Año nuevo, consola vieja

Bueno, en realidad no es una “consola” son muuuchas consolas en una. Ya os conté anteriormente como había construido mi mini máquina aracade.Esta vez, viendo que se habían vuelto a poner de moda las versiones “mini” de las consolas retro (que, por cierto, estoy intentando coleccionar) decidí construirme la mía… No sería mucho más barato, pero si que tendría el control de todo lo que metería en la misma. Este es el resultado:

Estuve tentado de imprimir también la carcasa en 3D con mi impresora.. Pero sabía que el resultado iba a ser peor y quería algo que fuese, como mínimo, familiar. La consola es capaz de ejecutar juegos de NES, SNES, Megadrive, Master system, PSX, Neo Geo, Game Boy, GBA, Game Gear y Arcades… Además, he incluido que se puedan ejecutar programas del CPC 464 y de C64 y VIC-20… Vamos, todo lo que puede dar de si una Raspberry Pi 3.

Así que aquí os dejo la lista de “ingredientes” para que los vayáis preparando:

También se puede hacer con una SD de 8Gb, pero entonces podrás meter menos juegos. El resto de lo necesario supongo que ya lo tenéis (cable HDMI,cargador y cable de móvil microusb)

Cuando las tengáis continuamos… No quiero que nos precipitemos… Así tenemos proyecto para el año nuevo.

Por cierto… ¡Feliz 2018!

Parando un ciberataque a tu wordpress

Este lunes, a eso de media tarde, detectamos en la web de uno de nuestros clientes que estaba recibiendo una cantidad inusualmente alta de intentos de login fallidos. Nuestro cliente, que usa wordpress, tiene un cierto nivel de visitas digamos, importante, lo que le hace un blanco para bots y escaneadores de redes habitualmente, por lo que siempre recibe cierta cantidad de estos intentos fallidos, pero al cabo de unos minutos nos dimos cuenta de que esta vez era distinto… Estabamos en medio de uno de los mayores ataques a sitios wordpress de la historia. Este es el volumen que mostraba wordfence (el plugin de seguiridad que usamos):

Como vemos se llegaron a los 10 millones de ataques y, como dicen en su blog se trataba de un ataque distribuido masivo de fuerza bruta muy importante. De hecho indicaban que:

  • El ataque había llegado a 14.1 millones de ataques por hora.
  • El número toral de IPs involucradas fueron más de 10,000.
  • Se estaban atacando más de 190.000 sitios WordPress por hora.
  • Esta es la campaña más agresiva que nunca hemos visto por volumen de ataques por hora.

La razón que proponían como posible fuente de este ataque fue el filtrado masivo de credienciales que salió a la luz el 5 de diciembre y que dejaba expuestos millones de contraseñas nuevas que poder utilizar en un ataque de este tipo.

Así que, en medio de toda esta vorágine y recibiendo un montón de alertas, teníamos que hacer algo para proteger nuestro sitio, manteniendo el servicio y evitando que los chicos malos se nos colasen hasta la cocina.

Además de tomar las medidas habituales, nosotros escogimos un camino que nadie más podía tomar, utilizar el nuevo plugin wordpress de nomorepass que acabábamos de desarrollar y que todavía no estaba distribuido (ahora ya lo está) y que contenía una nueva opción más que interesante: “Solo permitir el acceso mediante la app”.

Con esta simple opción aunque los robots consiguieran un usuario y un password válido para el sitio no podrían entrar, porque solo se permitiría entrar a aquellos que usaron el código qr y la app para enviar sus credenciales. Esta simple medida, junto con el baneo de ips y otras medidas habituales consiguieron devolver la normalidad al sitio y, sobre todo, estar seguros de que no se podían haber colado.

Como ya os he contado muchas veces, la mejor contraseña es la que no conocemos, así evitaremos todos los ataques por ingeniería social y estaremos un poquito más seguro sin tener que cambiar – todavía – la infraestructura de acceso a nuestros sitios.

Por todo ello,  os recomiendo usar nomorepass.

El fin del hacking por ingeniería social

La mayor parte de los sistemas de acceso a las webs, correos o cualquier otro sistema informático son técnicamente lo suficientemente robustos para que utilizar métodos de fuerza bruta o criptográficos sea muy, muy complicado (hablo de webs que ya tengan ssl, ordenadores que no tengan keyloggers ni cosas de esas). De hecho los medios para romper una clave rsa que tuvo que poner la NSA (11.000 millones de dólares) no están al alcance de cualquier hacker y, desde luego, no de cualquier hacker que ande por ahí. Sin embargo, se siguen produciendo ataques, filtraciones e intrusiones en nuestras cuentas usando el método más barato de todos: la ingeniería social.

