Cuando pequeño siempre buscaba formas de no tomarme la SOPA, me comía solo lo que me gustaba y dejaba la SOPA para el final, hoy la SOPA tiene otro significado para mi y quiero dejarles esta pequeña guía, que escribí por si la Ley Lleras era aprobada en Colombia (que afortunadamente no sucedió), para que no se tomen la SOPA que nos quieren imponer, en caso de ser aprobada la ley en los Estados Unidos.

En vista que a la mayoría de los senadores que estuvieron hoy 14 de junio de 2011 en el debate sobre la #LeyLLeras, les parece mas importante salir a almorzar y aprobaron esta ley “a pupitrazo limpio” en su primer debate (7 votos a favor 3 en contra), he decidido publicar esta guía para saltarse las barreras que pueden llegar a implementarse si la ley lleras es aprobada en Colombia.

Antes que nada quiero aclarar que si la SOPA llega a ser aprobada, estos procedimientos para saltarse la SOPA pasarían a ser ilegales, por tanto deber tener cuidado con el uso que le des a esta información.

Bloqueo de paginas en los DNS de los ISP

La primer arma que utilizarían los ISP seria bloquear nombres de dominios de sus servidores DNS, algo muy sencillo para ellos ya que controlan estos servidores de dominio, la solución para saltarse esta posible barrera es utilizar otros DNS públicos, que además de ser mas rápidos y mas actualizados, no tendrán bloqueadas las URLs.

Ya hemos hablado de estas soluciones en la Comunidad DragonJAR, les dejo un listado de los DNS recomendados:

• Servidores DNS públicos de OpenDNS (recomendados)
• Servidores DNS públicos de Google
• Servidores DNS públicos de Norton

Con solo configurar estos DNS podemos saltarnos el bloqueo de paginas por medio de los DNS que pone nuestro ISPs.

Monitoreo nuestra navegación por los ISP

La segunda arma que podrían utilizar los ISP contra los usuarios una vez se apruebe la ley lleras SOPA tal y como esta planteada, es la de monitorear nuestra navegación para comprobar que estamos vulnerando los derechos de autor, podemos saltarnos esta barrera utilizando un túnel seguro entre nosotros e Internet, para que toda nuestra información pase cifrada sin que puedan monitorizarla, para esto utilizaremos VPNs publicas como las siguientes:

• proXPN –VPN gratuita para navegación anónima y segura (recomendada)
• Hotspot Shield – VPN gratuita para navegación anónima y segura

Utilizando estos servicios de VPN gratuitos (y confiando que no alteren nuestro puente) podemos evitar el monitoreo de nuestros paquetes, logrando anonimato y seguridad al mismo tiempo.

Vulnerando nuestra Libertad de Expresión

Si llegamos al punto en que por cualquier medio nos quieren censurar en internet, existen varias soluciones que pueden sernos útil para no permitir que logren su propósito, tenemos referentes recientes de lo que puede hacer un gobierno cuando quiere callar a alguien en internet, como el caso de wikileaks o de Yoani Sánchez y estos son algunos consejos y herramientas que podemos usar para evitarlo.

Utilizar medios alternativos para contactar con nuestra audiencia: Si tienes un portal en internet y este es el único medio por el que te comunicas con tu audiencia, será muy fácil callarte, solo bastara con bloquear tu sitio, eliminar tu dominio y te abran desconectado totalmente con tus visitantes, por eso es recomendable que utilices medios alternativos para contactar con tu audiencia, crea una cuenta de Twitter, un perfil en Facebook, un canal en Youtube, una lista de correos, puede que te cierren estos canales, pero nunca podrán hacerlo a todos inmediatamente, dando un espacio de tiempo para comunicar a tu audiencia lo que esta pasando.

