Supongamos que tienes un local con WIFI, o que a tu casa suelen ir invitados y les dejas conectarse a tu red. En esos casos puede resultar un poco coñazo andar diciéndoles la contraseña cada dos por tres, sobre todo si como yo eres de los que usan una contraseña fuerte. De hecho el otro día me comentaba el dueño de un bar que estaba harto de repetir la contraseña de 19 dígitos de su establecimiento. Una solución rápida es imprimir un código QR que la persona pueda enfocar con su cámara y leer y que le conecte a la wifi automáticamente.
Tanto la web Zxingcomo qr4 nos ofrecen unas herramientas que generarán este código QR. Tenemos que pasarle el SSID de la red, la contraseña y el tipo de encriptación, y nos devolverán un código que pueda ser escaneado por cualquier app gratuita para leer códigos QR.
Lo he testeado con Android, pero no os puedo garantizar si en Windows o iOS funciona correctamente.
Pues era un tema que desconocía hasta que lo vi ayer en el blog de Chema Alonso, pero por lo que veo lleva rulando al menos desde el mes de mayo. ¿De qué estoy hablando? Te comento con un ejemplo (aunque puedes leerlo mejor explicado en los links previos): supongamos que quieres que un link se abra en una nueva pestaña, así que le pones target=»_blank». Al hacerlo de esta forma la página que has abierto en la nueva pestaña, mediante el selector window.opener puede modificar cosas a base de Javascript en la página desde la que se abrió el enlace. La mayoría de navegadores modernos limitan las posibilidades de esto y bloquean muchas de las acciones invocadas desde la ventaja hija sobre la padre, pero lo que se han dejado sin proteger es que dicha ventana hija puede acceder a la propiedad window.opener.location, y de esta forma mandarnos a una página desde la que hacer un ataque de phising.
¿Solución? Bueno, si es un enlace basta con el modificador noopenery el noreferrer:
El noreferreres necesario porque Mozilla Firefox no soporta noopener.
¿Y qué pasa si abrimos la ventana mediante Javascript utilizando el método window.open()? Pues que nos encontramos la misma vulnerabilidad. ¿Cómo la solucionamos? Tal que así (copio este ejemplo):
Una potente herramienta en línea de comandos para recuperar ficheros desde distintos sistemas: NTFS, fat, ext3, ext4, etc. Así podemos describir en una frase a foremost.
El primer paso con este software sería instalarlo mediante vía de comandos, por ejemplo mediante apt:
sudo apt-get install foremost
Una vez instalado nos toca proceder. Un punto a tener en cuenta es que no podemos recuperar los datos en el mismo dispositivo del que los estamos intentando recuperar, así que lo mejor será crear una carpeta en otro disco duro para volcar lo recuperado. Vamos a suponer, para nuestro ejemplo, que recuperamos datos de un USB llamado sdb y los guardaremos en el disco duro del equipo, que será el sda. En sda crearemos una carpeta que se llamará recuperado. Veamos ejemplos:
#El comando más básico es así:
sudo foremost -i /dev/sdb -o /sda/recuperado
#Tras el -i ponemos el dispositivo a recuperar.
#Tras el -o ponemos el destino de los archivos.
#Es posible recuperar datos también desde una imagen
#de disco.
#### Veamos más opciones ####
sudo foremost -w -i /dev/sdb -o /sda/recuperado
#Esta no recupera ficheros
#sino que extrae un listado de
#todo lo recuperable.
sudo foremost -t pdf -i /dev/sdb -o /sda/recuperado
#El parámetro -t permite
#definir un tipo de fichero
#y sólo recuperará los de ese tipo,
#en el ejmplo le pasamos pdf.
Como os decía arriba en los ejemplos, se puede recuperar sólo ficheros de un tipo concreto con -t. El listado de formatos de archivo recuperables es el siguiente: avi, bmp, cpp, doc, exe, gif, htm, jpg, mov, mpg, ole, pdf, png, rar, riff, wav, wmv o zip.
Ya sabéis que Google son como Johnny 5 de Cortocircuito «Más datos, Stephanie, más datos«. Y no paran de darle a la cabeza en busca de formas para conseguir más. Este Public Data Explorer de Google nos dará acceso a un montón de datos de acceso público de diferentes agencias, en principio filtrados por el idioma por defecto de nuestra cuenta pero podremos acceder a más simplemente seleccionando otro idioma en la pantalla principal. De esta forma, mediante sencillos menús podremos generar diversas gráficas que compartir o insertar en nuestros documentos.