Mediante ingeniería social lo que un hacker hace es tratar de que tu mismo le entregues tus claves o, en el peor de los casos, utilizar alguna clave tuya conocida para derivar la que puede ser tu clave para ese sistema. En 2004 el New York Post publicaba un artículo en el que se describía un experimento por el que un desconocido ofrecía un dulce a cualquiera que le diese la contraseña de su correo… Y el resultado fue sorprendente, 7 de cada 10 personas entregaron la contraseña de su correo. De esta manera da igual que tengamos SSL, TLS, un sistema límpio, y todas las medidas que queramos que mediante ingeniería social cualquier atacante puede descubir nuestras contraseñas. Además, nuestro cerebro no es capaz de recordar secuencias de caracteres aleatorios, o al menos no muchas, por lo que al final solemos usar alguna heurística para tener una sola contraseña y derivar otras en base a esas. Un sistema que conduce, irremisiblemente a regalar nuestras contraseñas a cualquiera que esté interesado por ellas.

¿Cual es mi solución? Muy sencillo, que el usuario no sepa las contraseñas, no es necesario cambiar ningún sistema, ni recordar nada, ni preocuparse lo más mínimo, simplemente olvidate de las contraseñas. Para conseguir esto he creado el sistema nomorepass, que además de generarte contraseñas y almacenarlas de manera segura en tu dispositivo móvil (y solo en tu dispositivo, nada de copiarlo en la nube, ni en nuestros servidores, ni en los ordenadores) te permite enviarlas de manera segura a la web o el dispositivo que la necesita… Todo ello sin que tu tengas que saber cual es la contraseña y, por tanto, sin poder ser presa de la ingeniería social.

Llevando esto al extremo, he desarrollado un nuevo plugin para wordpress que permite hacer los registros de usuario de manera automática, sin tener que elegir un password y que lo almacena directamente y de forma segura en tu app nomorepass. Puedes hacer la prueba registrándote en este blog, simplemente pincha aquí, escribe tu nick y tu email, pincha en el icono de nomorepass y luego escanea el qr con la app usando el botón rojo. ¡voila! ya estás registrado y con tus credenciales en tu teléfono… ¡Y ni siquiera sabes qué contraseña has usado!!

Deja de usar sistemas obsoletos, de escribir las contraseñas en papeles, tener una sola contraseña (con variaciones) para todas tus cuentas o, simplemente, deja de acordarte de tus contraseñas… Usa nomorepass. Es gratis, pero si, además, quieres tener una seguridad extra puedes suscribirte, si dejas un comentario en esta entrada te enviaré un código para que puedas disfrutar de todas las funcionalidades premium durante un mes… ¿Qué esperas?

Errores de gestión… Las empresas de becarios

Uno no deja nunca de aprender, sea de informática o sea de gestión, en este caso me toca hablar de una tendencia que se afianza día a día en las empresas de informática y de la que he tenido un ejemplo flagrante hace muy poco. La lección de hoy, queridos lectores, es que, nunca, nunca, nunca, hay que dejar que tu empresa sea solo un conjunto de becarios.

¿Son malos los becarios? Claro que no, seguro que en poco tiempo se convierten en unos excelentes profesionales. Con la guía adecuada, y aprendiendo de los profesionales de verdad, todos aprendemos y nos convertimos en profesionales, con poca experiencia, pero profesionales. Entonces, ¿porqué me quejo? Veamos el ejemplo.

Una startup de la que prefiero no acordarme, comenzó su andadura en un nicho de mercado en el que partía con ventaja. Sus socios eran lo mejor de lo mejor en sus áreas de experiencia. Unos provenientes de la parte académica, pero con experiencia en proyectos de investigación, otros con experiencia en el desarrollo de software a nivel profesional y un gestor que creía que sabía de todo que encontró el dinero y los inversores necesarios.

Como toda startup su obligación es focalizarse en su proyecto principal y quemar dinero hasta que consigue sacar al mercado su idea o se queda sin dinero. No obstante, por errores que no vienen al caso, la idea principal se marchitó y se lanzaron a intentar crear productos en mercados cada vez más abarrotados, donde no contaban con las ventajas anteriores y con el dinero ya mermado. En esas los socios más interesantes y menos comprometidos fueron abandonando el barco, o bien se vieron obligados a abandonar al no tener expectativas de obtener un salario digno (digo digno, no a la altura de sus méritos, que eso siempre es mucho más, pero, oye, estamos en una startup). Estas personas son reemplazadas por becarios de manera que, al final, solo queda un socio con conocimiento y experiencia y el resto que se limita a aprender lo mejor que puede intentando no romper demasiado.

