¿Seguridad en la nube? ¿o será en Internet? El de toda la vida, vaya.

Publicado el Por dabo en Mi Opinión, Seguridad Informatica

Todos caemos muchas veces en un exceso de «modernidad digital» (acusado por la movida «2.0») en un intento por reinventar una rueda con muchos kilómetros a sus espaldas como puede ser Internet, pero también buscando más opciones de negocio.

Que yo recuerde, hace unos cuantos años, (eso sí, no teníamos las interfaces actuales) muchos ya usábamos eso de la «sincronización«, por ejemplo en móviles como aquél Nokia que tenía bajo Symbian creando cuentas de correo por IMAP.

Lo de la «geolocalización« ya viene desde los tiempos ¿Os suena eso de la dirección IP?, claro que sí, también lo de los proxys y cómo evitar dejar rastros allí por dónde navegas. Si nos vamos a los servidores web, ahora los llaman «On Cloud», pero la información, aún siendo en máquinas virtuales, que se redimensionan a golpe de click, donde los discos duros y los Kernels se cargan vía red, etc, sigue estando en un datacenter y por ende, se accede vía SSH o FTP, pero ojo, la virtualización también es algo con muchos años de vida.

Cuando no había «Redes Sociales» estaban las BBS, el IRC o los foros, con diferentes formas de compartir la información y dejar tus datos más o menos expuestos (nombres de usuario, correos, imágenes). En mi caso, sólo diferencio la ubicación de los datos, dependiendo de si están en mi casa o en algún servidor/servicio web, lo de «la nube», no deja de ser casi un «gentilicio» en un afán de querer llamar de otro modo a casi lo mismo en cuanto a cuestiones de acceso y almacenamiento.

Siguiendo con el tema de los «enlaces maliciosos» de las Redes Sociales, ¿Quién no recuerda por poner un ejemplo, hace unos cuantos años cuando te llegaba un link asociado a algún tipo de malware en el programa de mensajería de turno? (Podía ser MSN Messenger en sus tiempos de «esplendor»), luego te dabas cuenta de que mucha gente se lo comía «con patatas» cuando tu bandeja de correo de entrada se llenaba de virus provenientes de las direcciones de correo del afectado.

Los ataques por «ingeniería social» o «phishing» buscando a través del engaño y la confianza del usuario al hacer click en uno de esos enlaces a los que aludía son algo también de tiempos pasados, eso de «prudencia y sentido común» sigue siendo válido para tiempos presentes…

Lo que sí está claro que cambia es la variedad de servicios web que usamos, al igual que los dispositivos desde los que nos conectamos. No podemos negar esa evidencia y si hace unos días hablé de las cuentas «huérfanas» o «mal creadas», hoy tocaría decir algo como «Toma las precauciones de toda la vida a nivel general, y las más concretas en servicios puntuales».

Créeme, al final todo se reduce casi a lo mismo. Passwords sólidos con una frecuencia de cambio adecuada dependiendo del servicio y nombres de usuario que no te identifiquen o se encuentren en listas creadas para realizar ataques por fuerza bruta. Usa SSL (ojo que en Gmail sigue siendo una opción) en todo lo que puedas, conéctate por SFTP en lugar de por FTP a tu sitio web o server (VPS, Dedicado u «On Cloud»).

Protege con sistemas de bloqueo, localización y borrado remoto tus dispositivos móviles, también los discos duros de tus equipos, llaves USB o tu información almacenada en «la nube» (el Dropbox de turno) con cifrados de todo tipo y no te olvides que la cadena de la seguridad, se puede romper a unos metros de ti, en la configuración de tu router wi-fi por ejemplo y un etc que, sería quizás un tanto largo para este post. Si estás empezando a preocuparte por la seguridad te recomiendo nuestra sección «Seguridad básica» en Daboweb.

A veces me pregunto si «estamos en la nube» o «nos vamos por las nubes», (antes se decía «por las ramas»).

