Seguridad archivos - Página 15 de 40 - SmythSys IT Consulting

CloudBleed: grave fallo de seguridad en CloudFlare. Comprueba si tienes que cambiar contraseñas.

David G. Smyth (SmythSys) / 27 febrero, 2017

Hoy os hablamos de un fallo de seguridad que se anunció entre el jueves y el viernes pasado y afecta a CloudFlare. Es un fallo de seguridad que puede ser grave para los usuarios porque puede implicar que sus contraseñas se hayan expuesto (del 13 al 18 de febrero). Afecta a más de 4 millones de páginas (ahí es nada). Recomiendo que miréis la lista de servicios afectado y cambiéis las contraseñas en esos servicios por si acaso. Primero ¿que es CloudFlare? Es lo que se llama un CDN. En la práctica es un sitio donde la gente publica sus páginas web y este les : a) da más rendimiento (funciona como una caché). b) protege de ataques tipo DDOS. Los ataques atacan a Cloudflare (que está protegido para ello) y no al servidor original (que tendrá menos defensas). Es decir…da velocidad y seguridad a los administradores de páginas web. Son servicios como estos los que permiten que accedáis a las páginas con muchos usuarios (esas de películas o foros famosos). Afecta desde Uber a Taringa y Forocoches….por nombrar algunos que os suenen. En qué consiste CloudBleed. El grupo de seguridad de Google Proyect Zero anunció que ha detectado este grave. Parece ser que por un fallo en el servidor se estaba devolviendo memoria (fuga de memoria) que contenía datos clave como cookies o datos de usuario. Cualquiera que hubiera accedido a algún contenido de CloudFlare en este tiempo podía estar descargando dicha información con contenido privado de otros usuarios. Y encima esta información se estaba cacheando por los buscadores. Estamos hablando de uno de los fallos de seguridad más grandes de lo que llevamos de año. Eso si, CloudFlare (más le valía) lo solucionó en menos de 7 horas. Solución. Más vale prevenir que curar. Aquí en Github tenéis un lista de las páginas afectadas. Si tienes cuenta en una de ellas entre en tu perfil y cambia la contraseña.

Compartir, Gráficos y Fotografía, Internet, Seguridad

Amazon Drive. Almacenamiento ilimitado muy barato en dos modalidades.

David G. Smyth (SmythSys) / 23 febrero, 2017

Pocas veces hablamos de servicios de pago en el blog (salvo los patrocinados, la pela es la pela), tendemos a recomendar servicios gratuitos. PERO, también nos gusta que conozcáis soluciones que pueden seros muy útiles. Este Amazon Drive es uno de ellos. Llevamos ya un tiempo recomendando este servicio a fotógrafos o amantes de la fotografía. Porque Amazon hace tiempo que ofrece almacenamiento ilimitado de fotos para aquellos clientes que tengan contratado Amazon Premium (además del resto de ventajas). Es decir puedes tener una copia de seguridad de TODAS tus fotos, sin límite en la nube. Excelente como backup. Y sin pérdida de calidad. Además añaden 5Gb para ficheros (documentos, vídeos, audio…). Pero ahora han añadido otra modalidad MUY interesante: almacenamiento ilimitado, si restricciones, por sólo 70€ al año (!!!???!!!). No creo que ninguna empresa pueda competir con eso. Estamos hablando de 6€ al mes que, difícilmente puede cubrir el coste de los, por otra parte muy buenos, servidores de Amazon, su mantenimiento y demás gastos. Y además tienes 3 meses de prueba gratis. Obviamente, dispone de aplicaciones de sincronización para PC y Mac, para los dispositivos móviles y una aplicación para encontrar fotos por fecha. Aún así, por lo que he visto de esas aplicaciones no son las que mejor funcionan del mundo. PERO, la mayoría de las aplicaciones de terceros para añadir discos en la nube como discos locales admiten Amazon Drive. Y estas si que funcionan muy bien. ¿Todo perfecto no? Si, si vas a usar Amazon Drive para subir contenido personal. Pero cuidado, si subes contenido que no cumple con sus términos de uso, es decir películas y demás, pueden cancelarte la cuenta de repente (y pierdes todo el contenido). Pero esto también ocurre en otros servicios de la nube como SkyDrive. No quieren que se convierta ¿Cómo evitarlo? Fácil, sólo tienes que usar, para sincronizar el contenido, un programa que cifre el contenido al subirlo, y lo descifre al bajarlo. De esta manera lo que tienes en la nube estará encriptado y no podrán ver qué es. Y tienes todo el contenido que quieres. Pronto os hablaremos de alguna solución de este tipo. Así que recomendamos Amazon Drive como excelente solución de almacenamiento en la nube, sobre todo como copia de seguridad. Aún así, nunca tengas sólo una copia. Si te cancelan la cuenta o tienes algún desastre…estás peor que antes. Recomiendo tener 2 copias de seguridad (donde seas, al menos una en la nube).

