CHECKR LOGIN

14:48 By aureliohacking.blogspot.com 0 comentarios

INTRODUCCIÓN


Hoy por hoy la protección a la confidencialidad es día a día una tarea más difícil de mantener, es por eso que las tecnologías que protegen el acceso a los recursos son cada vez más complejas y diversas. En el campo de la autenticación generalmente alguno de estos tres factores o una combinación de estos, algo que tú conoces, algo que tú eres y algo que tú tienes, refiriéndose en su orden es la forma que en personas ajenas pueden acceder a su información.
Aunque la mayoría de las organizaciones cuenta con herramientas de ciber seguridad, los recursos tradicionales parecen ser ineficaces en entornos web. Por esta razón, se han registrado numerosos incidentes relacionados a vulnerabilidades de alto riesgo. De cierto modo, son propensos a las brechas de ataques de seguridad. Estas vulnerabilidades van desde la divulgación de información hasta una vulnerabilidad por desbordamiento de búfer que se puede explotar de forma remota. De esta forma, la brecha de seguridad puede facilitar ataques como la ejecución remota de código.
En cualquier caso, estas debilidades en los sistemas comprometen la integridad de los procesos y los protocolos de confidencialidad. Los intrusos que explotan las vulnerabilidades de este tipo pueden irrumpir sin accesos especiales o interacción con el usuario. Cada día se descubren nuevos puntos débiles y, por lo general, son pocos los responsables de IT que comprenden en su justa medida la importancia que tiene la seguridad y cómo pueden abordar el grave problema que existe detrás de vulnerabilidades que permiten a un atacante, violar la seguridad de un entorno y cometer delitos en función de los datos robados.
Checker login para el desarrollo e implementación del proyecto, es necesario tener en cuenta algunos conceptos.

ATAQUE DE FUERZA BRUTA



Se basa en la combinación de las letras de un abecedario, números y hasta símbolos especiales variando la longitud hasta dar con la cadena desconocida, esta técnica que básicamente estaría incluida dentro de los métodos de “Prueba y Error”, es un ataque sencillo en su concepción y certero si se posee todos los valores de entrada necesarios para descubrir las cadenas que conforman las credenciales. Las etapas que hacen parte de este ataque se podrían resumir en: Identificación del objetivo, identificación de los valores de entrada, generación de datos aleatorios, monitoreo de las excepciones y por ultimo determinar la explotabilidad del objetivo.

Programas que realizan ataques de fuerza bruta en Linux
·         Medusa (Linux) es un software para atacar a nivel de fuerza bruta basándose en diccionarios de palabras, es muy estable, sencillo, rápido y permitirá realizar el ataque a muchos servicios.
·         Hydra (Linux) es un programa que permite realizar ataques de fuerza bruta con diccionario la cual posibilita el poder jugar con ella para intentar acceder a otros sistemas y automatizar intentos de login.
·         JOHN THE RIPPER
Su principal objetivo es encontrar contraseñas débiles en sistemas operativos UNIX.

 

LENGUAJES UTILIZADOS PARA LA REALIZACIÓN

 

VISUAL BASIC

En el mundo de la programación informática, uno de los lenguajes más populares y conocidos es el de Visual Basic. Creado en 1991 por Alan Cooper para Microsoft, este paquete permite programar contenidos informáticos gráficos de manera simple y accesible.
El Visual Basic ha sido desarrollado con el objetivo de entregar a los usuarios de programación informática un paquete de utilidades simples y accesibles. Es por esto que el Visual Basic puede ser usado y fácilmente comprendido por expertos como también por usuarios principiantes. Su base parte del dialecto BASIC, pero con componentes novedosos que lo adaptan a los lenguajes informáticos modernos. A esto se suma que el Visual Basic es además un lenguaje de programación guiado por eventos que permite mayor operatividad y mejores resultados.
La creación de interfaces gráficas para diferentes utilidades es una de las principales funciones del Visual Basic y es por esto que es altamente usado en espacios profesionales donde se requieren soportes gráficos para mayor organización de los contenidos y materiales. La programación gráfica se puede llevar a cabo directamente ya que el Visual Basic no requerirá de los usuarios la escritura de los códigos de programación.
Visual Basic trabaja a partir de lenguajes RAD, en inglés Rapid Application Development, o desarrollo rápido de aplicaciones específicas para cada necesidad y función. Al mismo tiempo, el Visual Basic, gracias a su simple lenguaje, es perfectamente adaptable a las plataformas de los sistemas Windows y es fácilmente transformable a otros lenguajes más complejos.