Utiliza hosting y registradores de dominios extranjeros: Evitar utilizar hosting alojado en Colombia que serán los primeros en echarte si reciben una orden judicial, en cambio contrata hosting en países neutrales como Holanda o Suiza, donde las leyes colombianas y estadounidenses no tienen ninguna validez (recomendamos el proveedor LeaseWeb en Holanda, que actualmente aloja nuestra querida comunidad), el tema del dominio es mas delicado, ya que la mayoría de estos son manejados por la Internet Corporation for Assigned Names and Numbers (ICANN) en Estados Unidos y sabemos por casos como Roja Directa, que pueden cerrar dominios genéricos a su antojo , para evitar este tipo de censura ha nacido OpenNIC, una organización que no le rinde cuentas a la ICANN y permite generar nombres de dominio (.geek, .free, .bbs, .parody, .oss, .indy, .fur, .ing, .micro, .dyn y .gopher) que en teoría no serán censurados.

Aprovecha las ventajas del P2P: Las redes P2P por su naturaleza descentralizada ofrece un espacio perfecto para evitar la censura en internet, proyectos como Osiris un CMS que se encuentra alojado en estas redes y que no puede ser dado de baja pueden ayudarte a transmitir tu mensaje sin que puedan acallarlo, otro proyecto que hace uso de las redes P2P para permitir distribuir tu contenido sin censura es Dot Bit, o el desarrollado por Informatica64 DUST, un lector de Feeds RSS creado por nuestros amigos españoles de Informatica64, que hace uso de las redes P2P para distribuir tus artículos a tus lectores sin que puedan censurarte.

Métodos Alternativos de Ingresos

Todo proyecto web tiene costos de mantenimiento, hosting, dominios, horas de tiempo, diseño, etc.. es por eso que muchas personas buscamos solventar estos costos con el uso de publicidad, venta de productos o donaciones, depender de un medio de ingresos que pueda ser controlado gracias al alcance de la SOPA nos vuelve muy vulnerable (ver caso de Wikileaks), es por eso que debemos tener presente un método alternativo de financiamiento, conozco pocos pero con la ayuda de ustedes (y sus aportes en los comentarios) la siguiente lista empezará a crecer:

• Recibir donaciones con BitCoin: BitCoin es una moneda electrónica descentralizada que no es susceptible a ser intervenida por la SOPA y ampliamente usada para recibir donaciones.

Con estas instrucciones y aunque la ley lleras SOPA sea aprobada, podemos saltarnos las barreras que nos impongan, constantemente actualizare esta entrada para añadir o modificar recomendaciones o herramientas según las recomendaciones en los comentarios.

También puede interesarte...

• Internet es Nuestro – NO a la Ley Lleras
• Talleres de Matias Katz en el ACK Security Conference
• Taller de Carlos Mario Penagos en el ACK Security Conference
• Taller de Lorenzo Martinez en el ACK Security Conference
• Taller de Leonardo Pigñer en el ACK Security Conference
• Taller de Deviant Ollam en el ACK Security Conference
• Call for Papers abierto para el ACK Security Conference
• ACK Security Conference

Una de las principales barreras que protege la seguridad de nuestra información en los dispositivos móviles de Apple (iPhone,iPad,iPod Touch) es el código de seguridad que debemos ingresar para poder acceder a nuestro dispositivo, ya sea para sincronizarlo, sacar información o ejecutar las aplicaciones instaladas, siempre es necesario ingresar este código de seguridad para poder realizar estos procesos.

Pero… como todo sistema donde el usuario debe registrar una secuencia de caracteres o números, para volver a introducirlos como credenciales de acceso, es normal que muchos de ellos olviden el código de 4 dígitos que deben proporcionar y no puedan acceder a la información almacenada en su Gadget. En este articulo veremos algunas de las opciones que tenemos para poder recuperar o eliminar este código de seguridad y como fortalecer un poco esta medida de seguridad.

