extensiones log por que generalmente se encuentran registrada los chat o mensajes de los mismos sistemas que por lo general crecen indefinidamente y podemos encontrar de todo. ¿Es necesario publicar un log en un repositorio público? Si la respuesta es NO entonces la clave está en configurar o crear el archivo .gitignore algo que GitHub está promoviendo para que los usen y especificar la siguiente línea

$ vim .gitignore
# File Logs
*.log

guardar ese archivo y el proximo commits que realicemos va a ignorar todos aquellos archivos que cumplan con esa condición, con esto vamos a tener en repositorio local la bitácora completa del archivo pero no lo vamos a subir a GitHub.

Simple? Rápido? Entonces a poner en práctica.

Saludos!

Mi primera publicación en ellibertario.com

Gracias a los directores del diario digital ellibertario.com de San Salvador de Jujuy por darme la oportunidad de participar haciendo pequeños aportes con artículos relacionados a la seguridad informática y tecnología en general.

La idea es dejar un mensaje a todos sus lectores sobre alguno de riesgo que se corren en Internet y comenzar a dotarlos de herramienta para mitigar y afrontar esos riesgo, pero sin duda alguna el desafío es generar información y consciencia.

En este primer artículo que salió publicado hoy, estuve comentando un poco sobre las contraseñas, aportando algo de valor agregado con algunas recomendaciones.

Si quiere leer el artículo completo les dejo el enlace: ¿Cuáles son las peores contraseñas del 2012?

RainbowCards, una forma de administrar tus contraseñas

Hoy en día la mayoría de las personas son consumidores de muchos servicios que hay en internet o en nuestra vida digital. Redes sociales, correo electrónico, cajeros automáticas, cuentas bancarias, etc y cada uno por lo general requiere de un usuario y una o varias contraseñas.

Muchas veces, lamentablemente no podemos recordar todas, y es una pésima práctica utilizar las mismas contraseñas para diferentes cuentas, imaginemos por un segundo que un posible atacante logra controlar esa contraseña, directamente se apoderaría de toda nuestra vida informática.

Buscando un poco por internet encontré este excelente método para mantener nuestras contraseñas al alcance de la mano y realmente es posible generar contraseñas complejas de descifrar.

Una RainbowCard es una tarjeta del tamaño de una tarjeta de crédito o pasaporte para que lleves en tu billetera, cartera o tarjetero, de la cual podrás elegir claves muy seguras para todas tus cuentas, sin tener que memorizarlas! Simplemente las llevas contigo y aun si te roban la billetera o cartera, el ladrón no sabrá cuáles son tus contraseñas.

453.000 contraseñas robadas de Yahoo!

Sin duda fue la noticia de seguridad de la semana, y poco a poco se comenzaron a dar más detalles sobre el ataque, lo primero fue que la empresa Yahoo! Reconoció el robo de 453.000 usuarios y contraseñas de su servicio de Yahoo! Voice.

"Estamos arreglando la vulnerabilidad que provocó la filtración, cambiando las contraseñas y advirtiendo a las compañías que también han visto comprometidas algunas de sus cuentas", indica Dana Lengkeek, portavoz de la firma estadounidense.

Otras fuentes de información indican que los atacantes lograron introducirse en el sistema mediante un ataque de SQL Injection. De esa forma ir escalando privilegios y obteniendo información de los usuarios.

Generador de contraseñas con PenTBox

PenTBox es una excelente herramienta de seguridad programada por Alberto Ortega orientado a las redes y prueba de sistemas. Programado en Ruby y disponible bajo la licencia GNU/GPLv3.

Como parte de sus herramientas integrada, PenTBox 1.5 posee un interesante generador de contraseñas que podemos utilizar para reforzar nuestra seguridad personal, muy fácil de utilizar y aplicar.

Diccionarios de #Contraseñas

Los ataques de Fuerza Bruta, ya sea para creackear una red Wi-Fi como así también para descifrar una contraseña de algún servicio, están muchas veces delimitado por el diccionario que estamos usando para esa actividad.

Por otro lado tenemos las contraseñas por defecto que vienen incorporado en algún software y que por lo general el usuario nunca las modifica, para una auditoría de algún dispositivo no está mal comenzar a probar con esas contraseñas.

La realidad es que hoy podemos encontrar de forma gratuita listados de palabras y combinaciones de las diferentes contraseñas que un usuario podría utilizar, es por ello que la idea de hoy es compartir algunos enlaces con buenos diccionarios, ya sea en español o inglés para poder utilizarlos.

• https://wiki.skullsecurity.org/Passwords
• http://www.insidepro.com/
• http://packetstormsecurity.org/Crackers/wordlists/
• http://dazzlepod.com/site_media/txt/passwords.txt

Listado de Contraseñas por defecto

• http://dopeman.org/default_passwords.html
• http://cirt.net/passwords/
• http://www.default-password.info/

Todos y cada uno de estos recursos son útiles para tener en cuenta en un proceso de auditoría y PenTesting.

Google Hack: en la búsqueda de más contraseñas

Nuevamente vamos a meter las narices y utilizar algunas búsquedas avanzadas para encontrar más información, en este caso contraseñas, username, hash, credentials y md5 en los archivos log que Google acostumbra a indexar y que muchas veces no conocemos.

La consulta que hay que realizar es:

(username=* | username:* |) | ( ((password=* | password:*) | (passwd=* | passwd:*) | (credentials=* | credentials:*)) | ((hash=* | hash:*) | (md5:* | md5=*)) | (inurl:auth | inurl:passwd | inurl:pass) ) filetype:log

Google Hack: “your password is”

Seguimos jugando un poco con el buscador de Google, y en este caso utilizando una de las frases muy comunes que se ven en los chat para comunicar la contraseña de algún usuario es “your password is”

Uno crees transmitir este tipo de información creyendo que muchas veces estas comunicaciones no se guardar, viajan encriptadas o sencillamente creen que es el mejor medio de comunicación inmediata.

Resulta que Google tiene la capacidad de rastrear varios archivos y si le consultamos por esta frase y además que nos indique los archivos log podemos ver que existe casi 11.000 páginas indexadas donde está más que claro que nos indican toda la información.

Cuidado! Ingeniería Social en email

Este es un tipo de engaño muy conocido que tiene como finalidad obtener información y acceso a las cuentas de correo de los usuarios. Para qué utilizar fuerza bruta para obtener las claves o contraseñas cuando el mismo usuarios podría llegar a darte esa información.

Google Hack: Contraseñas publicadas en pastebin.com

De alguna u otra forma, estoy seguro que en algún momento has publicado un fragmente de código de algún lenguaje que solucionaba un problema, en los servidores de pastebin.com

Y es que el servicio es de lo más claro y simple de utilizar, uno de manera casi instantánea puede llegar a publicar algo para compartirlo con sus pares, optimizarlo y replantear la forma de solucionar un problema.

El tema está en que hace mucho tiempo me pasaron la ficha que la gente comenzaba a publicar usuarios y contraseñas de cuasi cualquier servicios o redes sociales que van obteniendo. Y esto con el objetivo de …? Puede resultar difícil de explicar, un buen reto hackig, ingeniería social o por lo que fuese, pero el hecho es que están allí y obviamente es posible consultarlo. Como?

Simplemente entramos a Google e ingresamos la siguiente búsqueda

site:pastebin.com "(password | pass | user | pwd) list"