Últimamente no he escrito mucho, he estado ocupado con otros proyectos, ahora llega el momento de fusionar ambos.
Estoy desarrollando una aplicación de cifrado seudo-paranoico. Se basa en el estándar AES256 al cual le añadimos dos capas para evitar algunos ataques.
El programa esta totalmente escrito en Haskell ayudándome de su entorno de desarrollo Stack y se encuentra en Alpha 0.1.3. Ya estoy implementando la ultima capa de cifrado simétrico.
Hasta la versión 1 estará solo disponible para cifrado de texto con clave de 512 bites o superior y orientado, a poder usarse en cualquier red social, servicio de mensajería o email. También cifrara mediante curvas elípticas para el envío de claves.
Los paquetes que estoy desarrollando están orientados a poderse usar también para el cifrado de archivos ya que están diseñadas para ByteString, pero esto no sera hasta la versión 2.
En versiones posteriores también se podría implementar un servicio de mensajería basado en el anonimato, una vez que añada conexión a base de datos. Quizá en la version 3
La aplicación se llama CrypText y se encuentra alojada en mi repositorio GitLab. Y se distribuye bajo licencia BSD 3-clause traducido al castellano Licencia Publica de Libre Uso.
Aquellos que queráis colaborar, probarla o trastear estáis invitados.
English.
Lately I have not written much, I’ve been busy with other projects, now it’s time to merge both. I am developing a pseudo-paranoid encryption application. It is based on the AES256 standard to which we add two layers to avoid some attacks.
The program is completely written in Haskell, helping me with its Stack development environment and it is in Alpha 0.1.3. I am already implementing the last layer of symmetric encryption.
Until version 1 will only be available for text encryption with a 512-bit key or higher and oriented, to be used in any social network, messaging service or email. It will also encrypt using elliptical curves for sending keys.
The packages that I am developing are oriented to be able to be used also for the encryption of files since they are designed for ByteString, but this will not be until the version 2.
In later versions you could also implement a messaging service based on anonymity, once you add a database connection. Maybe in version 3.
The application is called CrypText and is hosted in my repository GitLab. It is distributed under a BSD 3-clause license.
Those who want to collaborate, test or …. are invited.
Empiezo esta nueva serie de capítulos con el objetivo de mostraros como hacer vuestro WordPerfet menos vulnerable a ataques externos.
Empezaremos con algunos conceptos muy simples e iremos configurando nuestro entorno para hacerlo más seguro. El nivel de las entradas no sera complicado, con el fin de que todos podamos entenderlo fácilmente.
En esta primera entrada instalaremos un plugin o complemento gratuito que nos ayudar a hacer menos vulnerable nuestro blog, pagina web,… En posteriores entradas varemos como configurarlo.
1. Instalación del Plugin.
Los que no queráis añadirlo os diré en cada apartado configuraciones alternativas a las del plugin.
Elegiremos en el panel de control: Plugins
1. Elige la opción de Pligins.
Elige Añadir nuevo.
2. Añadir nuevo
Escribe en el buscador: All in one WP.
Elige instalar ahora en All In One WP Security & Firewall.
Elegimos activar el plugin o complemento.
2.3.4. All In One WP Security & Firewall.
Nos debe quedar así.
En la entrada siguiente empezaremos a configurar el pluging explicando que es lo que hacer y porqué lo hace.
Whonix es una distribución basada en Debian que esta diseñada para correr en maquinas virtuales. Por tanto es posible utilizarla en Windows, Mac y LInux.
Esta basada en la navegación a través de la Red Tor y del uso de aplicaciones para pasar inadvertidos en la red.
Para los que buscáis una distro para hacking, texting de seguridad, esta no es de ese tipo, solo se limita a pasar inadvertido en la red, que no es poco en estos días
Os dejo un vídeo para que veáis como se instala y como funciona. Cualquier duda no dudeis en dejarme el comentario y os contestare.
Os muestro un vídeo sobre BlackArch Linux, una distro basada en Arch Linux y que esta orientada al la seguridad informática.
Para los usuarios de Arch tenéis la posibilidad de añadir los repositorios de BlackArch y así acceder a todo su software incluso tenemos el repositorio del código fuente en github y podéis compilar las aplicaciones. También se puede instalar en disco o en un USBLIve
Aprenderemos a automatizar nuestros backups en Arc Linux y derivados, usando tres aplicaciones de software libre.
ClamAV antivirus de libre disposición para limpiar nuestros dispositivo de huéspedes indeseables.
rsync potente herramienta para la transferencia y sincronización de archivos. Admite sincronización mediante ssh para transferencias a host remoto.
cronie (derivado de cron en ArchLinux) que permite programar o automatizar tareas.