Eliminar código de seguridad del iPhone iPad iPod Touch

Algunos sitios como What’s my Pass afirman que eliminando el archivo /var/Keychains/keychain-2.db se puede saltar esta barrera de seguridad… Pero yo he probado este método con un iPhone 4 e iOS 4.2.1 sin resultados positivos, de hecho encontré una ruta alternativa para el mismo archivo en /private/var/Keychains/keychain-2.db pero puedes intentarlo tu a ver si te da resultado.

Necesitas el programa iPhone Explorer que permite examinar los archivos de tu dispositivo móvil desde la raíz (existe versión para Mac y Windows solamente)

Luego ingresas a la ruta /var/Keychains/keychain-2.db y borras el archivo, recuerda realizar una copia de seguridad de este archivo ya que en el se almacenan todas las claves que tengas guardadas en tu gadget.

Después mantén pulsados los botones home (redondo) y power (arriba) hasta que se apague tu dispositivo, luego presiona el botón power 3 segundos para volver a prenderlo, en teoría cuando lo hagas ya no debería solicitarte el código de acceso.

PD. si el gadget no es tuyo, por lo menos podremos sacar un poco de información de ese archivo, como cuentas de correo para escribirle al dueño y poder devolverle el dispositivo.

Averiguar código de seguridad del iPhone iPad iPod Touch por fuerza bruta

Podemos intentar averiguar la combinación del código de acceso para nuestro dispositivo, ya que muchas veces utilizamos “muletillas” como el 1234, 4321, 2580 o 0852 por ser fáciles de recordar o somos muy evidentes a la hora de ingresar el código facilitando el shoulder surfers, pero este proceso puede ser demorado ya que si excedes la cantidad máxima de intentos fallidos el dispositivo empieza a penalizarte y cada vez te demoraras mas para ingresar una nueva combinación.

Afortunadamente existe un software comercial desarrollado por la empresa Elcomsoft llamado Phone Password Breaker el cual permite realizar un ataque de fuerza bruta a nuestro dispositivo para averiguar cual es el código solicitado al iniciar, para ello solo debemos proporcionar el archivo manifest.plist dentro de los backups que tengamos de nuestro dispositivo (estos son realizados automáticamente por el iTunes) y como por defecto los dispositivos móviles de Apple solo permite números con una longitud máxima de 4 caracteres (esto puede ser modificado y mas adelante veremos como) este tipo de ataques es bastante efectivo.

La ruta de los backups de iTunes para los diferentes sistemas operativos es:

• Mac OS X: ~/Library/Application Support/MobileSync/Backup/
• Windows XP: \Documents and Settings\(usuario)\Application Data\Apple Computer\MobileSync\Backup\
• Windows Vista y Windows 7: \Users\(usuario)\AppData\Roaming\Apple Computer\MobileSync\Backup\

PD. Elcomsoft Phone Password Breaker también funciona con todos los teléfonos Blackberry pero no he tenido la oportunidad de ver su funcionamiento con estos dispositivos.

PD2. Si queremos recuperar el código de acceso a el dispositivo de un amigo guińo , tendríamos que disponer del archivo (buscar archivo), de lo contrario no será posible conseguir la preciada combinación.

Eliminar código de seguridad del iPhone iPad iPod Touch restaurando el iOS

Esta es la ultima alternativa que se debe tener para poder acceder a nuestro dispositivo si no disponemos del código de acceso, ya que perderemos toda la información de la cual no dispongamos backup (iTunes realiza uno cada vez que sincronizas tu dispositivo con el PC), así como cualquier procedimiento adiciona que le hubiéramos realizado a nuestro equipo, llamese jailbreak, personalización o cualquier otro procedimiento.

Si aun de lo mencionado anteriormente deseas recuperar tu dispositivo móvil a como de lugar las. Instrucciones son las siguientes

• Descarga el firmware que tienes actualmente instalado.
• Pon tu dispositivo en modo DFU
• Conectalo al PC y espera que sea detectado por el iTunes
• Te aparcera un mensaje diciendo que ha encontrado un dispositivo en modo de recuperación
• Cuando te pida el firmware presiona shift (en Windows, para Mac OS presiona Command), busca el firmware que descargaste y espera que tu equipo se restaure.

