O365

Todos hemos sido informados de la migración del correo de la UNED a la plataforma de Microsoft O365.

Yo lo he estado probando un poco y a primera vista el funcionamiento es correcto.

A parte del correo podemos acceder a las herramientas Office online y tenemos espacio ilimitado en OneDrive.

Todo ello es bastante interesante y es que la verdad eso de tener tus cosas en cualquier dispositivo es algo que poco a poco se ha hecho un hueco en mi corazón :).

Para acceder, una vez logeados en la plataforma ALF,  solo  tenemos que usar el enlace disponible

Y ya estamos dentro.

Además los compis de la UNED se lo han currado y tenemos bastante documentación.

La putada es que de momento la funcionalidad es muy limitada desde dispositivos móviles, sobre todo android, aunque dicen que evolucionara durante el 2015.

Culex.

PED - Autómatas, Gramáticas Y lenguajes UNED

Revisando cosillas de me he dado cuenta que no había subido la PED de autómatas..... y ya sabes lo que dice el refrán 'mejor tarde que nunca'.

PED 2012

Culex

Firewall Hardware

1. Una célula humana contiene 75MB de información genética.
2. Un espermatozoide contiene la mitad; eso significa 37.5MB.
3. Un ml de semen contiene 100 millones de espermatozoides.
4. En promedio la eyaculación dura 5 segundos y contiene 2.24 ml de semen.
5. Esto significa que la producción de un hombre equivale 37.5MB x 100,000,000 x 2.25)/5 = 1,687,500,000,000,000 bytes/segundo = 1,6875 Terabytes/seg

Esto quiere decir que el óvulo femenino soporta este  ataque DoS a 1,5 terabytes por segundo, y solo permite que pase un solo paquete de información lo que la hace el mejor firewall hardware  del mundo.

La mala noticia es que el sistema tarda en rearmarse unos nueve meses :-)

Culex.

Enlace original = http://www.hackplayers.com/2014/10/el-mejor-firewall-del-mundo-humor.html

Cambiar Layout en MS Word

Todos sabemos que MS Word se pone a veces muy pesadito cuando quieres empezar a dar formato al documento con el que estás trabajando, imagino que es porque no se manejar el programa correctamente.

El caso es que supongo que más de uno, yo por lo menos, nos hemos vuelto locos intentado cambiar el layout de las páginas combinando vertical y apaisado. Pues bien, es tan fácil como marcar un salto de página y cambiar el layout en la siguiente.

Pudiendo hacer cabriolas como esta :)

Culex.

Apuntes - Tomasulo - Ingeniería de Computadores II UNED

Adjunto un par de platillas para ir anotando los resultados parciales del algoritmo de Tomasulo

Aquí -> Tomasulo

Culex.

Ingeniería computadores II - Tutorías

He encontrado unas tutorías grabadas en el portal  AVIP que pueden venir bien si, como yo,  quieres ir mirando un poco el temario :)

Buscamos por el nombre de la asignatura en el cuadro de búsqueda de las emisiones en diferido  y en la página 2 las tenemos.

Adjunto también el link de la primera tutoría.

Culex.

Porque debemos ser precavidos en internet y usar contraseñas robustas y/o 2FA

Ya sabemos que han robado un montón de fotos de 'celebrities' como dios las trajo al mundo y que este tipo de cosas 'como nos van a pasar a nosotros'  pues si, si nos pueden pasar y que te roben una fotos seguramente es el menor de nuestros problemas. 

Espero no tener que sufrir nunca la paranoia de ser victima de un robo de identidad como cuenta Chema Alonso en su Blog El lado del mal

http://www.bbc.co.uk/mundo/noticias/2014/09/140828_eeuu_filtracion_fotos_jennifer_lawrence_piratas_jg.shtml

http://cnnespanol.cnn.com/2014/09/01/publicacion-de-fotos-de-jennifer-lawrence-desnuda-son-una-violacion-flagrante-de-la-privacidad/

Aquí esta muy bien explicado, por nuestros amigos de  Hispasec,  como ha podido ser el  tema. 

Merece la pena leerlo para ir poco a poco concienciandonos de los peligros de internet.

A estas alturas, cuando solo una pequeña porción de la humanidad aun no ha visto a la señorita Lawrence posar en una incomoda intimidad, merece la pena analizar lo ocurrido sin las prisas que demandan los titulares en llamas o el siempre juego del hambre por las visitas.

