#mooHackingMu 3: Zifratzea. Sekretuak kontatzen 10 pausutan

Jakina da datuak ez daudela beti edonoren eskura, edo begitara, nola nahi hartzeko/irakurtzeko moduan. Ez da gauza berdina (bera ez dala argi dago) mezu bat Telegram bidez bidaltzea edo WhatsApp erabiltzea. Lehenengo kasuan, mezuak zifratu egiten dira bai bidalketan eta baita gailuan bertan ere . Zifratzea (Wikipedian ingelesez Encrytion) testua giltzadun kutxa baten sartzea bezala da. Giltza hori (pasahitza) ez badaukazu, ezin izango duzu mezua ezagutu.

Pasahitza bakarra izan daiteke, simmetric-key deritzon zifraketa mota, edo bi ezbardin: lehenengoa mezua izkutatzeko eta beste bat mezua irakurri ahal izateko. Bigarren honi public-key esaten zaio eta zifraketa motari public-key encrytion edo PKE.

Asimetrikoa

PKEn erabiltzen diren pasahitzak sortzeko zeregina bidali digute gaurkoan. Taldeka egin behar den lana da, ondo eginda dagoen jakiteko modu bakarra baita. Nik zorte ikaragarria izan dut eta Josu lagun euskaldunarekin sortu dut taldea, eta euskaraz aritu izan ahal gara lan egiteko orduan. Eginbeharra, lagunari zifratutako testua bidaltzea eta honek irakurri ahal izatea arazo barik.

Pasahitzak sortzeko aplikazio politak badaude, Kleopatra edo Gpg4Win software askeen modukoak. Baina oso erraza denez kontsola bitartez egitea, eta horrela ulergarriagoa egingo zaigunez, pausuak zerrendatuko ditut, eta bukaeran aginduak idatziko ditut.

Gako publikoa eta pribatua sortzea izango da lehenengo gauza (1), publikoa esportatu (2) ostean, publikoa lagunari bidali (3) eta lagunarena jaso (4), testua idatzi (5), testua zifratu (6) lagunaren gako publikoaz, testua bidali/jaso (7)(8), testu deszifratu (9) nire gako pribatuaz eta testu irakurri (10). Egia esanda, guztia bost minututan eginda egon daiteke, ematen duen bezain erraza bait da.

Honek ez du lortuko ez, sarean dauden piztien belarrietara ailegatzea ekiditea, baina zer esaten dugun jakiteko denboratxo bat behar izatea bai.

 

Aginduak: (1)$ gpg2 –gen-key (2)$ gpg2 –armor –export erabiltzaile_izena > erabiltzaile_izena-pub-asc.gpg (4) $ gpg2 –import erabiltzaile_izena2-pub.gpg (6) $ gpg2 –recipient erabiltzaile_izena2 –armor –sign –encrypt test.txt (9) $ gpg2 –decrypt test.txt.gpg > test.asc.txt

 

WhatsApp zeinen ez ziurra den ulertzeko, hemen eta hemen nola lortzen dan minutu gitxi batzuetan mezuak aldatzea oinatzik utzi gabe zifratuta gordetzen ez direlako.

#moocHackingMU 2: Informazioa elkarbanatzen

Baten batek pentsa dezake, AEBtan egiten diren filmei esker batez ere, hackerrak pertsona bakartiak direla, ordenagailuaren aurrean bizi direnak, gela ilun eta itxi batetik ataratzen ez diranak. Argi izan: hackerrak komunitateaK (bai, pluralean) dira. Beraz, ez dira pertsona bakartiak, ez eta pertsona antisozialak.

Eta dakitena elkarbanatu egiten dute. Edozein bilatzaile erabilita berehala agertzen dira hacing-aren inguruko orriak. Bigarren lan hau ezagutzen ditugun bi banatzea denez, hona nire bi webak eta komunitateak:

SeguridadWireless

SeguridadWireless 2015-09-27 22:50:42

Ari-bako sareetaz arduratzen dira batez ere, hau da, WiFi bidezko sareetaz. Eta webaren tituluan agertzen dan moduan: Wireless auditoriak, insekuritatearen erremintak, ari-bako sareen monitorizazioa eta auditoriak. Horretaz gain, beharrezko hardwarea ere saltzen dute, eta foroa dute. Eta, hau oso garrantzitsua, WiFiSlax Linux zaporea. Linux distro honen barruan, WIFi sareak hackeatzeko beharrezko diren aplikazio mordoa datoz. Azkenengo bertsioa 4.11.1 da.

