Archivo del autor León Ramos

León Ramos PorLeón Ramos

Buen horizonte pal e-commerce

Pues Paypal anunció el pasado miércoles 21 de octubre que aceptará criptomonedas para poder fondear las cuentas paypal. Esto hará una gran diferencia porque permitirá que 26 millones de comercios reciban bitcoins.

Paypal sólo aceptará Bitcoin, Ethereum, Bitcoin Cash y Litecoin en Estados Unidos para comenzar, pero están planeando su expansión en diversos países.

Por otro lado, Whatsapp vuelve a insistir en que próximamente aceptará pagos a través de los mensajes. Ya está funcionando en la India, pero en México todavía se está cocinando y parece que en breves estará disponible. Aparentemente será Brasil el primer país latinoamericano en recibir el deploy.

La aplicación permitirá pagos entre particulares o familiares y también compras a negocios y con cuentas whatsapp business.

Se habla de transacciones no mayores a los 4,300 pesos y máximo 20 transacciones diarias. Mensualmente ser permitirá comprar 22000 pesos.

Mándame un whats, pero que sea con dinero!

Photo by Mark König on Unsplash

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

CCOSS y FNL 2020

Este año se llevaron a cabo dos eventos muy esperados entre la comunidad del open source y del software libre.

El CCOSS que es la Cumbre de Contribuidores al Open Source Software y la FNL que es el Foro Nacional de Software Libre.

Manuel Haro del equipo organizador del CCOSS, Coordinador LABSOL, Coordinador de red de laboratorios de innovación de Intel, Coordinador del Foro Nacional de software Libre, nos cuenta sobre los eventos de tecnología próximos.

Ambos eventos estaban programados para llevarse de forma presencial en diversas sedes pero las circunstancias actuales cambiaron la forma de interactuar. ¿Es una ventaja que los eventos sean digitales para que más asistentes puedan unirse o el contacto humano jamás será reemplazable?

¿Qué les parecen los eventos digitales?

Photo by Edwin Andrade on Unsplash

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

¿Es md5 hash reversible?

Una de nuestras escuchas nos envió un reto. ¿Se puede obtener la semilla de un hash md5?

Como muchos saben, el hash md5 no es reversible, esto quiere decir que existe un algoritmo matemático que te permite generarlo pero no existe el algoritmo que te indique el camino de regreso.

En teoría no hay forma de obtener el texto o el contenido original que generó un hash md5, sin embargo, encontré cosas muy útiles al momento de encarar este reto.

Mi primera idea fue generar un pequeño programa que generara contraseñas aleatorias para poder encontrar el texto original. Acá les comparto el código que generé en python.

1 #!/usr/bin/python
1
2 import itertools
3 import hashlib
4 import sys
5
6 characters = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!$#%\"&()=?¿¡{}[]-_+.,:;"
7 length = 256
8 done = False
9 find = "900150983cd24fb0d6963f7d28e17f72"
10 #find = "e305cdbb739e4eda7ee90551b3f39f63"
11
12
13 for i in range(length):
14 def pw_guess():
15 res = itertools.permutations(characters,i)
16 for guess in res:
17 yield guess
18
19 options = pw_guess()
20
21 for option in options:
22 result = hashlib.md5(''.join(option).encode())
23 print(result.hexdigest())
24 if (result.hexdigest() == find ):
25 print("ECONTRADO==================================")
26 print(''.join(option))
27 sys.exit(0)

Sin embargo, el dar con la llave original me llevaría años. Así que opté por buscar otros caminos. Escuchen el podcast para que se den una idea de qué otras opciones se tienen para encontrar el texto original de un hash.

¿Qué se les ocurre a ustedes?

Photo by hessam nabavi on Unsplash

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

Linux tiene vulnerabilidades en bluetooth

CVE 2020-24490

Ya son varias en este año 2020 y aparece otra más. Si, una nueva vulnerabilidad del kernel Linux con Bluetooth.

