In today’s internet age, the number of user accounts needed for a “normal” person is enormous. Think for a moment about all the username/password combinations you use: work , personal email account, personal spammable email account, cable/sat company, phone company, all those forums you read, all of your online banking accounts, and a very long etc. Now think how many of you use the same password for 2 or more accounts? If you use a different one for every account, chances are you are a genius with an IQ higher than the normal user. If not, don’t worry, you are just a normal person, either very thrustful or very fool, you decide. And also you are in the right place to learn something useful today.

The assumption that people use the same user/password in several accounts gives attackers an advantage: they don’t have to break into your bank to get your info, they just have to get your username/acount from that shady forum you suscribed 6 months ago.

To prevent this kind of attack, and at the same time prevent our head to explode for all informatino we need to memorize, there is a very simple trick to allow us to use the “same” password for every account we have, but having the peace of mind that by subscribing to that forum with lots and lots of torrent files you won’t be as exposed to account stealing as the normal user.

The solution is to use an algorithm to create our passwords, simple enouhg for us to remember, but giving a complex enough result to have different passwords in every one of our accounts.

First, we start with a “base” password. Something we’ll always remember. It could be your current password you use for all your accounts . Let’s say for example, that we use “123mambo”. That itself could be a very good password: characters and numbers, not relating to anything specific or giving information about us. But you shouldn’t use it for all of your accounts. So let’s add a simple process to customize it for all of our accounts.

For every website/place we need a password, we take our “base” password, and add some of the letters directly from the name of that site and create something unique for all websites. That’s it… simple, right? Let’s see how it works.
the characters I’ll use to “salt” my password will be the 1st, 2nd and 5th letters of the site’s name, and the total number of characters in the name.

Let’s see how it works:
take www.hotmail.com for example. Applying my previously decided algorithm, the pasword for my hotmail account would be:
“123mambo” + “h” (1st char) + “o” (2nd char) + “a” (5th char) + 7 (“hotmail” = 7 chars) = 123mambohoa7
Now let’s create the password for a yahoo account:
www.yahoo.com
“123mambo” + “y” (1st char) + “a” (2nd char) + “o” (5th char) + 5 (“yahoo” = 5 chars) = 123mamboyao5
and what about our newspaper subscription?
www.nytimes.com
“123mambo” + “n” (1st char) + “y” (2nd char) + “m” (5th char) + 7 (“nytimes” = 7 chars) = 123mambonym7

Some other website examples and their results:
www.mymail.com – “123mambomyi6″
www.unitedbank.com – “123mamboune10″
www.bankofcalifornia.com – “123mambobao16″
www.usabank.com – “123mambousa7″
Microsoft Money – “123mambomio14″
Outlook – “123mambooul7″
Time Reporter – “123mambotir12″

So, as you can see, we can get pretty much secure passwords without the hassle of using too much of our memory.

I hope this one was useful for you. Be creative, and please don’t use 123mambo ’cause I already use it (j/k) but above all, be safe.

Phising es una de las técnicas de ataque mas efectivas estos días. Consiste en crear una copia falsa de un sitio de internet conocido y hacer que los usuarios, de alguna manera, intenten introducir sus datos. al hacerlo, el sitio les informara que hubo un error en la verificación de los datos, por lo que el usuario generalmente lo intenta de nuevo, y asi sucesivamente hasta que el usuario desiste y decide intentarlo despues. Para ese entonces, el atacante ya obtuvo la informacion del usuario y varios passwords que podria usar en otros sistemas para accesar las cuentas, información personal y privada del incauto usuario.

Precisamente la semana pasada me encontraba en mi computadora de casa, cuando me di cuenta que algun script malicioso modifico el archivo de HOSTS y modifico mis registros (ver en el mail el contenido de las modificaciones).

Esto con el fin de direccionar la pagina de banamex y sus variantes para la entrada a su sistema de banca por internet, y entonces al intentar entrar con un usuario y password real, estos datos quedaran almacenados para que los que pusieron esa página hicieran con ellos lo que quisieran (tipicamente hacer transferencias a otras cuentas u obtener números de cuentas y tarjetas).

Si yo hubiera tenido cuenta en Banamex y no me hubiera dado cuenta del cambio, hubiera dado la información de mi cuenta a otra persona. Unos dias o meses despues me hubiera percatado de que habia transferencias extrañas en mis cuentas, dando lugar a un largo proceso de pelea con el banco (si, a pesar de que somos clientes de los bancos nunca confian en nosotros) para obtener mi dinero de regreso (o un gracias por ser buen cliente pero no le podemos regresar nada).
Como buena acción del día, decidí informar a Banamex de lo que habia pasado, esperando que al menos reportaran el nombre o la IP, o enviaran un correo a sus usuarios. Pero, oh! desilusión! Solamente dejaron al descubierto la estupidez de la mayoria de la gente de soporte/sistemas. Y para que vean eh aqui el texto de la comunicación que tuve con ellos:


De: Abraham Vargas (XXXXXX@XXXXX.XXX)
Enviado el: Viernes, 25 de Mayo de 2007 01:07 a.m.
Para: Servicio A Clientes (1) [BNMX]
Asunto: Servicio a clientes (Portal 1)
Modulo de Servicio Clientes
Nombre del usuario :ABRAHAM VARGAS
Mail del usuario :XXXX@XXXXXX.XXX
Teléfono del usuario :000
Fax del usuario :000
Dirección del usuario :USA
Colonia del usuario :USA
CP del usuario :92069
Ciudad del usuario :SAN MARCOS CALIFORNIA
Estado del usuario :OTRO
País del usuario :ESTADOS UNIDOS
Tema de contacto :SERVICIOS EN LINEA BANCANET
Comentario del usuario:QUE TAL LES ESCRIBO PORQUE ALGUN VIRUS DE INTERNET CAMBIO LA CONFIGURACION DE MI COMPUTADORA PARA QUE AL INTENTAR ACCESAR EL SITIO DE BANAMEX ACCESARA A LA SIGUIENTE DIRECCION DE IP 189.180.78.75 PARA QUEINVESTIGUEN PORQUE PARECE SER UNA DIRECCION FALSA PARA OBTENER PASSWORDS DE SUS USUARIOS. LA CONFIGURACION COMPLETA QUE CAMBIO FUE EL ARCHIVO HOSTS Y PUSO ESTO EN LUGAR DE MI ARCHIVO ORIGINAL:
189.180.78.75 WWW.BANAMEX.COM
189.180.78.75 BANAMEX.COM
189.180.78.75 WWW.BANCANETEMPRESARIAL.BANAMEX.COM.MX
189.180.78.75 BANCANETEMPRESARIAL.BANAMEX.COM.MX
189.180.78.75 BOVEDA.BANAMEX.COM.MX
189.180.78.75 WWW.BOVEDA.BANAMEX.COM.MX
ESPERO PRONTO PUEDAN ARREGLAR EL PROBLEMA
SALUDOS

Y la respuesta que recibi fue:


From: "Atencion Empresarial 3 [BNMX]" (atenempre3@banamex.com)
To: XXXX@XXXXXX.XXX
Subject: SC-Servicio a clientes (Portal 1)
Date: Mon, 28 May 2007 11:30:00 -0500
Estimado Cliente
Buenas tardes, reciba un cordial y afectuoso saludo.
Con el objeto de proporcionarle el mejor servicio , le invitamos a llamar a los teléfonos de atención a clientes (1800 226 2639 (1800 BANAMEX))
Nota:
Este mensaje tiene el carácter de informativo y la falta de recepción de la misma por parte del cliente no implica obligación ni responsabilidad alguna del banco.
** Nota: Le recordamos que Banamex nunca le solicitará información confidencial como su número secreto, password, información personal y de sus cuentas vía correo electrónico. Si recibes un correo solicitando esta información, sospecha de su origen, no conteste o de click en ligas de estos correos y reenvíelo a la dirección de correo electrónico giso@banamex.com
Gracias y Saludos!!
ATENCION EMPRESARIAL 3
Tel.: 1800 226 2639 (1800 BANAMEX)
La información contenida en este mensaje esta destinada únicamente para el uso de la persona o entidad identificada como receptor. Cualquier uso no autorizado es responsabilidad del receptor. Si usted recibe este mensaje por error favor de notificarlo inmediatamente al remitente y hacer caso omiso de la información ahí contenida.
The information contained in this e-mail message is only for purposes of the intended recipient. Any unauthorized use is responsibility of the receiver. If you have received this e-mail message in error, please immediately notify the sender and delete it from your computer.
Que se puede esperar de un banco así?
Gracias pero no me sirven de nada…. y ustedes, tienen cuenta en Banamex?

Parece que no solo los projectos reales tienen que “cambiar de fechas de entrega”, hasta los concursos (como este de microsoft) tienen que recalendarizarse para cumplir con las entregas

Estimado concursanteAgradecemos que se haya inscrito en el concurso “Microsoft Expression Awards 2007″. Hemos escuchado sus peticiones y hemos decidido extender la vigencia del concurso hasta el 22 de Junio del 2007 con el objetivo de que los participantes puedan terminar y mejorar satisfactoriamente sus proyectos. Estamos conscientes de la complejidad de los requisitos que estos deben de cumplir, tal como se expresa en los Términos y Condiciones inciso i). Usted puede revisarlos en el sitio web del concurso: http://www.expressionawardslatam2007.com/default.asp?idioma=la Le invitamos a tomar ventaja de esta oportunidad única de participar y poder ganar importantes premios. No espere más y empiece a usar “Expression Web” para construir su proyecto. También le recordamos que para cualquier pregunta o comentario relacionado con el concurso o las herramientas “Expression” contamos con un Foro en línea donde con gusto le atenderemos.¡Mucha Suerte! Luis Fuentes Gerente de Visual Studio y Expression Microsoft Latinoamérica

Estaba un día pensando en la frase de Carpe Diem y su significado, cuando paso también por mi mente algo de tecnología y de lo poco que, a pesar de los grandes adelantos que tenemos a nuestra disposición, lo poco que la sabemos utilizar.
Tenemos el ejemplo clásico de la computadora guia usada para llevar al Apollo XI en 1969 a la luna contaba con un procesador de tan sólo 2.048Mhz (dos punto cero cuarenta y ocho megahertz), con 4Kwords de memoria RAM con tamaño de palabra de 16 bits, y codigos de instrucción de 3 bits. Y cuál es la especificación de la computadora en la que estas leyendo este mensaje? Apostaria a que es al menos un procesador Celeron de 1Ghz, con 256MB de RAM, usando instruccions de 32bits… miles de veces mas poderosa que la AGC que dirigio al Apollo XI. Y cuantas veces has ido y regresado a la luna… en la realidad?
Así pues, este es un intento por hacer un mejor uso de la tecnología que tenemos a la mano.
Sugerencias? Quejas? mentadas? Bienvenidas…

Pues aqui estoy empezando de nuevo en esto de los sites y la publicacion.
Ahora mas que nada lo que quiero es tener un lugar en donde poner mis proyectos, experiencias e ideas que tengo, asi que aqui veran pedazos de codigo, fotos, eventos y demas cosas relacionadas con la tecnologia que aprendo y desarrollo.
Asi que espero que resulte bien y tal vez aprendan un poco uds, y a la vez aprenda con uds.
Saludos.