Bueno, acá estamos, un año después de comenzar con un este proyecto personal y aunque en materia de contenido no ha tenido el avance que me imaginé que tendría, el alcance y el cariño por parte de ustedes ha sobrepasado cualquier expectativa. Y como ya lo mencioné, aunque no he publicado contenido con la regularidad y calidad que quisiera, este pequeño proyecto me ha servido mucho a nivel personal, no sólo por poner a prueba y adquirir nuevas habilidades informáticas, también porque ha servido para, poco a poco, retomar la escritura, y aunque siento que no lo hago tan bien, muchos de ustedes me dicen lo contrario y eso me anima mucho.
Hace mucho vengo dándole vueltas a la idea de hacer de computadoresycafe.com una marca personal y que me permita abrirme espacio en otras áreas de mi carrera o que marque una diferencia en ella, aunque a veces el tiempo me juega malas pasadas, con lo que siempre espero contar, es con el apoyo que me han dado desde el comienzo, agradezco cada vez que en redes sociales le dan un “me gusta”, comparten o me preguntan por interno las cosas de las que hablo, algunos de ustedes ni siquiera están involucrados con la informática, pero me manifiestan que les entretiene como escribo, esas cosas quedan en mi corazón, nuevamente, y aunque parezca exagerado de mi parte, mil gracias por tanto.
Por último, aprovecho para recordar que hasta el momento, este sitio se ha mantenido libre de publicidad y sin ninguna intención de lucro, sin embargo -y aprovechando la temática del blog- si lo desean, a manera simbólica pueden invitarme a un cafecito en el enlace que aparecerá al finalizar este párrafo, no es una cantidad considerable de dinero y cualquier aporte lo agradeceré inmensamente. ¡Nos vemos en la próxima entrada!
En esta época de desarollo tecnológico, pareciera que 1.2 Ghz de procesador y 1 Gb de memoria RAM no es suficiente para nuestras tareas cotidianas, sin embargo, Raspberry Pi nos demuestra lo contrario.
En la red hay un montón de artículos que hablan de Raspberry, proyectos que van desde el mas sencillo hasta el mas alocado e impensable, sin embargo, este artículo está orientado a mi percepción sobre este aparato y la experiencia que he ganado al adquirir una hace un mes.
Un poco de historia
La primera placa de Raspberry fue oficialmente presentada por la fundación sin ánimo de lucro Raspberry Pi en 2012, con modestos 700 Mhz como procesador de un sólo núcleo y 256 Mb de RAM se convirtió en una de las herramientas predilectas para desarrolladores, makers y científicos locos para dar vida a proyectos que van desde consolas de videojuegos, robots, domótica, centros de entretenimiento y servidores de todo tipo.
Imagen del modelo 1 de Raspberry Pi
Tras su éxito y popularidad, la placa ha tenido un desarrollo continuo, hasta llegar al modelo actual, la Raspberry Pi 4, con unas características nada despreciables, tales como un procesador de 4 núcleos de 1.5 Ghz, de 2 a 8 Gb según se escoja, 2 puertos micro HDMI con soporte de 4K, 2 puertos USB 3.0 y conexión Gigabit Ethernet entre otras características que se pueden consultar acá.
Ahora sí, mi experiencia… Pero no sin antes, un poco más de historia
La primera vez que oí hablar de la placa, creo que fue un par de años o meses después de su lanzamiento, no recuerdo el modelo, pero quería una, ¿Para qué? no tengo la menor idea, pero el concepto de tener un computador tan pequeño, me traía loco, no lograba entender cómo funcionaba, cómo era posible y eso sin duda alguna captaba mi atención. Aunque las placas de Raspberry siempre se han caracterizado por un coste muy bajo, para ese entonces, con los gastos de envío y no sé qué otros trámites, el precio no era tan asequible, por lo menos para mí, así que pronto la idea de tener una Raspberry perdió fuerza, sin embargo, continuaba en mis planes tener una algún día y llevar a cabo los proyectos que veía en la red.
Finalmente, con todo el tiempo libre que nos dejó el 2020, comencé nuevamente a considerar adquirir una, decidí conseguir una Raspberry Pi 3 de segunda mano por sólo 53 dólares, me incliné por este modelo, ya que no quería invertir en un aparato que no cumpliera mis expectativas o que simplemente no fuera a utilizar.
Centralizando todo
Con la Raspberry Pi solucioné un problema con el que venía lidiando desde hace mucho tiempo: no tener información centralizada, o depender del computador donde tenía guardado un archivo para modificarlo desde otro computador. Si un día decidía trabajar desde el portátil y los archivos que necesitaba estaban en el computador de escritorio o viceversa, bien tenía que trabajar desde allí, o encenderlo, copiar la información en una USB, transferirla por SSH, enviarla por correo electrónico, etc. Y aunque ese inconveniente se soluciona trabajando en la nube, servicios de almacenamiento tales como Google drive, dropbox, entre otros, no son una opción para mí, no me siento cómodo con la idea de que en algún momento mi conexión a internet pueda fallar y tenga que hacer un montón de maromas para acceder a mis datos.
