A step show to use the On Screen Keyboard(OSK) in windows XP. It helps to secure your username and password form internet password thief. Good for your email login & financial website
Ranked 4.18 / 5 | 10173 views | 4 comments
Click here to watch the video (02:29)
Submitted By: izhankhalib
Tags:
Windows Windows XP Virtual Keyboard Password Computers Security
Categories: Science & Tech
How To Login From an Internet Café Without Worrying About Keyloggers [PDF, 120 KB] de Cormac Herley y Dinei Florêncio (Microsoft) es un interesante trabajo de un par de páginas que describe una solución de baja tecnología para evitar que un sistema de tipo keylogger capture tus contraseñas cuando estás en un ordenador ajeno.
El escenario típico es un cibercafé, bibloteca, o los ordenadores de la escuela. Tú no tienes control sobre ese ordenador y no sabes qué han instalado. Tal vez haya un keylogger funcionando, que guarda todas y cada una de las pulsaciones de las teclas y luego alguien las recoge o se le envían por Internet. Esta es una forma relativamente común de capturar contraseñas de otras personas. Como lo que hace el programa keylogger es tomar el control del ordenador e interceptar el teclado, incluso las «páginas web seguras» dejan de ser seguras: el tráfico por Internet es seguro, pero no lo que tecleaste, porque tal y como lo tecleaste, quedó capturado en «texto claro», incluyendo las contraseñas. Algunos bancos por Internet, de hecho, ofrecen junto a la ventana de entrada un «teclado gráfico virtual» para que teclees los números secretos con el ratón. Principalmente es para evitar esto.
Lo interesante es que el keylogger guarda toda la información que pasa por el teclado, sin demasiada inteligencia. Luego alguien se encarga de descifrar visualmente los textos. Por ejemplo, si tecleas una URL para ir a Hotmail y luego tu dirección de correo como nombre de usuario y luego tu contraseña, el capturador verá algo como
hotmail.compepito@hotmail.comsnoopyEstimado Señor
de donde no es difícil deducir el nombre de la cuenta y que snoopy es la contraseña. Algunos keyloggers incluso hacen esto automáticamente para capturar contraseñas de servicios comunes (Hotmail, Paypal y otros).
La solución que proponen Herley y Florêncio es tan sencilla como ingeniosa. Resulta que los keyloggers son muy buenos capturando toda la información que se teclea, pero normalmente no tienen ni idea de dónde está tecleando. Si cambias de aplicación, o de ventana, el keylogger sigue «grabando» simplemente una ristra de letras, que tú puedes hacer tan ofuscada como quieras. El sitio (ventana, caja de texto, etc.) en que estás tecleando, se suele llamar el foco. El truco es, simplemente cambiar con el ratón el foco entre letras, tecleando letras al azar entre las letras reales. Cambiar el foco es simplemente hacer un clic con el ratón en otra zona de la ventana del navegador (y da igual si esas letras se ven en pantalla o no, se pueden poner por ejemplo en la caja de búsqueda). De este modo, al ir a Hotmail y teclear la contraseña, se haría de este modo: hotmail.com pepito@hotmail.com s, clic con el ratón en otra parte, letras al azar, n, clic con el ratón en otra parte, letras al azar, o, etc. Lo que el keylogger vería entonces sería parecido a esto:
hotmail.comspqmlainsdgsosdgfsodgfdpuouuyhdg2
Y de ese modo, con este ingenioso hackeo de baja tecnología, la contraseña queda mucho más a salvo, por no decir que si se hace suficientemente compleja estará casi perfectamente protegida.
(Vía MetaFilter.)
Actualización: Daniel nos cuenta por correo que Keepass es un administrador de contraseñas (Windows, Mac OS X, Linux, gratis y open source) que puede correr desde un pen drive, y que incluye la función auto-type, que permite programar cómo se han de teclear los nombres de usuarios y contraseñas, automatizando así la pulsación (incluye comandos como Tabulador y Mayúsculas-Tabulador, para alternar el foco del formulario en cuestion y agregar al password «caracteres de distracción». En realidad hay que personalizarlo para cada página web, pero por lo menos permite automatizar un poco el truco.