¿Cómo afectan a tu seguridad las cuentas de usuario «huérfanas» o «mal creadas»?

Publicado el Por dabo en Hacking | Redes, Mi Opinión, Seguridad Informatica

Sobre estos temas suelo escribir más en Daboweb, pero también aquí en DaboBlog les presto atención, por mucho que a veces pueda sonar a algo un tanto recurrente. Podíamos llamar «huérfana« a esa cuenta que abriste «ese día» para «aquel servicio» y salvo un para de veces, no lo volviste a usar. Es un error muy común en el que todos acabamos cayendo alguna vez, el problema es que te olvidas y un día ves tu correo y password publicados en algún lugar como «Pastebin Leaks»

Cierto es que quizás ahora tus passwords son más sólidos que en esa época, quizás tu correo también ha cambiado,  pero no está de más rebuscar y volver un poco atrás en el tiempo para cerrar registros en algún caso, cambiar esas viejas k0ntrA$3ñ@$ (un pequeño ejemplo) o replantearte si ese registro está realizado adecuadamente (de ahí lo de «mal creadas«). Vamos a desarrollar un poco el tema…

Hace unos días, en mi cuenta de Twitter dejé a modo de consejo un;

«No uses como cuenta administrativa de Google Apps tu cuenta habitual o pública«.

¿Los motivos? en el caso de que tu cuenta se vea comprometida siempre tendrás otro usuario como admin (créalo con un nombre totalmente imposible de relacionarlo contigo) para poder en un momento de urgencia, cambiar rápidamente el password, o recuperar la cuenta.

Otra de las ventajas de Google Apps, es que no se puede recuperar un password vía la opción de recuperación de Gmail, sólo el administrador puede, por lo que creo que queda claro el motivo de usar una cuenta sin privilegios y otra para administrar (tal y cómo haríamos en nuestros equipos).

Quizás a eso me refiero con lo de «replantearte si ese registro está realizado adecuadamente». Pero vamos a ir algo más allá, muchos problemas de seguridad de usuarios con una actividad media/baja en Internet, pero que afectan más a gente con perfiles un tanto ¿públicos? o relevantes (tienes una comunidad a tu cargo, blog de peso, foro o empresa), se verían reducidos si al realizar los registros en el «servicio 2.0 de turno», se utilizase una cuenta de correo electrónico que no pueda ser asociada a tu persona en el caso de que los datos de esa cuenta (de PayPal por citar un ejemplo) acaben siendo públicos.

¿Las razones para ello? obviamente si lo piensas desde un punto de vista lógico, no es lo mismo que acabe siendo expuesta [email protected] y un password determinado (que sí, obviamente te puede generar un problema) a que se vea expuesto tu «nick» o «nombre de guerra» (incluso el real, como ejemplo Google +) en La Red, junto a un correo que te identifique y un password…

La cadena de problemas que pueden surgir a partir de cuestiones como esta, puede ser larga y complicada para quien lo padece. Hablando de particulares, la posible explotación de otros servicios web caso de que uséis el mismo password o e-mail (algo totalmente desaconsejable, pero aún a sabiendas de ello, por pereza le pasa a mucha gente). También lo que ahora se llama «pérdida de reputación online«, hablando de empresas pero también de usuarios con proyectos en los que participan terceros, etc.

Y aquí podríamos recordar también la necesidad de que los «correos de recuperación» no se elijan a la ligera, puedes llegar a sorprenderte si revisas como fue mi caso cuentas que tenían más de 5 años. Está claro que a nadie le agrada «parar» y dejar de hacer lo que te gusta para ponerte a revisar cuentas, servicios, passwords, correos, etc, pero una vez que lo vas haciendo, te vas dando cuenta que tu seguridad va en aumento. Eso sí, aquí nadie está libre de pasar un día por ello, la cuestión que si se da el caso, el impacto sea el mínimo posible (quien suscribe/escribe el primero -;).