La gráfica que utilicé en el artículo sobre el Ortegal.
Pero no es esta la única funcionalidad de Public Data Explorer, ya que también nos permite subir nuestros propios archivos con nuestros datos sobre lo que sea (que a ellos también les interesan, claro está) para generar nuestra propias gráficas. Esto requiere tener dichos datos en un formato XML que sea interpretable por dicha aplicación de Google (el formato se llama DSPL). Habría que añadir que para esto Google tiene una herramienta más potente, dentro de Google Enterprise Analytics, llamada Data Studio 360 pero, de momento, en España no esta disponible.
¿Es útil esta herramienta? Bueno puedo entender que a muchos les dará reparo subir sus datos para generar la gráfica, por no fiarse del uso que Google les pueda dar. Pero más allá de esta legítima duda sí se trata de una herramienta fácil de usar e intuitiva, y además nos permite también trabajar con un buen montón de datos de acceso público de una forma muy sencilla. Seguramente más de un estudiante pueda sacar petróleo de ahí para ilustrar sus trabajos (y a más de un periodista no le vendría mal tampoco).
Si en un terminal de Linux escribimos ls -la se nos mostrarán todos los ficheros (ocultos incluídos) con su listado de permisos en modo rwx. Ver los permisos de esta forma puede resultar en cierto modo más intuitivo, pero por otra parte también es más ilegible que hacerlo en formato octal, que a pesar de no ser tan intuitivo sí es mucho más claro para comprobarlo en un sólo vistazo. ¿Cómo podemos ver estos datos en octal? Pues con comando stat seguido del parámetro -c, que nos permite definir un formato para la salida de la información. De la siguiente forma conseguiríamos verlo en formato octal:
stat -c '%n %a' *
¿Y para sacar los datos en formato rwx? Bueno, pues aparte de con ls también se puede hacer con stat, cambiando sólo un parámetro respecto al comando anterior (concretamente la a minúscula por una mayúscula):
Tenía que reinstalar un Windows en un equipo de un familiar y me encontraba con la situación de no poder disponer de una copia física. Por suerte sí tenía una imagen ISO de la que echar mano, así que me quedaba el siguiente paso ¿cómo creo un USB arrancable con esa ISO desde un equipo con Ubuntu?
El primer paso es formatear el USB como fat32. Lo siguiente instalar WinUSB tal que así:
Y tras esto sólo queda crear el USB, ya sea desde una ISO o desde un DVD. Esto último desde la interfaz gráfica del WinUSB. Seleccionamos dispositivo e imagen y sólo será pulsar Install.
Me he pillado en Bandcamp los discos de la banda salmantina El Altar del Holocausto y me disponía a descargar los archivos en mi equipo para meterlos en un reproductor mp3. Pero cuando lo intento el gestor de archivos me da un mensaje de error genérico. Compruebo y veo que no me ha extraído dos canciones, curiosamente las dos con el nombre más largo. Así que, llámame loco, empiezo a suponer que igual tiene que ver con la longitud del nombre. Intento renombrar el archivo antes de descomprimir, pero no me va. Solución: extraer los archivos que no salen por medio de la línea de comandos y ponerles un nombre más corto.
¿Cómo fue la cosa? Pues usando un patrón para buscar los nombres de archivo que no se extraían junto al comando unzip logré que salieran luego con un nombre de archivo definido por mi:
Sí, has leído bien. En la actualización del primer aniversario de Windows 10 se incluye un programa llamado Bash-for-Windows, y sigue el supuesto enamoramiento de Nadella con Linux (que a este paso el siguiente Windows será un Linux con .NET preinstalado, cosas veredes Sancho). Este Bash-for-Windows, co-desarrollado junto a Canonical y basado en Ubuntu, permite correr de forma nativa algunas aplicaciones de Linux en Windows: no se trata de una máquina virtual, ni de un contenedor ni de una distribución de Linux completa, sino una aplicación que permite correr aplicaciones de Linux accediendo al sistema de ficheros de Windows. Ojo, sólo en Windows 10 de 64 bits, los usuarios de 32 bits ya no recibirán esta mejora.