FORMA DE CAPTURAR LA INFORMACIÓN


MÉTODO GET Y POST PHP

 Existen dos métodos con los que el navegador puede enviar información al servidor:
·         Método HTTP GET. Información se envía de forma visible
·   Método HTTP POST. Información se envía de forma no visibleEl concepto GET es obtener información del servidor. Traer datos que están almacenadas en el servidor, ya sea una base de datos o archivo al cliente. Independientemente de que para eso tengamos que enviar (request) algún dato que será procesado para luego devolver la respuesta (response) que esperarnos, un ejemplo sería recibir un identificador para obtener un artículo de la base de datos.

·         El concepto POST en cambio es enviar información desde el cliente para que sea procesada y actualice o agregue información en el servidor, como sería la carga o actualización en si de un artículo. Cuando enviamos (request) datos a través de un formulario, estos son procesados y luego a través de una redirección, ejemplo devolvemos (response) alguna página con información.

·         Tanto GET como POST solicitan una respuesta del servidor y ahí donde parecen que los conceptos son iguales ya que con ambos se podría lograr los mismos objetivos. Yo podría, aunque no es correcto, enviar por GET ciertos datos en una URL u actualizar o insertar dicha información en mi base de datos, pero realmente eso le corresponde al método POST. De la misma manera podría solicitar una página diferente por medio de POST y simplemente mostrarla como respuesta, aunque eso debería ser a través de una llamada GET.

·         Las llamadas por método GET pueden ser cacheadas (historial navegador), indexadas por buscadores, agregar los enlaces a nuestros favoritos o hasta pasar una URL completa a otra persona para que ingresa a dicha página. Con el método POST sin embargo no se puede hacer esto.

·         Generalmente usamos links para ejecutar llamadas GET ya que la idea del link es simplemente “solicitar” una información (pagina) al servidor y que sea devuelta como una respuesta. Mientras usamos formularios para actualizar datos, como artículos, usuarios, etc. también en cuenta que por el método POST también se puede enviar más cantidad de datos que por GET.
Antes de que el navegador envíe la información proporcionada, la codifica mediante URL encoding, dando como resultado un Query String. Esta codificación es un esquema de keys y values separados por un ampersand &:
key1=value1&key2=value2&key3=value3...
Los espacios y otros caracteres no alfanuméricos se sustituyen. Una vez que la información es codificada, se envía al servidor.

MÉTODO HTTP GET


El método GET envía la información codificada del usuario en el header del HTTP request, directamente en la URL. La página web y la información codificada se separan por un interrogante
?:
www.ejemplo.com/index.htm?key1=value1&key2=value2&key3=value3...
·         El método GET envía la información en la propia URL, estando limitada a 2000 caracteres.
·         La información es visible por lo que con este método nunca se envía información sensible.
·         No se pueden enviar datos binarios (archivos, imágenes...).
·         En PHP los datos se administran con el array asociativo $_GET
·          

MÉTODO HTTP POST


Con el método HTTP POST también se codifica la información, pero ésta se envía a través del body del HTTP Request, por lo que no aparece en la URL.

·         El método POST no tiene límite de cantidad de información a enviar.
·         La información proporcionada no es visible, por lo que se puede enviar información sensible.
·         Se puede usar para enviar texto normal así como datos binarios (archivos, imágenes...).
·         PHP proporciona el array asociativo $_POST para acceder a la información enviada.

