Foro de elhacker.net

Mucho Gusto escritores.

Quiero hablarle de este nuevo wearble desarrollado en República Dominicana por esta Startup llamada Xolutronic. El dispositivo se llama Passfort. La habilidad de este aparato es la capacidad de almacar decenas de cuentas no solo de las redes sociales sino que sirve para iniciar sesión en diversas plataformas como logins de sistemas operativos, ingresar patrones de desbloqueo de móviles e incluso compartir perfiles de redes wifi.

No tendrás necesidad de escribirlas. El dispositivo envía la información a través de una conexión que está cifrada por una llave maestra, a través de bluetooth de corto alcance o USB.

Si no me creen pueden entrar en kickstarter con solo escribir en google "passfort kickstarter".

Este proyecto, con tanta sencilles, tiene el potencial para sacar a todo el país de un hueco de atraso tecnológico en el que ha estado sumergido por años, todo a través de esta empresa, Xolutronic.

https://db.tt/vDKimmG9

Pueden ver nuestra campaña en el enlace acortado pf.com.do

Aquí les dejo un video de nuestro Dispositivo y en el canal hay muchos otros videos fabulosos.

https://www.youtube.com/watch?v=CgmjfAwb3gU

Hablemos del tema aqui en el foro para no asumirlo spam en plano


Dices


Veo que cuantificas con terrible seguridad la seguridad y utilidad, explicame exactamente (nada de rodeos, sino factores tecnicos reales) sobre como es "5 veces mas seguro" y "6veces mas util" que (y esta parte roza lo irrisorio) "cualquier software que almacene contraseñas

(Sin una respuesta decente y clara a eso, sera asumido spam el tema)

Permite una mayor libertad porque es totalmente independiente de conexión a internet. Puede ser usado para iniciar sesión en sistemas operativos, para insertar el código de desbloqueo de un movil e incluso puedes compartir perfiles wifi con las personas que lleguen a tu casa con un solo toque. Además puedes ir directamente a cualquier dispositivo y conectar cualquier cuenta en cualquier computadora en un segundo sin pasar por procesos de sincronización. Ni siquiera tendrías que escribir la contraseña esta se transferiría al dispositivo en cuestión a través de bluetooth (conexión protegida y protocolo 4.1) o USB.

Lo del foro se trata en el foro... No debe ser necesario salir de el para obtener la info que promocionas, especialmente en un Foro de hacking seguir un link acortado a una descarga de un archivo comprimido,no suena bien  :silbar:

Repito parte de lo que dije



Tu dices


Te alejas mas de la realidad... 180% mas seguro... Es como decir "yo programo 23% mejor que tu, y mi redacción de documentos te supera en 12%" decir eso carece de sentido...

Quién lo clasificó asi?
Contra que otros programas?
Cómo cuantifica con tal precisión la seguridad?
Qué pruebas se corrieron para cuantificar la usabilidad?
La usabilidad comparada con quien?

No quiero otra respuesta de publicidad sin valor real... Datos técnicos, exactitud especialmente con los numeros dados, ya que realmente bajar de "cinco veces" a "180%" es mucho!

Si empiezas a trabajar en una empresa y te dicen "te vamos a pagar 5 veces el sueldo minimo" y luego te dicen "bueno, no eran 5 veces, era el 180% del sueldo mínimo" estoy seguro que es razon de renuncia inmediata  :rolleyes:

Bien, no conozco mucho de sus reglas y demás, soy nuevo en este grupo  y quise dar información sobre un producto que se ha desarrollado en mi país. Una pequeña agrupación que tiene este producto que está tratando de enseñarle al mundo a través de la plataforma kickstarter, no soy del equipo de desarrollo, solo hago algo de publicidad, por lo que mis respuestas están limitadas a la información que tengo a mano. Colocaré la información que tengo disponible y trateré de responder todas las dudas que me puedan ofrecer.

La cosa es que actualmente la gente maneja cientos de servicios como facebook, twitter, instagram, y muchos más. Muchas personas también tenemos muchas cuentas. Sin embargo con todos esos servicios hay que pensar en la seguridad.La gente suele usar la misma contraseña para todos los servicios o los apunta en los lugares más inhóspito.

El passfort te genera contraseñas súper seguras para que nadie pueda adivinarla al mirar ni ningún programa pueda forzarla. Una contraseña como juan_33 es facil de forzar con los programas actuales. Pero una como "diq%27hwvi$?$6 Se u Fu" es imposible de forzar, pero ahora tenemos un problema, esta es la primera vez que nuestro país, República Dominicana, desarrolla tecnología. República Dominicana ha pasado por muchos problemas políticos y nuestra educación está en un nivel muy bajo a escala global. Por esta razón no encontramos apoyo de grandes compañías para financiar nuestro producto.

