Checksec – una herramienta para analizar ejecutables contra “exploitation”

Checksec es un bash script para analizar la implementación de medidas contra explotación de ejecutables (PIE, RELRO, PaX, Canaries, ASLR, Fortify Source). Fue esrito originalmente por Tobias Klein y el código fuente original se encuentra aquí: http://www.trapkit.de/tools/checksec.html.

Instalación

Lo ideal es clonar el “repository” de la herramienta y copiar el archivo checksec al directorio /usr/bin

arturo@imperial-star:~$ git clone https://github.com/slimm609/checksec.sh.git
arturo@imperial-star:~$ sudo cp checksec.sh/checksec /usr/bin

o para descargar una versión en particular del software:

arturo@imperial-star:~$ git clone --depth 1 --branch 2.4.0 https://github.com
seguir leyendo

Test Driven Development

TDD Cycle
Ciclo del desarrollo guiado por pruebas (TDD).

Desarrollo guiado por pruebas, TDD por sus siglas en inglés (Test Driven Development), es una técnica usada en el desarrollo de software. Lo que esta técnica propone es que se escriban unit tests antes de escribir nuevo código para una clase, es decir, escribir tests para un código que aun no existe. Al no haber programado aun la lógica de los métodos que se quieren probar, como es de esperarse los tests no van a pasar. El objetivo será entonces escribir el código que hará que los tests pasen. La propuesta de TDD es realmente interesante, aunque en principio pueda sonar algo rara, por no ser la forma habitual como se ha desarrollado software históricamente.… seguir leyendo

Fraude en línea

En la entrada anterior (Correos electrónicos apócrifos) se presentó en el ejemplo número dos un correo electrónico apócrifo en el que un supuesto banco informa que alguien intentó acceder a la cuenta usando el servicio de banca en línea. En esta entrada estudiaremos la manera en como los defraudadores intentan hacerse con los datos personales para poder robar dinero.

Como ya vimos, al dar click al enlace del correo electrónico apócrifo, se abre una página que pretende ser banco donde se pide introducir el nombre de usuario o número celular y la contraseña. Al ver la dirección del sitio que muestra el navegador, nos damos cuenta que el dominio (newpeople.com.pe)… seguir leyendo

Correos electrónicos apócrifos

Uno de los muchos peligros a los que uno se expone al tener presencia en línea y desgraciadamente también uno de los más frecuentes es el fraude por medio de correos electrónicos apócrifos. La forma en como estos mensajes buscan hacer daño es muy diversa, pero la finalidad es siempre obtener información personal y/o financiera de la víctima o a través de infundir miedo lograr que la víctima realice acciones que le perjudican. Por ejemplo un depósito monetario a los criminales.

Ejemplos de información que buscan obtener los defraudadores:

  • Nombre parcial o completo
  • Dirección
  • Nombres de usuarios y contraseñas
  • Datos de tarjetas de crédito o débito
  • Estilo de vida
  • etc.
seguir leyendo

Signal – una mejor alternativa a Whatsapp, Telegram y compañía

Hace unas semanas leí un artículo donde se le hace un análisis a la aplicación de mensajería Telegram, que supuestamente es una de los más seguras, entendiendo por seguridad el que tan fácil sería el poder llegar a las conversaciones de los usuarios de forma no autorizada, es decir, lo que tendría que hacer un hacker o algún gobierno para poder llegar a las conversaciones de uno. El resultado final es que incluso Whatsapp, que pertenece a Facebook, es más seguro.

A continuación un resumen de las pruebas que se le hicieron a Telegram.

Logotipo de Telegram. Imagen de Wikipedia.
  1. La primera prueba consiste en mandar un mensaje con una dirección de Internet.
seguir leyendo

El dilema de las redes sociales – documental de Netflix

El dilema de las redes sociales es un documental de Netflix donde se expone la forma de actuar de algunas de las más populares redes sociales, entre ellas twitter y facebook y de otros de los llamados gigantes de Internet, como google y amazon. Básicamente se presenta como estas plataformas en linea logran crear una adicción en los usuarios, y como son capaces de crear un perfil del usuario con la información que logran recabar de él. Este es después usado para lanzar publicidad de productos que muy probablemente terminará consumiendo.

Además expone uno de los fenómenos más peligrosos que se da a través de las redes sociales, es decir la polarización de la sociedad.… seguir leyendo

Seguridad de datos empresariales

Actualmente la mayoría de los documentos que forman parte de la vida de una empresa existen de forma electrónica. Algunos ejemplos son:

  • E-mails
  • Facturas
  • Cotizaciones
  • Planos de diseño
  • Minutas de las juntas
  • Presentaciones de planes de negocio
  • Estados financieros

Esta situación proporciona generalmente mucha comodidad, ya que la información puede ser enviada/consultada/generada/etc. de forma rápida y sencilla, desgraciadamente este “cambio tecnológico” también trae consigo graves desventajas en el ámbito de seguridad, porque eventos indeseados como robos, extravíos o pérdidas debido a fallas en los equipos de computo, pueden ocasionar la pérdida de la confidencialidad de los datos o la imposibilidad de acceder a la información deseada.… seguir leyendo

Contraseñas en Firefox

Firefox es uno de los navegadores más populares, es gratis y además open source, y también es multiplataforma, es decir, existe para diferentes sistemas operativos (Linux, Windows, Android, etc.). Una de las banderas de este software es que les importa la privacidad de los usuarios, y dicen no recolectar datos con fines lucrativos. Esto último es afortunadamente cada vez más relevante para la gente (según yo).

Como cualquier otro navegador, Firefox permite ir guardando el nombre de usuario y la contraseña para cada pagina que lo requiera,pero

hay que tener cuidado con esta función.

Resulta que por default las contraseñas que Firefox guarda son visibles para todo aquel que tiene acceso a la computadora.… seguir leyendo

Scripting en Windows

Microsoft Windows sigue siendo el sistema operativo para PCs lider en el mercado. Por su facilidad de uso, es utilizado por usuarios que solo hacen clicks al visitar facebook, escribir mails, o ver videos en internet, pero también es utilizado por compañías dedicadas al desarrollo de software.

Una de las características de un buen software es que puede ser probado de manera automatizada, es decir, cuando hay una nueva versión del software que se está desarrollando, no se necesita un chango haciendo clicks para instalar la nueva versión, y una vez instalada, abrir el software y probar la funcionalidad de él haciendo clicks por todas partes buscando errores.… seguir leyendo

Git y GitHub

En el proyecto2 (Solución a los ejercicios del libro Introduction to Rocket Science and Engineering) propuesto por esta página se requiere el uso de Git y GitHub. Pero, ¿qué es Git y que es GitHub?

Git

Logo de Git.

Git es un sistema de control de versiones (version control system), es gratis y además open source. Está diseñado para manejar desde pequeños hasta grandes proyectos con velocidad y eficiencia. Todo esto según la página oficial de Git.

Un sistema de control de versiones (VCS) es un software que ayuda al almacenamiento de los archivos que conforman un proyecto, manteniendo un historial de todos los archivos, y al mismo tiempo haciendo posible establecer una versión del repositorio completo.… seguir leyendo