La PDA de tungsteno

Para finalizar esta serie de posts dedicados al uso de nuestra Palm como herramienta de hacking, veremos algunas herramientas de seguridad para proteger, tanto el equipo como los datos que contiene, de posibles ataques.

• CryptoPad es un reemplazo para la aplicación Notas que viene por defecto en PalmOS. Añade encriptación Blowfish a las notas, evitando así que cualquiera que acceda a la Palm las pueda leer. El programa tiene también un complemento para el PC, con lo que editar las notas guardadas será más fácil.

Cryptopad añade cifrado a nuestras Notas

• CCrypt también nos permite cifrar textos, en este caso utilizando el algoritmo IDEA. El texto cifrado se copia al portapapeles, de donde lo podremos pegar en una Nota o documento que queramos. Para descifrarlo, simplemente deberemos copiar el texto al portapapeles desde un programa, y CCrypt lo descifrará.
• Si lo que queremos es mantener bien seguros una serie de archivos en nuestra Palm, nada mejor que crear una unidad virtual encriptada con el programa CryptDrive, del que ya hablamos en otra ocasión.
• GridLock controla el acceso a la Palm por medio de una rejilla de 5×5 casillas, que reemplaza al campo de la contraseña. En lugar de una palabra clave, ahora será necesario saber el dibujo que hemos elegido para desbloquear el aparato. Este método hace más rápido el acceso autorizado que tener que escribir una palabra cada vez que encendemos la Palm.

Gridlock reemplaza la contraseña con un dibujo en una cuadrícula

• Craddle Robber no protege nuestros datos sino la Palm al completo. Su objetivo es que no nos la roben mientras la dejamos cargando en la peana: si alguien desconecta la Palm de la peana mientras está cargando, al cabo de unos segundos comenzará a sonar una alarma y todos los botones se bloquearán, hasta que se introduzca correctamente una contraseña de desbloqueo o se vuelva a poner la Palm en la peana. Si la contraseña no es introducida, seguirá sonando hasta que se agote la batería. Además, el hard y soft reset están bloqueados mientras que la alarma esté sonando.


Craddle Robber evitará que roben nuestra Palm cuando está cargando

• Como ya hemos visto en múltiples ocasiones, la seguridad de nuestros sistemas depende completamente de la elección de una buena contraseña. Hago referencia a un post anterior donde hemos visto como nuestra Palm nos podía ayudar a elegir buenas contraseñas, y también a recordarlas de manera segura. Para aumentar las opciones, también recomiendo probar ALP (Account Login Password), que cuenta con un complemento para el PC al igual que Keyring.

Keyring es un completo gestor de contraseñas

• Sin embargo, el método más seguro para proteger nuestra PDA es, sin duda, Thumb Scan, un programa que reconoce la huella dactilar en la pantalla táctil, permitiendo así el acceso sólo a su dueño. El único problema es que… es una broma, pero queda muy bien para impresionar a los amigos.

Por fin reconocimiento de huella dactilar en la Palm

Con este capítulo dedicado a la seguridad y cifrado concluye esta serie de posts dedicados a la Palm como herramienta del hacker. Espero que hayáis descubierto nuevas utilidades para vuestra Palm, que como hemos visto día tras día, es una auténtica herramienta multiusos.

Por: Marcos González Troyas en Trucos
13 comentarios | Trackback |  Imprimir este post

Seguimos con esta serie de artículos sobre las Palm como herramientas de hacking, centrándonos en este caso en la telefonía y el Phreaking.

Phreaking es un término acuñado en la subcultura informática para denominar la actividad de aquellos individuos que orientan sus estudios y ocio hacia el aprendizaje y comprensión del funcionamiento de teléfonos de diversa índole, tecnologías de telecomunicaciones, funcionamiento de compañías telefónicas, sistemas que componen una red telefónica y por último; electrónica aplicada a sistemas telefónicos.

La meta de los phreakers es generalmente superar retos intelectuales de complejidad creciente reaccionados con incidencias de seguridad o fallos en los sistemas telefónicos que les permitan obtener privilegios no accesibles de forma legal.

El término “Phreak” es una conjunción de las palabras phone (teléfono en inglés) y freak (monstruo en inglés). También se refiere al uso de varias frecuencias de audio para manipular un sistema telefónico, ya que la palabra phreak se pronuncia de forma similar a frequency (frecuencia).