Hasta el momento del reporte, no existe mitigación, así que la única manera de eliminar el riesgo es apagar el Bluetooth! Ya corre en Github un programa que se puede usar como prueba de concepto para realizar un ataque.

Desde siempre le ha dolido mucho el stack de bluetooth a Linux, o por lo menos eso me parece. ¿Ustedes no han tenido broncas con esto?

Photo by Phuc H. on Unsplash

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

Recursos Humanos y el Ransomeware

La enorme riqueza de miles de millones de dólares de las bandas de cibercriminales que subcontratan su trabajo: El negocio del Ransomware

Hay un viejo refrán en la comunidad InfoSec que dice: «Todas las empresas están sometidas a pruebas de penetración, ya sea que paguen por ellas o no, alguien siempre lo hará por placer».
Existen cientos de miles de anuncios en internet y en la deep web ofreciendo trabajo a pentesters para trabajar en el mundo underground del cibercrimen. Entrar a equipos y a grandes corporaciones no es problema, el problema real para ellos es contratar a las suficientes personas para sacar el mayor provecho a los accesos ilegales que tienen en las empresas.

Una de las actividades que más generan dinero son los ataques con Ransomware. Pero en muchos casos, requiere de mucho tiempo (días, semanas o meses) para los cibercriminales desde el día que logran ingresar a las empresas, la instalación del ransomware hasta la obtención del pago de las víctimas.

Esto se debe a que, por lo general, los intrusos necesitan tiempo y mucho esfuerzo para pasar de una sola PC infectada a tomar el control de suficientes recursos dentro de la organización víctima, para que tenga sentido lanzar el ataque (secuestrar la información).

¿Cómo logran esto?
Solo necesitan ingresar a una computadora y obtener a una cuenta de usuario (con mínimos privilegios), posteriormente explotan vulnerabilidades en el equipo para obtener acceso a una cuenta de administrador para deshabilitar las herramientas de seguridad instaladas en el equipo, como un antivirus. La cuenta de administrador tiene mayores privilegios dentro del equipo y dentro de la red de la empresa.
Con la cuenta de administrador escanean la red en busca de software de seguridad que los pueda detectar, una vez identificado el software de seguridad lo deshabilitan, realizan la búsqueda de sistemas de respaldos, identifican los sistemas o métodos de respaldos y la información respaldada para posteriormente destruirlos durante el ataque.

La historia de un “empresario” que subcontrata criminales.
Dr. Samuil, es un cybercriminal que tiene presencia en foros underground desde hace 15 años. Dr. Samuil coloca anuncios en algunos foros para contratar a expertos para las etapas de post-explotación.
Una etapa post-explotación, se da cuando un atacante tiene acceso a un equipo y necesita obtener privilegios de administración, recolectar información y saltar a otros equipos dentro de la red para obtener acceso a la mayor cantidad de equipos posibles.

Uno de sus anuncios de Dr. Samuil dice “Se le proporcionarán con regularidad accesos selectos que fueron auditados (estos son aproximadamente 10-15 accesos de cada 100), esto ayuda a todos los involucrados a ahorrar tiempo”

A partir de otros anuncios clasificados que publicó en agosto y septiembre de 2020, parece claro que el equipo del Dr. Samuil tiene algún tipo de acceso privilegiado a los datos financieros de las empresas víctimas que les da una mejor idea de cuánto efectivo puede tener disponible la empresa víctima para pagar un rescate:
“Existe una enorme información privilegiada sobre las empresas a las que nos dirigimos, incluida información si hay respaldos en unidades de cinta y/o en la nube, lo que afecta significativamente la escala de la tasa de conversión.
Requisitos:
– Experiencia con almacenamiento en la nube, ESXi.
– Experiencia con Active Directory.
– Escalamiento de privilegios en cuentas con privilegios limitados.