¿ES MEJOR USAR EL MÉTODO GET O EL MÉTODO POST?

Tanto GET como POST son métodos de envío de la información de los formularios válidos y ampliamente utilizados. Cada método tiene sus ventajas y sus inconvenientes y no se puede decir que uno sea mejor que otro. Elegir entre un método y otro depende de la aplicación concreta que se esté desarrollando y es algo que dentro de las empresas de desarrollos web suelen decidir los encargados del diseño de las aplicaciones. A nosotros en este curso básico simplemente nos interesa conocer la existencia de ambos métodos y sus características.

Tabla 1. Método get y post


VÍDEO TUTORIAL








CONCLUSIÓN

Existen muchos sitios web que su apariencia parecen que todo funciona bien, lo que en ocasiones no tiene en cuenta es que existen pequeñas vulnerabilidades que son aprovechadas por personas con malas intenciones, existen muchas herramientas que permiten acceder a estas debilidades; Una gran cantidad de aplicaciones web emplean controles mínimos o inexistentes sobre la calidad de las contraseñas utilizadas por los usuarios, por lo cual es común encontrar aplicaciones permitiendo contraseñas de longitud pequeña o en blanco, palabras comúnmente encontradas en diccionarios o nombres, el mismo nombre de usuario como contraseña o contraseñas por defecto.
Si una aplicación permite a un atacante realizar repetidos intentos para autenticarse con diferentes usuarios y contraseñas, es altamente vulnerable a un ataque manual para intentar adivinar una combinación acertada. Un atacante con mayor experiencia utilizará técnicas automáticas para intentar adivinar usuarios y contraseñas válidas, mediante la utilización de listas de palabras o valores de gran longitud, cumpliendo con éxito su objetivo.











REFERENCIAS


·         Devil fingers. MIELES E. 2009. Debilidades de seguridad comúnmente explotadas. Recuperado de https://www.evilfingers.net/publications/white_AR/01_Ataques_informaticos.pdf
·   Domínguez-Limaico, Hernán & Maya, Edgar & Peluffo, Diego & M Crisanto, Christian. (2016). Aplicación de Técnicas de Fuerza Bruta con Diccionario de Datos, para vulnerar servicios con métodos de autenticación simple “Contraseñas”, pruebas de concepto con software libre y su remediación.. Maskana. Recuperado de https://www.researchgate.net/publication/311922037_Aplicacion_de_Tecnicas_de_Fuerza_Bruta_con_Diccionario_de_Datos_para_vulnerar_servicios_con_metodos_de_autenticacion_simple_Contrasenas_pruebas_de_concepto_con_software_libre_y_su_remediacion/citation/download
·  TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD. Ataques de Autenticación ¿Cómo roban mi contraseña? 2017.  Recuperado de http://blog.smartekh.com/ataques-de-autenticacion-c2bfcomo-roban-mi-contrasena








0 comentarios:

SYSTEM SEGURITY

15:37 By aureliohacking.blogspot.com 0 comentarios





RESUMEN

El proyecto “sistema de alerta contra incendios y hurtos a establecimientos mediante llamadas  al dispositivo móvil”, es una investigación documental, que busca dar soluciones a la inseguridad, que a diario se presenta en los establecimientos, también busca destacar porque es una herramienta necesaria no solo para establecimientos, sino también para los hogares. Esto con el fin de reducir el índice de robos, y pérdidas materiales a través de incendios.
Además con esta investigación también se buscó, dar uso de las nuevas herramienta que nos brinda la tecnología, mediante el uso del dispositivo móvil que nos ayudara a detectar a tiempo, cualquier violación a la seguridad, a través de las llamadas o mensajes de textos.