Información Tecnica, Noticias Informáticas, Seguridad, Sistemas

Guía del nuevo Reglamento europeo de Protección de Datos.

David G. Smyth (SmythSys) / 2 febrero, 2017

En mayo del 2016 entró en vigor el nuevo Reglamento europeo de Protección de Datos. Aunque no es de obligatorio cumplimiento hasta el 25 de mayo del 2018. Nos dejan a las empresas esos dos años para que conozcamos y nos adaptemos a esta nueva normativa que incluye algunas novedades respecto a la anterior. Y más trabajo para las empresas (como siempre). Para ello, la Agencia de Protección de Datos ha creado una guía que os dejamos aquí: Guía para los responsables de tratamiento. Podéis ver más guías, junto a algunas FAQ en el apartado de la web de la AGPD especialmente creado para este reglamento. Primeras Novedades. Esta normativa no se aplica sólo a las empresas en Europa, sino también a “responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión“. La normativa ha incluido también algo tan actual como “el derecho al olvido y el derecho a la portabilidad” de los datos. Introduce el concepto de responsabilidad activa. No podemos esperar a que haya una denuncia para cuidar los datos personales. Esto implica: – Protección de datos desde el diseño – Protección de datos por defecto – Medidas de seguridad – Mantenimiento de un registro de tratamientos – Realización de evaluaciones de impacto sobre la protección de datos – Nombramiento de un delegado de protección de datos – Notificación de violaciones de la seguridad de los datos – Promoción de códigos de conducta y esquemas de certificación. La AGPD recomienda revisar todos los avisos de privacidad, además de las políticas propias de cada empresa. Os recomendamos que vayáis informándoos, que vayáis mirando qué tenéis que adaptar, para no tener que hacerlo deprisa y corriendo el año que viene…o encontraros con una multa desagradable.

Seguridad, Sistemas

Entrada extraña virtualapp/didlogical en el Administrador de credenciales de Windows

David G. Smyth (SmythSys) / 1 febrero, 2017

Ayer nos pegamos un susto cuando estábamos mirando nuestro Administrador de Credenciales de Windows para eliminar una contraseña guardada de un servicio. Todos teníamos una entrada extraña con Dirección de red: virtualapp/didlogical Con un usuario muy sospechoso y una contraseña. Cuando estás trabajando en ordenadores te vienen alarmas de todo tipo al ver esto. Que si malware, un troyano, un hacker…. Lo extraño es que estaba en todos los ordenadores y con fecha diferente. Tras investigar hemos descubierto la causa. Parece ser que esta es una credencial que crea Microsoft cada vez que usa un servicio de Windows Live (o algún otro servicio de Windows que lo requiera). Es decir, no es un virus, es Microsoft… (sin comentarios). Aún así, teniendo en cuenta que yo tengo productos de Windows Live pero no los uso, la explicación sigue sin convencerme plenamente. Por más que la de Microsoft (o sus técnicos). Para el que no se fíe, o no le guste tenerlo ahí, se puede borrar sin peligro. Se volverá a crear si la necesita Microsoft.