DaboBlog Podcast, número 30. «Kernel Panic» y «Manzanas Traigo»

Publicado el Por dabo en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

tuxipod.jpgPues así y como que no quiere la cosa, nos hemos plantado en la treintena. Sí amigos, es el episodio nº 30 de nuestro/vuestro podcast y en una cifra tan redonda, os doy las gracias en nombre de todo el equipo por seguir ahí. Que tengáis un buen resto de verano y ojo con la carretera -;).

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos en esta entrega (Duración 2,05 h)

> Intro (00:00 hasta el minuto 02:46)

(Por David Hernández, Dabo) Presentación y comentarios sobre este episodio 30.

> Kernel Panic (Minuto 02:48 hasta 1h:02 m)

En Twitter; Dabo y Diego aka n1mh. (Forat estará en el próximo).

Como suele ser habitual cuando nos juntamos Diego y yo, damos un repaso al «estado de nuestras Debian», nos seguimos metiendo en «fregaos» de navegadores, programas de edición fotográfica, núcleos, los orígenes de todo esto (Internet) y también, Diego habla de alguna de las particularidades de su trabajo enfrentándose a sus «macro-actualizaciones» de Kernels.

> Manzanas Traigo (1:02 h hasta 2:05 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En «Manzanas Traigo» otra vez nos quedamos sin la «presencia» de Gorka Lasa (lur), este episodio puede catalogarse como ya supondréis en un «especial Lion» en toda regla, con impresiones sobre el nuevo S.O de Apple, unos cuantos tips prácticos, preferencias (ese «scroll»;) y algún fallo localizado. También ha sido protagonista el flamante «Air» de 13″ de AJ. En este «30» Junto a Oscar Reixa, A. J Pérez.

Seguir leyendo

Empresas, mucho Marketing y «Social Media», pero formación básica en seguridad, cero.

Publicado el Por dabo en Hacking | Redes, Mi Opinión, Seguridad Informatica

Es curioso, no hace falta irse a grandes empresas para darse cuenta de que las «golosinas», en forma de atractivas campañas de marketing (off-online), promoción «dospuntocero» a tope y mucha presencia «social», les resultan más atractivas que mirarse un poco el ombligo y dotar a sus empleados de una formación básica en seguridad (ya no digo medio/avanzada que sería lo deseable). Quien dice a sus empleados, dice a la propia empresa.

Hasta que «di el salto» y me puse a trabajar por cuenta propia, no para mi mismo que es una frase hecha ya que siempre lo haces para terceros, durante más de 20 años haciéndolo para diferentes empresas, este hecho siempre ha sido algo recurrente. La seguridad preocupa poco, o más bien sólo cuando sucede un desastre o incidente serio que hace girar la cabeza hacia ese lado y encender las alarmas (tarde ya) con la correspondiente pérdida de negocio, datos, prestigio o clientes.

Lo más triste es que precisamente, quienes más protección deberían tener en sus equipos, sí, esos que están en los escalafones más altos en la cadena de mando/responsabilidades, suelen implicarse poco o casi nada y están más pendientes de instalar la aplicación móvil «chorra» del momento, para mostrarla orgullosos en sus iPhone, Blackberry o Galaxy «extra large», que de ver qué sucede a través del cable de red de su empresa. Y así nos va…

En medio de todo, llegan los gurús del «Social Media» que se llenan la boca de acrónimos tal y como cité en esta entrada, vendiendo atractivas motos especialmente preparadas para quienes «quieren creer» (que ojo, hacen su trabajo y algunos muy bien) y esa empresa, o más bien sus responsables, cuando ven su página en Facebook, su cuenta de Twitter, un blog, empiezan a girar «en círculos»  (de Google +) y se emborrachan del «me gusta» y el «+1″…

Y con la borrachera, o más bien después de ella, llega el olvido. Las resacas «sociales» son duraderas porque actúan a largo plazo, la visión «borrosa» impide ver lo que tienes frente a ti y claro, ¿cómo van a venir a chafarte la fiesta?.