A día de hoy, una de las mejores herramientas de seguridad, a mi entender, sigue siendo el BackUp. La copia de seguridad nos permitirá viajar atrás en el tiempo hasta ese momento en que todo era maravilloso. No hacerlo es asumir muchos e indeseables riesgos.
En mi caso y para que os sirva de ejemplo, haremos una copia de seguridad de mis carpeta Programación, donde guardo archivos que no quiero perder, en el primer vídeo también cifraremos el dispositivo usb usando la aplicación que viene por defecto en gnome; gnome-disks, ( en KDE hay una similar, pero si queréis usar la misma os pongo abajo como instalarla)
Que haremos realmente
Pasaré un antivirus sobre la carpeta origen y destino.
Guardare los logs del antivirus en archivos de texto.
En caso de que sean datos sensibles, podríamos cifrar el dispositivo donde alojemos los backups.
Usare un USB externo en el que tendré 3 backups de la misma carpeta (diario, semanal, mensual).
Realizare script de automatización que se ejecutara creando las copias de seguridad (mediante cronie).
Resumen de aplicaciones a instalar (también se puede hacer desde el gestor de paquetes):
Primero actualizar pacman sudo pacman -Syu
ClamAv, Antivirus. sudo pacman -S clamav
rsync sudo pacman -S rsync
cronie, gestor de tareas. sudo pacman -S cronie
Para cifrar almacenamiento externo externo uso el que viene en gnome instalado. sudo pacman -S gnome-disks
CIfrado (opcional)
Si deseamos cifrar seria el primer paso, el cual es dependiente del resto y opcional. (Ver video)
ANTIVIRUS (I)
Instalacion:
Instalaremos ClamAv desde terminal previa actualización de pacman
sudo pacman -Syu
sudo pacman -S clamav
para actualizar la base de datos del antivirus si no lo automatizamos:
sudo freshclam
Automatización del las actualizaciones del Antivirus ClamAV
Para que se actualice ell antivirus cada vez que iniciemos el sistema. Equivale a hacer sudo freshclamen en cada inicio.
sudo systemctl start clamav-freshclam.service
sudo systemctl enable clamav-freshclam.service
Sinraxis y comandos usados.
clamscan -r ORIGEN -l /DESTINOLOG
-r es recursivo escanea también las subcarpetas.
-l crea un archivo de texto con los datos del análisis.
Backup (II)
Instalacion.
Hemos elegido rsync por su velocidad y estabilidad, ademas de estar disponible en multitud de distribuciones y S.O.
sudo pacman -S rsync
Sintaxis y comandos de rsync.
La sintaxis es: rsync [opciones] origen destino
Pongo los comandos más usuales solamente, para ampliar usar rsync –help o mirara la bibliografía.
-a modo archivo, este modo permite copiar archivos de forma recursiva aceptando enlaces simbólicos, permisos, propiedad del usuario y grupo, así como las fechas de acceso.
-v muestra información en pantalla sobre las acciones que se realizan.
-r recursivo, realiza la copia de archivos de forma recursiva dentro de los directorios, pero no copia los permiso, los datos de las fechas de accesos o modificación de los archivos.
-z comprime los datos antes de enviarlos, lo que puede hacer más rápidas las transferencias entre hosts remotos, para rutas locales no proporciona ninguna ventaja usar esta opción.
-P Muestra el progreso de las transferencias.
— delete borra archivos que no estén en el origen.
Scripts (III).
Yo lo guarde como como BackUpDiario.sh, BackUpSemanal.sh y BackUpMensual.sh
El script parece más grade, porque lo he comentado todo, para que lo veáis mas claro. Estas son las instrucciones que lo componen.
Pasamos antivirus al Origen y guardamos el log: clamscan -r /home/nukebull/Programacion/ -l /home/nukebull/Logs/backupDiario.txt
Sincronizamos Archivos: rsync -a –delete /home/nukebull/Programacion/ /run/media/nukebull/401D-1A0E/BackUpDiario/
Pasamos antivirus al Destino y guardamos el log:clamscan -r /run/media/nukebull/401D-1A0E/BackUpDiario/ -l /home/nukebull/Logs/backupDiarioBackUp.txt
se añaden también dos instrucciones echo para ordenar los log del antivirus.