Una mañana te despiertas en tu mansión de Hollywood y después de la ducha matinal para desperezarte, te vistes con tu albornoz más suave y delicado y te pones a leer el guión que te envió ayer tu representante.

Cuando vas por el segundo párrafo y la cosa se ponía interesante suena tu teléfono móvil, el mismo que vas a destrozar contra la pared en breves momentos.

"¡¿Cómo?!....¡¿Qué?!....Me...en...la..." El resto de la historia (completamente inventada) se deja a la imaginación. Cambiemos de personaje.

Días antes de que una docena de iPhones encontraran su fatal destino presas de la rabia y la impotencia, un usuario de 4chan presumía tener en su poder montones de fotos privadas (también vídeos) de famosas que iba a liberar, incluso pedía donaciones a su cuenta de PayPal por si algún alma caritativa le quería agradecer el "esfuerzo". Lo que parecía una fantasmada, fruto de la imaginación incontinente de un púber alienado por las hormonas, término por ser cierto. Cientos de fotos intimísimas de cientos de las mujeres más deseadas en este planeta (y dentro de miles de años quizás en otros) terminaron expuestas a los desorbitados ojos de millones de seres humanos.

Aquí se acaba lo que todo el mundo sabe. Comencemos con lo que nos interesa.

¿Fue un hackeo de iCloud?

Si y no. A pesar de que muchos medios generalistas anunciaron, nadie penetró en los sistemas de la nube de Apple. No se explotó ninguna vulnerabilidad directa. El problema se encontraba en la API de "FindMyPhone" de Apple. Concretamente esta llamada REST (hay un supuesto script que parece haber sido usado para el ataque -

https://github.com/hackappcom/ibrute):

"https://fmipmobile.icloud.com/fmipservice/device/'+apple_id+'/initClient"

Donde el 'apple_id' se debe introducir el correo de la víctima. Exacto, el atacante debe saber de antemano el correo de la cuenta asociada a iCloud a la que quiere acceder. ¿Cómo era posible saber el correo de una famosa? Existen muchas teorías, alguno sería sencillo de averiguar o quizás pululaba por ahí, el caso es que obteniendo la agenda de contactos de una famosa el resto era ir tirando de la caña.

El ataque se hacía de manera combinada, con listas de correos y listas de contraseñas por lo que se trataba de un ataque de longitud cuadrática. "Por cada correo prueba estas 500 contraseñas...". Esto genera un ruido impresionante en los registros de eventos que ni a un IPS de segunda división se le pasa por alto, en el supuesto claro de que hubiera alguno... ¿Lo habría?

Viendo el código:

http://3.bp.blogspot.com/-v3D_smH7O2c/VAdJgrTDslI/AAAAAAAABeE/-gdwMIvSPxI/s1600/icloud_1.png

Observamos como el User-agent y otros valores son fijos. Y vemos algo que llama mucho la atención: El UDID del dispositivo origen de las peticiones es pseudoaleatorio, falso como el cartón piedra y cuando la combinación usuario/contraseña es correcta Apple no hace una comprobación adicional de ese UDID rechazando, a pesar de la validez de la contraseña, la petición. Tarjeta amarilla.

Lo segundo y que es lo que ha llegado a las rotativas, es la falta de límite de intentos de acceso a una cuenta determinada. Como dijimos un par de párrafos arriba los servidores de Apple se tragaban cualquier número de peticiones con resultado erróneo. ¿Os imagináis a Jennifer metiendo 500 contraseñas en 60 segundos en el set de rodaje mientras la esperan para la siguiente toma? Tarjeta roja.

Otro asunto es que la autenticación se hacía a través de la autenticación básica implementada por el protocolo HTTP. Concatenación de usuario y contraseña, símbolo ':' mediante y eso lo pasamos por un codificador en base64. Eso no es un hash, es simplemente una cadena codificada. La lista de passwords, supuestamente usada, no son hashes

MD5 o SHA1 o lo que sea. Son contraseñas en texto claro que van a ser codificadas y enviadas para su comprobación al servidor de "FindMyIphone". Luego si no nos equivocamos, en algún momento esas contraseñas podrían estar almacenadas con un simple base64.

Por cierto, varios usuarios de Reddit comprobaron que el script funcionaba hasta que Apple parcheó los servidores que tiene repartidos por el mundo.

La política de contraseñas de Apple

Apple mantiene una política de contraseñas estándar, con posibilidad de activar doble factor de autenticación y la extremadamente desaconsejable y completamente insegura segunda vía a través de preguntas personales.