Que estamos en una época de crisis es algo de todos sabido, que es importante conseguir nuevos clientes o no perder los que ya tienes también, pero precisamente, pensando en esos clientes actuales o futuros, la formación en seguridad se debería considerar un activo para la empresa y no esa parte «fea» o de color gris tirando a negro tal y como la ven algunos.

Un equipo de trabajo preparado para evitar fugas de información, incidencias en ocasiones críticas y con una base en seguridad de la información, hará que esa empresa obtenga un valor añadido de cara al exterior y que interiormente sea más sólida.

Si tienes una empresa, estás leyendo esto y sigues sin usar SSL en tu correo, tienes el mismo password en todos los sitios (quizas pegado ahí cerca de la pantalla) o no te acuerdas de la última vez que lo has cambiado, tu smartphone no tiene un código de bloqueo, el disco duro de tu portátil no está cifrado ni cuentas con algún sistema de protección adicional, a tu sistema le faltan los pertinentes parches de seguridad, tienes antivirus ineficaces o sin actualizar, no sabes quien, cuando, cómo y hasta dónde acceden a tu intranet, tienes un montón de papeles en la mesa con datos de tus clientes, o no cuentas con un sistema de backups fiable, etc, quizás debas replantearte tranquilamente y con la mente despejada en qué invertir (o no malgastar en muchas ocasiones) tu dinero.

Invertir en seguridad informática es hacerlo en algo real, tangible y con resultados a corto, medio y largo plazo. Tienes una puerta blindada, contratas un servicio de vigilancia, alarmas de última generación y hasta puedes ver lo que sucede en tu empresa vía una webcam y el móvil pero ¿Qué sucede con lo que no ves?

No lo olvides, «los chicos malos» usan otras puertas y pasan sin avisar…

Protege tu web o blog en WordPress con WebsiteDefender (Beta)

Publicado el Por dabo en Hacking | Redes, Seguridad Informatica, Software | CMS, Webmaster

Como comento en el título, el servicio está en estado de «Beta» pero es plenamente operativo. Si hablamos de WebsiteDefender, estamos haciendo mención por ejemplo a los creadores (entre otros) del plugin «Secure WordPress«.

Hace unos días, me llegó a través del formulario de contacto de davidhernandez.es (donde aglutino los servicios que ofrezco a nivel profesional) una consulta para asegurar una instalación de un WordPress que contaba con una pasarela de pago segura, registro de usuarios y una tienda virtual integrada en él.

Tipos de alertas y avisos;

 

Entre otras modificaciones y revisiones que hice, di de alta una cuenta para el cliente en WebsiteDefender y los resultados fueron cuasi-inmediatos en el primer «scan» realizado y que vi en la bandeja de entrada de mi correo electrónico.

Como ejemplo, reproduzco con datos (algunos simulados) de mi blog cuestiones que vi en el del cliente. WebsiteDefender. además de comprobar el estado de tus DNS, tiempo de expiración del dominio, si tu web o IP está incluida en alguna «blacklist» (lista negra) o catalogada como «spammer» (tal y como os comenté hace un tiempo aquí), también revisa si Google considera que eres «portador» de algún tipo de Malware tal y como se puede ver en esta captura de pantalla;

También compara si ha habido cambios en algún directorio, si tienes actualizaciones pendientes de algún plugin o si alguno es vulnerable, como sucedio con este caso que reproduzco/simulo en mi blog con el plugin «Register Plus«, plugin del que ni se sabe nada en la web de sus creadores ni en la sección de plugins de WordPress…Pero si lo tienes como era su caso instalado, ahí está «clavada» la versión 3.5.1 (y por los tiempos estará según veo…).

Aviso que puedes ver en tu tablero de WebsiteDefender;

The WordPress plugin register-plus from your WordPress installation in / is known to be affected by a security vulnerability.