* El nivel de información privilegiada de las empresas con las que trabajamos es alta. Hay comprobantes de pagos realizados por las víctimas, pero solo para LEAD verificados.
* También hay un MEGA INSIDE privado, sobre el cual no escribiré aquí en público, y es solo para LEADs experimentados.
* No miramos los informes de INGRESOS / INGRESOS NETOS. Reportes contables, este es nuestro MEGA INSIDE, en el que sabemos exactamente cuánto exprimir con confianza al máximo en total.

La firma Intel 471 dice que dentro de la clandestinidad de los ciberdelincuentes, los accesos comprometidos a las organizaciones se compran, venden y comercializan fácilmente.

Quien es Dr. Samuil?
Al realizar la investigación para esta historia, KrebsOnSecurity descubrió que Dr. Samuil es el identificador utilizado por el propietario de multi-vpn [.] Biz, un servicio de red privada virtual (VPN) de larga duración comercializado para ciberdelincuentes que buscan anonimizar y cifrar su tráfico online haciéndolo saltar a través de varios servidores en todo el mundo.
MultiVPN es el producto de una empresa llamada Ruskod Networks Solutions (también conocida como ruskod [.] Net), que de diversas formas afirma tener su sede en los paraísos de empresas offshore de Belice y Seychelles, pero que parece estar dirigida por un tipo que vive en Rusia. Los registros de registros de dominios para ruskod [.] Net fueron ocultos hace mucho tiempo por los servicios de privacidad de WHOIS. Pero según Domaintools.com, los registros de WHOIS originales para el sitio de mediados de la década de 2000 indican que el dominio fue registrado por Sergey Rakityansky. Este no es un nombre poco común en Rusia o en muchas naciones vecinas de Europa del Este. Pero un ex socio comercial de MultiVPN que tuvo una pelea bastante pública con Dr. Samuil en la clandestinidad le dijo a KrebsOnSecurity que Rakityansky es de hecho el apellido real del Dr. Samuil, y que él tiene 32 o 33 años que actualmente vive en Bryansk, una ciudad ubicada aproximadamente a 200 millas al suroeste de Moscú.

Photo by Christina @ wocintechchat.com on Unsplash

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

Dr. Chris Meniw y la 5a transformación en Latinoamérica

Dr Christian Meniw, abogado especializado en Industria 4.0, profesor de postgrado en Uces Argentina, Embajador por la Paz ONU ( Ecosoc), Vice Presidente de Organizacion Futuro 5.0 Colombia, Director ejecutivo del centro de Innovacion de Bolivia, Representante en Latino America de la empresa de Tecnología Meshbox ( empresa lider de Blockchain y Iot, fintech en Singapur.) Embajador del partido politico transhumanista de Usa en Argentina.

Photo by Markus Spiske on Unsplash

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

¿Tiene unos minutos para hablar de Debian? ¡Jonathan nos cuenta!

¿Tiene unos minutos para hablar de Debian?

Nos acompaña, Jonathan, desarrollador de Debian y un apasionado de Debian desde
el 2008. Disfruta mucho de usar Debian en su vida diaria, en el trabajo
así como de colaborar directamente en la comunidad de Debian. Ha ayudado
a hacer traducciones de plantillas po.debconf del inglés al español, a
organizar eventos de Debian en México como el Día Debian, fiestas de
instalación, el FLISOL en algunas sedes, en algunas tareas de algunas
DebConfs, en el equipo de Video de Debian, en el equipo de Reproducible
Builds, así como recientemente en el equipo de Debian Academy. Ha
compartido diversos talleres y presentaciones sobre Debian, GNU/Linux y
Software Libre.

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

Passwords ¿El tamaño importa?

¿El tamaño importa?

[Infosec] Los mejores passwords son los que tienen mayúsculas, minúsculas, números y caracteres especiales ¿cierto? Un password de 8 letras de longitud utilizando un universo de 94 caracteres ascii tiene un nivel de entropía alto. Pero se nos hace difícil de recordar y solemos perderlo una y otra vez.

De tal forma que es más sencillo hacer buenos passwords con 3 palabras que podamos recordar fácilmente, que quebrarnos la cabeza con símbolos especiales.