INTRODUCCION



En el siguiente documento hablaremos de un sistema de alerta contra incendios y hurtos, el cual va a hacer diseñado con el propósito de brindar mayor seguridad y prevenir posibles tragedias en los hogares, locales o bien sea en el sitio en donde se implemente. Esto se realizara mediante llamadas y notificaciones de texto, en tiempo real a través de nuestros dispositivos móviles. También se evidenciará una lista de los implementos a utilizar al igual que el diagrama con el circuito para su respectivo ensamblado, luego de haberlo finalizado, realizaremos un video donde explicaremos paso a paso la realización completa del sistema de seguridad, y por último pondremos a prueba su funcionamiento.


LISTA DE IMPLEMENTOS

CANTIDAD
NOMBRE
REFERENCIA
1
Arduino
UNO
1
Modulo
GSM-900
1
Sin funcional
GSM
1
Sensor de temperatura
LM35
1
Sensor de movimiento
Pir
1
Transistor
122
1
Sirena electrónica
12 v
1
Protoboard

1
Cable de alimentación
12 v

Cables jump
Macho-hembra


Tabla1. Lista de componente que se utilizo




ARDUINO

El hardware consiste en una placa de circuito impreso con un microcontrolador, usualmente Atmel AVR, puertos digitales y analógicos de entrada/salida, los cuales pueden conectarse a placas de expansión (shields), que amplían las características de funcionamiento de la placa Arduino. Asimismo, posee un puerto de conexión USB desde donde se puede alimentar la placa y establecer comunicación con el computador.
Por otro lado, el software consiste en un entorno de desarrollo (IDE) basado en el entorno de Processing y lenguaje de programación basado en Wiring, así como en el cargador de arranque (bootloader) que es ejecutado en la placa. El microcontrolador de la placa se programa mediante un computador, usando una comunicación serial mediante un convertidor de niveles RS-232 a TTL serial.

1.    
       ARDUINO UNO

El Arduino Uno es un tablero de microcontroladores basado en el ATmega328 ( hoja de datos ). Tiene 14 pines digitales de entrada / salida (de los cuales 6 se pueden utilizar como salidas PWM), 6 entradas analógicas, un resonador cerámico de 16 MHz, una conexión USB, una toma de alimentación, una cabecera ICSP y un botón de reinicio. Contiene todo lo necesario para soportar el microcontrolador; Simplemente conéctelo a un ordenador con un cable USB o conéctelo con un adaptador de CA a CC o batería para empezar.



Figura 1. Arduino uno





SIM900 GSM GPRS SHIELD


Esta es una tarjeta GPRS ultra compacta de comunicación inalámbrica. La tarjeta es compatible con todos los modelos de Arduino con el formato UNO, además puedes controlarla con otros microcontroladores también. La tarjeta está basada en el módulo SIM900 4.
La tarjeta GPRS está configurada y controlada por vía UART usando comandos AT. Solo conecta la tarjeta al microcontrolador, Arduino, etc, y comienza a comunicarte a través de comandos AT. Ideal para sistemas remotos, comunicación recursiva, puntos de control, mandar mensajes de texto a celulares, entre otros.



Figura 2. Sim 900 GSM


SENSOR DE TEMPERATURA LM35


El LM35 es un sensor de temperatura con una precisión calibrada de 1 ºC. Su rango de medición abarca desde -55 °C hasta 150 °C. La salida es lineal y cada grado Celsius equivale a 10 mV, por lo tanto:
150 ºC = 1500 mV      -55 ºC = -550 mV1     Opera de 4v a 30v.

Figura 3. Lm 35 sensor de temperatura


SENSOR DE MOVIMIENTO PIR

Los detectores PIR (Passive Infrared) o Pasivo Infrarrojo, reaccionan sólo ante determinadas fuentes de energía tales como el calor del cuerpo humano o animales. Básicamente reciben la variación de las radiaciones infrarrojas del medio ambiente que cubre. Es llamado pasivo debido a que no emite radiaciones, sino que las recibe. Estos captan la presencia detectando la diferencia entre el calor emitido por el cuerpo humano y el espacio alrededor.
Tienen un alcance aproximado de 5 metros de distancia.


