Cada vez más y más se están popularizando los ataques automáticos por internet. «Niños malos» se dedican a dejar encendido su ordenador con programas autónomos que rastrean La Red en busca de ordenadores que explotar, y, aunque tengas la impresión de que tu máquina no merece la pena, y por lo tanto, no la van a atacar ¡estás equivocado!. Centenares de miles de máquinas anónimas en internet, de usuarios comunes, son zombies utilizados por «niños malos» para atacar ordenadores más grandes, spamear o hacer cálculo distribuido. Todos somos objetivo.
En el caso del rastreo de máquinas Unix/Linux, el proceso habitual es el lanzar un scanner de puertos, buscando servicios concretos, generalmente el SSH (puerto 22), para después agregar las IPs de las máquinas detectadas a una base de datos, que luego se usará para lanzar otra aplicación que conecta a esas máquinas para probar parejas de usuarios y contraseñas habituales, o fallos de seguridad comunes.
La primera defensa contra este (y muchos otros) ataque, es un poco de sentido común. Ya se que es el menos común de los sentidos, pero con un poquito de esfuerzo todos salimos beneficiados .
El paso a cubrir hoy es la creación y protección de contraseñas. Útil para todos los sistemas operativos. Dificultad: fácil.
A la hora del acceso a nuestros ordenadores, es muy conveniente (si no indispensable) la utilización de contraseña, e indispensable si nuestro equipo es accesible remotamente, porque lo tengamos conectado a una red local, a una red inalámbrica, a internet… O es un equipo móvil (un portátil) o que esté en un sitio transitado (oficina, tienda, cibercafé…) accesible a otras personas.
A la hora de crear esta contraseña es necesario tener en cuenta diversos factores, ordenados de mayor a menor importancia, intenta cumplir por lo menos los 3 o 4 primeros:
1.- No usar palabras comunes disponibles en el diccionario
Los ‘niños malos’ que intentan romperos vuestras contraseñas utilizan diccionarios de diferentes idiomas como primer recurso para buscar cual es la contraseña correcta, probando una y otra vez hasta encontrarla. Sobre ellos aplican diferentes variaciones (cambiar las mayúsculas, agregar números al fnal…). Por lo tanto ‘elefante’, ‘promiscuidad’, ‘asterisco’ o ‘taza’ no son contraseñas seguras.
2.- No usar nombres
Más de los mismo. Se utilizan bases de datos de nombres en diferentes idiomas, con diferentes variaciones. Así que ‘Juan’, ‘Pepe11? o ‘ArTuRo’ no son buenas opciones.
3.- No usar fechas
Probar las fechas de los últimos 100 años es una tarea fácil para un sistema de rotura de contraseñas automático.
4.- No usar la misma contraseña en múltiples sitios o cuentas
Si te rompen una de las contraseñas, te evitarás que accedan al resto, evitándo darle al cracker una oferta de ‘2×1? (o 5×1)
5.- Mezcla minúsculas y mayúsculas.
Con esto haces que las combinaciones posibles para encontrar la contraseña sean mucho mayores. En una contraseña de 5 letras que se compone sólo por minúsculas hay 1 entre 7.962.624 posibilidades de encontrar la contraseña aleatoriamente, esto es, que hay 7.962.624 contraseñas posibles. Si usamos mayúsculas y minúsculas, el número de posibilidades es 1 entre 254.803.968.
6.- Utiliza al menos 6 caracteres.
Con cada caracter que añades a tu contraseña, el numero de contraseñas posibles se eleva exponencialmente, como ejemplo observa como aumenta en una contraseña que contenga letras mayúsculas y minúsculas y números:
4 caracteres: 11.316.496 posibilidades diferentes
5 caracteres: 656.356.768 posibilidades diferentes
6 caracteres: 38.068.692.544 posibilidades diferentes
7 caracteres: 2.207.984.167.552 posibilidades diferentes
Aunque esto te parezcan muchas posibilidades, nuestros ordenadores cada vez corren más, y cada vez es más común tener varios ordenadores en casa (En mi casa hay, ejem, 12), así que lo mínimo para darle un dolor de cabeza a alguien son 6 o 7 caracteres. En el servidor de acceso a mi casa tengo una contraseña de unos 17 caracteres, minúsculas y números, lo cual sale un número de 108.428.035.605.965.932.354.207.744 contraseñas posibles .
8.- Cambia tu contraseña de vez en cuando.
Pues eso
Dicen que es inseguro el utilizar claves complicadas, ya que la gente las apunta en post-it, pudiendo quedar al alcance de la gente, pero muchas veces (la mayoría) es más seguro una clave complicada, apuntada en un papel, bien a salvo en la billetera, que una clave absurda y sencilla, facilmente aprendible de memoria (y facilmente adivinable también).
Continuaremos pronto con el capítulo 2
Un artículo de Andor en su bitácora Maruja Digital
Muchas gracias, esto nos será de mucha utilidad a todos, porque son cosas que la mayoría no sabemos hasta k nos las explican o nos pasan. Esperaré impaciente el segundo capítulo.
Gracias, encantado 😀
De momento he superado los 8 pasos. Usease que tengo bien aprendida la lección dictada en nuestros diversos foros Maqueros.
Por cierto. Mi contraseña es Paris-Hilton-chihuaua ;-DDD
¡Uy, se mascapao!
Punto 9. No decirsela ni a la Madre.
Gracias Andor, espero las siguientes clases.
Gracias Andor, espero impaciente el resto. Cada vez hay mas gente con espiritu malicioso en la red. Hay que tomarse estos consejos en serio.
Hablando de Paris Hilton, como anécdota, os comentaré:
Hace unos meses, apareció publicado en internet todo el álbum de fotos (incluyendo algún que otro pecho desnudo) y toda la agenda (incluyendo teléfonos de varios famosos) de Paris Hilton.
Esto fue debido, ni más ni menos, a que Paris Hilton utilizaba un servicio de T-Mobile (compañía de teléfonos americana) que le permitía sincronizar su flamante teléfono móvil con una agenda en Internet, y hubo un gracioso que le averiguó la password de acceso, y se bajó todos sus datos de internet.
¿Porqué? Porque la famosa ‘pregunta secreta’ de acceso a T-Mobile de la señorita Hilton (Es una pregunta acerca de algún dato personal que te hace el sistema cuando has olvidado la contraseña, para comprobar que eres realmente tú, y darte una nueva) consistía en dar el nombre de tu mascota.
Creo que casi todos vosotros podríais averiguar en menos de 10 minutos por Google el nombre del chihuahua de Paris, ya que es MUY público 😀
—
Esto estaría genial de moraleja para este post.
Saludos a todos
Por cierto, al tio que la hackeo lo han metido en el talego … XDDD
Será por sacar tan pocas fotos en bolas de la Hilton. Aunque bueno, tampoco es pa tanto, nuestra amiga Paris «Bicho Palo» Hilton
Lo mejor es cambiar el puerto de SSH a otro que no sea el 22, no permitir rootlogin directo. Incluso olvidares de las claves y solo acceder utilizando un sistema de llaves publica/privada. Los ataques al 22 casi siempre es de un gusano . Si mira es vuestro logs vereis 100 de intentos seguidos a vuestro puertos ssh.
Una utilida que se usa con iptables es esta http://fail2ban.sourceforge.net .
Yo tengo el acceso filtrado al 22 y solo se puede acceder desde una IP y encima necesita un llave publica para poder logearse.
Tranquiiiiiiiilo, ameeeetsa, que aun es el capítulo 1!!
Poco a poco iremos llegando!! 😉
Saludos
Perdona Andor no me fije que ponia I . 😉