Así que dentro de la Raspberry tengo un disco duro externo conectado y 3 servicios:
Nextcloud: Donde almaceno mis archivos y contraseñas, ya que cuenta con un gestor de contraseñas bastante eficiente, accedo a ellos desde cualquier dispostivo, ya sea por webDAV, el navegador o la app del celular, una maravilla.
Servidor GIT: No se ve como la página web de github o gitlab, todo lo hago a través de consola de comandos, pero me gusta la idea de tener el código que desarrollo en un sistema de control de versiónes.
Docker: Ya he hablado de cómo docker me cambió la vida, y aunque no todos los contenedores funcionan con arquitectura ARM (lo cual me parece una deficiencia) y aunque que por ello no he podido migrar todas las imágenes y contenedores a la Raspberry, algunos como los de PHP y mariadb funcionan de maravilla y son los que más utilizo.
Otros usos
He convertido la Raspberry Pi en un asistente de voz con ayuda de mycroft, y aunque es más barato comprar un producto de Amazon o Google, mycroft es open source, lo que me hace amarlo automáticamente y no tener que preocuparme por problemas de privacidad.
Algunas anotaciones
Con todo esto que he escrito, parece que Raspberry estuviera sólo al alcance de gente con un altísimo conocimiento informático, cosa que está muy lejos de la realidad, el sistema operativo oficial de Raspberry, Raspberry Pi OS viene con todo listo para tener un ordenador de mesa funcional, en su página web se encuentran muchísimos recursos educativos, incluso la fundación Raspberry, cuyo objetivo es poner el poder de la computación en las manos de personas al rededor del mundo[1], ha desarrollado un modelo llamado Pi 400, una Raspberry Pi embebida en un teclado.
Raspberry Pi 400
Estoy más que convencido que esta es una solución de muy bajo costo que permite afrontar la virtualidad, en especial en el sector de la educación, una vez rota la barrera y el pavor que genera que Raspberry Pi OS esté basado en GNU/Linux.
Conclusiones
Mi experiencia con la Raspberry Pi no puede ser otra que de satisfacción, no sólo por solucionar mis problemas con un muy bajo costo, lo mejor que me ha dejado es el aprendizaje, poder tener un panorama diferente y un espectro más amplio en lo que respecta a soluciones de software libre para el entorno.
Espero les haya gustado el artículo y se animen a usar una Raspberry Pi.
Referencias
[1]Raspberry Pi Foudation. (s. f.). Raspberry Pi. Recuperado 14 de febrero de 2021, de https://www.raspberrypi.org/about/
En muchos aspectos de la vida, adquirir una nueva habilidad requiere de poner en práctica la teoría aprendida, y esto también se aplica al entorno de la ciberseguridad,
Por ello existen sitios como vulnhub, una web con una gran cantidad de recursos en forma de máquinas virtuales, que funcionan con los hipervisores más comunes, en las cuales se pueden practicar habilidades en ciberseguridad, criptografía, explotación de vulnerabilidades, entre otros.
Es una comunidad bastante activa, los mismos usuarios publican las máquinas virtuales que han creado, se encuentran con diferentes niveles de dificultad y métodos para desarrollarlas, sólo basta con descargar la imagen desde el enlace proporcionado, configurarla en el hipervisor y ya está, todo listo para empezar a hackear dentro de un entorno controlado, sin meterse en problemas y sin dañar a nada ni a nadie.
En próximas entradas estaré explicando el paso a paso para el desarrollo de algunas de las máquinas publicadas allí.
Me escribió el amigo de un amigo para que le ayudara con un problema relacionado con las cámaras de seguridad, su disco duro se estaba llenando fácilmente y no entendía el porqué. Esto realmente no tiene nada que ver con el objetivo del blog, pero lo que viene a continuación sí tiene que ver y por eso me animo a contar la historia.
Comencé a revisar y muy rápido noté que había más cámaras configuradas de las que deberían estar, dos más, para ser exactos, le pregunté al amigo de mi amigo y me dijo que no tenía ni idea de la procedencia de esas cámaras. Revisé la configuración y las IP que tenían configuradas no correspondían al segmento de IP del NVR, parecían direcciones IP públicas. Borré las cámaras que no deberían estar y todo pudo terminar ahí, pero no, decidí investigar un poco, tomé nota las direcciones IP y las llamaremos camara1 y camara2.
A día de hoy no entiendo cómo aún la gestión web de las cámaras de seguridad funcionan únicamente con Internet Explorer ¿Alguien ya le dijo a los fabricantes de cámaras -y a algunos desarrolladores- que Microsoft se deshizo de su navegador insignia? Entonces comencé abriendo Internet Explorer.
Comencé por poner la IP direcamente en el navegador, pensando que podría tener acceso a la gestión web de las cámaras, pero no.