Seguir leyendo

Descarga gratuita en PDF del libro «Open Source Security Tools» (ENG).

Publicado el Por dabo en GNU/Linux, Hacking | Redes, Prensa | Libros, Seguridad Informatica, Tutoriales | Guías

Si bien es cierto que el libro data del año 2004, muchos de los artículos siguen siendo de gran utilidad para gente interesada en cuestiones de seguridad informática. De hecho y como se puede ver en Amazon, está a la venta por un precio de 34$.

El libro (600 páginas) está escrito por Tony Howlett y Publicado by Prentice Hall y forma parte de; «Bruce Perens’ Open Source Series«.

Entre muchos otros, se tratan tema como;

  • Instalar un firewall open source usando Ipchains, Iptables, Turtle firewall, o Smoothwall
  • Escaneo de puertos y testeo de vulnerabilidades.
  • Uso de Nmap, Nlog, Nmap para Windows, Nessus y NessusWX
  • Uso de sniffers y sistemas de detección de intrusos, (Tcpdump, Ethereal, Windump, Snort™, y Snort™ para Windows)
  • Análisis y «tracking» de datos con Swatch, ACID y NCC
  • Comunicaciones cifradas con PGP, GnuPG, SSH y Free S/WAN

Visto en Debian Admin. Descarga (yo lo he hecho desde el programa de afiliación de «Ubuntu Geek», así se llevan algo)

Requiere dejar datos de registro, de todos modos, hay más formas de bajarlo con una simple búsqueda en Google).

También te puede interesar otro libro; Linux® Quick Fix NotebookFree 696 Page eBook

  • Build Linux file/print servers and networks from scratch
  • Troubleshoot Linux and interpret system error messages
  • Control every step of the boot process
  • Create, manage, secure, and track user accounts
  • Install, configure, and test Linux-based wireless networks
  • Protect your network with Linux iptables firewalls
  • Set up Web, email, DNS, DHCP, and FTP servers

Ya sabes, lecturas técnicas recomendables para este veranito que al menos en Gijón, no acaba de llegar -;)

Cómo solucionar problemas con la entrada o salida de audio en Skype y PulseAudio en Debian o Ubuntu

Publicado el Por dabo en Debian, GNU/Linux

En mi caso el problema venía dado con un micro-auricular USB (para ser más exactos con los dos que tengo). Al ir a las opciones de audio en Skype, no me reconocía ningún dispositivo, sólo veía como opción «pulseaudio» y si bien conseguía hacer que el sonido saliese por los auriculares, con el micro USB no había forma.

Primero aclarar que me sucedía en Debian Testing y Sid, aunque a algún colega le pasaba lo mismo en Ubuntu. Después de pegarme un buen rato con el tema, dar más vueltas de las necesarias, ir a las opciones de configuración del audio en las preferencias del sistema de KDE, terminal, etc, etc, al final, todo quedó solucionado con un simple;

aptitude remove pulseaudio

Y de ese modo, el equipo usará ALSA y ahí si que salen todos los dispositivos de entrada/salida en Skype, así como sus controles. También podéis quitar otras dependencias buscando por ejemplo con un; dpkg -l | grep pulseaudio


De todos modos, estoy buscando alternativas multiplataforma, más que nada para grabar el podcast que no todos vamos con GNU/Linux y ahí tengo que adaptarme. Luego las noticias de que Microsoft podría grabar llamadas de Skype en fin, ya era lo que nos faltaba a los linuxeros que por cierto, seguimos con la versión 2.2 Beta y en ocasiones ni ves a los demás online o no te ven ellos a ti.

Feliz SysAdmin Day 2011 -;)

Publicado el Por dabo en Hacking | Redes

dabo@debian:/var/log$

A todos y todas los que os enfrentáis con los sistemas, servidores, redes, enigmas, problemas y un largo etc.

Hoy es nuestro día y en fin, me temo que a pesar de ello, tendré que pegarme con algún sistema (para celebrarlo-;).