Con las redes sociales colmadas de datos personales voluntariamente expuestos, hoy día tiene más sentido ir mintiendo en absolutamente todas las preguntas que decir la verdad.

Volvamos a las contraseñas, que son las protagonistas (con el permiso de la Lawrence) del ataque.

Las reglas son declarativas y siguen una lógica AND:

   Al menos tienen que tener una letra.

   Al menos una letra capital.

   Al menos un número.

   No deben contener caracteres secuencialmente idénticos.

   No debe ser la misma cadena que el nombre de usuario.

   Al menos debe contener 8 caracteres.

   No debe ser una contraseña común (conocida)

   No ha de haberse usado durante el año anterior.

Con todas estas reglas y una lista de gritones de contraseñas tenemos, no como construir una contraseña, sino como filtrar esa lista de contraseñas a través de expresiones regulares y quedarnos con una lista más ligerita y certera. Por ejemplo de nada nos serviría ir probando una secuencia de números o palabras que no contengan una mayúscula o passwords con menos de 8 caracteres.

¿Qué pinta tendría el password de una famosa?

Veamos, ¿Alguien se imagina a nuestra actriz favorita activando la doble autenticación? No, ¿verdad? Es posible que Noomi Rapace si, pero el resto seguro que no. ¿Os imagináis también a la famosa metiendo una contraseña robusta y a prueba de hackers?

Con las reglas arriba mencionadas una contraseña que deje pasar el sistema como válida tendría una pinta parecida a esta. Por cierto, cuando el sistema comienza a responder con mensajes del tipo "Contraseña no válida, debe tener al menos..." vamos relajando la complejidad porque el humano termina cansándose de la dichosa maquinita y cansancio y relax son el efecto y la consecuencia. Una tarea repetitiva termina bajando la guardia del que la realiza.

Una letra capital: la primera letra

Al menos un número: posiblemente dos (días, años, edad...) y al final, es típico.

Al menos 8 caracteres: de acuerdo, dos cifras al final nos deja 6 letras al comienzo.

No deben repetirse caracteres: perfecto, estrechamos el universo.

No debe ser igual al nombre de usuario: menos intentos todavía.

Y lo más importante y que está en la cabeza de la gran mayoría: tienes que memorizarlo.

Obviemos el resto de reglas. ¿Convincente?:

Jlawrence90

Evidentemente no es la contraseña (eso esperamos) simplemente la base sobre la que ir construyendo contraseñas inspiradas en la reglas que en principio deberían servir para robustecerlas y lo que conocemos de la persona objetivo.

Por cierto. ¿Alguien sabe como se llama el perro de Jennifer Lawrence?

Un saludo.

Apuntes - Ingeniería Computadores II UNED

Aportación de material (apuntes, ejercicios, exámenes, practicas, guías de estudio I y II)  para una de las asignaturas que voy a cursar este año, Ingeniería de Computadores II.

Empezamos a destripar la maquina :)

Aqui --> ICII

Culex.

Suite protocolos TCP-IP

Estaba el otro día trasteando un poco con el firewall de W7 y me llamo la atención las opciones de configuración a nivel de protocolos.

El caso que me puse a 'recordar' cosillas y al final me salio un documento que puede venir bien para consulta.

Aquí --> Suite TCP-IP

Como casi siempre, la fuente de información es http://www.wikipedia.org/

Culex.

Hardering your system :-)

Ha caído en mis manos el libro 'Máxima Seguridad en Windows'  de informática64 y al principio del mismo hay un comentario muy simpático sobre como asegurar tu sistema je je je.

Solo hay que añadir estas claves en el registro. Sencillo ¿no?

HKLM\Software\Microsoft\Windows NT\CurrentVersion\DisableHackers=1 (REG_DWORD)
HKLM\Wetware\Users\SocialEngineering\Enabled=no (REG_SZ)
HKCU\Wetware\Users\CurrentUser\PickGoodPassword=1 (REG_BINARY)
HKLM\Hardware\CurrentSystem\FullyPatched=yes (REG_SZ)
HKLM\Software\AllowBufferOverflows=no (REG_SZ)

Aprovecho para comentar que el libro me ha gustado muchísimo. No es que yo sea ningún experto en seguridad (ya me gustaría)  pero me parece que su autor 'Sergio de los Santos' sabe muy bien lo que tiene entre manos y como transmitirlo.

Vamos que este libro se ha hecho un hueco en mi biblioteca.

Culex.

P.D. Si quieres ampliar un poco mas prueba aquí -->  Mitos sobre seguridad