El phreak es una disciplina estrechamente vinculada con el hacking convencional. Auque a menudo es considerado y categorizado como un tipo específico de hacking informático: hacking orientado a la telefonía y estrechamente vinculado con la electrónica, en realidad el phreaking es el germen del hacking puesto que el sistema telefónico es anterior a la extensión de la informática a nivel popular, el hacking surgió del contacto de los phreakers con los primeros sistemas informáticos personales y redes de comunicaciones.

Existen muchas herramientas de phreaking y telefonía en general para nuestra Palm:

• DigiDialer es un marcador telefónico DTMF (marcación por tonos) para nuestra Palm. Simplemente tenemos que acercar la Palm al auricular del teléfono, y a través del altavoz emitirá los tonos necesarios para marcar el número que queramos. Esto nos evita tener que teclear nosotros el número, ni siquiera recordarlo. El programa permite importar los números de teléfono de la lista de Contactos de la Palm.

Digidialer marcará por nosotros un número en un teléfono convencional

• Similar al anterior, DTMF DA es un Desktop Accesory para generar tonos DTMF para realizar llamadas telefónicas.
• War dialing o wardialing es un método para escanear automáticamente números de teléfono utilizando un módem, normalmente llamando a cada número en un área local para descubrir qué ordenadores o faxes hay disponibles. Entonces se intenta acceder a ellos adivinando las contraseñas. El nombre de esta técnica hace referencia a la película de 1983 Juegos de Guerra, donde el protagonista utilizaba su ordenador para llamar a cada teléfono de Sunnyvale, California, buscando otros ordenadores. Existe un programa para PalmOS, TBA que nos servirá si nuestra Palm está conectada a un módem. Para otros sistemas existen muchos programas de wardialing. Para PC existe el famoso programa THC-Scan, del cual he encontrado un tutorial en vídeo.
• Spoofing, en términos de seguridad de redes, hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. SMS Spoof envía mensajes SMS modificando el número de teléfono del remitente, haciendo así que parezca que el mensaje se ha mandado desde este otro número.

Enviando un mensaje SMS con un remitente falso

• Una Red Box es un aparato que simula el haber insertado monedas en un teléfono de pago, emitiendo ciertos sonidos que el teléfono interpreta. RedPalm++ es una Red Box canadiense que genera tonos de las monedas “quarter”, “dime” y “nickel”. Esta aplicación requiere instalar también cbasPad, un intérprete de BASIC. El código fuente es realmente muy sencillo.
• Minutes Plus es un programa para teléfonos Kyocera y Treo para controlar aproximadamente el gasto telefónico, y obtener interesantes estadísticas del uso.

Controlando nuestro gasto telefónico con Minutes Plus

• Smorse (Simple morse code sender) envía código morse a través del altavoz de la Palm a 1-80 palabras por minuto. A más velocidad no es posible debido al límite de 10 milisegundos de resolución del altavoz interno.
• Como curiosidad, aunque no relacionado con la telefonía (al menos la tradicional) RJ45 es un pequeño programa para Palm que muestra las maneras de terminar un cable de red cuando lo vamos a crimpar: directo (host a hub) y cruzado (host a host).

Todo un mundo el del phreaking, y como siempre, un mundo trasladable a nuestra Palm. En el próximo post veremos el último capítulo de esta serie de posts dedicada a cómo usar la Palm como herramienta de hacking.

Por: Marcos González Troyas en Trucos
5 comentarios | Trackback |  Imprimir este post

Continuando con esta serie de posts sobre cómo convertir nuestra Palm en una herramienta de hacking, hoy veremos como, una vez que nuestra Palm esté dentro de la red, disponemos de todas las herramientas necesarias para explorarla:

• Mergic Ping es una implementación para Palm OS del comando Ping de UNIX (ICMP Echo). Puede usarse conjuntamente con Mergic VPN para comprobar nuestra conectividad con la red privada virtual o, en general, con cualquier equipo de la red.
• Tras darle un nombre de host o dirección IP a analizar, PalmPing probará diferentes servicios (por ejemplo el ECHO), detectando si los mismos existen en el equipo bajo prueba. Tambien proporciona estadísticas de red, usando las peticiones de estadísticas nativas de PalmOS.