Internet, Noticias Informáticas, Seguridad

Aviso de Google en páginas web y formularios que recopilen contraseñas

David G. Smyth (SmythSys) / 31 enero, 2017

Google ha estado empezado a mandar avisos a los dueños de páginas web que contienen páginas que recopilan contraseñas. Y es que ya avisaron en Septiembre del 2016 que lo harían. Como llevamos tiempo avisando, Google quiere forzar un Internet cuyas páginas web se vean siempre a través de certificados (https), una web cifrada. No es mala idea, y es el aumento en seguridad nos beneficia a todos. Si alguien puede hacerlo es Google. ¿Alguien se imagina ahora no tener el correo o Whatsapp cifrados? Pues hace “poco” no lo estaban. El primer paso fue poner una exclamación en Chrome en las web sin https. Al mismo tiempo los cambios de las reglas de SEO en Google empezaron a puntuar positivamente las páginas por https. Y ahora, Chrome, desde la versión 56, mostrará un aviso si una página te pide una contraseña (formularios de registro, formularios de acceso etc) y no son https. Por ahora el aviso es “No es seguro“, en la barra de url, como en la imagen (poco llamativo). Pero suponemos que irá a peor. Ahora mismo sólo en estas páginas. Pero, como dice Google, “Eventually, Chrome will show a Not Secure warning for all pages served over HTTP, regardless of whether or not the page contains sensitive input fields. Even if you adopt one of the more targeted resolutions above, you should plan to migrate your site to use HTTPS for all pages.“. Es decir…hay que poner certificado en las páginas web, tenéis que pedir a vuestro alojamiento que os instalen un certificado. Los hay de pago, pero ya los hay gratuitos (pueden cobraros la instalación y configuración como es lógico).

Seguridad, Sistemas, Soporte, Trucos

Aparecen dispositivos extraños (móviles) en tu red. Solución.

David G. Smyth (SmythSys) / 26 enero, 2017

Ayer nos llamó un cliente para resolver una incidencia y, como parte de la misma, nos comentó un problema curioso. Aparecían móviles en su red que no debían estar ahí. Siendo una empresa estaba obviamente preocupado. Nos conectamos en remoto y cambiamos la identificación de la wifi y la contraseña. Y los equipos seguían ahí. Usamos escáneres de equipos en red (varios) y los móviles no aparecían en la red. No parecían estar conectados. Entonces, ¿por qué aparecían en la red de Windows? Al final lo descubrimos. La causa es un servicio de Windows llamado Windows Connect Now. En español Registrador de configuración de Windows Connect Now (menuda traducción inútil). ¿Qué está pasando? Este servicio, Windows Connect Now, lo que hace es, en teoría, facilitar que otros dispositivos se conecten y cambien datos con el tuyo. En la práctica lo que hace, lo que causa el problema, es mostrar todos los dispositivos de la zona que podrían llegar a conectarse a tu red. Aunque no estén conectados. Cada dispositivo que puede conectarse a una red wifi manda unas llamadas de prueba a las wifi para decir “hola aquí estoy soy este” y para recibir las características de la red. Esto es lo que te permite ver las wifi que tienes alrededor. Esto siempre se ha ignorado. Pero, parece ser que con WCN, se muestran estos dispositivos (si los dispositivos en la red permiten y son compatibles con este protocolo). Al estar el cliente en una tienda en una zona transitada, aparecían muchos teléfonos que no identificaban. Solución. Deshabilita el servicio WCN. No va a quitarte ninguna funcionalidad y dejarán de aparecer estos dispositivos que te hacen dudar si alguien está en tu red o no (deberían haberlos identificado de manera diferente). Para ello : en el cuadro de búsqueda pon services.msc , luego pulsa Enter (o busca Servicios en Panel de Control>Herramientas Administrativas). Luego busca el servicioRegistrador de configuración de Windows Connect Now Botón derecho encima, Propiedades y en Tipo de Inicio pon Deshabilitado. Abajo puedes pinchar en Detener también para pararlo en esta sesión. Ve a tu red y comprueba que los dispositivos han desaparecido. Microsoft a veces nos pega unos sustos innecesarios….