Lo primero es activar el Modo Desarrollador, te vas a Configuración -> Actualizaciones y Seguridad -> Para Desarrolladores -> Modo Desarrollador. Puedes ver cómo hacerlo en este enlace si no lo ves claro con esa ruta.
Tras eso, y ya sea desde Panel de Control o desde el lanzador del Menú de Inicio, os vais a Activar o desactivar las características de Windows y allí buscais la opción de Windows Subsystem for Linux. La marcáis, dejáis que descargue todo lo necesario y que se reinicie el equipo.
Tras el reinicio abrimos la consola de comandos (cmd) en modo administrador y ejecutamos el comando bash. Una vez ejecutado por primera vez se pondrá a descargar todos los componentes necesario para instalar Bash on Ubutu on Windows.
Una vez instalado ¿qué podemos hacer con esta consola? Bueno, pues usarla para probar la funcionalidad básica de lenguajes de programación como Perl, Node/JS o Python, usar los comandos de la consola de Ubuntu como grep o awk, usar programas de línea de comandos como SSH, Emacs o Git… en fin, tendrás mucha de la funcionalidad de la consola Bash de Ubuntu en tu Windows 10.
Bueno, con el tema de la destrucción de los discos duros del ordenador de Bárcenas por parte del Partido Popular y las declaraciones de Celia Villalobos seguro que más de uno va a buscar en Google cómo destruir un disco duro. Desde luego el método usado por el PP está bien para conseguir la destrucción de los datos de los discos: 35 formateos, rallado de la superficie y martillazo a tentetieso. Creo que es el protocolo determinado por INTECO. Pero siendo sinceros, aunque sí es un método eficaz creo que no ha sido muy eficiente. A mi alguna vez me ha tocado destruir algunos que tenían que ir para el punto limpio.
Como primera nota: aunque quede muy de pro y de hacker de peli, usar un imán no es una solución. Hace años que los discos duros vienen muy bien apantallados contra campos magnéticos, así que necesitarías uno muy potente para poder destruir los datos. Por lo que, sacando que vivas cerca de un desguace de coches que tenga un electroimán muy potente, jugar a ser Magnus Lensherr no es la mejor opción.
Habría que pensar en qué interés puede tener alguien en recuperar tus datos para calcular cómo de concienzuda debe ser la destrucción de los discos. Recuperar datos tras varios formateos es complicado, por lo que para el usuario medio puede ser una solución. Tras una docena de formateos a bajo nivel el proceso de recuperación requiere de procedimientos largos y costosos que para la mayoría de usuarios son complejos en extremo, así que para la mayoría de la gente esto debería valer. Por otra parte, puede que sea más rápido soltarles un par de martillazos contundentes y tirarlos a un cubo de agua que formatear varias veces en profundidad. No garantiza al 100% la destrucción del disco, pero seguramente lo dañe lo suficiente para que no merezca la pena el esfuerzo de la recuperación.
Si lo que tienes entre manos es un SSD la cosa es básica: martillazo limpio. Le pegas hasta que se te canse la mano, que si bien estos discos son más fiables en el tema de impactos mientras están en funcionamiento, contra golpes directos y con mala leche caen antes. Si casca una celda de memoria ya queda irrecuperable. Por cierto, hay modelos que traen un sistema de autodestrucción que mediante un botón o incluso el uso de un comando envían una señal al disco para forzar que se sobrecargue y se queme.
Además existen máquinas especificas para realizar este trabajo, como trituradoras o prensas de discos. Eso sí, las buenas valen una pasta que no compensa sacando que tengas una empresa dedicada al tema de la seguridad y destrucción de documentos. Es más, las de gama más baja creo que andan por los 4000 euros hoy por hoy.
En el caso de Bárcenas la cosa es distinta. Ahí hablamos de datos sensibles, que interesan a la justicia que investiga el caso, a los partidos de la oposición y a millones de ciudadanos españoles. También debería interesar a la prensa española, pero están a lo suyo, a por el mendrugo. En fin, que no estamos hablando de un usuario cualquiera, aquí es de suponer que se dispondrían de los métodos más completos para la recuperación de datos.