Comprobando que un equipo está conectado a la red

• Una herramienta como Traceroute no nos puede faltar, si queremos utilizar la Palm para analizar incidencias en nuestra red. Un traceroute consiste en descubrir los equipos que un paquete atraviesa en su camino entre nuestra PDA y el equipo destino del mismo.
• Como cliente de Whois, un servicio que permite obtener información sobre dominios de internet (como propietario o email de contacto), podemos usar vWhois. Otro programa gratito con la misma finalidad es Whois.
• Para tener todas estas pequeñas utilidades de red a mano fácilmente, podemos instalar CheckWWW, una herramienta que integra Whois, Ping, Traceroute, NS Lookup y Finger.

Obteniendo información de un dominio

• PScan es otra herramienta fundamental, en este caso un escáner de puertos para PalmOS. La última versión es funcional, y su código es libre.
• PalmMap es otro escáner de puertos, en este caso intentando ser parecido al famoso nmap. Es necesario compilarlo a partir de su código fuente.

Escanenado los puertos de un equipo de la red

• PortScanner es otro escáner de puertos para redes TCP/IP. Los escáneres de puertos permiten saber qué puertos están abiertos en un equipo dada su IP o nombre de host. Es útil por ejemplo en redes wifi, para saber qué servicios están disponibles en un hotspot.
• PingAlink es un servicio de monitorización externa para servidores Web y otros equipos de red. Constantemente monitoriza el rendimiento de nuestro servidor o equipo.
• Una herramienta similar es también HTTP ServerWatch, la cual recopila información sobre el tiempo de respuesta de nuestros servidores, entre otras.
• Algo que me ha sorprendido encontrar, y que desearía que probaseis en vuestras Palm para ver si es cierto, es que PalmOS trae integradas herramientas de red (info, finger, nettrace, y ping), pero sólo son accesibles a través de un huevo de pascua. Info muestra información sobre la conexión activa, Finger se utiliza para encontrar usuarios en un host remoto, nettrace permite probar la conexión a un host remoto y Ping como sabemos sirve para probar la conectividad. Para encontrarlas tenemos que ir a “Preferencias”, entrar en “Red”, en el menú “Opciones” elegir el elemento “Ver Logs”, una vez abierto escribir en el grafitti una “?” y pulsar aceptar: aparecerá una lista con las herramientas de red disponibles.
• Cgicheck99 es uno de los escáneres CGI más portado, corriendo en un total de 37 sistemas operativos, incluido PalmOS. Detecta 119 CGIs habituales y otros detalles. Incluso reporta vulnerabilidades con su ID Bugtraq. Necesita el intérprete Rebol.
• De Hydra ya hemos hablado como utilidad para descubrir contraseñas, pero este programa tan completo también tiene cabida en esta categoría.
• Para navegar por la información que la IANA publica, disponemos de iDomains (para los dominios de nivel superior) e iServices (para saber los puertos y protocolos que utilizan los servicios de red).
• Para evitar que nuestra Palm se apague mientras estamos conectados a la red, existe la pequeña utilidad Powernet. Así no nos desconectaremos de los servidores por dejar la Palm desatendida durante unos minutos. Si lo que queremos desactivar la temporización de apagado de la Palm de manera definitiva, podemos usar AlwaysOn.

Aumentando el tiempo de auto-apagado de la PDA

Como vemos, una lista considerable de utilidades, que demuestra el interés por utilizar las Palm como herramientas de hacking y networking. En el próximo post seguiremos con esta serie de artículos.

Por: Marcos González Troyas en Trucos
9 comentarios | Trackback |  Imprimir este post

Continuando con la serie de artículos en la que estamos viendo cómo la Palm puede ser la herramienta preferida de un hacker, tras haber visto las herramientas necesarias para las tareas más habituales de networking, vamos a tratar técnicas para detectar redes y crear conexiones menos convencionales:

• Para las Palm con bluetooth, BtSerial Pro permite conectarlas a cualquier dispositivo bluetooth, que soporte el servicio de puerto serie bluetooth. Esto nos permite conectar fácilmente teléfonos móviles, sensores, etc. En la misma página podemos encontrar BtSerial, más básico pero gratuito, y BtServer, que permite crear el puerto serie bluetooth en modo maestro, para que otros dispositivos bluetooth se conecten a él. Por ejemplo, usando BtSerial en una PDA y BtServer en otra, tenemos un sistema de chat básico por bluetooth.