Seguridad, Sistemas

KeeWeb: excelente cliente multiplataforma para Keepass

David G. Smyth (SmythSys) / 25 enero, 2017

Ya hemos comentado muchas veces que una solución como Keepass es una de las mejores maneras de conservar nuestras contraseñas hoy en día. Puedes tenerlo en el móvil, puedes usar la nube para guardar los archivos etc etc. No tienes que recordar las contraseñas, puedes copiar y pegar directamente del programa, y así tener contraseñas “seguras”. Yo tengo un fichero personal y uno de empresa (que comparto con otros 3 usuarios) y los uso a diario. De hecho no tengo ni idea de mis contraseñas. Cada vez que creo una la creo y la guardo en Keepass. Luego las copio desde ahí. Ayer me habló un compañero de este cliente para Keepass: Keeweb. Y nos ha impresionado porque mejora el uso de un ya excelente programa, y corrige los pocos puntos donde Keepass falla. Keeweb es un cliente multiplataforma: está disponible para Windows (32 y 64 bits), Linux y Mac. Además, tiene una versión web que te permite abrir los ficheros desde cualquier navegador sin tener el programa instalado. Por lo que parece, además, el cliente web permite acceso offline. Y puedes abrir ficheros de varias fuentes (webdav, Dropbox, Google Drive, One Drive…). El cliente para PCs permite también acceso offline, varios temas y colores, buscar ficheros y términos, sincronización con Dropbox, Drag and Drop y mucho más. Un buen cliente con muchas opciones. Es verdad que muchas se pueden hacer con el cliente original + plugins (mostraremos cómo hacer alguna más), pero para el que no se quiera complicar es una buena opción. Opensource.

Limpieza de PC, Seguridad

Protege tus cuentas de banco online con IBM Trusteer Rapport. Gratuito.

David G. Smyth (SmythSys) / 16 enero, 2017

La semana pasada conocimos la existencia de este software. Porque lo recomiendan varios bancos como el Santander, o el BBVA, y lo está ofreciendo a sus clientes. Uno de los mayores peligros que tienen los usuarios usando Internet es el acceso a sus cuentas de banco. Porque…¿quién o usa banca online ahora? Pero los ordenadores de los usuarios suelen estar infectados por malware o virus (recordad que podéis encargar limpiezas cada cierto tiempo) por desconocimiento. Y los virus no eliminan estos programas espía. ¿Cómo evitar que alguien entre o espíe sus cuentas? Además, siempre tienen el peligro de entrar en webs fraudulentas de phishing. Peligro muy real como demostramos en este caso real que filmamos. ¿Qué puede hacer el usuario medio? Para minimizar el riesgo de estos ataques es por lo que recomendamos este software: IBM Trusteer Rapport. Un software TOTALMENTE GRATUITO de IBM que sirve de capa extra para el usuario porque es compatible con los antivirus actuales. Las funciones de este programa son: Cifrar la conexión entre el usuario y el banco. Detectar si las páginas del banco son reales o falsas y, en su caso, evitar que entremos. Detectar si hay malware atacando, bloquearlo e incluso intentar limpiarlo. Proteger las claves de acceso a tu banco. Se actualiza automáticamente. Protege las sesiones del navegador para evitar manipulaciones en las mismas. Además dispone de historial de accesos, es sencillo de usar (se pone en verde en tu navegador cuando funciona) y no carga el sistema. Os dejamos un vídeo explicando por qué deberíais instalarlo.