¿Cómo manejarlos?

Pues la memoria ayuda, puedo recordar varias ocasiones en las que saberme el password de memoria hizo la diferencia entre una buena experiencia y una muy mala experiencia. Pero seamos honestos, cada día que abrimos una nueva aplicación le agregamos un nuevo password a nuestra pobre cabecita. Así que la necesidad de organizarnos es importante.

Dashlane
1Password
LastPass

Además agregué Bitwarden porque es opensource y te permite que descargues el código de su servidor para que lo instales en un servidor físico o virtual a través de docker.

¿Cómo programar con passwords?

Este es un problema porque a quienes se dedican a desarrollar, seguramente el cliente les ha pedido ¿puedes mandarme mi password por correo de forma automática? La respuesta correcta debe de ser un NO rotundo.

Pues en este espacio hemos escuchado ya varias veces que tras una brecha de seguridad fueron comprometidos los datos de varios usuarios y que la base de datos se encuentra a la venta en Internet y, pero aún, tiene los passwords en texto plano. Cualquiera puede verlos como son.

Ese sería uno de los principales errores que cometemos al programar un sistema y utilizar passwords. Me tomé unos minutos para describir algunos errores que cometemos al programar cuando manejamos passwords.

Almacenar los passwords en texto plano. Pues nada, como lo mencioné, si se roban la base de datos tienen los passwords de todos los usuarios y pueden hacer lo que quieran con ellos. Además acuérdate que muchas personas usan su password en muchos lugares para evitar recordar varios. Por ello almacenar los passwords en texto plano puede comprometer no únicamente tu sistema sino los sistemas de terceros. Revisen HaveIbeenPawned.
Encripción con una llave única. La encripción también puede ser riesgosa porque el proceso de encripción es reversible si se cuenta con la llave correcta. Y, por lo general, somos bien descuidadotes y dejamos las llaves pegadas en la puerta. Además, si un atacante se hace de la base de datos, puede ir encontrando passwords similares y buscar las respuestas a las preguntas de recuperación para conocer el password original.
Usar un hash básico como md5sum o sha1sum. Aunque los hashes, a diferencia de la encripción, no son reversibles, se han generado diccionarios de hashes que tienen las cadenas que resultan de varias palabras o passwords para que puedas encontrar el password original. MD5SUM es una muy mala idea.

Las opciones que tenemos para almacenar los passwords son un poco más elegantes ahora y sólo compartiré 3. Queda en las manos del lector investigar más a profundidad adicionales.

Si se usa un algoritmo de hash, utilizar el password del usuario y sumarlo a una cadena de letras adicional para generar un hash único por usuario.
Mejorar el punto anterior, pero adicionalmente retroalimentar el algoritmo al agregar el concepto del costo, que sería como llamarlo varias veces antes de contar con la cadena final.
Separa las bases de datos, una para la lógica y otra para la autenticación.

Espero que les gusten estos tips sobre passwords en el marco de esta semana y mes de la ciberseguridad en nuestro Podcast de Creadores Digitales!

Acá la liga de la presentación por si la necesitan. [Presentación]

Photo by Matthew Brodeur on Unsplash

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

Seguridad en redes sociales con Servy

Alina Poulain nos trae esta excelente entrevista.

Photo by Merakist on Unsplash

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast
León Ramos PorLeón Ramos

Cárteles de droga con operaciones en la deepweb

Hiram nos cuenta sobre cómo los cárteles de la droga usan la deepweb y cómo las agencias americanas los rastrean para poder desmantelar sus operaciones.

Hablamos de deepweb, servidores caseros, envíos de mensajería, bitcoins y mucha anonimidad.

Photo by freestocks on Unsplash

Nuestras Redes

@creadoresdigita CreadoresDigitales

Sigue a León, Hiram y Alina en Twitter

Hiram @hiramcoop
León @fulvous
Alina @alinapoulain

¡Escúchanos!

En Ivoox En Spotify
ApplePodcast En Youtube
Google podcast