Conectando por bluetooth con BtSerial

• Respecto a las redes wifi, siempre que nuestra Palm tenga este tipo de conectividad integrado, como en la Lifedrive o la TX, o hayamos comprado una tarjeta SD wifi, podremos usar las herramientas que ya vimos en este otro artículo sobre el tema: NetChaser , Wiffi, Wifi-where, etc, que nos permitirán detectar redes wifi en nuestros alrededores sin tener que cargar con un portátil.

Detectando redes wifi con NetChaser

• Para los equipos que disponen de un puerto infrarrojo (IrDA), nos vendrá muy bien la utilidad IR Ping. Este programa permite comprobar las comunicaciones entre una Palm y cualquier otro equipo con puerto infrarrojo, como impresoras, teléfonos móviles, u otra PDA.

Analizando una conexión por infrarrojos

Por último, un uso curioso del puerto infrarojo es el de utilizar la Palm como mando a distancia de un coche, aunque claro está en los modelos antiguos que utilizaban este tipo de conexión, ya que hoy en día todos los mandos funcionan por radiofrecuencia.

Es posible emular un mando de infrarojos con nuestra Palm

Ahora ya sabemos como conectar nuestra Palm en una red. En el próximo post de esta serie veremos todas las herramientas de análisis de redes que existen para nuestra Palm.

Por: Marcos González Troyas en Trucos
8 comentarios | Trackback |  Imprimir este post

Carlos, de Lost in Japan, me ha recordado que hoy es el BlogDay. ¡Muchas gracias Carlos por elegir La PDA de tungsteno! Me ha animado a participar, así que voy a mencionar cinco blogs que no tienen nada que ver con las Palm pero que sigo con mucho interés (además de Lost in Japan y todos los demás blogs que enlazo desde La PDA de Tungsteno, claro!):

BlogDay 2007 (31 de Agosto - 3108)

• SigT es un blog donde su autor, Armonth, publica mucha información interesante relativa a WordPress, el CMS sobre el que funciona la PDA de Tungsteno. Pero también me gustan muchas otras cosas que escribe sobre el mundo de la informática y la tecnología en general. Para los que quieran estar al día de las novedades en el mundo de Wordpress en español, recomiendo el Planeta Wordpress, donde colaboran también Anieto y muchos otros bloggers con muy buena mano con este CMS.
• Fogonazos es un blog de historias sorprendentes. Realmente me pregunto cuáles pueden ser las fuentes que tiene Aberron para tener siempre material tan interesante. Prueba de su calidad es que ha aparecido varias veces mencionado en Microsiervos, y se lo ha ganado por méritos propios.
• Tecnología obsoleta es otro blog que merece la pena, con historias no tan chocantes, sino con su propio “estilo” que las hace interesantes, además de destacar por la información que aportan. Se nota cuándo hay alguien detrás de un blog que sabe de lo que habla.
• Historias de la ciencia es otro de mis favoritos para leer entradas largas e interesantes. Cargadito de anécdotas científicas y detalles de la vida y descubrimientos de los científicos que han marcado la diferencia en nuestra Historia, es una lectura muy agradable, y con la misma sensación al final de leer algo escrito por alguien que sabe de lo que habla.
• Para terminar, Diariomotor es el blog que sigo para estar al tanto de los lanzamientos de nuevos modelos, nuevas fotos espías, historias curiosas relacionadas con el mundo del motor, etc. No sobrecargan al lector con tantos posts diarios como en otros blogs de motor, cosa que se agradece, y su estilo resulta agradable de leer, supongo que por eso ha llegado a ser uno de mis favoritos.

Espero que estas recomendaciones os hagan descubrir algún blog que no conocíais y que os guste. Animaos a continuar este “meme” recomendando otros cinco blogs, y entre todos desenterraremos muchos que vale la pena conocer.

Por: Marcos González Troyas en General
5 comentarios | Trackback |  Imprimir este post