En ese caso, ¿si tengo una información sensible y quiero asegurarme de que nadie accede a ella tras descartar el disco duro? Pues lo mejor es seguir el ejemplo de los profesiones, véase lo que hicieron los servicios de inteligencia del Reino Unido cuando fueron a destruir los discos duros del diario The Guardiancon la información filtrada por Snowden: abrir los discos duros, sacar los discos magnéticos que los forman, lijarlos a base de bien con una lijadora, taladrarlos varias veces y finalmente quemarlos. Este proceso garantiza la destrucción de la información. También podría valer machacarlos a martillazos tras el lijado, o aplicarles un soplete sobre la superficie. Por eso digo que fueron efectivos, pero no muy eficientes ya que si se va a destruir el disco duro físicamente no acabo de ver la lógica a gastar tanto tiempo en realizar 35 formateos.
Aquí te dejo un vídeo con dos tíos vestidos como predicadores mormones explicando cómo destruir un disco duro:
Vamos con la última duda, que seguramente a muchos les interese ¿es normal destruir un disco duro? Sí, es normal en caso de que se trate de un disco que va a desecharse. ¿Obliga la LOPD a ello? En caso de que vaya a desecharse el disco, sí, lo indica el artículo 92.4 del Real Decreto 1720/2007 aunque de una forma no muy clara: «Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. «. Por otra parte la norma DIN 66399 nos da unas directrices más claras de cómo hacerlo según el nivel de confidencialidad de los datos y el tipo de soporte a destruir. ¿Es obligatoria la destrucción física de un disco duro si el ordenador cambia de usuario dentro de una misma empresa? No, en esos casos lo habitual es realizar un formateo con varias pasadas ya que a fin de cuentas el equipo sigue perteneciendo a la misma empresa, aunque una empresa o administración puede establecer un nivel de seguridad más alto si lo considera conveniente.
Entonces, y a la vista de lo anterior, y saliéndonos del tema de la destrucción de discos duros para irnos al tema de la noticia que inspira este artículo ¿ha cometido un delito el PP al destruir los discos duros del ordenador de Bárcenas? No podría afirmarlo. Primero habría que saber en qué fecha se destruyeron los discos: si fue después de que el juez reclamase los ordenadores desde luego sí comenten un delito al estar destruyendo una prueba de forma deliberada e incumpliendo la petición del juez. Si fue antes de la petición pero se hizo con dolo, sabiendo que había información que podría dañar al partido y destruyéndola para ocultar el delito, entonces también sería un delito, pero sería más complicado demostrarlo. Si fue antes pero se hizo como un procedimiento de seguridad estándar, sin conocer que los discos contenían pruebas de una actividad delictiva pero suponiendo que sí incluían datos sensibles, entonces no habría delito.Por otra parte, el real decreto 1720/2007 antes citado, también en su artículo 92, en el punto 1, dice que «Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad» por lo que el argumento esgrimido de que no sabían qué documentos había en el disco duro me parece débil, sobre todo porque necesitan esto para justificar la destrucción del disco duro de acuerdo con la LOPD.
En fin, en cuanto a la destrucción de discos la cosa está clara: Si tienes un SSD lo pulverizas a martillazos. Si tienes un disco duro magnético lo desmontas, rallas las caras de los discos que lo forman (lijadora si tienes, si no una lija gorda) y los rompes, ya sea a base de martillo, taladro, sierra o soplete. En cuanto al tema Bárcenas, es a la fiscalía y al juez a quien compete dirimir si hay o no delito, habrá que confiar en la independencia de la justicia, aunque en los últimos años no hayan dado motivos para ello.
Tienes un equipo con Ubuntu, estás conectado a una red de la que no recuerdas cual es la contraseña y tienes que decírsela a alguien ¿puedes ver la contraseña wifi almacenada? Sí, es muy fácil:
Si haces click sobre el icono de la wifi se despliega un menú donde tienes la opción de Editar las conexiones. Marcado esa opción te vas a la sección de Inalámbricas, seleccionas la wifi que quieres ver, pulsas Editar, allí te vas a Seguridad Inalámbrica y te mostrará la contraseña oculta, en principio, tras unos asteriscos. Pero si seleccionas la opción de Mostrar Contraseña la verás en texto plano.
Te adjunto una captura de los menús que hay que abrir, aunque en ElementaryOS, con la clave de una de mis wifis viejas.
DonnierocK 