¡¡¡¡¡¡PON CUIDADO!!!!!
Cuando se restaura tu dispositivo te preguntara si quieres utilizar una copia se seguridad o deseas configuraron de 0, recuerda que si restauras una copia de seguridad que contenga el código de acceso que no recuerdas, seguirás sin poder acceder a tu dispositivo, intenta restaurar un backup de una fecha en la que recuerdes que código tenias, de lo contrario es recomendable que empieces a configurar de 0 tu equipo, no te preocupes mucho por la configuración de tus aplicaciones y el progreso de tus juegos ya que estos con cada sincronización actualizan esta información, lo que si perderás es la configuración, claves y elementos como fotos, música o vídeos que no estuvieran sincronizados con tu maquina.

Recomendaciones

Para que tu código de seguridad en los dispositivos móviles de Apple, sea mas fuerte, es recomendable que cambies el tipo de código de numérico, a alfanumérico, esto se hace ingresando a Ajustes/General/Bloqueo con código/ y desactivas el “Código simple” como se muestra en la siguiente imagen.

Después de hacer esto, te solicitará tu código inicial de acceso y después te pedirá un nuevo código, esta vez no estaremos limitados a los 4 caracteres numéricos de antes, sino que podremos ingresar un nuevo código con la longitud que queramos, ademas alfanuméricos (aquí encontraras varios consejos de como elegir un buen password).

Si lo tuyo no es recordar contraseñas, puedes (si tienes tu dispositivo con jailbreak) instalar el AndroidLock, una aplicación que podemos encontrar en Cydia, para reemplazar nuestra forma de iniciar, para que sea similar a la forma de iniciar en el Android (figuras en vez de códigos).

Cualquier comentario, duda o sugerencia pueden dejarla abajo…

También puede interesarte...

• Las peores Contraseñas para el iPhone, iPod o iPad
• Descargar Firmware (iOS) para iPhone, iPod Touch, iPad y Apple TV
• Recupera tu Password de FileZilla
• Recupera tu Password de Facebook
• Recupera tu Password de Twitter
• Soporte para Flash y JAVA en el iPhone / iPod Touch
• Resetear Password de Root
• Desbloquea (Jailbreak) o Actualiza el iPhone OS 3.1.2 para iPhone y iPod Touch

Una gran mayoría del software pago (shareware) que encontramos para nuestros equipos, utilizan como parte de su estrategia de mercadeo versiones de prueba para sus productos, con con ellas podemos ver su funcionamiento por un periodo de tiempo determinado antes que decidamos comprarlo, muchas veces estas versiones de prueba cuenta con todas las funcionalidades del software pero con alguna limitante como el tiempo que podemos usarlo o el numero de veces que podemos ejecutarlo.

Hoy hablaremos de  los periodos de prueba, cómo podemos evadirlos y como desarrollarlos adecuadamente, para que cumplan con la función para la que fueron programados, algo muy necesario ya que es común ver como los desarrolladores usan por ejemplo la fecha del sistema operativo como dato confiable en sus códigos y con base en ella realizan las respectivas limitaciones de sus productos, esto es una mala practica ya que la fecha del sistema es fácilmente modificable por el usuario, por lo tanto no podemos confiar solamente en ella, veamos por que…