Gracias a la seriedad de kickstarter este proyecto ha logrado 50 mil dólares en reservas. Si este proyecto sale a flote  un sector de la economía de nuestro país podrá dedicarse a áreas de la tecnología y abriendo paso a una nueva época de desarrollo. Hasta cambiar la imagen que tienen en el resto del mundo de que República Dominicana es solo playa, arena y problemas políticos.

Esto se hizo contra el programa lastpass, el mayor representante, y el sistema de almacenamiento de contraseña de los navegadores.

Las pruebas fueron realizadas dentro del equipo. Se utilizaron diferentes dispositivos móviles como tablets, pc's y Smartphones.

En este canal puede observarlas https://www.youtube.com/watch?v=CgmjfAwb3gU

Se compara la facilidad de uso con la de esos programas antes mencionados y la cantidad de posibilidades que abarca, este dispositivo puede trabajar de una forma más dinámica y ofrece un mayor número de posibilidades.

Osea, hace lo mismo que KeePass (http://keepass.info). La diferencia es que KeePas es Open Source y, por lo tanto, gratis (aunque el autor acepta donaciones).


Con USD 50K levantas gran parte de la economía de tu país!?!?!  :o

Es una broma, verdad?  :P

Una cuantificación no puede ser subjetiva, es algo que debe saber cualquier persona que haya estudiado metodología (es decir cualquier licenciado o ingeniero que haya hecho trabajo de grado, o tesis) ya que carece de valor real y sería una falacia de autoridad en naturaleza, en tal caso se le podría dar una cualificación que es "es mucho mejor que" o "es superior a" no se le da un valor cuantitativo (un numero), sino una calidad apreciativa, luego comparandolo contra lo que se comparó para dsarle ese grado, es decir "es mejor que el sistema de almacenamiento del navegador porque no queda guardado en el pc sino solo en el dispositivo que te acompaña"

Tambien, puedes indicar una contraseña como "diq%27hwvi$?$6 Se u Fu" pero si tomamos el contexto computacional de hoy día y los programas que se usan para estos ataques(que sería imprudente dejar por fuera al sujeto de estudio en un estudio) eso tiene la misma seguridad que "C0ntr@seña", es tan simple como eso el atacante no sabe si usaste cuales caracteres, solo lanzará un ataque para ir por lo más comun...

No niego que el dispositivo está genial y super práctico, realmente tener una buena contraseña y teclearla si da pereza y asi no se olvida...

Pero hay varias cosas que veo... Cuando el dispositivo introduce la contraseña, por lo menos en el video demostrativo parece hacer una inyección de pulsaciones (simular teclado y escribir) que es prácticamente la unica forma que funcione sin uso de software externo... Ahora, es asi? Porque de ser así, el mismo seria vulnerable a ataques de keylogging, donde puedo decir que se hace la mayor parte del robo de credenciales, ya que adivinar una contraseña es inutil a nivel de tiempo, entonces, impone alguna capa extra de seguridad?

Si soy muy estricto es las preguntas, es porque es un foro de seguridad informática, se supone que muchos estamos aqui por el hacking etico, es decir, aprender a proteger sistemas, asi que hay mucha gente aquí que conoce a profundidad estos temas y la información es tan valiosa como ayude a protegerte o a aprender (por eso la descarga de un comprimido con url acortado era sospechoso)... Lamentablemente si expones aquí un dispositivo de seguridad, puede ser la boca del lobo, porque todo sistema tiene errores y la profesión de muchos aquí es dar a mostrar eso y como se arreglan

MCKSys Argentina el dispositivo no parece ser de EEUU sino de república dominicana, donde 50k es otra cosa, Shermanbon corrígeme si me equivoco, por otro lado KeePass es un spftware, mientras que lo que proponen aqui es un wereable

No.

La diferencia recide en que keepass es un programa guardado en tu disco duro que es accesible a través de la web y no la puedes usar de la misma forma que utilizas un passfort. Passfort es un wearable que se puede comunicar con varios aparatos. No tienes que instalar nada. Puedes incluso usar las computadoras de tu universidad que sabes que son completamente inseguras ya que al igual que tu, hay decenas de estudiantes que les instalan programas y otros servicios para obtener tus contraseñas y simplemente saber con quién hablas y hacerte pasar por un mal royo. Con esto podrías hacerlo en un segundo y navegar con la misma seguridad con la que navegas en tu casa, en cualquier computador, Vease este video (https://www.youtube.com/watch?v=yq3nkpF8xec). Si entras a este artículo (http://www.genbeta.com/seguridad/lastpass-hackeado-este-es-el-gran-peligro-de-los-gestores-de-contrasenas) te darás cuenta que el programa lastpass y el keepass fueron una burla a la seguridad, recientemente. No te aseguro que este dispositvo no pueda ser hackeado, porque lo será igual que hasta esta página será hackeada, igual que facebook y cualquier otro servicio de internet, pero te puedo asegurar que hackear este dispositivo es como hackear un tostador.