Por otro lado, Dani nos recuerda que también existen keyloggers en forma de troyanos (parecidos a los virus informáticos, se instalan en tu ordenador y envían las contraseña al exterior) que son capaces de capturar tanto pulsaciones de teclado como vídeo de lo que sucede en pantalla, con lo cual la técnica del teclado número a veces también resulta vulnerable. En estos enlaces de Hispasec hay más información y una demo: Nuevo troyano bancario dirigido a entidades españolas y latinoamericanas; Troyano Captura Banesto [Flash] y Troyano bancario.
The Top Ten Things I Love Most About Woz es una encantadora lista que escribió nuestro admirado 
Guy Kawasaki sobre nuestro no menos admirado «Woz», Steve Wozniak, legendario hacker y creador de los primeros ordenadores Apple entre otras cosas. Le pedí permiso a Guy para traducirlas y reproducirlas aquí:
Esta anotación tiene su origen en una interesante entrevista cuyo vídeo se puede ver en zBiz.tv: Guy Kawasaki entrevista a Steve Wozniak [58 min.] llena de anécdotas curiosas, que es parte del tour que está haciendo sobre su libro: iWoz: From Computer Geek to Cult Icon que reseñó Wicho hace unas semanas.
El último libro de Guy Kawasaki es The Art of the Start: The Time-Tested, Battle-Hardened Guide for Anyone Starting Anything que también es altamente recomendable. También hay un vídeo de Guy sobre su libro: The Art of the Start [40 min.] donde cuenta sus experiencias trabajando en Apple en los años 80.
Foto de Woz cortesía de Al Luckow.
Uno de los mejores hackeos teóricos, llevado a la práctica:
Codificación de SMSs mediante llamadas perdidas – Existe una manera de enviar mensajes entre teléfonos moviles totalmente gratuita. Para ello solo necesitamos ocho terminales y SmsCoop (…) El programa utiliza cuatro telefonos emisores y cuatro receptores conectados via bluetooth para realizar la comunicación, actuando uno de ellos como master y los restantes como esclavos. Cada teléfono es capaz de transmitir en cada llamada perdida 4 bits de información, encargandose el receptor mster de conformar el mensaje. Una manera un poco lenta y compleja de comunicarse, pero totalmente gratuita (por ahora). Si quieres probar SmsCoop con otros siete amigos, esta disponible para moviles Symbian S60 de la 2ª edición.
Definitivamente, carece de practicidad, y 4 bits cada pocos segundos no es precisamente «banda ancha» (he visto telegrafistas enviar más letras en menos tiempo), pero sin duda tiene premio por ingenioso. Dado que las llamdas perdidas siguen siendo gratis, a pesar de los rumores sobre que iban a ser cobradas , es un divertido terreno para la experimentación. El año pasado brainstormeábamos sobre esto y la posibilidad de enviar información gratis mediante el Caller-ID u otras técnicas similares. Se trata de exprimir el jugo a la transmisión de información aprovechando pequeños canales colaterales que son, teóricamente, «gratis».
(Vía Barrapunto.)
3D News, GL, DirectX Art & Animation ASM biometría BlackZone botnet BSD and Darwin derivatives BugTraq ciberataques cissp Como programar para el iPhone Cool Commercials costos derechos Descargar Gratis ZoneAlarm Pro Dineros empresas entrevistas errores espias estandares Fedora Core fraude General Unix Google Vulnerabilities Graphics, User Interfaces guías Hacker Games Hacking Tools Hacking Videos Hardware, Embedded Systems hoax honey IBM Intel Internet & Networking Internet Explorer Keys / Serials Law and Order legislación Lenovo Mandriva, Mandrake, Lycoris manual Microsoft XML Core Services Mozilla & Gecko clones MSN Area Multimedia, AV Net FAQ NetWork Hack networking Noticias Hardware Novell and Ximian OSNews, Generic OSes programación segura Programs qué es riesgos rumor Safari Scripts Security Tools seguridad física Source Codes Sports SUN Microsystems SuSE, openSUSE Talk, Rumors, X Versus Y tarjetas usb Visual Basic Web 2.0 Wheels & Wings Window Managers Windows Tips and Tricks WordPress Hacks