Figura 4. Sensor de Movimiento


TRANSISTOR 122

Es un dispositivo electrónico semiconductor utilizado para entregar una señal de salida en respuesta a una señal de entrada. Cumple funciones de amplificador, oscilador, conmutador o rectificador. El término «transistor» es la contracción en inglés de transfer resistor («resistor de transferencia»). Actualmente se encuentra prácticamente en todos los aparatos electrónicos de uso diario tales como radios, televisores, reproductores de audio y video, relojes de cuarzo, computadoras, lámparas fluorescentes, tomógrafos, teléfonos celulares, aunque casi siempre dentro de los llamados circuitos integrados.

Figura 5. TIP(transistor)




SIRENA ELECTRONICA 12 V

Una sirena es un instrumento acústico que emite un sonido muy fuerte y molesto. Fue inventada por el físico francés Charles Cagniard de la Tour en 1819, que le dio este nombre en recuerdo de las sirenas de la mitología griega. Las sirenas modernas sirven para la defensa civil o ataque aéreo, sirenas de tornado o las sirenas de emergencia en los vehículos de servicio, tales como ambulancias, coches de policía y camiones de bomberos, y de los camiones de basura. Las hay de tres tipos: mecánicas, electroneumáticas y electrónicas.



                                                    Figura 6. Sirena Electrónica


DIAGRAMA DEL CIRCUITO 





                                                Figura 6. Diagrama de conexión 


CODIGO







 Vídeo Tutorial






CONCLUSIÓN

En el trabajo anteriormente mencionado se pretende garantizar mucho más la seguridad personal, familiar además de nuestros bienes, muebles o equipos que igualmente poseen un valor monetario, sentimental e inclusive indispensable para nuestro diario vivir. También se pretende impulsar a la proyección, creación e implementación de nuevos sistemas o dispositivos electrónicos de fácil acceso para nuestros hogares o locales comerciales, además ayudara a reducir los índices de inseguridad y mortalidad en la localidad prestando un apoyo mutuo entre autoridades civiles y comunidad en general. 





  
WEBGRAFIA

Ø  Publicado el 19 de septiembre del 2016, disponible en http://normasapa.net/marco-teorico/
Ø  Publicado por Santy Aucancela el 7 de mayo del 2012, disponible en http://santy-aucancela.blogspot.com.co/2012/05/marco-teorico-1.html
Ø  Publicado en Arduino & Genuino Products, disponible en https://translate.google.com/translate?hl=es&sl=en&u=https://www.arduino.cc/en/main/arduinoBoardUno&prev=search
Ø  Publicado por Eduardo Lara en Oct 13, 2015 in Arduino, Comunicación disponible en http://hetpro-store.com/TUTORIALES/sim900-gsm-shieldarduino/
Ø  Publicado el 8 de agostos del 2015, disponible en https://ingenieriaelectronica.org/definicion-de-protoboard-y-como-utilizarlo/
Ø  Publicado el 8 de mayo del 2016, disponible en https://es.wikipedia.org/wiki/Cable_puente
Ø  Publicado el 26 de marzo del 2017, disponible en https://es.wikipedia.org/wiki/Tarjeta_SIM
Ø  Publicado el 14 de febrero del 2017, disponible en https://es.wikipedia.org/wiki/LM35
Ø  Publicado por Jaime Villegas, 2 febrero 2012, disponible en https://www.tecnoseguro.com/faqs/alarma/que-es-un-detector-de-movimiento-pasivo-o-pir.html
Ø  Publicado el 16 de octubre del 2017, disponible en https://es.wikipedia.org/wiki/Sirena_(instrumento_ac%C3%BAstico)

0 comentarios:

Suscribirse a: Comentarios (Atom)