BackUpDiario.sh
#!/bin/bash
#Vicente Parra
#www.nukebull.com
# Pasamos el antivirus a la carpeta origen y guardamos los datos (log y fecha) en un archivo de texto
#escribimos en archivo log la fecha para tenerlo ordenado
echo -e “n Fecha del Backup :n” >> /home/nukebull/Logs/backupDiario.txt
echo `date` >> /home/nukebull/Logs/backupDiario.txt
# Sincronizamos rsync -a –delete carpeta_origen/ carpeta_destino/ -vP ver datos des ploceso y program -delete hace pocias identicas al borrar los archivos distintos en destino
#rsync -avP –delete /home/nukebull/Programacion/ /run/media/nukebull/401D-1A0E/BackUpDiario/
rsync -a –delete /home/nukebull/Programacion/ /run/media/nukebull/401D-1A0E/BackUpDiario/
# Pasamos el antivirus a la carpeta de destino y guardamos los datos (log y fecha) en un archivo de texto
#escribimos en archivo log la fecha para tenerlo ordenado
echo -e “n Fecha del Backup : n” >> /home/nukebull/Logs/backupDiarioBackUp.txt
echo `date` >> /home/nukebull/Logs/backupDiarioBackUp.txt
# Pasamos el antivirus a la carpeta origen y guardamos los datos (log y fecha) en un archivo de texto
#escribimos en archivo log la fecha para tenerlo ordenado
echo -e “n Fecha del Backup :n” >> /home/nukebull/Logs/backupSemanal.txt
echo `date` >> /home/nukebull/Logs/backupSemanal.txt
# Sincronizamos rsync -a carpeta_origen/ carpeta_destino/ // en esta omitimos –delete -v -P
rsync -a /home/nukebull/Programacion/ /run/media/nukebull/401D-1A0E/BackUpSemanal/
# Pasamos el antivirus a la carpeta de destino y guardamos los datos (log y fecha) en un archivo de texto
#escribimos en archivo log la fecha para tenerlo ordenado
echo -e “n Fecha del Backup : n” >> /home/nukebull/Logs/backupSemanalBackUp.txt
echo `date` >> /home/nukebull/Logs/backupSemanalBackUp.txt
# Pasamos el antivirus a la carpeta origen y guardamos los datos (log y fecha) en un archivo de texto
#escribimos en archivo log la fecha para tenerlo ordenado
echo -e “n Fecha del Backup :n” >> /home/nukebull/Logs/backupSemanal.txt
echo `date` >> /home/nukebull/Logs/backupSemanal.txt
# Sincronizamos rsync -rvuc carpeta_origen/ carpeta_destino/ en esta omitimos –delete -v -P
rsync -a /home/nukebull/Programacion/ /run/media/nukebull/401D-1A0E/BackUpSemanal/
# Pasamos el antivirus a la carpeta de destino y guardamos los datos (log y fecha) en un archivo de texto
#escribimos en archivo log la fecha para tenerlo ordenado
echo -e “n Fecha del Backup : n” >> /home/nukebull/Logs/backupSemanalBackUp.txt
echo `date` >> /home/nukebull/Logs/backupSemanalBackUp.txt
Si queremos alojar algún archivo en la red, si alguien se lo descarga tendrá un tiempo ilimitado para poder hackear su cifrado.
Si el archivo es de nuestra propiedad, no solo lo podemos proteger con un cifrado estandar aes256 (o similar), sino que para aumentar dramáticamente su nivel de cifrado de forma muy sencilla. Usando estos dos métodos no tendremos nada que envidiar, a los niveles de encriptación militar.
Este método es para archivos privados donde no transmitiremos nuestra clave a nadie, ya que no es necesario.
La fortaleza de este método se basa, en romper una de las leyes del cifrado, una clave una sola solución. En nuestro caso haremos una clave con millones de millones de soluciones y además crearemos una clave, no de 128 bits, no de 256 bits, no de 512 bits sino de varios Kb o Megas. (Por que tu lo vales)
Consideraciones Importantes:
También es aconsejable si el archivo esta expuesto, usar un cifrado simétrico previo, consiguiendo así algo muy, muy desagradable de crackear.
El programa posterior leer archivos de modo binario, por lo que a pesar de ser imágenes en el ejemplo, en la realidad sirve para cualquier tipo de archivos.
Por último, para aumentar la seguridad al absurdo, no se debe usar siempre el mismo archivo de cifrado, han de ser parejasmonogámicas. Quiero decir que cada archivo tendrá su pareja de cifrado única, impidiendo el posterior análisis criptográfico si subimos un numero grande de archivos con el mismo cifrado.
En el ejemplo hay una condición para simplificar el código y que sea más fácil de entender, El archivo de cifrado ha de ser mayor que el que se cifra. Con un par de lineas adicionales esta limitación desaparecería.