Niños, Seguridad, Smartphones, Tablets

Recomendaciones de la policía sobre el uso de los móviles en los menores

David G. Smyth (SmythSys) / 11 enero, 2017

Os hemos contado alguna vez los peligros de el uso incontrolado de los dispositivos móviles (tablets y móviles) por parte de los menores. En realidad del uso de Internet en general, pero los ordenadores son más fáciles de controlar. ¿Peligros a los que están expuestos? Acoso a través de las redes (cyberbulling),adultos que les acosan (grooming), intercambio de fotos de contenido sexual (sexting), localización y envío de datos, uso de fotos para otros fines, ladrones que pueden ver cuándo se está fuera de casa… Y los niños no tienen las defensas para evitar estas cosas, es una herramienta que les viene grande. ¡Si la mayoría de los mayores o las desconocen o están empezando a aprender a defenderse de ellas! Debemos insistir que los anteriores son delitos, no “problemillas de niños“. Denunciadlos. Hoy os dejamos unas recomendaciones de expertos de la policía sobre este tema. Quién mejor que ellos para aconsejar sobre este tema, ya que ven los delitos que se comenten. En resumen: “Los especialistas dicen que con menos de doce años no se les debe dar un móvil, y menos con conexión a Internet. Whatsapp no se debe tener hasta los 16 años, lo dice la propia red Whatsapp, y eso casi nadie lo sabe“. “Si le das a un menor un coche con catorce años, sin carnet de conducir, sin acompañarle, está claro que no quedará ileso. Ahora a los niños de menos de 14 años le estamos dando terminales de última generación para que vayan a 200 por las redes sin que tengan idea. Dicen: ‘es que el niño es el que sabe’. No: el niño es el que más lo usa, pero no tiene ni idea“. Podéis ver la información aquí: O en la entrevista de Onda Cero Radio. Al final la idea es establecer horarios y pautas para el uso responsable de dichos dispositivos. Que vayan aprendiendo el uso, peligros y la responsad que conlleva. Es verdad que los menores por ley tienen derecho a la intimidad, pero podemos usar el sentido común, explicarles e incluso revisar los dispositivos si tenemos sospechas de actividades ilícitas. Ningún juez va a castigar a un padre que lo haga por sospecha de problemas (diferente es hacerlo continuamente). Algunos padres se han sorprendido de lo que han descubierto. Recordad que tenéis un contrato que podéis hacer leer y firmar a vuestros hijos. Y que el móvil lo pagáis vosotros y se lo cedéis. Todo derecho conlleva un deber. Celebramos el #DíadeInternet con propuesta para el uso seguro de la Red y el móvil: el contrato Padres-Hijos PEQUEÑOS http://t.co/dqMYTjWXYD — Policía Nacional (@policia) May 17, 2015 Os dejamos las pautas que recomienda la policía tanto para padres como para hijos. No es una tontería, los profesionales informáticos conocemos los peligros de Internet. Y los sociólogos avisan de los peligros también. Podéis ver aquí más información sobre las investigaciones que avalan el uso controlado de los dispositivos …incluso los reyes los controlan 😀 La tecnología hay que disfrutarla porque como dicen los expertos…no te hace necesariamente más listo. Te ayuda. Recomendamos: Saber que podemos localizar el móvil (con aplicaciones de localización…la mayoría de los antivirus lo tienen). Podemos configurar WhatsApp para enviar historiales al correo. No lo espiaremos, pero si hay problemas, poder ver qué se ha enviado es importante. Si se bloquea el teléfono, conocer el código de desbloqueo. Según edades, restringir su uso por horas o días. Recordad que se puede bloquear Internet o aplicaciones. Se le puede dejar un uso limitado e ir aumentando con la edad. Podéis usar aplicaciones dedicadas como Qustodio si preferís un “todo en uno”. Suerte….no es fácil y nadie tiene las soluciones definitivas.

Compartir, Seguridad, Sistemas

Herramientas automáticas para limitar lo que comparte Windows 10.

David G. Smyth (SmythSys) / 30 diciembre, 2016

Estamos de “espionaje” estos días. Si ayer hablábamos de quién nos espía navegando, hoy hablamos, de nuevo, de Windows 10. Este sistema operativo es de los mejores que ha sacado Microsoft. PERO, le ha dado por compartir (a saber con quién) mucho de lo que haces en el. En el artículo mencionado anteriormente explicamos cómo limitar esto manualmente y por encima. Pero hay muchas más opciones que habría que cortar. Sinceramente yo, con hacer las manuales, estoy satisfecho. Quitar lo llamativo y absurdo. Soy consciente que no está del todo cerrado, pero elijo dejarlo ahí y seguir trabajando. Eso si, se y conozco a gente que quiere más. Para ellos se han hecho estas herramientas que han desarrollado usuarios y empresas preocupados por la seguridad. Han recopilado y automatizado reglas para evitar que Windows 10 nos espíe. Nota: muchas de estas reglas desactivan servicios, aplicaciones y actualizaciones de Windows. Nadie sabe si afectarán también a su funcionalidad (qué servicios dependen de otros), pero la gente está dispuesta a arriesgarse. Además, la mayoría de estos programas permiten la “vuelta atrás”. Nota2: existen muchos programas en la red sobre esto. Cuidado porque muchos son poco fiables o incluso aprovechan para meter malware. No os fieis a ver si va a ser peor el remedio que la enfermedad. Entre todos los que hay seguramente yo eligiría Fix Windows 10 Privacy de Modzero, una empresa de seguridad Suiza. Entre otras cosas porque, además de ser una empresa de seguridad, el programa es de código abierto y puedes ver exactamente lo que hace. Además, la GUI te permite ver también lo que va a cambiar. Otras herramientas son: Ultimate Windows Tweaker. Tiene una pestaña para publicidad y seguridad donde podemos elegir estas opciones. Spybot Anti Beacon. Dicen que como vieron tantas herramientas sobre esto que no funcionaban o eran maliciosas, hicieron la suya. Muy fiable. O&O Shutup10.