Y sobre los 50k.
Tampoco, estos no son para levantar la economía del país mediante la creación de escuelas ni obras públicas. Son para el desarrollo y producción de tecnología que saldría desde este país. Generando varios empleos en el proceso de crecimiento, tal como hicieron muchas compañías en otros países que comenzaron con un par de dólares. Además podríamos darle empleos a muchos profesionales de mi país que estudiaron carreras basadas en informática y tecnología que consiguen trabajos pobres donde no desarrollan sus habilidades o directamente no consiguen trabajo. Creo que si podemos crecer haciendo crecer y dandole trabajo a gente que lo necesita, creando una gran compañía que al mismo tiempo llame a la innovación y permita que muchos más jóvenes entren al mundo del emprendimiento, creen empresas, desarrollen tecnología y sean exitosos, entonces 50K están bien para mí.

No te la puedo ofrecer porque no soy del equipo. Solo soy un admirador del proyecto y estoy limitado a la información que manejo. Otra cosa es que ahora son las 3 y media am en República Dominicana y el equipo que me puede dar respuesta de esas preguntas está completamente dormido.

Te doy las gracia por ser estricto. Me ayudas a entender la interacción en un foro y al mismo tiempo permites que pueda dar a conocer toda la información.

Si es seguro ante keylogging sería realmente interesante probarlo!

OK, vamos por parte:


Entiendo. Vi el video y el device parece prometedor. De todas formas, si el PC tiene keylogger, no tiene sentido usar un device o un proggie: estás jodido de entrada.


Creo que no tienes idea de lo que haz escrito; pero, bueno, nadie sabe todo de todo.


Si no usa drivers, entonces el device se identifica como un teclado. Eso es susceptible a los keyloggers, pero también lo son los proggies (KeePass y companía).


Lo siento, pero un artículo no cambia nada. Conozco muy bien cómo funciona KeePass y cuáles son sus debilidades. Incluso, KeePass usa el mismo cifrado que el device que venden.

De todas formas, me parece una buena idea. Espero que les vaya bien es el emprendimiento.

Saludos!

EDIT:


Sin drivers, no hay forma de escapar a un buen keylogger...  :P

No tengo idea, pero estoy muy ansioso por probarlo y ver de lo que es capaz el dispositivo  ;-)

Osea que, por ej., Windows tiene en su repositorio los drivers firmados para ese device (si se los baja de M$ Update sería lo mismo)? Es asi?

Pregunto, porque Windows no instala drivers automáticamente, a menos que sean devices conocidos por el SO (como un teclado o un joystick); con lo que necesitarías drivers firmados por Microsoft...

Ni hablar que también para Android y los demás OS que soporte el device...

EDIT: Los videos de kickstarter, indican que el device se conecta como teclado...

Yo por mi parte no entiendo bien la pregunta. Muchos dispositivos instalan sus drivers en cuestión de minutos o segundos. Sin embargo, de ser esto necesario, el dispositivo tendría que perder tiempo para hacerlo y tendría algún que otro problema de compatibilidad. Pero espero que este grupo de desarrolladores culmine bien.

Posiblemente por algunas de las derivaciones standard usb podría darse la ejecución de comandos, ahorita no las recuerdo, pero el rubber ducky no usa algo así?

Corrección rubber ducky simula usb hid, revisando no creo que ninguna permita ejecución de comandos

OK, entiendo. Como dije antes: me parece una buena idea y espero que les vaya bien en el emprendimiento.

Lo veo útil para aquellos que usan Tablets y Celulares para manejarse por la web diariamente. Para los PC's, lo veo igual que un pwd manager.

Saludos!

EDIT:

Debe usar algo parecido a BadUSB. En realidad no es "bad" ;D, sinó que se hace pasar por un teclado. Como puse, lo veo práctico para las aplicaciones anteriores.

PD: Con un Arduino (no UNO, sinó con micro ATMega328) y con shield para bluetooth, puedes hacer algo parecido!!!  ;)

EDIT 2: Con teensy lo puedes hacer seguro, pero no tendrás todo el "rollo" táctil...  :xD