Las chicas son guerreras

Hoy os traigo algo que encontré en mis ratos libres de merodeadora de noticas por los blogs, HDMagazine. Esto es una revista (antiguamente las llamábamos e-zine XD) que están haciendo un grupo de mujeres y, siendo sinceras, con un trabajo excelente.
Ya han liberado si tercer número en apenas tiempo y la calidad de sus contenidos han conseguido queme declare fan de ellas :)
Aquí os dejo los tres primeros números para que los probéis vosotros mismos:

Descargar PDF de Hackers & Developers Magazine Nº2

•  Developers...
• Prevención de ataques por fuerza bruta y Man in the Middle
• Backups: ¡Siempre me acuerdo de ellos cuando no están!
• Arduino: Filosofía OpenSource
• Especial NoSQL: Introducción a NoSQL y servicios en la nube
• Especial NoSQL: estructura interna, código y contexto
• Scratch: Imagina, programa, comparte
• Guía de seguridad en aplicaciones Web PHP
• Patrones y anti-patrones de diseño ¿Para que sirven?
• Experimentando con matplotlib y otros “yuyos”
• Manual de MVC: (2) Vistas dinámicas y Templates
• Pásate a GNU/Linux con Arch Linux: Parte II
• Analizando los logs de acceso de Apache
• U!

Descargar PDF de Hackers & Developers Magazine Nº 1

• Pásate a GNU/Linux con Arch Linux: Parte I
• Guifi.net: la red abierta libre y neutral
• La importancia del shell, vi y regex
• Los impresionantes archivos .PO – l10n de GNOME
• Google Maps API: Primeros Pasos
• THREE.JS ¿va a hacer todo eso por mi?
• Arquitectos y diseñadores, los roles opcionales
• Programador: Si. Diseñador: ¡Ni de riesgos!
• PSeInt: Una Invitación para entrar en el maravilloso mundo de la programación
• ¿Qué son los Namespaces?
• Manual de MVC: (1) FrontController
• U!

Descargar PDF de Hackers & Developers Magazine Nº 0

• Y ahora ¿qué Framework PHP usaré?
• Creando una capa de abstracción con PHP y mysqli
• ¿Por qué Python?
• Empezando con Google App Engine
• The Hitchhiker Pythonits's Guide to the Galaxy
• GNU/Linux & Servers: Tricks & Tips
• Contribuyendo en el equipo de traducción al español de GNOME
• ¿La crisis del software?
• Las cuentas claras y el proceso de desarrollo concreto 
• La Web Semántica y sus Ontologías
• U!

Ya tengo mi regalo de reyes

Si ya ha llegado mi auto-regalo de reyes, este año he decidido pasar de alguna frikada del WoW, miniaturas, comics o sucedáneos que hacen que se me vayan poniendo las orejas en punta y diga que me llamo Eoweyn XD a comprarme algo con lo que hacer aún mi cabeza más grande y es que señoras y señores el que dijo que "El saber no ocupa lugar" es porque lo tenía ya todo en un pen drive, porque a mi... mis libros me ocupan ya dos cuartos :P
Para poder incrementar mi colección he aquí mis regalitos:

Así que entre el blog, universidad, trabajo, las webs y mis perrillas ya tengo con que entretenerme un tiempo.

4 Ataques por fuerza bruta

1  ¿Qué es?

Los ataques por fuerza bruta es uno de los tipos de ataques más antiguos que existen. Básicamente, estos ataques aprovechan un fallo en la seguridad web para realizar  intentos infinitos de accesos a dicha web hasta que la respuesta sea positiva.

El fallo de seguridad en este casi viene dado por la falta un límite de accesos erróneos en la página web, motivo por el que se pueden realizar infinitos intentos.

2   ¿Cómo se realizan estos ataques?

Los ataques por fuerza bruta se llevan a cabo de forma automática, existiendo muchos programas que realizan este ataque. De forma práctica,  existen dos maneras de llevarlo a cabo, mediante generadores de palabras y diccionarios.

2.1  Generadores de palabras

Estos programas sirven para generar palabras aleatorias que, en su mayoría, carecen de sentido.

Son programas muy rudimentarios que se limitan a generar un fichero de texto plano  a partir de los caracteres introducidos, por ejemplo:

abcdefghijklmnopqrstvwxyz0123456789ABCDEFGHIJKLMNOPQURSTVWXYZ

También necesitan que se les indique el número mínimo de caracteres con los que debe empezar a generar las palabras, lo que resulta especialmente útil ya que webs como Hotmail no aceptan contraseñas de menos de 6 caracteres de longitud por lo que en este caso no sería necesario crear palabras de menos de 6 caracteres utilizando el alfabeto habitual.

2.2   Diccionarios

Los diccionarios para fuerza bruta son ficheros de texto plano  preparados  por usuarios que contienen miles de palabras en la lengua seleccionada listas para probar. Mientras que  los generadores preparaban las listas de palabras sin sentido, los diccionarios contienen listados con palabras de la lengua, nombres, etc...

Existen por internet diccionarios de lo más variado, como por ejemplo de palabras en latín, de actores, películas, grupos de rock, ect. En la mayoría de lenguajes existentes. Incluso existen diccionarios con más de 227.000.000 palabras, diccionarios en elfico, orco y todos los lenguajes de fantasía.

La Figura 20 muestra varios ejemplos de diccionarios junto con el número de palabras que contienen.

Una  vez que se dispone del diccionario para realizar el ataque ya no es necesario nada más que una web que auditar y asignar al programa el diccionario que se quiera probar.

Los programas como el mostrado en la Figura 21 simplifican el esfuerzo del ataque.

Como se puede apreciar, sólo hay que introducir la URL y los diccionarios que se deseen utilizar.

El programa probará durante las horas necesarias hasta conseguir entrar en la web o bien hasta utilizar todas las posibles palabras del diccionario.

Es importante comentar que algunos usuarios utilizan este tipo de programas para realizar ataques DoS, ya que como generan miles de peticiones a la máquina que aloja la web en un corto espacio de tiempo es posible sobrecargar el servidor con las peticiones.

3   Cómo evitarlo

Los ataques por fuerza bruta se pueden evitar, como se ha comentado en la introducción de este tipo de ataques, introduciendo en el sistema de identificación de la web un máximo de peticiones de login cada cierto tiempo.