En el siguiente vídeo probaré el programa de ejemplo, para la imagen del logo de Antergos y posteriormente con un archivo cifrado mediante aescrypt. El código lo podéis modificar para vuestra conveniencia y recordar cuanto más aleatorio es el archivo de cifrado mas cerca del imposible esta su descifrado.
Ejemplo de cifrado/decifrado con Imágenes.
Ingredientes para la destrucción controlada:
Archivo a cifrar.
Archivo para cifrado de mayor tamaño al anterior.
Programa de cifrado y descifrado.
El ejemplo sera muy sencillo, lo mostraremos para una imagen, que es más visual e intuitivo. Pero lo ideal es cifrar el archivo primero por un cifrado simétrico estándar y luego añadir muestra capa de destrucción controlada.
Archivo Foto.jpg, archivo Original en mi caso usare una de Antergos mi S.O.
Foto.jpg
Archivo para cifrar FotoKey.jpg
FotoKey.png
Programa Cifrado/descifrado.(Al usar XOR es prácticamente lo mismo)
#include<iostream>
#include<fstream>
using namespace std;
// El programa encripta origen mediante cifrado XOR con origen2
// origen 2 debe ser mayor que origen en esta versión
// El resultado se escribirá en destinoint
main(){// Abrimos los ficheros origen y origen2 en modo lectura
// Abrimos destino en modo estritura
// puedes cambiar Foto.jpg , FotoKey.png, CopiaSegura.jpg por los que tu quieras
Para descifrar es el mismo programa cambiando [Foto.jpg por CopiaSegura.jpg ) y (CopiaSegura.jpg por CopiaDescifrada.jpg), FotoKey.png no se altera
#include<iostream>
#include<fstream>
using namespace std;
// El programa encripta origen mediante cifrado XOR con origen2
// origen 2 debe ser mayor que origen en esta versión
// El resultado se escribirá en destino
int main(){
// Abrimos los ficheros origen y origen2 en modo lectura
// Abrimos destino en modo estritura
// puedes cambiar Foto.jpg , FotoKey.png, CopiaSegura.jpg por los que tu quieras
Usar esta segunda capa de cifrado produce una destrucción de los datos del programa, si el original estaba cifrado, reconstruirlo es prácticamente imposible. Para archivos sensibles que estén expuestos es ideal, ya que el criptoanálisis que le pudieran hacer, se lo hacen a un archivo incompleto del que no saben que tipo de cifrado se ha usado o con que programa se ha encriptado.
El código se puede mejorar pidiendo los archivos desde consola, o añadiendo algún tipo de GUI. Pero en lo básico seguirá siendo similar.
Espero que les sirva de ayuda y deja un comentario si deseas alguna aclaración. Gracias
En la entrada vamos a generar claves de forma rápida y sencilla desde la terminal usando las funciones hash (sha256, sha512,sha1, md5). También añadiremos un nuevo comando al bash para automatizar el proceso.
Lo más aconsejable es usar sha512 al ser la de mayor complejidad. Veremos varias formas combinadas con diferentes comandos
Junto con el comando date (lo bueno de esta función es que cambia el valor en el tiempo)
[nukebull@]$ date
jue oct 4 20:02:25 CEST 2018
[nukebull]$ date | sha256sum
07ef00e6a72dc78e7109b93d92d94f71a8ca05ef7f9da1d18904634d5fcdd457 –
[nukebull]$ date | sha512sum
be3a8132ff936b12981c7888dc5a189df3ab1699be2ce19bdcea8e1eede5289c0
41e1d4a8a7efbd2d98679bef961bc7e146565b1bfec8268a167cede03fc2f51 –
[nukebull]$ date | md5sum
cf6c4a3551301c72103b1a29903adb09 –
[nukebull]$ date | sha1sum
976b418e17f5621c264a41323196fa0fa63a0a69 –
Por último os mostrare como se añade al bash si lo utilizáis constantemente. como ejemplo usaré un alias llamado keygen y una de las funciones anteriores basada en date que varia en el tiempo, generando nuevas claves en cada ocasión
Primeramente buscaremos el archivo .bashrc en el directorio principal de nuestro usuario (/home/usuario).
Lo editaremos con nano, vin , emacs, gedit (ejemplo)
[nukebull]$ gedit .bashrc
Añadimos linea alias keygen =”date | sha256sum | sha1sum | sha512sum ”
Cerramos la terminal, para que al volverla a abrir cargue el nuevo comando en la terminal