Y el error principal viene cuando el gestor, en su afán por prolongar una agonía innecesaria, decide sustituir a este socio “excesivamente caro” por otras personas de un nivel muy inferior, sin capacidad de trabajo ni compromiso con la empresa pero obedientes y baratitos… El resultado, el de siempre, una mierda.

¿Puede una empresa sin conocimiento práctico, sin experiencia, sin foco y sin socios comprometidos trabajando en la misma triunfar? ¿puede acaso sobrevivir? A los ojos de quien solo mira números y no valora el trabajo real de ninguna manera es la consecuencia evidente, pongo dos por el precio de uno y gano en el cambio… ¿Ganar qué? Duplicas el numero de problemas, dilapidas el poco conocimiento que tenías y llevas a cero la confianza de los inversores en una empresa que se puede montar con cualquiera que pase por allí y que no premia ni valora experiencia ni conocimiento… En fin…

Exportar passwords en chrome y firefox

Ahora que ya tenemos la conciencia de que guardar los passwords en nuestros navegadores es algo sumamente inseguro y que solo debemos hacer en contadas ocasiones y en ordenadores que jamás nunca dejemos a nadie, es posible que nos interese ver la manera de recuperar todos esos passwords que hemos dejado olvidados en nuestros navegadores y así poder borrarlos con seguridad. Es un procedimiento sumamente sencillo, pero el resultado es un archivo donde se pueden ver en claro todas las claves que has usado, así que es mejor que lo destruyas cuanto antes.

Vamos al lío:

Sacar las claves de Chrome

  1. Ejecuta chrome y en la barra de direcciones escribe chrome://flags o about://flags dependiendo de la versión (la que te funcione).
  2. Busca en la ventana que te aparece (ctrl+f) “importar y exportar contraseñas” y cambia su estado a “Habilitada”
  3. Reinicia el navegador
  4. Navega a la configuración (menú configuración) y dentro de esta página pincha en “Mostrar configuración avanzada“, baja un poco y pincha en “Administrar contraseñas“.
  5. Aparecerán dos botones que antes no estaba ahí “Importar” y “Exportar
  6. Pincha “Exportar” para descargarte todas tus claves. Dependiendo del sistema operativo es posible que te pida autorización (entrar la cuenta de windows, por ejemplo).
  7. Se mostrará un selector de archivos, elige el directorio y el nombre que deseas darle al archivo. Se generará un archivo texto en formato csv con los siguientes campos:
    • Nombre: nombre del wesite
    • URL: dirección del website donde se introdujo la contraseña
    • Usuario: nombre de usuario
    • Password: password del usuario
  8. El botón “Importar” hace lo contrario, así que puedes pasar contraseñas de otro sitio a chrome usando este método.

Sacar las claves de Firefox

Para extraer las claves de firefox utilizaremos una extensión, que podemos encontrar aquí: Password Exporter. Una vez instalado seguiremos estos pasos:

  1. Ve a Preferencias->Seguridad, verás que aparece una nueva opción Importar/Exportar contraseñas
  2. Pincha en el botón, te aparecerá la pantalla para que selecciones si quieres encriptar o no las claves (si las encriptas solo podrás importarlas en otro firefox)
  3. Después de un par de pantallas de advertencia se nos pedirá que seleccionemos un archivo. Para maximizar compatibilidad yo suelo usar el formato csv que finalmente se grabará con los siguientes datos:
    • Hostname: nombre del wesite
    • Username: nombre de usuario
    • Password: password del usuario
    • formSubmitURL: dirección del website donde se introdujo la contraseña
    • httpRealm: en autenticación basica de http pone el nombre del dominio.
    • usernameField: nombre del campo donde se pone el usuario
    • passwordField: nombre del campo donde se pone el password
  4. Para importar habría que hacer el camino inverso

Por desgracia los formatos no son intercambiables, por lo que tendrás que modificarlos a mano si quieres pasar passwords de firefox a chrome o viceversa.

¡Advertencia! : una vez usados estos archivos para lo que queramos es muy recomendable destruirlos, ya que así evitamos problemas de filtraciones.