Entonces decidí echar mano de nmap para ver si tenía algún puerto abierto y acá tenemos el resultado del análisis para camara1 y camara2
Ingresé por el puerto 8080 de la camara1, en camara2 pareciera que no hubiera puerto alguno abierto, pero siguiendo la lógica del acceso de camara1, también probé con el puerto 8080 y vemos que funciona.
Decidí probar el usuario y contraseña por defecto para muchas cámaras admin/admin, debo admitir que no me sorprendió para nada.
¿Cómo llegaron esas cámaras a un NVR en otra parte del mundo? ¿Puede ser un problema de fábrica? (El NVR del amigo de mi mi amigo y las cámaras en cuestión son del mismo fabricante) esto, como dice un youtuber que sigo, son preguntas que probablemente jamás tendrán respuesta.
Así que el consejo (esto debería ser una norma, en realidad) para todos los administradores, no sólo informáticos sino de cualquier sistema, es que al realizar implementaciones de este o cualquier otro dispositivo tengan en cuenta que no se pueden dejar contraseñas por defecto en los aparatos que están instalando, así fue como en pocos minutos pude hacerme con dos cámaras de seguridad en dos partes diferentes del mundo, donde podría haber imágenes sensibles, datos privados o lo cualquier otra cosa.
Los delitos informáticos como estafas y suplantaciones de identidad han aumentado por efectos de la pandemia, también se han sofisticado los métodos con los que los delincuentes intentan captar incautos y de esto tratará esta historia corta de la vida real, que sucedió hoy mismo. Aunque no tiene nada de sofisticado, tiene uno de esos “trucos de hacker” que pueden llegar a impresionar a más de uno y me parece importante compartir con todos ustedes.
Como ven en la imagen, la historia comienza con alguien (que me da a entender que no tiene mucho conocimiento en esos temas) pero decidió preguntar por una oferta de un computador que se ve bastante atractiva.
A primera vista la página no se ve mal, tiene un certificado SSL, es responsive, ponen un NIT, aunque no tiene el mejor diseño es agradable, aseguran usar la pasarela de pagos MercadoPago y demuestra cierto esfuerzo por hacer creer que es una empresa real.
Este tipo de páginas se caracterizan por no tener mucho tiempo de creadas en la red, así que precisamente ese fue el lugar donde quise investigar, rápidamente hice una revisión de los registros de WhoIs a través de esta herramienta en la red, a poner el dominio allí, esto fue lo que encontré:
El dominio en cuestión tiene a duras penas 4 días de creación, cosa que no encaja con ciertos mensajes en la dichosa página web donde supuestamente llevan consolidado un buen tiempo en la red, además muchas otras inconsistencias.
Aunque hay muchos otros factores que no estamos teniendo en cuenta, este pequeño “truco” es un buen comienzo para investigar a fondo este tipo de estafas en la red y evitarle a amigos y familiares pasar por este tipo de cosas. Hasta la próxima.
Hace un tiempo una amiga mía me contactó ya que a su vez un amigo suyo le escribió por un correo que le había llegado donde le pedían cierta cantidad de dinero en bitcoin, el motivo: tenían su contraseña y si no pagaba, iban a usar su cuenta para enviarle a todos sus contactos un video en la que hacía cosas poco decorosas y que escandalizarían al familiar más liberal mientras visitaba un sitio con contenido pornográfico. El temor de esta persona radicaba en que en efecto esa era la contraseña de uno de los dispositivos y aunque no tenía planeado pagar, no sabía qué hacer, ni como sabían su contraseña.
Esta es un tipo de estafa (entendiéndola también como una extorsión) muy común en la red y se aprovecha de tres situaciones: la primera, la fea costumbre que tienen la gran mayoria de personas de reciclar contraseñas, es decir, usar la misma contraseña para todas sus cuentas; la segunda, obtuvieron su contraseña no porque en realidad lo hayan hackeado, sino porque en algún lugar del basto mundo de internet, su correo electrónico y contraseña estaba expuesta y por último, estaban tratando de aplicar ingeniería social con un comportamiento bastante común en la red.
¿Cómo procedí?
Cuando vi el mensaje por primera vez, supe de inmediato que era una estafa y sospeché que en algún lado podría estar publicada esa contraseña, así que hice uso del servicio de Have I Been Pwned, sitio que permite verificar si un correo aparece en alguna de las filtraciones de datos de la web (de esto hablaré más adelante).
Efectivamente, alguno de los sitios en los que esta persona estaba registrado había sido hackeada y los registros de la base de datos expuestos en internet, sitios que nisiquiera recordaba que se había inscrito. Tomándome un poco de libertad, intenté ingresar a estos sitios y en uno, aún funcionaba la contraseña filtrada.
Con el misterio ya resuelto, le transmití un par de recomendaciones, debía cambiar todas las contraseñas de sus cuentas, no sobra revisar el estado del antivirus de los dispositivos, poner una contraseña que sea fácil de recordar pero no fácil de adivinar, de complejidad alta y lo más importante no reciclar contraseñas.
Espero esta experiencia sirva de reflexión para todos y nos ayude a prevenir estafas en la red. Saludos.