SecurityByDefault

SecurityByDefault 2015-09-27 22:53:55

Web orri benetan interesgarria. Informazio anitza duen web orria dugu hau. Ez ditu, segurtasunaren inguruko berriak bakarrik banatzen. Hacker filmak, elkarrizketak, ekintzak, hack-lan ezagunak, erremintak, liburuak eta beste orri batzutan agertutako barriak banatzen dituzte.

Hemen, euskal hackerren komunitate baten berri eman nahi nuen. Honek web orria badauka, eta baita Twitter kontua (@hackingbadakigu). Baina aspaldi ez dutela ezer barririk argitaratzen, beraz Google Plus-en dagoen bat ekarriko dut.

Hackers G+ 2015-09-27 23:20:49

Komunitate hau, Hackers – (learn hacking), ingelesez da. Kali Linux distroari buruz aritzen dira, baina ez bakarrik. Komunitate irekia da, eta edonork eska edo eman dezake laguntza.

Beste milaka toki dagoela jakin badakigu. Zeintzuk ezagutzen dituzu zuk?

#moocHackingMU 1.go lana: Informazioa atzitzen

Hackerra izatea ez omen da zaila. Ez eta erraza bez. Baina horretan saiatuko naiz hurrengo lau astetan. Mondragon Unibertsitatearen mooc baten eskutik.

Ikasi beharreko lehenengoak, komando bi eta aplikazio bat dira: ping eta whois komandoak eta nmap aplikazioa.
Ping komandoak interneteko IP helbidea edota domeinu bat existitzen den jakiteko balio du. Existitzekotan, domeinuaren IP helbidea emango digu (ez bagenekien) eta berau eskuragarri dagoen ala ez. Nire kasuan DOMEINUAK.EUS erabiliko dut frogetarako. Eta hauxe ping komandoaren erantzuna Linuxeko terminal batetik abiatuta.

ping terminal

Honekin jakin dugu DOMEINUAK.EUS domeinua sarean dala eta bere IP helbidea 185.165.133.170 dala.

 

Whois erabiltzeko internetera joango gara. EUS domeinuen informazioa jakiteko Whois EUS web orria erabiliko dugu.

Eta lortu dugun informazioa hauxe:

whois.nic.eus

whois.nic.eus

 

Horrela jakin daiteke DOMEINUAK.EUS Puntueus Fundazioak erregistratu zuela 2014ko apirilean, eta norbaitekin hitz egin nahi baldin baduguĀ  “Iratxe Esnaola Arribillaga”rekin eskatu beharko dugula. Arazo teknikoak ere emakume honek konpontzen ditu.

 

NMAP aplikazioa ez dut erabiliko, linuxen hau terminaletik erabili behar baita. Horren ordez interfase grafikoa darabilen ZeNMAP erabiliko dut. Linuxen guztiz erabili ahal izateko, administratzaile bezala abiarazi behar dugu. Terminalean “sudo zenmap” idatzita lortuko dugu hau.

Abiatutakoan “domeinuak.eus” idatzi Target atalean eta Scan sakatu. Lortzen den informazioa guztiz ikusteko denboratxo bat behar da.

Modu honetan lortutako informazioa zerbitzariaren informazioa da, hots, web orria gordeta dagoen ordenagailuaren informazioa. Zein portu (ate) dagoen zabalik eta erabilgarri, zein sistema eragile darabilen, eta agian zein aplikazio darabilen zerbitzariak.

ZeNMAP

ZeNMAP

Irudian ikus daitekeenez, zabalik dauden portuak ohikoenak dira: 21 FTP zerbitzurako, 22a SSHrako, 80, 443 eta 8443 interneterako sarbideak, eta 106, 110, 143, 465, 993 eta 995 posta zerbitzurako.

Beste erlaitza batean, Hosts Details, ikus daiteke zerbitzariak Linux sistema eragilearekin egiten duela lan. Martxan diren aplikazioei buruz, erabilitako “-A” aukerak lortuko lituzke aplikazioen bertsioak. Beharrezkoa dugu zein bertsio erabiltzen diren jakitea, agian ez dituztelako akats berdinak bertsio ezberdinek.

OpenSSH da aplikazio hauetako bat, 6.0p1 bertsioan. Jakinda OpenSSHren azken bertsioa 7.1a dala, National Vulnerability Databasen ikusten dugu honen aurretik ataratako bertsioek akats nahikotxo dutela, beraz komenigarria litzaioke Puntueus Fundazioari aplikazio honen bertsio-berritzea eskatzea bere hosting enpresari.

 

Honaino gaurkoa. Minutu batzuk besterik ez ditugu behar izan domeinu baten inguruko informazio nahikotxo lortzeko, interneten edonoren eskura dauden erreminta batzuk erabilita.