Saltando los Periodos de prueba en el Software

Supongamos que tenemos un producto XYZ y queremos que nuestros posibles clientes lo prueben solo por 8 días y luego tengan que comprarlo para poder utilizarlo, lo instalamos hoy 20/12/2010 y si todo sale como el desarrollador lo pensó el software dejaría de funcionar el 28/12/2010… pero siempre como desarrolladores debemos pensar que el usuario es malo, si tenemos siempre presente ese pensamiento podremos mejorar ampliamente la seguridad de nuestros desarrollos, validando toda la información que ingresa o que puede modificar, ahora imaginemos que antes de instalar nuestra versión de prueba, el usuario cambia la fecha del sistema al 21/12/2012 (ya que si se acaba el mundo, no necesitara mas nuestro software jejejeje), el sistema validara como fecha en la que termina el periodo de prueba el 28/12/2012, cierra el programa, pone de nuevo la fecha actual en el sistema y que pasa?… si el sistema esta mal implementado (como sucede con la mayoría de productos que he probado) nos dará un periodo de prueba por 733 días, en vez de los 8 que teníamos pensado.

De este problema no se salva ningún sistema operativo, encontrando fallos en software tan famoso y polémico como Smurfs’ Village de CAPCOM para iOS, un juego tipo “FarmVille” inspirado en los Pitufos, que es gratuito pero su modelo de negocio es que compremos pituficerezas (smurfberry), para evitar largas esperas en el crecimiento de nuestras cosechas y construcción de edificios, como podrán imaginarse haciendo uso de la multitarea, podemos ir a las preferencias de nuestro iPhone, iPod Touch o iPad y cambiar la fecha del sistema para que la espera de horas o días, se reduzca a unos cuantos segundos. Pasando de esto…

A esto en solo unos minutos…

Click para Ampliar Imagen

Lo mismo pasa con Camtasia para Mac OS, si adelantamos la fecha del sistema en la instalación de Camtasia, lo iniciamos y luego volvemos a poner la fecha actual, pasa algo como esto…

Windows tampoco se salva de este problema, existiendo incluso software que permite automatizar el procedimiento para que cuando se inicie un programa especifico, se cambie la fecha del sistema solo para este programa, sin cambios aparentes para el resto de programas, una de las herramientas utilizadas para realizar esta función es Cracklock, que desde hace mas de 10 años y según su descripción, permite eliminar el virus “30th day” que te impide utilizar el software después de pasado X tiempo (guiño guiño).

Pagina Oficial de Cracklock

Otros desarrolladores hacen uso del registro en windows, archivos en mac o una combinación de ambos, para limitar por ejemplo el numero de veces que se puede ejecutar antes de comprar un software, esto puede ser un poco mas tedioso de identificar, pero igual podemos utilizar herramientas como RegeMon, FileMon o la reciente integración de estos 2 ProcessMon, para intentar saber donde esta guardando esta información el software y deducir que tipo de protección utilizado para el periodo de prueba.

Monitor del Registro

Monitor de Archivos

Monitor de Procesos, Archivos y Registro

En alguna ocasión vi como un software contable, utilizaba la fecha de creación de su ejecutable para validar su periodo de prueba, bastaba con usar la famosa herramienta antiforense Timestomp, para cambiar esta fecha y modificar a nuestro favor el tiempo que duraba este periodo de prueba.

Si empiezas a experimentar con esto de los periodos de prueba o las limitaciones del software por tiempo, seguramente te puedes encontrar con aplicaciones en las que te sea muy complejo descubrir como realizar sus validaciones, pero no todo esta perdido, para estas situaciones podrías utilizar herramientas como SandBoxie que te permite ejecutar el software dentro de una caja de arena, utilizarlo y al cerrarlo, la caja de arena será limpiada haciendo que el software quede “detenido en el tiempo”, ejecutandose siempre como si fuera la primera vez…

Asegurando los Periodos de prueba en el Software

Ya vimos algunos de los métodos utilizados para saltar los sistemas de protección del software, ahora veamos la otra cara de la moneda, dando algunos consejos a los desarrolladores para que los periodos de prueba que utilicen en sus productos, cumplan adecuadamente su tarea.

• No introduzcas todas las funcionalidades del software en tu periodo de prueba o por lo menos limítalas.
  Es uno de los errores mas comunes cometidos por los desarrolladores, la idea de un periodo de prueba es darle una pequeña muestra de tu software al posible cliente, si con la versión de prueba pueden resolver su problema.. para que te van a comprar el producto?, si limitas las funcionalidades del software, recuerda que debes anunciarle al posible cliente que esta limitante quedará eliminada tan pronto compre el producto.
• Valida la fecha con servidores externos.
  Como puedes ver la fecha del sistema es fácilmente modificable, si es posible valida la fecha actual con un servidor externo, para que tu software no se ejecute mas tiempo del necesario para motivar al cliente de comprar el producto… ese es el motivo de los periodos de prueba ¿no?.. el inconveniente es que necesitarían una conexión a internet pero ¿quien no la tiene en estos días?. 
• Combina las Validaciones
  Si puedes combinar las fuentes donde sacas la información para validar tus aplicaciones, registro, archivos, servidores externos, hazlo.
• Impide la ejecución en Maquinas Virtuales
  Esta es una decisión que podría afectar a clientes verídicos, pero puedes impedir que tu aplicación se ejecute en maquinas virtuales y cajas de arena, anunciando que la versión de prueba no permite esta función, pero con la versión completa no tendrán ese problema.

Compartenos la medida de aseguramiento agregarias a la lista? o un metodo que has utilizado para saltar alguna de ellas…

También puede interesarte...

• Como saltarse técnicamente la SOPA
• Recuperar el Codigo (Contraseña) de iPhone, iPod Touch o iPad
• Guía de practicas efectivas para desarrollo seguro
• Buenas prácticas de desarrollo seguro
• Actualiza tu software con Secunia Personal Software Inspector
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• IV Freedom & Open Source Day – Lima Perú
• ¿Cómo encontrar versiones antiguas de programas?

Constantemente me llegan correos pidiendo información sobre como saltar los filtros implementados por empresas, colegios, universidades, gobiernos (he recibido varios mails de cubanos “desesperados”) para que sus usuarios no visiten ciertos portales en Internet.

Hoy me entero gracias a genβ y .geek sobre WebToMail, un portal con el que posiblemente muchas personas estarán agradecidos de ahora en adelante, ya que permite acceder a cualquier sitio web desde nuestra casilla de correos.

¿Como Funciona?

Enviamos un correo a send@webtomail.co.cc cuyo “asunto” sea la dirección de la pagina que queremos ver.

Esperamos unos pocos minutos y nos llegara un correo en nuestra cuenta con el código html del portal que especificamos en el asunto.

El servicio tiene sus pro’s y contras, por ejemplo solo nos devuelve el código HTML (sin imágenes, hojas de estilo, vídeo, etc), si tenemos en nuestra empresa un filtro anti-spam posiblemente el mail con el portal sea catalogado como basura y no nos llegue, pero también hay que tener en cuenta que en cualquier organización existe servicio de correo electrónico por lo que en un 99.9% debe funcionar, evitamos todos los peligros de navegar en sitios web “sospechosos”, navegamos “anonimamente” ya que WebToMail nos sirve de puente entre el sitio web y nuestro pc, entre otras cosas.

Si por ejemplo queremos buscar algo en google basta con enviar un mail a “send@webtomail.co.cc” con el asunto “http://www.google.com/search?q=palabras+claves” luego ver cual de los resultados se ajusta mas a nuestra busqueda y empezar a saltar de enlace a enlace hasta llegar a la informacion deseada.

También puede interesarte...

• Como saltarse técnicamente la SOPA
• ¿Cómo Recuperar una Cuenta de Twitter?
• ¿Cómo Recuperar una Cuenta de Facebook?
• Recuperar el Codigo (Contraseña) de iPhone, iPod Touch o iPad
• Saltando y Asegurando los Periodos de prueba en el Software
• Mastercard y Microsoft me premiaron!!
• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• Me gané 2 Millones de Dolares!!